如何看安全系统与云平台的结合

引言：

2020年11月，西门子发布了轨道行业首个基于云平台的铁路信号联锁系统“Distributed Smart Safe System DS3”，并在澳大利亚的Achau投入运营，这个系统基于商用货架COTS硬件，轨道交通最高安全完整性SIL4联锁系统云化。详细链接见西门子官网：

看到这个新闻，开始感觉有点意外，想不到业内最高安全等级，最传统的联锁系统，竟然第一个与云平台技术结合起来，但回看西门子信号系统和西门子工业云平台的发展历程，似乎也在情理之中。

信号系统之联锁

作为铁路信号中的基础信号系统，联锁系统实现进路相关的道岔、信号机和区段等联锁关系，列车的运行最基本的要求是有联锁系统的存在，即使没有独立的联锁系统，但联锁关系也是必然存在的。在城轨行业中，通常采用区域联锁的控制方式，两到三个车站由一套联锁系统实现区域控制。目前主流的联锁系统中，一般采用计算机主机+继电器执行机构的架构，即由一套冗余的安全计算机实现联锁应用控制功能，执行机构由传统的铁路安全继电器组成。此处读者可能会问，如此传统的信号系统如何与最新的云平台技术结合起来的，这要从信号系统的架构讲起。

西门子为代表的欧洲轨道交通厂商信号系统架构与国内主流信号厂商系统架构不同的是，它采用的不是计算机主机+继电器执行机构的架构，而是计算机主机+全电子化执行单元的架构，全电子执行单元可以直接驱动轨旁的转辙机和信号机，最早的京津城际用的SICAS联锁系统就是这样的架构。这种架构的一个特点是执行单元与应用单元采用总线的方式通信，功能独立，易于分离，由单机联锁进化为区域联锁。如下图，IIC/OMC为应用层，ACC为电子执行单元，它们之间通过安全总线连接，一个应用主机可以控制多个电子执行单元。

摘自西门子trackguard simis W电子联锁介绍

以上为现有区域联锁系统的架构，注意到应用层（IIC/OMC）与其它子系统之间都采用通信连接方式，当远距离光纤通信链路的实时性和可靠性要求达到本地总线的要求时，应用主机就可以从车站移到控制中心，由一条线路的多个主机变成一条线路只有一个应用主机。当单个联锁系统承载一条线路的业务运算量，传统的专用计算机存在性能受限的问题，上云就就成为一个必然的需求。西门子在工业领域云平台应用也是佼佼者，有基于云的 IT 基础设施平台SIMATIC ，实现云化的 SIMATIC 工程组态。还有基于云的开放式物联网操作系统MindSphere ，将产品、工厂、系统和机器设备连接在一起，处理物联网 (IoT) 产生的海量数据。可以看出，西门子在云平台技术方面也有着很多积累。

云平台上的安全系统

在云平台上如何实现一个高安全级别的信号系统，网上的信息非常有限，根据行业安全标准和云平台技术特点，应该会考虑以下方面：

1，云平台的可靠性，可用性要求，原有联锁系统的影响级别是车站级，现在上升到了云平台，影响范围变成了整个线路，对可靠性，出现故障后的恢复时间指标都会提高，这部分要求非轨道交通特有，其它行业电信，金融也有此方面的要求，作为云平台的基本要求，由云服务提供方考虑实现；

2，实时性能，根据联锁系统的控制周期要求在1s以内，即输入到控制逻辑再到输出执行整个时间应控制在1s内系统安全，这对业务上云是一个很大的挑战，以往其它业务一般实时性的要求是比较低的。这就要求云平台的平台层应提供一个快周期的任务，满足有实时性要求的业务需求，并且有对这个业务时执行周期的监测机制；

3，安全性，这里的业务已独立于硬件平台（由COTS硬件实现），则只考虑安全软件的实现方式，除了按照安全软件开发过程的要求，由于软件的复杂度上升，为了最小化软件失效带来的影响，采用软件异构多重表决是一种方式。当一个业务进程表决不通过，有序退出再经过同步重新进入，避免简单地导向系统宕机的机制。云平台的计算能力非常强大，性能已经不存在限制，完全可以考虑四重甚至更多重表决的方式，兼顾安全和可用性；

4，同步机制，多重表决的一个前提是多个任务应保持时间基准的一致，基于同一时间基准的数据才具备一致性要求，可以考虑用一个服务为应用计算服务提供基准时间片，并有对该时钟基准的检查机制；

5，信息安全，功能安全设计并不能覆盖信息安全攻击带来的影响，由于云平台本身特点以及它和网络的深度相关性，要求必须从全生命周期考虑信息安全威胁以及防护机制，由于当前还没有轨道行业标准，结合云计算和工控系统信息安全要求是一个选择。

展望

以上论述了对安全系统与云平台结合的一些重点技术，安全系统和云平台各自还有很多技术要求，欢迎探讨。纸上得来终觉浅，绝知此事要躬行，做过安全系统开发的人都知道，其中的挑战性非常之大，根据网上资料，西门子从预研开始，迄今也进行了六年时间，并且现在还在继续。我国目前还没有一家像西门子如此在工控基础技术各个方面都突出的巨头，但是如信号系统、云平台、信息安全、网络通信等单领域的研发能力都有强者，单兵技术能力并不弱，想要实现系统级的创新，需要跨界的融合和系统工程思维。one signalling system for one city，这一天并不遥远。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!