Методы и алгоритмы синтеза функций безопасности станционных систем железнодорожной автоматики и телемеханики тема диссертации и автореферата по ВАК РФ 00.00.00, кандидат наук Василенко Петр Алексеевич

ВВЕДЕНИЕ

Актуальность проблемы. На современном уровне технического прогресса в обществе одной из главных проблем становиться обеспечение безопасности людей. Это связано с увеличением скоростей и интенсивности движения на транспорте, распространением экологически вредных производств, использованием новых видов энергии. Крупные катастрофы, которые происходят на атомных станциях, газопроводах, на железнодорожном, авиационном и автомобильном транспорте показывают, что безопасность людей имеет не только технические и технологические аспекты, но и социальные.

Вопросы обеспечения безопасности управления движением поездов интенсивно разрабатывались учеными и специалистами в областях железнодорожной автоматики и телемеханики (ЖАТ) с момента ее зарождения как науки и до настоящего времени.

Степень разработанности темы исследования. Вопросы обеспечения безопасности систем ЖАТ исследовались многими авторами. Значительный вклад в эти исследования внесли отечественные ученые: Сапожников. В.В., Сапожников Вл. В., Никитин А.Б., Гавзов Д.В., Кравцов Ю.А., Кононов В.А., Наседкин О.А., Прокофьев А.А., Ефимов В.Ю., Дрейман О.К., Лисенков В.М., Монаков А.Д., Ефанов Д.В. и многие другие, а также зарубежные ученые: Христов Х., Берндт Т., Мартон П., Монгарда Д., Шёбель А., Стрэттон Д., Вебер К., Уайт Т. И др.

Особо необходимо отметить достижения в этой области научной школы Сапожникова В.В. и Сапожникова Вл.В., которые разработали теоретические основы синтеза схем и систем ЖАТ с исключением опасных отказов.

Однако до настоящего времени не решены вопросы обеспечения функциональной безопасности схем и систем ЖАТ:

— не существует доказательства полноты описания и классификации функций безопасности для станционных систем обеспечения безопасности;

— не разработаны методики и алгоритмы синтеза спецификаций функций безопасности;

— не разработана общая методология (стратегия) обеспечения функциональной безопасности станционных систем ЖАТ и методы ее реализации на разных этапах жизненного цикла;

— не рассматривались вопросы умышленных ошибок при реализации и экспертизе функций безопасности в действующих системах ЖАТ. Объект исследования. Системы обеспечения безопасности движения поездов

на станциях (системы электрической централизации стрелок и сигналов) и объектная техническая документация, как эталон построения и эксплуатации этих систем.

Предмет исследования. Анализ функций безопасности станционных систем ЭЦ и синтез функциональной безопасности таких систем в целом.

Цель диссертационной работы. Разработка методов анализа и синтеза функциональной безопасности систем ЭЦ, их формализация и алгоритмизация решения задач автоматизации построения спецификаций функций безопасности станций оборудованных системой ЭЦ.

Методология и методы исследований. В процессе написания работы использованы математические методы формальной грамматики, синтаксиса и семантики формальных языков, теории алгоритмов и теории множеств. Основные положения, выносимые на защиту:

1. Классификатор опасных событий в задачах функциональной безопасности.

2. Анализ базового набора функций безопасности и его дополнение на основе классификатора.

3. Разбиение дополненного базового набора функций безопасности по компонентам схематического плана станции на основе синтаксиса и семантики языка путевых объектов.

4. Стратегия решения задачи функциональной безопасности станций, оборудованных системами электрической централизацией.

5. Список идентификаторов компонент станции на базе цифровых моделей схематического плана и таблиц взаимозависимости станции (Алгоритмы А1, А2).

6. Привязка функций безопасности станции к идентификаторам станции и технологии управления маршрутами (Алгоритмами А3, А4, А5, А6).

7. Автоматический синтез спецификаций функций безопасности станции на базе предложенных алгоритмов.

8. Оценка эффективности автоматизации синтеза спецификации функций безопасности на примере 3-х станций.

9. Определение и обоснование областей эффективного применения спецификаций функций безопасности на всех этапах жизненного цикла систем ЭЦ.

10. Разработка методов защиты технической документации на системы ЭЦ от умышленных опасных ошибок, нарушающих условия обеспечения функциональной безопасности.

Научная новизна диссертационного исследования заключается в следующем:

1. Впервые предложен классификатор опасных событий в задачах функциональной безопасности станционных систем ЖАТ на базе которого выполнен анализ и структуризация функций безопасности.

2. Выполнено разбиение дополнительного базового набора функций безопасности по компонентам схематического плана станции на основе синтаксиса и семантики языка путевых объектов.

3. Введено понятие спецификации функций безопасности систем ЭЦ, на базе которой впервые предложена стратегия обеспечения функциональной безопасности.

4. Доказано, что синтаксис и семантика языка путевых объектов адекватно реализуются на языке расширяемой графики (XML) на базе которого построен отраслевой стандарт технической документации СТО «РЖД».

5. Впервые разработаны алгоритмы идентификации функций безопасности с компонентами цифровых моделей схематического плана станции и таблиц взаимозависимости стрелок и сигналов.

6. Доказана эффективность синтеза спецификаций функций безопасности и их применения в задачах обеспечения безопасности станционных систем ЭЦ. Теоретическая значимость работы состоит в разработке алгоритмов

идентификации и синтеза спецификаций функций безопасности и их цифровых моделей, которые могут быть эффективно использованы в научных исследованиях поставленной проблемы и решении практических задач обеспечения безопасности систем ЭЦ.

Практическая значимость работы состоит в автоматизации синтеза спецификаций функций безопасности, представлении их в цифровых моделях и возможности на этой базе решать широкий круг практических задач автоматизации проектирования, экспертизы технической документации и действующих систем, мониторинга функциональной безопасности.

Достоверность основных положений диссертационной работы подтверждается строгим применением известного математического аппарата и результатами анализа построенных спецификаций функций безопасности.

Апробация результатов. Результаты диссертационной работы докладывались и обсуждались на следующих международных конференциях:

1. Workshop "models and methods for researching information systems in transport 2020" on the basis of the departments "information and computer systems" and "higher mathematics"

2. 13th international conference on computer-aided technologies in applied mathematics, icam 2020

3. Международная научно-практическая конференция "транспортные интеллектуальные системы-2017

4. Конференция "ИТ-РИТМ" 2022. Ежегодная конференция для предприятий топливно-энергетической отрасли.

5. Конференция "ИТ-РИТМ" 2023. Традиционная ежегодная конференция объединения ИТ-руководителей предприятий топливно-энергетического комплекса, производителей и поставщиков отечественного ИТ-оборудования и ПО.

Публикации по теме работы. По теме диссертационной работы опубликовано 12 работ, в том числе 7 работ в изданиях Перечня ВАК РФ. Результаты исследования приведены в отчете о выполнении научно-исследовательской работы для ОАО «РЖД»: «Исследование методов автоматизации синтеза программ полной функциональной проверки систем ЖАТ» 101 стр. 2019 год.

Структура и объем диссертации. Работа содержит 161 страницу машинописного текста, включая 18 рисунков, 24 таблицы. Диссертация состоит из введения, 4 разделов основного текста, заключения, списка используемых сокращений, списка литературы и приложений. Библиографический список включает 85 наименований. Во введении обоснована актуальность научной проблемы обеспечения функциональной безопасности и определена общая структура и задачи диссертационной работы. В первом разделе работы определены основные понятия функциональной безопасности, объект, предмет и задачи исследования. Предложена классификация опасных событий на станции, которая положена в основу дальнейших исследований. Во втором разделе работы выполнен анализ базового набора функций безопасности станционных систем; его дополнение и разбиение на основе языка путевых объектов. В третьем разделе введено понятие спецификации функций безопасности станции и разработаны алгоритмы синтеза спецификации на языке путевых объектов с программной реализацией на базе языка расширяемой графики. В четвертом разделе на основе предложенной стратегии обеспечения функциональной безопасности показаны области эффективного применения спецификаций на всех этапах жизненного цикла систем электрической централизации. Особое внимание уделено вопросам защиты электронной технической документации от опасных ошибок в результате кибератак и кибернарушений. В заключении диссертационной работы приведены

основные практические и научные результаты данного исследования и перспективы его дальнейшего использования.

1 АКТУАЛЬНОСТЬ ПРОБЛЕМЫ СИНТЕЗА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ И ПОСТАНОВКА ЗАДАЧ ДИССЕРТАЦИИ

1.1 Определение основных понятий, обозначений, объекта и предмета

исследования

Объектом данного исследования являются системы оперативного управления движением поездов на железнодорожных станциях, исторически получившие название систем ЭЦ.

Данными системами оборудованы почти все станции Российских железных дорог, а их целевыми задачами являются:

1. Автоматизация управления движением поездов (и других подвижных единиц железнодорожного транспорта) с целью обеспечения необходимой пропускной и перерабатывающей способности станции, как объекта управления (ОУ).

2. Обеспечение безопасности управления движением поездов на железнодорожных станциях при отказах аппаратно-программного комплекса систем ЭЦ (АПК), а также других опасных событиях.

Задача обеспечения безопасности движения поездов исследовалась и разрабатывалась многими отечественными и зарубежными учеными [10-34]. Особо необходимо отметить в этой области достижения научной школы Сапожникова В. В., и Сапожникова Вл. В., которые разработали теоретические принципы синтеза схем и систем обеспечения безопасности с исключением опасных отказов [4].

В последние годы, в связи с ростом интенсивности и скоростей движения поездов, применения новых технологий в промышленности и на железнодорожном транспорте, широким внедрением вычислительной и микропроцессорной техники задача обеспечения безопасности систем управления движением поездов становится все более актуальной. Утверждаются специальные межгосударственные стандарты по безопасности электронных и программируемых систем [1,2,3], выполнены новейшие исследования в области обеспечения

безопасности систем управления на железнодорожном транспорте [5,6], определение понятия «безопасность» приобретает не только чисто технические, но и экономические и социальные аспекты. Так, например, Национальный стандарт Российской федерации ГОСТ РМЭК 61508-2012 определяет (Определение 1) понятие безопасности систем управления (в нашем случае систем ЭЦ) как: свойство недопущения неприменимо высоких рисков в работе управляемого объекта (в нашем случае станции с подвижными единицами) для людей, материальных ценностей и окружающей среды из-за отказов аппаратно-программных средств, и других опасных событий. (Рис. 1.1)

Данное определение не противоречит общепринятому [2,4] техническому варианту, где безопасность систем ЭЦ определяется, как свойство системы находиться в исправном, работоспособном или защитном состоянии в течении заданного периода времени в заданных условиях эксплуатации.

Оба определения безопасности систем ЭЦ основаны на понятии «Техническое состояние системы управления» [7] и «Технологическое состояние объекта управления» [8] и поясняются на рисунке 1.2.

Приведенное определение поясняется на рисунке 1.1, где ОПП -оперативный персонал станции, ОБП - обслуживающий персонал систем ЭЦ.

Исходя из определения 1 необходимо выделить два направления исследований по обеспечению безопасности систем ЭЦ.

Первое направление связано с защитой систем ЭЦ от отказов АПК, на котором строятся и технически реализуются эти системы.

Рисунок 1. 1 . Опасный отказ технологического объекта управления

Это направление активно разрабатывается и внедряется в работах [4,5,6,7,929]. Cуть стратегии защиты от опасных отказов описана в [30] и состоит в реализации следующих этапов (Стратегия 1):

1. Определение допустимой модели отказов и исключение отказов определенного типа.

2. Устранение последствий отказов (отсутствие опасности одиночных и множественных отказов, нераспространение одиночных отказов, независимость одиночных отказов).

3. Ограничение последствий отказов (быстрое обнаружение и устранение, снижение ущерба).

4. Реализация стратегии пунктов 1,2,3 с использованием алгоритмов синтеза схем со структурной избыточностью с исключением опасных отказов систем ЭЦ [4].

5. Проверка реализации этих алгоритмов при построении систем ЭЦ, получившая название доказательства безопасности системы [2].

При переходе на микропроцессорную элементную базу, использование средств вычислительной техники и программного обеспечения задача безопасности усложняется по ряду причин [30] и в этом случае эффективно используются различные методы аппаратурной, программной и структурной (архитектурной) избыточности [31-35].

Приведенные методы обеспечения безопасности систем ЭЦ (включая релейно-процессорные и микропроцессорные) от отказов АПК решают поставленную задачу по отношению ко всем целевым задачам и функциям, определяемых техническим заданием на систему. Поэтому далее эту стратегию (Стратегия 1) будем называть общей стратегией обеспечения безопасности.

Второе направление задачи обеспечения безопасности связано с защитой систем ЭЦ от других видов опасных событий (см. определение 1) и понятием функции безопасности.

Рисунок 1.2. Техническое состояние системы управления и технологическое

состояние объекта управления

Определение 2. Функцией безопасности Ь^ называется функция, реализуемая системой, для исключения опасного технического состояния по отношению к конкретному опасному событию (ОС). Межгосударственный стандарт ГОСТ 33432-2015. Безопасность функциональная. [3]

Соответственно определению 2 под функциональной безопасностью системы управления (системы ЭЦ) понимается ее способность выполнять все требуемые функции безопасности Ь^ при заданных условиях в течении заданного промежутка времени: В = [Ь{], I = 1, /,где I - число всех функций безопасности.

Общие требования к функциональной безопасности сформулированы еще основоположниками науки о сигнализации, централизации и блокировке на железнодорожном транспорте, профессорами С Д. Карейша, Я. Н. Гордеенко, Н. В. Лупалом, А. С. Переборовым.

Эти требования являются базовыми технологическими требованиями работы железных дорог и не зависят от частных технических решений. К ним относят следующие [30]:

1. Все входящие в маршрут участки должны быть освобождены и оставаться свободными до тех пор, пока через них полностью не проследует поезд.

2. Все входящие в маршрут подвижные элементы должны быть установлены в нужных положениях и замкнуты до тех пор, пока через них полностью не проследует поезд.

3. Поезд должен двигаться так, чтобы при подъезде к заданной точке его скорость не превышала допустимую.

Базовые требования к функциональной безопасности установлены соответствующими правилами и инструкциями технической эксплуатации [40,41,42,43], где указано, что станционные системы не должны допускать:

— открытия входного светофора при маршруте, установленном на занятый путь;

— перевода стрелки под подвижным составом;

— открытия светофора по данному маршруту, если стрелки не поставлены в соответствующее положение;

— перевода входящей в маршрут стрелки или открытия светофора враждебного маршрута при открытом светофоре, ограждающем установленный маршрут и т. п.

Базовые требования к функциям безопасности релейных систем ЭЦ впервые сформулированы, формализованы и математически описаны В. А. Кононовым в работе [36], где определены 29 функций безопасности (у автора - это логические условия безопасности движения - УБД) и приведены топологические формулы, позволяющие реализовать в схемах ЭЦ эти функции аппаратными и программными средствами.

В работе приведены также группировки условий (функций) безопасности по технологическим операциям с маршрутами.

В работе [37] в разделе 2.1.5. «Функциональная безопасность электрической централизации» использован аналогичный список из 29 функций безопасности и указана необходимость его дополнения с учетом специфики построения микропроцессорных систем, внедрения новых устройств и принципов обеспечения безопасности.

В приведенных работах [36,37] научного обоснования выбора базового набора не производится (очевидно, что он базируется на опыте авторов по разработке и эксплуатации систем ЭЦ и требованиях ПТЭ к этим системам):

— полнота выбранного базового набора функций безопасности не обосновывается;

— алгоритмы распространения на все элементы обеспечения безопасности станции не предлагаются.

Сказанное, позволяет определить в качестве предмета данного исследования указанные вопросы анализа и синтеза функций безопасности систем ЭЦ.

Для этого необходимо уточнить и дать классификацию понятию - «опасное событие», используемое в ГОСТах [1,2,3].

1.2 Классификация опасных событий станционных систем ЭЦ

ГОСТ 33432-2015 [3], при определении функций безопасности Ь^ указывает на необходимость определения конкретного опасного события (ОС{), являющегося причиной включения этой функции в общий список B.

При этом под опасным событием (ОС) понимается [3]: Событие, в результате которого может быть причинён вред, который в свою очередь состоит в физическом повреждении или ущербе здоровью людей, имуществу или окружающей среде.

В этом же документе в качестве опасного события вводится термин -«систематический отказ», который трактуется, как отказ, связанный детерминированным образом с какой-либо причиной, которая может быть исключена только путем модификации проекта либо производственного процесса, операции, документации либо других факторов [3].

В качестве основного и единственного примера систематического отказа в [3] называются ошибки людей.

На наш взгляд, в применении к системам обеспечения безопасности на железнодорожном транспорте данная трактовка понятия опасного события (ОС) не верна и требует более глубокого изучения и расширения с точки зрения функциональной безопасности по следующим причинам:

1. Ошибки людей, участвующих в процессах оперативного управления работой станции (ОПП) и технического обслуживания систем ЭЦ (ОБП), носят случайный и непредсказуемый характер и не могут быть систематическими (регулярными).

2. Эти ошибки не могут быть исключены предлагаемыми методами [3] и требуют реализации специальных функций безопасности.

3. Опасные события на железнодорожных станциях могут возникать не только из-за ошибок людей, но и по другим причинам, которые необходимо учитывать.

Накопленный опыт эксплуатации систем ЭЦ и требования нормативно-справочной технической документации (НСТД) [36-43] позволяют предложить следующий классификатор опасных событий на железнодорожных станциях, представленный на рисунке 1.3.

Классификатор определяет 4 класса опасных событий, которые необходимо учитывать при формировании списка функций безопасности В.

Как уже указывалось в разделе 1.1 основной набор опасных событий определен в нормативно-справочной документации на системы ЖАТ (НСТД) -ОС-0 и включает следующие разделы:

• ОС-0.1. - опасные состояния, в которое могут переходить основные элементы напольного-технологического оборудования в результате отказов и несоблюдения условия технического обслуживания и эксплуатации. К таким элементам относятся: станционные рельсовые цепи, стрелочные электроприводы и светофоры. При этом в системах ЭЦ реализуются специальные функции безопасности, исключающие влияние ОС-0.1 на безопасность движения поездов. (см. раздел 1.1).

• ОС-О.2 - опасные состояния, в которых может быть потерян контроль исправности или занятости стрелочных или путевых секций задаваемого маршрута.

• ОС-0.3 - опасные состояния, в которых может произойти преждевременное размыкание стрелочной секции или всего маршрута до момента его полного освобождения.

Рисунок 1.3. Классификатор опасных событий в системах ЭЦ

• ОС-0.4 - опасные состояния, в которые может переходить система ЭЦ при смене направления движения по одному из путей перегона.

• ОС-0.5 - другие возможные варианты ОС.

Такие варианты связаны с экстремальными режимами работы напольного технологического оборудования (НТО) станционных систем ЖАТ, функции безопасности которых устанавливаются в нормативной технической документации и могут дополняться в разделе ОС - 0.5 с изменением условий эксплуатации или при использовании новых видов НТО.

Функций безопасности, вызванных опасными событиями класса ОС - 0.1 -0.5, точнее можно определить, как технологические функции безопасности, связанные с технологией работы и обслуживания НТО.

Особый класс опасных событий для систем ЭЦ представляют ошибки людей, участвующих непосредственно в процессе оперативного управления движением поездов (ОС. 1.1), технического обслуживания и ремонта (ОС. 1.2), проектирования технической документации (ОС. 1.3), изготовления и строительства системы (ОС. 1.4), проведения пуско-наладочных работ (ОС. 1.5) и ведения объектной технической документации в процессе эксплуатации. (ОС 1.6).

В работе [8] автором данной диссертации определено понятие опасной ошибки в объектной технической документации и системах железнодорожной автоматики и телемеханики.

Определение 3. Опасной ошибкой в объектной технической документации и действующей (находящейся в эксплуатации) системе ЭЦ является любое нарушение требований НСТД в отношении соблюдения (выполнения) условий обеспечения функциональной безопасности.

Данное определение не ограничивает класс возможных ошибок, как в процессе создания систем ЭЦ (ОС -1.1), та и в процессе их эксплуатации (ОС -1.2). Одновременно ОС. 1 обязывает проверять реализацию выполнения всех функций безопасности, включенных в базовый список (набор, спецификацию) на всех

этапах жизненного цикла существования системы (разработка, производство, строительство, эксплуатация).

В данном случае речь идет о случайных ошибках людей из-за невнимательности, недостаточной квалификации, при эмоциональном и нервном напряжении и т. п. В четвертой главе этот вопрос будет рассмотрен, в виду его актуальности, в отношении умышленных ошибок при кибератаках и кибернарушениях [8].

Подробный анализ и классификация ошибок в процессе создания систем и с момента начала эксплуатации рассмотрены в работах [44,45].

Особый класс опасных состояний для системы ЭЦ (ОС-2) составляет события, связанные с защитой микропроцессорных систем от:

• ОС-2.1 - грозовых разрядов и мощных воздействий тягового тока [46];

• ОС-2.2 - параметрических отказов отдельных устройств и элементов [47,48];

• ОС-2.3 - при переключении фидеров питания [49,50];

• ОС-2.4 - кратковременных наложении и потери шунта рельсовой цепи [51,52];

• ОС-2.5 - и другие особые виды отказов АПК.

Исследования этого класса опасных событий ОС - 2 активно проводятся [46, 47, 48, 49, 50, 51, 52] и приводят к внедрению новых средств реализации соответствующих функций безопасности.

Так, например, задача обеспечения безопасности релейных систем ЭЦ при переключении фидеров питания, практически полностью снята с переходом на системы бесперебойного питания в проектах микропроцессорных ЭЦ.

Однако, в открытых публикациях, в настоящее время, отсутствуют формулировки в соответствии с принятыми в данной работе определением новых, ранее не известных, функций безопасности, реализованных в проектах микропроцессорных систем ЭЦ.

Обеспечение безопасности микропроцессорных систем от опасных событий класса ОС - 2 может рассматриваться также, как задача обеспечения общей безопасности (стр. 13, Стратегия 1).

Специфический класс опасных событий на станции составляют события, связанные с организаций передвижения людей и других видов транспорта (ОС-3). К ним относятся опасные события:

• ОС-3.1 на станционных железнодорожных переездах;

• ОС-3.2 на станционных железнодорожных переходах;

• ОС-3.3 при организации работ на станционных путях;

• ОС-3.4 при установке стационарных тормозных устройств;

• ОС-3.5 и другие возможные варианты;

Этот класс опасных событий (ОС - 3) также может быть определен как источник технологических функций безопасности.

Выполненный анализ методов обеспечения безопасности функционирования систем ЭЦ (раздел 1.1.) и предложенный классификатор опасных событий позволяют конкретизировать цель и задачи данной диссертационной работы.

1.3 Постановка задач диссертации

На основе изложенного в п. 1.1 и в п. 1.2 можно установить, что:

1. Объектом данного исследования являются станционные системы оперативного управления движением поездов - системы электрической централизации стрелок и сигналов (ЭЦ) независимо от применяемых технических средств.

использования

Эффективное применение научных результатов, изложенных в разделах 1, 2, 3 данной работы, требует решения следующих организационных вопросов:

1. Утверждение СПБб в качестве дополнительного проектного документа объектной технической документации на системы ЭЦ (наряду с СПС и ТВЗ).

2. Включение предлагаемых алгоритмов синтеза СПБб (А1, ..., А6) в состав технологических комплексов САПР систем ЭЦ отечественных проектных организаций и институтов.

3. Дополнение стандарта ГОСТ 33894-2016 «Системы железнодорожной автоматики и телемеханики на железнодорожных станциях. Требования безопасности и методы контроля.» разделом по функциональной безопасности.

4. Практической реализации предложенных методов построения и использования СПБб на всех этапах жизненного цикла сложных технологических систем обеспечения безопасности, то есть реализации стратегии 2.

5. Применения результатов данной работы в других системах обеспечения безопасности на железнодорожном транспорте (АЛС, АПС, АБ, ДЦ и т.п.) и в других отраслях промышленности и транспорта.

Решение указанных вопросов позволяет реализовать общую стратегию функциональной безопасности систем ЭЦ, представленную на рисунке 3.1 на всех этапах жизненного цикла, представленных на рисунке 4.1.

Рисунок 4.1. Области эффективного применения спецификаций функций

На этапе сопровождения действующих систем ЭЦ (находящихся в эксплуатации) необходим сбор статистики и анализ всех опасных событий и происшествий на железнодорожных станциях. При этом может эффективно применятся предложенный классификатор ОС (раздел 1.2) на базе которого необходимо вести сбор и анализ статистики опасных событий и дополнение (актуализацию) базового набора Бд (раздел 2.2) новыми функциями безопасности и соответствующими техническими и технологическими решениями их реализации.

Как известно [55, 62, 63] такая статистика ведется головным проектными институтом ОАО «РЖД» «Гипротранссигналсвязь». Дополненный (актуализированный) базовый набор Бд необходимо использовать в задаче синтеза функциональной безопасности вновь разрабатываемых аппаратно-программных комплексов (АПК), реализующих целевые задачи систем ЭЦ. При этом в качестве критерия функциональной безопасности необходимо использовать критерий, предложенный в разделе 3.1 (критерий полноты реализаций функций безопасности из множества Вд), а доказательство функциональной безопасности новой системы ЭЦ производить на базе анализа реализаций всех функций безопасности спецификаций СПБб.

Доказательство функциональной безопасности новых проектов систем ЭЦ на этапе их сертификации, также может быть построено на базе экспертизы реализации функций безопасности спецификации СПБб.

На этапах типового проектирования (тиражирования по станциям) систем ЭЦ предлагаемые решения позволят:

1. Утверждать актуализированный дополненный базовый набор функциональной безопасности Бд в техническом задании на проект ЭЦ заданной станции Б.

2. Автоматизировать синтез спецификации СПБб на стадии разработки и утверждения первичных проектных документов СПС б и ТВЗб; получить этот документ в стандарте цифровой модели [61] и утвердить (совместно с СПС и ТВЗ) для передачи на стадию рабочего проектирования АПК. При включении

предложенных автором алгоритмов (А1, А2, ..., А6) в САПР систем ЭЦ, этот этап может выполнятся эффективно средствами САПР с получением цифровой модели СПВБ для дальнейшего использования в задаче автоматизированного проектирования АПК.

3. Цифровая модель СПВБ закладывает основу (базу) для автоматизации синтеза аппаратных средств и программного обеспечения систем ЭЦ с учетом требований функциональной безопасности и ее реализации средствами САПР.

На этапе проектирования типовой методики испытаний (ТМИ) разработанной системы ЭЦ [64, 65, 66] цифровая модель СПВБ может быть положена в основу раздела по экспертизе функциональной безопасности станции, оборудованной системой ЭЦ по типовому проекту, а таже может быть выполнена конкретная привязка проверок всех функций безопасности, реализуемых системой ЭЦ на конкретной станции, с точностью до идентификаторов всех устройств напольного оборудования и маршрутов.

На стадии выполнения пуско-наладочных работ (ПНР) предлагаемая спецификация включается в раздел по проверке функций безопасности ТМИ с отметкой (электронной подписью), о фактической проверке каждой функции, указанной в спецификации, в электронном журнале проведения испытаний (ЭЖИ) [63].

На стадии эксплуатации действующей системы ЭЦ, спецификация функций безопасности может быть использована для периодической проверки отдельных функций безопасности в реальных условиях испытания напольного оборудования (стрелки, рельсовые цепи, светофоры) по планам технического обслуживания, а при использовании современных микропроцессорных систем, путем тестовых испытаний АПК.

Указанные возможности эффективного использования СПВБ являются задачами дальнейших исследований в области автоматизации проектирования и экспертизы систем ЭЦ. К ним относятся:

— задачи автоматизации проектирования аппаратно-программного комплекса систем ЭЦ в части реализации функций безопасности;

— задачи автоматизации проектирования программ и методик испытаний АПК систем ЭЦ в период проведения пуско-наладочных работ;

— задачи автоматизации тестирования функций безопасности действующих устройств ЭЦ в процессе их эксплуатации.

В качестве реального примера конвертации спецификации функций безопасности станции Б1, приведенной в Приложении в виде цифровой модели ЦМСПВБ1 покажем преобразование строк спецификации в страницы журнала проверок, который может быть использован при экспертизе функций безопасности на этапах проектирования систем ЭЦ, при проведении пуско-наладочных работ и сертификации новых разработок.

При составлении электронного журнала проверок функций безопасности станции Б необходимо использовать утвержденные карты технологического процесса [84, 85] в которых утверждена технология проведения каждой проверки (испытания) включая вопросы:

— состава исполнителей;

— условия производства работ;

— средства защиты измерений, технологического оснащения;

— подготовительные мероприятия;

— обеспечения безопасности движения поездов на период проверки;

— подробное описание технологии выполнения проверки (испытания), включая способы имитации занятости изолированных участков пути, потери контроля стрелок, правильности переключения сигналов при перегорании ламп светофоров и т.п.

При использовании этих карт [84,85] каждая строка спецификации СПБб преобразуется в несколько страниц электронного журнала проверок, как было показано автором при выполнении НИР по заказу ОАО «РЖД» [83].

Приведем некоторые примеры проверок стрелок по функции Ь1, на основе ТНК ЦШ 0126-2015 [85]:

1. Строка 1 функции Ь1 в маршруте с ИМ = 93 по стрелкам с И = 4773(-) и И = 4775(-) в 2-х реализациях (см. Приложение Е, табл. Е.1) описывается в электронном журнале проверок следующим текстовым материалом:

Для станции с утвержденным схематическим планом (см. Приложение А1 ) и утвержденной таблицей взаимозависимости стрелок и сигналов (см. Приложение В) необходимо для проверки функции безопасности Ь1 по маршруту приема от светофора Н на путь 1П убедиться, что установка маршрута и открытие сигнала светофора не происходит в 2-х разделенных реализациях:

a) При отсутствии контроля в положении (-) по стрелке 3;

b) При отсутствии контроля в положении (-) по стрелке 1.

Проверка контроля обеспечивается установкой щупа толщиной 2 и 4 мм между остряком и рамным рельсом. В случае отсутствия контроля положения стрелок на пульте табло при закладке щупа толщиной 4 мм, функция Ь1 в маршруте приема от светофора Н до пути 1П считается реализованной в системе ЭЦ данной станции.

2. Строка 10 функции Ь1 в маршруте с ИМ = 108 по стрелкам 4810(+), 4815(-), 4817(-), 4840(-), 4879(+), 4894(+) в 6 реализациях (см. Приложение Е, табл. Е.1) описывается в электронном журнале проверок следующим текстовым материалом:

Для станции с утвержденным схематическим планом (см. Приложение А1 ) и утвержденной таблицей взаимозависимости стрелок и сигналов (см. Приложение Б) необходимо для проверки функции безопасности Ь1 по маршруту передачи с пути 11БП до светофора НМ3А убедиться, что установка маршрута и открытие сигнала светофора не происходит в 6-х разделенных реализациях:

c) При отсутствии контроля в положении (+) по стрелке 5;

ё) При отсутствии контроля в положении (-) по стрелке 9;

е) При отсутствии контроля в положении (-) по стрелке 11;

При отсутствии контроля в положении (-) по стрелке 21;

При отсутствии контроля в положении (+) по стрелке 23;

И) При отсутствии контроля в положении (+) по стрелке 10.

Проверка контроля обеспечивается установкой щупа толщиной 2 и 4 мм между остряком и рамным рельсом. В случае отсутствия контроля положения стрелок на пульте табло при закладке щупа толщиной 4 мм, функция Ь1 в маршруте передачи с пути 11БП до светофора НМ3А считается реализованной в системе ЭЦ данной станции.

Таким образом заполняется 74 страницы журнала проверок функции Ь1, а общее число проверок только по функции Ь1 составит 211 реализаций.

Рассмотрим также проверку рельсовых цепей по функции Ь9, основываясь на КТП ЦШ 0198-2015 (разделы 7.5, 7.6, 7.7) [84], на примерах:

1. Строка 285 функции Ь9 в маршруте с ИМ = 93 по секциям 40, 1, 3, 5 в 4 реализациях (см. Приложение Ж, табл. Ж.6) описывается в электронном журнале проверок следующим текстовым материалом:

Для станции с утвержденным схематическим планом (см. Приложение А1 ) и утвержденной таблицей взаимозависимости стрелок и сигналов (см. Приложение Б) необходимо для проверки функции безопасности Ь9 по маршруту приема от светофора Н на путь 1П убедиться, что установка маршрута и открытие сигнала светофора не происходит в 4-х разделенных реализациях:

a) При наличии фактической занятости секции 1НП;

b) При наличии фактической занятости секции 1СП;

c) При наличии фактической занятости секции 3СП;

ё) При наличии фактической занятости секции 1П.

Проверка контроля обеспечивается имитацией занятости пути и установкой маршрута через данную секцию. В случае невозможности установки маршрута через занятую секцию, функция Ь9 в маршруте приема от светофора Н до пути 1П считается реализованной в системе ЭЦ данной станции.

2. Строка 298 функции Ь9 в маршруте с ИМ = 108 по секциям 8, 11, 13, 12, 15, 16, 22, 27, 28 в 9 реализациях (см. Приложение Ж, табл. Ж.6) описывается в электронном журнале проверок следующим текстовым материалом:

Для станции S1 с утвержденным схематическим планом (см. Приложение А1 ) и утвержденной таблицей взаимозависимости стрелок и сигналов (см. Приложение Б) необходимо для проверки функции безопасности Ь9 по маршруту передачи с пути 11БП до светофора НМ3А убедиться, что установка маршрута и открытие сигнала светофора не происходит в 9-и разделенных реализациях:

a) При наличии фактической занятости секции ИБП;

b) При наличии фактической занятости секции ПБДП;

c) При наличии фактической занятости секции 7-9СП;

ё) При наличии фактической занятости секции 5-11СП;

е) При наличии фактической занятости секции 11/21П;

^ При наличии фактической занятости секции 21СП;

§) При наличии фактической занятости секции 23-27СП;

И) При наличии фактической занятости секции 3АП;

1) При наличии фактической занятости секции 8СП. Проверка контроля обеспечивается имитацией занятости пути и установкой маршрута через данную секцию. В случае невозможности установки маршрута через занятую секцию, функция Ь9 в маршруте передачи с пути 11БП до светофора НМ3А считается реализованной в системе ЭЦ данной станции.

Аналогично, рассмотрим проверку светофоров по функции Ь33, основываясь на КТП ЦШ 0198-2015, на примерах:

3. Строка 1149 функции Ь33 в маршруте с 1ёМ = 101 по всем элементам, входящим в маршрут, (см. Приложение Ж, табл. Ж.20) описывается в электронном журнале проверок следующим текстовым материалом:

Для станции S1 с утвержденным схематическим планом (см. Приложение А1 ) и утвержденной таблицей взаимозависимости стрелок и сигналов (см. Приложение Б) необходимо для проверки функции безопасности Ь33 по маршруту отправления с пути 1П убедиться, что установка маршрута и открытие сигнала светофора не происходит в одной реализации:

а) При нарушении работы одного из элементов маршрута (стрелки, участка пути и/или светофора).

Проверка контроля обеспечивается нижеперечисленными пунктами:

- имитация занятости изолированных участков секций маршрутов (стрелочных участков, участков пути, приемо-отправочных путей, участков приближения и удаления, негабаритных участков);

- имитация потери контроля положения стрелок (в т.ч. охранных);

- проверка правильности переключения в каждом маршруте сигнальных показаний светофора на запрещающее или менее разрешающее показание при перегорании ламп;

- проверка перекрытия светофора на запрещающее показание в маршруте, установленном через переезд при включении заградительной сигнализации (при наличии переезда в горловине станции).

В случае невозможности установки маршрута при неисправности одного и/ или нескольких элементов, принадлежащих данному маршруту, функция Ь9 в маршруте отправления с пути 1П считается реализованной в системе ЭЦ данной станции.

4. Подобным образом, рассмотрим проверку закрытого состояния враждебных светофоров, на примере строки 68 (см. Приложение И, табл. И.3) функции Ь27 с 1ёМ = 30 по светофорам 4939, 4874, 4929, 4935, 4930, 4924, 4800, 4799, которая описывается в электронном журнале проверок следующим текстовым материалом:

Для станции S1 с утвержденным схематическим планом (см. Приложение А1 ) и утвержденной таблицей взаимозависимости стрелок и сигналов (см. Приложение Б) необходимо для проверки функции безопасности Ь27 по маневровому маршруту от светофора М23 до 7 пути убедиться, что установка маршрута и открытие сигнала светофора не происходит в 8-и разделенных реализациях:

a) При открытом состоянии враждебного светофора М2;

b) При открытом состоянии враждебного светофора М13;

c) При открытом состоянии враждебного светофора М11;

ё) При открытом состоянии враждебного светофора М23;

е) При открытом состоянии враждебного светофора М17;

При открытом состоянии враждебного светофора ЧМ1;

§) При открытом состоянии враждебного светофора НМ1Б;

И) При открытом состоянии враждебного светофора НМ2Б;

В случае невозможности установки маршрута при условии наличия открытого светофора враждебного маршрута данному, функция Ь27 в маневровом маршруте от светофора М23 до 7 пути считается реализованной в системе ЭЦ данной станции.

Аналогичным образом, на базе карт технологического процесса проверок функций безопасности, необходимо обеспечивать реализацию и экспертизу всех строк предлагаемой автором спецификации СПВБ.

В этом состоит главная задача обеспечения функциональной безопасности систем ЭЦ на всех этапах ЖЦС.

Другим важным направлением обеспечения функциональной безопасности является решение является проблемы защиты от опасных ошибок в объектной технической документации (ОТД) и действующих системах ЭЦ.

4.2 Опасные ошибки как источник рисков в реализации стратегии

функциональной безопасности

Классификация опасных событий ОС, приведенная в разделах 1.2 и разработанная методика синтеза спецификаций функций безопасности СПБб, позволяет решить проблему обеспечения функциональной безопасности систем на базе предложенной автором стратегии, приведенной на рисунке 3.1.

При этом реализуются 3 связанных между собой задачи:

— синтез функционально полной спецификации функций безопасности СПББ;

— реализация всех функций безопасности из списка СПБб на всех этапах жизненного цикла систем (ЖЦС);

— экспертиза этой реализации на всех этапах ЖЦС, включая этапы опытной и постоянной эксплуатации систем.

В этом суть предлагаемой стратегии. В данном разделе необходимо обсудить основные риски в ее реализации на железнодорожном транспорте (станции оборудованной системами ЭЦ) в заданных условиях эксплуатации.

Первая категория рисков состоит в обоснованности полноты списка функций безопасности, входящих в спецификацию СПБб. Нет ли в нем пропусков функций, устраняющих последствия новых, возможно неучтенных опасных событий?

Данные риски устраняются следующими свойствами предлагаемой стратегии:

— при каждом новом проектировании систем ЭЦ на конкретном объекте, на этапе утверждения технического задания рассматривается обновленная статистика отказов, происшествий, все новые технологические и технические особенности объекта и утверждается (актуализируется) дополненный базовый набор функций безопасности Бд, определенный в разделе 2;

— в случае необходимости введения дополнительных функций безопасности, они включаются в список Вд и корректируются алгоритмы А3, А4, А5, А6 привязки новых базовых функций к объектам станции.

Вопросы внесения изменений и дополнений в базовый набор Вд (раздел 2) должны решаться головным проектным институтом аналогично изменениям в проектировании таких документов, как СПС и ТВЗ станции. Такое решение позволяет свети указанные риски к минимуму

Вторая категория рисков в предлагаемой стратегии определяется возможностью ошибок в процессе ее реализации и экспертизы.

Вопросами анализа ошибок в проектной технической документации на системы ЖАТ, изготовления оборудования на заводах, строительства и ПНР на объектах, а также в процессе эксплуатации анализировались многими авторами [44, 45].

Классификации ошибок, определение понятия ошибки в ЖАТ, методы их обнаружения и устранения многообразны [44, 45] и не имеют конкретизации понятия «ошибка».

Однако, в нашем случае, при решении задач функциональной безопасности, можно ввести более четкое и конкретное определение ошибки в системе ЭЦ, актуальное при решении поставленной задачи.

Такое определение дано автором в разделе 1.2 (стр 16) при классификации опасных событий (Определение 3).

Учитывая введенное понятие спецификации функций безопасности СПВБ, как нормативного документа, определяющего полный список функций безопасности станции Б, оборудованной системой ЭЦ, можно уточнить понятие опасной ошибки.

Определение 6. Опасной ошибкой в объектной технической документации и действующей системе ЭЦ является любое нарушение (невыполнение) требований спецификации функций безопасности СПВБ.

Следовательно, любое нарушение выполнения (или невыполнение) какой-либо функции безопасности Ы из списка СПБб является опасной ошибкой.

В соответствии с предложенной классификацией опасных событий (раздел 1.2) опасная ошибка (ООШ) относится к 1 классу опасных событий (ОС-1), которые приводят систему ЭЦ в опасное техническое состояние, при котором в определенном технологическом состоянии станции (установка, реализация, отмена или разделка маршрутов) может произойти опасный отказ в движении поездов, описанных на рисунках 1.1 и 1.2.

Опасные ошибки (ООШ), как следствие действия людей, участвующих в процессах жизненного цикла систем ЭЦ (проектировщики. изготовители аппаратуры, строители, специалисты проведения ПНР, оперативный персонал станции, инженеры по эксплуатации и техническому обслуживанию устройств ЭЦ) исследовались автором в ряде работ [8, 67, 68], по которым можно сделать следующие выводы и предложения.

1. В работе автора [8] определяется понятие опасной ошибки в технической документации и действующих системах ЖАТ, которые по причине (источнику) возникновения разделяются на 2 класса:

— Опасные ошибки случайные (ООШ-С);

— Опасные ошибки умышленные (ООШ-У).

Случайные опасные ошибки (ООШ-С) могут возникать как в технической документации, так и в действующей системе на всех стадиях её ЖЦС. Эти ошибки носят случайный характер и обусловлены невнимательностью, недостаточной квалификацией и ответственностью исполнителей, при высоком эмоциональном и нервном напряжении людей; по причине так называемого «человеческого фактора».

Это могут быть ошибки инженера-проектировщика технической документации, изготовителей деталей и узлов систем управления на производстве; строителей и наладчиков при выполнении пуско-наладочных работ на объекте внедрения; ошибки оперативного персонала при управлении движением поездов

(ДСП, ДНЦ, машиниста и т.п.); ошибки обслуживающего персонала при выполнении профилактических и ремонтных работ на устройствах ЖАТ.

На всех перечисленных стадиях ЖЦС в настоящее время отработаны соответствующие системы нормконтроля, выходного контроля и экспертизы выпускаемой продукции, и эксплуатируемого оборудования систем управления.

С точки зрения указанного класса ООШ-С все перечисленные системы должны реализовывать предложенную автором стратегию обеспечения функциональной безопасности, приведенную на рисунке 3.1, (см. раздел 3.1), гарантирующую обнаружение и устранение заданного класса ООШ-С.

Умышленные опасные ошибки (ООШ-У), определены автором [8] как особый класс целенаправленных (планируемых) ошибок, реализация которых направлена на нарушение условий безопасности движения поездов.

Проникновение ООШ-У в действующие современные системы ЭЦ возможно только с участием специалистов высокой квалификации, имеющих доступ непосредственно к устройствам АПК, что практически исключено при использовании современных технологий внедрения и специальных методов резервирования и избыточного кодирования на уровне микрокоманд [8].

Методы защиты от таких воздействий решаются специальными средствами безопасности от кибератак, актов диверсий и вандализма.

Открытым остаётся вопрос проникновения ООШ-У в действующие устройства ЖАТ через электронную техническую документацию, на базе которой создается и эксплуатируется система ЭЦ.

4.3 Характеристика объектной технической документации на системы ЭЦ

При анализе возможностей проникновения опасных ошибок в действующие системы ЭЦ необходимо учитывать следующие характеристики объектной технической документации (ОТД) на эти системы, описанные на рисунке 4. 2

В работах автора [8, 67, 68] показано, что исполненная объектная техническая документация (ОТД) на системы ЭЦ имеет ограниченный список типов документов (10-20 основных типов схем), которые в бумажном формате А4 занимают объем 105-106 листов в расчете на одну дистанцию СЦБ (ШЧ). Компьютерные технологии ведения этой документации в настоящее время сводятся к созданию электронных баз технической документации (БДТД) и использованию электронной почты для обмена и согласования. Все ответственные операции утверждения и внесения изменений выполняются только в бумажной версии в соответствии с инструкцией по ее ведению [38].

Эта инструкция в достаточной мере обеспечивает защиту от опасных ошибок применения бумажной ОТД широким кругом пользователей на дорогах ОАО «РЖД».

Бумажная ОТД выполняет роль идеального эталона системы ЭЦ, по отношению к которому регулярно выполняется технологическая операция сверки [38] с действующим объектом и внесением в него соответствующих изменений. Любое несоответствие объекта (системы ЭЦ) его эталону (ОТД) считается дефектом объекта [70] и требует его устранения.

Все технологические операции в процессе ЖЦС выполняются на базе ОТД, начиная с вопросов проектирования и заканчивая задачами реальной эксплуатации. Задачи мониторинга технического состояния, диагностики отказов, технического обслуживания и ремонта устройств, их модернизации и реконструкции, а также приведения устройств ЭЦ в соответствие с ОТД решаются только на основе объектной документации.

Рисунок 4.2. Характеристики объектной технической документации систем ЭЦ

В указанных работах автора показано, что особую сложность в задачах контроля и диагностики ошибок в ОТД на системы ЭЦ вызывают вопросы выявления ошибок в электрических монтажных схемах и их соответствия принципиальным электрическим схемам, а также в прикладном программном обеспечении микропроцессорных систем ЭЦ.

В этих же работах [8, 67, 68] показано, что наибольшее количество ошибок допускается при проведении пуско-наладночных работ из-за недостаточности ресурсов и внесении изменений в действующие устройства в режимах модернизации и реконструкции.

Перечисленные проблемы связаны (вызваны) низким уровнем автоматизации выполнения технологических операций проектирования и отсутствием средств автоматизированной экспертизы.

Массовый переход в настоящие время на электронную техническую документацию (ЭТД) в значительной степени расширяет возможности внесения умышленных опасных ошибок (ООШ-У) в ЭТД.

Эти возможности обусловлены:

1. Расширением круга объектов проникновения к электронной ОТД.

В работах автора [67] к таким объектам отнесены: ПК инженеров-электромехаников (20-30 тыс. человек занимающихся эксплуатацией систем ЭЦ); ПК инженеров групп технической документации ШЧ, ШЛ, Ш, занимающихся содержанием ОТД; ПК инженеров-проектировщиков и других участников ЖЦС; электронные базы технической документации (БДТД) на серверах проектных институтов, ШЧ, Ш и ЦШ; каналы связи всех пользователей и разработчиков ЭЦ.

2. Большим набором вариантов проникновения к базам технической документации БДТД, описанных автором в работе [67].

3. Применением специальных методов маскировки опасных ошибок [69].

4. Возможностью экспертизы электронной ОТД только на базе цифровых моделей этой документации и отсутствием соответствующего ПО.

4.4 Методы защиты от опасных ошибок в технической документации

Указанные характеристики объектной технической документации в настоящий переходной период ее ведения и сопровождения (от бумажной версии к электронной) позволили автору в работах [8, 67] определить наиболее вероятный и потенциально опасный вариант внесения умышленных опасных ошибок в электронную ОТД, а следовательно и действующую систему ЭЦ, определенный автором как опасное «кибернарушение».

Определение 7. Под опасным кибернарушением (ОКН) понимается любое несанкционированное воздействие на электронную ОТД программными средствами с целью внесения умышленной опасной ошибки (ООШ-У, см. определение 6).

Опасное кибернарушение (ОКН) характеризуется следующими особенностями:

1. Заключается в умышленном внесении опасной ошибки в электронную версию ОТД с целью ее дальнейшего переноса в действующую систему ЭЦ и нанесением максимального ущерба в работе железнодорожного транспорта (опасного отказа в движении поездов).

2. Имеет широкий фронт возможностей для проникновения в процессы проектирования, производства, строительства, монтажа и эксплуатации действующих систем ЭЦ, которые используют в качестве эталона электронную ОТД. (см. п.4.3). Установить точно круг участников и их роль в этом процессе достаточно сложно.

3. Носит скрытый характер и исключает непосредственное воздействие на устройства ЭЦ, которое осуществляется на основе действующих технологий применения ОТД в качестве эталона.

4. Имеет сложный способ определения технологического состояния объекта управления (станции с движущимися поездами по маршрутам в режиме У, Р, О, И), при котором опасное техническое состояние системы управления (система

ЭЦ с опасной ошибкой) приведет к опасному отказу объекта управления (крушению поездов).

5. Создает условия большей сложности обнаружения умышленной опасной ошибки (ООШ-У) до момента ее проявления, за счет специальных методов ее маскировки [69].

Приведенные характеристики опасных кибернарушений, предложенные автором, свидетельствуют об их высокой потенциальной опасности и необходимости более подробного изучения. В работе автора [67] исследованы варианты проведения кибератак и кибернарушений на электронные базы ОТД (БДТД) и сделаны выводы:

— Кибератаки на электронные БДТД типа «хакерские атаки», атаки типа «вирус» и другие варианты могут приводить к разрушению ПО баз данных, потере управления и блокировке работы систем в «защитном» состоянии, разрушению и краже баз данных.

— Наиболее опасны кибератаки типа «опасные кибернарушения» (см. определение 7), приводящие к скрытому нарушению алгоритма работы системы управления и созданию ситуации, приводящей к опасному отказу в управлении движением.

В это же работе автора [8, 67] описаны варианты проведения кибернарушений на объект проникновения, которые согласуются с известными фактами.

Важнейшее значение для разработки мер защиты от ОКН играет анализ возможных вариантов сценария их подготовки (планирования) и реализации в процессе эксплуатации действующих систем.

Пример сценария подготовки кибернарушения приведен автором в работе [8] и включает решение следующих вопросов:

1. Определение варианта этапа жизненного цикла системы ЭЦ, на котором планируется внесение ООШ-У в техническую документацию.

При этом из многих возможных вариантов наиболее вероятными могут быть следующие:

1.1 Внесение ООШ-У (или группы ошибок) на этапе проектирования ОТД в проектном институте.

1.2 Внесение ООШ-У на этапе проведения пуско-наладочных работ при введении системы в эксплуатацию.

1.3 Внесение ООШ-У в процессе эксплуатации систем при ее модернизации, реконструкции и внесени любых изменений и дополнений в ОТД.

Каждый из вариантов имеет свои особенности и методы внесения ООШ-У. Вариант 1.1 требует разработки специальных мер маскироваки ООШ-У для исключения обнаружения ошибки средствами нормконтроля и экспертизы на дальнейших этапах ЖЦС. Варианты 1.2 и 1.3 планируются в расчете на несовершенство технологий проведения ПНР и внесения изменений в ОТД.

2. Определение вариантов организации передвижения поездов на станции, требующих обязательной реализации определенных функций безопасности.

При этом анализируются такие общедоступные документы станции как таблицы взаимозависимостей стрелок и сигналов, технико-распорядительные акты, протоколы движения поездов (так называемые «черные ящики»). На основании этих документов устанавливаются наиболее часто встречающиеся технологические ситуации и маршруты передвижений при реализации которых необходима проверка определенных функций безопасности.

Например, маршруты пропуска скорых поездов с закрытием переездов; типовые варианты маневровых маршрутов, враждебные интенсивным поездным маршрутам и т.п.

3. На основе выполненного анализа п.2 устанавливаются функции безопасности Ы, которые наиболее интенсивно реализуются на станции, технологические ситуации по графику движения (п.2), при которых происходит эта

реализация и окончательно устанавливается список возможных ООШ-У и последствий его реализации.

4. На основании реализации п.1-3 данного сценария подготовки к проведению кибернарушения по выбранному списку ООШ-У, строится сценарий проведения кибернарушения.

В общем виде сценарий проведения кибернарушения описан автором в работе [8] и представлен на рисунке 4.3, где учтены изложенные выше особенности (специфика) электронной ОТД:

5. При проектировании ОТД (блок 1) наиболее эффективно могут быть использованы средства маскировки ООШ-У в монтажных электрических схемах (МЭС) и прикладном программном обеспечении (ППО). Не обнаруженные ООШ-У на этом этапе переходят на базе передаваемой ОТД на этапы производства и строительства объекта.

6. На втором этапе (блок 2) возможна повторная генерация ООШ-У в передаваемую ОТД и действующие блоки и устройства ситсем ЭЦ (блоки, стативы, панели управления, кабельные сети напольного оборудования и постов централизации и т.п.)

7. На этапе проведения ПНР (блок 3) и сдачи системы в опытную эксплуатацию с привлечением инженеров-проектировщиков, бригад наладчиков и регулировщиков устройств, когда необходимо одновременно вносить изменения в проектную ОТД и действующие схемы. Создается ситуация наиболее опасная для внесения ООШ-У и исключения их обнаружения при реализации типовых методик испытаний (ТМИ). Учитывая ограниченный ресурс времени и сил на этом этапе, необходимо особенное внимание сосредоточить на проверке всех условий безопасности, описанных в СПВБ.

Рисунок 4.3. Вариант сценария проведения кибернарушения

8. На этапе постоянной эксплуатации систем ЭЦ (Блок 4) наиболее опасным для внесения ООШ-У в исполнительную ОТД и действующие устройства ЭЦ являются ситуации, связанные с задачами реконструкции, модернизации систем ЭЦ и любыми другими видами внесения изменений в исполнительную ОТД. Технология обеспечения безопасности при работах с электронной документацией в режимах внесения изменений требует решения ряда организационных и программно-технических вопросов.

Общий анализ приведенного сценария планирования (п.1-4) и проведения (п.5-8) опасного кибернарушения электронной объектной технической документации позволяет автору предложить следующий набор защитных мероприятий.

Предложенный автором комплекс защитных мероприятий в работах [8, 67, 68,71] можно разделить на 2 основные группы.

4.4.1 Организационно-методические методы защиты электронной ОТД от опасных кибернарушений

Организационно-методические методы защиты описаны автором в работах [8, 71] и являются неотъемлемой частью защиты от кибератак системы интеллектуального электронного документооборота (СИЭД) разрабатываемой и активно внедряемой на сети дорог ОАО «РЖД». Эти методы ориентированы на стандартные решения [72, 73, 74], обязательные для всех организаций и всех видов электронной документации.

К ним относятся задачи:

1. Перехода на использование только отечественного ПО в системах электронного документооборота.

2. Внедрения электронной цифровой подписи по всем типам ОТД для систем обеспечения безопасности.

3. Внедрения систем корпоративного кодирования информации электронной документации при передаче по канал связи.

4. Внедрения систем защиты и резервирования баз данных ОТД.

5. Разработки и внедрения новой специализированной инструкции по ведению электронной ОТД, включающей раздел защиты от опасных кибернарушений.

Все эти вопросы частично внедрены, по предположениям автора, на сети дорог в АРМах ведения технической документации (АРМ ВТД, внедрено на сети ОАО «РЖД» более 4000 рабочих мест) и в проектных организациях (АРМ ПТД, внедрено больше 600 АРМ ПТД). Однако, окончательное решение по этим вопросам должно быть принято на этапе внедрения системы СИЭД при полном переходе на электронный документооборот.

Особенно следует подчеркнуть необходимость утверждения новой инструкции по ведению электронной ОТД, которая, по сравнению с действующей [38], должна строго регламентировать вопросы защиты от кибератак и кибернарушений.

Предложения автора по этому вопросу изложены в работе [68], где определены основные требования по автоматизации экспертизы электронной ОТД:

— структуризации базы данных электронной документации БДТД;

— необходимости ведения электронных баз в едином универсальном электронном формате (УФТД);

— хранению всей ОТД в единой резервированной БДТД службы автоматики и телемеханики (БДТД-Ш);

— строгого разграничения прав доступа участников ЭДО, особенно к хранению контрольного экземпляра ОТД только на базе технологии ЭЦП;

— применению специальной технологии внесения изменений в действующую электронную документацию.

Рисунок 4.4 Технология внесения изменений в действующую ОТД

Эта технология предложена автором и описана специальным алгоритмом, представленным на рисунке 4.4, [68] исключающим внесение опасной ошибки (ООШ) в ОТД и действующую систему ЭЦ в любых режимах реконструкции и модернизации схем.

4.4.2 Программно-технические методы защиты ОТД от опасных ошибок

Программно-технические методы защиты от кибернарушений изложены автором в [71] и включены в техническое задание на разработку системы интеллектуального электронного документооборота (СИЭД).

В настоящее время коллективом НТЦ САПР ПГУПС и фирмой ООО «ИМСАТ» завершается разработка этой системы (СИЭД), которая ведется с учетом следующих предложений и разработок автора [71].

1. Обеспечение наглядности ведения электронного документооборота в группах технической документации ШЧ и Ш, включая задачи фиксации данных получения документа, учета времени задержки у исполнителей, комментарии причин задержки, создание наглядной структуры подразделений, контроля системы оперативного доступа к контрольному экземпляру в БДТД-Ш ([71] СИЭД, задача 17).

При условии надежного хранения контрольного экземпляра документа в БДТД-Ш, наличия электронной подписи и процедуры периодической сверки любого «рабочего» электронного экземпляра с контрольным, внесение любой ошибки в документы исключается, а в случае ее обнаружения электронная подпись на «рабочем» экземпляре теряется. Для внесения изменений в контрольный экземпляр документа автором предлагается специальная технология [68].

2. Разработка системы контроля изменений и дополнений ОТД на всех стадиях ЖЦС, включая задачи ведения электронного каталога всех типов ОТД; контроля внесенных изменений по всем документам на каждом этапе ЖЦС; создания копии изменений документа и оснований для их внесения ([71] СИЭД, задача 22).

При условии реализации этой задачи, контроль за лицами вносящим любые изменения и причинами возможных ошибок становится наглядным для контролера

(руководителя соответствующего уровня) даже если он работает с цифровыми моделями документов.

3. Автоматизация построения программ полной функциональной проверки систем ЭЦ, включая задачи автоматического синтеза цифровой модели спецификации функций безопасности СПБб и синтеза на ее основе программ функциональной проверки систем ЭЦ (см. раздел 3); задачи автоматизации построения и ведения в процессе пуско-наладочных работ электронного журнала испытаний (ЭЖИ) [63], обеспечивающего доказательство исключения в системе опасных ошибок и полноты проверок всех функций безопасности ([71], СИЭД задача 14).

Технология разработки и ведения ЭЖИ предложена в диссертации М.А. Гордона [63] и может быть эффективно использована для обнаружения ООШ при включении в нее раздела по проверке всех функций безопасности СПБб, а, следовательно, и обнаружения на стадии ПНР всех опасных ошибок в ОТД и системе ЭЦ.

4. Автоматизация экспертизы отдельных документов ОТД, представленных цифровыми моделями в универсальном электронном формате, позволяет проводить автоматическую экспертизу отдельных схем ЖАТ и документов с целью:

— проверки соответствия всех типов документов универсальному отраслевому формату (УФТД);

— проверки соответствия всех типов документов контрольному экземпляру, хранящемуся в БДТД-Ш;

— проверки соответствия разных типов документов между собой;

— проверки соответствия документов НСТД, указаниям ГТСС и ТЗ.

А также проверочные расчеты параметров рельсовых цепей и переездной сигнализации.

Задачи автоматизации экспертизы отдельных документов, поставлены автором в работе ([71], СИЭД задача 15) и успешно решаются разработками СИЭД.

Решение проблемы автоматизации экспертизы электронной ОТД позволяют обнаруживать и устранять ООШ на любой стадии ЖЦС систем ЭЦ.

5. Разработка программного комплекса экспертизы реализованных проектов ЭЦ на совокупности цифровых моделей отдельных документов ([71], СИЭД задача 23).

Это предложение автора позволяет производить экспертизу систем ЭЦ «в сборе» путем объединения цифровых моделей отдельных документов ОТД. При этом строится машинная имитационная модель действующей системы ЭЦ, включающая:

— СПС с ординатами оборудования;

— ДПС с параметрами напольного технического оборудования;

— цифровая модель ТВЗ;

— цифровая модель принципиальных электрических схем увязки с объектами;

— цифровая модель прикладного ПО;

— модель действий ДСП, машинистов и движения поездов;

— цифровые модели программы полной функциональной проверки системы ЭЦ и электронного журнала проведения испытаний (ЭЖИ) методом имитационного моделирования.

Структурная схема такой модели предложена в работе М.А. Гордона [63], а теоретические основы ее построения заложены в докторской диссертации профессора М.Н. Василенко [54].

В случае решения этой задачи в рамках создания СИЭД, проблема экспертизы всего комплекса ОТД решается эффективно с обнаружением всех опасных ошибок в технической документации и в действующих системах.

1. На основе предложенной стратегии обеспечения функциональной безопасности доказана эффективность применения спецификации функций безопасности на всех этапах жизненного цикла систем ЭЦ.

2. Введено понятие опасной ошибки в технической документации и системах ЭЦ в качестве возможного источника опасных отказов на железнодорожном транспорте.

3. Показано, где наибольшую опасность представляют умышленные опасные ошибки в объектной технической документации и системах ЭЦ.

4. Доказано, что наибольшие риски несут умышленные опасные ошибки в результате кибернарушений электронной технической документации.

5. Предложенна система защиты от опасных кибернарушений при ведении электронной документации на устройства безопасности, включая организационно-методические и программно-технические методы.

6. Методы защиты от опасных кибернарушений разработаны автором на основе предложенной спецификации функций безопасности, опубликованы в полном объеме и включены в техническое задание действующих и перспективных систем электронного документооборота железнодорожной автоматики и телемеханики.

В диссертационной работе показано достижение основной цели исследования процессов анализа и синтеза функциональной безопасности систем электрической централизации стрелок и сигналов с автоматизацией построения спецификаций функций безопасности станции.

Проведенные в работе теоретические и экспериментальные исследования позволяют сделать следующее заключение:

1. Предложенная классификация опасных состояний позволила систематизировать базовый набор функций безопасности и произвести его дополнение с учетом современного состояния вопроса.

2. Выполненный анализ реализаций функций безопасности станционных систем автоматики на современной этапе развития систем ЭЦ позволил выполнить дополнение списка функций безопасности и предложить их привязку к цифровым моделям схематического плана станций.

3. Эта привязка выполнена на основе семантических и синтаксических средств языка путевых объектов в виде специальных выражений этого языка (формул) для всех функций безопасности.

4. Впервые введено понятие спецификации функций безопасности для систем ЭЦ заданной станции, и поставлена задача автоматизации построения спецификаций.

5. Программная реализация задачи автоматизированного синтеза спецификаций функций безопасности получена на базе разработанных автором алгоритмов (А1 -А6).

6. Экспертиза цифровой модели спецификаций проводилась на базе цифровых моделей 3 станций, заданных цифровыми моделями схематического плана и таблицы взаимозависимостей стрелок и сигналов этих станций. Проверка адекватности проверяемых функций безопасности выполнялась на базе типовых методик испытаний этих станций.

7. Определены области эффективного применения спецификаций функциональной безопасности на всех этапах жизненного цикла систем ЭЦ.

8. Установлены основные риски в реализации и экспертизе функций безопасности, связанные с понятием умышленных опасных ошибок в технической документации и их внесением в действующие системы ЭЦ.

9. Разработан комплекс мероприятий по недопущению и обнаружению умышленных опасных ошибок.

10. Предложения по синтезу спецификаций функций безопасности и обеспечению функциональной безопасности систем ЭЦ частично реализованы в АРМах ведения и проектирования технической документации на сети дорог ОАО «РЖД», включены в техническое задание на разрабатываемую систему интеллектуального электронного документооборота (СИЭД) и научно-исследовательскую работу по заданию ОАО «РЖД» на тему «Исследование методов автоматизированного синтеза программ полной функциональной проверки систем ЖАТ».

АБ - автоблокировка

АЛС - автоматическая локомотивная сигнализация АПК - аппаратно-программный комплекс АПС - автоматическая переездная сигнализация АРМ - автоматизированное рабочее место

АРМ ВТД - Автоматизированное рабочее место ведения технической документации

АРМ ПТД - Автоматизированное рабочее место проектировщика технической документации

БДТД - электронные базы технической документации

БД-Ш - База данных по хозяйству Ш

БНФБ - базовый набор функций безопасности

ДНЦ - поездной участковый (узловой) диспетчер

ДПС - двухниточный план станции

ДСП - дежурный по станции

ДЦ - диспетчерская централизация стрелок и сигналов

ЖАТ - железнодорожная автоматика телемеханика

ЖЦС - жизненный цикл системы

КГУ - контрольно-габаритные устройства

КТСМ - комплекс технических средств модернизированный

ММА - множество всех маневровых маршрутов

МОТ - множество всех маршрутов отправления

МПЕ - множество всех маршрутов передачи

МПР - множество всех маршрутов приема

МЭС - монтажные электрические схемы

НСТД - нормативно-справочная техническая документация

НТО - напольное технологическое оборудование

ОБП - обслуживающий персонал систем электрической централизации

ООШ - опасная ошибка

ООШ-С - опасная ошибка случайная

ООШ-У - опасная ошибка умышленная

ОПП - оперативный персонал станции

ОС - опасное событие

ОТД - объектная техническая документация

ОУ - объект управления

ОФТД - отраслевой формат технической документации

ПЕР - железнодорожный переезд на изолированном участке станции

ПК - персональный компьютер

ПНР - пуско-наладочные работы

ПНФБ - полный набор функций безопасности

ПО - программное обеспечение

ПОП - приемо-отправочный путь

ППО - прикладное программное обеспечение

ПТЭ - правила технической эксплуатации железных дорог

С1— стрелочная секция с одной стрелкой

С2 - стрелочная секция с двумя стрелками

С3 - стрелочная секция с тремя стрелками

САПР - система автоматизированного проектирования

СИЭД - система интеллектуального электронного документооборота

СПС - схематический план станции

СТ - изолирующий стык в створе со светофором и без них

СТУ - стационарный тормозной упор

СЦБ - сигнализация, централизация, блокировка

ТВЗ - таблица взаимозависимости положения стрелок и сигналов

ТЗ - техническое задание

ТМИ - типовая методика испытаний

ТУП - тупик или любая другая нецентрализованная зона

УБД - условия безопасности движения

УКСПС - устройство контроля схода подвижного состава

УПУ - участок приближения удаления

УФТД - универсальный формат технической документации

ЦМ - цифровая модель

ЦМСПС - цифровая модель схематического плана станции ЦМТВЗ - цифровая модель таблицы взаимозависимости положения стрелок и сигналов

ЦШ - управление сигнализации, централизации и блокировки ОАО «РЖД»

Ш - служба сигнализации, централизации и блокировки дороги

ШЛ - дорожная лаборатория автоматики, связи и информатики

ШЧ - дистанция сигнализации, централизации и блокировки

ЭДО - электронный документооборот

ЭЖИ - электронный журнал испытаний

ЭТД - электронная техническая документация

ЭЦ - электрическая централизация

ЭЦП - электронная цифровая подпись

ЯПО - язык описания путевых объектов

1. НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ГОСТ Р МЭК 61508-4-2012. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ.

2. МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ. ГОСТ 33894-2016. СИСТЕМЫ ЖЕЛЕЗНОДОРОЖНОЙ АВТОМАТИКИ И ТЕЛЕМЕХАНИКИ НА ЖЕЛЕЗНОДОРОЖНЫХ СТАНЦИЯХ. Требования безопасности и методы контроля.

3. МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ. ГОСТ 33432-2015. ПОЛИТИКА, ПРОГРАММА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ДОКАЗАТЕЛЬСТВО БЕЗОПАСНОСТИ ОБЪЕКТОВ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА. Безопасность функциональная.

4. Труды по теории синтеза и диагноза конечных автоматов и релейных устройств / Под ред. В. В. Сапожникова, Вл. В. Сапожникова - СПб.: «Элмор», 2009 - 900 с.

5. Ефанов Д. В. Теория и методы функционального диагностирования логических устройств железнодорожной автоматики и телемеханики на основе использования помехоустойчивых кодов с суммированием: диссертация на соискание ученой степени кандидата технических наук / Петербургский государственный университет путей сообщения. Санкт-Петербург, 2017 - 316с. : ил.

6. Ковкин А. Н. Методы и модели обеспечения технической эффективности силовой аппаратуры управления устройствами железнодорожной автоматики и телемеханики: диссертация на соискание ученой степени кандидата технических наук / Петербургский государственный университет путей сообщения. Санкт-Петербург, 2020 - 347с. : ил.

7. Гавзов Д. В., Сапожников В. В., Сапожников Вл. В. Методы обеспечения безопасности дискретных систем // Автоматика и телемеханика. 1994 -№8. - С.3-50.

8. Василенко М. Н., Бубнов В. П., Булавский П. Е., Василенко П. А. Ошибки в технической документации железнодорожной автоматики и телемеханики и их влияние на безопасность движения поездов // Автоматика на транспорте. 2019. №1. Том 5. С. 94-112.

9. Лисенков В.М. Безопасность ответственных технологических процессов и технических средств на транспорте // Автоматика, телемеханика и связь. 1992. №1. С. 8—11.

10.Сапожников В.В., Сапожников Вл.В., Гавзов Д.В., Марков Д.С. Методы и средства оценки и обеспечения безопасности систем железнодорожной автоматики // Автоматика, телемеханика и связь. 1992. №1. С. 4—7.

11.Согомонян Е.С., Слабаков Е.В. Самопроверяемые устройства и отказоустойчивые системы. М.: Радио и связь, 1989.

12.Переборов A.C., Сапожников В.В., Сапожников Вл.В., Лопуха А.Л. О построении схем электрической централизации по плану станции // Тр. Ленинградского ин-та инженеров ж.-д. трансп. Л., 1973. Вып. 353. С. 44—51.

13.Дрейман О.К., Гавзов Д.В., Илюхин М.В. Сопряжение микропроцессорных систем железнодорожной автоматики с напольными объектами // Автоматика, телемеханика и связь. 1990. №12. С. 14—17.

14.Христов Х.А., Иванов Э.Б. Специфичен интерфейс на микрокомпютърни гарови централизации // Железопътен транспорт. 1985. №6. Р. 18-22 (болг.).

15.Дрейман O.K., Гавзов Д.В., Илюхин М.В. Бесконтактные устройства сопряжения микропроцессорных систем железнодорожной автоматики с напольными объектами И Автоматика, телемеханика и связь. 1991. №1. С. 12— 14.

16.Сапожников В.В., Кравцов Ю.А., Сапожников Вл.В. Дискретные устройства железнодорожной автоматики и телемеханики. М.: Транспорт, 1988.

17.Henley E.J., Kumamoto Н. Design for Reliability and Safety Control. N.Y.: Prentice Hall, Inc. Englewood Cliffs, 1985.

18.Laprie J.C. Dependability modeling of safety systems H Mikroelectroniks and Reliability. 1982. V. 22. №5. P. 14—19.

19.Takaoka T., Ibaraki T. N-fail safe sequential machines // IEEE Trans. Computer. 1972. V. 21. №10. P. 1192—1196.

20.Diaz М., Azema Р., Ayache Y.M. Unified design of self-checking and fail-safe combinational circuits and sequential machines H IEEE Trans. Computer. 1979. V. 28. №3. P. 276—281.

21.Sawin D.N., Maki G.K. Fail-safe asynchronous Sequential machines // IEEE Trans. Computer. 1975 V. 24. №6. P. 675—677.

22.Nara A., Fukinuki T. A failsafe logic system utilizing core transistor logic elements H IEEE Trans. Ind. Electron, and Control Instrum. 1971. V. 18. №3. P. 77—85.

23.Bartczak M. Fail-Safe-Schaltung zur Verbindung der Tingage eines Mikroprozessors mit Kon- taktelementen // Signal and Schiene. 1988. №6. P. 224—226.

24.Eue W., Gronemeyer M. S1MIS-C — Die Kompaktversion des Sicheren Mikrocomputers- tems SIMIS // Signal und Draht. 1987. V. 79. №4. P. 81—85.

25.Rutherford D.B. Fail-safe microprocessor interlocking — an application of numerically integ-rated safety assurance logic // Int. Conf. Railway Safety Control and Automation towards the 21st cen-tury. London, 1984. P. 72—76.

26.Delpy A., Schiwer W. Problem des Sicherheitsnach weises beim Einsatz von Prozessrechnem in der Eisenbahn signal // Signal and Draht. 1971. №11. P. 175—183.

27.Lohmann H.-J., Zillmer A. Safety principale and fail-safe analysis of electronic interlocking devices and practical realization of electronic interlocking // International

Conference "Railway Safety Control and Automation towards the 21st century". London, 1984. P. 41—48.

28.Cribbens A.H. The solid state interlocking // International Conference "Railway Safety Cont-rol and Automation towards the 21st century". London, 1984. P. 24—29.

29.WobigK.-H. Fail-safe microcomputer systems for railway signalling-problems and possibiliti-es // International Conference "Railway in the electronic age", 1981. P. 164—168.

30.Системы автоматики и телемеханики на железных дорогах мира: учебное пособие для вузов ж.д. транспорта / Пер. с англ.; Под. Ред. Г. Теега, С. Власенко. - М.: Интекст - 2010 - 496 с.

31. Методы построения безопасных микроэлектронных систем железнодорожной автоматики / В. В. Сапожников, Вл. В. Сапожников, Х.А. Христов, Д. В. Гавзов; Под ред. Вл. В. Сапожникова. М.: Транспорт, 1995. 272 с.

32.Сертификация и доказательство безопасности систем железнодорожной автоматики / В. В. Сапожников, Вл. В. Сапожников, В. И. Талалаев и др.; Под ред. Вл. В. Сапожникова. М.: Транспорт, 1997. 288 с.

33.Синтез самодвойственных дискретных систем / В. В. Сапожников, Вл. В. Сапожников, Р. Ш. Валиев, ЭЛМОР, 2006, 220 с.

34.Siemens Transportation Systems: The MSR 32 Microcomputer System. Greater Efficiency and Safety for Freight Transport. 2008.

35. Theeg, G.; Maschek, U.: Analyse Europaischer Signalsysteme. In: Signal+Draht 6/2005.

36. Основы проектирования электрической централизации промежуточных станций. / В. А. Кононов, А. А. Лыков, А. Б. Никитин 2003г.

37. Микропроцессорные системы централизации: учеб, для техникумов и колледжей ж.-д. трансп. / Вл. В. Сапожников, В. А. Кононов, С. А. Куренков, А.

А. Лыков, О. А. Наседкин, А. Б. Никитин, А. А. Прокофьев, М. С. Трясов; Под ред. проф. Вл. В. Сапожникова. М.: ГОУ «Учебно-методический центр по образованию на железнодорожном транспорте», 2008. 398 с.

38. Инструкция по ведению технической документации железнодорожной автоматики и телемеханики, утвержденной распоряжением ОАО «РЖД» от 18.08.2015 г. №2080р.

39.Справочно-аналитический материал по эксплуатационной деятельности хозяйства автоматики и телемеханики Центральной дирекции инфраструктуры по итогам работы за 12 месяцев 2016 года (к совещанию начальников служб автоматики и телемеханики, г. Владивосток, 08-09 февраля 2017 года). 57 с.

40.Железнодорожные станции и узлы: Учеб. для вузов ж.-д. трансп. /В.М. Акулиничев, Н.В. Правдин, В.Я. Болотный, И.Е. Савченко; Под редакцией В.М. Акулиничева - М.: Транспорт, 1992. - 480 с.

41. Правила технической эксплуатации российской федерации железных дорог / Министерство транспорта России, 2012

42. Инструкция по сигнализации на железнодорожном транспорте / Российской Федерации Министерство транспорта России, 2012

43. Инструкция по движению поездов и маневровой работе на железнодорожном транспорте Российской Федерации / Министерство транспорта России, 2012

44. Василенко М. Н. Кибербезопасность технической документации железнодорожной автоматики и телемеханики / М. Н. Василенко, Д. В. Зуев // Транспорт Российской Федерации. - 2015. - № 2. - С. 55-58.

45. Василенко М. Н. Кибербезопасность технической документации ЖАТ / М. Н. Василенко, Д. В. Зуев // Автоматика, связь, информатика. - 2015. - № 7. - С. 2123.

46.Манаков А. Д. Модели, методы и средства защиты электронных устройств железнодорожной автоматики и телемеханики от опасных электромагнитных

воздействий: диссертация на соискание ученой степени кандидата технических наук / Петербургский государственный университет путей сообщения. Санкт-Петербург, 2011 - 470 с. : ил.

47.Ковкин, А. Н. Централизованный контроль исправности выключенных светофорных ламп путем импульсного воздействия / А. Н. Ковкин // Автоматика на транспорте. - 2019. - Т. 5. - № 4. - С. 450-466. - Б01 10.20295/2412-91862019-5-4-450-466.

48. Никитин, А. Б. Использование функциональных преобразователей с несимметричным отказом для управления электроприводами переменного тока / А. Б. Никитин, А. Н. Ковкин // Автоматика на транспорте. - 2016. - Т. 2. - № 1. - С. 7-18.

49.Ковкин, А. Н. Проблема безопасной реализации электропитания устройств сопряжения с объектами / А. Н. Ковкин // Транспорт Урала. - 2019. - № 4(63). -С. 13-19. - Б01 10.20291/1815-9400-2019-4-13-19.

50.Манаков, А. Д. Защита резервного ввода питания устройств ЖАТ от перенапряжений / А. Д. Манаков, А. А. Трошин // Автоматика и телемеханика железных дорог России. Новая техника и новые технологии : сборник научных трудов / Петербургский государственный университет путей сообщения Императора Александра I; редактор: Вл. В. Сапожников, В. В. Сапожников, А. А. Прокофьев. - Санкт-Петербург : Петербургский государственный университет путей сообщения Императора Александра I, 2007. - С. 97-102.

51.Марков, Д. С. Метод процессного моделирования рельсовых линий как функциональных блоков рельсовых цепей / Д. С. Марков, В. Б. Соколов, М. Б. Соколов // Вестник транспорта Поволжья. - 2020. - № 1(79). - С. 59-70.

52.Патент № 2469896 С1 Российская Федерация, МПК В6^ 23/00, В6^ 23/16. Устройство автоматического контроля размыкания маршрута при маршрутной электрической централизации стрелок и сигналов : № 2011130206/11 : заявл. 20.07.2011 : опубл. 20.12.2012 / Б. М. Гордон, В. С. Миронов, Е. Н. Розенберг, В.

И. Свешников ; заявитель Открытое акционерное общество "Российские железные дороги".

53.Василенко М. Н. / Язык проектирования путевых объектов железнодорожной автоматики и телемеханики / М. Н. Василенко, В. А. Кононов, М. Я. Тумин; ПИИЖТ. Санкт-Петербург, 1992 г., 20 с. Деп. ЦНИИТЭИ МПС 16.03.92, №«5794

54.Василенко М.Н. Теория и методы анализа качества функционирования автоматизированных технологических комплексов на железнодорожном транспорте: Диссертация на соискание ученой степени доктора технических наук. Санкт-Петербург, 1992, - 332 с.

55.Тележенко Т.А. Методы и алгоритмы сокращения ошибок проектов железнодорожной автоматики и телемеханики: Диссертация на соискание ученой степени кандидата технических наук / Петербургский государственный университет путей сообщения. Санкт-Петербург, 2009, 173 с. : ил

56. Василенко, М. Н. Принципы построения и области применения языка описания путевых объектов ЖАТ / М. Н. Василенко, Т. А. Тележенко, П. А. Василенко // Автоматика, связь, информатика. - 2020. - № 5. - С. 25-31. - Б01 10.34649/АТ.2020.5.5.005.

57. Василенко, М. Н. Принципы построения и области применения языка описания путевых объектов ЖАТ / М. Н. Василенко, Т. А. Тележенко, П. А. Василенко // Автоматика, связь, информатика. - 2020. - № 7. - С. 13-19. - Б01 10.34649/АТ.2020.7.7.003.

58.Булавский, П. Е. Программная реализация языка путевых объектов в АРМ ведения технической документации / П. Е. Булавский, П. А. Василенко // Автоматика, связь, информатика. - 2020. - № 8. - С. 29-33. - Б01 10.34649/АТ.2020.8.8.003.

59.Василенко, М. Н. Синтез функций безопасности систем ЭЦ на базе языка путевых объектов / М. Н. Василенко, П. А. Василенко // Автоматика, связь, информатика. - 2021. - № 5. - С. 22-25. - DOI 10.34649/АТ.2021.5.5.003.

60.M A Gordon, Synthesis of Full Functional Check Programs for Train Traffic Management Systems on a Railway Sta tion / M A Gordon, P A Vasilenko and D V Sedykh //2020 J. Phys.: Conf. Ser. 1680 012013, Journal of Physics: Conference Series

61.СТАНДАРТ ОАО РЖД, СТО РЖД 19.008-2020 ФОРМАТ ГРАФИЧЕСКИХ ФАЙЛОВ ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ ЖЕЛЕЗНОДОРОЖНОЙ АВТОМАТИКИ И ТЕЛЕМЕХАНИКИ В ЭЛЕКТРОННОМ ВИДЕ

62.Трясов М.С. Методы и алгоритмы синтеза напольного технологического оборудования железнодорожной автоматики на станциях/ диссертация на соискание ученой степени кандидата технических наук / Петербургский государственный университет путей сообщения. Санкт-Петербург, 2003 - 155c.

63.Гордон М.А. Методы и алгоритмы автоматизации синтеза взаимозависимостей положения стрелок и показаний светофоров в системах электрической централизации / диссертация на соискание ученой степени кандидата технических наук / Петербургский государственный университет путей сообщения. Санкт-Петербург, 2021 - 175c.

64. МИКРОПРОЦЕССОРНАЯ ЦЕНТРАЛИЗАЦИЯ СТРЕЛОК И СИГНАЛОВ МПЦ-И. ТИПОВАЯ МЕТОДИКА ИСПЫТАНИЙ. 32АТ.30807 - ТМИ. - 2010. -С. 1-26.

65. Электрическая централизация промежуточных станций с маневровой работой ЭЦ - 12 - 03. Типовая методика испытаний. 32АТ.308022 - ТМИ. - 2010. - С. 131.

66.ТИПОВАЯ МЕТОДИКА ИСПЫТАНИЙ УСТРОЙСТВ ЭЛЕКТРИЧЕСКОЙ ЦЕНТРАЛИЗАЦИИ ПРОМЕЖУТОЧНЫХ СТАНЦИЙ С МАНЕВРОВОЙ РАБОТОЙ ЭЦ - 12 - 13. 2019.

67. Анализ и классификация кибератак на электронную техническую документацию ЖАТ / Василенко П.А. Известия ПГУПС. - 2018. - №2. - С. 3241.

68. К вопросу цифровизации ведения технической документации железнодорожного транспорта / Василенко П.А., Василенко М.Н., Трохов В.Г., Пронин В.П. ЖЕЛЕЗНОДОРОЖНЫЙ ТРАНСПОРТ. - 2020. - №10. - С. 56-62.

69. Маскировка ошибок в электронной технической документации и методы их обнаружения / Гордон М.А., Василенко М.Н., Седых Д.В., Зуев Д.В. Известия ПГУПС. - 2016.

70.Межгосударственный стандарт ГОСТ 27.002.-2015. Надежность в технике. Термины и определения.

71. Перспективы развития интеллектуального электронного документооборота хозяйства железнодорожной автоматики и телемеханики. / Василенко П.А., Бубнов В.П., Зуев Д.В., Василенко М.Н., Седых Д.В. Автоматика на транспорте.

- 2018. - Т.4. - №1.- С. 46-65.

72. СТО 56947007.29.240.01.169 - 2014 Система обеспечения информационной безопасности ФСК ЕЭС. Обеспечение информационной безопасности на стадиях жизненного цикла информационных и технологических систем.

73.ГОСТ РИСО/МЭК 17799. - 2005. Информационная технология. Практические правила управления информационной безопасностью.

74.ГОСТ Р 50.1.053 - 2005. Информационные технологии. Основные термины и определения в области технической защиты информации.

75.Development of the Conceptual Structure of the System for Ensuring the Functional Safety of Modern Transport Systems under the Conditions of Intentional Electromagnetic Influences / V. Semin, Vladimi N. Aazarov. / IEEE. St. Petersburg, Russia - 2018.

76.Rail Transport Systems Safety, Security and Cybersecurity Functional Integrity Levels / M. Pawlik. Research Methods and Solutions to Current Transport Problems.

- 2019 - С. 241-249.

77.Петров С.В., Райков Г.В., Корнев Ю.В., Караванова Н.Б. Надежность и функциональная безопасность как основные составляющие качества пассажирских вагонов. Вестник Научно-исследовательского института железнодорожного транспорта (ВЕСТНИК ВНИИЖТ). - 2018- Т.77. - №4.- С. 241-249.

78.Функциональная безопасность на электрифицированном железнодорожном транспорте. Транспортные системы и технологии. / Аполлонский С.М. - 2016. - Т.2. - №4.- С. 97-113.

79.Функциональная безопасность бортовых систем летательных аппаратов. Кечиев Л.Н., Абрамешин А.Е. / Технологии электромагнитной совместимости. 2012. № 3. С. 33-43.

80. Кучумов В.А., Мурзин Р.В., Никифорова Н.Б., Хазов М.С., Акишин А.А. Функциональная безопасность тягового железнодорожного подвижного состава. / Вестник Научно-исследовательского института железнодорожного транспорта (ВЕСТНИК ВНИИЖТ). - 2016. - С. 131-139.

81. Приказ Министерства транспорта РФ от 18 декабря 2014 г. №344 «Об утверждении Положения о классификации, порядке расследования и учета транспортных нарушений и иных событий, связанных с нарушением правил безопасности движения и эксплуатации железнодорожного транспорта».