基于CRC校驗的航電網絡傳輸通道安全性分析

曾 強 江 源 王焱濱

(中電科航空電子有限公司，成都 611731)

0 引言

由于機載環境中各種噪聲和電磁干擾等復雜因素影響，業務數據在航空電子系統通信網絡傳輸過程中可能出錯。若出錯的數據為影響飛機持續飛行與著陸的關鍵數據，則可能極大地降低安全裕度甚至導致災難性事件。因此適航標準對機載系統有明確的完整性設計目標，即機載系統不正確工作或工作異常的概率須滿足適航標準規定的定量需求。

完整性設計措施主要包括表決、校驗、自檢與非相似設計等。其中循環冗余校驗(Cyclic Redundancy Check，簡稱CRC)是航空電子系統通信網絡中廣泛應用的二進制數據校驗技術，可大幅提升數據的完整性。目前，關于CRC檢驗對航空電子系統安全性的影響，尤其是定量的理論分析方面，鮮有文獻進行討論。

將航電網絡通信協議簡化成物理層、鏈路層與應用層3層，在航電網絡終端(應用層)采取CRC校驗的前提下，若業務數據在網絡傳輸過程中發生錯誤且被CRC漏檢的概率能夠滿足頂層分配的完整性需求，則網絡傳輸通道(鏈路層)可無需考慮針對特定業務數據的完整性需求，進而緩解對網絡傳輸通道的安全性需求。本文基于標準CRC校驗的性能，研究了業務數據在航空電子系統通信網絡傳輸過程中出現錯誤且被漏檢的概率，結合案例分析了CRC校驗對航電網絡傳輸通道完整性需求的影響，為航電系統網絡架構設計、數據完整性校驗設計及其安全性分析提供量化參考，進而為系統完整性設計方案的優選提供支撐。

1 航電網絡及其完整性需求

民機航空電子系統通信網絡通過A429、A629、FC、SCI、AFDX等總線互聯，提供了數據傳輸的公共通道。由于本文是在航電網絡終端(應用層)采取CRC校驗的前提下，研究對網絡傳輸通道(鏈路層)的安全性需求(完整性概率與研制保證等級(DAL))的影響，因此網絡傳輸通道的具體拓撲結構不影響本文分析結果，為便于后續分析，將航電網絡簡化為圖1所示結構。

圖1 簡化的航電網絡結構

安全性目標及需求是民機系統設計的基本輸入之一。以民用運輸類飛機為例，咨詢通告AC25.1309規定了不同嚴酷度類別下飛機系統必須滿足的頂層安全性需求，包括可用性與完整性概率、DAL、單點故障準則等，其中不同嚴酷度類別的完整性需求見表1。這些安全性需求通常借助功能危險評估(FHA)落實到具體的飛機系統頂層功能，表1給出了不同嚴酷度類別對應的典型功能參考。對于“Catastrophic”失效狀態，AC25.1309要求無單點故障導致其發生，因此必須采取冗余設計(雙余度或更高余度)，如圖1所示。而對于“Hazardous”類失效狀態通常也需要采取冗余設計才能滿足其完整性需求。

表1 不同嚴酷度類別的完整性需求

航電網絡的完整性需求取決于其承載的系統頂層業務功能。通過FHA確定業務功能的完整性需求后，需要借助初步系統安全性分析(PSSA)，結合網絡架構將系統完整性需求進一步分配到網絡各環節或組成單元。

2 數據錯誤且CRC漏檢的概率

2.1 CRC校驗及其漏檢率

CRC校驗的基本原理是發送端根據CRC算法對

k

位信息碼之后拼接

r

位的校驗碼，形成長度

n

位的(

n

,

k

)碼。接收端收到碼之后根據約定的CRC算法計算并對比接收到的CRC校驗碼，進而識別傳輸過程中出錯的數據。CRC校驗碼是用待發送的

k

位信息碼左移

r

位，然后將最高冪次為

r

的生成多項式G(X)轉換的

r

+1位二進制碼作為除數，對組合后的

n

位二進制碼進行模二除(按位異或)，得到的

r

位余數就是CRC校驗碼。具體的CRC校驗碼生成步驟參見相關標準或論文，本文不再贅述。

根據CRC算法，CRC校驗存在碰撞的可能，即不同的數據有相同的校驗值。如果無法檢測出這種碰撞，則發生了錯誤漏檢。生成多項式G(X)的選取決定了CRC校驗的性能。基于標準G(X)的CRC校驗的性能如下：

(1)可檢測出所有奇數個突發錯誤；

(2)可檢測出所有單個突發錯誤；

(3)可檢測出所有兩個突發錯誤；

(4)可檢測出所有長度小于等于

r

個比特的突發錯誤；(5)突發錯誤長度

l

=

r

+1個比特，其漏檢率為1/2-1；(6)突發錯誤長度

l

>

r

+1個比特，其漏檢率為1/2。

常用的標準G(X)及其漏檢率如表2所示。

表2 標準G(X)及其漏檢率

2.2 數據錯誤且CRC漏檢的概率

航電網絡數據傳輸過程中存在多種復雜因素(噪聲、電流脈沖、單粒子翻轉(SEU)、傳輸設備故障等)導致二進制比特翻轉。假設在傳輸通道中單個比特翻轉的概率(即誤碼率)為

α

，且各個比特翻轉事件是獨立的，則對于

n

位二進制(

n

,

k

)碼出錯的總概率為：

P

=1-(1-

α

)

(1)

基于表2標準

G

(

X

)的

CRC

校驗，只有錯誤比特位長度l>r+1且為偶數時存在漏檢的可能。l>r+1的偶數個突發錯誤的樣本總數為：

(2)

n位二進制碼出錯總共有2-1個樣本，則n位二進制(n,k)碼出現l>r+1的偶數個突發錯誤的概率為：

(3)

綜上，n位二進制(n,k)碼出錯且被

CRC

漏檢的概率為：

(4)

由于民機系統安全性概率需求以每飛行小時(

FH

)為單位，因此P需根據數據發送頻率f(

Hz

)換算成每飛行小時(

FH

)概率為：

(5)

為便于后文對比，將P換算成每飛行小時概率為：

P

=1-(1-

α

)3 600

(6)

對于

CRC

-12、

CRC

-16(或

CRC

-

CCITT

)與

CRC

-32，給定f為20

Hz

、α為1

E

-7，則n-P的對應關系如圖2所示。

圖2 基于標準CRC的n-P4對應關系

3 航電網絡傳輸通道的安全性分析

3.1 l≤r+1的情況分析

對于突發錯誤長度l≤r+1的情況，基于標準

G

(

X

)的

CRC

校驗理論上可以100

%

檢測出錯誤。即，要確保數據完全不被漏檢，則只能使用1位信息碼。顯然這種編碼方式的通信效率太低，極大地限制了其應用。若在適合的場景下使用r+1位的

CRC

編碼方式，如主備用切換、關鍵狀態信息等，則可以避免向網絡傳輸通道分配針對該業務數據的完整性需求，只分配可用性需求。需注意對于完成

CRC

編碼、解碼的網絡終端設備，仍須滿足頂層分配的完整性需求。

3.2 l>r+1的情況分析

對于突發錯誤長度l>r+1的情況，基于標準

G

(

X

)的

CRC

校驗存在數據錯誤且漏檢的概率P或P。以下結合案例分析

CRC

校驗對網絡傳輸通道安全性需求的影響。基于圖1簡化的航電網絡結構，利用故障樹將頂層功能完整性概率需求分配到網絡傳輸通道。對于“

Catastrophic

”與“

Hazardous

”類完整性概率需求，假定1)系統均采取雙冗余設計；2)應用終端對不同源頭的數據進行比對表決；3)數據在網絡中的傳輸路徑相對獨立；則這兩類失效狀態的故障樹結構一致，如圖3所示。對于“

Major

”與“

Minor

”類完整性概率需求，假定無冗余設計，應用終端直接使用單個數據源的數據，其故障樹結構一致，如圖4所示。為簡化分析，概率需求采用平均分配。取平均飛行時間為3

FH

，則分配結果如表3所示。其中對于數據生成

/

應用終端的完整性概率需求，基于現有航電設備的可靠性水平是能夠滿足的。

圖3 “Catastrophic”與“Hazardous”類故障樹

圖4 “Major”與“Minor”類故障樹

表3 網絡傳輸通道的安全性需求

假定某業務數據的生成終端通過

ARINC

429總線對外發送該數據，發送頻率20

Hz

，其中信息碼長度k為16位。考慮機載總線傳輸系統的誤碼率α必須達到1

E

-7，則業務數據在航電網絡傳輸過程中出錯且

CRC

漏檢的概率P計算結果見表4。

表4 數據錯誤且CRC漏檢的概率計算案例

計算結果表明：

1)若采取

CRC

-12校驗，數據的完整性概率提高了4個數量級。對于

II

類、

IV

類嚴酷度，

CRC

-12校驗能夠滿足分配給網絡傳輸通道的完整性概率需求。而對于

I

類、

III

類嚴酷度，

CRC

-12檢驗不能滿足分配的完整性概率需求。這種情況下，則需要向網絡傳輸通道或鏈路層分配

I

類、

III

類嚴酷度對應的完整性概率需求與

DAL

需求，或者在應用層采取設計措施以確保系統完整性需求得到滿足，如：(1)采用更高性能的

CRC

校驗

(2)對待傳數據進行分組校驗

(3)將待傳數據無損壓縮后再校驗

(4)采取冗余設計，應用終端對冗余數據對比表決

2)若采取

CRC

-16、

CRC

-

CCITT

或

CRC

-32校驗，數據的完整性概率提高了至少6個數量級。這種情況下對于任何嚴酷度的業務數據，均無需向網絡傳輸通道分配完整性需求，只需要向網絡傳輸通道分配針對該業務數據的可用性需求。通常可用性需求低于完整性需求，因此通過應用層的

CRC

校驗可緩解對網絡傳輸通道的安全性需求。例如，空中交通服務(

ATS

)作為機載數據鏈應用之一，其完整性需求為1

E

-5

/FH

、

DAL

C

，可用性需求為1

E

-3

/FH

、

DAL

D

。在機載和地面應用終端采取

CRC

-16或

CRC

-

CCITT

校驗的前提下，對

ATS

機載通信鏈路(如

VHF

、

HF

、衛星通信等)分配可用性需求即可，機載通信鏈路的數據完整性由應用層

CRC

校驗保證。

以上案例分析僅給出l>r+1情況的分析思路，實際工程中的情況是復雜的，需要結合具體業務數據的安全性需求、實現原理、總線結構等相關因素進行分析。此外，對于冗余設計，數據在網絡中傳輸路徑的獨立性也需要重點考慮。

4 結論

本文分析了應用層

CRC

校驗對航電網絡傳輸通道安全性需求的影響，結論如下：1)基于標準的

CRC

校驗，若采用r+1位的編碼方式，理論上無漏檢的可能性，則無需向網絡傳輸通道分配針對該業務數據的完整性需求。但這種編碼方式的信息碼只有1位，通信效率極低，應用場合有限。2)若采用r+k(k>1)的

CRC

編碼方式，可按照本文思路評估數據錯誤且被漏檢的概率并采取相應的完整性設計措施，如采用更高性能的校驗、分組校驗或冗余(表決)設計等，使其滿足頂層分配的完整性概率需求，進而緩解對網絡傳輸通道的安全性需求，為系統完整性設計方案的優選提供支撐。