全电子计算机联锁系统中通信协议方案及安全性分析
郭杰
摘 要:全电子计算机联锁系统在实际应用过程中,需要全电子执行单元与联锁主机结合,但两者在结合中存在通信协议选择及通信协议安全性等问题,某种程度上阻碍了全电子计算机联锁系统的推广。文章通过分析全电子计算机连锁系统结构及工作原理、联锁主机与控制模块间的信息传输,重点设计了全电子计算机联锁系统中通信协议,实现了通信协议的安全性分析与计算,为全电子计算机联锁系统的广泛应用提供参考。
关键词:全电子计算机联锁系统;信息传输;通信协议;安全性计算
全电子计算机联锁系统由于取消了传统的重力式安全继电器,可维护性明显提升[1],控制室占地面积缩减,施工工作量大大减少,是目前我国铁路信号控制系统发展的重要趋势。全电子计算机联锁系统在轨道交通中的应用,能够有效提升轨道交通运营的安全性、智能性和高效性,减少轨道交通运营成本。通过对全电子计算机联锁系统通信协议方案探讨,进行通信协议安全计算,可为全电子计算机联锁系统的广泛应用提供科学依据。所以,本研究无论是对于轨道交通的发展,还是该系统在更多领域的应用都具有重要价值。
1 全电子计算机联锁系统
1.1 联锁系统结构
传统的信号控制方法存在着维修不便、占地面积大、机械使用时间短等弊端。在当今科技飞速发展的环境下,新的全电子计算机联锁系统取消了重力继电器,利用电子开关技术、通信技术等控制铁路信号,有效提升了信号控制与数据传输的科学性与准确度。全电子计算机联锁系统包括联锁主机和全电子执行单元两部分。联锁主机的任务是进行联锁逻辑运算;全电子执行单元由若干执行机柜组成,其任务是进行转辙机、信号机、轨道电路等室外设备的控制和状态采集,根据被控设备的不同,全电子执行单元包含11种控制模块[2]。
1.2 联锁系统工作原理
全电子计算机联锁系统工作原理就是命令—执行与信息反馈,如图1所示。由电子计算机上位机发出命令,继而借助于联锁机将命令信息传输到电子执行单元。同时,电子单元采集室外设备信息,再借助于连锁机进行信息处理,将处理后的信息传输到上位机,维修人员通过显示存储内容了解设备的机械故障,有效缩减了故障排查时间,提高了工作效率。
1.3 联锁主机与控制模块间的信息传输
控制模块的运行通过联锁主机下发命令来实现,从而对整个轨道系统进行控制。控制模块一般包括信号机模块、转辙机模块、轨道电路模块,如信号机模块,列车信号机模块有8个灯位,每个灯位都存在灭灯、闪灯、稳定灯3种状态。连锁机下达相应的命令,信号机模块据此实现对各灯位的有效控制,实现列车安全稳定运行。
2 通信協议方案分析
全电子计算机联锁系统对安全性、实时性要求较高,安全性能需达到安全完整性等级(Safety Integrity Level,SIL)4级,系统工作周期不超过250 ms,本文设计通信协议方案如下。
(1)联锁主机与全电子执行单元各控制模块间的通信通过控制器局域网络(Controller Area Network,CAN)总线实现,波特率为500 kbit/s。从CAN总线负载与可靠性角度分析,每条CAN总线子网对执行机柜的通信控制不得超过2个,子网布置最多不超过3个。系统中CAN总线选择呼叫应答方式,系统访问周期应控制在250 ms之内,也就是说联锁主机需在250 ms内向整个网络各控制模块发送1次及以上命令帧。
(2)在命令帧和状态帧中设置8 bit的源地址(联锁主机地址)和16 bit的目标地址(控制模块地址),设置4 bit长度的报文类型码。在命令帧中,设置8 bit的帧序列号,控制模块需要记录接收到的帧序列号,若本次接收的帧序列号比上次小,意味着帧顺序有误,若相等,意味着重发错误[3]。
(3)命令帧和状态帧中的应用数据均设为3个字节。命令帧和状态帧均选择32位CRC校验码,校验范围为CAN数据帧中每帧的报文头和安全校验域。
(4)控制模块通过比较本次与上次接收命令的时间差异判断通信情况,每个控制模块连续10帧收到错误报文时,输出安全侧状态,1小时内共收到100帧错误报文时,输出安全侧状态。联锁主机在1小时内共收到1 000帧错误报文时,整个系统输出安全侧命令[4]。
(5)每个控制模块连续10帧收到错误报文时,输出安全侧状态,1小时内共收到100帧错误报文时,输出安全侧状态。联锁主机在1小时内共收到1 000帧错误报文时,整个系统输出安全侧命令。由此得到本文设计的全电子计算机联锁系统通信协议方案如表1所示。
3 通信协议的安全性分析与计算
在依据上述通信协议传输信息的过程中,如果出现信息传输错误且未被有效检出,便会出现错误输出。经综合考量,本系统一般会在3种情况下出现信息传输错误:(1)CAN总线硬件失效造成的报文损坏;(2)外部环境对CAN总线干扰造成的报文损坏;(3)CAN总线编码校验器损坏,这时,各损坏的报文均可能被发送到控制模块或联锁主机[5]。
若设N1为系统通信子网最大值;N2为各通信子网中控制模块数量最大值;k为各控制模块在1小时内接收的错误命令帧的最大值;NM为系统在1小时内输出安全侧前收到最大错误帧数量。在每个控制模块1小时共收到100帧错误报文时NM值最大,且NM=N1N2k=3×64×100=1.9×104。
3.1 CAN总线硬件故障造成的错误失效率
每条CAN总线硬件故障造成的错误失效率RH1=mNM RHWpUS。其中,m表示安全余量,RHW表示CAN总线的硬件失效率,pUS表示安全编码不能检测出错误报文的概率。若令m=5,NM=1.9×104,RHW=10-5,pUS=2-32=2.3×10-10,则有RH1=2.2×10-10。
3.2 外部环境对CAN总线干扰造成的错误失效率
外部环境干扰造成的错误失效率RH2=pUTpUS NM。其中,pUT表示CAN总线自带的12位的循环冗余校验码(Cyclic Redundancy Check,CRC)码不能检测出错误报文的概率。由此保守估计得到,RH2≤pUS NM=4.4×10-5。
3.3 CAN总线编码校验器损坏造成的错误失效率
CAN总线编码校验器损坏造成的错误失效率RH3=pUS/T,其中,T表示连续接收规定数量的损坏报文转入安全状态的时间。由上述通信协议设计方案得到,T=250 ms×10=7.0×10-4 h,由此得到RH3=3.3×10-7。
4 结语
综上所述,全电子计算机联锁系统通信协议与安全性研究,在系统设信息传输中具有重要作用,对于提升系统应用的安全性与科学性具有重要意义。本文结合全电子计算机连锁系统结构及工作原理、联锁主机与控制模块间的信息传输特征,设计的全电子计算机联锁系统中通信协议,通过安全性计算结果验证了该协议的全电子计算机联锁系统在实际应用中的安全可靠性。
[参考文献]
[1]谢林,杨扬.全电子计算机联锁信号控制模块设计[J].铁道通信信号,2016(9):8-11.
[2]韩江龙.基于全电子计算机联锁的道岔控制监测模块设计[D].成都:西南交通大学,2015.
[3]王瑞峰,刘涛,李滢.区域计算机联锁系统站间安全通信协议的设计与分析[J].铁道学报,2015(3):59-63.
[4]苏思琦.全电子计算机联锁系统信号模块安全性分析[D].兰州:兰州交通大学,2013.
[5]张鑫.全电子联锁中联锁机和通信机间安全通信协议的研究[D].成都:西南交通大学,2012.