王非 刘斌 张大鹏
摘 要:铁路信号产品通常由多个安全相关子系统构成,各个安全相关子系统又由安全相关子模块构成,系统内外均存在非安全相关子系统,因此,安全系统与外围系统,系统内部各模块之间构成了信息交互网络,接口风险分析方法就是用于研究、分析各内外接口之间存在哪些影响安全的风险,并给出如何防护这些风险的安全防护措施。本文将以安全级铁路信号产品模型为例,研究如何做接口风险分析,并对接口分类讨论,分别给出适用于各类接口的安全防护措施。
关键词:铁路信号 接口 风险分析方法 IHA
中图分类号:U284 文献标识码:A 文章编号:1672-3791(2014)06(b)-0021-02
1 接口识别
在做接口风险分析之前,需要先研究系统的运营环境、识别系统边界,系统与外部设备接口的类别及数量。其次,需要分析系统架构,即分析系统内部各模块的构成及结构关系,识别系统内部接口,了解内部接口的类别及数量。
举例说明,如图1所示,安全相关系统外部有四个系统,分别为“外部设备1~4”,与这四个设备的接口均为外部接口;安全相关系统由两个安全相关子系统构成,分别为“安全相关子系统1”和“安全相关子系统2”,这类接口称为内部接口。即,本文的分析对象共有4个外部接口,2个内部接口。
以安全相关系统中,安全相关子系统2为例,其架构为两个CPU、一个双口RAM,一个外部接口模块构成,如图2所示:CPU1和CPU2同时接收来自安全相关子系统1的通信数据(该接口为内部接口1,通信接口),CPU1和CPU2通过双口RAM进行数据交互,两个CPU将逻辑处理结果通过内部接口3发送给外部接口模块,外部接口模块将处理后的信号通过外部接口2发送外部设备2。
2 接口分类
通常,接口可以分为以下几类:通信接口、数字量接口、数据配置接口、人机接口。为了具体说明接口风险分析方法继续上一章节举例,做如下假设。(见表1)
通常接口类别不同,其失效模式也不同:
(1)通信接口:往来于接口的数据是一系列有规律的bit流,需要用协议来规定其规律性。
通信接口功能主要失效模式:接口数据错误;接口数据非法;接口数据顺序错误;接口数据重复;接口数据被删除;接口通信中断。
失效原因:数据源发出的数据错误;数据在传输过程中由于干扰或串扰等而发生破坏;传输系统过载;物理链路损坏。
(2)数字量接口:数字量接口通常只有2种状态:0、1。例如继电器接口。
数字量接口功能主要失效模式:0错误获取或发送为1;1错误获取或发送为0;不能获取或发送数字量。
失效原因:通信链路损坏;电磁干扰。
(3)数据配置接口:外部设备将系统所使用的数据下载到系统中某个存储空间,供系统正常运行时读取使用。
配置数据接口功能主要失效模式:配置的数据错误;系统读取配置数据时出错。
失效原因:提供的数据错误;数据配置工具失效;人员操作错误;存储配置数据的硬件故障;系统软件错误;传输出错。
(4)人机接口:显示及操作设备与安全相关系统之间的接口。
人机接口功能主要失效模式:人机接口输入数据错误;通信中断。
失效原因:人员操作错误;传输错误;通信链路损坏。
3 安全防护措施
对于不同类型的接口,其使用的安全防护措施是不同的,下面将按照接口分类,详细阐述适用于各类接口的安全防护措施:
(1)通信接口。
通信接口主要防护措施可以参照EN50159的防护措施来提出(见表2)。
(2)数字量接口安全防护措施。
①如果外接继电器,宜选用安全型继电器,使用安全侧的数字量状态作为故障状态时的输出。即故障导向安全设计。
②状态回采并表决。
(3)人机接口安全防护措施。
①接收非安全设备发送的数据时,应按照EN50159中规定的方法采取防护措施,参见“通信接口安全防护措施”。
②数据录入时尽量使用选择数据的方式,以减少人为出错的概率。
(4)数据配置接口安全防护措施。
配置数据应设置校核字段,安全相关系统在使用配置数据时,应保证数据校核成功。当数据校核异常时,应使系统导向安全侧。
4 结语
在对安全相关系统进行接口风险分析时,应根据具体情况尽量全面的评估存在的风险,根据风险特征和系统固有的设计来提出适用的安全防护措施。本文列举出的安全防护措施仅供参考。endprint
摘 要:铁路信号产品通常由多个安全相关子系统构成,各个安全相关子系统又由安全相关子模块构成,系统内外均存在非安全相关子系统,因此,安全系统与外围系统,系统内部各模块之间构成了信息交互网络,接口风险分析方法就是用于研究、分析各内外接口之间存在哪些影响安全的风险,并给出如何防护这些风险的安全防护措施。本文将以安全级铁路信号产品模型为例,研究如何做接口风险分析,并对接口分类讨论,分别给出适用于各类接口的安全防护措施。
关键词:铁路信号 接口 风险分析方法 IHA
中图分类号:U284 文献标识码:A 文章编号:1672-3791(2014)06(b)-0021-02
1 接口识别
在做接口风险分析之前,需要先研究系统的运营环境、识别系统边界,系统与外部设备接口的类别及数量。其次,需要分析系统架构,即分析系统内部各模块的构成及结构关系,识别系统内部接口,了解内部接口的类别及数量。
举例说明,如图1所示,安全相关系统外部有四个系统,分别为“外部设备1~4”,与这四个设备的接口均为外部接口;安全相关系统由两个安全相关子系统构成,分别为“安全相关子系统1”和“安全相关子系统2”,这类接口称为内部接口。即,本文的分析对象共有4个外部接口,2个内部接口。
以安全相关系统中,安全相关子系统2为例,其架构为两个CPU、一个双口RAM,一个外部接口模块构成,如图2所示:CPU1和CPU2同时接收来自安全相关子系统1的通信数据(该接口为内部接口1,通信接口),CPU1和CPU2通过双口RAM进行数据交互,两个CPU将逻辑处理结果通过内部接口3发送给外部接口模块,外部接口模块将处理后的信号通过外部接口2发送外部设备2。
2 接口分类
通常,接口可以分为以下几类:通信接口、数字量接口、数据配置接口、人机接口。为了具体说明接口风险分析方法继续上一章节举例,做如下假设。(见表1)
通常接口类别不同,其失效模式也不同:
(1)通信接口:往来于接口的数据是一系列有规律的bit流,需要用协议来规定其规律性。
通信接口功能主要失效模式:接口数据错误;接口数据非法;接口数据顺序错误;接口数据重复;接口数据被删除;接口通信中断。
失效原因:数据源发出的数据错误;数据在传输过程中由于干扰或串扰等而发生破坏;传输系统过载;物理链路损坏。
(2)数字量接口:数字量接口通常只有2种状态:0、1。例如继电器接口。
数字量接口功能主要失效模式:0错误获取或发送为1;1错误获取或发送为0;不能获取或发送数字量。
失效原因:通信链路损坏;电磁干扰。
(3)数据配置接口:外部设备将系统所使用的数据下载到系统中某个存储空间,供系统正常运行时读取使用。
配置数据接口功能主要失效模式:配置的数据错误;系统读取配置数据时出错。
失效原因:提供的数据错误;数据配置工具失效;人员操作错误;存储配置数据的硬件故障;系统软件错误;传输出错。
(4)人机接口:显示及操作设备与安全相关系统之间的接口。
人机接口功能主要失效模式:人机接口输入数据错误;通信中断。
失效原因:人员操作错误;传输错误;通信链路损坏。
3 安全防护措施
对于不同类型的接口,其使用的安全防护措施是不同的,下面将按照接口分类,详细阐述适用于各类接口的安全防护措施:
(1)通信接口。
通信接口主要防护措施可以参照EN50159的防护措施来提出(见表2)。
(2)数字量接口安全防护措施。
①如果外接继电器,宜选用安全型继电器,使用安全侧的数字量状态作为故障状态时的输出。即故障导向安全设计。
②状态回采并表决。
(3)人机接口安全防护措施。
①接收非安全设备发送的数据时,应按照EN50159中规定的方法采取防护措施,参见“通信接口安全防护措施”。
②数据录入时尽量使用选择数据的方式,以减少人为出错的概率。
(4)数据配置接口安全防护措施。
配置数据应设置校核字段,安全相关系统在使用配置数据时,应保证数据校核成功。当数据校核异常时,应使系统导向安全侧。
4 结语
在对安全相关系统进行接口风险分析时,应根据具体情况尽量全面的评估存在的风险,根据风险特征和系统固有的设计来提出适用的安全防护措施。本文列举出的安全防护措施仅供参考。endprint
摘 要:铁路信号产品通常由多个安全相关子系统构成,各个安全相关子系统又由安全相关子模块构成,系统内外均存在非安全相关子系统,因此,安全系统与外围系统,系统内部各模块之间构成了信息交互网络,接口风险分析方法就是用于研究、分析各内外接口之间存在哪些影响安全的风险,并给出如何防护这些风险的安全防护措施。本文将以安全级铁路信号产品模型为例,研究如何做接口风险分析,并对接口分类讨论,分别给出适用于各类接口的安全防护措施。
关键词:铁路信号 接口 风险分析方法 IHA
中图分类号:U284 文献标识码:A 文章编号:1672-3791(2014)06(b)-0021-02
1 接口识别
在做接口风险分析之前,需要先研究系统的运营环境、识别系统边界,系统与外部设备接口的类别及数量。其次,需要分析系统架构,即分析系统内部各模块的构成及结构关系,识别系统内部接口,了解内部接口的类别及数量。
举例说明,如图1所示,安全相关系统外部有四个系统,分别为“外部设备1~4”,与这四个设备的接口均为外部接口;安全相关系统由两个安全相关子系统构成,分别为“安全相关子系统1”和“安全相关子系统2”,这类接口称为内部接口。即,本文的分析对象共有4个外部接口,2个内部接口。
以安全相关系统中,安全相关子系统2为例,其架构为两个CPU、一个双口RAM,一个外部接口模块构成,如图2所示:CPU1和CPU2同时接收来自安全相关子系统1的通信数据(该接口为内部接口1,通信接口),CPU1和CPU2通过双口RAM进行数据交互,两个CPU将逻辑处理结果通过内部接口3发送给外部接口模块,外部接口模块将处理后的信号通过外部接口2发送外部设备2。
2 接口分类
通常,接口可以分为以下几类:通信接口、数字量接口、数据配置接口、人机接口。为了具体说明接口风险分析方法继续上一章节举例,做如下假设。(见表1)
通常接口类别不同,其失效模式也不同:
(1)通信接口:往来于接口的数据是一系列有规律的bit流,需要用协议来规定其规律性。
通信接口功能主要失效模式:接口数据错误;接口数据非法;接口数据顺序错误;接口数据重复;接口数据被删除;接口通信中断。
失效原因:数据源发出的数据错误;数据在传输过程中由于干扰或串扰等而发生破坏;传输系统过载;物理链路损坏。
(2)数字量接口:数字量接口通常只有2种状态:0、1。例如继电器接口。
数字量接口功能主要失效模式:0错误获取或发送为1;1错误获取或发送为0;不能获取或发送数字量。
失效原因:通信链路损坏;电磁干扰。
(3)数据配置接口:外部设备将系统所使用的数据下载到系统中某个存储空间,供系统正常运行时读取使用。
配置数据接口功能主要失效模式:配置的数据错误;系统读取配置数据时出错。
失效原因:提供的数据错误;数据配置工具失效;人员操作错误;存储配置数据的硬件故障;系统软件错误;传输出错。
(4)人机接口:显示及操作设备与安全相关系统之间的接口。
人机接口功能主要失效模式:人机接口输入数据错误;通信中断。
失效原因:人员操作错误;传输错误;通信链路损坏。
3 安全防护措施
对于不同类型的接口,其使用的安全防护措施是不同的,下面将按照接口分类,详细阐述适用于各类接口的安全防护措施:
(1)通信接口。
通信接口主要防护措施可以参照EN50159的防护措施来提出(见表2)。
(2)数字量接口安全防护措施。
①如果外接继电器,宜选用安全型继电器,使用安全侧的数字量状态作为故障状态时的输出。即故障导向安全设计。
②状态回采并表决。
(3)人机接口安全防护措施。
①接收非安全设备发送的数据时,应按照EN50159中规定的方法采取防护措施,参见“通信接口安全防护措施”。
②数据录入时尽量使用选择数据的方式,以减少人为出错的概率。
(4)数据配置接口安全防护措施。
配置数据应设置校核字段,安全相关系统在使用配置数据时,应保证数据校核成功。当数据校核异常时,应使系统导向安全侧。
4 结语
在对安全相关系统进行接口风险分析时,应根据具体情况尽量全面的评估存在的风险,根据风险特征和系统固有的设计来提出适用的安全防护措施。本文列举出的安全防护措施仅供参考。endprint