铁路安全通信协议.doc

中华人民共和国铁道部 发布--实施--发布铁路信号安全协议-Ⅰ Railway Signal Safety Protocol - I （报批稿）TB/T 2465—代替TB/T 2465－2003TB中华人民共和国铁道行业标准前 言本规范为首次发布，应用于铁路信号安全通信的I类协议规范本规范由北京全路通信信号研究设计院提出并归口本规范由北京全路通信信号研究设计院负责起草本规范主要起草人：岳朝鹏、叶峰、郭军强铁路信号安全协议-I1　 范围本规范规定了铁路信号安全设备之间进行安全相关信息交互的安全层功能结构和协议本安全层规范应与以本规范扩展定义的其它接口规范，共同构成完整的应用规范本规范适用于封闭式传输系统，以实现铁路信号安全设备间的安全数据通信2　 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方,研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准EN-50159-1:2001 Railway applications – Communication, signalling and Processing systems – Part 1: Safety-related communication in closed transmission systems 铁道应用：封闭式传输系统中安全通信要求EN-50159-2:2001 Railway applications – Communication, signalling and Processing systems – Part 2: Safety-related communication in open transmission systems 铁道应用：开放式传输系统中安全通信要求EN-50128:2001 Railway applications – Communications, signalling and processing systems – Software for railway control and protection systems 铁道应用: 铁路控制和防护系统软件EN-50129:2003 Railway applications – Communication, signalling and processing systems – Safety related electronic systems for signalling铁道应用：安全相关电子系统3　 术语和定义下列术语和定义适用于本标准。

3.1　危险源 Hazard可导致事故的条件3.2　风险 Risk特定危险事件发生的频率、概率以及产生的后果3.3　失败 Failure系统故障或错误的后果3.4　错误 Error与预期设计的偏差，系统非预期输出或失败3.5　故障 Fault可导致系统错误的异常条件故障可由随机和系统产生4　 缩写下列术语和定义适用于本标准4.1　RSSP Railway Signal Safety Protocol铁路信号安全协议4.2　SID Source Identifier每个安全数据生产者均有一个特定字标记（32位长）4.3　T(n) Time stamp value reached at cycle ‘n’.达到周期“n”的时间戳值时间戳由两个32位长分量组成，每个计算通道为一个分量，即：T_1(n)，T_2(n)4.4　CRCM CRC modified改化CRC，在原CRC上附加含带SID、T(n)和系统校验字分量信息（32位长）每个计算通道为一个分量CRCM_1 = CRC_1 ⊕ SID_1 ⊕ T_1(n) ⊕ (系统校验字)_1CRCM_2 = CRC_2 ⊕ SID_2 ⊕ T_2(n) ⊕ (系统校验字)_24.5　SINIT Sequence initialisation constant序列初始化常量作为启动安全数据信息交换过程前的通信建立要求生成的结果。

每个计算通道为一个分量4.6　变量名称(依赖变量参数名)在本规范算法描述中，用于表示本变量根据括号内指示的变量参数名称具有不同的取值4.7　LFSR Linear Feedback Shift Register线性反馈移位寄存器4.8　⊕标准 XOR 运算符4.9　使用 LFSR 添加运算符4.10　使用 LFSR 反减运算符5　 概述5.1.1　 对于封闭式传输系统中的安全通信问题，EN50159-1中规定应能对以下安全威胁进行识别和防范：a） 数据帧重复；b） 数据帧丢失；c） 数据帧插入；d） 数据帧次序混乱；e） 数据帧错误；f） 数据帧传输超时5.1.2　 RSSP-I采用从接收方角度设计的保护算法，要求接收方必须对接收到的信息做出以下检查:：a） 发送方的身份信息(真实性)；b） 信息帧的正确性(完整性)；c） 信息帧的时效性(时限性)；d） 信息帧序列的正确性(次序性)5.1.3　 RSSP-I主要采用了下列安全防御技术：a） 时间戳；b） 超时；c） 源标识符SID；d） 反馈消息；e） 双重校验参见下表：表 1威胁/防御矩阵危险情形时间戳(次序性)时间戳（本地超时）超时(清除)源标识符反馈消息双重校验重复X丢失X插入XXX错序X错码X延迟XXX5.1.4　 RSSP-I为通用协议层，下图显示了RSSP-I的外部接口：C接口为RSSP-I所使用的物理传输通道，适用于在封闭式传输系统中分发安全数据；B接口为对等实体的安全连接；A接口为具体应用软件根据特定应用要求进行定制。

图 1 RSSP-1的外部接口6　 安全防御技术6.1　 时间戳6.1.1　 由两个32位长的伪随机数表示，必须确认在每个软件周期时的强制增量6.1.2　 外加一个32位计数器，用作代数比较6.1.3　 计数器采用的是系统软件内部周期序号，故即可作为系统发送消息时的序号，也可作为存储在本地存储器中的消息超时6.1.4　 时间戳与计数器周期同步递增6.2　 超时6.2.1　 要求从生成时刻起的有限时间段内保持有效6.2.2　 所有接收消息经检验确认后，去除发送源的时间戳，改用本地时间标记存储6.2.3　 使用两个机制执行超时：a） 本地时效检验，若超时，完全清除消息数据b） 发送方时效检验，若超时，须启动时序校正机制，才能接受消息6.3　 源标识符6.3.1　 所有发送节点均有一对唯一的32位长SID，随同安全数据一起发送6.4　 反馈消息6.4.1　 时间戳同时包含序列信息，随同安全数据一起发送6.4.2　 若接收方校验到发送消息序列非预期内的增量，则启动时序校正交互6.4.3　 接收方向只对特定发送方发送时序请求，发送方则按接收方要求反馈时序应答，接收方再根据时序应答消息重新计算发送方的时序同步位置。

6.5　 双重校验6.5.1　 有两个32位长CRC，确保安全传输所要求的漏检差错概率6.5.2　 另加两个32位长的固定系统校验字，随同安全数据一起发送6.5.3　 系统校验字用于标识安全层协议的正确特性7　 数据帧定义7.1　 安全数据交互原则7.1.1　 Error! Reference source not found.描述了数据发送方和数据接收方之间的安全数据交互原则：即接收方必须实时检查从发送方来的安全数据帧的时序性，若发现不同步，就触发时序校正机制，且只在校正同步后才认可为有效安全数据帧(如：B<->A)若当前时序已同步，就只需单方向实时发送安全数据帧即可，不必作任何应答(如：B<->C)图 2安全数据交互示例7.1.2　 在安全通信交互中需使用到以下三种帧类型，如Error! Reference source not found.所示并要求：a） 除应用数据域外，其它多字节域均采用小端顺序排列（即低字节在前），应用数据域按具体应用层协议要求顺序排列b） 连续的两帧之间的发送时间间隔不得小于5毫秒，以便接收方识别出不同的完整帧c） RSD的帧长度须为固定值，具体长度值参照应用层规定。

表 2安全数据交互的数据帧名称传播类型频率性实时安全数据帧点对点周期性时序校正请求帧点对点触发式时序校正答复帧点对点触发式7.2　 实时安全数据帧（RSD）7.2.1　 RSD用于节点间相互实时传送安全数据(含应用需求的数据域)，参见Error! Reference source not found.表 3 RSD帧格式域类型字段名称大小取值备注帧头协议交互类别1字节0x01或0x02适用于实时周期性传输交互的情形帧类型1字节0x80或0x810x80表示A机发送的；0x81表示B机发送的；源地址2字节保留0x0000目地址2字节预留0xFFFF数据体TC本地周期计数器4字节n用于预测故障检测,有无超出预定校时范围安全数据的大小2字节应用层字节总数+8CRCM_1安全校验通道14字节CRC_1^SID_1^T_1(n)^SysChk_1CRC_1仅对应用数据域部分计算CRC32 CRCM_2安全校验通道24字节CRC_2^SID_2^T_2(n)^SysChk_2CRC_2仅对应用数据域部分计算CRC32 , 应用数据域字节总数<480本周期所需传输的全部应用数据要求必须为偶数字节长度CRC16CRC162 字节根据帧头和数据体生成，CRC16生成多项式为G(x)=X16+X11+X4+1，计算初始值为0统计TSD 用户数据变量小于546字节7.2.2　 协议交互类别字段：0x01时表示接收方须待同步校时正确后才能认为该帧有效，适用于主机发送的安全数据；0x02时表示接收方不需作同步检查(接收方不触发SSE帧)即可视该帧为有效帧，适用于备机发送的安全数据，以表示物理通道连接正常，但不对其具体应用数据域做功能安全运算。

7.2.3　 时间戳是基于一个32位的线性反馈移位寄存器值，初始值T(0)=SID, 按系统周期移位并使用固定多项式作附加干扰输入时间戳与本地周期计数器对应同步递增7.2.4　 关于安全校验通道CRC_M字段中所使用的参数配置，见Error! Reference source not found.所示表 4 安全通信通道的算式参数安全通道号CRC32生成多项式SysChk系统检查字。