樊慶佳

（廣州地鐵集團(tuán)有限公司運(yùn)營事業(yè)總部，廣東 廣州 510030）

AFC軟件升級流程風(fēng)險分析與應(yīng)對

樊慶佳

（廣州地鐵集團(tuán)有限公司運(yùn)營事業(yè)總部，廣東 廣州 510030）

廣州地鐵自動售檢票系統(tǒng)（AFC）的票務(wù)收益作為地鐵的主營業(yè)務(wù)收入，其系統(tǒng)軟件的安全性、數(shù)據(jù)的準(zhǔn)確性、票務(wù)工作的安全性，在地鐵日常各項(xiàng)運(yùn)營活動中占重要地位。本文就廣州地鐵AFC系統(tǒng)軟件的安全性方面闡述了AFC系統(tǒng)的概念，分析了AFC系統(tǒng)軟件下載升級風(fēng)險的主要表現(xiàn)，并針對如何降低該風(fēng)險提出對策。

自動售檢票系統(tǒng)；升級風(fēng)險；對策

0.引言

（1）課題來源及研究意義

隨著城市化的進(jìn)程逐步加快，軌道交通的自動化程度越來越高，以計(jì)算機(jī)控制為核心的軌道交通的運(yùn)營正朝著開放化、軟件化、網(wǎng)絡(luò)化、智能化等方向發(fā)展。自動售檢票系統(tǒng)是基于計(jì)算機(jī)、通信、網(wǎng)絡(luò)和自動控制等技術(shù)，實(shí)現(xiàn)軌道交通售票、檢票、計(jì)費(fèi)、收費(fèi)、統(tǒng)計(jì)、清分和管理等全過程的系統(tǒng)。其中，對自動售檢票系統(tǒng)進(jìn)行軟件升級是不斷滿足運(yùn)營建設(shè)的必然要求，直接關(guān)系到運(yùn)營的生產(chǎn)經(jīng)營。然而，就目前售檢票系統(tǒng)運(yùn)作來看，系統(tǒng)下載升級帶來諸多風(fēng)險問題，在現(xiàn)有的規(guī)章流程下也存在一定的潛在風(fēng)險。這就對票務(wù)收集造成一定的安全隱患，威脅票務(wù)系統(tǒng)的安全。

（2）本文的主要研究內(nèi)容和研究過程

本文立足于廣州地鐵AFC系統(tǒng)，就該系統(tǒng)軟件升級下載流程中潛在風(fēng)險進(jìn)行研究，研究分為3個階段，第一，學(xué)習(xí)AFC專業(yè)軟件升級工作流程與規(guī)章制度；第二，跟崗學(xué)習(xí)部門級、分部級軟件測試與下載工作，分析操作模式中存在的風(fēng)險點(diǎn)；第三，總結(jié)形成本課題完成研究的內(nèi)容。

1.本課題相關(guān)技術(shù)介紹

1.1自動售檢票系統(tǒng)的組成

自動售檢票系統(tǒng)的組成可劃分為車票、車站終端設(shè)備、車站計(jì)算機(jī)系統(tǒng)、線路中央計(jì)算機(jī)系統(tǒng)、清分系統(tǒng)5個層次。層次結(jié)構(gòu)是按照全封閉的運(yùn)行方式，以計(jì)程收費(fèi)模式為基礎(chǔ)，采用非接觸式IC卡為車票介質(zhì)的組成原則，根據(jù)各層次設(shè)備和子系統(tǒng)各自的功能、管理職能和所處的位置進(jìn)行劃分的。目前確定的5層結(jié)構(gòu)，是根據(jù)我國國情和城市發(fā)展現(xiàn)狀，綜合考慮了軌道交通建設(shè)的特點(diǎn)而設(shè)置的，具有一定的可伸縮性。

1.2自動售檢票系統(tǒng)軟件架構(gòu)

由上述自動售票系統(tǒng)劃分的5個層次得出了該系統(tǒng)下的軟件結(jié)構(gòu)也相對應(yīng)的不同的軟件價結(jié)構(gòu)，每層的軟件負(fù)責(zé)的功能也有多不同，軟件結(jié)構(gòu)也有所不同，基于本研究的主要設(shè)備，本小節(jié)將以站級設(shè)備（Station Level Equipment，簡稱SLE）作為主要介紹。

1.2.1站級設(shè)備的硬件環(huán)境

在站級設(shè)備的軟件架構(gòu)設(shè)計(jì)上，要求設(shè)備能夠正確處理相應(yīng)的指令發(fā)揮其作用與功能。整個系統(tǒng)以工業(yè)控制計(jì)算機(jī)為中心，通過RS232、RS485或USB串口協(xié)議連接IC卡讀寫器、單程票處理模塊、扇門控制模塊；通過LVDS或VGA連接乘客信息顯示器；通過I/O（輸入/輸出）總線控制方向指示燈、特殊票指示燈、蜂鳴器、喇叭等輔助設(shè)備；緊急狀態(tài)控制部件也是通過I/O與工控機(jī)進(jìn)行通信，一方面等待工控機(jī)的緊急信號，另一方面監(jiān)視車站的緊急按鈕，一旦發(fā)現(xiàn)其中一個發(fā)出緊急信號，它將控制扇門機(jī)構(gòu)執(zhí)行緊急狀態(tài)，主控程序?qū)⑦\(yùn)行緊急模式下的運(yùn)營模式。

1.2.2站級設(shè)備的軟件架構(gòu)

站級設(shè)備的操作系統(tǒng)選用嵌入式系統(tǒng)，如廣州地鐵一二號線的Windows CE、Linnx系統(tǒng)，三號線的Windows Embedded、Windows XP系統(tǒng)等，目的是盡可能地減少占用計(jì)算資源；與車站計(jì)算機(jī)系統(tǒng)的通信系統(tǒng)協(xié)議為TCP/IP，版本為IPV4，通過環(huán)形或星型組成的局域網(wǎng)。在其設(shè)備內(nèi)部則是通過RS232、RS485串口協(xié)議進(jìn)行通信，設(shè)備控制層發(fā)布給設(shè)備部件的命令能被設(shè)備部件接收、識別和執(zhí)行。通過協(xié)議，設(shè)備控制層可以通過命令控制設(shè)備部件的硬件動作，并為應(yīng)用邏輯處理層提供接口。每種設(shè)備部件所提供的功能是不同的，這就決定了接口也應(yīng)隨設(shè)備部件而異。

1.3AFC系統(tǒng)站級設(shè)備軟件升級下載方式

軟件的升級是指軟件開發(fā)者在編寫軟件的時候，由于設(shè)計(jì)人員考慮不全面或完善程序功能，在軟件發(fā)行后，通過對程序的修改或加入新的功能，以升級的方式使軟件功能得以完善。AFC系統(tǒng)的軟件的升級更新主要以配置文件、參數(shù)、主程序、版本程序?yàn)橹?，按不同的接口，下載方式也不一樣。

1.3.1SC與SLE接口概述

BOM、AGM、TVM、TCM設(shè)備通過RJ45接口接入車站區(qū)域交換機(jī)，通過車站局域網(wǎng)與SC通信。

PCA設(shè)備在需要時通過USB接口或RJ45直接連接SC，與SC通信。

SLE與SC的數(shù)據(jù)傳輸協(xié)議以TCP/IP協(xié)議為基礎(chǔ)。

1.3.2SLE升級下載方式

通過上面描述，需要對SLE設(shè)備進(jìn)行升級或下載，可以通過參數(shù)更新和主程序更新來進(jìn)行。更新的方式分為自動更新和主動更新。自動更新，也就是把需要更新的內(nèi)容整合成參數(shù)的文件形式通過SC或LCC自動下發(fā)到站級設(shè)備，站級設(shè)備接收到需要的更新的命令，并執(zhí)行更新程序。主動更新，通過人工方式對單臺設(shè)備進(jìn)行手動下載需要更新的文件。相對于自動更新，人工方式更新方法操作比較繁瑣，時間消耗較長，但避免了因潛在因數(shù)導(dǎo)致的更新失敗。

1.4自動售檢票系統(tǒng)軟件測試下載

站級AFC系統(tǒng)新版軟件通過測試具備下載到現(xiàn)場的條件后，根據(jù)軟件修改說明、測試報告及測試記錄，通過審批后方可實(shí)施下載。軟件下載時，須由專業(yè)技術(shù)人員實(shí)施，要確認(rèn)升級文件是否齊全，提供詳細(xì)的下載指引，避免出現(xiàn)不必要的差錯，確保新軟件下載不會對運(yùn)營造成影響。若軟件下載對現(xiàn)場設(shè)備運(yùn)營數(shù)據(jù)造成影響，需提前做好設(shè)備結(jié)賬。如果軟件下載失敗或者新版軟件下載后運(yùn)營出現(xiàn)異常，需及時判斷故障等級，啟動應(yīng)急流程，退回舊版本軟件，迅速修復(fù)故障，確保AFC系統(tǒng)設(shè)備正常運(yùn)行，以方便乘客出行。完善AFC系統(tǒng)應(yīng)急工作，有利于應(yīng)對現(xiàn)場AFC設(shè)備突發(fā)性系統(tǒng)故障和大面積故障。應(yīng)急措施可通過制作AFC系統(tǒng)應(yīng)急軟件或在軟件下載前準(zhǔn)備已安裝的CF卡備用實(shí)現(xiàn)。

2.軟件下載升級流程風(fēng)險分析

2.1計(jì)算機(jī)網(wǎng)絡(luò)安全及病毒防護(hù)的風(fēng)險

2.1.1計(jì)算機(jī)病毒的特點(diǎn)和傳播方式

計(jì)算機(jī)病毒具有以下幾個特點(diǎn)：傳染性、潛伏性、隱蔽性、破壞性。

計(jì)算機(jī)病毒傳播渠道通常有以下幾種：通過可移動存儲設(shè)備傳播、通過網(wǎng)絡(luò)傳播、通過計(jì)算機(jī)專用ASCI芯片和硬盤等不可移動設(shè)備傳播，或者點(diǎn)對點(diǎn)通過通信系統(tǒng)和無線通道傳播。

2.1.2升級下載過程中病毒風(fēng)險分析

就目前軟件或參數(shù)的升級下載都是從供貨商提供的測試軟件拷貝到實(shí)驗(yàn)室測試，再由實(shí)驗(yàn)室拷貝到下發(fā)參數(shù)的設(shè)備，基本都是通過專用存儲工具或者郵件傳輸，整個傳輸過程都有可能受到病毒的感染。AFC系統(tǒng)一旦發(fā)生病毒感染，對設(shè)備和數(shù)據(jù)都具有強(qiáng)大的破壞能力。

2.2數(shù)據(jù)傳輸過程風(fēng)險

2.2.1TVM權(quán)限參數(shù)下載過程中丟失的案例

某日凌晨，LCC向車站SC發(fā)出接收0700新版本參數(shù)的命令，但因通信中斷而被送入LCC緩存中；通信程序恢復(fù)連接后，LCC將緩存中的命令下發(fā)給SC，SC將新版0700參數(shù)從下載目錄拷貝至SLE設(shè)備下載的FTP目錄時，拷貝的文件大小變小了，只拷貝了原來文件的2/3的內(nèi)容，通過查看異常0700參數(shù)的內(nèi)容發(fā)現(xiàn)缺少CRC編碼和相應(yīng)的權(quán)限設(shè)置。TVM收到SC更新參數(shù)的消息后，將內(nèi)容不全的0700參數(shù)下載到了本地，同時刪除了本地原來的舊版本參數(shù)，造成本次全站TVM操作權(quán)限丟失。

2.2.2數(shù)據(jù)傳輸過程風(fēng)險風(fēng)險分析

此類參數(shù)下載更新過程中由于存在傳輸過程中受到一定原因的干擾組成數(shù)據(jù)傳輸不全導(dǎo)致的全站故障，其原因包括數(shù)據(jù)校驗(yàn)失敗、數(shù)據(jù)丟包、數(shù)據(jù)損壞等，在另一方面也說明傳輸設(shè)備和校驗(yàn)機(jī)制也存在一定的安全隱患風(fēng)險。

2.3設(shè)備發(fā)生異常的風(fēng)險

2.3.1故障閘機(jī)升級失敗的案例

某日，在完成了對閘機(jī)主程序及讀卡器版本的升級工作后，車站反映閘機(jī)暫停服務(wù)，SC工作站監(jiān)控界面顯示無通信。用鍵盤進(jìn)入閘機(jī)軟件查看時發(fā)現(xiàn)錯誤提示框。

2.3.2設(shè)備發(fā)生異常的升級風(fēng)險分析

經(jīng)技術(shù)人員檢查分析，閘機(jī)升級后出現(xiàn)網(wǎng)絡(luò)中斷并彈錯誤提示框故障是由于軟件升級后出現(xiàn)交易文件損壞導(dǎo)致閘機(jī)軟件運(yùn)行環(huán)境出現(xiàn)錯誤，這種故障的發(fā)生可以通過重做閘機(jī)軟件來完成修復(fù)工作。在升級站級軟件時必須嚴(yán)格按照正規(guī)流程進(jìn)行參數(shù)的下載和設(shè)備的重啟工作，避免設(shè)備發(fā)生異常時進(jìn)行升級，造成一定的升級失敗風(fēng)險。

2.4軟件下載過程人員管理風(fēng)險

2.4.1TVM地圖升級異常的事件案例

運(yùn)營結(jié)束后對某站TVM進(jìn)行地圖軟件升級。次日運(yùn)營開始后車站報當(dāng)站TVM可發(fā)售未開通車站單程票。技術(shù)人員接報故障后立即前往現(xiàn)場處理，現(xiàn)場設(shè)備經(jīng)降級恢復(fù)舊版參數(shù)后恢復(fù)正常。

2.4.2人員管理風(fēng)險分析

工作人員對設(shè)備軟件升級工作重視不足，未按要求開展軟件升級工作，沒有準(zhǔn)確掌握當(dāng)晚升級所用參數(shù)存放位置，造成參數(shù)下發(fā)錯誤，同時在后續(xù)設(shè)備檢查中，技術(shù)人員未按要求仔細(xì)核實(shí)TVM地圖界面更新后的狀態(tài)，沒有及時發(fā)現(xiàn)TVM可點(diǎn)選未開通車站的異?，F(xiàn)象并處理，最終導(dǎo)致本次事件的發(fā)生。

2.5軟件缺陷造成的風(fēng)險

任何一個軟件項(xiàng)目都是一個復(fù)雜的系統(tǒng)工程，軟件產(chǎn)品是邏輯產(chǎn)品，是一種具有特殊性質(zhì)的復(fù)雜事物，隨著軟件工程項(xiàng)目日益復(fù)雜與擴(kuò)大，風(fēng)險性也隨之增大。

在廣州地鐵AFC系統(tǒng)，主要程序功能都需要供貨商修改，盡管有技術(shù)人員對修改的程序進(jìn)行嚴(yán)格地測試把關(guān)，但都很難避免軟件缺陷帶來的風(fēng)險。潛在的風(fēng)險包括：與開發(fā)人員相關(guān)經(jīng)驗(yàn)的風(fēng)險、開發(fā)過程的風(fēng)險、成本效益的風(fēng)險、用戶使用過程風(fēng)險、軟件質(zhì)量風(fēng)險。

3.降低風(fēng)險的可行性分析

3.1加強(qiáng)軟件下載過程管理

3.1.1軟件供應(yīng)商管理

對軟件供應(yīng)商的管理就是為了提高產(chǎn)品的質(zhì)量，從源頭把關(guān)消除軟件缺陷帶來的一系列風(fēng)險。對供貨商的有效管理，必須建立和完善有效的準(zhǔn)入流程，按標(biāo)準(zhǔn)嚴(yán)格執(zhí)行。要求供貨商提供完善有效的升級保障措施、升級風(fēng)險控制及如何承擔(dān)升級后造成的損失。對供貨商啟動定期評審機(jī)制，評估其技術(shù)水平是否達(dá)到要求。

3.1.2軟件測試管理

對所要升級的軟件或者參數(shù)是否符合現(xiàn)場使用的要求，就必須經(jīng)過一套嚴(yán)格的測試過程，對測試數(shù)據(jù)進(jìn)行收集、整理、分析，整個過程嚴(yán)謹(jǐn)而復(fù)雜。對軟件測試進(jìn)行有效地管理，就必須組建立一只技術(shù)過硬的測試團(tuán)隊(duì)，良好的測試環(huán)境以及測試流程制度，軟件版本管理制度等。

3.1.3專業(yè)下載人員管理

任何系統(tǒng)的運(yùn)作都離不開人員的操作，因此在相對穩(wěn)定、安全的設(shè)備基礎(chǔ)上，提高操作人員的專業(yè)技能，規(guī)范操作人員的操作，將更進(jìn)一步確保軟件下載的安全穩(wěn)定，有效減少因人員問題造成的風(fēng)險。

3.1.4軟件下載升級工具管理

軟件下載工具是指在整個升級過程中傳輸軟件的承載工具，目前包括：發(fā)送設(shè)備、接收設(shè)備、存儲介質(zhì)和升級失敗后的輔助工具。此類工具必須有嚴(yán)格的使用及管理制度，杜絕使用私人工具或者任意使用專業(yè)工具，對專用工具進(jìn)行定期檢查、殺毒及校驗(yàn)，確保工具的正常使用。

3.1.5應(yīng)急預(yù)案的完善

為了防止升級后出現(xiàn)一系列風(fēng)險后果而事先制定應(yīng)急處理方案，在每次升級前都必須提供一套完整的應(yīng)急方案，保證出現(xiàn)風(fēng)險后迅速、有序、有效進(jìn)行補(bǔ)救行動，降低事故發(fā)生后的損失。定期對應(yīng)急預(yù)案進(jìn)行分析總結(jié)，不斷地對應(yīng)急預(yù)案進(jìn)行完善及修訂，確保應(yīng)急體系發(fā)揮最大作用。

3.2建立完善的自動升級回滾系統(tǒng)

AFC系統(tǒng)升級是指對AFC系統(tǒng)運(yùn)行的各類軟件進(jìn)行漏洞修補(bǔ)、增加刪除軟件功能、更新設(shè)備運(yùn)行參數(shù)；自動體現(xiàn)在升級過程中不需要人工干預(yù)，選擇升級模式和升級包后確定升級對象，自動升級系統(tǒng)能夠自動完成升級任務(wù)；由于升級操作是AFC系統(tǒng)中很重要的操作，不僅需要對軟件的版本進(jìn)行管理，而且需要對升級過程、升級結(jié)果進(jìn)行跟蹤記錄，同時對升級后發(fā)生異常的，可以進(jìn)行版本回滾，降至上一版本使用，最大限度地保障運(yùn)營設(shè)備的安全使用。

結(jié)論

本課題通過對AFC系統(tǒng)的部分專業(yè)知識介紹以及案例分析，闡述了AFC系統(tǒng)軟件下載過程中受到的潛在風(fēng)險影響，并根據(jù)分析對降低該風(fēng)險點(diǎn)采取措施，提高AFC軟件升級工作的安全性，降低AFC系統(tǒng)軟件升級造成的影響，為安全運(yùn)營打下堅(jiān)實(shí)基礎(chǔ)。

目前AFC系統(tǒng)的升級現(xiàn)狀和本人知識水平限制，部分分析結(jié)論還有待完善之處，將在今后的工作中做進(jìn)一步地改進(jìn)。

［1］孫立中.軌道交通AFC系統(tǒng)軟件自動升級系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.哈爾濱工業(yè)大學(xué)，2010.

［2］蔡靜瑤.地鐵AFC系統(tǒng)中的票務(wù)收益安全淺析［J］.科技風(fēng)，2014（8）：249-249.

［3］呼明，李潤錦.淺析廣州地鐵AFC系統(tǒng)的運(yùn)營管理模式以及應(yīng)急保障體系.科技風(fēng)，2012（17）：40-41.

［4］瞿錫成.淺析AFC系統(tǒng)中的數(shù)據(jù)安全［J］.無線互聯(lián)科技，2012（3）：74-74.

［5］徐長盛，高欣，鄭曉東，沈杰.生產(chǎn)現(xiàn)場軟件更新技術(shù)研究［J］.控制工程，2010（s3）：155-157.

TP315

A