1、ICS 45060S 30 缮宜中华人民共和国国家标准GBT 243391-2009IEC 622801:2002轨道交通 通信、信号和处理系统第1部分:封闭式传输系统中的安全相关通信Railway applications-Communication,signalling and processing systems-Part 1:Safety-related communication in closed transmission systems2009-09-30发布(IEC 622801:2002,IDT)2010-0101实施宰瞀徽紫瓣警矬瞥星发布中国国家标准化管理委员会仅111目
2、次GBT 243391-2009IEC 62280-1:2002前言引言1范围2规范性引用文件3术语和定义4参考结构5传输系统特征和安全规程之间的关系51功能完整性要求52安全完整性要求6安全规程要求61总则-62安全相关设备问的通信63安全相关设备与非安全相关设备之间的通信64非安全相关设备间的通信7安全编码要求71总则72安全目标73安全编码的长度附录A(资料性附录)安全编码的长度-一1-112-4-44-5-5-5-t 5-t-6-6-6-66-7前 言GBT 243391-2009IEC 62280-1:2002GBT 24339轨道交通通信、信号和处理系统分为两部分:第1部分:封闭式
3、传输系统中的安全相关通信;第2部分:开放式传输系统中的安全相关通信。本部分为GBT 24339的第1部分。本部分等同采用IEC 622801:2002(轨道交通通信、信号和处理系统第1部分:封闭式传输系统中的安全相关通信(英文版)。本部分与IEC 622801:2002相比,主要差异如下:a)“本国际标准”一词改为“本都分”;b)用小数点“”代替作为小数点的逗号“,”;c)删除国际标准的前言;d)引用文件ENV 50129:1998改为EN 50129:2003。本部分的附录A为资料性附录。本部分由铁道部提出。本部分由全国牵引电气设备与系统标准化技术委员会(SACTC 278)归口。本部分起草
4、单位:北京交通大学、株洲南车时代电气股份有限公司。本部分主要起草人:唐涛、张利芝、徐田华、严云升、牛儒、刘贵。GBT 243391-2009IEC 62280-1:2002引 言封闭式传输系统指可连接设备的最大数量和拓扑结构是已知的,传输系统的物理特征是固定的传输系统。GBT 24339的本部分适用于封闭式传输系统的安全相关设备间的安全相关通信,GBT 243392适用于开放式传输系统。安全相关和非安全相关设备都可以与传输系统连接。在错误影响到安全相关通信时,需要:检查错误;启动一个安全反应。本部分未对非置信的传输系统自身提出安全要求,但规定了非置信系统的特性和物理特征。出于安全目的,只需考虑
5、物理传输通道。通过在安全相关设备中应用安全规程和安全编码来保证安全,安全编码添加在传输系统非置信的通信协议上层。尽管本部分不考虑可靠性,但应切记可靠性是整体安全性的主要因素。本部分的适用范围也可从车辆总线扩展到所有的封闭式传输系统。1范围GBT 243391-2009IEC 622801:2002轨道交通通信、信号和处理系统第1部分:封闭式传输系统中的安全相关通信GBT 24339的本部分规定了连接在传输系统上的安全相关设备之间的安全相关通信所需要的基本要求。本部分适用于采用封闭式传输系统进行通信的安全相关电子系统,适用于封闭式通信系统的安全需求规范和设计,以便获得指定的安全完整性等级(SIL
6、)。安全要求规范是安全相关电子系统的安全论据的先决条件。有关安全论据的详述(包括安全管理和质量管理等)见EN 50129。本部分只讨论其中的功能安全和技术安全论据。本部分不适用于在本部分颁布之前的既有系统。然而,对于既有系统、子系统和设备的修改或扩展,要尽可能地使用本部分。本部分用于满足以下前提条件的封闭式传输系统,并且需要提供相关证据说明系统满足这些条件:只允许授权的访问;可连接设备最大数量已知;传输介质已知且固定。封闭式传输系统不局限于数据总线,也可以包括如应答器连接或两个安全相关的计算机之间简单的串行连接传输方式。本部分没有给出以下内容的定义:传输系统;传输系统所连接的设备;详细的解决方
7、案(如互操作性);安全相关数据的界定。2规范性引用文件下列文件中的条款通过GBT 24339的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 21562 轨道交通 可靠性、可用性、可维修性和安全性(RAMS)规范和示例(GBT 21562-2008,IEC 62278:2002,IDT)IEC 62279轨道交通通信、信号和处理系统轨道控制和防护系统的软件EN 50129轨道交通用于信号系统的安全相关电
8、子系统3术语和定义下列术语和定义适用于GBT 24339的本部分。31真实性authenticity信息有效且已知该信息来自指定信息源的状态。1GBT 243391-2009IEC 62280-1:200232封闭式传输系统closed transmission system连接的设备数量固定或最大数量固定,有已知且固定的特性的传输系统,对于此系统可以忽略非法访问的风险。33循环冗余校验cyclic redundancy check(CRC)冗余数据的计算程序。把冗余数据添加给报文,以检测可能在传输过程中受物理数据损坏影响产生的错误。34EMI电磁干扰。35完整性integrity信息的一种状
9、态,信息完整、正确,未被更改或损坏。36报文message从发送端(数据源)传输到一个或多个接收端(数据宿)的信息。37非置信non-trusted没有专门的安全性预防措施。38安全降级状态safe fall back state安全相关设备或系统的安全状态,与无故障状态不同,它是安全反应的结果。安全反应导致安全相关功能的性能降低,非安全相关功能的性能也可能会降低。39安全编码safety code冗余数据,包含在允许冗余校验检测出数据损坏的报文中。310安全反应safety reaction安全进程为响应一个事件(如通信系统失效)可能采取的动作,它将导致设备进入安全降级状态。311传输编码t
10、ransmission code冗余信息,添加到非置信传输系统的安全和非安全报文中,以确保传输过程中报文的完整性。312传输系统transmission system用于多个设备之间传递报文流的一种服务,这些设备可以是信息源或信息宿。313用户数据user data表示用户进程状态或事件的数据,不附加其他任何数据。在安全相关设备间通信时,用户数据包括安全相关数据。4参考结构本部分定义一种特殊类型的通信系统的安全要求。将此类通信系统的特征定义为先决条件(Prl、Pr2、Pr3)。2GBT 243391-2009IEC 62280-1:2002通常,安全相关和非安全相关设备可以接入同一个传输系统。
11、从安全角度看,此传输系统是非置信的(见图1)。安全相关传输系统定义为:非置信传输系统(包括高集成度电路中实现的传输功能);安全相关传输功能。安全进程的安全论据应按照EN 50129来制定。安全相关传输功能的功能安全和技术安全论据应符合本部分。对非置信传输系统没有安全要求。通过在安全相关设备内运行的安全规程和安全编码来保证传输系统的安全性(见图2)。因此,本部分适用于满足下列先决条件的体系结构。Prl传输系统是封闭的。Pr2连接到传输系统的设备(无论是否安全相关)的数量应是已知和固定的。因为安全相关系统的安全性取决于该参数,所以允许同时通信的最大终端数量要作为一个先决条件列入到安全要求规范中。”
12、Pr3传输系统的物理特征(如传输介质、最恶劣的环境条件等)是固定的,要在系统的生命周期内保持不变。如果要改变主要参数,所有的安全相关内容都应复核。与这些先决条件相关的要求在接下来的条款中给出。安全相关设备安全相关设备非安全相关设备传糖介质图1 使用非置信传输系统的安全相关系统体系结构1)系统配置要在安全论据中定义体现。随后进行的任何配置之前要评审它们对安全论据的影响。GBT 243391-2009IEC 62280-1:2002图2传输介质上的报文模型5传输系统特征和安全规程之间的关系E譬互GBIT 243391功能安全和技术安全的证明采用与EN 50129相同的流程。然而,非置信传输系统的使
13、用使安全证明过程局限于功能方面。因此,安全相关传输系统的描述应该包括功能规范和整体的错误模型。安全完整性需求规范通过错误模型的功能分析得出。51功能完整性要求此强制性分析包括功能危害源分析。从接收端角度看,下列故障可能会导致危害状况:错误信息(发送端标识错误、类型错误、数值错误);时间错误(数据延时太长,顺序错误)。为避免这些情况,接收设备的安全进程在使用接收数据之前需要进行检测。在设计体系结构时要使用下列六条保护措施:Pl:检查发送端标识符错误;P2:检查数据类型错误;P3:检查数据值错误;P4:检查超时数据或未按时收到的数据;P5:检查预定延迟后的通讯中断;P6:确保安全相关传输功能和非置
14、信传输系统各层的功能独立性。52安全完整性要求应满足下列六个要求:R1:对传送数据的生成过程采用安全保护措施;R2:误操作时,应采取安全反应且应与接收端的安全要求保持一致;R3;接收端应采用错误检查机制,且该机制应与接收端安全要求保持一致;R4:安全反应R2的执行应与非置信传输系统的功能无关;R5:发送端和接收端进行信息交换时,安全相关传输系统残留的数据错误率要低于规定值。该错误率要与每个接收端的安全完整性等级一致;R6:安全相关传输系统的安全完整性等级要与安全进程的最高安全完整性等级一致。4GBT 243391-2009IEC 62280-1:2002安全要求详细规定在:安全规程要求(定性保
15、护,见第6章);安全编码要求(定量保护,见第7章)。6安全规程要求61总则为了达到指定SIL的定性要求,应采用EN 50129中规定的与SIL相应的规程来实现安全相关功能。考虑以下三种双向通信:a)安全相关设备之间的通信(见62);b)安全相关设备与非安全相关设备之间的通信(见63);c)非安全相关设备之间的通信(见64)。62安全相关设备间的通信应确保数据的真实、完整和实时性。由于安全进程无法访问非置信设备(它是非置信传输系统的一部分)的内部功能,因此,为了确保不漏检故障,除了设备自身的检查外,安全进程还应进行校验。如果在非安全相关设备或者协议电路中包含存储器,就有可能出现故障。存储在非安全
16、相关设备中的安全相关报文,可能在某个错误的时间再次传送。所以应该采取措施防止这种错误的发生。为了达到安全相关设备间通信所需的安全性,应满足下列要求:R7:如果在传输系统中信息源无法唯一地识别,用户数据中增加信息源标识符来保证信息的真实性。R8:用户数据中增加安全编码以便进行信息完整性检查。安全进程不能依赖非置信传输系统的集成电路生成、校验的传输编码。R9:用户数据中增加时间信息(如时间戳、序列号等)用以说明用户数据的实时性。由应用决定可以容忍的延时。R10:必要时,通过安全进程来检查报文的顺序。Rll:安全相关设备的安全规程应与非置信传输系统的程序功能上保持独立。特别是,如果两个规程使用的是同
17、一种编码机制(如多项式),则应使用不同的参数。R12:所有安全相关设备应监控R7、R8、R9、R10所列要求的执行情况。如果传输质量低于系统需求规范的预先规定,则应启动适当的安全反应。63安全相关设备与非安全相关设备之间的通信上文定义的通信系统中,安全相关和非安全相关设备允许连接在同一个传输系统上。在非安全相关设备,或与安全相关设备传输系统的非安全相关接口中,可能出现未知的故障模式。出现这种故障时,安全相关数据会有两种损坏方式:安全相关设备产生的安全相关报文可能被扰乱、更改(如,由于传输系统中的冲突);非安全相关设备生成与安全相关报文格式类似的报文。为了保证安全相关设备间通信链路所需的安全性,
18、应满足下列要求:R13:在安全相关报文中增加安全编码,使安全相关和非安全相关报文具有不同的结构。安全编码应能够保护系统达到要求的安全完整性等级(见72),这样非安全相关报文就不会被误认为安全相关报文。R14:安全相关设备的安全规程与非置信传输系统以及非安全相关设备使用的规程在功能上应独立。5GBT 243391-2009IEC 62280-I:200264非安全相关设备间的通信非安全相关设备之间的通信不属于本部分讨论的内容。如果非安全相关设备与安全相关设备使用相同的非置信传输系统,那么该设备应符合R13和R14的要求。7安全编码要求71总则为了获取安全完整性等级指定的定量指标,作为安全编码和非
19、置信传输编码评估的依据,需要明确下面两个概念:非置信传输硬件故障导致的失效;由于外部(如,EMI)对传输介质的影响导致的随机错误。应认识到,存在非置信传输编码无法检测的错误模式。这些错误模式应由安全编码来检查。如果非置信传输系统使用前向纠错(FEC),就必须采用防范措施,这种防范考虑到FEC对安全编码识别的误码统计的影响。而且,即使是硬件出现了故障,非置信传输系统硬件设备也不能生成一个正确的安全编码。应考虑非置信传输编码检查的失效。在这种情况下,损坏的报文可能会通过传输系统。要求:R15:为了达到所需要的安全完整性等级(见72),有必要对非置信传输系统的典型故障进行检查,并采取相应措施。至少包
20、括以下几种故障:传输线中断;所有位都为逻辑0;所有位都为逻辑1;报文颠倒;失步(在串行通信场合)。R16:为了达到所需要的安全完整性等级(见72),有必要对典型的错误进行检查,并采取措施。至少包括下面几种错误:随机错误;字符组错误;系统错误,如重复错误模式;以上所有情况的组合。R17:传输编码和安全编码应在功能上保持独立。RIB:安全编码确保非置信传输系统不会生成正确的安全编码。注:可用基于概率统计的安全分析方法证明。可以假设足够复杂的安全编码(如,CRC)符合这个要求。72安全目标如果给定了整个系统的安全完整性等级,系统整体的危险失效率Rn可以根据GBT 21562和EN 50129标准规定
21、的步骤得出,而安全相关的通信系统是整个系统的一部分。73安全编码的长度应提供与传输系统安全目标相对应的安全编码的长度。安全编码长度计算取决于事先确定的危险失效率R。和所选择的技术原理。应给出一个失效模式模型,计算中所有假设应经过验证并确认。附录A提供了一个这种计算的例子。附录A(资料性附录)安全编码的长度GBT 243391-2009lEe 622801:2002本附录给出了计算安全编码长度的简单公式。注:这些公式的合理性在CENELEC的“封闭式传输系统的安全性分析”报告中给出。满足给定要求可保证达到安全目标。计算安全编码长度的基本模型如图A1所示。图A1基本错误模型器故障以下三种情况可能导
22、致系统出现危害:a)传输系统硬件失效导致报文数据损坏;b)EMI产生的,传输编码投能检测出的误码;c)传输编码校验器故障,在这种情况下每一个损坏的报文都可能会从非置信的公共网路传送到安全相关的设备。下面给出如下定义:Rw整个传输系统危险的失效率;Rnw非置信传输系统的硬件失效率;Pus安全编码残留的失效概率;pUT传输编码残留的失效概率;注:如果非置信传输系统投有传输编码机制,则假定声计为1。,M单个接收端的最大报文频率;知报文出错(损坏)的频率;T时间间隔,如果这段时间内接收的损坏报文数量超过了规定数值,系统将会进入安全降级状态k,包含安全余量的硬件故障因子;kz硬件故障百分比因子,这些硬件
23、故障导致无法检测传输译码故障;m包括在k,里的安全因子;n导致系统降级的连续损坏报文的数量。以上定义的变量满足如下不等式:RHwPusklR H1 (硬件故障) (1)GBT 243391-2009IEC 62280-1:2002PuTPusfwRm(EMI) (2)2k:Pu。1TRH。 (传输编码失效)(3)三种故障概率的和不能超过Rw:R H1+RH2+RH3RH因为不能假设失效是随机的,所以有必要在因子kt中考虑安全余量m。k。因子可以按照以下公式计算:k1nm因子m表示安全余量,并且m5。错误报文的最大出现频率fw依照如下方法估算:按照最差情况计算,fw=fM,或者,使用安全计数器和
24、或安全定时器,限制最大错误报文比率和数量。如果在定义的时间间隔内收到的错误报文多于一个,系统将中止安全通信同时进入安全降级状态。可以用数学方法证明,W不会超过某个极限值。如果采用周期传送方式,频率fM是固定的,而且容易计算。如果采用非周期传送方式,则应该取可能出现的最大频率值。如果使用合适位数的CRC校验码,pUT的最大值可以估算为:PuT一26其中,b表示CRC校验码的位数。如果还使用了其他编码,比如综合应用两种编码,可以使用“双路对称通道(binary symmetricchannel)”模型,取最坏情况下的块差错概率。因子kz难于估算。如果对传输编码机制的正确性进行定期检查,因子k。就可
25、以被忽略。一般情况下,kz一1。注1:以下推算过程仅作为参考;如果传输编码对硬件故障的漏检概率仅有1lo ooo;在这种情况下,这种状态的平均无故障时间是(不考虑EMI):TMTBFHw一1RHw注2:传输质量的微小下降很有可能导致系统转入安全降级状态,所以这个估算是非常保守的。在这些假设下,kz可以取10一。不等式(3)得到最小时间间隔,在该段时间间隔里只允许一个错误被安全编码检查出来。如果没有使用这种机制,也没有其他措施来抵制可能的错误条件引入,那么在检查到第一个错误后,系统立即进入安全降级状态。对于C位安全编码,其漏检错误的最大概率按下式估算:Pus一2一这个公式可以粗略地表示漏检故障的概率。在实际假设下,这个公式对于大多数编码方式(比如,BCHcode,加密编码)都有效。然而,还需对所选择的编码方式的正确性”进行说明。通过重复发送每个报文,并比较两个相互独立报文的一致性,c的大小至少可减半。实际上,该公式还可以进一步改进,但是为了避免复杂的数学计算,给出的保守估计值应是极限值。2)这个式子假设安全编码和传输编码是独立的。该式子很难证明。一个更保守的方法是只依赖于安全编码。3)正确性是指误码率和漏检概率之间的关系是单调的。
