西门子云安全平台（DS3）的开发历程

西门子云安全平台（DS3）的开发历程

徐纪康 邱琬婷等提供素材

概述：“数字化联锁”的结构变化提供了完全集中安全相关的铁路应用的可能性。比如，联锁逻辑。因此，数字化的下一步需要使用行业标准的商业计算机（COTS）。COTS多核技术计算机的使用不需要任何特殊的硬件—这是一个对信号和安全系统的巨大需求，西门子一直在研究这个很多年。这个研究项目产生了一个技术结构和安全概念，定义一个基于软件“分布式智能安全系统”（DS3）安全平台，用于在任何COTS多核计算机上运行SIL4应用。联锁已经验证可以在DS3平台上安全运行。未来，RBC也将被转移到DS3平台。

持续超过十年，作为德国的Neupro项目和国际背景的Eulynx项目的部分，铁路部门一直在设计和标准化轨道结构。总的“联锁”功能的专利的解决方案被细分成功能联锁逻辑和带有标准化的基于IP的通信接口的本质安全的信号设备（例如信号机、计轴器等）。

“数字化联锁”的结构变化提供了完全集中安全相关的铁路应用的可能性。比如联锁逻辑和RBC逻辑。因此，数字化的下一步需要使用行业标准的商业计算机（COTS），为了给计算密集型铁路应用使用可用的技术和标准化在集中数据中心使用的硬件。这将导致完全集中的选择，伴随着为了最高可能的可用性的物理冗余。

一 研究阶段（2013-2015年）    

COTS多核技术计算机的使用不需要任何特殊的硬件—这是一个对信号和安全系统的巨大需求，西门子一直在研究这个很多年。

“汽车铁路航天多核系统” 资助项目（ARAMiS）由德国联邦教育和研究部（BMBF）资助，由SafeTRANS研究协会组织，于2011年底启动，目的是准备广泛使用多核计算机来必须满足就安全性，可靠性和防御未经授权的访问而言的高需求。

最初，只有汽车和航天领域代表在调查硬件和软件结构和方法，允许多核系统和虚拟化 的运用。2013年初，来自西门子和TÜV Rheinland的一个团队加入了ARAMiS项目。通过调查研究，表明多核系统基本适合安全相关的铁路运用。具体的要求是：

1·使用行业标准的COTS多核技术

2·实现具有集中化和物理冗余的铁路运用的安全性和可用性目标

3·在任何安全级别（混合SIL）的运用融合进相同的COTS硬件的可扩展性，对任何安全级别的通信伙伴的灵活通信结构。

这个研究项目产生了一个技术结构和安全概念，定义一个基于软件“分布式智能安全系统”（DS3）安全平台，用于在任何COTS多核计算机上运行SIL4应用。

DS3概念是基于一个具有以下特征的结构：

1·一个安全相关的应用（例如联锁）同时在不同物理CPU内核的多个设备上并行。    

2·每套系统作为由一个安全时钟（Coarse Clock）触发的循环任务（例如200 ms）运行。

3·每套系统的结果都要被安全表决者检查。

4·表决过程的结果通过一个安全协议网关被发送到连接的输出。

5·安全概念认为一个多核计算机物理内核来组成一个物理单元。与安全相关的应用在不同代码模拟器中至少在两个物理内核上运行，这种模拟器能不同地实现安全机制（例如，循环内存测试，自测，算术运算，不同的内存管理和通道参与）。

6·作为一个冗余概念，在一个计算机上的系统数量可以增加并且系统可以被冗余地设计，即在两个计算机上运行。失败的系统或计算机被重启并与正在运行的系统重新同步。

7·所有通信通过一个新定义的基于IP的通信协议XDM完成，该协议带有一个发布/订阅机制，通过一个中央的与安全无关的消息中间者来进行消息分发。

在研究项目中，粗略的DS3技术概念被开发，软件模块被制作成原型作为证明，概念的适用性被TÜV Rheinland的安全评审员所确认。

西门子在InnoTrans 2014展示了在柏林和慕尼黑的冗余物理分配的多个CPU内核上运行的一个联锁逻辑的演示。不过在当时，这样一个概念的范围和潜力还没有被专业公众所充分承认。当这个研究项目在2015年结束时，问题是“接下来是什么？”

二 可行性研究阶段（2016-2017年）

自2015年西门子已经内部地承认了这个概念（DS3安全平台）的潜力，但是不是所有人确信这个DS3概念的实际可行性。因此，一个有以下目的的可行性研究开展：

1·阐明任何还没有被充分考虑的开放观点（例如，基于软件的安全表决和安全时钟）。

2·定义一个现有铁路应用的迁移概念，考虑Eulynx/NeuPro通信协议。

3·一个涉及铁路应用可批准性的安全认证。

4·通过实现一个原型和一个具体联锁应用的迁移，实际确认可行性。

       2.1 Trackguard Simis AT联锁产品作为试点应用

这个产品基于Trackguard Simis ECC计算机平台，在联锁计算机（STWR）中包含SIL4的用于澳地利铁路线的联锁应用，并有基于IP的通信接口，伴随着输入/输出计算机（EAR），相邻联锁系统（NSTW），控制系统（OCS）和诊断程序。    

以下配置被用作迁移联锁计算机应用到DS3平台。

1·中央联锁计算机在两台COTS多核计算机上运行DS3软件平台。

2·两台联锁计算机同步；如果一个联锁计算机故障，其他联锁计算机作为一个安全系统继续运行。

3·连接的计算机（the X25 and Sahara协议）的所有通信采用双通道模式，这个双通道模式是分布在两台联锁计算机的两个传输通道（A/B）。

4·联锁计算机的通信接口不受ECC->DS3平台变化的影响，即平台变化不影响系统的通信。

这是对可行性研究的理想试点应用，因为新的DS3平台的基本可行性和“将现有的基于ECC铁路应用迁移到新DS3平台”都能被检查。

2.2移植ECC操作系统

当迁移联锁计算机时，基本的ECC操作系统服务（基本的ECC OS）也应该被移植到新的DS3平台，以便缩小对现有可批准的联锁计算机的影响。这个方面很重要，因为它旨在为其他基于ECC的铁路应用的迁移做准备。

在可行性研究中，DS3平台的软件模块（例如代码模拟器，消息中间者和初步的表决）被制作成原型，并且ECC系统模块暂时适应DS3的操作。这允许联锁应用直接运行在COTS硬件上的DS3上（不用任何的定制化服务）。

同时，这是Trackguard Simis AT联锁计算机应用的第三代平台，已经经历了超过30年的进化发展：在1990年是SCM86平台，在2000年是ECC平台，在2018年是DS3平台。

2.3初步危害分析

技术概念的结构改善与制作成原型的开发并排进行，使用一个初步危害分析准备和评估 安全调查，结论是“SIL4应用能在DS3的COTS硬件上运行”。这为DS3平台的第一个发布的开发项目的开始奠定了基础。

三 开发阶段（2017-2020年）

这个开发项目开始于一个开发一些完全新东西的任务，并有如下挑战：

3.1 DS3平台的“混合SIL”

以模块为方向的DS3结构既定义了与安全相关的部分（系统的运行时间环境，表决， 安全时钟和协议网关），又定义了与安全无关的部分（消息中间者，诊断和启动），它们要么是一起执行的，要么在一个与安全无关的操作系统（Windows，Linux）。

在DS3内的不同SIL级别的应用，必须在平台内部XDM通信协议和DS3软件模块的功能结构中被考虑。

3.2 发布/订阅原则的安全XDM通信协议  

新的XDM通信协议是以面向通信的平台结构的基石。通过发布/订阅原则提供了最好的灵活性和需要根本的重新考虑在DS3模块（系统，表决者等）之间功能性的冗余的数据流的设计。另外，在XDM协议里的安全机制必须被这样定义：任何与安全无关的通信伙伴也能参与XDM通信。    

XDM协议在研究项目中已经被粗略地定义了，在开发项目中作为安全调查的一部分改善，因为一个新研究的结果在开发和融合中进一步改善。XDM代表了一个按照EN 50159规定的与安全相关通信的范式，因为以前使用的是面向连接的通信协议比如RaSTA。EN 50159的安全原则也能被转移到XDM广播协议。

3.3 安全性和可用性

3.3.1 DS3平台

为了DS3平台本身的安全，必须定义和实现一个安全模式。另外，也需要一个面向模块的冗余概念，即所有的DS3模块必须被冗余地出现在两台COTS计算机上，并为两台计算机提供他们的功能。

DS3模块的任何故障必须被检测并导致模块重启。在模块故障期间，在其他计算机上的冗余模块必须接管所有功能。如果在计算机1上的安全时钟故障，在计算机2上的安全时钟将为两台计算机提供完整的安全时钟功能。

3.3.2 应用

为了应用的安全和可用性，必须定义和实现具有安全表决的系统的并行和安全执行模 式。在系统中的任何错误必须被识别，被识别为处于故障的系统必须停止，重启和同步。这需要智能多数表决，调整在参与的两台计算机上积极运行，停止和重启系统的数量。

3.4 自动的面向通信的测试系统

既为了测试单个的DS3模块，也为合并了多个DS3 模块，在DS3上的模块和融合测试需要一个新的测试系统来支持寻址和评估测试对象新定义的XDM接口。这意味着在各种各样的测试配置中使用尽可能最高的测试运行自动化来完成。

四 与Simis AT产品的融合

转移ECC操作系统到DS3平台意味着联锁计算机应用能被迁移到DS3平台，不需要任何定制化服务也不会对连接的系统比如输入/输出计算机，操作控制系统和相邻联锁产生任何追溯影响。在所有的融合活动中，不触及联锁计算机应用的要求是一个非常重要和有益的因素。    

自可行性研究时期以来，DS3平台融合进Simis AT产品已经被同时实施，如果在Simis AT测试设施中出现任何问题，总是很清楚问题的原因基于新的DS3平台。

4.1联锁计算机的DS3配置

为了在Simis AT产品中的DS3平台的使用例子，系统做如下配置：

1·联锁计算机应用在两台COTS 多核计算机上运行，每台计算机带有四套系统，即一共八套系统。

2·联锁计算机应用的处理循环是200ms。

3·连接的计算机的通信协议是Sahara和X25。

4·COTS平台基于被证明的行业标准带有加固的Windows操作系统的多核计算机，二者都已经在SIL2控制系统应用中使用。

4.2评估和批准

Trackguard Simis AT产品的评估和批准也很早就开始了与DS3融合并行。DS3安全结构的基本模块，包括转移的ECC操作系统，在开发期间被与评估员和批准员讨论和解释。这里，不触及联锁计算机应用的要求也是一个很大的优势，因为它让专注于DS3平台的安全结构成为可能。

另外，在现有测试案例的回归测试中，在ECC和DS3上显示相同联锁计算机应用的同一行为。

五 DS3联锁试点项目

从西门子成套产品角度来看，Trackguard Simis AT被选为具有联锁应用的DS3试点项目，用于奥地利铁路。因此，在奥地利找到一个试点项目来测试和引入新的DS3平台是一个显然的步骤。

西门子因为试点这个革新的主题用Achau联锁项目赢得了ÖBB Infrastruktur AG支持， 并因此有了理想的伙伴。

当选择Achau试点联锁时，在计划阶段已经被考虑，试运行和操作上没有被要求有限制，联锁按照对操作和维修人员的适用规范充分地表现。    

ÖBB Infrastruktur AG与独立评估的合作紧密，二者关于Trackguard Simis AT产品批准的理论考虑和实际测试活动，例如在维也纳西门子测试设施中，在具有合适操作措施的现实系统上的测试运行和现场客户测试。

在InnoTrans 2018上展示了带有原型化的DS3软件和初始的Achau联锁配置，与2014年形成对比，激起了贸易展览会参观者的大量兴趣。在DS3开发期间，所有的Simis AT测试都是用Simis AT测试站配置和Achau客户系统配置所运行的。

运行联锁功能的COTS计算机被安装在操作ECC计算机旁用于在Ach-au的现场测试。这使现场测试相对容易；只有局域网电缆必须被重新连接用于转换。除了其他事项外，这些测试还包括OBB专家用现实户外设备实施的实际操作压力测试，这也为新平台提供了额外的经验和信心。

六 试点联锁试运行情况

在2020年11月14日，在DS3的研究/可行性研究/开发总共几乎7年之后，时间终于到来，从ECC计算机到在Achau的DS3 COTS计算机，局域网电缆被重新连接，并且带有DS3的联锁计算机被启动；最初，持续了一个四天带有有限的安全责任的测试和试验阶段，从2020年11月18日起，在常规铁路运行中是无限制的安全责任。

从那时起，通过远程访问服务计算机和OBB维修人员，Achau试点项目一直处于日常观察状态。截止目前，日常数据评估还没有发现任何违规行为。

DS3是对ÖBB面向数字化的重要一步，并且是未来联锁结构的关键基石。

七 展望

采用Trackguard Simis AT的DS3试点项目是面向安全相关的铁路应用的基于COTS数据中心 的第一步和最重要的一步。该项目定义，实现和评估新的DS3安全平台用于在与安全无关的COTS多个技术上的SIL4应用的运行。

       DS3平台循序渐进的功能改善将如下，例如：·

1、IT安全

2、虚拟化运行    

3、智能户外模块

4、采用分布式计算机的多服务运行用于物理冗余。

此外，进一步的应用（例如RBC）也将被转移到DS3平台。   

素材来源：本号粉丝

延伸阅读