铁路信号产品接口风险分析方法研究

摘 要：铁路信号产品通常由多个安全相关子系统构成，各个安全相关子系统又由安全相关子模块构成，系统内外均存在非安全相关子系统，因此，安全系统与外围系统，系统内部各模块之间构成了信息交互网络，接口风险分析方法就是用于研究、分析各内外接口之间存在哪些影响安全的风险，并给出如何防护这些风险的安全防护措施。本文将以安全级铁路信号产品模型为例，研究如何做接口风险分析，并对接口分类讨论，分别给出适用于各类接口的安全防护措施。

关键词：铁路信号 接口 风险分析方法 IHA

中图分类号：U284 文献标识码：A 文章编号：1672-3791（2014）06（b）-0021-02

1 接口识别

在做接口风险分析之前，需要先研究系统的运营环境、识别系统边界，系统与外部设备接口的类别及数量。其次，需要分析系统架构，即分析系统内部各模块的构成及结构关系，识别系统内部接口，了解内部接口的类别及数量。

举例说明，如图1所示，安全相关系统外部有四个系统，分别为“外部设备1～4”，与这四个设备的接口均为外部接口；安全相关系统由两个安全相关子系统构成，分别为“安全相关子系统1”和“安全相关子系统2”，这类接口称为内部接口。即，本文的分析对象共有4个外部接口，2个内部接口。

以安全相关系统中，安全相关子系统2为例，其架构为两个CPU、一个双口RAM，一个外部接口模块构成，如图2所示：CPU1和CPU2同时接收来自安全相关子系统1的通信数据（该接口为内部接口1，通信接口），CPU1和CPU2通过双口RAM进行数据交互，两个CPU将逻辑处理结果通过内部接口3发送给外部接口模块，外部接口模块将处理后的信号通过外部接口2发送外部设备2。

2 接口分类

通常，接口可以分为以下几类：通信接口、数字量接口、数据配置接口、人机接口。为了具体说明接口风险分析方法继续上一章节举例，做如下假设。（见表1）

通常接口类别不同，其失效模式也不同：

（1）通信接口：往来于接口的数据是一系列有规律的bit流，需要用协议来规定其规律性。

通信接口功能主要失效模式：接口数据错误；接口数据非法；接口数据顺序错误；接口数据重复；接口数据被删除；接口通信中断。

失效原因：数据源发出的数据错误；数据在传输过程中由于干扰或串扰等而发生破坏；传输系统过载；物理链路损坏。

（2）数字量接口：数字量接口通常只有2种状态：0、1。例如继电器接口。

数字量接口功能主要失效模式：0错误获取或发送为1；1错误获取或发送为0；不能获取或发送数字量。

失效原因：通信链路损坏；电磁干扰。

（3）数据配置接口：外部设备将系统所使用的数据下载到系统中某个存储空间，供系统正常运行时读取使用。

配置数据接口功能主要失效模式：配置的数据错误；系统读取配置数据时出错。

失效原因：提供的数据错误；数据配置工具失效；人员操作错误；存储配置数据的硬件故障；系统软件错误；传输出错。

（4）人机接口：显示及操作设备与安全相关系统之间的接口。

人机接口功能主要失效模式：人机接口输入数据错误；通信中断。

失效原因：人员操作错误；传输错误；通信链路损坏。

3 安全防护措施

对于不同类型的接口，其使用的安全防护措施是不同的，下面将按照接口分类，详细阐述适用于各类接口的安全防护措施：

（1）通信接口。

通信接口主要防护措施可以参照EN50159的防护措施来提出（见表2）。

（2）数字量接口安全防护措施。

①如果外接继电器，宜选用安全型继电器，使用安全侧的数字量状态作为故障状态时的输出。即故障导向安全设计。

②状态回采并表决。

（3）人机接口安全防护措施。

①接收非安全设备发送的数据时，应按照EN50159中规定的方法采取防护措施，参见“通信接口安全防护措施”。

②数据录入时尽量使用选择数据的方式，以减少人为出错的概率。

（4）数据配置接口安全防护措施。

配置数据应设置校核字段，安全相关系统在使用配置数据时，应保证数据校核成功。当数据校核异常时，应使系统导向安全侧。

4 结语

在对安全相关系统进行接口风险分析时，应根据具体情况尽量全面的评估存在的风险，根据风险特征和系统固有的设计来提出适用的安全防护措施。本文列举出的安全防护措施仅供参考。

推荐访问： 接口 风险 方法 分析 研究

---