孫 寧 邱兆陽

（北京全路通信信號研究設(shè)計院集團有限公司，北京 100070）

計算機聯(lián)鎖系統(tǒng)中人機會話層安全分析

孫 寧 邱兆陽

（北京全路通信信號研究設(shè)計院集團有限公司，北京 100070）

就計算機聯(lián)鎖系統(tǒng)中人機會話層的安全性進行分析，提出人機會話層的安全功能要求，并給出實現(xiàn)安全功能的幾種實現(xiàn)方式以及幾種方案的對比。

計算機聯(lián)鎖；人機會話層；安全相關(guān)操作

1 概述

計算機聯(lián)鎖系統(tǒng)目前已經(jīng)得到廣泛的應(yīng)用，尤其是在近年建設(shè)的高速鐵路項目中，車站的信號控制系統(tǒng)基本上不再采用傳統(tǒng)的電氣集中繼電式聯(lián)鎖。聯(lián)鎖系統(tǒng)作為車站信號設(shè)備中的基本系統(tǒng)，對其安全性的要求一直很高，根據(jù)最新發(fā)布的《鐵路車站計算機聯(lián)鎖技術(shù)條件》7.1.3的要求，計算機聯(lián)鎖系統(tǒng)的安全性指標，每功能每小時容許危險率（THR）10-9≤THR＜10-8。

計算機聯(lián)鎖系統(tǒng)通常分為3層：聯(lián)鎖運算層、執(zhí)行表示層、人機會話層。典型的業(yè)務(wù)流程為：人機會話層接受操作人員的指令，形成命令發(fā)送給聯(lián)鎖運算層；聯(lián)鎖運算層根據(jù)操作指令以及來自執(zhí)行表示層的設(shè)備狀態(tài)信息、歷史信息，根據(jù)聯(lián)鎖規(guī)則進行運算，形成輸出命令；執(zhí)行表示層根據(jù)聯(lián)鎖運算層的命令驅(qū)動輸出，動作結(jié)合電路。

采用6502電氣集中電路時，對于需要人工確認后操作的按鈕，采取了加鉛封的方法，減少錯誤操作的可能性，并提醒操作人員對破鉛封操作按規(guī)定進行確認。同時，破鉛封操作在一定程度上也意味著安全責(zé)任由信號設(shè)備向操作人員的轉(zhuǎn)移。

本文就人機會話層下發(fā)的操作命令進行安全分析，給出幾種加強安全性的方案，并對每種方案的不足和優(yōu)點進行對比分析。

2 安全分析

人機會話層為聯(lián)鎖系統(tǒng)的人機操作界面，值班員需要通過在MMI辦理操作，進行進路、信號、道岔以及其他按鈕的操作，完成包括選路、取消、人解、單操、單封、鈕封、引導(dǎo)、非進路調(diào)車、上電解鎖、事故復(fù)原等功能。

MMI子系統(tǒng)下發(fā)的按鈕通常可以分為3種類型，如表1所示。

表1　MMI子系統(tǒng)下發(fā)按鈕類型表

如表1分析，根據(jù)《鐵路車站計算機聯(lián)鎖技術(shù)條件》中定義的危險側(cè)輸出，以計算機聯(lián)鎖系統(tǒng)產(chǎn)生危險側(cè)輸出作為頂事件，則第一類，第二類按鈕操作，都不會導(dǎo)致危險側(cè)輸出，此處不考慮運營風(fēng)險。

第三類按鈕操作，由于聯(lián)鎖邏輯并不能提供完全的防護，某些聯(lián)鎖條件不能在聯(lián)鎖運算層中得到檢查，需要操作人員根據(jù)要求進行確認，確認后再進行操作。如果操作人員未按規(guī)定進行確認，或操作人員并未操作此類按鈕，由于人機會話層故障，或由于聯(lián)鎖運算層與人機會話層的通信交互出現(xiàn)問題，導(dǎo)致第三類按鈕錯誤按下，則會產(chǎn)生危險側(cè)輸出，如圖1所示。

圖1　MMI子系統(tǒng)下發(fā)第三類按鈕操作錯誤示意圖

采用雙系熱備方式運行的計算機聯(lián)鎖系統(tǒng)，聯(lián)鎖雙系間同步網(wǎng)出現(xiàn)異常后，如果此時主系發(fā)生故障，原來的備系升主系后，應(yīng)處于安全鎖閉狀態(tài)，以避免由于失去同步導(dǎo)致的列車運行前方區(qū)段解鎖等風(fēng)險。此時，操作人員應(yīng)按規(guī)定確認一些條件，如控制范圍內(nèi)運行的列車已經(jīng)停穩(wěn)，之后在人機會話層輸入密碼，進行解鎖操作。聯(lián)鎖運算層收到解鎖命令后，恢復(fù)正常運行。

在聯(lián)鎖系統(tǒng)處于安全鎖閉狀態(tài)，等待操作人員進行確認期間，如果人機會話層發(fā)生故障，如硬件故障，未采取適當?shù)陌踩雷o措施，則此故障可能導(dǎo)致解鎖命令錯誤下發(fā)。而此時操作人員并未按規(guī)定確認完成，如果聯(lián)鎖運算層無條件執(zhí)行解鎖命令，那么很可能導(dǎo)致正在運行的列車前方區(qū)段解鎖，或場間聯(lián)鎖失去照查條件等錯誤輸出，從而導(dǎo)致行車危險事件發(fā)生。

根據(jù)上面的分析，人機會話層的操作命令可分為3種，如表2所示。

表2　人機會話層操作命令類型表

3 安全防護

3.1實現(xiàn)方案

如第2章所述，一些既定操作，即所謂的安全相關(guān)操作，將繞過聯(lián)鎖系統(tǒng)自身的安全機制。在執(zhí)行這些操作時，通過特別的流程以避免操作、傳輸或計算錯誤導(dǎo)致錯誤命令輸出及意外。

安全相關(guān)操作的危害：聯(lián)鎖運算層執(zhí)行了未經(jīng)操作人員的操作/確認的安全相關(guān)操作命令。

針對該條危害，可以通過以下措施來對安全相關(guān)操作進行防護，如表3所示。

表3　安全相關(guān)操作防護措施類型表

以上4種實現(xiàn)方案的對比說明如表4所示。

下面分別對4種方案的實現(xiàn)進行簡單說明。

3.2方案一

本方案針對3.1節(jié)中提出的危害，分析人機會話層對該條危害的貢獻，對人機會話層直接提出安全需求?？紤]到人機會話層的結(jié)構(gòu)約束和實現(xiàn)成本等（結(jié)構(gòu)約束指IEC61508中提到的硬件冗余度，如二取二，三取二，人機會話層考慮到實現(xiàn)和成本一般硬件冗余度為0），其承擔(dān)的安全功能達到SIL2要求比較合理。

該方案的優(yōu)點在于從整體系統(tǒng)角度具有較高的安全性，從傳統(tǒng)意義上人機會話層雖然沒有安全性要求，但一直有較高的可靠性要求。從第2章的安全分析來看，安全相關(guān)操作由于沒有足夠的聯(lián)鎖邏輯防護，如果不采取其他的安全防護措施，人機會話層的故障確實可能導(dǎo)致行車危險。

人機會話層的安全功能除安全相關(guān)操作命令的下發(fā)外，也應(yīng)包括某些關(guān)鍵信息的顯示功能，如果人機會話層直接承擔(dān)安全功能，則其顯示功能也可以一并考慮進來。

表4　安全相關(guān)操作防護措施方案對比及安全性評價表

3.3方案二

本方案是在人機會話層增加一個附加的硬件按鈕，該硬件按鈕的狀態(tài)由執(zhí)行表示層的安全采集單元采集，并將狀態(tài)傳遞給聯(lián)鎖運算層作為判斷條件使用，如圖2所示。

圖2　人機會話層培設(shè)獨立硬件確認按鈕結(jié)構(gòu)圖

當操作人員進行安全相關(guān)操作時，典型處理流程如下（以解除安全鎖閉為例）：

1）操作人員按下解除鎖閉按鈕，人機操作界面將命令下發(fā)給聯(lián)鎖運算層，此時人機操作界面出現(xiàn)10 s倒計時。

2）在10 s倒計時內(nèi)，操作人員按下硬件按鈕進行確認。

3）聯(lián)鎖運算層接收到人機操作界面的解除鎖閉命令后，開啟10 s的窗口，此窗口期間采集到硬件實體按鈕由抬起到按下的變化，執(zhí)行解除鎖閉的命令。

4）如果10 s內(nèi)操作人員未按下實體按鈕，則解除鎖閉命令不執(zhí)行。

5）如果解除鎖閉命令下發(fā)時，實體按鈕已經(jīng)在按下狀態(tài)，解除鎖閉命令也不執(zhí)行。

3.4方案三

根據(jù)《鐵路車站計算機聯(lián)鎖技術(shù)條件》的要求，當采用鼠標器作為操作設(shè)備時，對于帶鉛封相對應(yīng)的操作，應(yīng)增加輸入3位數(shù)字口令和再確認的附加操作。

滿足該條要求，可以有兩種實現(xiàn)方式。

1）判斷3位數(shù)據(jù)口令以及再確認的附加操作由人機會話層來完成，典型操作流程如下（以解除鎖閉為例）：

a.按下解除鎖閉按鈕；

b.人機會話層彈出口令對話框，操作人員輸入口令，點確認；

c.人機會話層判斷口令正確后，將解除鎖閉命令發(fā)給聯(lián)鎖運算層；

d.聯(lián)鎖運算層收到命令后執(zhí)行。

2）判斷3位數(shù)據(jù)口令以及再確認的附加操作由聯(lián)鎖運算層來完成，典型操作流程如下（以解除鎖閉為例）：

a.按下解除鎖閉按鈕，人機會話層將按鈕按下狀態(tài)下發(fā)給聯(lián)鎖運算層；

b.聯(lián)鎖運算層收到按鈕命令后，啟動會話窗口，等待口令；

c.人機會話層彈出口令對話框，操作人員輸入口令，點確認；

d.人機會話層將口令下發(fā)給聯(lián)鎖運算層；

e.聯(lián)鎖運算層在會話窗口時間內(nèi)收到正確口令后，執(zhí)行解除鎖閉命令。

當人機會話層不承擔(dān)安全功能時，第二種實現(xiàn)方式相對于第一種實現(xiàn)方式，安全性更高，在很大程度上避免由于人機會話層軟件錯誤、硬件故障，以及兩層間通信導(dǎo)致的安全相關(guān)操作錯誤下發(fā)。

3.5方案四

本方案是借鑒安全通信實現(xiàn)中端到端的保護，通過在安全相關(guān)操作中增加基于預(yù)定規(guī)則的交互，來排除由于軟件、通信、硬件故障等可能導(dǎo)致安全相關(guān)操作錯誤下發(fā)。正如安全通信實現(xiàn)一般對通信通道不提出安全要求一樣，本方案不對人機會話層以及人機會話層與聯(lián)鎖運算層的通道提出安全要求，安全主要通過預(yù)先定義的交互規(guī)則進行保護。

仿照EN50159中的安全相關(guān)通信防護矩陣，提出安全相關(guān)操作的防護矩陣，如表5所示。

表5　安全相關(guān)操作防護矩陣表

仍然以解除安全鎖閉為例，典型的流程如下：

1）操作人員按下解除鎖閉按鈕，人機會話層將按鈕狀態(tài)下發(fā)給聯(lián)鎖運算層；

2）聯(lián)鎖運算層收到按鈕按下后，啟動該按鈕有效的TTL，如10 s，作為TTC，只有在TTC內(nèi)完成后續(xù)預(yù)定的交互，才認為解除鎖閉按鈕有效；

3）聯(lián)鎖運算層利用隨機數(shù)，生成RCP，如5位隨機確認碼，返回給人機會話層；

4）人機會話層收到RCP后，彈出窗口，要求值班員輸入5位RCP中的第1，第3，第4位，作為OCP，下發(fā)給聯(lián)鎖運算層；

5）聯(lián)鎖運算層收到OCP后，檢查OCP是否與RCP一致，且是否在TTC內(nèi)，檢查條件滿足，則執(zhí)行解除鎖閉命令。

下面就本方案如何防護幾種典型故障進行分析，具體如表6所示。

表6　典型故障防護分析表

需要說明的是，通過提高RCP的位數(shù)和隨機化程度，以及增加RCP與OCP關(guān)聯(lián)規(guī)則的復(fù)雜性，可以進一步提高安全相關(guān)操作量化安全性。

4 總結(jié)

通過對計算機聯(lián)鎖系統(tǒng)中人機會話安全性的分析，以及本文提出的幾種安全防護方案的介紹和對比，希望為今后計算機聯(lián)鎖系統(tǒng)的發(fā)展提供借鑒，以提高人機會話層安全相關(guān)命令下發(fā)的安全性，從而提高整個計算機聯(lián)鎖系統(tǒng)的安全性。

［1］國家鐵路局.TB/T3027-2015 鐵路車站計算機聯(lián)鎖技術(shù)條件［S］.北京：中國鐵道出版社，2015.

The paper analyzes the safety of MMI layer in the computer-based interlocking system， puts forward the safety requirements of the MMI layer， and presents sevral safety function implementation methods with comparison among the options.

computer-baed interlocking； MMI Layer； safety related operation

10.3969/j.issn.1673-4440.2016.04.006

2016-04-18）