張小松，張長春，李博健

（中車青島四方車輛研究所有限公司，山東青島，266031）

0 引言

目前軌道車輛核心控制系統(tǒng)主要包括：牽引輔助控制系統(tǒng)，網(wǎng)絡(luò)控制系統(tǒng)、制動控制系統(tǒng)等。這些系統(tǒng)是車輛控制的核心，隨著信息技術(shù)的發(fā)展，對這些系統(tǒng)的功能安全性、信息安全性、運(yùn)算性能、實時性等都提出了更高的要求。功能安全需要滿足歐洲電工標(biāo)準(zhǔn)化委員會（GENELEC）制定的相關(guān)標(biāo)準(zhǔn)[1]，信息安全必須基于國產(chǎn)自主可控的軟硬件產(chǎn)品，而運(yùn)算性能與實時性需要軟硬件自身性能的支撐。本文基于飛騰等國產(chǎn)芯片和國產(chǎn)翼輝操作系統(tǒng)，遵循EN50126《鐵路應(yīng)用：可靠性、可用性、可維護(hù)性與安全性（RAMS）規(guī)范和說明》[2]定義的要求，設(shè)計了一款列車專用安全計算機(jī)，滿足了軌道車輛核心控制系統(tǒng)控制器軟硬件自主可控及功能安全的需求，實現(xiàn)了列車牽引、網(wǎng)絡(luò)、制動等核心系統(tǒng)的控制功能。

1 系統(tǒng)方案

車載安全計算機(jī)采用國產(chǎn)芯片與國產(chǎn)操作系統(tǒng)設(shè)計，按照EN50129《鐵路應(yīng)用：鐵路控制系統(tǒng)領(lǐng)域的安全相關(guān)電子系統(tǒng)》[3]標(biāo)準(zhǔn)定義的SIL2安全等級要求進(jìn)行架構(gòu)設(shè)計。其系統(tǒng)框圖如圖1所示，主要包括主CPU與監(jiān)控CPU（FPGA）及系統(tǒng)外設(shè)三部分。電源、CPU、FPGA、存儲、通信等核心芯片均采用國產(chǎn)芯片，芯片國產(chǎn)化率達(dá)到90%以上，軟件采用國產(chǎn)翼輝實時操作系統(tǒng)保證系統(tǒng)的實時性與穩(wěn)定性。

圖1 車載安全計算機(jī)系統(tǒng)框圖

■1.1 CPU方案

車載安全計算機(jī)主CPU采用天津飛騰公司自主知識產(chǎn)權(quán)的FT-2000/4芯片，該芯片集成4個飛騰自主的新一代高性能處理器內(nèi)核FTC663，采用亂序四發(fā)射超標(biāo)量流水線，兼容64位ARMV8指令集并支持ARM64和ARM32兩種執(zhí)行模式。FT-2000/4從硬件層面增強(qiáng)了芯片的安全性，支持飛騰自主定義的處理器安全架構(gòu)標(biāo)準(zhǔn)PSPA，滿足更復(fù)雜應(yīng)用場景下對性能和安全可信的需求。FT-2000/4所有安全相關(guān)模塊均為飛騰公司自主設(shè)計，可在CPU層面有效支撐可信計算3.0標(biāo)準(zhǔn)。

該CPU具有豐富的外設(shè)接口，具有4組PCIe接口：兩路PCIeX16，兩路PCIeX1。其中PCIeX16可以拆分成兩路PCIeX8，因此可以最多掛載6個PCIe設(shè)備。本設(shè)計中CPU共掛有4個PCIe設(shè)備，分別是通過PCIeX4掛載NVME的硬盤；通過PCIeX1掛載GPU；通過PCIeX1掛載PCIe轉(zhuǎn)PCI橋片；通過PCIeX1掛載FPGA，并在背板連接器預(yù)留PCIe X4用于外設(shè)的擴(kuò)展。FT-2000/4集成兩路RGMII接口的MAC控制器，支持兩路千兆以太網(wǎng)通信。

■1.2 操作系統(tǒng)方案

車載安全計算機(jī)采用國產(chǎn)翼輝實時操作系統(tǒng)，該操作系統(tǒng)是翼輝信息公司設(shè)計的開源操作系統(tǒng)。該系統(tǒng)內(nèi)核自主化率達(dá)到 100% （依據(jù)工信部評估報告），擁有完全自主可控的技術(shù)能力，滿足國產(chǎn)化需求；支持 ARM、MIPS、PowerPC、x86、SPARC、DSP、RISC-V、C-SKY 等架構(gòu)處理器，支持主流國產(chǎn)通用處理器，如飛騰全系列、龍芯全系列。該系統(tǒng)具備硬實時內(nèi)核，調(diào)度算法先進(jìn)高效，性能強(qiáng)勁;SylixOS 支持對稱多處理器（SMP）平臺，并且具有實時進(jìn)程及動態(tài)加載機(jī)制，滿足安全功能。本設(shè)計在飛騰CPU上移植了SylixOS，并基于相應(yīng)外設(shè)開發(fā)了驅(qū)動程序，滿足了鐵路系統(tǒng)車載CPU的軟件要求。

■1.3 安全完整性方案

安全完整性等級，又稱SIL （Safety Integrity Level），是對系統(tǒng)所要求的安全完整性水平的一種定量指標(biāo)，是將安全完整性根據(jù)安全功能失效的頻率和產(chǎn)生的危險嚴(yán)重程度劃分成的等級。系統(tǒng)的安全完整性等級越高，則其安全功能失效的可能性就越小，安全完整性一般分為4個等級[4]。目前，城市軌道交通安全可靠性技術(shù)主要的參考標(biāo)準(zhǔn)是歐洲電工標(biāo)準(zhǔn)化委員會（CENELEC）制定的鐵路安全相關(guān)標(biāo)準(zhǔn)[1]。

EN50129[3]標(biāo)準(zhǔn)附錄E.4定義了實現(xiàn)功能安全需要的系統(tǒng)結(jié)構(gòu)。如果實現(xiàn)SIL2功能安全等級可以選擇“1OO1D”架構(gòu)，也即帶自檢和檢測的單電子結(jié)構(gòu)。該結(jié)構(gòu)能夠通過通過診斷電路進(jìn)行功能的診斷，并在發(fā)生問題時采取安全措施進(jìn)行導(dǎo)向安全的操作，這種“1OO1D”結(jié)構(gòu)由一個單一的電子結(jié)構(gòu)和與之獨(dú)立的監(jiān)視診斷電路組成，診斷電路對主處理電路的輸入采集、運(yùn)算、輸出進(jìn)行診斷，并能夠通過與主電路串聯(lián)的輸出結(jié)構(gòu)切斷主電路的輸出，保證整個功能電路的安全。

圖2 1OO1D結(jié)構(gòu)

如圖1所示，整個系統(tǒng)包括主CPU與監(jiān)控FPGA，主CPU是安全計算機(jī)的核心，是邏輯運(yùn)算的執(zhí)行主體，監(jiān)控FPGA實現(xiàn)對CPU各功能的監(jiān)視、診斷及安全措施的實施。FPGA與CPU間具有LBC總線、SPI總線、PCIe總線和GPIO。其中SPI用于CPU與FPGA間的生命信號傳輸。PCIe用于CPU邏輯數(shù)據(jù)與自身狀態(tài)寄存器的狀態(tài)的數(shù)據(jù)傳輸，以便FPGA對CPU內(nèi)部狀態(tài)進(jìn)行實時診斷。LBC總線用于FPGA對CPU相關(guān)配置功能參數(shù)傳輸。FPGA通過GPIO實現(xiàn)對CPU上電、斷電控制，在CPU發(fā)生異常時切斷CPU供電，保證安全。與此同時，各個PCIe設(shè)備的時鐘源來源于FPGA，當(dāng)發(fā)生異常時FPGA切斷PCIe總線通信，保證各個接口的通信安全。

2 硬件設(shè)計

車載安全計算機(jī)應(yīng)用于軌道車輛控制系統(tǒng)中，對于穩(wěn)定性與通用性具有較高要求，因此本CPU采用安全加固結(jié)構(gòu)，所有芯片采用焊接方式。該系統(tǒng)具有豐富的外設(shè)接口，保證了系統(tǒng)的擴(kuò)展性和通用性，尺寸為標(biāo)準(zhǔn)的3U結(jié)構(gòu)的CPCI板卡。

■2.1 電源設(shè)計

飛騰CPU與眾多CPU一致，具有多路電源軌，且每一路電源軌之間具有嚴(yán)格的時序要求。不同于傳統(tǒng)的工控機(jī)需要一片專用的電源芯片或CPLD控制電源時序，本板卡電源系統(tǒng)采用多片矽力杰的DC/DC芯片，監(jiān)控FPGA控制每一電源芯片的使能引腳,并根據(jù)每一電源芯片的PowerGood信號進(jìn)行各個電源軌的時間延時，從而完成CPU的上電時序。這樣既節(jié)省了CPLD又能通過FPGA實現(xiàn)對CPU的電源診斷功能，當(dāng)每一電源出現(xiàn)異常時，F(xiàn)PGA通過PowerGood信號診斷，并通過IO切斷所有電源的輸出，保證CPU導(dǎo)向安全側(cè)，通過其上電流程圖如圖3所示。

圖3 安全計算機(jī)上電流程圖

■2.2 DDR設(shè)計

飛騰CPU支持兩個DDR的訪問通道，每個通道包含64個數(shù)據(jù)位和8個ECC校驗位，本設(shè)計采用9片紫光國芯的512MB的DDR3芯片，其中8片用作數(shù)據(jù)存儲，1片用作ECC校驗。這樣整個CPU可用內(nèi)存達(dá)到4GB，并且具有ECC校驗。ECC（Error Checking and Correcting）是在數(shù)據(jù)位上額外的位存儲一個用數(shù)據(jù)加密的代碼。當(dāng)數(shù)據(jù)被寫入內(nèi)存，相應(yīng)的ECC代碼與此同時也被保存下來。當(dāng)重新讀回剛才存儲的數(shù)據(jù)時，保存下來的ECC代碼就會和讀數(shù)據(jù)時產(chǎn)生的ECC代碼做比較。如果代碼不一致，他們則會被解碼，以確定數(shù)據(jù)中的哪一位是不正確的。然后這一錯誤位會被拋棄，內(nèi)存控制器則會釋放出正確的數(shù)據(jù)。

這樣的采用ECC的DDR可以充分保障數(shù)據(jù)操作的準(zhǔn)確性和安全性，能夠達(dá)到SIL2安全等級中對數(shù)據(jù)存儲的安全需求。

■2.3 CPU存儲設(shè)計

傳統(tǒng)的工控機(jī)一般采用SATA接口的機(jī)械硬盤或電子盤，其中機(jī)械硬盤不適合軌道交通多振動沖擊的應(yīng)用場景，而SATA接口的電子盤接口尺寸不滿足軌道交通控制器結(jié)構(gòu)緊湊的要求，因此采用國產(chǎn)M.2接口的固態(tài)盤，通過CPU的PCIE接口直接與其通信，這樣既保證了集成度又保證了數(shù)據(jù)存儲的讀寫速度。

■2.4 CPU外部接口設(shè)計

該安全計算機(jī)具有豐富的外部接口設(shè)計，能夠滿足軌道車輛控制系統(tǒng)的多種應(yīng)用場景。具有兩路千兆以太網(wǎng)，通過前面板M12連接器引出，兩路以太網(wǎng)采用CPU內(nèi)置MAC，并采用國產(chǎn)裕太車通千兆PHY芯片。該系統(tǒng)具有VGA接口，飛騰CPU通過PCIe掛載國產(chǎn)GPU，并將GPU的VGA接口引出至前面板DB15連接器。安全計算機(jī)具有一路RS232和一路RS485，兩路均通過前面板的DB9引出。背板具有標(biāo)準(zhǔn)的PCI總線，通過PCI總線CPU可以擴(kuò)展外部設(shè)備，該P(yáng)CI總線通過PCIe轉(zhuǎn)PCI橋片實現(xiàn)。背板還具有兩路CAN總線，CAN總線利用FT2000/4自帶的控制器，并采用國產(chǎn)芯力特CAN收發(fā)器實現(xiàn)。

表1 安全計算機(jī)外設(shè)接口表

3 CPU軟件設(shè)計

整個CPU軟件采用翼輝實時操作系統(tǒng)，該系統(tǒng)在啟動及運(yùn)行中通過調(diào)用系統(tǒng)級的寄存器進(jìn)行狀態(tài)的實時自檢，并且將狀態(tài)位通過PCIe傳輸給FPGA進(jìn)行診斷，如果一旦發(fā)生診斷錯誤FPGA會進(jìn)行系統(tǒng)級的安全導(dǎo)向。

按照EN50128[5]附表A.3之要求，安全通信協(xié)議需要增加檢錯誤碼，以此來防范數(shù)據(jù)傳輸錯誤帶來的風(fēng)險。各個有安全需求的外設(shè)，以太網(wǎng)、CAN總線、RS485等，采用安全通信協(xié)議，在應(yīng)用層增加數(shù)據(jù)序列號，時間戳，CRC校驗，保證數(shù)據(jù)傳輸?shù)陌踩?，達(dá)到SIL2通信安全要求。下表為數(shù)據(jù)傳輸風(fēng)險與對應(yīng)防范措施的對照表2。所有的安全通信協(xié)議發(fā)生表2的錯誤后，CPU通過PCIe把對應(yīng)的狀態(tài)寄存器置位，F(xiàn)PGA檢測相應(yīng)的錯誤寄存器，在發(fā)生數(shù)據(jù)通信異常時，F(xiàn)PGA通過切斷對應(yīng)芯片接口芯片電源或切斷時鐘的方式保證安全通信。

表2 數(shù)據(jù)傳輸風(fēng)險與對應(yīng)防范措施

4 總結(jié)

本文設(shè)計的基于國產(chǎn)芯片與國產(chǎn)實時操作系統(tǒng)的安全計算機(jī)實現(xiàn)了軌道車輛核心控制系統(tǒng)的自主可控，并填補(bǔ)了國內(nèi)基于國產(chǎn)芯片與系統(tǒng)的安全計算機(jī)的空白，該CPU已經(jīng)應(yīng)用于軌道車輛牽引、網(wǎng)絡(luò)、制動等核心控制器，實踐證明該控制器具有優(yōu)良的性能，較好的擴(kuò)展能力，在實時性要求高、可靠性要求高的場合具有優(yōu)異的表現(xiàn)?；赟IL2的安全構(gòu)架，具有良好的安全性能，能夠大幅提高系統(tǒng)的安全性，保證核心系統(tǒng)的安全可用。