目前在轨道交通领域,安全关键系统(Safety-critical System)中使用的安全计算机平台都是专用的由特定供应商提供的产品。由于轨道交通系统有着长达二十到三十年的生命周期,由其实现的安全功能需要满足铁路特定的安全标准,因此安全计算机平台的开发和维护成本非常高,变更和扩展的成本也很高。开发独立于应用的通用安全平台,安全平台在满足安全性的同时,开放式接口能够具备独立的开发、测试和认证,可以由不同供应商提供,来解决这一问题。
首先,来看安全关键系统的构成,安全关键系统由应用业务逻辑层和安全平台层组成,安全平台又分为平台软件和硬件,如下图所示。
应用业务逻辑层,实现某一个特定的业务安全功能,一个应用功能可以对应为实现安全功能的子系统,如联锁应用、ATP应用、网络控制应用等,应用总体功能可以分解为不同的功能安全要求。
安全平台API接口层,实现不同类型的应用对安全平台功能的统一调用,统一的API接口用于实现应用与平台之间的解耦。它是支持应用的可移植性和平台独立性的关键要素,应用程序能够在不同的平台实现源代码可移植性。API接口包括两种类型:安全等级要求的API接口和基本完整性要求的API接口。
平台软件基础服务,实现通用平台的计算、存储、输入、输出、表决、同步、冗余管理、诊断、日志管理等基础服务。操作系统用于实现进程管理、时间服务、故障隔离和健康度监控机制,以满足应用的安全要求。虚拟化层用于支持各种客户端操作系统和CPU架构,具有安全和容错机制。平台软件基础服务层、操作系统层、虚拟化层整体也称为运行时环境,实现安全服务、系统服务、平台上承载的各应用业务与外部子系统信息交互的通信协议。
硬件接口层实现运行时环境与硬件之间的标准化,用于硬件解耦。硬件层包括板级支持包BSP,计算、存储、网络等资源。
为实现独立于应用的通用安全平台,以下是较为通用的顶层需求:
安全性:通用安全平台,就满足安全关键系统应用功能来说,因为将承载轨道交通ATP、联锁等高安全等级应用,需要最高支持到SIL4级,但在实际业务中不是所有的应用都需要达到SIL4等级,能够支持不同SIL等级应用的混合运行也是需要的。
确定性:安全关键系统中,要求应用程序执行的时序保持确定性,在规定的时间内执行规定的可预测动作。因此,安全平台应支持确定的任务周期和执行顺序,并支持不同应用的可配置需求。支持固定定时器事件触发和接收外部消息触发的方式,对应用程序在规定时间内是否完成处理进行监控,超过处理时间后采取安全动作。
同步性:不同通道的计算节点在系统启动运行后,存在时钟漂移引起通道不同步,时间同步机制是实现多通道表决机制的前提条件。需要多个通道在同一个任务周期内接收到相同的输入数据,以保证经过应用逻辑运算后产生的输出是一致的,因此不同通道之间需要保持时间同步。实时系统执行任务的周期较短,车载典型处理周期如50ms-100ms,地面设备处理周期200ms-500ms,同步时间需要保证较高的分辨率,达到ms级更低到μs级。
独立性:安全平台执行安全功能的多通道之间需要保持独立性,具有独立的计算和存储资源,以避免多通道共享硬件资源存在的共因失效,满足EN50129的独立性要求,执行同一功能的不同通道应具有独立的硬件资源,并固定部署。
可管理性:安全平台提供对应用层进行安全管理的功能,通过管理接口可以去关闭或重启一项应用业务,对硬件资源进行重新定位和配置。更换硬件资源或管理某个应用时,不会对其它应用产生影响。
可移植性:提供独立于平台的应用API接口,实现应用程序的可移植性,使得应用程序可以在不同厂商、不同版本的安全平台之间移植。平台相关的安全容错机制与应用无关,在平台层实现,应用程序只能通过独立于平台的通用API接口与平台进行交互。
可扩展性:安全关键应用能够提供不同类型的硬件资源,计算节点、存储和外部接口,外部接口分为通信、I/O,I/O分为本地I/O和通过通信扩展的远程I/O,提供不同安全应用通过通信网络进行安全通信的能力。
可维护性:安全平台能够在开发、测试和运行过程中监控分析系统行为和性能,平台部署和维护监测系统之间支持诊断接口。日志记录会对应用层的运行时间产生影响,实施日志记录时需减少对所监测应用层的运行时间影响。
以上通用安全平台的分层架构,以及面向独立于应用的标准化需求,也将对安全关键系统的认证过程产生影响。目前市场上,由于安全平台的专有属性,通常与应用层绑定都由同一家厂商提供,厂商先取得安全平台的通用产品(适用于不同应用的同一产品)认证,再基于安全平台取得应用系统的通用应用(适用于不同特定配置的同一应用)认证。
当应用和平台分离由不同供应商提供时,安全认证将以标准化平台模块为基础进行,可能是计算平台、中间件、操作系统等具备互通性的组件。对于平台提供方,只要证明应用符合平台提供的一系列安全应用条件,特定的平台实施就能满足任何通用应用的既定规范。应用供应商将用于特定应用是否符合应用系统技术规范并满足平台的统一安全应用条件。
目前轨道交通领域,出于业务整合和降低成本考虑,不同业务集成融合是一个发展趋势,如车载信号、网络、牵引、制动多专业的融合,地面信号联锁和ATP的融合。在这种业务驱动下,出现更加标准化的通用安全平台也是必然趋势。安全关键系统生命周期很长,一经投入应用,持续使用会超过20年甚至到30年以上,有必要在系统设计时从顶层考虑需求。
原文始发于微信公众号(薄说安全):轨道交通通用安全平台的需求浅析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论