基于LTE-M的互联互通全自动运行系统车地安全通信方案研究

高雪娟 雷成健 刘 泽

(湖南中车时代通信信号有限公司，410100，长沙∥第一作者，工程师)

FAO(全自动运行)系统是基于现代计算机、通信、控制和系统集成等技术，实现列车运行全过程自动化的新一代城市轨道交通控制系统。它包括信号、车辆、综合监控、通信和站台门等控制子系统，能实现自动控制等级GoA 3和GoA 4功能要求。相比常规的CBTC(基于通信的列车控制)系统，FAO系统能自动控制列车到站停车和启动加速；能提高乘客服务质量，提升列车运行速度，有效缩短列车的追踪间隔，节约能源，降低运营和维护成本。FAO系统是国际公认的城市轨道交通控制系统的主要发展方向[1]。线路规模化、网络化是我国城市轨道交通发展的必然趋势[2]，FAO系统对实现互联互通的网络化运营具有重要的现实意义。

在常规CBTC互联互通的基础上，通过增加FAO系统所需的休眠、唤醒、自动洗车、门隔离和蠕动模式运行等特殊功能，以及统一硬件、接口、电子地图等，使其可支持更丰富的线路设计；支持4/8编组列车混合停车、休眠唤醒和自动连挂/编组，以及统一车地功能接口、统一线路布置以支持全自动车库休眠/唤醒功能，并统一车地安全通信接口协议，由此实现FAO系统的互联互通。

1 互联互通FAO系统车地安全通信分析

《RSSP-Ⅱ铁路信号安全通信协议》[3]将安全功能模块分成安全应用中间层(SAI)和消息鉴定安全层(MASL)。SAI层通过序列号、三重时间戳或执行周期计数，防御重复、丢失和重排序；MASL层通过安全码、源/目的标识符，防御外部入侵。重庆、北京、长沙等城市陆续开展了城市轨道交通互联互通CBTC系统的工程建设，其在项目的应用过程中遇到的问题如下[4-5]：

1)RSSP-Ⅱ(铁路信号安全协议Ⅱ)只是一个总体的设计协议，在具体的应用中需根据实际的运营状况设计通信架构，其传输层、网络层是基于TCP/IP(传输控制协议/互联网协议)的，而TCP栈自身比较复杂，各信号厂商实现的底层协议栈会出现不一致，导致通信双方无法建立通信或通信不稳定，影响了车地之间的数据传输。

2)由于车地安全通信协议的实现必须依赖特定的软、硬件平台，车地通信的实现必须依赖于通信传输系统，因而在实际的工程施工中，为保证设备间通信的可靠性和可用性，RSSP-Ⅱ中各个配置参数的选取是一个问题。

3)由于车地无线通信需要在高速移动环境下切换无线接入点，且目前城市轨道交通LTE-M(城市轨道交通长期演进系统)使用的专有频段与相邻的移动通信之间存在邻频干扰，因而不可避免地存在数据丢包的情况。而TCP栈具有重传机制，当检测到丢包时，TCP栈会等待丢失包重传，即使有新数据，也不会传输，因而增加了数据包的通信延时。若该通信延时超过系统容忍时间，将会影响或中断系统的正常运营。

因此，RSSP-Ⅱ并不是实现互联互通的最佳车地通信协议。尤其是FAO系统，当车载设备与地面设备通信中断时，会导致列车紧急制动、降级运行；若车上无司机时，则需要救援。这严重影响了列车运营。

2 互联互通的FAO系统车地安全通信协议

2.1 标准要求

欧洲标准EN 50159：2010[6]将现有铁路信号系统中的传输系统划分为3类，其中FAO系统车地间的传输系统为第3类开放式传输系统，其推荐的安全通信系统架构如图1所示。

图1 EN 50159—2010推荐的安全通信系统参考架构

其中，根据欧洲标准EN 50129:2003[7]的要求，安全相关应用和安全相关传输功能应使用安全相关的设备、安全相关的加密技术，而非安全相关传输系统应使用安全相关的设备，或使用通过安全相关的技术检查的非安全相关的设备。

2.2 RSSP-Ⅰ和RSSP-Ⅱ对比分析

我国铁道部参照欧洲标准并结合国内铁路信号系统实际情况，制定了分别适用于封闭式传输系统的安全通信协议RSSP-Ⅰ和封闭式/开放式传输系统的安全通信协议RSSP-Ⅱ[3，8]。

RSSP-Ⅰ的制定是基于欧洲标准Subset-037的子集。其通信功能模块中，各层都选取了标准协议，而在安全功能模块上增加了自定义的ER(欧洲无线)，用于车载设备和地面设备之间进行无线通信的安全协议；而RSSP-Ⅱ则是基于欧洲标准Subset-098的子集。其开始用于地面设备之间的通信安全协议，即设计之初用于有线通信服务，因此是基于分组交换的TCP/IP。因标准化需求，RSSP-Ⅱ借用Subset-037中的欧洲无线安全层，同时增加了一个SAI层。其中SAI层是对欧洲无线通信安全层的补充，预防了RSSP-Ⅰ未防护的伪装威胁。总体上讲，RSSP-Ⅱ的5种防护措施基本覆盖了防御EN 50159:2003中的7种威胁。

RSSP-Ⅰ的安全层和通信驱动层是独立的，底层数据的传输方式可以是串口(RS422、RS232等)，也可以是网络(TCP、UDP(用户数据协议)等)；RSSP-Ⅱ的安全功能模块(SFM)则依赖通信功能模块(CFM)的网络适配层，是基于TCP/IP的。RSSP-Ⅰ可以有效地防御封闭式传输系统中的威胁，但对外部入侵如恶意伪造消息等威胁则没有防御手段。RSSP-Ⅰ和RSSP-Ⅱ对开放系统的威胁项/防御技术对比见表1。

表1 RSSP-Ⅰ和RSSP-Ⅱ对开放系统的威胁项/防御技术对比

假定车载设备和地面设备的通信周期均为200 ms，根据文献[9]，在不考虑祖冲之序列密码算法延时的情况下，RSSP-Ⅰ和RSSP-Ⅱ的通信时延对比表见表2。

表2 RSSP-Ⅰ和RSSP-Ⅱ的通信时延对比

由于RSSP-Ⅱ的加密认证算法和建链处理的复杂度高于RSSP-Ⅰ的，因此RSSP-Ⅱ的时延高于RSSP-Ⅰ的时延，尤其是建链时延及重传时延。

3 基于RSSP-Ⅰ的互联互通FAO系统车地安全通信方案

城市轨道交通车地无线通信需要承载的业务主要有7项：列车控制业务数据(优先级：2)、集群调度语音业务(优先级：2)、列车运行状态信息(优先级：4)、紧急信息文本下发(优先级：4)、视频监控(优先级：6)、PIS(乘客信息系统)流媒体业务(优先级：6)、集群调度视频业务(优先级：7)。根据《城市轨道交通全自动运行系统技术规范 第2部分：接口规范》的要求，信号系统与数据网络子系统的无线通信应采用LTE-M或Wi-Fi(无线网络)等方案。因此，通过无线网络的加密认证算法为系统提供外部威胁的防御，可以弥补RSSP-Ⅰ的不足。

与WLAN(无限局域网)相比，LTE(长期演进)工作在专用频段，不易受外界干扰，覆盖能力强，且支持精细的资源调度颗粒度，可从时间、频率的维度区分用户，以保证业务QoS(服务质量)需求[10-11]。LTE-M是针对城市轨道交通综合业务承载需求的LTE系统，弥补了使用WLAN承载车地无线通信业务的种种劣势，为保障城市轨道交通安全运营提供技术支撑。祖冲之序列密码算法是中国自主设计的流密码算法，现已被3GPP(第三代移动通信合作伙伴计划)LTE采纳为国际加密标准[12-13]，祖冲之序列密码算法见文献[14]。

要满足3GPP对LTE网络访问部分的安全需求，只需将加密算法实施于LTE网络的服务层及传输层的相关部分，即可保障数据传输的保密性和完整性。因此，本文提出基于LTE-M和RSSP-Ⅰ，采用祖冲之加密算法，构建互联互通FAO系统车地安全通信方案，如图2所示。

图2 互联互通FAO系统车地安全通信方案架构

车载信号设备至轨旁信号设备的数据传输过程为：①车载信号设备将需要与轨旁信号设备交互的数据经RSSP-1安全通信模块处理后，发送至TAU；②TAU采用128位祖冲之序列密码算法对接收数据在PDCP(分组数据汇聚)层加密后，通过空口发送至BBU、RRU；③BBU对接收到的数据用相同的128位祖冲之序列密码算法在PDCP层解密后，获取到车载至轨旁的RSSP-Ⅰ处理后的数据，通过EPC传输至轨旁信号设备；④轨旁信号设备收到数据后，经RSSP-Ⅰ安全通信模块解析、校验后，获取到车载至轨旁的应用数据，交由相关应用处理。

轨旁信号设备至车载信号设备的数据传输过程为：①轨旁信号设备将需要与车载信号设备交互的数据经RSSP-Ⅰ安全通信模块处理后，经EPC传输至BBU；②BBU对接收到的数据用128位祖冲之序列密码算法在PDCP层加密后，通过RRU和空口发送至LTE的TAU；③TAU采用相同的128位祖冲之序列密码算法对接收的数据在PDCP层解密后，获取到轨旁至车载的RSSP-Ⅰ处理后的数据；④车载信号设备收到数据后，经RSSP-Ⅰ安全通信模块解析、校验后，获取到轨旁至车载的应用数据，交由安全相关应用处理。

4 结语

互联互通FAO车地通信系统属于第3类开放式传输系统，除RSSP-Ⅰ可防御的封闭式传输系统的威胁(重复、删除、插入、重排序、损坏、延时)外，还存在伪装威胁。本方案在基于RSSP-Ⅰ的基础上，在LTE-M无线通信系统中，在TAU和BBU的PDCP层部署祖冲之加密算法对传输消息进行加密处理。

相较于现有的互联互通CBTC系统采用的《RSSP-Ⅱ安全通信协议》，本方案采用基于UDP/IP的RSSP-Ⅰ，不仅降低了实现互联互通车地通信的复杂程度，而且通过在LTE的设备上增加加密算法以有效防御外部伪装威胁。该通信系统架构更有利于不同信号设备厂商之间实现互联互通，可满足开放式通信系统的安全性要求。