張霞 ，馬連川 ，曹源 ，張玉琢

（1. 北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044；2. 北京交通大學 軌道交通運行控制系統(tǒng)國家工程研究中心，北京 100044；3. 北京交通大學 電子信息工程學院，北京 100044）

1 引言

CTCS-3級列控系統(tǒng)在我國高速鐵路中得到廣泛應用，其列控數(shù)據(jù)傳輸基于鐵路綜合數(shù)字移動通信系統(tǒng)（GSM-R， GSM for railway）實現(xiàn)?！禖TCS-3級列控系統(tǒng)無線通信功能接口規(guī)范》（對應于歐洲的Euroradio FIS[1]，以下簡稱Euroradio）中的安全功能模塊（SFM， safe functional module）為數(shù)據(jù)傳輸過程中可能出現(xiàn)的風險提供安全防護措施。根據(jù)最新版本的EN 50159標準[2]的規(guī)定，GSM-R屬于第三類開放傳輸系統(tǒng)，應對于重復、刪除、插入、亂序、損壞、延遲和偽裝等所有7種傳輸風險提供強防護措施。Euroradio SFM 所提供的防護措施只有源和宿標識符、認證過程和加密過程，能夠?qū)Σ迦搿p壞和偽裝等3種傳輸風險提供強防護措施，但對重復、刪除、亂序、延遲等4種與時間相關(guān)的傳輸風險則沒有提供相應的防護措施。因此可以認為分析CTCS-3級數(shù)據(jù)傳輸安全特性時可以排除插入、損壞和偽裝等傳輸風險，而只考慮與時間相關(guān)的傳輸風險。

2009年，單振宇[3]利用有色Petri網(wǎng)對根據(jù)系統(tǒng)需求所設計的CTCS-3級通信協(xié)議進行建模，分析驗證所設計的通信協(xié)議能滿足性能需求。2012年，陳黎潔[4]選擇分層賦時有色Petri網(wǎng)對安全通信協(xié)議進行研究，通過改變信道與應用層模型的參數(shù)分析所修改的安全通信協(xié)議中安全連接建立的時間特性。2014年，全宏宇[5]利用Matlab SimEvents清晰地模擬了車地通信系統(tǒng)的信息交互流程，并統(tǒng)計分析了通信協(xié)議的安全連接建立時間以及不同長度無線消息傳輸延遲時間。上述研究成果在研究安全通信協(xié)議時，通過在現(xiàn)有Euroradio安全通信協(xié)議中添加時間戳和序列號等措施防護時間相關(guān)風險[3，6]，并對改變后的安全通信協(xié)議進行了功能或性能驗證。但這些研究的不足之處在于沒有闡明添加這些針對時間相關(guān)傳輸風險防護措施的理由。

根據(jù) GSM-R數(shù)據(jù)傳輸原理[7]，可以發(fā)現(xiàn)數(shù)據(jù)延遲和數(shù)據(jù)丟失是造成重復、刪除、亂序、延遲等時間相關(guān)傳輸風險的2種主要原因。在實際情況中，數(shù)據(jù)丟失會造成列控車載設備由于接收不到數(shù)據(jù)而導致移動授權(quán)縮短失敗等危險。根據(jù)文獻[1]可知，數(shù)據(jù)幀在重傳多次后仍沒傳輸成功則視該數(shù)據(jù)幀為丟失。相對數(shù)據(jù)延遲而言，數(shù)據(jù)丟失發(fā)生的概率更低。因此，本文主要分析CTCS-3級列控系統(tǒng)數(shù)據(jù)傳輸中數(shù)據(jù)丟失的概率能否滿足相關(guān)規(guī)范的安全要求。

2 基于DSPN的CTCS-3級無線通信模型與故障恢復模型

由于Petri網(wǎng)能夠完成系統(tǒng)的形勢描述、正確性驗證、性能評價、目標實現(xiàn)和測試等任務，Petri網(wǎng)成為了研究人員分析通信系統(tǒng)與通信協(xié)議的主要工具。而確定與隨機Petri網(wǎng)（DSPN， deterministic and stochastic Petri nets）是一般Petri網(wǎng)的擴充，允許變遷的實施延時既可以是常數(shù)，也可以是指數(shù)分布的隨機變量，這對周期性通信或數(shù)據(jù)傳輸?shù)膯栴}非常適用。所以本文選用DSPN作為建模工具[8]。

2.1 數(shù)據(jù)傳輸過程中的故障恢復模型

無線傳輸過程容易受外界環(huán)境的影響，導致信道故障的來源主要有無線降質(zhì)、越區(qū)切換和鏈路中斷3種類型[9]。而根據(jù)相關(guān)研究成果[10]可知多普勒頻移對于2G和3G無線傳輸系統(tǒng)基本無影響，因此本文研究時不考慮多普勒頻移的影響。

在實際建模過程中，上述3種故障模型單獨設計，其好處在于不僅能仿真數(shù)據(jù)傳輸過程中數(shù)據(jù)與單一故障“碰撞”的過程，還能仿真這3種故障全部發(fā)生情況下的數(shù)據(jù)傳輸過程，這樣仿真結(jié)果更加準確。數(shù)據(jù)傳輸過程中的故障恢復模型如圖1所示。該模型描述的是3種不同的故障由未發(fā)生到發(fā)生的轉(zhuǎn)變過程，3個模型初始狀態(tài)表示3種故障均沒有發(fā)生。

圖1 數(shù)據(jù)傳輸過程中的故障恢復模型

2.2 數(shù)據(jù)傳輸過程中的通信模型

建立Euroradio SFM以下部分的數(shù)據(jù)傳輸過程中的通信模型需要考慮以下3點。

1) 根據(jù)文獻[1]對數(shù)據(jù)傳輸性能指標影響最大的是 GSM-R物理層，其他層對于數(shù)據(jù)的處理時間相對整個數(shù)據(jù)傳輸過程而言可以忽略。因此在模型的初始狀態(tài)，數(shù)據(jù)直接以TDMA幀形式準備發(fā)送。

2) 由于CTCS-3規(guī)范中規(guī)定每幀數(shù)據(jù)為30 byte，而TDMA幀中一個時隙的長度為156.25 bit，所以要完成這30 byte數(shù)據(jù)幀的傳輸，需要2個TDMA幀。在建立DSPN模型時為建模方便，將2個TDMA幀看做是一個Petri網(wǎng)標識。

3) 基于GSM-R進行數(shù)據(jù)傳輸時，以下2種情況引起數(shù)據(jù)重傳：一是由于傳輸過程中遇到故障而導致數(shù)據(jù)部分丟失或錯誤；二是由于傳輸超時。文獻[1]中規(guī)定數(shù)據(jù)的最大重發(fā)次數(shù)為5次。

CTCS-3級列控系統(tǒng)數(shù)據(jù)傳輸過程中的通信模型如圖2所示。

表1給出了圖1和圖2的庫所說明，表2中給出圖1和圖2的變遷含義及各變遷的取值，數(shù)據(jù)取自文獻[1，11]。

表1 圖1和圖2的庫所說明

在圖2所示的通信模型中，當數(shù)據(jù)傳送到達空中接口時，首先要判斷是否發(fā)生故障。

1) 當數(shù)據(jù)傳輸過程中沒有任何故障發(fā)生時，變遷Twgz被激發(fā)進行數(shù)據(jù)傳輸，經(jīng)過數(shù)據(jù)的上行、下行和接收方的判斷之后Ttrade被激發(fā)，表示發(fā)送方收到數(shù)據(jù)的應答幀，經(jīng)過一定時間的應答幀分析后變遷Twgzsucc被激發(fā)，開始準備傳輸下一幀數(shù)據(jù)。

2) 當數(shù)據(jù)傳輸過程中發(fā)生無線降質(zhì)，則變遷Tcoll1被激發(fā)，由于無線降質(zhì)是在數(shù)據(jù)傳輸過程中由于信道衰落或者受到干擾而造成，對數(shù)據(jù)而言，造成的最惡劣影響就是部分數(shù)據(jù)錯誤，并不會引起傳輸延時，所以經(jīng)過正常的上、下行傳輸和接收方的數(shù)據(jù)校驗之后變遷Tdrde被激發(fā)，將庫所Ptradr中的標記轉(zhuǎn)入Pprocess中，表示發(fā)送方收到接收方傳輸回來的要求數(shù)據(jù)幀重傳的信息，發(fā)送方對這一信息進行處理判斷之后變遷Tprocess被激發(fā)，開始準備數(shù)據(jù)重發(fā)。

3) 當數(shù)據(jù)傳輸過程中遇到越區(qū)切換時，變遷Tcoll2被激發(fā)。由于GSM-R采用的是硬切換技術(shù)，所以越區(qū)切換執(zhí)行時會造成一定時間的通信中斷，而在該通信中斷過程中正在進行的傳輸數(shù)據(jù)就會發(fā)生丟失，導致接收方不會接收到數(shù)據(jù)而產(chǎn)生相應的應答幀。所以只有在定時器Ttimer溢出后才能進行重發(fā)。

4) 當數(shù)據(jù)傳輸過程中發(fā)生鏈路中斷的時候，變遷Tcoll3被激發(fā)。由于鏈路中斷同樣會造成一定時間的通信中斷，數(shù)據(jù)傳輸及重發(fā)過程與越區(qū)切換基本一致，只是由于二者的中斷時間不同，需要發(fā)送的重傳的數(shù)據(jù)幀數(shù)不同而已。

5) 當數(shù)據(jù)傳輸過程中無線降質(zhì)和鏈路中斷同時發(fā)生、越區(qū)切換和鏈路中斷同時發(fā)生或者3種故障全部發(fā)生時，由于鏈路中斷或者越區(qū)切換而造成數(shù)據(jù)丟失，等待超時重發(fā)。

6) 關(guān)于定時器部分，變遷Tgen被激發(fā)，數(shù)據(jù)幀開始發(fā)送的同時啟動定時器Ttimer，即標記進入Psenddata的同時另一個標記同樣進入Pon。當標記到達Pwgzsucc或者Pprocess時清除Pon中的標記，表示當發(fā)送方收到接受方發(fā)回的應答幀時，無論是數(shù)據(jù)成功的信息還是要求數(shù)據(jù)重傳的信息，都滿足定時器溢出之前收到應答幀就清零定時器的要求。當定時器超時Ttimer被激發(fā)，標記進入Pout1。實際數(shù)據(jù)傳輸過程中定時器超時立即重新發(fā)送數(shù)據(jù)，而不管已經(jīng)發(fā)送的數(shù)據(jù)是否仍在傳輸中，但是在DSPN模型中，某一時刻只能保證一個標記被傳輸，否則會造成標記堆積而導致仿真失敗。當定時器超時且數(shù)據(jù)仍在傳輸沒有應答幀到達發(fā)送方時，即庫所Pout1中存在標記，同時Pduan中存在標記，Tca3被激發(fā)，清除Pduan中的標記，表明數(shù)據(jù)丟失等待定時器超時超發(fā)。當定時器超時的同時恰巧收到數(shù)據(jù)幀應答時，即Pout1中存在標記，Pwgzsucc或者 Pprocess中存在標記，激發(fā)變遷 Ttiao5或者Ttiao6，清除Pwgzsucc或者Pprocess中的標記來進行超時重發(fā)。

圖2 CTCS-3級列控系統(tǒng)數(shù)據(jù)傳輸過程中的通信模型

表2 圖1和圖2的變遷說明

考慮到GSM-R網(wǎng)絡主要存在2種覆蓋方式：單層覆蓋和冗余覆蓋。冗余覆蓋較單層覆蓋能提高數(shù)據(jù)傳輸?shù)目煽啃?，從而鏈路中斷和無線降質(zhì)發(fā)生概率降低，但冗余覆蓋會造成越區(qū)切換更加頻繁。

根據(jù)文獻[11]，單層覆蓋下無線降質(zhì)出現(xiàn)周期大于7 s的概率為99%，降質(zhì)持續(xù)時間小于1 s的概率為99%?？紤]極端情況假定列車時速為500 km/h，無線小區(qū)之間的距離L為7 km，則越區(qū)切換發(fā)生的時間間隔為50 s，切換導致的通信中斷時間最長為300 ms。鏈路中斷故障每小時發(fā)生的概率為 10-2，GSM-R設備檢查到中斷后重新建立鏈接。鏈接中斷后5 s內(nèi)重新建立鏈接的概率為95%[11]。而冗余覆蓋下越區(qū)切換發(fā)生的時間間隔為單層覆蓋的 1/2，無線降質(zhì)出現(xiàn)周期為大于70 s的概率為99%，降質(zhì)持續(xù)時間小于1 s的概率為99%，鏈路中斷故障每小時發(fā)生的概率為10-3，鏈接中斷后5 s內(nèi)重新建立鏈接的概率為95%。因此，單層覆蓋及冗余覆蓋下故障恢復模型參數(shù)選擇如表3所示。

表3 單層覆蓋及冗余覆蓋下故障恢復模型參數(shù)選擇

3 模型分析

結(jié)合上述數(shù)據(jù)傳輸過程中的通信模型和故障恢復模型，利用TimeNET4.0進行仿真，可以分別得到單層覆蓋和冗余覆蓋下數(shù)據(jù)丟失的穩(wěn)態(tài)概率Plost，如圖3和圖4所示。

圖3 單層覆蓋下列車速度對于數(shù)據(jù)丟失概率的影響

圖4 冗余覆蓋下列車速度對于數(shù)據(jù)丟失概率的影響

由圖3和圖4可得出，單層或冗余覆蓋下，隨著列車速度的提高，數(shù)據(jù)丟失概率都會微升。但對于相同列車速度而言，冗余覆蓋下數(shù)據(jù)丟失概率一直低于單層覆蓋下的數(shù)據(jù)丟失概率，說明無線降質(zhì)和鏈路中斷對于數(shù)據(jù)丟失起主要作用，列車速度的變化對于通信的影響較小。

在實際情況中，數(shù)據(jù)丟失會使列車由于接收不到數(shù)據(jù)，而出現(xiàn)文獻[7]中所描述的由于移動授權(quán)縮短失敗所造成的危險。根據(jù)文獻[7]，分配給CTCS-3級列控系統(tǒng)車地GSM-R傳輸系統(tǒng)危險失效率為 1.0×10-11，結(jié)合前文“分析 CTCS-3級數(shù)據(jù)傳輸安全特性時只考慮與時間相關(guān)的傳輸風險”的假設，可以認為時間相關(guān)的危險失效率就是 1.0×10-11。為了說明問題，將單層覆蓋和冗余覆蓋下數(shù)據(jù)丟失概率及上述時間相關(guān)的危險失效率同時繪制于圖5中。

圖 5中“標準”代表文獻[7]規(guī)定的時間相關(guān)風險的危險失效率，當數(shù)據(jù)丟失概率在“標準”代表的圖線下方時才滿足SIL4級要求。但從圖 5中可以看出，不論是單層覆蓋還是冗余覆蓋，數(shù)據(jù)丟失概率都遠在“標準”圖線之上。這說明即使在只有數(shù)據(jù)丟失才會造成列控系統(tǒng)危險輸出這一極端情況下，也不能滿足相關(guān)規(guī)范對于數(shù)據(jù)傳輸?shù)腟IL4級要求，如果再考慮數(shù)據(jù)傳輸延時所造成的影響，就更不會滿足相關(guān)規(guī)范的要求。

因此，現(xiàn)有 Euroradio安全協(xié)議沒有提供時間相關(guān)風險防護措施，不能滿足相關(guān)規(guī)范對于數(shù)據(jù)傳輸?shù)?SIL4級要求，為了保證CTCS-3級列控系統(tǒng)GSM-R車地數(shù)據(jù)傳輸滿足數(shù)據(jù)傳輸安全要求必須在其 SFM 上添加相應的時間相關(guān)風險防護措施。例如，可使用《RSSP-II鐵路信號安全通信協(xié)議》的安全應用中間子層協(xié)議。

4 結(jié)束語

圖5 單層、冗余覆蓋下數(shù)據(jù)丟失概率及時間相關(guān)的危險失效率對比

本文從分析CTCS-3級列控系統(tǒng) Euroradio的SFM對于時間相關(guān)風險防護能力出發(fā)，基于DSPN建立了CTCS-3級列控系統(tǒng)數(shù)據(jù)傳輸過程中的通信模型和故障恢復模型。將 2種模型相結(jié)合，利用TimeNET4.0進行仿真，得出以下結(jié)論。

1) 單層覆蓋或者冗余覆蓋下，列車速度對于數(shù)據(jù)丟失的概率影響較小。

2) 相同列車速度下，冗余覆蓋下數(shù)據(jù)丟失概率一直低于單層覆蓋下的數(shù)據(jù)丟失概率。

3) 單層覆蓋或者冗余覆蓋下，即使只考慮數(shù)據(jù)丟失才會造成列控系統(tǒng)危險輸出，也不能滿足相關(guān)規(guī)范對于CTCS-3級列控系統(tǒng)數(shù)據(jù)傳輸?shù)腟IL4級要求。

因此，現(xiàn)有 Euroradio安全協(xié)議沒有提供時間相關(guān)風險防護措施，不能滿足相關(guān)規(guī)范對于數(shù)據(jù)傳輸?shù)腟IL4級要求，為了保證 CTCS-3級列控系統(tǒng)GSM-R車地數(shù)據(jù)傳輸滿足數(shù)據(jù)傳輸安全要求，必須在其SFM上添加相應的時間相關(guān)風險防護措施。

[1] ETRMS/ETCS . Euroradio FIS[S]. 2005.

[2] ERTMS. EN50159-2010 Railway Applications—Communication，Signalling and Processing Systems—Safety-Related Communication in Transmission Systems[S]. 2010.

[3] 單振宇. CTCS-3級車地通信協(xié)議設計與驗證[D]. 北京： 北京交通大學， 2009.SHAN Z Y. Design and Verification of CTCS-3 Train Ground Communication Protocol[D]. Beijing： Beijing Jiaotong University， 2009.

[4] 陳黎潔，單振宇，唐濤. 列車運行控制系統(tǒng)中安全通信協(xié)議的形式化分析[J]. 鐵道學報， 2012，34(7)：70-76.CHEN L J， SHAN Z Y， TANG T. Formal analysis on safety communication protocol in train control system[J]. Journal of the China Railway Society， 2012， 34(7)：70-76.

[5] 全宏宇. CTCS-3級列控系統(tǒng)地車安全信息傳輸子系統(tǒng)的建模與分析[D]. 北京： 北京交通大學， 2014.QUAN H Y. Modeling and Analysis of Safety Information Transmission Subsystem Between Train and Ground for CTCS-3 Train Control System[D]. Beijing： Beijing Jiaotong University， 2014.

[6] 陳黎潔. 列車運行控制系統(tǒng)安全通信協(xié)議驗證方法的研究[D]. 北京： 北京交通大學， 2013.CHEN L J. Research of Authentication Methods on Safety Communication Protocol in Train Control System[J]. Beijing： Beijing Jiaotong University， 2013.

[7] ETRMS/ETCS. ETCS Application Levels 1 & 2 - Safety Analysis[S].

[8] 林闖. 隨機Petri網(wǎng)和系統(tǒng)性能評價[M]. 北京： 清華大學出版社， 2009.LIN C. Stochastic Petri Nets and System Performance Evaluation[M].Beijing： Tsinghua University Press， 2009.

[9] ZIMMERMANN A. Modeling and evaluation of stochastic Petri nets with TimeNET 4.1[A].Performance Evaluation Methodologies and Tools (VALUETOOLS)， 2012 6th International Conference on[C].2012.54-63.

[10] 蘇華鴻. 移動通信多普勒頻移與高鐵覆蓋技術(shù)[J]. 郵電設計技術(shù)，2009， (12)：1-4.SU H H. Mobile communication doppler frequency shift and high-speed railway coverage technology[J]. Designing Techniques of Posts and Telecommunications， 2009，(12)：1-4.

[11] GSM-R QoS Working Group. ERTMS/GSM-R Quality of Service Test Specification[S]. 2006.