適用于CTCS-3級的安全計算機平臺的無線安全通信架構分析

黃彬彬孟慶堯，2

（1.北京全路通信信號研究設計院集團有限公司，北京 100070；2.北京市高速鐵路運行控制系統工程技術研究中心，北京 100070）

適用于CTCS-3級的安全計算機平臺的無線安全通信架構分析

黃彬彬1孟慶堯1，2

（1.北京全路通信信號研究設計院集團有限公司，北京 100070；2.北京市高速鐵路運行控制系統工程技術研究中心，北京 100070）

CTCS-3級列車控制系統中ATP車載設備通過Subset-037安全通信協議與地面RBC進行通信。Subset-037安全通信承載著列車的通訊數據的安全性，需要滿足SIL4級標準。提出一種能夠實現車地安全通信安全平臺架構設計的指導方法。針對該方法，結合相關功能點進行分析，得出該方法的可行性，對指導車地安全通信設備具有較大的實用價值。

車地通信；安全通信；安全平臺；數據拼接

1 概述

CTCS-3級列車控制系統是一個“故障-安全”的高安全等級系統，車載系統通過無線GSM-R網絡，獲取行車許可等信息，按照地面控制系統的指令進行車輛運行控制。

以國內武廣高速鐵路線的ATP車載為例，ATP車載設備由以下單元/模塊組成［1］：

1）安全計算機（VC）；

2）軌道電路信息接收單元（TCR）；

3）應答器信息接收模塊（BTM）及應答器天線；

4）無線通信模塊（RTU）；

5）人機界面（DMI）；

6）列車接口單元（TIU）；

7）測速測距傳感器。

其中，安全計算機VC，作為核心處理設備，承擔ATP車載設備的核心處理邏輯，是ATP車載設備最重要的部件。安全計算機VC主要包含如下幾個部分：

1）主控邏輯單元；

2）測速測距單元；

3）安全輸入輸出單元；

4）通信接口單元；

5）安全通信單元。

車載ATP設備的結構示意如圖1所示。

安全通信單元與無線通信模塊RTU進行連接，主要完成與地面RBC的通信功能，進行列車位置信息報告，移動授權接收，臨時限速命令接收等安全相關信息通信功能，是CTCS-3級列車控制系統不可或缺的組成部分。安全通信模塊承載的是與行車安全相關的安全信息的接收和處理，所以需要相關功能在滿足SIL4級的安全硬件中進行，本文在對安全通信協議進行分析的基礎上提出一種適用于安全通信協議的SIL4級安全平臺架構，可用于指導安全通信模塊的設計。

圖1　CTCS-3級列車控制系統ATP車載設備結構示意圖

2 車地通信在ATP中的應用介紹

如圖2所示，CTCS-3級列車控制系統ATP車載設備通過地面的應答器，得到列車的定位、前方線路信息等，并將定位信息通過GSM-R發送給地面控制設備RBC。同時，從RBC處獲得發送給車載設備的行車許可和限速信息。ATP車載設備再通過行車許可、限速信息和線路信息，算出目前車輛的允許速度。根據目前速度傳感器和雷達測量的實際列車速度與計算出的允許速度相比，得到當前的列車速度控制策略，并實施速度控制。

圖2　CTCS-3級列車控制系統ATP車載設備運行原理示意圖

安全通信單元負責與RBC的安全通信交互，完成移動授權，車輛位置報告，臨時限速命令接受等工作，對提高列車運行速度，減小列車追蹤距離，減少行車間隔提供必要數據，是CTCS-3級列車控制系統中不可或缺的組成部分。

3 安全通信協議分析

EN 50159-2定義了使用開放傳輸系統的安全相關系統的參考架構。安全相關系統的一般結構，比如歐洲列車控制系統（如圖3所示）是從EN50159-2中摘出的，我國列車控制系統是從歐洲列車控制系統演變而來，所以，我國CTCS-3系統遵循EN 50159-2規定的開放發射系統的安全相關系統參考架構。

圖3　開放傳輸系統參考架構

除了安全相關信息，安全相關設備中的應用進程還可與遠端使用無線通信系統服務的應用進程進行非安全相關信息的交換。

從圖3可以看出，EN50159-2的“開放傳輸系統”被分為兩部分：通信系統和開放網絡，在此僅對通信系統（RCS）進行討論。RCS使用Subset-037安全通信協議，RCS的安全功能模塊（SFM）提供了安全相關傳輸系統的功能。RCS的通信功能模塊（CFM）提供基于GSM-R PLMN電路交換承載業務的通信系統功能。

根據Subset-037軟件的性質，Subset-037安全通信協議?？梢赃M行如下結構設計，如圖4所示。

圖4　安全通信軟件分層架構

其中各層分工如下：

1）SFM層實現信息的MAC-DES校驗碼的計算與校驗功能，為安全相關功能；

2）CFM層通信協議棧核心邏輯主要有以下部分：

a.實現建立傳輸連接，將應用數據拆包組包的功能；

b.實現D信道和B信道的協調功能以及將TPDU拆包組包的功能；

c.遵循HDLC標準，實現分幀發送，加入CRC校驗等功能。

Subset-037協議棧分層明確，SFM與CFM之間沒有耦合關系，SFM與CFM之間通過T原語也就是數據交互的方式進行數據傳遞，基于上述軟件架構進行安全硬件架構的設計。

4 安全架構分析

從安全通信協議的分析可以看出，Subset-037 的SFM模塊負責協議的安全部分，CFM模塊負責協議的非安全部分，且兩層之間分層清晰，所以安全通信硬件架構可以采用安全部分與非安全部分分離的設計思路，安全相關部分進行二取二設計，非安全部分為單硬件設計，非安全與安全模塊之間使用FIFO進行數據傳遞，硬件架構如圖5所示。

圖5　安全通信模塊硬件架構圖

SFM模塊負責安全通信協議的安全相關部分，所以由CPU-A及CPU-B進行通信執行，CFM模塊實現安全通信協議中與安全無關部分，由CPU-A執行，RS-422接口掛在CPU-A中，負責與無線通信RTU模塊進行數據交互。

從安全通信的數據流向區分，安全通信分為發送及接收兩個流程，下面分別對兩個流程中的軟件流程進行描述：

在發送流程中，CPU-A及CPU-B同時從主控邏輯模塊讀取需要發送的數據，并分別送入SFM層的安全發送處理邏輯進行安全相關處理，如MAC-DES加密運算等操作，SFM層輸出的數據雙CPU進行數據交換并進行取二比較，任何一個CPU取二比較失敗都會對整板的錯誤處理邏輯進行觸發，斷開接收/發送通道，從而防止錯誤數據傳輸；如果取二比較成功，CPU-A繼續使用CPU-A的數據及CPU-B的校驗數據進行拼接后送入CFM層進行處理，處理完成后通過RS422 接口發送數據到無線通信RTU模塊，完成數據的發送流程，如圖6所示。

圖6　安全通信模塊發送流程模塊圖

在安全通信協議的接收流程中，CPU-A的CFM模塊通過RS-422接口接收來自無線通信RTU模塊的數據并進行處理，其輸出數據通過數據交換模塊發送給CPU-A及CPU-B的SFM進行安全相關處理，其SFM的輸出數據通過數據交換取二模塊進行雙CPU的取二比較，任何一個CPU取二比較失敗，都會對整板的錯誤處理邏輯進行觸發，斷開接收/發送通道，從而防止錯誤數據傳輸如果取二比較成功，則分別通過數據發送模塊發送給中控邏輯單元進行相關處理。如圖7所示。

圖7　安全通信模塊接收流程模塊圖

5 結論

我國的CTCS-3級列車控制系統ATP車載設備對地安全通信，目前尚無完整的安全通信設備。本文通過車地安全通信的需求分析、結合二取二的安全設計方法，對CTCS-3級列車控制系統ATP車載設備的安全通信解決方法進行研究，并對安全通信的特點進行分析。通過分析得到，該方法可以解決車地安全通信設備的架構設計。

［1］鐵道部科技運［2008］127號 CTCS-3級列控系統系統需求規范》（SRS）［S］.

［2］Railway applications-Communication， signalling and processing systems -Safety-related communication in transmission systems［S］.

［3］Euroradio FIS subset-035 v3.0.0［S］.

［4］Railway applications-Communication， signalling and processing systems - Software for railway control and protection systems［S］.

［5］Railway applications-Communication， signalling and processing systems-Hardware for railway control and protection systems［S］.

ATP onboard equipment in CTCS-3 system communicates with RBC through the subset-037 safety communication protocol. Subset-037 safety communication carries the safety of train communication data and should meet the SIL4 level standard. The paper puts forward a safety platform architecture design method for realizing train-ground safe communication and analyzes the feasibility of the method based on the relevant functional points. The results shows that the method has practical value to guide train-ground safety communication.

train-ground communication； safety communication； safety platform； data splice

10.3969/j.issn.1673-4440.2016.04.009

中國鐵路總公司科技研究開發課題（2014X003-B）

2016-06-12）