◆叶 琦 张智勇

关于实物保护出入口控制系统全局防反传功能检查的研究

◆叶 琦 张智勇

（福建福清核电有限公司 福建 350318）

核电厂实物保护系统用于阻止威胁核安全的外部入侵，为核电厂提供安全可靠的运行环境。出入口控制系统具有制卡、授权、身份验证、通行控制等功能，是实物保护系统的重要组成部分。本文结合某电厂实物保护出入口控制系统全局防反传判断错误问题的处理过程，给出了需要进行全局防反传功能检查的建议，及在检查中重点关注二次开发软件原理和操作对系统功能影响的意见。在当前核电新建项目多、多机组分期连续建设情况多，但相关的建设经验总结较少的情况下，期望本文能够对后续核电厂实物保护门禁系统全局防反传功能测试具有一定的参考意义。

实物保护系统；出入口控制系统；全局防反传

1 背景概述

1.1某电厂实物保护出入口控制系统简介

出入口控制系统是实物保护系统中一个必不可少的组成部分，系统可按照管理的要求，对进入厂内控制区、保护区、要害区及要害区内重要部位的人员和车辆的通行进行控制。

某电厂实物保护出入口控制系统由服务器、读卡机控制器、读卡器模块构成控制系统，其中服务器是顶层核心设备。服务器上安装有门禁控制软件和一卡通软件，门禁控制软件主要用于系统配置、硬件动作控制，一卡通软件是基于门禁控制软件开发的，主要用于通行证管理（信息添加、修改、权限分配等）、报表分析。系统还包含读卡器、电磁锁、门磁、出门按钮、三辊闸、全高闸、道闸设备、液压路障等前端设备。服务器通过网络系统与读卡机控制器连接通信，读卡机控制器通过RS485等通信协议与读卡器模块连接，读卡器模块与读卡器通过韦根信号进行通信，读卡器模块输出的信号对电磁锁、三辊闸、全高闸等设备进行控制。

1.2全局防反传判断错误问题情况概述

全局防反传判断错误问题的主要现象是：通行证按照顺序逻辑进入保护区或要害区后，经过一段时间通行证在控制区刷卡，可以再次刷入。通行证按UA-UD、UA-UD-9EU、UA-8UD、UA-8UD-8EU刷卡后，经过一段时间通行证在UA刷卡可以再次刷入。全局防反传功能正常的情况下，卡证无法在UA再次刷入。

2 全局防反传测试

2.1测试方案

电厂发现该问题后，马上联系门禁控制器、门禁控制软件和一卡通软件设备厂商（门禁控制器、门禁控制软件属于一家设备厂商，一卡通软件属于另一家设备厂商，以下统称设备厂商）要求进行立刻处理。设备厂商进行实验室分析和测试，未复现该问题。为了进一步掌握问题情况，电厂编制了专门方案，进行了问题检查测试。测试方案如下：

（1）测试使用100张通行证，分成A组和B组，每组50张，分别编号A1到A50、B1到B50。

（2）A1到A50按UA-9UD-9EU刷卡，将B1到B50按UA-8UD-8EU刷卡。5张通行证按照跨门禁控制器刷卡，另外5张通行证按照同个门禁控制器刷卡。记录卡证通行情况。

（3）间隔1小时，将编号A1到A10的通行证按UA-9UD-9EU刷卡，编号B1到B10的通行证按UA-8UD-8EU刷卡。5张通行证按照跨门禁控制器刷卡，另外5张通行证按照同个门禁控制器刷卡。记录卡证通行情况。

（4）间隔2小时，将编号A11到A20的通行证按UA-9UD-9EU刷卡，编号B11到B20的通行证按UA-8UD-8EU刷卡。5张通行证按照跨门禁控制器刷卡，另外5张通行证按照同个门禁控制器刷卡。记录卡证通行情况。

（5）间隔3小时，将编号A21到A30的通行证按UA-9UD-9EU刷卡，编号B21到B30的通行证按UA-8UD-8EU刷卡。5张通行证按照跨门禁控制器刷卡，另外5张通行证按照同个门禁控制器刷卡。记录卡证通行情况。

（6）间隔4小时，将编号A31到A40的通行证按UA-9UD-9EU刷卡，编号B31到B40的通行证按UA-8UD-8EU刷卡。5张通行证按照跨门禁控制器刷卡，另外5张通行证按照同个门禁控制器刷卡。记录卡证通行情况。

（7）间隔5小时，将编号A41到A50的通行证按UA-9UD-9EU刷卡，编号B41到B50的通行证按UA-8UD-8EU刷卡。5张通行证按照跨门禁控制器刷卡，另外5张通行证按照同个门禁控制器刷卡。记录卡证通行情况。

2.2测试结果

根据问题检查测试方案工作人员进行了3次测试，3次测试中全部出现全局防反传判断错误问题，问题出现的刷卡时间间隔有差异，测试结果如表1。

表1 全局防反传判断错误问题检查测试结果

3 全局防反传问题检查

3.1软件运行对比测试

再次确认问题存在后，电厂组织设备厂商研发工程师到电厂开展问题检查处理。为处理全局防反传判断错误问题，陆续进行了门禁控制器初始化、门禁控制器固件版本修改等检查测试工作，但问题仍存在。经过分析，排除了门禁控制器导致全局防反传判断错误问题，并推断问题与门禁控制软件、一卡通软件有关。为了进一步查找问题原因，进行了“同时运行一卡通软件和门禁控制软件”与“停用一卡通软件只运行门禁控制软件”的对比测试（以下简称软件运行对比测试），测试要点如下：

（1）参照问题检查测试结果（表1），全局防反传判断错误问题在通行证刷卡测试的5小时内100%发生，软件运行对比测试时间设定为两种状态各连续运行24小时，以确保如果问题存在就能够在测试期间出现。

（2）先进行“停用一卡通软件只运行门禁控制软件”，再进行“同时运行一卡通软件和门禁控制软件”。

（3）软件运行对比测试中通行证刷卡测试方法与问题检查测试方案相同。

测试结果见表2。

表2 软件运行对比测试结果

通过软件运行对比测试结果，可以看出：在停用一卡通软件的24小时内未出现全局防反传判断错误问题，启用一卡通软件后出现全局防反传判断错误问题，问题原因就是在一卡通软件上。

3.2验证确定一卡通软件批量操作导致全局防反传判断错误

通过对各次测试中出现全局防反传判断错误问题的时间进行分析，发现时间集中在工作日的工作时段，并且通行证首次刷卡至问题出现的时间间隔具有无规律的特点，据此推断一卡通软件的某项或某些操作直接导致全局防反传判断错误问题出现。电厂工作人员与一卡通软件使用人员沟通后，记录下一卡通软件使用人员在最近一次问题出现的时段内进行的操作，通过逐项软件操作复现、每项操作后立刻进行通行证刷卡测试的办法，最终发现一卡通软件的卡证批量操作（批量导入、信息批量修改、批量授权等）直接导致全局防反传判断错误问题。

根据现场检查结果，设备厂商确认一卡通软件批量操作直接导致了全局防反传判断错误问题。对软件原理及软件源代码分析后，发现一卡通软件批量操作会门禁控制器下发初始化命令，而门禁控制器初始化会清除控制器上已记录的通行证全局防反传通行逻辑信息，逻辑信息被清除就导致了全局防反传判断错误。

4 全局防反传判断错误问题处理

通过更新一卡通软件，禁止了批量操作对门禁控制器的初始化，问题得到处理。软件更新后，电厂工作人员按照问题检查测试方案中的方法再次进行3次测试，并且在刷卡间隔期进行了一卡通软件各项操作。测试均未出现全局防反传判断错误问题。全局防反传功能恢复正常。

5 总结

某电厂通过对比分析、变量控制、试验等方法，查找到全局防反传错误判定问题的根本原因是：基于门禁控制系统软件开发的一卡通软件在进行批量操作时，会通过门禁控制软件对门禁控制器进行初始化操作。通过修改软件操作原理、更新软件，解决了问题。

希望本文能够引发大家对实物保护出入口控制系统全局防反传功能检查与测试更深入的思考。建议对于实物保护出入口控制系统应进行全面测试，测试方案应涵盖系统相关软件的各种操作。在进行全局防反传功能测试中，应重点关注二次开发软件功能实现原理及各种操作对全局防反传功能的影响。

[1]陈航，景弋,沈建宇.核电厂实物保护系统信息安全技术研究[J].中国核电,2016,9(01):20-24.

[2]汪作林.浅析核电站实物保护系统设计[J].电子制作,2013(24):212.

[3]刘亚凡,成向飞.核电厂实物保护系统特点分析[J].电气应用,2，2011,30(12):62-65.