基于通用cots軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明實(shí)施例提供了一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法和系統(tǒng)����,包括:安全計(jì)算機(jī)管理域基于周期控制方式對(duì)安全輸入輸出域傳遞的輸入數(shù)據(jù)進(jìn)行表決,選擇有效的輸入數(shù)據(jù)使用�����;安全計(jì)算機(jī)管理域基于周期控制方式對(duì)通用計(jì)算域的邏輯運(yùn)算結(jié)果進(jìn)行表決�����,選擇有效的邏輯運(yùn)算結(jié)果使用���;安全計(jì)算機(jī)管理域基于周期控制方式控制通用計(jì)算域完成復(fù)雜輸出預(yù)處理;安全計(jì)算機(jī)管理域基于周期控制方式完成簡(jiǎn)單輸出預(yù)處理�����;安全計(jì)算機(jī)管理域?qū)敵鲱A(yù)處理結(jié)果進(jìn)行表決��,選擇有效的輸出預(yù)處理結(jié)果使用���。本發(fā)明的實(shí)施例既能充分發(fā)揮通用COTS硬件和通用COTS操作系統(tǒng)軟件的處理能力和零活升級(jí)能力���,又能滿足SIL-4級(jí)安全認(rèn)證的要求�。
【專利說(shuō)明】基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全【技術(shù)領(lǐng)域】���,尤其涉及一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法和系統(tǒng)�����。
【背景技術(shù)】
[0002]近年來(lái)新型軌道交通列車運(yùn)行控制(以下簡(jiǎn)稱列控)系統(tǒng)��,如應(yīng)用于鐵路的中國(guó)列車運(yùn)行控制系統(tǒng)(Chinese Train Control System, CTCS)以及應(yīng)用于城市軌道交通(城軌)的基于通信的列車運(yùn)行控制系統(tǒng)(Communicat1n Based Train Control System�,CBTC)�����,廣泛應(yīng)用����。作為其基礎(chǔ)的列控安全計(jì)算機(jī)承載列控應(yīng)用,為鐵路高速化和城軌高密度化�����、低間隔化提供了堅(jiān)實(shí)的技術(shù)保障。
[0003]傳統(tǒng)列控安全計(jì)算機(jī)繼承原鐵路信號(hào)設(shè)備的開發(fā)思路��,由系統(tǒng)研發(fā)人員根據(jù)故障安全原則���,獨(dú)立設(shè)計(jì)專用硬件和專用軟件來(lái)實(shí)現(xiàn)�����。
[0004]隨著信息技術(shù)的飛速發(fā)展���,采用現(xiàn)貨供應(yīng)商品(Commercial-Off-The-Shelf,C0TS)硬件和軟件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方式日漸普及�����?����;贑OTS軟硬件進(jìn)行系統(tǒng)設(shè)計(jì)具有以下優(yōu)點(diǎn):
[0005]I)加快開發(fā)速度���。使用COTS軟硬件,可避免某些通用功能模塊的重復(fù)開發(fā)�����,有效縮短了開發(fā)周期。
[0006]2)開發(fā)變得容易��。使用COTS軟硬件��,無(wú)需從頭開始每一個(gè)模塊的開發(fā)���,可減少大量新部件的開發(fā)投入���。
[0007]3)COTS軟硬件分擔(dān)了一部分系統(tǒng)開發(fā)所產(chǎn)生的不確定性風(fēng)險(xiǎn),可選用市場(chǎng)占有率較高的COTS軟硬件�,從而使整個(gè)系統(tǒng)的性能、可靠性等方面得到較好控制�。
[0008]4)成本易于控制和評(píng)估。COTS軟硬件商品化���、規(guī)?��;a(chǎn),大大降低了部件的開發(fā)成本����,從而能較好地控制系統(tǒng)開發(fā)成本����。同時(shí)有專業(yè)維護(hù)人員對(duì)COTS軟硬件進(jìn)行維護(hù)����,減輕了系統(tǒng)維護(hù)人員的負(fù)擔(dān)。
[0009]現(xiàn)有技術(shù)的缺陷:
[0010]基于COTS軟硬件設(shè)計(jì)實(shí)現(xiàn)列控安全計(jì)算機(jī)����,盡管存在上述眾多優(yōu)點(diǎn),但也面臨著安全評(píng)估方面的巨大問(wèn)題��,問(wèn)題主要原因在于:
[0011]出于商業(yè)利益考慮����,COTS廠家不會(huì)也不愿意提供COTS軟硬件的詳細(xì)設(shè)計(jì)資料。因此���,在對(duì)使用COTS軟硬件實(shí)現(xiàn)的列控安全計(jì)算機(jī)進(jìn)行安全評(píng)估時(shí)��,只能將COTS軟硬件視為“黑盒”。由于安全證據(jù)存在這個(gè)缺陷���,會(huì)導(dǎo)致不能通過(guò)安全完整性等級(jí)(Safety IntegrityLevel����,SIL)_4的安全認(rèn)證。
[0012]為了解決這個(gè)問(wèn)題���,目前也有一些廠家提供能通過(guò)SIL-4安全認(rèn)證的專用COTS安全計(jì)算機(jī)系統(tǒng)(含硬件和軟件)或能通過(guò)SIL-3安全認(rèn)證的專用COTS安全操作系統(tǒng)(含軟件開發(fā)環(huán)境)可供使用�����,但這些產(chǎn)品應(yīng)用起來(lái)也存在相應(yīng)問(wèn)題�����,問(wèn)題主要原因在于:
[0013]列控系統(tǒng)開發(fā)人員對(duì)于這些專用COTS安全計(jì)算機(jī)系統(tǒng)或?qū)S肅OTS安全操作系統(tǒng)自身的改進(jìn)和發(fā)展沒(méi)有控制權(quán)�,COTS產(chǎn)品的完善和版本更新等控制權(quán)都在提供商手里���。而根據(jù)相關(guān)安全標(biāo)準(zhǔn)的規(guī)定�,這些⑶巧產(chǎn)品的版本更新勢(shì)必導(dǎo)致基于其實(shí)現(xiàn)的列控系統(tǒng)重新進(jìn)行安全評(píng)估��。而近年來(lái)由于計(jì)算機(jī)軟硬件技術(shù)飛速發(fā)展���,其核心一中央處理器⑴越來(lái)越朝著多核化�����、低功耗化�����、支持虛擬化等方向發(fā)展�,¢:013硬件和軟件產(chǎn)品更新?lián)Q代速度越來(lái)越快。專用⑶巧安全計(jì)算機(jī)系統(tǒng)也勢(shì)必面臨計(jì)算機(jī)軟硬件升級(jí)的壓力���,其版本更新速度亦會(huì)越來(lái)越快��,從而使基于其實(shí)現(xiàn)的列控系統(tǒng)重新安全評(píng)估所需的人員�、資金被動(dòng)投入不可避免且次數(shù)和費(fèi)用不可控�����。
[0014]另外���,較通用⑶13操作系統(tǒng)而言�,專用⑶13安全操作系統(tǒng)在0^多核處理支持上要差很多�����,甚至根本不支持0^多核處理��,不符合現(xiàn)代列控系統(tǒng)對(duì)0^處理能力的越來(lái)越強(qiáng)的要求�。
【發(fā)明內(nèi)容】
[0015]基于上述問(wèn)題,本發(fā)明提出一種基于通用(1)13軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法��,包括:
[0016]安全計(jì)算機(jī)管理域300 (3^61:7 03卹111:61~ 1冊(cè)叫61116111: 001113111)基于周期控制方式對(duì)安全輸入輸出域3100傳遞的輸入數(shù)據(jù)進(jìn)行表決�����,選擇有效的輸入數(shù)據(jù)使用�;
[0017]安全計(jì)算機(jī)管理域300 (3^61:7 03卹111:61~ 1冊(cè)叫61116111: 001113111)基于周期控制方式對(duì)通用計(jì)算域的邏輯運(yùn)算結(jié)果進(jìn)行表決,選擇有效的邏輯運(yùn)算結(jié)果使用�����;
[0018]安全計(jì)算機(jī)管理域300 (3^61:7 00卹111:61~ 18118^61116111: 0(31118111)基于周期控制方式控制通用計(jì)算域完成復(fù)雜輸出預(yù)處理�����;
[0019]安全計(jì)算機(jī)管理域300 (3^61:7 03卹111:61~ 1冊(cè)叫61116111: 001113111)基于周期控制方式完成簡(jiǎn)單輸出預(yù)處理���;
[0020]安全計(jì)算機(jī)管理域300 (3^61:7 00卹111:61~ 1冊(cè)叫61116111: 001113111)對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決���,選擇有效的輸出預(yù)處理結(jié)果使用�����,由安全計(jì)算機(jī)管理域300控制安全輸入輸出域3100完成有效的輸出預(yù)處理結(jié)果的輸出����。
[0021]根據(jù)本發(fā)明的上述方法��,包括:
[0022]通用計(jì)算域60) ¢61161^1 001111)111:81:101181 £)01118111)由安全計(jì)算機(jī)管理域 300 控制執(zhí)行安全計(jì)算機(jī)管理域300的邏輯運(yùn)算�����;
[0023]通用計(jì)算域60) ¢61161^1 001111)111:81:101181 £)01118111)由安全計(jì)算機(jī)管理域 300 控制完成復(fù)雜輸出預(yù)處理��;
[0024]安全輸入輸出域3100 (35^61:7 1即111: 811(1 0111^111: £)01118111)由安全計(jì)算機(jī)管理域8010控制完成數(shù)據(jù)輸入���;
[0025]安全輸入輸出域3100 (35^61:7 1即111: 811(1 0111^111: £)01118111)由安全計(jì)算機(jī)管理域8010控制完成有效的輸出預(yù)處理結(jié)果的輸出�����。
[0026]根據(jù)本發(fā)明的上述方法�����,包括:
[0027]采用至少兩個(gè)異構(gòu)的通用計(jì)算單元001111)111:81:101181 111111:)構(gòu)成所述通用計(jì)算域
[0028]采用至少兩個(gè)異構(gòu)的安全輸入輸出單元31011(3X61:7 I即此£111(1 0111^111: 1)1111:)構(gòu)成所述安全輸入輸出域3100 �;
[0029]采用至少兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30111(35^61:718118^61116111:111111:)構(gòu)成所述安全計(jì)算機(jī)管理域300。
[0030]根據(jù)本發(fā)明的上述方法��,包括:所述周期控制方式包括:將一個(gè)控制周期劃分為輸入相����、邏輯運(yùn)算相和輸出相�。
[0031]根據(jù)本發(fā)明的上述方法,
[0032]所述輸入相包括若干種輸入和輸入表決微周期��;
[0033]在所述輸入微周期內(nèi)��,安全輸入輸出單元3101傳遞輸入數(shù)據(jù)��;
[0034]在所述輸入表決微周期內(nèi)�,安全輸入輸出單元31011所傳遞輸入數(shù)據(jù)在與安全輸入輸出單元3101對(duì)應(yīng)的安全計(jì)算機(jī)管理單元30^中表決,當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果一致����,所述輸入數(shù)據(jù)有效,選擇有效的輸入數(shù)據(jù)使用����;當(dāng)所有的安全計(jì)算機(jī)管理單元3(1111表決結(jié)果不一致,啟動(dòng)安全反應(yīng)�。
[0035]根據(jù)本發(fā)明的上述方法�,
[0036]所述邏輯運(yùn)算相包括若干種應(yīng)用邏輯運(yùn)算和應(yīng)用邏輯運(yùn)算表決微周期�����;
[0037]在應(yīng)用邏輯運(yùn)算微周期中����,由安全計(jì)算機(jī)管理單元30^控制與其對(duì)應(yīng)的通用計(jì)算單元⑶完成每種應(yīng)用邏輯單元運(yùn)算,應(yīng)用邏輯單元運(yùn)算的集合組成應(yīng)用邏輯運(yùn)算�����;
[0038]在應(yīng)用邏輯運(yùn)算表決微周期���,所述通用計(jì)算單元⑶邏輯運(yùn)算結(jié)果與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元30^中表決��,當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果一致�����,所述邏輯運(yùn)算結(jié)果有效���,選擇有效的邏輯運(yùn)算結(jié)果使用;當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果不一致,啟動(dòng)安全反應(yīng)�。
[0039]根據(jù)本發(fā)明的上述方法,
[0040]所述在應(yīng)用邏輯運(yùn)算微周期中��,由安全計(jì)算機(jī)管理單元30^控制與其對(duì)應(yīng)的通用計(jì)算單元完成每種應(yīng)用邏輯單元運(yùn)算���,包括:
[0041]在所述應(yīng)用邏輯運(yùn)算微周期內(nèi)�����,通用計(jì)算單元⑶在執(zhí)行與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元3(1111邏輯運(yùn)算協(xié)處理時(shí),安全計(jì)算機(jī)管理單元3(1111與通用計(jì)算單元6⑶通過(guò)預(yù)設(shè)的校驗(yàn)邏輯運(yùn)算規(guī)則相互校驗(yàn)����。
[0042]根據(jù)本發(fā)明的上述方法,所述安全計(jì)算機(jī)管理單元30^與通用計(jì)算單元⑶通過(guò)預(yù)設(shè)的校驗(yàn)邏輯運(yùn)算規(guī)則相互校驗(yàn)�����,包括:
[0043]當(dāng)通用計(jì)算單元6⑶接收到安全計(jì)算機(jī)管理單元3(1111發(fā)送的邏輯運(yùn)算協(xié)處理數(shù)據(jù)時(shí)�����,通用計(jì)算單元根據(jù)預(yù)設(shè)的校驗(yàn)邏輯運(yùn)算規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理數(shù)據(jù)是否合法���,當(dāng)數(shù)據(jù)合法�,通用計(jì)算單元⑶執(zhí)行相應(yīng)的邏輯運(yùn)算協(xié)處理,并將通用計(jì)算單元⑶所執(zhí)行的邏輯運(yùn)算協(xié)處理結(jié)果發(fā)送給安全計(jì)算機(jī)管理單元30^�����,當(dāng)數(shù)據(jù)不合法時(shí)����,啟動(dòng)安全反應(yīng);
[0044]當(dāng)安全計(jì)算機(jī)管理單元3(1111接收到通用計(jì)算單元6⑶發(fā)送的邏輯運(yùn)算協(xié)處理結(jié)果時(shí)����,安全計(jì)算機(jī)管理單元30^根據(jù)預(yù)設(shè)的校驗(yàn)邏輯運(yùn)算規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理結(jié)果是否合法,當(dāng)組成通用計(jì)算域的異構(gòu)通用計(jì)算單元⑶所發(fā)送的結(jié)果均合法且一致時(shí)����,安全計(jì)算機(jī)管理域300認(rèn)為通用計(jì)算域可信且計(jì)算結(jié)果正確,否則啟動(dòng)安全反應(yīng)��。
[0045]根據(jù)本發(fā)明的上述方法�,
[0046]所述輸出相包括若干種輸出預(yù)處理、輸出預(yù)處理結(jié)果表決和輸出微周期���;
[0047]在所述輸出預(yù)處理微周期內(nèi)���,復(fù)雜輸出預(yù)處理由安全計(jì)算機(jī)管理單元30^控制通用計(jì)算單元6⑶完成�,簡(jiǎn)單輸出預(yù)處理由安全計(jì)算機(jī)管理單元30^直接完成����;
[0048]在所述輸出預(yù)處理結(jié)果表決微周期內(nèi),由安全計(jì)算機(jī)管理單元30^對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決�����,當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果一致��,所述輸出預(yù)處理結(jié)果有效���,選擇有效的輸出預(yù)處理結(jié)果使用;當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果不一致�����,啟動(dòng)安全反應(yīng)�����;
[0049]在所述輸出微周期內(nèi)���,由安全計(jì)算機(jī)管理單元30^控制安全輸入輸出單元3101完成有效的輸出預(yù)處理結(jié)果的輸出����。
[0050]根據(jù)本發(fā)明的上述方法,
[0051]所述在所述輸出預(yù)處理微周期內(nèi)��,復(fù)雜輸出預(yù)處理由安全計(jì)算機(jī)管理單元30^控制通用計(jì)算單元6⑶完成�,簡(jiǎn)單輸出預(yù)處理由安全計(jì)算機(jī)管理單元30^直接完成,包括:
[0052]在所述輸出預(yù)處理微周期內(nèi)���,通用計(jì)算單元在執(zhí)行與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元3(3111復(fù)雜輸出預(yù)處理時(shí)�����,安全計(jì)算機(jī)管理單元3(3111與通用計(jì)算單元6⑶通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)����。
[0053]根據(jù)本發(fā)明的上述方法��,
[0054]所述安全計(jì)算機(jī)管理單元30^與通用計(jì)算單元⑶通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)���,包括:
[0055]當(dāng)通用計(jì)算單元6⑶接收到安全計(jì)算機(jī)管理單元3(1111發(fā)送的復(fù)雜輸出預(yù)處理數(shù)據(jù)時(shí)����,通用計(jì)算單元根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)復(fù)雜輸出預(yù)處理數(shù)據(jù)是否合法,當(dāng)數(shù)據(jù)合法�,通用計(jì)算單元⑶執(zhí)行相應(yīng)的復(fù)雜輸出預(yù)處理,并將通用計(jì)算單元⑶所執(zhí)行的復(fù)雜輸出預(yù)處理結(jié)果發(fā)送給安全計(jì)算機(jī)管理單元30^��,當(dāng)數(shù)據(jù)不合法時(shí)����,啟動(dòng)安全反應(yīng);
[0056]當(dāng)安全計(jì)算機(jī)管理單元3(1111接收到通用計(jì)算單元6⑶發(fā)送的邏輯運(yùn)算協(xié)處理結(jié)果時(shí)�����,安全計(jì)算機(jī)管理單元30^根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)復(fù)雜輸出預(yù)處理結(jié)果是否合法��,當(dāng)組成通用計(jì)算域的異構(gòu)通用計(jì)算單元⑶所發(fā)送的結(jié)果均合法且一致時(shí)��,安全計(jì)算機(jī)管理域300認(rèn)為通用計(jì)算域可信且計(jì)算結(jié)果正確�,否則啟動(dòng)安全反應(yīng)。
[0057]根據(jù)本發(fā)明的另一方面�,還提供一種基于通用⑶��!'3軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的系統(tǒng)���,包括:安全計(jì)算機(jī)管理域300����、通用計(jì)算域和安全輸入輸出域3100,其中�����,
[0058]安全計(jì)算機(jī)管理域300用于基于周期控制方式對(duì)安全輸入輸出域3100傳遞的輸入數(shù)據(jù)進(jìn)行表決��,選擇有效的輸入數(shù)據(jù)使用�;
[0059]安全計(jì)算機(jī)管理域300還用于基于周期控制方式對(duì)通用計(jì)算域的邏輯運(yùn)算結(jié)果進(jìn)行表決,選擇有效的邏輯運(yùn)算結(jié)果使用����;
[0060]安全計(jì)算機(jī)管理域300還用于基于周期控制方式控制通用計(jì)算域完成復(fù)雜輸出預(yù)處理,安全計(jì)算機(jī)管理域300基于周期控制方式完成簡(jiǎn)單輸出預(yù)處理����,由安全計(jì)算機(jī)管理域300對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決,選擇有效的輸出預(yù)處理結(jié)果使用�����;
[0061]安全計(jì)算機(jī)管理域300還用于控制安全輸入輸出域3100完成有效的輸出預(yù)處理結(jié)果的輸出��;
[0062]通用計(jì)算域¢61161^1 001111)111:81:101181 0(31118111)�,其用于由安全計(jì)算機(jī)管理域8010控制執(zhí)行安全計(jì)算機(jī)管理域300的邏輯運(yùn)算����;
[0063]還用于由安全計(jì)算機(jī)管理域300控制完成復(fù)雜輸出預(yù)處理�;
[0064]安全輸入輸出域3100 (35^61:7 1即111: 811(1 0111^111: £)01118111)其用于為安全計(jì)算機(jī)管理域300傳遞輸入數(shù)據(jù);
[0065]安全輸入輸出域3100 (35^61:7 1即111: 811(1 0111^111: £)01118111)其用于由安全計(jì)算機(jī)管理域300控制完成有效的輸出預(yù)處理結(jié)果的輸出����。
[0066]根據(jù)本發(fā)明的另一方面,包括:
[0067]通用計(jì)算單元⑶:其用于構(gòu)成所述通用計(jì)算域��;
[0068]其中���,采用至少兩個(gè)異構(gòu)的通用計(jì)算單元⑶構(gòu)成所述通用計(jì)算域(^⑶�,每個(gè)通用計(jì)算單元基于通用⑶����!'3硬件和通用⑶!'3操作系統(tǒng)軟件實(shí)現(xiàn)��;
[0069]安全輸入輸出單元3101:其用于構(gòu)成所述安全輸入輸出域3100 �����;
[0070]其中���,采用至少兩個(gè)異構(gòu)的安全輸入輸出單元31011(3X61:7 I即此£111(1 0111^111:
構(gòu)成所述安全輸入輸出域3100��,每個(gè)安全輸入輸出單元310口基于獨(dú)立設(shè)計(jì)的硬件并配合通用硬件和通用⑶����!'3操作系統(tǒng)軟件實(shí)現(xiàn)��;
[0071]安全計(jì)算機(jī)管理單元30^:其用于構(gòu)成所述安全計(jì)算機(jī)管理域300 �;
[0072]其中,采用至少兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元3(1111 (8^^61:7 ¢01111)111:61-18118^61116111: 1)1111:)構(gòu)成所述安全計(jì)算機(jī)管理域300�,每個(gè)安全計(jì)算機(jī)管理單元30111基于獨(dú)立設(shè)計(jì)的硬件和軟件實(shí)現(xiàn)。
[0073]由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出�����,本發(fā)明實(shí)施例安全計(jì)算機(jī)管理域300基于周期控制方式對(duì)安全輸入輸出域3100傳遞的輸入數(shù)據(jù)進(jìn)行表決�,選擇有效的輸入數(shù)據(jù)使用;安全計(jì)算機(jī)管理域3010 (35^61:7 03卹111:61~ 18118^61116111: £)01118111)基于周期控制方式對(duì)通用計(jì)算域¢0)的邏輯運(yùn)算結(jié)果進(jìn)行表決���,選擇有效的邏輯運(yùn)算結(jié)果使用����;安全計(jì)算機(jī)管理域30^0001111)111:61- 18118^61116111: £)01118111)基于周期控制方式控制通用計(jì)算域603完成復(fù)雜輸出預(yù)處理���;安全計(jì)算機(jī)管理域¢01111)111:61- 18118^61116111:1)01118111)基于周期控制方式完成簡(jiǎn)單輸出預(yù)處理���;安全計(jì)算機(jī)管理域3(110 (8^61:7001111)111:61- 1冊(cè)#61116111: 0(311121111)對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決�,選擇有效的輸出預(yù)處理結(jié)果使用��,由安全計(jì)算機(jī)管理域300控制安全輸入輸出域3100完成有效的輸出預(yù)處理結(jié)果的輸出����。既能充分發(fā)揮通用⑶!'3硬件和通用⑶����!'3操作系統(tǒng)軟件的處理能力和零活升級(jí)能力,又能滿足311-4級(jí)安全認(rèn)證的要求���。
【專利附圖】
【附圖說(shuō)明】
[0074]為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案���,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖��。
[0075]圖1為本發(fā)明實(shí)施例一提供的列控安全計(jì)算機(jī)邏輯域劃分圖����;
[0076]圖2為本發(fā)明實(shí)施例一提供的列控安全計(jì)算機(jī)邏輯域的邏輯單元圖�;
[0077]圖3為本發(fā)明實(shí)施例一提供的一種基于通用(1)13軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法的處理流程圖;
[0078]圖4為本發(fā)明實(shí)施例一提供的列控安全計(jì)算機(jī)安全計(jì)算機(jī)管理域300周期控制原理圖��;
[0079]圖5為本發(fā)明實(shí)施例一提供的300控制周期輸入相控制原理圖�;
[0080]圖6為本發(fā)明實(shí)施例一提供的300控制周期邏輯運(yùn)算相控制原理圖;
[0081]圖7為本發(fā)明實(shí)施例一提供的300控制周期輸出相控制原理圖����;
[0082]圖8為本發(fā)明實(shí)施例二提供的一種基于通用(1)13軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的系統(tǒng)模塊圖;
[0083]圖9本發(fā)明實(shí)施例二提供的優(yōu)選的一種列控安全計(jì)算機(jī)實(shí)現(xiàn)方案原理圖��;
[0084]圖10本發(fā)明實(shí)施例二提供的優(yōu)選的一種列控安全計(jì)算機(jī)冗余配置方案原理圖�����。
【具體實(shí)施方式】
[0085]為便于對(duì)本發(fā)明實(shí)施例的理解����,下面將結(jié)合附圖以幾個(gè)具體實(shí)施例為例做進(jìn)一步的解釋說(shuō)明���,且各個(gè)實(shí)施例并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定。
[0086]實(shí)施例一
[0087]本發(fā)明提出一種基于通用(1)13軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法��,既能充分發(fā)揮通用⑶�!'3硬件和通用⑶!'3操作系統(tǒng)軟件的處理能力和零活升級(jí)能力����,又能滿足311-4級(jí)安全認(rèn)證的要求。
[0088]將列控安全計(jì)算機(jī)邏輯上劃分為通用計(jì)算域¢61161^1 001111)111:81:101181001113111)�、安全計(jì)算機(jī)管理域 300 (3^61:7 001111)111:61- 1 冊(cè)叫61116111:和安全輸入輸出域 3工00 I即機(jī) &II(1 0111^111: 001118111),如圖 1 所不����。
[0089]通用計(jì)算域與安全計(jì)算機(jī)管理域300之間通過(guò)冗余⑶13通信網(wǎng)絡(luò)(優(yōu)選以太網(wǎng))交換數(shù)據(jù),安全輸入輸出域3100與安全計(jì)算機(jī)管理域300之間通過(guò)獨(dú)立設(shè)計(jì)的冗余專用輸入輸出(1=1)111: £111(110)總線交換數(shù)據(jù)�。
[0090]本實(shí)施例中,如圖2所示�����,采用至少兩個(gè)異構(gòu)的通用計(jì)算單元6⑶¢61161^1001111)111:81:101181 1)1111:)構(gòu)成所述通用計(jì)算域%0���,邏輯上2個(gè)異構(gòu)通用計(jì)算單元⑶為二取二關(guān)系����,二取二意味著兩個(gè)異構(gòu)通用計(jì)算單元的輸出結(jié)果合法且一致,其輸出結(jié)果才會(huì)為安全計(jì)算機(jī)管理域300處理時(shí)所使用�;其中,每個(gè)通用計(jì)算單元⑶基于通用⑶��!'3硬件和通用操作系統(tǒng)軟件實(shí)現(xiàn)��。
[0091]采用至少兩個(gè)異構(gòu)的安全輸入輸出單元31011(3X61:7 I即此£111(1 0111^111: 1)1111:)構(gòu)成所述安全輸入輸出域3100����,邏輯上2個(gè)異構(gòu)安全輸入輸出單元3101為二取二關(guān)系�����,二取二意味著兩個(gè)異構(gòu)安全輸入輸出單元3101的輸入數(shù)據(jù)和輸出結(jié)果合法且一致����,其輸入數(shù)據(jù)才會(huì)為安全計(jì)算機(jī)管理域300處理時(shí)所使用,其輸出才會(huì)有效���;其中��,每個(gè)安全輸入輸出單元3101基于獨(dú)立設(shè)計(jì)的硬件并配合通用⑶���!'3硬件和通用⑶���!'3操作系統(tǒng)軟件實(shí)現(xiàn)。
[0092]采用至少兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30111(38:1^61:7 001111)111:61-
構(gòu)成所述安全計(jì)算機(jī)管理域300����,邏輯上2個(gè)異構(gòu)安全計(jì)算機(jī)管理單元30^為二取二關(guān)系,二取二意味著兩個(gè)異構(gòu)安全計(jì)算機(jī)管理單元30^之間同步且處理結(jié)果表決一致����,安全計(jì)算機(jī)才會(huì)正常運(yùn)行,下一個(gè)控制微周期才會(huì)啟動(dòng)����;其中,每個(gè)安全計(jì)算機(jī)管理單元30^基于獨(dú)立設(shè)計(jì)的硬件和軟件實(shí)現(xiàn)�。
[0093]在執(zhí)行300邏輯運(yùn)算協(xié)處理和復(fù)雜輸出預(yù)處理功能時(shí),8010與之間通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)��;
[0094]當(dāng)接收到300發(fā)送的邏輯運(yùn)算協(xié)處理或復(fù)雜輸出預(yù)處理數(shù)據(jù)時(shí)����,(^⑶根據(jù)專用校驗(yàn)邏輯運(yùn)算規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理或復(fù)雜輸出預(yù)處理數(shù)據(jù)是否合法����,只有數(shù)據(jù)合法�,才會(huì)執(zhí)行相應(yīng)的邏輯運(yùn)算協(xié)處理或復(fù)雜輸出預(yù)處理功能,并將所執(zhí)行的邏輯運(yùn)算協(xié)處理或復(fù)雜輸出預(yù)處理結(jié)果發(fā)送給300�����,當(dāng)數(shù)據(jù)不合法時(shí)�,600向300請(qǐng)求啟動(dòng)安全反應(yīng)。
[0095]當(dāng)300接收到發(fā)送的邏輯運(yùn)算協(xié)處理或復(fù)雜輸出預(yù)處理結(jié)果時(shí)�����,8010根據(jù)專用校驗(yàn)邏輯運(yùn)算規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理或復(fù)雜輸出預(yù)處理結(jié)果是否合法��,只有300判斷組成的異構(gòu)⑶所發(fā)送的結(jié)果均合法且一致時(shí)�,8010認(rèn)為可信且計(jì)算結(jié)果正確���,否則300啟動(dòng)安全反應(yīng)���。
[0096]安全計(jì)算機(jī)管理域300基于周期控制方式控制通用計(jì)算域和安全輸入輸出域3100實(shí)現(xiàn)安全功能。
[0097]本實(shí)施例提供了一種基于通用⑶巧軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法的處理流程如圖3所示����,包括:
[0098]31��,安全計(jì)算機(jī)管理域300基于周期控制方式對(duì)安全輸入輸出域3100傳遞的輸入數(shù)據(jù)進(jìn)行表決����,選擇有效的輸入數(shù)據(jù)使用����;
[0099]安全輸入輸出域31001即111: 811(1 0111^111: £)01118111)為安全計(jì)算機(jī)管理域8010傳遞輸入數(shù)據(jù);
[0100]優(yōu)選地�����,采用兩個(gè)異構(gòu)的安全輸入輸出單元31011(3X61:7 I即此£111(1 0111^111:^ 構(gòu)成所述安全輸入輸出域3100�,邏輯上2個(gè)異構(gòu)安全輸入輸出單元3101為二取二關(guān)系;
[0101]在實(shí)際應(yīng)用中�,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的安全輸入輸出單元3101,使用多于兩個(gè)異構(gòu)的安全輸入輸出單元3101構(gòu)成安全輸入輸出域3100�,也在本發(fā)明實(shí)施例的保護(hù)范圍中。
[0102]采用兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元00卹111:61~1)1111:)構(gòu)成所述安全計(jì)算機(jī)管理域300��,邏輯上2個(gè)異構(gòu)安全計(jì)算機(jī)管理單元30^為二取二關(guān)系�;
[0103]在實(shí)際應(yīng)用中,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30^�,使用多于兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30^構(gòu)成安全計(jì)算機(jī)管理域300���,也在本發(fā)明實(shí)施例的保護(hù)范圍中。
[0104]一個(gè)控制周期劃分為輸入相��、邏輯運(yùn)算相和輸出相�,如圖4所示,在輸入相內(nèi)�����,如圖5所不���,輸入相包括若干種輸入和輸入表決微周期���,在輸入微周期內(nèi)�����,安全輸入輸出單元310口傳遞輸入數(shù)據(jù)�;在所述輸入表決微周期內(nèi),安全輸入輸出單元310口所傳遞輸入數(shù)據(jù)在與安全輸入輸出單元3101對(duì)應(yīng)的安全計(jì)算機(jī)管理單元30^中表決��,當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果一致��,所述輸入數(shù)據(jù)有效,選擇有效的輸入數(shù)據(jù)使用��;當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果不一致�,啟動(dòng)安全反應(yīng)。
[0105]32���,安全計(jì)算機(jī)管理域300基于周期控制方式對(duì)通用計(jì)算域的邏輯運(yùn)算結(jié)果進(jìn)行表決����,選擇有效的邏輯運(yùn)算結(jié)果使用����;
[0106]通用計(jì)算域60) ¢61161^1 001111)111:81:101181 £)01118111)由安全計(jì)算機(jī)管理域 300 控制執(zhí)行安全計(jì)算機(jī)管理域300的邏輯運(yùn)算;
[0107]通用計(jì)算域60) ¢61161^1 001111)111:81:101181 £)01118111)由安全計(jì)算機(jī)管理域 300 控制完成復(fù)雜輸出預(yù)處理�;
[0108]優(yōu)選地,采用兩個(gè)異構(gòu)的通用計(jì)算單元以��!1 ¢61161^1 001111)111:81:101181 1)1111:)構(gòu)成所述通用計(jì)算域(^⑶����,邏輯上2個(gè)異構(gòu)通用計(jì)算單元⑶為二取二關(guān)系;
[0109]在實(shí)際應(yīng)用中��,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的通用計(jì)算單元⑶���,使用多于兩個(gè)異構(gòu)的通用計(jì)算單元6⑶構(gòu)成通用計(jì)算域(^⑶���,也在本發(fā)明實(shí)施例的保護(hù)范圍中�����。
[01 10] 采用兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元00卹111:61~ 18118^61116111: 1)1111:)構(gòu)成所述安全計(jì)算機(jī)管理域300���,邏輯上2個(gè)異構(gòu)安全計(jì)算機(jī)管理單元30^為二取二關(guān)系;
[0111]在實(shí)際應(yīng)用中����,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30^,使用多于兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30^構(gòu)成安全計(jì)算機(jī)管理域300��,也在本發(fā)明實(shí)施例的保護(hù)范圍中�����。
[0112]一個(gè)控制周期劃分為輸入相�、邏輯運(yùn)算相和輸出相��,如圖4所示��,在邏輯運(yùn)算相內(nèi),如圖6所示���,所述邏輯運(yùn)算相包括若干種應(yīng)用邏輯運(yùn)算和應(yīng)用邏輯運(yùn)算表決微周期�;在應(yīng)用邏輯運(yùn)算微周期中����,由安全計(jì)算機(jī)管理單元30^控制與其對(duì)應(yīng)的通用計(jì)算單元⑶完成每種應(yīng)用邏輯單元運(yùn)算,應(yīng)用邏輯單元運(yùn)算的集合組成應(yīng)用邏輯運(yùn)算���;在應(yīng)用邏輯運(yùn)算表決微周期��,所述通用計(jì)算單元6⑶邏輯運(yùn)算結(jié)果與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元30^中表決�,當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果一致���,所述邏輯運(yùn)算結(jié)果有效����,選擇有效的邏輯運(yùn)算結(jié)果使用����;當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果不一致,啟動(dòng)安全反應(yīng)。
[0113]在應(yīng)用邏輯運(yùn)算微周期中�,由安全計(jì)算機(jī)管理單元30^控制與其對(duì)應(yīng)的通用計(jì)算單元6⑶完成每種應(yīng)用邏輯單元運(yùn)算,包括:
[0114]在所述應(yīng)用邏輯運(yùn)算微周期內(nèi)����,通用計(jì)算單元⑶在執(zhí)行與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元3(1111邏輯運(yùn)算協(xié)處理時(shí),安全計(jì)算機(jī)管理單元3(1111與通用計(jì)算單元6⑶通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)��。
[0115]在應(yīng)用邏輯運(yùn)算微周期中�����,安全計(jì)算機(jī)管理單元30^與通用計(jì)算單元⑶通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)�����,包括:
[0116]當(dāng)通用計(jì)算單元⑶接收到安全計(jì)算機(jī)管理單元30^發(fā)送的邏輯運(yùn)算協(xié)處理數(shù)據(jù)時(shí)�����,通用計(jì)算單元根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理數(shù)據(jù)是否合法�����,當(dāng)數(shù)據(jù)合法�,通用計(jì)算單元⑶執(zhí)行相應(yīng)的邏輯運(yùn)算協(xié)處理,并將通用計(jì)算單元⑶所執(zhí)行的邏輯運(yùn)算協(xié)處理結(jié)果發(fā)送給安全計(jì)算機(jī)管理單元30^��,當(dāng)數(shù)據(jù)不合法時(shí)�����,啟動(dòng)安全反應(yīng)�;
[0117]當(dāng)安全計(jì)算機(jī)管理單元3(1111接收到通用計(jì)算單元6⑶發(fā)送的邏輯運(yùn)算協(xié)處理結(jié)果時(shí),安全計(jì)算機(jī)管理單元30^根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理結(jié)果是否合法����,當(dāng)組成通用計(jì)算域的異構(gòu)通用計(jì)算單元⑶所發(fā)送的結(jié)果均合法且一致時(shí),安全計(jì)算機(jī)管理域300認(rèn)為通用計(jì)算域可信且計(jì)算結(jié)果正確����,否則啟動(dòng)安全反應(yīng)。
[0118]優(yōu)選地�,在所述應(yīng)用邏輯運(yùn)算微周期內(nèi),安全計(jì)算機(jī)管理單元30^與通用計(jì)算單元⑶通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)的一種優(yōu)選的實(shí)施方式�,使用包含差錯(cuò)控制編碼或加密功能的安全通信協(xié)議作為預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則,如下示例中�����,簡(jiǎn)稱安全通信協(xié)議��,
[0119]當(dāng)通用計(jì)算單元⑶接收到安全計(jì)算機(jī)管理單元30^發(fā)送的邏輯運(yùn)算協(xié)處理數(shù)據(jù)時(shí),通用計(jì)算單元根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理數(shù)據(jù)是否合法�����,具體地��,
[0120]安全計(jì)算機(jī)管理單元30^根據(jù)安全通信協(xié)議向與安全計(jì)算機(jī)管理單元30^對(duì)應(yīng)的通用計(jì)算單元6⑶發(fā)送包含邏輯運(yùn)算指令的安全數(shù)據(jù)幀��;
[0121]若通用計(jì)算單元⑶接收到包含邏輯運(yùn)算指令的安全數(shù)據(jù)幀���,根據(jù)安全通信協(xié)議解析所述包含邏輯運(yùn)算指令的安全數(shù)據(jù)幀���,并判斷所述包含邏輯運(yùn)算指令的安全數(shù)據(jù)幀是否合法,
[0122]若包含邏輯運(yùn)算指令的安全數(shù)據(jù)幀合法����,則通用計(jì)算單元⑶執(zhí)行相應(yīng)的邏輯運(yùn)算,并將通用計(jì)算單元6⑶所執(zhí)行的邏輯運(yùn)算協(xié)處理結(jié)果形成安全數(shù)據(jù)幀�����,并根據(jù)安全通信協(xié)議發(fā)送給與所述通用計(jì)算單元6⑶對(duì)應(yīng)的安全計(jì)算機(jī)管理單元3(3111 ��;
[0123]若包含邏輯運(yùn)算指令的安全數(shù)據(jù)幀非法�����,將啟動(dòng)安全反應(yīng)處理請(qǐng)求的安全數(shù)據(jù)幀按照安全通信協(xié)議發(fā)送給所述通用計(jì)算單元對(duì)應(yīng)的安全計(jì)算機(jī)管理單元30^,啟動(dòng)安全反應(yīng)��。
[0124]當(dāng)安全計(jì)算機(jī)管理單元3(1111接收到通用計(jì)算單元6⑶發(fā)送的邏輯運(yùn)算協(xié)處理結(jié)果時(shí)��,安全計(jì)算機(jī)管理單元30^根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理結(jié)果是否合法�����,具體地�����,
[0125]若安全計(jì)算機(jī)管理單元30^接收到通用計(jì)算單元⑶發(fā)送的包含邏輯運(yùn)算協(xié)處理結(jié)果的安全數(shù)據(jù)幀�����,安全計(jì)算機(jī)管理單元30^根據(jù)安全通信協(xié)議解析通用計(jì)算單元6⑶所發(fā)送的包含邏輯運(yùn)算協(xié)處理結(jié)果的安全數(shù)據(jù)幀���;
[0126]若包含邏輯運(yùn)算協(xié)處理結(jié)果的安全數(shù)據(jù)幀合法,則認(rèn)為安全計(jì)算機(jī)管理單元30^接收到通用計(jì)算單元發(fā)送的邏輯運(yùn)算協(xié)處理結(jié)果合法�;
[0127]若包含邏輯運(yùn)算協(xié)處理結(jié)果的安全數(shù)據(jù)幀非法,則安全計(jì)算機(jī)管理單元30^啟動(dòng)安全反應(yīng)���;
[0128]當(dāng)組成通用計(jì)算域的異構(gòu)通用計(jì)算單元⑶所發(fā)送的結(jié)果均合法且一致時(shí)���,安全計(jì)算機(jī)管理域300認(rèn)為通用計(jì)算域可信且計(jì)算結(jié)果正確��,否則安全計(jì)算機(jī)管理域300啟動(dòng)安全反應(yīng)�����。
[0129]在所述應(yīng)用邏輯運(yùn)算表決微周期內(nèi)����,安全計(jì)算機(jī)管理單元30^接收與所述安全計(jì)算機(jī)管理單元30^對(duì)應(yīng)的通用計(jì)算單元⑶根據(jù)預(yù)設(shè)安全通信協(xié)議解析對(duì)所述安全數(shù)據(jù)幀的解析結(jié)果�;
[0130]安全計(jì)算機(jī)管理單元30^根據(jù)所述解析結(jié)果進(jìn)行表決,當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果一致���,所述邏輯運(yùn)算結(jié)果為有效數(shù)據(jù)�����,選擇有效的邏輯運(yùn)算結(jié)果使用�;當(dāng)所述安全數(shù)據(jù)幀不合法或所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果不一致時(shí)����,啟動(dòng)安全反應(yīng)�。
[0131]33�����,安全計(jì)算機(jī)管理域300基于周期控制方式控制通用計(jì)算域完成復(fù)雜輸出預(yù)處理�;
[0132]安全計(jì)算機(jī)管理域300基于周期控制方式完成簡(jiǎn)單輸出預(yù)處理;
[0133]復(fù)雜輸出和簡(jiǎn)單輸出以安全計(jì)算機(jī)管理域300的0^處理能力劃分�����,如果安全計(jì)算機(jī)管理域300的0^的處理能力足夠可以運(yùn)算完成輸出邏輯預(yù)處理功能��,即認(rèn)為是簡(jiǎn)單輸出�����;如果安全計(jì)算機(jī)管理域300的0^的處理能力不足以運(yùn)算完成輸出邏輯預(yù)處理功能����,需要控制通用計(jì)算域完成輸出�,則認(rèn)為是復(fù)雜輸出。
[0134]安全計(jì)算機(jī)管理域300對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決�����,選擇有效的輸出預(yù)處理結(jié)果使用,由安全計(jì)算機(jī)管理域300控制安全輸入輸出域3100完成有效的輸出預(yù)處理結(jié)果的輸出���。
[0135]安全輸入輸出域31001即111: 811(1 0111^111: £)01118111)由安全計(jì)算機(jī)管理域8010控制完成有效的輸出預(yù)處理結(jié)果的輸出���。
[0136]安全輸入輸出域3100完成列控安全計(jì)算機(jī)所需的通信輸入輸出、數(shù)字量輸入輸出等功能�����,其中�,通信輸入輸出可以包括以太網(wǎng)、異步串行通信�、⑶隊(duì)等列控系統(tǒng)常見(jiàn)通信方式,數(shù)字量輸入輸出則根據(jù)列控地面設(shè)備和車載設(shè)備的具體需求��,基于鐵路信號(hào)傳統(tǒng)故障安全輸入����、輸出原則實(shí)現(xiàn)。
[0137]優(yōu)選地�����,采用兩個(gè)異構(gòu)的通用計(jì)算單元001111)111:81:101181 1)1111:)構(gòu)成所述通用計(jì)算域(^⑶,邏輯上2個(gè)異構(gòu)通用計(jì)算單元⑶為二取二關(guān)系����;
[0138]在實(shí)際應(yīng)用中,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的通用計(jì)算單元⑶�����,使用多于兩個(gè)異構(gòu)的通用計(jì)算單元6⑶構(gòu)成通用計(jì)算域(^⑶�����,也在本發(fā)明實(shí)施例的保護(hù)范圍中�。
[0139]采用兩個(gè)異構(gòu)的安全輸入輸出單元31011(3X61:7 I即此£111(1 0111^111: 1)1111:)構(gòu)成所述安全輸入輸出域3100�����,邏輯上2個(gè)異構(gòu)安全輸入輸出單元3101為二取二關(guān)系����;
[0140]在實(shí)際應(yīng)用中,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的安全輸入輸出單元3101�����,使用多于兩個(gè)異構(gòu)的安全輸入輸出單元3101構(gòu)成安全輸入輸出域3100�����,也在本發(fā)明實(shí)施例的保護(hù)范圍中。
[0141]采用兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元00卹111:61~1)1111:)構(gòu)成所述安全計(jì)算機(jī)管理域300�����,邏輯上2個(gè)異構(gòu)安全計(jì)算機(jī)管理單元30^為二取二關(guān)系�����;
[0142]在實(shí)際應(yīng)用中�����,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30^����,使用多于兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30^構(gòu)成安全計(jì)算機(jī)管理域300,也在本發(fā)明實(shí)施例的保護(hù)范圍中����。
[0143]一個(gè)控制周期劃分為輸入相、邏輯運(yùn)算相和輸出相���,如圖4所示���,在輸出相內(nèi)�,如圖7所示��,輸出相包括若干種輸出預(yù)處理�、輸出預(yù)處理結(jié)果表決和輸出微周期;在所述輸出預(yù)處理微周期內(nèi)��,復(fù)雜輸出預(yù)處理由安全計(jì)算機(jī)管理單元30^控制通用計(jì)算單元⑶完成���,簡(jiǎn)單輸出預(yù)處理由安全計(jì)算機(jī)管理單元30^直接完成�����;在所述輸出預(yù)處理結(jié)果表決微周期內(nèi)��,由安全計(jì)算機(jī)管理單元30^對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決,當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果一致����,所述輸出預(yù)處理結(jié)果有效,選擇有效的輸出預(yù)處理結(jié)果使用����;當(dāng)所有的安全計(jì)算機(jī)管理單元30^表決結(jié)果不一致�,啟動(dòng)安全反應(yīng)���;在所述輸出微周期內(nèi)��,由安全計(jì)算機(jī)管理單元30^控制安全輸入輸出單元3101完成有效的輸出預(yù)處理結(jié)果的輸出���。
[0144]在輸出預(yù)處理微周期內(nèi),復(fù)雜輸出預(yù)處理由安全計(jì)算機(jī)管理單元3(1^控制通用計(jì)算單元完成��,簡(jiǎn)單輸出預(yù)處理由安全計(jì)算機(jī)管理單元30^直接完成��,包括:
[0145]在輸出預(yù)處理微周期內(nèi)�����,通用計(jì)算單元在執(zhí)行與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元3(1111復(fù)雜輸出預(yù)處理時(shí)��,安全計(jì)算機(jī)管理單元3(1111與通用計(jì)算單元通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)����。
[0146]安全計(jì)算機(jī)管理單元30^與通用計(jì)算單元⑶通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn),包括:
[0147]當(dāng)通用計(jì)算單元6⑶接收到安全計(jì)算機(jī)管理單元3(1111發(fā)送的復(fù)雜輸出預(yù)處理數(shù)據(jù)時(shí)��,通用計(jì)算單元根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)復(fù)雜輸出預(yù)處理數(shù)據(jù)是否合法,當(dāng)數(shù)據(jù)合法�����,通用計(jì)算單元⑶執(zhí)行相應(yīng)的復(fù)雜輸出預(yù)處理����,并將通用計(jì)算單元⑶所執(zhí)行的復(fù)雜輸出預(yù)處理結(jié)果發(fā)送給安全計(jì)算機(jī)管理單元30^,當(dāng)數(shù)據(jù)不合法時(shí)�����,啟動(dòng)安全反應(yīng)�����;
[0148]當(dāng)安全計(jì)算機(jī)管理單元3(1111接收到通用計(jì)算單元6⑶發(fā)送的邏輯運(yùn)算協(xié)處理結(jié)果時(shí)��,安全計(jì)算機(jī)管理單元30^根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)復(fù)雜輸出預(yù)處理結(jié)果是否合法�����,當(dāng)組成通用計(jì)算域的異構(gòu)通用計(jì)算單元⑶所發(fā)送的結(jié)果均合法且一致時(shí)���,安全計(jì)算機(jī)管理域300認(rèn)為通用計(jì)算域可信且計(jì)算結(jié)果正確�,否則啟動(dòng)安全反應(yīng)���。
[0149]優(yōu)選地��,在輸出預(yù)處理微周期內(nèi)�,通用計(jì)算單元⑶在執(zhí)行與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元3(1111復(fù)雜輸出預(yù)處理時(shí)�,安全計(jì)算機(jī)管理單元3(1111與通用計(jì)算單元6⑶通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)。
[0150]當(dāng)通用計(jì)算單元6⑶接收到安全計(jì)算機(jī)管理單元3(1111發(fā)送的復(fù)雜輸出預(yù)處理數(shù)據(jù)時(shí)���,通用計(jì)算單元根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理數(shù)據(jù)是否合法�,具體地�,
[0151]安全計(jì)算機(jī)管理單元30^根據(jù)安全通信協(xié)議向與安全計(jì)算機(jī)管理單元30^對(duì)應(yīng)的通用計(jì)算單元6⑶發(fā)送包含復(fù)雜輸出預(yù)處理運(yùn)算指令的安全數(shù)據(jù)幀;
[0152]若通用計(jì)算單元⑶接收到包含復(fù)雜輸出預(yù)處理運(yùn)算指令的安全數(shù)據(jù)幀����,根據(jù)安全通信協(xié)議解析所述包含復(fù)雜輸出預(yù)處理運(yùn)算指令的安全數(shù)據(jù)幀,并判斷所述安全數(shù)據(jù)幀是否合法�,
[0153]若所述安全數(shù)據(jù)幀合法,則通用計(jì)算單元⑶執(zhí)行相應(yīng)的復(fù)雜輸出預(yù)處理運(yùn)算���,并將通用計(jì)算單元所執(zhí)行的復(fù)雜輸出預(yù)處理運(yùn)算結(jié)果形成安全數(shù)據(jù)幀�����,并根據(jù)安全通信協(xié)議發(fā)送給與所述通用計(jì)算單元6⑶對(duì)應(yīng)的安全計(jì)算機(jī)管理單元3(3111 �;
[0154]若通用計(jì)算單元⑶接收到安全數(shù)據(jù)幀,判斷所述安全數(shù)據(jù)幀非法�,將啟動(dòng)安全反應(yīng)處理請(qǐng)求的安全數(shù)據(jù)幀按照安全通信協(xié)議發(fā)送給所述通用計(jì)算單元⑶對(duì)應(yīng)的安全計(jì)算機(jī)管理單元3(1111,啟動(dòng)安全反應(yīng)��。
[0155]當(dāng)安全計(jì)算機(jī)管理單元3(1111接收到通用計(jì)算單元6⑶發(fā)送的復(fù)雜輸出預(yù)處理運(yùn)算結(jié)果時(shí)���,安全計(jì)算機(jī)管理單元30^根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)復(fù)雜輸出預(yù)處理運(yùn)算結(jié)果是否合法�,具體地��,
[0156]若安全計(jì)算機(jī)管理單元3(1111接收到通用計(jì)算單元6⑶發(fā)送的包含復(fù)雜輸出預(yù)處理運(yùn)算結(jié)果的安全數(shù)據(jù)幀����,安全計(jì)算機(jī)管理單元30^根據(jù)安全通信協(xié)議解析通用計(jì)算單元所發(fā)送的包含復(fù)雜輸出預(yù)處理運(yùn)算結(jié)果的安全數(shù)據(jù)幀;
[0157]若包含復(fù)雜輸出預(yù)處理運(yùn)算結(jié)果的安全數(shù)據(jù)幀合法����,則認(rèn)為安全計(jì)算機(jī)管理單元30^接收到通用計(jì)算單元⑶發(fā)送的復(fù)雜輸出預(yù)處理運(yùn)算處理結(jié)果合法;
[0158]若包含復(fù)雜輸出預(yù)處理運(yùn)算結(jié)果的安全數(shù)據(jù)幀非法��,則安全計(jì)算機(jī)管理單元啟動(dòng)安全反應(yīng)��;
[0159]當(dāng)組成通用計(jì)算域的異構(gòu)通用計(jì)算單元⑶所發(fā)送的結(jié)果均合法且一致時(shí)��,安全計(jì)算機(jī)管理域300認(rèn)為通用計(jì)算域可信且計(jì)算結(jié)果正確�����,否則安全計(jì)算機(jī)管理域300啟動(dòng)安全反應(yīng)����。
[0160]實(shí)施例二
[0161]該實(shí)施例提供了一種基于通用⑶巧軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的系統(tǒng),其具體實(shí)現(xiàn)結(jié)構(gòu)如圖8所示�����,具體可以包括如下的模塊:安全計(jì)算機(jī)管理域300 81����、通用計(jì)算域
82和安全輸入輸出域3100 83,其中����,
[0162]安全計(jì)算機(jī)管理域300 81:其用于基于周期控制方式對(duì)安全輸入輸出域3100傳遞的輸入數(shù)據(jù)進(jìn)行表決,選擇有效的輸入數(shù)據(jù)使用����;
[0163]安全計(jì)算機(jī)管理域300 81:其還用于基于周期控制方式對(duì)通用計(jì)算域的邏輯運(yùn)算結(jié)果進(jìn)行表決,選擇有效的邏輯運(yùn)算結(jié)果使用����;
[0164]安全計(jì)算機(jī)管理域300 81:其還用于基于周期控制方式控制通用計(jì)算域完成復(fù)雜輸出預(yù)處理��,安全計(jì)算機(jī)管理域300基于周期控制方式完成簡(jiǎn)單輸出預(yù)處理���,由安全計(jì)算機(jī)管理域300對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決,選擇有效的輸出預(yù)處理結(jié)果使用�����;
[0165]安全計(jì)算機(jī)管理域300 81:其還用于控制安全輸入輸出域3100完成有效的輸出預(yù)處理結(jié)果的輸出�����。
[0166]優(yōu)選地�,采用兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元3(1111 (8^^61:7 001111)111:61-
1)1111:)構(gòu)成所述安全計(jì)算機(jī)管理域300 ;
[0167]在實(shí)際應(yīng)用中���,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30^�,使用多于兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元30^構(gòu)成安全計(jì)算機(jī)管理域300��,也在本發(fā)明實(shí)施例的保護(hù)范圍中���。
[0168]每個(gè)安全計(jì)算機(jī)管理單元30^基于獨(dú)立設(shè)計(jì)的硬件和軟件實(shí)現(xiàn)���,優(yōu)選地�,設(shè)計(jì)安全計(jì)算機(jī)管理單元的硬件時(shí)�,分別選擇基于鎖步(104 81:61))技術(shù)設(shè)計(jì)����、符合311-3級(jí)要求的安全微控制器(1⑶)和基于可編程邏輯器件(例如??以)����、使用時(shí)鐘級(jí)同步二取二安全比較片上系統(tǒng)(300實(shí)現(xiàn),1⑶軟件不使用操作系統(tǒng)并基于語(yǔ)言等高級(jí)編程語(yǔ)言實(shí)現(xiàn)�,30(:軟件則使用硬件描述語(yǔ)言(例如71100實(shí)現(xiàn),2個(gè)30^之間通過(guò)冗余專用通信網(wǎng)絡(luò)交換表決數(shù)據(jù)�����。
[0169]通用計(jì)算域82:其用于由安全計(jì)算機(jī)管理域300控制執(zhí)行安全計(jì)算機(jī)管理域300的邏輯運(yùn)算���;
[0170]通用計(jì)算域82:其還用于由安全計(jì)算機(jī)管理域300控制完成復(fù)雜輸出預(yù)處理��;
[0171]優(yōu)選地�����,采用兩個(gè)異構(gòu)的通用計(jì)算單元¢61161^1 001111)111:81:101181 1)1111:)構(gòu)成所述通用計(jì)算域(^⑶�����;
[0172]在實(shí)際應(yīng)用中�,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的通用計(jì)算單元⑶,使用多于兩個(gè)異構(gòu)的通用計(jì)算單元6⑶構(gòu)成通用計(jì)算域(^⑶����,也在本發(fā)明實(shí)施例的保護(hù)范圍中。
[0173]每個(gè)通用計(jì)算單元⑶基于通用⑶��!'3硬件和通用⑶�!'3操作系統(tǒng)軟件實(shí)現(xiàn);優(yōu)選地����,2個(gè)通用計(jì)算單元⑶硬件分別選擇乂86架構(gòu)、��?0^61~�?0架構(gòu)的通用(1)13服務(wù)器、工控機(jī)等設(shè)備���,其軟件既可分別基于11皿1����、^66880等異構(gòu)開源通用操作系統(tǒng)實(shí)現(xiàn),也可分別基于7X101^8���、咖X等異構(gòu)通用實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)�。
[0174]安全輸入輸出域3100 83:其用于為安全計(jì)算機(jī)管理域300傳遞輸入數(shù)據(jù)���;
[0175]安全輸入輸出域3100 83:其用于由安全計(jì)算機(jī)管理域300控制完成有效的輸出預(yù)處理結(jié)果的輸出。
[0176]優(yōu)選地���,采用兩個(gè)異構(gòu)的安全輸入輸出單元31011(3X61:7 I即此£111(1 0111^111:
構(gòu)成所述安全輸入輸出域3100 ����;
[0177]在實(shí)際應(yīng)用中����,本發(fā)明實(shí)施例并不局限上述兩個(gè)異構(gòu)的安全輸入輸出單元3101,使用多于兩個(gè)異構(gòu)的安全輸入輸出單元3101構(gòu)成安全輸入輸出域3100�,也在本發(fā)明實(shí)施例的保護(hù)范圍中。
[0178]每個(gè)安全輸入輸出單元31011基于獨(dú)立設(shè)計(jì)的硬件并配合通用(3013硬件和通用00X8操作系統(tǒng)軟件實(shí)現(xiàn)����;安全輸入輸出單元3101中的通信10單元¢10⑴基于乂86架構(gòu)����、
架構(gòu)的通用(1)13板卡實(shí)現(xiàn)�����,通過(guò)獨(dú)立設(shè)計(jì)方式引出2組異構(gòu)的專用10總線�,其軟件分別基于咖X等異構(gòu)通用實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)。
[0179]獨(dú)立設(shè)計(jì)3101中的安全10電路單元(310⑶)時(shí)�����,基于傳統(tǒng)鐵路信號(hào)故障安全輸入和安全輸出設(shè)計(jì)原則�����,采用成熟可靠電路實(shí)現(xiàn)���。
[0180]如圖9所示���,給出了本發(fā)明優(yōu)選的一種列控安全計(jì)算機(jī)實(shí)現(xiàn)方案原理圖,在該方案中���,3101中的通信10單元(:101還完成通用計(jì)算單元⑶與安全計(jì)算機(jī)管理單元30^之間的通信轉(zhuǎn)接功能���,每一個(gè)通信10單元(:101連接一個(gè)(1)13內(nèi)網(wǎng)��,而每個(gè)通用計(jì)算單元6⑶同時(shí)接入兩個(gè)(1)13內(nèi)網(wǎng)��。同時(shí)���,每一個(gè)通信10單元(:101連接一個(gè)專用10總線,該專用10總線還分別連接兩個(gè)安全計(jì)算機(jī)管理單元30^和一個(gè)安全10電路單元310⑶��。同時(shí)每一個(gè)通信10單元都提供相應(yīng)的外部通信接口���。
[0181]圖10給出了本發(fā)明優(yōu)選的一種列控安全計(jì)算機(jī)冗余配置方案原理圖,在該方案中�,兩組二取二架構(gòu)的列控安全計(jì)算機(jī)通過(guò)冗余的?:013內(nèi)網(wǎng)相互連接,這樣��,二取二八系和二取二 8系的安全計(jì)算機(jī)管理域300可交換控制數(shù)據(jù)����,從而完成二乘(熱備)二取二或冗余(并行)二取二功能。
[0182]用本發(fā)明實(shí)施例的系統(tǒng)進(jìn)行提高列車運(yùn)行系統(tǒng)的安全可信的具體過(guò)程與前述方法實(shí)施例類似��,此處不再贅述。
[0183]本領(lǐng)域普通技術(shù)人員可以理解:附圖只是一個(gè)實(shí)施例的示意圖�����,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的����。
[0184]通過(guò)以上的實(shí)施方式的描述可知,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)�����?��;谶@樣的理解�����,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)�����,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中�����,如801/1^1����、磁碟、光盤等�����,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)���,服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法��。
[0185]本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述���,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處��。尤其����,對(duì)于裝置或系統(tǒng)實(shí)施例而言����,由于其基本相似于方法實(shí)施例�����,所以描述得比較簡(jiǎn)單��,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可�。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的��,其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開的��,作為單元顯示的部件可以是或者也可以不是物理單元����,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上��?�?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的�。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施���。
[0186]以上所述�����,僅為本發(fā)明較佳的【具體實(shí)施方式】���,但本發(fā)明的保護(hù)范圍并不局限于此��,任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)��。因此����,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
【權(quán)利要求】
1.一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法����,其特征在于,包括: 安全計(jì)算機(jī)管理域SCMD (Safety Computer Management Domain)基于周期控制方式對(duì)安全輸入輸出域S1D傳遞的輸入數(shù)據(jù)進(jìn)行表決��,選擇有效的輸入數(shù)據(jù)使用�; 安全計(jì)算機(jī)管理域SCMD (Safety Computer Management Domain)基于周期控制方式對(duì)通用計(jì)算域GCD的邏輯運(yùn)算結(jié)果進(jìn)行表決����,選擇有效的邏輯運(yùn)算結(jié)果使用�����; 安全計(jì)算機(jī)管理域SCMD (Safety Computer Management Domain)基于周期控制方式控制通用計(jì)算域GCD完成復(fù)雜輸出預(yù)處理�����; 安全計(jì)算機(jī)管理域SCMD (Safety Computer Management Domain)基于周期控制方式完成簡(jiǎn)單輸出預(yù)處理���; 安全計(jì)算機(jī)管理域SCMD (Safety Computer Management Domain)對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決,選擇有效的輸出預(yù)處理結(jié)果使用�����,由安全計(jì)算機(jī)管理域SCMD控制安全輸入輸出域S1D完成有效的輸出預(yù)處理結(jié)果的輸出���。
2.根據(jù)權(quán)利要求1所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法�����,其特征在于���,包括: 通用計(jì)算域GO) (General Computat1nal Domain)由安全計(jì)算機(jī)管理域SCMD控制執(zhí)行安全計(jì)算機(jī)管理域SCMD的邏輯運(yùn)算�; 通用計(jì)算域GO) (General Computat1nal Domain)由安全計(jì)算機(jī)管理域SCMD控制完成復(fù)雜輸出預(yù)處理�; 安全輸入輸出域S1D (Safety Input and Output Domain)由安全計(jì)算機(jī)管理域SCMD控制完成數(shù)據(jù)輸入; 安全輸入輸出域S1D (Safety Input and Output Domain)由安全計(jì)算機(jī)管理域SCMD控制完成有效的輸出預(yù)處理結(jié)果的輸出�����。
3.一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法�,其特征在于,包括: 采用至少兩個(gè)異構(gòu)的通用計(jì)算單元GOJ(General Computat1nal Unit)構(gòu)成所述通用計(jì)算域GCD �����; 采用至少兩個(gè)異構(gòu)的安全輸入輸出單元S1U(Safety Input and Output Unit)構(gòu)成所述安全輸入輸出域S1D ����; 采用至少兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元SCMU(Safety Computer Management Unit)構(gòu)成所述安全計(jì)算機(jī)管理域SCMD。
4.如權(quán)利要求1至3任一項(xiàng)所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法���,其特征在于����,所述周期控制方式包括:將一個(gè)控制周期劃分為輸入相��、邏輯運(yùn)算相和輸出相。
5.如權(quán)利要求4所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法����,其特征在于����, 所述輸入相包括若干種輸入和輸入表決微周期; 在所述輸入微周期內(nèi)���,安全輸入輸出單元S1U傳遞輸入數(shù)據(jù)�; 在所述輸入表決微周期內(nèi)�,安全輸入輸出單元S1U所傳遞輸入數(shù)據(jù)在與安全輸入輸出單元S1U對(duì)應(yīng)的安全計(jì)算機(jī)管理單元SCMU中表決,當(dāng)所有的安全計(jì)算機(jī)管理單元SCMU表決結(jié)果一致�,所述輸入數(shù)據(jù)有效,選擇有效的輸入數(shù)據(jù)使用����;當(dāng)所有的安全計(jì)算機(jī)管理單元SCMU表決結(jié)果不一致,啟動(dòng)安全反應(yīng)�。
6.如權(quán)利要求4所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法,其特征在于���, 所述邏輯運(yùn)算相包括若干種應(yīng)用邏輯運(yùn)算和應(yīng)用邏輯運(yùn)算表決微周期�; 在應(yīng)用邏輯運(yùn)算微周期中,由安全計(jì)算機(jī)管理單元SCMU控制與其對(duì)應(yīng)的通用計(jì)算單元GCU完成每種應(yīng)用邏輯單元運(yùn)算�,應(yīng)用邏輯單元運(yùn)算的集合組成應(yīng)用邏輯運(yùn)算; 在應(yīng)用邏輯運(yùn)算表決微周期��,所述通用計(jì)算單元GCU邏輯運(yùn)算結(jié)果與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元SCMU中表決�,當(dāng)所有的安全計(jì)算機(jī)管理單元SCMU表決結(jié)果一致,所述邏輯運(yùn)算結(jié)果有效���,選擇有效的邏輯運(yùn)算結(jié)果使用�����;當(dāng)所有的安全計(jì)算機(jī)管理單元SCMU表決結(jié)果不一致���,啟動(dòng)安全反應(yīng)。
7.如權(quán)利要求6所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法�����,其特征在于�����,所述在應(yīng)用邏輯運(yùn)算微周期中���,由安全計(jì)算機(jī)管理單元SCMU控制與其對(duì)應(yīng)的通用計(jì)算單元GCU完成每種應(yīng)用邏輯單元運(yùn)算�,包括: 在所述應(yīng)用邏輯運(yùn)算微周期內(nèi),通用計(jì)算單元GCU在執(zhí)行與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元SCMU邏輯運(yùn)算協(xié)處理時(shí)�����,安全計(jì)算機(jī)管理單元SCMU與通用計(jì)算單元GCU通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)��。
8.如權(quán)利要求7所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法���,其特征在于,所述安全計(jì)算機(jī)管理單元SCMU與通用計(jì)算單元GCU通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)��,包括: 當(dāng)通用計(jì)算單元G⑶接收到安全計(jì)算機(jī)管理單元SCMU發(fā)送的邏輯運(yùn)算協(xié)處理數(shù)據(jù)時(shí)�����,通用計(jì)算單元GCU根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理數(shù)據(jù)是否合法�,當(dāng)數(shù)據(jù)合法,通用計(jì)算單元GCU執(zhí)行相應(yīng)的邏輯運(yùn)算協(xié)處理�,并將通用計(jì)算單元GCU所執(zhí)行的邏輯運(yùn)算協(xié)處理結(jié)果發(fā)送給安全計(jì)算機(jī)管理單元SCMU,當(dāng)數(shù)據(jù)不合法時(shí)���,啟動(dòng)安全反應(yīng)�����; 當(dāng)安全計(jì)算機(jī)管理單元SCMU接收到通用計(jì)算單元G⑶發(fā)送的邏輯運(yùn)算協(xié)處理結(jié)果時(shí)�,安全計(jì)算機(jī)管理單元SCMU根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)邏輯運(yùn)算協(xié)處理結(jié)果是否合法,當(dāng)組成通用計(jì)算域GCD的異構(gòu)通用計(jì)算單元GCU所發(fā)送的結(jié)果均合法且一致時(shí)���,安全計(jì)算機(jī)管理域SCMD認(rèn)為通用計(jì)算域G⑶可信且計(jì)算結(jié)果正確�,否則啟動(dòng)安全反應(yīng)����。
9.如權(quán)利要求4所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法,其特征在于����, 所述輸出相包括若干種輸出預(yù)處理、輸出預(yù)處理結(jié)果表決和輸出微周期����; 在所述輸出預(yù)處理微周期內(nèi),復(fù)雜輸出預(yù)處理由安全計(jì)算機(jī)管理單元SCMU控制通用計(jì)算單元G⑶完成�����,簡(jiǎn)單輸出預(yù)處理由安全計(jì)算機(jī)管理單元SCMU直接完成�; 在所述輸出預(yù)處理結(jié)果表決微周期內(nèi)���,由安全計(jì)算機(jī)管理單元SCMU對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決,當(dāng)所有的安全計(jì)算機(jī)管理單元SCMU表決結(jié)果一致����,所述輸出預(yù)處理結(jié)果有效,選擇有效的輸出預(yù)處理結(jié)果使用�����;當(dāng)所有的安全計(jì)算機(jī)管理單元SCMU表決結(jié)果不一致���,啟動(dòng)安全反應(yīng); 在所述輸出微周期內(nèi)�,由安全計(jì)算機(jī)管理單元SCMU控制安全輸入輸出單元S1U完成有效的輸出預(yù)處理結(jié)果的輸出。
10.如權(quán)利要求9所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法��,其特征在于���,所述在所述輸出預(yù)處理微周期內(nèi)�����,復(fù)雜輸出預(yù)處理由安全計(jì)算機(jī)管理單元SCMU控制通用計(jì)算單元G⑶完成�,簡(jiǎn)單輸出預(yù)處理由安全計(jì)算機(jī)管理單元SCMU直接完成,包括:在所述輸出預(yù)處理微周期內(nèi)����,通用計(jì)算單元GCU在執(zhí)行與其對(duì)應(yīng)的安全計(jì)算機(jī)管理單元SCMU復(fù)雜輸出預(yù)處理時(shí),安全計(jì)算機(jī)管理單元SCMU與通用計(jì)算單元GCU通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)��。
11.如權(quán)利要求10所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的方法�,其特征在于,所述安全計(jì)算機(jī)管理單元SCMU與通用計(jì)算單元GCU通過(guò)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則相互校驗(yàn)�,包括: 當(dāng)通用計(jì)算單元G⑶接收到安全計(jì)算機(jī)管理單元SCMU發(fā)送的復(fù)雜輸出預(yù)處理數(shù)據(jù)時(shí),通用計(jì)算單元GCU根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)復(fù)雜輸出預(yù)處理數(shù)據(jù)是否合法����,當(dāng)數(shù)據(jù)合法,通用計(jì)算單元GCU執(zhí)行相應(yīng)的復(fù)雜輸出預(yù)處理��,并將通用計(jì)算單元GCU所執(zhí)行的復(fù)雜輸出預(yù)處理結(jié)果發(fā)送給安全計(jì)算機(jī)管理單元SCMU����,當(dāng)數(shù)據(jù)不合法時(shí),啟動(dòng)安全反應(yīng)��; 當(dāng)安全計(jì)算機(jī)管理單元SCMU接收到通用計(jì)算單元G⑶發(fā)送的邏輯運(yùn)算協(xié)處理結(jié)果時(shí)���,安全計(jì)算機(jī)管理單元SCMU根據(jù)預(yù)設(shè)的邏輯運(yùn)算校驗(yàn)規(guī)則校驗(yàn)復(fù)雜輸出預(yù)處理結(jié)果是否合法����,當(dāng)組成通用計(jì)算域GCD的異構(gòu)通用計(jì)算單元GCU所發(fā)送的結(jié)果均合法且一致時(shí),安全計(jì)算機(jī)管理域SCMD認(rèn)為通用計(jì)算域G⑶可信且計(jì)算結(jié)果正確����,否則啟動(dòng)安全反應(yīng)。
12.一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的系統(tǒng)�����,其特征在于��,包括:安全計(jì)算機(jī)管理域SCMD�����、通用計(jì)算域G⑶和安全輸入輸出域S10D�����,其中����, 安全計(jì)算機(jī)管理域SCMD用于基于周期控制方式對(duì)安全輸入輸出域S1D傳遞的輸入數(shù)據(jù)進(jìn)行表決��,選擇有效的輸入數(shù)據(jù)使用; 安全計(jì)算機(jī)管理域SCMD還用于基于周期控制方式對(duì)通用計(jì)算域GCD的邏輯運(yùn)算結(jié)果進(jìn)行表決����,選擇有效的邏輯運(yùn)算結(jié)果使用; 安全計(jì)算機(jī)管理域SCMD還用于基于周期控制方式控制通用計(jì)算域G⑶完成復(fù)雜輸出預(yù)處理�����,安全計(jì)算機(jī)管理域SCMD基于周期控制方式完成簡(jiǎn)單輸出預(yù)處理��,由安全計(jì)算機(jī)管理域SCMD對(duì)輸出預(yù)處理結(jié)果進(jìn)行表決�,選擇有效的輸出預(yù)處理結(jié)果使用; 安全計(jì)算機(jī)管理域SCMD還用于控制安全輸入輸出域S1D完成有效的輸出預(yù)處理結(jié)果的輸出�����; 通用計(jì)算域GO) (General Computat1nal Domain)�,其用于由安全計(jì)算機(jī)管理域SCMD控制執(zhí)行安全計(jì)算機(jī)管理域SCMD的邏輯運(yùn)算; 還用于由安全計(jì)算機(jī)管理域SCMD控制完成復(fù)雜輸出預(yù)處理�����; 安全輸入輸出域S1D (Safety Input and Output Domain)其用于為安全計(jì)算機(jī)管理域SCMD傳遞輸入數(shù)據(jù)��; 安全輸入輸出域S1D(Safety Input and Output Domain)其用于由安全計(jì)算機(jī)管理域SCMD控制完成有效的輸出預(yù)處理結(jié)果的輸出。
13.根據(jù)權(quán)利要求12所述的一種基于通用COTS軟硬件實(shí)現(xiàn)列控安全計(jì)算機(jī)的系統(tǒng)���,其特征在于����,包括: 通用計(jì)算單元GCU:其用于構(gòu)成所述通用計(jì)算域GCD ; 其中��,采用至少兩個(gè)異構(gòu)的通用計(jì)算單元GCU構(gòu)成所述通用計(jì)算域GCD ; 安全輸入輸出單元S1U:其用于構(gòu)成所述安全輸入輸出域S1D ���; 其中����,采用至少兩個(gè)異構(gòu)的安全輸入輸出單元S1U(Safety Input and Output Unit)構(gòu)成所述安全輸入輸出域S1D ��; 安全計(jì)算機(jī)管理單元SCMU:其用于構(gòu)成所述安全計(jì)算機(jī)管理域SCMD ; 其中�,采用至少兩個(gè)異構(gòu)的安全計(jì)算機(jī)管理單元SCMU(Safety Computer ManagementUnit)構(gòu)成所述安全計(jì)算機(jī)管理域SCMD。
【文檔編號(hào)】G06F21/76GK104484626SQ201410852714
【公開日】2015年4月1日 申請(qǐng)日期:2014年12月31日 優(yōu)先權(quán)日:2014年12月31日
【發(fā)明者】馬連川, 唐濤, 李開成, 王海峰 申請(qǐng)人:北京交通大學(xué)