基于LTE-M的互聯(lián)互通全自動運行系統(tǒng)車地安全通信方案研究

高雪娟 雷成健 劉 澤

(湖南中車時代通信信號有限公司，410100，長沙∥第一作者，工程師)

FAO(全自動運行)系統(tǒng)是基于現代計算機、通信、控制和系統(tǒng)集成等技術，實現列車運行全過程自動化的新一代城市軌道交通控制系統(tǒng)。它包括信號、車輛、綜合監(jiān)控、通信和站臺門等控制子系統(tǒng)，能實現自動控制等級GoA 3和GoA 4功能要求。相比常規(guī)的CBTC(基于通信的列車控制)系統(tǒng)，FAO系統(tǒng)能自動控制列車到站停車和啟動加速；能提高乘客服務質量，提升列車運行速度，有效縮短列車的追蹤間隔，節(jié)約能源，降低運營和維護成本。FAO系統(tǒng)是國際公認的城市軌道交通控制系統(tǒng)的主要發(fā)展方向[1]。線路規(guī)模化、網絡化是我國城市軌道交通發(fā)展的必然趨勢[2]，FAO系統(tǒng)對實現互聯(lián)互通的網絡化運營具有重要的現實意義。

在常規(guī)CBTC互聯(lián)互通的基礎上，通過增加FAO系統(tǒng)所需的休眠、喚醒、自動洗車、門隔離和蠕動模式運行等特殊功能，以及統(tǒng)一硬件、接口、電子地圖等，使其可支持更豐富的線路設計；支持4/8編組列車混合停車、休眠喚醒和自動連掛/編組，以及統(tǒng)一車地功能接口、統(tǒng)一線路布置以支持全自動車庫休眠/喚醒功能，并統(tǒng)一車地安全通信接口協(xié)議，由此實現FAO系統(tǒng)的互聯(lián)互通。

1 互聯(lián)互通FAO系統(tǒng)車地安全通信分析

《RSSP-Ⅱ鐵路信號安全通信協(xié)議》[3]將安全功能模塊分成安全應用中間層(SAI)和消息鑒定安全層(MASL)。SAI層通過序列號、三重時間戳或執(zhí)行周期計數，防御重復、丟失和重排序；MASL層通過安全碼、源/目的標識符，防御外部入侵。重慶、北京、長沙等城市陸續(xù)開展了城市軌道交通互聯(lián)互通CBTC系統(tǒng)的工程建設，其在項目的應用過程中遇到的問題如下[4-5]：

1)RSSP-Ⅱ(鐵路信號安全協(xié)議Ⅱ)只是一個總體的設計協(xié)議，在具體的應用中需根據實際的運營狀況設計通信架構，其傳輸層、網絡層是基于TCP/IP(傳輸控制協(xié)議/互聯(lián)網協(xié)議)的，而TCP棧自身比較復雜，各信號廠商實現的底層協(xié)議棧會出現不一致，導致通信雙方無法建立通信或通信不穩(wěn)定，影響了車地之間的數據傳輸。

2)由于車地安全通信協(xié)議的實現必須依賴特定的軟、硬件平臺，車地通信的實現必須依賴于通信傳輸系統(tǒng)，因而在實際的工程施工中，為保證設備間通信的可靠性和可用性，RSSP-Ⅱ中各個配置參數的選取是一個問題。

3)由于車地無線通信需要在高速移動環(huán)境下切換無線接入點，且目前城市軌道交通LTE-M(城市軌道交通長期演進系統(tǒng))使用的專有頻段與相鄰的移動通信之間存在鄰頻干擾，因而不可避免地存在數據丟包的情況。而TCP棧具有重傳機制，當檢測到丟包時，TCP棧會等待丟失包重傳，即使有新數據，也不會傳輸，因而增加了數據包的通信延時。若該通信延時超過系統(tǒng)容忍時間，將會影響或中斷系統(tǒng)的正常運營。

因此，RSSP-Ⅱ并不是實現互聯(lián)互通的最佳車地通信協(xié)議。尤其是FAO系統(tǒng)，當車載設備與地面設備通信中斷時，會導致列車緊急制動、降級運行；若車上無司機時，則需要救援。這嚴重影響了列車運營。

2 互聯(lián)互通的FAO系統(tǒng)車地安全通信協(xié)議

2.1 標準要求

歐洲標準EN 50159：2010[6]將現有鐵路信號系統(tǒng)中的傳輸系統(tǒng)劃分為3類，其中FAO系統(tǒng)車地間的傳輸系統(tǒng)為第3類開放式傳輸系統(tǒng)，其推薦的安全通信系統(tǒng)架構如圖1所示。

圖1 EN 50159—2010推薦的安全通信系統(tǒng)參考架構

其中，根據歐洲標準EN 50129:2003[7]的要求，安全相關應用和安全相關傳輸功能應使用安全相關的設備、安全相關的加密技術，而非安全相關傳輸系統(tǒng)應使用安全相關的設備，或使用通過安全相關的技術檢查的非安全相關的設備。

2.2 RSSP-Ⅰ和RSSP-Ⅱ對比分析

我國鐵道部參照歐洲標準并結合國內鐵路信號系統(tǒng)實際情況，制定了分別適用于封閉式傳輸系統(tǒng)的安全通信協(xié)議RSSP-Ⅰ和封閉式/開放式傳輸系統(tǒng)的安全通信協(xié)議RSSP-Ⅱ[3，8]。

RSSP-Ⅰ的制定是基于歐洲標準Subset-037的子集。其通信功能模塊中，各層都選取了標準協(xié)議，而在安全功能模塊上增加了自定義的ER(歐洲無線)，用于車載設備和地面設備之間進行無線通信的安全協(xié)議；而RSSP-Ⅱ則是基于歐洲標準Subset-098的子集。其開始用于地面設備之間的通信安全協(xié)議，即設計之初用于有線通信服務，因此是基于分組交換的TCP/IP。因標準化需求，RSSP-Ⅱ借用Subset-037中的歐洲無線安全層，同時增加了一個SAI層。其中SAI層是對歐洲無線通信安全層的補充，預防了RSSP-Ⅰ未防護的偽裝威脅。總體上講，RSSP-Ⅱ的5種防護措施基本覆蓋了防御EN 50159:2003中的7種威脅。

RSSP-Ⅰ的安全層和通信驅動層是獨立的，底層數據的傳輸方式可以是串口(RS422、RS232等)，也可以是網絡(TCP、UDP(用戶數據協(xié)議)等)；RSSP-Ⅱ的安全功能模塊(SFM)則依賴通信功能模塊(CFM)的網絡適配層，是基于TCP/IP的。RSSP-Ⅰ可以有效地防御封閉式傳輸系統(tǒng)中的威脅，但對外部入侵如惡意偽造消息等威脅則沒有防御手段。RSSP-Ⅰ和RSSP-Ⅱ對開放系統(tǒng)的威脅項/防御技術對比見表1。

表1 RSSP-Ⅰ和RSSP-Ⅱ對開放系統(tǒng)的威脅項/防御技術對比

假定車載設備和地面設備的通信周期均為200 ms，根據文獻[9]，在不考慮祖沖之序列密碼算法延時的情況下，RSSP-Ⅰ和RSSP-Ⅱ的通信時延對比表見表2。

表2 RSSP-Ⅰ和RSSP-Ⅱ的通信時延對比

由于RSSP-Ⅱ的加密認證算法和建鏈處理的復雜度高于RSSP-Ⅰ的，因此RSSP-Ⅱ的時延高于RSSP-Ⅰ的時延，尤其是建鏈時延及重傳時延。

3 基于RSSP-Ⅰ的互聯(lián)互通FAO系統(tǒng)車地安全通信方案

城市軌道交通車地無線通信需要承載的業(yè)務主要有7項：列車控制業(yè)務數據(優(yōu)先級：2)、集群調度語音業(yè)務(優(yōu)先級：2)、列車運行狀態(tài)信息(優(yōu)先級：4)、緊急信息文本下發(fā)(優(yōu)先級：4)、視頻監(jiān)控(優(yōu)先級：6)、PIS(乘客信息系統(tǒng))流媒體業(yè)務(優(yōu)先級：6)、集群調度視頻業(yè)務(優(yōu)先級：7)。根據《城市軌道交通全自動運行系統(tǒng)技術規(guī)范 第2部分：接口規(guī)范》的要求，信號系統(tǒng)與數據網絡子系統(tǒng)的無線通信應采用LTE-M或Wi-Fi(無線網絡)等方案。因此，通過無線網絡的加密認證算法為系統(tǒng)提供外部威脅的防御，可以彌補RSSP-Ⅰ的不足。

與WLAN(無限局域網)相比，LTE(長期演進)工作在專用頻段，不易受外界干擾，覆蓋能力強，且支持精細的資源調度顆粒度，可從時間、頻率的維度區(qū)分用戶，以保證業(yè)務QoS(服務質量)需求[10-11]。LTE-M是針對城市軌道交通綜合業(yè)務承載需求的LTE系統(tǒng)，彌補了使用WLAN承載車地無線通信業(yè)務的種種劣勢，為保障城市軌道交通安全運營提供技術支撐。祖沖之序列密碼算法是中國自主設計的流密碼算法，現已被3GPP(第三代移動通信合作伙伴計劃)LTE采納為國際加密標準[12-13]，祖沖之序列密碼算法見文獻[14]。

要滿足3GPP對LTE網絡訪問部分的安全需求，只需將加密算法實施于LTE網絡的服務層及傳輸層的相關部分，即可保障數據傳輸的保密性和完整性。因此，本文提出基于LTE-M和RSSP-Ⅰ，采用祖沖之加密算法，構建互聯(lián)互通FAO系統(tǒng)車地安全通信方案，如圖2所示。

圖2 互聯(lián)互通FAO系統(tǒng)車地安全通信方案架構

車載信號設備至軌旁信號設備的數據傳輸過程為：①車載信號設備將需要與軌旁信號設備交互的數據經RSSP-1安全通信模塊處理后，發(fā)送至TAU；②TAU采用128位祖沖之序列密碼算法對接收數據在PDCP(分組數據匯聚)層加密后，通過空口發(fā)送至BBU、RRU；③BBU對接收到的數據用相同的128位祖沖之序列密碼算法在PDCP層解密后，獲取到車載至軌旁的RSSP-Ⅰ處理后的數據，通過EPC傳輸至軌旁信號設備；④軌旁信號設備收到數據后，經RSSP-Ⅰ安全通信模塊解析、校驗后，獲取到車載至軌旁的應用數據，交由相關應用處理。

軌旁信號設備至車載信號設備的數據傳輸過程為：①軌旁信號設備將需要與車載信號設備交互的數據經RSSP-Ⅰ安全通信模塊處理后，經EPC傳輸至BBU；②BBU對接收到的數據用128位祖沖之序列密碼算法在PDCP層加密后，通過RRU和空口發(fā)送至LTE的TAU；③TAU采用相同的128位祖沖之序列密碼算法對接收的數據在PDCP層解密后，獲取到軌旁至車載的RSSP-Ⅰ處理后的數據；④車載信號設備收到數據后，經RSSP-Ⅰ安全通信模塊解析、校驗后，獲取到軌旁至車載的應用數據，交由安全相關應用處理。

4 結語

互聯(lián)互通FAO車地通信系統(tǒng)屬于第3類開放式傳輸系統(tǒng)，除RSSP-Ⅰ可防御的封閉式傳輸系統(tǒng)的威脅(重復、刪除、插入、重排序、損壞、延時)外，還存在偽裝威脅。本方案在基于RSSP-Ⅰ的基礎上，在LTE-M無線通信系統(tǒng)中，在TAU和BBU的PDCP層部署祖沖之加密算法對傳輸消息進行加密處理。

相較于現有的互聯(lián)互通CBTC系統(tǒng)采用的《RSSP-Ⅱ安全通信協(xié)議》，本方案采用基于UDP/IP的RSSP-Ⅰ，不僅降低了實現互聯(lián)互通車地通信的復雜程度，而且通過在LTE的設備上增加加密算法以有效防御外部偽裝威脅。該通信系統(tǒng)架構更有利于不同信號設備廠商之間實現互聯(lián)互通，可滿足開放式通信系統(tǒng)的安全性要求。