GB/T 28029.7-2020 轨道交通电子设备 列车通信网络(TCN) 第2-6部分:车地通信.pdf
- 文档部分内容预览:
3.1.6 框架 framework 支持车地通信的服务和协议集。 3.1.7 主机host 连接到网络的可寻址单元,如终端设备、网络设备等。 3.1.8 列车径路 train journey 已规划的行程。 3.1.9 在途列车journeytrain 按照已规划的列车径路行驶的编组。 3.1.10 铁路运营企业railwayundertaking 运营列车的企业或组织。 3.1.11 安全相关 safetyrelated 承担安全责任, 注:如功能、组件、产品、系统或过程的至少一个属性用于其所使用系统的安全方面中,则称该功能、组件、产品、系 统或过程是安全相关的。这些属性可以是功能性的,也可以是非功能性的。该功能要求可以是系统要求或随 机完整性要求。 3.1.12 作业job 事务序列。 注:可通过确定其执行的每一个事务的正确性以及事务之间交互的正确性的方式建立工作的正确性。 3.1.13 事务 transaction 系统组件之间的交互序列。 3.1.14 垂直切换 verticalhandover 网络节点改变其使用的连接类型以访问支持的基础设施, 通常用于支持节点移动性
下列缩略语适用于本文件, AAA:认证授权审计(AuthenticationAuthorizationAccounting) ALG:应用层网关(ApplicationLayerGateway) AP:接人点(AccessPoint) ARP:地址解析协议(AddressResolutionProtocol) ASCII:美国信息交换标准码(AmericanStandardCodeforInformationInterchange) BER:误码率(Bit ErrorRate) CCTV闭路电视(ClosedCircuitTelevision) ComId:通信标识符(CommunicationIdentifier) CR:中国铁路(ChinaRailway) CRC:循环穴余校验(CyclicRedundancyCheck)
下列缩略语适用于本文件。 AAA:认证授权审计(AuthenticationAuthorizationAccounting) ALG:应用层网关(ApplicationLayerGateway) AP:接人点(AccessPoint) ARP:地址解析协议(AddressResolutionProtocol) ASCII:美国信息交换标准码(AmericanStandardCodeforInformationInterchange) BER:误码率(BitErrorRate) CCTV:闭路电视(ClosedCircuitTelevision) ComId:通信标识符(CommunicationIdentifier) CR:中国铁路(ChinaRailway) CRC:循环穴余校验(CyclicRedundancyCheck)
给水标准规范范本遵循UML状态机标记法定义状态图。
GB/T28029.72020
本部分规定了由各类用户产生和/或消费相关数据的车地通信。用户举位 铁路企业: b) 基础设施管理者; c) 列车控制中心操作者; d) 交通管理者; e) ECM; f) 列车所有者; g) 列车制造商: h) 列车子系统供应商; i) 授权的相关数据传输第三方(如多媒体内容提供商、能耗数据用户) 注:上述所列的一些用户可束属同一组织
表1列出了车地通信要求。 为帮助理解这些要求,图1和图2给出了车地通信架构示例
4.3移动通信网络架构
移动通信网络可分为车载通信网络和地面通信系统 车载通信网络在GB/T28029.1一2020中定义为分层结构,该结构由一个用于整车通信的列车骨 王网和一些用于编组内通信的编组网组成,见图1
GB/T28029.72020
4.3.2车载网络接口
MICG连接车载通信网络与地面通信系统,该架构的示例见图2, 只要满足4.2各项要求,车地通信规范与地面通信系统架构无关
图1列车车载通信网络(示例)
图2地面通信系统(示件
GB/T28029.72020
4.4系统分解结构(SBS
根据表1中所列的基本要求,4.4和4.5分别规定SBS和功能分解结构。 SBS限于车地通信系统的第1层。 第2层在下列子系统层间划分: a)车载子系统层; b)地面子系统层。
4.2车地通信系统层SBS
表2列出了与第一层SBS相关的元素
表2车地通信系统分解
4.4.3MCG子系统层SBS
表3列出了与第2层SBS相关的MCG元素
表3MCG子系统分解
444GCG子系统层SBS
表4中列出了与第2层SBS相关的GCG元素
表4GCG子系统分解
4.5功能分解结构(FBS)
FBS仅在MCG子系统和GCG子系统上规定, 本部分不规定无线链路的FBS,而是假定无线链路由国际电信联盟、无线电管理委员会或IEEE等 规定的私有或公共无线网络提供。 表5给出了与MCG的FBS相关的子功能示例
表5MCG功能分解示例
表6给出了与GCG的FBS相关的子功能示例
表6GCG功能分解示例
a)选项1:由一个或多个车载功能/设备使用的共享通信单元: b)选项2.由某个特定功能/设备使用的专属通信单元。
4.6.1.2选项1.共享通信单元
选择该选项时,车载设备携带的功能使用编组网上的终端设备接口与MCG通信,该MCG作为
GB/T28029.72020
由器或网关提供车地通信服务。 图3展示了在编组网上通信的车载终端设备和MCG的分层架构。图3也给出了规定每一层要求 的TCN系列标准编号。 图3中的“任意功能”指终端设备携带的任意TCMS或OMTS功能。一个终端设备可携带多个功 能;为更清晰展示分层架构,图3仅给出了一个功能示例。 当列车处于正常和/或自动运行状态期间车载设备希望建立一个连接时,应使用网关功能。此时, 地面系统不能直接访问车载终端设备;MCG网关应用程序通过认证、授权和加密服务提供所要求的安 全等级。 当列车处于调试、维护期间或应用通信要求路由器功能(例如CCTV)且采取了适当的安全访问措 施时,可使用路由器功能。此时,允许地面系统直接访问车载设备
4.6.1.3选项2:专属通信单元
图3选项1:经由MCG的车地通信
选择该选项时,车载设备携带的功能使用内嵌的无线接口与地面系统携带的功能通信。 图4给出了终端设备的分层架构。 图4中的“任意功能”指终端设备携带的TCMS或OMTS功能。一个终端设备可携带多个功能 为更清晰展示分层架构,图4仅给出了一个功能。 当列车处于运行或自动模式时,无线通信栈应根据列车状态提供相应安全等级的服务,确保地面系 统不能直接访问车载设备。访问应由通过认证、授权和加密等方式确保所要求安全等级的通信服务 提供。
4.6.2移动通信网关
图4选项2:经由专属接口的车地通信
MCG抽象模型见图5。MCG的核心是一个连接车载网络和地面网络的移动接入路由器。只要提 供了所要求的MCG服务和接口,抽象模型就可使用多个物理架构(例如一个分离的处理单元加一个分 离的路由器或一个全集成的MCG设备)实现 对地通信时,MCG应提供一个或多个无线接口,每一个接口与一种特定的无线技术对应并与地面 网络相连。 无线技术示例如下: a GSM(及其扩展HSCSD、GPRS、EDGE); b UMTS(及其扩展HSPA等); c) LTE; IEEE802.11规定的WLAN。 注1:其他适用技术可用时也可加人。 注2:不同的移动通信技术可在一个移动接入路由器(MAR)中实现。MAR可以是独立的单元。 4.9给出了用于数据通信的无线接口选择要求
GB/T28029.72020
图5MCG抽象模型框图
对车通信时,MCG应至少提供一个允许连接车载网络(如ECN)的接口。如果一个编组中存在多 个编组网,则MCG可支持多个接口,每个接口对应一个编组网。 注3:MCG最小化实现包含一个车载接口和一个无线接口,如WLAN 除了MAR外,MCG支持与MAR相连的服务平台上运行的MCG服务。该服务用于建立和支持 车地通信,且对于通信安全方面同样重要。4.9定义了MCG服务平台提供的服务 为确保通信安全,MCG在下列接口之间提供了一个防火墙: a)无线接口(用于控制不同无线载波之间的数据流); b)无线接口和车载接口(用于控制车地之间的数据流); c)车载接口(用于控制属于不同安全区的车载编组网之间的数据流)。 防火墙和更多安全措施细节在4.9中定义。 图6给出了MCG如何作为应用层网关(ALG)工作的抽象模型。网关功能以MCG服务实现 MCG服务扮演了ECN和地面网络之间的中介角色
图6配置成ALG的MCG
图7给出了一个提供移动通信穴余的车地通信架构示例
图7穴余的车地通信架构示例
该示例具有以下特征: a 一个编组包含一个或多个编组网。 b) 一个编组网可包含0个、1个或多个MCG。为能使用车地通信,每列列车应至少存在 一个MCG。 c) MCG可连接到列车上的下列网络: 个编组网; 个与TCMS网络分离的网络(称作车地网络,如OMTS网络)。 d) MCG内部包含4.6所述部件,如: MCG服务; 一个移动接入路由器; 个到无线模块的连接。 ) 车地通信的元余要求取决于所支持的应用需求。可使用以下两种穴余方法: 全性能元余,见4.7.2; 简化性能允余,见4.7.3。
全性能几余通过备份MCG方式实现, 宜使用以下两种全性能穴余架构: a)冷备份:该架构提供两个相同的MCG,其中一个MCG激活而另一个切除。当激活的MCG 效时,需通过人工方式切除失效单元并将启动备份单元。注意执行这种操作可能需要条件 控,例如列车在车站停车时
GB/T28029.7202
b)热备份:该架构提供两个同样的MCG。其中一个MCG处于工作状态,另一个处于备份状态 且不向终端提供任何服务的方式实时监控编组网中的通信情况。当工作状态的MCG失效 了,备份单元检测到这个失效,它将关闭失效的MCG单元同时接管工作状态。该事件宜被负 责重建车地通信链路的应用所检测到
4.7.3简化性能穴余
这个架构将提供两个相同的、但位于同一列车不同编组/车辆的MCG。两个MCG均激活。车载 应用使用位于同一个编组网中的MCG的服务。 当一个MCG失效时,使用该MCG的应用经由列车骨干网访问第二个MCG,并在第二个MCG上 订阅服务。
列车组成变化由列车信息服务(TIS)监视。TIS提供一个接口以通知GCG当前列车信息和当前 列车信息的变化。TIS可使用列车拓扑数据库(TTDB),TTDB是一个包含实际列车组成和实际ETB 状态相关所有信息的数据库, 每一列车应至少存在一个激活的TIS。TIS余要求取决于所支持应用的需求。 表7和表8总结了设备或组成级TIS实现的状态
表7TIS实现的设备状态
8TIS实现的组成状态
在一个“完全功能的实际列车”上,应至少存在一 个车载设备运行TIS实例。TIS几余可在列车级 管理。 TTDB由GB/T28029.4—2020规定。 TIS允许GCG获取实际列车组成信息, 此外,TIS通过MCG提供通知列车组成变化的服务。 TIS详细要求见6.4.3。
车地通信系统的安全架构可根据IEC62443定义的“区域”和“管道”概念建模。区域定义为一组逻 辑或者物理设备,他们共享相同的安全要求。如果在区域中某个设备的安全等级不同于或高于该要求 等级,则需要采取更进一步的安全措施。每个区域可由一个规定区域安全要求用的区域定义文档更精 确定义。
不同区域之间的通信仅能经由已定义的管道进行。管道实现所需的安全措施,包括区域的受控访 问、抵御DoS攻击、阻止恶意软件传输和保护网络业务完整性及必要的保密性。通常,管道所实现的安 全措施用于减轻区域安全等级能力与其安全要求之间的差异。 每一个区域和每一个编组应分配以一个安全等级(SL)。安全等级应基于安全分析和GB/T35673 2017给出的下述建议及轨道交通专属规约。 图8显示了一个简化的安全区域模型
注:TCMS安全区域和地面之间不存在管道,即安全相关信息不能在车地之间直接交换。 列车车载部分存在以下区域: a)TCMS安全区域,处理安全和运行关键数据(如制动、车门)。安全区域通常嵌人在 GB/T28029.4一2020所定义的车载控制网中。 D TCMS常规区域,处理非安全相关数据(如诊断、空调等)。常规区域通常嵌人在GB/T28029.4 2020所定义的车载控制网中。 OMTS区域,处理面向多媒体和远程通信服务的数据。OMTS区域通常嵌人在GB/T28029.4 2020所定义的车载多媒体网中
地面部分存在的区域如下示例: a)运行中心区域,处理运行控制数据。 b)OMTS中心区域,处理面向多媒体和远程通信服务的数据。 在大多数情况下,地面存在更多的区域,如中心区域和开放互联网区域。地面区域不属于本部分 范。 GB/T28029.4一2020要求TCMS安全区域属于IEC62280定义的封闭系统。由于TCMS安全区 域和TCMS常规区域通常共用同一个编组网,连接TCMS常规区域和地面运行区域的MCG应不破坏 该系统的封闭性,
表9中列出了可适用于连接列车与地面的管道的安全措施!
GB/T28029.72020
4.9.3认证授权审计模型
该模型标识了在一般系统交互中必不可少的单个组件: a)轨道上移动的列车组成; b 运营商基础设施,包括其不同的单个组件; c) 信号系统以外的轨旁基础设施; d) 在列车组成或库内操作的用户,可以是列车驾驶员、引导员、维护操作员、试运行操作员等; e 在列车和地面运行的服务。 该模型考虑了在典型通信场景(如无线或有线)中使用的不同通信通道 如图9所示,每一个可被视为一种“运行环境”的通信链路关联一个标识符(1~5)。每一种运行环 竞文是识别通信用例的基础,且可归纳如下: a) 运行环境0:在一个运营中心网络内使用标准实践的通信; b) 运行环境1:列车通信链路内的无线或有线信道; ) 运行环境2:列车组成到运营商通信链路的无线信道; d) 运行环境2a:列车组成到属于同一个运营商的地面基础设施; e) 运行环境2b:列车组成到属于不同运营商的地面基础设施; 运行环境3:轨旁通信链路的无线或有线信道; g 运行环境4:运营商到运营商通信链路的有线信道: 运行环境5:用户通信链路的无线信道
图9认证授权审计模型
对于整个集成系统,每个系统组件需要认证和授权以成为网络的一部分。为控制集成系统的组成 和所充许的组件,对单个节点(例如组成或设备)、单个元素和提供的应用程序进行识别和认证是重要 的,以管理和评估系统内可存在的内容。在任何情况下,系统所采用的模型也保证安全解决方案,特别 是认证模型的可伸缩性由于节点、应用和用户可能是分布式的,应采用可支持分布式方法且最大化灵活 性的认证解决方案。 通过MCG访问列车组成内部资源。 开式列车、多任务规约和跨边界连接对于正确访问车载可用信息造成了困难。维护数据示例如下: a)RU应可访问所有其购买的设备,但不可访问非其购买的设备; b)在RU许可时设备生产商应可访问其所售出的设备; c)设备生产商不应访问其他生产商的数据,除非其获取了访问权 故障排除过程需要跨多个实体共享,但可靠性数据背定是“私有”信息。 所提供的模型应给每个用户和每个维护数据或可用的功能/应用授予不同等级的访问权限。因此 应对每个用户关联一组与其可承担的角色、可访问的资源或功能以及在所请求的访问(如读取、执行等) 上可执行的操作等级相关的信息。数据宜分类和维护,以便系统能够每次声明有权访问这些数据的 人员。 此外,可设置按用户或应用请求调用的专用签名和/或加密方法,以能够真正保护传输的数据不受 外部修改或简单读取。 设备和功能寻址要求见第5章。 AAA功能为每个用户本地管理依据RU通用策略定义的多个访问规约。基于令牌的AAA方法 允许在列车组成未连接到RU网络时通过本地信任用户标识
4.9.4网络和MCG分类
IEC62280定义了3类传输系统。1类传输系统定义为封闭式传输系统,2类和3类传输系统为开 放式传输系统。 由于GB/T28029.12和GB/T28029.4一2020没有定义特殊的安全措施,如在列车控制网中使用 的终端设备认证和数据加密,如果车载控制网用于安全相关数据传输,则根据IEC62280,车载控制网 被认为是封闭的1类传输系统。 根据其提供的服务和安全措施,车载多媒体网可以是开放的2类或3类传输系统, 根据MCG的角色,例如其将车载控制网络或车载多媒体网络与地面相连,MCG需要确保相关类 别保持不变。 遵循传输系统分类的定义,MCG分类见表10
4.9.4.2和4.9.4.3定义了1类MCG的安全措施。2类和3类MCG不属于本部分范畴。
TZZB标准规范范本1.9.4.2作为封闭系统分界的MCG(1类MCG)
表10所列封闭传输系统(1类传输系统)的特性定义如下:
可连接到传输系统的设备(安全相关或安全无关设备)数已知且确定; b)传输系统的物理特性,如传输介质、依据设计假定的环境等,在系统的生命周期内固定不变; c)未授权访问的风险可忽略。 根据上述特点,得出如表11所示的MCG安全要求
4.9.4.3连接1类和2/3传输系统的MCG
图10所示,MCG可同时用来连接1类和2/3类值
情况下,MCG应作为面向封闭系统的1类MCG
图10连接开放和封闭传输系统的MCG
GB/T28029.72020
不应允许从开放系统改变MCG的配置。 示例:MCG中的防火墙配置成阻断开放系统和封闭系统之间的所有直接业务(所有业务终止于MCG服务平台), 而对于开放系统之间的业务则更开放土地标准,
....- 交通标准 通信标准 电子标准 设备标准
- 相关专题: