33RSSPI 铁路安全通信协议.docx

1、33RSSPI 铁路安全通信协议中华人民共和国铁道部 发布铁路信号安全协议- Railway Signal Safety Protocol - I （报批稿）1前 言本规范为首次发布，应用于铁路信号安全通信的I类协议规范。本规范由北京全路通信信号研究设计院提出并归口。本规范由北京全路通信信号研究设计院负责起草。本规范主要起草人：岳朝鹏、叶峰、郭军强2铁路信号安全协议-I21范围本规范规定了铁路信号安全设备之间进行安全相关信息交互的安全层功能结构和协议。本安全层规范应与以本规范扩展定义的其它接口规范，共同构成完整的应用规范。本规范适用于封闭式传输系统，以实现铁路信号安全设备间的安全数据通信。22

2、规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方,研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。EN-50159-1:2001 Railway applications Communication, signalling and Processing systems Part 1: Safety-related communication in closed transmission systems 铁道应用：封闭式传输系

3、统中安全通信要求EN-50159-2:2001 Railway applications Communication, signalling and Processing systems Part 2: Safety-related communication in open transmission systems 铁道应用：开放式传输系统中安全通信要求EN-50128:2001 Railway applications Communications, signalling and processing systems Software for railway control and pro

4、tection systems 铁道应用: 铁路控制和防护系统软件EN-50129:2003 Railway applications Communication, signalling and processing systems Safety related electronic systems for signalling铁道应用：安全相关电子系统23术语和定义下列术语和定义适用于本标准。23.1危险源 Hazard可导致事故的条件。23.2风险 Risk特定危险事件发生的频率、概率以及产生的后果。23.3失败 Failure系统故障或错误的后果。23.4错误 Error与预期设计的偏差

5、，系统非预期输出或失败。23.5故障 Fault可导致系统错误的异常条件。故障可由随机和系统产生。24缩写下列术语和定义适用于本标准。24.1RSSP Railway Signal Safety Protocol铁路信号安全协议24.2SID Source Identifier每个安全数据生产者均有一个特定字标记（32位长）。24.3T(n) Time stamp value reached at cycle n.达到周期“n”的时间戳值。时间戳由两个32位长分量组成，每个计算通道为一个分量，即：T_1(n)，T_2(n)。24.4CRCM CRC modified改化CRC，在原CRC上附加

6、含带SID、T(n)和系统校验字分量信息（32位长）。每个计算通道为一个分量。CRCM_1 = CRC_1 SID_1 T_1(n) (系统校验字)_1CRCM_2 = CRC_2 SID_2 T_2(n) (系统校验字)_224.5SINIT Sequence initialisation constant序列初始化常量作为启动安全数据信息交换过程前的通信建立要求生成的结果。每个计算通道为一个分量。24.6变量名称(依赖变量参数名)在本规范算法描述中，用于表示本变量根据括号内指示的变量参数名称具有不同的取值。24.7LFSR Linear Feedback Shift Register线性反

7、馈移位寄存器。24.8标准 XOR 运算符。24.9使用 LFSR 添加运算符。24.10使用 LFSR 反减运算符。25概述对于封闭式传输系统中的安全通信问题，EN50159-1中规定应能对以下安全威胁进行识别和防范：a） 数据帧重复；b） 数据帧丢失；c） 数据帧插入；d） 数据帧次序混乱；e） 数据帧错误；f） 数据帧传输超时。RSSP-I采用从接收方角度设计的保护算法，要求接收方必须对接收到的信息做出以下检查:：a） 发送方的身份信息(真实性)；b） 信息帧的正确性(完整性)；c） 信息帧的时效性(时限性)；d） 信息帧序列的正确性(次序性)。RSSP-I主要采用了下列安全防御技术：a

8、） 时间戳；b） 超时；c） 源标识符SID；d） 反馈消息；e） 双重校验。参见下表：表 1威胁/防御矩阵危险情形时间戳(次序性)时间戳（本地超时）超时(清除)源标识符反馈消息双重校验重复X丢失X插入XXX错序X错码X延迟XXXRSSP-I为通用协议层，下图显示了RSSP-I的外部接口：C接口为RSSP-I所使用的物理传输通道，适用于在封闭式传输系统中分发安全数据；B接口为对等实体的安全连接；A接口为具体应用软件根据特定应用要求进行定制。图 1 RSSP-1的外部接口26安全防御技术26.1时间戳由两个32位长的伪随机数表示，必须确认在每个软件周期时的强制增量。外加一个32位计数器，用作代数

9、比较。计数器采用的是系统软件内部周期序号，故即可作为系统发送消息时的序号，也可作为存储在本地存储器中的消息超时。时间戳与计数器周期同步递增。26.2超时要求从生成时刻起的有限时间段内保持有效。所有接收消息经检验确认后，去除发送源的时间戳，改用本地时间标记存储。使用两个机制执行超时：a） 本地时效检验，若超时，完全清除消息数据。b） 发送方时效检验，若超时，须启动时序校正机制，才能接受消息。26.3源标识符所有发送节点均有一对唯一的32位长SID，随同安全数据一起发送。26.4反馈消息时间戳同时包含序列信息，随同安全数据一起发送。若接收方校验到发送消息序列非预期内的增量，则启动时序校正交互。接收

10、方向只对特定发送方发送时序请求，发送方则按接收方要求反馈时序应答，接收方再根据时序应答消息重新计算发送方的时序同步位置。26.5双重校验有两个32位长CRC，确保安全传输所要求的漏检差错概率。另加两个32位长的固定系统校验字，随同安全数据一起发送。系统校验字用于标识安全层协议的正确特性。27数据帧定义27.1安全数据交互原则图 1描述了数据发送方和数据接收方之间的安全数据交互原则：即接收方必须实时检查从发送方来的安全数据帧的时序性，若发现不同步，就触发时序校正机制，且只在校正同步后才认可为有效安全数据帧(如：BA)。若当前时序已同步，就只需单方向实时发送安全数据帧即可，不必作任何应答(如：BC

11、)。图 2安全数据交互示例在安全通信交互中需使用到以下三种帧类型，如表 2所示。并要求：a） 除应用数据域外，其它多字节域均采用小端顺序排列（即低字节在前），应用数据域按具体应用层协议要求顺序排列。b） 连续的两帧之间的发送时间间隔不得小于5毫秒，以便接收方识别出不同的完整帧。c） RSD的帧长度须为固定值，具体长度值参照应用层规定。表 2安全数据交互的数据帧名称传播类型频率性实时安全数据帧点对点周期性时序校正请求帧点对点触发式时序校正答复帧点对点触发式27.2实时安全数据帧（RSD）RSD用于节点间相互实时传送安全数据(含应用需求的数据域)，参见表 3。表 3 RSD帧格式域类型字段名称大小

12、取值备注帧头协议交互类别1字节0x01或0x02适用于实时周期性传输交互的情形帧类型1字节0x80或0x810x80表示A机发送的；0x81表示B机发送的；源地址2字节保留0x0000目地址2字节预留0xFFFF数据体TC本地周期计数器4字节n用于预测故障检测,有无超出预定校时范围安全数据的大小2字节应用层字节总数+8CRCM_1安全校验通道14字节CRC_1SID_1T_1(n)SysChk_1CRC_1仅对应用数据域部分计算CRC32 CRCM_2安全校验通道24字节CRC_2SID_2T_2(n)SysChk_2CRC_2仅对应用数据域部分计算CRC32 , 应用数据域字节总数480本周

13、期所需传输的全部应用数据要求必须为偶数字节长度CRC16CRC162 字节根据帧头和数据体生成，CRC16生成多项式为G(x)=X16+X11+X4+1，计算初始值为0统计TSD 用户数据变量小于546字节协议交互类别字段：0x01时表示接收方须待同步校时正确后才能认为该帧有效，适用于主机发送的安全数据；0x02时表示接收方不需作同步检查(接收方不触发SSE帧)即可视该帧为有效帧，适用于备机发送的安全数据，以表示物理通道连接正常，但不对其具体应用数据域做功能安全运算。时间戳是基于一个32位的线性反馈移位寄存器值，初始值T(0)=SID, 按系统周期移位并使用固定多项式作附加干扰输入。时间戳与本

14、地周期计数器对应同步递增。关于安全校验通道CRC_M字段中所使用的参数配置，见表 4所示。表 4 安全通信通道的算式参数安全通道号CRC32生成多项式SysChk系统检查字时间戳生成多项式11100D4E63AE390B5A10FC22F87218CE56011C103589C1C3E887E127.3时序校正请求帧（SSE）当接收方检验到当前安全数据帧的时序已超过所预定的容忍范围时，就需向发送方发送时序校正请求帧（SSE），用于请求时序同步校正，参见表 5。表 5 SSE帧格式域类型字段名称大小取值备注帧头协议交互类别1字节0x01帧类型1字节0x90源地址2字节目地址2字节数据体TC本地周

15、期计数器4字节n时序请求通道 1SEQENQ_14字节SID_1T_1(n)节点标识与时戳信息综合时序请求通道2SEQENQ_24字节SID_2T_2(n)节点标识与时戳信息综合CRC帧CRC2字节同RSD帧统计SSE用户数据变量20 字节27.4时序校正应答帧（SSR）时序校正应答帧（SSR）用于回应时序校正请求帧（SSE），参见表 6。表 6 SSR帧格式域类型字段名称大小取值备注帧头协议交互类别1字节0x01帧类型1字节0x91源地址2字节目地址2字节数据域TC1本地周期计数器4字节n1应答回复方的TC2它方周期计数器4字节n2请求应答方的，即SSE中的n值时序初始化通道14字节SEQE

16、NQ_1SID_1T_1(n)DataVer_1SEQENQ_1为SSE中值时序初始化通道24字节SEQENQ_2SID_2T_2(n)DataVer_2SEQENQ_2为SSE中值 数据版本号1字节0x01预留CRC帧CRC2字节同RSD帧统计SSR用户数据变量字节当请求时序方接收到相应SSR时，应确认SSR中的n2值与SSE时的n值相符。28数据交换流程发送方应每周期发送一次RSD帧，图 2给出了构建一条RSD帧的过程。图 3 RSD帧的构建示意接收方应对接收到的RSD帧进行二重校验：基本校验，指对RSD帧头和帧尾检查，若校验失败，则直接丢弃该帧；安全校验，指对RSD帧中的两个CRCM字段

17、校核，若校验失败，须触发时序对齐校正过程。下图给出了校验一条RSD帧的过程。图 4 RSD帧安全校验示意若通过安全校验，则接收方应更新本地存储值lastSINIT_SID_Time = SINIT_r (SID_rT_1(n)。有关时序对齐校正的步骤：以通道1为例,设val_1 = SEQENQ_1SID_1T_1(n)DataVer_1;去除本地请求信息val_1 = val_1 SEQENQ_1;即可重新获取到最新序列对齐值，即lastSINIT_SID_Time_1 = precFirstSinit_1val_1;其中precFirstSinit_1 = SINIT_r_1 (SID_e

18、_1DataVer_r_1) 0；r表示应答回复方，e表示请求时序方。可在初始期间计算存储该值。29通信参数配置要求29.1默认规定RSD帧的可同步容忍的最大时序偏差为2秒（若系统周期为250ms，则周期数为0x08），超时后需启动请求同步校时机制；29.2默认规定安全数据值的有效保持时间为3秒（若系统周期为250ms，则周期数为0x0C），超时后需将安全数据位导向安全值“0”。29.3源地址和目的地址编号默认采用设备编号。29.4SID、SINIT、DATAVER参数选取要求如下：以源节点标识（若SID=0x6CB2303C）为例，且两个安全通道的最小码距均为6。图 5预设配置常数说明此页无正文。 编 制 者 ： 审 核 者 ： 项目负责人 ： 设 计 所 ： 院专业工程师 ： 院总工程师 ：