黃彬彬孟慶堯，2

（1.北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；2.北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070）

適用于CTCS-3級的安全計(jì)算機(jī)平臺的無線安全通信架構(gòu)分析

黃彬彬1孟慶堯1，2

（1.北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；2.北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070）

CTCS-3級列車控制系統(tǒng)中ATP車載設(shè)備通過Subset-037安全通信協(xié)議與地面RBC進(jìn)行通信。Subset-037安全通信承載著列車的通訊數(shù)據(jù)的安全性，需要滿足SIL4級標(biāo)準(zhǔn)。提出一種能夠?qū)崿F(xiàn)車地安全通信安全平臺架構(gòu)設(shè)計(jì)的指導(dǎo)方法。針對該方法，結(jié)合相關(guān)功能點(diǎn)進(jìn)行分析，得出該方法的可行性，對指導(dǎo)車地安全通信設(shè)備具有較大的實(shí)用價值。

車地通信；安全通信；安全平臺；數(shù)據(jù)拼接

1 概述

CTCS-3級列車控制系統(tǒng)是一個“故障-安全”的高安全等級系統(tǒng)，車載系統(tǒng)通過無線GSM-R網(wǎng)絡(luò)，獲取行車許可等信息，按照地面控制系統(tǒng)的指令進(jìn)行車輛運(yùn)行控制。

以國內(nèi)武廣高速鐵路線的ATP車載為例，ATP車載設(shè)備由以下單元/模塊組成［1］：

1）安全計(jì)算機(jī)（VC）；

2）軌道電路信息接收單元（TCR）；

3）應(yīng)答器信息接收模塊（BTM）及應(yīng)答器天線；

4）無線通信模塊（RTU）；

5）人機(jī)界面（DMI）；

6）列車接口單元（TIU）；

7）測速測距傳感器。

其中，安全計(jì)算機(jī)VC，作為核心處理設(shè)備，承擔(dān)ATP車載設(shè)備的核心處理邏輯，是ATP車載設(shè)備最重要的部件。安全計(jì)算機(jī)VC主要包含如下幾個部分：

1）主控邏輯單元；

2）測速測距單元；

3）安全輸入輸出單元；

4）通信接口單元；

5）安全通信單元。

車載ATP設(shè)備的結(jié)構(gòu)示意如圖1所示。

安全通信單元與無線通信模塊RTU進(jìn)行連接，主要完成與地面RBC的通信功能，進(jìn)行列車位置信息報(bào)告，移動授權(quán)接收，臨時限速命令接收等安全相關(guān)信息通信功能，是CTCS-3級列車控制系統(tǒng)不可或缺的組成部分。安全通信模塊承載的是與行車安全相關(guān)的安全信息的接收和處理，所以需要相關(guān)功能在滿足SIL4級的安全硬件中進(jìn)行，本文在對安全通信協(xié)議進(jìn)行分析的基礎(chǔ)上提出一種適用于安全通信協(xié)議的SIL4級安全平臺架構(gòu)，可用于指導(dǎo)安全通信模塊的設(shè)計(jì)。

圖1　CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備結(jié)構(gòu)示意圖

2 車地通信在ATP中的應(yīng)用介紹

如圖2所示，CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備通過地面的應(yīng)答器，得到列車的定位、前方線路信息等，并將定位信息通過GSM-R發(fā)送給地面控制設(shè)備RBC。同時，從RBC處獲得發(fā)送給車載設(shè)備的行車許可和限速信息。ATP車載設(shè)備再通過行車許可、限速信息和線路信息，算出目前車輛的允許速度。根據(jù)目前速度傳感器和雷達(dá)測量的實(shí)際列車速度與計(jì)算出的允許速度相比，得到當(dāng)前的列車速度控制策略，并實(shí)施速度控制。

圖2　CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備運(yùn)行原理示意圖

安全通信單元負(fù)責(zé)與RBC的安全通信交互，完成移動授權(quán)，車輛位置報(bào)告，臨時限速命令接受等工作，對提高列車運(yùn)行速度，減小列車追蹤距離，減少行車間隔提供必要數(shù)據(jù)，是CTCS-3級列車控制系統(tǒng)中不可或缺的組成部分。

3 安全通信協(xié)議分析

EN 50159-2定義了使用開放傳輸系統(tǒng)的安全相關(guān)系統(tǒng)的參考架構(gòu)。安全相關(guān)系統(tǒng)的一般結(jié)構(gòu)，比如歐洲列車控制系統(tǒng)（如圖3所示）是從EN50159-2中摘出的，我國列車控制系統(tǒng)是從歐洲列車控制系統(tǒng)演變而來，所以，我國CTCS-3系統(tǒng)遵循EN 50159-2規(guī)定的開放發(fā)射系統(tǒng)的安全相關(guān)系統(tǒng)參考架構(gòu)。

圖3　開放傳輸系統(tǒng)參考架構(gòu)

除了安全相關(guān)信息，安全相關(guān)設(shè)備中的應(yīng)用進(jìn)程還可與遠(yuǎn)端使用無線通信系統(tǒng)服務(wù)的應(yīng)用進(jìn)程進(jìn)行非安全相關(guān)信息的交換。

從圖3可以看出，EN50159-2的“開放傳輸系統(tǒng)”被分為兩部分：通信系統(tǒng)和開放網(wǎng)絡(luò)，在此僅對通信系統(tǒng)（RCS）進(jìn)行討論。RCS使用Subset-037安全通信協(xié)議，RCS的安全功能模塊（SFM）提供了安全相關(guān)傳輸系統(tǒng)的功能。RCS的通信功能模塊（CFM）提供基于GSM-R PLMN電路交換承載業(yè)務(wù)的通信系統(tǒng)功能。

根據(jù)Subset-037軟件的性質(zhì)，Subset-037安全通信協(xié)議棧可以進(jìn)行如下結(jié)構(gòu)設(shè)計(jì)，如圖4所示。

圖4　安全通信軟件分層架構(gòu)

其中各層分工如下：

1）SFM層實(shí)現(xiàn)信息的MAC-DES校驗(yàn)碼的計(jì)算與校驗(yàn)功能，為安全相關(guān)功能；

2）CFM層通信協(xié)議棧核心邏輯主要有以下部分：

a.實(shí)現(xiàn)建立傳輸連接，將應(yīng)用數(shù)據(jù)拆包組包的功能；

b.實(shí)現(xiàn)D信道和B信道的協(xié)調(diào)功能以及將TPDU拆包組包的功能；

c.遵循HDLC標(biāo)準(zhǔn)，實(shí)現(xiàn)分幀發(fā)送，加入CRC校驗(yàn)等功能。

Subset-037協(xié)議棧分層明確，SFM與CFM之間沒有耦合關(guān)系，SFM與CFM之間通過T原語也就是數(shù)據(jù)交互的方式進(jìn)行數(shù)據(jù)傳遞，基于上述軟件架構(gòu)進(jìn)行安全硬件架構(gòu)的設(shè)計(jì)。

4 安全架構(gòu)分析

從安全通信協(xié)議的分析可以看出，Subset-037 的SFM模塊負(fù)責(zé)協(xié)議的安全部分，CFM模塊負(fù)責(zé)協(xié)議的非安全部分，且兩層之間分層清晰，所以安全通信硬件架構(gòu)可以采用安全部分與非安全部分分離的設(shè)計(jì)思路，安全相關(guān)部分進(jìn)行二取二設(shè)計(jì)，非安全部分為單硬件設(shè)計(jì)，非安全與安全模塊之間使用FIFO進(jìn)行數(shù)據(jù)傳遞，硬件架構(gòu)如圖5所示。

圖5　安全通信模塊硬件架構(gòu)圖

SFM模塊負(fù)責(zé)安全通信協(xié)議的安全相關(guān)部分，所以由CPU-A及CPU-B進(jìn)行通信執(zhí)行，CFM模塊實(shí)現(xiàn)安全通信協(xié)議中與安全無關(guān)部分，由CPU-A執(zhí)行，RS-422接口掛在CPU-A中，負(fù)責(zé)與無線通信RTU模塊進(jìn)行數(shù)據(jù)交互。

從安全通信的數(shù)據(jù)流向區(qū)分，安全通信分為發(fā)送及接收兩個流程，下面分別對兩個流程中的軟件流程進(jìn)行描述：

在發(fā)送流程中，CPU-A及CPU-B同時從主控邏輯模塊讀取需要發(fā)送的數(shù)據(jù)，并分別送入SFM層的安全發(fā)送處理邏輯進(jìn)行安全相關(guān)處理，如MAC-DES加密運(yùn)算等操作，SFM層輸出的數(shù)據(jù)雙CPU進(jìn)行數(shù)據(jù)交換并進(jìn)行取二比較，任何一個CPU取二比較失敗都會對整板的錯誤處理邏輯進(jìn)行觸發(fā)，斷開接收/發(fā)送通道，從而防止錯誤數(shù)據(jù)傳輸；如果取二比較成功，CPU-A繼續(xù)使用CPU-A的數(shù)據(jù)及CPU-B的校驗(yàn)數(shù)據(jù)進(jìn)行拼接后送入CFM層進(jìn)行處理，處理完成后通過RS422 接口發(fā)送數(shù)據(jù)到無線通信RTU模塊，完成數(shù)據(jù)的發(fā)送流程，如圖6所示。

圖6　安全通信模塊發(fā)送流程模塊圖

在安全通信協(xié)議的接收流程中，CPU-A的CFM模塊通過RS-422接口接收來自無線通信RTU模塊的數(shù)據(jù)并進(jìn)行處理，其輸出數(shù)據(jù)通過數(shù)據(jù)交換模塊發(fā)送給CPU-A及CPU-B的SFM進(jìn)行安全相關(guān)處理，其SFM的輸出數(shù)據(jù)通過數(shù)據(jù)交換取二模塊進(jìn)行雙CPU的取二比較，任何一個CPU取二比較失敗，都會對整板的錯誤處理邏輯進(jìn)行觸發(fā)，斷開接收/發(fā)送通道，從而防止錯誤數(shù)據(jù)傳輸如果取二比較成功，則分別通過數(shù)據(jù)發(fā)送模塊發(fā)送給中控邏輯單元進(jìn)行相關(guān)處理。如圖7所示。

圖7　安全通信模塊接收流程模塊圖

5 結(jié)論

我國的CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備對地安全通信，目前尚無完整的安全通信設(shè)備。本文通過車地安全通信的需求分析、結(jié)合二取二的安全設(shè)計(jì)方法，對CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備的安全通信解決方法進(jìn)行研究，并對安全通信的特點(diǎn)進(jìn)行分析。通過分析得到，該方法可以解決車地安全通信設(shè)備的架構(gòu)設(shè)計(jì)。

［1］鐵道部科技運(yùn)［2008］127號 CTCS-3級列控系統(tǒng)系統(tǒng)需求規(guī)范》（SRS）［S］.

［2］Railway applications-Communication， signalling and processing systems -Safety-related communication in transmission systems［S］.

［3］Euroradio FIS subset-035 v3.0.0［S］.

［4］Railway applications-Communication， signalling and processing systems - Software for railway control and protection systems［S］.

［5］Railway applications-Communication， signalling and processing systems-Hardware for railway control and protection systems［S］.

ATP onboard equipment in CTCS-3 system communicates with RBC through the subset-037 safety communication protocol. Subset-037 safety communication carries the safety of train communication data and should meet the SIL4 level standard. The paper puts forward a safety platform architecture design method for realizing train-ground safe communication and analyzes the feasibility of the method based on the relevant functional points. The results shows that the method has practical value to guide train-ground safety communication.

train-ground communication； safety communication； safety platform； data splice

10.3969/j.issn.1673-4440.2016.04.009

中國鐵路總公司科技研究開發(fā)課題（2014X003-B）

2016-06-12）