◆李 剑
安全计算机技术研究和应用
◆李 剑
(云南交通职业技术学院交通信息工程学院 云南 650505)
随着计算机技术的发展和网络攻击风险的加剧,安全计算机技术越来越被重视,安全计算机技术能够在系统发生故障和入侵的状态下,将系统的输出在故障状态下导向安全侧,因此在航空航天、军工技术、轨道交通、尖端科学等领域有着广泛的应用。安全计算机的独特之处在于从设计阶段就将故障考虑在内,将故障当作必然事件贯穿于系统始终。本文基于这一原则,对安全计算机技术的原理和应用进行了研究。
安全;计算机;技术;应用
21世纪是计算机的时代,随着无人驾驶技术、智能机器人和智慧地球的发展,计算机越来越在人类生活中起到决定性的作用。未来不仅在高科技尖端领域承担重要责任,而且住宅、行车等生活领域也会有着广泛应用。在人类越来越依赖计算机的时代,其系统的安全可靠性关系到人们生命财产,也决定了未来计算机和智能产业能否获得广泛的市场。在任何领域,安全系统的核心都是安全计算机,要确保在故障发生时,系统的输出必须处于安全状态。早在上个世纪60年代,NASA就从硬件上设计故障-安全元器件,但是当时计算机发展条件有限,人们还没有意识到软件是决定系统故障的根本因素。
2010年华尔街股市曾因为电子控制系统故障发生创造历史的闪电崩盘,道指瞬间急挫千点,专家普遍认为这是由计算机交易的系统性缺陷造成的,因为电脑程序带来的止损行为而导致蝴蝶式非理性下跌。这就是电子系统接管交易的噩梦,也给人类敲响了警钟,在大型商用、民用领域计算机系统一旦发生故障,其灾难性后果不堪设想。针对于此各行各业都出台了安全标准,欧洲铁路行业制定了标准EN50126,规定负责轨道交通安全的安全计算机安全等级必须达到SIL4,国际电工委员会也提出了标准IEC61508,在行业内德国西门子技术处于领先地位,引领行业内公司开发自己的安全计算机结构的联锁系统。
第一种是结构双机热备,输入单元A和B同时工作,各自有数据处理单元,输出单元和回检单元,独立工作,以切换单元联接。同步执行相同任务,主系对外输出,备系会被切断,当主系发生故障时,切换到备系,当双系统都出现故障时,切断所有输出。双机热备也存在隐患,因为其技术关键在于自检系统,一旦系统出现问题就会造成危险侧输出,针对这种情况,可以用互检系统来提升安全概率。第二种是三取二结构,用三模冗余的容错计算机提高安全性能,和双机结构的不同在于采用三个相通的工作单元A、B、C,表决单元采取三取二机制,该系统在两个单元及以上发生故障时,无法检测。第三种是二乘二取二结构,A、B工作系各有两个模块,两套子系统仿照双机热备结构,不同的是采用四通道模式。
第一是避错技术,让系统从根本上避免发生故障,综合考虑软硬件因素以及温度、湿度、噪音等环境因素。在硬件上选择可靠性的元件,严控质量,软件上做好白盒测试和黑盒测试,修复漏洞,环境上确保主机安全,供电稳定,针对高低温环境要有相应针对措施,做好防雷、防电磁、防辐射等环境保护技术。第二是容错技术,容错技术认为系统的故障不能避免,因此在故障发生时还要确保系统正常工作,目前以故障掩蔽技术和功能重组技术为主,其核心是冗余技术,前者是在系统中发生未检测的功能模块发生故障时,该故障被自动屏蔽掉,比如三取二表决,后者是当故障发生并被检测到时,让其它模块快速接管,比如双机热备表决。第三是故障-安全技术,即故障倒向安全原则,简称F-S(Fail-Safe)原则,比如在交通轨道上发生故障时首先要让列车停止运行,此时红灯作为安全侧。在硬件上注重输入和输出的安全防护,比如光电隔离技术、动态编码输入以及故障-安全型输出,电路在软件上注重软件的程序设计。第四是故障检测技术,这是容错技术的基础,以应对硬件的永久故障、瞬时故障和间歇性故障为主,一般来说,设计缺陷将会造成永久性故障,元器件老化和环境恶劣会造成模块失效,人为操作会导致系统故障。故障检测需要定位故障点,实时跟踪模块的工作状态,一般可以采用自检法、对比法和状态监控法等。第五是同步机制,以软件设计为基础的时间范围任务同步,以硬件设计为基础的多路CPU使用共同的时钟来源的指令同步。指令同步绝对同步使紧耦合冗余结构易发生共模错误,解决时钟偏移问题需要复杂的电路,由于不同语言代码不同,所以很多设计只能采用任务同步,但是同步频率低,对处理器要求高。第六是主备切换技术,包括第三方主备切换单元、主备系协同办理基于软硬件结合两种方式。比如在铁路上经常应用继电器互锁技术,主备切换的关键是瞬间无扰完成工作。第六是表决与安全输出技术,安全计算机数据可分为三类,输入数据一致,输出数据一致和输入输出数据都一致,第三种数据是关键的安全数据,采用安全与门电路或故障-安全型输出电路。
系统采用二乘二取二方式,包括A、B两系,有四个单机模块和总线控制器。系统采用点对点通信进行首次信息表决,该架构系内同步方式和传统方式相同,但是A、B两系之间不同,两种设置完全一致,系间任务实现同步。输出表决采用二乘二取二、三取二、二取二三种模式,在表决任务前发出信号,使之实现同步。
总线控制器包括普通任务和表决任务,当收不到任何一个同步信号时,进行故障检测,确认失效之后,分析故障码,根据故障码确认负责何种模式。总线控制器检测接收和输出的信息,根据对比的结构更新模式码。工作状态增加了三取二和准三取二两种,在二取二状态下发生单模故障和可测双模故障,在三取二状态下可测双模、三模故障,视为故障安全,此时采用停机工作模式。在非停机模式下发生未检测双模,不可修复三取二模式下发生未检测单模故障,视为危险故障。研究表明,三取二系统可靠性更高,但是由于转移机制复杂,在工程过程中还需要进一步完善结构切换。
计轴系统的作用和轨道电路相似,对规定区段内的计轴点数据进行实时信息采集,由运算器进行集中处理。系统包括计轴点采集、运算处理、输出控制三个部分,系统能够满足同步任务的通信功能,设计有4路不同的计轴点采集接口,能够实现主备系的转换。整个系统采用双板设计,设计在一块电路板上,为了提升主备切换的效率,加装了主备切换驱动输出板,同时切换板还作为两个系统的信息交流通道,具有故障自检、故障互检、脉宽调制和驱动等功能。系统工作中从安全输入接口采集信息,连接光耦隔离输入模块,板卡对信息数据进行处理,然后再输出到外部设备。机箱设计本着安全、节约、模块化的原则,力求高性能、低能耗,还应该把经济因素考虑在内。
软件的安全因素尤其要考虑在内,要将安全功能和非安全功能隔离,对功能模块优先级进行调整,所有模块的责任功能必须要明确,系统软件要设计两套,主机软件具有调度功能。计算过程要满一次清算一次,具体工作流程如下:接收到中断,然后对中断信息进行判断,当A0计轴点等于0,而A1等于零时,A0+1=1,A1=0;当为否时,A1等于1,轮轴对+1,清零A0和A1,当再为否时,A0=1 A1=0。A1计轴点同理。在设计中要基于冗余设计原则,主系主机执行输出,从系主机也具备相同功能。
安全计算机技术的发展依赖于硬件技术和软件技术的共同发展,在实际工作中,任何系统都有故障率,必须要从硬件上实现根本改进,在软件上不断改进程序,提升系统安全性。
[1]Mukherjee A,Dhar A S.Real-time fault-tolerance with hot-standby topology for conditional sumadder[J]. Microelectr onics Reliability, 2015, 55(3–4):704-712.
[2]文俊, 苏宏升, 沈强. 两种铁路信号系统双机热备结构可靠性与安全性分析[J]. 铁道标准设计, 2015.
[3]杨启亮,邢建春,王平.安全关键系统及其软件方法[J].计算机应用与软件,2011.