列車控制與監視系統的功能安全通信研究與分析

李洋濤，喬恩，李小勇，鄭斌，閆迷軍2,，夏好廣

（1 中國鐵道科學研究院集團有限公司 機車車輛研究所，北京 100081；2 動車組和機車牽引與控制國家重點實驗室，北京 100081；3 北京縱橫機電科技有限公司，北京 100094）

列車控制與監視系統是現代軌道車輛的關鍵系統之一，系統的功能安全是列車安全穩定運行的重要保障。隨著網絡通信技術的快速發展，軌道車輛信息化程度不斷提高，列車控制與監視系統逐漸開始承載安全相關的控制功能，如方向控制、常用制動、超速防護等。通信功能作為列車控制與監視系統的關鍵功能之一，構建涉及安全功能的通信通道，實現安全數據的傳輸，是列車控制與監視系統實現所承擔安全功能的必要環節［1］。

在列車網絡中采用安全協議作為系統整體功能安全的重要保障，也已成為行業發展的共識。列車網絡采用MVB 總線或者以太網等通信技術，需要結合功能安全的理念對其進行安全性分析、研究和設計，從而達到網絡系統承載的功能安全要求［2］。

1 列車網絡通信風險分析

IEC 61508 標準［3］為電氣/電子/可編程電子安全相關系統的功能安全提供指導，其中典型的安全相關系統如圖1 所示，包含有傳感器、可編程電子系統、通信系統及執行機構，通信系統的功能安全是整體功能安全的重要組成部分。在IEC 61784《現場總線功能安全通信》標準［4］中進一步規定，通信系統作為安全相關系統中傳輸安全數據的重要載體，其功能安全通信的失效率不能超過總體安全完整等級目標規定失效率的1%，該指標是功能安全通信分析和設計的重要依據。

依據IEC 61508-2 標準［5］，安全功能的實現 所采用的任何通信形式，均應評估其通信過程中功能異常的概率，涉及到傳輸錯誤、重復、刪除、插入、錯序、損壞、延時及偽裝等各種通信錯誤。目前，軌道車輛所采用的列車控制與監視系統，主要是基于IEC 61375 標準［5］的列車通信網絡，包括WTB（Wire Train Bus）總線、MVB 總線、以太網等幾種通信技術形式。當前，MVB 總線應用最為普遍、更具有針對性，文中選取MVB 總線為例開展分析和研究。參考IEC 61784 中具體規定的通信錯誤類型［4，6］，對MVB 總線的通信失效進行分析，可能出現的相應錯誤情況如下：

（1）損壞：MVB 節點收發器損壞、線纜破損、終端電阻未接入、節點端口配置沖突等，均會造成通信數據的損壞。

（2）無意重復：MVB 總線的過程數據采用周期性發送的機制［7］，當MVB 節點軟件卡滯，通信網卡數據無法更新，則會向網絡上重復發送無效的舊數據，出現無意重復的數據。

（3）丟失：造成丟失的原因可能有多個方面，比如節點發生故障、總線調度異常等，在MVB 總線通信中此類情況較多。

（4）不可接受的延時：MVB 線路干擾、節點軟件故障時，可能造成短時通信中斷，超過應用設定的超時時間。

（5）錯序：MVB 總線采用主從調度機制［7］，源設備只有收到調度主幀才會發送通信數據，由網絡傳輸本身機制造成錯序的概率很小，出現錯序多為設備自身數據收發處理的問題。

（6）插入：在MVB 總線主從調度機制下，通信中如有其他節點發送的數據插入時，通常出現會從幀碰撞的情況，表現出的結果事實上是數據丟失；但在一些特定的情況下，如通過中繼器連接構成的多個MVB 網段，異常插入的數據如發生在接收設備所在網段，而正常的源數據在與接收設備不同的網段，則會出現局部網段內未知源數據插入的情況。

（7）偽裝：在MVB 總線中，僅在（6）中所述的某些特定情況下，才可能發生數據偽裝的錯誤，而大多數情況下，插入的偽裝數據，會與相應的源發生數據幀碰撞，從而造成數據丟失。

（8）尋址：在MVB 總線中，采用源地址廣播的機制，即通過調度主幀廣播通信端口的地址。在該機制下尋址出錯，一方面原因可能是源設備發生錯誤，響應了原本不應該響應的主幀，導致非正確尋址情況下錯誤發送出數據。另一方面，由于接收設備發生異常，判定接收地址出錯，導致接收了錯誤地址的數據。

綜合上述分析，基于MVB 總線具有自身的特點，通用通信風險中，損壞、無意重傳、丟失、不可接受延時都是通信中更容易發生的錯誤類型，錯序、插入、偽裝、尋址錯誤等，在特定情況下也會出現。

MVB 總線通信協議中，其數據鏈路層使用了CRC（Cyclic Redundancy Check）校驗，并且采用通信冗余等機制去規避報文損壞、意外重傳及丟失等通信風險，但這些措施無法滿足安全通信的需求，因此有必要在應用層軟件上層增加有效的通信風險防御措施，以達到通信安全目標。

2 列車網絡的安全措施選擇及實現

在列車控制與監視系統這樣復雜的系統中，存在各種軟件、硬件及外界干擾因素下造成的通信錯誤情況，僅依靠總線自身的校驗機制無法實現足夠有效的防護。為使系統達到相應的功能安全等級，在安全通信方面需要有針對性地采取一定的方法措施，從而使通信殘余差錯率降低到要求的范圍內，達到有效的預防與控制效果。

根據IEC61784功能安全通信標準［4，6］中的規定，在應用層之上增加安全通信協議層來實現功能安全通信，從而實現對功能安全相關的應用數據的保護。MVB 功能安全通信模型如圖2 所示，在MVB 原有的應用層協議之上，增加安全通信協議層。

圖2 MVB 功能安全通信模型

安全通信協議層中，包括各類通信風險的有效防御措施，保證規避MVB 數據傳輸經過應用層、數據鏈路層、物理層（包括MVB 總線線路以及可能存在的中繼器）時出現的各類錯誤。

在列車通信網絡標準IEC 61375-2-3中［5］，提出了安全通信協議SDT（Safe Data Transmission），選取了安全序列計數器、宿時間監視、安全碼、守衛時間、源身份標識符、延時監控、通道監控等手段，可以覆蓋標準EN 50159 通信中相應的通信錯誤［8］，其安全措施及通信錯誤對應矩陣見表1。

表1 TCN 通信標準中的安全措施

SDT 協議同樣適用于MVB 傳輸，但由于MVB通信自身傳輸特點，協議需進行必要的適應性調整。如延時監控，對于MVB 而言為可選項。MVB為主從調度的機制，MVB 幀的安全序列號在通信過程中難以保證完全的連續性，因此基于安全序列號的延時監控，在實現中會有一定的偏差。此外，MVB 總線通過宿時間監視的機制，可以規避不可接受延時的通信錯誤，可不必再增加延時監控的措施。

（1）安全序列計數器

當每次發送或接收一包新的關鍵數據時，相關的計數器進行累加。通過檢查接收的關鍵數據包中安全序列計數器值是否在設置的接收范圍內來判斷數據包是否有效，接收范圍通過設定的窗口值大小來判定。

（2）宿時間監視

在MVB 協議控制器中，對需要監視的端口設置計時器，通過檢測端口的計時器與設定值來核查所收到數據的時間有效性。

（3）安全碼

SDT 協議采用32 位的安全碼，根據IEC 61375-2-3［5］中定義的32 位CRC 校驗多 項式進 行計算，計算范圍包括發送報文中的關鍵過程數據到安全序列計數的字段。

（4）守衛時間

守衛時間的校驗是為了檢測2 個冗余的安全數據源，如果在一個安全數據源的守衛時間內，收到了另一個冗余安全數據源的數據包，則表明另一個冗余數據源激活。

（5）源身份標識符

所有源的安全相關數據應當由來源識別碼（Source Identified Code）標識，來源識別碼通過對特定的SID 數據結構進行SC-32 校驗取得。SID的數據結構包括用戶定義的安全消息識別符、SDT 協議版本、編組通用唯一標別符、安全拓撲計數器以及預留位等部分構成。由于MVB 數據傳輸全部為編組內部的傳輸，SID 中的編組標識符、安全拓撲計數等參數均設置為0。

（6）通道監控

通道監控用于檢測由于未知軟件、硬件原因造成的安全通道通信失效率的攀升。當安全通道中帶有錯誤安全碼的數據包數量超過規定值時，則應當判定為安全通信失效。

通過以上安全措施，關鍵的MVB 過程數據打包為MVB 關鍵數據包進行傳輸。MVB 關鍵數據包定義如圖3 所示。

圖3 MVB 安全通信關鍵數據包結構

對于以上采取的安全措施，在MVB 安全協議層中實現的數據發送及接收流程如圖4 所示。其中發送過程主要是安全序列號、安全碼等信息的填入；對于接收過程，則需要通過安全碼、安全序列計數器、宿時間監視、守衛時間以及通道監控來檢查安全數據的完整性以及時間符合性，判定是否符合功能安全的通信要求。

圖4 MVB 安全通信程序流程圖

3 安全性分析

3.1 CRC 校驗殘余錯誤概率分析

在IEC 61784-3 附 錄B［4］中，首先提 出對于 安全數據采取CRC 檢驗手段而產生的殘余錯誤概率RCRC，這也是數據完整性錯誤的發生概率，計算公式為式（1）：

式中：Pe為位錯誤概率；n為報文總位長；Ai為分布系數，在選取適當的CRC 多項式情況下，在公式中可使用權重系數2-r（r為生成多項式的位數）來計算近似值，CRC 多項式的殘余錯誤概率的估算公式為式（2）：

式中：dmin為最小漢明距。對于同一生成多校式的CRC 校驗，不同長度的傳輸報文的最小漢明距不同［9］?？傮w隨報文長度的增加，最小漢明距呈逐漸變小的趨勢。

MVB 總線安全協議中采用CRC 多項表達式為0xFA567D89，公式為式（3）：

對于典型的CRC 校驗，在不同報文長度下所對應的最小漢明距已經有普遍的分析和計算。參考計算結果，本生成多項式在MVB 報文長度分別為64、128、256 位時，所對應的最小漢明距均為8。

針對3 種不同長度的MVB 報文情況，由不同的位錯誤概率取值，可求得相應的殘余錯誤概率。經計算，得出不同長度的MVB 報文對應的殘余錯誤概率擬合曲線，如圖5 所示。由圖可見，當MVB報文更短時，殘余錯誤概率也相對更小。MVB 安全協議所采用的CRC 多項式計算得出的殘余錯誤概率對應位錯誤概率呈現出單調上升的趨勢，而未出現在位錯誤概率更高反而殘余錯誤率下降的情況，因此表明了采用的CRC 多項式是合適的。

圖5 MVB 通信殘余錯誤率擬合曲線圖

3.2 總殘余錯誤率分析

根據IEC 61784-3 標準［4，6］，安全通信過程中的殘余錯誤主要由數據完整性錯誤、真實性錯誤、時效性錯誤和偽裝錯誤4 個部分構成，4 種類型的錯誤可以覆蓋通信錯誤中可能產生的通信錯誤的全部類型，這些不同類型殘余錯誤率相加得到一個安全通信系統最終的殘余錯誤率。據此，可對MVB 總線的總殘余錯誤率進行計算。

（1）完整性錯誤率（RRI）

對數據完整性錯誤率進行計算，使用公式為式（4）：

式中：RPI為數據完整性的殘余錯誤概率，即CRC校驗的殘余錯誤概率RCRC（Pe），對于位錯誤概率Pe，參照標準中的說明，使用最大值10-2；v為每小時通信的最大數量，在本例中選取應用中通常采用較小周期即32 ms 通信一次，1 小時為 112 500次；RPFSCP_I為獨有的其他措施的殘余錯誤概率，在未采用的情況下，該參數選用最大值 1。

經計算得出不同MVB 報文長度下的RPI如下：

當數據長度為64 位時，RRI數據完整性的殘余錯誤概率為7.043 06×10-12/h。

當數據長度為128 位時，RRI數據完整性的殘余錯誤概率為1.292 47×10-9/h。

當數據長度為256 位時，RRI數據完整性的殘余錯誤概率為1.213 55×10-7/h。

RRI數據完整性錯誤率見表2。

表2 RRI 數據完整性錯誤率

（2）真實性錯誤率（RRA）

真實性錯誤率相對于完整性錯誤率足夠小，在標準中對真實性錯誤率進行計算，RRA的值都為0。因此，該項目的計算取0 值。

（3）時效性錯誤率（RRT）

按照標準的規定，計算公式為式（5）：

式中：LT為序列號的比特長度，在本例中為32；w為接收安全MVB 單元中所接受的時間戳或序列號的值的范圍（窗口大?。?，在本例實現中設定為4；RT為安全MVB 單元的序列號不正確的發生率，依據標準，取通用值10-3/h；RPFSCP_T為獨有的其他措施的殘余錯誤概率，本例中選用最大值1。

RRT時效性錯誤率見表3。

表3 RRT 時效性錯誤率

代入計算可得，RRT＝9.313 23×10-13/h。

（4）偽裝錯誤的貢獻（RRM）

按照標準的規定，計算公式為式（6）：

式中：LA為連接認證的比特長度，即地址信息位長度，在本例中采用SID為32；LT為序列號的比特長度，在本例中為8；w為時間戳或序列號的值的范圍，本例中為4；r是CRC 簽名的比特長度，本例中為32；RPU其他唯一性字段的殘余錯誤概率，本例中選最大值1；LR為安全MVB 單元中重復部分的比特長度（帶有交叉校驗的冗余，否則LR=0），本例中為0；RM為偽裝安全MVB 單元的發生率，依據標準，取通用值10-3/h。

代入計算可得，RRM＝8.470 33×10-25/h。

RRM偽裝錯誤率見表4。

表4 RRM 偽裝錯誤率

（5）殘余錯誤率的總和λSC按照標準的規定，計算公式為式（7）：

將以上計算所得數據代入，可得λSC，見表5。

表5 總殘余錯誤率λSC

對于功能安全通信總線而言，其功能安全通信系統中的安全功能失效率對總體功能安全的貢獻不超過1%，其與安全完整性等級的對應關系見表6。

表6 殘余錯誤率與SIL 水平關系

通過以上計算，不同長度MVB 報文的安全通信殘余總錯誤率估算結果分別為7.974 39×10-12/h、1.293 4×10-9/h、1.213 56×10-7/h，參照上表中功能安全通信系統失效率及功能安全通信系統允許殘余錯誤率的關系，基于文中采用的安全通信措施進行估算，在傳輸數據為64 位時，可以滿足SIL4（λSC<10-10），傳輸數據為128 位時，可以滿足SIL2（λSC<10-9）。

通過以上的計算可總體了解MVB 報文傳輸所能達到的安全完整性等級水平。當選定的安全措施無法達到更高的完全等級時，可增加額外的安全措施以提高安全性。如上述計算中，當傳輸數據為256 位時，功能安全通信無法達到SIL2 乃至更高的安全等級要求。假使在安全通信系統增加具有冗余交叉檢驗措施，即安全報文通過冗余傳輸并在接收方內進行逐位比對，其殘余錯誤率計算見表7，安全通信通道的殘余總錯誤率估算結果為2.175 76×10-22/h?；谌哂嘣O計的安全通信協議可達到SIL4（λSC<10-10）的通信功能安全需求見表7。

表7 基于安全通信冗余架構冗余架構總殘余錯誤率λSC

4 結論

文中通過對功能安全在列車網絡通信中應用開展研究，依據IEC 61784-3 標準，對TCN 標準中安全數據傳輸協議的功能安全進行了分析。針對所采用的安全措施，計算了MVB 總線功能安全通信的殘余錯誤率，分析了不同長度MVB 幀采用安全協議可達到的安全完整性水平。通過進一步計算表明，增加新的安全措施，可使安全協議達到更高的安全等級。

文中對應用于列車控制與監視系統的功能安全通信開展研究及分析，可為列車網絡系統的功能安全通信設計開發提供參考，為考量列車網絡通信的安全性提供相應的依據，還可以為相關的安全認證工作提供支撐。列車網絡通信安全協議的實現，有助于列車控制與監視系統總體向著功能安全的方向發展，為列車網絡承提更多的安全功能奠定基礎。