CC BY
43
Автоматизация проектирования
УДК 004.492.2
М. Н. Василенко, д-р техн. наук, В. П. Бубнов, д-р техн. наук, П. Е. Булавский, д-р техн. наук, П. А. Василенко
Кафедра «Автоматика и телемеханика на железных дорогах», Петербургский государственный университет путей сообщения Императора Александра I
ОШИБКИ В ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ ЖЕЛЕЗНОДОРОЖНОЙ АВТОМАТИКИ И ТЕЛЕМЕХАНИКИ И ИХ ВЛИЯНИЕ НА БЕЗОПАСНОСТЬ
ДВИЖЕНИЯ ПОЕЗДОВ
Целью данного исследования является доказательство возможности опасного отказа систем управления движением поездов при кибератаках на электронную техническую документацию, на основе которой осуществляются проектирование, производство и эксплуатация устройств железнодорожной автоматики и телемеханики. Введены понятия опасной ошибки в технической документации, опасного технического состояния железнодорожной автоматики и телемеханики, проведен анализ вариантов проникновения опасных ошибок в действующие устройства при кибернарушениях. Рассмотрены варианты сценариев опасных кибернарушений и организационные, технические и программные методы защиты электронной технической документации при переходе на безбумажные технологии проектирования и эксплуатации средств железнодорожной автоматики и телемеханики.
электронная техническая документация; кибернарушение; ошибка в технической документации; опасная ошибка; опасное техническое состояние
DOI: 10.20295/2412-9186-2019-1-94-112.
Введение
В настоящее время во всех отраслях науки, техники и производства происходит активное внедрение систем электронного документооборота (СЭД). В хозяйстве железнодорожной автоматики и телемеханики (ЖАТ) такая система разрабатывается и активно внедряется группой предприятий «ИМСАТ». Разработчиками предложена интегрированная базовая платформа интеллектуальной СЭД, включающая функционально полный набор средств автоматизации на основе программных модулей отечественного производства [1].
В связи с высокой степенью готовности СЭД ЖАТ к замене господствующей в настоящее время бумажной технологии ведения технической документации (ТД) на электронную технологию, возникает ряд новых научных задач, связанных со спецификой такого перехода, главные из них:
- обеспечение максимальной эффективности перехода на электронные (безбумажные) технологии ведения ТД ЖАТ;
- защита этой технологии и электронных баз данных технической документации (БД) ТД от возможных кибератак на техническую документацию обеспечивающую безопасность систем ЖАТ, а следовательно, и безопасность движения поездов на железнодорожном транспорте.
В работе [2] впервые введено понятие кибератаки на техническую документацию в электронном виде, приведены анализ и классификация кибе-ратак.
В работе [3] показано, что среди различных видов кибератак на техническую документацию наиболее вероятными и опасными являются кибер-нарушения типа «ошибка» в ТД. В этом случае возможный «нарушитель» может достичь максимального эффекта за счет исключения проверки условий обеспечения безопасности при высокой сложности обнаружения источника этого нарушения.
В данной работе определяются и анализируются понятия: ошибка в технической документации, ошибка в системе ЖАТ, опасное техническое состояние ЖАТ и опасное технологическое состояние объектов управления. Проводится анализ вариантов сценариев кибернарушений и способов защиты от них.
1. Определение и анализ базовых понятий
Определяя понятие ТД ЖАТ [4], необходимо выделить два типа ТД:
- нормативно-справочная, далее НСТД;
- объектная, далее ОТД.
Под НСТД понимаются различные виды ГОСТов, ОСТов, стандартов железнодорожного транспорта, правила технической эксплуатации, инструкции по сигнализации и маневровой работе, инструкции по техническому обслуживанию СЖАТ и содержанию ТД, методические указания, типовые материалы и нормы проектирования и т. п. Характерными особенностями НСТД являются:
- широкий круг пользователей;
- подробное изучение, согласование и утверждение во многих инстанциях;
- публикация в печатных изданиях;
- периодическая проверка и корректировка документов;
- регулярное внесение изменений и дополнений.
На этом основании справедливо утверждение, что НСТД считается эталоном для проектирования, производства и эксплуатации систем ЖАТ.
Объектная техническая документация (ОТД) создается и эксплуатируется для конкретных объектов железнодорожного транспорта (станции, перегоны, переезды, участки и пр.). Различные типы ОТД (проектная, рабочая, конструкторская, строительная, программная, исполнительная и др.) и правила ее содержания описаны в [4], где приведен полный список кон -кретных технических документов ЖАТ. Виды ОТД показаны на рис. 1.
Нормативно-справочная документация 1 ГОСТы и СТО
> 2 ПТЭ, инструкции по сигнализации и маневровой работе
'S 3 Инструкции по содержанию ТД, инструкции по обслуживанию
НСТД > 4 Типовые проектные решения, альбомы
ч 5 Методические указания по проектированию систем ЖАТ
> > > 1 Техническое задание на проект (ТЗ)
/ 2 Схематический план станции, перегона (СПС, ППС)
3 Двухниточный план станции и схемы канализации тягового тока (ДПС)
Объектная техническая документация ОТД 4 Кабельные сети напольного и внутрипостового оборудования (КС)
5 Таблица взаимозависимостей стрелок и сигналов (ТВЗ)
> > >
6 Принципиальные электрические схемы (ПЭС)
7 Монтажные электрические схемы (МЭС)
8 Схемы аппаратов управления (САУ)
9 Схемы устройств энергоснабжения и питания (СЭП)
Рис. 1. Виды технической документации
Известная статистика ошибок в ТД [5, 6] при существующей «бумажной» технологии ее создания и сопровождения свидетельствует о низком качестве экспертизы и большом количестве ошибок, которые обнаруживаются при пусконаладочных работах, проводимых при сдаче ЖАТ в эксплуатацию и в процессе опытной эксплуатации. В основном эти ошибки носят случайный характер и обусловлены следующими причинами:
- сравнительно низкий уровень автоматизации проектирования, производства и монтажа устройств ЖАТ и значительное влияние на эти процессы человеческого фактора (уровень квалификации, внимание, степень ответственности и т. д.);
- низкое качество экспертизы ОТД на этапах ее создания и сопровождения в бумажном виде (экспертизу бумажной документации может выполнить только человек - специалист высокой квалификации);
- итоговая проверка во время проведения пусконаладочных работ на действующем образце СЖАТ при время ограниченных ресурсах (отсутствие опытных специалистов, ограниченные условия испытаний, отсутствие программ полной функциональной проверки и необходимых средств контроля и диагностики) не гарантирует обнаружение всех видов ошибок в ОТД.
Как следствие этих причин - окончательно согласованная и утвержденная по итогам пусконаладочных работ исполнительная ОТД может содержать ошибки как в самой документации, так и в принятой к эксплуатации систем ЖАТ. На этих основаниях дадим следующие определения.
Определение 1. Ошибкой в ОТД считается любое несоответствие требованиям НСТД.
Определение 2. Ошибкой в действующей (находящейся в эксплуатации) системе ЖАТ считается любое ее несоответствие требованиям НСТД, реализованных в конкретном проекте на базе исполнительной ОТД (ИОТД).
Возможные источники ошибок в ОТД (включая исполнительную) приведены на рис. 2, из которого следует, что переход ошибок в различных видах ОТД в действующие устройства ЖАТ возможен на любой из семи стадий разработки и эксплуатации систем.
Среди множества требований НСТД, предъявляемых к системам ЖАТ, важнейшими являются требования к обеспечению безопасности управления движением поездов [7-12]. В работе [13] определены основные принципы обеспечения безопасности систем ЖАТ и способы доказательства реализации этих принципов в действующих системах.
В работах [14, 15] приведено математическое описание условий обеспечения функциональной безопасности для систем электрической централизации стрелок и сигналов независимо от их технической реализации (релейные, релейно-процессорные, микропроцессорные). Проведенный авторами анализ показал, что список этих условий для достаточно сложных станций может включать сотни, а иногда и тысячи проверок условий обес-
печения безопасности. Ошибка в ТД, исключающая хотя бы одну из этих проверок, при ее реализации в действующей ЖАТ может привести к опасному отказу в управлении движением поездов. Поэтому актуальным является следующее определение.
Случайные ошибки проектирования и выполнения работ
И
с О
т ш
О и
ч Б
H о
и к
к
и
Умышленные ошибки -кибернаруш ения
Ош. 1. Проектирование ОТД (проектная, рабочая, конструкторская, техническая,
Ош. 7. Ошибки при внесении изменений в исполнительную ОТД (конвертация, распознавание, модернизация и реконструкция)
Рис. 2. Источники ошибок ОТД
Определение 3. Опасной ошибкой в ОТД и действующей (находящейся в эксплуатации) системе ЖАТ является любое нарушение требований НСТД в отношении соблюдения условий обеспечения безопасности.
Множество условий обеспечения безопасности для заданной системы ЖАТ формализованно может быть описано как УОБ5 = [У{ }, / = 1,18, где - ¡ое - условие безопасности, принимающее значение 0, если оно не выполнено, и значение 1, если оно выполнено; - общее число условий безопасности для заданной системы
Выполненный авторами анализ множества УОБ, для станционных систем безопасности показывает, что I, определяется схематическим планом станции, числом и длинной поездных и маневровых маршрутов. При этом даже для станций с электрической централизацией на 20-30 стрелок I, может достигать нескольких тысяч проверок (I, =102 -103).
Пример составления списка проверок условий обеспечения безопасности для одного из маршрутов станции на 24 стрелки приведен на рис. 3 и в таблице.
Рис. 3. Маршрут приема на путь I Условия обеспечение безопасности маршрута приема на путь I
Элемент маршрута Условия безопасности Способ проверки
Установка маршрута
Светофор Н 1. Контроль отсутствия включения пригласительного сигнального показания на светофоре (26) Контроль невозможности задания маршрута при горении пригласительного сигнала
2. Контроль закрытого состояния враждебных светофоров (27) Контроль невозможности задания маршрута при открытом состоянии враждебных светофоров
Размыкание маршрута
1СП 18. Контроль крайнего положения ходовых стрелок (1) Контроль невозможности задания маршрута при неправильном положении ходовой стрелки 1
19. Защита замкнутых секций от преждевременного размыкания при наложении шунта на рельсовую цепь и снятии его (12) Проверка отсутствия преждевременного перекрытия светофора при имитации наложения и снятия шунта
Окончание таблицы
Элемент маршрута Условия безопасности Способ проверки
Отмена маршрута
1СП 26. Контроль крайнего положения ходовых стрелок (1) Контроль невозможности задания маршрута при неправильном положении ходовой стрелки 1
27. Контроль свободности ходовых секций (5) Контроль невозможности задания маршрута при имитации занятия секции
28. Проверка размыкания секций при отмене маршрута по заданному алгоритму (10) Контроль включения выдержки времени в соответствии с предварительным или окончательным замыканием; факта выдержки времени и размыкания секции по заданному алгоритму
Искусственная разделка
1СП 32. Проверка размыкания секций при искусственной разделке по заданному алгоритму (11) Проверка размыкания необходимой секции и факта выдержки необходимого времени
3СП 33. Проверка размыкания секций при искусственной разделке по заданному алгоритму (11) То же
1П 34. Проверка размыкания секций при искусственной разделке по заданному алгоритму (11) То же
Примечание. Цифрами в скобках обозначены условия обеспечения безопасности.
Диаграмма влияния ошибок и отказов на безопасность движения поездов приведена на рис. 4, где показано, что ошибки в ТД могут изменять технической состояние систем ЖАТ, переводя систему в защитное или опасное состояние аналогично отказам.
Нахождение систем ЖАТ в опасном состоянии создает условия опасного отказа объекта управления (рис. 5) при соответствующем технологическом состоянии. Понятие технологического состояния объекта управления поясняется рисунком 5, а также временной диаграммой на рис. 6.
Опасный отказ объекта управления происходит при сочетании двух условий:
1) переход систем ЖАТ в опасное техническое состояние в результате ошибки;
2) соответствующее технологическое состояние объекта управления (на рис. 6 обозначено вертикальной линией).
Например, при наличии в системе ЖАТ опасной ошибки типа «ложный контроль свободности приемоотправочного пути» на станции опасный
отказ объекта управления типа «прием поезда на занятый путь» произойдет при сочетании двух условий:
1) наличие ошибки типа «ложный контроль свободности приемоот-правочного пути;
2) наличие подвижного состава на пути и задание ДСП маршрута приема на этот путь.
1. Техническое состояние систем ЖАТ
Ошибка
Отказ
V Исправное \
/ Опасное
/ \ Защитное Работоспособное/
Рис. 4. Диаграмма технического состояния СЖАТ
Техническое состояние объекта управления
п:х = {м1, '!),;,, ¿=17,
7 = 17
Рис. 5. Технологическое состояние объекта управления: М1 - номера маршрутов на станции; Тм - технологическое состояние маршрута
(установка, размыкание, отмена, разделка); Tj - момент времени изменения
технологического состояния; I - число маршрутов; J - число дискретных технологических состояний (протокол работы электрической централизации)
Установка Размыкание Отмена
|—; Искусственная ] -:—> разделка
■ Mi > 1
...... h
I (роявление ошибки
[
1 1 .....:
\ ■ 1 /
1-*■
Рис. 6. Временная диаграмма технологического состояния объекта управления
Второе условие в этом случае можно определить как опасное технологическое состояние объекта управления.
Различия между ошибкой в ТД или системе ЖАТ и отказом системы, а также структурная схема влияния ошибок на опасные отказы объектов управления поясняются рисунком 7.
Теория синтеза безопасных систем ЖАТ, разработанная учеными кафедры «Автоматика и телемеханика на железных дорогах» Петербургского университета путей сообщения [13], описывает методы защиты системы от опасных отказов. При возникновении отказа система попадает в защитное состояние, однако данная теория не рассматривает наличие опасной ошибки в системе, которая при определенной технологической ситуации способна привести к опасному отказу объекта управления.
2. Кибернарушение как источник опасных ошибок в системах железнодорожной автоматики и телемеханики
Приведенный выше анализ случайных ошибок в бумажной ТД показал, что они носят непреднамеренный характер, не преследуют специальной цели, обусловлены в основном человеческим фактором и достаточно эффективно обнаруживаются и устраняются, не приводя к нарушению условий безопасности.
Иная ситуация возникает при переходе на электронные технологии ведения БД ТД и отдельных электронных документов. В этом случае встает проблема обеспечения эффективности новой технологии при условии защиты от возможных кибератак на электронные средства хранения, обработки и передачи информации.
> III
ч
0 2 си Ч з: л
О)
1 О)
"О О) I
п =1 о
"О
ч
лэ
ч
о
2 О)
тэ ч
м о
I-1
Ошибки в системах ЖАТ
Методы защиты
Создание системы ЖАТ
Разработка технического задания.
Проектирование
Строительство
Пусконаладоч-ные работы
Опытная эксплуатация
Постоянная эксплуатация, модернизация и реконструкция в соответствии с указаниями
Состояние разработки и внедрения
Объектная техническая документация
Проектная Рабочая Технологическая
Исполнительная
отд
ведение и содержание
Задача обеспечения информационной безопасности
Состояние информационного обеспечения
Системы ЖАТ
Задача управления движением
поездов, в том числе
обеспечение:
- установки;
- размыкания;
- отмены искусственной разделки маршрутов
Задача обеспечения безопасности управления движением поездов
Техническое состояние
от опасных ошибок
Объекты управления
участки,
станции,
перегоны,
переезды,
поезда,
локомотивы,
вагоны,
прочие подвижные единицы
Технологическое состояние
Теория синтеза
Отказы ЖАТ
безопасных систем ЖАТ
Рис. 7. Отказ и опасная ошибка
Опасные отказы в управлении движением
Опасные отказы в управлении
перевод стрелки под составом
включение на светофоре
более разрешающего показания
задание маршрута на пути с нарушением целостности
сход с пути
наезд на препятствие
столкновение по негабаритное™
прочие виды опасных отказов в управлении движением
Вид опасного отказа
Последствия опасных отказов
Большие материальные потери
гибель и увечья людей
большой ущерб окружающей среде
Виды ущерба
Опасные отказы в управлении движением
:ь 00
3
а §
с
0
0) *
1
0 00
01 I
I
о со
В работах [2, 3] показано, что хакерские кибератаки и кибератаки типа «вирус» не могут нанести серьезного ущерба электронным БД ТД при использовании стандартных методов защиты: применение электронной цифровой подписи, корпоративного кодирования информации, резервирования БД и т. п.
Наибольшую опасность создают кибернарушения, связанные с внесением опасных ошибок (см. определение 3) в ТД на разных этапах ее существования и использования (см. рис. 7).
Определение 4. Под опасным кибернарушением будем понимать любое несанкционированное воздействие на электронную ОТД специальными программными средствами с целью внесения опасной ошибки (см. определение 3).
Опасное кибернарушение характеризуется следующими особенностями:
1) заключается в умышленном внесении опасной ошибки в ОТД (исполнительную ОТД) с целью нанесения максимального ущерба в работе железнодорожного транспорта;
2) имеет широкий фронт возможностей для проникновения в процесс проектирования, производства, строительства, монтажа и эксплуатации систем ЖАТ с большим числом участников [3];
3) носит скрытый характер и исключает непосредственное воздействие на устройства ЖАТ;
4) имеет сложный способ определения опасного технологического состояния объекта управления, при котором проявится опасный отказ этого объекта;
5) создает условия сложности обнаружения нарушителя за счет различных видов маскировки опасных ошибок.
Понятие маскировки ошибок в ТД определено в [16] и требует дальнейшего исследования.
Для разработки методов защиты электронной ТД от опасных кибер-нарушений необходимо исследовать возможные сценарии их планирования и реализации. Этапы планирования сценария представлены на рис. 8, а сам сценарий в общем виде - на рис. 9.
Конкретная реализация таких сценариев требует исследования вариантов опасных кибернарушений применительно к конкретным видам систем ЖАТ (станционные, перегонные, переездные, горочные и т. п.) с учетом заданного в техническом задании списка условий обеспечения безопасности. При разработке таких сценариев потенциальный нарушитель планирует не только определенный тип опасной ошибки в ТД, но и способ выполнения кибернарушения в конкретной обстановке (в проектном институте, на сервере БД ТД, в группах ТД, при внесении изменений в действующие схемы и т. п.). Подготовка сценариев возможна только специалистами соответствующей квалификации.
Рис. 8. Этапы подготовки сценария проникновения ошибки
Начало
V —
Генерация и маскировка ошибки в МЭС или программном обеспечении
Генерация и маскировка ошибки в ОТД
Выходной контроль
_I_
Генерация и маскировка
ошибки в программах полной функциональной проверки и исполнительной ОТД
Выходной контроль программ функциональной проверки
\ >
Проектирование ОТД
Ошибка типа «игнорирование условий обеспечения безопасности»
Производство, строительство, монтаж Внесение ошибок в устройства ЖАТ
Пусконаладочные работы
Отсутствие проверки условий обеспечения безопасности в программах полной функциональной проверки
Генерация и маскировка ошибки при внесении изменений 1 1 1 „ Постоянная эксплуатация
г > 1 Ожидание «опасного» технологического состояния —
г
Конец Опасный отказ объекта управления |
Рис. 9. Сценарий проникновения опасной ошибки
3. Методы защиты от опасных кибернарушений в электронной технической документации
Учитывая, что электронные БД ТД являются одним из видов информационного обеспечения систем СЖАТ, при разработке методов защиты необходимо исходить из принятой доктрины информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. № Пр-1895), соответствующих указов и стандартов [17-19].
Можно выделить два основных направления работ:
- организационно-технические методы защиты объектной технической документации (рис. 10);
- программно-технические методы защиты (рис. 11).
Рис. 10. Организационно-технические методы защиты ОТД
Организационно-технические методы защиты ОТД описаны в [1] и являются неотъемлемой частью систем интеллектуального электронного документооборота хозяйства ЖАТ. Эти методы ориентированы на стандартные решения [17-19], обязательные для всех организаций.
Программно-технические методы защиты ОТД базируются на задачах интеллектуального электронного документооборота (см. рис. 11, задачи 14, 15, 17, 22, 23), разработка которых завершается коллективом НТЦ САПР ПГУПС и фирмой ООО «ИМСАТ». Эти методы ориентированы на обработку электронных моделей ТД в системах документооборота [1].
1. Обеспечение эффективного электронного делопроизводства (интеллектуальный электронный документооборот, задача 17)
Обеспечение наглядности прохождения каждого документа, учет времени задержки у каждого исполнителя, комментарии причин задержки; создание
наглядной структурной схемы подразделений, оперативного доступа _______к документации с удаленных рабочих мест
2. Разработка систем контроля изменений и дополнений ОТД на всех стадиях ведения (интеллектуальный электронный документооборот, задача 22)
Обеспечение ведения электронного каталога: всех видов ТД; изменений по всем видам документации на этапах проектирования, строительства, пусконаладочных работ и эксплуатации; копий изменений документов и оснований для внесения изменений
3. Автоматизация построения программ полной функциональной проверки систем ЖАТ (интеллектуальный электронный документооборот, задача 14)
Обеспечение: автоматического синтеза требований условий обеспечения безопасности на базе ТВЗ; синтеза журнала фиксации результатов программ полной функциональной проверки; доказательства полноты проверки
по функциям безопасности
4. Автоматизация экспертизы ТД ЖАТ (интеллектуальный электронный документооборот, задача 15)
Обеспечение сверки ТД на соответствие: ОФТД, контрольному экземпляру, между собой, НСТД и указаниям ГТСС, ТУи ТЗ, а также анализа расчетов параметров: рельсовых цепей, переездной сигнализации, схематического и двухниточного
плана
____±____
5. Разработка программного комплекса экспертизы реализованных проектов ЖАТ на цифровых моделях ОТД (интеллектуальный электронный документооборот, задача 23)
Обеспечение имитации: СПС с ординатами, ДПС с параметрами устройств, ТВЗ, ПЭС; модели движения подвижных единиц; действий ДСП; программы программ полной функциональной проверки; создание электронного журнала
результатов проверки
Рис. 11. Программно-технические методы защиты ОТД (ОФТД - отраслевой формат технической документации; СПС - схематический план станции; ДПС - двухниточный план станции)
Заключение
Отсутствие высокоэффективной системы электронного документооборота ТД на сети дорог ОАО «РЖД» обусловлено в настоящее время двумя факторами:
- низким коэффициентом заполнения электронных БД ТД; в формате ОФТД заполнено не более 10 % БДТД;
- отсутствием комплексной методологии защиты электронной документации применительно к системам обеспечения безопасности от кибе-ратак и кибернарушений.
С точки зрения обеспечения безопасности движения поездов при ки-бератаках на электронную ТД наиболее значимыми являются кибернару-шения типа «Опасная ошибка».
Введено понятие «опасного кибернарушения» в ТД и показана реальная возможность его перехода в опасный отказ объектов управления (движущихся поездов).
Показано, что обнаружение опасных ошибок систем ЖАТ в процессе пусконаладочных работ в полном объеме с использованием действующих методик и программ проверки реально недостижимо.
Приведен комплекс организационно-технических и программно-технических мер и методик защиты ОТД систем ЖАТ от кибератак и ки-бернарушений, требующий обязательной реализации на практике.
Результаты исследования весьма актуальны и могут быть применены к ТД и на другие системы обеспечения безопасности на транспорте, в промышленности и оборонных отраслях.
Библиографический список
1. Василенко М. Н. Состояние внедрения и перспективы развития интеллектуального электронного документооборота хозяйства железнодорожной автоматики и телемеханики / М. Н. Василенко, П. А. Василенко, Д. В. Зуев, Д. В. Седых // Автоматика на транспорте. - 2018. - № 12. - С. 131-145
2. Василенко М. Н. Кибербезопасность технической документации железнодорожной автоматики и телемеханики / М. Н. Василенко, Д. В. Зуев // Транспорт Российской Федерации - 2015. - № 2 (57). - С. 56-58.
3. Булавский П. Е. Анализ и классификация кибератак на электронную техническую документацию железнодорожной автоматики и телемеханики / П. Е. Булавский, М. Н. Василенко, П. А. Василенко // Известия ПГУПС. - 2018. - № 2. - С. 32-41.
4. Инструкция по ведению технической документации железнодорожной автоматики и телемеханики (в ред. распоряжения ОАО «РЖД» от 06.10.2017 № 2034р) ЦШ-617-10. БК 50129:2003. - [М., 2017].
5. Тележенко Т. А. Методы и алгоритмы сокращения ошибок проектов железнодорожной автоматики и телемеханики : дис. ... канд. техн. наук: 05.22.08. - СПб., 2009. - 173 с. : ил.
6. ТрансЖАТ-2016. Восьмая международная научно-практическая конференция, 57 октября 2016 г., Ростов-на-Дону : сб. докладов. - [Ростов н/Д, 2016].
7. CENELEC: Railway applications - Specification and demonstration of reliability, availability, maintainability and safety [RAMS]. EN 50126:1998.
8. ГОСТ Межгосударственный стандарт 27.002-2015. Надежность в технике. Термины и определения. - [М., 2015].
9. ГОСТ Р МЭК 61508-4-2012. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Ч. 4. Термины и определения. - [М., 2012].
10. ГОСТ Р 27.606-2013. Надежность в технике (ССКТ). Управление надежностью. Техническое обслуживание, ориентированное на безотказность. - [М., 2013].
11. Межгосударственный стандарт 33892-2016. Системы железнодорожной автоматики и телемеханики на железнодорожных переездах. Требования безопасности и методы контроля. - [М., 2016].
12. Межгосударственный стандарт 33894-2016. Системы железнодорожной автоматики и телемеханики на железнодорожных станциях. Требования безопасности и методы контроля. - [М., 2016].
13. Труды по теории синтеза и диагноза конечных автоматов и релейных устройств / Под ред. Вал. В. Сапожникова, Вл. В. Сапожникова. - СПб. : Элмор, 2009. - 900 с.
14. Сапожников Вл. В. Микропроцессорные системы централизации : учебник для техникумов и колледжей железнодорожного транспорта / Вл. В. Сапожников, В. А. Кононов, С. А. Куренков / Под ред. Вл. В. Сапожникова. - М. : УМЦ ЖДТ, 2008. - 398 с.
15. Кононов В. А. Основы проектирования электрической централизации промежуточных станций / В. А. Кононов, А. А. Лыков, А. Б. Никитин. - М. : Маршрут, 2003. -315 с.
16. Гордон М. А. Маскировка ошибок в электронной технической документации и методы их обнаружения / М. А. Гордон, М. Н. Василенко, Д. В. Седых, Д. В. Зуев // Известия Петербургского университета путей сообщения. - 2016. - № 4 (49). -С. 579-591.
17. СТО 56947007-29.240.01.169-2014. Обеспечение информационной безопасности на стадиях жизненного цикла информационных и технологических систем. - [М., 2014].
18. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. - [М., 2005].
19. ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической защиты информации. - [М., 2005].
Michael N. Vasilenko, Vladimir P. Bubnov, Petr E. Bulavsky, Petr A. Vasilenko «Automation and remote control on railways» department Emperor Alexander I Petersburg State Transport University
Errors in the technical documentation of railway automation and remote control and their impact on the safety of train traffic
The purpose of this study is to prove the possibility of dangerous failure of train control systems during cyber attacks on electronic technical documentation, on the basis of which the design, manufacture and operation of railway automation and remote control (RARC) devices are carried out. The concepts of a dangerous error in the technical documentation, the dangerous technical condition of the RARC were introduced, and the analysis of the options for the penetration of dangerous errors into existing devices in cyber-violation was carried out. Variants of scenarios for the conduct of dangerous cyber-breaches are proposed, and organizational, technical, and software methods of protecting electronic technical documentation when switching to paperless design and content technologies are considered.
electronic technical documentation; cyber breach; error in technical documentation; dangerous error; dangerous technical condition
References
1. Vasilenko M. N., Vasilenko P. A., Zuev D. V., Sedy'kh D. V. (2018). The state of implementation and the prospects for the development of intelligent electronic document management of railway automation and remote control [Costoianie vnedreniia i perspektivy' razvitiia intellektual'nogo e'lektronnogo dokumentooborota hoziai'stva zheleznodorozhnoi' avtomatiki i telemehaniki]. Automation on transport [Avtomatika na transporte], N 12. - Pp. 131-145.
2. Vasilenko M. N., Zuev D. V. (2015). Cybersecurity of technical documentation of railway automation and remote control [Kiberbezopasnost' tekhnicheskoi' dokumen-tatcii zheleznodorozhnoi' avtomatiki i telemehaniki]. Transport of Russia [Transport Rossii'skoi' Federatcii], N 2 (57). - Pp. 56-58.
3. Bulavsky P. E., Vasilenko M. N., Vasilenko P. A. (2018). Analysis and classification of cyber attacks on electronic technical documentation of railway automation and remote control [Analiz i classifikatciia kiberatak na e'lektronnuiu tekhnicheskuiu dokumentatciiu zheleznodorozhnoi' avtomatiki i telemehaniki]. Proceedings of Petersburg state transport university [Izvestiia PGUPS], N 2. - Pp. 32-41.
4. Instructions for maintaining the technical documentation of railway automation and remote control [Instruktciia po vedeniiu tekhnicheskoi' dokumentatcii zheleznodorozhnoi' avtomatiki i telemehaniki] [Ed. by JSC «Russian railways» order 06.10.2017 N 2034р]. TsSh-617-10. EN 50129:2003.
5. Telezhenko T. A. (2009). Methods and algorithms for reducing errors in railway automation and telemechanics projects [Metody' i algoritmy' sokrashcheniia oshibok
proektov zheleznodorozhnoi' avtomatiki i telemehaniki]. PhD thesis: 05.22.08. St. Petersburg. - 173 p.
6. TransZHAT-2016. Eighth International Scientific and Practical Conference: proceedings: october 5-7, 2016, Rostov-on-Don.
7. CENELEC: Railway applications - Specification and demonstration of reliability, availability, maintainability and safety [RAMS]. EN 50126:1998.
8. GOST Interstate Standard 27.002-2015. Reliability in Engineering. Terms and Definitions.
9. GOST R IEC 61508-4-2012. Functional safety of electrical, electronic, programmable electronic systems related to safety. Part 4. Terms and definitions.
10. GOST R 27.606-2013. Reliability in engineering (CCTS). Reliability management. Reliability-oriented maintenance.
11. GOST Interstate Standard 33892-2016. Systems of railway automation and remote control at level crossings. Safety requirements and control methods.
12. GOST Interstate Standard 33894-2016. Systems of railway automatics and telemechanics at railway stations. Safety requirements and control methods.
13. Works on the theory of synthesis and diagnosis of finite automata and relay devices (2009). [Trudy' po teorii sinteza i diagnoza konechny'kh avtomatov i relei'ny'kh ustroi'stv]. Ed. by. Val. V. Sapozhnikov, Vl. V. Sapozhnikov. St. Petersburg, Elmor Publ. - 900 p.
14. Sapozhnikov Vl. V., Kononov V. A., Kurenkov S. A. (2008). Microprocessor interlocking systems: textbook for technical schools and colleges of railway transport [Mikroprotcessorny'e sistemy' centralizatcii: ucheb. dlia tekhnikumov i kolledzhei' zheleznodorozhnogo transporta]. Ed. by. Vl. V. Sapozhnikov. Moscow, UMC ZhDT Publ. - 398 p.
15. Kononov V. A., Ly'kov A. A., Nikitin A. B. (2003). Fundamentals of the design of electrical interlocking of stations [Osnovy' proektirovaniia e'lektricheskoi' centralizatcii promezhutochny'kh stantcii']. Moscow, Marshrut Publ. - 315 p.
16. Gordon M. A., Vasilenko M. N., Sedy'kh D. V., Zuev D. V. (2016). Masking of errors in electronic technical documentation and methods of their detection [Maski-rovka oshibok v e'lektronnoi' tekhnicheskoi' dokumentatcii i metody' ikh obnaruzhe-niia]. Proceedings of PSTU [Izvestiia PGUPS], N 4 (49). - Pp. 579-591.
17. STO 56947007-29.240.01.169-2014. Ensuring information security at the stages of the life cycle of information and technological systems.
18. GOST R ISO/IEC 17799-2005. Information technology. Practical rules for managing information security.
19. GOST R 50.1.053-2005. Information technology. Basic terms and definitions in the field of technical protection of information.
Статья представлена к публикации членом редколлегии О. А. Наседкиным Поступила в редакцию 15.11.2018, принята к публикации 10.12.2018
ВАСИЛЕНКО Михаил Николаевич - доктор технических наук, профессор кафедры
«Автоматика и телемеханика на железных дорогах» Петербургского государственного
университета путей сообщения Императора Александра I.
e-mail: 9416579@gmail.com
БУБНОВ Владимир Петрович - доктор технических наук, профессор кафедры «Информационные и вычислительные системы» Петербургского государственного университета путей сообщения Императора Александра I.
e-mail: bubnov1950@yandex.ru
БУЛАВСКИЙ Петр Евгеньевич - доктор технических наук, профессор кафедры «Автоматика и телемеханика на железных дорогах» Петербургского государственного университета путей сообщения Императора Александра I.
e-mail: pbulavsky@gmail.com
ВАСИЛЕНКО Петр Алексеевич - инженер кафедры «Автоматика и телемеханика на железных дорогах» Петербургского государственного университета путей сообщения Императора Александра I.
e-mail: vasilenko. p.al@gmail.com
© Василенко М. Н., Бубнов В. П., 2019 © Булавский П. Е., Василенко П. А., 2019
