計(jì)算機(jī)聯(lián)鎖工程軟件安全生產(chǎn)優(yōu)化方案

劉鵬， 楊璘， 孫翼， 宋小莉

（1.中國鐵道科學(xué)研究院集團(tuán)有限公司通信信號(hào)研究所，北京100081；2.中鐵檢驗(yàn)認(rèn)證中心有限公司，北京100081）

0 引言

計(jì)算機(jī)聯(lián)鎖在鐵路車站應(yīng)用廣泛，特別是在高速鐵路信號(hào)系統(tǒng)中，由于高速鐵路列車運(yùn)行速度高、運(yùn)行間隔小、正點(diǎn)率要求高，為提高高鐵系統(tǒng)的安全與效率，必須配有計(jì)算機(jī)聯(lián)鎖系統(tǒng)［1］。計(jì)算機(jī)聯(lián)鎖系統(tǒng)對(duì)可靠性和安全性2方面都有極高要求，特別是在安全性方面，要求達(dá)到最高的安全完整性等級(jí)［2］。聯(lián)鎖軟件主要負(fù)責(zé)聯(lián)鎖邏輯運(yùn)算，是計(jì)算機(jī)聯(lián)鎖系統(tǒng)各子系統(tǒng)中功能和邏輯安全要求最高的核心軟件。在計(jì)算機(jī)聯(lián)鎖軟件工程生產(chǎn)實(shí)施中，為避免諸如設(shè)計(jì)、軟件變更、軟件數(shù)據(jù)配置錯(cuò)誤等問題發(fā)生，其應(yīng)用軟件應(yīng)從流程控制、軟件數(shù)據(jù)安全防護(hù)、軟件管理等方面加強(qiáng)軟件安全生產(chǎn)，在保證軟件安全性的前提下提高軟件質(zhì)量和生產(chǎn)效率。

1 聯(lián)鎖軟件生產(chǎn)存在的主要問題

在聯(lián)鎖系統(tǒng)工程實(shí)際實(shí)施中，影響聯(lián)鎖系統(tǒng)可靠運(yùn)行除了系統(tǒng)硬件、標(biāo)準(zhǔn)版軟件功能缺陷之外，絕大部分是設(shè)計(jì)人員和軟件人員在軟件生產(chǎn)過程中產(chǎn)生的諸如設(shè)計(jì)、數(shù)據(jù)配置錯(cuò)誤等造成的，這些諸如“人的行為”問題經(jīng)常影響現(xiàn)場設(shè)備使用，延誤設(shè)備開通工期，頻繁加大聯(lián)鎖回歸測(cè)試。聯(lián)鎖軟件生產(chǎn)流程及人員結(jié)構(gòu)分配見圖1。根據(jù)聯(lián)鎖軟件生產(chǎn)流程及人員分配特點(diǎn)，歸納聯(lián)鎖軟件在生產(chǎn)流程中的問題主要存在于設(shè)計(jì)和編制2個(gè)環(huán)節(jié)。

圖1 聯(lián)鎖軟件生產(chǎn)流程及人員結(jié)構(gòu)分配

1.1 接口設(shè)計(jì)

設(shè)計(jì)人員主要負(fù)責(zé)與設(shè)計(jì)方溝通設(shè)計(jì)資料的相關(guān)問題；負(fù)責(zé)車站圖紙的收集、審核工作，核對(duì)聯(lián)鎖系統(tǒng)外部接口資料（含列控中心（TCC）、無線閉塞中心（RBC）、車站聯(lián)鎖（CBI））；向軟件人員提供車站數(shù)據(jù)輸入（含車站用戶需求說明書、設(shè)備IO信息）。在接口設(shè)計(jì)過程中主要存在以下問題：

（1）設(shè)計(jì)圖紙資料完整性（兩圖一表）缺陷，設(shè)備驅(qū)動(dòng)采集配線錯(cuò)誤等；

（2）車站特殊聯(lián)鎖邏輯關(guān)系設(shè)計(jì)意圖描述不準(zhǔn)確；

（3）標(biāo)準(zhǔn)制式軟件不能滿足特殊應(yīng)用，接口電路設(shè)計(jì)功能與軟件不適配。

1.2 軟件編制

軟件的編制調(diào)試過程是軟件實(shí)際生產(chǎn)過程。軟件人員依據(jù)設(shè)計(jì)人員提供的輸入資料及聯(lián)鎖接口的各信息表進(jìn)行軟件編制、調(diào)試，負(fù)責(zé)聯(lián)鎖工程軟件問題的分析和改進(jìn)，實(shí)施聯(lián)鎖工程應(yīng)用軟件的變更。軟件人員在軟件生產(chǎn)過程中主要存在以下問題：

（1）軟件變更等級(jí)判定級(jí)別有誤；

（2）聯(lián)鎖標(biāo)準(zhǔn)版版本（平臺(tái)與軟件）使用范圍與車站需求不適配，聯(lián)鎖數(shù)據(jù)配置錯(cuò)誤；

（3）軟件人員對(duì)現(xiàn)場設(shè)備使用環(huán)境、特殊應(yīng)用場景、特殊接口電路未做到充分了解，導(dǎo)致編制軟件與現(xiàn)場各接口功能不匹配，影響設(shè)備使用。

2 接口設(shè)計(jì)優(yōu)化方案

2.1 問題分析

因工期及信號(hào)設(shè)計(jì)涉及諸多專業(yè)等因素，聯(lián)鎖圖紙資料經(jīng)常不是一起提供給聯(lián)鎖軟件生產(chǎn)方，造成設(shè)計(jì)資料提供的不連續(xù)性。此外設(shè)計(jì)接口配線存在人為出錯(cuò)，未及時(shí)校驗(yàn)審核，導(dǎo)致聯(lián)鎖設(shè)備到現(xiàn)場開通調(diào)試時(shí)才發(fā)現(xiàn)問題，影響設(shè)備開通使用。設(shè)計(jì)方對(duì)于車站所提出的設(shè)計(jì)要求，尤其是對(duì)車站特殊應(yīng)用場景、特殊作業(yè)要求、特殊接口電路等設(shè)計(jì)，聯(lián)鎖接口設(shè)計(jì)人員未做充分分析或由于個(gè)人經(jīng)驗(yàn)、溝通不足等因素，導(dǎo)致聯(lián)鎖標(biāo)準(zhǔn)制式軟件不能滿足功能需求。

2.2 優(yōu)化方案

工程接口設(shè)計(jì)主要負(fù)責(zé)軟件輸入數(shù)據(jù)的生產(chǎn)工作，軟件的正確性直接取決于輸入數(shù)據(jù)的準(zhǔn)確與否，是軟件生產(chǎn)的源頭。針對(duì)接口設(shè)計(jì)所涉及的問題，應(yīng)從資料審核與人員結(jié)構(gòu)2個(gè)方面解決：

（1）設(shè)計(jì)資料的審核工作是軟件編制的前提，接口設(shè)計(jì)人員加強(qiáng)與設(shè)計(jì)方及時(shí)溝通，對(duì)資料的完整性、內(nèi)容的準(zhǔn)確性加強(qiáng)審核力度。應(yīng)做到有問題及時(shí)發(fā)現(xiàn)，對(duì)于發(fā)現(xiàn)的問題及時(shí)與設(shè)計(jì)方溝通，并積極協(xié)商解決方案。

（2）接口設(shè)計(jì)人員要有足夠的設(shè)計(jì)經(jīng)驗(yàn)，要對(duì)產(chǎn)品軟件性能、接口電路、接口適配能力（站場規(guī)模、運(yùn)營能力）等各環(huán)節(jié)具備總體把關(guān)作用。對(duì)發(fā)現(xiàn)的設(shè)計(jì)問題應(yīng)及時(shí)反饋設(shè)計(jì)方及其他系統(tǒng)接口設(shè)計(jì)單位，對(duì)于特殊需求車站需與聯(lián)鎖標(biāo)準(zhǔn)軟件負(fù)責(zé)人協(xié)商，必要時(shí)組織相關(guān)人員討論，以免延誤整個(gè)聯(lián)鎖系統(tǒng)生產(chǎn)的周期。

設(shè)計(jì)資料審核流程見圖2，通過有效的審核流程控制，能夠有效解決聯(lián)鎖軟件編制前期接口設(shè)計(jì)諸多問題。

3 軟件編制調(diào)試優(yōu)化方案

3.1 問題分析

（1）在聯(lián)鎖軟件變更工程實(shí)施中，首先需確保軟件的變更等級(jí)，對(duì)聯(lián)鎖軟件變更的范圍進(jìn)行全面的安全評(píng)估。軟件變更等級(jí)準(zhǔn)確判定是聯(lián)鎖軟件安全生產(chǎn)的標(biāo)尺，是確定聯(lián)鎖軟件生產(chǎn)規(guī)模判斷依據(jù)。在軟件變更中，若軟件變更等級(jí)判斷不準(zhǔn)確，則會(huì)造成軟件調(diào)試工作的返工。

（2）在以往聯(lián)鎖軟件編制調(diào)試過程中，軟件人員經(jīng)常未正確使用聯(lián)鎖標(biāo)準(zhǔn)版軟件，導(dǎo)致標(biāo)準(zhǔn)版軟件不能適應(yīng)站場需求功能，在調(diào)試及測(cè)試時(shí)，也常出現(xiàn)數(shù)據(jù)錯(cuò)誤，導(dǎo)致測(cè)試工作不斷反復(fù)。

（3）因軟件人員缺少現(xiàn)場調(diào)試經(jīng)驗(yàn)或?qū)μ厥饴?lián)鎖關(guān)系不能充分理解，導(dǎo)致所編制的軟件功能不能滿足功能需求，影響現(xiàn)場運(yùn)用。

圖2 設(shè)計(jì)資料審核流程

3.2 優(yōu)化方案

3.2.1 軟件變更等級(jí)判定依據(jù)

聯(lián)鎖軟件應(yīng)滿足相關(guān)鐵路應(yīng)用安全標(biāo)準(zhǔn)中安全完整性等級(jí)（SIL）的質(zhì)量管理過程控制、安全管理過程控制和技術(shù)安全要求。聯(lián)鎖軟件變更應(yīng)符合《鐵路信號(hào)產(chǎn)品運(yùn)用管理辦法》要求。聯(lián)鎖軟件變更等級(jí)分為3類。聯(lián)鎖軟件標(biāo)準(zhǔn)版（制式軟件）通常是以通過CRCC“標(biāo)準(zhǔn)站”制式檢測(cè)完成的，制式軟件的變更應(yīng)屬于一類和二類變更。聯(lián)鎖應(yīng)用數(shù)據(jù)主要是以制式軟件為基礎(chǔ)，以具體車站為特定目標(biāo)，編制聯(lián)鎖站場數(shù)據(jù)。聯(lián)鎖應(yīng)用數(shù)據(jù)變更較大范圍屬于三類變更。只有在制式軟件不能適應(yīng)站場設(shè)計(jì)要求或用戶需求等特殊情況時(shí)，才對(duì)聯(lián)鎖應(yīng)用軟件（含標(biāo)準(zhǔn)軟件）進(jìn)行更高級(jí)別變更。聯(lián)鎖軟件變更等級(jí)分類見表1。

3.2.2 增加聯(lián)鎖軟件審核及安全防護(hù)

（1）軟件審核。軟件確認(rèn)的目標(biāo)是證明軟件具有所定義的安全完整性等級(jí)，滿足軟件需求且適合預(yù)期的應(yīng)用。主要的確認(rèn)活動(dòng)是根據(jù)評(píng)審、分析和測(cè)試的結(jié)果，評(píng)估所有異常和不符合項(xiàng)的安全關(guān)鍵性［3］。在軟件編制過程中，加大軟件輸入資料完整性檢查、標(biāo)準(zhǔn)版軟件版本使用是否合理以及特殊數(shù)據(jù)的審核確認(rèn)工作，能夠大大減少軟件人員在生產(chǎn)過程中產(chǎn)生的錯(cuò)誤，使軟件問題在軟件測(cè)試前及測(cè)試中就能及時(shí)發(fā)現(xiàn)，盡量減少軟件回歸測(cè)試工作。軟件審核流程見圖3。

表1 聯(lián)鎖軟件變更等級(jí)分類

圖3 軟件審核流程

（2）軟件安全防護(hù)。依據(jù)鐵路車站計(jì)算機(jī)聯(lián)鎖安全原則要求，計(jì)算機(jī)聯(lián)鎖的設(shè)計(jì)變更、數(shù)據(jù)制作、測(cè)試、安裝、運(yùn)營維護(hù)過程的活動(dòng)不應(yīng)降低其安全完整性。程序和配置數(shù)據(jù)分離時(shí)應(yīng)對(duì)配置數(shù)據(jù)的版本和適用性進(jìn)行檢查，并對(duì)配置數(shù)據(jù)的正確性進(jìn)行檢查［4］。在聯(lián)鎖應(yīng)用軟件實(shí)際生產(chǎn)過程中，軟件數(shù)據(jù)配置錯(cuò)誤是目前制約軟件質(zhì)量的關(guān)鍵因素。依據(jù)聯(lián)鎖工程生產(chǎn)流程特點(diǎn)，采用“雙套校核機(jī)制”能夠大大加強(qiáng)軟件編制的準(zhǔn)確性。

①雙份聯(lián)鎖數(shù)據(jù)：對(duì)于車站聯(lián)鎖關(guān)鍵數(shù)據(jù)（超限道岔、防護(hù)道岔、信號(hào)顯示關(guān)系等）、客專接口數(shù)據(jù)均應(yīng)采用雙份數(shù)據(jù)校核以提高數(shù)據(jù)編制的準(zhǔn)確性。在軟件防護(hù)功能實(shí)現(xiàn)過程中，聯(lián)鎖雙份數(shù)據(jù)可采取多種方式進(jìn)行校核，例如動(dòng)態(tài)數(shù)據(jù)與靜態(tài)數(shù)據(jù)方式、正反碼數(shù)據(jù)比較［5］等，從而進(jìn)一步提高軟件數(shù)據(jù)的準(zhǔn)確性。

②雙通道編制：在軟件研發(fā)與數(shù)據(jù)均采用安全防護(hù)措施的基礎(chǔ)上，通過采用雙通道原則進(jìn)行雙人編制也是提高聯(lián)鎖軟件安全生產(chǎn)的一種方式。一般在條件允許范圍內(nèi)，聯(lián)鎖工程軟件可設(shè)2名軟件人員進(jìn)行數(shù)據(jù)編制工作：1名為聯(lián)鎖工程軟件人員A，1名為聯(lián)鎖工程軟件人員B。A負(fù)責(zé)工程軟件數(shù)據(jù)編制的整體工作。B負(fù)責(zé)聯(lián)鎖工程軟件第2份數(shù)據(jù)的編制。A與B同時(shí)對(duì)車站數(shù)據(jù)分別進(jìn)行編制，由A通過輔助工具（CAD）在軟件編制過程中對(duì)數(shù)據(jù)的差異性進(jìn)行比較，通過上述方式能夠有效避免單獨(dú)軟件編制人員在數(shù)據(jù)填寫上的錯(cuò)誤。聯(lián)鎖軟件人員A、B將聯(lián)鎖數(shù)據(jù)編制完畢后由聯(lián)鎖軟件人員A進(jìn)行數(shù)據(jù)比對(duì)。雙套數(shù)據(jù)雙人編制具體流程見圖4。

圖4 聯(lián)鎖軟件數(shù)據(jù)編制雙通道制作流程

3.2.3 加強(qiáng)軟件人員組織管理及問題庫建立

（1）加強(qiáng)人員資質(zhì)培訓(xùn)、人才梯度的培養(yǎng)。聯(lián)鎖系統(tǒng)是保障車站安全行車的重要設(shè)備，聯(lián)鎖設(shè)備的正確安裝、調(diào)試是聯(lián)鎖設(shè)備運(yùn)行可靠的基礎(chǔ)。因此軟件生產(chǎn)人員均應(yīng)對(duì)現(xiàn)場設(shè)備、環(huán)境有充分的了解和認(rèn)知。利用已開發(fā)的計(jì)算機(jī)聯(lián)鎖教學(xué)及故障診斷專家系統(tǒng)［6］使技術(shù)人員能夠快速了解聯(lián)鎖系統(tǒng)知識(shí)，這對(duì)軟件生產(chǎn)人員進(jìn)行軟件編制、管理均有很大幫助。此外軟件生產(chǎn)人員中的設(shè)計(jì)人員、軟件人員、測(cè)試人員應(yīng)具有獨(dú)立性，分組或者分部門進(jìn)行組織生產(chǎn)，避免一人多職的現(xiàn)象發(fā)生。

（2）加強(qiáng)技術(shù)交流、問題導(dǎo)向分析，設(shè)立交流問題庫。聯(lián)鎖軟件人員的經(jīng)驗(yàn)是從調(diào)試車站數(shù)量及其復(fù)雜程度積累出來的。在調(diào)試過程中，將遇到的軟件問題、數(shù)據(jù)錯(cuò)誤均納入問題庫，對(duì)日后完善軟件、提高軟件安全性有很大作用。

4 軟件生產(chǎn)效率

近年來，鐵路投資建設(shè)穩(wěn)步提升，尤其是高鐵建設(shè)快速發(fā)展，鐵路信號(hào)產(chǎn)品在滿足安全生產(chǎn)的前提下還要滿足建設(shè)工期的要求。提高信號(hào)產(chǎn)品的生產(chǎn)效率、降低軟件人員勞動(dòng)強(qiáng)度、避免人為錯(cuò)誤的需求也日趨明顯。聯(lián)鎖邏輯關(guān)系大多參照6502電氣集中電路原理，以布爾運(yùn)算方式編制聯(lián)鎖邏輯。該方法的優(yōu)點(diǎn)是對(duì)模塊化程序的依賴小，編寫靈活，缺點(diǎn)是數(shù)據(jù)需要人工編寫，容易出錯(cuò)。通過數(shù)據(jù)工具固定數(shù)據(jù)格式后，可采用人工智能實(shí)現(xiàn)數(shù)據(jù)自動(dòng)生成，解決上述問題并提高生產(chǎn)效率［7］。

（1）軟件數(shù)據(jù)自動(dòng)生成工具。隨著高速鐵路各信號(hào)系統(tǒng)發(fā)展，信號(hào)設(shè)備的互聯(lián)互通均已趨于完善。在中國國家鐵路集團(tuán)有限公司的大力指導(dǎo)下，聯(lián)鎖相關(guān)技術(shù)條件、接口規(guī)范、設(shè)計(jì)標(biāo)準(zhǔn)均陸續(xù)發(fā)布，如信號(hào)系統(tǒng)設(shè)備各接口規(guī)范、《計(jì)算機(jī)聯(lián)鎖車站聯(lián)鎖圖表編制原則》等，使聯(lián)鎖軟件的輸入文件資料格式更加規(guī)范化、標(biāo)準(zhǔn)化。不同接口廠家、設(shè)計(jì)方對(duì)聯(lián)鎖系統(tǒng)均按統(tǒng)一標(biāo)準(zhǔn)文件格式設(shè)計(jì)輸入資料。軟件人員可開發(fā)聯(lián)鎖軟件數(shù)據(jù)編制輔助工具，對(duì)這些輸入資料進(jìn)行二次整理，使聯(lián)鎖數(shù)據(jù)、接口數(shù)據(jù)自動(dòng)生成。輔助工具的開發(fā)能夠有效避免人為編制錯(cuò)誤，降低軟件人員工作強(qiáng)度，提高軟件生產(chǎn)效率。

（2）智能信息管理系統(tǒng)。聯(lián)鎖軟件的生產(chǎn)包括諸多環(huán)節(jié)，上述僅描述了工程軟件的實(shí)際生產(chǎn)過程及在各環(huán)節(jié)的人員職責(zé)。實(shí)際軟件在生產(chǎn)完畢后還包括后續(xù)工作：配合用戶驗(yàn)收、軟件發(fā)布、現(xiàn)場施工、調(diào)試等諸多環(huán)節(jié)。這些流程節(jié)點(diǎn)、各個(gè)環(huán)節(jié)的交互都會(huì)影響聯(lián)鎖軟件生產(chǎn)的整體進(jìn)度。以往聯(lián)鎖軟件生產(chǎn)環(huán)節(jié)的交互方式都是通過紙質(zhì)版表格實(shí)現(xiàn)軟件流程標(biāo)識(shí)、審核、交接管理等。對(duì)軟件的質(zhì)量管理、數(shù)據(jù)存檔等工作需要大量人力維護(hù)，這種方式對(duì)于軟件生產(chǎn)進(jìn)度、問題處理所處的階段都沒有直觀可視化的管理。通過采用信息管理系統(tǒng)可高效管理軟件生產(chǎn)各階段流程。信息管理系統(tǒng)依據(jù)質(zhì)量管理體系標(biāo)準(zhǔn)，通過聯(lián)網(wǎng)、線上操作等方法，實(shí)現(xiàn)無紙化辦公，從而可有效避免各部門人員繁瑣的交接工作，通過線上信息管理流程在節(jié)約紙質(zhì)成本的同時(shí)，也能實(shí)時(shí)反饋軟件生產(chǎn)的各進(jìn)度狀態(tài)，從管理上極大地提高了軟件生產(chǎn)效率。

5 結(jié)束語

聯(lián)鎖軟件的安全生產(chǎn)是保障聯(lián)鎖系統(tǒng)運(yùn)營安全的關(guān)鍵環(huán)節(jié)。依據(jù)《質(zhì)量管理體系：要求》［8］，需要從各方面加強(qiáng)管理，才能確保系統(tǒng)的可靠性和安全性［9］?；诼?lián)鎖軟件的結(jié)構(gòu)特點(diǎn)，對(duì)工程應(yīng)用軟件生產(chǎn)的各階段、流程采用階段式分布管理，做到對(duì)軟件安全生產(chǎn)的有效卡控。通過采取雙通道軟件編制、雙份數(shù)據(jù)校核等措施，盡量減少軟件人員在數(shù)據(jù)配置中的錯(cuò)誤。在保證聯(lián)鎖軟件安全性的前提下，如何降低聯(lián)鎖軟件的風(fēng)險(xiǎn)，加大對(duì)聯(lián)鎖系統(tǒng)生產(chǎn)的再次優(yōu)化，是聯(lián)鎖軟件生產(chǎn)改革的必由之路。