李洋濤，喬恩，李小勇，鄭斌，閆迷軍2,，夏好廣

（1 中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 機(jī)車車輛研究所，北京 100081；2 動(dòng)車組和機(jī)車牽引與控制國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100081；3 北京縱橫機(jī)電科技有限公司，北京 100094）

列車控制與監(jiān)視系統(tǒng)是現(xiàn)代軌道車輛的關(guān)鍵系統(tǒng)之一，系統(tǒng)的功能安全是列車安全穩(wěn)定運(yùn)行的重要保障。隨著網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展，軌道車輛信息化程度不斷提高，列車控制與監(jiān)視系統(tǒng)逐漸開始承載安全相關(guān)的控制功能，如方向控制、常用制動(dòng)、超速防護(hù)等。通信功能作為列車控制與監(jiān)視系統(tǒng)的關(guān)鍵功能之一，構(gòu)建涉及安全功能的通信通道，實(shí)現(xiàn)安全數(shù)據(jù)的傳輸，是列車控制與監(jiān)視系統(tǒng)實(shí)現(xiàn)所承擔(dān)安全功能的必要環(huán)節(jié)［1］。

在列車網(wǎng)絡(luò)中采用安全協(xié)議作為系統(tǒng)整體功能安全的重要保障，也已成為行業(yè)發(fā)展的共識(shí)。列車網(wǎng)絡(luò)采用MVB 總線或者以太網(wǎng)等通信技術(shù)，需要結(jié)合功能安全的理念對(duì)其進(jìn)行安全性分析、研究和設(shè)計(jì)，從而達(dá)到網(wǎng)絡(luò)系統(tǒng)承載的功能安全要求［2］。

1 列車網(wǎng)絡(luò)通信風(fēng)險(xiǎn)分析

IEC 61508 標(biāo)準(zhǔn)［3］為電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全提供指導(dǎo)，其中典型的安全相關(guān)系統(tǒng)如圖1 所示，包含有傳感器、可編程電子系統(tǒng)、通信系統(tǒng)及執(zhí)行機(jī)構(gòu)，通信系統(tǒng)的功能安全是整體功能安全的重要組成部分。在IEC 61784《現(xiàn)場(chǎng)總線功能安全通信》標(biāo)準(zhǔn)［4］中進(jìn)一步規(guī)定，通信系統(tǒng)作為安全相關(guān)系統(tǒng)中傳輸安全數(shù)據(jù)的重要載體，其功能安全通信的失效率不能超過總體安全完整等級(jí)目標(biāo)規(guī)定失效率的1%，該指標(biāo)是功能安全通信分析和設(shè)計(jì)的重要依據(jù)。

依據(jù)IEC 61508-2 標(biāo)準(zhǔn)［5］，安全功能的實(shí)現(xiàn) 所采用的任何通信形式，均應(yīng)評(píng)估其通信過程中功能異常的概率，涉及到傳輸錯(cuò)誤、重復(fù)、刪除、插入、錯(cuò)序、損壞、延時(shí)及偽裝等各種通信錯(cuò)誤。目前，軌道車輛所采用的列車控制與監(jiān)視系統(tǒng)，主要是基于IEC 61375 標(biāo)準(zhǔn)［5］的列車通信網(wǎng)絡(luò)，包括WTB（Wire Train Bus）總線、MVB 總線、以太網(wǎng)等幾種通信技術(shù)形式。當(dāng)前，MVB 總線應(yīng)用最為普遍、更具有針對(duì)性，文中選取MVB 總線為例開展分析和研究。參考IEC 61784 中具體規(guī)定的通信錯(cuò)誤類型［4，6］，對(duì)MVB 總線的通信失效進(jìn)行分析，可能出現(xiàn)的相應(yīng)錯(cuò)誤情況如下：

（1）損壞：MVB 節(jié)點(diǎn)收發(fā)器損壞、線纜破損、終端電阻未接入、節(jié)點(diǎn)端口配置沖突等，均會(huì)造成通信數(shù)據(jù)的損壞。

（2）無(wú)意重復(fù)：MVB 總線的過程數(shù)據(jù)采用周期性發(fā)送的機(jī)制［7］，當(dāng)MVB 節(jié)點(diǎn)軟件卡滯，通信網(wǎng)卡數(shù)據(jù)無(wú)法更新，則會(huì)向網(wǎng)絡(luò)上重復(fù)發(fā)送無(wú)效的舊數(shù)據(jù)，出現(xiàn)無(wú)意重復(fù)的數(shù)據(jù)。

（3）丟失：造成丟失的原因可能有多個(gè)方面，比如節(jié)點(diǎn)發(fā)生故障、總線調(diào)度異常等，在MVB 總線通信中此類情況較多。

（4）不可接受的延時(shí)：MVB 線路干擾、節(jié)點(diǎn)軟件故障時(shí)，可能造成短時(shí)通信中斷，超過應(yīng)用設(shè)定的超時(shí)時(shí)間。

（5）錯(cuò)序：MVB 總線采用主從調(diào)度機(jī)制［7］，源設(shè)備只有收到調(diào)度主幀才會(huì)發(fā)送通信數(shù)據(jù)，由網(wǎng)絡(luò)傳輸本身機(jī)制造成錯(cuò)序的概率很小，出現(xiàn)錯(cuò)序多為設(shè)備自身數(shù)據(jù)收發(fā)處理的問題。

（6）插入：在MVB 總線主從調(diào)度機(jī)制下，通信中如有其他節(jié)點(diǎn)發(fā)送的數(shù)據(jù)插入時(shí)，通常出現(xiàn)會(huì)從幀碰撞的情況，表現(xiàn)出的結(jié)果事實(shí)上是數(shù)據(jù)丟失；但在一些特定的情況下，如通過中繼器連接構(gòu)成的多個(gè)MVB 網(wǎng)段，異常插入的數(shù)據(jù)如發(fā)生在接收設(shè)備所在網(wǎng)段，而正常的源數(shù)據(jù)在與接收設(shè)備不同的網(wǎng)段，則會(huì)出現(xiàn)局部網(wǎng)段內(nèi)未知源數(shù)據(jù)插入的情況。

（7）偽裝：在MVB 總線中，僅在（6）中所述的某些特定情況下，才可能發(fā)生數(shù)據(jù)偽裝的錯(cuò)誤，而大多數(shù)情況下，插入的偽裝數(shù)據(jù)，會(huì)與相應(yīng)的源發(fā)生數(shù)據(jù)幀碰撞，從而造成數(shù)據(jù)丟失。

（8）尋址：在MVB 總線中，采用源地址廣播的機(jī)制，即通過調(diào)度主幀廣播通信端口的地址。在該機(jī)制下尋址出錯(cuò)，一方面原因可能是源設(shè)備發(fā)生錯(cuò)誤，響應(yīng)了原本不應(yīng)該響應(yīng)的主幀，導(dǎo)致非正確尋址情況下錯(cuò)誤發(fā)送出數(shù)據(jù)。另一方面，由于接收設(shè)備發(fā)生異常，判定接收地址出錯(cuò)，導(dǎo)致接收了錯(cuò)誤地址的數(shù)據(jù)。

綜合上述分析，基于MVB 總線具有自身的特點(diǎn)，通用通信風(fēng)險(xiǎn)中，損壞、無(wú)意重傳、丟失、不可接受延時(shí)都是通信中更容易發(fā)生的錯(cuò)誤類型，錯(cuò)序、插入、偽裝、尋址錯(cuò)誤等，在特定情況下也會(huì)出現(xiàn)。

MVB 總線通信協(xié)議中，其數(shù)據(jù)鏈路層使用了CRC（Cyclic Redundancy Check）校驗(yàn)，并且采用通信冗余等機(jī)制去規(guī)避報(bào)文損壞、意外重傳及丟失等通信風(fēng)險(xiǎn)，但這些措施無(wú)法滿足安全通信的需求，因此有必要在應(yīng)用層軟件上層增加有效的通信風(fēng)險(xiǎn)防御措施，以達(dá)到通信安全目標(biāo)。

2 列車網(wǎng)絡(luò)的安全措施選擇及實(shí)現(xiàn)

在列車控制與監(jiān)視系統(tǒng)這樣復(fù)雜的系統(tǒng)中，存在各種軟件、硬件及外界干擾因素下造成的通信錯(cuò)誤情況，僅依靠總線自身的校驗(yàn)機(jī)制無(wú)法實(shí)現(xiàn)足夠有效的防護(hù)。為使系統(tǒng)達(dá)到相應(yīng)的功能安全等級(jí)，在安全通信方面需要有針對(duì)性地采取一定的方法措施，從而使通信殘余差錯(cuò)率降低到要求的范圍內(nèi)，達(dá)到有效的預(yù)防與控制效果。

根據(jù)IEC61784功能安全通信標(biāo)準(zhǔn)［4，6］中的規(guī)定，在應(yīng)用層之上增加安全通信協(xié)議層來(lái)實(shí)現(xiàn)功能安全通信，從而實(shí)現(xiàn)對(duì)功能安全相關(guān)的應(yīng)用數(shù)據(jù)的保護(hù)。MVB 功能安全通信模型如圖2 所示，在MVB 原有的應(yīng)用層協(xié)議之上，增加安全通信協(xié)議層。

圖2 MVB 功能安全通信模型

安全通信協(xié)議層中，包括各類通信風(fēng)險(xiǎn)的有效防御措施，保證規(guī)避MVB 數(shù)據(jù)傳輸經(jīng)過應(yīng)用層、數(shù)據(jù)鏈路層、物理層（包括MVB 總線線路以及可能存在的中繼器）時(shí)出現(xiàn)的各類錯(cuò)誤。

在列車通信網(wǎng)絡(luò)標(biāo)準(zhǔn)IEC 61375-2-3中［5］，提出了安全通信協(xié)議SDT（Safe Data Transmission），選取了安全序列計(jì)數(shù)器、宿時(shí)間監(jiān)視、安全碼、守衛(wèi)時(shí)間、源身份標(biāo)識(shí)符、延時(shí)監(jiān)控、通道監(jiān)控等手段，可以覆蓋標(biāo)準(zhǔn)EN 50159 通信中相應(yīng)的通信錯(cuò)誤［8］，其安全措施及通信錯(cuò)誤對(duì)應(yīng)矩陣見表1。

表1 TCN 通信標(biāo)準(zhǔn)中的安全措施

SDT 協(xié)議同樣適用于MVB 傳輸，但由于MVB通信自身傳輸特點(diǎn)，協(xié)議需進(jìn)行必要的適應(yīng)性調(diào)整。如延時(shí)監(jiān)控，對(duì)于MVB 而言為可選項(xiàng)。MVB為主從調(diào)度的機(jī)制，MVB 幀的安全序列號(hào)在通信過程中難以保證完全的連續(xù)性，因此基于安全序列號(hào)的延時(shí)監(jiān)控，在實(shí)現(xiàn)中會(huì)有一定的偏差。此外，MVB 總線通過宿時(shí)間監(jiān)視的機(jī)制，可以規(guī)避不可接受延時(shí)的通信錯(cuò)誤，可不必再增加延時(shí)監(jiān)控的措施。

（1）安全序列計(jì)數(shù)器

當(dāng)每次發(fā)送或接收一包新的關(guān)鍵數(shù)據(jù)時(shí)，相關(guān)的計(jì)數(shù)器進(jìn)行累加。通過檢查接收的關(guān)鍵數(shù)據(jù)包中安全序列計(jì)數(shù)器值是否在設(shè)置的接收范圍內(nèi)來(lái)判斷數(shù)據(jù)包是否有效，接收范圍通過設(shè)定的窗口值大小來(lái)判定。

（2）宿時(shí)間監(jiān)視

在MVB 協(xié)議控制器中，對(duì)需要監(jiān)視的端口設(shè)置計(jì)時(shí)器，通過檢測(cè)端口的計(jì)時(shí)器與設(shè)定值來(lái)核查所收到數(shù)據(jù)的時(shí)間有效性。

（3）安全碼

SDT 協(xié)議采用32 位的安全碼，根據(jù)IEC 61375-2-3［5］中定義的32 位CRC 校驗(yàn)多 項(xiàng)式進(jìn) 行計(jì)算，計(jì)算范圍包括發(fā)送報(bào)文中的關(guān)鍵過程數(shù)據(jù)到安全序列計(jì)數(shù)的字段。

（4）守衛(wèi)時(shí)間

守衛(wèi)時(shí)間的校驗(yàn)是為了檢測(cè)2 個(gè)冗余的安全數(shù)據(jù)源，如果在一個(gè)安全數(shù)據(jù)源的守衛(wèi)時(shí)間內(nèi)，收到了另一個(gè)冗余安全數(shù)據(jù)源的數(shù)據(jù)包，則表明另一個(gè)冗余數(shù)據(jù)源激活。

（5）源身份標(biāo)識(shí)符

所有源的安全相關(guān)數(shù)據(jù)應(yīng)當(dāng)由來(lái)源識(shí)別碼（Source Identified Code）標(biāo)識(shí)，來(lái)源識(shí)別碼通過對(duì)特定的SID 數(shù)據(jù)結(jié)構(gòu)進(jìn)行SC-32 校驗(yàn)取得。SID的數(shù)據(jù)結(jié)構(gòu)包括用戶定義的安全消息識(shí)別符、SDT 協(xié)議版本、編組通用唯一標(biāo)別符、安全拓?fù)溆?jì)數(shù)器以及預(yù)留位等部分構(gòu)成。由于MVB 數(shù)據(jù)傳輸全部為編組內(nèi)部的傳輸，SID 中的編組標(biāo)識(shí)符、安全拓?fù)溆?jì)數(shù)等參數(shù)均設(shè)置為0。

（6）通道監(jiān)控

通道監(jiān)控用于檢測(cè)由于未知軟件、硬件原因造成的安全通道通信失效率的攀升。當(dāng)安全通道中帶有錯(cuò)誤安全碼的數(shù)據(jù)包數(shù)量超過規(guī)定值時(shí)，則應(yīng)當(dāng)判定為安全通信失效。

通過以上安全措施，關(guān)鍵的MVB 過程數(shù)據(jù)打包為MVB 關(guān)鍵數(shù)據(jù)包進(jìn)行傳輸。MVB 關(guān)鍵數(shù)據(jù)包定義如圖3 所示。

圖3 MVB 安全通信關(guān)鍵數(shù)據(jù)包結(jié)構(gòu)

對(duì)于以上采取的安全措施，在MVB 安全協(xié)議層中實(shí)現(xiàn)的數(shù)據(jù)發(fā)送及接收流程如圖4 所示。其中發(fā)送過程主要是安全序列號(hào)、安全碼等信息的填入；對(duì)于接收過程，則需要通過安全碼、安全序列計(jì)數(shù)器、宿時(shí)間監(jiān)視、守衛(wèi)時(shí)間以及通道監(jiān)控來(lái)檢查安全數(shù)據(jù)的完整性以及時(shí)間符合性，判定是否符合功能安全的通信要求。

圖4 MVB 安全通信程序流程圖

3 安全性分析

3.1 CRC 校驗(yàn)殘余錯(cuò)誤概率分析

在IEC 61784-3 附 錄B［4］中，首先提 出對(duì)于 安全數(shù)據(jù)采取CRC 檢驗(yàn)手段而產(chǎn)生的殘余錯(cuò)誤概率RCRC，這也是數(shù)據(jù)完整性錯(cuò)誤的發(fā)生概率，計(jì)算公式為式（1）：

式中：Pe為位錯(cuò)誤概率；n為報(bào)文總位長(zhǎng)；Ai為分布系數(shù)，在選取適當(dāng)?shù)腃RC 多項(xiàng)式情況下，在公式中可使用權(quán)重系數(shù)2-r（r為生成多項(xiàng)式的位數(shù)）來(lái)計(jì)算近似值，CRC 多項(xiàng)式的殘余錯(cuò)誤概率的估算公式為式（2）：

式中：dmin為最小漢明距。對(duì)于同一生成多校式的CRC 校驗(yàn)，不同長(zhǎng)度的傳輸報(bào)文的最小漢明距不同［9］。總體隨報(bào)文長(zhǎng)度的增加，最小漢明距呈逐漸變小的趨勢(shì)。

MVB 總線安全協(xié)議中采用CRC 多項(xiàng)表達(dá)式為0xFA567D89，公式為式（3）：

對(duì)于典型的CRC 校驗(yàn)，在不同報(bào)文長(zhǎng)度下所對(duì)應(yīng)的最小漢明距已經(jīng)有普遍的分析和計(jì)算。參考計(jì)算結(jié)果，本生成多項(xiàng)式在MVB 報(bào)文長(zhǎng)度分別為64、128、256 位時(shí)，所對(duì)應(yīng)的最小漢明距均為8。

針對(duì)3 種不同長(zhǎng)度的MVB 報(bào)文情況，由不同的位錯(cuò)誤概率取值，可求得相應(yīng)的殘余錯(cuò)誤概率。經(jīng)計(jì)算，得出不同長(zhǎng)度的MVB 報(bào)文對(duì)應(yīng)的殘余錯(cuò)誤概率擬合曲線，如圖5 所示。由圖可見，當(dāng)MVB報(bào)文更短時(shí)，殘余錯(cuò)誤概率也相對(duì)更小。MVB 安全協(xié)議所采用的CRC 多項(xiàng)式計(jì)算得出的殘余錯(cuò)誤概率對(duì)應(yīng)位錯(cuò)誤概率呈現(xiàn)出單調(diào)上升的趨勢(shì)，而未出現(xiàn)在位錯(cuò)誤概率更高反而殘余錯(cuò)誤率下降的情況，因此表明了采用的CRC 多項(xiàng)式是合適的。

圖5 MVB 通信殘余錯(cuò)誤率擬合曲線圖

3.2 總殘余錯(cuò)誤率分析

根據(jù)IEC 61784-3 標(biāo)準(zhǔn)［4，6］，安全通信過程中的殘余錯(cuò)誤主要由數(shù)據(jù)完整性錯(cuò)誤、真實(shí)性錯(cuò)誤、時(shí)效性錯(cuò)誤和偽裝錯(cuò)誤4 個(gè)部分構(gòu)成，4 種類型的錯(cuò)誤可以覆蓋通信錯(cuò)誤中可能產(chǎn)生的通信錯(cuò)誤的全部類型，這些不同類型殘余錯(cuò)誤率相加得到一個(gè)安全通信系統(tǒng)最終的殘余錯(cuò)誤率。據(jù)此，可對(duì)MVB 總線的總殘余錯(cuò)誤率進(jìn)行計(jì)算。

（1）完整性錯(cuò)誤率（RRI）

對(duì)數(shù)據(jù)完整性錯(cuò)誤率進(jìn)行計(jì)算，使用公式為式（4）：

式中：RPI為數(shù)據(jù)完整性的殘余錯(cuò)誤概率，即CRC校驗(yàn)的殘余錯(cuò)誤概率RCRC（Pe），對(duì)于位錯(cuò)誤概率Pe，參照標(biāo)準(zhǔn)中的說明，使用最大值10-2；v為每小時(shí)通信的最大數(shù)量，在本例中選取應(yīng)用中通常采用較小周期即32 ms 通信一次，1 小時(shí)為 112 500次；RPFSCP_I為獨(dú)有的其他措施的殘余錯(cuò)誤概率，在未采用的情況下，該參數(shù)選用最大值 1。

經(jīng)計(jì)算得出不同MVB 報(bào)文長(zhǎng)度下的RPI如下：

當(dāng)數(shù)據(jù)長(zhǎng)度為64 位時(shí)，RRI數(shù)據(jù)完整性的殘余錯(cuò)誤概率為7.043 06×10-12/h。

當(dāng)數(shù)據(jù)長(zhǎng)度為128 位時(shí)，RRI數(shù)據(jù)完整性的殘余錯(cuò)誤概率為1.292 47×10-9/h。

當(dāng)數(shù)據(jù)長(zhǎng)度為256 位時(shí)，RRI數(shù)據(jù)完整性的殘余錯(cuò)誤概率為1.213 55×10-7/h。

RRI數(shù)據(jù)完整性錯(cuò)誤率見表2。

表2 RRI 數(shù)據(jù)完整性錯(cuò)誤率

（2）真實(shí)性錯(cuò)誤率（RRA）

真實(shí)性錯(cuò)誤率相對(duì)于完整性錯(cuò)誤率足夠小，在標(biāo)準(zhǔn)中對(duì)真實(shí)性錯(cuò)誤率進(jìn)行計(jì)算，RRA的值都為0。因此，該項(xiàng)目的計(jì)算取0 值。

（3）時(shí)效性錯(cuò)誤率（RRT）

按照標(biāo)準(zhǔn)的規(guī)定，計(jì)算公式為式（5）：

式中：LT為序列號(hào)的比特長(zhǎng)度，在本例中為32；w為接收安全MVB 單元中所接受的時(shí)間戳或序列號(hào)的值的范圍（窗口大?。诒纠龑?shí)現(xiàn)中設(shè)定為4；RT為安全MVB 單元的序列號(hào)不正確的發(fā)生率，依據(jù)標(biāo)準(zhǔn)，取通用值10-3/h；RPFSCP_T為獨(dú)有的其他措施的殘余錯(cuò)誤概率，本例中選用最大值1。

RRT時(shí)效性錯(cuò)誤率見表3。

表3 RRT 時(shí)效性錯(cuò)誤率

代入計(jì)算可得，RRT＝9.313 23×10-13/h。

（4）偽裝錯(cuò)誤的貢獻(xiàn)（RRM）

按照標(biāo)準(zhǔn)的規(guī)定，計(jì)算公式為式（6）：

式中：LA為連接認(rèn)證的比特長(zhǎng)度，即地址信息位長(zhǎng)度，在本例中采用SID為32；LT為序列號(hào)的比特長(zhǎng)度，在本例中為8；w為時(shí)間戳或序列號(hào)的值的范圍，本例中為4；r是CRC 簽名的比特長(zhǎng)度，本例中為32；RPU其他唯一性字段的殘余錯(cuò)誤概率，本例中選最大值1；LR為安全MVB 單元中重復(fù)部分的比特長(zhǎng)度（帶有交叉校驗(yàn)的冗余，否則LR=0），本例中為0；RM為偽裝安全MVB 單元的發(fā)生率，依據(jù)標(biāo)準(zhǔn)，取通用值10-3/h。

代入計(jì)算可得，RRM＝8.470 33×10-25/h。

RRM偽裝錯(cuò)誤率見表4。

表4 RRM 偽裝錯(cuò)誤率

（5）殘余錯(cuò)誤率的總和λSC按照標(biāo)準(zhǔn)的規(guī)定，計(jì)算公式為式（7）：

將以上計(jì)算所得數(shù)據(jù)代入，可得λSC，見表5。

表5 總殘余錯(cuò)誤率λSC

對(duì)于功能安全通信總線而言，其功能安全通信系統(tǒng)中的安全功能失效率對(duì)總體功能安全的貢獻(xiàn)不超過1%，其與安全完整性等級(jí)的對(duì)應(yīng)關(guān)系見表6。

表6 殘余錯(cuò)誤率與SIL 水平關(guān)系

通過以上計(jì)算，不同長(zhǎng)度MVB 報(bào)文的安全通信殘余總錯(cuò)誤率估算結(jié)果分別為7.974 39×10-12/h、1.293 4×10-9/h、1.213 56×10-7/h，參照上表中功能安全通信系統(tǒng)失效率及功能安全通信系統(tǒng)允許殘余錯(cuò)誤率的關(guān)系，基于文中采用的安全通信措施進(jìn)行估算，在傳輸數(shù)據(jù)為64 位時(shí)，可以滿足SIL4（λSC<10-10），傳輸數(shù)據(jù)為128 位時(shí)，可以滿足SIL2（λSC<10-9）。

通過以上的計(jì)算可總體了解MVB 報(bào)文傳輸所能達(dá)到的安全完整性等級(jí)水平。當(dāng)選定的安全措施無(wú)法達(dá)到更高的完全等級(jí)時(shí)，可增加額外的安全措施以提高安全性。如上述計(jì)算中，當(dāng)傳輸數(shù)據(jù)為256 位時(shí)，功能安全通信無(wú)法達(dá)到SIL2 乃至更高的安全等級(jí)要求。假使在安全通信系統(tǒng)增加具有冗余交叉檢驗(yàn)措施，即安全報(bào)文通過冗余傳輸并在接收方內(nèi)進(jìn)行逐位比對(duì)，其殘余錯(cuò)誤率計(jì)算見表7，安全通信通道的殘余總錯(cuò)誤率估算結(jié)果為2.175 76×10-22/h?；谌哂嘣O(shè)計(jì)的安全通信協(xié)議可達(dá)到SIL4（λSC<10-10）的通信功能安全需求見表7。

表7 基于安全通信冗余架構(gòu)冗余架構(gòu)總殘余錯(cuò)誤率λSC

4 結(jié)論

文中通過對(duì)功能安全在列車網(wǎng)絡(luò)通信中應(yīng)用開展研究，依據(jù)IEC 61784-3 標(biāo)準(zhǔn)，對(duì)TCN 標(biāo)準(zhǔn)中安全數(shù)據(jù)傳輸協(xié)議的功能安全進(jìn)行了分析。針對(duì)所采用的安全措施，計(jì)算了MVB 總線功能安全通信的殘余錯(cuò)誤率，分析了不同長(zhǎng)度MVB 幀采用安全協(xié)議可達(dá)到的安全完整性水平。通過進(jìn)一步計(jì)算表明，增加新的安全措施，可使安全協(xié)議達(dá)到更高的安全等級(jí)。

文中對(duì)應(yīng)用于列車控制與監(jiān)視系統(tǒng)的功能安全通信開展研究及分析，可為列車網(wǎng)絡(luò)系統(tǒng)的功能安全通信設(shè)計(jì)開發(fā)提供參考，為考量列車網(wǎng)絡(luò)通信的安全性提供相應(yīng)的依據(jù)，還可以為相關(guān)的安全認(rèn)證工作提供支撐。列車網(wǎng)絡(luò)通信安全協(xié)議的實(shí)現(xiàn)，有助于列車控制與監(jiān)視系統(tǒng)總體向著功能安全的方向發(fā)展，為列車網(wǎng)絡(luò)承提更多的安全功能奠定基礎(chǔ)。