铁路信号安全电子系统应遵循的一般原则及安全性判定

一 铁路信号安全电子系统应遵循的一般原则及安全性判定1. 系统整体上必须具有足够高的可靠性，并按照安全性完善度等级的划分原则,确定系统整体和各局部的安全性等级，采用与该等级相适应的技术来制作硬件和软件。对于安全性完善度为最高等级系统以及即使不是最高等级系统的生命攸关功能的实现必须符合“故障安全”的设计原则。2. 系统的整个生命周期自始至终必须处在严格的质量保障体系的监管之下。质量管理也包括在对安全性完善度的考察范围之内。3. 系统的行、调车指挥功能和安全功能很难截然分开，因此在需求规格说明中，表述一个功能时，应该同时指出在实现该功能时需要防范的风险。凡是已经列入需求规格说明书的安全性要求可以视为基本需求的内容。没有同时表述的安全性要求，除了相关技术标准已有明确规定以外，需要单独编制安全性需求说明书。4. 系统验收时，对涉及安全性要求的验收依据，除了需求规格说明书之外，还包括相关的技术或管理标准、规范中载明的和蕴涵的安全性内容。5. 合理地评价系统的安全性往往要求对系统的安全性进行某种定量估计。一个具体铁路信号安全电子系统是否需要给出定量的安全性指标，取决于铁路主管部门根据管理的需要决定。如果提出某一安全性定量指标，就必须指出赖以获得该指标的模型在什么条件下是适用的和在什么范围内是有意义的。对于所有基于统计试验的安全性概率估计，由于安全性试验可能得到的数据样本很少，因此，在提出估计值时必须同时给出置信度和置信区间才是有意义的。6. 安全性完善度是从技术和管理上保障安全的概念。用安全性完善度衡量系统的安全性，主要通过验证所有安全性问题的完善处理技术是否得到采用，质量管理措施是否落实来实施。安全性完善度也可以有条件地进行量化，代表技术上和管理上的完善性，它是对统计试验数据依赖较小的一种评价方法。7. 系统的安全性不能完全依赖故障检测，故障检测对某些意外出现的故障状态有漏检的可能。有些故障在检测之后并不一定立刻能消除故障的影响。当出现这种情况时，不能确定的状态也应归在危险状态的范畴内。8. 系统中应特别注意电气和非电气环境因素的影响，以保证规定的功能都能安全地实现。 9. 系统中除了安全性以外，关于可靠性、可用性和可维修性的术语遵循通用的电子或机械领域的定义。二 铁路信号系统的安全性完善度通常分为五级：1. “最高级”也称“级”。所指对象对铁路运输而言其整体功能是“生命攸关的”、对安全是“苛求的（critical）”、设计必须是“故障-安全”的；2. “高级”也称“级”。所指对象对铁路运输而言其部分功能是“生命攸关的”、对安全也是“苛求的”、安全性设计应该是“高完善度的”；3. “中级”也称“级”。所指对象对铁路运输而言其功能是“不可缺少的（essential）”、是“涉及安全的involved）”；、安全性设计应该是“中完善度的”；4. “低级”也称“级”。所指对象在铁路运输而言其功能也是“不可缺少的”、也是“涉及安全的”、但安全性设计可以是“低完善度的”；5. “零级”。它对铁路运输而言其功能不是“不可缺少的”、但和安全性是“不相关的（non-safety-related）”、没有安全性的设计要求。 凡是新开发的铁路信号产品要根据技术安全性要求提出单独的、足以证实这些要求的技术安全性报告。三 正常条件下的功能安全性要求正常条件下的功能安全性是指系统没有发生故障也不存在误操作等危害源的情况下，系统按规定保障铁路安全运行的能力。对于已有专门技术标准的各类信号设备应严格遵循这些标准的要求。对于没有标准可遵循的设备，必须提出功能和技术安全性报告。 功能和技术安全性报告必须是完整的，包括在内的所有安全性完善度等级的要求。必须解释确保安全设计的技术原则并包括所有技术支持依据。在正常条件下，保证系统正确运行的的技术安全性报告应包括：. 系统结构描述。. 接口定义包括人机接口和系统接口的定义。人机接口又分为操作人员的人机接口和为维护人员的人机接口；系统接口又分内部接口和外部接口。. 系统需求的实现。具体说明系统需求的功能通过设计满足的依据：设计原理和计算、测试说明和测试结果等。d. 系统运行特定环境。指通风、温度、湿度、电磁干扰屏蔽等。e. 保证正确的硬件功能。说明硬件设计安全性完善度等级，可靠性、可用性等。f. 保证正确的软件功能。说明软件设计安全性完善度等级。提出软件可用性报告和测试报告，其中包括硬件和软件之间的相关性、相互作用的顺序、响应时间、自测试例行规程、状态监督、数据采集约束等。g. 外界干扰下的运行。存在特定的外界干扰下满足功能需求和安全性需求的能力。对安全性苛求系统，在设计中应提出在超出规定限制的外界干扰条件下保持安全工作的原则意见。h. 与安全性相关的应用条件；尽管本标准侧重于系统/子系统/设备的功能安全性，但也应考虑操纵和维护人员的健康和安全，主要有：生产、安装、测试和交付使用中的防护措施；系统常规操作规程、诊断故障和进行维护的规则和方法、电磁伤害的预防；辅助设备和工具等的安全性验证。四 软件设计技术要求在不牺牲可维护性的前提下，在结构设计时就应控制软件的规模和复杂性。应选择一套和安全性完善度相适应的编程语言和编译工具。翻译器或编译器应是成熟的、已经获得承认的并能出示国家或国际“认证证书”的，否则需要一个详细报告说明它能满足安全性的要求。在软件设计时就应确定软件的测试方法。1 软件集成技术要求软件集成是一个逐步将软件单元、模块合成软件系统的过程。目的是在整个系统集成和测试之前充分地证明模块接口和装配的正确性。软件模块测试结果应记录在软件模块测试报告中。软件集成和测试可在目标机或仿真目标机上进行。但是，如果软件集成测试在仿真目标机上进行，在目标机上应进行补充附加测试来证实软件集成测试活动的有效性。软件集成计划中应确定软件模块的集成方式，应写明：集成层面的划分；测试案例和测试数据；要执行的测试类型；测试环境、工具、配置和程序；判断测试是否实现了测试目标。产生的软件集成报告应给出测试结果及是否满足软件集成计划的结论。如果集成失败，则要记录失败的原因。在软件集成期间，对软件的任何修改或变动都要进行影响分析并进行必要的重新验证活动。2 软件安全性测试软件安全性测试因目的不同分为：由生产方自行在开发各阶段实施的测试；由规定部门（第三方）实施的测试，包括用于认证的测试、验收测试、设计资质检验的测试和各种委托的测试。测试方法可选择白箱测试或黑箱测试。由第三方和用户进行的测试可以只采用黑箱测试方法。3 软件安全性技术审查主要是对软件生命周期中涉及安全性相关文档的完整性、正确性和可追溯性所进行的审查。软件生命周期的文档要求见附录E。审查的内容有：安全性需求说明书对系统安全需求的识别；软件体系结构设计对安全性需求规格说明的覆盖；软、硬件集成报告对集成计划的覆盖；安全测试报告对安全性测试计划的覆盖等。五 信息传输安全性技术要求安全信息传输需要远远高于用于一般目的的信息传输系统所需要的差错防护机制。专用的铁路安全信息传输系统通常应是一个封闭的传输系统。为实现在铁路信号工作条件下的安全信息传输安全性，需要了解传输差错发生的条件和失效的形态。安全信息传输要求在错误发生时，传输系统必须按照“故障安全”原则转移到预定的安全状态。1概念化模型选取一个多层（多级）结构的概念模型（见图1）来表明传输过程中不同成分之间的关系。在模型中，需要保护的信息处在“最高”层上。大多数通用数据传输系统的组织结构，都要使得每一层的设计和实现分离开来。低层一般对高层透明。图1 多层（多级）传输结构模型在安全信息多层传输连接中，某一层没有发现的错误在高一层必须发现。任何一层的错误检测机制都要考虑到其他层次的特性。每层都必须考虑信息传输以及相应的错误和防护类型。在最低层信息以物理信号方式发送，中间层以数字信号发送，最高层以完整内容的信息发送。系统的每一个成分都会给信息传输带来延迟，尤其是存储器。延迟随成分不同各异。可接受的最大延迟取决于应用。系统中的不同层次都可能存在闭环。闭环中两个传输方向上传输部件间的物理连接不一定要对等。2传输系统中的错误真实传输系统与理想安全性的接近程度可以用传输中错误的漏检率来表示。需要通过分析判定系统是否能够防止突发、零星或系统错误。在错误率很高时需要采用特殊的防护策略。为了估计传输安全性仅考虑平均错误率是不够的，还要检测错误的时间分布。这就需要建立错误分布的数学模型和估计相关的分布参数。3错误源分类错误源主要分为系统内部和系统外部两大类。 系统内部错误源 系统自身错误（来自硬件成分或软件的缺陷以及噪声）在系统正常运行时也会起作用。它们的暴露通常呈随机或近似随机分布。源于硬件故障的错误可能产生复杂的错误后果，它会使编码和信息重发措施的防护效力降低。由于错误产生是因为硬件故障，因此定量和定性分析可以采用故障模式影响分析方法（FMEA）。软件错误大多来自人为因素（设计、维护等），属于系统失效范围。 系统外部错误源外部错误源可分为环境和人因错误。所有系统都会受到外部影响，但受影响的程度很大一部分取决于传输的物理介质和设备特性。外部错误可能突然发生并通过系统部件加以放大。一些错误源（如公路上车辆点火塞放电噪声）会引发周期性分布的错误。由于牵涉到许多变化的因素，通用的电磁环境特性不能完全照搬使用。可以在现存的文献中从类似系统中找到有用的信息，也可以通过有效的测量来确定与某特定的或一类相关系统的参数。 不同错误源影响的相关性不同错误源产生的影响不一定各自独立。导致噪音增加、阈值降低或带通改变的元器件故障、增益调整偏差等人因差错都会导致系统内部各成分间相关错误影响的加深。4与错误类型相关的概念化模型等级 系统内在错误及外部影响导致的错误最有可能在概念模型的低层发生。外部影响通常主要局限在物理连接中，但不能排除在较高层发生外部错误的可能。设备本身故障与模型的高层（协议、寻址、编码以及可能的调制和解调等）有关系。这类错误也会引入到物理连接中。5安全信息防护技术 防护应用层次a. 物理层：只考虑物理信号的模拟特性；b. 数据层：相关的保护技术主要集中在位(bit)模式上；c. 过程层：信息保护主要体现在数字信息的相关模式上，不考虑位模式也不涉及信息的具体意义；d. 内容层：在检查正确性的时候要考虑传输编码被指派的信息在实际系统中的意义。 信息冗余与编码对“数据层”和“过程层”的信息保护主要依靠信息冗余技术。 信息重发是一种信息冗余也是一种检错技术，对关键数据采用信息重发，能够提高传输的安全性。重发技术常常被采用是因为它的检测器很容易按照“故障-安全”的要求来实现。使用纠错编码能够提高安全传输的可靠性和可用性。在选用纠错编码时要注意：传输连接中的故障必须能及时发现，如果这些故障被纠错机制掩盖而不能立即发现，造成不能及时维护反而降低了安全性水平；纠错器应该按“故障-安全”的要求设计。否则，在使用纠错编码传输的安全性苛求系统中，安全信息的传输还必须同时结合使用信息重发技术。（说明：采用纠错码和采用硬件冗余及多版软件在提高可靠性、安全性的机理上是一样的，所以不能绝对地说禁止使用纠错码。只要技术和经济上合理，不能排除使用的可能。）要注意检错码在解码器上也能纠正一些有小错误的信息。但在安全系统中不能依赖这个功能，因为该功能会增加错误漏检的概率。 过程数据保护在信息冗余的处理过程中，信息单元通常是多位的字，考虑的问题主要侧重于信息间的关系而不是单个信息中各个位之间的关系。“协议”是管理通信参数之间关系的规则。根据实现协议的电路或软件提供的数据保护，不仅要保护信息的内容，还要确保信息不采自错误的信源和被错误传输。信息过期也应予以防护。协议可以防护在系统低层引入的错误，但不能防护协议层本身由于硬件故障所产生的错误。协议与建立的连接以及信息传输有关。从安全的角度来看，对它们的审查与错误检测是同样重要的。虽然已有许多协议，而且有一些已经作为标准被接受（如CCITT接口规范），这些协议也未必都能防护安全系统考虑范围内的所有错误。采用标准协议的时候，需要添加附带的检查程序来提供所需的安全性。 传输安全防护措施选择在传输系统不同层次上选择保护信息传输安全的措施。选择的目的是以最经济的方式确保传输系统的整体安全性。在很多情况下选择受到与现有设备兼容性的限制，还受到标准，尤其是CCITT标准的限制。由于考虑的因素很多，对于防护的等级和方法不可能给出一个确定的选择标准。考虑的主要原则是不超出所有的选择约束，有关选择约束见附录F。 推荐使用的综合防护方法推荐使用的综合方法见附录F。6接口安全性技术要求在系统设计中，接口应尽可能简单，这有利可靠性、安全性验证和维护。6.1接口分类及要求1） 人-机接口a. 应当详细描述系统的工作原理（在正常条件下、在报警条件下的响应、如何使用“帮助”提示等）。 b. 应当详细描述工程人员对某一个特定铁路线路或作业来配置系统时所进行的接口处理（软件参数、硬件走线、安装技术、规程等）。 c. 应当描述维护人员在不同等级的维护过程中使用的接口设备和辅助设备。2）系统接口 a. 系统内部的接口。应定义系统内部成分之间的连接功能和接口结构（阐明电磁干净区域和污染区域、内部总线结构、通信线路、功能监控和纠正、诊断和设备状况监控等）。 b. 系统外部的接口。应定义系统和外部各设施之间的功能和物理结构的接口（如传感器、传动装置、通信线路、测试和监控设以及扩展便利性等）。3）确认和测试 应描述由技术人员为系统的确认和测试所进行的处理。包括对规程、测试装置、模拟装置、分析方法等的确认和测试。6.2 接口安全性主要技术安全系统或系统的安全核心部分通常是一个冗余系统，需要为冗余系统提供多个接口或在一个接口上的多条路径来输入离散的信息。为了确保各冗余部件（硬件和/或软件）能够处理相同数据，可由以下方法实现：a凡串行接口均依赖编码来检查错误，但是要求各冗余子系统（或冗余成分）在正常时处理这些相同数据并保证产生相同输出。b在输出接口上通过一个“故障安全”的硬件及控制软件来表决、比较或检验，最终决定接受哪个冗余子系统（或冗余成分）的输出，这个软件应保证这个过程的同步和正确，并定时或不间断地检验每一个冗余子系统（或冗余成分）的可用性。c采用必要的诊断、状态监测和功能监测等技术7非安全性系统的使用考虑到成本，可以使用一些较经济的非安全设计的通用产品。利用非安全传输系统实现安全信息传输（结构框图见图3）时，其要求的安全性应和使用通用的元器件构成安全系统相同。图3 利用非安全传输系统实现安全信息传输的结构框图7.1硬件冗余用计算机来实现通信功能是传输系统高层目前通用的做法，设计应遵从“故障安全”原则。一般应采用冗余系统结构。7.2软件冗余的相异性对软件冗余有相异性要求。不能依靠商用软件实现相异性来达到安全性的应用目的。7.3 地理或空间相异性相同两点之间的信道上不同地理路线的信息传输称地理或空间相异性。相异性提供了一个有效的途径来防止外部引入的共模干扰和硬件故障。这种相异性还可用来在无线电传输中防止信号间歇衰落。7.4 时刻相异性信息的重复发送是时刻相异性的一种形式。它的价值在于被引入的干扰或间歇性硬件故障的影响在连续时间坐标上的时刻是不同的，因此便于进行比较和检测。7.5 信息冗余信息冗余有可能通过编码和过程检查发现传输设备故障所引入的错误。8外界干扰下的系统运行 在出现外界干扰的环境条件下，系统应该继续满足规定的功能要求和安全性要求。应用环境指室内设备、室外地面设备、车载设备等应用环境的约束。应考虑的干扰环境条件主要有：气候条件、机械条件、海拔条件、电气条件、非法登录等。车载设备亦应保证在规定的电气条件下达到要求的安全性。环境条件详见附录G附录F(规范性附录)安全信息传输的技术要点F.1安全信息传输的技术要点1应当详细分析和充分了解传输系统结构，确认错误信息如何进入系统及在何处能够检测到错误信息。推荐用多层结构的概念模型（见附录F-图F.2）研究系统。2防范错误方法的选择应考虑传输系统特性及其组成部件（物理传输媒介）。传输媒介所在条件包括自然条件和设备故障或错误调整、电磁干扰等条件。3无论采取什么保护措施也不能排除连接中断出现的可能。当连接失效超过规定时间，系统必须确保安全信息的接收端能回到安全状态。4有必要对系统及其组成部件做定性分析来评估它对错误的敏感性和出现故障或软件错误时的可能后果。对传输信息潜在错误的定性和定量分析是设计或验证安全信息传输系统的一个先决条件。5为进行定性与定量安全性分析的仿真建模与技术必须整体合理，并只在规定的验证范围以内应用。6需要考虑错误的分类和结构，它们取决于错误源和传输连接的特性。当传输系统中存在存储器或其他复杂器件时，它们本身就会带来某种特定形式的随机错误。7电路中单个元件故障可产生一类多位错误。8需要考虑外部或内部干扰（控制逻辑、选通、片选信号、地址或数据线等）会导致信息的完全破坏。9只要可能都要对错误源及其对传输系统产生的后果做出评价。10当差错防护成为安全信息保护的唯一途径时，与通用通信系统采用的传输保护相类似的技术可以采用，但需要用更高的电平来保证安全信息传输。11模拟系统的传输设备、滤波器和放大器必须按照“故障-安全”的原则设计。12在错误检测上使用标准通信技术，在多数情况下，比利用能量冗余的模拟的特殊硬件更为经济。13 当采用通用方式测量系统的纠错能力时，在选择或验证错误检测技术之前，需要根据计算或仿真的需要给系统假设一个理想情况下的最坏错误分布。14当出现各种不利情况（如故障条件）时，为了判断在设定的错误分布与通过随机采样期测到的分布之间是否存在显著不同，需要考虑潜在错误源的物理特性。15码位或外部干扰带来的突发错误纠错码必须有不少于6位的汉明距离。16采用信号质量检测技术可限制解码器出错的频度，从而减少错误的漏检概率。当错误率很大时，切断信道会导致错误漏检。17出于硬件故障和软件错误（同步失败、地址译码失败和信息传输延迟等）原因，推荐采用查字分析和标注信息日期。通常不推荐仅使用检错码来防止信息破坏。检错码不能作为传输信息防护的唯一手段，它必须与其他技术（高层协议与过程、硬件冗余或相异性等）结合使用。18除非在高层小心防范，使不合理的纠错不被高层接受，否则不能使用纠错码。19安全信息在网络中传输，如果此时网络中嵌入了纠错码，就需要检查错误纠错的过程，防止传输系统性能遭到破坏。20如果查到了一个错误，将信息重发请求与采用完全汉明距离的检错编码方法结合起来，可以更安全的实现纠错。21通用传输设备或系统也可用来传输安全信息。但要十分注意通用设备的设计和制造，还应当同时使用冗余和相异性等技术。22当使用非安全性专用设备传输安全信息的时候，注意不能因为这类设备的设计和制造的变更而危及安全性。23即使在安全性专用系统中，也应考虑使用标准协议和接口。24任何一个新设计的或修改过的传输系统，以及当忘中接入成员变化，特别在最大接入时的安全性必须严格加以认证。25在安全传输系统的设计阶段就要考虑安全性认证。26安全性验证中采用的任何假设都需要验证。27证实传输系统安全性的时候，必须在整个网络范围内进行检查。28不能仅仅通过试验的方法来验证传输系统的安全性。因为错误漏检率整体上非常低，不花费非常长的测试时间，获得的测试结果从统计角度上说是没有意义的。29需要通过试验途径来支持其他验证方法，从而确保建模的完备性和准确性。30电磁环境大多受人类活动的影响而产生变化。当环境变化时，现存系统的安全性必须重新验证。31需要注意维护阶段的错误行为可能会导致传输信息紊乱。32传输信道中包含有存储器的时候，需要采用高层的处理确保数据有效性。F.2防护措施选择原则1 传输信息容量：发送信道容量对信息冗余程度的限制。2 传输介质：传输介质的速率、通道容量以及接受干扰的特性对防护等级产生很大影响。3错误源：对防护方法的选择具有关键影响，错误源影响的大小随传输介质的类型和地理位置的不同发生很大变化。4 传输方法：调制、解调、信号检测和相关函数的应用方法。5 网络特性和控制过程：当安全信息在通用网络传输时，要考虑网络特性及其控制过程。6 信道中是否包含存储器：含有存储器的信道需要采取措施来监测是否存在无法接受的延迟。7 传输及终端设备：在工业标准设备和专用设备间的选择取决于要求防护的等级和方法。8 安全性验证及确认：系统设计安全性的验证受到成本的限制，防护效果取决于采用的防护方法。9 相关标准的约束：防护方法要满足相关标准的要求。 10 经验因素：最好使用设计和维护人员都已经熟悉的方法。11 安全性要求：通过不同等级的综合技术实现的传输系统其安全性应达到规定的目标。F.3推荐使用的综合防护方法1 用编码来保护线路接口；用寻址和区分载频防止串话干扰；用时间标记防止过长的传输延迟。2 用寻址防止连接错误。3 在大多数系统中，即使使用了编码或其他技术来保证安全性，对物理信号层还要防止经常发生错误中断。4 当编码是以纠错为主要目的时，检查到错误后要保证处理的连续性。影响过程的错误会引发信息在数据层发生严重错误。所以，有必要在过程级提供适当的防护措施，或者在数据层提高过程信息保护的等级。5 许多系统中需要通过协议来建立连接。在这种情况下，可能会检测到多类错误，如果协议不以高度安全的方式实现，就需要采取更进一步的保护。6 采用高层过程控制提供安全的时候，为减少需要检测多个错误的信息数量，纠错编码仍可用来增加传输效率。7 通过重发可以增加接收无错信息的概率，定时重发可以及时更新某些数据，编码则可以检查错误。8 在信息传输中可利用的所有码字集合中，如果存在一个码字子集，属于该子集的码字在运用环境的信道干扰下，其错误出现的概率大大低于不属于该子集的码字，也就是两者存在明显的不对称性，该子集的码字可以被指派代表危险侧信息。概率的估计需要通过现场试验统计、仿真测试和理论分析三方面来证实。如果不存在不对称的码字子集，就必须采用检错或纠错编码技术。9 在同一个系统中，使用不同方法防止不同的错误源。信息安全包包括5个基本要素：机密性、完整性、可用性、可控性、可审查性