鉴源论坛·轨交软件安全性设计及实现

作者 | 刘艳青 上海控安安全测评部测试经理

版块 | 鉴源论坛 · 观通

社群 | 添加微信号“TICPShanghai”加入“上海控安51fusa安全社区”

引言：第一篇对轨交信号系统从铁路系统分类和组成、城市轨交系统分类和组成、城市轨交系统功能、城市轨交系统发展方面做了介绍，第二篇从信号基础出发讲述了信号机、转辙机、轨道电路等设置原则和含义，第三篇从轨交系统的安全性设计的必要性、控制设计、需求分析以及实现等方面进行分析，第四篇重点从联锁系统的原理方面进行阐述。第五篇从轨交软件测试过程管理分析，第六篇从轨交软件的测试技术入手进行讲解，第七篇继续介绍轨交软件的测试技术，本文将从轨交软件安全性设计及实现讲解。

01

轨交软件安全性设计原则

软件安全性设计基本原则：

• 功能分配

• 程序接口

• 故障检测、恢复和安全保护

• 继承或重用

• 性能和余量

• 可追踪性

• 可测试性

功能分配：确定模块、类等将实现安全关键需求；最小化安全关键部件的数量；文档化安全关键部件在设计层次结构中的位置和功能；每个安全关键部件的安全性需求追溯以及功能分配；安全性设计和实现的约束；执行控制、中断特定、初始化、同步和对部件的控制。

程序接口：定义所有部件之间的功能接口；标识软件内部的共享数据；文档化安全关键数据故障检测、恢复和安全保护；制定检测或恢复方案；异常响应的处理；设计危险操作场景；运行过程中的内存测试；内存的使用饱和度；安全关键数据的保护，防篡改和删除；容错机制等。

继承：考虑开发绩效和成熟技术，采用继承方式或重用方式，必要时采用现货软件。

性能和余量：定义部件在最大处理时的余量；采样频率对决策的影响；时间基准的控制（数据处理、信号处理、数据读取和存储等）。

可追踪性：标识需求的追踪性。

可测试性：设计时考虑如何测试和测试方式。

02

轨交软件安全性设计

2.1 容错和容失效设计

1）在故障和失效的设计方面

• 必须工作的功能

• 必须不工作的功能

• 故障/失效检测、隔离和恢复

2）在冗余和容错设计方面

• 屏蔽

• 多数表决

• N版本设计

• 故障封锁区域</