本發(fā)明涉及鐵路控制安全關(guān)鍵系統(tǒng)。更特別地，本發(fā)明涉及如鐵路行業(yè)中需要的具有低危險(xiǎn)率的鐵路安全關(guān)鍵應(yīng)用系統(tǒng)中的控制系統(tǒng)。鐵路安全關(guān)鍵應(yīng)用系統(tǒng)（“安全關(guān)鍵系統(tǒng)”）以非限制性示例的方式包括列車管理系統(tǒng)、后臺(tái)服務(wù)器、用于在列車超過安全防護(hù)速度限制的情況下自動(dòng)干預(yù)的車載單元、記錄操作信息的數(shù)據(jù)記錄器、列車速度和定位確定設(shè)備、制動(dòng)和節(jié)流控制裝置、子系統(tǒng)狀態(tài)和診斷裝置、在軌道側(cè)/陸地側(cè)和列車側(cè)之間（例如經(jīng)由無線電通信）交換的無線數(shù)據(jù)通信裝置和列車工作人員通信裝置。如這里所使用的，術(shù)語“列車”是單獨(dú)的機(jī)車、具有車廂的機(jī)車、或集成的機(jī)車/車廂交通工具（例如輕軌或地鐵）。

背景技術(shù)：

鐵路列車裝備有安全關(guān)鍵系統(tǒng)，要求該安全關(guān)鍵系統(tǒng)具有高可用性和低危險(xiǎn)率（“危險(xiǎn)”通常被理解為“具有人受傷和/或損害環(huán)境的可能性的物理情形”（IEC 62278））?！拌F路運(yùn)營商和政府監(jiān)管機(jī)構(gòu)常常要求滿足它們對(duì)操作安全的高需求的極低危險(xiǎn)率?！保?。安全關(guān)鍵系統(tǒng)通常利用電子控制系統(tǒng)來操作。隨著時(shí)間的過去，那些系統(tǒng)傾向與通過一個(gè)或多個(gè)通信數(shù)據(jù)總線彼此進(jìn)行通信的處理器或控制器操作的數(shù)字電子系統(tǒng)。

為了滿足鐵路安全目標(biāo)，控制系統(tǒng)硬件常常是有文檔證明的測(cè)試和驗(yàn)證的專有專用設(shè)計(jì)。數(shù)字電子控制器操作系統(tǒng)和應(yīng)用程序軟件也被驗(yàn)證。電子數(shù)據(jù)通信利用經(jīng)過驗(yàn)證的安全代碼來進(jìn)行數(shù)據(jù)完整性檢查（諸如散列代碼或加密附件），以便確保在各系統(tǒng)之間傳輸時(shí)的數(shù)據(jù)完整性。驗(yàn)證過程需要時(shí)間和開銷。考慮到鐵路安全關(guān)鍵系統(tǒng)的相對(duì)有限需求和銷售量，與一般的商用和消費(fèi)電子器件（例如個(gè)人計(jì)算機(jī)硬件、軟件和操作系統(tǒng)）的需求相比，鐵路安全關(guān)鍵系統(tǒng)控制器以及相關(guān)設(shè)備制造成本很高并且具有比在一般電子器件應(yīng)用領(lǐng)域中銷售的那些更長的產(chǎn)品生命周期。

然而，消費(fèi)者和商用個(gè)人計(jì)算機(jī)（PC）不能直接替代現(xiàn)有的鐵路安全關(guān)鍵系統(tǒng)控制系統(tǒng)。PC往往僅具有每操作小時(shí)不多于10^-4的數(shù)據(jù)故障率，這不足以滿足鐵路系統(tǒng)所要求的危險(xiǎn)。另外，未驗(yàn)證PC商用操作系統(tǒng)軟件在鐵路安全關(guān)鍵系統(tǒng)中的使用。

在鐵路行業(yè)中存在（在可能的情況下）對(duì)將鐵路領(lǐng)域特定的專有設(shè)計(jì)安全關(guān)鍵系統(tǒng)控制系統(tǒng)硬件和操作系統(tǒng)軟件替換為更容易得到的通用商業(yè)現(xiàn)貨（“COTS”）產(chǎn)品的需要。用COTS子系統(tǒng)替代鐵路領(lǐng)域特定專有設(shè)計(jì)子系統(tǒng)潛在地可以簡化總體系統(tǒng)設(shè)計(jì)、縮短系統(tǒng)設(shè)計(jì)周期、并允許鐵路安全關(guān)鍵系統(tǒng)主要供應(yīng)商將其努力集中于總體系統(tǒng)應(yīng)用和集成問題上，就此來說該供應(yīng)商比一般消費(fèi)者或COTS電子子供應(yīng)商具有更多專業(yè)知識(shí)。

在鐵路行業(yè)中還存在對(duì)通過用COTS產(chǎn)品替代鐵路領(lǐng)域特定產(chǎn)品（當(dāng)替代物的驗(yàn)證是劃算時(shí)）來降低安全關(guān)鍵系統(tǒng)控制系統(tǒng)采購成本且增加合格子供貨商的數(shù)目的需要。鐵路消費(fèi)者和安全關(guān)鍵系統(tǒng)主要供應(yīng)商還可能受益于將子系統(tǒng)部件的設(shè)計(jì)和制造外包給子供貨商，這些子供貨商對(duì)它們各自的商用部件具有更廣闊的設(shè)計(jì)專業(yè)知識(shí)。

在鐵路行業(yè)中存在對(duì)通過簡化和聚集驗(yàn)證程序來合理化安全關(guān)鍵系統(tǒng)采購時(shí)間線的額外需要。例如，如果商業(yè)現(xiàn)貨（COST）控制系統(tǒng)硬件和軟件組件已經(jīng)滿足識(shí)別的和文檔證明的可靠性驗(yàn)證標(biāo)準(zhǔn)；則可能不需要重新驗(yàn)證用于鐵路關(guān)鍵系統(tǒng)應(yīng)用的那些相同的產(chǎn)品。相反地，可以通過包括已經(jīng)驗(yàn)證的商業(yè)現(xiàn)貨產(chǎn)品的貢獻(xiàn)的一般系統(tǒng)驗(yàn)證程序來統(tǒng)一和簡化安全關(guān)鍵系統(tǒng)驗(yàn)證，由此合理化采購時(shí)間線和過程。

技術(shù)實(shí)現(xiàn)要素：

因此，本發(fā)明的一個(gè)目標(biāo)是通過將專有設(shè)計(jì)安全關(guān)鍵系統(tǒng)控制系統(tǒng)硬件和操作系統(tǒng)軟件替換為更容易得到的非專有商業(yè)產(chǎn)品來簡化鐵路安全關(guān)鍵系統(tǒng)總體設(shè)計(jì)。

本發(fā)明還有的另一目標(biāo)是通過當(dāng)替代物的驗(yàn)證劃算時(shí)用非專有產(chǎn)品替代專有產(chǎn)品來降低安全關(guān)鍵系統(tǒng)控制系統(tǒng)采購成本并且增加合格子供貨商的數(shù)目，這些子供貨商在它們各自的商業(yè)生產(chǎn)線方面具有更廣闊的設(shè)計(jì)專業(yè)知識(shí)。

本發(fā)明的額外目標(biāo)是通過簡化和聚集驗(yàn)證程序來合理化安全關(guān)鍵系統(tǒng)控制系統(tǒng)采購成本和驗(yàn)證時(shí)間線以及增加合格供貨商的數(shù)目。

根據(jù)本發(fā)明通過用于鐵路安全關(guān)鍵應(yīng)用系統(tǒng)（“安全關(guān)鍵系統(tǒng)”）的控制系統(tǒng)和用于操作該控制系統(tǒng)的方法來實(shí)現(xiàn)這些和其他目標(biāo)，該控制系統(tǒng)用商業(yè)現(xiàn)貨硬件和操作系統(tǒng)軟件替代鐵路領(lǐng)域特定專有產(chǎn)品部件，還可以被驗(yàn)證為符合鐵路安全關(guān)鍵系統(tǒng)標(biāo)準(zhǔn)。例如，商業(yè)個(gè)人計(jì)算機(jī)或具有一個(gè)或多個(gè)個(gè)人計(jì)算機(jī)和操作系統(tǒng)的虛擬計(jì)算機(jī)環(huán)境可以替代具有兩個(gè)獨(dú)立任務(wù)、線程或節(jié)點(diǎn)的專有鐵路領(lǐng)域特定鐵路環(huán)境，并且被配置用于與其他安全關(guān)鍵系統(tǒng)進(jìn)行非對(duì)稱通信。這兩個(gè)任務(wù)接收并檢驗(yàn)安全關(guān)鍵系統(tǒng)輸入消息數(shù)據(jù)和安全代碼完整性并響應(yīng)于輸入消息分別地生成輸出數(shù)據(jù)。利用非對(duì)稱通信架構(gòu)，第一任務(wù)具有發(fā)送包括輸出數(shù)據(jù)但不具有輸出安全代碼的安全關(guān)鍵系統(tǒng)輸出消息的唯一能力，并且僅第二任務(wù)具有生成所需的輸出安全代碼的能力。因?yàn)槿哂嗪头菍?duì)稱通信架構(gòu)，任一個(gè)或兩個(gè)任務(wù)、軟件或處理能力的故障導(dǎo)致未能傳送安全關(guān)鍵系統(tǒng)輸出消息或不能被接收那些未被檢驗(yàn)的消息的其他安全關(guān)鍵系統(tǒng)檢驗(yàn)（并因此不被使用或信任）的輸出消息。

本發(fā)明的特征在于用于鐵路安全關(guān)鍵應(yīng)用系統(tǒng)（“安全關(guān)鍵系統(tǒng)”）的控制系統(tǒng)。該控制系統(tǒng)具有執(zhí)行第一和第二任務(wù)的至少一個(gè)控制器。該第一任務(wù)具有外部雙邊通信接口，其能夠發(fā)送和接收在鐵路安全關(guān)鍵應(yīng)用系統(tǒng)內(nèi)生成的安全關(guān)鍵系統(tǒng)消息。該消息包括安全代碼和安全關(guān)鍵數(shù)據(jù)。該第二任務(wù)具有外部通信接口，其能夠接收但是不能發(fā)送在第二任務(wù)內(nèi)生成的安全關(guān)鍵系統(tǒng)消息。該第二任務(wù)具有安全代碼生成器。該控制系統(tǒng)具有耦合第一和第二任務(wù)的任務(wù)間通信路徑。當(dāng)操作本發(fā)明的控制系統(tǒng)時(shí)，該第一和第二任務(wù)分別接收包括輸入安全關(guān)鍵系統(tǒng)數(shù)據(jù)和輸入安全代碼的輸入安全關(guān)鍵系統(tǒng)消息。它們兩個(gè)都檢驗(yàn)輸入消息完整性并生成輸出安全關(guān)鍵系統(tǒng)數(shù)據(jù)。該第二任務(wù)生成輸出安全代碼并且將其發(fā)送給第一任務(wù)。然后第一任務(wù)發(fā)送包括輸出安全關(guān)鍵系統(tǒng)數(shù)據(jù)和第二任務(wù)的輸出安全代碼的輸出安全關(guān)鍵系統(tǒng)消息，以便在安全關(guān)鍵應(yīng)用系統(tǒng)內(nèi)使用。

本發(fā)明的特征還在于包括用于控制鐵路安全關(guān)鍵系統(tǒng)的多個(gè)控制系統(tǒng)的鐵路系統(tǒng)。各控制系統(tǒng)彼此通信耦合以用于接收和傳輸分別具有安全關(guān)鍵數(shù)據(jù)和安全代碼的安全關(guān)鍵系統(tǒng)消息。相應(yīng)控制系統(tǒng)中的至少一些中的每一個(gè)都具有執(zhí)行第一和第二任務(wù)的至少一個(gè)控制器。該第一任務(wù)具有外部雙邊通信接口，其能夠發(fā)送和接收在另一被連接的系統(tǒng)內(nèi)生成的安全關(guān)鍵系統(tǒng)消息。該第二任務(wù)具有外部通信接口，其能夠接收但是不能發(fā)送在該第二任務(wù)內(nèi)生成的安全關(guān)鍵系統(tǒng)消息。該第二任務(wù)具有安全代碼生成器。任務(wù)間通信路徑耦合第一和第二任務(wù)。在那些相應(yīng)控制系統(tǒng)的操作中，該第一和第二任務(wù)分別接收包括輸入安全關(guān)鍵系統(tǒng)數(shù)據(jù)和輸入安全代碼的輸入安全關(guān)鍵系統(tǒng)消息；檢驗(yàn)輸入消息完整性并生成輸出安全關(guān)鍵系統(tǒng)數(shù)據(jù)。該第二任務(wù)生成輸出安全代碼并且將其發(fā)送給第一任務(wù)，并且第一任務(wù)發(fā)送包括輸出安全關(guān)鍵系統(tǒng)數(shù)據(jù)和第二任務(wù)的輸出安全代碼的輸出安全關(guān)鍵系統(tǒng)消息，以便在被連接的系統(tǒng)內(nèi)使用。

本發(fā)明額外的特征在于一種用于控制安全關(guān)鍵鐵路控制系統(tǒng)（諸如聯(lián)鎖系統(tǒng)或列車控制系統(tǒng)）的方法。該方法包括利用在至少一個(gè)控制器上執(zhí)行的相應(yīng)第一和第二任務(wù)來接收在鐵路列車內(nèi)生成的包括安全代碼和安全關(guān)鍵數(shù)據(jù)的安全關(guān)鍵系統(tǒng)輸入消息，并且獨(dú)立地檢驗(yàn)輸入消息完整性。接下來各任務(wù)中的每一個(gè)響應(yīng)于該輸入消息獨(dú)立地生成輸出安全關(guān)鍵系統(tǒng)數(shù)據(jù)。該第二任務(wù)生成被發(fā)送給第一任務(wù)的輸出安全代碼，然后該第一任務(wù)進(jìn)而負(fù)責(zé)收集、檢驗(yàn)和發(fā)送包括輸出安全關(guān)鍵系統(tǒng)數(shù)據(jù)和第二任務(wù)的輸出安全代碼的輸出安全關(guān)鍵系統(tǒng)消息。

本領(lǐng)域技術(shù)人員可以以任何組合或子組合來共同地或分別地應(yīng)用本發(fā)明的目標(biāo)和特征。

附圖說明

可以通過結(jié)合附圖考慮下面的詳細(xì)描述來容易地理解本發(fā)明的教導(dǎo)，在附圖中：

圖1是示出本發(fā)明的列車安全關(guān)鍵系統(tǒng)的相互作用的車載列車控制系統(tǒng)一般示意圖；

圖2是在本發(fā)明的列車安全關(guān)鍵系統(tǒng)控制系統(tǒng)中使用的類型的計(jì)算機(jī)或控制器的示意圖；

圖3是在本發(fā)明的安全關(guān)鍵系統(tǒng)控制系統(tǒng)中使用的示例性安全關(guān)鍵系統(tǒng)消息格式；

圖4是示出在本發(fā)明的各安全關(guān)鍵系統(tǒng)控制系統(tǒng)之間的通信相互作用的框圖；

圖5是示出由本發(fā)明的安全關(guān)鍵系統(tǒng)控制系統(tǒng)的示例性實(shí)施例執(zhí)行的處理步驟的計(jì)時(shí)圖；以及

圖6是示出由本發(fā)明的安全關(guān)鍵系統(tǒng)控制系統(tǒng)的另一示例性實(shí)施例執(zhí)行的處理步驟的計(jì)時(shí)圖。

為了促進(jìn)理解，在可能的的情況下已使用了同樣的參考數(shù)字來指定附圖所共有的同樣的元件。

具體實(shí)施方式

在考慮下面的描述之后，本領(lǐng)域技術(shù)人員將會(huì)清楚地認(rèn)識(shí)到，可以在用商業(yè)硬件和/或操作系統(tǒng)軟件替代專有產(chǎn)品部件的、還被驗(yàn)證符合鐵路安全關(guān)鍵系統(tǒng)標(biāo)準(zhǔn)的鐵路安全關(guān)鍵系統(tǒng)中容易地利用本發(fā)明的教導(dǎo)。在本發(fā)明的一些實(shí)施例中，安全關(guān)鍵系統(tǒng)利用具有一個(gè)或多個(gè)個(gè)人計(jì)算機(jī)、具有兩個(gè)獨(dú)立任務(wù)和操作系統(tǒng)或其他商業(yè)上可得到的控制器和操作系統(tǒng)的虛擬計(jì)算機(jī)環(huán)境。為了額外的多樣性，每個(gè)計(jì)算機(jī)、操作系統(tǒng)、軟件語言和編譯器可能不同。兩個(gè)任務(wù)接收和檢驗(yàn)安全關(guān)鍵系統(tǒng)輸入消息數(shù)據(jù)和安全代碼完整性并響應(yīng)于輸入消息單獨(dú)地生成輸出數(shù)據(jù)。該單獨(dú)成對(duì)的任務(wù)非對(duì)稱地通信。第一任務(wù)具有發(fā)送包括輸出數(shù)據(jù)和輸出安全代碼的安全關(guān)鍵系統(tǒng)輸出消息的唯一能力，但僅第二任務(wù)具有生成輸出安全代碼的能力。任一計(jì)算機(jī)硬件、軟件或處理能力的故障會(huì)導(dǎo)致未能傳送安全關(guān)鍵系統(tǒng)輸出消息或未能傳送不能被接收那些未被檢驗(yàn)的消息的其他安全關(guān)鍵系統(tǒng)檢驗(yàn)（并因此不被使用或信任）的輸出消息。

列車安全關(guān)鍵系統(tǒng)的一般描述。

圖1一般地示出具有固定軌道10以及一個(gè)或多個(gè)列車40的鐵路系統(tǒng)。這里關(guān)于列車通信、包括安全關(guān)鍵系統(tǒng)等等的各列車系統(tǒng)的相互作用的一般描述具有幫助理解在鐵路列車中可以怎樣利用本發(fā)明的一般性質(zhì)。個(gè)體列車網(wǎng)絡(luò)和列車系統(tǒng)可能不同于這里闡述的一般示例性描述。列車40包括無線數(shù)據(jù)/通信系統(tǒng)42，其能夠傳送和接收無線數(shù)據(jù)，與通信系統(tǒng)無線軌道列車控制站網(wǎng)絡(luò)（未示出）通信。

列車發(fā)射器和接收器通信安全關(guān)鍵系統(tǒng)42直接或間接通信耦合到其他安全關(guān)鍵系統(tǒng)，其他安全關(guān)鍵系統(tǒng)包括車載列車管理系統(tǒng)（TMS）50和車載單元（OBU）51，該車載單元（OBU）51在列車操作員未能遵循局部軌道速度和停止指令的情況下干預(yù)列車速度控制和制動(dòng)。典型地，列車40還有具有已知設(shè)計(jì)的車載數(shù)據(jù)記錄系統(tǒng)（DRS）60，其具有記錄器62以及一個(gè)或多個(gè)相關(guān)聯(lián)的存儲(chǔ)器儲(chǔ)存設(shè)備64（除了別的之外其還用于獲取、處理、組織、格式化和記錄事故數(shù)據(jù)）。和任何其他安全關(guān)鍵系統(tǒng)一樣，DRS 60功能可以作為一個(gè)子系統(tǒng)合并到另一列車車載重要系統(tǒng)（諸如列車管理系統(tǒng)（TMS）50）內(nèi)，而不是作為分開的獨(dú)立設(shè)備。

如圖1中還示出的，列車40通常具有其他安全關(guān)鍵子系統(tǒng)，包括將驅(qū)動(dòng)力提供給一個(gè)或多個(gè)車輪車廂的驅(qū)動(dòng)系統(tǒng)72和用于改變列車速度的制動(dòng)系統(tǒng)74。該車載列車管理系統(tǒng)（TMS）50是用于所有其他受控列車子系統(tǒng)的主要電子控制設(shè)備，該其他受控列車子系統(tǒng)包括導(dǎo)航定位系統(tǒng)（NPS）82A，其與提供列車定位和速度信息的列車位置檢測(cè)系統(tǒng)82B相關(guān)聯(lián)。其他子系統(tǒng)包括節(jié)流控制裝置，其促使驅(qū)動(dòng)系統(tǒng)72（例如或多或少的被節(jié)流速度）工作并且從TMS 50接收命令。制動(dòng)系統(tǒng)74促使制動(dòng)器對(duì)列車40制動(dòng)。制動(dòng)系統(tǒng)74也從TMS 50接收命令。其他列車車廂和/或串聯(lián)機(jī)車40’可選地可以與TMS 50或列車40中的其他子系統(tǒng)通信，諸如用于制動(dòng)和節(jié)流控制的協(xié)調(diào)。列車40還具有列車工作人員人機(jī)接口（HMI）90（其具有電子顯示屏91）和操作員致動(dòng)的制動(dòng)器B和節(jié)流閥T控制裝置（操作員根據(jù)列車操作狀況來使用它們中的一個(gè)或兩個(gè)），以使得列車操作員可以驅(qū)動(dòng)列車。HMI 90經(jīng)由通信數(shù)據(jù)總線92與TMS 50進(jìn)行通信，盡管當(dāng)實(shí)施其他已知控制系統(tǒng)架構(gòu)時(shí)其他已知的通信路徑可以替代該數(shù)據(jù)總線。HMI 90將列車操作員相應(yīng)的節(jié)流閥T和制動(dòng)器B控制命令傳達(dá)給相應(yīng)的引擎控制裝置72和制動(dòng)系統(tǒng)74。

在圖1的該示例性實(shí)施例中，TMS列車控制系統(tǒng)50、OBU 51、數(shù)據(jù)記錄系統(tǒng)（DRS）60和HMI 90中的每一個(gè)都具有經(jīng)由數(shù)據(jù)總線92彼此進(jìn)行通信的已知設(shè)計(jì)的內(nèi)部計(jì)算機(jī)/控制器平臺(tái)100。然而，作為設(shè)計(jì)選擇的問題，計(jì)算機(jī)控制器的數(shù)目、它們的位置以及它們的分布功能可能改變。在該示例性實(shí)施例中，由TMS 50以及其中的控制器平臺(tái)100來執(zhí)行列車40子系統(tǒng)的一般控制；由OBU 51以及其中的控制器平臺(tái)來執(zhí)行干預(yù)功能；由數(shù)據(jù)記錄系統(tǒng)60以及其中的控制器平臺(tái)100來執(zhí)行數(shù)據(jù)記錄功能；并且由HMI 90以及其中的控制器平臺(tái)100來執(zhí)行HMI功能，然而這些系統(tǒng)50、51、60、90中的任一個(gè)可以部分或整體地組合。

安全關(guān)鍵鐵路系統(tǒng)任務(wù)及其通信的一般描述。

參考圖2，物理或虛擬控制器平臺(tái)100包括處理器110以及與其通信的控制器總線120。處理器110被耦合到一個(gè)或多個(gè)內(nèi)部或外部存儲(chǔ)器設(shè)備130，該存儲(chǔ)器設(shè)備130中包括由處理器訪問和執(zhí)行的應(yīng)用程序150軟件模塊指令集和操作系統(tǒng)140，并且促使其各自的控制設(shè)備（例如TMS 50、OBU 51、DRS 60或HMI 90等等）在它們各自的相關(guān)聯(lián)安全關(guān)鍵子系統(tǒng)上執(zhí)行控制操作。

盡管參考由通過處理器110所執(zhí)行的軟件模塊的示例性控制器平臺(tái)100架構(gòu)和實(shí)現(xiàn)，但是還要理解，可以以硬件、軟件、固件、專用處理器或其組合的各種形式來實(shí)施本發(fā)明。優(yōu)選地，本發(fā)明的各方面以軟件方式實(shí)施為程序存儲(chǔ)設(shè)備上有形體現(xiàn)的程序。該程序可以被上傳到包括任何適當(dāng)架構(gòu)的機(jī)器，并且由該機(jī)器來執(zhí)行。優(yōu)選地，在計(jì)算機(jī)平臺(tái)上實(shí)施該機(jī)器，該計(jì)算機(jī)平臺(tái)具有諸如一個(gè)或多個(gè)中央處理單元（CPU）、隨機(jī)存取存儲(chǔ)器（RAM）和（一個(gè)或多個(gè)）輸入/輸出（I/O）接口之類的硬件。計(jì)算機(jī)平臺(tái)100還包括操作系統(tǒng)和微指令代碼。這里描述的各種過程和功能可以是微指令代碼的一部分或者經(jīng)由操作系統(tǒng)執(zhí)行的程序（或其組合）的一部分。此外，各種其他外圍設(shè)備可以被連接到計(jì)算機(jī)/控制器平臺(tái)100。

要理解，因?yàn)樵诟綀D中描繪的構(gòu)成系統(tǒng)部件和方法步驟中的一些優(yōu)選地以軟件方式來實(shí)施，所以根據(jù)本發(fā)明被編程的方式各系統(tǒng)部件（或過程步驟）之間的實(shí)際連接可能不同。具體來說，各計(jì)算機(jī)平臺(tái)或設(shè)備中的任何一個(gè)可以使用任何現(xiàn)有的或稍后發(fā)現(xiàn)的聯(lián)網(wǎng)技術(shù)來互連，并且所有都還可以通過較大的網(wǎng)絡(luò)系統(tǒng)（諸如企業(yè)網(wǎng)絡(luò)、城域網(wǎng)或全球網(wǎng)（諸如互聯(lián)網(wǎng)））來連接。

計(jì)算機(jī)/控制器平臺(tái)100經(jīng)由相應(yīng)的通信路徑I’通過輸入接口160從一個(gè)或多個(gè)輸入設(shè)備I接收輸入通信，進(jìn)而可以經(jīng)由控制器總線120分配輸入信息。輸出接口180經(jīng)由相關(guān)聯(lián)的通信路徑O’促進(jìn)與一個(gè)或多個(gè)輸出設(shè)備O的通信?？刂破髌脚_(tái)100還具有用于與共享外部數(shù)據(jù)總線（諸如先前描述的數(shù)據(jù)總線92）上的其他控制器進(jìn)行通信的通信接口170。

參考圖2-4，經(jīng)由數(shù)據(jù)總線92上載送的安全關(guān)鍵系統(tǒng)消息（SCSM）200來完成計(jì)算機(jī)/控制器平臺(tái)100以及它們各自的安全關(guān)鍵系統(tǒng)（SCS1-SCSn）之間的通信。根據(jù)針對(duì)鐵路關(guān)鍵系統(tǒng)中的安全關(guān)鍵數(shù)據(jù)完整性而批準(zhǔn)的已知協(xié)議（包括由已知CHECK-SUM、HASH等等協(xié)議生成的已知安全代碼）來格式化和傳送每個(gè)SCSM 200。圖3中示出的示例性SCSM 200包括時(shí)間戳210，并且如果需要的話還包括序列號(hào)和來源及目的地標(biāo)識(shí)符（未示出）、安全關(guān)鍵系統(tǒng)數(shù)據(jù)（SCS數(shù)據(jù)）220和安全代碼（SC）230。為了便于這里的描述，傳入或輸入安全關(guān)鍵系統(tǒng)消息（SCSMI）包括安全關(guān)鍵輸入數(shù)據(jù)（DI）和輸入安全代碼（SI）。類似地，傳出或輸出安全關(guān)鍵系統(tǒng)消息（SCSMO）包括安全關(guān)鍵輸出數(shù)據(jù)（DO）和輸出安全代碼（SO）。當(dāng)安全關(guān)鍵系統(tǒng)SCS1-SCSn接收到SCSMI時(shí)，利用以硬件、固件、軟件或其任何組合實(shí)施的任務(wù)（T1、T2）內(nèi)的已知SCI 240分析模塊來檢驗(yàn)其數(shù)據(jù)完整性。如果SCSMI數(shù)據(jù)完整性被檢驗(yàn)，則DI被該任務(wù)利用來準(zhǔn)備包括輸出數(shù)據(jù)DO和在SCO 250生成模塊中生成的輸出安全代碼的相應(yīng)輸出消息SCSMO。和SCI 240模塊一樣，以硬件、固件、軟件或其任何組合來實(shí)施SCO 250模塊生成功能。隨后生成的SCSMO被傳達(dá)給一個(gè)或多個(gè)預(yù)期接受者SCS控制器平臺(tái)，其進(jìn)而將該消息當(dāng)作SCSMI。

冗余控制系統(tǒng)和操作。

在圖4中，安全關(guān)鍵系統(tǒng)任務(wù)SCS1和SCS2分別包括一成對(duì)任務(wù)集T1 300和T2 320，它們經(jīng)由控制器間數(shù)據(jù)接口330彼此雙邊通信。任務(wù)330、320在商業(yè)上可得到的工業(yè)、商用或消費(fèi)設(shè)備（諸如例如工業(yè)可編程邏輯控制器、單獨(dú)的或組合的計(jì)算機(jī)/控制器母板或商業(yè)現(xiàn)貨個(gè)人計(jì)算機(jī)/母板）中運(yùn)行。以其他示例的方式，如果在個(gè)人計(jì)算機(jī)中照字面地或虛擬地執(zhí)行任務(wù)300、320，則可以在一個(gè)或多個(gè)計(jì)算機(jī)中的同一或分開的控制器100上執(zhí)行它們，該一個(gè)或多個(gè)計(jì)算機(jī)被容納在分開的設(shè)備中、在共同設(shè)備外殼、服務(wù)器機(jī)架中組合的分開的板等等中。該一個(gè)或多個(gè)計(jì)算機(jī)中的每一個(gè)可以包括不同的硬件（其包括單獨(dú)或共同的控制器平臺(tái)100、和/或處理器110）和/或操作系統(tǒng)140和/或存儲(chǔ)在硬件中由（一個(gè)或多個(gè)）處理器執(zhí)行來實(shí)行其各自的專用安全關(guān)鍵系統(tǒng)功能的應(yīng)用程序150。在每個(gè)相應(yīng)任務(wù)300、320中使用的部件和軟件可以來源于不同的供貨商。例如，每個(gè)任務(wù)300、320可以利用處理器110、操作系統(tǒng)140和應(yīng)用程序軟件150的不同供貨商模型、版本或類型，以便降低廣泛的供貨商范圍部件或軟件故障的可能性。在分開的任務(wù)T1和T2的另一示例性實(shí)施例或配置實(shí)現(xiàn)中，在共同計(jì)算機(jī)處理器100中利用也虛擬實(shí)施的相應(yīng)SCI 240和SCO 250子任務(wù)來同時(shí)且實(shí)時(shí)虛擬地執(zhí)行它們。

T1 任務(wù)300能夠通過通信路徑340與關(guān)鍵系統(tǒng)數(shù)據(jù)總線92雙邊通信，該通信路徑340可以包括在任務(wù)平臺(tái)100通信裝置接口170中啟用的通信端口。任務(wù)300具有傳入安全代碼檢驗(yàn)?zāi)K240，其使得它能夠檢驗(yàn)SCSMI的數(shù)據(jù)完整性，但是它不具有生成傳出SCSMO安全代碼SCO的能力。

T2任務(wù)320具有啟用的傳出安全代碼SCO生成器250，但是不能將SCO和關(guān)鍵輸出數(shù)據(jù)直接傳送給關(guān)鍵系統(tǒng)數(shù)據(jù)接口92。任務(wù)320僅能夠經(jīng)由內(nèi)部數(shù)據(jù)接口330將SCO傳送給任務(wù)300：僅能夠通過單邊傳入通信路徑350接收SCSMI并且可以利用SCI檢驗(yàn)?zāi)K240來檢驗(yàn)數(shù)據(jù)完整性。換言之，T2任務(wù)320不能將SCSMO直接傳送給數(shù)據(jù)總線92。

如可以通過參考圖5和圖6所理解的，SCS1中的相應(yīng)T1任務(wù)300和T2 任務(wù)320具有利用非對(duì)稱通信實(shí)現(xiàn)的互相依賴的成對(duì)關(guān)系。第一T1任務(wù)300能夠接收SCSMI并發(fā)送響應(yīng)的SCSMO，但是它直到它從第二T2任務(wù)320接收到SCO才能創(chuàng)建響應(yīng)消息。T2任務(wù)不能外部通信到關(guān)鍵系統(tǒng)數(shù)據(jù)總線92，并且必須依賴于T1任務(wù)來發(fā)送任何消息。

在圖5中，在步驟400中各安全關(guān)鍵系統(tǒng)SCS2-SCSn中的一個(gè)發(fā)送SCSMI（其包括在時(shí)間t₁到達(dá)SCS1的DI和SCI），在SCS1處該SCSMI被T1和T2二者接收到。在t₂處，在步驟410中T1和T2二者檢驗(yàn)SCSMI數(shù)據(jù)完整性并且在步驟420中這二者響應(yīng)于輸入數(shù)據(jù)DI來生成DO數(shù)據(jù)（t₃）。在步驟430中，T2在時(shí)間t₄生成輸出安全代碼SCO并且在步驟440中將其發(fā)送給T1。在步驟450（t₅）中，T1現(xiàn)在收集（由T2在前一步驟提供的）DO并可選地利用其自己生成DO對(duì)其進(jìn)行檢驗(yàn)，之后在步驟460（t₆）中，通過關(guān)鍵系統(tǒng)數(shù)據(jù)總線92將SCSMO傳送給其他安全關(guān)鍵系統(tǒng)。如果在步驟450期間DO沒有彼此確證（即輸出數(shù)據(jù)可疑）則它將不傳送SCSMO?？商娲?，如果不啟用T1來檢驗(yàn)DO或者如果T1和/或T2出故障，則它可能傳送受損SCSMO，但是當(dāng)消息被另一安全關(guān)鍵系統(tǒng)接收時(shí)將識(shí)別出該損壞。

圖6的實(shí)施例具有如圖5的實(shí)施例的所有步驟和過程，但是添加比較SCSMI檢驗(yàn)步驟415，在那里T1和T2檢查彼此相應(yīng)檢驗(yàn)結(jié)果。如果比較結(jié)果不同，則SCS1標(biāo)示錯(cuò)誤。該實(shí)施例還在步驟430中的T2生成安全輸出代碼SCO之前添加比較輸出數(shù)據(jù)DO步驟425。再次地，如果比較結(jié)果不同，則SCS1標(biāo)示錯(cuò)誤。

用于安全關(guān)鍵系統(tǒng)的本發(fā)明鐵路控制系統(tǒng)的軟件冗余和相互依賴非對(duì)稱通信輸出安全代碼生成/傳輸特征確保比商業(yè)現(xiàn)貨控制器或個(gè)人計(jì)算機(jī)的任何個(gè)體或獨(dú)立并行處理對(duì)更高的安全級(jí)。單臺(tái)計(jì)算機(jī)容易受到將不一定由從發(fā)生故障的計(jì)算機(jī)接收SCSMO的其他安全關(guān)鍵系統(tǒng)檢測(cè)到的多種形式的故障。將同一SCSMO饋送到其他安全關(guān)鍵系統(tǒng)或者在傳輸之前確證輸出消息的兩個(gè)獨(dú)立并行任務(wù)執(zhí)行T1和T2（無論是否在一個(gè)或多個(gè)計(jì)算機(jī)平臺(tái)上被實(shí)施）二者可以生成同一不正確的輸出消息。利用本發(fā)明的控制系統(tǒng)這樣的故障模式傳輸錯(cuò)誤是不可能的。

當(dāng)分析本發(fā)明SCS1的安全關(guān)鍵系統(tǒng)控制系統(tǒng)的可能故障模式時(shí)，如果T1計(jì)算不正確的DO且T2計(jì)算正確的DO和SCO，則在檢驗(yàn)步驟450期間T1將標(biāo)示其自己的DO和DO之間的失配并且標(biāo)示錯(cuò)誤。如果T1在步驟450中沒有檢驗(yàn)SCSMO，則當(dāng)接收該消息的其他安全關(guān)鍵系統(tǒng)檢驗(yàn)所接收到的消息時(shí)它們將標(biāo)示該錯(cuò)誤。反過來，如果T1 DO是正確的但是T2 DO或SCO是不正確的，則T2或接收SCSMO的其他SCS將標(biāo)識(shí)該錯(cuò)誤。如果T1和T2二者發(fā)生故障并生成有錯(cuò)誤的DO和/或SCO，則將由隨后接收受損消息的其他關(guān)鍵系統(tǒng)來指出DO和SCO的失配。

盡管在這里已經(jīng)詳細(xì)示出和描述了結(jié)合本發(fā)明的教導(dǎo)的各種實(shí)施例，但是本領(lǐng)域技術(shù)人員可以容易地想出仍結(jié)合這些教導(dǎo)的許多其他改變的實(shí)施例。