计算机联锁系统中人机会话层安全分析
2016-09-16邱兆阳
孙 宁 邱兆阳
(北京全路通信信号研究设计院集团有限公司,北京 100070)
计算机联锁系统中人机会话层安全分析
孙 宁 邱兆阳
(北京全路通信信号研究设计院集团有限公司,北京 100070)
就计算机联锁系统中人机会话层的安全性进行分析,提出人机会话层的安全功能要求,并给出实现安全功能的几种实现方式以及几种方案的对比。
计算机联锁;人机会话层;安全相关操作
1 概述
计算机联锁系统目前已经得到广泛的应用,尤其是在近年建设的高速铁路项目中,车站的信号控制系统基本上不再采用传统的电气集中继电式联锁。联锁系统作为车站信号设备中的基本系统,对其安全性的要求一直很高,根据最新发布的《铁路车站计算机联锁技术条件》7.1.3的要求,计算机联锁系统的安全性指标,每功能每小时容许危险率(THR)10-9≤THR<10-8。
计算机联锁系统通常分为3层:联锁运算层、执行表示层、人机会话层。典型的业务流程为:人机会话层接受操作人员的指令,形成命令发送给联锁运算层;联锁运算层根据操作指令以及来自执行表示层的设备状态信息、历史信息,根据联锁规则进行运算,形成输出命令;执行表示层根据联锁运算层的命令驱动输出,动作结合电路。
采用6502电气集中电路时,对于需要人工确认后操作的按钮,采取了加铅封的方法,减少错误操作的可能性,并提醒操作人员对破铅封操作按规定进行确认。同时,破铅封操作在一定程度上也意味着安全责任由信号设备向操作人员的转移。
本文就人机会话层下发的操作命令进行安全分析,给出几种加强安全性的方案,并对每种方案的不足和优点进行对比分析。
2 安全分析
人机会话层为联锁系统的人机操作界面,值班员需要通过在MMI办理操作,进行进路、信号、道岔以及其他按钮的操作,完成包括选路、取消、人解、单操、单封、钮封、引导、非进路调车、上电解锁、事故复原等功能。
MMI子系统下发的按钮通常可以分为3种类型,如表1所示。
表1 MMI子系统下发按钮类型表
如表1分析,根据《铁路车站计算机联锁技术条件》中定义的危险侧输出,以计算机联锁系统产生危险侧输出作为顶事件,则第一类,第二类按钮操作,都不会导致危险侧输出,此处不考虑运营风险。
第三类按钮操作,由于联锁逻辑并不能提供完全的防护,某些联锁条件不能在联锁运算层中得到检查,需要操作人员根据要求进行确认,确认后再进行操作。如果操作人员未按规定进行确认,或操作人员并未操作此类按钮,由于人机会话层故障,或由于联锁运算层与人机会话层的通信交互出现问题,导致第三类按钮错误按下,则会产生危险侧输出,如图1所示。
图1 MMI子系统下发第三类按钮操作错误示意图
采用双系热备方式运行的计算机联锁系统,联锁双系间同步网出现异常后,如果此时主系发生故障,原来的备系升主系后,应处于安全锁闭状态,以避免由于失去同步导致的列车运行前方区段解锁等风险。此时,操作人员应按规定确认一些条件,如控制范围内运行的列车已经停稳,之后在人机会话层输入密码,进行解锁操作。联锁运算层收到解锁命令后,恢复正常运行。
在联锁系统处于安全锁闭状态,等待操作人员进行确认期间,如果人机会话层发生故障,如硬件故障,未采取适当的安全防护措施,则此故障可能导致解锁命令错误下发。而此时操作人员并未按规定确认完成,如果联锁运算层无条件执行解锁命令,那么很可能导致正在运行的列车前方区段解锁,或场间联锁失去照查条件等错误输出,从而导致行车危险事件发生。
根据上面的分析,人机会话层的操作命令可分为3种,如表2所示。
表2 人机会话层操作命令类型表
3 安全防护
3.1实现方案
如第2章所述,一些既定操作,即所谓的安全相关操作,将绕过联锁系统自身的安全机制。在执行这些操作时,通过特别的流程以避免操作、传输或计算错误导致错误命令输出及意外。
安全相关操作的危害:联锁运算层执行了未经操作人员的操作/确认的安全相关操作命令。
针对该条危害,可以通过以下措施来对安全相关操作进行防护,如表3所示。
表3 安全相关操作防护措施类型表
以上4种实现方案的对比说明如表4所示。
下面分别对4种方案的实现进行简单说明。
3.2方案一
本方案针对3.1节中提出的危害,分析人机会话层对该条危害的贡献,对人机会话层直接提出安全需求。考虑到人机会话层的结构约束和实现成本等(结构约束指IEC61508中提到的硬件冗余度,如二取二,三取二,人机会话层考虑到实现和成本一般硬件冗余度为0),其承担的安全功能达到SIL2要求比较合理。
该方案的优点在于从整体系统角度具有较高的安全性,从传统意义上人机会话层虽然没有安全性要求,但一直有较高的可靠性要求。从第2章的安全分析来看,安全相关操作由于没有足够的联锁逻辑防护,如果不采取其他的安全防护措施,人机会话层的故障确实可能导致行车危险。
人机会话层的安全功能除安全相关操作命令的下发外,也应包括某些关键信息的显示功能,如果人机会话层直接承担安全功能,则其显示功能也可以一并考虑进来。
表4 安全相关操作防护措施方案对比及安全性评价表
3.3方案二
本方案是在人机会话层增加一个附加的硬件按钮,该硬件按钮的状态由执行表示层的安全采集单元采集,并将状态传递给联锁运算层作为判断条件使用,如图2所示。
图2 人机会话层培设独立硬件确认按钮结构图
当操作人员进行安全相关操作时,典型处理流程如下(以解除安全锁闭为例):
1)操作人员按下解除锁闭按钮,人机操作界面将命令下发给联锁运算层,此时人机操作界面出现10 s倒计时。
2)在10 s倒计时内,操作人员按下硬件按钮进行确认。
3)联锁运算层接收到人机操作界面的解除锁闭命令后,开启10 s的窗口,此窗口期间采集到硬件实体按钮由抬起到按下的变化,执行解除锁闭的命令。
4)如果10 s内操作人员未按下实体按钮,则解除锁闭命令不执行。
5)如果解除锁闭命令下发时,实体按钮已经在按下状态,解除锁闭命令也不执行。
3.4方案三
根据《铁路车站计算机联锁技术条件》的要求,当采用鼠标器作为操作设备时,对于带铅封相对应的操作,应增加输入3位数字口令和再确认的附加操作。
满足该条要求,可以有两种实现方式。
1)判断3位数据口令以及再确认的附加操作由人机会话层来完成,典型操作流程如下(以解除锁闭为例):
a.按下解除锁闭按钮;
b.人机会话层弹出口令对话框,操作人员输入口令,点确认;
c.人机会话层判断口令正确后,将解除锁闭命令发给联锁运算层;
d.联锁运算层收到命令后执行。
2)判断3位数据口令以及再确认的附加操作由联锁运算层来完成,典型操作流程如下(以解除锁闭为例):
a.按下解除锁闭按钮,人机会话层将按钮按下状态下发给联锁运算层;
b.联锁运算层收到按钮命令后,启动会话窗口,等待口令;
c.人机会话层弹出口令对话框,操作人员输入口令,点确认;
d.人机会话层将口令下发给联锁运算层;
e.联锁运算层在会话窗口时间内收到正确口令后,执行解除锁闭命令。
当人机会话层不承担安全功能时,第二种实现方式相对于第一种实现方式,安全性更高,在很大程度上避免由于人机会话层软件错误、硬件故障,以及两层间通信导致的安全相关操作错误下发。
3.5方案四
本方案是借鉴安全通信实现中端到端的保护,通过在安全相关操作中增加基于预定规则的交互,来排除由于软件、通信、硬件故障等可能导致安全相关操作错误下发。正如安全通信实现一般对通信通道不提出安全要求一样,本方案不对人机会话层以及人机会话层与联锁运算层的通道提出安全要求,安全主要通过预先定义的交互规则进行保护。
仿照EN50159中的安全相关通信防护矩阵,提出安全相关操作的防护矩阵,如表5所示。
表5 安全相关操作防护矩阵表
仍然以解除安全锁闭为例,典型的流程如下:
1)操作人员按下解除锁闭按钮,人机会话层将按钮状态下发给联锁运算层;
2)联锁运算层收到按钮按下后,启动该按钮有效的TTL,如10 s,作为TTC,只有在TTC内完成后续预定的交互,才认为解除锁闭按钮有效;
3)联锁运算层利用随机数,生成RCP,如5位随机确认码,返回给人机会话层;
4)人机会话层收到RCP后,弹出窗口,要求值班员输入5位RCP中的第1,第3,第4位,作为OCP,下发给联锁运算层;
5)联锁运算层收到OCP后,检查OCP是否与RCP一致,且是否在TTC内,检查条件满足,则执行解除锁闭命令。
下面就本方案如何防护几种典型故障进行分析,具体如表6所示。
表6 典型故障防护分析表
需要说明的是,通过提高RCP的位数和随机化程度,以及增加RCP与OCP关联规则的复杂性,可以进一步提高安全相关操作量化安全性。
4 总结
通过对计算机联锁系统中人机会话安全性的分析,以及本文提出的几种安全防护方案的介绍和对比,希望为今后计算机联锁系统的发展提供借鉴,以提高人机会话层安全相关命令下发的安全性,从而提高整个计算机联锁系统的安全性。
[1]国家铁路局.TB/T3027-2015 铁路车站计算机联锁技术条件[S].北京:中国铁道出版社,2015.
The paper analyzes the safety of MMI layer in the computer-based interlocking system, puts forward the safety requirements of the MMI layer, and presents sevral safety function implementation methods with comparison among the options.
computer-baed interlocking; MMI Layer; safety related operation
10.3969/j.issn.1673-4440.2016.04.006
2016-04-18)