孫 寧 邱兆陽

（北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070）

計(jì)算機(jī)聯(lián)鎖系統(tǒng)中人機(jī)會話層安全分析

孫 寧 邱兆陽

（北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070）

就計(jì)算機(jī)聯(lián)鎖系統(tǒng)中人機(jī)會話層的安全性進(jìn)行分析，提出人機(jī)會話層的安全功能要求，并給出實(shí)現(xiàn)安全功能的幾種實(shí)現(xiàn)方式以及幾種方案的對比。

計(jì)算機(jī)聯(lián)鎖；人機(jī)會話層；安全相關(guān)操作

1 概述

計(jì)算機(jī)聯(lián)鎖系統(tǒng)目前已經(jīng)得到廣泛的應(yīng)用，尤其是在近年建設(shè)的高速鐵路項(xiàng)目中，車站的信號控制系統(tǒng)基本上不再采用傳統(tǒng)的電氣集中繼電式聯(lián)鎖。聯(lián)鎖系統(tǒng)作為車站信號設(shè)備中的基本系統(tǒng)，對其安全性的要求一直很高，根據(jù)最新發(fā)布的《鐵路車站計(jì)算機(jī)聯(lián)鎖技術(shù)條件》7.1.3的要求，計(jì)算機(jī)聯(lián)鎖系統(tǒng)的安全性指標(biāo)，每功能每小時容許危險(xiǎn)率（THR）10-9≤THR＜10-8。

計(jì)算機(jī)聯(lián)鎖系統(tǒng)通常分為3層：聯(lián)鎖運(yùn)算層、執(zhí)行表示層、人機(jī)會話層。典型的業(yè)務(wù)流程為：人機(jī)會話層接受操作人員的指令，形成命令發(fā)送給聯(lián)鎖運(yùn)算層；聯(lián)鎖運(yùn)算層根據(jù)操作指令以及來自執(zhí)行表示層的設(shè)備狀態(tài)信息、歷史信息，根據(jù)聯(lián)鎖規(guī)則進(jìn)行運(yùn)算，形成輸出命令；執(zhí)行表示層根據(jù)聯(lián)鎖運(yùn)算層的命令驅(qū)動輸出，動作結(jié)合電路。

采用6502電氣集中電路時，對于需要人工確認(rèn)后操作的按鈕，采取了加鉛封的方法，減少錯誤操作的可能性，并提醒操作人員對破鉛封操作按規(guī)定進(jìn)行確認(rèn)。同時，破鉛封操作在一定程度上也意味著安全責(zé)任由信號設(shè)備向操作人員的轉(zhuǎn)移。

本文就人機(jī)會話層下發(fā)的操作命令進(jìn)行安全分析，給出幾種加強(qiáng)安全性的方案，并對每種方案的不足和優(yōu)點(diǎn)進(jìn)行對比分析。

2 安全分析

人機(jī)會話層為聯(lián)鎖系統(tǒng)的人機(jī)操作界面，值班員需要通過在MMI辦理操作，進(jìn)行進(jìn)路、信號、道岔以及其他按鈕的操作，完成包括選路、取消、人解、單操、單封、鈕封、引導(dǎo)、非進(jìn)路調(diào)車、上電解鎖、事故復(fù)原等功能。

MMI子系統(tǒng)下發(fā)的按鈕通常可以分為3種類型，如表1所示。

表1　MMI子系統(tǒng)下發(fā)按鈕類型表

如表1分析，根據(jù)《鐵路車站計(jì)算機(jī)聯(lián)鎖技術(shù)條件》中定義的危險(xiǎn)側(cè)輸出，以計(jì)算機(jī)聯(lián)鎖系統(tǒng)產(chǎn)生危險(xiǎn)側(cè)輸出作為頂事件，則第一類，第二類按鈕操作，都不會導(dǎo)致危險(xiǎn)側(cè)輸出，此處不考慮運(yùn)營風(fēng)險(xiǎn)。

第三類按鈕操作，由于聯(lián)鎖邏輯并不能提供完全的防護(hù)，某些聯(lián)鎖條件不能在聯(lián)鎖運(yùn)算層中得到檢查，需要操作人員根據(jù)要求進(jìn)行確認(rèn)，確認(rèn)后再進(jìn)行操作。如果操作人員未按規(guī)定進(jìn)行確認(rèn)，或操作人員并未操作此類按鈕，由于人機(jī)會話層故障，或由于聯(lián)鎖運(yùn)算層與人機(jī)會話層的通信交互出現(xiàn)問題，導(dǎo)致第三類按鈕錯誤按下，則會產(chǎn)生危險(xiǎn)側(cè)輸出，如圖1所示。

圖1　MMI子系統(tǒng)下發(fā)第三類按鈕操作錯誤示意圖

采用雙系熱備方式運(yùn)行的計(jì)算機(jī)聯(lián)鎖系統(tǒng)，聯(lián)鎖雙系間同步網(wǎng)出現(xiàn)異常后，如果此時主系發(fā)生故障，原來的備系升主系后，應(yīng)處于安全鎖閉狀態(tài)，以避免由于失去同步導(dǎo)致的列車運(yùn)行前方區(qū)段解鎖等風(fēng)險(xiǎn)。此時，操作人員應(yīng)按規(guī)定確認(rèn)一些條件，如控制范圍內(nèi)運(yùn)行的列車已經(jīng)停穩(wěn)，之后在人機(jī)會話層輸入密碼，進(jìn)行解鎖操作。聯(lián)鎖運(yùn)算層收到解鎖命令后，恢復(fù)正常運(yùn)行。

在聯(lián)鎖系統(tǒng)處于安全鎖閉狀態(tài)，等待操作人員進(jìn)行確認(rèn)期間，如果人機(jī)會話層發(fā)生故障，如硬件故障，未采取適當(dāng)?shù)陌踩雷o(hù)措施，則此故障可能導(dǎo)致解鎖命令錯誤下發(fā)。而此時操作人員并未按規(guī)定確認(rèn)完成，如果聯(lián)鎖運(yùn)算層無條件執(zhí)行解鎖命令，那么很可能導(dǎo)致正在運(yùn)行的列車前方區(qū)段解鎖，或場間聯(lián)鎖失去照查條件等錯誤輸出，從而導(dǎo)致行車危險(xiǎn)事件發(fā)生。

根據(jù)上面的分析，人機(jī)會話層的操作命令可分為3種，如表2所示。

表2　人機(jī)會話層操作命令類型表

3 安全防護(hù)

3.1實(shí)現(xiàn)方案

如第2章所述，一些既定操作，即所謂的安全相關(guān)操作，將繞過聯(lián)鎖系統(tǒng)自身的安全機(jī)制。在執(zhí)行這些操作時，通過特別的流程以避免操作、傳輸或計(jì)算錯誤導(dǎo)致錯誤命令輸出及意外。

安全相關(guān)操作的危害：聯(lián)鎖運(yùn)算層執(zhí)行了未經(jīng)操作人員的操作/確認(rèn)的安全相關(guān)操作命令。

針對該條危害，可以通過以下措施來對安全相關(guān)操作進(jìn)行防護(hù)，如表3所示。

表3　安全相關(guān)操作防護(hù)措施類型表

以上4種實(shí)現(xiàn)方案的對比說明如表4所示。

下面分別對4種方案的實(shí)現(xiàn)進(jìn)行簡單說明。

3.2方案一

本方案針對3.1節(jié)中提出的危害，分析人機(jī)會話層對該條危害的貢獻(xiàn)，對人機(jī)會話層直接提出安全需求。考慮到人機(jī)會話層的結(jié)構(gòu)約束和實(shí)現(xiàn)成本等（結(jié)構(gòu)約束指IEC61508中提到的硬件冗余度，如二取二，三取二，人機(jī)會話層考慮到實(shí)現(xiàn)和成本一般硬件冗余度為0），其承擔(dān)的安全功能達(dá)到SIL2要求比較合理。

該方案的優(yōu)點(diǎn)在于從整體系統(tǒng)角度具有較高的安全性，從傳統(tǒng)意義上人機(jī)會話層雖然沒有安全性要求，但一直有較高的可靠性要求。從第2章的安全分析來看，安全相關(guān)操作由于沒有足夠的聯(lián)鎖邏輯防護(hù)，如果不采取其他的安全防護(hù)措施，人機(jī)會話層的故障確實(shí)可能導(dǎo)致行車危險(xiǎn)。

人機(jī)會話層的安全功能除安全相關(guān)操作命令的下發(fā)外，也應(yīng)包括某些關(guān)鍵信息的顯示功能，如果人機(jī)會話層直接承擔(dān)安全功能，則其顯示功能也可以一并考慮進(jìn)來。

表4　安全相關(guān)操作防護(hù)措施方案對比及安全性評價表

3.3方案二

本方案是在人機(jī)會話層增加一個附加的硬件按鈕，該硬件按鈕的狀態(tài)由執(zhí)行表示層的安全采集單元采集，并將狀態(tài)傳遞給聯(lián)鎖運(yùn)算層作為判斷條件使用，如圖2所示。

圖2　人機(jī)會話層培設(shè)獨(dú)立硬件確認(rèn)按鈕結(jié)構(gòu)圖

當(dāng)操作人員進(jìn)行安全相關(guān)操作時，典型處理流程如下（以解除安全鎖閉為例）：

1）操作人員按下解除鎖閉按鈕，人機(jī)操作界面將命令下發(fā)給聯(lián)鎖運(yùn)算層，此時人機(jī)操作界面出現(xiàn)10 s倒計(jì)時。

2）在10 s倒計(jì)時內(nèi)，操作人員按下硬件按鈕進(jìn)行確認(rèn)。

3）聯(lián)鎖運(yùn)算層接收到人機(jī)操作界面的解除鎖閉命令后，開啟10 s的窗口，此窗口期間采集到硬件實(shí)體按鈕由抬起到按下的變化，執(zhí)行解除鎖閉的命令。

4）如果10 s內(nèi)操作人員未按下實(shí)體按鈕，則解除鎖閉命令不執(zhí)行。

5）如果解除鎖閉命令下發(fā)時，實(shí)體按鈕已經(jīng)在按下狀態(tài)，解除鎖閉命令也不執(zhí)行。

3.4方案三

根據(jù)《鐵路車站計(jì)算機(jī)聯(lián)鎖技術(shù)條件》的要求，當(dāng)采用鼠標(biāo)器作為操作設(shè)備時，對于帶鉛封相對應(yīng)的操作，應(yīng)增加輸入3位數(shù)字口令和再確認(rèn)的附加操作。

滿足該條要求，可以有兩種實(shí)現(xiàn)方式。

1）判斷3位數(shù)據(jù)口令以及再確認(rèn)的附加操作由人機(jī)會話層來完成，典型操作流程如下（以解除鎖閉為例）：

a.按下解除鎖閉按鈕；

b.人機(jī)會話層彈出口令對話框，操作人員輸入口令，點(diǎn)確認(rèn)；

c.人機(jī)會話層判斷口令正確后，將解除鎖閉命令發(fā)給聯(lián)鎖運(yùn)算層；

d.聯(lián)鎖運(yùn)算層收到命令后執(zhí)行。

2）判斷3位數(shù)據(jù)口令以及再確認(rèn)的附加操作由聯(lián)鎖運(yùn)算層來完成，典型操作流程如下（以解除鎖閉為例）：

a.按下解除鎖閉按鈕，人機(jī)會話層將按鈕按下狀態(tài)下發(fā)給聯(lián)鎖運(yùn)算層；

b.聯(lián)鎖運(yùn)算層收到按鈕命令后，啟動會話窗口，等待口令；

c.人機(jī)會話層彈出口令對話框，操作人員輸入口令，點(diǎn)確認(rèn)；

d.人機(jī)會話層將口令下發(fā)給聯(lián)鎖運(yùn)算層；

e.聯(lián)鎖運(yùn)算層在會話窗口時間內(nèi)收到正確口令后，執(zhí)行解除鎖閉命令。

當(dāng)人機(jī)會話層不承擔(dān)安全功能時，第二種實(shí)現(xiàn)方式相對于第一種實(shí)現(xiàn)方式，安全性更高，在很大程度上避免由于人機(jī)會話層軟件錯誤、硬件故障，以及兩層間通信導(dǎo)致的安全相關(guān)操作錯誤下發(fā)。

3.5方案四

本方案是借鑒安全通信實(shí)現(xiàn)中端到端的保護(hù)，通過在安全相關(guān)操作中增加基于預(yù)定規(guī)則的交互，來排除由于軟件、通信、硬件故障等可能導(dǎo)致安全相關(guān)操作錯誤下發(fā)。正如安全通信實(shí)現(xiàn)一般對通信通道不提出安全要求一樣，本方案不對人機(jī)會話層以及人機(jī)會話層與聯(lián)鎖運(yùn)算層的通道提出安全要求，安全主要通過預(yù)先定義的交互規(guī)則進(jìn)行保護(hù)。

仿照EN50159中的安全相關(guān)通信防護(hù)矩陣，提出安全相關(guān)操作的防護(hù)矩陣，如表5所示。

表5　安全相關(guān)操作防護(hù)矩陣表

仍然以解除安全鎖閉為例，典型的流程如下：

1）操作人員按下解除鎖閉按鈕，人機(jī)會話層將按鈕狀態(tài)下發(fā)給聯(lián)鎖運(yùn)算層；

2）聯(lián)鎖運(yùn)算層收到按鈕按下后，啟動該按鈕有效的TTL，如10 s，作為TTC，只有在TTC內(nèi)完成后續(xù)預(yù)定的交互，才認(rèn)為解除鎖閉按鈕有效；

3）聯(lián)鎖運(yùn)算層利用隨機(jī)數(shù)，生成RCP，如5位隨機(jī)確認(rèn)碼，返回給人機(jī)會話層；

4）人機(jī)會話層收到RCP后，彈出窗口，要求值班員輸入5位RCP中的第1，第3，第4位，作為OCP，下發(fā)給聯(lián)鎖運(yùn)算層；

5）聯(lián)鎖運(yùn)算層收到OCP后，檢查OCP是否與RCP一致，且是否在TTC內(nèi)，檢查條件滿足，則執(zhí)行解除鎖閉命令。

下面就本方案如何防護(hù)幾種典型故障進(jìn)行分析，具體如表6所示。

表6　典型故障防護(hù)分析表

需要說明的是，通過提高RCP的位數(shù)和隨機(jī)化程度，以及增加RCP與OCP關(guān)聯(lián)規(guī)則的復(fù)雜性，可以進(jìn)一步提高安全相關(guān)操作量化安全性。

4 總結(jié)

通過對計(jì)算機(jī)聯(lián)鎖系統(tǒng)中人機(jī)會話安全性的分析，以及本文提出的幾種安全防護(hù)方案的介紹和對比，希望為今后計(jì)算機(jī)聯(lián)鎖系統(tǒng)的發(fā)展提供借鑒，以提高人機(jī)會話層安全相關(guān)命令下發(fā)的安全性，從而提高整個計(jì)算機(jī)聯(lián)鎖系統(tǒng)的安全性。

［1］國家鐵路局.TB/T3027-2015 鐵路車站計(jì)算機(jī)聯(lián)鎖技術(shù)條件［S］.北京：中國鐵道出版社，2015.

The paper analyzes the safety of MMI layer in the computer-based interlocking system， puts forward the safety requirements of the MMI layer， and presents sevral safety function implementation methods with comparison among the options.

computer-baed interlocking； MMI Layer； safety related operation

10.3969/j.issn.1673-4440.2016.04.006

2016-04-18）