李洋涛，乔恩，李小勇，郑斌，闫迷军2,，夏好广

（1 中国铁道科学研究院集团有限公司 机车车辆研究所，北京 100081；2 动车组和机车牵引与控制国家重点实验室，北京 100081；3 北京纵横机电科技有限公司，北京 100094）

列车控制与监视系统是现代轨道车辆的关键系统之一，系统的功能安全是列车安全稳定运行的重要保障。随着网络通信技术的快速发展，轨道车辆信息化程度不断提高，列车控制与监视系统逐渐开始承载安全相关的控制功能，如方向控制、常用制动、超速防护等。通信功能作为列车控制与监视系统的关键功能之一，构建涉及安全功能的通信通道，实现安全数据的传输，是列车控制与监视系统实现所承担安全功能的必要环节［1］。

在列车网络中采用安全协议作为系统整体功能安全的重要保障，也已成为行业发展的共识。列车网络采用MVB 总线或者以太网等通信技术，需要结合功能安全的理念对其进行安全性分析、研究和设计，从而达到网络系统承载的功能安全要求［2］。

1 列车网络通信风险分析

IEC 61508 标准［3］为电气/电子/可编程电子安全相关系统的功能安全提供指导，其中典型的安全相关系统如图1 所示，包含有传感器、可编程电子系统、通信系统及执行机构，通信系统的功能安全是整体功能安全的重要组成部分。在IEC 61784《现场总线功能安全通信》标准［4］中进一步规定，通信系统作为安全相关系统中传输安全数据的重要载体，其功能安全通信的失效率不能超过总体安全完整等级目标规定失效率的1%，该指标是功能安全通信分析和设计的重要依据。

依据IEC 61508-2 标准［5］，安全功能的实现 所采用的任何通信形式，均应评估其通信过程中功能异常的概率，涉及到传输错误、重复、删除、插入、错序、损坏、延时及伪装等各种通信错误。目前，轨道车辆所采用的列车控制与监视系统，主要是基于IEC 61375 标准［5］的列车通信网络，包括WTB（Wire Train Bus）总线、MVB 总线、以太网等几种通信技术形式。当前，MVB 总线应用最为普遍、更具有针对性，文中选取MVB 总线为例开展分析和研究。参考IEC 61784 中具体规定的通信错误类型［4，6］，对MVB 总线的通信失效进行分析，可能出现的相应错误情况如下：

（1）损坏：MVB 节点收发器损坏、线缆破损、终端电阻未接入、节点端口配置冲突等，均会造成通信数据的损坏。

（2）无意重复：MVB 总线的过程数据采用周期性发送的机制［7］，当MVB 节点软件卡滞，通信网卡数据无法更新，则会向网络上重复发送无效的旧数据，出现无意重复的数据。

（3）丢失：造成丢失的原因可能有多个方面，比如节点发生故障、总线调度异常等，在MVB 总线通信中此类情况较多。

（4）不可接受的延时：MVB 线路干扰、节点软件故障时，可能造成短时通信中断，超过应用设定的超时时间。

（5）错序：MVB 总线采用主从调度机制［7］，源设备只有收到调度主帧才会发送通信数据，由网络传输本身机制造成错序的概率很小，出现错序多为设备自身数据收发处理的问题。

（6）插入：在MVB 总线主从调度机制下，通信中如有其他节点发送的数据插入时，通常出现会从帧碰撞的情况，表现出的结果事实上是数据丢失；但在一些特定的情况下，如通过中继器连接构成的多个MVB 网段，异常插入的数据如发生在接收设备所在网段，而正常的源数据在与接收设备不同的网段，则会出现局部网段内未知源数据插入的情况。

（7）伪装：在MVB 总线中，仅在（6）中所述的某些特定情况下，才可能发生数据伪装的错误，而大多数情况下，插入的伪装数据，会与相应的源发生数据帧碰撞，从而造成数据丢失。

（8）寻址：在MVB 总线中，采用源地址广播的机制，即通过调度主帧广播通信端口的地址。在该机制下寻址出错，一方面原因可能是源设备发生错误，响应了原本不应该响应的主帧，导致非正确寻址情况下错误发送出数据。另一方面，由于接收设备发生异常，判定接收地址出错，导致接收了错误地址的数据。

综合上述分析，基于MVB 总线具有自身的特点，通用通信风险中，损坏、无意重传、丢失、不可接受延时都是通信中更容易发生的错误类型，错序、插入、伪装、寻址错误等，在特定情况下也会出现。

MVB 总线通信协议中，其数据链路层使用了CRC（Cyclic Redundancy Check）校验，并且采用通信冗余等机制去规避报文损坏、意外重传及丢失等通信风险，但这些措施无法满足安全通信的需求，因此有必要在应用层软件上层增加有效的通信风险防御措施，以达到通信安全目标。

2 列车网络的安全措施选择及实现

在列车控制与监视系统这样复杂的系统中，存在各种软件、硬件及外界干扰因素下造成的通信错误情况，仅依靠总线自身的校验机制无法实现足够有效的防护。为使系统达到相应的功能安全等级，在安全通信方面需要有针对性地采取一定的方法措施，从而使通信残余差错率降低到要求的范围内，达到有效的预防与控制效果。

根据IEC61784功能安全通信标准［4，6］中的规定，在应用层之上增加安全通信协议层来实现功能安全通信，从而实现对功能安全相关的应用数据的保护。MVB 功能安全通信模型如图2 所示，在MVB 原有的应用层协议之上，增加安全通信协议层。

图2 MVB 功能安全通信模型

安全通信协议层中，包括各类通信风险的有效防御措施，保证规避MVB 数据传输经过应用层、数据链路层、物理层（包括MVB 总线线路以及可能存在的中继器）时出现的各类错误。

在列车通信网络标准IEC 61375-2-3中［5］，提出了安全通信协议SDT（Safe Data Transmission），选取了安全序列计数器、宿时间监视、安全码、守卫时间、源身份标识符、延时监控、通道监控等手段，可以覆盖标准EN 50159 通信中相应的通信错误［8］，其安全措施及通信错误对应矩阵见表1。

表1 TCN 通信标准中的安全措施

SDT 协议同样适用于MVB 传输，但由于MVB通信自身传输特点，协议需进行必要的适应性调整。如延时监控，对于MVB 而言为可选项。MVB为主从调度的机制，MVB 帧的安全序列号在通信过程中难以保证完全的连续性，因此基于安全序列号的延时监控，在实现中会有一定的偏差。此外，MVB 总线通过宿时间监视的机制，可以规避不可接受延时的通信错误，可不必再增加延时监控的措施。

（1）安全序列计数器

当每次发送或接收一包新的关键数据时，相关的计数器进行累加。通过检查接收的关键数据包中安全序列计数器值是否在设置的接收范围内来判断数据包是否有效，接收范围通过设定的窗口值大小来判定。

（2）宿时间监视

在MVB 协议控制器中，对需要监视的端口设置计时器，通过检测端口的计时器与设定值来核查所收到数据的时间有效性。

（3）安全码

SDT 协议采用32 位的安全码，根据IEC 61375-2-3［5］中定义的32 位CRC 校验多 项式进 行计算，计算范围包括发送报文中的关键过程数据到安全序列计数的字段。

（4）守卫时间

守卫时间的校验是为了检测2 个冗余的安全数据源，如果在一个安全数据源的守卫时间内，收到了另一个冗余安全数据源的数据包，则表明另一个冗余数据源激活。

（5）源身份标识符

所有源的安全相关数据应当由来源识别码（Source Identified Code）标识，来源识别码通过对特定的SID 数据结构进行SC-32 校验取得。SID的数据结构包括用户定义的安全消息识别符、SDT 协议版本、编组通用唯一标别符、安全拓扑计数器以及预留位等部分构成。由于MVB 数据传输全部为编组内部的传输，SID 中的编组标识符、安全拓扑计数等参数均设置为0。

（6）通道监控

通道监控用于检测由于未知软件、硬件原因造成的安全通道通信失效率的攀升。当安全通道中带有错误安全码的数据包数量超过规定值时，则应当判定为安全通信失效。

通过以上安全措施，关键的MVB 过程数据打包为MVB 关键数据包进行传输。MVB 关键数据包定义如图3 所示。

图3 MVB 安全通信关键数据包结构

对于以上采取的安全措施，在MVB 安全协议层中实现的数据发送及接收流程如图4 所示。其中发送过程主要是安全序列号、安全码等信息的填入；对于接收过程，则需要通过安全码、安全序列计数器、宿时间监视、守卫时间以及通道监控来检查安全数据的完整性以及时间符合性，判定是否符合功能安全的通信要求。

图4 MVB 安全通信程序流程图

3 安全性分析

3.1 CRC 校验残余错误概率分析

在IEC 61784-3 附 录B［4］中，首先提 出对于 安全数据采取CRC 检验手段而产生的残余错误概率RCRC，这也是数据完整性错误的发生概率，计算公式为式（1）：

式中：Pe为位错误概率；n为报文总位长；Ai为分布系数，在选取适当的CRC 多项式情况下，在公式中可使用权重系数2-r（r为生成多项式的位数）来计算近似值，CRC 多项式的残余错误概率的估算公式为式（2）：

式中：dmin为最小汉明距。对于同一生成多校式的CRC 校验，不同长度的传输报文的最小汉明距不同［9］。总体随报文长度的增加，最小汉明距呈逐渐变小的趋势。

MVB 总线安全协议中采用CRC 多项表达式为0xFA567D89，公式为式（3）：

对于典型的CRC 校验，在不同报文长度下所对应的最小汉明距已经有普遍的分析和计算。参考计算结果，本生成多项式在MVB 报文长度分别为64、128、256 位时，所对应的最小汉明距均为8。

针对3 种不同长度的MVB 报文情况，由不同的位错误概率取值，可求得相应的残余错误概率。经计算，得出不同长度的MVB 报文对应的残余错误概率拟合曲线，如图5 所示。由图可见，当MVB报文更短时，残余错误概率也相对更小。MVB 安全协议所采用的CRC 多项式计算得出的残余错误概率对应位错误概率呈现出单调上升的趋势，而未出现在位错误概率更高反而残余错误率下降的情况，因此表明了采用的CRC 多项式是合适的。

图5 MVB 通信残余错误率拟合曲线图

3.2 总残余错误率分析

根据IEC 61784-3 标准［4，6］，安全通信过程中的残余错误主要由数据完整性错误、真实性错误、时效性错误和伪装错误4 个部分构成，4 种类型的错误可以覆盖通信错误中可能产生的通信错误的全部类型，这些不同类型残余错误率相加得到一个安全通信系统最终的残余错误率。据此，可对MVB 总线的总残余错误率进行计算。

（1）完整性错误率（RRI）

对数据完整性错误率进行计算，使用公式为式（4）：

式中：RPI为数据完整性的残余错误概率，即CRC校验的残余错误概率RCRC（Pe），对于位错误概率Pe，参照标准中的说明，使用最大值10-2；v为每小时通信的最大数量，在本例中选取应用中通常采用较小周期即32 ms 通信一次，1 小时为 112 500次；RPFSCP_I为独有的其他措施的残余错误概率，在未采用的情况下，该参数选用最大值 1。

经计算得出不同MVB 报文长度下的RPI如下：

当数据长度为64 位时，RRI数据完整性的残余错误概率为7.043 06×10-12/h。

当数据长度为128 位时，RRI数据完整性的残余错误概率为1.292 47×10-9/h。

当数据长度为256 位时，RRI数据完整性的残余错误概率为1.213 55×10-7/h。

RRI数据完整性错误率见表2。

表2 RRI 数据完整性错误率

（2）真实性错误率（RRA）

真实性错误率相对于完整性错误率足够小，在标准中对真实性错误率进行计算，RRA的值都为0。因此，该项目的计算取0 值。

（3）时效性错误率（RRT）

按照标准的规定，计算公式为式（5）：

式中：LT为序列号的比特长度，在本例中为32；w为接收安全MVB 单元中所接受的时间戳或序列号的值的范围（窗口大小），在本例实现中设定为4；RT为安全MVB 单元的序列号不正确的发生率，依据标准，取通用值10-3/h；RPFSCP_T为独有的其他措施的残余错误概率，本例中选用最大值1。

RRT时效性错误率见表3。

表3 RRT 时效性错误率

代入计算可得，RRT＝9.313 23×10-13/h。

（4）伪装错误的贡献（RRM）

按照标准的规定，计算公式为式（6）：

式中：LA为连接认证的比特长度，即地址信息位长度，在本例中采用SID为32；LT为序列号的比特长度，在本例中为8；w为时间戳或序列号的值的范围，本例中为4；r是CRC 签名的比特长度，本例中为32；RPU其他唯一性字段的残余错误概率，本例中选最大值1；LR为安全MVB 单元中重复部分的比特长度（带有交叉校验的冗余，否则LR=0），本例中为0；RM为伪装安全MVB 单元的发生率，依据标准，取通用值10-3/h。

代入计算可得，RRM＝8.470 33×10-25/h。

RRM伪装错误率见表4。

表4 RRM 伪装错误率

（5）残余错误率的总和λSC按照标准的规定，计算公式为式（7）：

将以上计算所得数据代入，可得λSC，见表5。

表5 总残余错误率λSC

对于功能安全通信总线而言，其功能安全通信系统中的安全功能失效率对总体功能安全的贡献不超过1%，其与安全完整性等级的对应关系见表6。

表6 残余错误率与SIL 水平关系

通过以上计算，不同长度MVB 报文的安全通信残余总错误率估算结果分别为7.974 39×10-12/h、1.293 4×10-9/h、1.213 56×10-7/h，参照上表中功能安全通信系统失效率及功能安全通信系统允许残余错误率的关系，基于文中采用的安全通信措施进行估算，在传输数据为64 位时，可以满足SIL4（λSC<10-10），传输数据为128 位时，可以满足SIL2（λSC<10-9）。

通过以上的计算可总体了解MVB 报文传输所能达到的安全完整性等级水平。当选定的安全措施无法达到更高的完全等级时，可增加额外的安全措施以提高安全性。如上述计算中，当传输数据为256 位时，功能安全通信无法达到SIL2 乃至更高的安全等级要求。假使在安全通信系统增加具有冗余交叉检验措施，即安全报文通过冗余传输并在接收方内进行逐位比对，其残余错误率计算见表7，安全通信通道的残余总错误率估算结果为2.175 76×10-22/h。基于冗余设计的安全通信协议可达到SIL4（λSC<10-10）的通信功能安全需求见表7。

表7 基于安全通信冗余架构冗余架构总残余错误率λSC

4 结论

文中通过对功能安全在列车网络通信中应用开展研究，依据IEC 61784-3 标准，对TCN 标准中安全数据传输协议的功能安全进行了分析。针对所采用的安全措施，计算了MVB 总线功能安全通信的残余错误率，分析了不同长度MVB 帧采用安全协议可达到的安全完整性水平。通过进一步计算表明，增加新的安全措施，可使安全协议达到更高的安全等级。

文中对应用于列车控制与监视系统的功能安全通信开展研究及分析，可为列车网络系统的功能安全通信设计开发提供参考，为考量列车网络通信的安全性提供相应的依据，还可以为相关的安全认证工作提供支撑。列车网络通信安全协议的实现，有助于列车控制与监视系统总体向着功能安全的方向发展，为列车网络承提更多的安全功能奠定基础。