張唯歡

摘 要：隨著城市化的進(jìn)程逐步加快，軌道交通的自動(dòng)化程度越來(lái)越高，以計(jì)算機(jī)控制為核心的軌道交通的運(yùn)營(yíng)正朝著開(kāi)放化、軟件化、網(wǎng)絡(luò)化、智能化等方向發(fā)展。自動(dòng)售檢票系統(tǒng)（AFC）是基于計(jì)算機(jī)、通信、網(wǎng)絡(luò)和自動(dòng)控制等技術(shù)，實(shí)現(xiàn)軌道交通售票、檢票、計(jì)費(fèi)、收費(fèi)、統(tǒng)計(jì)、清分和管理等全過(guò)程的系統(tǒng)。由于地鐵線路的特殊性，如何取代人工手動(dòng)方式，進(jìn)行高效且低成本的軟件升級(jí)維護(hù)并能夠?qū)FC 系統(tǒng)中眾多的軟件版本信息進(jìn)行管理已經(jīng)成為新的挑戰(zhàn)。

關(guān)鍵詞：AFC軟件升級(jí)流程風(fēng)險(xiǎn)分析與應(yīng)對(duì)

前言：對(duì)自動(dòng)售檢票系統(tǒng)進(jìn)行軟件升級(jí)是不斷滿足運(yùn)營(yíng)建設(shè)的必然要求，直接關(guān)系到運(yùn)營(yíng)的生產(chǎn)經(jīng)營(yíng)。然而，就目前售檢票系統(tǒng)運(yùn)作來(lái)看，系統(tǒng)下載升級(jí)帶來(lái)諸多風(fēng)險(xiǎn)問(wèn)題，在現(xiàn)有的規(guī)章流程下也存在一定的潛在風(fēng)險(xiǎn)。這就對(duì)票務(wù)收集造成一定的安全隱患，威脅票務(wù)系統(tǒng)的安全。

一、AFC 系統(tǒng)結(jié)構(gòu)

AFC 的結(jié)構(gòu)可劃分為車(chē)票、車(chē)站終端設(shè)備、車(chē)站計(jì)算機(jī)系統(tǒng)、線路中央計(jì)

算機(jī)系統(tǒng)、清分系統(tǒng)五個(gè)層次。層次結(jié)構(gòu)是按照全封閉的運(yùn)行方式，以計(jì)程收費(fèi)模式為基礎(chǔ)，采用非接觸式IC 卡為車(chē)票介質(zhì)的組成原則，根據(jù)各層次設(shè)備和子系統(tǒng)各自的功能、管理職能和所處的位置進(jìn)行劃分的。目前確定的五層結(jié)構(gòu)，是根據(jù)我國(guó)國(guó)情和城市發(fā)展現(xiàn)狀，綜合考慮了軌道交通建設(shè)的特點(diǎn)（如線路多而復(fù)雜、建設(shè)周期長(zhǎng)、多個(gè)業(yè)主單位等情況）而設(shè)置的，具有一定的可伸縮性。對(duì)各層次必須實(shí)現(xiàn)的功能和要求做出如下規(guī)定。第一層：車(chē)票。車(chē)票是乘客所持的車(chē)費(fèi)支付媒介，規(guī)定了儲(chǔ)值卡和單程票二種類(lèi)型的物理特性、電氣特性、應(yīng)用文件組織以及安全機(jī)制等技術(shù)要求。第二層：車(chē)站終端設(shè)備。車(chē)站終端設(shè)備安裝在各車(chē)站的站廳，直接為乘客提供售檢票服務(wù)的設(shè)備，規(guī)定了車(chē)站終端設(shè)備及其運(yùn)營(yíng)管理的技術(shù)要求，如自動(dòng)售票機(jī)（TVM），自動(dòng)檢票機(jī)又稱出入站閘機(jī)（AGM）。第三層：車(chē)站計(jì)算機(jī)系統(tǒng)，即為車(chē)站管理中心（SC）。其主要功能是對(duì)第二層車(chē)站終端設(shè)備進(jìn)行狀態(tài)監(jiān)控、以及收集本站產(chǎn)生的交易和審計(jì)數(shù)據(jù)，規(guī)定了系統(tǒng)的數(shù)據(jù)管理、運(yùn)營(yíng)管理及系統(tǒng)維護(hù)管理的技術(shù)要求。第四層：線路中央計(jì)算機(jī)系統(tǒng)。其主要功能是收集本線路AFC 系統(tǒng)產(chǎn)生的交易和審計(jì)數(shù)據(jù)，并將此數(shù)據(jù)傳送給城市軌道交通清分系統(tǒng)，以及與其進(jìn)行對(duì)帳，規(guī)定了對(duì)該線路的車(chē)票票務(wù)管理、運(yùn)營(yíng)管理及系統(tǒng)維護(hù)的技術(shù)要求。第五層：清分系統(tǒng)。其主要功能是統(tǒng)一城市軌道交通AFC 系統(tǒng)內(nèi)部的各種運(yùn)行參數(shù)、收集城市軌道交通AFC 系統(tǒng)產(chǎn)生的交易和審計(jì)數(shù)據(jù)并進(jìn)行數(shù)據(jù)清分和對(duì)帳、同時(shí)負(fù)責(zé)連接城市軌道交通AFC 系統(tǒng)和城市一卡通清分系統(tǒng)，規(guī)定了對(duì)車(chē)票管理、票務(wù)管理、運(yùn)營(yíng)管理和系統(tǒng)維護(hù)管理的技術(shù)要求。

二、AFC軟件升級(jí)流程風(fēng)險(xiǎn)分析

2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全及病毒防護(hù)的風(fēng)險(xiǎn)。2.1.1 計(jì)算機(jī)病毒的特點(diǎn)和傳播方式。計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)：傳染性、潛伏性、隱蔽性、破壞性。計(jì)算機(jī)病毒傳播渠道通常有以下幾種：通過(guò)可移動(dòng)存儲(chǔ)設(shè)備傳播、通過(guò)網(wǎng)絡(luò)傳播、通過(guò)計(jì)算機(jī)專(zhuān)用ASCI芯片和硬盤(pán)等不可移動(dòng)設(shè)備傳播，或者點(diǎn)對(duì)點(diǎn)通過(guò)通信系統(tǒng)和無(wú)線通道傳播。2.1.2 升級(jí)下載過(guò)程中病毒風(fēng)險(xiǎn)分析。就目前軟件或參數(shù)的升級(jí)下載都是從供貨商提供的測(cè)試軟件拷貝到實(shí)驗(yàn)室測(cè)試，再由實(shí)驗(yàn)室拷貝到下發(fā)參數(shù)的設(shè)備，基本都是通過(guò)專(zhuān)用存儲(chǔ)工具或者郵件傳輸，整個(gè)傳輸過(guò)程都有可能受到病毒的感染。AFC系統(tǒng)一旦發(fā)生病毒感染，對(duì)設(shè)備和數(shù)據(jù)都具有強(qiáng)大的破壞能力。

2.2數(shù)據(jù)傳輸過(guò)程風(fēng)險(xiǎn)。2.2.1 TVM權(quán)限參數(shù)下載過(guò)程中丟失的案例。某日凌晨，LCC向車(chē)站SC發(fā)出接收0700新版本參數(shù)的命令，但因通信中斷而被送入LCC緩存中;通信程序恢復(fù)連接后，LCC將緩存中的命令下發(fā)給SC，SC將新版0700參數(shù)從下載目錄拷貝至SLE設(shè)備下載的FTP目錄時(shí)，拷貝的文件大小變小了，只拷貝了原來(lái)文件的2/3的內(nèi)容，通過(guò)查看異常0700參數(shù)的內(nèi)容發(fā)現(xiàn)缺少CRC編碼和相應(yīng)的權(quán)限設(shè)置。TVM收到SC更新參數(shù)的消息后，將內(nèi)容不全的0700參數(shù)下載到了本地，同時(shí)刪除了本地原來(lái)的舊版本參數(shù)，造成本次全站TVM操作權(quán)限丟失。2.2.2 數(shù)據(jù)傳輸過(guò)程風(fēng)險(xiǎn)風(fēng)險(xiǎn)分析。此類(lèi)參數(shù)下載更新過(guò)程中由于存在傳輸過(guò)程中受到一定原因的干擾組成數(shù)據(jù)傳輸不全導(dǎo)致的全站故障，其原因包括數(shù)據(jù)校驗(yàn)失敗、數(shù)據(jù)丟包、數(shù)據(jù)損壞等，在另一方面也說(shuō)明傳輸設(shè)備和校驗(yàn)機(jī)制也存在一定的安全隱患風(fēng)險(xiǎn)。

2.3 設(shè)備發(fā)生異常的風(fēng)險(xiǎn)。2.3.1 故障閘機(jī)升級(jí)失敗的案例。某日，在完成了對(duì)閘機(jī)主程序及讀卡器版本的升級(jí)工作后，車(chē)站反映閘機(jī)暫停服務(wù)，SC工作站監(jiān)控界面顯示無(wú)通信。用鍵盤(pán)進(jìn)入閘機(jī)軟件查看時(shí)發(fā)現(xiàn)錯(cuò)誤提示框。2.3.2 設(shè)備發(fā)生異常的升級(jí)風(fēng)險(xiǎn)分析。經(jīng)技術(shù)人員檢查分析，閘機(jī)升級(jí)后出現(xiàn)網(wǎng)絡(luò)中斷并彈錯(cuò)誤提示框故障是由于軟件升級(jí)后出現(xiàn)交易文件損壞導(dǎo)致閘機(jī)軟件運(yùn)行環(huán)境出現(xiàn)錯(cuò)誤，這種故障的發(fā)生可以通過(guò)重做閘機(jī)軟件來(lái)完成修復(fù)工作。在升級(jí)站級(jí)軟件時(shí)必須嚴(yán)格按照正規(guī)流程進(jìn)行參數(shù)的下載和設(shè)備的重啟工作，避免設(shè)備發(fā)生異常時(shí)進(jìn)行升級(jí)，造成一定的升級(jí)失敗風(fēng)險(xiǎn)。

三、降低風(fēng)險(xiǎn)的可行性分析

3.1 加強(qiáng)軟件下載過(guò)程管理。3.1.1 軟件供應(yīng)商管理。對(duì)軟件供應(yīng)商的管理就是為了提高產(chǎn)品的質(zhì)量，從源頭把關(guān)消除軟件缺陷帶來(lái)的一系列風(fēng)險(xiǎn)。對(duì)供貨商的有效管理，必須建立和完善有效的準(zhǔn)入流程，按標(biāo)準(zhǔn)嚴(yán)格執(zhí)行。要求供貨商提供完善有效的升級(jí)保障措施、升級(jí)風(fēng)險(xiǎn)控制及如何承擔(dān)升級(jí)后造成的損失。對(duì)供貨商啟動(dòng)定期評(píng)審機(jī)制，評(píng)估其技術(shù)水平是否達(dá)到要求。3.1.2 軟件測(cè)試管理。對(duì)所要升級(jí)的軟件或者參數(shù)是否符合現(xiàn)場(chǎng)使用的要求，就必須經(jīng)過(guò)一套嚴(yán)格的測(cè)試過(guò)程，對(duì)測(cè)試數(shù)據(jù)進(jìn)行收集、整理、分析，整個(gè)過(guò)程嚴(yán)謹(jǐn)而復(fù)雜。對(duì)軟件測(cè)試進(jìn)行有效地管理，就必須組建立一只技術(shù)過(guò)硬的測(cè)試團(tuán)隊(duì)，良好的測(cè)試環(huán)境以及測(cè)試流程制度，軟件版本管理制度等。3.1.3 專(zhuān)業(yè)下載人員管理。任何系統(tǒng)的運(yùn)作都離不開(kāi)人員的操作，因此在相對(duì)穩(wěn)定、安全的設(shè)備基礎(chǔ)上，提高操作人員的專(zhuān)業(yè)技能，規(guī)范操作人員的操作，將更進(jìn)一步確保軟件下載的安全穩(wěn)定，有效減少因人員問(wèn)題造成的風(fēng)險(xiǎn)。3.1.4 軟件下載升級(jí)工具管理。軟件下載工具是指在整個(gè)升級(jí)過(guò)程中傳輸軟件的承載工具，目前包括：發(fā)送設(shè)備、接收設(shè)備、存儲(chǔ)介質(zhì)和升級(jí)失敗后的輔助工具。

3.2 建立完善的自動(dòng)升級(jí)回滾系統(tǒng)。AFC系統(tǒng)升級(jí)是指對(duì)AFC系統(tǒng)運(yùn)行的各類(lèi)軟件進(jìn)行漏洞修補(bǔ)、增加刪除軟件功能、更新設(shè)備運(yùn)行參數(shù);自動(dòng)體現(xiàn)在升級(jí)過(guò)程中不需要人工干預(yù)，選擇升級(jí)模式和升級(jí)包后確定升級(jí)對(duì)象，自動(dòng)升級(jí)系統(tǒng)能夠自動(dòng)完成升級(jí)任務(wù);由于升級(jí)操作是AFC系統(tǒng)中很重要的操作，不僅需要對(duì)軟件的版本進(jìn)行管理，而且需要對(duì)升級(jí)過(guò)程、升級(jí)結(jié)果進(jìn)行跟蹤記錄，同時(shí)對(duì)升級(jí)后發(fā)生異常的，可以進(jìn)行版本回滾，降至上一版本使用，最大限度地保障運(yùn)營(yíng)設(shè)備的安全使用。

結(jié)束語(yǔ)：

通過(guò)對(duì)AFC系統(tǒng)的部分專(zhuān)業(yè)知識(shí)介紹以及案例分析，闡述了AFC系統(tǒng)軟件下載過(guò)程中受到的潛在風(fēng)險(xiǎn)影響，并根據(jù)分析對(duì)降低該風(fēng)險(xiǎn)點(diǎn)采取措施，提高AFC軟件升級(jí)工作的安全性，降低AFC系統(tǒng)軟件升級(jí)造成的影響，為安全運(yùn)營(yíng)打下堅(jiān)實(shí)基礎(chǔ)。目前AFC系統(tǒng)的升級(jí)現(xiàn)狀和本人知識(shí)水平限制，部分分析結(jié)論還有待完善之處，將在今后的工作中做進(jìn)一步地改進(jìn)。

參考文獻(xiàn)：

[1]孫立中.軌道交通AFC 系統(tǒng)軟件自動(dòng)升級(jí)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].哈爾濱工業(yè)大學(xué)，2018.

[2]蔡靜瑤.地鐵AFC 系統(tǒng)中的票務(wù)收益安全淺析[J].科技風(fēng)，2019（8）：249-249.