適用于CTCS-3級的安全計算機平臺的無線安全通信架構(gòu)分析

黃彬彬孟慶堯，2

（1.北京全路通信信號研究設(shè)計院集團有限公司，北京 100070；2.北京市高速鐵路運行控制系統(tǒng)工程技術(shù)研究中心，北京 100070）

適用于CTCS-3級的安全計算機平臺的無線安全通信架構(gòu)分析

黃彬彬1孟慶堯1，2

（1.北京全路通信信號研究設(shè)計院集團有限公司，北京 100070；2.北京市高速鐵路運行控制系統(tǒng)工程技術(shù)研究中心，北京 100070）

CTCS-3級列車控制系統(tǒng)中ATP車載設(shè)備通過Subset-037安全通信協(xié)議與地面RBC進行通信。Subset-037安全通信承載著列車的通訊數(shù)據(jù)的安全性，需要滿足SIL4級標準。提出一種能夠?qū)崿F(xiàn)車地安全通信安全平臺架構(gòu)設(shè)計的指導(dǎo)方法。針對該方法，結(jié)合相關(guān)功能點進行分析，得出該方法的可行性，對指導(dǎo)車地安全通信設(shè)備具有較大的實用價值。

車地通信；安全通信；安全平臺；數(shù)據(jù)拼接

1 概述

CTCS-3級列車控制系統(tǒng)是一個“故障-安全”的高安全等級系統(tǒng)，車載系統(tǒng)通過無線GSM-R網(wǎng)絡(luò)，獲取行車許可等信息，按照地面控制系統(tǒng)的指令進行車輛運行控制。

以國內(nèi)武廣高速鐵路線的ATP車載為例，ATP車載設(shè)備由以下單元/模塊組成［1］：

1）安全計算機（VC）；

2）軌道電路信息接收單元（TCR）；

3）應(yīng)答器信息接收模塊（BTM）及應(yīng)答器天線；

4）無線通信模塊（RTU）；

5）人機界面（DMI）；

6）列車接口單元（TIU）；

7）測速測距傳感器。

其中，安全計算機VC，作為核心處理設(shè)備，承擔ATP車載設(shè)備的核心處理邏輯，是ATP車載設(shè)備最重要的部件。安全計算機VC主要包含如下幾個部分：

1）主控邏輯單元；

2）測速測距單元；

3）安全輸入輸出單元；

4）通信接口單元；

5）安全通信單元。

車載ATP設(shè)備的結(jié)構(gòu)示意如圖1所示。

安全通信單元與無線通信模塊RTU進行連接，主要完成與地面RBC的通信功能，進行列車位置信息報告，移動授權(quán)接收，臨時限速命令接收等安全相關(guān)信息通信功能，是CTCS-3級列車控制系統(tǒng)不可或缺的組成部分。安全通信模塊承載的是與行車安全相關(guān)的安全信息的接收和處理，所以需要相關(guān)功能在滿足SIL4級的安全硬件中進行，本文在對安全通信協(xié)議進行分析的基礎(chǔ)上提出一種適用于安全通信協(xié)議的SIL4級安全平臺架構(gòu)，可用于指導(dǎo)安全通信模塊的設(shè)計。

圖1　CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備結(jié)構(gòu)示意圖

2 車地通信在ATP中的應(yīng)用介紹

如圖2所示，CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備通過地面的應(yīng)答器，得到列車的定位、前方線路信息等，并將定位信息通過GSM-R發(fā)送給地面控制設(shè)備RBC。同時，從RBC處獲得發(fā)送給車載設(shè)備的行車許可和限速信息。ATP車載設(shè)備再通過行車許可、限速信息和線路信息，算出目前車輛的允許速度。根據(jù)目前速度傳感器和雷達測量的實際列車速度與計算出的允許速度相比，得到當前的列車速度控制策略，并實施速度控制。

圖2　CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備運行原理示意圖

安全通信單元負責與RBC的安全通信交互，完成移動授權(quán)，車輛位置報告，臨時限速命令接受等工作，對提高列車運行速度，減小列車追蹤距離，減少行車間隔提供必要數(shù)據(jù)，是CTCS-3級列車控制系統(tǒng)中不可或缺的組成部分。

3 安全通信協(xié)議分析

EN 50159-2定義了使用開放傳輸系統(tǒng)的安全相關(guān)系統(tǒng)的參考架構(gòu)。安全相關(guān)系統(tǒng)的一般結(jié)構(gòu)，比如歐洲列車控制系統(tǒng)（如圖3所示）是從EN50159-2中摘出的，我國列車控制系統(tǒng)是從歐洲列車控制系統(tǒng)演變而來，所以，我國CTCS-3系統(tǒng)遵循EN 50159-2規(guī)定的開放發(fā)射系統(tǒng)的安全相關(guān)系統(tǒng)參考架構(gòu)。

圖3　開放傳輸系統(tǒng)參考架構(gòu)

除了安全相關(guān)信息，安全相關(guān)設(shè)備中的應(yīng)用進程還可與遠端使用無線通信系統(tǒng)服務(wù)的應(yīng)用進程進行非安全相關(guān)信息的交換。

從圖3可以看出，EN50159-2的“開放傳輸系統(tǒng)”被分為兩部分：通信系統(tǒng)和開放網(wǎng)絡(luò)，在此僅對通信系統(tǒng)（RCS）進行討論。RCS使用Subset-037安全通信協(xié)議，RCS的安全功能模塊（SFM）提供了安全相關(guān)傳輸系統(tǒng)的功能。RCS的通信功能模塊（CFM）提供基于GSM-R PLMN電路交換承載業(yè)務(wù)的通信系統(tǒng)功能。

根據(jù)Subset-037軟件的性質(zhì)，Subset-037安全通信協(xié)議棧可以進行如下結(jié)構(gòu)設(shè)計，如圖4所示。

圖4　安全通信軟件分層架構(gòu)

其中各層分工如下：

1）SFM層實現(xiàn)信息的MAC-DES校驗碼的計算與校驗功能，為安全相關(guān)功能；

2）CFM層通信協(xié)議棧核心邏輯主要有以下部分：

a.實現(xiàn)建立傳輸連接，將應(yīng)用數(shù)據(jù)拆包組包的功能；

b.實現(xiàn)D信道和B信道的協(xié)調(diào)功能以及將TPDU拆包組包的功能；

c.遵循HDLC標準，實現(xiàn)分幀發(fā)送，加入CRC校驗等功能。

Subset-037協(xié)議棧分層明確，SFM與CFM之間沒有耦合關(guān)系，SFM與CFM之間通過T原語也就是數(shù)據(jù)交互的方式進行數(shù)據(jù)傳遞，基于上述軟件架構(gòu)進行安全硬件架構(gòu)的設(shè)計。

4 安全架構(gòu)分析

從安全通信協(xié)議的分析可以看出，Subset-037 的SFM模塊負責協(xié)議的安全部分，CFM模塊負責協(xié)議的非安全部分，且兩層之間分層清晰，所以安全通信硬件架構(gòu)可以采用安全部分與非安全部分分離的設(shè)計思路，安全相關(guān)部分進行二取二設(shè)計，非安全部分為單硬件設(shè)計，非安全與安全模塊之間使用FIFO進行數(shù)據(jù)傳遞，硬件架構(gòu)如圖5所示。

圖5　安全通信模塊硬件架構(gòu)圖

SFM模塊負責安全通信協(xié)議的安全相關(guān)部分，所以由CPU-A及CPU-B進行通信執(zhí)行，CFM模塊實現(xiàn)安全通信協(xié)議中與安全無關(guān)部分，由CPU-A執(zhí)行，RS-422接口掛在CPU-A中，負責與無線通信RTU模塊進行數(shù)據(jù)交互。

從安全通信的數(shù)據(jù)流向區(qū)分，安全通信分為發(fā)送及接收兩個流程，下面分別對兩個流程中的軟件流程進行描述：

在發(fā)送流程中，CPU-A及CPU-B同時從主控邏輯模塊讀取需要發(fā)送的數(shù)據(jù)，并分別送入SFM層的安全發(fā)送處理邏輯進行安全相關(guān)處理，如MAC-DES加密運算等操作，SFM層輸出的數(shù)據(jù)雙CPU進行數(shù)據(jù)交換并進行取二比較，任何一個CPU取二比較失敗都會對整板的錯誤處理邏輯進行觸發(fā)，斷開接收/發(fā)送通道，從而防止錯誤數(shù)據(jù)傳輸；如果取二比較成功，CPU-A繼續(xù)使用CPU-A的數(shù)據(jù)及CPU-B的校驗數(shù)據(jù)進行拼接后送入CFM層進行處理，處理完成后通過RS422 接口發(fā)送數(shù)據(jù)到無線通信RTU模塊，完成數(shù)據(jù)的發(fā)送流程，如圖6所示。

圖6　安全通信模塊發(fā)送流程模塊圖

在安全通信協(xié)議的接收流程中，CPU-A的CFM模塊通過RS-422接口接收來自無線通信RTU模塊的數(shù)據(jù)并進行處理，其輸出數(shù)據(jù)通過數(shù)據(jù)交換模塊發(fā)送給CPU-A及CPU-B的SFM進行安全相關(guān)處理，其SFM的輸出數(shù)據(jù)通過數(shù)據(jù)交換取二模塊進行雙CPU的取二比較，任何一個CPU取二比較失敗，都會對整板的錯誤處理邏輯進行觸發(fā)，斷開接收/發(fā)送通道，從而防止錯誤數(shù)據(jù)傳輸如果取二比較成功，則分別通過數(shù)據(jù)發(fā)送模塊發(fā)送給中控邏輯單元進行相關(guān)處理。如圖7所示。

圖7　安全通信模塊接收流程模塊圖

5 結(jié)論

我國的CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備對地安全通信，目前尚無完整的安全通信設(shè)備。本文通過車地安全通信的需求分析、結(jié)合二取二的安全設(shè)計方法，對CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備的安全通信解決方法進行研究，并對安全通信的特點進行分析。通過分析得到，該方法可以解決車地安全通信設(shè)備的架構(gòu)設(shè)計。

［1］鐵道部科技運［2008］127號 CTCS-3級列控系統(tǒng)系統(tǒng)需求規(guī)范》（SRS）［S］.

［2］Railway applications-Communication， signalling and processing systems -Safety-related communication in transmission systems［S］.

［3］Euroradio FIS subset-035 v3.0.0［S］.

［4］Railway applications-Communication， signalling and processing systems - Software for railway control and protection systems［S］.

［5］Railway applications-Communication， signalling and processing systems-Hardware for railway control and protection systems［S］.

ATP onboard equipment in CTCS-3 system communicates with RBC through the subset-037 safety communication protocol. Subset-037 safety communication carries the safety of train communication data and should meet the SIL4 level standard. The paper puts forward a safety platform architecture design method for realizing train-ground safe communication and analyzes the feasibility of the method based on the relevant functional points. The results shows that the method has practical value to guide train-ground safety communication.

train-ground communication； safety communication； safety platform； data splice

10.3969/j.issn.1673-4440.2016.04.009

中國鐵路總公司科技研究開發(fā)課題（2014X003-B）

2016-06-12）