王非　劉斌　張大鵬

摘 要：鐵路信號產(chǎn)品通常由多個安全相關子系統(tǒng)構(gòu)成，各個安全相關子系統(tǒng)又由安全相關子模塊構(gòu)成，系統(tǒng)內(nèi)外均存在非安全相關子系統(tǒng)，因此，安全系統(tǒng)與外圍系統(tǒng)，系統(tǒng)內(nèi)部各模塊之間構(gòu)成了信息交互網(wǎng)絡，接口風險分析方法就是用于研究、分析各內(nèi)外接口之間存在哪些影響安全的風險，并給出如何防護這些風險的安全防護措施。本文將以安全級鐵路信號產(chǎn)品模型為例，研究如何做接口風險分析，并對接口分類討論，分別給出適用于各類接口的安全防護措施。

關鍵詞：鐵路信號 接口 風險分析方法 IHA

中圖分類號：U284 文獻標識碼：A 文章編號：1672-3791（2014）06（b）-0021-02

1 接口識別

在做接口風險分析之前，需要先研究系統(tǒng)的運營環(huán)境、識別系統(tǒng)邊界，系統(tǒng)與外部設備接口的類別及數(shù)量。其次，需要分析系統(tǒng)架構(gòu)，即分析系統(tǒng)內(nèi)部各模塊的構(gòu)成及結(jié)構(gòu)關系，識別系統(tǒng)內(nèi)部接口，了解內(nèi)部接口的類別及數(shù)量。

舉例說明，如圖1所示，安全相關系統(tǒng)外部有四個系統(tǒng)，分別為“外部設備1～4”，與這四個設備的接口均為外部接口；安全相關系統(tǒng)由兩個安全相關子系統(tǒng)構(gòu)成，分別為“安全相關子系統(tǒng)1”和“安全相關子系統(tǒng)2”，這類接口稱為內(nèi)部接口。即，本文的分析對象共有4個外部接口，2個內(nèi)部接口。

以安全相關系統(tǒng)中，安全相關子系統(tǒng)2為例，其架構(gòu)為兩個CPU、一個雙口RAM，一個外部接口模塊構(gòu)成，如圖2所示：CPU1和CPU2同時接收來自安全相關子系統(tǒng)1的通信數(shù)據(jù)（該接口為內(nèi)部接口1，通信接口），CPU1和CPU2通過雙口RAM進行數(shù)據(jù)交互，兩個CPU將邏輯處理結(jié)果通過內(nèi)部接口3發(fā)送給外部接口模塊，外部接口模塊將處理后的信號通過外部接口2發(fā)送外部設備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數(shù)字量接口、數(shù)據(jù)配置接口、人機接口。為了具體說明接口風險分析方法繼續(xù)上一章節(jié)舉例，做如下假設。（見表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來于接口的數(shù)據(jù)是一系列有規(guī)律的bit流，需要用協(xié)議來規(guī)定其規(guī)律性。

通信接口功能主要失效模式：接口數(shù)據(jù)錯誤；接口數(shù)據(jù)非法；接口數(shù)據(jù)順序錯誤；接口數(shù)據(jù)重復；接口數(shù)據(jù)被刪除；接口通信中斷。

失效原因：數(shù)據(jù)源發(fā)出的數(shù)據(jù)錯誤；數(shù)據(jù)在傳輸過程中由于干擾或串擾等而發(fā)生破壞；傳輸系統(tǒng)過載；物理鏈路損壞。

（2）數(shù)字量接口：數(shù)字量接口通常只有2種狀態(tài)：0、1。例如繼電器接口。

數(shù)字量接口功能主要失效模式：0錯誤獲取或發(fā)送為1；1錯誤獲取或發(fā)送為0；不能獲取或發(fā)送數(shù)字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數(shù)據(jù)配置接口：外部設備將系統(tǒng)所使用的數(shù)據(jù)下載到系統(tǒng)中某個存儲空間，供系統(tǒng)正常運行時讀取使用。

配置數(shù)據(jù)接口功能主要失效模式：配置的數(shù)據(jù)錯誤；系統(tǒng)讀取配置數(shù)據(jù)時出錯。

失效原因：提供的數(shù)據(jù)錯誤；數(shù)據(jù)配置工具失效；人員操作錯誤；存儲配置數(shù)據(jù)的硬件故障；系統(tǒng)軟件錯誤；傳輸出錯。

（4）人機接口：顯示及操作設備與安全相關系統(tǒng)之間的接口。

人機接口功能主要失效模式：人機接口輸入數(shù)據(jù)錯誤；通信中斷。

失效原因：人員操作錯誤；傳輸錯誤；通信鏈路損壞。

3 安全防護措施

對于不同類型的接口，其使用的安全防護措施是不同的，下面將按照接口分類，詳細闡述適用于各類接口的安全防護措施：

（1）通信接口。

通信接口主要防護措施可以參照EN50159的防護措施來提出（見表2）。

（2）數(shù)字量接口安全防護措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側(cè)的數(shù)字量狀態(tài)作為故障狀態(tài)時的輸出。即故障導向安全設計。

②狀態(tài)回采并表決。

（3）人機接口安全防護措施。

①接收非安全設備發(fā)送的數(shù)據(jù)時，應按照EN50159中規(guī)定的方法采取防護措施，參見“通信接口安全防護措施”。

②數(shù)據(jù)錄入時盡量使用選擇數(shù)據(jù)的方式，以減少人為出錯的概率。

（4）數(shù)據(jù)配置接口安全防護措施。

配置數(shù)據(jù)應設置校核字段，安全相關系統(tǒng)在使用配置數(shù)據(jù)時，應保證數(shù)據(jù)校核成功。當數(shù)據(jù)校核異常時，應使系統(tǒng)導向安全側(cè)。

4 結(jié)語

在對安全相關系統(tǒng)進行接口風險分析時，應根據(jù)具體情況盡量全面的評估存在的風險，根據(jù)風險特征和系統(tǒng)固有的設計來提出適用的安全防護措施。本文列舉出的安全防護措施僅供參考。endprint

摘 要：鐵路信號產(chǎn)品通常由多個安全相關子系統(tǒng)構(gòu)成，各個安全相關子系統(tǒng)又由安全相關子模塊構(gòu)成，系統(tǒng)內(nèi)外均存在非安全相關子系統(tǒng)，因此，安全系統(tǒng)與外圍系統(tǒng)，系統(tǒng)內(nèi)部各模塊之間構(gòu)成了信息交互網(wǎng)絡，接口風險分析方法就是用于研究、分析各內(nèi)外接口之間存在哪些影響安全的風險，并給出如何防護這些風險的安全防護措施。本文將以安全級鐵路信號產(chǎn)品模型為例，研究如何做接口風險分析，并對接口分類討論，分別給出適用于各類接口的安全防護措施。

關鍵詞：鐵路信號 接口 風險分析方法 IHA

中圖分類號：U284 文獻標識碼：A 文章編號：1672-3791（2014）06（b）-0021-02

1 接口識別

在做接口風險分析之前，需要先研究系統(tǒng)的運營環(huán)境、識別系統(tǒng)邊界，系統(tǒng)與外部設備接口的類別及數(shù)量。其次，需要分析系統(tǒng)架構(gòu)，即分析系統(tǒng)內(nèi)部各模塊的構(gòu)成及結(jié)構(gòu)關系，識別系統(tǒng)內(nèi)部接口，了解內(nèi)部接口的類別及數(shù)量。

舉例說明，如圖1所示，安全相關系統(tǒng)外部有四個系統(tǒng)，分別為“外部設備1～4”，與這四個設備的接口均為外部接口；安全相關系統(tǒng)由兩個安全相關子系統(tǒng)構(gòu)成，分別為“安全相關子系統(tǒng)1”和“安全相關子系統(tǒng)2”，這類接口稱為內(nèi)部接口。即，本文的分析對象共有4個外部接口，2個內(nèi)部接口。

以安全相關系統(tǒng)中，安全相關子系統(tǒng)2為例，其架構(gòu)為兩個CPU、一個雙口RAM，一個外部接口模塊構(gòu)成，如圖2所示：CPU1和CPU2同時接收來自安全相關子系統(tǒng)1的通信數(shù)據(jù)（該接口為內(nèi)部接口1，通信接口），CPU1和CPU2通過雙口RAM進行數(shù)據(jù)交互，兩個CPU將邏輯處理結(jié)果通過內(nèi)部接口3發(fā)送給外部接口模塊，外部接口模塊將處理后的信號通過外部接口2發(fā)送外部設備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數(shù)字量接口、數(shù)據(jù)配置接口、人機接口。為了具體說明接口風險分析方法繼續(xù)上一章節(jié)舉例，做如下假設。（見表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來于接口的數(shù)據(jù)是一系列有規(guī)律的bit流，需要用協(xié)議來規(guī)定其規(guī)律性。

通信接口功能主要失效模式：接口數(shù)據(jù)錯誤；接口數(shù)據(jù)非法；接口數(shù)據(jù)順序錯誤；接口數(shù)據(jù)重復；接口數(shù)據(jù)被刪除；接口通信中斷。

失效原因：數(shù)據(jù)源發(fā)出的數(shù)據(jù)錯誤；數(shù)據(jù)在傳輸過程中由于干擾或串擾等而發(fā)生破壞；傳輸系統(tǒng)過載；物理鏈路損壞。

（2）數(shù)字量接口：數(shù)字量接口通常只有2種狀態(tài)：0、1。例如繼電器接口。

數(shù)字量接口功能主要失效模式：0錯誤獲取或發(fā)送為1；1錯誤獲取或發(fā)送為0；不能獲取或發(fā)送數(shù)字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數(shù)據(jù)配置接口：外部設備將系統(tǒng)所使用的數(shù)據(jù)下載到系統(tǒng)中某個存儲空間，供系統(tǒng)正常運行時讀取使用。

配置數(shù)據(jù)接口功能主要失效模式：配置的數(shù)據(jù)錯誤；系統(tǒng)讀取配置數(shù)據(jù)時出錯。

失效原因：提供的數(shù)據(jù)錯誤；數(shù)據(jù)配置工具失效；人員操作錯誤；存儲配置數(shù)據(jù)的硬件故障；系統(tǒng)軟件錯誤；傳輸出錯。

（4）人機接口：顯示及操作設備與安全相關系統(tǒng)之間的接口。

人機接口功能主要失效模式：人機接口輸入數(shù)據(jù)錯誤；通信中斷。

失效原因：人員操作錯誤；傳輸錯誤；通信鏈路損壞。

3 安全防護措施

對于不同類型的接口，其使用的安全防護措施是不同的，下面將按照接口分類，詳細闡述適用于各類接口的安全防護措施：

（1）通信接口。

通信接口主要防護措施可以參照EN50159的防護措施來提出（見表2）。

（2）數(shù)字量接口安全防護措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側(cè)的數(shù)字量狀態(tài)作為故障狀態(tài)時的輸出。即故障導向安全設計。

②狀態(tài)回采并表決。

（3）人機接口安全防護措施。

①接收非安全設備發(fā)送的數(shù)據(jù)時，應按照EN50159中規(guī)定的方法采取防護措施，參見“通信接口安全防護措施”。

②數(shù)據(jù)錄入時盡量使用選擇數(shù)據(jù)的方式，以減少人為出錯的概率。

（4）數(shù)據(jù)配置接口安全防護措施。

配置數(shù)據(jù)應設置校核字段，安全相關系統(tǒng)在使用配置數(shù)據(jù)時，應保證數(shù)據(jù)校核成功。當數(shù)據(jù)校核異常時，應使系統(tǒng)導向安全側(cè)。

4 結(jié)語

在對安全相關系統(tǒng)進行接口風險分析時，應根據(jù)具體情況盡量全面的評估存在的風險，根據(jù)風險特征和系統(tǒng)固有的設計來提出適用的安全防護措施。本文列舉出的安全防護措施僅供參考。endprint

摘 要：鐵路信號產(chǎn)品通常由多個安全相關子系統(tǒng)構(gòu)成，各個安全相關子系統(tǒng)又由安全相關子模塊構(gòu)成，系統(tǒng)內(nèi)外均存在非安全相關子系統(tǒng)，因此，安全系統(tǒng)與外圍系統(tǒng)，系統(tǒng)內(nèi)部各模塊之間構(gòu)成了信息交互網(wǎng)絡，接口風險分析方法就是用于研究、分析各內(nèi)外接口之間存在哪些影響安全的風險，并給出如何防護這些風險的安全防護措施。本文將以安全級鐵路信號產(chǎn)品模型為例，研究如何做接口風險分析，并對接口分類討論，分別給出適用于各類接口的安全防護措施。

關鍵詞：鐵路信號 接口 風險分析方法 IHA

中圖分類號：U284 文獻標識碼：A 文章編號：1672-3791（2014）06（b）-0021-02

1 接口識別

在做接口風險分析之前，需要先研究系統(tǒng)的運營環(huán)境、識別系統(tǒng)邊界，系統(tǒng)與外部設備接口的類別及數(shù)量。其次，需要分析系統(tǒng)架構(gòu)，即分析系統(tǒng)內(nèi)部各模塊的構(gòu)成及結(jié)構(gòu)關系，識別系統(tǒng)內(nèi)部接口，了解內(nèi)部接口的類別及數(shù)量。

舉例說明，如圖1所示，安全相關系統(tǒng)外部有四個系統(tǒng)，分別為“外部設備1～4”，與這四個設備的接口均為外部接口；安全相關系統(tǒng)由兩個安全相關子系統(tǒng)構(gòu)成，分別為“安全相關子系統(tǒng)1”和“安全相關子系統(tǒng)2”，這類接口稱為內(nèi)部接口。即，本文的分析對象共有4個外部接口，2個內(nèi)部接口。

以安全相關系統(tǒng)中，安全相關子系統(tǒng)2為例，其架構(gòu)為兩個CPU、一個雙口RAM，一個外部接口模塊構(gòu)成，如圖2所示：CPU1和CPU2同時接收來自安全相關子系統(tǒng)1的通信數(shù)據(jù)（該接口為內(nèi)部接口1，通信接口），CPU1和CPU2通過雙口RAM進行數(shù)據(jù)交互，兩個CPU將邏輯處理結(jié)果通過內(nèi)部接口3發(fā)送給外部接口模塊，外部接口模塊將處理后的信號通過外部接口2發(fā)送外部設備2。

2 接口分類

通常，接口可以分為以下幾類：通信接口、數(shù)字量接口、數(shù)據(jù)配置接口、人機接口。為了具體說明接口風險分析方法繼續(xù)上一章節(jié)舉例，做如下假設。（見表1）

通常接口類別不同，其失效模式也不同：

（1）通信接口：往來于接口的數(shù)據(jù)是一系列有規(guī)律的bit流，需要用協(xié)議來規(guī)定其規(guī)律性。

通信接口功能主要失效模式：接口數(shù)據(jù)錯誤；接口數(shù)據(jù)非法；接口數(shù)據(jù)順序錯誤；接口數(shù)據(jù)重復；接口數(shù)據(jù)被刪除；接口通信中斷。

失效原因：數(shù)據(jù)源發(fā)出的數(shù)據(jù)錯誤；數(shù)據(jù)在傳輸過程中由于干擾或串擾等而發(fā)生破壞；傳輸系統(tǒng)過載；物理鏈路損壞。

（2）數(shù)字量接口：數(shù)字量接口通常只有2種狀態(tài)：0、1。例如繼電器接口。

數(shù)字量接口功能主要失效模式：0錯誤獲取或發(fā)送為1；1錯誤獲取或發(fā)送為0；不能獲取或發(fā)送數(shù)字量。

失效原因：通信鏈路損壞；電磁干擾。

（3）數(shù)據(jù)配置接口：外部設備將系統(tǒng)所使用的數(shù)據(jù)下載到系統(tǒng)中某個存儲空間，供系統(tǒng)正常運行時讀取使用。

配置數(shù)據(jù)接口功能主要失效模式：配置的數(shù)據(jù)錯誤；系統(tǒng)讀取配置數(shù)據(jù)時出錯。

失效原因：提供的數(shù)據(jù)錯誤；數(shù)據(jù)配置工具失效；人員操作錯誤；存儲配置數(shù)據(jù)的硬件故障；系統(tǒng)軟件錯誤；傳輸出錯。

（4）人機接口：顯示及操作設備與安全相關系統(tǒng)之間的接口。

人機接口功能主要失效模式：人機接口輸入數(shù)據(jù)錯誤；通信中斷。

失效原因：人員操作錯誤；傳輸錯誤；通信鏈路損壞。

3 安全防護措施

對于不同類型的接口，其使用的安全防護措施是不同的，下面將按照接口分類，詳細闡述適用于各類接口的安全防護措施：

（1）通信接口。

通信接口主要防護措施可以參照EN50159的防護措施來提出（見表2）。

（2）數(shù)字量接口安全防護措施。

①如果外接繼電器，宜選用安全型繼電器，使用安全側(cè)的數(shù)字量狀態(tài)作為故障狀態(tài)時的輸出。即故障導向安全設計。

②狀態(tài)回采并表決。

（3）人機接口安全防護措施。

①接收非安全設備發(fā)送的數(shù)據(jù)時，應按照EN50159中規(guī)定的方法采取防護措施，參見“通信接口安全防護措施”。

②數(shù)據(jù)錄入時盡量使用選擇數(shù)據(jù)的方式，以減少人為出錯的概率。

（4）數(shù)據(jù)配置接口安全防護措施。

配置數(shù)據(jù)應設置校核字段，安全相關系統(tǒng)在使用配置數(shù)據(jù)時，應保證數(shù)據(jù)校核成功。當數(shù)據(jù)校核異常時，應使系統(tǒng)導向安全側(cè)。

4 結(jié)語

在對安全相關系統(tǒng)進行接口風險分析時，應根據(jù)具體情況盡量全面的評估存在的風險，根據(jù)風險特征和系統(tǒng)固有的設計來提出適用的安全防護措施。本文列舉出的安全防護措施僅供參考。endprint