• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    列車控制與監(jiān)視系統(tǒng)的功能安全通信研究與分析

    2024-01-16 10:13:32李洋濤喬恩李小勇鄭斌閆迷軍2夏好廣
    鐵道機車車輛 2023年6期
    關(guān)鍵詞:錯誤率報文總線

    李洋濤,喬恩,李小勇,鄭斌,閆迷軍2,,夏好廣

    (1 中國鐵道科學(xué)研究院集團有限公司 機車車輛研究所,北京 100081;2 動車組和機車牽引與控制國家重點實驗室,北京 100081;3 北京縱橫機電科技有限公司,北京 100094)

    列車控制與監(jiān)視系統(tǒng)是現(xiàn)代軌道車輛的關(guān)鍵系統(tǒng)之一,系統(tǒng)的功能安全是列車安全穩(wěn)定運行的重要保障。隨著網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展,軌道車輛信息化程度不斷提高,列車控制與監(jiān)視系統(tǒng)逐漸開始承載安全相關(guān)的控制功能,如方向控制、常用制動、超速防護(hù)等。通信功能作為列車控制與監(jiān)視系統(tǒng)的關(guān)鍵功能之一,構(gòu)建涉及安全功能的通信通道,實現(xiàn)安全數(shù)據(jù)的傳輸,是列車控制與監(jiān)視系統(tǒng)實現(xiàn)所承擔(dān)安全功能的必要環(huán)節(jié)[1]。

    在列車網(wǎng)絡(luò)中采用安全協(xié)議作為系統(tǒng)整體功能安全的重要保障,也已成為行業(yè)發(fā)展的共識。列車網(wǎng)絡(luò)采用MVB 總線或者以太網(wǎng)等通信技術(shù),需要結(jié)合功能安全的理念對其進(jìn)行安全性分析、研究和設(shè)計,從而達(dá)到網(wǎng)絡(luò)系統(tǒng)承載的功能安全要求[2]。

    1 列車網(wǎng)絡(luò)通信風(fēng)險分析

    IEC 61508 標(biāo)準(zhǔn)[3]為電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全提供指導(dǎo),其中典型的安全相關(guān)系統(tǒng)如圖1 所示,包含有傳感器、可編程電子系統(tǒng)、通信系統(tǒng)及執(zhí)行機構(gòu),通信系統(tǒng)的功能安全是整體功能安全的重要組成部分。在IEC 61784《現(xiàn)場總線功能安全通信》標(biāo)準(zhǔn)[4]中進(jìn)一步規(guī)定,通信系統(tǒng)作為安全相關(guān)系統(tǒng)中傳輸安全數(shù)據(jù)的重要載體,其功能安全通信的失效率不能超過總體安全完整等級目標(biāo)規(guī)定失效率的1%,該指標(biāo)是功能安全通信分析和設(shè)計的重要依據(jù)。

    依據(jù)IEC 61508-2 標(biāo)準(zhǔn)[5],安全功能的實現(xiàn) 所采用的任何通信形式,均應(yīng)評估其通信過程中功能異常的概率,涉及到傳輸錯誤、重復(fù)、刪除、插入、錯序、損壞、延時及偽裝等各種通信錯誤。目前,軌道車輛所采用的列車控制與監(jiān)視系統(tǒng),主要是基于IEC 61375 標(biāo)準(zhǔn)[5]的列車通信網(wǎng)絡(luò),包括WTB(Wire Train Bus)總線、MVB 總線、以太網(wǎng)等幾種通信技術(shù)形式。當(dāng)前,MVB 總線應(yīng)用最為普遍、更具有針對性,文中選取MVB 總線為例開展分析和研究。參考IEC 61784 中具體規(guī)定的通信錯誤類型[4,6],對MVB 總線的通信失效進(jìn)行分析,可能出現(xiàn)的相應(yīng)錯誤情況如下:

    (1)損壞:MVB 節(jié)點收發(fā)器損壞、線纜破損、終端電阻未接入、節(jié)點端口配置沖突等,均會造成通信數(shù)據(jù)的損壞。

    (2)無意重復(fù):MVB 總線的過程數(shù)據(jù)采用周期性發(fā)送的機制[7],當(dāng)MVB 節(jié)點軟件卡滯,通信網(wǎng)卡數(shù)據(jù)無法更新,則會向網(wǎng)絡(luò)上重復(fù)發(fā)送無效的舊數(shù)據(jù),出現(xiàn)無意重復(fù)的數(shù)據(jù)。

    (3)丟失:造成丟失的原因可能有多個方面,比如節(jié)點發(fā)生故障、總線調(diào)度異常等,在MVB 總線通信中此類情況較多。

    (4)不可接受的延時:MVB 線路干擾、節(jié)點軟件故障時,可能造成短時通信中斷,超過應(yīng)用設(shè)定的超時時間。

    (5)錯序:MVB 總線采用主從調(diào)度機制[7],源設(shè)備只有收到調(diào)度主幀才會發(fā)送通信數(shù)據(jù),由網(wǎng)絡(luò)傳輸本身機制造成錯序的概率很小,出現(xiàn)錯序多為設(shè)備自身數(shù)據(jù)收發(fā)處理的問題。

    (6)插入:在MVB 總線主從調(diào)度機制下,通信中如有其他節(jié)點發(fā)送的數(shù)據(jù)插入時,通常出現(xiàn)會從幀碰撞的情況,表現(xiàn)出的結(jié)果事實上是數(shù)據(jù)丟失;但在一些特定的情況下,如通過中繼器連接構(gòu)成的多個MVB 網(wǎng)段,異常插入的數(shù)據(jù)如發(fā)生在接收設(shè)備所在網(wǎng)段,而正常的源數(shù)據(jù)在與接收設(shè)備不同的網(wǎng)段,則會出現(xiàn)局部網(wǎng)段內(nèi)未知源數(shù)據(jù)插入的情況。

    (7)偽裝:在MVB 總線中,僅在(6)中所述的某些特定情況下,才可能發(fā)生數(shù)據(jù)偽裝的錯誤,而大多數(shù)情況下,插入的偽裝數(shù)據(jù),會與相應(yīng)的源發(fā)生數(shù)據(jù)幀碰撞,從而造成數(shù)據(jù)丟失。

    (8)尋址:在MVB 總線中,采用源地址廣播的機制,即通過調(diào)度主幀廣播通信端口的地址。在該機制下尋址出錯,一方面原因可能是源設(shè)備發(fā)生錯誤,響應(yīng)了原本不應(yīng)該響應(yīng)的主幀,導(dǎo)致非正確尋址情況下錯誤發(fā)送出數(shù)據(jù)。另一方面,由于接收設(shè)備發(fā)生異常,判定接收地址出錯,導(dǎo)致接收了錯誤地址的數(shù)據(jù)。

    綜合上述分析,基于MVB 總線具有自身的特點,通用通信風(fēng)險中,損壞、無意重傳、丟失、不可接受延時都是通信中更容易發(fā)生的錯誤類型,錯序、插入、偽裝、尋址錯誤等,在特定情況下也會出現(xiàn)。

    MVB 總線通信協(xié)議中,其數(shù)據(jù)鏈路層使用了CRC(Cyclic Redundancy Check)校驗,并且采用通信冗余等機制去規(guī)避報文損壞、意外重傳及丟失等通信風(fēng)險,但這些措施無法滿足安全通信的需求,因此有必要在應(yīng)用層軟件上層增加有效的通信風(fēng)險防御措施,以達(dá)到通信安全目標(biāo)。

    2 列車網(wǎng)絡(luò)的安全措施選擇及實現(xiàn)

    在列車控制與監(jiān)視系統(tǒng)這樣復(fù)雜的系統(tǒng)中,存在各種軟件、硬件及外界干擾因素下造成的通信錯誤情況,僅依靠總線自身的校驗機制無法實現(xiàn)足夠有效的防護(hù)。為使系統(tǒng)達(dá)到相應(yīng)的功能安全等級,在安全通信方面需要有針對性地采取一定的方法措施,從而使通信殘余差錯率降低到要求的范圍內(nèi),達(dá)到有效的預(yù)防與控制效果。

    根據(jù)IEC61784功能安全通信標(biāo)準(zhǔn)[4,6]中的規(guī)定,在應(yīng)用層之上增加安全通信協(xié)議層來實現(xiàn)功能安全通信,從而實現(xiàn)對功能安全相關(guān)的應(yīng)用數(shù)據(jù)的保護(hù)。MVB 功能安全通信模型如圖2 所示,在MVB 原有的應(yīng)用層協(xié)議之上,增加安全通信協(xié)議層。

    圖2 MVB 功能安全通信模型

    安全通信協(xié)議層中,包括各類通信風(fēng)險的有效防御措施,保證規(guī)避MVB 數(shù)據(jù)傳輸經(jīng)過應(yīng)用層、數(shù)據(jù)鏈路層、物理層(包括MVB 總線線路以及可能存在的中繼器)時出現(xiàn)的各類錯誤。

    在列車通信網(wǎng)絡(luò)標(biāo)準(zhǔn)IEC 61375-2-3中[5],提出了安全通信協(xié)議SDT(Safe Data Transmission),選取了安全序列計數(shù)器、宿時間監(jiān)視、安全碼、守衛(wèi)時間、源身份標(biāo)識符、延時監(jiān)控、通道監(jiān)控等手段,可以覆蓋標(biāo)準(zhǔn)EN 50159 通信中相應(yīng)的通信錯誤[8],其安全措施及通信錯誤對應(yīng)矩陣見表1。

    表1 TCN 通信標(biāo)準(zhǔn)中的安全措施

    SDT 協(xié)議同樣適用于MVB 傳輸,但由于MVB通信自身傳輸特點,協(xié)議需進(jìn)行必要的適應(yīng)性調(diào)整。如延時監(jiān)控,對于MVB 而言為可選項。MVB為主從調(diào)度的機制,MVB 幀的安全序列號在通信過程中難以保證完全的連續(xù)性,因此基于安全序列號的延時監(jiān)控,在實現(xiàn)中會有一定的偏差。此外,MVB 總線通過宿時間監(jiān)視的機制,可以規(guī)避不可接受延時的通信錯誤,可不必再增加延時監(jiān)控的措施。

    (1)安全序列計數(shù)器

    當(dāng)每次發(fā)送或接收一包新的關(guān)鍵數(shù)據(jù)時,相關(guān)的計數(shù)器進(jìn)行累加。通過檢查接收的關(guān)鍵數(shù)據(jù)包中安全序列計數(shù)器值是否在設(shè)置的接收范圍內(nèi)來判斷數(shù)據(jù)包是否有效,接收范圍通過設(shè)定的窗口值大小來判定。

    (2)宿時間監(jiān)視

    在MVB 協(xié)議控制器中,對需要監(jiān)視的端口設(shè)置計時器,通過檢測端口的計時器與設(shè)定值來核查所收到數(shù)據(jù)的時間有效性。

    (3)安全碼

    SDT 協(xié)議采用32 位的安全碼,根據(jù)IEC 61375-2-3[5]中定義的32 位CRC 校驗多 項式進(jìn) 行計算,計算范圍包括發(fā)送報文中的關(guān)鍵過程數(shù)據(jù)到安全序列計數(shù)的字段。

    (4)守衛(wèi)時間

    守衛(wèi)時間的校驗是為了檢測2 個冗余的安全數(shù)據(jù)源,如果在一個安全數(shù)據(jù)源的守衛(wèi)時間內(nèi),收到了另一個冗余安全數(shù)據(jù)源的數(shù)據(jù)包,則表明另一個冗余數(shù)據(jù)源激活。

    (5)源身份標(biāo)識符

    所有源的安全相關(guān)數(shù)據(jù)應(yīng)當(dāng)由來源識別碼(Source Identified Code)標(biāo)識,來源識別碼通過對特定的SID 數(shù)據(jù)結(jié)構(gòu)進(jìn)行SC-32 校驗取得。SID的數(shù)據(jù)結(jié)構(gòu)包括用戶定義的安全消息識別符、SDT 協(xié)議版本、編組通用唯一標(biāo)別符、安全拓?fù)溆嫈?shù)器以及預(yù)留位等部分構(gòu)成。由于MVB 數(shù)據(jù)傳輸全部為編組內(nèi)部的傳輸,SID 中的編組標(biāo)識符、安全拓?fù)溆嫈?shù)等參數(shù)均設(shè)置為0。

    (6)通道監(jiān)控

    通道監(jiān)控用于檢測由于未知軟件、硬件原因造成的安全通道通信失效率的攀升。當(dāng)安全通道中帶有錯誤安全碼的數(shù)據(jù)包數(shù)量超過規(guī)定值時,則應(yīng)當(dāng)判定為安全通信失效。

    通過以上安全措施,關(guān)鍵的MVB 過程數(shù)據(jù)打包為MVB 關(guān)鍵數(shù)據(jù)包進(jìn)行傳輸。MVB 關(guān)鍵數(shù)據(jù)包定義如圖3 所示。

    圖3 MVB 安全通信關(guān)鍵數(shù)據(jù)包結(jié)構(gòu)

    對于以上采取的安全措施,在MVB 安全協(xié)議層中實現(xiàn)的數(shù)據(jù)發(fā)送及接收流程如圖4 所示。其中發(fā)送過程主要是安全序列號、安全碼等信息的填入;對于接收過程,則需要通過安全碼、安全序列計數(shù)器、宿時間監(jiān)視、守衛(wèi)時間以及通道監(jiān)控來檢查安全數(shù)據(jù)的完整性以及時間符合性,判定是否符合功能安全的通信要求。

    圖4 MVB 安全通信程序流程圖

    3 安全性分析

    3.1 CRC 校驗殘余錯誤概率分析

    在IEC 61784-3 附 錄B[4]中,首先提 出對于 安全數(shù)據(jù)采取CRC 檢驗手段而產(chǎn)生的殘余錯誤概率RCRC,這也是數(shù)據(jù)完整性錯誤的發(fā)生概率,計算公式為式(1):

    式中:Pe為位錯誤概率;n為報文總位長;Ai為分布系數(shù),在選取適當(dāng)?shù)腃RC 多項式情況下,在公式中可使用權(quán)重系數(shù)2-r(r為生成多項式的位數(shù))來計算近似值,CRC 多項式的殘余錯誤概率的估算公式為式(2):

    式中:dmin為最小漢明距。對于同一生成多校式的CRC 校驗,不同長度的傳輸報文的最小漢明距不同[9]??傮w隨報文長度的增加,最小漢明距呈逐漸變小的趨勢。

    MVB 總線安全協(xié)議中采用CRC 多項表達(dá)式為0xFA567D89,公式為式(3):

    對于典型的CRC 校驗,在不同報文長度下所對應(yīng)的最小漢明距已經(jīng)有普遍的分析和計算。參考計算結(jié)果,本生成多項式在MVB 報文長度分別為64、128、256 位時,所對應(yīng)的最小漢明距均為8。

    針對3 種不同長度的MVB 報文情況,由不同的位錯誤概率取值,可求得相應(yīng)的殘余錯誤概率。經(jīng)計算,得出不同長度的MVB 報文對應(yīng)的殘余錯誤概率擬合曲線,如圖5 所示。由圖可見,當(dāng)MVB報文更短時,殘余錯誤概率也相對更小。MVB 安全協(xié)議所采用的CRC 多項式計算得出的殘余錯誤概率對應(yīng)位錯誤概率呈現(xiàn)出單調(diào)上升的趨勢,而未出現(xiàn)在位錯誤概率更高反而殘余錯誤率下降的情況,因此表明了采用的CRC 多項式是合適的。

    圖5 MVB 通信殘余錯誤率擬合曲線圖

    3.2 總殘余錯誤率分析

    根據(jù)IEC 61784-3 標(biāo)準(zhǔn)[4,6],安全通信過程中的殘余錯誤主要由數(shù)據(jù)完整性錯誤、真實性錯誤、時效性錯誤和偽裝錯誤4 個部分構(gòu)成,4 種類型的錯誤可以覆蓋通信錯誤中可能產(chǎn)生的通信錯誤的全部類型,這些不同類型殘余錯誤率相加得到一個安全通信系統(tǒng)最終的殘余錯誤率。據(jù)此,可對MVB 總線的總殘余錯誤率進(jìn)行計算。

    (1)完整性錯誤率(RRI)

    對數(shù)據(jù)完整性錯誤率進(jìn)行計算,使用公式為式(4):

    式中:RPI為數(shù)據(jù)完整性的殘余錯誤概率,即CRC校驗的殘余錯誤概率RCRC(Pe),對于位錯誤概率Pe,參照標(biāo)準(zhǔn)中的說明,使用最大值10-2;v為每小時通信的最大數(shù)量,在本例中選取應(yīng)用中通常采用較小周期即32 ms 通信一次,1 小時為 112 500次;RPFSCP_I為獨有的其他措施的殘余錯誤概率,在未采用的情況下,該參數(shù)選用最大值 1。

    經(jīng)計算得出不同MVB 報文長度下的RPI如下:

    當(dāng)數(shù)據(jù)長度為64 位時,RRI數(shù)據(jù)完整性的殘余錯誤概率為7.043 06×10-12/h。

    當(dāng)數(shù)據(jù)長度為128 位時,RRI數(shù)據(jù)完整性的殘余錯誤概率為1.292 47×10-9/h。

    當(dāng)數(shù)據(jù)長度為256 位時,RRI數(shù)據(jù)完整性的殘余錯誤概率為1.213 55×10-7/h。

    RRI數(shù)據(jù)完整性錯誤率見表2。

    表2 RRI 數(shù)據(jù)完整性錯誤率

    (2)真實性錯誤率(RRA)

    真實性錯誤率相對于完整性錯誤率足夠小,在標(biāo)準(zhǔn)中對真實性錯誤率進(jìn)行計算,RRA的值都為0。因此,該項目的計算取0 值。

    (3)時效性錯誤率(RRT)

    按照標(biāo)準(zhǔn)的規(guī)定,計算公式為式(5):

    式中:LT為序列號的比特長度,在本例中為32;w為接收安全MVB 單元中所接受的時間戳或序列號的值的范圍(窗口大?。?,在本例實現(xiàn)中設(shè)定為4;RT為安全MVB 單元的序列號不正確的發(fā)生率,依據(jù)標(biāo)準(zhǔn),取通用值10-3/h;RPFSCP_T為獨有的其他措施的殘余錯誤概率,本例中選用最大值1。

    RRT時效性錯誤率見表3。

    表3 RRT 時效性錯誤率

    代入計算可得,RRT=9.313 23×10-13/h。

    (4)偽裝錯誤的貢獻(xiàn)(RRM)

    按照標(biāo)準(zhǔn)的規(guī)定,計算公式為式(6):

    式中:LA為連接認(rèn)證的比特長度,即地址信息位長度,在本例中采用SID為32;LT為序列號的比特長度,在本例中為8;w為時間戳或序列號的值的范圍,本例中為4;r是CRC 簽名的比特長度,本例中為32;RPU其他唯一性字段的殘余錯誤概率,本例中選最大值1;LR為安全MVB 單元中重復(fù)部分的比特長度(帶有交叉校驗的冗余,否則LR=0),本例中為0;RM為偽裝安全MVB 單元的發(fā)生率,依據(jù)標(biāo)準(zhǔn),取通用值10-3/h。

    代入計算可得,RRM=8.470 33×10-25/h。

    RRM偽裝錯誤率見表4。

    表4 RRM 偽裝錯誤率

    (5)殘余錯誤率的總和λSC按照標(biāo)準(zhǔn)的規(guī)定,計算公式為式(7):

    將以上計算所得數(shù)據(jù)代入,可得λSC,見表5。

    表5 總殘余錯誤率λSC

    對于功能安全通信總線而言,其功能安全通信系統(tǒng)中的安全功能失效率對總體功能安全的貢獻(xiàn)不超過1%,其與安全完整性等級的對應(yīng)關(guān)系見表6。

    表6 殘余錯誤率與SIL 水平關(guān)系

    通過以上計算,不同長度MVB 報文的安全通信殘余總錯誤率估算結(jié)果分別為7.974 39×10-12/h、1.293 4×10-9/h、1.213 56×10-7/h,參照上表中功能安全通信系統(tǒng)失效率及功能安全通信系統(tǒng)允許殘余錯誤率的關(guān)系,基于文中采用的安全通信措施進(jìn)行估算,在傳輸數(shù)據(jù)為64 位時,可以滿足SIL4(λSC<10-10),傳輸數(shù)據(jù)為128 位時,可以滿足SIL2(λSC<10-9)。

    通過以上的計算可總體了解MVB 報文傳輸所能達(dá)到的安全完整性等級水平。當(dāng)選定的安全措施無法達(dá)到更高的完全等級時,可增加額外的安全措施以提高安全性。如上述計算中,當(dāng)傳輸數(shù)據(jù)為256 位時,功能安全通信無法達(dá)到SIL2 乃至更高的安全等級要求。假使在安全通信系統(tǒng)增加具有冗余交叉檢驗措施,即安全報文通過冗余傳輸并在接收方內(nèi)進(jìn)行逐位比對,其殘余錯誤率計算見表7,安全通信通道的殘余總錯誤率估算結(jié)果為2.175 76×10-22/h?;谌哂嘣O(shè)計的安全通信協(xié)議可達(dá)到SIL4(λSC<10-10)的通信功能安全需求見表7。

    表7 基于安全通信冗余架構(gòu)冗余架構(gòu)總殘余錯誤率λSC

    4 結(jié)論

    文中通過對功能安全在列車網(wǎng)絡(luò)通信中應(yīng)用開展研究,依據(jù)IEC 61784-3 標(biāo)準(zhǔn),對TCN 標(biāo)準(zhǔn)中安全數(shù)據(jù)傳輸協(xié)議的功能安全進(jìn)行了分析。針對所采用的安全措施,計算了MVB 總線功能安全通信的殘余錯誤率,分析了不同長度MVB 幀采用安全協(xié)議可達(dá)到的安全完整性水平。通過進(jìn)一步計算表明,增加新的安全措施,可使安全協(xié)議達(dá)到更高的安全等級。

    文中對應(yīng)用于列車控制與監(jiān)視系統(tǒng)的功能安全通信開展研究及分析,可為列車網(wǎng)絡(luò)系統(tǒng)的功能安全通信設(shè)計開發(fā)提供參考,為考量列車網(wǎng)絡(luò)通信的安全性提供相應(yīng)的依據(jù),還可以為相關(guān)的安全認(rèn)證工作提供支撐。列車網(wǎng)絡(luò)通信安全協(xié)議的實現(xiàn),有助于列車控制與監(jiān)視系統(tǒng)總體向著功能安全的方向發(fā)展,為列車網(wǎng)絡(luò)承提更多的安全功能奠定基礎(chǔ)。

    猜你喜歡
    錯誤率報文總線
    限制性隨機試驗中選擇偏倚導(dǎo)致的一類錯誤率膨脹*
    基于J1939 協(xié)議多包報文的時序研究及應(yīng)用
    汽車電器(2022年9期)2022-11-07 02:16:24
    CTCS-2級報文數(shù)據(jù)管理需求分析和實現(xiàn)
    淺析反駁類報文要點
    中國外匯(2019年11期)2019-08-27 02:06:30
    基于PCI Express總線的xHC與FPGA的直接通信
    機載飛控1553B總線轉(zhuǎn)以太網(wǎng)總線設(shè)計
    正視錯誤,尋求策略
    教師·中(2017年3期)2017-04-20 21:49:49
    解析小學(xué)高段學(xué)生英語單詞抄寫作業(yè)錯誤原因
    ATS與列車通信報文分析
    多通道ARINC429總線檢查儀
    无极县| 龙胜| 巨野县| 山东| 福州市| 黔西县| 万全县| 青阳县| 海南省| 托克托县| 沙雅县| 报价| 尼勒克县| 武清区| 维西| 红桥区| 普洱| 伽师县| 赞皇县| 富源县| 恩平市| 鄂温| 望谟县| 林州市| 毕节市| 长海县| 黄大仙区| 汉中市| 泸州市| 益阳市| 凤山县| 内江市| 浮梁县| 托里县| 浏阳市| 栖霞市| 南木林县| 宁陵县| 尚志市| 麻城市| 兴化市|