33RSSPI 铁路安全通信协议要点.docx
《33RSSPI 铁路安全通信协议要点.docx》由会员分享,可在线阅读,更多相关《33RSSPI 铁路安全通信协议要点.docx(17页珍藏版)》请在冰点文库上搜索。
33RSSPI铁路安全通信协议要点
中华人民共和国铁道部发布
××××-××-××实施
××××-××-××发布
铁路信号安全协议-Ⅰ
RailwaySignalSafetyProtocol-I
(报批稿)
TB/T2465—××××
代替TB/T2465-2003
TB
中华人民共和国铁道行业标准
1前言
本规范为首次发布,应用于铁路信号安全通信的I类协议规范。
本规范由北京全路通信信号研究设计院提出并归口。
本规范由北京全路通信信号研究设计院负责起草。
本规范主要起草人:
岳朝鹏、叶峰、郭军强
2铁路信号安全协议-I
21 范围
本规范规定了铁路信号安全设备之间进行安全相关信息交互的安全层功能结构和协议。
本安全层规范应与以本规范扩展定义的其它接口规范,共同构成完整的应用规范。
本规范适用于封闭式传输系统,以实现铁路信号安全设备间的安全数据通信。
22 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方,研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
EN-50159-1:
2001Railwayapplications–Communication,signallingandProcessingsystems–Part1:
Safety-relatedcommunicationinclosedtransmissionsystems铁道应用:
封闭式传输系统中安全通信要求
EN-50159-2:
2001Railwayapplications–Communication,signallingandProcessingsystems–Part2:
Safety-relatedcommunicationinopentransmissionsystems铁道应用:
开放式传输系统中安全通信要求
EN-50128:
2001Railwayapplications–Communications,signallingandprocessingsystems–Softwareforrailwaycontrolandprotectionsystems铁道应用:
铁路控制和防护系统软件
EN-50129:
2003Railwayapplications–Communication,signallingandprocessingsystems–Safetyrelatedelectronicsystemsforsignalling铁道应用:
安全相关电子系统
23 术语和定义
下列术语和定义适用于本标准。
23.1
危险源Hazard
可导致事故的条件。
23.2
风险Risk
特定危险事件发生的频率、概率以及产生的后果。
23.3
失败Failure
系统故障或错误的后果。
23.4
错误Error
与预期设计的偏差,系统非预期输出或失败。
23.5
故障Fault
可导致系统错误的异常条件。
故障可由随机和系统产生。
24 缩写
下列术语和定义适用于本标准。
24.1
RSSPRailwaySignalSafetyProtocol
铁路信号安全协议
24.2
SIDSourceIdentifier
每个安全数据生产者均有一个特定字标记(32位长)。
24.3
T(n)Timestampvaluereachedatcycle‘n’.
达到周期“n”的时间戳值。
时间戳由两个32位长分量组成,每个计算通道为一个分量,即:
T_1(n),T_2(n)。
24.4
CRCMCRCmodified
改化CRC,在原CRC上附加含带SID、T(n)和系统校验字分量信息(32位长)。
每个计算通道为一个分量。
CRCM_1=CRC_1⊕SID_1⊕T_1(n)⊕(系统校验字)_1
CRCM_2=CRC_2⊕SID_2⊕T_2(n)⊕(系统校验字)_2
24.5
SINITSequenceinitialisationconstant
序列初始化常量作为启动安全数据信息交换过程前的通信建立要求生成的结果。
每个计算通道为一个分量。
24.6
变量名称(依赖变量参数名)
在本规范算法描述中,用于表示本变量根据括号内指示的变量参数名称具有不同的取值。
24.7
LFSRLinearFeedbackShiftRegister
线性反馈移位寄存器。
24.8
⊕
标准XOR运算符。
24.9
使用LFSR添加运算符。
24.10
使用LFSR反减运算符。
25 概述
对于封闭式传输系统中的安全通信问题,EN50159-1中规定应能对以下安全威胁进行识别和防范:
a)数据帧重复;
b)数据帧丢失;
c)数据帧插入;
d)数据帧次序混乱;
e)数据帧错误;
f)数据帧传输超时。
RSSP-I采用从接收方角度设计的保护算法,要求接收方必须对接收到的信息做出以下检查:
:
a)发送方的身份信息(真实性);
b)信息帧的正确性(完整性);
c)信息帧的时效性(时限性);
d)信息帧序列的正确性(次序性)。
RSSP-I主要采用了下列安全防御技术:
a)时间戳;
b)超时;
c)源标识符SID;
d)反馈消息;
e)双重校验。
参见下表:
表1威胁/防御矩阵
危险
情形
时间戳
(次序性)
时间戳
(本地超时)
超时
(清除)
源标识符
反馈
消息
双重
校验
重复
X
丢失
X
插入
X
X
X
错序
X
错码
X
延迟
X
X
X
RSSP-I为通用协议层,下图显示了RSSP-I的外部接口:
C接口为RSSP-I所使用的物理传输通道,适用于在封闭式传输系统中分发安全数据;B接口为对等实体的安全连接;A接口为具体应用软件根据特定应用要求进行定制。
图1RSSP-1的外部接口
26 安全防御技术
26.1 时间戳
由两个32位长的伪随机数表示,必须确认在每个软件周期时的强制增量。
外加一个32位计数器,用作代数比较。
计数器采用的是系统软件内部周期序号,故即可作为系统发送消息时的序号,也可作为存储在本地存储器中的消息超时。
时间戳与计数器周期同步递增。
26.2 超时
要求从生成时刻起的有限时间段内保持有效。
所有接收消息经检验确认后,去除发送源的时间戳,改用本地时间标记存储。
使用两个机制执行超时:
a)本地时效检验,若超时,完全清除消息数据。
b)发送方时效检验,若超时,须启动时序校正机制,才能接受消息。
26.3 源标识符
所有发送节点均有一对唯一的32位长SID,随同安全数据一起发送。
26.4 反馈消息
时间戳同时包含序列信息,随同安全数据一起发送。
若接收方校验到发送消息序列非预期内的增量,则启动时序校正交互。
接收方向只对特定发送方发送时序请求,发送方则按接收方要求反馈时序应答,接收方再根据时序应答消息重新计算发送方的时序同步位置。
26.5 双重校验
有两个32位长CRC,确保安全传输所要求的漏检差错概率。
另加两个32位长的固定系统校验字,随同安全数据一起发送。
系统校验字用于标识安全层协议的正确特性。
27 数据帧定义
27.1 安全数据交互原则
图1描述了数据发送方和数据接收方之间的安全数据交互原则:
即接收方必须实时检查从发送方来的安全数据帧的时序性,若发现不同步,就触发时序校正机制,且只在校正同步后才认可为有效安全数据帧(如:
B<->A)。
若当前时序已同步,就只需单方向实时发送安全数据帧即可,不必作任何应答(如:
B<->C)。
图2安全数据交互示例
在安全通信交互中需使用到以下三种帧类型,如表2所示。
并要求:
a)除应用数据域外,其它多字节域均采用小端顺序排列(即低字节在前),应用数据域按具体应用层协议要求顺序排列。
b)连续的两帧之间的发送时间间隔不得小于5毫秒,以便接收方识别出不同的完整帧。
c)RSD的帧长度须为固定值,具体长度值参照应用层规定。
表2安全数据交互的数据帧
名称
传播类型
频率性
实时安全数据帧
点对点
周期性
时序校正请求帧
点对点
触发式
时序校正答复帧
点对点
触发式
27.2 实时安全数据帧(RSD)
RSD用于节点间相互实时传送安全数据(含应用需求的数据域),参见表3。
表3RSD帧格式
域类型
字段名称
大小
取值
备注
帧头
协议交互类别
1字节
0x01或0x02
适用于实时周期性传输交互的情形
帧类型
1字节
0x80或0x81
0x80表示A机发送的;
0x81表示B机发送的;
源地址
2字节
保留0x0000
目地址
2字节
预留0xFFFF
数据体
TC本地周期计数器
4字节
n
用于预测故障检测,有无超出预定校时范围
安全数据的大小
2字节
应用层字节总数+8
CRCM_1安全校验通道1
4字节
CRC_1^SID_1^T_1(n)^SysChk_1
CRC_1仅对应用数据域部分计算CRC32
CRCM_2安全校验通道2
4字节
CRC_2^SID_2^T_2(n)^SysChk_2
CRC_2仅对应用数据域部分计算CRC32,
应用数据域
字节总数
<480
本周期所需传输的全部应用数据
要求必须为偶数字节长度
CRC16
CRC16
2字节
根据帧头和数据体生成,CRC16生成多项式为G(x)=X16+X11+X4+1,计算初始值为0
统计
TSD用户数据变量
小于546字节
协议交互类别字段:
0x01时表示接收方须待同步校时正确后才能认为该帧有效,适用于主机发送的安全数据;0x02时表示接收方不需作同步检查(接收方不触发SSE帧)即可视该帧为有效帧,适用于备机发送的安全数据,以表示物理通道连接正常,但不对其具体应用数据域做功能安全运算。
时间戳是基于一个32位的线性反馈移位寄存器值,初始值T(0)=SID,按系统周期移位并使用固定多项式作附加干扰输入。
时间戳与本地周期计数器对应同步递增。
关于安全校验通道CRC_M字段中所使用的参数配置,见表4所示。
表4安全通信通道的算式参数
安全通道号
CRC32生成多项式
SysChk系统检查字
时间戳生成多项式
1
1100D4E63
AE390B5A
10FC22F87
2
18CE56011
C103589C
1C3E887E1
27.3 时序校正请求帧(SSE)
当接收方检验到当前安全数据帧的时序已超过所预定的容忍范围时,就需向发送方发送时序校正请求帧(SSE),用于请求时序同步校正,参见表5。
表5SSE帧格式
域类型
字段名称
大小
取值
备注
帧头
协议交互类别
1字节
0x01
帧类型
1字节
0x90
源地址
2字节
目地址
2字节
数据体
TC本地周期计数器
4字节
n
时序请求通道1
SEQENQ_1
4字节
SID_1^T_1(n)
节点标识与时戳信息综合
时序请求通道2
SEQENQ_2
4字节
SID_2^T_2(n)
节点标识与时戳信息综合
CRC
帧CRC
2字节
同RSD帧
统计
SSE用户数据变量
20字节
27.4 时序校正应答帧(SSR)
时序校正应答帧(SSR)用于回应时序校正请求帧(SSE),参见表6。
表6SSR帧格式
域类型
字段名称
大小
取值
备注
帧头
协议交互类别
1字节
0x01
帧类型
1字节
0x91
源地址
2字节
目地址
2字节
数据域
TC1本地周期计数器
4字节
n1
应答回复方的
TC2它方周期计数器
4字节
n2
请求应答方的,即SSE中的n值
时序初始化通道1
4字节
SEQENQ_1^SID_1^T_1(n)^DataVer_1
SEQENQ_1为SSE中值
时序初始化通道2
4字节
SEQENQ_2^SID_2^T_2(n)^DataVer_2
SEQENQ_2为SSE中值
数据版本号
1字节
0x01
预留
CRC
帧CRC
2字节
同RSD帧
统计
SSR用户数据变量
字节
当请求时序方接收到相应SSR时,应确认SSR中的n2值与SSE时的n值相符。
28 数据交换流程
发送方应每周期发送一次RSD帧,图2给出了构建一条RSD帧的过程。
图3RSD帧的构建示意
接收方应对接收到的RSD帧进行二重校验:
基本校验,指对RSD帧头和帧尾检查,若校验失败,则直接丢弃该帧;安全校验,指对RSD帧中的两个CRCM字段校核,若校验失败,须触发时序对齐校正过程。
下图给出了校验一条RSD帧的过程。
图4RSD帧安全校验示意
若通过安全校验,则接收方应更新本地存储值lastSINIT_SID_Time=SINIT_r
(SID_r^T_1(n)。
有关时序对齐校正的步骤:
以通道1为例,
设val_1=SEQENQ_1^SID_1^T_1(n)^DataVer_1;
去除本地请求信息val_1=val_1^SEQENQ_1;
即可重新获取到最新序列对齐值,即
lastSINIT_SID_Time_1=precFirstSinit_1
val_1;
其中precFirstSinit_1=SINIT_r_1
(SID_e_1^DataVer_r_1)
0;
r表示应答回复方,e表示请求时序方。
可在初始期间计算存储该值。
29 通信参数配置要求
29.1 默认规定RSD帧的可同步容忍的最大时序偏差为2秒(若系统周期为250ms,则周期数为0x08),超时后需启动请求同步校时机制;
29.2 默认规定安全数据值的有效保持时间为3秒(若系统周期为250ms,则周期数为0x0C),超时后需将安全数据位导向安全值“0”。
29.3 源地址和目的地址编号默认采用设备编号。
29.4 SID、SINIT、DATAVER参数选取要求如下:
以源节点标识(若SID=0x6CB2303C)为例,且两个安全通道的最小码距均为6。
图5预设配置常数说明
此页无正文。
编制者:
审核者:
项目负责人:
设计所:
院专业工程师:
院总工程师:
升级会员 