一种基于云计算的安全计算机平台

本发明涉及电气化交通技术领域，更具体地，涉及一种基于云计算的安全计算机平台。

背景技术：

铁路以其安全、准时、高效、运输能力大等特点成为人们出行普遍使用的交通工具。近年来，由于我国“八纵八横”的高速铁路网格局逐步完成，铁路在交通网络中起着顶梁柱的作用。同时，随着城镇化速度的加快，城市人口迅速增长，城市交通面临越来越严重的挑战，亟待解决。而轨道交通作为公共交通中最为重要的组成部分，具有效率高、运量大、快捷方便、安全舒适、能耗低等优点，对于减轻资源、环境压力、缓解交通拥堵具有重要意义，并成为人们出行首选的交通方式。

无论是在高速铁路还是在城市轨道交通中，信号系统都是保证列车安全、高效运行的重要组成部分，作为信号系统的核心—列车运行控制系统的相关技术得到了快速的发展。随着铁路的多次大提速，铁路的列车运行控制系统(chinatraincontrolsystem)从ctcs-0级提升至ctcs-3级。ctcs-3级列车运行控制系统可应用于时速250km/h以上的高速铁路，并以ctcs-2级列车运行控制系统作为后备系统。城市轨道交通中基于通信的列车运行控制系统cbtc(communicationbasedtraincontrolsystem)可达到90s追踪运行间隔，显著提升了城市轨道交通的运营能力和服务水平。

ctcs-3系统主要由无线闭塞中心(radioblockcenter，rbc)、车站连锁系统、临时限速服务器(temporaryspeedrestrictionserver，tsrs)以及车载设备等组成。其中rbc主要为处于自身管辖范围内的列车计算行车许可(movementauthority，ma)、gsm-r实现车地之间控制信息的双向传输。车载子系统生成速度距离监控曲线，实时监控列车运行速度以保证列车安全运行。

cbtc系统主要由车载设备、地面设备和车地通信设备组成。在cbtc模式下，列车根据列车自动监控系统ats(automatictrainsupervision)的运行组织命令行车；地面联锁设备负责收集轨旁设备发送的信息，下达排列进路、扳动道岔等命令。每一列车的车载控制器vobc(vehicleonboardcontroller)将位置、速度等信息通过无线通信方式传输给地面的区域控制器zc(zonecontroller)。区域控制器主要职责是根据列车当前的位置信息以及联锁所排列的进路和轨道占用/空闲信息，为其控制范围内的列车计算生成移动授权(ma，movementauthority)，通过无线通信技术将ma返回给车载设备vobc，vobc根据ma计算列车速度监控曲线，防止列车超速。

由此可见，信号系统在列车的安全高效运行中发挥着至关重要的作用，一旦失效会造成十分巨大的财产损失甚至威胁人的生命安全。因此，此类系统多采用安全计算机作为其核心的控制部件用于提高系统的可靠性和安全性。但是目前以安全计算机为核心的信号系统在以下几个方面存在不足和缺陷：

(1)设备数量庞大、维护成本高、故障隐患多

传统的信号系统设计中，通常针对不同的功能来设计相应的不同子系统结构，采用叠加的方式完成整个信号系统的结构设计，使得信号系统中的设备数量大大增多，系统结构趋向复杂化，增加了维护成本，设备数量多，使系统mtbf(meantimebetweenfailures，平均故障间隔时间)降低，由于系统mtbf越低，会比较频繁地出现故障而导致系统恢复时间变长，不仅降低系统运行效率，而且还容易诱发事故。

(2)信息孤岛与资源孤岛现象

各系统平台自成体系，功能依靠系统集成商按前期需求进行定制开发，不具有后期动态调整性，较难适应运营不同时期的需求变化。随着城市轨道交通信息化建设逐步深入，在传统的垂直系统架构下，不同系统具有各自的存储设备、独立的管理工具及数据库，不同系统之间无法共享资源，无法相互交付与访问，容易造成信息孤岛与资源孤岛。

(3)系统缺乏可扩展能力

现阶段运营公司、旅客对新的业务需求日益增长，而传统的以安全计算机为核心的信号系统较为封闭，引入物联网、5g、云计算等新兴技术的成本较大并且开发周期长。

云计算技术的使用，可以统一部署业务应用、集中管理数据等，从而提高铁路运营生产及管理效率，降低运营成本。从云技术的角度来看，越多设备上云，其基础资源节约的能力越强，所需投资便越少。因此要实现安全计算机平台高可靠、高安全的要求，还必须进一步利用云计算技术，通过进行合理地系统冗余配置，设计一种更加通用化、平台化的安全冗余结构，增强系统抵御故障的能力，并尽可能降低由于自身的故障所产生的风险，从而能够较好满足安全计算机平台的指定功能和安全要求，同时也能降低能耗、以及开发维护成本、使系统更好适应轻量化、平台化的发展趋势。

技术实现要素：

本发明的目的是克服上述现有技术的缺陷，提供一种基于云计算的安全计算机平台。

本发明的技术方案是：提供一种基于云计算的安全计算机平台，该平台在横向结构上采用二乘设计，包含第一通道和第二通道，且每个通道包含运行于云计算环境的四个容器镜像，其中第一通道包含第一通信控制器、第一任务主机、第一表决主机和第一容错与安全管理单元，第二通道包含第二通信控制器、第二任务主机、第二表决主机和第二容错与安全管理单元；在纵向结构上，使用两台主机对输入和输出进行表决的二取二设计，两台主机若输入输出一致，则该平台进行输出，否则报告故障。

其中第一通信控制器和第二通信控制器负责该平台与外部的数据交换，第一任务主机和第二任务主机用于承担安全计算机的运算功能，第一表决主机和第二表决主机分别对相应任务主机的输入数据和输出数据进行表决，并将表决信息反馈给对应的容错与安全管理单元确定是否进行通道的切换，第一容错与安全管理单元以及第二容错与安全管理单元管理单元实现主机状态检测、通道切换以及流程码控制。

与现有技术相比，本发明的优点在于，针对目前还没有投入使用的基于云计算的2*2取2安全计算机平台，本发明第一次提出了相关技术方案，该平台可以优化传统列控系统的架构，满足当前对轨道交通的各项业务需求，并进一步提高轨道交通系统的运输效率和安全性等各项业务指标。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

被结合在说明书中并构成说明书的一部分的附图示出了本发明的实施例，并且连同其说明一起用于解释本发明的原理。

图1是根据本发明一个实施例的基于云计算的2*2取2安全计算机平台架构示意图；

图2是根据本发明一个实施例的安全计算机平台搭建和移植过程示意图；

图3是根据本发明一个实施例的任务主机和表决主机执行流程示意图；

图4是根据本发明一个实施例的上电同步和周期同步机制示意图；

图5是根据本发明一个实施例的主通道某一主机故障模式切换流程图；

图6是根据本发明一个实施例的备通道某一主机故障模式切换流程图。

具体实施方式

现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有例子中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它例子可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

在下文的描述中，将以基于云计算的2*2取2安全计算机平台为例进行说明。该安全计算机平台由分布式云计算管理系统、安全应用程序支撑环境、基础物理设备构成。安全应用程序支撑环境以2*2取2的结构运行在云计算管理系统之中，该2*2取2安全计算机平台可为安全应用软件提供工作平台，配合硬件系统完成安全数据的输入采集，输入数据和输出数据表决、系统间状态同步、外部通信等一系列平台功能。2取2的表决机制保证了安全计算机平台的安全性，2乘的冗余机制保证了安全计算机平台的可靠性，可用性和可维护性。这种冗余设计的主要目的是保证系统运行不受局部故障的影响，并且维护故障主机时不影响整个平台的功能执行，即可以在线维护故障主机。平台每个通道都有故障检测的功能，具备一定的容错能力，设计时遵循故障-安全原则，具有更高的可靠性和安全性。

具体地，参见图1所示的基于云计算的2*2取2安全计算机平台架构，其包含运行于云计算环境的通信控制器、应用主机以及fts(故障容错和安全)管理单元(ftsm)等应用程序。图1示意了a系和b系两个通道，每个通道运行在一个计算机中，其中负责对外通信的通信控制器、任务主机、表决主机以及fts管理单元(ftsm)均具有冗余架构。冗余设计时，必须考虑两个通道之间的故障应做到尽可能互不影响。通知这种方式可以保证处于备用或者主用状态的通道发生故障时，不会影响另一通道的正常运行，以保证冗余的有效性。

在结构上，本发明设计的安全计算机平台结构不仅横向冗余，也纵向冗余。横向上，该安全计算机平台采用双通道设计，即二乘设计。纵向上，使用两台主机对输入和输出进行表决，以保证平台内部运行产生的控制结果具有偏差时，平台能及时检测到，即二取二设计，二台主机若输入输出一致，则平台输出，否则报告故障。

以下具体说明2*2取2冗余架构的特点。

1)冗余的通信控制器，可以保证某一通信控制器失效后，平台仍能对外保持通信。

2)冗余的fts管理单元，可以实时监听任务主机和表决主机的工作状态，一旦其中一台主机故障或者未正常执行工作流程，该fts管理单元就会通知另一热备通道的fts管理单元进行切换。

3)在热备用工作方式下，其中一个通道处于工作状态(主通道)，实现系统的数据采集、运算、控制输出、网络通讯等功能；而另一个通道处于备用状态(备通道)，它实时跟踪主通道的内部控制状态(即状态同步)。主备通道之间的身份必定是互斥的，以协调两个通道同时而且有序地运行，保证对外输入输出特性的同一性。即对于用户使用而言，可以认为整个平台只有一个任务执行单位。

4)冗余的任务主机和表决主机，可以确保某一主机故障后，都会有继承其数据状态的新主机接替。

在一个具体的实施例中，在paas云管理平台--kubernetes上设计与实现了本发明所提供的安全计算平台。利用三台服务器实现基于云计算的2*2取2安全计算机平台。三台服务器分别对应一个管理节点和两个业务节点，管理节点负责管理和控制整个集群，执行用户输入的操作命令。业务节点各自承载一个二取二架构，每个业务节点上运行4个容器镜像，分别为通信控制器、任务主机、表决主机以及fts管理单元，安全计算机应用程序运行在对应的容器中，具体搭建与移植过程如图2所示。其中通信控制器负责安全计算机平台与外部的数据交换，任务主机承担安全计算机具体的运算功能，表决主机对任务主机的输入数据和输出数据进行表决，若表决结果不一致，则将信息反馈给fts管理单元从而进行通道的切换。fts管理单元实现主机状态检测、通道切换以及流程码控制等功能。

图3是任务主机和表决主机的执行流程，任务主机依次执行周期同步、清空输出区、应用数据接收区、信息更新区和数据发送区；表决主机执行同期同步、主机数据接收区、输入表决、信息更新区和输出表决等。

在图2的实施例中，通过搭建静态虚拟网络实现安全计算机平台内的数据通信。利用calico网络方案为pod分配固定的静态虚拟ip，无论pod是否重启。通过基于隧道技术的overlay覆盖网络，保证容器可以在每个节点上转发路由规则，能跨业务节点进行通信；最终实现安全计算机平台应用程序网络环境的独立及隔离。利用持久化存储卷技术可以将容器中的文件内容持久化存储，保证其不会随着pod重启而被销毁，并且pod中运行的多个容器之间可以共享文件，pod重启导致原有文件系统中生成的应用数据不被销毁。最终保证2*2取2平台在旧有的通道重启后仍能继承故障前通道产生的应用数据。

在本发明所提供的安全计算机平台中，同步机制是主备通道间实现无扰动(bumbles)切换和任务表决同步执行的前提，通过进行高速有效的信息同步，才能保证双通道和双主机步调一致地工作，达到控制的实时性要求，基于云计算的2*2取2安全计算机平台中有周期同步与上电同步两种机制。如图4所示，fstm在检测到上电初始化时，通过分别与任务主机、表决主机进行交互完成上电同步，类似地，可进行周期同步。

在一个实施例中，为遵循故障导向安全原则，2*2取2平台每个通道设计四种工作模式，分别为主模式、备模式、状态跟随模式、故障模式。以保证在故障发生时，双通道切换工作，故障通道恢复时，能正确获悉各自通道的状态。每台物理机除了通信控制器都保留通道模式码，2*2取2平台内两个通道的模式切换主要依托于该模式码的更新。

关于主模式、备模式、状态跟随模式和故障模式的相关说明如下。

1)主模式和备模式都可正常执行应用任务(包括接收、处理和发送)和表决，而主备模式的设立主要是为了保障主模式通道(以下简称主通道)故障后，备模式通道(以下简称备通道)能无缝接手主通道的应用数据和应用任务进度。

2)状态跟随模式，只包括接收、处理。在主通道故障时，另一通道由状态跟随模式切换至备模式，接替工作。

3)故障模式，用以指示另一通道获悉已故障通道的故障情况。

只有当某个通道下的fts管理单元先上电启动则该通道为主模式，另一通道为状态跟随模式。当主通道内某一主机故障时，对应的模式切换流程如图5所示。备通道下的某一主机故障或者表决失败时，执行如图6所示的模式切换流程。通过主通道和备通道之间的模式切换保证无论平台遭受何种故障，经过维护后都不会影响维护之前通道内的工作任务。

除数据表决、任务同步、故障安全这三个模块之外，本发明还利用云计算技术中的探针检测机制判断容器应用是否因逻辑运行不当而导致非正常终止。具体为，使用存活探针livenessprob判断容器是否正在运行；使用就绪探针readinessprobe判断容器是否准备好服务请求；使用启动探针startupprobe判断容器中的应用是否已经启动。探针的检查方式有：exec——在容器内执行指定命令；tcpsocket——对指定端口上的容器的ip地址进行tcp检查；httpget——对指定的端口和路径上的容器的ip地址执行httpget请求。

需说明的是，本发明可进一步扩展其他类型的安全计算机平台，例如3取2的安全计算机平台，即采用功能相同且独立的3通道设计，相互构成冗余关系。

综上所述，相对于现有技术，本发明的优点主要体现在：

1)本发明为轨道交通中的信号系统部分设计了一种基于云计算的2*2取2安全计算机平台。特别的，针对传统冗余设计增加系统设计的难度、增加用户系统的成本的问题。云计算通过虚拟化技术可以为安全计算机平台提供计算、存储和网络资源，将原先多台物理主机可以集成到一台物理主机上，减少物理机的使用数量。

2)在资源使用方面，云管理系统能够根据应用服务的资源需求描述和每个节点上的可用资源，选择最合适的节点来运行该应用服务，以确保节点的硬件资源高效利用，实现负载均衡。云管理系统可以根据实时指标(如cpu占用、内存消耗等指标)动态调整指定应用服务的副本数量以减轻物理主机的负载。

3)在安全计算机应用程序健康检查和自修复方面，一旦应用服务启动，云管理系统会不断地确认应用服务容器环境的部署状态，检查其是否与用户提供的应用描述(yaml配置文件)相匹配，例如应用服务的运行数量是否达到指定要求，应用服务的资源需求受否满足、应用服务是否在指定节点上运行等等。若应用服务进程崩溃或停止响应导致运行数量减少时，那么云管理系统将会自动重启该应用服务副本，直到达到用户的指定副本数量。同理，如果整个工作节点宕机或脱离集群无法访问时，云管理系统将迁移故障节点上运行的所有容器至新的业务节点。

4)针对运维管理方面的需求，本发明以虚拟化技术、大数据挖掘技术为基础，将各监测系统采集到的海量数据通过分布式数据总线传输至云计算平台的管理中心。在云计算平台管理中心实现对数据的存储、分析及挖掘，进而实现对轨道交通设备及应用软件集中部署、集中监控、集中运维的需求，降低系统设备的运营维护成本。

本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如smalltalk、c++、python等，以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)，该电子电路可以执行计算机可读程序指令，从而实现本发明的各个方面。

这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。对于本领域技术人员来说公知的是，通过硬件方式实现、通过软件方式实现以及通过软件和硬件结合的方式实现都是等价的。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。本发明的范围由所附权利要求来限定。