樊慶佳

（廣州地鐵集團(tuán)有限公司運(yùn)營(yíng)事業(yè)總部，廣東 廣州 510030）

AFC軟件升級(jí)流程風(fēng)險(xiǎn)分析與應(yīng)對(duì)

樊慶佳

（廣州地鐵集團(tuán)有限公司運(yùn)營(yíng)事業(yè)總部，廣東 廣州 510030）

廣州地鐵自動(dòng)售檢票系統(tǒng)（AFC）的票務(wù)收益作為地鐵的主營(yíng)業(yè)務(wù)收入，其系統(tǒng)軟件的安全性、數(shù)據(jù)的準(zhǔn)確性、票務(wù)工作的安全性，在地鐵日常各項(xiàng)運(yùn)營(yíng)活動(dòng)中占重要地位。本文就廣州地鐵AFC系統(tǒng)軟件的安全性方面闡述了AFC系統(tǒng)的概念，分析了AFC系統(tǒng)軟件下載升級(jí)風(fēng)險(xiǎn)的主要表現(xiàn)，并針對(duì)如何降低該風(fēng)險(xiǎn)提出對(duì)策。

自動(dòng)售檢票系統(tǒng)；升級(jí)風(fēng)險(xiǎn)；對(duì)策

0.引言

（1）課題來(lái)源及研究意義

隨著城市化的進(jìn)程逐步加快，軌道交通的自動(dòng)化程度越來(lái)越高，以計(jì)算機(jī)控制為核心的軌道交通的運(yùn)營(yíng)正朝著開放化、軟件化、網(wǎng)絡(luò)化、智能化等方向發(fā)展。自動(dòng)售檢票系統(tǒng)是基于計(jì)算機(jī)、通信、網(wǎng)絡(luò)和自動(dòng)控制等技術(shù)，實(shí)現(xiàn)軌道交通售票、檢票、計(jì)費(fèi)、收費(fèi)、統(tǒng)計(jì)、清分和管理等全過(guò)程的系統(tǒng)。其中，對(duì)自動(dòng)售檢票系統(tǒng)進(jìn)行軟件升級(jí)是不斷滿足運(yùn)營(yíng)建設(shè)的必然要求，直接關(guān)系到運(yùn)營(yíng)的生產(chǎn)經(jīng)營(yíng)。然而，就目前售檢票系統(tǒng)運(yùn)作來(lái)看，系統(tǒng)下載升級(jí)帶來(lái)諸多風(fēng)險(xiǎn)問題，在現(xiàn)有的規(guī)章流程下也存在一定的潛在風(fēng)險(xiǎn)。這就對(duì)票務(wù)收集造成一定的安全隱患，威脅票務(wù)系統(tǒng)的安全。

（2）本文的主要研究?jī)?nèi)容和研究過(guò)程

本文立足于廣州地鐵AFC系統(tǒng)，就該系統(tǒng)軟件升級(jí)下載流程中潛在風(fēng)險(xiǎn)進(jìn)行研究，研究分為3個(gè)階段，第一，學(xué)習(xí)AFC專業(yè)軟件升級(jí)工作流程與規(guī)章制度；第二，跟崗學(xué)習(xí)部門級(jí)、分部級(jí)軟件測(cè)試與下載工作，分析操作模式中存在的風(fēng)險(xiǎn)點(diǎn)；第三，總結(jié)形成本課題完成研究的內(nèi)容。

1.本課題相關(guān)技術(shù)介紹

1.1自動(dòng)售檢票系統(tǒng)的組成

自動(dòng)售檢票系統(tǒng)的組成可劃分為車票、車站終端設(shè)備、車站計(jì)算機(jī)系統(tǒng)、線路中央計(jì)算機(jī)系統(tǒng)、清分系統(tǒng)5個(gè)層次。層次結(jié)構(gòu)是按照全封閉的運(yùn)行方式，以計(jì)程收費(fèi)模式為基礎(chǔ)，采用非接觸式IC卡為車票介質(zhì)的組成原則，根據(jù)各層次設(shè)備和子系統(tǒng)各自的功能、管理職能和所處的位置進(jìn)行劃分的。目前確定的5層結(jié)構(gòu)，是根據(jù)我國(guó)國(guó)情和城市發(fā)展現(xiàn)狀，綜合考慮了軌道交通建設(shè)的特點(diǎn)而設(shè)置的，具有一定的可伸縮性。

1.2自動(dòng)售檢票系統(tǒng)軟件架構(gòu)

由上述自動(dòng)售票系統(tǒng)劃分的5個(gè)層次得出了該系統(tǒng)下的軟件結(jié)構(gòu)也相對(duì)應(yīng)的不同的軟件價(jià)結(jié)構(gòu)，每層的軟件負(fù)責(zé)的功能也有多不同，軟件結(jié)構(gòu)也有所不同，基于本研究的主要設(shè)備，本小節(jié)將以站級(jí)設(shè)備（Station Level Equipment，簡(jiǎn)稱SLE）作為主要介紹。

1.2.1站級(jí)設(shè)備的硬件環(huán)境

在站級(jí)設(shè)備的軟件架構(gòu)設(shè)計(jì)上，要求設(shè)備能夠正確處理相應(yīng)的指令發(fā)揮其作用與功能。整個(gè)系統(tǒng)以工業(yè)控制計(jì)算機(jī)為中心，通過(guò)RS232、RS485或USB串口協(xié)議連接IC卡讀寫器、單程票處理模塊、扇門控制模塊；通過(guò)LVDS或VGA連接乘客信息顯示器；通過(guò)I/O（輸入/輸出）總線控制方向指示燈、特殊票指示燈、蜂鳴器、喇叭等輔助設(shè)備；緊急狀態(tài)控制部件也是通過(guò)I/O與工控機(jī)進(jìn)行通信，一方面等待工控機(jī)的緊急信號(hào)，另一方面監(jiān)視車站的緊急按鈕，一旦發(fā)現(xiàn)其中一個(gè)發(fā)出緊急信號(hào)，它將控制扇門機(jī)構(gòu)執(zhí)行緊急狀態(tài)，主控程序?qū)⑦\(yùn)行緊急模式下的運(yùn)營(yíng)模式。

1.2.2站級(jí)設(shè)備的軟件架構(gòu)

站級(jí)設(shè)備的操作系統(tǒng)選用嵌入式系統(tǒng)，如廣州地鐵一二號(hào)線的Windows CE、Linnx系統(tǒng)，三號(hào)線的Windows Embedded、Windows XP系統(tǒng)等，目的是盡可能地減少占用計(jì)算資源；與車站計(jì)算機(jī)系統(tǒng)的通信系統(tǒng)協(xié)議為TCP/IP，版本為IPV4，通過(guò)環(huán)形或星型組成的局域網(wǎng)。在其設(shè)備內(nèi)部則是通過(guò)RS232、RS485串口協(xié)議進(jìn)行通信，設(shè)備控制層發(fā)布給設(shè)備部件的命令能被設(shè)備部件接收、識(shí)別和執(zhí)行。通過(guò)協(xié)議，設(shè)備控制層可以通過(guò)命令控制設(shè)備部件的硬件動(dòng)作，并為應(yīng)用邏輯處理層提供接口。每種設(shè)備部件所提供的功能是不同的，這就決定了接口也應(yīng)隨設(shè)備部件而異。

1.3AFC系統(tǒng)站級(jí)設(shè)備軟件升級(jí)下載方式

軟件的升級(jí)是指軟件開發(fā)者在編寫軟件的時(shí)候，由于設(shè)計(jì)人員考慮不全面或完善程序功能，在軟件發(fā)行后，通過(guò)對(duì)程序的修改或加入新的功能，以升級(jí)的方式使軟件功能得以完善。AFC系統(tǒng)的軟件的升級(jí)更新主要以配置文件、參數(shù)、主程序、版本程序?yàn)橹?，按不同的接口，下載方式也不一樣。

1.3.1SC與SLE接口概述

BOM、AGM、TVM、TCM設(shè)備通過(guò)RJ45接口接入車站區(qū)域交換機(jī)，通過(guò)車站局域網(wǎng)與SC通信。

PCA設(shè)備在需要時(shí)通過(guò)USB接口或RJ45直接連接SC，與SC通信。

SLE與SC的數(shù)據(jù)傳輸協(xié)議以TCP/IP協(xié)議為基礎(chǔ)。

1.3.2SLE升級(jí)下載方式

通過(guò)上面描述，需要對(duì)SLE設(shè)備進(jìn)行升級(jí)或下載，可以通過(guò)參數(shù)更新和主程序更新來(lái)進(jìn)行。更新的方式分為自動(dòng)更新和主動(dòng)更新。自動(dòng)更新，也就是把需要更新的內(nèi)容整合成參數(shù)的文件形式通過(guò)SC或LCC自動(dòng)下發(fā)到站級(jí)設(shè)備，站級(jí)設(shè)備接收到需要的更新的命令，并執(zhí)行更新程序。主動(dòng)更新，通過(guò)人工方式對(duì)單臺(tái)設(shè)備進(jìn)行手動(dòng)下載需要更新的文件。相對(duì)于自動(dòng)更新，人工方式更新方法操作比較繁瑣，時(shí)間消耗較長(zhǎng)，但避免了因潛在因數(shù)導(dǎo)致的更新失敗。

1.4自動(dòng)售檢票系統(tǒng)軟件測(cè)試下載

站級(jí)AFC系統(tǒng)新版軟件通過(guò)測(cè)試具備下載到現(xiàn)場(chǎng)的條件后，根據(jù)軟件修改說(shuō)明、測(cè)試報(bào)告及測(cè)試記錄，通過(guò)審批后方可實(shí)施下載。軟件下載時(shí)，須由專業(yè)技術(shù)人員實(shí)施，要確認(rèn)升級(jí)文件是否齊全，提供詳細(xì)的下載指引，避免出現(xiàn)不必要的差錯(cuò)，確保新軟件下載不會(huì)對(duì)運(yùn)營(yíng)造成影響。若軟件下載對(duì)現(xiàn)場(chǎng)設(shè)備運(yùn)營(yíng)數(shù)據(jù)造成影響，需提前做好設(shè)備結(jié)賬。如果軟件下載失敗或者新版軟件下載后運(yùn)營(yíng)出現(xiàn)異常，需及時(shí)判斷故障等級(jí)，啟動(dòng)應(yīng)急流程，退回舊版本軟件，迅速修復(fù)故障，確保AFC系統(tǒng)設(shè)備正常運(yùn)行，以方便乘客出行。完善AFC系統(tǒng)應(yīng)急工作，有利于應(yīng)對(duì)現(xiàn)場(chǎng)AFC設(shè)備突發(fā)性系統(tǒng)故障和大面積故障。應(yīng)急措施可通過(guò)制作AFC系統(tǒng)應(yīng)急軟件或在軟件下載前準(zhǔn)備已安裝的CF卡備用實(shí)現(xiàn)。

2.軟件下載升級(jí)流程風(fēng)險(xiǎn)分析

2.1計(jì)算機(jī)網(wǎng)絡(luò)安全及病毒防護(hù)的風(fēng)險(xiǎn)

2.1.1計(jì)算機(jī)病毒的特點(diǎn)和傳播方式

計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)：傳染性、潛伏性、隱蔽性、破壞性。

計(jì)算機(jī)病毒傳播渠道通常有以下幾種：通過(guò)可移動(dòng)存儲(chǔ)設(shè)備傳播、通過(guò)網(wǎng)絡(luò)傳播、通過(guò)計(jì)算機(jī)專用ASCI芯片和硬盤等不可移動(dòng)設(shè)備傳播，或者點(diǎn)對(duì)點(diǎn)通過(guò)通信系統(tǒng)和無(wú)線通道傳播。

2.1.2升級(jí)下載過(guò)程中病毒風(fēng)險(xiǎn)分析

就目前軟件或參數(shù)的升級(jí)下載都是從供貨商提供的測(cè)試軟件拷貝到實(shí)驗(yàn)室測(cè)試，再由實(shí)驗(yàn)室拷貝到下發(fā)參數(shù)的設(shè)備，基本都是通過(guò)專用存儲(chǔ)工具或者郵件傳輸，整個(gè)傳輸過(guò)程都有可能受到病毒的感染。AFC系統(tǒng)一旦發(fā)生病毒感染，對(duì)設(shè)備和數(shù)據(jù)都具有強(qiáng)大的破壞能力。

2.2數(shù)據(jù)傳輸過(guò)程風(fēng)險(xiǎn)

2.2.1TVM權(quán)限參數(shù)下載過(guò)程中丟失的案例

某日凌晨，LCC向車站SC發(fā)出接收0700新版本參數(shù)的命令，但因通信中斷而被送入LCC緩存中；通信程序恢復(fù)連接后，LCC將緩存中的命令下發(fā)給SC，SC將新版0700參數(shù)從下載目錄拷貝至SLE設(shè)備下載的FTP目錄時(shí)，拷貝的文件大小變小了，只拷貝了原來(lái)文件的2/3的內(nèi)容，通過(guò)查看異常0700參數(shù)的內(nèi)容發(fā)現(xiàn)缺少CRC編碼和相應(yīng)的權(quán)限設(shè)置。TVM收到SC更新參數(shù)的消息后，將內(nèi)容不全的0700參數(shù)下載到了本地，同時(shí)刪除了本地原來(lái)的舊版本參數(shù)，造成本次全站TVM操作權(quán)限丟失。

2.2.2數(shù)據(jù)傳輸過(guò)程風(fēng)險(xiǎn)風(fēng)險(xiǎn)分析

此類參數(shù)下載更新過(guò)程中由于存在傳輸過(guò)程中受到一定原因的干擾組成數(shù)據(jù)傳輸不全導(dǎo)致的全站故障，其原因包括數(shù)據(jù)校驗(yàn)失敗、數(shù)據(jù)丟包、數(shù)據(jù)損壞等，在另一方面也說(shuō)明傳輸設(shè)備和校驗(yàn)機(jī)制也存在一定的安全隱患風(fēng)險(xiǎn)。

2.3設(shè)備發(fā)生異常的風(fēng)險(xiǎn)

2.3.1故障閘機(jī)升級(jí)失敗的案例

某日，在完成了對(duì)閘機(jī)主程序及讀卡器版本的升級(jí)工作后，車站反映閘機(jī)暫停服務(wù)，SC工作站監(jiān)控界面顯示無(wú)通信。用鍵盤進(jìn)入閘機(jī)軟件查看時(shí)發(fā)現(xiàn)錯(cuò)誤提示框。

2.3.2設(shè)備發(fā)生異常的升級(jí)風(fēng)險(xiǎn)分析

經(jīng)技術(shù)人員檢查分析，閘機(jī)升級(jí)后出現(xiàn)網(wǎng)絡(luò)中斷并彈錯(cuò)誤提示框故障是由于軟件升級(jí)后出現(xiàn)交易文件損壞導(dǎo)致閘機(jī)軟件運(yùn)行環(huán)境出現(xiàn)錯(cuò)誤，這種故障的發(fā)生可以通過(guò)重做閘機(jī)軟件來(lái)完成修復(fù)工作。在升級(jí)站級(jí)軟件時(shí)必須嚴(yán)格按照正規(guī)流程進(jìn)行參數(shù)的下載和設(shè)備的重啟工作，避免設(shè)備發(fā)生異常時(shí)進(jìn)行升級(jí)，造成一定的升級(jí)失敗風(fēng)險(xiǎn)。

2.4軟件下載過(guò)程人員管理風(fēng)險(xiǎn)

2.4.1TVM地圖升級(jí)異常的事件案例

運(yùn)營(yíng)結(jié)束后對(duì)某站TVM進(jìn)行地圖軟件升級(jí)。次日運(yùn)營(yíng)開始后車站報(bào)當(dāng)站TVM可發(fā)售未開通車站單程票。技術(shù)人員接報(bào)故障后立即前往現(xiàn)場(chǎng)處理，現(xiàn)場(chǎng)設(shè)備經(jīng)降級(jí)恢復(fù)舊版參數(shù)后恢復(fù)正常。

2.4.2人員管理風(fēng)險(xiǎn)分析

工作人員對(duì)設(shè)備軟件升級(jí)工作重視不足，未按要求開展軟件升級(jí)工作，沒有準(zhǔn)確掌握當(dāng)晚升級(jí)所用參數(shù)存放位置，造成參數(shù)下發(fā)錯(cuò)誤，同時(shí)在后續(xù)設(shè)備檢查中，技術(shù)人員未按要求仔細(xì)核實(shí)TVM地圖界面更新后的狀態(tài)，沒有及時(shí)發(fā)現(xiàn)TVM可點(diǎn)選未開通車站的異?，F(xiàn)象并處理，最終導(dǎo)致本次事件的發(fā)生。

2.5軟件缺陷造成的風(fēng)險(xiǎn)

任何一個(gè)軟件項(xiàng)目都是一個(gè)復(fù)雜的系統(tǒng)工程，軟件產(chǎn)品是邏輯產(chǎn)品，是一種具有特殊性質(zhì)的復(fù)雜事物，隨著軟件工程項(xiàng)目日益復(fù)雜與擴(kuò)大，風(fēng)險(xiǎn)性也隨之增大。

在廣州地鐵AFC系統(tǒng)，主要程序功能都需要供貨商修改，盡管有技術(shù)人員對(duì)修改的程序進(jìn)行嚴(yán)格地測(cè)試把關(guān)，但都很難避免軟件缺陷帶來(lái)的風(fēng)險(xiǎn)。潛在的風(fēng)險(xiǎn)包括：與開發(fā)人員相關(guān)經(jīng)驗(yàn)的風(fēng)險(xiǎn)、開發(fā)過(guò)程的風(fēng)險(xiǎn)、成本效益的風(fēng)險(xiǎn)、用戶使用過(guò)程風(fēng)險(xiǎn)、軟件質(zhì)量風(fēng)險(xiǎn)。

3.降低風(fēng)險(xiǎn)的可行性分析

3.1加強(qiáng)軟件下載過(guò)程管理

3.1.1軟件供應(yīng)商管理

對(duì)軟件供應(yīng)商的管理就是為了提高產(chǎn)品的質(zhì)量，從源頭把關(guān)消除軟件缺陷帶來(lái)的一系列風(fēng)險(xiǎn)。對(duì)供貨商的有效管理，必須建立和完善有效的準(zhǔn)入流程，按標(biāo)準(zhǔn)嚴(yán)格執(zhí)行。要求供貨商提供完善有效的升級(jí)保障措施、升級(jí)風(fēng)險(xiǎn)控制及如何承擔(dān)升級(jí)后造成的損失。對(duì)供貨商啟動(dòng)定期評(píng)審機(jī)制，評(píng)估其技術(shù)水平是否達(dá)到要求。

3.1.2軟件測(cè)試管理

對(duì)所要升級(jí)的軟件或者參數(shù)是否符合現(xiàn)場(chǎng)使用的要求，就必須經(jīng)過(guò)一套嚴(yán)格的測(cè)試過(guò)程，對(duì)測(cè)試數(shù)據(jù)進(jìn)行收集、整理、分析，整個(gè)過(guò)程嚴(yán)謹(jǐn)而復(fù)雜。對(duì)軟件測(cè)試進(jìn)行有效地管理，就必須組建立一只技術(shù)過(guò)硬的測(cè)試團(tuán)隊(duì)，良好的測(cè)試環(huán)境以及測(cè)試流程制度，軟件版本管理制度等。

3.1.3專業(yè)下載人員管理

任何系統(tǒng)的運(yùn)作都離不開人員的操作，因此在相對(duì)穩(wěn)定、安全的設(shè)備基礎(chǔ)上，提高操作人員的專業(yè)技能，規(guī)范操作人員的操作，將更進(jìn)一步確保軟件下載的安全穩(wěn)定，有效減少因人員問題造成的風(fēng)險(xiǎn)。

3.1.4軟件下載升級(jí)工具管理

軟件下載工具是指在整個(gè)升級(jí)過(guò)程中傳輸軟件的承載工具，目前包括：發(fā)送設(shè)備、接收設(shè)備、存儲(chǔ)介質(zhì)和升級(jí)失敗后的輔助工具。此類工具必須有嚴(yán)格的使用及管理制度，杜絕使用私人工具或者任意使用專業(yè)工具，對(duì)專用工具進(jìn)行定期檢查、殺毒及校驗(yàn)，確保工具的正常使用。

3.1.5應(yīng)急預(yù)案的完善

為了防止升級(jí)后出現(xiàn)一系列風(fēng)險(xiǎn)后果而事先制定應(yīng)急處理方案，在每次升級(jí)前都必須提供一套完整的應(yīng)急方案，保證出現(xiàn)風(fēng)險(xiǎn)后迅速、有序、有效進(jìn)行補(bǔ)救行動(dòng)，降低事故發(fā)生后的損失。定期對(duì)應(yīng)急預(yù)案進(jìn)行分析總結(jié)，不斷地對(duì)應(yīng)急預(yù)案進(jìn)行完善及修訂，確保應(yīng)急體系發(fā)揮最大作用。

3.2建立完善的自動(dòng)升級(jí)回滾系統(tǒng)

AFC系統(tǒng)升級(jí)是指對(duì)AFC系統(tǒng)運(yùn)行的各類軟件進(jìn)行漏洞修補(bǔ)、增加刪除軟件功能、更新設(shè)備運(yùn)行參數(shù)；自動(dòng)體現(xiàn)在升級(jí)過(guò)程中不需要人工干預(yù)，選擇升級(jí)模式和升級(jí)包后確定升級(jí)對(duì)象，自動(dòng)升級(jí)系統(tǒng)能夠自動(dòng)完成升級(jí)任務(wù)；由于升級(jí)操作是AFC系統(tǒng)中很重要的操作，不僅需要對(duì)軟件的版本進(jìn)行管理，而且需要對(duì)升級(jí)過(guò)程、升級(jí)結(jié)果進(jìn)行跟蹤記錄，同時(shí)對(duì)升級(jí)后發(fā)生異常的，可以進(jìn)行版本回滾，降至上一版本使用，最大限度地保障運(yùn)營(yíng)設(shè)備的安全使用。

結(jié)論

本課題通過(guò)對(duì)AFC系統(tǒng)的部分專業(yè)知識(shí)介紹以及案例分析，闡述了AFC系統(tǒng)軟件下載過(guò)程中受到的潛在風(fēng)險(xiǎn)影響，并根據(jù)分析對(duì)降低該風(fēng)險(xiǎn)點(diǎn)采取措施，提高AFC軟件升級(jí)工作的安全性，降低AFC系統(tǒng)軟件升級(jí)造成的影響，為安全運(yùn)營(yíng)打下堅(jiān)實(shí)基礎(chǔ)。

目前AFC系統(tǒng)的升級(jí)現(xiàn)狀和本人知識(shí)水平限制，部分分析結(jié)論還有待完善之處，將在今后的工作中做進(jìn)一步地改進(jìn)。

［1］孫立中.軌道交通AFC系統(tǒng)軟件自動(dòng)升級(jí)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.哈爾濱工業(yè)大學(xué)，2010.

［2］蔡靜瑤.地鐵AFC系統(tǒng)中的票務(wù)收益安全淺析［J］.科技風(fēng)，2014（8）：249-249.

［3］呼明，李潤(rùn)錦.淺析廣州地鐵AFC系統(tǒng)的運(yùn)營(yíng)管理模式以及應(yīng)急保障體系.科技風(fēng)，2012（17）：40-41.

［4］瞿錫成.淺析AFC系統(tǒng)中的數(shù)據(jù)安全［J］.無(wú)線互聯(lián)科技，2012（3）：74-74.

［5］徐長(zhǎng)盛，高欣，鄭曉東，沈杰.生產(chǎn)現(xiàn)場(chǎng)軟件更新技術(shù)研究［J］.控制工程，2010（s3）：155-157.

TP315

A