闫友为 李达明（北京全路通信信号研究设计院有限公司，北京 100073)

闫友为，男，硕士毕业于清华大学，助理工程师。主要研究方向为铁路通信信号，曾参与“CTCS-3级列控系统综合设计集成平台测试”、“C3综合测评系统”等项目工作。

随着中国高速铁路的快速发展，信号安全网的安全性对列车的行车安全至关重要。因此，搭建一套基于铁路安全通信协议规范的故障诊断系统，对由安全设备之间的通信组成的客运专线信号安全网中的数据进行分析和评判，可以辅助作业人员快速定位设备通信故障并及时解决，以保障列车行车安全。

传统的通信数据分析方法主要依靠人工参照协议规范，逐字段解析数据以判断数据的有效性和正确性，并通过人为观察数据的通信逻辑来判断数据的逻辑是否正确。这种完全依靠人的经验来检验数据故障的方法，误判率、错判率和漏判率都会相当高，因此，在本文中，搭建了一套不依赖于人工的基于铁路信号安全通信协议规范的故障诊断系统，用于对通信数据的有效性和逻辑性进行评判，不但可以大大节约人力成本，而且可以提高故障诊断的效率和准确性。

本文介绍的故障诊断系统主要采用的是基于通信协议规范的知识推理技术，它根据一定的原则（公理或规则），从已知的事实（或判断）推出新的事实（或另外的判断）的思维过程。专家系统的推理是建立在知识库中存储的大量领域知识的基础之上，即是基于知识的。使用专家系统的过程就是对知识库中的知识进行选择和运用的思维过程[1]。

传统的知识推理机综合考虑了各种前提和可能发生的情况，采用传统的模式匹配算法。这样的设计使系统获得了很大的通用性，但也带来了推理效率不高等缺陷。本系统为了提高推理机的效率，依据铁路信号通信协议规范，提取了其中的专家知识，针对不同设备的诊断需求，设计了对应于不同规则集的各种精简高效的状态机，用于对客运专线信号安全网的大量复杂来源数据进行诊断和分析。

1 通信协议故障诊断系统

本通信协议故障诊断系统所处理的数据来源于既有客运专线中各种安全通信设备之间的通信数据。

既有客运专线通信信号系统主要包含以下安全设备：列控中心（TCC）、联锁（C I）、无线闭塞中心（RBC）、临时限速服务器（TSRS）、车载设备（ATP）。其中，TCC与TCC、TCC与CI、TCC与TSRS之间采用RSSP-1协议规范[2]，RBC与CI、RBC与TSRS之间采用RSSP-2协议规范[3]，RBC与A TP之间采用037协议规范[4]。对于从安全设备之间采集到的原始数据，首先通过数据预处理模块，对输入数据进行预处理，解决数据丢失、数据不完整、数据间不一致、数据错误等问题，提高输入数据的质量，使推理过程更加有效和容易。

本故障诊断系统针对不同设备之间的通信数据，分别设计了基于上述通信协议的3类规则集：RSSP-1通信协议规则集、RSSP-2通信协议规则集和037通信协议规则集。根据不同设备之间的通信数据故障诊断需求，选择相应的规则集，通过比较监测数据与本地存储或计算的数据来校验数据的有效性，并且通过基于通信协议的状态机来校验数据的逻辑性。下面将分别对三类规则集以及它们所包含的状态机进行详细介绍。

1.1 RSSP-1通信协议规则集

RSSP-1通信协议[2]规定了信号安全设备之间通过封闭式传输系统进行安全相关信息交互的功能结构和协议。封闭式传输系统可能存在以下威胁：数据帧重复、丢失、插入、次序混乱、错误或传输超时，为了降低上述威胁风险，RSSP-1通信协议采用从接收端角度设计的保护算法，要求接收端必须对接收到的信息做出以下检查：发送端的源信息真实性、信息帧的正确性、信息帧的时效性和信息帧序列的正确性。具体来说，它介绍了SSE帧、SSR帧和RSD帧消息安全层的消息格式并对安全连接建立的过程以及错误消息和逻辑的处理方式进行了详细描述。

RSSP-1通信协议状态机共有如下几种状态：IN IT，当故障诊断系统刚启动时，状态机处于初始状态；W FSSR，当接收到时序校正请求消息SSE帧、RSD帧超时或RSD帧的时序错误，则状态机跳转至请求安全连接状态，在此状态下，安全连接尚未建立成功；SEQDATA，当安全连接建立成功后，状态机跳转到数据状态，在该状态下，规则集对数据字段的有效性和时序逻辑都进行校验；W FSVC，若状态机在IN IT状态下收到RSD帧，则进入等待校验SVC状态，在此状态下，规则集对数据不进行时序性校验，只校验数据字段的有效性，当安全连接建立成功后，状态机跳转到SEQDATA。

1.2 RSSP-2通信协议规则集

RSSP-2通信协议规范[3]规定了信号安全设备之间通过封闭式传输系统或开放式传输系统进行安全相关信息交互的功能结构和协议。对于一般的传输系统而言，所有可能的威胁如下：重复、删除、插入、重排序、损坏、延迟或伪装，为了降低上述威胁风险，RSSP-2通信协议的MASL层和SA I层主要实现以下安全相关的传输功能：消息的真实性、消息的序列完整性、消息的时效性、消息的完整性、安全错误报告、配置管理和访问保护。A LE层则提供M ASL层和传输层之间的适配和冗余处理。具体来说，它主要介绍了适配及冗余管理层（A LE）、消息鉴定安全层（M A SL）和安全应用中间子层（SA I）的消息格式，并对安全连接建立的过程以及错误消息的处理方法进行了详细的描述。本规则集分别对A LE层的CC、CR和DT消息，M ASL层的AU 1、AU 2、AU 3、AR、DT、D I消息以及SA I层的ECSTART、ECAPP消息的字段有效性进行校验。并且通过图2、3和图4所示的状态机分别对A LE层、M ASL层和SA I层的安全连接的建立过程进行逻辑判断。

ALE层状态机共有如下几种状态：INIT，初始状态；W FAU 2，当接收到CC消息，状态机跳转到等待CR消息状态；DATA为数据状态，当接收到有效的CR消息，ALE层的安全连接建立成功。

M ASL层状态机共有如下几种状态：IN IT，初始状态；W FAU 3，当接收到有效的AU 1消息，状态机跳转到等待AU 3消息状态；W FTC，当接收到有效的AU 2消息，状态机跳转到等待TC消息状态；W FRESP，当状态机按照正常逻辑顺序，先收到AU 2消息，然后收到有效的AU 3消息，则状态机跳转到等待RESP消息状态。当出现数据采集不同步的情况时，在收到A U 1消息之后，紧接着收到AU 3消息，此时，应该设定一个短暂的等待时间，若在该等待时间之内，收到AU 2消息，则首先校验AU 2消息是否有效，然后校验之前收到的AU 3消息，若消息有效，则状态机跳转到等待RESP消息状态；DA TA为数据状态，当接收到有效的AR消息，MASL层的安全连接建立成功。

SA I层状态机共有如下几种状态：IN IT，初始状态；W FECSTART，当接收到ECSTART消息，状态机跳转到等待ECSTART消息状态；DATA为数据状态，当接收到有效的ECSTART消息，SA I层的安全连接建立成功。

1.3 037通信协议规则集

037通信协议规范[4]为使用开放网络进行安全相关的应用处理的无线通信系统提供通信服务，保证数据的安全传送。它主要实现了以下功能：数据的传输功能，用以保证数据的安全性和可靠性；密钥管理功能；对连接进行维护（连接建立、维持、释放）。具体来说，它主要介绍了链路层（DL）、网络层（NET）、传输层（TRANS）和安全层（SA）的消息格式，并对安全连接建立的过程以及错误消息的处理方法进行了详细描述。本规则集分别对DL层的RR帧、RNR帧、REJ帧和I帧，NET层的NPDU消息，TRANS层的AK消息、CC消息、CR消息、DC消息、DR消息和DT消息以及SA层的AU 1、AU 2、AU 3、AR、DT、D I消息的字段有效性进行校验，并且通过图3、5、6、7所示的状态机分别对SA层、NET层、TRA NS层和DL层的安全连接的建立过程进行逻辑判断。

SA层状态机与RSSP-2通信协议的MASL层状态机相同。

NET层状态机共有如下两种状态：IN IT为初始状态，当故障诊断系统刚启动时，状态机处于IN IT状态；DA TA为数据状态，当接收到有效的数据，则跳转到此状态。

TRANS层[5]状态机共有如下几种状态：IN IT，初始状态；W FCC，当接收到连接请求CR消息，状态机跳转到等待CC消息状态；W FAK，当接收到连接应答CC消息，状态机跳转到等待AK消息状态；DATA，当接收到AK消息，状态机跳转到数据状态；W FDC，当接收到断开请求DR消息，状态机跳转到等待DR消息状态；当消息超时或在WFDC状态下接收到断开应答DC消息，状态机跳转到INIT状态。

DL层[6]状态机共有如下几种状态：IN IT，初始状态；RR，当接收到RR消息，状态机跳转到准备接收数据状态；RNR，当接收到RNR消息，状态机跳转到未准备接收数据状态；REJ，当接收到REJ消息，状态机跳转到数据重传状态。

1.4 系统输出

上述状态机对于有效的数据和逻辑，会向系统外输出系统运行正常的状态提示。而对于错误的数据和逻辑，对外输出错误提示分以下几种情况。

1）若消息字段有错误，则状态机保持原状态，对外输出“某消息某字段错误”的提示信息；

2）若等待消息超时，即状态机在某一段时间内没有收到任何消息，则状态机跳转到IN IT状态，对外输出“某设备无数据”；

3）若在安全连接的建立过程中，连接请求和应答消息的逻辑错误，则状态机跳转到IN IT状态，对外输出“安全连接未建立成功”。

通过上述故障诊断过程，便能准确快速定位系统故障，方便研究人员及时发现并解决问题。

2 讨论

本文所提出的通信协议故障诊断系统尽可能全面地考虑了数据的复杂性，但由于从不同终端采集到的数据可能不同步，致使消息的时序性有一定的偏差，在这种情况下，可能会影响到系统的正常运行，因为在安全连接建立的过程中，收到消息的先后顺序是通信协议中规定的，若消息时序有误，会使得设备的安全连接无法建立。接下来的研究工作可能从以下两个方面来开展：一方面，从数据采集源头确保检测消息的时序性，比如在采集前端增加时间同步模块或者对采集到的数据按照时间戳排序；另一方面，将数据顺序的各种可能性都考虑到，通过增加状态机的状态，确保系统能够处理任意复杂的数据，这种方法使得状态机由线性一阶升级为非线性二阶，将大大增加系统的数据处理能力、容错能力和辨识能力。

3 结论

本系统针对客运专线信号安全网中，基于RSSP-1协议、RSSP-2协议和037协议规范进行通信的安全设备之间的通信数据的有效性和逻辑性进行校验和分析。这种全自动实时的通信协议故障诊断系统可以代替传统的人工数据分析方式，不但可以提高效率，而且可以通过数据错误准确定位系统故障，从而快速解决系统问题，保证行车安全。

[1] Giarratano J., Joseph c,Riley，et al. Expert Systems Principles and Programming[M]. 北京: 机械工业出版社, 2006.

[2] 运基信号[2010]267号 铁路信号安全通信协议[S].

[3] SubSet-098 V1.0.0. RBC-RBC Safe Communication Interface[S].

[4] SubSet-037 Version 2.3.0[S].

[5] ITU-T Rec.X.224(1995E)[S].

[6] ISO/IEC 7776:1995/AMD.1:1996(E)[S].