计算机联锁系统CAN安全通信技术

陈强

摘 要：基于二乘二取二的计算机联锁系统由上位机、联锁机、安全智能I/O模块、联锁总线、维修机等几个部分組成。系统中联锁层与执表层之间传输安全信息的通信网络必须具有故障-安全特性，才能保证系统的安全性，本文主要介绍了使用CAN总线实现这一特性的思想方法。

关键词：计算机联锁系统;CAN总线;安全—故障通信

中图分类号：U282 文献标识码：A

0 引言

计算机联锁系统是以计算机技术为主要技术手段实现车站信号联锁的控制系统，它的安全性能直接影响到行车安全。因此系统要求具有故障导向安全的特性。基于这一特性，CAN总线具有通信速率高、可靠性强、连接方便、性能价格比高等诸多特点，此系统采用了CAN总线作为现场总线进行联锁系统数据间的通信。以下主要介绍了二乘二取二制式计算机联锁系统中的CAN安全通信技术。

1 计算机联锁系统

1.1 计算机联锁系统概述

计算机联锁系统是新型的铁路车站自动控制设备，其各个环节必须具有故障导向安全的特性。计算机联锁系统负责处理进路内的道岔、信号机、轨道电路之间安全联锁关系，对提高铁路运营效率、自动化程度、管理水平以及减少行车指挥调度人员的工作强度具有最直接的影响。

1.2 系统的体系结构

二乘二取二制式计算机联锁系统由上位机、联锁机、安全智能I/O模块、联锁总线、维修机等几个部分组成。

1.2.1 上位机（监控机）

监控机由冗余热备的工业控制计算机A机和B机组成，通过双路工业以太网与联锁计算机通信。2套监控机同时工作，物理上相互独立，都具有人工操作（如办理进路）功能。监控机将操作员的操作命令传送给联锁机，并以图形化方式显示站场信息。

1.2.2 联锁机

（1）每套联锁主机有2套完全独立的CPU运算系统。

（2）两套CPU单元联锁运算结果通过信息通道传送给对方进行比较，当比较结果一致时，才产生有效的驱动。两个CPU单元分别从下层的安全智能I/O模块获得独立的采集信息后，也通过信息通道传送给对方，两份采集数据经过比较，如果一致，才被两个CPU单元认可为有效的采集数据。这种结构有利于实现系统信息的安全性。

（3）接收监控机的操作命令，进行运算处理，同时向监控机传送整个系统的状态信息和联锁运算数据。

（4）为了确保输入信息的可靠和系统运算的同步，2套联锁主机通过冗余同步高速光通道交换信息，通过2套联锁主机间的同步机制，同时执行控制命令、进行运算处理，并且通过冗余星形（或环形）光通信网络将比较结果发送给冗余热备的RCU，主RCU通过双路CAN现场总线将控制命令发送给执行单元模块，备RCU处于热备，当主RCU故障后，自动切换到备RCU控制输出，以确保系统传输通道的冗余工作。

1.2.3 联锁总线

联锁机与安全智能I/O模块之间的通信联系采用CAN冗余网。

1.2.4 维修机

实现车站站场显示和设备维修记录及查询，通过双路工业以太网与监控机通信。

2 CAN总线简介

CAN（ControllerAreaNetwork）即控制器局域网络，CAN总线是一种全数字化、多主和双向的现场总线。CAN总线数据通信具有抗干扰能力强、可靠性高、实时性好和灵活性强等特点。其短帧结构的传输报文特点可概括如下：每包数据由2～10个字节组成，第1字节是节点号，第2字节由功能码+RTR+DLC构成。功能码有3位，它与节点号一起构成11位标识码;RTR有1位，是远程发送请求位;DLC有4位，是CAN数据帧的长度表示位，数据长度允许0～8位。CAN通信采用广播方式，即由接收方决定数据的取舍，取舍的判决依据就是11位标识码。基于CAN总线的自身特点和计算机联锁系统对通信网络的基本需求，以及CAN总线在其他行业的广泛运用，CAN总线可以作为联锁系统的安全通信网络通道。

3 CAN总线故障-安全通信实现

通信网络的安全性取决于可靠性与故障安全性，其之间的关系可表示为：

A=P+Q（1-P） （1）

式中：A为网络安全性概率;P为网络可靠性概率;Q为故障安全概率。

由此可见，网络的安全性是由网络可靠性和故障安全性共同作用来决定的。CAN总线作为通用串行总线，尽管具有高可靠性，但不具有故障-安全的特性，总线内传递的数据信息也不具备安全性。鉴于计算机联锁系统故障-安全的特殊需求，需要在提高CAN总线可靠性的基础上，使CAN通信网络具有故障安全性，这样才能完全符合计算机联锁系统故障-安全的要求。本文采用以下几种措施以保证数据的安全传输。

3.1 报文按顺序编号

对于采集节点来说，每个运算周期发送的报文都会附加一个报文顺序号，顺序号设置为1～255，0为无效数据，报文的顺序号每周期加1，循环使用。对于驱动节点来说，每周期收到的报文顺序号和上周期的报文顺序号不同，则表明接收到新的报文，说明网络处于正常状态如果连续收到报文顺序号相同的数据包或在一定时间内收不到数据包则说明网络故障，接收节点对接收数据缓冲区的数据做故障—安全处理。

3.2 报文周期性错误检测

联锁机在一个查询周期内顺序地一次访问一个驱动/采集模块。请求发送现场设备的状态信息;只有联锁机收到该模块的有效应答后，才可以发送下一个模块的查询序列。如果联锁机没有收到模块的有效应答时，联锁机向该模块重发查询序列，并进行故障报告。因此周期性全体发送具有较好的实时性和连续性，在报文发生错误传输时接收节点能够及时接收到最新的数据报文，而不会导致数据丢失或数据延期接收。

3.3 报文附加循环冗余校验

循环冗余检查（CRC）是一种数据传输检错功能，对数据进行多项式计算，并将得到的结果附在帧的后面，接收设备也执行类似的算法，以保证数据传输的正确性和完整性。联锁系统报文传输中采用了国际标准中的CRC-16生成多项式：G（X）=X+X+X+1，作为主要校验方式而应用。在采集节点对有效的数据进行CRC校验，产生16位CRC校验码附加在发送的报文中，接收节点对接收到的有效数据进行CRC校验，如果产生的CRC校验码和附加在报文中CRC校验码相同则说明接收的报文正确，如果不同则做故障—安全处理。

3.4 报文数据冗余编码

在计算机联锁系统中，对于一个采集点或一个控制点来说，数据存在都是以位为单位来实现控制的。如继电器吸起用“1”来表示，落下用“0”来表示。在数据传输过程中，采用把位信息扩大到字节信息发送的方法可以有效提高数据传输的抗干扰性。选择两个码距最大的字节来表示“0”和“1”的位信息，在联锁系统数据传输中“0”用0x55表示，“1”用0xaa表示，在接收节点接收到0x55后则认为该点的信息为“0”，接收到0xaa后则认为该点的信息为“1”，其它的编码则认为无效数据，做故障—安全处理。

4 结论

二取二制式系统是一种新型的计算机联锁体系。本文所述的基于CAN总线的故障安全通信网络是在CAN总线高可靠性和安全性的基础上增加一些特殊措施实现的。经过在计算机联锁系统上的应用实践表明，联锁系统网络传输的安全性和可靠性得到了很大的提高。

参考文献：

[1]陈光武，范多旺，魏宗寿，等.基于二乘二取二的全电子计算机联锁系统[J].中国铁道科学，2010，4（31）：1001-4632.

[2]张新明，刘海祥，赵永清.二取二制式计算机联锁系统中的通信技术[J].中国铁道科学，2005（05）：96-100.

[3]张利峰.基于CAN总线的计算机联锁故障安全通信网络的设计[J].铁路通信信号工程技术，2005（05）：7-9+2.