RSSP-II 铁路信号安全协议 word版

更新时间：2024-05-07 05:55:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

RSS频道推荐度：
相关推荐

RSSP-II铁路信号安全通信协议

V0.5

2008年12月

CTCS-3级列控系统标准规范

1. 修订历史

章节号全部全部版本号：日期 V0.1：2008年11月15日 V0.2：2008年11月20日修订/描述初稿根据2008.11.17日通号公司讨论意见修改根据2008.11.24日C3组会议讨论意见修改根据2008.12.24日C3组及铁科院、交大、卡斯科等单位讨论意见修改根据2008.11.31日C3组会议讨论意见修改作者接口组接口组 V0.3：2008年11月27日全部接口组 V0.4：2008年12月26日全部接口组 V0.4：2008年12月31日修改部分文字表述接口组

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第2页

CTCS-3级列控系统标准规范

2. 目录

1. 修订历史 ............................................................................................................................................ 2 2. 目录 .................................................................................................................................................... 3 3. 简介 .................................................................................................................................................... 6

3.1 目的及范围......................................................................................................................... 6 3.2 参考文献 ............................................................................................................................ 6 3.3 术语和定义......................................................................................................................... 6 3.4 缩略语 ................................................................................................................................ 7 4. 参考结构 ............................................................................................................................................ 8

4.1 综述 .................................................................................................................................... 8 4.2 铁路信号安全设备间安全通信接口 ................................................................................. 8 4.3 各层功能 ............................................................................................................................ 9

4.3.1 安全功能模块（SFM） ............................................................................................... 9 4.3.2 通信功能模块（CFM） ............................................................................................ 10 4.4 传输系统的分类 ............................................................................................................... 10 4.5 假设 .................................................................................................................................. 10 5. 安全功能模块 .................................................................................................................................. 11

5.1 简介 .................................................................................................................................. 11 5.2 安全功能模块的功能 ....................................................................................................... 11 5.3 消息鉴定安全层（MASL） ............................................................................................ 12 5.4 安全应用中间子层（SAI） ............................................................................................ 13

5.4.1 概述 ............................................................................................................................ 13 5.4.2 到SAI层服务接口 .................................................................................................... 14 5.4.3 到MASL层服务接口................................................................................................ 14 5.4.4 消息结构..................................................................................................................... 14 5.4.5 SAI协议 ..................................................................................................................... 16 5.4.6 消息类型域 ................................................................................................................. 19 5.4.7 序列号防御技术 ......................................................................................................... 19 5.4.8 TTS ............................................................................................................................. 21 5.4.9 EC防御技术 .............................................................................................................. 30 5.4.10 错误处理..................................................................................................................... 35 5.5 数据配置及规则 ............................................................................................................... 36

5.5.1 简介 ............................................................................................................................ 36 5.5.2 连接初始化规则 ......................................................................................................... 36 5.5.3 TTS参数定义 ............................................................................................................ 36 5.5.4 EC参数定义 .............................................................................................................. 37 5.5.5 错误处理指导 ............................................................................................................. 38 5.6 TTS示例 .......................................................................................................................... 38 6. 通信功能模块 .................................................................................................................................. 41

6.1 一般规则 .......................................................................................................................... 41 6.2 概述 .................................................................................................................................. 41

6.2.1 一般描述..................................................................................................................... 41

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第3页

CTCS-3级列控系统标准规范

功能特性 .......................................................................................................................... 41 6.3.1 TCP与传输2类服务和协议的对应关系 ................................................................ 41 6.3.2 服务类别..................................................................................................................... 42 6.3.3 A类服务请求 ............................................................................................................. 42 6.3.4 D类服务请求 ............................................................................................................. 43 6.3.5 TS用户与TCP间的关系 .......................................................................................... 43 6.3.6 传输优先级 ................................................................................................................. 44 6.4 使用适配层实体进行传输层模拟 ....................................................................................... 44

6.4.1 概述 ............................................................................................................................ 44 6.4.2 接口服务定义 ............................................................................................................. 45 6.4.3 X.214原语对TCP的映射 ........................................................................................ 47 6.4.4 寻址 ............................................................................................................................ 47 6.4.5 适配层数据包格式 ..................................................................................................... 48 6.5 接口协议定义..................................................................................................................... 49

6.5.1 运用TCP/IP提供ISO传输2类协议 ...................................................................... 49 6.5.2 ALE操作 .................................................................................................................... 52 6.5.3 数据传输..................................................................................................................... 55 6.5.4 连接释放..................................................................................................................... 57 6.6 不同服务类别的实施和冗余管理 ....................................................................................... 59

6.6.1 A类服务 ..................................................................................................................... 59 6.6.2 D类服务 ..................................................................................................................... 61 6.6.3 ALEPKT概述 ............................................................................................................ 62 6.7 适配层管理—ALEPKT错误处理 .................................................................................. 63 6.8 底层协议栈......................................................................................................................... 64

6.8.1 简介 ............................................................................................................................ 64 6.8.2 TCP参数协商（强制性） ........................................................................................ 64 6.8.3 网络服务定义 ............................................................................................................. 64 6.8.4 网络协议..................................................................................................................... 65 6.9 适配层配置与管理 ............................................................................................................. 65

6.9.1 总则 ............................................................................................................................ 65 6.9.2 定时器参数 ................................................................................................................. 65 6.9.3 呼叫与ID管理（适配层和TCP） .......................................................................... 65

7. 资料性附录 ...................................................................................................................................... 66

7.1 TCP参数协商 .................................................................................................................. 66

7.1.1 TCP服务选项 ............................................................................................................ 66 7.2 地址映射 .......................................................................................................................... 66 7.3 数据链路层....................................................................................................................... 67

7.3.1 以太网......................................................................................................................... 67 7.3.2 介质访问控制 ............................................................................................................. 68 7.3.3 广域连接..................................................................................................................... 68 7.4 密钥管理 .......................................................................................................................... 68

7.4.1 范围 ............................................................................................................................ 68 7.4.2 密钥管理概念和原理 ................................................................................................. 68 7.4.3 KMS的各个阶段和参与方 ....................................................................................... 68

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第4页

6.3

CTCS-3级列控系统标准规范

7.4.4 一般原则..................................................................................................................... 69 7.4.5 密钥层级..................................................................................................................... 69 7.4.6 密钥分配..................................................................................................................... 70 7.4.7 基本的KM功能 ........................................................................................................ 70 7.4.8 缩略语与定义 ............................................................................................................. 71 7.5 校验和结果实例 ............................................................................................................... 72

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第5页

CTCS-3级列控系统标准规范

3.1

3.1.1.1.1 3.1.1.1.2 3.2

3.3 RSSP-II5

简介

目的及范围

本文件规定了信号安全设备之间通过封闭式网络或开放式网络进行安全相关信息交互的功能结构和协议。

本规范适用于铁路信号安全设备之间的安全通信接口。

参考文献 3.2.1.1.1 名称日期描述 EN 50159-1 2001年03月 Railway applications – Communication, signalling and Processing systems – Part 1: Safety-related communication in closed transmission systems <铁道应用：封闭式传输系统中安全通信要求> EN 50159-2 2001年03月 Railway applications – Communication, signalling and Processing systems – Part 2: Safety-related communication in open transmission systems<铁道应用：封闭式传输系统中安全通信要求> Subset-026 2006年02月24日 ETCS/ERTMS 1级，v2.3.0 Subset-037 2005年10月14日 ERTMS\\ETCS-Class1， Subset 037，Euroradio FIS欧标规范子集037：欧洲无线功能接口规范，v2.3.0 Subset-038 2005年12月21日离线密钥管理FIS，v2.1.11 Subset-039 2005年08月31日 RBC/RBC移交FIS，v2.1.2 Subset-108 2006年06月08日 ETCS/ERTMS 1级，TSI附录A，v1.1.0 ITU-T X.214 1993年11月信息科技，开放系统互联，传送服务定义 ITU-T X.224 1993年11月信息科技，开放系统互联，提供OSI连接模式的传送协议 RFC0791 1981年09月01日网络协议v4 RFC2460 1998年12月网络协议v6 RFC0793 1981年09月01日传输控制协议v4 ISO/IEC 3309 1991年06月信息技术——系统间的通信和信息交换——高级数据链路控制程序（HDLC）——框架结构术语和定义

本文件中使用了标准EN 50159-1和EN 50159-2的定义，并附加使用了以下术语。应用处理：描述通信关系的应用层实体。

执行周期：处理周期以及与其相关的递增计数（基于计算机的恒定处理周期）。密钥管理规范的缩略语和定义包含在本规范的资料性附录中。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第6页

CTCS-3级列控系统标准规范

3.4

缩略语

缩略语含义

RSSP-II5

ALE 适配及冗余管理层实体 ALEPKT ALE数据包，ALE之间交换的PDU ApPDU 应用PDU CFM 通信功能模块 EC 执行周期 IP 网际协议 MASL 消息鉴定安全层 PDU 协议数据单元 QoS 服务质量 SaCEPID 安全连接端点识别符 SAI 安全应用中间子层 SAP 服务接入点 SaPDU 安全协议数据单元 SaS 安全服务 SFM 安全功能模块 SL 安全层 SN 序列号 TCEPID 传输连接端点识别符 TCP 传输控制协议 TPDU 传输协议数据单元 TS 传输服务 TSAP 传输服务接入点 TTS 三重时间戳规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第7页

CTCS-3级列控系统标准规范

4.1

4.1.1.1.1 4.1.1.1.2

4.1.1.1.3 4.1.1.1.4

4.2

4.2.1.1.1 4.2.1.1.2

RSSP-II5

参考结构

综述

封闭式网络在EN50159-1中定义为：“可连接设备的最大数量和拓扑结构已知的，传输系统的物理特征是固定的传输系统，并可以忽略未授权访问的风险。” 开放式网络在EN50159-2中定义为：―连接设备数量未知的传输系统，它拥有未知的、可变的且非置信的特征，用于未知的通信服务，对此系统应评估未经授权的访问。‖ 这两种网络类型都应被考虑。

安全通信系统间的总体结构（根据EN50159-2）如图1所示。

设备1 设备2 安全相关的设备应用处理应用信息应用处理安全相关的安全功能模块 PDU 安全功能模块协议数据单元通信功能模块通信功能模块通信设备传输系统

图1：安全通信系统的总体结构

铁路信号安全设备间安全通信接口

本节描述了安全通信系统的功能结构，对内层实现不作限制。不应将其理解为对软件实现的要求。

铁路信号安全设备之间安全通信接口采用分层结构。该接口规范所包含的各层如图2中阴影部分所示。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第8页

CTCS-3级列控系统标准规范

应用层协议（端到端）应用层应用处理安全功能模块安全应用中间子层消息鉴定安全层操作和维护O&M安全应用中间子层协议（端到端）[Subset037]（端到端）适配层协议传输层协议（TCP）网络层协议（IP）适配及冗余管理层传输层网络层数据链路层通信功能模块物理层传输系统图例：由本规范指定从标准规范中引用超出范围

图2：安全通信系统的结构

4.2.1.1.3 4.2.1.1.4 4.2.1.1.5 4.2.1.1.6 4.2.1.1.7 4.2.1.1.8 4.2.1.1.9 4.2.1.1.10 4.3 4.3.1 4.3.1.1.1 4.3.1.1.2

安全信息传输的应用协议见各安全设备间应用层协议，不属于本规范范围。

经由非安全低层传输的安全相关信息需要在安全层中进行处理。消息鉴定安全层（MASL）参照［Subset-037］制定，在MASL层的基础上增加安全应用中间子层（SAI）。适配及冗余管理层（ALE）提供MASL层和传输层之间的适配和冗余处理。传输层协议参见TCP［RFC0793］。重发功能由TCP的常规机制来提供。网络层协议参见IP［RFC0791］。本规范不对数据链路层作规定。本规范不对物理层作规定。

操作和维护（O&M）属于具体实施的范畴，本规范不作规定。各层功能

安全功能模块（SFM）

本模块提供的安全层必须能够对EN 50159-1和EN 50159-2中列出的威胁进行检测并提供充分的防护。

安全层实现以下安全相关的传输功能。 ? ? ? ? ?

消息的真实性（源地址和目的地址）；消息的序列完整性；消息的时效性；消息的完整性；安全错误报告；

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第9页

RSSP-II5

CTCS-3级列控系统标准规范

? ?

4.3.1.1.3

配置管理（安全设备间的安全通信协议栈）；访问保护。

MASL层提供以下功能： ? ? ?

消息的真实性（源地址和目的地址）；消息的完整性；访问保护。

4.3.1.1.4 4.3.1.1.5 4.3.1.1.6 4.3.1.1.7 4.3.1.1.8 4.3.2

SAI层提供所需的其他安全相关的传输功能。序列错误防护通过在用户数据中增加序列号实现。

消息时效性防护通过在用户数据中增加TTS或者EC计数实现。 EC和TTS对消息时延具有相同的防护等级。

TTS与EC计数仅允许一项有效，具体实施中由通信双方协商决定。

通信功能模块（CFM）

通信功能模块提供非置信的传输。此模块提供以下功能： ? ? ? ? ?

MASL层和传输层之间的适配；冗余功能，以满足系统可用性需求；数据的可靠、透明和双向传输；必要时协议数据单元的重传；通道可用性监测。

4.3.2.1.1 4.3.2.1.2

4.4 4.4.1.1.1

传输系统的分类

为了使本规范具有通用性，不对开放式传输系统类别作限定。本规范参考具有最高安全风险级别的开放式传输系统类别7［参见EN 50159-2］来制定。

4.5 4.5.1.1.1

假设

设定条件如下： ? ? ? ? ?

对[Subset 037]中规定的“高优先级”消息不作要求；

目前对多路复用技术不作要求，但是该项功能可以通过在每个逻辑连接中使用一条TCP链路来实现；非显式流量控制；

SFM检测出的安全相关错误可能在SAI层之外进行处理；用户数据长度不超过1000 字节。

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第10页

CTCS-3级列控系统标准规范

5.1

5.1.1.1.1 5.1.1.1.2 5.1.1.1.3

5.1.1.1.4 5.2

5.2.1.1.1 5.2.1.1.2 5.2.1.1.3

5.2.1.1.4

5.2.1.1.5 5.2.1.1.6

5.2.1.1.7

RSSP-II5

安全功能模块

简介

本节规定安全功能模块（SFM）。

本节仅描述相关的功能接口，以确保在安全功能模块层面的互联。安全功能模块的组成： ? MASL层； ?

SAI层。

通过这两层结合将对EN 50159-2文件中所定义的威胁提供全面的防护。安全功能模块的功能

安全功能模块提供同开放式传输系统类别7相适应的安全服务。本节规定了在安全功能模块中防护技术的具体实现。

根据EN 50159-2标准，对于一般的传输系统而言，所有可能的威胁如下（参见EN 50159-2的定义）： ? 重复； ? 删除； ? 插入； ? 重排序； ? 损坏； ? 延迟； ?

伪装。

为了减少标准中定义的威胁风险，安全功能模块应提供以下的安全服务（参见EN 50159-2的定义）： ? 消息的真实性； ? 消息的完整性； ? 消息的时效性； ?

消息的有序性。

MASL层和SAI层的结合为开放式传输系统提供了一种安全保护措施。 MASL层可以预防以下威胁： ? 损坏； ? 伪装； ?

插入。

通过添加安全码（消息验证码MAC）和连接标识符（源和目的地标识符）提供防护。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第11页

CTCS-3级列控系统标准规范

5.2.1.1.8

5.2.1.1.9 5.2.1.1.10

5.3

5.3.1.1.1 5.3.1.1.2 5.3.1.1.3

5.3.1.1.4

RSSP-II5

SAI层可以预防以下威胁： ? 延迟； ? 重排序； ? 删除； ?

重复。

通过添加延迟防御技术（EC或TTS）和序列号（SN）提供保护。安全功能模块提供的保护如下表所示：防御威胁序列号TTS或超反馈源和目的地消息识安全加密 SN EC 时信息标识符别过程码技术重复 X 删除 X 插入 X 重排序 X 损坏 X 延迟 X 伪装 X 表1：安全功能模块的防御技术

消息鉴定安全层（MASL） MASL层由［Subset-037］规定。

MASL层参照［Subset-037］，但是不使用其中的高优先级数据业务。所有的数据传输均应

使用正常的数据业务来进行。

下表规定SAI-MASL接口的SaS原语参数的使用。参数 Subset-037 SFM的使用说明地址类型 5.2. 如果需要的话，可以使用网络地址 5.2. 如果使用，可用于识别被叫方的32 位目的IP地址和16位目的TCP端口号移动网络ID 5.2. 不使用主叫CTCS ID 5.2. 主叫安全设备CTCS ID类型类型主叫CTCS ID 5.2. 用于初始化连接的主叫CTCS ID 被叫CTCS ID5.2. 被叫安全设备CTCS ID类型类型被叫CTCS ID 5.2. 用于接受连接请求的被叫CTCS ID 应用类型 5.2. 参见Subset-037中定义的应用类型服务质量类型 5.2. QoS域用于表示建立连接的服务类服务类型A和型。服务类型D可供使用 SaCEPID 5.2. 由本地提供用来辨识各个安全连接的参数表2：SaS原语参数

由本地实现SAI层和MASL层之间的接口。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第12页

CTCS-3级列控系统标准规范

5.3.1.1.5

下表规定了安全信号设备间安全通信接口中MASL层的配置：参数 SaS用户数据的最大长度 Testab Subset-037 5.3. 7.2.5.3 SFM值 1000字节最大应用值：40秒说明推荐值为40秒，对于安全信号设备间的通信可能采用更低值表3：MASL层的配置

5.4 5.4.1

安全应用中间子层（SAI）

概述

安全应用中间子层提供： ? ? ?

通过序列号和TTS/EC计数对数据进行保护；到应用层接口；到MASL层接口。

5.4.1.1.1

5.4.1.1.2 5.4.1.1.3 5.4.1.1.4 5.4.1.1.5 5.4.1.1.6

通过给用户数据添加一个序列号域，防止数据的重复、删除和重排序。通过给用户数据添加TTS或EC计数防止数据延迟。时间戳的防御技术基于发送方和接收方之间时钟偏移的计算。

为了发送方和接收方依据执行初始化程序对时钟偏移进行估算，需要在SAI帧头中定义初始化过程的消息类型。

对于由发送方发送给接收方的消息，通过添加以下字段构成TTS： ? ? ?

数据传输时的发送方时间戳；

发送方接收的上一条消息中的接收方时间戳；发送方接收上一条消息时的发送方时间戳。

5.4.1.1.7 下图描述了TTS信息：

当前发送方：A 子系统时间时间戳信息发送方接收到的上一条消息当前接收方：B 子系统时间时间戳信息发送方时间戳上一条接收消息的发送方时间戳上一消息接收方时间戳图例：：安全通信接口处理

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第13页

CTCS-3级列控系统标准规范

图3：时间戳信息

5.4.1.1.8 5.4.1.1.9 5.4.1.1.10 5.4.2 5.4.2.1.1 5.4.2.1.2 5.4.2.1.3

当不使用TTS的方法时，选择EC防御技术。EC防御技术通过在用户数据上添加EC计数来检查消息的寿命。

EC防御技术也要求有一个初始化过程。在此过程中，每一个通信实体的EC值被发送给对等实体。

EC和TTS的防御技术是相互排斥的。

到SAI层服务接口

SFM通过安全服务接入点上的安全服务原语及其相应的参数，提供安全服务。 SAI层仅提供功能规范，而原语的实施由本地提供，不会影响安全设备的互通。 SAI层连接建立服务： ? ? ? ?

SAI-CONNECT.request：用户要求SAI建立连接；

SAI-CONNECT.indication：被叫SAI实体收到连接请求后通知被叫SAI用户； SAI-CONNECT.response：应答SAI用户用来接受到SAI实体的连接；

SAI-CONNECT.confirm：主叫SAI实体获得被叫对等实体的响应后向主叫SAI用户报告SAI连接成功建立；

5.4.2.1.4 SAI数据传输服务： ? ?

SAI-DATA.request：SAI用户用来向对等实体传输应用数据；

SAI-DATA.indication：向SAI用户表示来自对等实体数据已成功接收；

5.4.2.1.5 SAI连接释放服务： ? ?

SAI-DISCONNECT.request：SAI用户强制释放SAI连接； SAI-DISCONNECT.indication：用来通知SAI用户SAI连接释放；

5.4.3 5.4.3.1 5.4.3.2 5.4.4

到MASL层服务接口

SAI层实现的功能在MASL层之上。

MASL层的应用约束了SAI层的设计，因此为了能适配MASL层，SAI层应能够与Subset-037中规定的―安全服务接口‖适配。消息结构

消息结构如下图所示。

5.4.4.1.1

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第14页

CTCS-3级列控系统标准规范

5.4.4.1.2 5.4.4.1.3 5.4.4.1.4 5.4.4.1.5 RSSP-II5

应用层：帧头应用信息安全应用中间子层： SAI帧头用户数据消息鉴定安全层： MASL帧头用户数据 MAC 适配层： ALE帧头用户数据通信层：通信帧头用户数据通信帧尾子系统间的信息交换子系统A 子系统B 图4：消息结构

消息类型决定SAI帧头结构。应考虑到两种不同情况： ? SAI帧头适用于安全数据的传输（参见Subset-037）； ?

仅MASL层用于安全连接管理。

就安全数据传输而言，由SAI层添加的帧头结构如下：

TTS 消息类型序列号用户数据发送方时间戳上一次接收方上一次收到消（n字节）时间戳息时的时间戳第1个字节第2个第3个第4个第7个第8个第11 第12个第15 字节字节字节字节字节个字节字节个字节 n个字节 SAI帧头图5：使用TTS时的SAI帧头结构

TTS 消息类型序列号 EC 用户数据计数设为“0” 设为“0” 设为“0” （n字节）数第1个字节第2个第3个第4个第7个第8个第11个第12个第15个字节字节字节字节字节字节字节字节 4字节 n字节 SAI帧头图6：使用EC时的SAI帧头结构

SAI层的所有域均使用Big Endian方式编码。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第15页

CTCS-3级列控系统标准规范

5.4.4.1.6 5.4.4.1.7 5.4.4.1.8 5.4.4.1.9

―消息类型‖域用于识别消息类型，使用一个字节进行编码。 ―序列号‖域用于定义消息顺序号，使用两字节编码。

如果使用了TTS，“发送方时间戳”域应填写消息传送至本地MASL层实体时的发送方时间戳。发送方时间戳使用四个字节编码。

如果使用了TTS，“上一次接收方时间戳”域应填写由“接收方”产生，从接收方传输给发送方的最后一个消息的时间戳，OffsetStart信息除外（见§5.4.8.4）。本时间戳使用四个字节编码。

如果使用了TTS， “上一次的消息接收时间戳”域应填写由本地MASL层实体上传上一条消息时的本地时间戳，OffsetStart信息除外（参见§5.4.8.4）。本时间戳使用四个字节编码。只有使用EC防御技术时，才使用“EC计数”域，并出现在帧头中。 EC计数使用四字节编码。

EC防御技术和TTS防御技术互相排斥，若使用EC防御技术，则与TTS防御技术相关的域将不被检查，此时―TTS‖域所有字段的值应被设为0。

5.4.4.1.10 5.4.4.1.11 5.4.4.1.12 5.4.4.1.13 5.4.5 5.4.5.1

SAI协议

连接过程

两个设备之间的连接过程如下图所示。

5.4.5.1.1

设备ASAI-CONNECT.requestSa-CONNECT.requestAU1 SaPDUT-CONNECT.requestT-CONNECT.indicationAU2 SaPDUT-CONNECT.confirmT-CONNECT.response设备B安全应用中间子层Sa-CONNECT.confirm消息鉴定安全层AU3 SaPDUT-DATA.requestT-DATA.indicationAR SaPDUT-DATA.indicationT-DATA.request消息鉴定安全层Sa-CONNECT.indicationSa-CONNECT.response安全应用中间子层SAI-CONNECT.confirm时间戳或EC计数器初始化SAI-CONNECT.indicationSAI-CONNECT.response 图7：SAI 连接过程

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第16页

CTCS-3级列控系统标准规范

5.4.5.1.2 5.4.5.2

5.4.5.2.1

5.4.5.2.2 5.4.5.3

5.4.5.3.1 5.4.5.3.2 5.4.5.3.3 5.4.5.3.4

5.4.5.3.5

5.4.5.3.6 5.4.5.3.7 5.4.5.3.8 5.4.5.3.9

RSSP-II5

SAI服务原语应被映射到SA服务原语上，以用于连接建立。断开连接过程

两个设备之间的连接断开过程如下图所示。

设备A设备BT-DISCONNECT.SAI-Sa-requestDISCONNECT.安安request全DISCONNECT.消消request全应息息应用鉴DI SaPDU鉴用中定定中间安安Sa-SAI-子全T-全DISCONNECT.间DISCONNECT.层层DISCONNECT.indication层indication子indication层图8：断开连接过程

SAI服务原语应被映射到SA服务原语上，以用于连接断开。应用数据交互过程

以下过程用来描述如何传输应用数据消息。

通过使用SAI-DATA.request，应用层应能够将数据发送至对等实体（见Subset-037）。通过使用SAI-DATA.request，SAI层应能够识别所连接的SaCEPID。在SAI帧头中，SAI层应在应用数据上增加： ? 应用数据交互的消息类型； ? 序列号；

? TTS域。如果使用EC防御技术，则TTS设为―0‖； ?

EC计数及其版本（仅在使用EC防御技术时）。

SAI层通过使用Sa-DATA.request原语，将其处理完的数据传送至MASL。Sa用户数据参数由消息类型，序列号，TTS域和EC域连接组成。只有使用EC防御技术时，EC域才会出现。

以下过程用来描述如何接收应用数据消息。

MASL层可以使用Sa-DATA.indication将数据传送至SAI层处理，并由SAI层传送到应用层。

Sa-DATA.indication应提供SaCEPID。 Sa用户数据参数由下列部分组成： ? 应用数据的消息类型； ? 序列号；

TTS域。如果使用EC防御技术，则时间戳设为―0‖；

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第17页

CTCS-3级列控系统标准规范

5.4.5.3.10 5.4.5.3.11 5.4.5.3.12 5.4.5.3.13 5.4.5.3.14 5.4.5.3.15

5.4.5.4 5.4.5.4.1 5.4.5.4.2 5.4.5.4.3 5.4.5.4.4

RSSP-II5

EC计数（仅在使用EC防御技术时）。

“消息类型”应属于为应用数据交互而定义的消息类型之一。 SAI应在EC计数或TTS检查前对序列号进行检查。

如果使用EC防御技术，则无须检查TTS域，而只须检查EC域。如果使用TTS防御技术，则必须检查TTS域。

若以上所有检查均成功执行，则应使用SAI-DATA.indication将应用数据和SaCEPID传送至应用层。

应用数据交互如下图所示：

从应用层 SAI层至MASL层 SAI-DATA.request： Sa-DATA.requestSaCEPID SaCEPID ： Ap用户数据将消息类型域设为应用Sa用户数据数据的传送值消息类型域序列号序列号 TTS 如果使用了EC防御技术，则将时间戳设为“0” EC计数（仅在使用EC防御技术时） EC计数（如果使用ECAp用户数据防御技术）至应用层从MASL层如果检查OK SAI-DATA.indication Sa-DATA.indication SaCEPID SaCEPID Ap用户数据消息类型域检查 Sa用户数据消息类型域序列号检查序列号 TTS EC计数（仅在使用EC防御技术时）如果使用了TTS防御技术，则检查时间戳 Ap用户数据或如果使用了EC防御技术，则检查EC计数图9：应用数据交互过程

SAI管理消息

SAI执行某些特定程序，通过TTS或EC计数确保对消息的防护（见第5.4.8.5节，5.4.8.7节，5.4.9.3节和5.4.9.6节）。在执行此类程序期间，双方SAI层之间应交互SAI管理消息。SAI管理消息通过消息类型域的特定值或无任何应用数据的消息进行识别。

SAI管理信息应通过Sa-DATA.request和Sa-DATA.indication原语在SAI层之间进行交换。SN，TTS和EC域应采用和应用数据交互过程相同的处理方式。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第18页

CTCS-3级列控系统标准规范

5.4.5.4.5

在消息传输中，根据管理消息的类型选择消息类型域值。用户数据是来自应用层还是由SAI自行计算，这取决于管理消息的类型。如果没有任何应用数据被传送至对等应用层，则SAI层会为管理消息选择适当的SaCEPID。

SAI应根据接收的管理消息类型，决定用户数据是由SAI自行处理，或将SaCEPID和应用数据一起传送至应用层。消息类型域

共定义10种消息类型，其中，TTS防御技术中使用的消息类型有6种，EC防御技术中使用的消息类型有4种。

TTS防御技术中使用的消息类型如下所示：

OffsetStart消息（用于时钟偏移估算的第1个消息）：

1 2 3 4 5 6

5.4.5.4.6 5.4.6 5.4.6.1.1 5.4.6.1.2

OffsetAnsw1消息（用于时钟偏移估算的第2个消息）： OffsetAnsw2消息（用于时钟偏移估算的第3个消息）： OffsetEst消息（用于时钟偏移估算的第4个消息）： OffsetEnd消息（用于时钟偏移估算的第5个消息）：使用TTS保护的应用消息：

5.4.6.1.3

EC防御技术中使用的消息类型如下所示（十六进制）： EC起始消息：

81 86 87 88

使用EC保护的应用消息：

使用EC保护并请求应答的应用消息：

使用EC保护并含有应答确认的应用消息：

5.4.7

序列号防御技术

序列号以2字节进行编码（Big Endian）。序列号值从0到65535。

每一个通信方向上的序列号应该是独立的。

5.4.7.1.1 5.4.7.1.2 5.4.7.1.3 5.4.7.1.4 5.4.7.1.5 5.4.7.1.6 5.4.7.1.7 5.4.7.1.8

对序列号不作初始化要求。对于从对等实体处接收到的第一个序列号，接收方不做检查。接收方无须检查接收到的第一条消息的序列号，只需对后续的消息检查其序列号与上一个序列号之间的差异。

如果序列号值未达到最大值，则在此传输方向上的下一条消息序列号加1。一旦序列号值达到最大值，则下一条传输消息的序列号设为―0‖。两个设备间的消息编号如下图所示：

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第19页

CTCS-3级列控系统标准规范

消息A至B #0 消息B至A #0 消息B至A #1 5.4.7.2

5.4.7.2.1 5.4.7.2.2 5.4.7.2.3 5.4.7.2.4 5.4.7.2.5 5.4.7.2.6 5.4.7.2.7 5.4.7.2.8 5.4.7.2.9

RSSP-II5

设备设备A 时间消息B至A #2 B 消息A至B #1 消息A至B #2 图10：消息编号

序列号错误

序列号可检测到下列错误： ? 消息重复； ? 消息删除； ?

消息重排序。

一旦检测到错误，SAI不能采取任何措施恢复丢失的数据。

为消息序列检查而定义参数N。N-1是代表允许丢失消息的数量。需要配置N值，N值等于或大于1。

如果接收到的SN不等于上次接收消息的SN＋1，则被认为是消息序列错误。如果接收到的SN大于上次接收消息的SN＋N，则应丢弃此消息，并释放安全连接。如果接收到的SN大于上次接收消息的SN＋1，并小于或等于SN＋N，则不应丢弃此消息中的应用数据，并根据规定的错误处理方式（见第5.4.10.1.2节）来处理这一事件。如果接收到的SN小于或等于上次接收消息的SN，则应丢弃此消息。需要根据SAI错误处理程序（见第5.4.10节）对序列号错误作出相应反应。

下图说明当发生重复消息，删除消息或重排序消息时，SN防御技术所采取的行为。假定N＝3，则允许丢失消息的数量为0，1或2。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第20页

CTCS-3级列控系统标准规范

设备A 设备B SAI 消息重复消息 A至B #13 SAI TTS或EC以及SN 消息 A至B #13 消息有效相同的序列号：消息丢弃应用通知消息删除 TTS或EC以及SN 消息 A至B #14 消息 A至B #15 消息有效消息鉴定安全层消息鉴定安全层消息 A至B #16 消息 A至B #17 消息 A至B #18 消息丢弃应用和安全连接释放的通知重新排序 TTS或EC以及SN 消息 A至B #17 消息有效消息 A至B #20 消息有效应用通知消息 A至B #18 消息 A至B #19 消息丢弃消息丢弃图11：序列错误

5.4.8 5.4.8.1 5.4.8.1.1 5.4.8.1.2 5.4.8.1.3 5.4.8.1.4 5.4.8.1.5

RSSP-II5

TTS

简介

时间戳处理过程基于发送方和接收方之间的时钟偏移估算。通信双方应在建立安全连接后和交换应用数据前，初始化时钟偏移估算。

两个设备之间的时钟偏移估算值一旦确定，就能够以一种安全的方式估算应用数据的时间有效性，而无须对远程设备当前周期和（或）网络特性作任何设定。

时间戳调整过程（即时钟偏移更新过程）由两个设备之间5条消息的交换组成。通过该过程，每个设备都能估算它的内部时钟和对等设备内部时钟之间的时钟偏移。所有应用消息都要标记TTS。

第2和第3个时间戳仅用于计算和更新时钟偏移估算值。第1个时间戳不仅用于估算和更

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第21页

CTCS-3级列控系统标准规范

5.4.8.1.6 5.4.8.1.7 5.4.8.1.8 5.4.8.2

5.4.8.2.1 5.4.8.2.2 5.4.8.3 5.4.8.3.1 5.4.8.3.2 5.4.8.3.3 5.4.8.3.4 5.4.8.3.5 5.4.8.3.6 5.4.8.3.7 5.4.8.4

5.4.8.4.1

5.4.8.4.2

RSSP-II5

新时钟偏移，也用于计算应用数据的时间有效性。

接收到消息后，接收方利用时钟偏移估算值，将发送方所传送的时间戳调整为接收方时钟，然后再计算应用数据的时间有效性。

发送方所发送的时间戳消息中的―过零点‖，由接收方处理。

要定期使用时钟偏移更新程序，对两个系统之间的时钟偏移估算值进行更新。 TTS格式

时间戳以32位Big Endian进行编码。 TTS最低有效位的时间值等于10 ms。时钟偏移估算原理

时钟偏移估算值一旦确定，一个设备就能够对其本身与对等设备之间所交换消息的时间有效性进行估算。

在安全连接初始化时进行时钟偏移估算。时钟偏移更新程序应在第一条应用消息交互前执行。

由发起安全连接的设备启动时钟偏移更新程序。

通过两个实体之间5个消息的交换来估算时钟偏移。发起时钟偏移更新程序的实体被称为―发起方‖，而另一个实体被称为―应答方‖。

发起方使用前2个消息来计算两个设备之间的最大和最小时钟偏移。应答方使用第2和第3个消息来计算两个设备之间的最大和最小时钟偏移。第4和第5个消息用来验证时钟偏移估算值的有效性。时钟偏移更新消息

OffsetStart 消息结构如下所示：

时钟偏差更新程序的第1个消息消息类型序列号 TTS 用户数据发送方时上一次接收上一次收到消息发起方周期间戳方时间戳时的时间戳字节第1个字节第2个第3个第4个第7个第8个11个第12字节字节字节字节第字节个第15 个第16字节字节个第19字节字节个字节SAI帧头

图12：OffsetStart消息

OffsetStart消息分为不同的域，分别是：消息类型：1（十六进制值）；序列号；

发送方时间戳：此域定义了进行时钟偏移估算的发起方时间戳；

上一次接收方时间戳：此域给出了上一次应答方传送给发起方的时间戳。由于没有之前应答方给出的时间戳，此值设为―0‖；

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第22页

CTCS-3级列控系统标准规范

5.4.8.4.3

5.4.8.4.4

5.4.8.4.5

5.4.8.4.6

RSSP-II5

上一次收到消息时的时间戳：此域给出了上一次从应答方处接收到消息时的时间值。由于没有之前应答方给出的应用消息，此值设为―0‖；

发起方周期：此域给出了发起方向应答方进行周期性传送消息的传送周期。如果消息不是周期性传送，则将此值设为―0‖。―发起方周期‖使用的格式和时间分辨率与时间戳域相同。

OffsetAnsw1消息结构如下所示：

时钟偏移更新程序的第2个消息消息类型 TTS 用户数据序列号发送方时上一次接收上一次收到消应答方周期间戳方时间戳息时的时间戳字节第1个字节第2个第3个第4个第7个第8个第11个第12个第15个第16个第19个字节字节字节字节字节字节字节字节字节字节 SAI帧头

图13：OffsetAnsw1消息

OffsetAnsw1消息分为不同的域，分别是：消息类型：2（十六进制值）序列号

发送时间戳：此域定义了应答方的时间戳。

上一次接收方时间戳：此域给出了发起方上次传送给应答方的发起方时间戳。

上一次收到消息时的时间戳：此域给出了应答方接收到时钟偏移更新过程的第一个消息时

的应答方时间戳。

应答方周期：此域给出了应答方向发起方进行周期性传送消息的传送周期。如果消息不是周期性传送，则将此值设为―0‖。应答方周期使用的格式和时间分辨率与时间戳域相同。

OffsetAnsw2消息结构如下所示：

时钟偏移更新程序的第3个消息 TTS 用户数据消息类型序列号发送方时上一次接收上一次收到消未使用间戳方时间戳息时的时间戳字节第1个字节第2个第3个第4个第7个第8个第11个第12个第15个字节字节字节字节字节字节字节字节 SAI帧头

图14：OffsetAnsw2消息

OffsetAnsw2消息分为不同的域，分别是：消息类型：3（十六进制值）序列号

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第23页

CTCS-3级列控系统标准规范

5.4.8.4.7

5.4.8.4.8

5.4.8.4.9

RSSP-II5

发送方时间戳：此域定义了发起方的时间戳。

上一次接收方时间戳：此域给出了应答方上次传送给发起方的时间戳。

上一次收到消息时的时间戳：此域给出了发起方上次从应答方处接收消息时的时间戳（即OffsetAnsw1消息的接收时间）。

OffsetEst消息结构如下所示：

时钟偏移更新程序的第4个消息 TTS 消息类用户数据型序列号发送方上一次接上一次收到消偏移标志应答方估算收方时间偏移标应答方估算时间戳戳息时的时间戳的最小偏移值志的最大偏移值第1个字节第2个第3个第4个第7个第8个第11第12个第15个第16个第17个第20个第21个第22个第25个字节字节字节字节字节个字字节字节字节字节字节字节字节字节节字节 SAI帧头图15：OffsetEst消息

OffsetEst消息分为不同的域，分别是：消息类型：4（十六进制值）序列号

发送方时间戳：此域定义了应答方的时间戳。

上一次接收方时间戳：此域给出了发起方上次传送给应答方的发起方时间戳。

上一次收到消息时的时间戳：此域给出了应答方接收到的时钟偏移更新过程的第3个消息时的时间戳。

偏移标志：此域给出了应答方所估算的最小偏移值的正负标志。采用Big Endian编码。―0‖则表示偏移为正值或空值，―1‖表示偏移为负值。

应答方估算的最小偏移值：此域给出了应答方所计算的最小偏移值。使用的格式和时间分辨率与时间戳域相同。

偏移标志：此域给出了应答方所估算的最大偏移值的正负标志。采用Big Endian编码。―0‖则表示偏移为正值或空值，―1‖表示偏移为负值。

应答方估算的最大偏移值：此域给出了应答方所计算的最大偏移值。使用的格式和时间分辨率与时间戳域相同。

OffsetEnd消息结构如下所示：

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第24页

CTCS-3级列控系统标准规范

5.4.8.4.10

5.4.8.5

5.4.8.5.1 RSSP-II5

时钟偏移更新程序的第5个消息消息类型 TTS 用户数据序列号发送方时上一次接上一次收到消检查域间戳收方时间息时的时间戳戳字节第1个字节第2个第3个第4个第7个第8个第11个第12个第15个字节字节字节字节字节字节字节字节第16个字节 SAI帧头

图16：OffsetEnd消息

OffsetEnd消息分为不同的域，分别是：消息类型：5（十六进制值）序列号：消息编号

发送方时间戳：此域定义了应答方的时间戳。

上一次接收方时间戳：此域给出了应答方上次传送给发起方的时间戳。

上一次收到消息时的时间戳：此域给出了发起方上次从应答方处接收到消息时的时间戳

（即OffsetEst消息的接收时间）。检查域：此域给出了对时钟偏移值进行检查的结果。经过比较，如时钟偏移值有效，则将检查域值设为―1‖，如果无效，则检查域值设为―0‖。

时钟偏移更新过程

时钟偏移更新过程详见下图所示：

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第25页

CTCS-3级列控系统标准规范

5.4.8.5.2 5.4.8.5.3

RSSP-II5

发起方应答方 Tinit_start Tinit1 OffsetStart (Tinit1, 0, T0, Tres1 initcycl) TOffsetAnsw1 (Tres_ start Tinit2 res2, Tres2 T发起方计算偏移： init1, Tres1, Trescycl) 1. Tinit_offset_max = Tinit2 - Tres2 2. Tinit_offset_min = Tinit1 - Tres1 Stop Tinit_start Tinit_start Tinit3 OffsetAnsw2 (Tinit3, Tres2, Tinit2) Tres3 接收方计算偏移： 1. Tres_offset_max = Tres3 - Tinit3 2. Tres_offset_min = Tres2 - Tinit2 Stop Tres_start Tinit4 OffsetEst (Tres4, Tinit3, Tres3, Tres4 Tres_ start 偏移估算： Tres_offset_min, Tres_offset_max) 如果满足下列条件，则时钟偏移估算有效： 1. |Tinit_offset_max + Tres_offset_ min | = 0 2. |Tinit_offset_min + Tres_offset_max | < Toff_max TOffsetEnd（Tinit5, Tres4, init5 有效/无效） Tres5 周期消息可选的定时器周期消息可选的定时器图例说明： - Tinit_start和Tres_start：初始化定时器。如果在收到Offset Answers消息前计时终止，则将释放并重启安全连接。 - TinitX和TresX：发起方和应答方的第X个时间戳。 - Trescycl和Tinitcycl：应答方和发起方传送消息的周期。如果非周期性发送，则此参数设为―0‖。 - Tres_offset_max和Tinit_offset_max：发起方和应答方估算的最大偏移值。 - Tres_offset_min和Tinit_offset_min：发起方和应答方估算的最小偏移值。 - Toff_max：时钟偏移估算值之间的最大差异。 - 有效/无效：时钟偏移检查的结果。图17：时钟偏移更新过程发起方通过发送OffsetStart消息启动时钟偏移更新程序。

发送OffsetStart 消息时，发起方启动定时器Tinit_start。如果Tinit_start终止时，发起方仍未接收到OffsetAnsw消息，则根据错误处理程序（见第5.4.10节）对该错误进行处理。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第26页

CTCS-3级列控系统标准规范

5.4.8.5.4 5.4.8.5.5 5.4.8.5.6 5.4.8.5.7

5.4.8.5.8 5.4.8.5.9

5.4.8.5.10

5.4.8.5.11 5.4.8.5.12 5.4.8.5.13 5.4.8.6

5.4.8.6.1

5.4.8.6.2

RSSP-II5

在接收到OffsetStart消息后，应答方通过发送OffsetAnsw消息进行应答。

发送OffsetAnsw消息时，应答方启动定时器Tres_start。如果Tres_start终止时，应答方仍未接收到OffsetAnsw2消息，则根据错误处理程序（见第5.4.10节）对该错误进行处理。如果发起方在Tinit_start终止前接收到OffsetAnsw消息，则发起方对其与应答方之间的时钟进行最大和最小偏移值的估算。

发起方向应答方发送OffsetAnsw2消息。发送OffsetAnsw2消息时，发起方启动定时器Tinit_start。如果Tinit_start终止时，发起方仍未接收到OffsetEst消息，则根据错误处理程序（见第5.4.10节）对该错误进行处理。

如果应答方在Tres_start终止前接收到OffsetAnsw2消息，则应答方对其与发起方之间的时钟进行最大和最小偏移值的估算。

应答方向发起方发送OffsetEst消息。发送OffsetEst消息时，应答方启动定时器Tres_start。如果Tres_start终止时，应答方仍未接收到OffsetEnd消息，则根据错误处理程序（见第5.4.10节）对该错误进行处理。

如果发起方在Tinit_start终止前接收到OffsetEst消息，则发起方对其与应答方分别估算的最大和最小偏移值进行检查。然后，发起方通过OffsetEnd消息将检查结果发送给应答方。如果检查中发现错误，则根据错误处理程序（见第5.4.10节）对该错误进行处理。在接收到OffsetEnd消息后，应答方将对时钟偏移估算的结果进行检查。如果检查中发现错误，则根据错误处理程序（见第5.4.10节）对该错误进行处理。

如果时钟偏移估算值有效，并且消息为某一方向或双向周期传输，则可以选择启动一个TTS周期定时器。此定时器非安全相关，仅用于在早期阶段检测丢失的周期消息。每接收到一个消息时应复位该TTS周期定时器。如果定时器结束时仍未收到消息，则根据错误处理程序（见第5.4.10节）进行处理。时间戳标记和检查

应用层之间传送应用数据的消息结构如下图所示：

应用层之间交换的消息消息类型 TTS 用户数据序列号发送方时上一次收到上一次收到消间戳方时间戳息时的时间戳用户数据字节第1个字节第2个第3个第4个第7个第8个第11个第12个第15个字节字节字节字节字节字节字节字节 SAI帧头图18：应用数据消息

此消息分别包括以下数据域： ? 消息类型：6（十六进制值）； ? 序列号；

? 发送时间戳：定义发送方的时间戳；

上一次接收方时间戳：此域给出接收方上一次传送给发送方的时间戳；

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第27页

CTCS-3级列控系统标准规范

5.4.8.6.3

5.4.8.6.4 5.4.8.6.5

5.4.8.6.6 5.4.8.6.7 5.4.8.6.8 5.4.8.6.9

5.4.8.6.10 5.4.8.6.11

RSSP-II5

? 上一次收到消息时的时间戳：此域给出上一次从对等实体处接收到消息时的时间戳； ?

用户数据：用户数据域。

时间戳原理包括：

将发送方本身的时间戳列入发送时间戳域。

将上一次从接收方处接收的时间戳列入上一次接收方时间戳域。

将发送方上一次从接收方处接收消息时的时间戳列入上一次接收消息时的时间戳域。

发送方所发送的时间戳消息中的―过零点‖，由接收方处理。下图说明了TTS的原理：

子系统A时间戳子系统Bn-2(TTB(r),?)B(r) 表示上次发送的时间戳n-1n子(TA(n),TB(r),TA(n-1))系子统n+1l系时统间n+2(Tl+1时B(l+1),TA(n),TB(l))间n+3(TB(l+2),TA(n),TB(l))l+2n+4(Tl+3B(l+3),TA(n),TB(l))n+5l+4n+6l+5(TA(n+6),TB(l+3),TA(n+5))l+6图例说明：安全信号设备间安全通信接口处理

图19：TTS原理

如果时间戳过程中出错，则根据错误处理程序（见第5.4.10节）对该错误进行处理。时间戳更新程序完成后，时钟偏移的最大值和最小值既已确定，并可用于估算应用数据消息的时间有效性。

发送方应根据发送方时钟、上次从对等实体处接收到的时间戳以及上次从对等实体处接收消息的时间戳，对发送消息进行时间戳标记。

接收方接收到应用数据消息时，应使用接收方估算的最小偏移值以及附加处理延迟的估计值，将消息的发送时间按接收方时钟进行估算。计算表达式如下：

Treceiver=Ttime_stamp_sender - △Textra_delay + Trec_offset_min

消息的时间有效性根据接收方估算的消息发送时间与接收到消息时的时间之间的差值Trec_current - Treceiver）进行判断。

如果根据此差值判断传输数据的时间有效，则表示延迟是可以接受的。时间有效性由Tmax定义。Tmax为双方协定的配置参数。如果消息的延迟不可接受，则拒绝该消息，并根据错误处理程序（见第5.4.10节）对该错误进行处理。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第28页

（CTCS-3级列控系统标准规范

5.4.8.6.12 5.4.8.6.13 5.4.8.6.14 5.4.8.6.15

Tmax参数与对等实体发送数据的最大有效时间相一致。

通过Tmax的值，可以检测到传输时间的增大，以及双方设备之间的正向时钟偏移。差值结果（Trec_current - Treceiver）应为正值。如果为负值，则根据错误处理程序（见第5.4.10节）对该错误进行处理。

时间有效性检查过程如下图所示。

发送方 Tinit Ttime_stamp_sender ΔTextra_delay：可选的附加延迟与Tmax相对应的下边界由于计算rec_offset_min 和 ΔTextra_delay从而造成对 Tinit过度估算接收方 Trec_current Treceiver Treceiver 是根据接收方的时钟所估算的Tinit值： Treceiver = Ttime_stamp_sender – ΔTextra_delay + Trec_offset_min 如果满足下列条件，则该消息有效： 0 <=Trec_current - Treceiver <=Tmax Treceiver 计算结果的时间允许窗口

图例说明： Ttime_stamp_sender：发送方时间戳（TTS中发送方时间戳域）。 Treceiver：根据接收方时钟估算的应用数据的传输时间。 △Textra_delay：发送方子系统处理应用数据的附加延迟的总和。 Trec_offset_min：接收方估算的最小偏移值。 Tmax：最大有效时间。 Trec_current：接收到消息时接收方的当前时间。 Tinit：根据发起方时钟，应用数据的传送时间。图20：时间戳计算

5.4.8.7

时钟偏移更新

时钟偏移应根据设定的时间，定期进行更新。时钟偏移更新程序详见下图所示：

5.4.8.7.1 5.4.8.7.2

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第29页

CTCS-3级列控系统标准规范

子系统A：更新发起方上次从B接收的时间戳：TB(l) 子系统B 来自于B的上一条消息 (TB(l), . . .) Tinit_start 《时钟偏移更新》请求(TA(x), TB(l), TA(t)) 将TA(x)存储为上次从子系统A接收的时间戳更新发起方的时间偏移： 1. TA_offset_max = TA(y) - TB(n) 2. TA_offset_min = TA(x) - TB(m) 《时钟偏移更新》应答 (TB(n), TA(x), TB(m)) 图例说明： - TAX(s)和TB(s)：子系统A和子系统B的时间戳。 - TA_offset_max：子系统A估算的最大偏移值。 - TA_offset_min：子系统A估算的最小偏移值。图21：时钟偏移更新程序

5.4.8.7.3 5.4.8.7.4 5.4.8.7.5 5.4.8.7.6 5.4.8.7.7 5.4.9 5.4.9.1 5.4.9.1.1 5.4.9.1.2 5.4.9.1.3 5.4.9.1.4 5.4.9.1.5

时钟偏移更新消息的结构与应用数据消息（无用户数据域）的结构一致。定时器Tinit_start用于监督执行时钟偏移更新程序所需的时间。

如果执行时钟偏移更新程序所需时间大于Tinit_start值，则表示传送延迟时间很长，不能有效

更新时钟偏移。

如果时钟偏移更新失败，则根据错误处理程序（见第5.4.10节）对该错误进行处理。在接收到时钟偏移更新的应答后，发起方要检查它是否是对偏移更新请求的应答：该消息中的上一次接收方时间戳应等于偏移更新请求消息中的发送方时间戳。 EC防御技术

总体概述

根据EN 50159-2的要求，应用数据消息要防护延迟威胁，EC的安全防御技术即可用于保护消息的时效性。

从对等实体接收到的每一条消息都含有帧头，使用帧头里的EC计数可以实现对延迟威胁的防护。

EC需要具有固定的周期值。

延迟威胁的检测通过对接收到的消息中的EC计数值和本地计算的EC计数期望值进行比较实现。

安全防御技术保障了从上次传输消息开始指定的时间区域内传输消息（如果应用程序没有要求的话，不包含应用程序数据）的有效性，从而将消息传输转换为伪周期模式。这样就可以管理在安全连接另一端的超时数据接收。

EC计数格式

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第30页

5.4.9.2

RSSP-II5

CTCS-3级列控系统标准规范

5.4.9.2.1 5.4.9.2.2 5.4.9.2.3 5.4.9.2.4 5.4.9.2.5 5.4.9.2.6 5.4.9.2.7 5.4.9.3. 5.4.9.3.1 5.4.9.3.2

5.4.9.3.3 5.4.9.3.4 5.4.9.3.5

5.4.9.3.6

RSSP-II5

EC计数使用32位Big Endian编码方式。 EC计数的值从0到4294967295。 EC计数在通信各方向上是独立的。

EC计数的无须初始化。发送方发送第一条消息中的任意EC值接收方都应接受。如果EC计数值未达到最大值，EC计数将每周期递增1。一旦EC计数值达到最大值，下一个EC的计数值应设为0。

在接收方和发送方的子系统中，SN的处理与EC计数的处理是相互独立的。 EC防御技术的初始化过程

两实体间的MASL层建立安全连接后，双方SAI层将通过两条消息交互EC防御技术所需的参数。

初始化过程如下图所示

设备1（发起方）设备2（应答方） Sa-Connect. request AU1 SaPDU AU2 SaPDU S AU3 SaPDU Sa-Connect. A indication 启动TM Syn I Sa-Connect. confirm A AR SaPDU M A S S S Sa-Connect. A Sa-Data. L L response I request DT SaPDU （EC启动消息） Sa-Data. indication 启动TSyn DT SaPDU Sa-Data. （EC启动消息） request 终止TSyn Sa-Data. indication DT SaPDU （第一个应用信息） Sa-Data. indication 终止TSyn DT SaPDU （第一应用信息）

图22： EC初始化过程

两个实体通过AU1，AU2，AU3和AR SsPDU‘s建立安全连接后，连接发起方应发送一条

EC启动消息，其中包括EC计数的初始值和EC周期值。

其对等实体应通过EC启动消息做出应答，其中包括EC计数的初始值和EC周期值。在从远端接收到EC启动消息之后，发起方可以开始发送应用消息，并应使用EC防御技术。应答方在发送EC启动消息之后的下一个周期可以开始发送应用消息，并应使用EC防御技术。

每一个对等实体将使用定时器(Tsyn)，来检测不可接受的初始化延迟：

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第31页

CTCS-3级列控系统标准规范

发起方的SAI：定时器自发送EC启动消息起开始计时，至接收到应答方执行周期开始消息时停止计时；

应答方的SAI：定时器自发送EC启动消息起开始计时，至接收到对方第一个DT SaPDU（包含第一个应用程序消息）时停止计时。

5.4.9.3.7 5.4.9.3.8

如果一个定时器在接收到预期消息前终止，则根据错误处理程序（见第5.4.10节）对该错误进行处理。

EC启动消息的结构由下图说明：

信息类型序列号 TTS：不用 EC计数：初始值用户数据版本 EC 周期值第1个字节第2个字节第4个第3个字节字节第15个第16个字节字节第19个第20个字节字节第23个第24个字节字节第25个字节应用数据传输的SAI帧头图23：EC启动消息

5.4.9.3.9 5.4.9.3.10 5.4.9.4 5.4.9.4.1 5.4.9.4.2 5.4.9.4.3

EC周期值使用2个字节Big Endian编码方式编码，取值范围为0到65535。EC最低有效位时间值等于1毫秒（精度为1毫秒）。版本域将按4个字节Big Endian编码方式编码。版本域被用来验证本地和远程的SAI软件版本的一致性。 EC计数检查过程

一旦EC防御技术初始化过程成功完成，此程序将检查对等实体发送的应用数据是否过时。从远程子系统接收的消息中包含EC计数值。通过对此数值与EC的期望值（用Ex表示）进行比较实现安全防御。

EC安全防御技术的第一步在于确定EC的期望值（Ex）。为了计算Ex，在EC启动消息之后，每一个SAI实体将用以下公式计算本地和远程EC周期的比值R1。

R = 接收方EC周期/发送方EC周期

注：R是一个实数。

5.4.9.4.4

在接收方的每个执行周期都应该更新EC的期望值（Ex），计算公式如下：

下一个 Ex = 当前Ex + R

注：Ex是一个实数2。

5.4.9.4.5

接收方每周期结束时应计算当前状态，而此当前状态仅依赖整形变量Δ，Δ使用以下公式计算：

Δ = (Ex –当前周期收到的最后一条消息的EC计数值) 向下取整

5.4.9.4.6

如果在某个执行周期中没有收到任何消息，接收方应使用前一个周期得到的最后一条消息

比值R也可以作为设备配置参数设为固定值。在设备启动前双方必须对R参数选择为静态设置还是动态设置进行确定并达成一致。 2

R和Ex均为实数，同时EC周期和EC计数均为整数。 RSSP-II5 规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第32页

CTCS-3级列控系统标准规范

中包含的EC值来计算Δ。如果一个周期内收到多条消息，应采用接收到的最后一条消息的EC值进行计算。

5.4.9.4.7

在每一个EC上由接收方SAI应用下图描述的状态转移图。如果Δ大于或等于警报状态（例如下图所描述的状态3），将会触发错误报警，然后进入错误处理程序处理，（详见5.4.10）。在以下的例子里，从对等实体接收到的最后一条消息中的EC计数比Ex有至少3个发送周期延迟。如果Δ大于或者等于警报状态，该周期所有接收的消息将被删除。

当发起方从应答方上接收到EC启动消息，发起方将来自应答方消息中的EC计数初始化Ex，在同一个EC之中，使用5.4.9.4.43的公式进行更新。

当应答方从发起方接收到第一个应用数据消息时，应答方将使用来自发起方消息中的EC计数初始化Ex，在同一个EC中，使用5.4.9.4.44的公式进行更新。

5.4.9.4.8 5.4.9.4.9

T1状态0接收到无滞后数据T10T2T4T8T12T3状态1警告：接收到的最后一条消息的EC值比EC期望值至少滞后一个周期T5T7T11T6状态2警告：接收到的最后一条消息的EC值比EC期望值至少滞后二个周期T9状态3：Alarm报警：接收到的最后一条消息的EC值比EC期望值至少滞后三个周期触发Alarm状态

对转移的描述： ? ? ? ? ? ? ?

T1：接收方“执行周期”结束，Δ小于或者等于0。 T2：接收方“执行周期”结束，Δ等于1。 T3：接收方“执行周期”结束，Δ等于1。

T4：接收方“执行周期”结束，Δ小于或者等于0。 T5：接收方“执行周期”结束，Δ等于2。 T6：接收方“执行周期”结束，Δ等于2。 T7：接收方“执行周期”结束，Δ等于1。

如果在EC启动后的一个周期内收到多条的应用数据消息，最后一条消息中的EC将被用来更新下一个Ex 。如果在一个周期内收到多条的应用数据消息，最后一条消息中的EC将被用来更新下一个Ex。 RSSP-II5 规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第33页

CTCS-3级列控系统标准规范

? ? ? ? ?

T8：接收方“执行周期”结束，Δ小于或者等于0。 T9：接收方“执行周期”结束，Δ大于或者等于3。 T10：接收方“执行周期”结束，Δ等于2。 T11：接收方“执行周期”结束，Δ大于或者等于3。 T12：接收方“执行周期”结束，Δ大于或者等于3。

图24：EC状态机

5.4.9.5 5.4.9.5.1

EC防御技术的后续过程

时钟的长期漂移产生的影响及由EC周期的近似值所引起的错误都可能导致EC周期5十分缓慢的改变（相对于EC启动消息里携带的EC值），也导致R错误（相对于在初始化阶段末期的计算值）。经过一段时间，将会导致接收到： ?

比预期更多的消息，因为发送方子系统比预期的要快（或者接收方子系统比预期的要

慢：结果一样）：这将导致长时间滞留在―伪状态 -1‖，接着又处于―伪状态 -2‖等等，（所有这些伪状态被归入状态0，因为到达的数据是新的）。处于这种状态下时，基本的EC计数检查程序不能及时发现真正的延迟。

比预期更少的消息，就算没有消息延迟，因为发送方子系统比预期的要慢（或者接收方子系统比预期的要快：结果一样）：这将导致状态机长时间滞留在状态1，接着在状态2等等，直到达到报警状态。

5.4.9.5.2 为了纠正以上所描述的影响，SAI应采取如下措施：

如果Δ小于或者等于一个（负）值（配置参数），也就是说接收到比预期（当一个实体从对等实体接收到EC启动消息后，当前周期中只期望接收到该“预期”消息）更多的消息，期望EC计数值（Ex）使用包含在从等实体接收到的最新的消息里的EC来更新：

下一个Ex = （从当前周期中接收到的最新EC值）+R

如果状态机长时间（时间值是一个配置参数）保持在同一状态（不同于状态0），就通过减小Ex，强制返回上一级状态（1→0，2→1）。在这种情况下，将执行传输延迟检测程序6。

5.4.9.6 5.4.9.6.1

用于检测传输延迟的过程

因为长时间保持在同一状态下可能由传输链7中出现的其它问题引起，例如缓慢增长的延迟，不仅是由于R的近似值引起，在5.4.9.5中定义的纠正措施可能掩盖这些真实的延迟：将提供进一步的机制来检测它们。

发起方子系统和应答方子系统想要检测出可能的传输延迟，需要向对等实体发送―带有ACK请求的应用消息‖，该消息与正常的应用消息格式一样，只是消息类型不同（0×87代替了0×86）。注：这是一个包含正常用户数据的ApPDU，这条消息将被发送到对等实体8。 ―带有ACK请求的应用程序消息‖接收到后，子系统将在下一个周期中发送―带有ACK的应用程序消息‖以应答对等实体，该消息与正常的应用消息格式一样，只是消息类型不同（0×88）。注：这是一个包含正常用户数据的ApPDU，这条消息将被发送到对等实体9。为了进一步的检测不可接受的传输延迟，在发送―带有ACK请求的应用程序消息‖的子系统中使用定时器Tsyn，在发送―带有ACK请求的应用程序消息‖时定时器开启，从对等实体

5.4.9.6.2

5.4.9.6.3

5.4.9.6.4

时钟源的永久误差（时钟精度）一般为几十个ppm。

本程序可以在强制返回上一级状态之前或者之后被立即执行,这个选项是一个本地行为。 7

在本文件中, 用“传输链”有意指在两个安全对等实体间所有的传输设备和网络单元。 8

应用程序消息流和处理不受此机制影响。 9

应用程序消息流和处理不受此机制影响。 RSSP-II5 规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第34页

CTCS-3级列控系统标准规范

5.4.9.6.5 5.4.9.6.6

5.4.10

5.4.10.1.1

5.4.10.1.2 5.4.10.1.3 5.4.10.1.4 5.4.10.1.5 5.4.10.1.6

RSSP-II5

接收到―带有ACK的应用程序消息‖时定时器停止。

如果定时器在接收到预期消息前终止，将使用错误处理程序处理该错误（详见5.4.10）。延迟检测过程和EC安全防御技术（初始延迟检测）初始化过程中的延迟检测过程是一样的，只是用应用消息代替EC启动消息。下图描述这个过程（仅显示一个请求实体）。

实体1 实体2 S消消A 息息SI 鉴鉴A 启动定Tsyn DT SaPDU 定I Sa-Data. Request 安（带有ACK请求安全的应用消息）全Sa-Data. Indication 层层 DT SaPDU （带有ACK的 Sa-Data. 应用消息） Request 终止 Tsyn Sa-Data. Indication 图25：检测网络延迟的过程

错误处理

下列错误应被考虑： ? 连接建立期间的错误； ? 序列号错误；

? 与可选TTS周期定时器相关的错误； ? 与时钟偏移更新过程相关的错误； ? 传输延迟； ?

延迟的消息。

除了序列错误的消息，其他错误消息中包含的应用数据应被删除（参考5.4.7.2）。发生在SAI初始化过程中的所有错误（见时钟偏移更新过程和EC防御技术的初始化过程）

将导致安全连接的释放。

对于序列错误，与可选的TTS周期定时器有关的错误，以及与时钟偏移更新程序、传输延迟、延迟消息有关的错误，在达到一个可配置的连续的错误数(Tsucc_er)之后将释放安全连接。如果时钟偏移更新过程或者传输延迟的检测过程失败，将启用一个独立的错误计数器并立即重复该过程。

在EC技术中，如果Δ值达到报警状态，连接将被释放。

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第35页

CTCS-3级列控系统标准规范

5.4.10.1.7

注：在何处进行错误处理（例如，应用程序，SAI，错误处理者）取决于具体实现。SAI对需要在其外部进行的错误处理给出错误指示。数据配置及规则

5.5 5.5.1

简介

本节为建立连接提供规则并为确定SFM参数提供指导。

5.5.1.1.1 5.5.2 5.5.2.1

连接初始化规则

概述

为在两个轨旁设备之间建立连接，必须定义一些规则以准确确定哪个设备启动连接。在同一网络中不同类型的轨旁设备需要定义不同轨旁设备间启动连接的优先规则。每个轨旁设备应知道与其建立通信的其他轨旁设备的CTCS-ID类型和CTCS-ID。连接初始化规则

网络的每个设备拥有两个表 ? ?

被动连接表；主动连接表。

5.5.2.1.1 5.5.2.1.2 5.5.2.1.3 5.5.2.2

5.5.2.2.1

5.5.2.2.2 5.5.2.2.3 5.5.2.2.4 5.5.2.2.5 5.5.2.2.6 5.5.2.2.7 5.5.3 5.5.3.1

被动连接表包含本设备等待连接请求的远程设备的CTCS-ID。任何被动连接表之外的远程实体的连接请求应被拒绝。

主动连接表包含本设备必须对其发起连接请求的远程设备的CTCS-ID。在启动过程中或连接丢失后，设备开始试图连接主动连接表中所列的其他设备。如果在轨旁设备初始化期间没有同主动连接表中所包含的设备建立连接，设备将周期性的尝试连接到对等设备。

一般情况下，可以通过以下规则确定主动和被动连接：连接通常由后启动的设备发起。

TTS参数定义

Tmax值

Tmax值为系统参数值，是两个轨旁设备之间传送应用数据的最大有效时间。此参数取决于以下所举因素： ? ? ? ?

线路布置；性能要求；设备实现；系统规则。

5.5.3.1.1 5.5.3.1.2

5.5.3.2 ?Textra_delay

?Textra_delay参数可以用来考虑从应用数据生成到在SAI层形成消息时间戳之间的时间。此参数的默认值为―0‖。 Tinit_start和Tres_start

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第36页

5.5.3.2.1 5.5.3.2.2 5.5.3.3

RSSP-II5

CTCS-3级列控系统标准规范

5.5.3.3.1 5.5.3.3.2

这些定时器的值应等于应答请求所允许的最大时间。

确定定时器值的一种方法就是使用以下规则：（余量以%表示）

时间值 =（1 + 余量/100）*（2*最大传输时间+设备读取请求与应答传输之间的最大时间）注：传输时间应考虑： ? ? ?

5.5.3.4

最大网络传输时间；

形成消息时间戳与网络上发送该消息之间的时间；接收方请求用来读取消息的时间。

Toff_max

该定时器的值应等于两设备间可接受的最大传输时间。注：传输时间应考虑： ? ? ?

最大网络传输时间；

形成消息时间戳与网络上发送该消息之间的时间；接收方请求用来读取消息的时间。

5.5.3.4.1

5.5.3.5 可选TTS周期定时器

周期消息可选定时器值可使用以下规则估算：

可选TTS周期定时器 = 对等设备周期 + 最大允许传输时间注意：传输时间应考虑： ? ? ?

最大网络传输时间；

形成消息时间戳与网络上发送该消息之间的时间；接收方请求用来读取消息的时间。

5.5.3.5.1

5.5.3.6 时钟偏移更新周期

时钟偏移更新用于防止时钟固有的偏移。对每次更新，假设时间精度参数为： pr%。

对于一个系统，可定义的最大时钟偏移容量：假设为 X sec。时钟偏移更新周期可应用以下公式计算：（余量为Y%）：

周期（sec）=（100 * X sec/Pr）/（1+Y/100）

5.5.3.6.1 5.5.3.6.2 5.5.3.6.3 5.5.3.6.4

5.5.3.6.5 5.5.4 5.5.4.1

例如：Pr=0.1，Y=100%且X=0.5sec→周期=250sec

EC参数定义

Tsyn

该定时器值应等于应答请求所允许的最大时间。

确定该定时器值的一种方法就是使用以下规则：（余量以%表示）：

时间值 =（1 + 余量/100）*（2*最大传输时间+设备读取请求与应答传输之间的最大时间）注：传输时间应考虑：

5.5.4.1.1 5.5.4.1.2

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第37页

CTCS-3级列控系统标准规范

? ? ?

5.5.4.2 5.5.4.2.1 5.5.4.2.2

最大网络传输时间；

形成消息时间戳与网络上发送该消息之间的时间；接收方请求用来读取和处理消息并产生所需响应的时间。

报警状态

―报警状态‖值是一个系统参数。该参数衡量在两个轨旁设备之间传输的应用数据的最大有效时间。

该参数取决于以下所举因素： ? ? ? ?

线路布置；性能要求；设备实现；系统规则。

5.5.4.3 版本

目前只定义一个版本值：01（十六进制）。传输延迟检测过程

传输延迟检测过程应周期性重复。

使用与定义可选TTS周期定时器类似的方法确定此周期。

5.5.4.3.1 5.5.4.4

5.5.4.4.1 5.5.4.4.2 5.5.5 5.5.5.1

错误处理指导

参数N

如果不允许消息丢失，则N设置为1。

对于特定项目和每一个连接都需要制定一个N值。

如果要连接参数N不相同的安全设备，对于两个设备的连接应使用限制更严格的N值。

参数Tsucc_er

如果D类服务在ALE层中使用并在至少是两个独立的物理链路上实现，则应用独立的路由向对等SAI发送两次应用数据。因为在这种情况下，在两个物理链路上的较大干扰导致SAI层的错误，推荐在首次错误发生时释放连接：Tsucc_er = 1。

在其他配置中（A类服务与D类服务在一个物理链路上），应用数据仅在一个物理链路上的两个实体之间交换。因为在这种情况下，在这个链路上的一个干扰将导致接收SAI时出现错误，推荐在两次连续的错误之后释放连接：Tsucc_er = 2。如果使用高可用性的网络，则Tsucc_er值可设置为―1‖。

TTS示例

TTS技术如下图所示：

所有数值以时间戳格式表示（单位10 msec）。传输时间的容错窗口：0到50之间。时钟之间的真正偏移：850（8.5 sec）。当A的时钟等于850时，B的时钟等于0。 5.5.5.1.1 5.5.5.1.2 5.5.5.1.3 5.5.5.2 5.5.5.2.1

5.5.5.2.2

5.6 5.6.1.1.1

RSSP-II5

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第38页

CTCS-3级列控系统标准规范

RSSP-II5 A的周期 = 50 = >消息输入及产生应答的时间在50到100之间。 B的周期 = 30 = >消息输入及产生应答的时间在30到60之间 A：发起方 B：应答方 Tinit1 = 1200 OffsetStart：21 Tres1 = 371 Proc = 36 Tinit2 = 1270 OffsetAnsw1: 13 Tres2 = 407 发起方偏移计算： 1. Tinit_offset_max = 863 2. Tinit_offset_min = 829 3. 停止Tinit_start Tinit3 = 1300 OffsetAnsw2: 24 Tres3 = 474 应答方偏移计算： 1. Tres_offset_max = -826 2. Tres_offset_min = -863 3. 停止Tres_start Tinit4 = OffsetEst Tres4 Tres_check 偏移估算比较：如果： 1. |863+(-863)|= 0 2. |829+(-826)|= 3<50 则时钟偏移估算正常 TOffsetEnd init5 Tres5 可选的周期消息定可选的周期时器消息定时器图26：时钟偏移更新过程举例

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）

第39页

CTCS-3级列控系统标准规范

RSSP-II5 将系统A作为接收方：

有效时间（Tmax） = 300. Δtextra_delay = 0 Tinit = 4863 发送方 = 设备B 传输时间 = 43 接收方 = 设备A Trec_current = 4863 + 850 + 43 + 32 = 5788 Treceiver = 4863-0+829 = 5692 0<= 5788 – 5692 <= 300 0 <= 96 <= 300 考虑消息的余量将设备B作为接收方：有效时间（Tmax）= 300. Δtextra_delay = 0 Tinit = 12250 发送方 = 设备A

传输时间 = 48 发送方

= 设备B Trec_current = 12250-850+48+

25=11473 Treceiver = 12250–0+(-863)=11387 0<= 11473-11387<=300 0<=86<=300

图27：时间戳程序及检查举例

规范名称：铁路安全通信协议-Ⅱ（RSSP-Ⅱ）第40页

本文来源：https://www.bwwdw.com/article/ao5g.html

相关文章：

正在阅读：

RSSP-II 铁路信号安全协议 word版05-07

电阻焊焊接原理简介03-28

最新毛泽东军事思想上课用 - 图文12-20

孕妇生活上应留心的几个地方12-21

新审计准则体系与风险导向审计思想上05-24

上一篇：财务管理练习题及课后答案下一篇：2012CFA一级总结(会计部分)