铁路车站计算机联锁软件的安全性评估策略

铁路车站计算机联锁软件的安全性评估策略

严　黎, 吴芳美(同济大学沪西校区安全软件测试评估研究所,上海　200331)

摘要: 安全控制系统的行为直接关系人身和大宗财产的安全,如何定量地反映系统中计算机软件的安全性品质是一个值得探讨的问题. 应从软件可靠性和安全性含义的讨论中,明确它们之间的区别. 在此基础上,提出一种能定量反映计算机联锁安全软件安全性的评估策略,最后论述了对某制式铁路车站计算机联锁安全软件进行分级测试后,利用J – M 可靠性模型对其进行安全性定量分析的方法.

关键词: 安全软件; 可靠性; 安全性定量评估; 计算机联锁软件

中图分类号: U 283. 2 , U284. 3 　　　　文献标识码: A 　　　　文章编号: 0253 – 374X(2002) 09 – 1116 – 05
Strategy of Safety Asse ssment for Computer Interlocking Software of Railway Station

Abstract : The behaviors of safety – critical cont rol systems are often directly related to the safety of people life and some tall money. It is worth discussing how to reflect the safety quality of software embedded in computer systems. Then ,difference between software reliability and safety is argued with the meanings of them defined.Based on the knowledge above ,the st rategy of safety quantitative assessment for computer interlocking software (CIS) of railway station is presented. Finally ,based on testing for CIS of certain system ,the method of safety quantitative analysis about it is given out in detail by making use of J – M reliability model.
Key words : safety – critical software ; reliability ; safety quantitative assessment ; computer interlocking software
　　安全性苛求系统(safety – critical systems ,以下简称安全系统) 的安全控制和防护是计算机的一个非常重要的应用领域. 典型的安全系统有:铁路信号控制系统、飞机飞行控制系统和核电站安全保护系统等.嵌入于安全性苛求系统中的软件常被称为安全性关键软件(safety – critical sofeware ,以下简称安全软件) ,其根本特征就是以安全性为第一性能[1 ] .
由于安全系统的失效可能带来灾难性的后果(人员伤亡和重大经济损失) ,因此安全软件的可靠性、安全性问题已引起人们极大的重视和关注. 现代计算机技术、通信技术、大规模集成器件技术的发展,为铁路安全控制和防护技术带来了革命性的变化. 对于铁路车站安全和防护控制系统(以下简称车站信号系统)而言,就是以计算机联锁控制系统(以下简称联锁系统) 取代原有的继电联锁控制系统,这已经成为铁路车站信号控制系统技术发展的趋势,它顺应当代科学技术发展的潮流. 计算机联锁软件属于安全软件,它的失效会造成人员伤亡和大宗财产的损失或生态环境的破坏,因此要求其具有很高的可靠性和安全性.
近几十年来发展起来并在军事、航空、航天领域里广泛采用的可靠性评估与测试技术为计算机联锁控制系统软件安全性测试评估打下了基础. 本文作者依托铁路车站计算机联锁软件测试评估平台(以下简称测试平台) ,借助已有的软件可靠性、安全性评估工具,研究对计算机联锁安全软件具有针对性和实用性的安全性评估理论与实现方法. 显然,对铁路安全控制软件安全性评估理论研究与方法的优化是软件检测工
具开发的一项非常重要的工作,它的完成将大大提高测试质量,并对计算机参与控制的铁路信号设备或系统的设计、选型、鉴定、验收乃至维护等都具有重要的理论指导意义和实际使用价值. 本文阐述的内容将是围绕着如何进行计算机联锁安全软件的安全性定量评估展开的.
1 　安全软件的可靠性与安全性
安全软件作为一种涉及生命财产安危的软件,其质量的高要求毋庸质疑. 澄清对其质量认识上的一些概念是必要的,软件的可靠性和安全性存在密不可分的联系. 因而在软件可靠性与安全性设计中,有许多方法与基本要求是相同的,但两者的目标侧重点则有所不同.
首先从数学定义的角度对比两者定量测度之间的区别. 可靠性的定量测度为可靠度,其定义为:设在时刻t0 系统正常运行,则系统在整个时间区间[ t0 , t ]内正常运行的条件概率称为系统在时刻t 的可靠度,记为R ( t) [2 ] .
安全性的定量测度为安全度,其定义为设在时刻t0 系统正常运行,则系统在时刻t 的安全度S ( t ) 是指系统在整个时间区间[ t0 , t ]内正常运行的条件概率加上系统在时刻t 处于失效安全状态的条件概率[2 ] .
仅从数学定义的角度看,可靠度与安全度是不同的. 安全度是两个条件概率之和,其中第一个条件概率就是可靠度. 因此,一个可靠度高的系统,其安全度也必然高;反之,一个安全度高的系统,其可靠度未必一定高.
一个运行可靠的系统可以被认定为是一个安全系统,但在系统设计过程中,对于铁路信号这样一种效率和安全两方面均要顾及的系统来说,仅仅注重软件的可靠性还是不够的. 铁路控制系统安全软件的安全性重要的特征是首先要遵循故障- 安全原则,即系统在预定(功能) 意图未能实现的情况下,要求系统维持在安全状态,或向安全状态转移的原则,即故障后自动导向安全的原则. 严格地说,不具备故障- 安全特性的软件便不能达到铁路控制安全软件的基本安全性需求.
事实上,软件本身存在着一个可靠性指标,即软件在给定输入后得到预期结果的能力. 而对软件的安全性,则必须统观整个系统,注意软件在各种运行环境(包括特殊环境) 中产生的响应[3 ] .
2 　计算机联锁软件安全性定量分析策略

3 　结语
在软件的可靠性研究中已有软件残留故障的理论研究与实践成果,但在铁路控制的安全软件系统方面有关软件残留故障的较全面的理论研究与实践却很少. 对于计算机联锁软件系统的安全性度量估计及风险分析、预测的研究目前在国内尚属新的研究领域. 本文提出的计算机联锁安全软件安全性评估策略,通过分级测试避开了传统软件安全性定量评估的困难,并可充分利用软件可靠性的诸多成果,从而不仅提高了计算机联锁软件测试评估平台的测试质量,也给安全性分级定量评估提供了一种可行的方法,而且这种安全性评估策略在整个安全苛求系统领域具有广泛的应用价值.
参考文献:
[ 1 ] 　Goble W M. Control systems safety evaluation & reliability[M] . Second edition. [ s. l. ] : ISA ,1998.
[ 2 ] 　黄锡滋. 软件的可靠性与安全性[M] . 北京:科学出版社,1993.
[ 3 ] 　郦　萌. 计算机软件的可靠性[M] . 北京:国防工业出版社,1998.
[ 4 ] 　STANDARD EN 50128 – 1994 ,Railway Applications :Software for Railway Control and Protection Systems[ S] .
[5 ] 　IEC 61508 – 1999 , Functional Safety of Electrical/ Electronic/ Programmable Electronic Safety – related Systems – Part 1 : General Require2
ments and Part 3 :Software Requirements[ S] .
[ 6 ] 　吴芳美. 计算机联锁软件测试评估[J ] . 铁路计算机应用,1999 ,1 (1) :26 – 133.
[ 7 ] 　徐中伟,吴芳美. 基于测试的安全软件的安全性评估[J ] . 计算机工程与科学,2001 ,23 (5) :94 – 96.
[ 8 ] 　宋晓秋. 软件可靠性J – M 增长模型的特性分析[J ] . 系统工程与电子技术,1997 ,19 (9) :44 – 46.