鐵路信號(hào)產(chǎn)品接口風(fēng)險(xiǎn)分析方法研究

王非　劉斌　張大鵬

摘 要：鐵路信號(hào)產(chǎn)品通常由多個(gè)安全相關(guān)子系統(tǒng)構(gòu)成，各個(gè)安全相關(guān)子系統(tǒng)又由安全相關(guān)子模塊構(gòu)成，系統(tǒng)內(nèi)外均存在非安全相關(guān)子系統(tǒng)，因此，安全系統(tǒng)與外圍系統(tǒng)，系統(tǒng)內(nèi)部各模塊之間構(gòu)成了信息交互網(wǎng)絡(luò)，接口風(fēng)險(xiǎn)分析方法就是用于研究、分析各內(nèi)外接口之間存在哪些影響安全的風(fēng)險(xiǎn)，并給出如何防護(hù)這些風(fēng)險(xiǎn)的安全防護(hù)措施。本文將以安全級(jí)鐵路信號(hào)產(chǎn)品模型為例，研究如何做接口風(fēng)險(xiǎn)分析，并對(duì)接口分類討論，分別給出適用于各類接口的安全防護(hù)措施。

關(guān)鍵詞：鐵路信號(hào) 接口 風(fēng)險(xiǎn)分析方法 IHA

中圖分類號(hào)：U284 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）06（b）-0021-02

1 接口識(shí)別

在做接口風(fēng)險(xiǎn)分析之前，需要先研究系統(tǒng)的運(yùn)營(yíng)環(huán)境、識(shí)別系統(tǒng)邊界，系統(tǒng)與外部設(shè)備接口的類別及數(shù)量。其次，需要分析系統(tǒng)架構(gòu)，即分析系統(tǒng)內(nèi)部各模塊的構(gòu)成及結(jié)構(gòu)關(guān)系，識(shí)別系統(tǒng)內(nèi)部接口，了解內(nèi)部接口的類別及數(shù)量。

舉例說(shuō)明，如圖1所示，安全相關(guān)系統(tǒng)外部有四個(gè)系統(tǒng)，分別為“外部設(shè)備1～4”，與這四個(gè)設(shè)備的接口均為外部接口；安全相關(guān)系統(tǒng)由兩個(gè)安全相關(guān)子系統(tǒng)構(gòu)成，分別為“安全相關(guān)子系統(tǒng)1”和“安全相關(guān)子系統(tǒng)2”，這類接口稱為內(nèi)部接口。即，本文的分析對(duì)象共有4個(gè)外部接口，2個(gè)內(nèi)部接口。

以安全相關(guān)系統(tǒng)中，安全相關(guān)子系統(tǒng)2為例，其架構(gòu)為兩個(gè)CPU、一個(gè)雙口RAM，一個(gè)外部接口模塊構(gòu)成，如圖2所示：CPU1和CPU2同時(shí)接收來(lái)自安全相關(guān)子系統(tǒng)1的通信數(shù)據(jù)（該接口為內(nèi)部接口1，通信接口），CPU1和CPU2通過(guò)雙口RAM進(jìn)行數(shù)據(jù)交互，兩個(gè)CPU將邏輯處理結(jié)果通過(guò)內(nèi)部接口3發(fā)送給外部接口模塊，外部接口模塊將處理后的信號(hào)通過(guò)外部接口2發(fā)送外部設(shè)備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數(shù)字量接口、數(shù)據(jù)配置接口、人機(jī)接口。為了具體說(shuō)明接口風(fēng)險(xiǎn)分析方法繼續(xù)上一章節(jié)舉例，做如下假設(shè)。（見(jiàn)表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來(lái)于接口的數(shù)據(jù)是一系列有規(guī)律的bit流，需要用協(xié)議來(lái)規(guī)定其規(guī)律性。

通信接口功能主要失效模式：接口數(shù)據(jù)錯(cuò)誤；接口數(shù)據(jù)非法；接口數(shù)據(jù)順序錯(cuò)誤；接口數(shù)據(jù)重復(fù)；接口數(shù)據(jù)被刪除；接口通信中斷。

失效原因：數(shù)據(jù)源發(fā)出的數(shù)據(jù)錯(cuò)誤；數(shù)據(jù)在傳輸過(guò)程中由于干擾或串?dāng)_等而發(fā)生破壞；傳輸系統(tǒng)過(guò)載；物理鏈路損壞。

（2）數(shù)字量接口：數(shù)字量接口通常只有2種狀態(tài)：0、1。例如繼電器接口。

數(shù)字量接口功能主要失效模式：0錯(cuò)誤獲取或發(fā)送為1；1錯(cuò)誤獲取或發(fā)送為0；不能獲取或發(fā)送數(shù)字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數(shù)據(jù)配置接口：外部設(shè)備將系統(tǒng)所使用的數(shù)據(jù)下載到系統(tǒng)中某個(gè)存儲(chǔ)空間，供系統(tǒng)正常運(yùn)行時(shí)讀取使用。

配置數(shù)據(jù)接口功能主要失效模式：配置的數(shù)據(jù)錯(cuò)誤；系統(tǒng)讀取配置數(shù)據(jù)時(shí)出錯(cuò)。

失效原因：提供的數(shù)據(jù)錯(cuò)誤；數(shù)據(jù)配置工具失效；人員操作錯(cuò)誤；存儲(chǔ)配置數(shù)據(jù)的硬件故障；系統(tǒng)軟件錯(cuò)誤；傳輸出錯(cuò)。

（4）人機(jī)接口：顯示及操作設(shè)備與安全相關(guān)系統(tǒng)之間的接口。

人機(jī)接口功能主要失效模式：人機(jī)接口輸入數(shù)據(jù)錯(cuò)誤；通信中斷。

失效原因：人員操作錯(cuò)誤；傳輸錯(cuò)誤；通信鏈路損壞。

3 安全防護(hù)措施

對(duì)于不同類型的接口，其使用的安全防護(hù)措施是不同的，下面將按照接口分類，詳細(xì)闡述適用于各類接口的安全防護(hù)措施：

（1）通信接口。

通信接口主要防護(hù)措施可以參照EN50159的防護(hù)措施來(lái)提出（見(jiàn)表2）。

（2）數(shù)字量接口安全防護(hù)措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側(cè)的數(shù)字量狀態(tài)作為故障狀態(tài)時(shí)的輸出。即故障導(dǎo)向安全設(shè)計(jì)。

②狀態(tài)回采并表決。

（3）人機(jī)接口安全防護(hù)措施。

①接收非安全設(shè)備發(fā)送的數(shù)據(jù)時(shí)，應(yīng)按照EN50159中規(guī)定的方法采取防護(hù)措施，參見(jiàn)“通信接口安全防護(hù)措施”。

②數(shù)據(jù)錄入時(shí)盡量使用選擇數(shù)據(jù)的方式，以減少人為出錯(cuò)的概率。

（4）數(shù)據(jù)配置接口安全防護(hù)措施。

配置數(shù)據(jù)應(yīng)設(shè)置校核字段，安全相關(guān)系統(tǒng)在使用配置數(shù)據(jù)時(shí)，應(yīng)保證數(shù)據(jù)校核成功。當(dāng)數(shù)據(jù)校核異常時(shí)，應(yīng)使系統(tǒng)導(dǎo)向安全側(cè)。

4 結(jié)語(yǔ)

在對(duì)安全相關(guān)系統(tǒng)進(jìn)行接口風(fēng)險(xiǎn)分析時(shí)，應(yīng)根據(jù)具體情況盡量全面的評(píng)估存在的風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)特征和系統(tǒng)固有的設(shè)計(jì)來(lái)提出適用的安全防護(hù)措施。本文列舉出的安全防護(hù)措施僅供參考。endprint

摘 要：鐵路信號(hào)產(chǎn)品通常由多個(gè)安全相關(guān)子系統(tǒng)構(gòu)成，各個(gè)安全相關(guān)子系統(tǒng)又由安全相關(guān)子模塊構(gòu)成，系統(tǒng)內(nèi)外均存在非安全相關(guān)子系統(tǒng)，因此，安全系統(tǒng)與外圍系統(tǒng)，系統(tǒng)內(nèi)部各模塊之間構(gòu)成了信息交互網(wǎng)絡(luò)，接口風(fēng)險(xiǎn)分析方法就是用于研究、分析各內(nèi)外接口之間存在哪些影響安全的風(fēng)險(xiǎn)，并給出如何防護(hù)這些風(fēng)險(xiǎn)的安全防護(hù)措施。本文將以安全級(jí)鐵路信號(hào)產(chǎn)品模型為例，研究如何做接口風(fēng)險(xiǎn)分析，并對(duì)接口分類討論，分別給出適用于各類接口的安全防護(hù)措施。

關(guān)鍵詞：鐵路信號(hào) 接口 風(fēng)險(xiǎn)分析方法 IHA

中圖分類號(hào)：U284 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）06（b）-0021-02

1 接口識(shí)別

在做接口風(fēng)險(xiǎn)分析之前，需要先研究系統(tǒng)的運(yùn)營(yíng)環(huán)境、識(shí)別系統(tǒng)邊界，系統(tǒng)與外部設(shè)備接口的類別及數(shù)量。其次，需要分析系統(tǒng)架構(gòu)，即分析系統(tǒng)內(nèi)部各模塊的構(gòu)成及結(jié)構(gòu)關(guān)系，識(shí)別系統(tǒng)內(nèi)部接口，了解內(nèi)部接口的類別及數(shù)量。

舉例說(shuō)明，如圖1所示，安全相關(guān)系統(tǒng)外部有四個(gè)系統(tǒng)，分別為“外部設(shè)備1～4”，與這四個(gè)設(shè)備的接口均為外部接口；安全相關(guān)系統(tǒng)由兩個(gè)安全相關(guān)子系統(tǒng)構(gòu)成，分別為“安全相關(guān)子系統(tǒng)1”和“安全相關(guān)子系統(tǒng)2”，這類接口稱為內(nèi)部接口。即，本文的分析對(duì)象共有4個(gè)外部接口，2個(gè)內(nèi)部接口。

以安全相關(guān)系統(tǒng)中，安全相關(guān)子系統(tǒng)2為例，其架構(gòu)為兩個(gè)CPU、一個(gè)雙口RAM，一個(gè)外部接口模塊構(gòu)成，如圖2所示：CPU1和CPU2同時(shí)接收來(lái)自安全相關(guān)子系統(tǒng)1的通信數(shù)據(jù)（該接口為內(nèi)部接口1，通信接口），CPU1和CPU2通過(guò)雙口RAM進(jìn)行數(shù)據(jù)交互，兩個(gè)CPU將邏輯處理結(jié)果通過(guò)內(nèi)部接口3發(fā)送給外部接口模塊，外部接口模塊將處理后的信號(hào)通過(guò)外部接口2發(fā)送外部設(shè)備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數(shù)字量接口、數(shù)據(jù)配置接口、人機(jī)接口。為了具體說(shuō)明接口風(fēng)險(xiǎn)分析方法繼續(xù)上一章節(jié)舉例，做如下假設(shè)。（見(jiàn)表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來(lái)于接口的數(shù)據(jù)是一系列有規(guī)律的bit流，需要用協(xié)議來(lái)規(guī)定其規(guī)律性。

通信接口功能主要失效模式：接口數(shù)據(jù)錯(cuò)誤；接口數(shù)據(jù)非法；接口數(shù)據(jù)順序錯(cuò)誤；接口數(shù)據(jù)重復(fù)；接口數(shù)據(jù)被刪除；接口通信中斷。

失效原因：數(shù)據(jù)源發(fā)出的數(shù)據(jù)錯(cuò)誤；數(shù)據(jù)在傳輸過(guò)程中由于干擾或串?dāng)_等而發(fā)生破壞；傳輸系統(tǒng)過(guò)載；物理鏈路損壞。

（2）數(shù)字量接口：數(shù)字量接口通常只有2種狀態(tài)：0、1。例如繼電器接口。

數(shù)字量接口功能主要失效模式：0錯(cuò)誤獲取或發(fā)送為1；1錯(cuò)誤獲取或發(fā)送為0；不能獲取或發(fā)送數(shù)字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數(shù)據(jù)配置接口：外部設(shè)備將系統(tǒng)所使用的數(shù)據(jù)下載到系統(tǒng)中某個(gè)存儲(chǔ)空間，供系統(tǒng)正常運(yùn)行時(shí)讀取使用。

配置數(shù)據(jù)接口功能主要失效模式：配置的數(shù)據(jù)錯(cuò)誤；系統(tǒng)讀取配置數(shù)據(jù)時(shí)出錯(cuò)。

失效原因：提供的數(shù)據(jù)錯(cuò)誤；數(shù)據(jù)配置工具失效；人員操作錯(cuò)誤；存儲(chǔ)配置數(shù)據(jù)的硬件故障；系統(tǒng)軟件錯(cuò)誤；傳輸出錯(cuò)。

（4）人機(jī)接口：顯示及操作設(shè)備與安全相關(guān)系統(tǒng)之間的接口。

人機(jī)接口功能主要失效模式：人機(jī)接口輸入數(shù)據(jù)錯(cuò)誤；通信中斷。

失效原因：人員操作錯(cuò)誤；傳輸錯(cuò)誤；通信鏈路損壞。

3 安全防護(hù)措施

對(duì)于不同類型的接口，其使用的安全防護(hù)措施是不同的，下面將按照接口分類，詳細(xì)闡述適用于各類接口的安全防護(hù)措施：

（1）通信接口。

通信接口主要防護(hù)措施可以參照EN50159的防護(hù)措施來(lái)提出（見(jiàn)表2）。

（2）數(shù)字量接口安全防護(hù)措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側(cè)的數(shù)字量狀態(tài)作為故障狀態(tài)時(shí)的輸出。即故障導(dǎo)向安全設(shè)計(jì)。

②狀態(tài)回采并表決。

（3）人機(jī)接口安全防護(hù)措施。

①接收非安全設(shè)備發(fā)送的數(shù)據(jù)時(shí)，應(yīng)按照EN50159中規(guī)定的方法采取防護(hù)措施，參見(jiàn)“通信接口安全防護(hù)措施”。

②數(shù)據(jù)錄入時(shí)盡量使用選擇數(shù)據(jù)的方式，以減少人為出錯(cuò)的概率。

（4）數(shù)據(jù)配置接口安全防護(hù)措施。

配置數(shù)據(jù)應(yīng)設(shè)置校核字段，安全相關(guān)系統(tǒng)在使用配置數(shù)據(jù)時(shí)，應(yīng)保證數(shù)據(jù)校核成功。當(dāng)數(shù)據(jù)校核異常時(shí)，應(yīng)使系統(tǒng)導(dǎo)向安全側(cè)。

4 結(jié)語(yǔ)

在對(duì)安全相關(guān)系統(tǒng)進(jìn)行接口風(fēng)險(xiǎn)分析時(shí)，應(yīng)根據(jù)具體情況盡量全面的評(píng)估存在的風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)特征和系統(tǒng)固有的設(shè)計(jì)來(lái)提出適用的安全防護(hù)措施。本文列舉出的安全防護(hù)措施僅供參考。endprint

摘 要：鐵路信號(hào)產(chǎn)品通常由多個(gè)安全相關(guān)子系統(tǒng)構(gòu)成，各個(gè)安全相關(guān)子系統(tǒng)又由安全相關(guān)子模塊構(gòu)成，系統(tǒng)內(nèi)外均存在非安全相關(guān)子系統(tǒng)，因此，安全系統(tǒng)與外圍系統(tǒng)，系統(tǒng)內(nèi)部各模塊之間構(gòu)成了信息交互網(wǎng)絡(luò)，接口風(fēng)險(xiǎn)分析方法就是用于研究、分析各內(nèi)外接口之間存在哪些影響安全的風(fēng)險(xiǎn)，并給出如何防護(hù)這些風(fēng)險(xiǎn)的安全防護(hù)措施。本文將以安全級(jí)鐵路信號(hào)產(chǎn)品模型為例，研究如何做接口風(fēng)險(xiǎn)分析，并對(duì)接口分類討論，分別給出適用于各類接口的安全防護(hù)措施。

關(guān)鍵詞：鐵路信號(hào) 接口 風(fēng)險(xiǎn)分析方法 IHA

中圖分類號(hào)：U284 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）06（b）-0021-02

1 接口識(shí)別

在做接口風(fēng)險(xiǎn)分析之前，需要先研究系統(tǒng)的運(yùn)營(yíng)環(huán)境、識(shí)別系統(tǒng)邊界，系統(tǒng)與外部設(shè)備接口的類別及數(shù)量。其次，需要分析系統(tǒng)架構(gòu)，即分析系統(tǒng)內(nèi)部各模塊的構(gòu)成及結(jié)構(gòu)關(guān)系，識(shí)別系統(tǒng)內(nèi)部接口，了解內(nèi)部接口的類別及數(shù)量。

舉例說(shuō)明，如圖1所示，安全相關(guān)系統(tǒng)外部有四個(gè)系統(tǒng)，分別為“外部設(shè)備1～4”，與這四個(gè)設(shè)備的接口均為外部接口；安全相關(guān)系統(tǒng)由兩個(gè)安全相關(guān)子系統(tǒng)構(gòu)成，分別為“安全相關(guān)子系統(tǒng)1”和“安全相關(guān)子系統(tǒng)2”，這類接口稱為內(nèi)部接口。即，本文的分析對(duì)象共有4個(gè)外部接口，2個(gè)內(nèi)部接口。

以安全相關(guān)系統(tǒng)中，安全相關(guān)子系統(tǒng)2為例，其架構(gòu)為兩個(gè)CPU、一個(gè)雙口RAM，一個(gè)外部接口模塊構(gòu)成，如圖2所示：CPU1和CPU2同時(shí)接收來(lái)自安全相關(guān)子系統(tǒng)1的通信數(shù)據(jù)（該接口為內(nèi)部接口1，通信接口），CPU1和CPU2通過(guò)雙口RAM進(jìn)行數(shù)據(jù)交互，兩個(gè)CPU將邏輯處理結(jié)果通過(guò)內(nèi)部接口3發(fā)送給外部接口模塊，外部接口模塊將處理后的信號(hào)通過(guò)外部接口2發(fā)送外部設(shè)備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數(shù)字量接口、數(shù)據(jù)配置接口、人機(jī)接口。為了具體說(shuō)明接口風(fēng)險(xiǎn)分析方法繼續(xù)上一章節(jié)舉例，做如下假設(shè)。（見(jiàn)表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來(lái)于接口的數(shù)據(jù)是一系列有規(guī)律的bit流，需要用協(xié)議來(lái)規(guī)定其規(guī)律性。

通信接口功能主要失效模式：接口數(shù)據(jù)錯(cuò)誤；接口數(shù)據(jù)非法；接口數(shù)據(jù)順序錯(cuò)誤；接口數(shù)據(jù)重復(fù)；接口數(shù)據(jù)被刪除；接口通信中斷。

失效原因：數(shù)據(jù)源發(fā)出的數(shù)據(jù)錯(cuò)誤；數(shù)據(jù)在傳輸過(guò)程中由于干擾或串?dāng)_等而發(fā)生破壞；傳輸系統(tǒng)過(guò)載；物理鏈路損壞。

（2）數(shù)字量接口：數(shù)字量接口通常只有2種狀態(tài)：0、1。例如繼電器接口。

數(shù)字量接口功能主要失效模式：0錯(cuò)誤獲取或發(fā)送為1；1錯(cuò)誤獲取或發(fā)送為0；不能獲取或發(fā)送數(shù)字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數(shù)據(jù)配置接口：外部設(shè)備將系統(tǒng)所使用的數(shù)據(jù)下載到系統(tǒng)中某個(gè)存儲(chǔ)空間，供系統(tǒng)正常運(yùn)行時(shí)讀取使用。

配置數(shù)據(jù)接口功能主要失效模式：配置的數(shù)據(jù)錯(cuò)誤；系統(tǒng)讀取配置數(shù)據(jù)時(shí)出錯(cuò)。

失效原因：提供的數(shù)據(jù)錯(cuò)誤；數(shù)據(jù)配置工具失效；人員操作錯(cuò)誤；存儲(chǔ)配置數(shù)據(jù)的硬件故障；系統(tǒng)軟件錯(cuò)誤；傳輸出錯(cuò)。

（4）人機(jī)接口：顯示及操作設(shè)備與安全相關(guān)系統(tǒng)之間的接口。

人機(jī)接口功能主要失效模式：人機(jī)接口輸入數(shù)據(jù)錯(cuò)誤；通信中斷。

失效原因：人員操作錯(cuò)誤；傳輸錯(cuò)誤；通信鏈路損壞。

3 安全防護(hù)措施

對(duì)于不同類型的接口，其使用的安全防護(hù)措施是不同的，下面將按照接口分類，詳細(xì)闡述適用于各類接口的安全防護(hù)措施：

（1）通信接口。

通信接口主要防護(hù)措施可以參照EN50159的防護(hù)措施來(lái)提出（見(jiàn)表2）。

（2）數(shù)字量接口安全防護(hù)措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側(cè)的數(shù)字量狀態(tài)作為故障狀態(tài)時(shí)的輸出。即故障導(dǎo)向安全設(shè)計(jì)。

②狀態(tài)回采并表決。

（3）人機(jī)接口安全防護(hù)措施。

①接收非安全設(shè)備發(fā)送的數(shù)據(jù)時(shí)，應(yīng)按照EN50159中規(guī)定的方法采取防護(hù)措施，參見(jiàn)“通信接口安全防護(hù)措施”。

②數(shù)據(jù)錄入時(shí)盡量使用選擇數(shù)據(jù)的方式，以減少人為出錯(cuò)的概率。

（4）數(shù)據(jù)配置接口安全防護(hù)措施。

配置數(shù)據(jù)應(yīng)設(shè)置校核字段，安全相關(guān)系統(tǒng)在使用配置數(shù)據(jù)時(shí)，應(yīng)保證數(shù)據(jù)校核成功。當(dāng)數(shù)據(jù)校核異常時(shí)，應(yīng)使系統(tǒng)導(dǎo)向安全側(cè)。

4 結(jié)語(yǔ)

在對(duì)安全相關(guān)系統(tǒng)進(jìn)行接口風(fēng)險(xiǎn)分析時(shí)，應(yīng)根據(jù)具體情況盡量全面的評(píng)估存在的風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)特征和系統(tǒng)固有的設(shè)計(jì)來(lái)提出適用的安全防護(hù)措施。本文列舉出的安全防護(hù)措施僅供參考。endprint