城市轨道交通基于通信的列车控制系统（CBTC），是信息物理系统（CPS）在安全关键领域的典型应用之一。该系统信号传输部分的安全性（包括信号本身的真实性、完整性、实时性及信息安全）一直是行业内比较关注的问题。本文将对CBTC系统信号传输部分的安全性进行剖析，对相关安全需求进行阐述，以分析其信号传输部分是否安全，是否能够在所要求的安全级别下防范住相应的环境干扰、传输设备影响，以及人为的有意或无意的入侵或破坏。

本文将CBTC系统信号传输部分单独作为一个子系统进行分析，称之为传输系统。对该传输系统，按照层次位置划分，将从板间传输系统开始，逐步上升至子架间、柜间传输系统，每一层级上采用故障树（FTA）定性分析方式。本文未进行详细的板内传输系统（如片总线、片内总线、系统总线等）分析，但提供了一种板内传输系统的安全保证策略。

1  传输系统分类

每个安全关键系统都会按照各自的安全相关硬件需求搭建不同的硬件架构，并进行相应的功能模块划分，如图1所示的系统架构。本文主要将主板分为内核、自检/监督单元、接口等模块，它们共同组成一个计算组件（CE），如图1中的计算组件A。2个计算组件构成一个逻辑意义上的计算节点（CN），节点内2个组件之间存在数据交互；计算节点与外围设备存在数据交互。计算节点与外围设备构成子系统，子系统之间也存在数据交互。

图1 系统架构

本文定义，计算节点内2个组件之间的信号交换为板间通信；计算节点通过总线接口与外围设备进行的信号交换为子架间通信；子系统通过网络接口与其它子系统之间进行的信号交换，为柜间通信。

典型的传输系统，其传输方式可以分为直接经由铜箔材质的印制电路板（PCB）线路点对点传输，或控制器局域网（CAN）总线传输、以太网（Ethernet）网络传输。

PCB线路点对点传输更多的用于板内各元件之间电平信号传输，其线路分布较为分散，对其进行完备的系统评估比较困难，针对该问题，本文将采用第5章所述策略以达到安全目的。

对于CAN总线传输线路，由于它是事件驱动型的，因此相比于以太网通信，它的时延更小，更适合外围设备状态信息输入至内核，或内核命令输出至外围设备等实时性要求较高、且对发送/接收模块的配置要求较低的封闭式传输场景，因此CAN总线更多的用于板间、子架间的中短报文、短距离应用场景，不适合长报文、长距离通信[1]。

对于以太网网络传输线路，它既可用于板间、子架间报文传输，也可用于柜间长报文、长距离通信，但后者通常需要考虑传输延时的影响。

下面按照板间、子架间、柜间传输系统的顺序，依次进行介绍及分析。

2  板间传输系统分析

考虑差异性和功能独立性等安全设计原则考虑，本文中两组件之间的板间通信采用以太网网络连接，以区别于计算节点与外围设备的CAN总线通信方式。

2.1  故障模式分析

GB/T 24339.1[2] 中描述封闭式传输系统故障模式分别是传输硬件故障导致的失效，及由于外部（如EMI）对传输介质的影响导致的随机错误。

以超五类（CAT.5e）4芯屏蔽线缆为例，其应用及性能需满足ANSI/ TIA/EIA-568B.1[3]标准要求。板间通信采用基带传输，假定传输频率为100 MHz，传输距离为1 m，且底层满足IEEE 802.3规范[4] 的CSMA/CD协议。带有冲突检测的载波侦听多路访问协议的使用，可以有效防范由于多节点同时发送数据导致的数据错误，因此本节不对此故障模式进行分析，即假定信道上同时只有1个发送端以及1个接收端。

当数据在发送端，由于非置信传输设备的使用，存在发送端硬件故障或缓存故障导致数据生成错误，或数据被误删除，或误插入其它数据；或者发送端由于缓存了待发送或已发送的数据，导致不受控的重复发送相同报文，或错序发送报文，或非预期的延迟发送报文。

当“数据发送结束”正在传播时，由于外部环境强电磁干扰（如EMI），存在信号串扰导致数据传输错误的情况。

由于线缆插入损耗、连接硬件插入损耗等因素也会导致数据传输错误，或网络堵塞导致传输延迟，由于板间通信传输距离为1 m，因此暂不考虑此2种故障模式。本节不考虑断线、短路、接触不良等故障，应由成熟的线缆接线规范及工艺来保证线缆连接的可靠性；同时，也不考虑线缆老化等情况。

当数据在接收端，由于非置信传输设备的使用，存在接收端硬件故障或电压错判或缓存故障导致数据接收、上传错误，或数据被误删除，或误插入其它数据；或者接收端由于缓存了已接受或已上报的数据，导致不受控的重复上传相同报文，或错序上传报文，或非预期的延迟上传报文。

综上，对于板间传输系统，其故障影响及原因分析如图2所示。

图2 板间传输系统传输链路故障树分析

对故障树底事件分类，可以得到的原因为发送/接收端传输硬件故障、发送/接收端缓存错误、发送/接收端设备驱动错误、信道环境干扰。这些故障造成的直接影响是数据损坏、误删除、误插入、延迟、重复、错序，如果这些影响可能直接导致不可接受的风险，那么就需要采取措施进行防范。

2.2  安全需求

可通过制定对传输系统软硬件的安全需求，来防范所识别的风险。最简单的方式，是将发送/接收端传输设备做成可信设备，并对数据加入安全码校验，即可防范传输硬件故障、缓存错误、设备驱动错误及信道环境干扰导致的风险。

但是，由于开放系统互联参考模型（OSI）、相应协议的制定及设备的设计制造，并未做过功能、技术、质量上的评审，其安全完整性等级无法保证，因此对于安全关键电子系统的应用，需采用其它方式对相应危害进行防范。

需求1 ：应采取二取二（2oo2）或三取二（2oo3）等组合式失效-安全架构。

需求2 ：如果是软件平台层面实现，应保证用于比对的数据长度，满足预定的安全需求；如果是硬件层面实现，应保证用于比对的各方，其来源的通道的失效概率组合满足预定的安全等级。

需求3 ：应保证2oo2或2oo3等组合式失效-安全架构中参与比对的各方，其来源在物理或功能层面上满足独立性、差异性安全需求。

需求4 ：在应用层应使用长度足够的安全码，如循环冗余校验码（CRC），以实现对信道干扰的误码探测。

需求5 ：应保证参与比对的数据时效性、有序性需求，相应的关键时序分析应包含在系统安全论据内。

对于任何安全相关数据，均需做到“输入--比对--处理--比对--输出”流程，其中“比对”与“处理”是每个计算组件里面内核、自检/监督单元执行的操作，需要2路独立数据来源。该板间通信链路提供了某个外围设备的两路比对数据中的其中一路数据来源，而另一路则通过CAN网络直接来源于该外围设备。

对于信道干扰导致的数据传输错误，需在内核处理上采用足够长度的安全码进行校验，而线缆屏蔽层的正确使用，可以有效减少信道误码率，提升系统可用性；传输数据中需增加序列号，以确保数据的有序性。

到目前为止，所有已应用的CBTC安全操作系统平台都采用了以上需求1所描述的架构，且都直接或间接符合了需求1至需求5的规定，以满足GB/T 28809 [5]中最高安全完整性等级要求，并通过了有资质的独立第三方安全评估（ISA）机构的安全评审。

3  子架间传输系统

典型的子架间传输系统，以CAN总线通信作为计算组件与外围设备之间的通信方式。CAN总线通信采用串行通信协议，物理层使用BOSCH CAN2.0协议，数据链路层满足ISO 11898规范 [1] ，它与板间通信所使用的以太网协议有较大差异，报文结构也不同。

为避免相互影响，每个计算组件会独立提供与外围设备的通信通道。因此，对于计算组件A及计算组件B，其CAN总线并不共享，即该子架间通信仍然是点到点的封闭传输系统。

由于CAN总线通信协议中无损仲裁技术的使用，可以有效防范由于多节点同时发送数据导致的数据错误，因此本节不对此故障模式进行分析，即假定信道上同时只有一个发送端以及一个接收端。

对于该子架间传输系统，它在数据发送端及数据接收端，同样是非置信传输设备的使用及其所导致的故障情形，数据传输环境也存在强电磁干扰（如EMI）导致的数据传输错误的情况，因此其后续安全分析与板间以太网的分析类似，故障模式相同，相应的安全需求可以复用。

4  柜间传输系统

柜间传输系统一般指不同子系统之间长距离、多点的数据传输。以柜间传输系统采用以太网（含无线传输）通信协议为例进行分析。

在主板上的网络接口层面，柜间传输系统与板间传输系统并无差异，如均采用Linux内核自带的以太网接口，其物理层、链路层、网络层均保持一致。本节仅针对差异部分进行分析。

对于差异部分，由于长距离的使用场景，引入了传输中继器件，如交换机、路由器、长线缆或光纤等，这些中间设备均为非置信传输设备；而无线通信场景，则引入了eNodeB、天线等设备，如射频拉远单元（RRU）、基带处理单元（BBU）等非置信无线传输设备，以及介质特性不稳定、通信参与方不受管制的空口无线传输信道。

4.1  故障模式分析

传输中继器件带来的故障影响，与前述非置信设备带来的影响相比并无差异，因此相应的安全需求可以复用，但是故障来源中新增了中继器硬件故障或相应的软件错误这一故障原因。同时，由于无线信道的引入，外部非授权人员可以随时入侵CBTC系统控制网络，侦听、篡改或伪装安全数据，导致系统可能出现不可预知行为的风险，这是不被接受的，且通信参与方也无法固定，因此柜间传输系统需考虑数据传输过程的信息安全（IS）。对于柜间传输系统，其故障原因及影响分析如图3所示。

图3 柜间传输系统传输链路故障树分析

对故障树底事件分类，可以得到的原因为发送端/接收端及中继传输硬件或软件故障、信道干扰，或人为入侵、破坏。这些故障造成的直接影响是数据损坏、误删除、误插入、延迟、重复、错序、被篡改或伪造，如果这些影响能直接导致不可接受的风险，那么就需要采取措施进行防范。

4.2  安全需求

对于P2-1、P2-2事件，相应的安全需求如前述需求1至需求5，由通信双方计算节点的软硬件架构和设计满足。对于P2-3事件，信号系统需达到一定的信息安全等级，并符合GB/T 24339.2规范 [6] ，因此新增以下安全需求。

需求6 ：应保证系统符合一定的信息安全等级保护要求，且对于开放式传输系统应提供信息加密，加密算法应保证被传输数据不会在合理时间内被破解。

需求7 ：系统物理设备设置的外部可接入串口、网口等接口应严格管理，确保不被人为或病毒入侵。

需求8 ：传输系统参与方应有源与目的标识，并做校验。

CBTC系统传输模块的信息安全要求，是包含在第三方独立安全评估机构认证范围内的，以符合GB/T 28809 [5]中最高安全完整性等级要求。同时，依据GB17859 [7]，CBTC系统仍需符合信息安全等级保护三级防护要求。

与其它六类影响一样，被篡改或伪装的数据也会直接对系统带来严重的危害，信息安全防护是必要的，且需要长期跟进并随着相关技术演进而不断优化，例如，依照参考文献[8]的建议，采用国际或国内标准化的128 b分组密码（如AES或SM-4）替换64 b分组密码DES。

5  板内传输系统安全保证策略

内核运行时会执行各种任务，某些关联任务会共同组成一个任务组，内核以此为最小单元（进程）执行相应的计算与决策。这些任务组有的是安全相关的，有的是非安全的。对于安全任务组，平台层面需对其硬件错误（如内存错误）进行监督与保护，而任务组之间的通信也应加以防护。

图1中每个计算组件的内核中同时运行着多个任务组，对于执行安全关键决策的任务组，其来自其它任务组的输入数据在使用前需执行2oo2或2oo3等组合式失效-安全计算处理，其输出数据在输出至接口前也需进行类似计算，以保证：①其它任务组传输过来的数据是安全的；②自己发出的命令是安全的。

采用逻辑形式的任务组方式对内核里面的数据传输进行安全管理，是一种可被接受的方式，但在平台层面仍需对参与比对的消息队列的时效性、同步性进行管理，并需对输入消息执行相应的安全码校验、源/目的信息校验，即需满足需求1至需求5及需求8。同时，出于硬件鉴证需求及可靠性要求，主板设计及运行环境也需满足相应规范，如EN 50124-1 [9]及EN 50124-2 [10]。

6  结论

本文将CBTC系统传输部分单独作为一个子系统进行分析，从板间传输系统、子架间传输系统、柜间传输系统逐层展开，每一层级上采用故障树定性分析方式，并提出了板内传输系统安全保证策略。综合本文分析，可得出每个层级的传输系统所面临的故障模式及与之对应的安全需求。

在满足文中所列安全需求，且满足其它必要的行业规范后，在所要求的安全级别下，信号系统数据传输部分是能够防范相应的环境干扰、非置信传输设备的影响，以及人为的有意或无意的入侵、破坏所带来的相应风险。

参考文献
[1]  ISO11898-1:2015.Road vehicles - Controller area network (CAN) - Part 1: Data link layer and physical signaling [S].2015.
[2]  中华人民共和国.GB/T 24339.1-2009.轨道交通通信、信号和处理系统第1部分：封闭式传输 [S].2009.
[3]  ANSI/TIA/(暂不可见)mercial Building Telecommunications Cabling Standard [S]. 2001.
[4]  IEEE 802.3-2018. IEEE Standard for Ethernet [S].2018.
[5]  中华人民共和国.GB/T 28809-2012.轨道交通通信、信号和处理系统信号用安全相关电子系统 [S].2012.
[6]  中华人民共和国.GB/T 24339.2-2009.轨道交通通信、信号和处理系统第2部分：开放式传输 [S].2009.
[7]  中华人民共和国.GB17859-1999.计算机信息系统安全保护等级划分准则 [S].1999.
[8]  郭伟,闫连山,王小敏，等. RSSP-II铁路信号安全通信协议的安全性分析[J]. 铁道学报,2016,38(8): 50-56.
[9]  CENELEC.EN 50124-1-2017.Railway applications - Insulation coordination - Part 1: Basic requirements - Clearances and creepage distances for all electrical and electronic equipment [S].2017.
[10] CENELEC.EN 50124-2-2017. Railway applications - Insulation coordination - Part 2: Overvolotages and related protection [S].2017.

余志浩
上海电气泰雷兹交通自动化系统有限公司系统安全工程师

（上海电气泰雷兹）

声明：本网站所收集的部分公开资料来源于互联网，转载的目的在于传递更多信息及用于网络分享，并不代表本站赞同其观点和对其真实性负责，也不构成任何其他建议。本站部分作品是由网友自主投稿和发布、编辑整理上传，对此类作品本站仅提供交流平台，不为其版权负责。如果您发现网站上所用视频、图片、文字如涉及作品版权问题，请第一时间告知，我们将根据您提供的证明材料确认版权并按国家标准支付稿酬或立即删除内容，以保证您的权益！联系电话：010-58612588 或 Email:editor@mmsonline.com.cn。