高雪娟 雷成健 劉 澤

(湖南中車時(shí)代通信信號(hào)有限公司，410100，長沙∥第一作者，工程師)

FAO(全自動(dòng)運(yùn)行)系統(tǒng)是基于現(xiàn)代計(jì)算機(jī)、通信、控制和系統(tǒng)集成等技術(shù)，實(shí)現(xiàn)列車運(yùn)行全過程自動(dòng)化的新一代城市軌道交通控制系統(tǒng)。它包括信號(hào)、車輛、綜合監(jiān)控、通信和站臺(tái)門等控制子系統(tǒng)，能實(shí)現(xiàn)自動(dòng)控制等級(jí)GoA 3和GoA 4功能要求。相比常規(guī)的CBTC(基于通信的列車控制)系統(tǒng)，F(xiàn)AO系統(tǒng)能自動(dòng)控制列車到站停車和啟動(dòng)加速；能提高乘客服務(wù)質(zhì)量，提升列車運(yùn)行速度，有效縮短列車的追蹤間隔，節(jié)約能源，降低運(yùn)營和維護(hù)成本。FAO系統(tǒng)是國際公認(rèn)的城市軌道交通控制系統(tǒng)的主要發(fā)展方向[1]。線路規(guī)?；⒕W(wǎng)絡(luò)化是我國城市軌道交通發(fā)展的必然趨勢(shì)[2]，F(xiàn)AO系統(tǒng)對(duì)實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)化運(yùn)營具有重要的現(xiàn)實(shí)意義。

在常規(guī)CBTC互聯(lián)互通的基礎(chǔ)上，通過增加FAO系統(tǒng)所需的休眠、喚醒、自動(dòng)洗車、門隔離和蠕動(dòng)模式運(yùn)行等特殊功能，以及統(tǒng)一硬件、接口、電子地圖等，使其可支持更豐富的線路設(shè)計(jì)；支持4/8編組列車混合停車、休眠喚醒和自動(dòng)連掛/編組，以及統(tǒng)一車地功能接口、統(tǒng)一線路布置以支持全自動(dòng)車庫休眠/喚醒功能，并統(tǒng)一車地安全通信接口協(xié)議，由此實(shí)現(xiàn)FAO系統(tǒng)的互聯(lián)互通。

1 互聯(lián)互通FAO系統(tǒng)車地安全通信分析

《RSSP-Ⅱ鐵路信號(hào)安全通信協(xié)議》[3]將安全功能模塊分成安全應(yīng)用中間層(SAI)和消息鑒定安全層(MASL)。SAI層通過序列號(hào)、三重時(shí)間戳或執(zhí)行周期計(jì)數(shù)，防御重復(fù)、丟失和重排序；MASL層通過安全碼、源/目的標(biāo)識(shí)符，防御外部入侵。重慶、北京、長沙等城市陸續(xù)開展了城市軌道交通互聯(lián)互通CBTC系統(tǒng)的工程建設(shè)，其在項(xiàng)目的應(yīng)用過程中遇到的問題如下[4-5]：

1)RSSP-Ⅱ(鐵路信號(hào)安全協(xié)議Ⅱ)只是一個(gè)總體的設(shè)計(jì)協(xié)議，在具體的應(yīng)用中需根據(jù)實(shí)際的運(yùn)營狀況設(shè)計(jì)通信架構(gòu)，其傳輸層、網(wǎng)絡(luò)層是基于TCP/IP(傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議)的，而TCP棧自身比較復(fù)雜，各信號(hào)廠商實(shí)現(xiàn)的底層協(xié)議棧會(huì)出現(xiàn)不一致，導(dǎo)致通信雙方無法建立通信或通信不穩(wěn)定，影響了車地之間的數(shù)據(jù)傳輸。

2)由于車地安全通信協(xié)議的實(shí)現(xiàn)必須依賴特定的軟、硬件平臺(tái)，車地通信的實(shí)現(xiàn)必須依賴于通信傳輸系統(tǒng)，因而在實(shí)際的工程施工中，為保證設(shè)備間通信的可靠性和可用性，RSSP-Ⅱ中各個(gè)配置參數(shù)的選取是一個(gè)問題。

3)由于車地?zé)o線通信需要在高速移動(dòng)環(huán)境下切換無線接入點(diǎn)，且目前城市軌道交通LTE-M(城市軌道交通長期演進(jìn)系統(tǒng))使用的專有頻段與相鄰的移動(dòng)通信之間存在鄰頻干擾，因而不可避免地存在數(shù)據(jù)丟包的情況。而TCP棧具有重傳機(jī)制，當(dāng)檢測到丟包時(shí)，TCP棧會(huì)等待丟失包重傳，即使有新數(shù)據(jù)，也不會(huì)傳輸，因而增加了數(shù)據(jù)包的通信延時(shí)。若該通信延時(shí)超過系統(tǒng)容忍時(shí)間，將會(huì)影響或中斷系統(tǒng)的正常運(yùn)營。

因此，RSSP-Ⅱ并不是實(shí)現(xiàn)互聯(lián)互通的最佳車地通信協(xié)議。尤其是FAO系統(tǒng)，當(dāng)車載設(shè)備與地面設(shè)備通信中斷時(shí)，會(huì)導(dǎo)致列車緊急制動(dòng)、降級(jí)運(yùn)行；若車上無司機(jī)時(shí)，則需要救援。這嚴(yán)重影響了列車運(yùn)營。

2 互聯(lián)互通的FAO系統(tǒng)車地安全通信協(xié)議

2.1 標(biāo)準(zhǔn)要求

歐洲標(biāo)準(zhǔn)EN 50159：2010[6]將現(xiàn)有鐵路信號(hào)系統(tǒng)中的傳輸系統(tǒng)劃分為3類，其中FAO系統(tǒng)車地間的傳輸系統(tǒng)為第3類開放式傳輸系統(tǒng)，其推薦的安全通信系統(tǒng)架構(gòu)如圖1所示。

圖1 EN 50159—2010推薦的安全通信系統(tǒng)參考架構(gòu)

其中，根據(jù)歐洲標(biāo)準(zhǔn)EN 50129:2003[7]的要求，安全相關(guān)應(yīng)用和安全相關(guān)傳輸功能應(yīng)使用安全相關(guān)的設(shè)備、安全相關(guān)的加密技術(shù)，而非安全相關(guān)傳輸系統(tǒng)應(yīng)使用安全相關(guān)的設(shè)備，或使用通過安全相關(guān)的技術(shù)檢查的非安全相關(guān)的設(shè)備。

2.2 RSSP-Ⅰ和RSSP-Ⅱ?qū)Ρ确治?/h3>

我國鐵道部參照歐洲標(biāo)準(zhǔn)并結(jié)合國內(nèi)鐵路信號(hào)系統(tǒng)實(shí)際情況，制定了分別適用于封閉式傳輸系統(tǒng)的安全通信協(xié)議RSSP-Ⅰ和封閉式/開放式傳輸系統(tǒng)的安全通信協(xié)議RSSP-Ⅱ[3，8]。

RSSP-Ⅰ的制定是基于歐洲標(biāo)準(zhǔn)Subset-037的子集。其通信功能模塊中，各層都選取了標(biāo)準(zhǔn)協(xié)議，而在安全功能模塊上增加了自定義的ER(歐洲無線)，用于車載設(shè)備和地面設(shè)備之間進(jìn)行無線通信的安全協(xié)議；而RSSP-Ⅱ則是基于歐洲標(biāo)準(zhǔn)Subset-098的子集。其開始用于地面設(shè)備之間的通信安全協(xié)議，即設(shè)計(jì)之初用于有線通信服務(wù)，因此是基于分組交換的TCP/IP。因標(biāo)準(zhǔn)化需求，RSSP-Ⅱ借用Subset-037中的歐洲無線安全層，同時(shí)增加了一個(gè)SAI層。其中SAI層是對(duì)歐洲無線通信安全層的補(bǔ)充，預(yù)防了RSSP-Ⅰ未防護(hù)的偽裝威脅?？傮w上講，RSSP-Ⅱ的5種防護(hù)措施基本覆蓋了防御EN 50159:2003中的7種威脅。

RSSP-Ⅰ的安全層和通信驅(qū)動(dòng)層是獨(dú)立的，底層數(shù)據(jù)的傳輸方式可以是串口(RS422、RS232等)，也可以是網(wǎng)絡(luò)(TCP、UDP(用戶數(shù)據(jù)協(xié)議)等)；RSSP-Ⅱ的安全功能模塊(SFM)則依賴通信功能模塊(CFM)的網(wǎng)絡(luò)適配層，是基于TCP/IP的。RSSP-Ⅰ可以有效地防御封閉式傳輸系統(tǒng)中的威脅，但對(duì)外部入侵如惡意偽造消息等威脅則沒有防御手段。RSSP-Ⅰ和RSSP-Ⅱ?qū)﹂_放系統(tǒng)的威脅項(xiàng)/防御技術(shù)對(duì)比見表1。

表1 RSSP-Ⅰ和RSSP-Ⅱ?qū)﹂_放系統(tǒng)的威脅項(xiàng)/防御技術(shù)對(duì)比

假定車載設(shè)備和地面設(shè)備的通信周期均為200 ms，根據(jù)文獻(xiàn)[9]，在不考慮祖沖之序列密碼算法延時(shí)的情況下，RSSP-Ⅰ和RSSP-Ⅱ的通信時(shí)延對(duì)比表見表2。

表2 RSSP-Ⅰ和RSSP-Ⅱ的通信時(shí)延對(duì)比

由于RSSP-Ⅱ的加密認(rèn)證算法和建鏈處理的復(fù)雜度高于RSSP-Ⅰ的，因此RSSP-Ⅱ的時(shí)延高于RSSP-Ⅰ的時(shí)延，尤其是建鏈時(shí)延及重傳時(shí)延。

3 基于RSSP-Ⅰ的互聯(lián)互通FAO系統(tǒng)車地安全通信方案

城市軌道交通車地?zé)o線通信需要承載的業(yè)務(wù)主要有7項(xiàng)：列車控制業(yè)務(wù)數(shù)據(jù)(優(yōu)先級(jí)：2)、集群調(diào)度語音業(yè)務(wù)(優(yōu)先級(jí)：2)、列車運(yùn)行狀態(tài)信息(優(yōu)先級(jí)：4)、緊急信息文本下發(fā)(優(yōu)先級(jí)：4)、視頻監(jiān)控(優(yōu)先級(jí)：6)、PIS(乘客信息系統(tǒng))流媒體業(yè)務(wù)(優(yōu)先級(jí)：6)、集群調(diào)度視頻業(yè)務(wù)(優(yōu)先級(jí)：7)。根據(jù)《城市軌道交通全自動(dòng)運(yùn)行系統(tǒng)技術(shù)規(guī)范 第2部分：接口規(guī)范》的要求，信號(hào)系統(tǒng)與數(shù)據(jù)網(wǎng)絡(luò)子系統(tǒng)的無線通信應(yīng)采用LTE-M或Wi-Fi(無線網(wǎng)絡(luò))等方案。因此，通過無線網(wǎng)絡(luò)的加密認(rèn)證算法為系統(tǒng)提供外部威脅的防御，可以彌補(bǔ)RSSP-Ⅰ的不足。

與WLAN(無限局域網(wǎng))相比，LTE(長期演進(jìn))工作在專用頻段，不易受外界干擾，覆蓋能力強(qiáng)，且支持精細(xì)的資源調(diào)度顆粒度，可從時(shí)間、頻率的維度區(qū)分用戶，以保證業(yè)務(wù)QoS(服務(wù)質(zhì)量)需求[10-11]。LTE-M是針對(duì)城市軌道交通綜合業(yè)務(wù)承載需求的LTE系統(tǒng)，彌補(bǔ)了使用WLAN承載車地?zé)o線通信業(yè)務(wù)的種種劣勢(shì)，為保障城市軌道交通安全運(yùn)營提供技術(shù)支撐。祖沖之序列密碼算法是中國自主設(shè)計(jì)的流密碼算法，現(xiàn)已被3GPP(第三代移動(dòng)通信合作伙伴計(jì)劃)LTE采納為國際加密標(biāo)準(zhǔn)[12-13]，祖沖之序列密碼算法見文獻(xiàn)[14]。

要滿足3GPP對(duì)LTE網(wǎng)絡(luò)訪問部分的安全需求，只需將加密算法實(shí)施于LTE網(wǎng)絡(luò)的服務(wù)層及傳輸層的相關(guān)部分，即可保障數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾浴Ｒ虼?，本文提出基于LTE-M和RSSP-Ⅰ，采用祖沖之加密算法，構(gòu)建互聯(lián)互通FAO系統(tǒng)車地安全通信方案，如圖2所示。

圖2 互聯(lián)互通FAO系統(tǒng)車地安全通信方案架構(gòu)

車載信號(hào)設(shè)備至軌旁信號(hào)設(shè)備的數(shù)據(jù)傳輸過程為：①車載信號(hào)設(shè)備將需要與軌旁信號(hào)設(shè)備交互的數(shù)據(jù)經(jīng)RSSP-1安全通信模塊處理后，發(fā)送至TAU；②TAU采用128位祖沖之序列密碼算法對(duì)接收數(shù)據(jù)在PDCP(分組數(shù)據(jù)匯聚)層加密后，通過空口發(fā)送至BBU、RRU；③BBU對(duì)接收到的數(shù)據(jù)用相同的128位祖沖之序列密碼算法在PDCP層解密后，獲取到車載至軌旁的RSSP-Ⅰ處理后的數(shù)據(jù)，通過EPC傳輸至軌旁信號(hào)設(shè)備；④軌旁信號(hào)設(shè)備收到數(shù)據(jù)后，經(jīng)RSSP-Ⅰ安全通信模塊解析、校驗(yàn)后，獲取到車載至軌旁的應(yīng)用數(shù)據(jù)，交由相關(guān)應(yīng)用處理。

軌旁信號(hào)設(shè)備至車載信號(hào)設(shè)備的數(shù)據(jù)傳輸過程為：①軌旁信號(hào)設(shè)備將需要與車載信號(hào)設(shè)備交互的數(shù)據(jù)經(jīng)RSSP-Ⅰ安全通信模塊處理后，經(jīng)EPC傳輸至BBU；②BBU對(duì)接收到的數(shù)據(jù)用128位祖沖之序列密碼算法在PDCP層加密后，通過RRU和空口發(fā)送至LTE的TAU；③TAU采用相同的128位祖沖之序列密碼算法對(duì)接收的數(shù)據(jù)在PDCP層解密后，獲取到軌旁至車載的RSSP-Ⅰ處理后的數(shù)據(jù)；④車載信號(hào)設(shè)備收到數(shù)據(jù)后，經(jīng)RSSP-Ⅰ安全通信模塊解析、校驗(yàn)后，獲取到軌旁至車載的應(yīng)用數(shù)據(jù)，交由安全相關(guān)應(yīng)用處理。

4 結(jié)語

互聯(lián)互通FAO車地通信系統(tǒng)屬于第3類開放式傳輸系統(tǒng)，除RSSP-Ⅰ可防御的封閉式傳輸系統(tǒng)的威脅(重復(fù)、刪除、插入、重排序、損壞、延時(shí))外，還存在偽裝威脅。本方案在基于RSSP-Ⅰ的基礎(chǔ)上，在LTE-M無線通信系統(tǒng)中，在TAU和BBU的PDCP層部署祖沖之加密算法對(duì)傳輸消息進(jìn)行加密處理。

相較于現(xiàn)有的互聯(lián)互通CBTC系統(tǒng)采用的《RSSP-Ⅱ安全通信協(xié)議》，本方案采用基于UDP/IP的RSSP-Ⅰ，不僅降低了實(shí)現(xiàn)互聯(lián)互通車地通信的復(fù)雜程度，而且通過在LTE的設(shè)備上增加加密算法以有效防御外部偽裝威脅。該通信系統(tǒng)架構(gòu)更有利于不同信號(hào)設(shè)備廠商之間實(shí)現(xiàn)互聯(lián)互通，可滿足開放式通信系統(tǒng)的安全性要求。