AFC软件升级流程风险分析与应对

张唯欢

摘 要：随着城市化的进程逐步加快，轨道交通的自动化程度越来越高，以计算机控制为核心的轨道交通的运营正朝着开放化、软件化、网络化、智能化等方向发展。自动售检票系统（AFC）是基于计算机、通信、网络和自动控制等技术，实现轨道交通售票、检票、计费、收费、统计、清分和管理等全过程的系统。由于地铁线路的特殊性，如何取代人工手动方式，进行高效且低成本的软件升级维护并能够对AFC 系统中众多的软件版本信息进行管理已经成为新的挑战。

关键词：AFC软件升级流程风险分析与应对

前言：对自动售检票系统进行软件升级是不断满足运营建设的必然要求，直接关系到运营的生产经营。然而，就目前售检票系统运作来看，系统下载升级带来诸多风险问题，在现有的规章流程下也存在一定的潜在风险。这就对票务收集造成一定的安全隐患，威胁票务系统的安全。

一、AFC 系统结构

AFC 的结构可划分为车票、车站终端设备、车站计算机系统、线路中央计

算机系统、清分系统五个层次。层次结构是按照全封闭的运行方式，以计程收费模式为基础，采用非接触式IC 卡为车票介质的组成原则，根据各层次设备和子系统各自的功能、管理职能和所处的位置进行划分的。目前确定的五层结构，是根据我国国情和城市发展现状，综合考虑了轨道交通建设的特点（如线路多而复杂、建设周期长、多个业主单位等情况）而设置的，具有一定的可伸缩性。对各层次必须实现的功能和要求做出如下规定。第一层：车票。车票是乘客所持的车费支付媒介，规定了储值卡和单程票二种类型的物理特性、电气特性、应用文件组织以及安全机制等技术要求。第二层：车站终端设备。车站终端设备安装在各车站的站厅，直接为乘客提供售检票服务的设备，规定了车站终端设备及其运营管理的技术要求，如自动售票机（TVM），自动检票机又称出入站闸机（AGM）。第三层：车站计算机系统，即为车站管理中心（SC）。其主要功能是对第二层车站终端设备进行状态监控、以及收集本站产生的交易和审计数据，规定了系统的数据管理、运营管理及系统维护管理的技术要求。第四层：线路中央计算机系统。其主要功能是收集本线路AFC 系统产生的交易和审计数据，并将此数据传送给城市轨道交通清分系统，以及与其进行对帐，规定了对该线路的车票票务管理、运营管理及系统维护的技术要求。第五层：清分系统。其主要功能是统一城市轨道交通AFC 系统内部的各种运行参数、收集城市轨道交通AFC 系统产生的交易和审计数据并进行数据清分和对帐、同时负责连接城市轨道交通AFC 系统和城市一卡通清分系统，规定了对车票管理、票务管理、运营管理和系统维护管理的技术要求。

二、AFC软件升级流程风险分析

2.1 计算机网络安全及病毒防护的风险。2.1.1 计算机病毒的特点和传播方式。计算机病毒具有以下几个特点：传染性、潜伏性、隐蔽性、破坏性。计算机病毒传播渠道通常有以下几种：通过可移动存储设备传播、通过网络传播、通过计算机专用ASCI芯片和硬盘等不可移动设备传播，或者点对点通过通信系统和无线通道传播。2.1.2 升级下载过程中病毒风险分析。就目前软件或参数的升级下载都是从供货商提供的测试软件拷贝到实验室测试，再由实验室拷贝到下发参数的设备，基本都是通过专用存储工具或者邮件传输，整个传输过程都有可能受到病毒的感染。AFC系统一旦发生病毒感染，对设备和数据都具有强大的破坏能力。

2.2数据传输过程风险。2.2.1 TVM权限参数下载过程中丢失的案例。某日凌晨，LCC向车站SC发出接收0700新版本参数的命令，但因通信中断而被送入LCC缓存中;通信程序恢复连接后，LCC将缓存中的命令下发给SC，SC将新版0700参数从下载目录拷贝至SLE设备下载的FTP目录时，拷贝的文件大小变小了，只拷贝了原来文件的2/3的内容，通过查看异常0700参数的内容发现缺少CRC编码和相应的权限设置。TVM收到SC更新参数的消息后，将内容不全的0700参数下载到了本地，同时删除了本地原来的旧版本参数，造成本次全站TVM操作权限丢失。2.2.2 数据传输过程风险风险分析。此类参数下载更新过程中由于存在传输过程中受到一定原因的干扰组成数据传输不全导致的全站故障，其原因包括数据校验失败、数据丢包、数据损坏等，在另一方面也说明传输设备和校验机制也存在一定的安全隐患风险。

2.3 设备发生异常的风险。2.3.1 故障闸机升级失败的案例。某日，在完成了对闸机主程序及读卡器版本的升级工作后，车站反映闸机暂停服务，SC工作站监控界面显示无通信。用键盘进入闸机软件查看时发现错误提示框。2.3.2 设备发生异常的升级风险分析。经技术人员检查分析，闸机升级后出现网络中断并弹错误提示框故障是由于软件升级后出现交易文件损坏导致闸机软件运行环境出现错误，这种故障的发生可以通过重做闸机软件来完成修复工作。在升级站级软件时必须严格按照正规流程进行参数的下载和设备的重启工作，避免设备发生异常时进行升级，造成一定的升级失败风险。

三、降低风险的可行性分析

3.1 加强软件下载过程管理。3.1.1 软件供应商管理。对软件供应商的管理就是为了提高產品的质量，从源头把关消除软件缺陷带来的一系列风险。对供货商的有效管理，必须建立和完善有效的准入流程，按标准严格执行。要求供货商提供完善有效的升级保障措施、升级风险控制及如何承担升级后造成的损失。对供货商启动定期评审机制，评估其技术水平是否达到要求。3.1.2 软件测试管理。对所要升级的软件或者参数是否符合现场使用的要求，就必须经过一套严格的测试过程，对测试数据进行收集、整理、分析，整个过程严谨而复杂。对软件测试进行有效地管理，就必须组建立一只技术过硬的测试团队，良好的测试环境以及测试流程制度，软件版本管理制度等。3.1.3 专业下载人员管理。任何系统的运作都离不开人员的操作，因此在相对稳定、安全的设备基础上，提高操作人员的专业技能，规范操作人员的操作，将更进一步确保软件下载的安全稳定，有效减少因人员问题造成的风险。3.1.4 软件下载升级工具管理。软件下载工具是指在整个升级过程中传输软件的承载工具，目前包括：发送设备、接收设备、存储介质和升级失败后的辅助工具。

3.2 建立完善的自动升级回滚系统。AFC系统升级是指对AFC系统运行的各类软件进行漏洞修补、增加删除软件功能、更新设备运行参数;自动体现在升级过程中不需要人工干预，选择升级模式和升级包后确定升级对象，自动升级系统能够自动完成升级任务;由于升级操作是AFC系统中很重要的操作，不仅需要对软件的版本进行管理，而且需要对升级过程、升级结果进行跟踪记录，同时对升级后发生异常的，可以进行版本回滚，降至上一版本使用，最大限度地保障运营设备的安全使用。

结束语：

通过对AFC系统的部分专业知识介绍以及案例分析，阐述了AFC系统软件下载过程中受到的潜在风险影响，并根据分析对降低该风险点采取措施，提高AFC软件升级工作的安全性，降低AFC系统软件升级造成的影响，为安全运营打下坚实基础。目前AFC系统的升级现状和本人知识水平限制，部分分析结论还有待完善之处，将在今后的工作中做进一步地改进。

参考文献：

[1]孙立中.轨道交通AFC 系统软件自动升级系统的设计与实现[D].哈尔滨工业大学，2018.

[2]蔡静瑶.地铁AFC 系统中的票务收益安全浅析[J].科技风，2019（8）：249-249.