严 敢，齐春晨

(1.北京全路通信信号研究设计院集团有限公司，北京 100070；2.北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

1 概述

CTCS-3级列车控制系统是一个故障-安全的高安全等级系统，车载系统通过无线GSM-R网络，获取行车许可等信息，按照地面控制系统的指令进行车辆运行控制。

以国内武广高度铁路线的ATP车载为例，ATP车载设备由以下单元/模块组成。

1）安全计算机（VC）；

2）轨道电路信息接收单元（TCR）；

3）应答器信息接收模块（BTM）及应答器天线；

4）无线通信模块（RTU）；

5）人机界面（DMI）；

6）列车接口单元（TIU）；

7）测速测距传感器。

其中，安全计算机（VC），作为核心处理设备，承担了ATP车载设备的核心处理逻辑，是ATP车载设备最重要的部件。VC主要包含如下几个部分。

1）主控逻辑单元；

2）测速测距单元；

3）安全输入输出单元；

4）通信接口单元；

5）安全通信单元。

车载ATP设备的结构示意如图1所示。

图1 CTCS-3级列车控制系统ATP车载设备结构示意Fig.1 Structure diagram of CTCS-3 ATP onboard equipment

SBP安全总线完成安全计算机平台中的板间安全通信功能，完成主控板之间、主控板和功能板之间的数据交互，向上层提供经过校验和可靠性验证的数据链路。SBP安全总线采用点对点的主-从工作模式，使用3条信号线进行串行数据通信。

SBP安全总线需要识别并报告所有硬件取二错误，识别并检测链路的连接状态、硬件的错误状态，能够保证数据发送的完整性和可控性，检测干扰的存在，进行上电自检和运行周期检测。

2 SBP总线结构

SBP通信模块由SBP主端模块（SBP Master）、SBP从端模块（SBP Slave）和连接模块组成。为满足安全完整性需求，系统架构采用双系同构方式（M系和N系），两系独立运行，形成二乘二结构，两系运行在关键节点处进行取二操作，保证运行结果的正确性。其连接方式如图2所示。

图2 SBP总线主从的连接方式Fig.2 Connection diagram of master-slave SBP bus

在SBP传输协议中，明确区分取二错误和传输链路错误，两种错误可以分别检测并具备功能完整性检测功能。

SBP的传输协议分为MAC层和PHY层，其中MAC层完成传输状态的控制和寄存器堆的更新，MAC层对上提供寄存器访问接口，寄存器使用Memory Mapped映射；PHY层完成物理信号的传输和物理硬取二的实现，物理层的传输使用3根硬件连线，1根SCK时钟线由主端驱动，1根MO数据线由主端驱动，1根SO数据线由从端驱动。其体系结构如图3所示。

图3 SBP总线结构Fig.3 Structure of SBP bus

3 SBP Master控制状态机设计

MAC模块对内控制链路的建立、数据传输的开始和结束、数据传输正确性的校验等机制。

SBP的通信过程由主端控制，4个步骤完成一次传输，周而复始。每个物理帧（数据帧或控制帧）需得到另一端的反馈（ACK/NACK）才能结束，若传输超时，则重新发起传输。4个阶段如图4所示。

图4 SBP Master通信过程Fig.4 SBP Master communication process

查询：主端发起查询帧，并等待从端应答。

状态：从端回复查询帧，并报告自己的状态，主端接收后应答该帧。

接收：若从端无数据待发，则该状态跳过；若有，则从端发送数据帧，主端接收后应答该帧。

发送：若主端无数据待发，则该状态跳过；若有，则主端发送数据帧，并等待从端应答。

其中，数据帧需要经过MAC层的打包和添加帧头、CRC校验等处理，经过处理之后的数据帧格式如图5所示。其中，每种数据帧格式对应一个通信过程，即在查询阶段，主端发送的数据帧格式为主端查询帧。

图5 SBP数据帧格式Fig.5 SBP data frame format

其具体的有限状态机模型如图6所示。

图6 SBP Master有限状态机Fig.6 SBP Master finite-state machine

4 SBP Slave控制状态机设计

MAC模块对内控制链路的建立、数据传输的开始和结束、数据传输正确性的校验等机制。

使能后，SBP Slave 的MAC模块进入等到状态，等待主端发送控制帧，根据控制帧的内容进行动作。

当成功接收到一个主端查询帧或者数据帧后，根据接收帧内容的不同，MAC模块转入不同的工作流程。若接收到查询帧，则其工作流程如图7所示。

图7 SBP Slave通信过程Fig.7 SBP Slave communication process

1）查询：应答主端查询帧。

2）状态：从端回复查询帧，并报告自己的状态，等待主端应答该帧。

3）接收：若从端无数据待发，则该状态跳过；若有，则从端发送数据帧并等待主端应答。

4）等待：若主端成功应答或超时，则从端进入等待状态。

若接收帧为数据帧，则从端应答该数据帧并回到等到状态。

其中，数据帧需要经过MAC层的打包和添加帧头、CRC校验等处理，经过处理之后的数据帧格式如图8所示。其中，每种数据帧格式对应一个通信过程，即在查询阶段，主端发送的数据帧格式为主端查询帧。

图8 SBP Slave数据帧格式Fig.8 SBP Slave data frame format

其具体的有限状态机模型如图9所示。

图9 SBP Slave有限状态机Fig.9 SBP Slave finite-state machine

5 结束语

针对国内CTCS-3级列车控制系统ATP车载设备的安全计算机平台内部通信总线，目前尚无安全的通信总线，本文通过对EN50159中有关封闭网络的安全网络需求的分析，研究设计一种采用硬件二乘二取二，能够将应用层数据分组打包且对应用层数据添加CRC编码和校验并且能检测点对点链路连接状态的主-从之间全双工的数据通信等多项通信功能和安全保障功能的总线，有效解决车载平台内部安全通信问题。