Научная статья на тему 'Вопросы обеспечения безопасности железнодорожных телекоммуникационных систем международных транспортных коридоров'

Вопросы обеспечения безопасности железнодорожных телекоммуникационных систем международных транспортных коридоров Текст научной статьи по специальности «Электротехника, электронная техника, информационные технологии»

CC BY
384
486
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЭКСПЛУАТАЦИОННАЯ СОВМЕСТИМОСТЬ / БЕЗОПАСНОСТЬ / ЖИЗНЕННЫЙ ЦИКЛ / РИСК / ОТКАЗ / ОПАСНОЕ СОБЫТИЕ / УГРОЗА / ETCS

Аннотация научной статьи по электротехнике, электронной технике, информационным технологиям, автор научной работы — Плеханов П. А.

Рассмотрены подходы к обеспечению эксплуатационной совместимости и безопасности железнодорожных телекоммуникационных систем при организации международных транспортных коридоров. Приведено краткое описание Европейской системы управления движением поездов ETCS, дано понятие концепции жизненного цикла систем, представлены основные элементы методики оценки рисков возникновения отказов на основе европейской практики. Проанализирована возможность использования закрытых и открытых телекоммуникационных сетей в контуре безопасного управления движением поездов в международном сообщении.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Some problems of safety assurance of railway telecommunication systems of international transport corridors

The article deals with the approaches to interoperability and safety assurance of railway telecommunication systems at the arrangement of the international transport corridors. It also presents brief description of the European Train Control System (ETCS), the concept of systems’ life cycle and key elements of failure risks assessment technique based on European practice. Possibility of closed and open telecommunication systems use in a safe train dispatching in the international communication is analyzed.

Текст научной работы на тему «Вопросы обеспечения безопасности железнодорожных телекоммуникационных систем международных транспортных коридоров»

УДК 656.2.08

П. А. Плеханов

ВОПРОСЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЖЕЛЕЗНОДОРОЖНЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ МЕЖДУНАРОДНЫХ ТРАНСПОРТНЫХ КОРИДОРОВ

Рассмотрены подходы к обеспечению эксплуатационной совместимости и безопасности железнодорожных телекоммуникационных систем при организации международных транспортных коридоров. Приведено краткое описание Европейской системы управления движением поездов ETCS, дано понятие концепции жизненного цикла систем, представлены основные элементы методики оценки рисков возникновения отказов на основе европейской практики. Проанализирована возможность использования закрытых и открытых телекоммуникационных сетей в контуре безопасного управления движением поездов в международном сообщении.

эксплуатационная совместимость, безопасность, ETCS, жизненный цикл, риск, отказ, опасное событие, угроза.

Введение

При организации международных перевозок одним из наиболее актуальных вопросов является гарантированное обеспечение приемлемого уровня безопасности единой перевозочной услуги, создаваемой независимыми участниками. Разделение после распада Советского Союза единой железнодорожной сети МПС СССР между независимыми странами (государствами-участниками Содружества) привело к созданию национальных систем обеспечения движения поездов, каждая из которых обладает собственной организационной структурой и нормативной базой, что порождает серьезные риски в обеспечении безопасности движения в международном сообщении.

Если обратиться к опыту государств Европейского Союза, то можно сказать, что к 90-м годам прошлого века развитие единого железнодорожного пространства Европы было сопряжено с необходимостью решения следующих серьезных проблем [1]:

- в эксплуатации находилось более 20 различных и несовместимых между собой систем управления движением поездов;

85

- в каждой стране действовали свои правила эксплуатации железных дорог, которые иногда противоречили друг другу;

- в каждой стране действовали национальные требования по сертификации безопасности;

- в каждой стране использовались свои системы подготовки и лицензирования машинистов;

- применялись 5 различных систем тягового электроснабжения;

- использовались 8 различных и несовместимых между собой систем проводной и радиосвязи;

- свой язык почти в каждой стране.

Решить проблему эксплуатационной совместимости и безопасности систем обеспечения движения поездов на железных дорогах Европы было призвано внедрение Европейской системы управления движением поездов ETCS (European Train Control System), которая вместе с системой цифровой железнодорожной радиосвязи стандарта GSM-R (Global System for Mobile Communications Railways - Глобальная система подвижной связи на железнодорожном транспорте) входит в состав Европейской системы управления железнодорожными перевозками ERTMS (European Rail Traffic Management System). При этом система GSM-R используется как в качестве технологической железнодорожной радиосвязи (поездной, станционной и ремонтнооперативной), так и в качестве канала связи между напольным и поездным оборудованием (радиосвязь передачи данных).

Рассмотрим основные принципы работы системы ETCS [2], [3].

1 Краткое описание системы ETCS

Спецификации ETCS предусматривают пять уровней системы: 0, 1, 2, 3 и STM [2].

ETCS уровня 0 соответствует режиму, при котором подвижная единица (локомотив) с бортовым устройством ETCS движется по участку, не оборудованному системой. При этом функции контроля ограничены проверкой непревышения некоторой скорости, которая определяется как меньшее значение из величины максимально допустимой скорости движения поезда и величины скорости, установленной национальными требованиями.

ETCS уровня 1 представляет собой точечную автоматическую локомотивную сигнализацию (АЛСТ), использующую дискретную передачу и прием небольшого объема данных и динамический контроль скорости движения поезда. Основным средством обмена данными между локомотивом и инфраструктурой являются приемопередатчики Eurobalise, которые применяются для передачи на локомотив как постоянной (заранее заданной), так и переменной информации. Приемопередатчики второго типа работают под управлением

86

напольных электронных модулей и передают на борт локомотива получаемую от них информацию (например, о показании находящегося впереди светофора).

Помимо приемопередатчиков Eurobalise, могут использоваться кабельные шлейфы Euroloop, уложенные на подошве рельса, или системы технологической железнодорожной радиосвязи. На основе информации от напольных устройств, а также данных о технических возможностях поезда бортовой компьютер в каждый момент времени вычисляет динамическое ограничение скорости, значение которого отображается в кабине машиниста.

ETCS уровней 2 и 3 представляют собой непрерывную автоматическую локомотивную сигнализацию (АЛСН) с функцией постоянной передачи и приема значительного объема данных и динамическим контролем скорости движения поезда. Обмен данными между напольными и бортовыми устройствами осуществляется при помощи системы радиосвязи Euroradio, основу которой составляет стандарт GSM-R.

Координацию взаимодействия напольного и бортового оборудования осуществляет центр блокировки на базе радиосвязи RBC (Radio Block Centre), который регулирует движение на протяженном участке железнодорожной линии, хранит статистические данные о состоянии инфраструктуры и передает на поезд динамические данные о показаниях светофоров и положении стрелок, получаемые от систем централизации.

В отличие от ETCS уровня 1, RBC идентифицирует каждый поезд индивидуально, а напольные приемопередатчики Eurobalise передают на борт только заранее заданную информацию и используются в основном для определения местоположения поезда.

Основное различие между ETCS уровней 2 и 3 состоит в том, что ETCS уровня 2 отвечает только за передачу на локомотив данных о показаниях светофоров и осуществляет контроль скорости движения поезда, а ETCS уровня 3 дополнительно реализует функцию контроля свободности пути, выполняемую обычно системами централизации, а также функцию проверки целостности состава и передает полученную информацию в RBC. Кроме того, ETCS уровня 3 разграничивает интервалы следования поездов при помощи организации подвижных блок-участков.

ETCS уровня STM (Specific Transmission Module - Специальный передающий модуль) соответствует режиму, при котором поезд, оборудованный устройством ETCS с модулем STM, движется по линии, оснащенной только национальной системой автоматической локомотивной сигнализации (АЛС). Этот уровень (точнее, несколько уровней, количество которых зависит от количества модулей STM, необходимых для адаптации к национальным АЛС) разработан для использования в период перехода на единую систему ETCS.

Развитие системы ETCS и связанных с ней телекоммуникационных систем происходит в соответствии с концепцией применения комплекса взаимоувязанных показателей надежности, готовности, ремонтопригодно-

87

сти и безопасности RAMS (Reliability, Availability, Maintainability and Safety) на всех этапах жизненного цикла системы, включая этап анализа риска [4].

2 Анализ риска на всех этапах жизненного цикла железнодорожных телекоммуникационных систем

Совершенствование технологии производства и эксплуатации железнодорожных телекоммуникационных систем должно происходить на основе концепции жизненного цикла, предполагающего наличие процедур анализа риска и доказательства безопасности (рисунок). При этом анализ отказов систем, приводящих впоследствии к нарушениям безопасности движения, показывает, что более половины причин всех отказов закладывается на самых ранних стадиях жизненного цикла, а именно:

- разработки требований к системе ~ 44 %;

- проектирования ~ 15 %;

- установки ~ 6 %;

- эксплуатации и технического обслуживания ~ 15 %;

- модификации и замены оборудования ~ 20 %.

Рассмотрим основные элементы методики определения рисков возникновения отказов, используемой в европейских и международных нормативных документах в области железнодорожной безопасности [4]. Именно отказы технических средств наряду (часто - в совокупности) с «человеческим фактором» приводят к нарушениям безопасности движения.

Приведем наименования основных классов вероятности (частот появления) отказов и их качественное описание (определение численных значений вероятностей, соответствующих тому или иному классу, является предметом специальных исследований):

- частый отказ - отказ происходит часто, и опасность, связанная с ним, возникает постоянно;

- вероятный отказ - отказ на соответствующем этапе жизненного цикла точно произойдет несколько раз, и связанная с ним опасность ожидается постоянно;

- случайный отказ - отказ, возможно, произойдет несколько раз, и связанная с ним опасность также возникнет несколько раз;

- маловероятный отказ - отказ, возможно, произойдет один или несколько раз в течение всего жизненного цикла, и необходимо учитывать связанную с ним опасность;

- невероятный отказ - возникновение отказа выглядит невозможным, но вероятным, и связанную с ним опасность полностью исключить нельзя;

- невозможный отказ - отказ невозможен и связанная с ним опасность может быть полностью исключена.

88

* Может выполняться повторно на различных этапах.

Жизненный цикл железнодорожной телекоммуникационной системы

89

Далее необходимо оценить вероятное воздействие отказа. В таблице 1 приведено описание типовых уровней тяжести отказов и их последствий.

Оценка риска осуществляется путем сопоставления в матрице частота - последствия вероятности появления отказа и тяжести его последствий. Тем самым устанавливается уровень риска, создаваемого отказом.

Приведем классификацию рисков и определим меры, которые целесообразно предпринимать в том или ином случае:

- недопустимый риск - риск должен быть снижен безусловно;

- нежелательный риск - риск допустим только если его снижение сопряжено с большими затратами (если возможно, то при этом должно быть установлено соглашение с руководством железной дороги или органом, осуществляющим контроль безопасности);

- допустимый риск - риск допустим при наличии необходимой системы контроля и соответствующего соглашения с руководством железной дороги;

- пренебрежимый риск - риск допустим при наличии соответствующего соглашения с руководством железной дороги.

По представленным выше данным может быть составлена матрица качественной оценки риска (таблица 2).

Для количественного определения степени тяжести последствий отказов необходима разработка специальной методики.

При этом системы железнодорожной связи, используемые в контуре безопасного управления движением поездов, могут быть закрытыми и открытыми [5].

ТАБЛИЦА 1. Степень тяжести последствий отказов

Степень тяжести последствий отказа Последствия для людей и окружающей среды Последствия для железнодорожной системы

Катастрофическое Смертельные случаи и (или) значительный ущерб здоровью людей и окружающей среде Прекращение перевозочного процесса

Критическое Смертельный случай и (или) значительный ущерб здоровью людей и окружающей среде Выход из строя одной из основных систем железной дороги

Ограниченное Незначительный ущерб здоровью и (или) значительная угроза окружающей среде Серьезное повреждение одной или нескольких систем

Незначительное Возможен незначительный ущерб здоровью Минимальные повреждения

90

ТАБЛИЦА 2. Пример оценки риска (матрица частота /последствия)

Частота появления отказа Степени риска

Частое Нежелательный Недопустимый Недопустимый Недопустимый

Вероятное Допустимый Нежелательный Недопустимый Недопустимый

Случайное Допустимый Нежелательный Нежелательный Недопустимый

Маловероятное Пренебрежимый Допустимый Нежелательный Нежелательный

Невероятное Пренебрежимый Пренебрежимый Допустимый Допустимый

Невозможное Пренебрежимый Пренебрежимый Пренебрежимый Пренебрежимый

Степени тяжести последствий отказа

Незначительное Ограниченное Критическое Катастрофи- ческое

3 Использование закрытых и открытых железнодорожных телекоммуникационных систем

Закрытой системой связи (closed transmission system) является система, объединяющая установленное количество (или установленное максимальное количество) участников и обладающая фиксированными и хорошо известными возможностями, в которой риск несанкционированного доступа считается пренебрежимо малым.

Открытая система связи (open transmission system) представляет собой систему, объединяющую неизвестное количество участников и имеющую неизвестные, непостоянные и неподтвержденные возможности по предоставлению услуг связи, при использовании которой следует оценить риск несанкционированного доступа. Таким образом, если говорить об использовании систем железнодорожной связи в контуре безопасного управления движением поездов, то в случае организации этих каналов с помощью собственной телекоммуникационной сети (например, GSM-R) мы имеем дело с закрытой системой, а в случае использования каналов связи сетей коммерческих операторов имеет место открытая система.

Рассмотрим основные угрозы и способы их устранения при использовании открытых систем связи как наиболее уязвимых с точки зрения возникновения опасных событий [5].

Каждая угроза может быть рассмотрена как набор опасных событий, ее создающих. Идентифицировав опасные события, необходимо построить зависимость между ними и возможными угрозами. Это делается для подтвержде-

91

ния отсутствия дополнительных угроз и проверки корректности применения принятого подхода. Зависимость (матрица) опасные события / угрозы может быть представлена в виде таблицы 3.

ТАБЛИЦА 3. Матрица опасные события /угрозы

Опасные события Угрозы

Повторение сообщения Удаление сообщения Вставка сообщения Переупорядочение сообщения Искажение сообщения Задержка сообщения Подмена сообщения

Систематические отказы аппаратных средств + + + + + + +1

Систематические отказы программных средств + + + + + + +1

Помехи по соседнему каналу + + + +1

Обрыв проводов + + +

Расстройка антенн + +

Ошибки коммутации кабельной сети + + + + +1

Случайные отказы аппаратных средств + + + + + + +1

Старение аппаратных средств + + + + + + +1

Использование некалиброванных (неповеренных) инструментов + + + + + + +1

Использование инструментов не по назначению + + + + + + +1

Неправильная замена аппаратных средств + + + + + + +1

Эффекты замирания сигнала + + + +

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Электромагнитные помехи + +

Ошибки человека + + + + + + +1

Тепловой шум + +

Магнитные бури + + +

Пожары + + +

Землетрясения + + +

Грозовые разряды + + +

Перегрузка системы связи + +

92

Окончание таблицы 3

Опасные события Угрозы

Повторение сообщения Удаление сообщения Вставка сообщения Переупорядочение сообщения Искажение сообщения Задержка сообщения Подмена сообщения

Подслушивание телефонных разговоров с помощью специальных устройств + + + + + + +1

Повреждение или разрушение аппаратных средств + + +

Недопустимые модификации программного обеспечения + + + + + + +2

Передача неразрешенных сообщений + + +2

Мониторинг каналов 3

Примечания:

1. В этом случае правильное сообщение передается по неверному адресу; возможным противодействием является задание адреса отправителя.

2. В этом случае сообщение является мошенническим с самого начала; необходима серьезная защита, например использование ключа.

3. Опасное событие «мониторинг каналов» само по себе угрозы не представляет; угрозой могут быть последствия раскрытия полученной при мониторинге информации, что является предметом требований по секретности конкретного применения открытой системы связи.

Для снижения риска, связанного с выявленными угрозами, должны быть рассмотрены и применены в той степени, которая диктуется спецификой конкретного приложения, следующие функции обеспечения безопасности:

- проверка достоверности сообщения - состояния информации, в котором она может быть использована по назначению и известен источник ее происхождения;

- проверка целостности сообщения - состояния полноты и неизменности информации;

- проверка своевременности сообщения - состояния информации, определяющего ее доступность в срок и в соответствии с требованиями;

- проверка упорядоченности потока сообщений.

При доказательстве безопасности должно быть показано, что в соответствии с матрицей угрозы / меры защиты (таблица 4) для каждой возможной угрозы предусмотрено противодействие в виде одного или нескольких средств защиты.

93

ТАБЛИЦА 4. Матрица угрозы / меры защиты

Угрозы Меры защиты

Порядковый номер Метка времени Интервал между сообщениями Идентификаторы передающего и приемного устройств Квитирование принятого сообщения Процедура идентификации сообщения Код безопасности Методы криптографической защиты

Повторение сообщения + +

Удаление сообщения +

Вставка сообщения + +2 + 1 + 1

Переупорядочение сообщений + +

Искажение сообщения +3 +

Задержка сообщения + +

Подмена сообщения + 1 + 1 +3

Примечания:

1. Зависит от специфики приложения.

2. Применимо только к идентификатору источника. Детектирование вставки сообщения только от неверного источника. Если уникальный идентификатор не может быть определен из-за того, что пользователь неизвестен, то следует использовать методы криптографической защиты.

3. Выбор и применение кодов безопасности и методов криптографической защиты должны осуществляться в соответствии со следующими условиями:

наличием или отсутствием возможности управления несанкционированным доступом;

типом используемого криптографического кодирования;

наличием или отсутствием изолированности безопасного процесса защиты доступа к системе связи от безопасного прикладного процесса.

Существует много возможных факторов, которые необходимо учитывать при рассмотрении реальных систем связи, поскольку ими определяются решения по противодействию идентифицированным угрозам. Возможно, например, что система железнодорожной сигнализации использует канал передачи данных корпоративного или коммерческого оператора в соответствии с договором, условиями которого ограничивается ответственность этого оператора. Важна также степень защиты информации, уже реализованная в используемой сети. От этого в значительной степени может зависеть значимость угроз для пользовательских данных, а следовательно и требования к мерам защиты.

94

В таблице 5 приведена возможная классификация реальных систем связи, в таблице 6 - предварительная оценка угроз, возможных для каждого класса.

ТАБЛИЦА 5. Классы систем связи

Классы Основные характеристики Примеры

Класс 1 Все свойства известны и остаются постоянными в течение всего срока службы. Одна пользовательская группа Частные местные сети, сети PROFIBUS (Process Fieldbus - спецификация открытой высокоскоростной шины для цифрового технологического оборудования) и MVB (Multipurpose Vehicle Bus - многоцелевая транспортная шина), не меняющие своих характеристик в течение всего срока службы

Класс 2 Некоторые свойства известны и остаются постоянными в течение всего срока службы. Ограниченная зона связевого покрытия. Ограничения на хранение данных по объему и сроку. Одна пользовательская группа Такие же, как и в классе 1, но существует возможность замены одной системы связи на другую в течение срока службы

Класс 3 Некоторые свойства известны и остаются постоянными в течение всего срока службы. Ограниченная зона связевого покрытия. Практически отсутствуют ограничения на хранение данных по объему и сроку. Известные многочисленные пользовательские группы Сети LAN (Local Area Network -локальная (вычислительная) сеть)

Класс 4 Свойства неизвестны и/или меняются в течение срока службы. Использование только сетей с известными возможностями по защите данных. Известные многочисленные пользовательские группы Сети WAN (Wide Area Network -глобальная или региональная (вычислительная) сеть), принадлежащие железным дорогам

Класс 5 Свойства неизвестны и/или меняются в течение срока службы. Использование сетей с иногда неизвестными возможностями по защите данных. Многочисленные пользовательские группы Сети PTN (Public Telephone Network - телефонная сеть общего пользования), используемые в непредсказуемые моменты времени

95

Окончание таблицы 5

Классы Основные характеристики Примеры

Класс 6 Свойства неизвестны и/или меняются в течение срока службы. Использование общественной сети связи. Редкие ошибки. Многочисленные пользовательские группы Сети PTN

Класс 7 Свойства неизвестны и/или меняются в течение срока службы. Использование сети связи общего пользования. Частые ошибки Сеть Интернет

ТАБЛИЦА 6. Матрица класс системы / угрозы

Класс системы Угрозы

Повторение сообщения Удаление сообщения Вставка сообщения Переупорядочение сообщения Искажение сообщения Задержка сообщения Подмена сообщения

Класс 1 + + + + + + + + + + -

Класс 2 + + + + + + + + + + + -

Класс 3 + + + + + + + + + + + + -

Класс 4 + + + + + + + + + + + + -

Класс 5 + + + + + + + + + + + + -

Класс 6 + + + + + + + + + + + + +

Класс 7 + + + + + + + + + + + + + +

Обозначения:

- угрозой можно пренебречь;

+ угроза существует, но появляется редко; эффективны простые меры по защите данных;

+ + угроза существует; для эффективного противодействия требуются комплексные меры защиты данных.

Представленная выше степень обобщения не позволяет сопоставить классу системы связи тот или иной уровень полноты безопасности и меры защиты, необходимые для противодействия угрозам в этом классе систем. Для этого необходимо детально рассматривать специфику конкретного приложения.

96

Заключение

Представленный в настоящей статье подход к обеспечению эксплуатационной совместимости и безопасности телекоммуникационных сетей для европейских транспортных коридоров может оказаться эффективным и для железнодорожной сети «Пространства 1520», тем более, что национальные системы обеспечения безопасности движения поездов государств-участников Содружества были сформированы на основе единой системы, сложившейся в МПС СССР. Этому также должно способствовать создание единой системы технического регулирования железнодорожной безопасности государств-участников.

Если говорить об опыте взаимодействия государств-участников Содружества и стран Европейского Союза в области международных железнодорожных перевозок, то 2006 году была создана Контактная группа Организации сотрудничества железных дорог (ОСЖД) и Европейского железнодорожного агентства (European Railway Agency, ERA), целевой результат деятельности которой состоит в разработке комплекта документов по анализу параметров эксплуатационной совместимости различных подсистем железных дорог колеи 1435 и 1520 мм. В настоящее время сформулированы рекомендации для Европейской комиссии по включению в разрабатываемые Технические спецификации по эксплуатационной совместимости (Technical Specifications for Interoperability, TSIs) параметров железнодорожных систем колеи 1520 мм.

Библиографический список

1. Система ETCS: перспективы и опыт // Железные дороги мира. - 2008. - № 4. -С. 63-71.

2. Безопасность движения на железных дорогах на основе применения многофункциональных комплексных систем регулирования движения поездов / В. А. Гапанович и др. ; ред. В. И. Якунин. - 2-е изд., перераб. и доп. - М. : ИПЦ «Дизайн. Информация. Картография», 2008. - 280 с.

3. Системы автоматики и телемеханики на железных дорогах мира : учеб. пособие для вузов ж.-д. трансп. / пер. с англ. ; ред. Г. Теег, С. Власенко. - М. : Интекст, 2010. - 496 с.

4. IEC 62278:2002 (EN 50126-1:1999) Railway applications - The specification and demonstration of reliability, availability, maintainability and safety (RAMS) (Железнодорожные приложения - Определение и подтверждение выполнения требований по надежности, готовности, ремонтопригодности и безопасности). - М. : Стандартинформ, 2002. - 162 с.

5. BS EN 50159:2010 Railway applications - Communication, signalling and processing systems - Safety-related communication in transmission systems (Железнодорожные приложения - Системы связи, сигнализации и обработки данных - Безопасная передача данных в системах связи). - М. : Стандартинформ, 2010. - 70 с.

© Плеханов П. А., 2012

97

i Надоели баннеры? Вы всегда можете отключить рекламу.