列車控制與監(jiān)視系統(tǒng)的功能安全通信研究與分析

李洋濤，喬恩，李小勇，鄭斌，閆迷軍2,，夏好廣

（1 中國鐵道科學(xué)研究院集團有限公司 機車車輛研究所，北京 100081；2 動車組和機車牽引與控制國家重點實驗室，北京 100081；3 北京縱橫機電科技有限公司，北京 100094）

列車控制與監(jiān)視系統(tǒng)是現(xiàn)代軌道車輛的關(guān)鍵系統(tǒng)之一，系統(tǒng)的功能安全是列車安全穩(wěn)定運行的重要保障。隨著網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展，軌道車輛信息化程度不斷提高，列車控制與監(jiān)視系統(tǒng)逐漸開始承載安全相關(guān)的控制功能，如方向控制、常用制動、超速防護(hù)等。通信功能作為列車控制與監(jiān)視系統(tǒng)的關(guān)鍵功能之一，構(gòu)建涉及安全功能的通信通道，實現(xiàn)安全數(shù)據(jù)的傳輸，是列車控制與監(jiān)視系統(tǒng)實現(xiàn)所承擔(dān)安全功能的必要環(huán)節(jié)［1］。

在列車網(wǎng)絡(luò)中采用安全協(xié)議作為系統(tǒng)整體功能安全的重要保障，也已成為行業(yè)發(fā)展的共識。列車網(wǎng)絡(luò)采用MVB 總線或者以太網(wǎng)等通信技術(shù)，需要結(jié)合功能安全的理念對其進(jìn)行安全性分析、研究和設(shè)計，從而達(dá)到網(wǎng)絡(luò)系統(tǒng)承載的功能安全要求［2］。

1 列車網(wǎng)絡(luò)通信風(fēng)險分析

IEC 61508 標(biāo)準(zhǔn)［3］為電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全提供指導(dǎo)，其中典型的安全相關(guān)系統(tǒng)如圖1 所示，包含有傳感器、可編程電子系統(tǒng)、通信系統(tǒng)及執(zhí)行機構(gòu)，通信系統(tǒng)的功能安全是整體功能安全的重要組成部分。在IEC 61784《現(xiàn)場總線功能安全通信》標(biāo)準(zhǔn)［4］中進(jìn)一步規(guī)定，通信系統(tǒng)作為安全相關(guān)系統(tǒng)中傳輸安全數(shù)據(jù)的重要載體，其功能安全通信的失效率不能超過總體安全完整等級目標(biāo)規(guī)定失效率的1%，該指標(biāo)是功能安全通信分析和設(shè)計的重要依據(jù)。

依據(jù)IEC 61508-2 標(biāo)準(zhǔn)［5］，安全功能的實現(xiàn) 所采用的任何通信形式，均應(yīng)評估其通信過程中功能異常的概率，涉及到傳輸錯誤、重復(fù)、刪除、插入、錯序、損壞、延時及偽裝等各種通信錯誤。目前，軌道車輛所采用的列車控制與監(jiān)視系統(tǒng)，主要是基于IEC 61375 標(biāo)準(zhǔn)［5］的列車通信網(wǎng)絡(luò)，包括WTB（Wire Train Bus）總線、MVB 總線、以太網(wǎng)等幾種通信技術(shù)形式。當(dāng)前，MVB 總線應(yīng)用最為普遍、更具有針對性，文中選取MVB 總線為例開展分析和研究。參考IEC 61784 中具體規(guī)定的通信錯誤類型［4，6］，對MVB 總線的通信失效進(jìn)行分析，可能出現(xiàn)的相應(yīng)錯誤情況如下：

（1）損壞：MVB 節(jié)點收發(fā)器損壞、線纜破損、終端電阻未接入、節(jié)點端口配置沖突等，均會造成通信數(shù)據(jù)的損壞。

（2）無意重復(fù)：MVB 總線的過程數(shù)據(jù)采用周期性發(fā)送的機制［7］，當(dāng)MVB 節(jié)點軟件卡滯，通信網(wǎng)卡數(shù)據(jù)無法更新，則會向網(wǎng)絡(luò)上重復(fù)發(fā)送無效的舊數(shù)據(jù)，出現(xiàn)無意重復(fù)的數(shù)據(jù)。

（3）丟失：造成丟失的原因可能有多個方面，比如節(jié)點發(fā)生故障、總線調(diào)度異常等，在MVB 總線通信中此類情況較多。

（4）不可接受的延時：MVB 線路干擾、節(jié)點軟件故障時，可能造成短時通信中斷，超過應(yīng)用設(shè)定的超時時間。

（5）錯序：MVB 總線采用主從調(diào)度機制［7］，源設(shè)備只有收到調(diào)度主幀才會發(fā)送通信數(shù)據(jù)，由網(wǎng)絡(luò)傳輸本身機制造成錯序的概率很小，出現(xiàn)錯序多為設(shè)備自身數(shù)據(jù)收發(fā)處理的問題。

（6）插入：在MVB 總線主從調(diào)度機制下，通信中如有其他節(jié)點發(fā)送的數(shù)據(jù)插入時，通常出現(xiàn)會從幀碰撞的情況，表現(xiàn)出的結(jié)果事實上是數(shù)據(jù)丟失；但在一些特定的情況下，如通過中繼器連接構(gòu)成的多個MVB 網(wǎng)段，異常插入的數(shù)據(jù)如發(fā)生在接收設(shè)備所在網(wǎng)段，而正常的源數(shù)據(jù)在與接收設(shè)備不同的網(wǎng)段，則會出現(xiàn)局部網(wǎng)段內(nèi)未知源數(shù)據(jù)插入的情況。

（7）偽裝：在MVB 總線中，僅在（6）中所述的某些特定情況下，才可能發(fā)生數(shù)據(jù)偽裝的錯誤，而大多數(shù)情況下，插入的偽裝數(shù)據(jù)，會與相應(yīng)的源發(fā)生數(shù)據(jù)幀碰撞，從而造成數(shù)據(jù)丟失。

（8）尋址：在MVB 總線中，采用源地址廣播的機制，即通過調(diào)度主幀廣播通信端口的地址。在該機制下尋址出錯，一方面原因可能是源設(shè)備發(fā)生錯誤，響應(yīng)了原本不應(yīng)該響應(yīng)的主幀，導(dǎo)致非正確尋址情況下錯誤發(fā)送出數(shù)據(jù)。另一方面，由于接收設(shè)備發(fā)生異常，判定接收地址出錯，導(dǎo)致接收了錯誤地址的數(shù)據(jù)。

綜合上述分析，基于MVB 總線具有自身的特點，通用通信風(fēng)險中，損壞、無意重傳、丟失、不可接受延時都是通信中更容易發(fā)生的錯誤類型，錯序、插入、偽裝、尋址錯誤等，在特定情況下也會出現(xiàn)。

MVB 總線通信協(xié)議中，其數(shù)據(jù)鏈路層使用了CRC（Cyclic Redundancy Check）校驗，并且采用通信冗余等機制去規(guī)避報文損壞、意外重傳及丟失等通信風(fēng)險，但這些措施無法滿足安全通信的需求，因此有必要在應(yīng)用層軟件上層增加有效的通信風(fēng)險防御措施，以達(dá)到通信安全目標(biāo)。

2 列車網(wǎng)絡(luò)的安全措施選擇及實現(xiàn)

在列車控制與監(jiān)視系統(tǒng)這樣復(fù)雜的系統(tǒng)中，存在各種軟件、硬件及外界干擾因素下造成的通信錯誤情況，僅依靠總線自身的校驗機制無法實現(xiàn)足夠有效的防護(hù)。為使系統(tǒng)達(dá)到相應(yīng)的功能安全等級，在安全通信方面需要有針對性地采取一定的方法措施，從而使通信殘余差錯率降低到要求的范圍內(nèi)，達(dá)到有效的預(yù)防與控制效果。

根據(jù)IEC61784功能安全通信標(biāo)準(zhǔn)［4，6］中的規(guī)定，在應(yīng)用層之上增加安全通信協(xié)議層來實現(xiàn)功能安全通信，從而實現(xiàn)對功能安全相關(guān)的應(yīng)用數(shù)據(jù)的保護(hù)。MVB 功能安全通信模型如圖2 所示，在MVB 原有的應(yīng)用層協(xié)議之上，增加安全通信協(xié)議層。

圖2 MVB 功能安全通信模型

安全通信協(xié)議層中，包括各類通信風(fēng)險的有效防御措施，保證規(guī)避MVB 數(shù)據(jù)傳輸經(jīng)過應(yīng)用層、數(shù)據(jù)鏈路層、物理層（包括MVB 總線線路以及可能存在的中繼器）時出現(xiàn)的各類錯誤。

在列車通信網(wǎng)絡(luò)標(biāo)準(zhǔn)IEC 61375-2-3中［5］，提出了安全通信協(xié)議SDT（Safe Data Transmission），選取了安全序列計數(shù)器、宿時間監(jiān)視、安全碼、守衛(wèi)時間、源身份標(biāo)識符、延時監(jiān)控、通道監(jiān)控等手段，可以覆蓋標(biāo)準(zhǔn)EN 50159 通信中相應(yīng)的通信錯誤［8］，其安全措施及通信錯誤對應(yīng)矩陣見表1。

表1 TCN 通信標(biāo)準(zhǔn)中的安全措施

SDT 協(xié)議同樣適用于MVB 傳輸，但由于MVB通信自身傳輸特點，協(xié)議需進(jìn)行必要的適應(yīng)性調(diào)整。如延時監(jiān)控，對于MVB 而言為可選項。MVB為主從調(diào)度的機制，MVB 幀的安全序列號在通信過程中難以保證完全的連續(xù)性，因此基于安全序列號的延時監(jiān)控，在實現(xiàn)中會有一定的偏差。此外，MVB 總線通過宿時間監(jiān)視的機制，可以規(guī)避不可接受延時的通信錯誤，可不必再增加延時監(jiān)控的措施。

（1）安全序列計數(shù)器

當(dāng)每次發(fā)送或接收一包新的關(guān)鍵數(shù)據(jù)時，相關(guān)的計數(shù)器進(jìn)行累加。通過檢查接收的關(guān)鍵數(shù)據(jù)包中安全序列計數(shù)器值是否在設(shè)置的接收范圍內(nèi)來判斷數(shù)據(jù)包是否有效，接收范圍通過設(shè)定的窗口值大小來判定。

（2）宿時間監(jiān)視

在MVB 協(xié)議控制器中，對需要監(jiān)視的端口設(shè)置計時器，通過檢測端口的計時器與設(shè)定值來核查所收到數(shù)據(jù)的時間有效性。

（3）安全碼

SDT 協(xié)議采用32 位的安全碼，根據(jù)IEC 61375-2-3［5］中定義的32 位CRC 校驗多 項式進(jìn) 行計算，計算范圍包括發(fā)送報文中的關(guān)鍵過程數(shù)據(jù)到安全序列計數(shù)的字段。

（4）守衛(wèi)時間

守衛(wèi)時間的校驗是為了檢測2 個冗余的安全數(shù)據(jù)源，如果在一個安全數(shù)據(jù)源的守衛(wèi)時間內(nèi)，收到了另一個冗余安全數(shù)據(jù)源的數(shù)據(jù)包，則表明另一個冗余數(shù)據(jù)源激活。

（5）源身份標(biāo)識符

所有源的安全相關(guān)數(shù)據(jù)應(yīng)當(dāng)由來源識別碼（Source Identified Code）標(biāo)識，來源識別碼通過對特定的SID 數(shù)據(jù)結(jié)構(gòu)進(jìn)行SC-32 校驗取得。SID的數(shù)據(jù)結(jié)構(gòu)包括用戶定義的安全消息識別符、SDT 協(xié)議版本、編組通用唯一標(biāo)別符、安全拓?fù)溆嫈?shù)器以及預(yù)留位等部分構(gòu)成。由于MVB 數(shù)據(jù)傳輸全部為編組內(nèi)部的傳輸，SID 中的編組標(biāo)識符、安全拓?fù)溆嫈?shù)等參數(shù)均設(shè)置為0。

（6）通道監(jiān)控

通道監(jiān)控用于檢測由于未知軟件、硬件原因造成的安全通道通信失效率的攀升。當(dāng)安全通道中帶有錯誤安全碼的數(shù)據(jù)包數(shù)量超過規(guī)定值時，則應(yīng)當(dāng)判定為安全通信失效。

通過以上安全措施，關(guān)鍵的MVB 過程數(shù)據(jù)打包為MVB 關(guān)鍵數(shù)據(jù)包進(jìn)行傳輸。MVB 關(guān)鍵數(shù)據(jù)包定義如圖3 所示。

圖3 MVB 安全通信關(guān)鍵數(shù)據(jù)包結(jié)構(gòu)

對于以上采取的安全措施，在MVB 安全協(xié)議層中實現(xiàn)的數(shù)據(jù)發(fā)送及接收流程如圖4 所示。其中發(fā)送過程主要是安全序列號、安全碼等信息的填入；對于接收過程，則需要通過安全碼、安全序列計數(shù)器、宿時間監(jiān)視、守衛(wèi)時間以及通道監(jiān)控來檢查安全數(shù)據(jù)的完整性以及時間符合性，判定是否符合功能安全的通信要求。

圖4 MVB 安全通信程序流程圖

3 安全性分析

3.1 CRC 校驗殘余錯誤概率分析

在IEC 61784-3 附 錄B［4］中，首先提 出對于 安全數(shù)據(jù)采取CRC 檢驗手段而產(chǎn)生的殘余錯誤概率RCRC，這也是數(shù)據(jù)完整性錯誤的發(fā)生概率，計算公式為式（1）：

式中：Pe為位錯誤概率；n為報文總位長；Ai為分布系數(shù)，在選取適當(dāng)?shù)腃RC 多項式情況下，在公式中可使用權(quán)重系數(shù)2-r（r為生成多項式的位數(shù)）來計算近似值，CRC 多項式的殘余錯誤概率的估算公式為式（2）：

式中：dmin為最小漢明距。對于同一生成多校式的CRC 校驗，不同長度的傳輸報文的最小漢明距不同［9］?？傮w隨報文長度的增加，最小漢明距呈逐漸變小的趨勢。

MVB 總線安全協(xié)議中采用CRC 多項表達(dá)式為0xFA567D89，公式為式（3）：

對于典型的CRC 校驗，在不同報文長度下所對應(yīng)的最小漢明距已經(jīng)有普遍的分析和計算。參考計算結(jié)果，本生成多項式在MVB 報文長度分別為64、128、256 位時，所對應(yīng)的最小漢明距均為8。

針對3 種不同長度的MVB 報文情況，由不同的位錯誤概率取值，可求得相應(yīng)的殘余錯誤概率。經(jīng)計算，得出不同長度的MVB 報文對應(yīng)的殘余錯誤概率擬合曲線，如圖5 所示。由圖可見，當(dāng)MVB報文更短時，殘余錯誤概率也相對更小。MVB 安全協(xié)議所采用的CRC 多項式計算得出的殘余錯誤概率對應(yīng)位錯誤概率呈現(xiàn)出單調(diào)上升的趨勢，而未出現(xiàn)在位錯誤概率更高反而殘余錯誤率下降的情況，因此表明了采用的CRC 多項式是合適的。

圖5 MVB 通信殘余錯誤率擬合曲線圖

3.2 總殘余錯誤率分析

根據(jù)IEC 61784-3 標(biāo)準(zhǔn)［4，6］，安全通信過程中的殘余錯誤主要由數(shù)據(jù)完整性錯誤、真實性錯誤、時效性錯誤和偽裝錯誤4 個部分構(gòu)成，4 種類型的錯誤可以覆蓋通信錯誤中可能產(chǎn)生的通信錯誤的全部類型，這些不同類型殘余錯誤率相加得到一個安全通信系統(tǒng)最終的殘余錯誤率。據(jù)此，可對MVB 總線的總殘余錯誤率進(jìn)行計算。

（1）完整性錯誤率（RRI）

對數(shù)據(jù)完整性錯誤率進(jìn)行計算，使用公式為式（4）：

式中：RPI為數(shù)據(jù)完整性的殘余錯誤概率，即CRC校驗的殘余錯誤概率RCRC（Pe），對于位錯誤概率Pe，參照標(biāo)準(zhǔn)中的說明，使用最大值10-2；v為每小時通信的最大數(shù)量，在本例中選取應(yīng)用中通常采用較小周期即32 ms 通信一次，1 小時為 112 500次；RPFSCP_I為獨有的其他措施的殘余錯誤概率，在未采用的情況下，該參數(shù)選用最大值 1。

經(jīng)計算得出不同MVB 報文長度下的RPI如下：

當(dāng)數(shù)據(jù)長度為64 位時，RRI數(shù)據(jù)完整性的殘余錯誤概率為7.043 06×10-12/h。

當(dāng)數(shù)據(jù)長度為128 位時，RRI數(shù)據(jù)完整性的殘余錯誤概率為1.292 47×10-9/h。

當(dāng)數(shù)據(jù)長度為256 位時，RRI數(shù)據(jù)完整性的殘余錯誤概率為1.213 55×10-7/h。

RRI數(shù)據(jù)完整性錯誤率見表2。

表2 RRI 數(shù)據(jù)完整性錯誤率

（2）真實性錯誤率（RRA）

真實性錯誤率相對于完整性錯誤率足夠小，在標(biāo)準(zhǔn)中對真實性錯誤率進(jìn)行計算，RRA的值都為0。因此，該項目的計算取0 值。

（3）時效性錯誤率（RRT）

按照標(biāo)準(zhǔn)的規(guī)定，計算公式為式（5）：

式中：LT為序列號的比特長度，在本例中為32；w為接收安全MVB 單元中所接受的時間戳或序列號的值的范圍（窗口大?。?，在本例實現(xiàn)中設(shè)定為4；RT為安全MVB 單元的序列號不正確的發(fā)生率，依據(jù)標(biāo)準(zhǔn)，取通用值10-3/h；RPFSCP_T為獨有的其他措施的殘余錯誤概率，本例中選用最大值1。

RRT時效性錯誤率見表3。

表3 RRT 時效性錯誤率

代入計算可得，RRT＝9.313 23×10-13/h。

（4）偽裝錯誤的貢獻(xiàn)（RRM）

按照標(biāo)準(zhǔn)的規(guī)定，計算公式為式（6）：

式中：LA為連接認(rèn)證的比特長度，即地址信息位長度，在本例中采用SID為32；LT為序列號的比特長度，在本例中為8；w為時間戳或序列號的值的范圍，本例中為4；r是CRC 簽名的比特長度，本例中為32；RPU其他唯一性字段的殘余錯誤概率，本例中選最大值1；LR為安全MVB 單元中重復(fù)部分的比特長度（帶有交叉校驗的冗余，否則LR=0），本例中為0；RM為偽裝安全MVB 單元的發(fā)生率，依據(jù)標(biāo)準(zhǔn)，取通用值10-3/h。

代入計算可得，RRM＝8.470 33×10-25/h。

RRM偽裝錯誤率見表4。

表4 RRM 偽裝錯誤率

（5）殘余錯誤率的總和λSC按照標(biāo)準(zhǔn)的規(guī)定，計算公式為式（7）：

將以上計算所得數(shù)據(jù)代入，可得λSC，見表5。

表5 總殘余錯誤率λSC

對于功能安全通信總線而言，其功能安全通信系統(tǒng)中的安全功能失效率對總體功能安全的貢獻(xiàn)不超過1%，其與安全完整性等級的對應(yīng)關(guān)系見表6。

表6 殘余錯誤率與SIL 水平關(guān)系

通過以上計算，不同長度MVB 報文的安全通信殘余總錯誤率估算結(jié)果分別為7.974 39×10-12/h、1.293 4×10-9/h、1.213 56×10-7/h，參照上表中功能安全通信系統(tǒng)失效率及功能安全通信系統(tǒng)允許殘余錯誤率的關(guān)系，基于文中采用的安全通信措施進(jìn)行估算，在傳輸數(shù)據(jù)為64 位時，可以滿足SIL4（λSC<10-10），傳輸數(shù)據(jù)為128 位時，可以滿足SIL2（λSC<10-9）。

通過以上的計算可總體了解MVB 報文傳輸所能達(dá)到的安全完整性等級水平。當(dāng)選定的安全措施無法達(dá)到更高的完全等級時，可增加額外的安全措施以提高安全性。如上述計算中，當(dāng)傳輸數(shù)據(jù)為256 位時，功能安全通信無法達(dá)到SIL2 乃至更高的安全等級要求。假使在安全通信系統(tǒng)增加具有冗余交叉檢驗措施，即安全報文通過冗余傳輸并在接收方內(nèi)進(jìn)行逐位比對，其殘余錯誤率計算見表7，安全通信通道的殘余總錯誤率估算結(jié)果為2.175 76×10-22/h?；谌哂嘣O(shè)計的安全通信協(xié)議可達(dá)到SIL4（λSC<10-10）的通信功能安全需求見表7。

表7 基于安全通信冗余架構(gòu)冗余架構(gòu)總殘余錯誤率λSC

4 結(jié)論

文中通過對功能安全在列車網(wǎng)絡(luò)通信中應(yīng)用開展研究，依據(jù)IEC 61784-3 標(biāo)準(zhǔn)，對TCN 標(biāo)準(zhǔn)中安全數(shù)據(jù)傳輸協(xié)議的功能安全進(jìn)行了分析。針對所采用的安全措施，計算了MVB 總線功能安全通信的殘余錯誤率，分析了不同長度MVB 幀采用安全協(xié)議可達(dá)到的安全完整性水平。通過進(jìn)一步計算表明，增加新的安全措施，可使安全協(xié)議達(dá)到更高的安全等級。

文中對應(yīng)用于列車控制與監(jiān)視系統(tǒng)的功能安全通信開展研究及分析，可為列車網(wǎng)絡(luò)系統(tǒng)的功能安全通信設(shè)計開發(fā)提供參考，為考量列車網(wǎng)絡(luò)通信的安全性提供相應(yīng)的依據(jù)，還可以為相關(guān)的安全認(rèn)證工作提供支撐。列車網(wǎng)絡(luò)通信安全協(xié)議的實現(xiàn)，有助于列車控制與監(jiān)視系統(tǒng)總體向著功能安全的方向發(fā)展，為列車網(wǎng)絡(luò)承提更多的安全功能奠定基礎(chǔ)。