計算機聯鎖系統中人機會話層安全分析

孫 寧 邱兆陽

（北京全路通信信號研究設計院集團有限公司，北京 100070）

計算機聯鎖系統中人機會話層安全分析

孫 寧 邱兆陽

（北京全路通信信號研究設計院集團有限公司，北京 100070）

就計算機聯鎖系統中人機會話層的安全性進行分析，提出人機會話層的安全功能要求，并給出實現安全功能的幾種實現方式以及幾種方案的對比。

計算機聯鎖；人機會話層；安全相關操作

1 概述

計算機聯鎖系統目前已經得到廣泛的應用，尤其是在近年建設的高速鐵路項目中，車站的信號控制系統基本上不再采用傳統的電氣集中繼電式聯鎖。聯鎖系統作為車站信號設備中的基本系統，對其安全性的要求一直很高，根據最新發布的《鐵路車站計算機聯鎖技術條件》7.1.3的要求，計算機聯鎖系統的安全性指標，每功能每小時容許危險率（THR）10-9≤THR＜10-8。

計算機聯鎖系統通常分為3層：聯鎖運算層、執行表示層、人機會話層。典型的業務流程為：人機會話層接受操作人員的指令，形成命令發送給聯鎖運算層；聯鎖運算層根據操作指令以及來自執行表示層的設備狀態信息、歷史信息，根據聯鎖規則進行運算，形成輸出命令；執行表示層根據聯鎖運算層的命令驅動輸出，動作結合電路。

采用6502電氣集中電路時，對于需要人工確認后操作的按鈕，采取了加鉛封的方法，減少錯誤操作的可能性，并提醒操作人員對破鉛封操作按規定進行確認。同時，破鉛封操作在一定程度上也意味著安全責任由信號設備向操作人員的轉移。

本文就人機會話層下發的操作命令進行安全分析，給出幾種加強安全性的方案，并對每種方案的不足和優點進行對比分析。

2 安全分析

人機會話層為聯鎖系統的人機操作界面，值班員需要通過在MMI辦理操作，進行進路、信號、道岔以及其他按鈕的操作，完成包括選路、取消、人解、單操、單封、鈕封、引導、非進路調車、上電解鎖、事故復原等功能。

MMI子系統下發的按鈕通?？梢苑譃?種類型，如表1所示。

表1　MMI子系統下發按鈕類型表

如表1分析，根據《鐵路車站計算機聯鎖技術條件》中定義的危險側輸出，以計算機聯鎖系統產生危險側輸出作為頂事件，則第一類，第二類按鈕操作，都不會導致危險側輸出，此處不考慮運營風險。

第三類按鈕操作，由于聯鎖邏輯并不能提供完全的防護，某些聯鎖條件不能在聯鎖運算層中得到檢查，需要操作人員根據要求進行確認，確認后再進行操作。如果操作人員未按規定進行確認，或操作人員并未操作此類按鈕，由于人機會話層故障，或由于聯鎖運算層與人機會話層的通信交互出現問題，導致第三類按鈕錯誤按下，則會產生危險側輸出，如圖1所示。

圖1　MMI子系統下發第三類按鈕操作錯誤示意圖

采用雙系熱備方式運行的計算機聯鎖系統，聯鎖雙系間同步網出現異常后，如果此時主系發生故障，原來的備系升主系后，應處于安全鎖閉狀態，以避免由于失去同步導致的列車運行前方區段解鎖等風險。此時，操作人員應按規定確認一些條件，如控制范圍內運行的列車已經停穩，之后在人機會話層輸入密碼，進行解鎖操作。聯鎖運算層收到解鎖命令后，恢復正常運行。

在聯鎖系統處于安全鎖閉狀態，等待操作人員進行確認期間，如果人機會話層發生故障，如硬件故障，未采取適當的安全防護措施，則此故障可能導致解鎖命令錯誤下發。而此時操作人員并未按規定確認完成，如果聯鎖運算層無條件執行解鎖命令，那么很可能導致正在運行的列車前方區段解鎖，或場間聯鎖失去照查條件等錯誤輸出，從而導致行車危險事件發生。

根據上面的分析，人機會話層的操作命令可分為3種，如表2所示。

表2　人機會話層操作命令類型表

3 安全防護

3.1實現方案

如第2章所述，一些既定操作，即所謂的安全相關操作，將繞過聯鎖系統自身的安全機制。在執行這些操作時，通過特別的流程以避免操作、傳輸或計算錯誤導致錯誤命令輸出及意外。

安全相關操作的危害：聯鎖運算層執行了未經操作人員的操作/確認的安全相關操作命令。

針對該條危害，可以通過以下措施來對安全相關操作進行防護，如表3所示。

表3　安全相關操作防護措施類型表

以上4種實現方案的對比說明如表4所示。

下面分別對4種方案的實現進行簡單說明。

3.2方案一

本方案針對3.1節中提出的危害，分析人機會話層對該條危害的貢獻，對人機會話層直接提出安全需求?？紤]到人機會話層的結構約束和實現成本等（結構約束指IEC61508中提到的硬件冗余度，如二取二，三取二，人機會話層考慮到實現和成本一般硬件冗余度為0），其承擔的安全功能達到SIL2要求比較合理。

該方案的優點在于從整體系統角度具有較高的安全性，從傳統意義上人機會話層雖然沒有安全性要求，但一直有較高的可靠性要求。從第2章的安全分析來看，安全相關操作由于沒有足夠的聯鎖邏輯防護，如果不采取其他的安全防護措施，人機會話層的故障確實可能導致行車危險。

人機會話層的安全功能除安全相關操作命令的下發外，也應包括某些關鍵信息的顯示功能，如果人機會話層直接承擔安全功能，則其顯示功能也可以一并考慮進來。

表4　安全相關操作防護措施方案對比及安全性評價表

3.3方案二

本方案是在人機會話層增加一個附加的硬件按鈕，該硬件按鈕的狀態由執行表示層的安全采集單元采集，并將狀態傳遞給聯鎖運算層作為判斷條件使用，如圖2所示。

圖2　人機會話層培設獨立硬件確認按鈕結構圖

當操作人員進行安全相關操作時，典型處理流程如下（以解除安全鎖閉為例）：

1）操作人員按下解除鎖閉按鈕，人機操作界面將命令下發給聯鎖運算層，此時人機操作界面出現10 s倒計時。

2）在10 s倒計時內，操作人員按下硬件按鈕進行確認。

3）聯鎖運算層接收到人機操作界面的解除鎖閉命令后，開啟10 s的窗口，此窗口期間采集到硬件實體按鈕由抬起到按下的變化，執行解除鎖閉的命令。

4）如果10 s內操作人員未按下實體按鈕，則解除鎖閉命令不執行。

5）如果解除鎖閉命令下發時，實體按鈕已經在按下狀態，解除鎖閉命令也不執行。

3.4方案三

根據《鐵路車站計算機聯鎖技術條件》的要求，當采用鼠標器作為操作設備時，對于帶鉛封相對應的操作，應增加輸入3位數字口令和再確認的附加操作。

滿足該條要求，可以有兩種實現方式。

1）判斷3位數據口令以及再確認的附加操作由人機會話層來完成，典型操作流程如下（以解除鎖閉為例）：

a.按下解除鎖閉按鈕；

b.人機會話層彈出口令對話框，操作人員輸入口令，點確認；

c.人機會話層判斷口令正確后，將解除鎖閉命令發給聯鎖運算層；

d.聯鎖運算層收到命令后執行。

2）判斷3位數據口令以及再確認的附加操作由聯鎖運算層來完成，典型操作流程如下（以解除鎖閉為例）：

a.按下解除鎖閉按鈕，人機會話層將按鈕按下狀態下發給聯鎖運算層；

b.聯鎖運算層收到按鈕命令后，啟動會話窗口，等待口令；

c.人機會話層彈出口令對話框，操作人員輸入口令，點確認；

d.人機會話層將口令下發給聯鎖運算層；

e.聯鎖運算層在會話窗口時間內收到正確口令后，執行解除鎖閉命令。

當人機會話層不承擔安全功能時，第二種實現方式相對于第一種實現方式，安全性更高，在很大程度上避免由于人機會話層軟件錯誤、硬件故障，以及兩層間通信導致的安全相關操作錯誤下發。

3.5方案四

本方案是借鑒安全通信實現中端到端的保護，通過在安全相關操作中增加基于預定規則的交互，來排除由于軟件、通信、硬件故障等可能導致安全相關操作錯誤下發。正如安全通信實現一般對通信通道不提出安全要求一樣，本方案不對人機會話層以及人機會話層與聯鎖運算層的通道提出安全要求，安全主要通過預先定義的交互規則進行保護。

仿照EN50159中的安全相關通信防護矩陣，提出安全相關操作的防護矩陣，如表5所示。

表5　安全相關操作防護矩陣表

仍然以解除安全鎖閉為例，典型的流程如下：

1）操作人員按下解除鎖閉按鈕，人機會話層將按鈕狀態下發給聯鎖運算層；

2）聯鎖運算層收到按鈕按下后，啟動該按鈕有效的TTL，如10 s，作為TTC，只有在TTC內完成后續預定的交互，才認為解除鎖閉按鈕有效；

3）聯鎖運算層利用隨機數，生成RCP，如5位隨機確認碼，返回給人機會話層；

4）人機會話層收到RCP后，彈出窗口，要求值班員輸入5位RCP中的第1，第3，第4位，作為OCP，下發給聯鎖運算層；

5）聯鎖運算層收到OCP后，檢查OCP是否與RCP一致，且是否在TTC內，檢查條件滿足，則執行解除鎖閉命令。

下面就本方案如何防護幾種典型故障進行分析，具體如表6所示。

表6　典型故障防護分析表

需要說明的是，通過提高RCP的位數和隨機化程度，以及增加RCP與OCP關聯規則的復雜性，可以進一步提高安全相關操作量化安全性。

4 總結

通過對計算機聯鎖系統中人機會話安全性的分析，以及本文提出的幾種安全防護方案的介紹和對比，希望為今后計算機聯鎖系統的發展提供借鑒，以提高人機會話層安全相關命令下發的安全性，從而提高整個計算機聯鎖系統的安全性。

［1］國家鐵路局.TB/T3027-2015 鐵路車站計算機聯鎖技術條件［S］.北京：中國鐵道出版社，2015.

The paper analyzes the safety of MMI layer in the computer-based interlocking system， puts forward the safety requirements of the MMI layer， and presents sevral safety function implementation methods with comparison among the options.

computer-baed interlocking； MMI Layer； safety related operation

10.3969/j.issn.1673-4440.2016.04.006

2016-04-18）