CN117978573A

CN117978573A - 一种工程机械用功能安全现场总线通信方法

Info

Publication number: CN117978573A
Application number: CN202311756006.7A
Authority: CN
Inventors: 孟贺; 冯斌; 刘雷
Original assignee: Jiangsu XCMG Guozhong Laboratory Technology Co Ltd
Current assignee: Jiangsu XCMG Guozhong Laboratory Technology Co Ltd
Priority date: 2023-12-19
Filing date: 2023-12-19
Publication date: 2024-05-03

Abstract

本发明公开了一种工程机械用功能安全现场总线通信方法，属于机械现场通信领域，包括：发送方实时获取主机数据帧，组成发送的数据帧，发送的数据帧中包括两个完全一致的数据子帧；对发送的数据帧进行数据处理，获得数据拆装与重组的发送数据并向接收方发送；接收方实时接收数据并对接收数据进行数据完整性判断，确定无传输错误的接收数据；基于无传输错误的接收数据进行交叉校验，确定数据中的子帧数据是否为安全数据帧；对安全数据帧数据进行发送与接收的时间戳对比，确定有效数据帧并执行；本发明的通信方法能够解决CAN总线通信过程中数据帧传输的多种错误问题，实现了具有较高功能安全等级的电气控制系统安全总线通信，并具备可操作性强的特点。

Description

一种工程机械用功能安全现场总线通信方法

技术领域

本发明属于机械现场通信技术领域，具体涉及一种工程机械用功能安全现场总线通信方法。

背景技术

现场总线通信是工程机械产品电气控制系统的关键技术之一，总线是电气控制系统中设备间进行通信的通道，总线技术具有协议简单、成本低、安装方便、容错能力强等优点，可以在电气控制系统和外部设备间高速高效地传输大量数据，能够满足电气控制系统对高速高精度的控制要求。随着系统安全性能需求的不断提高，要求电气控制系统及相关设备具有安全功能，实现对人员、设备及环境的保护，减少安全事故的发生，确保工程机械产品的高效、安全地运行。

现有的现场总线通信技术在实际应用中受机械现场干扰常常出现数据错误、意外重发、不正确的序列、丢失、不可接受的延时、插入、伪装、寻址等总线通信的多种常见通信错误问题，虽然也采用一些现有技术进行改进，如故障上报和CAN报文校验对数据帧进行校验，以及利用序列号、时间戳和CRC实现功能安全，利用加密和数据完整性校验手段，此外还有部分企业为了解决上述问题采用大量自主研发硬件设备及对应数据一致性校验算法，但是以上现有技术均存在适应性不高、数据帧的校验限制大，安全性能等级计算、总剩余错误率计算等功能安全方面性能依然不高，不具有广泛的推广前景。

发明内容

发明目的：为了克服现有技术中的不足，本发明提供一种工程机械用功能安全现场总线通信方法，通过本发明的通信方法对CAN总线通信过程进行设计，解决数据错误、意外重发、不正确的序列、丢失、不可接受的延时、插入、伪装、寻址等总线通信的八种错误问题，实现了具有较高功能安全等级的电气控制系统安全总线，可操作性强，具有广泛的推广前景。

技术方案：第一方面本发明提供一种工程机械用功能安全现场总线通信方法，包括：

发送方实时获取主机数据帧，组成发送的数据帧；

对发送的数据帧进行数据处理，获得数据拆装与重组的发送数据并向接收方发送；

接收方实时接收数据并对接收数据进行数据完整性判断，确定无传输错误的接收数据；

基于无传输错误的接收数据进行交叉校验，确定数据中的子帧数据是否为安全数据帧；

对安全数据帧数据进行发送与接收的时间戳对比，确定有效数据帧并执行。

在进一步的实施例中，发送方实时获取主机数据帧，组成发送的数据帧中包括两个完全一致的数据子帧。

在进一步的实施例中，对发送的数据帧进行数据处理，获得数据拆装与重组的发送数据的方法包括：

根据预设的字节位阈值分别判断数据子帧的数据长度，确定发送模块对数据子帧进行分包处理或发送模块直接发送；发送模块并对数据场部分进行划分，获得拆装的数据子帧；

判断分包处理且拆装的数据子帧，确定补全数据包后发送至发送模块或直接发送至发送模块。

在进一步的实施例中，根据预设的字节位阈值分别判断数据子帧的数据长度，确定发送模块对数据子帧进行分包处理或发送模块直接发送数据子帧的方法包括：

当数据子帧小于或等于字节位阈值下限时，不进行分包处理，发送模块直接发送数据子帧；

当数据子帧大于字节位阈值下限且小于或等于上限时进行分包处理，获得分包后的数据包。

在进一步的实施例中，发送模块并对数据场部分进行划分，获得拆装的数据子帧包括：

对直接发送的数据子帧和分包后的数据包进行数据场的区别划分，其中，直接发送的数据子帧中，数据场包括：序列编号、时间戳、数据区；分包后的数据包，第一个数据包中，数据场分为序列编号、时间戳、CRC15；第二个至最后一个数据包中，数据场分为序列编号、数据区；

序列编号的区域长度为1Bytes，数值范围为0～255，序列编号用于发送数据的分包编号处理，为每个数据包分配一个序列号，连续发送的数据包之间的序列编号为加一关系；

时间戳区域记录了数据帧发起的时间，用于数据帧的超时判断。

在进一步的实施例中，判断分包处理且拆装的数据子帧，确定补全数据包后发送至发送模块或直接发送至发送模块的方法包括：

根据预设字节位判断分包后且拆装的数据子帧的数据包，确定需要补齐的数据包；

若分包后的数据包小于预设字节位，则确定需要补齐的数据包，并以FF16补齐数据包的空余字节位，直至最后一个数据包补齐时，发送至发送模块用于向接收方发送；

若分包后的数据包大于或等于预设字节位，则无不存在补齐的数据包直接发送至发送模块用于向接收方发送。

在进一步的实施例中，发送模块用于向接收方发送的方法包括：

接收数据子帧分包处理后的数据包组和直接发送的数据子帧；

将接收的数据包组按照序列编号的顺序重新组合成一串，根据时间戳发送至对应的应用模块处理为长数据；并使用CAN协议产生发送方CRC校验码；长数据的数据域存储有CRC校验码，用于与长数据同时传输；

对接收的数据子帧使用CAN协议，生成包含发送方CRC校验码和数据子帧的发送数据；

基于发送数据中两个完全一致的数据子帧，同时发送两个数据完全一致的报文安全因子PDU，用于现场总线的报文发送。

在进一步的实施例中，接收方实时接收数据并对接收数据进行数据完整性判断，确定无传输错误的接收数据的方法包括：

接收方通过接收模块接收数据后，根据接收数据重新产生一个接收方CRC校验码；

根据接收方CRC校验码对比发送方CRC校验码，判断校验值相同是否相同；

根据相同的校验值，确定无传输错误的接收数据；

其中，判断校验值相同将接收方CRC校验码、发送方CRC校验码基于CRC的残余错误率计算函数，确定校验值相同。

在进一步的实施例中，基于无传输错误的接收数据进行交叉校验，确定数据中的子帧数据是否为安全数据帧的方法为：

解析无传输错误的接收数据，确定来自两个安全通信通道的报文；

分别对两个安全通信通道的报文经过安全检测并进行交叉校验，并确定无出错的数据子帧存在的数据帧为安全数据帧；

其中，安全数据帧中地址信息中加入有标识号位置，标识号位置与发送方站点关联用于安全检测，仅目标发送方站点的标识号位置，才会被接收方响应并处理；

将两个安全通信通道的报文所关联的参量分别代入交叉冗余计算；

对安全数据帧依次进行数据完整性残余错误率计算、真实性残余错误率计算、时效性残余错误率计算、伪装残余错误率计算、总残余错误率计算，验证数据帧是否有无出错的数据子帧存在。

在进一步的实施例中，对安全数据帧数据进行发送与接收的时间戳对比，确定有效数据帧的方法包括：

根据安全数据帧分别提取出发送数据区内的时间戳和接收数据区内的时间戳；

根据预设差值阈值对比发送数据区内的时间戳和接收数据区内的时间戳，确定有效数据帧并执行。

有益效果：本发明与现有技术相比具有以下优点：

通过本发明的通信方法对CAN总线通信过程进行设计，解决数据错误、意外重发、不正确的序列、丢失、不可接受的延时、插入、伪装、寻址等总线通信的八种错误问题，

依据现有电气设计标准，结合工程机械产品相关的安全要求，在现有协议栈和物理层的基础上，参照CAN总线进行研究与设计，实现了具有较高安全等级的电气控制系统安全总线，可操作性强，具有广泛的推广前景。

附图说明

图1为本发明中总线通信方法的流程示意图；

图2为本发明中总线安全数据帧设计示意图；

图3为本发明中发送数据data(data≤2Bytes)时数据场对应数据位示意图；

图4为本发明中发送数据data(2＜data≤64Bytes)时数据场对应数据位示意图；

图5为本发明中发送数据拆装重组逻辑示意图；

图6为本发明中连接认证逻辑示意图；

图7为本发明中数据提取与校验逻辑示意图；

图8为本发明总线通信数据处理的设计逻辑示意图；

图9为不同CRC在指定海明距离下所能检测的最大位长度。

具体实施方式

为了更充分理解本发明的技术内容，下面结合具体实施例对本发明的技术方案进一步介绍和说明，但不局限于此。

结合图1至图8进一步说明本发明的工程机械用功能安全现场总线通信方法，包括：

发送方实时获取主机数据帧，组成发送的数据帧；

优选的，发送方实时获取主机数据帧，组成发送的数据帧中的每个安全数据帧中包含两个完全一致的子帧，实现了对数据帧的全冗余。

优选的，对发送的数据帧进行数据处理，获得数据拆装与重组的发送数据的方法包括：

判断分包处理且拆装的数据子帧，确定补全数据包后发送至发送模块或直接发送至发送模块；

进一步的，根据预设的字节位阈值分别判断数据子帧的数据长度，确定发送模块对数据子帧进行分包处理或发送模块直接发送数据子帧的方法包括：

当数据子帧大于字节位阈值下限且小于或等于上限时进行分包处理，获得分包后的数据包，本实施例中的字节位阈值为2Bytes-64Bytes。

发送模块并对数据场部分进行划分，获得拆装的数据子帧包括：

时间戳区域记录了数据帧发起的时间，用于数据帧的超时判断，本实施例中设计的安全通信协议是基于点对点主从通信模式，假设主机和从机之间的通信周期100ms，可以设置时间预期窗口为95ms～105ms。

对从机而言，接收完主机发送的一组安全通信报文顿后开启时间窗计时器，如果从机接收到主机发送的下一帧安全通信报文帧在设置的时间窗口内则认为通信正常，否则认为通信异常。对主机而言，主机发送完一帧安全通信报文帧后，开启时间窗口计时器，如果主机在设置的时间窗口(95ms～105ms)内未接收到从机发送的安全通信报文帧则表明通信失败，否则认为通信正常。

CRC校验的是根据“时间戳+发送数据data”数据生成的循环冗余校验，确保数据传输过程中的完整性，因此在消息中包含元余数据，以便通过冗余检查检测数据损坏。

本实施例中按照发送数据长度，对数据帧中的数据场部分进行以下划分：

发送数据data(data≤2Bytes)时，数据场分为“序列编号+时间戳+数据区”；

发送数据data(2＜data≤64Bytes)时，对数据进行拆装数据包组的处理。

第一个数据包中，数据场分为“序列编号+时间戳+CRC15”。第2～n(n≥3)个数据包中，数据场分为“序列编号+数据区”，序列编号以预先设定的方式在相邻消息之间变化区域长度为1Bytes，数值范围为0～255，序列编号主要用于发送数据的分包编号处理；该方法为每个数据包分配一个序列号，可以每发一次数据包，将序列号加一。避免通信过程中产生报文重发、不正确的序列、丢失或插入错误。

判断分包处理且拆装的数据子帧，确定补全数据包后发送至发送模块或直接发送至发送模块的方法包括：

若分包后的数据包大于或等于预设字节位，则无不存在补齐的数据包直接发送至发送模块用于向接收方发送；本实施例中的预设字节位为7Bytes，当存在不足7Bytes的数据包，以FF16补齐该数据包的空余字节位。

优选的，发送模块用于向接收方发送的方法包括：

基于发送数据中两个完全一致的数据子帧，同时发送两个数据完全一致的报文安全因子PDU，用于现场总线的报文发送，本实施例在不同的时间利用不同的报文将安全PDU发送到相同的现场总线上，来自两个安全通信通道的报文要分别经过安全检测并进行交叉校验，以此来检测子帧数据是否出错。

优选的，接收方实时接收数据并对接收数据进行数据完整性判断，确定无传输错误的接收数据的方法包括：

根据相同的校验值，确定无传输错误的接收数据；

其中，判断校验值相同将接收方CRC校验码、发送方CRC校验码基于CRC的残余错误率计算函数，确定校验值相同；基于CRC的残余错误率计算的表达式为：

式中，r为安全通信报文帧CRC校验码比特数，d_min为最小海明距离，n为安全通信报文帧PDU的总比特数，P_e为比特错误概率，本发明设计的安全通信数据帧数据块长度在1Byte～64Bytes之间。根据公式1计算CRC多项式的残余错误概率时需要求得CRC多项式在数据传输块长度为16字节和64字节时最小海明距离d_min，本发明基于CAN通信协议，沿用CAN中的CRC设计值15。

本协议采用的CRC15多项式参照IEE802.3标准提供的多项式如下：

G(x)＝x¹⁵+x¹⁴+x¹⁰+x⁸+x⁷+x⁴+x³+x⁰

根据图9可知，64字节时最小海明距离d_min＝6

本发明是基于1EC61784-3附录A中模型C，这意味着在安全报文的双重传输并在接收方内逐字位比较情况下，未发现错误的前提条件是两个报文的损坏是相同的。CRC多项式的残余错误概率可以通过的公式1进行计算。在这种情况下，每个报文内特定的比特错误组合的概率是相同的，因此，公式1应被平方，得到以下计算公式：

式中，r为安全通信报文帧附CRC校验码比特数，d_min为最小海明距离，n-PDU的总比特数，P_e为比特错误概率，r为15，P_e为6；安全通信报文帧长度n为最大值64字节(64x 8＝512bit)，.代入公式2得到CRC15的残余错误率为：

R_CRC(P_e)≈2.85823×10^-20。

基于无传输错误的接收数据进行交叉校验，确定数据中的子帧数据是否为安全数据帧的方法为：

本实施例主机地址和从机地址分别占用1个字节，共两个字节，主机的地址为OxFF，从机的地址为0x00。对主机而言，若接收到从机安全通信报文帧PDU1中发送地址为0x00且目的地址为0xFF；同样PDU2中发送地址为0x00且目的地址为0xFF，则认为本次接收到的报文未出现非预期的报文插入、寻址错误、报文伪装错误。

将两个安全通信通道的报文所关联的参量分别代入交叉冗余计算。

数据完整性残余错误率RR_I计算具体为：

根据IEC61784-3附录F可知，数据完整性残余错误率RR_I的计算公式为：

RR_I＝RP_I×V×RP_U×RP_FSCP (3)

式中，RR_I为数据完整性的残余错误率，RP_I为数据完整性的残余错误概率，V为每小时SCL对SPDU采样的最大数量(采样率)。RP_U为其他惟-性字段的残余错误概率，RP_FSCP-FSCP为独有的其他措施的残余错误概率假设发送器和接收器之间的通讯周期为100ms，因此每小时通讯的数量V＝3600×10＝36000，RP_I数据完整性残余错误概率即上面计算的R_CRC(P_e)的值，RP_U和RP_FSCP选用最大值1，代入公式3可计算出数据完整性残余错误率RP_I：

RP_I＝2.85823×10^-20×36000×1×1＝1.02896×10^-15。

真实性残余错误率RR_A的具体计算过程为：

根据IEC61784-3附录F可知，真实性残余错误率RR_A的计算公式为：

RR_A＝RP₁×2^-LA×R_A×RP_FSCP (4)

式中，RR_A为真实性残余错误率，RP_I为数据完整性的残余错误概率，LA为连接认证的比特长度，R_A为方向错误安全PDU的错误概率，RP_FSCP-FSCP独有的其他措施的残余错误概率，LA为16，R_A按照标准选用最严苛的条件10^-3/h，RP_FSCP选用最大值1，代入公式4计算得到真实性残余错误率：

RR_A＝2.85823×10^-20×2^-16×10^-3＝4.36×10^-28。

时效性残余错误率RR_T的具体计算过程为：

根据IEC61784-3附录F可知时效性残余错误率RR-的计算公式为：

RR_T＝2^-LT×w×R_T×RP_FSCP (5)

式中，RR_T为时效性残余错误率，LT为序列号的比特长度，w为接收安全PDU时可接受的时间戳或序列号的取值范围，R_T为安全PDU不正确序列发生的概率，RP_FSCP-FSCP独有的其他措施的残余错误概率，LT占据3字节数据即24位，w取值为1，R_T按照标准取值为10^-3/h，RP_FSCP选用最大值1，代入公式5中计算得到时效性残余错误率为：

RR_T＝2^-24×1×10^-3×1＝5.96×10^-11。

伪装残余错误率RR_M的具体计算过程为：

根据IEC61784-3附录F可知伪装残余错误率RR_M的计算表达式为：

RR_M＝2^-LA×2^-LT×w×2^-r×RP_u×2^-LR×R_M (6)

式中，RR_M为伪装残余错误率，LA为连接认证的比特长度，LT为序列号的比特长度，W为接收安全PDU时可接受的时间戳或序列号的取值范围，r为安全通信报文帧附CRC校验码比特数，RP_U为其他唯一-性字段的残余错误概率，LR-PDU中重复部分的比特长度，R_M-PDU出现伪码的发生概率，RP_U选用最大值1，LR为0，R_M按照标准取值为10^-3/h，代入公式6中计算得到伪装残余错误率为：

RP_M＝2^-16×2^-8×1×2^-15×1×2⁰×10^-3＝2.78×10^-20。

总残余错误率的具体计算过程为：

安全通信通道的总残余错误率是单个残余错误率RR_I、RR_A、RR_T和RR_M的总和，计算公式为：

λ_SC＝RR_I+RR_A+RR_T+RR_M (7)

式中将上面的计算结果代入公式7中可计算得出总的残余错误率为：

λ_SC＝5.96057×10^-11；

根据IEC61784-3附录F.1残余错误率与SIL的典型关系表如表1所示λ_SC小于10^-10/h，本发明设计的方法满足SIL4要求。

表1

优选的，对安全数据帧数据进行发送与接收的时间戳对比，确定有效数据帧的方法包括：

综上所述，本发明的设计依据IEC61784-3：2017标准，结合工程机械产品相关的安全要求，在现有协议栈和物理层的基础上，参照CAN总线进行研究与设计，能够解决数据错误、意外重发、不正确的序列、丢失、不可接受的延时、插入、伪装、寻址等总线通信的八种错误问题，

本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims

1.一种工程机械用功能安全现场总线通信方法，其特征在于，包括：

发送方实时获取主机数据帧，组成发送的数据帧；

2.根据权利要求1所述的工程机械用功能安全现场总线通信方法，其特征在于，发送方实时获取主机数据帧，组成发送的数据帧中包括两个完全一致的数据子帧。

3.根据权利要求1所述的工程机械用功能安全现场总线通信方法，其特征在于，对发送的数据帧进行数据处理，获得数据拆装与重组的发送数据的方法包括：

4.根据权利要求3所述的工程机械用功能安全现场总线通信方法，其特征在于，根据预设的字节位阈值分别判断数据子帧的数据长度，确定发送模块对数据子帧进行分包处理或发送模块直接发送数据子帧的方法包括：

5.根据权利要求3所述的工程机械用功能安全现场总线通信方法，其特征在于，送模块并对数据场部分进行划分，获得拆装的数据子帧包括：

对直接发送的数据子帧和分包后的数据包进行数据场的区别划分，其中，直接发送的数据子帧中，数据场包括：序列编号、时间戳、数据区；分包后的数据包，第一个数据包中，数据场分为序列编号、时间戳、CRC15；第二个至最后一个数据包中，数据场分为序列编号、数据区。

6.根据权利要求1所述的工程机械用功能安全现场总线通信方法，其特征在于，判断分包处理且拆装的数据子帧，确定补全数据包后发送至发送模块或直接发送至发送模块的方法包括：

7.根据权利要求6所述的工程机械用功能安全现场总线通信方法，其特征在于，发送模块用于向接收方发送的方法包括：

8.根据权利要求1所述的工程机械用功能安全现场总线通信方法，其特征在于，接收方实时接收数据并对接收数据进行数据完整性判断，确定无传输错误的接收数据的方法包括：

根据相同的校验值，确定无传输错误的接收数据；

9.根据权利要求1所述的工程机械用功能安全现场总线通信方法，其特征在于，基于无传输错误的接收数据进行交叉校验，确定数据中的子帧数据是否为安全数据帧的方法为：

解析无传输错误的接收数据，确定为来自两个安全通信通道的报文；

10.根据权利要求1所述的工程机械用功能安全现场总线通信方法，其特征在于，对安全数据帧数据进行发送与接收的时间戳对比，确定有效数据帧的方法包括：