本发明涉及综合监控iscs、scada分布式平台所应用的各个专业技术领域,涵盖综合监控、电力监控、环境与设备监控系统、水利监控、油气化工、轨道交通、煤炭矿井等自动化工业控制行业。
轨道交通综合监控(iscs)系统是以现代计算机技术、网络技术、自动化技术和信息技术为基础的大型计算机集成系统。该系统集成了多个自动化专业子系统,并在集成平台支持下对各专业进行统一监控,实现各专业系统的信息共享及系统之间的联动控制功能,提高运营效率,为实现城市轨道交通现代化运营管理提供信息化基础。
背景技术:
综合监控系统的主要功能包括对机电设备的实时集中监控功能和各系统之间协调联动功能两大部分。一方面,通过综合监控系统可实现对电力设备、火灾报警信息及其设备、车站环控设备、区间环控设备、环境参数、屏蔽门设备、防淹门设备、电扶梯设备、照明设备、门禁设备、自动售检票设备、广播和闭路电视设备、乘客信息显示系统的播出信息和时钟信息等进行实时集中监视和控制的基本功能;另一方面,通过综合监控系统,还可实现晚间非运营情况下、日间正常运营情况下、紧急突发情况下和重要设备故障情况下各相关系统设备之间协调互动等高级功能。
城市轨道交通一旦遭到破坏,会严重危害公共利益,属于关键信息基础设施的范围。城市轨道交通综合监控系统作为大中型城市地铁、轻轨、有轨电车等城市轨道交通的核心主体,其安全问题更加不容忽视。在2018年9月1日正式实施的《gb-t50636-2018城市轨道交通综合监控系统工程技术标准》中明确指出“综合监控系统的信息安全应符合现行国家标准《工业控制信息系统安全第1部分:评估规范》gb/t30976.1和《工业控制信息系统安全第2部分:验收规范》gb/t30976.2的规定,且宜按信息系统安全等级保护标准第三级进行设计、实施和验收”。而目前实际的情况是国内各综合监控系统的厂家都在以更高的要求进行设计和改造综合监控系统,使其能够满足更加专业的安全认证,典型的如sil(safetyintegritylevel-安全完整性等级)2级安全认证。
sil认证是基于iec61508(gb/t20438),iec61511(gb/t21109),iec61513,iec13849-1,iec62061,iec61800-5-2等标准,对安全设备的安全完整性等级(sil)或者性能等级(pl)进行评估和确认的一种第三方评估、验证和认证。
城市轨道交通监控自动化系统中最常用、最关键、也是对安全性要求最高的功能之一就是设备的遥控操作,由于在整个遥控操作过程中可能会存在遥控误操作、权限误判断、系统处理遥控数据错误、通讯线路故障、数据传输错误等原因造成的遥控错误,如果缺乏有效的安全保障机制,很有可能造成错误的遥控,从而对城市轨道交通线路的运营造成一定的危害。
申请人的综合监控系统在进行sil2等级认证过程中对安全软件的开发方法进行了专门的培训,并学习了部分国内满足sil4等级的信号联锁系统的设计思路,结合综合监控系统的特色,设计了一种安全遥控设备的方案,该方案能够有效的避免由于综合监控系统发生诸如cpu、内存随机性错误、通信链路传输错误等异常带来的安全性问题。
技术实现要素:
针对现有技术中存在的问题,本发明的一种综合监控系统中安全的遥控功能设计方法能够有效的避免由于综合监控系统发生诸如cpu、内存随机性错误、通信链路传输错误等异常带来的安全性问题。
为了实现上述发明目的,本发明采用的技术方案为:一种综合监控系统中安全的遥控功能设计方法,scada监控系统的平台数据组织的基本单元是对象,系统中所有的数据以及数据之间的关系均以对象或对象属性的形式分布于各种对象类型中,每个对象类型都由一个唯一的objectid进行编号,其特征在于:
步骤一、基于面向对象的遥控设备建模步骤,为每种遥控设备设计对应的遥控对话框hmi,用于与调度员进行操作;
避免无权限非法操作,对话框内所有操作按钮均进行权限判断,无操作权限的用户打开的对话框内的操作按钮均为disabled不可操作状态;
每个设备仅允许一个操作员打开进行操作,通过判断断路器数据模型中的lock属性,在任意时间内仅允许一个操作员打开一个设备的遥控对话框,即一个操作员打开后,另一个操作员不能再打开该设备的遥控对话框;
界面安全操作逻辑判断,根据当前设备的所有遥信状态判断是否允许某种操作。
步骤二、遥控安全性设计步骤,在遥控操作过程中,避免cpu、内存随机性错误、通信链路传输错误等异常导致的操作命令紊乱带来的错误;
在表2遥控对象点数据模型上添加用于安全验证的特殊属性:
将原本为0,1的command遥控选择命令进行拆分,使用两个组合命令进行表示,在写command属性的同时还写commandsafetyval1、commandsafetyval2这两个属性;command0对应写commandsafetyval1为0x5aa5,且commandsafetyval2为0xa55a;command1对应写commandsafetyval1为0xa55a,且commandsafetyval2为0x5aa5;
commandtime遥控选择时间的写入并不是在command属性写入的时候确定,而是在写入平台数据模型的command、commandsafetyval1、commandsafetyval2属性后由对话框再次读取当前设备的这三个属性,并判断(command==0&&commandsafetyval1==0x5aa5&&commandsafetyval2==0xa55a)或(command==1&&commandsafetyval1==0xa55a&&commandsafetyval2==0x5aa5)为真时再写入commandtime遥控选择时间,并将遥控选择时间字符串的md5加密字符串写入属性commandtimemd5。executetime属性在点击“执行”按钮时写入,并同时将遥控执行时间字符串的md5加密字符串写入属性executetimemd5,这种机制能够有效避免从hmi界面到系统平台设备模型写入数据的所有异常;
在数据传输规约上使用标准规约的扩展asdu将遥控选择数据内容、遥控执行数据内容传输至pscada装置设备。
本发明的有益效果
城市轨道交通是涉及到民生的重大问题,城市轨道交通系统中设备的操作安全与公众的出行安全紧密相连。本申请设计的安全遥控功能能够避免设备遥控操作过程中由于遥控误操作、权限误判断、系统处理数据错误、通讯线路故障、数据传输错误等原因造成的错误,确保遥控安全有效性,从而保证综合监控系统正确稳定、有效的运行,减少事故。
具体实施方式
以下结合具体实施例对本发明作进一步详细说明。
由于综合监控系统中需要进行遥控操作的设备种类繁多,本申请在介绍中为了方便进行数据建模和说明,均以综合监控系统中电力监控子系统中的断路器设备进行举例。
申请人的一种综合监控系统中安全的遥控功能设计方法,scada监控系统unicon1.0平台数据组织的基本单元是对象,系统中所有的数据以及数据之间的关系均以对象或对象属性的形式分布于各种对象类型的实例中,每个对象实例都由一个唯一的objectid进行编号。平台系统辅以图形化工具,将数据以符合实际拓扑结构的形式展示给用户,此种方式大大提高了大型scada系统的数据管理能力。
(一)面向对象的遥控设备建模
设计良好的数据建模方式可以为遥控hmi界面、遥控操作提供更好的支持。我司综合监控系统平台数据组织的基本单元是对象,将遥控设备进行面向对象的建模,使遥控设备的数据组织更加合理有利于整个遥控功能的安全性设计。断路器设备的数据模型如下表所示。
表1断路器数据模型
表2遥控对象点数据模型
(二)安全遥控对话框hmi设计
基于面向对象的遥控设备建模方式,可以为每种遥控设备设计对应的遥控对话框hmi,用于与调度员进行操作。
安全设计1:避免无权限非法操作。对话框内所有操作按钮均进行权限判断,无操作权限的用户打开的对话框内的操作按钮均为disabled不可操作状态(灰色显示)。
安全设计2:每个设备仅允许一个操作员打开进行操作。通过判断断路器数据模型中的lock属性,在任意时间内仅允许一个操作员打开一个设备的遥控对话框,即一个操作员打开后,另一个操作员不能再打开该设备的遥控对话框。
安全设计3:界面安全操作逻辑判断。根据当前设备的所有遥信状态判断是否允许某种操作(操作类型:分闸、合闸、执行、取消),具体判断如下所示。
表3设备操作逻辑判断
(三)满足sil2的遥控安全性设计
为了满足sil2中的安全设计需求,上节中的安全设计不足以避免遥控操作过程中如cpu、内存随机性错误、通信链路传输错误等异常导致的操作命令紊乱带来的错误,典型的如操作员在满足所有条件后点击“分闸”按钮,应该发送命令值为0的“分闸选择”命令,并且这个命令从hmi界面到系统平台的设备数据模型,再传输到断路器设备中一直都应该是0。显然在此过程中可能发生以下的错误,从而导致操作错误。
1.从hmi界面写入到系统平台数据模型中的数据从0变位1;
2.cpu处理错误,将0处理为其它数据;
3.、内存中存储0这个命令的内存发生错误(或者由于内存非法数据的写入),这个值被变为非0值;
4.在链路传输过程中0变为非0值。
显然,上述原因都缺少了对命令数据的校验。为了解决这类问题,还需进行特殊的安全设计。
安全设计4:在“表2遥控对象点数据模型”上添加如下四个用于安全验证的特殊属性。
安全设计4.1:将原本为0,1的command遥控选择命令进行拆分(同时保留command属性),使用两个组合命令进行表示,在写command属性的同时还写commandsafetyval1、commandsafetyval2这两个属性。command0对应写commandsafetyval1为0x5aa5,且commandsafetyval2为0xa55a;command1对应写commandsafetyval1为0xa55a,且commandsafetyval2为0x5aa5。
0x5aa5和0xa55a这一对特殊魔术数字的使用主要是为了避免因异常而可能引起的共模故障。0x5aa5和0xa55a的二进制数分别为0101101010100101和1010010101011010。注意到0x5aa5数字的内部在1bits、4bits、8bits上的距离均达到最大(每1位、每4位、每8位的数据完全相反);0x5aa5或0xa55a数字的内部在1bits、4bits、8bits上的距离均达到最大(每1位、每4位、每8位的数据完全相反);而且0x5aa5和0xa55a按位异或的值为0xffff,即它们之间的距离也是最大。这组数据的设计能够有效避免由于数据在cpu、内存、硬盘中存储时发生电位异常等原因导致的数据位错乱。
表4遥控对象点(增加安全属性)数据模型
安全设计4.2:commandtime遥控选择时间的写入并不是在command属性写入的时候确定,而是在写入平台数据模型的command、commandsafetyval1、commandsafetyval2属性后由对话框再次读取当前设备的这三个属性,并判断(command==0&&commandsafetyval1==0x5aa5&&commandsafetyval2==0xa55a)或(command==1&&commandsafetyval1==0xa55a&&commandsafetyval2==0x5aa5)为真时再写入commandtime遥控选择时间,并将遥控选择时间字符串的md5加密字符串写入属性commandtimemd5。executetime属性在点击“执行”按钮时写入,并同时将遥控执行时间字符串的md5加密字符串写入属性executetimemd5,这种机制能够有效避免从hmi界面到系统平台设备模型写入数据的所有异常。
安全设计4.3:在数据传输规约上使用标准规约的扩展asdu将遥控选择、执行数据传输至pscada装置设备。这种机制能够有效避免从系统平台设备模型到pscada装置设备之间的所有数据传输异常。
遥控选择数据内容:选择命令command、选择时间commandtime、安全选择属性数据commandsafetyval1、commandsafetyval2、commandtimemd5。pscada装置设备在接收到遥控选择数据后进行校验:当(command==0&&commandsafetyval1==0x5aa5&&commandsafetyval2==0xa55a)&&(commandtimemd5==md5(commandtime))表达式为真时分闸选择命令有效;当(command==1&&commandsafetyval1==0xa55a&&commandsafetyval2==0x5aa5)&&(commandtimemd5==md5(commandtime))表达式为真时合闸选择命令有效。
遥控执行数据内容:选择命令command、选择时间commandtime、执行数据executetrigger、执行时间executetime、安全选择属性数据commandsafetyval1、commandsafetyval2、commandtimemd5、安全执行属性数据executetimemd5。pscada装置设备在接收到遥控执行数据后进行校验:当(command==0&&commandsafetyval1==0x5aa5&&commandsafetyval2==0xa55a)&&(commandtimemd5==md5(commandtime))&&&(executetimemd5==md5(executetime))表达式为真时分闸执行命令有效,设备执行分闸操作;当(command==1&&commandsafetyval1==0xa55a&&commandsafetyval2==0x5aa5)&&(commandtimemd5==md5(commandtime))&&&(executetimemd5==md5(executetime))表达式为真时合闸命令有效,设备执行合闸操作。
由上可知,这种遥控功能的设计几乎能够避免所有环节上的数据失效,从而保证遥控过程的安全性,但同时也带来了以下缺点:
1)加强安全验证带来了更多的时间开销,遥控实时性延迟;
2)加强安全验证带来了更多的空间开销,内存、硬盘存储加大;
3)支持的pscada装置侧必须做出对应的更改;
以上针对的是遥控选择、执行命令下行数据的安全设计,在必要情形下还可以对选择、执行命令的反馈上行数据做类似同样的安全处理,本申请对该过程不在赘述。
典型应用
此申请所设计的安全功能主要用于需要满足sil2等级的城市轨道交通综合监控系统中,虽然目前国内大部分城市轨道交通综合监控系统暂未sil2等级要求,但从新招标的项目中来看,已经基本上均提出了此类要求,因此在未来几年内该安全功能肯定会广泛应用与实际项目中。