◆李 劍

?

安全計算機(jī)技術(shù)研究和應(yīng)用

◆李 劍

（云南交通職業(yè)技術(shù)學(xué)院交通信息工程學(xué)院 云南 650505）

隨著計算機(jī)技術(shù)的發(fā)展和網(wǎng)絡(luò)攻擊風(fēng)險的加劇，安全計算機(jī)技術(shù)越來越被重視，安全計算機(jī)技術(shù)能夠在系統(tǒng)發(fā)生故障和入侵的狀態(tài)下，將系統(tǒng)的輸出在故障狀態(tài)下導(dǎo)向安全側(cè)，因此在航空航天、軍工技術(shù)、軌道交通、尖端科學(xué)等領(lǐng)域有著廣泛的應(yīng)用。安全計算機(jī)的獨(dú)特之處在于從設(shè)計階段就將故障考慮在內(nèi)，將故障當(dāng)作必然事件貫穿于系統(tǒng)始終。本文基于這一原則，對安全計算機(jī)技術(shù)的原理和應(yīng)用進(jìn)行了研究。

安全；計算機(jī)；技術(shù)；應(yīng)用

0 前言

21世紀(jì)是計算機(jī)的時代，隨著無人駕駛技術(shù)、智能機(jī)器人和智慧地球的發(fā)展，計算機(jī)越來越在人類生活中起到?jīng)Q定性的作用。未來不僅在高科技尖端領(lǐng)域承擔(dān)重要責(zé)任，而且住宅、行車等生活領(lǐng)域也會有著廣泛應(yīng)用。在人類越來越依賴計算機(jī)的時代，其系統(tǒng)的安全可靠性關(guān)系到人們生命財產(chǎn)，也決定了未來計算機(jī)和智能產(chǎn)業(yè)能否獲得廣泛的市場。在任何領(lǐng)域，安全系統(tǒng)的核心都是安全計算機(jī)，要確保在故障發(fā)生時，系統(tǒng)的輸出必須處于安全狀態(tài)。早在上個世紀(jì)60年代，NASA就從硬件上設(shè)計故障-安全元器件，但是當(dāng)時計算機(jī)發(fā)展條件有限，人們還沒有意識到軟件是決定系統(tǒng)故障的根本因素。

1 安全計算機(jī)原理和技術(shù)

（1）安全計算機(jī)系統(tǒng)的重要性

2010年華爾街股市曾因?yàn)殡娮涌刂葡到y(tǒng)故障發(fā)生創(chuàng)造歷史的閃電崩盤，道指瞬間急挫千點(diǎn)，專家普遍認(rèn)為這是由計算機(jī)交易的系統(tǒng)性缺陷造成的，因?yàn)殡娔X程序帶來的止損行為而導(dǎo)致蝴蝶式非理性下跌。這就是電子系統(tǒng)接管交易的噩夢，也給人類敲響了警鐘，在大型商用、民用領(lǐng)域計算機(jī)系統(tǒng)一旦發(fā)生故障，其災(zāi)難性后果不堪設(shè)想。針對于此各行各業(yè)都出臺了安全標(biāo)準(zhǔn)，歐洲鐵路行業(yè)制定了標(biāo)準(zhǔn)EN50126，規(guī)定負(fù)責(zé)軌道交通安全的安全計算機(jī)安全等級必須達(dá)到SIL4，國際電工委員會也提出了標(biāo)準(zhǔn)IEC61508，在行業(yè)內(nèi)德國西門子技術(shù)處于領(lǐng)先地位，引領(lǐng)行業(yè)內(nèi)公司開發(fā)自己的安全計算機(jī)結(jié)構(gòu)的聯(lián)鎖系統(tǒng)。

（2）安全計算機(jī)系統(tǒng)原理

第一種是結(jié)構(gòu)雙機(jī)熱備，輸入單元A和B同時工作，各自有數(shù)據(jù)處理單元，輸出單元和回檢單元，獨(dú)立工作，以切換單元聯(lián)接。同步執(zhí)行相同任務(wù)，主系對外輸出，備系會被切斷，當(dāng)主系發(fā)生故障時，切換到備系，當(dāng)雙系統(tǒng)都出現(xiàn)故障時，切斷所有輸出。雙機(jī)熱備也存在隱患，因?yàn)槠浼夹g(shù)關(guān)鍵在于自檢系統(tǒng)，一旦系統(tǒng)出現(xiàn)問題就會造成危險側(cè)輸出，針對這種情況，可以用互檢系統(tǒng)來提升安全概率。第二種是三取二結(jié)構(gòu)，用三模冗余的容錯計算機(jī)提高安全性能，和雙機(jī)結(jié)構(gòu)的不同在于采用三個相通的工作單元A、B、C，表決單元采取三取二機(jī)制，該系統(tǒng)在兩個單元及以上發(fā)生故障時，無法檢測。第三種是二乘二取二結(jié)構(gòu)，A、B工作系各有兩個模塊，兩套子系統(tǒng)仿照雙機(jī)熱備結(jié)構(gòu)，不同的是采用四通道模式。

（3）安全計算機(jī)關(guān)鍵技術(shù)

第一是避錯技術(shù)，讓系統(tǒng)從根本上避免發(fā)生故障，綜合考慮軟硬件因素以及溫度、濕度、噪音等環(huán)境因素。在硬件上選擇可靠性的元件，嚴(yán)控質(zhì)量，軟件上做好白盒測試和黑盒測試，修復(fù)漏洞，環(huán)境上確保主機(jī)安全，供電穩(wěn)定，針對高低溫環(huán)境要有相應(yīng)針對措施，做好防雷、防電磁、防輻射等環(huán)境保護(hù)技術(shù)。第二是容錯技術(shù)，容錯技術(shù)認(rèn)為系統(tǒng)的故障不能避免，因此在故障發(fā)生時還要確保系統(tǒng)正常工作，目前以故障掩蔽技術(shù)和功能重組技術(shù)為主，其核心是冗余技術(shù)，前者是在系統(tǒng)中發(fā)生未檢測的功能模塊發(fā)生故障時，該故障被自動屏蔽掉，比如三取二表決，后者是當(dāng)故障發(fā)生并被檢測到時，讓其它模塊快速接管，比如雙機(jī)熱備表決。第三是故障-安全技術(shù)，即故障倒向安全原則，簡稱F-S（Fail-Safe）原則，比如在交通軌道上發(fā)生故障時首先要讓列車停止運(yùn)行，此時紅燈作為安全側(cè)。在硬件上注重輸入和輸出的安全防護(hù)，比如光電隔離技術(shù)、動態(tài)編碼輸入以及故障-安全型輸出，電路在軟件上注重軟件的程序設(shè)計。第四是故障檢測技術(shù)，這是容錯技術(shù)的基礎(chǔ)，以應(yīng)對硬件的永久故障、瞬時故障和間歇性故障為主，一般來說，設(shè)計缺陷將會造成永久性故障，元器件老化和環(huán)境惡劣會造成模塊失效，人為操作會導(dǎo)致系統(tǒng)故障。故障檢測需要定位故障點(diǎn)，實(shí)時跟蹤模塊的工作狀態(tài)，一般可以采用自檢法、對比法和狀態(tài)監(jiān)控法等。第五是同步機(jī)制，以軟件設(shè)計為基礎(chǔ)的時間范圍任務(wù)同步，以硬件設(shè)計為基礎(chǔ)的多路CPU使用共同的時鐘來源的指令同步。指令同步絕對同步使緊耦合冗余結(jié)構(gòu)易發(fā)生共模錯誤，解決時鐘偏移問題需要復(fù)雜的電路，由于不同語言代碼不同，所以很多設(shè)計只能采用任務(wù)同步，但是同步頻率低，對處理器要求高。第六是主備切換技術(shù)，包括第三方主備切換單元、主備系協(xié)同辦理基于軟硬件結(jié)合兩種方式。比如在鐵路上經(jīng)常應(yīng)用繼電器互鎖技術(shù)，主備切換的關(guān)鍵是瞬間無擾完成工作。第六是表決與安全輸出技術(shù)，安全計算機(jī)數(shù)據(jù)可分為三類，輸入數(shù)據(jù)一致，輸出數(shù)據(jù)一致和輸入輸出數(shù)據(jù)都一致，第三種數(shù)據(jù)是關(guān)鍵的安全數(shù)據(jù)，采用安全與門電路或故障-安全型輸出電路。

2 一種安全計算機(jī)系統(tǒng)改進(jìn)

（1）系統(tǒng)功能分析

系統(tǒng)采用二乘二取二方式，包括A、B兩系，有四個單機(jī)模塊和總線控制器。系統(tǒng)采用點(diǎn)對點(diǎn)通信進(jìn)行首次信息表決，該架構(gòu)系內(nèi)同步方式和傳統(tǒng)方式相同，但是A、B兩系之間不同，兩種設(shè)置完全一致，系間任務(wù)實(shí)現(xiàn)同步。輸出表決采用二乘二取二、三取二、二取二三種模式，在表決任務(wù)前發(fā)出信號，使之實(shí)現(xiàn)同步。

（2）工作流程和狀態(tài)

總線控制器包括普通任務(wù)和表決任務(wù)，當(dāng)收不到任何一個同步信號時，進(jìn)行故障檢測，確認(rèn)失效之后，分析故障碼，根據(jù)故障碼確認(rèn)負(fù)責(zé)何種模式?？偩€控制器檢測接收和輸出的信息，根據(jù)對比的結(jié)構(gòu)更新模式碼。工作狀態(tài)增加了三取二和準(zhǔn)三取二兩種，在二取二狀態(tài)下發(fā)生單模故障和可測雙模故障，在三取二狀態(tài)下可測雙模、三模故障，視為故障安全，此時采用停機(jī)工作模式。在非停機(jī)模式下發(fā)生未檢測雙模，不可修復(fù)三取二模式下發(fā)生未檢測單模故障，視為危險故障。研究表明，三取二系統(tǒng)可靠性更高，但是由于轉(zhuǎn)移機(jī)制復(fù)雜，在工程過程中還需要進(jìn)一步完善結(jié)構(gòu)切換。

（3）計軸系統(tǒng)的設(shè)計和改進(jìn)

計軸系統(tǒng)的作用和軌道電路相似，對規(guī)定區(qū)段內(nèi)的計軸點(diǎn)數(shù)據(jù)進(jìn)行實(shí)時信息采集，由運(yùn)算器進(jìn)行集中處理。系統(tǒng)包括計軸點(diǎn)采集、運(yùn)算處理、輸出控制三個部分，系統(tǒng)能夠滿足同步任務(wù)的通信功能，設(shè)計有4路不同的計軸點(diǎn)采集接口，能夠?qū)崿F(xiàn)主備系的轉(zhuǎn)換。整個系統(tǒng)采用雙板設(shè)計，設(shè)計在一塊電路板上，為了提升主備切換的效率，加裝了主備切換驅(qū)動輸出板，同時切換板還作為兩個系統(tǒng)的信息交流通道，具有故障自檢、故障互檢、脈寬調(diào)制和驅(qū)動等功能。系統(tǒng)工作中從安全輸入接口采集信息，連接光耦隔離輸入模塊，板卡對信息數(shù)據(jù)進(jìn)行處理，然后再輸出到外部設(shè)備。機(jī)箱設(shè)計本著安全、節(jié)約、模塊化的原則，力求高性能、低能耗，還應(yīng)該把經(jīng)濟(jì)因素考慮在內(nèi)。

軟件的安全因素尤其要考慮在內(nèi)，要將安全功能和非安全功能隔離，對功能模塊優(yōu)先級進(jìn)行調(diào)整，所有模塊的責(zé)任功能必須要明確，系統(tǒng)軟件要設(shè)計兩套，主機(jī)軟件具有調(diào)度功能。計算過程要滿一次清算一次，具體工作流程如下：接收到中斷，然后對中斷信息進(jìn)行判斷，當(dāng)A0計軸點(diǎn)等于0，而A1等于零時，A0+1=1，A1=0；當(dāng)為否時，A1等于1，輪軸對+1，清零A0和A1，當(dāng)再為否時，A0=1 A1=0。A1計軸點(diǎn)同理。在設(shè)計中要基于冗余設(shè)計原則，主系主機(jī)執(zhí)行輸出，從系主機(jī)也具備相同功能。

3 結(jié)論

安全計算機(jī)技術(shù)的發(fā)展依賴于硬件技術(shù)和軟件技術(shù)的共同發(fā)展，在實(shí)際工作中，任何系統(tǒng)都有故障率，必須要從硬件上實(shí)現(xiàn)根本改進(jìn)，在軟件上不斷改進(jìn)程序，提升系統(tǒng)安全性。

[1]Mukherjee A,Dhar A S.Real-time fault-tolerance with hot-standby topology for conditional sumadder[J]. Microelectr onics Reliability, 2015, 55(3–4):704-712.

[2]文俊, 蘇宏升, 沈強(qiáng). 兩種鐵路信號系統(tǒng)雙機(jī)熱備結(jié)構(gòu)可靠性與安全性分析[J]. 鐵道標(biāo)準(zhǔn)設(shè)計, 2015.

[3]楊啟亮,邢建春,王平.安全關(guān)鍵系統(tǒng)及其軟件方法[J].計算機(jī)應(yīng)用與軟件,2011.