黄彬彬孟庆尧，2

（1.北京全路通信信号研究设计院集团有限公司，北京 100070；2.北京市高速铁路运行控制系统工程技术研究中心，北京 100070）

适用于CTCS-3级的安全计算机平台的无线安全通信架构分析

黄彬彬1孟庆尧1，2

（1.北京全路通信信号研究设计院集团有限公司，北京 100070；2.北京市高速铁路运行控制系统工程技术研究中心，北京 100070）

CTCS-3级列车控制系统中ATP车载设备通过Subset-037安全通信协议与地面RBC进行通信。Subset-037安全通信承载着列车的通讯数据的安全性，需要满足SIL4级标准。提出一种能够实现车地安全通信安全平台架构设计的指导方法。针对该方法，结合相关功能点进行分析，得出该方法的可行性，对指导车地安全通信设备具有较大的实用价值。

车地通信；安全通信；安全平台；数据拼接

1 概述

CTCS-3级列车控制系统是一个“故障-安全”的高安全等级系统，车载系统通过无线GSM-R网络，获取行车许可等信息，按照地面控制系统的指令进行车辆运行控制。

以国内武广高速铁路线的ATP车载为例，ATP车载设备由以下单元/模块组成［1］：

1）安全计算机（VC）；

2）轨道电路信息接收单元（TCR）；

3）应答器信息接收模块（BTM）及应答器天线；

4）无线通信模块（RTU）；

5）人机界面（DMI）；

6）列车接口单元（TIU）；

7）测速测距传感器。

其中，安全计算机VC，作为核心处理设备，承担ATP车载设备的核心处理逻辑，是ATP车载设备最重要的部件。安全计算机VC主要包含如下几个部分：

1）主控逻辑单元；

2）测速测距单元；

3）安全输入输出单元；

4）通信接口单元；

5）安全通信单元。

车载ATP设备的结构示意如图1所示。

安全通信单元与无线通信模块RTU进行连接，主要完成与地面RBC的通信功能，进行列车位置信息报告，移动授权接收，临时限速命令接收等安全相关信息通信功能，是CTCS-3级列车控制系统不可或缺的组成部分。安全通信模块承载的是与行车安全相关的安全信息的接收和处理，所以需要相关功能在满足SIL4级的安全硬件中进行，本文在对安全通信协议进行分析的基础上提出一种适用于安全通信协议的SIL4级安全平台架构，可用于指导安全通信模块的设计。

图1　CTCS-3级列车控制系统ATP车载设备结构示意图

2 车地通信在ATP中的应用介绍

如图2所示，CTCS-3级列车控制系统ATP车载设备通过地面的应答器，得到列车的定位、前方线路信息等，并将定位信息通过GSM-R发送给地面控制设备RBC。同时，从RBC处获得发送给车载设备的行车许可和限速信息。ATP车载设备再通过行车许可、限速信息和线路信息，算出目前车辆的允许速度。根据目前速度传感器和雷达测量的实际列车速度与计算出的允许速度相比，得到当前的列车速度控制策略，并实施速度控制。

图2　CTCS-3级列车控制系统ATP车载设备运行原理示意图

安全通信单元负责与RBC的安全通信交互，完成移动授权，车辆位置报告，临时限速命令接受等工作，对提高列车运行速度，减小列车追踪距离，减少行车间隔提供必要数据，是CTCS-3级列车控制系统中不可或缺的组成部分。

3 安全通信协议分析

EN 50159-2定义了使用开放传输系统的安全相关系统的参考架构。安全相关系统的一般结构，比如欧洲列车控制系统（如图3所示）是从EN50159-2中摘出的，我国列车控制系统是从欧洲列车控制系统演变而来，所以，我国CTCS-3系统遵循EN 50159-2规定的开放发射系统的安全相关系统参考架构。

图3　开放传输系统参考架构

除了安全相关信息，安全相关设备中的应用进程还可与远端使用无线通信系统服务的应用进程进行非安全相关信息的交换。

从图3可以看出，EN50159-2的“开放传输系统”被分为两部分：通信系统和开放网络，在此仅对通信系统（RCS）进行讨论。RCS使用Subset-037安全通信协议，RCS的安全功能模块（SFM）提供了安全相关传输系统的功能。RCS的通信功能模块（CFM）提供基于GSM-R PLMN电路交换承载业务的通信系统功能。

根据Subset-037软件的性质，Subset-037安全通信协议栈可以进行如下结构设计，如图4所示。

图4　安全通信软件分层架构

其中各层分工如下：

1）SFM层实现信息的MAC-DES校验码的计算与校验功能，为安全相关功能；

2）CFM层通信协议栈核心逻辑主要有以下部分：

a.实现建立传输连接，将应用数据拆包组包的功能；

b.实现D信道和B信道的协调功能以及将TPDU拆包组包的功能；

c.遵循HDLC标准，实现分帧发送，加入CRC校验等功能。

Subset-037协议栈分层明确，SFM与CFM之间没有耦合关系，SFM与CFM之间通过T原语也就是数据交互的方式进行数据传递，基于上述软件架构进行安全硬件架构的设计。

4 安全架构分析

从安全通信协议的分析可以看出，Subset-037 的SFM模块负责协议的安全部分，CFM模块负责协议的非安全部分，且两层之间分层清晰，所以安全通信硬件架构可以采用安全部分与非安全部分分离的设计思路，安全相关部分进行二取二设计，非安全部分为单硬件设计，非安全与安全模块之间使用FIFO进行数据传递，硬件架构如图5所示。

图5　安全通信模块硬件架构图

SFM模块负责安全通信协议的安全相关部分，所以由CPU-A及CPU-B进行通信执行，CFM模块实现安全通信协议中与安全无关部分，由CPU-A执行，RS-422接口挂在CPU-A中，负责与无线通信RTU模块进行数据交互。

从安全通信的数据流向区分，安全通信分为发送及接收两个流程，下面分别对两个流程中的软件流程进行描述：

在发送流程中，CPU-A及CPU-B同时从主控逻辑模块读取需要发送的数据，并分别送入SFM层的安全发送处理逻辑进行安全相关处理，如MAC-DES加密运算等操作，SFM层输出的数据双CPU进行数据交换并进行取二比较，任何一个CPU取二比较失败都会对整板的错误处理逻辑进行触发，断开接收/发送通道，从而防止错误数据传输；如果取二比较成功，CPU-A继续使用CPU-A的数据及CPU-B的校验数据进行拼接后送入CFM层进行处理，处理完成后通过RS422 接口发送数据到无线通信RTU模块，完成数据的发送流程，如图6所示。

图6　安全通信模块发送流程模块图

在安全通信协议的接收流程中，CPU-A的CFM模块通过RS-422接口接收来自无线通信RTU模块的数据并进行处理，其输出数据通过数据交换模块发送给CPU-A及CPU-B的SFM进行安全相关处理，其SFM的输出数据通过数据交换取二模块进行双CPU的取二比较，任何一个CPU取二比较失败，都会对整板的错误处理逻辑进行触发，断开接收/发送通道，从而防止错误数据传输如果取二比较成功，则分别通过数据发送模块发送给中控逻辑单元进行相关处理。如图7所示。

图7　安全通信模块接收流程模块图

5 结论

我国的CTCS-3级列车控制系统ATP车载设备对地安全通信，目前尚无完整的安全通信设备。本文通过车地安全通信的需求分析、结合二取二的安全设计方法，对CTCS-3级列车控制系统ATP车载设备的安全通信解决方法进行研究，并对安全通信的特点进行分析。通过分析得到，该方法可以解决车地安全通信设备的架构设计。

［1］铁道部科技运［2008］127号 CTCS-3级列控系统系统需求规范》（SRS）［S］.

［2］Railway applications-Communication， signalling and processing systems -Safety-related communication in transmission systems［S］.

［3］Euroradio FIS subset-035 v3.0.0［S］.

［4］Railway applications-Communication， signalling and processing systems - Software for railway control and protection systems［S］.

［5］Railway applications-Communication， signalling and processing systems-Hardware for railway control and protection systems［S］.

ATP onboard equipment in CTCS-3 system communicates with RBC through the subset-037 safety communication protocol. Subset-037 safety communication carries the safety of train communication data and should meet the SIL4 level standard. The paper puts forward a safety platform architecture design method for realizing train-ground safe communication and analyzes the feasibility of the method based on the relevant functional points. The results shows that the method has practical value to guide train-ground safety communication.

train-ground communication； safety communication； safety platform； data splice

10.3969/j.issn.1673-4440.2016.04.009

中国铁路总公司科技研究开发课题（2014X003-B）

2016-06-12）