3RSSP-I鐵路安全通信協(xié)議

1、鐵路信號(hào)安全協(xié)議-1Railway Signal Safety Protocol - I（報(bào)批稿）義義義義-義義-義義發(fā)布義義義義-義義-義義實(shí)施中華人民共和國(guó)鐵道部發(fā)布TB/T 2465TB/T 2465xxxx本規(guī)范為首次發(fā)布，應(yīng)用于鐵路信號(hào)安全通信的I類協(xié)議規(guī)范。本規(guī)范由北京全路通信信號(hào)研究設(shè)計(jì)院提出并歸口。本規(guī)范由北京全路通信信號(hào)研究設(shè)計(jì)院負(fù)責(zé)起草。本規(guī)范主要起草人：岳朝鵬、葉峰、郭軍強(qiáng)IIII鐵路信號(hào)安全協(xié)議-I1范圍本規(guī)范規(guī)定了鐵路信號(hào)安全設(shè)備之間進(jìn)行安全相關(guān)信息交互的安全層功能結(jié)構(gòu)和協(xié)議。本安全層規(guī) 范應(yīng)與以本規(guī)范擴(kuò)展定義的其它接口規(guī)范，共同構(gòu)成完整的應(yīng)用規(guī)范。本規(guī)范適用于封閉式

2、傳輸系統(tǒng)，以實(shí)現(xiàn)鐵路信號(hào)安全設(shè)備間的安全數(shù)據(jù)通信。2規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的 修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方，研 究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。EN-50159-1:2001 Railway applications - Communication, signalling and Processing systems -Part 1: Safety-related communication in closed t

3、ransmission systems 鐵道應(yīng)用： 封 閉式傳輸系統(tǒng)中安全通信要求EN-50159-2:2001 Railway applications - Communication, signalling and Processing systems - Part 2: Safety-related communication in open transmission systems 鐵道應(yīng)用：開放 式傳輸系統(tǒng)中安全通信要求EN-50128:2001 Railway applications - Communications, signalling and processing syst

4、ems - Software for railway control and protection systems 鐵道應(yīng)用:鐵路控制和防護(hù)系 統(tǒng)軟件EN-50129:2003 Railway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling鐵道應(yīng)用：安全相關(guān)電子系統(tǒng)3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。危險(xiǎn)源 Hazard可導(dǎo)致事故的條件。風(fēng)險(xiǎn) Risk特定危險(xiǎn)事件發(fā)生的頻率、概率以及產(chǎn)生的后果。失敗 Failu

5、re系統(tǒng)故障或錯(cuò)誤的后果。錯(cuò)誤 Error與預(yù)期設(shè)計(jì)的偏差，系統(tǒng)非預(yù)期輸出或失敗。故障 Fault可導(dǎo)致系統(tǒng)錯(cuò)誤的異常條件。故障可由隨機(jī)和系統(tǒng)產(chǎn)生。4縮寫下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。4.1RSSPRailway Signal Safety ProtocolRSSP鐵路信號(hào)安全協(xié)議SID Source Identifier每個(gè)安全數(shù)據(jù)生產(chǎn)者均有一個(gè)特定字標(biāo)記（32位長(zhǎng)）。T（n） Time stamp value reached at cycle n.達(dá)到周期“n”的時(shí)間戳值。時(shí)間戳由兩個(gè)32位長(zhǎng)分量組成，每個(gè)計(jì)算通道為一個(gè)分量，即：T_1（n）， T_2（n）。CRCM CRC modifie

6、d改化CRC，在原CRC上附加含帶SID、T（n）和系統(tǒng)校驗(yàn)字分量信息（32位長(zhǎng)）。每個(gè)計(jì)算通道為一 個(gè)分量。CRCM_1 = CRC_1 SID_1 T_1（n）（系統(tǒng)校驗(yàn)字）_1CRCM_2 = CRC_2 SID_2 T_2（n）（系統(tǒng)校驗(yàn)字）_2SINIT Sequence initialisation constant序列初始化常量作為啟動(dòng)安全數(shù)據(jù)信息交換過(guò)程前的通信建立要求生成的結(jié)果。每個(gè)計(jì)算通道為一 個(gè)分量。變量名稱（依賴變量參數(shù)名）在本規(guī)范算法描述中，用于表示本變量根據(jù)括號(hào)內(nèi)指示的變量參數(shù)名稱具有不同的取值。LFSR Linear Feedback Shift Register

7、線性反饋移位寄存器。標(biāo)準(zhǔn)XOR運(yùn)算符。+使用LFSR添加運(yùn)算符。使用LFSR反減運(yùn)算符。5概述對(duì)于封閉式傳輸系統(tǒng)中的安全通信問(wèn)題，EN50159-1中規(guī)定應(yīng)能對(duì)以下安全威脅進(jìn)行識(shí)別和防 范：a）數(shù)據(jù)幀重復(fù)；b）數(shù)據(jù)幀丟失；c）數(shù)據(jù)幀插入；d）數(shù)據(jù)幀次序混亂；e）數(shù)據(jù)幀錯(cuò)誤；f）數(shù)據(jù)幀傳輸超時(shí)。RSSP-I采用從接收方角度設(shè)計(jì)的保護(hù)算法，要求接收方必須對(duì)接收到的信息做出以下檢查:： a）發(fā)送方的身份信息（真實(shí)性）；b）信息幀的正確性（完整性）；c）信息幀的時(shí)效性（時(shí)限性）；d）信息幀序列的正確性（次序性）。RSSP-I主要采用了下列安全防御技術(shù)：a）時(shí)間戳；b）超時(shí)；c）源標(biāo)識(shí)符SID；d）反饋

8、消息；e）雙重校驗(yàn)。參見下表：表1威脅/防御矩陣危險(xiǎn) 情形時(shí)間戳 （次序性）時(shí)間戳（本地超時(shí)）超時(shí)（清除）源標(biāo)識(shí)符反饋 消息雙重 校驗(yàn)重復(fù)X丟失X插入XXX錯(cuò)序X錯(cuò)碼X延遲XXX5.1.4 RSSP-I為通用協(xié)議層，下圖顯示了 RSSP-I的外部接口：C接口為RSSP-I所使用的物理傳輸通道，適用于在封閉式傳輸系統(tǒng)中分發(fā)安全數(shù)據(jù)；B接口為對(duì)等實(shí)體的安全連接；A接口為具體應(yīng)用軟件根據(jù) 特定應(yīng)用要求進(jìn)行定制。應(yīng)用軟件A應(yīng)用軟件B、A 、+ BRSSP-I 邏輯鏈路一RSSP-I* ctC物理通信物理鏈路一物理通信圖1 RSSP-1的外部接口6安全防御技術(shù)時(shí)間戳由兩個(gè)32位長(zhǎng)的偽隨機(jī)數(shù)表示，必須確認(rèn)

9、在每個(gè)軟件周期時(shí)的強(qiáng)制增量。外加一個(gè)32位計(jì)數(shù)器，用作代數(shù)比較。計(jì)數(shù)器采用的是系統(tǒng)軟件內(nèi)部周期序號(hào)，故即可作為系統(tǒng)發(fā)送消息時(shí)的序號(hào)，也可作為存儲(chǔ)在本 地存儲(chǔ)器中的消息超時(shí)。時(shí)間戳與計(jì)數(shù)器周期同步遞增。超時(shí)要求從生成時(shí)刻起的有限時(shí)間段內(nèi)保持有效。所有接收消息經(jīng)檢驗(yàn)確認(rèn)后，去除發(fā)送源的時(shí)間戳，改用本地時(shí)間標(biāo)記存儲(chǔ)。使用兩個(gè)機(jī)制執(zhí)行超時(shí)：a）本地時(shí)效檢驗(yàn)，若超時(shí)，完全清除消息數(shù)據(jù)。b）發(fā)送方時(shí)效檢驗(yàn)，若超時(shí)，須啟動(dòng)時(shí)序校正機(jī)制，才能接受消息。源標(biāo)識(shí)符所有發(fā)送節(jié)點(diǎn)均有一對(duì)唯一的32位長(zhǎng)SID,隨同安全數(shù)據(jù)一起發(fā)送。反饋消息時(shí)間戳同時(shí)包含序列信息，隨同安全數(shù)據(jù)一起發(fā)送。若接收方校驗(yàn)到發(fā)送消息序列非預(yù)期內(nèi)

10、的增量，則啟動(dòng)時(shí)序校正交互。接收方向只對(duì)特定發(fā)送方發(fā)送時(shí)序請(qǐng)求，發(fā)送方則按接收方要求反饋時(shí)序應(yīng)答，接收方再根據(jù)時(shí) 序應(yīng)答消息重新計(jì)算發(fā)送方的時(shí)序同步位置。雙重校驗(yàn)有兩個(gè)32位長(zhǎng)CRC，確保安全傳輸所要求的漏檢差錯(cuò)概率。另加兩個(gè)32位長(zhǎng)的固定系統(tǒng)校驗(yàn)字，隨同安全數(shù)據(jù)一起發(fā)送。系統(tǒng)校驗(yàn)字用于標(biāo)識(shí)安全層協(xié)議的正確特性。7數(shù)據(jù)幀定義安全數(shù)據(jù)交互原則圖2描述了數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方之間的安全數(shù)據(jù)交互原則：即接收方必須實(shí)時(shí)檢查從發(fā)送 方來(lái)的安全數(shù)據(jù)幀的時(shí)序性，若發(fā)現(xiàn)不同步，就觸發(fā)時(shí)序校正機(jī)制，且只在校正同步后才認(rèn)可為有效安 全數(shù)據(jù)幀（如:BA）。若當(dāng)前時(shí)序已同步，就只需單方向?qū)崟r(shí)發(fā)送安全數(shù)據(jù)幀即可，不必作

11、任何應(yīng)答（如： BC）。A的RX （請(qǐng)求者）B安全數(shù)據(jù)能夠處理來(lái)自B的安全數(shù)據(jù)不能夠處理來(lái)自B的安全數(shù)據(jù)A的RX （請(qǐng)求者）B安全數(shù)據(jù)能夠處理來(lái)自B的安全數(shù)據(jù)不能夠處理來(lái)自B的安全數(shù)據(jù)開始安全 數(shù)據(jù)處理探測(cè)到 時(shí)序不同步時(shí)序校正請(qǐng)安全數(shù)據(jù) 校正應(yīng)答幀圖2安全數(shù)據(jù)交互示例在安全通信交互中需使用到以下三種幀類型，如表2所示。并要求：a）除應(yīng)用數(shù)據(jù)域外，其它多字節(jié)域均采用小端順序排列（即低字節(jié)在前），應(yīng)用數(shù)據(jù)域按具體應(yīng) 用層協(xié)議要求順序排列。b）連續(xù)的兩幀之間的發(fā)送時(shí)間間隔不得小于5毫秒，以便接收方識(shí)別出不同的完整幀。c）RSD的幀長(zhǎng)度須為固定值，具體長(zhǎng)度值參照應(yīng)用層規(guī)定。表2安全數(shù)據(jù)交互的數(shù)據(jù)幀名

12、稱傳播類型頻率性實(shí)時(shí)安全數(shù)據(jù)幀點(diǎn)對(duì)點(diǎn)周期性時(shí)序校正請(qǐng)求幀點(diǎn)對(duì)點(diǎn)觸發(fā)式時(shí)序校正答復(fù)幀點(diǎn)對(duì)點(diǎn)觸發(fā)式實(shí)時(shí)安全數(shù)據(jù)幀（RSD）RSD用于節(jié)點(diǎn)間相互實(shí)時(shí)傳送安全數(shù)據(jù)（含應(yīng)用需求的數(shù)據(jù)域），參見表3。表3 RSD幀格式域類型字段名稱大小取值備注幀頭協(xié)議交互類別1字節(jié)0 x01 或 0 x02適用于實(shí)時(shí)周期性傳輸交互 的情形幀類型1字節(jié)0 x80 或 0 x810 x80表示A機(jī)發(fā)送的；0 x81表示B機(jī)發(fā)送的；源地址2字節(jié)保留0 x0000目地址2字節(jié)預(yù)留0 xFFFF數(shù)據(jù)體TC本地周期計(jì) 數(shù)器4字節(jié)n用于預(yù)測(cè)故障檢測(cè)，有無(wú)超 出預(yù)定校時(shí)范圍安全數(shù)據(jù)的大 小2字節(jié)應(yīng)用層字節(jié)總數(shù)+8CRCM_1安全校驗(yàn)通道

13、14字節(jié)CRC_1SID_1T_1(n) SysChk_1CRC_1僅對(duì)應(yīng)用數(shù)據(jù)域部分 計(jì)算CRC32CRCM_2安全校驗(yàn)通道24字節(jié)CRC_2SID_2T_2(n) 飛ysChk_2CRC_2僅對(duì)應(yīng)用數(shù)據(jù)域部分 計(jì)算CRC32 ,應(yīng)用數(shù)據(jù)域字節(jié)總數(shù)480本周期所需傳輸?shù)娜?部應(yīng)用數(shù)據(jù)要求必須為偶數(shù)字節(jié)長(zhǎng)度CRC16CRC162字節(jié)根據(jù)幀頭和數(shù)據(jù)體生成， CRC16生成多項(xiàng)式為 G（x）=X16+X11+X4+1，計(jì)算初始值為0統(tǒng)計(jì)TSD用戶數(shù)據(jù) 變量小于546 字節(jié)協(xié)議交互類別字段：0 x01時(shí)表示接收方須待同步校時(shí)正確后才能認(rèn)為該幀有效，適用于主機(jī)發(fā) 送的安全數(shù)據(jù)；0 x02時(shí)表示接收方不

14、需作同步檢查（接收方不觸發(fā)SSE幀）即可視該幀為有效幀，適用 于備機(jī)發(fā)送的安全數(shù)據(jù)，以表示物理通道連接正常，但不對(duì)其具體應(yīng)用數(shù)據(jù)域做功能安全運(yùn)算。時(shí)間戳是基于一個(gè)32位的線性反饋移位寄存器值，初始值T（0）=SID,按系統(tǒng)周期移位并使用固 定多項(xiàng)式作附加干擾輸入。時(shí)間戳與本地周期計(jì)數(shù)器對(duì)應(yīng)同步遞增。關(guān)于安全校驗(yàn)通道CRC_M字段中所使用的參數(shù)配置，見表4所示。表4安全通信通道的算式參數(shù)安全通道號(hào)CRC32生成多項(xiàng)式SysChk系統(tǒng)檢查字時(shí)間戳生成多項(xiàng)式11100D4E63AE390B5A10FC22F87218CE56011C103589C1C3E887E1時(shí)序校正請(qǐng)求幀（SSE）當(dāng)接收方檢驗(yàn)

15、到當(dāng)前安全數(shù)據(jù)幀的時(shí)序已超過(guò)所預(yù)定的容忍范圍時(shí)，就需向發(fā)送方發(fā)送時(shí)序校正 請(qǐng)求幀（SSE），用于請(qǐng)求時(shí)序同步校正，參見表5。表5 SSE幀格式域類型字段名稱大小取值備注幀頭協(xié)議交互類別1字節(jié)0 x01幀類型1字節(jié)0 x90源地址2字節(jié)目地址2字節(jié)數(shù)據(jù)體TC本地周期計(jì)數(shù)器4字節(jié)n時(shí)序請(qǐng)求通道1SEQENQ_14字節(jié)SID_111(n)節(jié)點(diǎn)標(biāo)識(shí)與時(shí)戳信息 綜合時(shí)序請(qǐng)求通道2SEQENQ_24字節(jié)SID_212(n)節(jié)點(diǎn)標(biāo)識(shí)與時(shí)戳信息 綜合CRC幀CRC2字節(jié)同RSD幀統(tǒng)計(jì)SSE用戶數(shù)據(jù)變量20字節(jié)時(shí)序校正應(yīng)答幀（SSR）時(shí)序校正應(yīng)答幀（SSR）用于回應(yīng)時(shí)序校正請(qǐng)求幀（SSE）,參見表6。表6 SS

16、R幀格式域類型字段名稱大小取值備注幀頭協(xié)議交互類別1字節(jié)0 x01幀類型1字節(jié)0 x91源地址2字節(jié)目地址2字節(jié)數(shù)據(jù)域TC1本地周期計(jì)數(shù)器4字節(jié)n1應(yīng)答回復(fù)方的TC2它方周期計(jì)數(shù)器4字節(jié)n2請(qǐng)求應(yīng)答方的，即SSE 中的n值時(shí)序初始化通道14字節(jié)SEQENQ_1飛ID_1 T_1(n)DataVe r_1SEQENQ_1 為 SSE 中值時(shí)序初始化通道24字節(jié)SEQENQ_2飛ID_2 T_2(n)DataVe r_2SEQENQ_2 為 SSE 中值數(shù)據(jù)版本號(hào)1字節(jié)0 x01預(yù)留CRC幀CRC2字節(jié)同RSD幀統(tǒng)計(jì)SSR用戶數(shù)據(jù)變量字節(jié)當(dāng)請(qǐng)求時(shí)序方接收到相應(yīng)SSR時(shí)，應(yīng)確認(rèn)SSR中的n2值與SS

17、E時(shí)的n值相符。8數(shù)據(jù)交換流程發(fā)送方應(yīng)每周期發(fā)送一次RSD幀，圖3給出了構(gòu)建一條RSD幀的過(guò)程。r.應(yīng)用數(shù)據(jù)報(bào)頭（重要層）CRCM1CRCM2應(yīng)用數(shù)據(jù)報(bào)頭（重要層）CRCM1CRCM2圖3 RSD幀的構(gòu)建示意接收方應(yīng)對(duì)接收到的RSD幀進(jìn)行二重校驗(yàn)：基本校驗(yàn)，指對(duì)RSD幀頭和幀尾檢查，若校驗(yàn)失敗， 則直接丟棄該幀；安全校驗(yàn)，指對(duì)RSD幀中的兩個(gè)CRCM字段校核，若校驗(yàn)失敗，須觸發(fā)時(shí)序?qū)R校正 過(guò)程。下圖給出了校驗(yàn)一條RSD幀的過(guò)程。CRCM SID T(n)僅取決于節(jié)點(diǎn)標(biāo)識(shí)，去除了時(shí)戳特性;應(yīng)在初始期間計(jì)算存儲(chǔ)該值SINIT_1(SID) + SID_1+ CRCM SID T(n)僅取決于節(jié)點(diǎn)

18、標(biāo)識(shí)，去除了時(shí)戳特性;應(yīng)在初始期間計(jì)算存儲(chǔ)該值SINIT_1(SID) + SID_1+ SID1SINIT_2(SID) + SID_2+ SID2圖4 RSD幀安全校驗(yàn)示意若通過(guò)安全校驗(yàn)，則接收方應(yīng)更新本地存儲(chǔ)值lastSINIT_SID_Time =SINIT r + (SID rT 1(n)。有關(guān)時(shí)序?qū)R校正的步驟：以通道1為例，設(shè) val_1 = SEQENQ_1SID_1T_1(n)DataVer_1;去除本地請(qǐng)求信息val_1 = val_1-SEQENQ_1;即可重新獲取到最新序列對(duì)齊值，即lastSINIT_SID_Time_1 = precFirstSinit_1 + val_1;其中 precFirstSinit 1 = SINIT r1 + (SID e 1 DataVer r1) - 0； r表示應(yīng)答回復(fù)方，e表示請(qǐng)求時(shí)序方?？稍诔跏计陂g計(jì)算存儲(chǔ)該值。9通信參數(shù)配置要求默認(rèn)規(guī)定RSD幀的可同步容忍的最大時(shí)序偏差為2秒(若系統(tǒng)周期為250ms，則周期數(shù)為0 x08)， 超時(shí)后需啟動(dòng)請(qǐng)求同步校時(shí)機(jī)制；默認(rèn)規(guī)定安全數(shù)據(jù)值的有效保持時(shí)間