高國(guó)梁

（北京全路通信信號(hào)研究設(shè)計(jì)院有限公司，北京 100073）

高國(guó)梁，男，碩士畢業(yè)于北京交通大學(xué)，高級(jí)工程師，安全保障中心副主任。主要研究方向包括安全管理和安全技術(shù)、城軌列車自動(dòng)控制技術(shù)，曾負(fù)責(zé)并參與企業(yè)安全保障體系建設(shè)，參與城市軌道交通CBTC系統(tǒng)開(kāi)發(fā)，負(fù)責(zé)ATP、聯(lián)鎖等產(chǎn)品開(kāi)發(fā)的安全確認(rèn)、武廣客運(yùn)專線列控系統(tǒng)的安全管理等。

1 概述

根據(jù)歐洲鐵路安全標(biāo)準(zhǔn)EN50129：2003的規(guī)定，安全產(chǎn)品的評(píng)估和認(rèn)證分為3個(gè)層次：通用產(chǎn)品、通用應(yīng)用和特定應(yīng)用。一般地，承載信號(hào)安全運(yùn)算業(yè)務(wù)的安全計(jì)算機(jī)平臺(tái)，作為通用產(chǎn)品被開(kāi)發(fā)和評(píng)估，其將作為通用應(yīng)用開(kāi)發(fā)和評(píng)估的基礎(chǔ)。安全平臺(tái)的變更，往往會(huì)引起對(duì)通用應(yīng)用的較大影響，所以，安全平臺(tái)的發(fā)展策略往往會(huì)更謹(jǐn)慎。另外，安全平臺(tái)是實(shí)現(xiàn)安全設(shè)計(jì)的基石，其設(shè)計(jì)是安全設(shè)計(jì)最核心和最復(fù)雜的所在，所以安全平臺(tái)的開(kāi)發(fā)往往會(huì)以既有的安全平臺(tái)為基礎(chǔ)，以確保其穩(wěn)步前進(jìn)。

另一方面，隨著軌道交通信號(hào)控制自動(dòng)化的快速發(fā)展，信號(hào)系統(tǒng)的安全運(yùn)算越來(lái)越復(fù)雜，對(duì)安全平臺(tái)的運(yùn)算能力提出了越來(lái)越高的要求，一些既有成熟的安全平臺(tái)逐漸不能滿足安全運(yùn)算業(yè)務(wù)的資源需求，而短時(shí)間內(nèi)也難以開(kāi)發(fā)出可以成熟應(yīng)用的新安全平臺(tái)。此情況下，如何在既有的安全平臺(tái)基礎(chǔ)上，利用先進(jìn)的技術(shù)手段，快速發(fā)展出高性能、可擴(kuò)展的安全平臺(tái)，是一個(gè)比較可行的解決之道。本文正是基于這種思想，并結(jié)合工作中的實(shí)踐，提出了一種基于“并行計(jì)算”的組合安全設(shè)計(jì)方法，實(shí)現(xiàn)在既有的安全平臺(tái)基礎(chǔ)上，實(shí)現(xiàn)高性能的可擴(kuò)展安全平臺(tái)，在使既有的安全平臺(tái)煥發(fā)青春的同時(shí)，也實(shí)現(xiàn)了安全平臺(tái)的可持續(xù)發(fā)展。

2 “故障-安全”的實(shí)現(xiàn)方法

在發(fā)生單個(gè)隨機(jī)故障時(shí)，應(yīng)確保系統(tǒng)/子系統(tǒng)/設(shè)備滿足規(guī)定的容許危險(xiǎn)率。當(dāng)可識(shí)別的任何一種單一隨機(jī)硬件故障發(fā)生時(shí)，應(yīng)保證SIL3和SIL4的系統(tǒng)保持安全。被證明其影響可被忽略的故障可以不予考慮。這種故障-安全的機(jī)制有幾種實(shí)現(xiàn)方式。

2.1 組合故障-安全

采用這種技術(shù)，每個(gè)安全相關(guān)功能應(yīng)至少由兩個(gè)對(duì)象來(lái)執(zhí)行。各對(duì)象之間應(yīng)相互獨(dú)立，以避免共因失效。只有當(dāng)必要數(shù)量的對(duì)象取得一致時(shí)，才允許進(jìn)行非限制行為。應(yīng)能檢測(cè)出一個(gè)對(duì)象中的危險(xiǎn)故障并在足夠的時(shí)間內(nèi)加以拒絕，以避免第二個(gè)對(duì)象發(fā)生相同故障。

2.2 反應(yīng)故障-安全

這種技術(shù)允許一個(gè)安全相關(guān)功能由單個(gè)對(duì)象執(zhí)行，前提是通過(guò)快速的危險(xiǎn)故障檢測(cè)和拒絕來(lái)確保它的安全操作(例如通過(guò)編碼，多路計(jì)算和比較，或通過(guò)連續(xù)的測(cè)試)。盡管只由一個(gè)對(duì)象實(shí)施實(shí)際的安全相關(guān)功能，但檢查/測(cè)試/檢測(cè)功能應(yīng)被看作為第二對(duì)象。檢查/測(cè)試/檢測(cè)功能應(yīng)是獨(dú)立的，以避免共因失效。

2.3 固有故障-安全

這種技術(shù)允許一個(gè)安全相關(guān)功能由單個(gè)對(duì)象執(zhí)行，前提是假定對(duì)象的所有可信失效模式均為非危險(xiǎn)的。固有式故障-安全也可用在組合式和反應(yīng)式故障-安全系統(tǒng)的某些功能中，例如，用來(lái)確保各對(duì)象之間的獨(dú)立性或在檢測(cè)到一個(gè)危險(xiǎn)故障時(shí)強(qiáng)制關(guān)閉的功能。

無(wú)論使用哪種技術(shù)或其組合，都應(yīng)使用適當(dāng)?shù)慕Y(jié)構(gòu)分析方法來(lái)證明以確保單個(gè)硬件元件的隨機(jī)失效模式是非危險(xiǎn)的。

3 常見(jiàn)的2002安全設(shè)計(jì)

常見(jiàn)的2002安全平臺(tái)，往往使用兩個(gè)完全相同的計(jì)算單元，如相同CPU和計(jì)算架構(gòu)等，如圖1所示。其中，有部分特性是可選性，取二的兩個(gè)CPU可能是共同的，也可能是不同的來(lái)源。

與安全設(shè)計(jì)有關(guān)的一些設(shè)計(jì)問(wèn)題需要考慮。

3.1 異構(gòu)（diversification）

1）異構(gòu)應(yīng)盡可能實(shí)現(xiàn)，以確保減緩系統(tǒng)性失效和共因失效。

2）兩個(gè)CPU的軟件代碼應(yīng)使用不同的算法或由不同的軟件開(kāi)發(fā)人員來(lái)實(shí)現(xiàn)。

3）建議通過(guò)輸入和輸出的邏輯狀態(tài)中采用部分的硬件異構(gòu)，比如兩個(gè)通道采用不同的設(shè)備引腳輸出。

4）另外一種異構(gòu)的方法是兩個(gè)通道采用不同的信息結(jié)構(gòu)，例如，一個(gè)通道采用串行編碼信息，另一個(gè)通道采用并行編碼信息。

3.2 兩路CPU之間的通信

如果實(shí)現(xiàn)了兩路CPU之間的通信（C12和/或C21），則應(yīng)防止引入共因失效。

3.3 定期的診斷測(cè)試

當(dāng)采取了2002結(jié)構(gòu)后仍存在有些失效模式的判斷不充分時(shí)，需要采取定期的診斷測(cè)試技術(shù)，一般是增加故障檢測(cè)電路。該檢測(cè)電路應(yīng)在最靠近輸出部分或在位于接收端。例如圖1中所示，檢測(cè)電路直接從輸出口回檢數(shù)據(jù)，安全切斷動(dòng)作可能發(fā)生在上流設(shè)備、下游設(shè)備或本設(shè)備處。在一些情況下，外部接收端可把自己切斷到受控的安全狀態(tài)。

3.4 故障-安全輸出機(jī)制

故障-安全的輸出機(jī)制或設(shè)備，或者通過(guò)“固有失效-安全”設(shè)計(jì)實(shí)現(xiàn)，或者通過(guò)對(duì)數(shù)據(jù)疊加安全編碼實(shí)現(xiàn)（相應(yīng)的安全編碼策略應(yīng)提供必要的安全保護(hù)措施）。

4 擴(kuò)充安全平臺(tái)性能

4.1 擴(kuò)充安全平臺(tái)性能的需求

隨著客專與高鐵以及城市軌道交通的快速發(fā)展，信號(hào)系統(tǒng)越來(lái)越復(fù)雜，同時(shí)為了確保信號(hào)系統(tǒng)的安全，各大信號(hào)廠商紛紛以歐洲鐵路安全標(biāo)準(zhǔn)對(duì)信號(hào)設(shè)備進(jìn)行升級(jí)，并引入了大量的安全算法和安全通信算法，信號(hào)設(shè)備的安全運(yùn)算越來(lái)越復(fù)雜，對(duì)安全平臺(tái)的運(yùn)算能力提出了越來(lái)越高的要求，一些既有成熟的安全平臺(tái)逐漸不能滿足安全運(yùn)算業(yè)務(wù)的資源需求，除了對(duì)安全算法進(jìn)行精簡(jiǎn)以降低其對(duì)資源的要求方法外，對(duì)既有的安全平臺(tái)進(jìn)行升級(jí)，提升其性能，以承載越來(lái)越復(fù)雜的安全運(yùn)算，逐漸成為一種新的需求。

4.2 擴(kuò)充安全平臺(tái)性能的方法

4.2.1 協(xié)處理器

當(dāng)計(jì)算機(jī)的主處理器容量不足或不具備某一方面計(jì)算能力時(shí)，通過(guò)協(xié)處理器的使用，以減輕系統(tǒng)微處理器的特定處理任務(wù)。例如，數(shù)學(xué)協(xié)處理器可以控制數(shù)字處理；圖形協(xié)處理器可以處理視頻繪制。例如，intelpentium微處理器就包括內(nèi)置的數(shù)學(xué)協(xié)處理器。包括內(nèi)置的數(shù)學(xué)協(xié)處理器。

基于該思想，可以對(duì)2002結(jié)構(gòu)中的每個(gè)CPU增加外置的協(xié)處理器計(jì)算單元，用于減輕CPU的任務(wù)負(fù)載。但是，在既有的2002結(jié)構(gòu)已經(jīng)設(shè)計(jì)完畢的條件下，對(duì)2002結(jié)構(gòu)進(jìn)行擴(kuò)充勢(shì)必對(duì)既有的設(shè)計(jì)造成較大改變，引發(fā)安全平臺(tái)的較大改變，從而對(duì)既有的平臺(tái)和應(yīng)用形成沖擊。

4.2.2 遠(yuǎn)程過(guò)程調(diào)用

在IT領(lǐng)域，早在20世紀(jì)80年代分布式計(jì)算開(kāi)始發(fā)展時(shí)，遠(yuǎn)程過(guò)程調(diào)用（Remote Procedure Call，RPC）就已經(jīng)出現(xiàn)。它作為一個(gè)計(jì)算機(jī)通信協(xié)議，允許運(yùn)行于一臺(tái)計(jì)算機(jī)的程序調(diào)用另一臺(tái)計(jì)算機(jī)的子程序，而程序員無(wú)需額外為這個(gè)交互作用編程。如果涉及的軟件采用面向?qū)ο缶幊?，那么遠(yuǎn)程過(guò)程調(diào)用亦可稱作遠(yuǎn)程調(diào)用或遠(yuǎn)程方法調(diào)用，例 ：Java RMI。

RPC采用客戶機(jī)/服務(wù)器模式。請(qǐng)求程序就是一個(gè)客戶機(jī)，而服務(wù)提供程序就是一個(gè)服務(wù)器。首先，客戶機(jī)調(diào)用進(jìn)程發(fā)送一個(gè)有進(jìn)程參數(shù)的調(diào)用信息到服務(wù)進(jìn)程，然后等待應(yīng)答信息。在服務(wù)器端，進(jìn)程保持睡眠狀態(tài)直到調(diào)用信息到達(dá)為止。當(dāng)一個(gè)調(diào)用信息到達(dá)，服務(wù)器獲得進(jìn)程參數(shù)，計(jì)算結(jié)果，發(fā)送答復(fù)信息，然后等待下一個(gè)調(diào)用信息，最后，客戶端調(diào)用進(jìn)程接收答復(fù)信息，獲得進(jìn)程結(jié)果，然后調(diào)用執(zhí)行繼續(xù)進(jìn)行。如圖2所示。

RPC的理念是使遠(yuǎn)程過(guò)程調(diào)用看起來(lái)盡可能與本地調(diào)用相同，換句話說(shuō)，RPC的使用是透明的，調(diào)用過(guò)程并不知道被調(diào)用過(guò)程運(yùn)行在另外一個(gè)計(jì)算機(jī)上，反之，被調(diào)用過(guò)程也不知道調(diào)用過(guò)程運(yùn)行在另外一個(gè)計(jì)算機(jī)上。

遠(yuǎn)程過(guò)程調(diào)用已經(jīng)發(fā)展成熟，但是如果基于RPC來(lái)實(shí)現(xiàn)安全平臺(tái)性能的提高，存在以下幾個(gè)問(wèn)題。

1）操作系統(tǒng)內(nèi)核

RPC平臺(tái)需要基于比較成熟的操作系統(tǒng)內(nèi)核的支持，常見(jiàn)的RPC實(shí)現(xiàn)，要么構(gòu)筑于分布式操作系統(tǒng)之上，要么構(gòu)筑于類似于Java這樣的虛擬機(jī)平臺(tái)之上。而信號(hào)安全平臺(tái)往往是基于嵌入式的操作系統(tǒng)甚至是沒(méi)有操作系統(tǒng)，RPC缺乏實(shí)現(xiàn)的基礎(chǔ)。

2）RPC協(xié)議

為了允許不同的客戶端均能訪問(wèn)服務(wù)器，許多標(biāo)準(zhǔn)化的RPC系統(tǒng)應(yīng)運(yùn)而生。其中大部分采用接口描述語(yǔ)言（Interface Description Language，IDL），方便跨平臺(tái)的遠(yuǎn)程過(guò)程調(diào)用。但是，由于存在各式各樣的變體和細(xì)節(jié)差異，對(duì)應(yīng)地派生了各式遠(yuǎn)程過(guò)程調(diào)用協(xié)議，而且它們并不互相兼容。

3）RPC機(jī)制

RPC采用客戶機(jī)/服務(wù)器模式，最早的RPC為同步RPC機(jī)制，當(dāng)客戶機(jī)調(diào)用RPC時(shí)，處于阻塞狀態(tài)，需要同步等待服務(wù)器計(jì)算返回。異步遠(yuǎn)程過(guò)程調(diào)用是同步RPC機(jī)制的擴(kuò)展，異步RPC允許發(fā)出調(diào)用的線程繼續(xù)執(zhí)行，并且稍后再獲取結(jié)果。異步RPC機(jī)制避免了調(diào)用方的阻塞等待，實(shí)現(xiàn)了客戶機(jī)和服務(wù)器系統(tǒng)的并行處理。但是，異步RPC往往需要多線程和回調(diào)機(jī)制的支持，而既有的安全平臺(tái)往往是單進(jìn)程的運(yùn)算機(jī)制，這對(duì)RPC協(xié)議在安全平臺(tái)的應(yīng)用形成很大限制。

因此，既有的遠(yuǎn)程過(guò)程調(diào)用協(xié)議，雖然從理論上可以支持安全平臺(tái)性能擴(kuò)充的需要，但由于其難以在既有的安全平臺(tái)上直接移植或?qū)崿F(xiàn)。在實(shí)際操作層面困難重重。

4.2.3 專用的并行處理機(jī)制

增加新的計(jì)算硬件，直接采用RPC機(jī)制難以實(shí)現(xiàn)既有安全平臺(tái)的性能擴(kuò)充，但是，可以借鑒異步RPC的思想，在既有安全平臺(tái)和增加新的獨(dú)立計(jì)算硬件，構(gòu)筑專用的RPC，實(shí)現(xiàn)并行計(jì)算，因?yàn)?，RPC的底層機(jī)理主要內(nèi)容如下。

1）從調(diào)用接口層面，實(shí)現(xiàn)對(duì)應(yīng)用的透明。

2）在底層實(shí)現(xiàn)上，仍然是采用網(wǎng)絡(luò)通信方式。

借鑒異步RPC思想，根據(jù)既有安全平臺(tái)性能擴(kuò)充的需要，提出專用的并行處理結(jié)構(gòu)如圖3所示。

在圖3中，

1）左側(cè)為既有的2002安全平臺(tái)示意，右側(cè)為計(jì)算資源擴(kuò)充部分。

2）右側(cè)計(jì)算資源擴(kuò)充部分為兩個(gè)異構(gòu)的計(jì)算機(jī)，可以是通用的PC機(jī)或服務(wù)器，二者硬件平臺(tái)、實(shí)時(shí)操作系統(tǒng)等均為異構(gòu)方式。

3）運(yùn)行在異構(gòu)的擴(kuò)充計(jì)算資源上的安全運(yùn)算服務(wù)軟件，應(yīng)符合EN50128的開(kāi)發(fā)過(guò)程、開(kāi)發(fā)技術(shù)等要求。

4）左右兩側(cè)之間通過(guò)通信方式交換數(shù)據(jù)，通信方式應(yīng)為高速通信方式，如高速以太網(wǎng)等。

5）左側(cè)某一個(gè)時(shí)刻，僅有一個(gè)CPU對(duì)外輸出（常見(jiàn)的2002設(shè)計(jì)）。

6）左側(cè)的每個(gè)CPU可以同時(shí)收到右側(cè)兩個(gè)計(jì)算結(jié)果。

基于圖3結(jié)構(gòu)的安全設(shè)計(jì)原則如下。

1）右側(cè)的通用計(jì)算資源為異構(gòu)方式，防止隨機(jī)性和系統(tǒng)性失效。

2）運(yùn)行在通用計(jì)算資源上的安全軟件為符合EN50128標(biāo)準(zhǔn)的軟件，防止系統(tǒng)性失效。

3）左側(cè)通過(guò)網(wǎng)絡(luò)將需要加工計(jì)算的數(shù)據(jù)發(fā)送給右側(cè)，通信機(jī)制應(yīng)根據(jù)通道失效模式分析，符合EN50129標(biāo)準(zhǔn)的要求，防止通信的隨機(jī)性失效。

4）右側(cè)將計(jì)算結(jié)果通過(guò)網(wǎng)絡(luò)返回給左側(cè)，通信機(jī)制應(yīng)同3）。

5）左側(cè)的每個(gè)CPU在收到右側(cè)的兩份計(jì)算結(jié)果后，進(jìn)行取二比較，相同則使用，不同則拋棄。

6）左側(cè)兩個(gè)CPU在對(duì)外輸出時(shí)，進(jìn)行取二比較，不同則導(dǎo)向安全側(cè)（2002的基本設(shè)計(jì)）。

對(duì)上述并行計(jì)算架構(gòu)和安全設(shè)計(jì)原則分析，對(duì)安全平臺(tái)進(jìn)行性能擴(kuò)充后，平臺(tái)實(shí)現(xiàn)了以下目標(biāo)和好處。

1）將復(fù)雜、獨(dú)立的安全運(yùn)算邏輯運(yùn)行在通用計(jì)算資源之上，實(shí)現(xiàn)了并行計(jì)算，使既有安全平臺(tái)不再是安全邏輯計(jì)算的瓶頸。

2）既有的安全平臺(tái)一般均具有網(wǎng)絡(luò)通信的功能，對(duì)安全平臺(tái)的擴(kuò)充非常簡(jiǎn)單，對(duì)既有的安全平臺(tái)影響很小，實(shí)現(xiàn)了安全平臺(tái)的快速平滑升級(jí)。

3）最重要的是，在平臺(tái)擴(kuò)充后，既有的安全平臺(tái)充當(dāng)了“安全與”的角色，即“表決器”的角色，滿足“組合故障-安全”的設(shè)計(jì)，仍然符合故障-安全原則。

4）延伸該擴(kuò)充思想，可以將絕大多數(shù)的安全運(yùn)算邏輯部署在通用計(jì)算資源之上，實(shí)現(xiàn)小的安全比較單元，大的計(jì)算單元的架構(gòu)，降低了安全平臺(tái)的復(fù)雜度。

4.3 安全平臺(tái)專用并行處理機(jī)制的應(yīng)用

DS6-K5B平臺(tái)是引進(jìn)的日本京三公司的安全平臺(tái)，北京全路通信信號(hào)研究設(shè)計(jì)院有限公司的DS6-K5B聯(lián)鎖系統(tǒng)是在我國(guó)客專與高鐵廣泛采用的設(shè)備。該平臺(tái)在與RBC平臺(tái)通信時(shí)，由于平臺(tái)的主機(jī)CPU板（F486）的性能限制，一度采用通信前置機(jī)的方式來(lái)處理安全通信的運(yùn)算，即增加了成本，也給系統(tǒng)帶來(lái)了復(fù)雜性。后來(lái)，DS6-K5B平臺(tái)開(kāi)發(fā)了高性能的運(yùn)算板（ZARM2），聯(lián)鎖系統(tǒng)使用運(yùn)算板來(lái)代替通信前置機(jī)，專職處理與RBC的通信數(shù)據(jù)處理，即提高了性能，又降低了系統(tǒng)復(fù)雜性，同時(shí)未降低系統(tǒng)的安全性。F486與運(yùn)算板交互數(shù)據(jù)的功能結(jié)構(gòu)如圖4 所示。

新擴(kuò)充的演算板ZARM2中包含兩個(gè)異構(gòu)的CPU，一個(gè)用ARM11，一個(gè)用SH-7780，兩個(gè)CPU完全獨(dú)立。F486與ZARM2之間通過(guò)共享內(nèi)存接口。ZARM2上的兩個(gè)CPU同時(shí)收到來(lái)自F486的數(shù)據(jù)，F(xiàn)486上的兩個(gè)CPU同時(shí)收到來(lái)自ZARM2上兩個(gè)獨(dú)立CPU的運(yùn)算結(jié)果。F486與ZARM2之間的結(jié)構(gòu)完全符合4.2.3中專用并行安全處理架構(gòu)。

5 基于“云計(jì)算”的安全平臺(tái)擴(kuò)充構(gòu)想

對(duì)于4.2.3中描述的專用并行處理機(jī)制，由于其“專用”的特點(diǎn)，存在以下不足。

1）并行計(jì)算的調(diào)用沒(méi)有實(shí)現(xiàn)真正類似RPC的機(jī)制，應(yīng)用層仍需進(jìn)行通信相關(guān)的處理。

2）通用計(jì)算資源上運(yùn)行的安全計(jì)算，尚無(wú)法作為類似“服務(wù)”提供的機(jī)制工作。

3）通用計(jì)算資源的配置是預(yù)先固定的，無(wú)法靈活配置和擴(kuò)充。

基于專用并行處理機(jī)制，對(duì)既有的安全平臺(tái)進(jìn)行擴(kuò)充，能夠滿足急需的安全平臺(tái)的資源緊迫要求，但從長(zhǎng)遠(yuǎn)的發(fā)展來(lái)看，應(yīng)該對(duì)這個(gè)專用并用處理機(jī)制進(jìn)行應(yīng)用使用的簡(jiǎn)單化、機(jī)制的標(biāo)準(zhǔn)化和資源擴(kuò)充的靈活，從而使安全平臺(tái)滿足未來(lái)的計(jì)算需要。當(dāng)今的“云計(jì)算”正是通過(guò)虛擬化技術(shù)，實(shí)現(xiàn)了軟硬件資源的靈活配置，向客戶提供網(wǎng)絡(luò)計(jì)算服務(wù)，其思想可以用于解決“明天”的安全平臺(tái)要求。

云計(jì)算是當(dāng)今信息技術(shù)行業(yè)的最熱門的話題之一，但是云計(jì)算并非一個(gè)全新的概念，其很多理念涉及網(wǎng)格計(jì)算、集群技術(shù)、分布式系統(tǒng)技術(shù)等比較成熟的技術(shù)。如圖5所示，云平臺(tái)屏蔽了底層的軟硬件實(shí)現(xiàn)細(xì)節(jié)，并且提供連接服務(wù)的標(biāo)準(zhǔn)接口，使所有連接Internet的用戶都可以方便地接入云平臺(tái)使用計(jì)算資源。

基于云計(jì)算的思想，既有安全平臺(tái)的擴(kuò)充需要架構(gòu)于云之上。既有的安全平臺(tái)需要通過(guò)云調(diào)用，使用云計(jì)算提供的服務(wù)實(shí)現(xiàn)安全算法的并行計(jì)算，同時(shí)為了保持“組合故障-安全”的設(shè)計(jì)原則，安全平臺(tái)需要調(diào)用云計(jì)算環(huán)境中異構(gòu)的兩個(gè)并行計(jì)算，并對(duì)返回的兩個(gè)結(jié)果進(jìn)行取二計(jì)算。這種對(duì)安全平臺(tái)的“云擴(kuò)充”思想，需要解決以下幾個(gè)大的問(wèn)題。

1）對(duì)既有的安全平臺(tái)進(jìn)行改造，增加云調(diào)用的支持。

2）為了降低隨機(jī)性失效，云計(jì)算平臺(tái)部分的基礎(chǔ)軟硬件資源應(yīng)保持異構(gòu)的方式，并需要保證為相同云調(diào)用提供異構(gòu)的計(jì)算服務(wù)。

3）新的安全運(yùn)算，需要構(gòu)建與云計(jì)算平臺(tái)之上，成為云計(jì)算平臺(tái)的網(wǎng)絡(luò)服務(wù)。

由此可見(jiàn)，“云擴(kuò)充”方式，將對(duì)既有的安全平臺(tái)的軟件層帶來(lái)較大改變，同時(shí)擴(kuò)充部分的云計(jì)算平臺(tái)的異構(gòu)服務(wù)是一個(gè)新的課題。因此，基于“云計(jì)算”的安全平臺(tái)，需要進(jìn)行更深一步的研究。

6 結(jié)論

基于理論的分析以及對(duì)實(shí)踐工作的總結(jié)，說(shuō)明對(duì)既有安全平臺(tái)的性能擴(kuò)充，可以采用平滑、快速的，但仍是高性能的符合安全設(shè)計(jì)方法的措施，這就是本文提到的“并行處理機(jī)制”的擴(kuò)充方法，該方法可以實(shí)現(xiàn)安全平臺(tái)的可持續(xù)發(fā)展，使其繼續(xù)煥發(fā)青春。另外，出于對(duì)安全平臺(tái)未來(lái)發(fā)展的要求展望，本文提出了基于“云計(jì)算”的安全平臺(tái)擴(kuò)充的可能性，為“明天”的安全平臺(tái)提出了一個(gè)可能的新架構(gòu)。

[1] EN50129:2003Railway applications —Communication, signallingand processing systems —Safety relatedelectronic systems forsignalling [S].

[2] PD CLC/TR 50506-2:2009Railway applications —Communication, signalling andprocessing systems — Applicationguide for EN 50129 Part 2: Safety assurance[S].

[3] Andrew S. Tanenbaum.分布式計(jì)算機(jī)系統(tǒng)[M]. 北京：清華大學(xué)出版社，2000.

[4] ZARM2開(kāi)發(fā)-RSSP-II協(xié)議軟件移植設(shè)計(jì)文件.

[5] 王佳雋，呂智慧，吳杰，等．云計(jì)算技術(shù)發(fā)展分析及其應(yīng)用探討[J]，計(jì)算機(jī)工程與設(shè)計(jì)，2010,31(20)：4404-4409.