鐵路信號產品接口風險分析方法研究

王非　劉斌　張大鵬

摘 要：鐵路信號產品通常由多個安全相關子系統構成，各個安全相關子系統又由安全相關子模塊構成，系統內外均存在非安全相關子系統，因此，安全系統與外圍系統，系統內部各模塊之間構成了信息交互網絡，接口風險分析方法就是用于研究、分析各內外接口之間存在哪些影響安全的風險，并給出如何防護這些風險的安全防護措施。本文將以安全級鐵路信號產品模型為例，研究如何做接口風險分析，并對接口分類討論，分別給出適用于各類接口的安全防護措施。

關鍵詞：鐵路信號 接口 風險分析方法 IHA

中圖分類號：U284 文獻標識碼：A 文章編號：1672-3791（2014）06（b）-0021-02

1 接口識別

在做接口風險分析之前，需要先研究系統的運營環境、識別系統邊界，系統與外部設備接口的類別及數量。其次，需要分析系統架構，即分析系統內部各模塊的構成及結構關系，識別系統內部接口，了解內部接口的類別及數量。

舉例說明，如圖1所示，安全相關系統外部有四個系統，分別為“外部設備1～4”，與這四個設備的接口均為外部接口；安全相關系統由兩個安全相關子系統構成，分別為“安全相關子系統1”和“安全相關子系統2”，這類接口稱為內部接口。即，本文的分析對象共有4個外部接口，2個內部接口。

以安全相關系統中，安全相關子系統2為例，其架構為兩個CPU、一個雙口RAM，一個外部接口模塊構成，如圖2所示：CPU1和CPU2同時接收來自安全相關子系統1的通信數據（該接口為內部接口1，通信接口），CPU1和CPU2通過雙口RAM進行數據交互，兩個CPU將邏輯處理結果通過內部接口3發送給外部接口模塊，外部接口模塊將處理后的信號通過外部接口2發送外部設備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數字量接口、數據配置接口、人機接口。為了具體說明接口風險分析方法繼續上一章節舉例，做如下假設。（見表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來于接口的數據是一系列有規律的bit流，需要用協議來規定其規律性。

通信接口功能主要失效模式：接口數據錯誤；接口數據非法；接口數據順序錯誤；接口數據重復；接口數據被刪除；接口通信中斷。

失效原因：數據源發出的數據錯誤；數據在傳輸過程中由于干擾或串擾等而發生破壞；傳輸系統過載；物理鏈路損壞。

（2）數字量接口：數字量接口通常只有2種狀態：0、1。例如繼電器接口。

數字量接口功能主要失效模式：0錯誤獲取或發送為1；1錯誤獲取或發送為0；不能獲取或發送數字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數據配置接口：外部設備將系統所使用的數據下載到系統中某個存儲空間，供系統正常運行時讀取使用。

配置數據接口功能主要失效模式：配置的數據錯誤；系統讀取配置數據時出錯。

失效原因：提供的數據錯誤；數據配置工具失效；人員操作錯誤；存儲配置數據的硬件故障；系統軟件錯誤；傳輸出錯。

（4）人機接口：顯示及操作設備與安全相關系統之間的接口。

人機接口功能主要失效模式：人機接口輸入數據錯誤；通信中斷。

失效原因：人員操作錯誤；傳輸錯誤；通信鏈路損壞。

3 安全防護措施

對于不同類型的接口，其使用的安全防護措施是不同的，下面將按照接口分類，詳細闡述適用于各類接口的安全防護措施：

（1）通信接口。

通信接口主要防護措施可以參照EN50159的防護措施來提出（見表2）。

（2）數字量接口安全防護措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側的數字量狀態作為故障狀態時的輸出。即故障導向安全設計。

②狀態回采并表決。

（3）人機接口安全防護措施。

①接收非安全設備發送的數據時，應按照EN50159中規定的方法采取防護措施，參見“通信接口安全防護措施”。

②數據錄入時盡量使用選擇數據的方式，以減少人為出錯的概率。

（4）數據配置接口安全防護措施。

配置數據應設置校核字段，安全相關系統在使用配置數據時，應保證數據校核成功。當數據校核異常時，應使系統導向安全側。

4 結語

在對安全相關系統進行接口風險分析時，應根據具體情況盡量全面的評估存在的風險，根據風險特征和系統固有的設計來提出適用的安全防護措施。本文列舉出的安全防護措施僅供參考。endprint

摘 要：鐵路信號產品通常由多個安全相關子系統構成，各個安全相關子系統又由安全相關子模塊構成，系統內外均存在非安全相關子系統，因此，安全系統與外圍系統，系統內部各模塊之間構成了信息交互網絡，接口風險分析方法就是用于研究、分析各內外接口之間存在哪些影響安全的風險，并給出如何防護這些風險的安全防護措施。本文將以安全級鐵路信號產品模型為例，研究如何做接口風險分析，并對接口分類討論，分別給出適用于各類接口的安全防護措施。

關鍵詞：鐵路信號 接口 風險分析方法 IHA

中圖分類號：U284 文獻標識碼：A 文章編號：1672-3791（2014）06（b）-0021-02

1 接口識別

在做接口風險分析之前，需要先研究系統的運營環境、識別系統邊界，系統與外部設備接口的類別及數量。其次，需要分析系統架構，即分析系統內部各模塊的構成及結構關系，識別系統內部接口，了解內部接口的類別及數量。

舉例說明，如圖1所示，安全相關系統外部有四個系統，分別為“外部設備1～4”，與這四個設備的接口均為外部接口；安全相關系統由兩個安全相關子系統構成，分別為“安全相關子系統1”和“安全相關子系統2”，這類接口稱為內部接口。即，本文的分析對象共有4個外部接口，2個內部接口。

以安全相關系統中，安全相關子系統2為例，其架構為兩個CPU、一個雙口RAM，一個外部接口模塊構成，如圖2所示：CPU1和CPU2同時接收來自安全相關子系統1的通信數據（該接口為內部接口1，通信接口），CPU1和CPU2通過雙口RAM進行數據交互，兩個CPU將邏輯處理結果通過內部接口3發送給外部接口模塊，外部接口模塊將處理后的信號通過外部接口2發送外部設備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數字量接口、數據配置接口、人機接口。為了具體說明接口風險分析方法繼續上一章節舉例，做如下假設。（見表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來于接口的數據是一系列有規律的bit流，需要用協議來規定其規律性。

通信接口功能主要失效模式：接口數據錯誤；接口數據非法；接口數據順序錯誤；接口數據重復；接口數據被刪除；接口通信中斷。

失效原因：數據源發出的數據錯誤；數據在傳輸過程中由于干擾或串擾等而發生破壞；傳輸系統過載；物理鏈路損壞。

（2）數字量接口：數字量接口通常只有2種狀態：0、1。例如繼電器接口。

數字量接口功能主要失效模式：0錯誤獲取或發送為1；1錯誤獲取或發送為0；不能獲取或發送數字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數據配置接口：外部設備將系統所使用的數據下載到系統中某個存儲空間，供系統正常運行時讀取使用。

配置數據接口功能主要失效模式：配置的數據錯誤；系統讀取配置數據時出錯。

失效原因：提供的數據錯誤；數據配置工具失效；人員操作錯誤；存儲配置數據的硬件故障；系統軟件錯誤；傳輸出錯。

（4）人機接口：顯示及操作設備與安全相關系統之間的接口。

人機接口功能主要失效模式：人機接口輸入數據錯誤；通信中斷。

失效原因：人員操作錯誤；傳輸錯誤；通信鏈路損壞。

3 安全防護措施

對于不同類型的接口，其使用的安全防護措施是不同的，下面將按照接口分類，詳細闡述適用于各類接口的安全防護措施：

（1）通信接口。

通信接口主要防護措施可以參照EN50159的防護措施來提出（見表2）。

（2）數字量接口安全防護措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側的數字量狀態作為故障狀態時的輸出。即故障導向安全設計。

②狀態回采并表決。

（3）人機接口安全防護措施。

①接收非安全設備發送的數據時，應按照EN50159中規定的方法采取防護措施，參見“通信接口安全防護措施”。

②數據錄入時盡量使用選擇數據的方式，以減少人為出錯的概率。

（4）數據配置接口安全防護措施。

配置數據應設置校核字段，安全相關系統在使用配置數據時，應保證數據校核成功。當數據校核異常時，應使系統導向安全側。

4 結語

在對安全相關系統進行接口風險分析時，應根據具體情況盡量全面的評估存在的風險，根據風險特征和系統固有的設計來提出適用的安全防護措施。本文列舉出的安全防護措施僅供參考。endprint

摘 要：鐵路信號產品通常由多個安全相關子系統構成，各個安全相關子系統又由安全相關子模塊構成，系統內外均存在非安全相關子系統，因此，安全系統與外圍系統，系統內部各模塊之間構成了信息交互網絡，接口風險分析方法就是用于研究、分析各內外接口之間存在哪些影響安全的風險，并給出如何防護這些風險的安全防護措施。本文將以安全級鐵路信號產品模型為例，研究如何做接口風險分析，并對接口分類討論，分別給出適用于各類接口的安全防護措施。

關鍵詞：鐵路信號 接口 風險分析方法 IHA

中圖分類號：U284 文獻標識碼：A 文章編號：1672-3791（2014）06（b）-0021-02

1 接口識別

在做接口風險分析之前，需要先研究系統的運營環境、識別系統邊界，系統與外部設備接口的類別及數量。其次，需要分析系統架構，即分析系統內部各模塊的構成及結構關系，識別系統內部接口，了解內部接口的類別及數量。

舉例說明，如圖1所示，安全相關系統外部有四個系統，分別為“外部設備1～4”，與這四個設備的接口均為外部接口；安全相關系統由兩個安全相關子系統構成，分別為“安全相關子系統1”和“安全相關子系統2”，這類接口稱為內部接口。即，本文的分析對象共有4個外部接口，2個內部接口。

以安全相關系統中，安全相關子系統2為例，其架構為兩個CPU、一個雙口RAM，一個外部接口模塊構成，如圖2所示：CPU1和CPU2同時接收來自安全相關子系統1的通信數據（該接口為內部接口1，通信接口），CPU1和CPU2通過雙口RAM進行數據交互，兩個CPU將邏輯處理結果通過內部接口3發送給外部接口模塊，外部接口模塊將處理后的信號通過外部接口2發送外部設備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數字量接口、數據配置接口、人機接口。為了具體說明接口風險分析方法繼續上一章節舉例，做如下假設。（見表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來于接口的數據是一系列有規律的bit流，需要用協議來規定其規律性。

通信接口功能主要失效模式：接口數據錯誤；接口數據非法；接口數據順序錯誤；接口數據重復；接口數據被刪除；接口通信中斷。

失效原因：數據源發出的數據錯誤；數據在傳輸過程中由于干擾或串擾等而發生破壞；傳輸系統過載；物理鏈路損壞。

（2）數字量接口：數字量接口通常只有2種狀態：0、1。例如繼電器接口。

數字量接口功能主要失效模式：0錯誤獲取或發送為1；1錯誤獲取或發送為0；不能獲取或發送數字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數據配置接口：外部設備將系統所使用的數據下載到系統中某個存儲空間，供系統正常運行時讀取使用。

配置數據接口功能主要失效模式：配置的數據錯誤；系統讀取配置數據時出錯。

失效原因：提供的數據錯誤；數據配置工具失效；人員操作錯誤；存儲配置數據的硬件故障；系統軟件錯誤；傳輸出錯。

（4）人機接口：顯示及操作設備與安全相關系統之間的接口。

人機接口功能主要失效模式：人機接口輸入數據錯誤；通信中斷。

失效原因：人員操作錯誤；傳輸錯誤；通信鏈路損壞。

3 安全防護措施

對于不同類型的接口，其使用的安全防護措施是不同的，下面將按照接口分類，詳細闡述適用于各類接口的安全防護措施：

（1）通信接口。

通信接口主要防護措施可以參照EN50159的防護措施來提出（見表2）。

（2）數字量接口安全防護措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側的數字量狀態作為故障狀態時的輸出。即故障導向安全設計。

②狀態回采并表決。

（3）人機接口安全防護措施。

①接收非安全設備發送的數據時，應按照EN50159中規定的方法采取防護措施，參見“通信接口安全防護措施”。

②數據錄入時盡量使用選擇數據的方式，以減少人為出錯的概率。

（4）數據配置接口安全防護措施。

配置數據應設置校核字段，安全相關系統在使用配置數據時，應保證數據校核成功。當數據校核異常時，應使系統導向安全側。

4 結語

在對安全相關系統進行接口風險分析時，應根據具體情況盡量全面的評估存在的風險，根據風險特征和系統固有的設計來提出適用的安全防護措施。本文列舉出的安全防護措施僅供參考。endprint