基于安全完整性SIL2级的城市轨道交通综合监控系统

2021-01-07王媛媛施广德

江苏科技信息 2020年35期

王媛媛，施广德，李鹏

0 引言

轨道交通已成为世界各国现代化交通运输体系中最为重要的运输手段。轨道综合监控系统软件作为其中重要的组成部分，其安全性直接关系到客户的生命财产安全［1］。安全完整性等级，又称SIL（Safety Integrity Level），表示安全相关系统、子系统或设备达到安全要求的程度。

SIL认证就是基于安全相关的国际标准，对安全设备的安全完整性等级（SIL）进行评估和确认的一种第三方认证。SIL认证可以保证产品特定功能的正确性、安全性和竞争力。目前国内外地铁和铁路招标文件中已经明确提出了对SIL的要求。因此对综合监控系统SIL相关标准进行研究和进行SIL认证非常必要［2］。

1 安全完整性等级

安全完整性等级SIL是对系统所要求的安全完整性水平的一种定量指标，是将安全完整性根据安全功能失效的频率和产生的危险严重程度划分成的等级［1］。系统的安全完整性等级越高，则其安全功能失效的可能性就越小。安全完整性一般分为4个等级［1，3-5］。

目前，城市轨道交通安全可靠性技术主要的参考标准是欧洲电工标准化委员会（CENELEC）制定的铁路安全相关标准。CENELEC的铁路安全相关标准分别为：EN50129《铁路应用：铁路控制系统领域的安全相关电子系统》［6］；EN50126《铁路应用:可靠性、可用性、可维护性与安全性（RAMS）规范和说明》［7］；EN50128《铁路应用：铁路控制与防护系统的软件》［8］；EN50159《铁路应用：通信、信号和处理系统》［9］。

从安全性可靠性的角度看：EN50126标准定义了整个铁路系统的安全性可靠性；EN50129标准定义了整个系统及硬件部分的安全性可靠性；EN50128标准则定义了子系统软件部分的安全完整性。本项目聘请具有专业资质的第三方认证公司对系统进行独立安全认证，认证过程采用最低合理可行（As Low as Reasonably Practicable，ALARP）原则［10］进行，将综合监控系统的残余风险降低至合理可行范围之内的最低程度。

2 地铁综合监控系统安全设计

2.1 系统介绍

地铁综合监控系统（ISCS）将各个分散孤立的自动化系统联结成一个有机的整体，实现轨道交通各专业相关系统之间的信息互通。系统架构如图1所示，由服务器、交换机、工作站、前置采集装置等组成。系统通过网络与全线各子专业系统进行信息交换，实现全线各专业系统的数据采集、监视和控制。

图1 地铁综合监控系统架构

从系统组成划分，系统由控制中心级ISCS、车站级ISCS两部分等组成。其中：（1）中心级ISCS对全线重要监控对象的状态、性能数据进行实时的收集处理，通过各种调度员工作站和大屏幕以各种形式显示出来，供调度人员控制和监视，并完成对全线环境、设备的集中控制与显示。（2）车站级ISCS对单个车站被控设备的状态、性能数据进行实时的收集处理，通过各种调度员工作站显示出来，供调度人员控制和监视。

2.2 安全设计策略与安全技术

本系统在设计时将安全性放在首位，设计过程中采取如下安全策略。

（1）安全功能模块最小化原则：将多个子系统之间与安全相关的模块独立设计。

（2）进程隔离原则：既考虑综合监控系统的信息资源的充分共享，同时也考虑信息的保护和隔离，将软件中完成独立功能的子模块均使用独立进程运行，即使某一个子模块异常也不影响其他子模块的运行。

（3）访问控制原则：系统在各个层次对访问都进行控制，设置严格的安全操作权限，如多级用户权限、责任区管理。

（4）数据一致性原则：系统内各同步完成的节点中的实时数据必须保持一致，在某一台计算机节点上生成或修改实时数据库后，数据一致性维护可以确保在系统范围内所有计算机的数据一致性。

（5）恢复原则：充分利用日志系统、健全的备份和恢复策略增强系统的安全性。

系统软件设计过程中，严格遵循EN50128标准，在软件架构设计中采用了防御性编程、故障检测与诊断、错误检验代码、重试故障恢复机制、信息封装、充分定义的接口、建模、结构化方法等技术措施，满足了软件SIL2的要求。

2.3 系统设计

DSC-9000+综合监控系统的逻辑可以分成图2所示的4层：硬件层、操作系统层、平台层和应用层。

结合软件功能需求，系统按工作站和服务器进行部署。

（1）工作站：主要对综合监控系统中涉及的各类设备的实时状态、数据进行监视，并允许通过HMI进行监视和操控，是综合监控系统与调度员的接口。工作站上需运行实时库管理、配置库管理、数据同步、用户界面等软件。

（2）服务器：主要是与综合监控系统所涉及的各类设备进行互联并处理数据，包括采集设备中的数据，并进行处理后在工作站中进行显示；接收来自工作站的控制命令，并对设备进行操控；根据不同专业设备之间的联动规则进行设备联动；将实时数据处理并存历史数据库，进行统计分析等。服务器上需运行实时库管理、数据同步、通用服务软件、用户界面和通信规等软件。

工作站和服务器的实时数据一致性由数据同步保证，工作站上所有HMI均通过实时库管理和配置库管理的接口获取。

图2 地铁综合监控系统安全架构设计

2.4 通信模块设计

本系统通信模块的设计参考了EN50159标准［9］。该标准是欧洲铁路通信信号领域信息传输系统的安全通信标准，它定义了3种传输系统、7种传输系统需要防范的风险和8种防范传输系统风险的手段。主要目的是通过技术手段保证通信报文的真实性、完整性、实时性和有序性。

3 质量、安全与风险管理

质量与安全管理过程是SIL认证中的重要环节。质量管理则是规定了系统开发过程中所需要遵循的流程和采取的技术措施，目的是降低系统开发过程中人为错误的影响，提高系统的质量，确保达到要求的系统安全完整度等级。本系统开发中的质量管理过程严格遵循ISO9001质量体系和EN50128标准对项目组织结构、角色和人员独立性、配置管理、文档质量、可追溯性、变更管理、缺陷管理、验证和确认、编码质量、发布管理、质量审计等内容的要求进行。各阶段结束时对阶段产出物及质量管理过程进行质量审计，主要审计内容包括：项目管理、配置管理、变更控制、文件控制、记录控制、评审管理、不符合项控制、设计控制和需求管理和跟踪。

安全&风险管理过程的目的是为了进一步减少在系统生命周期内与安全相关的人为错误的发生，并由此最大程度减少安全相关的系统故障的残余风险。安全&风险管理主要包括风险管理与安全需求管理两个方面。其中，风险管理过程包括：风险源识别、风险分析、风险评估和风险的管理和关闭［11］。通过风险分析和评估，将所有风险登记至危害日志中，并提出相应的缓解措施，并导出安全需求，然后在系统开发的每一个阶段对安全需求进行跟踪，直到系统设计满足所有的安全需求，且危害被全部关闭、转移或降低至可以接受的程度。