铁路信号产品接口风险分析方法研究

2014-10-16 21:23王非刘斌张大鹏
科技资讯 2014年17期
关键词:接口铁路信号

王非 刘斌 张大鹏

摘 要:铁路信号产品通常由多个安全相关子系统构成,各个安全相关子系统又由安全相关子模块构成,系统内外均存在非安全相关子系统,因此,安全系统与外围系统,系统内部各模块之间构成了信息交互网络,接口风险分析方法就是用于研究、分析各内外接口之间存在哪些影响安全的风险,并给出如何防护这些风险的安全防护措施。本文将以安全级铁路信号产品模型为例,研究如何做接口风险分析,并对接口分类讨论,分别给出适用于各类接口的安全防护措施。

关键词:铁路信号 接口 风险分析方法 IHA

中图分类号:U284 文献标识码:A 文章编号:1672-3791(2014)06(b)-0021-02

1 接口识别

在做接口风险分析之前,需要先研究系统的运营环境、识别系统边界,系统与外部设备接口的类别及数量。其次,需要分析系统架构,即分析系统内部各模块的构成及结构关系,识别系统内部接口,了解内部接口的类别及数量。

举例说明,如图1所示,安全相关系统外部有四个系统,分别为“外部设备1~4”,与这四个设备的接口均为外部接口;安全相关系统由两个安全相关子系统构成,分别为“安全相关子系统1”和“安全相关子系统2”,这类接口称为内部接口。即,本文的分析对象共有4个外部接口,2个内部接口。

以安全相关系统中,安全相关子系统2为例,其架构为两个CPU、一个双口RAM,一个外部接口模块构成,如图2所示:CPU1和CPU2同时接收来自安全相关子系统1的通信数据(该接口为内部接口1,通信接口),CPU1和CPU2通过双口RAM进行数据交互,两个CPU将逻辑处理结果通过内部接口3发送给外部接口模块,外部接口模块将处理后的信号通过外部接口2发送外部设备2。

2 接口分类

通常,接口可以分为以下几类:通信接口、数字量接口、数据配置接口、人机接口。为了具体说明接口风险分析方法继续上一章节举例,做如下假设。(见表1)

通常接口类别不同,其失效模式也不同:

(1)通信接口:往来于接口的数据是一系列有规律的bit流,需要用协议来规定其规律性。

通信接口功能主要失效模式:接口数据错误;接口数据非法;接口数据顺序错误;接口数据重复;接口数据被删除;接口通信中断。

失效原因:数据源发出的数据错误;数据在传输过程中由于干扰或串扰等而发生破坏;传输系统过载;物理链路损坏。

(2)数字量接口:数字量接口通常只有2种状态:0、1。例如继电器接口。

数字量接口功能主要失效模式:0错误获取或发送为1;1错误获取或发送为0;不能获取或发送数字量。

失效原因:通信链路损坏;电磁干扰。

(3)数据配置接口:外部设备将系统所使用的数据下载到系统中某个存储空间,供系统正常运行时读取使用。

配置数据接口功能主要失效模式:配置的数据错误;系统读取配置数据时出错。

失效原因:提供的数据错误;数据配置工具失效;人员操作错误;存储配置数据的硬件故障;系统软件错误;传输出错。

(4)人机接口:显示及操作设备与安全相关系统之间的接口。

人机接口功能主要失效模式:人机接口输入数据错误;通信中断。

失效原因:人员操作错误;传输错误;通信链路损坏。

3 安全防护措施

对于不同类型的接口,其使用的安全防护措施是不同的,下面将按照接口分类,详细阐述适用于各类接口的安全防护措施:

(1)通信接口。

通信接口主要防护措施可以参照EN50159的防护措施来提出(见表2)。

(2)数字量接口安全防护措施。

①如果外接继电器,宜选用安全型继电器,使用安全侧的数字量状态作为故障状态时的输出。即故障导向安全设计。

②状态回采并表决。

(3)人机接口安全防护措施。

①接收非安全设备发送的数据时,应按照EN50159中规定的方法采取防护措施,参见“通信接口安全防护措施”。

②数据录入时尽量使用选择数据的方式,以减少人为出错的概率。

(4)数据配置接口安全防护措施。

配置数据应设置校核字段,安全相关系统在使用配置数据时,应保证数据校核成功。当数据校核异常时,应使系统导向安全侧。

4 结语

在对安全相关系统进行接口风险分析时,应根据具体情况尽量全面的评估存在的风险,根据风险特征和系统固有的设计来提出适用的安全防护措施。本文列举出的安全防护措施仅供参考。endprint

摘 要:铁路信号产品通常由多个安全相关子系统构成,各个安全相关子系统又由安全相关子模块构成,系统内外均存在非安全相关子系统,因此,安全系统与外围系统,系统内部各模块之间构成了信息交互网络,接口风险分析方法就是用于研究、分析各内外接口之间存在哪些影响安全的风险,并给出如何防护这些风险的安全防护措施。本文将以安全级铁路信号产品模型为例,研究如何做接口风险分析,并对接口分类讨论,分别给出适用于各类接口的安全防护措施。

关键词:铁路信号 接口 风险分析方法 IHA

中图分类号:U284 文献标识码:A 文章编号:1672-3791(2014)06(b)-0021-02

1 接口识别

在做接口风险分析之前,需要先研究系统的运营环境、识别系统边界,系统与外部设备接口的类别及数量。其次,需要分析系统架构,即分析系统内部各模块的构成及结构关系,识别系统内部接口,了解内部接口的类别及数量。

举例说明,如图1所示,安全相关系统外部有四个系统,分别为“外部设备1~4”,与这四个设备的接口均为外部接口;安全相关系统由两个安全相关子系统构成,分别为“安全相关子系统1”和“安全相关子系统2”,这类接口称为内部接口。即,本文的分析对象共有4个外部接口,2个内部接口。

以安全相关系统中,安全相关子系统2为例,其架构为两个CPU、一个双口RAM,一个外部接口模块构成,如图2所示:CPU1和CPU2同时接收来自安全相关子系统1的通信数据(该接口为内部接口1,通信接口),CPU1和CPU2通过双口RAM进行数据交互,两个CPU将逻辑处理结果通过内部接口3发送给外部接口模块,外部接口模块将处理后的信号通过外部接口2发送外部设备2。

2 接口分类

通常,接口可以分为以下几类:通信接口、数字量接口、数据配置接口、人机接口。为了具体说明接口风险分析方法继续上一章节举例,做如下假设。(见表1)

通常接口类别不同,其失效模式也不同:

(1)通信接口:往来于接口的数据是一系列有规律的bit流,需要用协议来规定其规律性。

通信接口功能主要失效模式:接口数据错误;接口数据非法;接口数据顺序错误;接口数据重复;接口数据被删除;接口通信中断。

失效原因:数据源发出的数据错误;数据在传输过程中由于干扰或串扰等而发生破坏;传输系统过载;物理链路损坏。

(2)数字量接口:数字量接口通常只有2种状态:0、1。例如继电器接口。

数字量接口功能主要失效模式:0错误获取或发送为1;1错误获取或发送为0;不能获取或发送数字量。

失效原因:通信链路损坏;电磁干扰。

(3)数据配置接口:外部设备将系统所使用的数据下载到系统中某个存储空间,供系统正常运行时读取使用。

配置数据接口功能主要失效模式:配置的数据错误;系统读取配置数据时出错。

失效原因:提供的数据错误;数据配置工具失效;人员操作错误;存储配置数据的硬件故障;系统软件错误;传输出错。

(4)人机接口:显示及操作设备与安全相关系统之间的接口。

人机接口功能主要失效模式:人机接口输入数据错误;通信中断。

失效原因:人员操作错误;传输错误;通信链路损坏。

3 安全防护措施

对于不同类型的接口,其使用的安全防护措施是不同的,下面将按照接口分类,详细阐述适用于各类接口的安全防护措施:

(1)通信接口。

通信接口主要防护措施可以参照EN50159的防护措施来提出(见表2)。

(2)数字量接口安全防护措施。

①如果外接继电器,宜选用安全型继电器,使用安全侧的数字量状态作为故障状态时的输出。即故障导向安全设计。

②状态回采并表决。

(3)人机接口安全防护措施。

①接收非安全设备发送的数据时,应按照EN50159中规定的方法采取防护措施,参见“通信接口安全防护措施”。

②数据录入时尽量使用选择数据的方式,以减少人为出错的概率。

(4)数据配置接口安全防护措施。

配置数据应设置校核字段,安全相关系统在使用配置数据时,应保证数据校核成功。当数据校核异常时,应使系统导向安全侧。

4 结语

在对安全相关系统进行接口风险分析时,应根据具体情况尽量全面的评估存在的风险,根据风险特征和系统固有的设计来提出适用的安全防护措施。本文列举出的安全防护措施仅供参考。endprint

摘 要:铁路信号产品通常由多个安全相关子系统构成,各个安全相关子系统又由安全相关子模块构成,系统内外均存在非安全相关子系统,因此,安全系统与外围系统,系统内部各模块之间构成了信息交互网络,接口风险分析方法就是用于研究、分析各内外接口之间存在哪些影响安全的风险,并给出如何防护这些风险的安全防护措施。本文将以安全级铁路信号产品模型为例,研究如何做接口风险分析,并对接口分类讨论,分别给出适用于各类接口的安全防护措施。

关键词:铁路信号 接口 风险分析方法 IHA

中图分类号:U284 文献标识码:A 文章编号:1672-3791(2014)06(b)-0021-02

1 接口识别

在做接口风险分析之前,需要先研究系统的运营环境、识别系统边界,系统与外部设备接口的类别及数量。其次,需要分析系统架构,即分析系统内部各模块的构成及结构关系,识别系统内部接口,了解内部接口的类别及数量。

举例说明,如图1所示,安全相关系统外部有四个系统,分别为“外部设备1~4”,与这四个设备的接口均为外部接口;安全相关系统由两个安全相关子系统构成,分别为“安全相关子系统1”和“安全相关子系统2”,这类接口称为内部接口。即,本文的分析对象共有4个外部接口,2个内部接口。

以安全相关系统中,安全相关子系统2为例,其架构为两个CPU、一个双口RAM,一个外部接口模块构成,如图2所示:CPU1和CPU2同时接收来自安全相关子系统1的通信数据(该接口为内部接口1,通信接口),CPU1和CPU2通过双口RAM进行数据交互,两个CPU将逻辑处理结果通过内部接口3发送给外部接口模块,外部接口模块将处理后的信号通过外部接口2发送外部设备2。

2 接口分类

通常,接口可以分为以下几类:通信接口、数字量接口、数据配置接口、人机接口。为了具体说明接口风险分析方法继续上一章节举例,做如下假设。(见表1)

通常接口类别不同,其失效模式也不同:

(1)通信接口:往来于接口的数据是一系列有规律的bit流,需要用协议来规定其规律性。

通信接口功能主要失效模式:接口数据错误;接口数据非法;接口数据顺序错误;接口数据重复;接口数据被删除;接口通信中断。

失效原因:数据源发出的数据错误;数据在传输过程中由于干扰或串扰等而发生破坏;传输系统过载;物理链路损坏。

(2)数字量接口:数字量接口通常只有2种状态:0、1。例如继电器接口。

数字量接口功能主要失效模式:0错误获取或发送为1;1错误获取或发送为0;不能获取或发送数字量。

失效原因:通信链路损坏;电磁干扰。

(3)数据配置接口:外部设备将系统所使用的数据下载到系统中某个存储空间,供系统正常运行时读取使用。

配置数据接口功能主要失效模式:配置的数据错误;系统读取配置数据时出错。

失效原因:提供的数据错误;数据配置工具失效;人员操作错误;存储配置数据的硬件故障;系统软件错误;传输出错。

(4)人机接口:显示及操作设备与安全相关系统之间的接口。

人机接口功能主要失效模式:人机接口输入数据错误;通信中断。

失效原因:人员操作错误;传输错误;通信链路损坏。

3 安全防护措施

对于不同类型的接口,其使用的安全防护措施是不同的,下面将按照接口分类,详细阐述适用于各类接口的安全防护措施:

(1)通信接口。

通信接口主要防护措施可以参照EN50159的防护措施来提出(见表2)。

(2)数字量接口安全防护措施。

①如果外接继电器,宜选用安全型继电器,使用安全侧的数字量状态作为故障状态时的输出。即故障导向安全设计。

②状态回采并表决。

(3)人机接口安全防护措施。

①接收非安全设备发送的数据时,应按照EN50159中规定的方法采取防护措施,参见“通信接口安全防护措施”。

②数据录入时尽量使用选择数据的方式,以减少人为出错的概率。

(4)数据配置接口安全防护措施。

配置数据应设置校核字段,安全相关系统在使用配置数据时,应保证数据校核成功。当数据校核异常时,应使系统导向安全侧。

4 结语

在对安全相关系统进行接口风险分析时,应根据具体情况尽量全面的评估存在的风险,根据风险特征和系统固有的设计来提出适用的安全防护措施。本文列举出的安全防护措施仅供参考。endprint

猜你喜欢
接口铁路信号
渝贵铁路信号系统联调联试的思考与建议
铁路信号设备维修管理信息系统设计与开发
现场采购代表与总部及现场各部门的接口关系
某电站工程设计管理与施工、质量控制接口关系研究
脱硝数据传输系统远程无线监控技术的研发与应用
西门子SPPA—T3000在委内瑞拉燃机电厂中的应用与接口
雷击对铁路信号系统的影响探讨
电磁干扰对铁路信号的影响研究
既有铁路信号改造工程实施与研究
中俄网络语言编码接口问题的研究