安全計算機技術(shù)研究和應用

◆李 劍

?

安全計算機技術(shù)研究和應用

◆李 劍

（云南交通職業(yè)技術(shù)學院交通信息工程學院 云南 650505）

隨著計算機技術(shù)的發(fā)展和網(wǎng)絡(luò)攻擊風險的加劇，安全計算機技術(shù)越來越被重視，安全計算機技術(shù)能夠在系統(tǒng)發(fā)生故障和入侵的狀態(tài)下，將系統(tǒng)的輸出在故障狀態(tài)下導向安全側(cè)，因此在航空航天、軍工技術(shù)、軌道交通、尖端科學等領(lǐng)域有著廣泛的應用。安全計算機的獨特之處在于從設(shè)計階段就將故障考慮在內(nèi)，將故障當作必然事件貫穿于系統(tǒng)始終。本文基于這一原則，對安全計算機技術(shù)的原理和應用進行了研究。

安全；計算機；技術(shù)；應用

0 前言

21世紀是計算機的時代，隨著無人駕駛技術(shù)、智能機器人和智慧地球的發(fā)展，計算機越來越在人類生活中起到?jīng)Q定性的作用。未來不僅在高科技尖端領(lǐng)域承擔重要責任，而且住宅、行車等生活領(lǐng)域也會有著廣泛應用。在人類越來越依賴計算機的時代，其系統(tǒng)的安全可靠性關(guān)系到人們生命財產(chǎn)，也決定了未來計算機和智能產(chǎn)業(yè)能否獲得廣泛的市場。在任何領(lǐng)域，安全系統(tǒng)的核心都是安全計算機，要確保在故障發(fā)生時，系統(tǒng)的輸出必須處于安全狀態(tài)。早在上個世紀60年代，NASA就從硬件上設(shè)計故障-安全元器件，但是當時計算機發(fā)展條件有限，人們還沒有意識到軟件是決定系統(tǒng)故障的根本因素。

1 安全計算機原理和技術(shù)

（1）安全計算機系統(tǒng)的重要性

2010年華爾街股市曾因為電子控制系統(tǒng)故障發(fā)生創(chuàng)造歷史的閃電崩盤，道指瞬間急挫千點，專家普遍認為這是由計算機交易的系統(tǒng)性缺陷造成的，因為電腦程序帶來的止損行為而導致蝴蝶式非理性下跌。這就是電子系統(tǒng)接管交易的噩夢，也給人類敲響了警鐘，在大型商用、民用領(lǐng)域計算機系統(tǒng)一旦發(fā)生故障，其災難性后果不堪設(shè)想。針對于此各行各業(yè)都出臺了安全標準，歐洲鐵路行業(yè)制定了標準EN50126，規(guī)定負責軌道交通安全的安全計算機安全等級必須達到SIL4，國際電工委員會也提出了標準IEC61508，在行業(yè)內(nèi)德國西門子技術(shù)處于領(lǐng)先地位，引領(lǐng)行業(yè)內(nèi)公司開發(fā)自己的安全計算機結(jié)構(gòu)的聯(lián)鎖系統(tǒng)。

（2）安全計算機系統(tǒng)原理

第一種是結(jié)構(gòu)雙機熱備，輸入單元A和B同時工作，各自有數(shù)據(jù)處理單元，輸出單元和回檢單元，獨立工作，以切換單元聯(lián)接。同步執(zhí)行相同任務，主系對外輸出，備系會被切斷，當主系發(fā)生故障時，切換到備系，當雙系統(tǒng)都出現(xiàn)故障時，切斷所有輸出。雙機熱備也存在隱患，因為其技術(shù)關(guān)鍵在于自檢系統(tǒng)，一旦系統(tǒng)出現(xiàn)問題就會造成危險側(cè)輸出，針對這種情況，可以用互檢系統(tǒng)來提升安全概率。第二種是三取二結(jié)構(gòu)，用三模冗余的容錯計算機提高安全性能，和雙機結(jié)構(gòu)的不同在于采用三個相通的工作單元A、B、C，表決單元采取三取二機制，該系統(tǒng)在兩個單元及以上發(fā)生故障時，無法檢測。第三種是二乘二取二結(jié)構(gòu)，A、B工作系各有兩個模塊，兩套子系統(tǒng)仿照雙機熱備結(jié)構(gòu)，不同的是采用四通道模式。

（3）安全計算機關(guān)鍵技術(shù)

第一是避錯技術(shù)，讓系統(tǒng)從根本上避免發(fā)生故障，綜合考慮軟硬件因素以及溫度、濕度、噪音等環(huán)境因素。在硬件上選擇可靠性的元件，嚴控質(zhì)量，軟件上做好白盒測試和黑盒測試，修復漏洞，環(huán)境上確保主機安全，供電穩(wěn)定，針對高低溫環(huán)境要有相應針對措施，做好防雷、防電磁、防輻射等環(huán)境保護技術(shù)。第二是容錯技術(shù)，容錯技術(shù)認為系統(tǒng)的故障不能避免，因此在故障發(fā)生時還要確保系統(tǒng)正常工作，目前以故障掩蔽技術(shù)和功能重組技術(shù)為主，其核心是冗余技術(shù)，前者是在系統(tǒng)中發(fā)生未檢測的功能模塊發(fā)生故障時，該故障被自動屏蔽掉，比如三取二表決，后者是當故障發(fā)生并被檢測到時，讓其它模塊快速接管，比如雙機熱備表決。第三是故障-安全技術(shù)，即故障倒向安全原則，簡稱F-S（Fail-Safe）原則，比如在交通軌道上發(fā)生故障時首先要讓列車停止運行，此時紅燈作為安全側(cè)。在硬件上注重輸入和輸出的安全防護，比如光電隔離技術(shù)、動態(tài)編碼輸入以及故障-安全型輸出，電路在軟件上注重軟件的程序設(shè)計。第四是故障檢測技術(shù)，這是容錯技術(shù)的基礎(chǔ)，以應對硬件的永久故障、瞬時故障和間歇性故障為主，一般來說，設(shè)計缺陷將會造成永久性故障，元器件老化和環(huán)境惡劣會造成模塊失效，人為操作會導致系統(tǒng)故障。故障檢測需要定位故障點，實時跟蹤模塊的工作狀態(tài)，一般可以采用自檢法、對比法和狀態(tài)監(jiān)控法等。第五是同步機制，以軟件設(shè)計為基礎(chǔ)的時間范圍任務同步，以硬件設(shè)計為基礎(chǔ)的多路CPU使用共同的時鐘來源的指令同步。指令同步絕對同步使緊耦合冗余結(jié)構(gòu)易發(fā)生共模錯誤，解決時鐘偏移問題需要復雜的電路，由于不同語言代碼不同，所以很多設(shè)計只能采用任務同步，但是同步頻率低，對處理器要求高。第六是主備切換技術(shù)，包括第三方主備切換單元、主備系協(xié)同辦理基于軟硬件結(jié)合兩種方式。比如在鐵路上經(jīng)常應用繼電器互鎖技術(shù)，主備切換的關(guān)鍵是瞬間無擾完成工作。第六是表決與安全輸出技術(shù)，安全計算機數(shù)據(jù)可分為三類，輸入數(shù)據(jù)一致，輸出數(shù)據(jù)一致和輸入輸出數(shù)據(jù)都一致，第三種數(shù)據(jù)是關(guān)鍵的安全數(shù)據(jù)，采用安全與門電路或故障-安全型輸出電路。

2 一種安全計算機系統(tǒng)改進

（1）系統(tǒng)功能分析

系統(tǒng)采用二乘二取二方式，包括A、B兩系，有四個單機模塊和總線控制器。系統(tǒng)采用點對點通信進行首次信息表決，該架構(gòu)系內(nèi)同步方式和傳統(tǒng)方式相同，但是A、B兩系之間不同，兩種設(shè)置完全一致，系間任務實現(xiàn)同步。輸出表決采用二乘二取二、三取二、二取二三種模式，在表決任務前發(fā)出信號，使之實現(xiàn)同步。

（2）工作流程和狀態(tài)

總線控制器包括普通任務和表決任務，當收不到任何一個同步信號時，進行故障檢測，確認失效之后，分析故障碼，根據(jù)故障碼確認負責何種模式?？偩€控制器檢測接收和輸出的信息，根據(jù)對比的結(jié)構(gòu)更新模式碼。工作狀態(tài)增加了三取二和準三取二兩種，在二取二狀態(tài)下發(fā)生單模故障和可測雙模故障，在三取二狀態(tài)下可測雙模、三模故障，視為故障安全，此時采用停機工作模式。在非停機模式下發(fā)生未檢測雙模，不可修復三取二模式下發(fā)生未檢測單模故障，視為危險故障。研究表明，三取二系統(tǒng)可靠性更高，但是由于轉(zhuǎn)移機制復雜，在工程過程中還需要進一步完善結(jié)構(gòu)切換。

（3）計軸系統(tǒng)的設(shè)計和改進

計軸系統(tǒng)的作用和軌道電路相似，對規(guī)定區(qū)段內(nèi)的計軸點數(shù)據(jù)進行實時信息采集，由運算器進行集中處理。系統(tǒng)包括計軸點采集、運算處理、輸出控制三個部分，系統(tǒng)能夠滿足同步任務的通信功能，設(shè)計有4路不同的計軸點采集接口，能夠?qū)崿F(xiàn)主備系的轉(zhuǎn)換。整個系統(tǒng)采用雙板設(shè)計，設(shè)計在一塊電路板上，為了提升主備切換的效率，加裝了主備切換驅(qū)動輸出板，同時切換板還作為兩個系統(tǒng)的信息交流通道，具有故障自檢、故障互檢、脈寬調(diào)制和驅(qū)動等功能。系統(tǒng)工作中從安全輸入接口采集信息，連接光耦隔離輸入模塊，板卡對信息數(shù)據(jù)進行處理，然后再輸出到外部設(shè)備。機箱設(shè)計本著安全、節(jié)約、模塊化的原則，力求高性能、低能耗，還應該把經(jīng)濟因素考慮在內(nèi)。

軟件的安全因素尤其要考慮在內(nèi)，要將安全功能和非安全功能隔離，對功能模塊優(yōu)先級進行調(diào)整，所有模塊的責任功能必須要明確，系統(tǒng)軟件要設(shè)計兩套，主機軟件具有調(diào)度功能。計算過程要滿一次清算一次，具體工作流程如下：接收到中斷，然后對中斷信息進行判斷，當A0計軸點等于0，而A1等于零時，A0+1=1，A1=0；當為否時，A1等于1，輪軸對+1，清零A0和A1，當再為否時，A0=1 A1=0。A1計軸點同理。在設(shè)計中要基于冗余設(shè)計原則，主系主機執(zhí)行輸出，從系主機也具備相同功能。

3 結(jié)論

安全計算機技術(shù)的發(fā)展依賴于硬件技術(shù)和軟件技術(shù)的共同發(fā)展，在實際工作中，任何系統(tǒng)都有故障率，必須要從硬件上實現(xiàn)根本改進，在軟件上不斷改進程序，提升系統(tǒng)安全性。

[1]Mukherjee A,Dhar A S.Real-time fault-tolerance with hot-standby topology for conditional sumadder[J]. Microelectr onics Reliability, 2015, 55(3–4):704-712.

[2]文俊, 蘇宏升, 沈強. 兩種鐵路信號系統(tǒng)雙機熱備結(jié)構(gòu)可靠性與安全性分析[J]. 鐵道標準設(shè)計, 2015.

[3]楊啟亮,邢建春,王平.安全關(guān)鍵系統(tǒng)及其軟件方法[J].計算機應用與軟件,2011.