（交通信息工程及控制专业论文）微机化自动站间闭塞系统安全通信的研究与设计.pdf

西南交通大学硕士研究生毕业论文第1 页 摘要 论文以铁道部科技开发项目微机化自动站间闭塞设备一体化系 统为研究对象，对其通信子系统进行了安全通信方面的研究，为微机化自 动站间闭塞系统编制了安全通信程序以满足国际标准i e c 6 2 2 8 0 - 1 对封闭 式传输系统安全通信的要求。此外，论文还研究了微机化自动站间闭塞系 统的安全通信仿真子系统的设计。该仿真系统可以仿真微机化自动站间闭 塞系统中所遇到的典型通信故障，对系统通信时的各种状态进行模拟、测 试，记录各种情况下的仿真结果，并对结果进行分析，以此来验证系统安 全通信设计在传输信息差错控制等方面的效果。 论文分析了微机化自动站间闭塞系统安全通信研究和设计的必要性， 阐述了研究背景及意义，描述了国内外研究现状；对铁路信号系统安全通 信相关标准i e c 6 2 2 8 0 1 进行了一定程度的分析和研究，并对它们在基于 通信系统的铁路信号安全信息传输上的应用做出分析；分析了微机化自动 站间闭塞系统的安全通信需求；进行了系统安全通信程序的设计，设计了 安全通信协议，分析了通信时序，实现了传输身份的鉴别以及对通信中断 的判断和处理；按照软件工程的思想分析了微机化自动站间闭塞系统安全 通信仿真子系统的结构，对安全通信仿真子系统进行了设计，主要功能模 块包括：通信报文分析模块，通信故障设置模块；最后介绍了对安全通信 子系统的安全验证和评估。 关键字铁路安全标准；安全通信；自动站间闭塞 西南交通大学硕士研究生毕业论文第1 i 页 a b s t r a c t b a s e do nt h es c i e n c ea n dt e c h n i q u ed e v e l o p i n gi t e mo ft h em i n i s t r yo fr a i l w a y sw h i c h a i m e da ts t u d y i n go nt h eu n i t i n gm i c r o - c o m p u t e r - a u t o m a t i cb l o c kb e t w e e nr a i l w a y s t a t i o n si n s t r u m e n t ，t h ep a p e rs t u d i e do nt h es a f e t y r e l a t e dc o m m u n i c a t i o no ft h e m i c r o c o m p u t e r - a u t o m a t i cb l o c kb e t w e e nr a i l w a ys t a t i o n ss y s t e m t h ep r o g r a m m i n g r e a l i z a t i o no ft h e s a f e t y r e l a t e d c o m m u n i c a t i o nf u n c t i o nm e tt h e s a f e t y - r e l a t e d c o m m u n i c a t i o nr e q u i r e m e n ti nc l o s e dt r a n s m i s s i o ns y s t e m so fi n t e r n a t i o n a ls t a n d a r d i e c 6 2 2 8 0 1 i na d d i t i o n , t h ep a p e ra l s os t u d i e dt h ed e s i g ns a f e t y - r e l a t e dc o m m u n i c a t i o n s i m u l a t i o ns u b s y s t e mo fm i c r o - c o m p u t e ra u t o m a t i cb l o c kb e t w e e nr a i l w a ys t a t i o n s s y s t e m , w h i c h s i m u l a t e dt h et y p i c a lc o m m u n i c a t i o n sf a i l u r e so fm i c r o - c o m p u t e r a u t o m a t i cb l o c kb e t w e e n r a i l w a y s t a t i o n s s y s t e m , t e s t e d t h ev a r i o u ss t a t eo f c o m m u n i c a t i o n ss y s t e m , m a d et h er e c o r do fs i m u l a t i o nr e s u l ta n da n a l y z e ds oa st ov 舐母 t h ed e s i g no fs a f e t y - r e l a t e dc o m m u n i c a t i o ni ne r r o rc o n t r o lo fi n f o r m a t i o nt r a n s m i s s i o n f i r s t l y , t h ep a p e ra n a l y z e dn e c e s s i t yo ft h es t u d yo fs a f e t y r e l a t e dc o m m u n i c a t i o n s i m u l a t i o ns u b - s y s t e mo fm i c r o - c o m p u t e ra u t o m a t i cb l o c kb e t w e e nr a i l w a ys t a t i o n s s y s t e m , i n t r o d u c e dt h er e s e a r c hb a c k g r o u n da n ds i g n i f i c a n c e ，a n dd e s c r i b e dr e s e a r c h s t a t u so fh o m ea n da b r o a d s e c o n d l y , i tr e s e a r c h e da n ds t u d i e dt h er a i l w a ya p p l i c a t i o n s s t a n d a r d s ，s u c ha si e c 6 2 2 8 0 - 1 t os o m ee x t e n t ，a n a l y z e dt h ea p p l i c a t i o n so ft h e s e s t a n d a r d si ns a f e t yi n f o r m a t i o nt r a n s m i s s i o no fr a i l w a y s i g n a l i n g b a s e do nt h e c o m m u n i c a t i o ns y s t e m t h i r d l y , i ta n a l y z e ds a f e t y - r e l a t e dc o m m u n i c a t i o nr e q u i r e m e n to f m i c r o c o m p u t e ra u t o m a t i cb l o c kb e t w e e nr a i l w a ys t a t i o n ss y s t e m f o u r t h l y , w ed e s i g n e d s a f e t y - r e l a t e dc o m m u n i c a t i o np r o t o c o l ，a n a l y z e dt h ec o m m u n i c a t i o nt i m eo r d e ro fs y s t e m ， a c h i e v et h ei d e n t i f i c a t i o no ft h et r a n s m i s s i o na n dj u d g m e n ta n d h a n d l i n g o f c o m m u n i c a t i o nd i s r u p t i o n f i f t h , a c c o r d i n gt ot h es o f t w a r ee n g i n e e r i n gm e t h o d ，w e d e s i g n e d t h es t r u c t u r eo fs a f e t y - r e l a t e dc o m m u n i c a t i o ns i m u l a t i o ns u b s y s t e mo f m i c r o - c o m p u t e ra u t o m a t i cb l o c kb e t w e e nr a i l w a ys m t i o n ss y s t e m , a n dt h em a i nf u n c t i o n m o d u l e so ft h i ss u b s y s t e mi n c l u d e ：c o m m u n i c a t i o nm e s s a g ea n a l y s i s ，c o m m u n i c a t i o n f a i l u r e ss e t t i n g ，s i m u l a t i o nr e s u l ta n a l y s i s f i n a l l y , i ti n t r o d u c e dt h es a f e t yv e r i f i c a t i o no f s a f e t y r e l a t e dc o m m u n i c a t i o ns u b s y s t e m k e yw o r d sr a i l w a ys a f e t ys t a n d a r d ；s a f e t yc o m m u n i c a t i o n ；a u t o m a t i cb l o c k b e t w e e nr a i l w a ys t a t i o n s 西南交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权西南交通大学可以将本论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复印手段保存和汇 编本学位论文。 本学位论文属于 1 保密口，在年解密后适用本授权书； 2 不保密形使用本授权书。 ( 请在以上方框内打“”) 学位论文作者签名：云1 专研 指导老师签名： 日期：硼6 彬 日期：矿吕 西南交通大学学位论文创新性声明 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工 作所得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和 集体，均已在文中作了明确的说明。本人完全意识到本声明的法律结果由 本人承担。 本学位论文的主要创新点如下： 1 利用铁路信号系统安全通信相关标准i e c 6 2 2 8 0 1 对基于通信系统 的铁路信号安全信息传输上的应用做出分析； 2 分析了微机化自动站间闭塞系统的安全通信需求，对其进行了系统 安全通信程序的设计，设计了安全通信协议，分析了通信时序，实现了传 输身份的鉴别以及对通信中断的判断和处理； 3 设计了微机化自动站间闭塞系统安全通信仿真子系统，并利用其对 通信系统进行了安全验证和评估。 西南交通大学硕士研究生毕业论文第1 页 1 1 研究背景 第1 章绪论 目前中国铁路信号站间信息通常有以下主要的几类：半自动闭塞联 系、站间联系、自动闭塞方向电路联系、驼峰联系、场间联系等。其传统 的站间信息的传输方式均使用继电器结合方式，即相邻站间分别通过继电 器接点向对方站传输安全信息，邻站也使用继电器接收该安全信息。这种 方式的每一结合继电器均需在站间铺设一对电缆芯线，有时为减少压降还 需要增加电缆芯线，需求大量电缆。随着计算机及光通讯技术的飞跃发展， 车站级计算机控制系统在铁路中得到了广泛的应用，并且站间具备多通道 光缆通讯条件，从而使站间信息传输利用光通讯技术来实现已成为可能。 但是一个现实问题摆在我们面前：如何保证铁路信号站间信息传输的安全 性? 显然，如果我们没有办法保证站间信息传输的安全性，也就没办法保 证铁路运输的安全。另外，传输的信息量也在逐步增加，所以站间通信通 道中信息传输是否安全可靠等问题就值得进一步的研究。论文正是针对铁 路信号站间安全通信进行相关的研究。 微机化自动站间闭塞系统涉及到站间闭塞机之间的通信以及站内闭 塞机主备机与维修机之间的通信，通信子系统负责传输闭塞状态、计轴数 及其他重要信息，是保障行车安全的重要部分。站间通过广域网进行轴信 息、闭塞信息及其它信息的传输，传输通道可以通过铁路专用交换网络提 供的2 m 接口也可以是2 根专用电缆或者光纤；站内是通过t o m l o o m 以太 网交换机构成局域网。可见，微机化自动站间闭塞系统是一个封闭式传输 系统。但是，该传输系统有一些明显的缺点： 1 非许可用户可能干扰网络通信。例如：系统中至少有甲、乙、丙三个 车站，若在甲、乙两站之间通信时收到来自丙站的数据包，则有可能 干扰到甲、乙两站之间的正常通信而导致系统导向危险侧： 2 站间传输的信息可能被篡改、插入和删除； 3 站间传输的数据发生延时，信息传输的实时性难以保证： 西南交通大学硕士研究生毕业论文第2 页 4 通信线路不是足够可靠，受外界影响可能会引起通信中断，通信中断 无法检测会导致系统的功能缺失； 5 通信系统不具备故障安全特性，通信故障有可能使系统导向危险 侧。 由于目前的微机化自动站间闭塞系统的通信设计方面存在一系列的 缺陷和不足，论文提出根据封闭式传输系统对于安全通信的需求以及铁路 信号系统安全通信的相关标准，为微机化自动站间闭塞系统编制安全通信 程序，并设计安全通信仿真子系统来验证安全通信程序的作用。 1 2 国内外研究的现状 当前，高速铁路发展迅速，而信号安全信息的可靠传输是高速铁路安 全运行的有效保证。与普通铁路相比，高速铁路的发展，列车运行速度的 提高对信号安全信息的可靠传输和控制技术提出了更高的要求，对基于通 信系统的铁路信号安全信息传输的理论进行研究，提高铁路信号信息传输 的安全性能是世界各国铁路系统共同关心的热点问题，国内外诸多机构、 专家对此进行了研究。 在应用领域，世界上很多国家都非常重视网络综合和通道建设，欧共 体提出了e t c s ( 欧洲铁路列车控制系统) 。法国铁路、德国铁路提出了在 高速铁路实现信息综合以及区段与s d n 主干线有机结合的设想和建议，丹 麦铁路采取了干线通信、基层通信和信号三层次一体化的体系，进而纷纷 将光纤通信、数据通信和计算机技术引入铁路信号，促进铁路信号技术的 发展。瑞典的a b b 信号公司新设计的e b i c a b 9 0 0 新型自动列车防护系统 a t p c ( a u t o m a t i ct r a i np r o t e c t i o n ) ，在常规信号系统的基础上引入了 高速数据传输技术。数据传输技术的引入，所传输的信息量大幅度增加， 传输距离延长，系统的可靠性明显提高，从而使司机有充足的反映制动时 间。法国a l c a t e l 公司也很重视低速光纤专用网络的开发，目前已进入实 验测试阶段。 近年来日本开始采用安全型光纤局域网为沿线的信号设备提供通道， 日本铁路新干线的专用通信系统中一个重要组成部分就是支持c t c 与信 号信息传输的故障安全型光纤安全局域网。京三制作所开发的采用光 西南交通大学硕士研究生毕业论文第3 页 纤传送的具有故障安全性能的铁路信号用1 2 5 m b s 高速局域网系统 已在北麓新干线使用，采用光纤到车站和光纤l a n 技术，以光专用网络为 基础，组成安全信息传输系统，将车站( 和区间) 安全信号设备和系统综合 一体。 国内的研究相对于西方发达国家要晚一些：1 9 8 9 - 1 9 9 1 年，铁道部成 立科研项目“京沪线开发应用移动自动闭塞制度可行性研究；1 9 9 3 年， 针对当时的计算机技术及通信技术的发展情况，有必要进行c b t c m a s ( 移 动自动闭塞) 的现场试验研究，提出了三份可行性论证报告，并于9 3 年 7 月举行了一次c b t c m a s 的可行性论证报告审定会，就信号控制、无线 传输、行车组织三个核心专题进行了广泛的研讨；1 9 9 9 年，北京交通大 学电信学院现代通信研究所提交研究报告“无线数据传输在铁路安全中的 应用研究”，结合g s m r ( 铁路用全球移动通信系统) ，f z b ( 无线列车控 制系统) 对无线数据传输的可靠性、安全性、无线传输系统的安全保障措 施、无线信道的安全性等问题进行了论述。 近年来我国的铁路单位、学者结合c e n e l e c 制定的欧洲铁路安全标准 对铁路信号信息的安全传输、通信安全的控制等方面进行了研究。如2 0 0 4 年在参考欧标e n 一5 0 1 2 6 的基础上制定了国家标准g b t1 2 7 5 8 - 2 0 0 4 城 市轨道交通信号系统通用技术条件：冯晓升、李佳玉、员春欣等人研究 了国际标准i e c 6 1 5 0 8 并进行了安全性分析；北京交通大学依照c e n e l e c 铁路标准对a t p ( 列车自动防护系统) 的车载设备安全设计进行了研究， 对高速铁路安全信息传输光纤局域网进行了安全性分析，并对实施方案进 行了研究；铁道部第二勘察设计院对铁路信号站间信息的安全传输方案进 行了研究并提出了一种安全散列算法s h a - 1 ；同济大学结合欧标 e n 一5 0 1 5 9 ，对安全信息传输系统进行了研究；装备指挥技术学院对信息网 络的通信安全控制进行了研究；铁道部第四勘察设计院对改造铁路信息传 输系统以实现用光缆进行信息传输的问题进行了研究并提出方案。 1 3 本论文研究内容 论文共分为六部分，第一部分论述了中国铁路信号所面临的问题和未 来发展的要求。继而介绍了论文的选题背景和国内外此领域的研究现状， 西南交通大学硕士研究生毕业论文第4 页 说明了论文的目的和意义，论述了研究微机化自动站间闭塞系统安全通信 的必要性。 第二部分研究了铁路信号安全通信标准及其原理。首先介绍传输系统 和安全过程的关系，分析了安全过程需求以及安全编码需求，并给出了安 全编码的计算公式。 第三部分说明了微机化自动站间闭塞系统的安全通信需求。首先介绍 了自动站间闭塞系统通信子系统的结构框图，继而描绘了既有通信系统的 存在的问题并叙述了通信系统的功能需求，然后利用p e t f i 网建模工具为 通信系统的站间通信进行了建模。 第四部分就微机化自动站间闭塞系统安全通信设计进行了详细的说 明。包括通信网络结构的设计以及安全通信的实现。其中安全通信实现分 为五个功能模块分别加以叙述，这五个模块是：身份验证，安全编码，通 信时序，通信中断实时检测以及安全防护状态设置。 第五部分就微机化自动站间闭塞系统安全通信仿真子系统的设计进 行了详细的说明。首先将安全通信仿真子系统分为通信报文分析模块以及 通信故障设置模块两个功能模块；接着利用软件工程的方法对该子系统进 行了软件功能方面的测试。 第六部分为论文的结论，也展望了基于通信系统的铁路信号安全信息 传输相关铁路安全标准的制定前景。 西南交通大学硕士研究生毕业论文第5 页 第2 章铁路相关安全通信标准及原理研究 本章中我们要讨论的铁路相关安全通信标准为i e c 6 2 2 8 0 - 1 ，这个标 准适用于采用封闭式传输系统实现通信目的的安全相关系统。对安全相关 设备和传输系统的通信接口信息传输提出安全要求。依赖于物理实际的通 信通道如专用通信光缆，通信电缆等进行信息传输的系统可依照此标准。 此标准是我们设计微机化自动站间闭塞系统安全通信功能的根据。 该标准对于封闭式传输系统的定义是：有着固定数量或固定最大数量 被传输系统所连接的单元，有着众所周知和确定的性质，可以忽略被非授 权侵入的危险。本论文中所研究安全通信的目标系统微机化自动站间闭塞 系统即满足此要求的封闭式传输系统。 2 1 传输系统和安全过程的关系 传输系统功能与技术上安全的根据遵从欧洲标准e n 5 0 1 2 9 ( 铁路应用： 安全相关电子系统) 同样的处理过程。然而，非可信传输系统的使用限制 了这一功能性方法的过程，因此安全相关的传输系统应该由一个包括了整 体错误模型的功能规范来确定性质，在对这个错误模型进行功能性分析的 基础上来制定安全完整性需求规范。 功能整体性需求中提出，设计机构应该提供六个保护性措施：检查传 送标志符错误：检验数据类型错误；检验数据值错误：检验到过期数据或 在预定时间内未接收到数据的错误；检验到预先定义的延时后的数据丢 失；确保安全传输功能的独立性和非可信传输系统使用的层次。 安全整体性需求中提出六个应履行的需求：安全保护应该被应用于被 传输数据的产生中；在误操作的情况下应该产生安全反应，这与接收者的 安全需求是相一致的；接收者应用错误检查机制且要与接收者的安全需求 相一致；在非可信传输系统中第二条款的使用应该是功能上独立的；对于 在安全相关的传输系统内发送器与接收器之间的每个信息交换的残余数 据错误率应该少于预先规定的数值。这个比率应该同每个接收器的安全完 西南交通大学硕士研究生毕业论文第6 页 整性水平( s i l s a f e t yi n t e g r i t yl e v e l ) 相适应，安全相关传输系统的s i l 应该同安全过程中最高的s i l 相一致。 在i e c 6 1 5 0 8 ( 电气电子可编程电子安全相关系统的功能安全标准) 中对系统的安全完整性水平( s i l ，s a f e t yi n t e g r i t yl e v e l ) 有明确规定。 安全完整性水平是在规定的条件下系统于给定时间内满意地实现所 要求的安全功能的可能性。安全完整性水平由硬件安全完整性和系统安全 完整性组成。硬件安全完整性是以危险失效模式出现的、与随机硬件失效 相关的那部分安全完整性。与此相关的2 个参数是总危险失效率及拒绝按 需要动作的概率。前者是需连续控制以维持安全的可靠性参数。后者是安 全相关系统保护可靠性参数。硬件安全完整性一般可以实现定量分析，通 常的校正维修可以消除已发生的硬件随机失效。系统安全完整性是以危险 失效模式出现的、与系统失效相关的那部分安全完整性。由于它取决于许 多因素而不能精确定量，一般只能定性分析。系统失效只有通过修改设计、 改进制造工艺、改变操作规程或文件或其他相关因素才能消除。 安全完整性水平分成4 级，安全相关系统的安全完整性级别越高，则 所需安全功能失效的概率应越低。在确定安全功能的安全完整性时要分析 可能导致不安全状态的所有失效原因( 随机硬件失效和系统失效) 。例如 硬件失效、软件引发的失效、由于电气干扰引起的失效或是人为操作引起 的失效。减少风险就是采取必要的措施尽可能减少这些隐患。 2 2 安全过程需求 传统数据通信过程是按照相应的传输协议，对用户数据进行编码、打 包，然后将通信数据发送至传输通道，由通信接收方接收。另外，整个通 信过程还应遵循传输协议，执行相应的校验和应答程序等。如图2 1 所示， 安全通信是在传统的数据通信基础上，增加“安全通信编码和“安全通 信过程”两种手段，保障安全相关数据的传输。 西南交通大学硕士研究生毕业论文第7 页 图2 一l 安全通信概念模型 为获得所指派的s i l 定性的部分，安全相关功能的执行应该由使用相 关的s i l 独立的程序来执行，这个程序在e n 5 0 1 2 9 中被定义。 共有三个可能的双向通信情况：安全相关设备之间的通信；安全相关 设备与非安全相关设备之间的通信；非安全相关设备之间的通信。 在安全相关设备之间相互通信时，真实性、完整性和数据准确的时间 应该被确保。为维护安全相关设备间通信所需要的安全性，应满足以下需 求：假如传输系统的来源没有被唯一指定，真实性应该靠增加一个对用户 数据的源指示器来提供；完整性应该靠在用户数据中增加安全代码来提 供，安全过程不能只依赖生成的传输代码，而且要被作为非可信传输系统 一部分的整体电路来检查；用户数据的合时应靠在用户数据中增加时间信 息来提供，时间延迟可独立于应用；有必要设定安全过程应检查信息的顺 序：安全相关设备的安全程序在功能上独立于用于非可信传输系统的程 序，假如两个程序使用了同样的编码结构，那么参数也应该不同；假如传 输质量落在了预先制定的传输需求规范水平之下，那么就要触发合适的安 全反应。 在安全与非安全设备之间相互通信时，安全相关和安全无关的信息应 该有不同的结构，这是靠对安全相关信息应用安全编码来完成的。这一安 全编码应可以保护系统到需要的由安全无关信息转到安全相关信息的 s i l 。安全相关设备的安全程序在功能上应独立于非可信传输系统和安全 无关设备所使用的程序。 2 3 安全编码需求 安全编码的总体需求是：为满足所需要的s i l ，检查和处理非可信传 西南交通大学硕士研究生毕业论文第8 页 输系统的典型故障是很有必要的，这些故障至少应包括：中断的传输线路， 所有的位均为逻辑o 位或逻辑1 位，信息倒置，同步错误( 在连续传输的 情况下) 。检查和处理典型故障是很有必要的，这些故障至少应包括：随 机错误，突发错误，系统错误，以及上述错误的联合。安全编码在功能上 应独立于传输编码，应能保证非可信的传输系统不大可能产生一个正确的 安全代码( 可以认为足够复杂的安全编码如c r c 3 2 等满足这一要求) 。 安全通信编码的长度可以通过以下公式计算得到，含参数c 的误码漏 检率的最大值为： p u s = 2 此处的参数c 即安全码的长度 2 4 小结 本章研究了铁路信号安全通信标准及其原理。首先介绍传输系统和安 全过程的关系，分析了安全过程需求以及安全编码需求，并给出了安全编 码的计算公式。 西南交通大学硕士研究生毕业论文第9 页 第3 章微机化自动站间闭塞系统安全通信需求 3 1 既有通信系统结构 微机化自动站间闭塞系统结构分为3 层：第一层由上下行咽喉的计轴 模块及数个智能i o 模块组成，它们由4 8 5 总线联接起来；第二层由主控 机a 、主控机b 及监测机组成并通过i o m i o o m 以太网交换机构成局域 网，a 机、b 机互为备用，各站局域网通过路由器连接构成广域网成为系 统的第三层，站间通过广域网进行轴信息、闭塞信息及其它信息的传输， 传输通道可以通过铁路专用交换网络提供的2 m 接口也可以是2 根专用电 缆或者光纤。 站间网络结构图见图3 1 ，站间采用广域网连接，利用既有2 m 通道 主路及环路。信息传输采用标准t c p i p 协议。网络上任何节点可沿顺时 针和逆时针两个方向进行路由搜索，只要一个方向路由建立，两站即可以 建立信息交换链路。因此，系统具有迂回传输能力，两站间物理链路故障， 不影响两站闭塞作业。 甲站乙站肉站 愿辱葛茹三一 内炎换帆国交换饥国奁换机 i a nl a nl a n a 机0 0 b 机删。0 0 鲫。舢。0 臼鲫。 图3 1 站间网络结构图 西南交通大学硕士研究生毕业论文第10 页 3 2 既有通信系统存在的问题 但是，在复杂的网络拓扑结构中，数据传输过程会引发一系列错误， 如：报文丢失、重复、插入、延迟、时序错误、用户数据讹误和寻址错误 等。从通信接收方的角度出发，以下两种通信错误均可能导致出现危险情 况：数据错误，如：发送( 接收) 地址错误、数据类型错误、数据值错 误；时序错误，如：通信延时过长，数据帧收发顺序不一致。安全通信 的目标是建立一种保护机制，避免安全相关数据在传输过程中出现上述错 误，或者在发生上述错误时，系统能够及时地检测到这些错误，采取必要 的安全措施。根据i e c 6 2 2 8 0 1 的要求以及对微机化自动站间闭塞系统的 分析，既有通信系统存在以下问题： ( 1 ) 发送( 接收) 地址错误 在微机化自动站间闭塞系统中，若站间通信时，通信接收方可能会受 到非许可通信对象的干扰。如乙站与上行方向的甲站以及下行方向的丙站 相邻，如图3 1 所示，当乙站与丙站办理闭塞时，若收到来自甲站的数据 包，则有可能导致危险情况。 ( 2 ) 用户报文错误 这是站间通信中最常见的一种情况，由于受到站间通道的干扰，用户 报文产生误码而导向危险侧。 ( 3 ) 信息实时性检验 在既有的微机化自动站间闭塞系统中，没有在安全通信层中对信息的 实时性进行检验，仅依靠非可信传输系统的t c p i p 协议来保障，t c p 是 面向连接的端到端的可靠协议，并保证传送数据包的顺序。顺序由响应序 号来保证，告诉接收者发送者期望的下一个包，如果在规定时间内没有收 到确认响应，则需重新发送此包。t c p 的可靠机制允许设备处理丢失、删 除及读错的包，暂停机制允许设备监测丢失包并请求重发。根据 i e c 6 2 2 8 0 1 ，我们需要添加自己的实时性校验机制，且与低层t c p 协议 相独立，否则不满足安全通信的功能需求。 西南交通大学硕士研究生毕业论文第11 页 ( 4 ) 通信中断 由于通信线路不是足够可靠，受外界影响可能会引起通信中断，而闭 塞系统可能会因为通信中断导向危险侧，比如某站闭塞机处于“开放信号 状态时通信中断，此时如果不加处理，则会出现危险。 3 3 安全通信系统功能需求 为了解决既有系统的以上通信问题，根据i e c 6 2 2 8 0 1 中的要求，微 机化自动站间闭塞系统对安全通信的功能需求如下： ( 1 ) 传输身份鉴别 身份鉴别的作用主要是防止非许可用户干扰网络通信。如系统中至少 有甲、乙、丙三个站，若在甲、乙两站通信时收到来自丙站的数据包，则 需要判断出此为来自于丙站的干扰包。 本系统采用的身份鉴别方式为双重检验：首先是校验发送方的i p 地 址是否为当前允许通信i p ，其次通过给系统中每个站设定的身份识别码来 判断。 ( 2 ) 信息完整性校验 完整性校验的作用是防止信息被非法篡改、插入和删除。 使用循环冗余校验码( 如c r c 3 2 ) 技术在发送端编码和接收端校验 时，通过利用事先约定的生成多项式来得到信息的鉴别码，连同信息一起 发送给接收方，接收方对接收到的信息重新计算，将得到的鉴别码与收到 的鉴别码进行比较，若二者不相同，则可以判定信息被篡改了。 此外，根据i e c 6 2 2 8 0 1 ，为保证与安全相关的传输功能和非可信传 输系统使用层在功能上独立，我们在传输时使用的差错校验机制c r c 3 2 需要与系统硬件以太网卡所使用的c r c 3 2 独立开来。这里需要说明的是， 虽然我们使用了相同的c r c 3 2 编码机制，但是根据i e c 6 2 2 8 0 1 中的叙 述：“安全相关设备和非可信系统使用的安全过程在功能上应该是独立的。 有一种特别的情况，如果两个过程用的是同样的编码机制，参数( 例如： 多项式) 则需要设置为不同的。因为c r c 一3 2 可以选用不同的生成多项 西南交通大学硕士研究生毕业论文第12 页 式，所以可以视为二者独立，且可以进一步的降低漏检率，以防止出现重 复漏检的情况。 而循环冗余校验能以( 2 h 一叱一。的概率检测出所有长度为什1 的突 - 一 r1l 发错误。以￥一1 以，的概率检测出所有长度大于什1 的突发错误。c r c 3 2 1 j z1i 多项式能以￥一1 以，：的概率检测出所有长度大于3 3 位的突发错误，这 等效于9 9 9 9 9 9 9 9 9 8 的准确率，漏检率仅为o 0 0 0 0 0 0 0 2 ，可以充分保 证信息传输的完整性。 又根据i e c 6 2 2 8 0 1 附件a 中关于安全码长度的说明，带有参数c 的 误码漏检率的最大值为：p u 。= 2 ，此处的参数c 即安全码的长度。而对 于c r c 3 2 而言，对于大于3 3 位的突发错误，其漏检率为l 一毕叫以，2 ， - 1 j z1i 即2 。2 。所以我们此处所选的3 2 位循环冗余校验码长度与标准中要求的 一致。 对于本系统，我们还要求系统安全通信满足s i i a 级的标准。 根据前面关于安全完整性水平定义，s i i a 的平均失效率为 旯= 5 1 0 一。而我们采用的c r c 3 2 结合c r c 3 2 的编码机制，其漏检率 低于2 3 2 ，即2 1 0 一o ，小于s i l 4 中所要求的5 1 0 母的平均失效率。所以 本系统的安全通信设计满足s i l 4 级的标准。 ( 3 ) 信息实时性检验 本系统可以检测发生延时的数据。由于可能发生数据延时的情况，所 以需要在数据中加入时间戳来保障信息传输的实时性。 ( 4 ) 检测通信中断 由于通信线路不是足够可靠，受外界影响可能会引起通信中断，需要 检测系统检测出来。通过设定一个延时等待，如在这段预定延时中，检测 到硬件故障或线路不稳定等情况导致通信连接断开，则认为通信中断。 ( 5 ) 安全防护状态 西南交通大学硕士研究生毕业论文第13 页 针对通信故障有可能导致危险的状况，设立一个安全防护状态，可以 保障系统具有传输级的故障导向安全特性。 在传输信息中设定一个安全状态标志位，如果发生在发车站开放信号 后通信故障如通信线路中断的情况，由于我们设定了检测通信中断的安全 通信功能( 见第4 点) ，则检测通信中断后应该将该安全状态标志位置位， 以指示此时的故障状态会导向危险侧，并且可以采用相应的操作。此处所 举例子可以直接将闭塞状态转为“故障状态”。还可以根据不同情况的需 要来防护，如使闭塞机空转不处理等。 根据i e c 6 2 2 8 0 一l 对于“安全防护状态的定义”：安全相关的设备或系 统的安全状态应该是可以由故障状态导向安全状态，而且不会导致故障升 级，由于一个安全状态的结果会导致对应的正常功能的减少，同时非安全 相关的功能也可能减少。所以我们所做的操作是可行的。 3 4 小结 本章介绍了微机化自动站间闭塞系统既有通信系统的结构，分析了既 有通信系统存在的问题，说明了微机化自动站间闭塞系统的安全通信的功 能需求。 西南交通大学硕士研究生毕业论文第1 4 页 第4 章微机化自动站间闭塞系统安全通信设计 微机化自动站间闭塞系统的安全通信接口，在数据传输过程中，采用 了c r c 冗余校验、有效性验证等多种手段，保证数据传输安全。 数据通信中，所有数据帧类型、格式预先定义，固定不变。在系统配 置不变的情况下，系统通信量固定可知。 4 1 微机化自动站间闭塞系统安全通信协议 本安全通信协议是以接收方的角度而设计出的保护算法，旨在解决封 闭式传输系统下的安全通信问题。要求接收方必须对接收到的信息做出以 下检查： 发送方的身份信息( 真实性) 信息帧的正确性( 完整性) 信息帧的时效性( 时限性) 信息帧序列的正确性( 次序性) 西南交通大学硕士研究生毕业论文第1 5 页 _ 1 5 乏i 动接收缀护 图4 - 1 节点端 如图4 1 所示，安全层( 与安全相关的编码解码处理) 与通信层( 非安区 的编码解码处理) 之间是分离独立的。安全通信协议安全层叠加在通信层 之上。位于网络中不同节点上的应用软件即站间的闭塞机，都要通过安全 通信协议接口来相互间通信。 安全通信协议的安全层负责把编码数据组成安全通信协议信息帧格 式后发送给通信层，同时，安全层又接收和校验来自其他节点的安全通信 协议信息帧。 安全通信协议信息帧总体格式如图4 2 所示。 巍蕊转件 戟倡援o ) 岔争邈饶 绺议 ， 嬲 i 舡内攘f - - ? 溺侩i 舡功 图4 - 2 安全通信协议层的数据封装 下图4 3 描述了数据发送方和数据接收方之间的安全数据交互原则： 即接收方必须实时检查从发送方来的安全数据帧的时序性，具备超时重 西南交通大学硕士研究生毕业论文第16 页 发，校验传输错误和回执错误的特性。图中所示的收发双方数据传输差错 控制协议是由通信层之上的安全通信协议层来实施的，独立于低层的t c p 协议。之所以采取双重通信时序防护，是根据i e c 6 2 2 8 0 1 安全通信标准 的要求“安全通信程序所使用的安全过程应该与非可信传输系统所使用的 安全过程在功能上独立”。t c p 协议虽然是面向连接的端到端的协议，可 以保证传输数据包的顺序，但是对于论文中所讨论的安全相关的微机化自 动站间闭塞系统来说，仅仅依靠t c p 协议来保障时序性是不够的，所以 需要我们添加自己的时序校验机制。 图4 - 3 ( a ) 表示通信双方的正常通信情况，a 发送l 号帧以及对上一帧 正确的确认标志r 给b ，b 收到后返回2 号帧以及对1 号帧的确认标志r ， 以此类推。图4 - 3 ( b ) 贝j j 表示超时重发的情况，a 发送l 号帧以及对上一帧 正确的确认标志r 给b ，对这个帧设置计数器，若计时器设置的重发时间 已到但是还没有收到b 的确认，则按照超时重发机制处理，重发此帧。 ab a ) 正常 ab b ) 超时重发 西南交通大学硕士研究生毕业论文第17 页 ab ab 在此丢弃相应的数据包 图4 - 3 ( c ) 表示发送方传输错误的情况，a 发送l 号帧以及对上一帧正 确的确认标志r 给b ，在传输时l 号帧发生错误，b 收到后经过校验发现 该帧出错，则返回2 号帧以及对1 号帧的错误确认标志w ，a 收到b 的 错误确认后则重发l 号帧。图4 - 3 ( d ) 贝j j 表示接受方回执错误的情况，a 发 送1 号帧以及对上一帧正确的确认标志r 给b ，b 收到后发送回执给a 时发生错误，a 收到该错误帧，然后重发l 号帧以及对上一帧正确的确认 标志r 给b ，b 再次收到l 号帧经过帧序号的判断发现重复，丢弃相应的 数据包，并返回2 号帧以及对l 号帧的确认标志r 给a ，直到a 收到正 确的回执。 微机化自动站间闭塞系统通过安全通信接口，接收到通信数据后，必 须首先根据c r c 校验码对所接收的数据内容进行校验，如果校验不正确， 则废弃该数据帧，不作为输入信息进行处理。 西南交通大学硕士研究生毕业论文第18 页 为了保证实时性，我们采用了短帧传输，一个数据包只有2 6 字节。 安全通信数据帧格式定义如下表4 - 1 。 表4 - 1 安全通信数据帧格式 域类型字段名称大小取值备注 协议交互 l 字节o x 0 1 或o x 0 2 适用于实时周期性传输 类别 交互的情形 o x 8 0 表示a 机发送的： 帧类型 l 字节o x 8 0 或o x 8 1 o x 8 1 表示b 机发送的； 帧头大区编号7 b i t + 源地址2 字节分区编号3 b i t + 车站编号6 b i t 大区编号7 b i t + 目的地址2 字节分区编号3 b i t + 车站编口6 b i t 帧序号4 字节n用以区别各帧的序弓 r 和w 分别代表对上一 确认标志1 字节r 或w帧的确认结果 数据体 r 代表正确；w 代表错误 应用数据 1 0 字节见下表4 - 2 根据具体应用层的数据 域域需求填充 c r c 3 2c r c 3 24 字节 帧尾帧尾 1 字节 o x 0 3 其中，协议交互类别字段，为o x 0 1 时表示接收方须待同步校时正确 后才能认为该帧有效，可用于主机发送的安全数据；为o x 0 2 时表示接收 西南交通大学硕士研究生毕业论文第19 页 方不需作同步检查即可视该帧为有效帧，可用于备机发送的安全数据，以 表示物理通道连接正常，但不需对具体应用数据域处理。微机化自动站间 闭塞系统站间传输数据帧中应用数据域的格式定义如下表4 - 2 。 表4 2 应刚数据域格式 变量名定义大小 h e a d 站间通信数据报文头部l 字节 b s s t a t e 2 3本站闭塞机所处状态2 字节 j z l 2 本站计轴器c p u l 的计轴数值2 字节 3 2 2 2 本站计轴器c p u 2 的计轴数值2 字节 c t r l 2 本站的一些控制字以及状态2 字节 e n d站间通信数据报文尾部i 字节 4 2 信息完整性校验 我们采用c r c - 3 2 编码来进行信息完整性校验。c r c - 3 2 经典算法在求 余时是以比特位为单位计算信息位，取比特位的操作要涉及到大量的比 较、移位及异或运算，这些辅助运算比较消耗时间。而计算机是以字节为 单位组织存储器中的数据，预先构造一个单字节的信息的余式表，根据此 编码表进行查表及异或运算，即可求得多字节信息的余式，可以极大地提 高运算速度。 以c r c 一3 2 差错控制编码为例说明算法的实现方案，所选生成多项式 为式( 4 1 ) 中的c r c - 3 2 。事先建立c r c 的一个2 5 6 位长的基本余数表， 西南交通大学硕士研究生毕业论文第2 0 页 流程图见图4 4 。 g ( x ) = x 3 2 + x 2 6 + x 2 3 + x 2 2 + x 1 6 + x 2 + x 7 + x 5 + x 4 + x 2 + x + 1 ( 4 1 ) 图4 4 码表的生成 1 ) 首先建立移位寄存器和余数表，并且初始化为0 。 2 ) 由于求2 5 6 长的余数表实际上就是计算( r 0 0 0 0 0 0 0 0 ) 。除以g ( x ) 对 应序列的余数( 其中r 为8 b i t ，分别对应于0 - 2 5 5 ) ，而g ( x )