基于通用COTS软硬件实现列控安全计算机的方法和系统

摘要

本发明实施例提供了一种基于通用COTS软硬件实现列控安全计算机的方法和系统，包括：安全计算机管理域基于周期控制方式对安全输入输出域传递的输入数据进行表决，选择有效的输入数据使用；安全计算机管理域基于周期控制方式对通用计算域的逻辑运算结果进行表决，选择有效的逻辑运算结果使用；安全计算机管理域基于周期控制方式控制通用计算域完成复杂输出预处理；安全计算机管理域基于周期控制方式完成简单输出预处理；安全计算机管理域对输出预处理结果进行表决，选择有效的输出预处理结果使用。本发明的实施例既能充分发挥通用COTS硬件和通用COTS操作系统软件的处理能力和零活升级能力，又能满足SIL-4级安全认证的要求。

说明书

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于通用COTS软硬件实 现列控安全计算机的方法和系统。

背景技术

近年来新型轨道交通列车运行控制(以下简称列控)系统，如应用于铁 路的中国列车运行控制系统(Chinese Train Control System，CTCS)以及 应用于城市轨道交通(城轨)的基于通信的列车运行控制系统 (Communication Based Train Control System，CBTC)，广泛应用。作为 其基础的列控安全计算机承载列控应用，为铁路高速化和城轨高密度化、低 间隔化提供了坚实的技术保障。

传统列控安全计算机继承原铁路信号设备的开发思路，由系统研发人员 根据故障安全原则，独立设计专用硬件和专用软件来实现。

随着信息技术的飞速发展，采用现货供应商品(Commercial-Off-The- Shelf，COTS)硬件和软件实现列控安全计算机的方式日渐普及。基于COTS 软硬件进行系统设计具有以下优点：

1)加快开发速度。使用COTS软硬件，可避免某些通用功能模块的重复 开发，有效缩短了开发周期。

2)开发变得容易。使用COTS软硬件，无需从头开始每一个模块的开 发，可减少大量新部件的开发投入。

3)COTS软硬件分担了一部分系统开发所产生的不确定性风险，可选用 市场占有率较高的COTS软硬件，从而使整个系统的性能、可靠性等方面得到 较好控制。

4)成本易于控制和评估。COTS软硬件商品化、规模化生产，大大降低 了部件的开发成本，从而能较好地控制系统开发成本。同时有专业维护人员 对COTS软硬件进行维护，减轻了系统维护人员的负担。

现有技术的缺陷：

基于COTS软硬件设计实现列控安全计算机，尽管存在上述众多优点，但 也面临着安全评估方面的巨大问题，问题主要原因在于：

出于商业利益考虑，COTS厂家不会也不愿意提供COTS软硬件的详细设 计资料。因此，在对使用COTS软硬件实现的列控安全计算机进行安全评估 时，只能将COTS软硬件视为“黑盒”。由于安全证据存在这个缺陷，会导致 不能通过安全完整性等级(Safety Integrity Level，SIL)-4的安全认证。

为了解决这个问题，目前也有一些厂家提供能通过SIL-4安全认证的专用 COTS安全计算机系统(含硬件和软件)或能通过SIL-3安全认证的专用 COTS安全操作系统(含软件开发环境)可供使用，但这些产品应用起来也存 在相应问题，问题主要原因在于：

列控系统开发人员对于这些专用COTS安全计算机系统或专用COTS安全 操作系统自身的改进和发展没有控制权，COTS产品的完善和版本更新等控制 权都在提供商手里。而根据相关安全标准的规定，这些COTS产品的版本更 新势必导致基于其实现的列控系统重新进行安全评估。而近年来由于计算机 软硬件技术飞速发展，其核心—中央处理器(CPU)越来越朝着多核化、低 功耗化、支持虚拟化等方向发展，COTS硬件和软件产品更新换代速度越来越 快。专用COTS安全计算机系统也势必面临计算机软硬件升级的压力，其版本 更新速度亦会越来越快，从而使基于其实现的列控系统重新安全评估所需的 人员、资金被动投入不可避免且次数和费用不可控。

另外，较通用COTS操作系统而言，专用COTS安全操作系统在CPU多核 处理支持上要差很多，甚至根本不支持CPU多核处理，不符合现代列控系统 对CPU处理能力的越来越强的要求。

发明内容

基于上述问题，本发明提出一种基于通用COTS软硬件实现列控安全计算 机的方法,包括：

安全计算机管理域SCMD(Safety Computer Management Domain)基 于周期控制方式对安全输入输出域SIOD传递的输入数据进行表决，选择有效 的输入数据使用；

安全计算机管理域SCMD(Safety Computer Management Domain)基 于周期控制方式对通用计算域GCD的逻辑运算结果进行表决，选择有效的逻 辑运算结果使用；

安全计算机管理域SCMD(Safety Computer Management Domain)基 于周期控制方式控制通用计算域GCD完成复杂输出预处理；

安全计算机管理域SCMD(Safety Computer Management Domain)基 于周期控制方式完成简单输出预处理；

安全计算机管理域SCMD(Safety Computer Management Domain)对 输出预处理结果进行表决，选择有效的输出预处理结果使用，由安全计算机 管理域SCMD控制安全输入输出域SIOD完成有效的输出预处理结果的输出。

根据本发明的上述方法，包括：

通用计算域GCD(General Computational Domain)由安全计算机管理 域SCMD控制执行安全计算机管理域SCMD的逻辑运算；

通用计算域GCD(General Computational Domain)由安全计算机管理 域SCMD控制完成复杂输出预处理；

安全输入输出域SIOD(Safety Input and Output Domain)由安全计算机 管理域SCMD控制完成数据输入；

安全输入输出域SIOD(Safety Input and Output Domain)由安全计算机 管理域SCMD控制完成有效的输出预处理结果的输出。

根据本发明的上述方法，包括：

采用至少两个异构的通用计算单元GCU(General Computational Unit) 构成所述通用计算域GCD；

采用至少两个异构的安全输入输出单元SIOU(Safety Input and Output  Unit)构成所述安全输入输出域SIOD；

采用至少两个异构的安全计算机管理单元SCMU(Safety Computer  Management Unit)构成所述安全计算机管理域SCMD。

根据本发明的上述方法，包括：所述周期控制方式包括：将一个控制周 期划分为输入相、逻辑运算相和输出相。

根据本发明的上述方法，

所述输入相包括若干种输入和输入表决微周期；

在所述输入微周期内，安全输入输出单元SIOU传递输入数据；

在所述输入表决微周期内，安全输入输出单元SIOU所传递输入数据在与 安全输入输出单元SIOU对应的安全计算机管理单元SCMU中表决，当所有的 安全计算机管理单元SCMU表决结果一致，所述输入数据有效，选择有效的 输入数据使用；当所有的安全计算机管理单元SCMU表决结果不一致，启动 安全反应。

根据本发明的上述方法，

所述逻辑运算相包括若干种应用逻辑运算和应用逻辑运算表决微周期；

在应用逻辑运算微周期中，由安全计算机管理单元SCMU控制与其对应 的通用计算单元GCU完成每种应用逻辑单元运算，应用逻辑单元运算的集合 组成应用逻辑运算；

在应用逻辑运算表决微周期，所述通用计算单元GCU逻辑运算结果与其 对应的安全计算机管理单元SCMU中表决，当所有的安全计算机管理单元 SCMU表决结果一致，所述逻辑运算结果有效，选择有效的逻辑运算结果使 用；当所有的安全计算机管理单元SCMU表决结果不一致，启动安全反应。

根据本发明的上述方法，

所述在应用逻辑运算微周期中，由安全计算机管理单元SCMU控制与其 对应的通用计算单元GCU完成每种应用逻辑单元运算，包括：

在所述应用逻辑运算微周期内，通用计算单元GCU在执行与其对应的安 全计算机管理单元SCMU逻辑运算协处理时，安全计算机管理单元SCMU与通 用计算单元GCU通过预设的校验逻辑运算规则相互校验。

根据本发明的上述方法，所述安全计算机管理单元SCMU与通用计算单 元GCU通过预设的校验逻辑运算规则相互校验，包括：

当通用计算单元GCU接收到安全计算机管理单元SCMU发送的逻辑运算 协处理数据时，通用计算单元GCU根据预设的校验逻辑运算规则校验逻辑运 算协处理数据是否合法，当数据合法，通用计算单元GCU执行相应的逻辑运 算协处理，并将通用计算单元GCU所执行的逻辑运算协处理结果发送给安全 计算机管理单元SCMU，当数据不合法时，启动安全反应；

当安全计算机管理单元SCMU接收到通用计算单元GCU发送的逻辑运算 协处理结果时，安全计算机管理单元SCMU根据预设的校验逻辑运算规则校 验逻辑运算协处理结果是否合法，当组成通用计算域GCD的异构通用计算单 元GCU所发送的结果均合法且一致时，安全计算机管理域SCMD认为通用计 算域GCD可信且计算结果正确，否则启动安全反应。

根据本发明的上述方法，

所述输出相包括若干种输出预处理、输出预处理结果表决和输出微周 期；

在所述输出预处理微周期内，复杂输出预处理由安全计算机管理单元 SCMU控制通用计算单元GCU完成，简单输出预处理由安全计算机管理单元 SCMU直接完成；

在所述输出预处理结果表决微周期内，由安全计算机管理单元SCMU对 输出预处理结果进行表决，当所有的安全计算机管理单元SCMU表决结果一 致，所述输出预处理结果有效，选择有效的输出预处理结果使用；当所有的 安全计算机管理单元SCMU表决结果不一致，启动安全反应；

在所述输出微周期内，由安全计算机管理单元SCMU控制安全输入输出 单元SIOU完成有效的输出预处理结果的输出。

根据本发明的上述方法，

所述在所述输出预处理微周期内，复杂输出预处理由安全计算机管理单 元SCMU控制通用计算单元GCU完成，简单输出预处理由安全计算机管理单 元SCMU直接完成，包括：

在所述输出预处理微周期内，通用计算单元GCU在执行与其对应的安全 计算机管理单元SCMU复杂输出预处理时，安全计算机管理单元SCMU与通用 计算单元GCU通过预设的逻辑运算校验规则相互校验。

根据本发明的上述方法，

所述安全计算机管理单元SCMU与通用计算单元GCU通过预设的逻辑运 算校验规则相互校验，包括：

当通用计算单元GCU接收到安全计算机管理单元SCMU发送的复杂输出 预处理数据时，通用计算单元GCU根据预设的逻辑运算校验规则校验复杂输 出预处理数据是否合法，当数据合法，通用计算单元GCU执行相应的复杂输 出预处理，并将通用计算单元GCU所执行的复杂输出预处理结果发送给安全 计算机管理单元SCMU，当数据不合法时，启动安全反应；

当安全计算机管理单元SCMU接收到通用计算单元GCU发送的逻辑运算 协处理结果时，安全计算机管理单元SCMU根据预设的逻辑运算校验规则校 验复杂输出预处理结果是否合法，当组成通用计算域GCD的异构通用计算单 元GCU所发送的结果均合法且一致时，安全计算机管理域SCMD认为通用计 算域GCD可信且计算结果正确，否则启动安全反应。

根据本发明的另一方面，还提供一种基于通用COTS软硬件实现列控安全 计算机的系统，包括：安全计算机管理域SCMD、通用计算域GCD和安全输 入输出域SIOD，其中，

安全计算机管理域SCMD用于基于周期控制方式对安全输入输出域SIOD 传递的输入数据进行表决，选择有效的输入数据使用；

安全计算机管理域SCMD还用于基于周期控制方式对通用计算域GCD的 逻辑运算结果进行表决，选择有效的逻辑运算结果使用；

安全计算机管理域SCMD还用于基于周期控制方式控制通用计算域GCD 完成复杂输出预处理，安全计算机管理域SCMD基于周期控制方式完成简单 输出预处理，由安全计算机管理域SCMD对输出预处理结果进行表决，选择 有效的输出预处理结果使用；

安全计算机管理域SCMD还用于控制安全输入输出域SIOD完成有效的输 出预处理结果的输出；

通用计算域GCD(General Computational Domain)，其用于由安全计 算机管理域SCMD控制执行安全计算机管理域SCMD的逻辑运算；

还用于由安全计算机管理域SCMD控制完成复杂输出预处理；

安全输入输出域SIOD(Safety Input and Output Domain)其用于为安全 计算机管理域SCMD传递输入数据；

安全输入输出域SIOD(Safety Input and Output Domain)其用于由安全 计算机管理域SCMD控制完成有效的输出预处理结果的输出。

根据本发明的另一方面，包括：

通用计算单元GCU：其用于构成所述通用计算域GCD；

其中，采用至少两个异构的通用计算单元GCU构成所述通用计算域 GCD，每个通用计算单元GCU基于通用COTS硬件和通用COTS操作系统软 件实现；

安全输入输出单元SIOU：其用于构成所述安全输入输出域SIOD；

其中，采用至少两个异构的安全输入输出单元SIOU(Safety Input and  Output Unit)构成所述安全输入输出域SIOD，每个安全输入输出单元SIOU 基于独立设计的硬件并配合通用COTS硬件和通用COTS操作系统软件实现；

安全计算机管理单元SCMU：其用于构成所述安全计算机管理域SCMD；

其中，采用至少两个异构的安全计算机管理单元SCMU(Safety  Computer Management Unit)构成所述安全计算机管理域SCMD，每个安全 计算机管理单元SCMU基于独立设计的硬件和软件实现。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例安全计 算机管理域SCMD基于周期控制方式对安全输入输出域SIOD传递的输入数据 进行表决，选择有效的输入数据使用；安全计算机管理域SCMD(Safety  Computer Management Domain)基于周期控制方式对通用计算域GCD的逻 辑运算结果进行表决，选择有效的逻辑运算结果使用；安全计算机管理域 SCMD(Safety Computer Management Domain)基于周期控制方式控制通 用计算域GCD完成复杂输出预处理；安全计算机管理域SCMD(Safety  Computer Management Domain)基于周期控制方式完成简单输出预处理； 安全计算机管理域SCMD(Safety Computer Management Domain)对输出 预处理结果进行表决，选择有效的输出预处理结果使用，由安全计算机管理 域SCMD控制安全输入输出域SIOD完成有效的输出预处理结果的输出。既能 充分发挥通用COTS硬件和通用COTS操作系统软件的处理能力和零活升级能 力，又能满足SIL-4级安全认证的要求。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所 需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发 明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前 提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的列控安全计算机逻辑域划分图；

图2为本发明实施例一提供的列控安全计算机逻辑域的逻辑单元图；

图3为本发明实施例一提供的一种基于通用COTS软硬件实现列控安全计 算机的方法的处理流程图；

图4为本发明实施例一提供的列控安全计算机安全计算机管理域SCMD周 期控制原理图；

图5为本发明实施例一提供的SCMD控制周期输入相控制原理图；

图6为本发明实施例一提供的SCMD控制周期逻辑运算相控制原理图；

图7为本发明实施例一提供的SCMD控制周期输出相控制原理图；

图8为本发明实施例二提供的一种基于通用COTS软硬件实现列控安全计 算机的系统模块图；

图9本发明实施例二提供的优选的一种列控安全计算机实现方案原理图；

图10本发明实施例二提供的优选的一种列控安全计算机冗余配置方案原 理图。

具体实施方式

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例 做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

本发明提出一种基于通用COTS软硬件实现列控安全计算机的方法，既能 充分发挥通用COTS硬件和通用COTS操作系统软件的处理能力和零活升级能 力，又能满足SIL-4级安全认证的要求。

将列控安全计算机逻辑上划分为通用计算域GCD(General  Computational Domain)、安全计算机管理域SCMD(Safety Computer  Management Domain)和安全输入输出域SIOD(Safety Input and Output  Domain)，如图1所示。

通用计算域GCD与安全计算机管理域SCMD之间通过冗余COTS通信网 络(优选以太网)交换数据，安全输入输出域SIOD与安全计算机管理域 SCMD之间通过独立设计的冗余专用输入输出(Input and Output，IO)总线 交换数据。

本实施例中，如图2所示，采用至少两个异构的通用计算单元GCU (General Computational Unit)构成所述通用计算域GCD，逻辑上2个异构 通用计算单元GCU为二取二关系，二取二意味着两个异构通用计算单元GCU 的输出结果合法且一致，其输出结果才会为安全计算机管理域SCMD处理时 所使用；其中，每个通用计算单元GCU基于通用COTS硬件和通用COTS操作 系统软件实现。

采用至少两个异构的安全输入输出单元SIOU(Safety Input and Output  Unit)构成所述安全输入输出域SIOD，逻辑上2个异构安全输入输出单元 SIOU为二取二关系，二取二意味着两个异构安全输入输出单元SIOU的输入数 据和输出结果合法且一致，其输入数据才会为安全计算机管理域SCMD处理 时所使用，其输出才会有效；其中，每个安全输入输出单元SIOU基于独立设 计的硬件并配合通用COTS硬件和通用COTS操作系统软件实现。

采用至少两个异构的安全计算机管理单元SCMU(Safety Computer  Management Unit)构成所述安全计算机管理域SCMD，逻辑上2个异构安全 计算机管理单元SCMU为二取二关系，二取二意味着两个异构安全计算机管 理单元SCMU之间同步且处理结果表决一致，安全计算机才会正常运行，下 一个控制微周期才会启动；其中，每个安全计算机管理单元SCMU基于独立 设计的硬件和软件实现。

GCD在执行SCMD逻辑运算协处理和复杂输出预处理功能时，SCMD与 GCD之间通过预设的逻辑运算校验规则相互校验；

当GCD接收到SCMD发送的逻辑运算协处理或复杂输出预处理数据时， GCD根据专用校验逻辑运算规则校验逻辑运算协处理或复杂输出预处理数据 是否合法，只有数据合法，GCD才会执行相应的逻辑运算协处理或复杂输出 预处理功能，并将GCD所执行的逻辑运算协处理或复杂输出预处理结果发送 给SCMD，当数据不合法时，GCD向SCMD请求启动安全反应。

当SCMD接收到GCD发送的逻辑运算协处理或复杂输出预处理结果时， SCMD根据专用校验逻辑运算规则校验逻辑运算协处理或复杂输出预处理结 果是否合法，只有SCMD判断组成GCD的异构GCU所发送的结果均合法且一 致时，SCMD认为GCD可信且计算结果正确，否则SCMD启动安全反应。

安全计算机管理域SCMD基于周期控制方式控制通用计算域GCD和安全 输入输出域SIOD实现安全功能。

本实施例提供了一种基于通用COTS软硬件实现列控安全计算机的方法的 处理流程如图3所示，包括：

S1，安全计算机管理域SCMD基于周期控制方式对安全输入输出域SIOD 传递的输入数据进行表决，选择有效的输入数据使用；

安全输入输出域SIOD(Safety Input and Output Domain)为安全计算机 管理域SCMD传递输入数据；

优选地，采用两个异构的安全输入输出单元SIOU(Safety Input and  Output Unit)构成所述安全输入输出域SIOD，逻辑上2个异构安全输入输出 单元SIOU为二取二关系；

在实际应用中，本发明实施例并不局限上述两个异构的安全输入输出单 元SIOU，使用多于两个异构的安全输入输出单元SIOU构成安全输入输出域 SIOD，也在本发明实施例的保护范围中。

采用两个异构的安全计算机管理单元SCMU(Safety Computer  Management Unit)构成所述安全计算机管理域SCMD，逻辑上2个异构安全 计算机管理单元SCMU为二取二关系；

在实际应用中，本发明实施例并不局限上述两个异构的安全计算机管理 单元SCMU，使用多于两个异构的安全计算机管理单元SCMU构成安全计算机 管理域SCMD，也在本发明实施例的保护范围中。

一个控制周期划分为输入相、逻辑运算相和输出相，如图4所示，在输入 相内，如图5所示，输入相包括若干种输入和输入表决微周期，在输入微周期 内，安全输入输出单元SIOU传递输入数据；在所述输入表决微周期内，安全 输入输出单元SIOU所传递输入数据在与安全输入输出单元SIOU对应的安全计 算机管理单元SCMU中表决，当所有的安全计算机管理单元SCMU表决结果一 致，所述输入数据有效，选择有效的输入数据使用；当所有的安全计算机管 理单元SCMU表决结果不一致，启动安全反应。

S2，安全计算机管理域SCMD基于周期控制方式对通用计算域GCD的逻 辑运算结果进行表决，选择有效的逻辑运算结果使用；

通用计算域GCD(General Computational Domain)由安全计算机管理 域SCMD控制执行安全计算机管理域SCMD的逻辑运算；

通用计算域GCD(General Computational Domain)由安全计算机管理 域SCMD控制完成复杂输出预处理；

优选地，采用两个异构的通用计算单元GCU(General Computational  Unit)构成所述通用计算域GCD，逻辑上2个异构通用计算单元GCU为二取二 关系；

在实际应用中，本发明实施例并不局限上述两个异构的通用计算单元 GCU，使用多于两个异构的通用计算单元GCU构成通用计算域GCD，也在本 发明实施例的保护范围中。

采用两个异构的安全计算机管理单元SCMU(Safety Computer  Management Unit)构成所述安全计算机管理域SCMD，逻辑上2个异构安全 计算机管理单元SCMU为二取二关系；

在实际应用中，本发明实施例并不局限上述两个异构的安全计算机管理 单元SCMU，使用多于两个异构的安全计算机管理单元SCMU构成安全计算机 管理域SCMD，也在本发明实施例的保护范围中。

一个控制周期划分为输入相、逻辑运算相和输出相，如图4所示，在逻辑 运算相内，如图6所示，所述逻辑运算相包括若干种应用逻辑运算和应用逻辑 运算表决微周期；在应用逻辑运算微周期中，由安全计算机管理单元SCMU 控制与其对应的通用计算单元GCU完成每种应用逻辑单元运算，应用逻辑单 元运算的集合组成应用逻辑运算；在应用逻辑运算表决微周期，所述通用计 算单元GCU逻辑运算结果与其对应的安全计算机管理单元SCMU中表决，当 所有的安全计算机管理单元SCMU表决结果一致，所述逻辑运算结果有效， 选择有效的逻辑运算结果使用；当所有的安全计算机管理单元SCMU表决结 果不一致，启动安全反应。

在应用逻辑运算微周期中，由安全计算机管理单元SCMU控制与其对应 的通用计算单元GCU完成每种应用逻辑单元运算，包括：

在所述应用逻辑运算微周期内，通用计算单元GCU在执行与其对应的安 全计算机管理单元SCMU逻辑运算协处理时，安全计算机管理单元SCMU与通 用计算单元GCU通过预设的逻辑运算校验规则相互校验。

在应用逻辑运算微周期中，安全计算机管理单元SCMU与通用计算单元 GCU通过预设的逻辑运算校验规则相互校验，包括：

当通用计算单元GCU接收到安全计算机管理单元SCMU发送的逻辑运算 协处理数据时，通用计算单元GCU根据预设的逻辑运算校验规则校验逻辑运 算协处理数据是否合法，当数据合法，通用计算单元GCU执行相应的逻辑运 算协处理，并将通用计算单元GCU所执行的逻辑运算协处理结果发送给安全 计算机管理单元SCMU，当数据不合法时，启动安全反应；

当安全计算机管理单元SCMU接收到通用计算单元GCU发送的逻辑运算 协处理结果时，安全计算机管理单元SCMU根据预设的逻辑运算校验规则校 验逻辑运算协处理结果是否合法，当组成通用计算域GCD的异构通用计算单 元GCU所发送的结果均合法且一致时，安全计算机管理域SCMD认为通用计 算域GCD可信且计算结果正确，否则启动安全反应。

优选地，在所述应用逻辑运算微周期内，安全计算机管理单元SCMU与 通用计算单元GCU通过预设的逻辑运算校验规则相互校验的一种优选的实施 方式，使用包含差错控制编码或加密功能的安全通信协议作为预设的逻辑运 算校验规则，如下示例中，简称安全通信协议，

当通用计算单元GCU接收到安全计算机管理单元SCMU发送的逻辑运算 协处理数据时，通用计算单元GCU根据预设的逻辑运算校验规则校验逻辑运 算协处理数据是否合法，具体地，

安全计算机管理单元SCMU根据安全通信协议向与安全计算机管理单元 SCMU对应的通用计算单元GCU发送包含逻辑运算指令的安全数据帧；

若通用计算单元GCU接收到包含逻辑运算指令的安全数据帧，根据安全 通信协议解析所述包含逻辑运算指令的安全数据帧，并判断所述包含逻辑运 算指令的安全数据帧是否合法，

若包含逻辑运算指令的安全数据帧合法，则通用计算单元GCU执行相应 的逻辑运算，并将通用计算单元GCU所执行的逻辑运算协处理结果形成安全 数据帧，并根据安全通信协议发送给与所述通用计算单元GCU对应的安全计 算机管理单元SCMU；

若包含逻辑运算指令的安全数据帧非法，将启动安全反应处理请求的安 全数据帧按照安全通信协议发送给所述通用计算单元GCU对应的安全计算机 管理单元SCMU，启动安全反应。

当安全计算机管理单元SCMU接收到通用计算单元GCU发送的逻辑运算 协处理结果时，安全计算机管理单元SCMU根据预设的逻辑运算校验规则校 验逻辑运算协处理结果是否合法，具体地，

若安全计算机管理单元SCMU接收到通用计算单元GCU发送的包含逻辑 运算协处理结果的安全数据帧，安全计算机管理单元SCMU根据安全通信协 议解析通用计算单元GCU所发送的包含逻辑运算协处理结果的安全数据帧；

若包含逻辑运算协处理结果的安全数据帧合法，则认为安全计算机管理 单元SCMU接收到通用计算单元GCU发送的逻辑运算协处理结果合法；

若包含逻辑运算协处理结果的安全数据帧非法，则安全计算机管理单元 SCMU启动安全反应；

当组成通用计算域GCD的异构通用计算单元GCU所发送的结果均合法且 一致时，安全计算机管理域SCMD认为通用计算域GCD可信且计算结果正 确，否则安全计算机管理域SCMD启动安全反应。

在所述应用逻辑运算表决微周期内，安全计算机管理单元SCMU接收与 所述安全计算机管理单元SCMU对应的通用计算单元GCU根据预设安全通信 协议解析对所述安全数据帧的解析结果；

安全计算机管理单元SCMU根据所述解析结果进行表决，当所有的安全 计算机管理单元SCMU表决结果一致，所述逻辑运算结果为有效数据，选择 有效的逻辑运算结果使用；当所述GCU安全数据帧不合法或所有的安全计算 机管理单元SCMU表决结果不一致时，启动安全反应。

S3，安全计算机管理域SCMD基于周期控制方式控制通用计算域GCD完 成复杂输出预处理；

安全计算机管理域SCMD基于周期控制方式完成简单输出预处理；

复杂输出和简单输出以安全计算机管理域SCMD的CPU处理能力划分， 如果安全计算机管理域SCMD的CPU的处理能力足够可以运算完成输出逻辑 预处理功能，即认为是简单输出；如果安全计算机管理域SCMD的CPU的处 理能力不足以运算完成输出逻辑预处理功能，需要控制通用计算域GCD完成 输出，则认为是复杂输出。

安全计算机管理域SCMD对输出预处理结果进行表决，选择有效的输出 预处理结果使用，由安全计算机管理域SCMD控制安全输入输出域SIOD完成 有效的输出预处理结果的输出。

安全输入输出域SIOD(Safety Input and Output Domain)由安全计算机 管理域SCMD控制完成有效的输出预处理结果的输出。

安全输入输出域SIOD完成列控安全计算机所需的通信输入输出、数字量 输入输出等功能，其中，通信输入输出可以包括以太网、异步串行通信、 CAN、MVB等列控系统常见通信方式，数字量输入输出则根据列控地面设备 和车载设备的具体需求，基于铁路信号传统故障安全输入、输出原则实现。

优选地，采用两个异构的通用计算单元GCU(General Computational  Unit)构成所述通用计算域GCD，逻辑上2个异构通用计算单元GCU为二取二 关系；

在实际应用中，本发明实施例并不局限上述两个异构的通用计算单元 GCU，使用多于两个异构的通用计算单元GCU构成通用计算域GCD，也在本 发明实施例的保护范围中。

采用两个异构的安全输入输出单元SIOU(Safety Input and Output  Unit)构成所述安全输入输出域SIOD，逻辑上2个异构安全输入输出单元 SIOU为二取二关系；

在实际应用中，本发明实施例并不局限上述两个异构的安全输入输出单 元SIOU，使用多于两个异构的安全输入输出单元SIOU构成安全输入输出域 SIOD，也在本发明实施例的保护范围中。

采用两个异构的安全计算机管理单元SCMU(Safety Computer  Management Unit)构成所述安全计算机管理域SCMD，逻辑上2个异构安全 计算机管理单元SCMU为二取二关系；

在实际应用中，本发明实施例并不局限上述两个异构的安全计算机管理 单元SCMU，使用多于两个异构的安全计算机管理单元SCMU构成安全计算机 管理域SCMD，也在本发明实施例的保护范围中。

一个控制周期划分为输入相、逻辑运算相和输出相，如图4所示，在输出 相内，如图7所示，输出相包括若干种输出预处理、输出预处理结果表决和输 出微周期；在所述输出预处理微周期内，复杂输出预处理由安全计算机管理 单元SCMU控制通用计算单元GCU完成，简单输出预处理由安全计算机管理 单元SCMU直接完成；在所述输出预处理结果表决微周期内，由安全计算机 管理单元SCMU对输出预处理结果进行表决，当所有的安全计算机管理单元 SCMU表决结果一致，所述输出预处理结果有效，选择有效的输出预处理结 果使用；当所有的安全计算机管理单元SCMU表决结果不一致，启动安全反 应；在所述输出微周期内，由安全计算机管理单元SCMU控制安全输入输出 单元SIOU完成有效的输出预处理结果的输出。

在输出预处理微周期内，复杂输出预处理由安全计算机管理单元SCMU 控制通用计算单元GCU完成，简单输出预处理由安全计算机管理单元SCMU 直接完成，包括：

在输出预处理微周期内，通用计算单元GCU在执行与其对应的安全计算 机管理单元SCMU复杂输出预处理时，安全计算机管理单元SCMU与通用计算 单元GCU通过预设的逻辑运算校验规则相互校验。

安全计算机管理单元SCMU与通用计算单元GCU通过预设的逻辑运算校 验规则相互校验，包括：

当通用计算单元GCU接收到安全计算机管理单元SCMU发送的复杂输出 预处理数据时，通用计算单元GCU根据预设的逻辑运算校验规则校验复杂输 出预处理数据是否合法，当数据合法，通用计算单元GCU执行相应的复杂输 出预处理，并将通用计算单元GCU所执行的复杂输出预处理结果发送给安全 计算机管理单元SCMU，当数据不合法时，启动安全反应；

当安全计算机管理单元SCMU接收到通用计算单元GCU发送的逻辑运算 协处理结果时，安全计算机管理单元SCMU根据预设的逻辑运算校验规则校 验复杂输出预处理结果是否合法，当组成通用计算域GCD的异构通用计算单 元GCU所发送的结果均合法且一致时，安全计算机管理域SCMD认为通用计 算域GCD可信且计算结果正确，否则启动安全反应。

优选地，在输出预处理微周期内，通用计算单元GCU在执行与其对应的 安全计算机管理单元SCMU复杂输出预处理时，安全计算机管理单元SCMU与 通用计算单元GCU通过预设的逻辑运算校验规则相互校验。

当通用计算单元GCU接收到安全计算机管理单元SCMU发送的复杂输出 预处理数据时，通用计算单元GCU根据预设的逻辑运算校验规则校验逻辑运 算协处理数据是否合法，具体地，

安全计算机管理单元SCMU根据安全通信协议向与安全计算机管理单元 SCMU对应的通用计算单元GCU发送包含复杂输出预处理运算指令的安全数 据帧；

若通用计算单元GCU接收到包含复杂输出预处理运算指令的安全数据 帧，根据安全通信协议解析所述包含复杂输出预处理运算指令的安全数据 帧，并判断所述安全数据帧是否合法，

若所述安全数据帧合法，则通用计算单元GCU执行相应的复杂输出预处 理运算，并将通用计算单元GCU所执行的复杂输出预处理运算结果形成安全 数据帧，并根据安全通信协议发送给与所述通用计算单元GCU对应的安全计 算机管理单元SCMU；

若通用计算单元GCU接收到安全数据帧，判断所述安全数据帧非法，将 启动安全反应处理请求的安全数据帧按照安全通信协议发送给所述通用计算 单元GCU对应的安全计算机管理单元SCMU，启动安全反应。

当安全计算机管理单元SCMU接收到通用计算单元GCU发送的复杂输出 预处理运算结果时，安全计算机管理单元SCMU根据预设的逻辑运算校验规 则校验复杂输出预处理运算结果是否合法，具体地，

若安全计算机管理单元SCMU接收到通用计算单元GCU发送的包含复杂 输出预处理运算结果的安全数据帧，安全计算机管理单元SCMU根据安全通 信协议解析通用计算单元GCU所发送的包含复杂输出预处理运算结果的安全 数据帧；

若包含复杂输出预处理运算结果的安全数据帧合法，则认为安全计算机 管理单元SCMU接收到通用计算单元GCU发送的复杂输出预处理运算处理结 果合法；

若包含复杂输出预处理运算结果的安全数据帧非法，则安全计算机管理 单元SCMU启动安全反应；

当组成通用计算域GCD的异构通用计算单元GCU所发送的结果均合法且 一致时，安全计算机管理域SCMD认为通用计算域GCD可信且计算结果正 确，否则安全计算机管理域SCMD启动安全反应。

实施例二

该实施例提供了一种基于通用COTS软硬件实现列控安全计算机的系统， 其具体实现结构如图8所示，具体可以包括如下的模块：安全计算机管理域 SCMD 81、通用计算域GCD 82和安全输入输出域SIOD 83，其中，

安全计算机管理域SCMD 81：其用于基于周期控制方式对安全输入输出 域SIOD传递的输入数据进行表决，选择有效的输入数据使用；

安全计算机管理域SCMD 81：其还用于基于周期控制方式对通用计算域 GCD的逻辑运算结果进行表决，选择有效的逻辑运算结果使用；

安全计算机管理域SCMD 81：其还用于基于周期控制方式控制通用计算 域GCD完成复杂输出预处理，安全计算机管理域SCMD基于周期控制方式完 成简单输出预处理，由安全计算机管理域SCMD对输出预处理结果进行表 决，选择有效的输出预处理结果使用；

安全计算机管理域SCMD 81：其还用于控制安全输入输出域SIOD完成有 效的输出预处理结果的输出。

优选地，采用两个异构的安全计算机管理单元SCMU(Safety Computer  Management Unit)构成所述安全计算机管理域SCMD；

在实际应用中，本发明实施例并不局限上述两个异构的安全计算机管理 单元SCMU，使用多于两个异构的安全计算机管理单元SCMU构成安全计算机 管理域SCMD，也在本发明实施例的保护范围中。

每个安全计算机管理单元SCMU基于独立设计的硬件和软件实现，优选 地，设计安全计算机管理单元SCMU的硬件时，分别选择基于锁步(Lock  step)技术设计、符合SIL-3级要求的安全微控制器(MCU)和基于可编程逻 辑器件(例如FPGA)、使用时钟级同步二取二安全比较片上系统(SOC)实 现，MCU软件不使用操作系统并基于C语言等高级编程语言实现，SOC软件 则使用硬件描述语言(例如VHDL)实现，2个SCMU之间通过冗余专用通信 网络交换表决数据。

通用计算域GCD 82：其用于由安全计算机管理域SCMD控制执行安全计 算机管理域SCMD的逻辑运算；

通用计算域GCD 82：其还用于由安全计算机管理域SCMD控制完成复杂 输出预处理；

优选地，采用两个异构的通用计算单元GCU(General Computational  Unit)构成所述通用计算域GCD；

在实际应用中，本发明实施例并不局限上述两个异构的通用计算单元 GCU，使用多于两个异构的通用计算单元GCU构成通用计算域GCD，也在本 发明实施例的保护范围中。

每个通用计算单元GCU基于通用COTS硬件和通用COTS操作系统软件实 现；优选地，2个通用计算单元GCU硬件分别选择X86架构、PowerPC架构的 通用COTS服务器、工控机等设备，其软件既可分别基于Linux、FreeBSD等 异构开源通用操作系统实现，也可分别基于Vxworks、QNX等异构通用实时 操作系统实现。

安全输入输出域SIOD 83：其用于为安全计算机管理域SCMD传递输入数 据；

安全输入输出域SIOD 83：其用于由安全计算机管理域SCMD控制完成有 效的输出预处理结果的输出。

优选地，采用两个异构的安全输入输出单元SIOU(Safety Input and  Output Unit)构成所述安全输入输出域SIOD；

在实际应用中，本发明实施例并不局限上述两个异构的安全输入输出单 元SIOU，使用多于两个异构的安全输入输出单元SIOU构成安全输入输出域 SIOD，也在本发明实施例的保护范围中。

每个安全输入输出单元SIOU基于独立设计的硬件并配合通用COTS硬件 和通用COTS操作系统软件实现；安全输入输出单元SIOU中的通信IO单元 (CIOU)基于X86架构、PowerPC架构的通用COTS板卡实现，通过独立设 计方式引出2组异构的专用IO总线，其软件分别基于Vxworks、QNX等异构通 用实时操作系统实现。

独立设计SIOU中的安全IO电路单元(SIOCU)时，基于传统铁路信号故 障安全输入和安全输出设计原则，采用成熟可靠电路实现。

如图9所示，给出了本发明优选的一种列控安全计算机实现方案原理图， 在该方案中，SIOU中的通信IO单元CIOU还完成通用计算单元GCU与安全计 算机管理单元SCMU之间的通信转接功能，每一个通信IO单元CIOU连接一个 COTS内网，而每个通用计算单元GCU同时接入两个COTS内网。同时，每一 个通信IO单元CIOU连接一个专用IO总线，该专用IO总线还分别连接两个安全 计算机管理单元SCMU和一个安全IO电路单元SIOCU。同时每一个通信IO单 元CIOU都提供相应的外部通信接口。

图10给出了本发明优选的一种列控安全计算机冗余配置方案原理图，在该 方案中，两组二取二架构的列控安全计算机通过冗余的COTS内网相互连接， 这样，二取二A系和二取二B系的安全计算机管理域SCMD可交换控制数据， 从而完成二乘(热备)二取二或冗余(并行)二取二功能。

用本发明实施例的系统进行提高列车运行系统的安全可信的具体过程与 前述方法实施例类似，此处不再赘述。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中 的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到 本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解， 本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品 的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、 磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算 机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部 分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同 相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同 之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例， 所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描 述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元 可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可 以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元 上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案 的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并 实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不 局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可 轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明 的保护范围应该以权利要求的保护范围为准。