由分布式系统中的装置执行的方法及分布式系统的装置制造方法

由分布式系统中的装置执行的方法及分布式系统的装置制造方法
【专利摘要】本申请案涉及由分布式系统中的装置执行的方法及分布式系统的装置。一种装置(115)可对应于分布式物理进入控制系统(110)中的物理进入控制器(115)。一种由分布式系统(110)中的所述装置(115)执行的方法可包含：检测所述分布式系统中的另一装置已变得不可用；基于检测到所述另一装置已变得不可用而确定已在所述分布式系统中发生共识失去；产生所述分布式系统(110)中的可用装置的列表；以及将报警消息发送到管理装置(130)，其中所述报警消息指示所述共识失去，且其中所述报警消息包含可用装置的所述列表。
【专利说明】由分布式系统中的装置执行的方法及分布式系统的装置

【技术领域】
[0001]本发明一般来说涉及进入控制系统，且更具体来说涉及分布式进入控制系统中的共识失去。

【背景技术】
[0002]分布式系统可包含进行通信且协调其行动以实现一组任务的组件。举例来说，分布式系统中的计算机可经由网络通信以便协调而求解一算法。为了成功地协调独立计算机上的同时操作(例如数据及资源管理或处理步骤的同步)，可需要实施分布式算法。已开发用以协调分布式系统的组件的各种分布式算法。


【发明内容】

[0003]根据一个方面，一种由分布式系统中的装置执行的方法可包含:由所述装置检测所述分布式系统中的另一装置已变得不可用；由所述装置基于检测到所述另一装置已变得不可用而确定已在所述分布式系统中发生共识失去；由所述装置产生所述分布式系统中的可用装置的列表；及由所述装置将报警消息发送到管理装置，其中所述报警消息指示所述共识失去，且其中所述报警消息包含可用装置的所述列表。
[0004]另外，所述方法可包含从所述管理装置接收创建包含在所述列表中所包含的所述可用装置中的至少一些可用装置的基于共识的分布式系统的指令；及响应于接收到所述指令而创建所述基于共识的分布式系统。
[0005]另外，创建所述基于共识的分布式系统可包含选择产生法定数所需的装置数目，其中所述数目对应于达到大多数所需要的来自所述可用装置的最小装置数目。
[0006]另外，所述方法可包含给所述可用装置中的所述至少一些可用装置中的一装置指派投票权重，其中当所述装置正在所述所创建的所述基于共识的分布式系统中针对法定数投票时，所述投票权重对从所述装置接收的投票赋予比从所述可用装置中的所述至少一些可用装置中的另一装置接收的投票大的权重。
[0007]另外，所述投票权重可基于以下各项中的至少一者:所述装置的位置；所述装置在多个物理进入控制装置的特定子集中的成员资格；与所述装置相关联的装置类型；指派给所述装置的威胁等级；或与所述装置相关联的可靠性度量。
[0008]另外，所述投票权重可基于以下各项中的至少一者:与所述装置相关联的一或多个所登记事件；与所述装置相关联的外围装置的激活频率；或与所述装置相关联的管理登录频率。
[0009]另外，检测所述分布式系统中的另一装置已变得不可用可包含以下各项中的至少一者:检测到所述另一装置的连接已失去；从所述另一装置接收到装置失效的指示；或检测所述另一装置与安全漏洞相关联。
[0010]另外，将所述报警消息发送到所述管理装置可包含以下各项中的至少一者:将Web服务消息发送到所述管理装置；将电子邮件消息发送到所述管理装置；将短消息服务消息发送到所述管理装置；或将实时服务质量消息发送到所述管理装置。
[0011]另外，所述方法可包含维持所述分布式系统中的可用装置的所述列表；及以特定间隔更新可用装置的所述列表。
[0012]另外，所述分布式系统可包含分布式数据集，且所述方法可进一步包含:响应于确定已在所述分布式系统中发生共识失去而产生应急分布式数据集，其中所述应急分布式数据集是基于所述分布式数据集；及响应于确定已在所述分布式系统中发生共识失去而创建包含在所述列表中所包含的所述可用装置的应急基于共识的分布式系统，其中所述应急基于共识的分布式系统使用所述应急分布式数据集。
[0013]另外，所述方法可进一步包含从所述管理装置接收创建包含在所述列表中所包含的所述可用装置的基于共识的分布式系统的指令；及响应于接收到所述创建所述基于共识的分布式系统的指令而将来自所述应急分布式数据集的数据并入到所述分布式数据集中。
[0014]另外，所述装置可对应于嵌入式系统。
[0015]另外，所述分布式系统可包含分布式物理进入控制系统，且其中所述装置及所述另一装置对应于物理进入控制单元。
[0016]根据另一方面，一种分布式系统的装置可包含逻辑，所述逻辑经配置以:检测所述分布式系统中的另一装置已变得不可用；基于检测到所述另一装置已变得不可用而确定已在所述分布式系统中发生共识失去；产生所述分布式系统中的可用装置的列表；及将报警消息发送到管理装置，其中所述报警消息指示所述共识失去，且其中所述报警消息包含可用装置的所述列表。
[0017]另外，所述逻辑可进一步经配置以从所述管理装置接收创建包含在所述列表中所包含的所述可用装置中的至少一些可用装置的基于共识的分布式系统的指令；及响应于接收到所述指令而创建所述基于共识的分布式系统。
[0018]另外，当所述逻辑正创建所述基于共识的分布式系统时，所述逻辑可进一步经配置以选择产生法定数所需的装置数目，其中所述数目对应于达到大多数所需要的来自所述可用装置的最小装置数目。
[0019]另外，当所述逻辑正创建所述基于共识的分布式系统时，所述逻辑可进一步经配置以给所述可用装置中的所述至少一些可用装置中的一装置指派投票权重，其中当所述装置正在所述所创建的所述基于共识的分布式系统中针对法定数投票时，所述投票权重对从所述装置接收的投票赋予比从所述可用装置中的所述至少一些可用装置中的另一装置接收的投票大的权重。
[0020]另外，所述投票权重可基于以下各项中的至少一者:所述装置的位置；所述装置在多个物理进入控制装置的特定子集中的成员资格；与所述装置相关联的装置类型；指派给所述装置的威胁等级；或与所述装置相关联的可靠性度量；与所述装置相关联的一或多个所登记事件；与所述装置相关联的外围装置的激活频率；或与所述装置相关联的管理登录频率。
[0021]另外，当所述逻辑检测到所述分布式系统中的另一装置已变得不可用时，所述逻辑可经配置以检测到所述另一装置的连接已失去；从所述另一装置接收到装置失效的指示；或检测所述另一装置与安全漏洞相关联。
[0022]另外，当将所述报警消息发送到所述管理装置时，所述逻辑可进一步经配置以将Web服务消息发送到所述管理装置；将电子邮件消息发送到所述管理装置；将短消息服务消息发送到所述管理装置；或将实时服务质量消息发送到所述管理装置。
[0023]另外，所述分布式系统可包含分布式数据集，且所述逻辑可进一步经配置以:响应于确定已在所述分布式系统中发生共识失去而产生应急分布式数据集，其中所述应急分布式数据集是基于所述分布式数据集；响应于确定已在所述分布式系统中发生共识失去而创建包含在所述列表中所包含的所述可用装置的应急基于共识的分布式系统，其中所述应急基于共识的分布式系统使用所述应急分布式数据集；从所述管理装置接收创建包含在所述列表中所包含的所述可用装置的基于共识的分布式系统的指令；及响应于接收到所述创建所述基于共识的分布式系统的指令而将来自所述应急分布式数据集的数据并入到所述分布式数据集中。
[0024]另外，所述分布式系统可包含分布式物理进入控制系统，且其中所述装置及所述另一装置对应于物理进入控制单元。
[0025]根据又一方面，分布式系统可包含多个物理进入控制装置，其中所述多个物理进入控制装置中的特定一者经配置以:检测所述分布式系统中的另一装置已变得不可用；基于检测到所述另一装置已变得不可用而确定已在所述分布式系统中发生共识失去；产生所述分布式系统中的可用装置的列表；及将报警消息发送到管理装置，其中所述报警消息指示所述共识失去，且其中所述报警消息包含可用装置的所述列表；从所述管理装置接收创建包含在所述列表中所包含的所述可用装置中的至少一些可用装置的基于共识的分布式系统的指令；及响应于接收到所述指令而创建所述基于共识的分布式系统。

【专利附图】

【附图说明】
[0026]图1是图解说明根据本文中所描述的实施例的示范性环境的框图；
[0027]图2是图解说明图1的系统单元的示范性组件的框图；
[0028]图3A及3B是图解说明图1的系统单元的示范性功能组件的框图；
[0029]图4是可存储于图3B的共识数据库中的示范性信息的图式；
[0030]图5是在一个实施例中用于处理分布式控制系统中的共识失去的流程图；
[0031]图6是图解说明图1的管理装置的示范性组件的图式；
[0032]图7是在一个实施例中用于处理从分布式控制系统的系统单元接收的共识失去报警的流程图；
[0033]图8是图解说明图1的系统单元的示范性物理布局的平面布置图；
[0034]图9是图解说明图1的系统的示范性物理布局的平面布置图；
[0035]图10A-10C是根据本文中所描述的一或多个实施方案的示范性共识失去情景的图式；且
[0036]图11是根据本文中所描述的一或多个实施方案的示范性用户接口的图式。

【具体实施方式】
[0037]以下详细描述参考附图。不同图式中的相同参考编号识别相同或类似元件。
[0038]本文中所描述的实施方案涉及分布式控制系统中的共识失去。在一个实施例中，分布式控制系统可包含分布式物理进入控制系统。物理进入控制系统可包含一或多个控制或系统单元，每一控制或系统单元控制对设施的一区域的物理进入。举例来说，控制或系统单元可从用户获得凭证且可在所述用户的凭证被验证的情况下将门锁开锁。在其它实施方案中，分布式控制系统可包含分布式建筑物管理系统、分布式监视系统、分布式安全系统及/或另一类型的分布式控制系统。
[0039]分布式控制系统可使用分布式算法执行分布式计算操作。举例来说，分布式控制系统可管理分布式数据库。分布式算法可包含共识算法。共识算法可要求在执行操作之前，由分布式系统中的节点达成共识。举例来说，为了采用共识算法更新分布式数据库，所述分布式系统中的节点达成共识来执行所述更新。当达成共识时，所述节点(例如，所有节点)可接着同意所提议操作(例如，对分布式数据库的改变)。如果针对所提议操作获得法定数，那么可达成共识。如果所述节点中的大多数投票赞成所提议操作，那么可达到法定数。在此实施例中，要求大多数节点投票赞成改变可确保，如果正在考虑两个冲突的所提议改变，那么至少一个节点接收到所提议改变两者且选择投票赞成所提议改变中的一者。
[0040]如果无法达到法定数，那么可发生分布式系统中的共识失去。举例来说，如果特定数目个节点失效或不可到达，那么可能不能获得针对所提议操作的法定数，且分布式系统可能不能继续操作。可通过改变系统中的节点的数目或通过将备用节点带入到系统中来自动地处置共识失去。然而，在分布式控制系统中，此类解决方案可能为不合意的。举例来说，改变系统中的节点的数目或带入备用节点可改变系统的功能性。作为另一实例，备用节点可能为不可用的。作为又一实例，如果分布式控制系统中的两个节点子集之间的通信被中断且使用每一子集中的可用节点自动地创建新的基于共识的系统，那么可发生裂脑问题。在裂脑问题中，两个子集各自形成其自身的分布式系统，从而导致维持分布式数据集的两个版本。
[0041]本文中所描述的实施方案可包含一种在分布式系统中的装置，其经配置以:检测所述分布式系统中的另一装置已变得不可用且基于检测到所述另一装置已变得不可用而确定已在所述分布式系统中发生共识失去。所述装置可经配置以产生所述分布式系统中的可用装置的列表且将报警消息发送到管理装置。所述报警消息可指示已发生共识失去，且可包含可用装置的所述列表。管理员可基于可用装置的所产生列表而确定是否将创建新分布式系统。使用可用装置产生新分布式系统可在一些情形中为合意的且在其它情形中为不合意的。所述装置可经配置以从所述管理装置接收创建包含在所述列表中所包含的所述可用装置中的至少一些可用装置的基于共识的分布式系统的指令且响应于接收到所述指令而创建所述基于共识的分布式系统。产生可用装置的列表并需要来自管理员的对使用所述可用装置形成新的基于共识的系统的核准可防止基于共识的分布式系统中的裂脑问题。
[0042]图1是可在其中实施下文所描述的系统及/或方法的示范性环境100的框图。如图1中所展示，环境100可包含控制系统110 (例如，分布式物理进入控制系统)、网络120及管理装置130。
[0043]分布式控制系统(DCS) 110可包含分布式计算系统，所述分布式计算系统包含系统单元115-A到115-N(统称为“系统单元115”且个别地称为“系统单元115”)。系统单元115可实施为嵌入式系统。在一些实施方案中，系统单元115可包含物理进入控制装置。举例来说，系统单元115可包含控制对安全区域(例如一房间或一房间群组)的进入的进入控制器。系统单元115可经由读取器装置接收凭证(例如，进入卡凭证)且确定所述凭证是否为真实的且与进入所述安全区域的授权相关联。如果是，那么所述进入控制器可发出打开门上的锁或执行与准予进入所述安全区域相关联的其它操作的命令。在其它实施方案中，系统单元115可包含不同类型的安全装置，例如监视装置、控制机器的操作的装置等坐寸。
[0044]DCS 110可包含一或多个分布式数据集。分布式数据集包含与多个装置相关联的数据集，其中所述在一个实施例中，多个装置可彼此通信及协调以对所述数据集做出改变。在一个实施例中，与分布式数据集相关联的每一装置维持所述分布式数据集的局部副本，且如果所述装置商定改变，那么将所述改变复制到分布式数据集的局部副本。在另一实施例中，举例来说，并非所有装置均存储分布式数据集的局部副本。
[0045]在一些实施例中，达成共识以便对分布式数据集(例如，基于共识的分布式数据库)做出改变。在其它实施例中，可在无共识的情况下对分布式数据集做出改变。分布式数据集可与所有系统单元115相关联或可与系统单元115的子集相关联。系统单元115可提议对基于共识的分布式数据集的改变。如果与分布式数据集相关联的法定数的系统单元115接受了改变，那么可达成共识，且可将改变传播到每一相关联系统单元115中的分布式数据集的每一局部副本。因此，如果法定数的相关联系统单元115投票赞成分布式数据集的改变，那么可达成关于所述改变的共识。法定数可对应于相关联系统单元115的最小大多数。因此，如果分布式数据集与N个系统单元115相关联，那么在N/2+1个相关联系统单元115投票赞成改变的情况下(如果N为偶数)或在(N-1)/2+1个相关联系统单元115投票赞成改变的情况下(如果N为奇数)，可达到法定数。需要最小大多数达到法定数可确保在考虑两个冲突提议时，至少一个系统单元115接收到两个提议且选择所述提议中的一者以达成共识。
[0046]基于共识的分布式数据集可确保与分布式数据集相关联的任何系统单元115均包含由所述分布式数据集管理的信息(例如，在一个实施例中，所有信息)。举例来说，分布式数据集可包含进入规则，且所述进入规则可用于与所述分布式数据集相关联的任何系统单元115。因此，由于一或多个分布式数据集，在一个实施例中，DCS 110可对应于不具有中央控制装置(例如服务器装置)的分散式系统。在其它实施例中，DCS 110可包含分散式系统及中央控制装置(例如服务器装置)两者。对DCS 110的改变可在任何系统单元115处配置，且如果改变与分布式数据集相关联，那么可将所述改变传播到与所述分布式数据集相关联的其它系统单元115。此外，DCS 110可相对于装置故障展现稳健性，因为可避免单个故障点。举例来说，如果特定系统单元115失效，那么其它系统单元115可继续操作而不会丢失数据(或使数据丢失最小化)。此外，可动态地改变DCS 110。举例来说，可在任何时间添加应用且可视需要将新的数据集存储于系统单元115中。
[0047]DCS 110还可包含非分布式的数据集。作为一实例，第一系统单元115可包含不包含于任何其它系统单元115中的局部数据集。作为另一实例，第一系统单元115可包含以非分布式方式复制到第二系统单元115 (例如通过镜射)的局部数据集。作为又一实例，第一系统单元115可包含局部数据集的第一版本且第二系统单元115可包含局部数据集的第二版本，其中第一系统单元115维持局部数据集的第一版本且第二系统单元115维持局部数据集的第二版本。在又一实例中，第一系统单元115可从分布式数据集导出第一局部数据集且第二系统单元115可从分布式数据集导出第二局部数据集，其中所述第一局部数据集不同于所述第二局部数据集。
[0048]网络120可使得系统单元115能够彼此通信及/或可使得管理装置130能够与特定系统单元115通信。网络120可包含一或多个电路交换网络及/或包交换网络。举例来说，网络120可包含局域网(LAN)、广域网(WAN)、城域网(MAN)、公共交换电话网络(PSTN)、特设网络、内联网、因特网、基于光纤的网络、无线网络及/或这些或其它类型网络的组合。
[0049]管理装置130可使得管理员能够连接到特定系统单元115以便配置DCS 110、改变DCS 110的配置、从DCS 110接收信息及/或以其它方式管理DCS 110。管理装置130可包含经配置以与系统单元115通信的任何装置。举例来说，管理装置130可包含便携式通信装置(例如，移动电话、智能电话、平板电话装置、全球定位系统(GPS)装置及/或另一类型的无线装置)；个人计算机或工作站；服务器装置；膝上型计算机；平板计算机或另一类型的便携式计算机 '及/或具有通信能力的任何类型的装置。
[0050]虽然图1展示环境100的示范性组件，但在其它实施方案中，环境100相比图1中所描绘的组件可包含更少的组件、不同的组件、不同布置的组件或额外组件。另外或替代地，环境100中的任一装置(或任何装置群组)可执行描述为由环境100中的一或多个其它装置执行的功能。举例来说，在一些实施方案中，系统单元115可包含输入及/或输出装置(例如，键盘/小键盘及显示器、触摸屏等等)，且可不需要管理装置130。
[0051]图2是图解说明系统单元115的示范性组件的框图。如图2中所展示，系统单元115可包含控制器210及一或多个外围装置230。控制器210可控制系统单元115的操作，可与其它系统单元115通信，可与管理装置130通信，及/或可控制外围装置230。控制器210可包含总线212、处理器214、存储器216、网络接口 218、外围接口 220及外壳222。
[0052]总线212可包含准许控制器210的组件之间的通信的路径。处理器214可包含任何类型的单核心处理器、多核心处理器、微处理器、基于锁存器的处理器及/或解译并执行指令的处理逻辑(或处理器、微处理器及/或处理逻辑的族群)。在其它实施例中，处理器214可包含专用集成电路(ASIC)、现场可编程门阵列(FPGA)及/或另一类型的集成电路或处理逻辑。
[0053]存储器216可包含可存储供由处理器214执行的信息及/或指令的任何类型的动态存储装置，及/或可存储供由处理器214使用的信息的任何类型的非易失性存储装置。举例来说，存储器216可包含随机存取存储器(RAM)或另一类型的动态存储装置、只读存储器(ROM)装置或另一类型的静态存储装置、内容可寻址存储器(CAM)、磁性及/或光学记录存储器装置及其对应驱动器(例如，硬盘驱动器、光学驱动器等等)及/或可移除形式的存储器，例如快闪存储器。
[0054]网络接口 218可包含收发器(例如，发射器及/或接收器)，所述收发器使得控制器210能够经由有线通信链路(例如，导电线、双绞线电缆、同轴电缆、传输线、光纤电缆及/或波导等等)、无线通信链路(例如，射频(RF)、红外及/或视觉光学器件等等)或无线与有线通信链路的组合与其它装置及/或系统通信(例如，发射及/或接收数据)。网络接口 218可包含将基带信号转换为RF信号的发射器及/或将RF信号转换为基带信号的接收器。网络接口 218可耦合到用于发射及接收RF信号的天线。
[0055]网络接口 218可包含逻辑组件，所述逻辑组件包含输入及/或输出端口、输入及/或输出系统及/或促进将数据发射到其它装置的其它输入及输出组件。举例来说，网络接口 218可包含用于有线通信的网络接口卡(例如，以太网卡)及/或用于无线通信的无线网络接口(例如，WiFi)卡。网络接口 218还可包含用于经由电缆通信的通用串行总线(USB)端口、Bluetooth?无线接口、射频识别(RFID)接口、近场通信(NFC)无线接口及/或将数据从一种形式转换为另一形式的任何其它类型的接口。
[0056]外围接口 220可经配置以与一或多个外围装置230通信。举例来说，外围接口 220可包含一或多个逻辑组件，所述逻辑组件包含输入及/或输出端口、输入及/或输出系统及/或促进将数据发射到外围装置230的其它输入及输出组件。作为一实例，外围接口 220可使用串行外围接口总线协议(例如，韦根(Wiegand)协议、RS-485协议及/或另一类型的协议)与外围装置通信。作为另一实例，外围接口 220可使用不同类型的协议。在一个实施例中，网络接口 218还可充当用于将外围装置230耦合到控制器210的外围接口。
[0057]外壳222可包封控制器210的组件且可保护控制器210的组件免受环境影响。在一个实施例中，外壳222可包含外围装置230中的一或多者。在另一实施例中，外壳222可包含管理装置130。外壳222在多系统单元115/控制器210系统中界定一个系统单元115及/或控制器210与其它系统单元115及/或控制器210的边界。
[0058]如下文所描述，控制器210可执行与管理分布式系统中的共识失去有关的某些操作。控制器210可由于ASIC的硬连线电路而执行这些操作。控制器210还(或替代地)可响应于处理器214执行计算机可读媒体(例如存储器216)中所含有的软件指令而执行这些操作。计算机可读媒体可包含非暂时性存储器装置。存储器装置可实施于单个物理存储器装置内或跨越多个物理存储器装置散布。可将软件指令从另一计算机可读媒体或从另一装置读取到存储器216中。存储器216中所含有的软件指令可致使处理器214执行本文中所描述的过程。因此，本文中所描述的实施方案并不限于硬件电路及软件的任何特定组口 ο
[0059]外围装置230可包含将信息提供到控制器210、由控制器210控制及/或以其它方式与控制器210通信的一或多个装置。举例来说，外围装置230可包含读取器装置240、锁装置250、传感器260及/或致动器270。尽管出于说明性目的而在图2中展示单个读取器装置240、单个锁装置250、单个传感器260及单个致动器270，但实际上，外围装置230可包含多个读取器装置240、多个锁装置250、多个传感器260及/或多个致动器270。在一些实施方案中，外围装置230可不包含图2中所展示的装置中的一或多者。另外或替代地，外围装置230可包含图2中未展示的任何其它类型的安全装置。
[0060]读取器装置240可包含从用户读取凭证并将所述凭证提供到控制器210的装置。举例来说，读取器装置240可包含经配置以从用户接收字母数字个人识别号码(PIN)的小键盘；用以配置在磁条或另一类型的存储装置(例如RFID标签)上存储卡代码的卡的读卡器；经配置以读取用户的指纹的指纹读取器；经配置以读取用户的虹膜的虹膜读取器；麦克风及经配置以记录用户的话音标志的话音标志识别器；近场通信NFC读取器；及/或另一类型的读取器装置。读取器装置240可包含可提供凭证的任何类型的安全装置，且可包含一或多个传感器装置，例如下文参考传感器260所描述的任何传感器装置。举例来说，读取器装置240可包含用于面部辨识的摄像机及/或用于话音辨识的麦克风。
[0061]锁装置250可包含由控制器210控制的锁。锁装置250可锁住门(例如，防止其打开或关闭)、窗户、HVAC通风孔及/或到安全区域的另一类型的进入开口。举例来说，锁装置250可包含电磁锁；具有由控制器210控制的电动机的机械锁；机电锁；及/或另一类型的锁。此外，锁装置250可进行机器、运输运载工具、电梯及/或电装置的锁住/开锁操作。
[0062]传感器260可包含传感器装置。作为实例，传感器260可包含:用以感测门打开还是关闭的门传感器；可见光监视摄像机、红外(IR)光监视摄像机、热标志监视摄像机及/或另一类型的监视装置；报警传感器，例如运动传感器、热传感器、压力传感器及/或另一类型的报警传感器；音频记录装置(例如，麦克风)；篡改传感器，例如位于系统单元115内侧的位置传感器；及/或位于与系统单元115相关联的安全区域内的“外出请求”按钮；及/或另一类型的传感器装置。
[0063]致动器270可包含致动器装置。作为一实例，致动器270可控制照明装置。作为其它实例，致动器270可包含:防盗报警激活器；用以播放消息或产生报警信号的扬声器；显示装置；用以移动传感器260 (例如，控制摄像机或其它监视装置的视域)的电动机；用于打开/关闭门、窗户、HVAC通风孔及/或与安全区域相关联的另一开口的电动机；用以将锁装置250固定于锁住或未锁位置中的电动机；灭火装置 '及/或另一类型的致动器装置。
[0064]虽然图2展示系统单元115的示范性组件，但在其它实施方案中，系统单元115相比图2中所描绘的组件可包含更少的组件、不同的组件、额外组件或不同布置的组件。另外或替代地，系统单元115的任何组件(或任何组件群组)可执行描述为由系统单元115的一或多个其它组件执行的任务。举例来说，在一些实施方案中，外围接口 220可对应于网络接口。作为另一实例，在一些实施方案中，外围装置230可经由网络接口 218而非经由外围接口 220连接到控制器210。
[0065]此外，虽然DCS 110可包含物理进入分布式控制系统，但其它实施方案可控制除物理进入系统之外的系统。另一方面，DCS 110可包含任何类型的物理进入控制系统(例如，在操作环境中)，例如用于打开及/或关闭门或控制对建筑物或设施的物理进入的控制系统。DCS 110还可包含用以控制风扇(例如，起动或停止)、用以起始建筑物管理系统中的报警(例如，失败的验证、成功的验证等等)或用以控制工业自动化系统中的机器人臂的系统。
[0066]图3A及3B是图解说明系统单元115的示范性功能组件的框图。举例来说，可经由一或多个ASIC的硬连线电路来实施系统单元115的功能组件。另外或替代地，可由执行来自存储器216的指令的处理器214来实施系统单元115的功能组件。图3A图解说明系统单元115的功能层。如图3A中所展示，系统单元115可包含应用程序编程接口(API)层310、应用层320、分布层340及存储层350。
[0067]API层310包含经配置以(例如)与管理装置130通信的API。作为一实例，当管理员使用管理员装置130登录到系统单元115中时，API层310可与管理员装置130通信以验证管理员。作为另一实例，API层310可与管理员装置130通信以改变系统单元115的配置。API层310可从管理员装置130接收数据并将所述数据提供到分布层340及/或存储层350。API层310还可与管理员装置130通信以在应用层320中安装应用。API层310可经配置以处置不同管理员类型。举例来说，API层310可包含用以处置Web服务管理员、Linux管理员、开放网络视频接口论坛(0NVIF)管理员的API及/或另一类型的API。
[0068]应用层320包含安装于系统单元115上的一或多个应用。图3B展示示范性应用。如图3B中所展示，应用层320可包含进入控制逻辑应用322、门控制应用324、读取器控制应用326、事件处置应用328、时间表处置应用330及/或共识失去模块332。
[0069]进入控制逻辑应用322可基于所接收凭证且基于所存储进入规则而确定是否准予进入。门控制应用324可控制一或多个门及/或相关联锁装置250。举例来说，门控制应用324可确定门打开还是关闭及/或锁住还是未锁，且可操作一或多个装置以打开或关闭门及/或将门锁住或开锁。读取器控制应用326可控制一或多个读取器装置240且可获得并处理从一或多个读取器装置240接收的凭证。事件处置应用328可维持由系统单元115记录或产生及/或由另一系统单元115记录的事件的日志。事件处置应用328可确保将局部记录或产生的事件分布到DCS 110中的其它系统单元115以便在所有(或至少一些)系统单元115中维持分布式系统事件日志。因此，可从与系统事件日志相关联的任何系统单元115检索所登记事件。时间表处置应用330可管理与系统单元115相关联的一或多个时间表。举例来说，针对特定用户群组的进入规则可基于一天的特定时间而改变。
[0070]共识失去模块332可检测关于分布式数据集的共识失去。举例来说，共识失去模块332可确定哪些系统单元115为可用的且可确定与特定分布式数据集相关联的可用系统单元115的数目是否足以达到关于对分布式数据集的所提议操作的法定数。如果可用系统单元115的数目降到达到法定数所需的数目以下，那么共识失去模块332可检测到关于特定分布式数据集的共识失去。共识失去模块332可产生与特定分布式数据集相关联的可用系统单元115的列表，可产生包含所产生列表的共识失去报警，且可将所产生共识失去报警发送到指定装置。所述指定装置可对应于管理装置130及/或另一装置，例如管理员的移动通信装置(例如，移动电话)。如果管理员选择产生用于分布式数据集的一组新的系统单元115，那么管理员可将产生所述组新的系统单元115的指令发送到系统单元115。共识失去模块332可产生与分布式数据集相关联的所述组新的系统单元115。
[0071]应用层320中可包含其它应用(图3B中未展示)。作为一实例，报警应用可产生报告及/或报警并将所述报告及/或报警发送到管理员装置130 (及/或发送到另一指定装置)及/或一或多个其它系统单元115。作为另一实例，任务特有控制应用可处理与系统单元115相关联的事件，例如门打开事件、传感器事件、致动器事件及/或其它类型的事件。
[0072]分布层340可管理与系统单元115相关联的一或多个分布式数据集。举例来说，分布层340可经由网络120维持与其它系统单元115的安全连接(例如，输送层安全(TLS)连接)。此外，分布层340可使用协议(例如，PAXOS协议)来建立关于特定基于共识的分布式数据集的改变的共识。作为一实例，分布层340可将改变的提议发送到与分布式数据集相关联的其它系统单元115且可从其它系统单元115接收改变的法定数。作为另一实例，分布层340可投票赞成从另一系统单元115接收的提议。作为又一实例，分布层340可接收已在未投票赞成改变的情况下达成对所述改变的共识的指示。当接收到对改变的共识的指示时，分布层340可在分布式数据集的局部副本中做出所述改变。
[0073]存储层350存储与系统单元115相关联的一或多个数据集。存储于存储层350中的数据集可对应于局部数据集或可对应于分布式数据集。局部数据集可存储与存储所述局部数据集的特定系统单元115相关联(及/或仅与所述特定系统单元相关联)的信息。分布式数据集可存储与同所述分布式数据集相关联的其它系统单元115相关联的信息。
[0074]图3B中展示可包含于存储层350中的示范性信息。如图3B中所展示，存储层350可包含配置数据352、凭证数据354、进入规则数据356及共识数据库358。配置数据352可存储与特定系统单元115相关联的配置数据，例如控制器210的硬件配置、连接到控制器210的外围装置230、安装于应用层320中的应用及/或其它类型的配置信息。凭证数据354可存储与系统单元115相关联的凭证。进入规则356可存储与系统单元115相关联的进入规则。共识数据库358可存储可由共识失去模块332用于检测共识失去的信息。下文参考图4来描述可存储于共识数据库358中的示范性信息。
[0075]虽然图3A及3B展示系统单元115的示范性功能组件，但在其它实施方案中，系统单元115相比图3A及3B中所描绘的功能组件可包含更少的功能组件、不同的功能组件、不同布置的功能组件或额外功能组件。另外，系统单元115的组件中的任一者(或任何组件群组)可执行描述为由系统单元115的一或多个其它功能组件执行的功能。
[0076]图4是可存储于共识数据库358中的示范性信息的图式。如图4中所展示，共识数据库358可包含一或多个分布式数据集记录400。每一数据集记录400可存储与系统单元115与其相关联的特定数据集有关的信息。数据集记录400可包含分布式数据集字段410、一组系统单元字段420-A到420-N、一组对应可用性字段430-A到430-N、共识字段440及报警字段450。
[0077]分布式数据集字段410可存储识别与系统单元115相关联的特定分布式数据集的信息。每一系统单元字段420可存储识别与分布式数据集相关联的另一系统单元115的信息。对应可用性字段430可存储关于另一系统单元115是否可用的信息。共识字段440可存储与和特定分布式数据集相关联的共识要求有关的信息。举例来说，共识字段440可存储关于为达到用于建立与对特定分布式数据集的所提议操作有关的共识的法定数而需要来自其它系统单元115的多少投票的信息。此外，如果共识失去模块332检测到针对特定分布式数据集的共识失去，那么共识字段440可存储已检测到共识失去的指示。在一些实施方案中，可给不同系统单元115指派在投票赞成对特定分布式数据集的所提议操作时不同的投票权重。投票权重信息可存储于系统单元字段420中及/或共识字段440中。
[0078]报警字段450可存储与响应于检测到共识失去而产生共识失去报警有关的信息。举例来说，报警字段450可识别待在发送共识失去报警时使用的特定通信方法及/或可识别共识失去报警将发送到的特定目的地装置。
[0079]虽然图4展示可存储于共识数据库358中的示范性组件，但在其它实施方案中，共识数据库358相比图4中所描绘的组件可包含更少的组件、不同的组件、不同布置的组件或额外组件。
[0080]图5是在一个实施例中用于处理分布式控制系统中的共识失去的流程图。在一些实施方案中，图5的过程可由控制器210执行。在其它实施方案中，图5的过程中的一些或全部可由与控制器210分离及/或包含控制器210的另一装置或装置群组执行。
[0081]图5的过程可包含检测分布式系统中的系统单元已变得不可用(框510)。系统单元115可以特定间隔交换心跳消息。如果在特定时间周期内未从另一系统单元115接收到心跳消息，那么共识失去模块332可确定另一系统单元115已变得不可用。作为一实例，另一系统单元115可具有故障或失去电力。作为另一实例，到另一系统单元115的连接可由于断裂的链路、网络拥塞、出故障的接口或连网装置及/或另一原因而失效。共识失去模块332可将另一系统单元115的不可用性的指示存储于共识数据库358中。
[0082]作为又一实例，失效的系统单元115可将指示装置失效的消息发送到其它系统单元115，从而致使其它系统单元115将失效的系统单元115识别为不可用。作为又一实例，受危害的系统单元115可检测安全漏洞。举例来说，受危害的系统单元115可包含在另一系统单元115的控制器210被操纵时变得激活的防篡改开关。响应于检测到篡改，受危害的系统单元155可将指示安全漏洞的消息发送到其它系统单元115且可将自身去激活。其它系统单元115可响应于接收到安全漏洞消息而将受危害的系统单元115识别为不可用。共识失去模块332可维持与分布式数据集相关联的可用系统单元115的列表，且可以特定间隔更新可用装置的列表。
[0083]可基于检测到系统单元已变得不可用而做出已在分布式系统中发生共识失去的确定(框520)。举例来说，共识失去模块332可确定与分布式数据集相关联的多少个系统单元115为可用的，且可确定可用系统单元115的数目是否小于为达到用以建立关于对分布式数据集的所提议操作的共识的法定数所需的系统单元115的数目。如果可用系统单元115的数目小于达到法定数所需的系统单元115的数目，那么共识失去模块332可确定已发生针对分布式数据集的共识失去。
[0084]可产生可用系统单元的列表(框530)，且可将包含所产生列表的报警消息发送到管理装置(框540)。举例来说，共识失去模块332可存取共识数据库358，且可确定与分布式数据集相关联的哪些系统单元115为可用的。共识失去模块332可存取报警字段450以确定将使用何种通信方法来发送共识失去报警，且可确定共识失去报警应被发送到的特定目的地装置。所述目的地装置可为管理装置130及/或另一装置，例如管理员的移动通信
>j-U ρ?α装直。
[0085]作为一实例，报警字段450可规定应将Web服务消息发送到目的地装置，且共识失去模块332可将Web服务消息发送到目的地装置。作为另一实例，报警字段450可规定应将电子邮件消息、短消息服务或实时服务质量消息发送到目的地装置，且共识失去模块332可将电子邮件消息、短消息服务或实时服务质量消息发送到目的地装置。
[0086]可接收创建包含所述列表中所包含的系统单元中的至少一些系统单元的基于共识的分布式系统的指令(框550)，且可基于所接收指令而产生基于共识的分布式系统(框560)。举例来说，系统单元115可从目的地装置(例如，管理装置130)接收产生用于分布式数据集的基于共识的分布式系统的指令。所接收指令可包含待包含于新分布式系统中的系统单元115的列表。作为一实例，管理员可选择将共识失去报警中所列的所有可用装置均包含于新分布式系统中。作为另一实例，管理可选择将可用装置中的一些装置从新分布式系统排除。
[0087]在一些实施方案中，管理装置130可将指令发送到将包含于新分布式系统中的特定系统单元115。在其它实施方案中，管理装置130可将指令发送到将包含于新分布式系统中的多个(及可能所有)系统单元115。接收到指令的系统单元115可基于与共识失去报警相关联的分布式数据集而产生新分布式数据集，且可接着继续进行以使将包含于新分布式系统中的其它系统单元115与新分布式数据集相关联。
[0088]系统单元115可在创建新分布式系统时基于达到大多数所需要的最小装置数目而选择达到法定数所需的系统单元115的数目。因此，举例来说，如果管理员选择6个系统单元115来用于新分布式系统，那么可针对新分布式系统设定法定数4个系统单元115。
[0089]在一些实施方案中，可给不同系统单元115在针对分布式数据集的所提议操作的法定数投票时指派不同投票权重。可基于特定系统单元115的位置而对特定系统单元115赋予比其它系统单元115高或低的投票权重。举例来说，可将特定位置视为重要的，且因此可对在特定位置处的系统单元115赋予比其它系统单元115高的投票权重。
[0090]可基于在系统单元115群组中的成员资格而对特定系统单元115赋予比其它系统单元115高或低的投票权重。举例来说，分布式数据集可基于一或多个准则而与多个系统单元115群组相关联，且可对第一群组中的系统单元115赋予比第二群组中的系统单元115高的投票权重。可基于特定系统单元115的装置类型而对特定系统单元115赋予比其它系统单元115高或低的投票权重。举例来说，第一系统单元115可对应于具有额外功能性的新版本且可被赋予比其它系统单元115高的投票权重。
[0091]可基于指派给特定系统单元115的威胁等级而对特定系统单元115赋予比其它系统单元115高或低的投票权重。举例来说，特定系统单元115可位于高威胁区域(例如公共位置)中，且可因此被赋予比其它系统单元115低的投票权重。可基于与特定系统单元115相关联的可靠性度量而对特定系统单元115赋予比其它系统单元115高或低的投票权重。举例来说，特定系统单元115可具有高失效率(例如，由于环境条件)且可被赋予比其它系统单元115低的投票权重。可基于与特定系统单元115相关联的一或多个所登记事件而对特定系统单元115赋予比其它系统单元115高或低的投票权重。举例来说，特定系统单元115可包含登记大量运动检测事件的运动传感器，且因此特定系统单元115可被赋予比其它系统单元115高的投票权重。
[0092]可基于与特定系统单元115相关联的外围装置的激活频率而对特定系统单元115赋予比其它系统单元115高或低的投票权重。举例来说，特定系统单元115可经历高的交通量，从而致使锁装置250以比与其它系统单元115相关联的锁装置250高的频率被激活，且可被赋予比其它系统单元115高的投票权重。可基于与特定系统单元115相关联的管理登录频率而对特定系统单元115赋予比其它系统单元115高或低的投票权重。举例来说，特定系统单元115可比其它系统单元115更频繁地由管理装置130使用，且可被赋予比其它系统单元115高的投票权重。
[0093]在一些实施方案中，在检测到共识失去之后且在从管理装置130接收到指示系统单元115产生新分布式数据集的响应之前，系统单元115可需要继续使用分布式数据集。因此，在一些实施方案中，响应于检测到共识失去，系统单元115可基于分布式数据集且基于可用系统单元115的列表而产生应急分布式数据集。所述应急分布式数据集可由系统单元115使用直到管理员对所产生共识失去报警做出响应为止。在从管理装置130接收到用以创建新分布式系统的指令之后，可将来自应急分布式数据集的数据并入到新分布式数据集中。
[0094]在一些实施方案中，在已创建新分布式数据集之后，先前与分布式数据集相关联且已变得不可用的一或多个系统单元115可再次变得可用。举例来说，可修复有故障系统单元115或可复原断裂的连接。所复原的系统单元115可请求重新加入分布式数据集。尽管所复原的系统单元115已变得不可用，但所复原的系统单元115可能已积累与分布式数据集有关的数据。所复原的系统单元115可请求被添加到在共识失去之后创建的新分布式系统。与新分布式数据集相关联的系统单元115可从所复原的系统单元115接收到添加到新分布式数据集的请求，且可将所复原的系统单元115添加到新分布式数据集。系统单元115可随后从所复原的系统单元115接收将装置数据添加到新分布式数据集的请求，可确定所述装置数据是否与新分布式数据集一致；且如果所述装置数据与新分布式数据集一致，那么可将所述装置数据添加到所述分布式数据集。
[0095]图6是图解说明管理装置130的示范性组件的框图。如图6中所展示，管理装置130可包含总线610、处理器620、存储器630、输入装置640、输出装置650及通信接口 660。
[0096]总线610可包含准许管理装置130的组件之间的通信的路径。处理器620可包含任何类型的单核心处理器、多核心处理器、微处理器、基于锁存器的处理器及/或解译并执行指令的处理逻辑(或处理器、微处理器及/或处理逻辑的族群)。在其它实施例中，处理器620可包含ASIC、FPGA及/或另一类型的集成电路或处理逻辑。
[0097]存储器630可包含可存储供由处理器620执行的信息及/或指令的任何类型的动态存储装置，及/或可存储供由处理器620使用的信息的任何类型的非易失性存储装置。举例来说，存储器630可包含RAM或另一类型的动态存储装置、ROM装置或另一类型的静态存储装置、CAM、磁性及/或光学记录存储器装置及其对应驱动器(例如，硬盘驱动器、光学驱动器等等)及/或可移除形式的存储器，例如快闪存储器。
[0098]输入装置640可允许操作者将信息输入到管理装置130中。举例来说，输入装置640可包含键盘、鼠标、笔、麦克风、遥控器、音频捕获装置、图像及/或视频捕获装置、触摸屏显示器及/或另一类型的输入装置。在一些实施方案中，管理装置130可经远程地管理且可不包含输入装置640。换句话说，管理装置130可为“无头的”，且举例来说，可不包含键盘。
[0099]输出装置650可将信息输出给管理装置130的操作者。输出装置650可包含显示器、打印机、扬声器及/或另一类型的输出装置。举例来说，管理装置130可包含显示器，其可包含用于将内容显示给管理员的液晶显示器(LCD)。所述显示器可对应于触摸屏。在一些实施例中，管理装置130可经远程地管理且可不包含输出装置650。换句话说，管理装置130可为“无头的”，且举例来说，可不包含显示器。
[0100]通信接口 660可包含收发器，所述收发器使得管理装置130能够经由无线通信(例如，RF、红外及/或视觉光学器件等等)、有线通信(例如，导电线、双绞线电缆、同轴电缆、传输线、光纤电缆及/或波导等等)或无线与有线通信的组合与其它装置及/或系统通信。通信接口 660可包含将基带信号转换为RF信号的发射器及/或将RF信号转换为基带信号的接收器。通信接口 660可耦合到用于发射及接收RF信号的天线。
[0101]通信接口 660可包含逻辑组件，所述逻辑组件包含输入及/或输出端口、输入及/或输出系统及/或促进将数据发射到其它装置的其它输入及输出组件。举例来说，通信接口 660可包含用于有线通信的网络接口卡(例如，以太网卡)及/或用于无线通信的无线网络接口(例如，WiFi)卡。通信接口 660还可包含用于经由电缆通信的USB端口、Bluetooth?无线接口、RFID接口、NFC无线接口及/或将数据从一种形式转换为另一形式的任何其它类型的接口。
[0102]如下文所描述，管理装置130可执行与从系统单元115接收的共识失去报警的管理有关的某些操作。管理装置130可响应于处理器620执行计算机可读媒体(例如存储器630)中所含有的软件指令而执行这些操作。存储器630可实施于单个物理存储器装置内或跨越多个物理存储器装置散布。可将软件指令从另一计算机可读媒体或从另一装置读取到存储器630中。存储器630中所含有的软件指令可致使处理器620执行本文中所描述的过程。或者，可代替或结合软件指令来使用硬连线电路以实施本文中所描述的过程。因此，本文中所描述的实施方案并不限于硬件电路及软件的任何特定组合。
[0103]虽然图6展示管理装置130的示范性组件，但在其它实施方案中，管理装置130相比图6中所描绘的组件可包含更少的组件、不同的组件、额外组件或不同布置的组件。另外或替代地，管理装置130的一或多个组件可执行描述为由管理装置130的一或多个其它组件执行的一或多个任务。
[0104]图7是在一个实施例中用于处理从分布式控制系统的系统单元接收的共识失去报警的流程图。在一些实施方案中，图7的过程可由管理装置130执行。在其它实施方案中，图7的过程中的一些或全部可由与管理装置130分离及/或包含管理装置130的另一装置或装置群组执行。
[0105]图7的过程可包含从分布式控制系统的系统单元接收一或多个共识失去报警(框710)。管理装置130可包含共识失去报警应用。所述共识失去报警应用可经配置以从DCSllO的系统单元115接收共识报警。当系统单元115检测到共识失去时，所述共识报警可接收一或多个共识失去报警。在一些实施方案中，所述共识失去报警可呈现为在接收到其时提供的警示序列。另外或替代地，共识失去报警可在呈现给管理员之前经组织及合并。
[0106]可基于与所接收报警相关联的分布式数据集而组织所述报警(框720)，且可基于经组织报警而产生用户接口(框730)。举例来说，如果检测到针对分布式数据集的共识失去，那么与分布式数据集相关联的起作用的系统单元115(例如，所有功能系统单元115)可将共识失去报警发送到管理装置130。针对特定分布式数据集的所接收共识失去报警中的一些报警可包含等同的可用装置列表。共识失去报警应用可组织所接收可用装置列表以使得需要呈现重复的列表。可在管理装置130上产生警示，且当管理员选择观看所产生警示时，可将所产生用户接口呈现给管理员。
[0107]如果接收到额外报警，那么可更新用户接口(框740)。在接收到额外共识失去报警时，共识失去报警应用可将所产生用户接口更新为包含从由管理装置130自系统单元115接收的额外共识失去报警接收的信息。
[0108]图8是图解说明系统单元115的示范性物理布局800的平面布置图。如图8中所展示，物理布局800可包含墙壁810、门820、控制器210、读取器装置240、锁装置250、传感器260及致动器270。
[0109]墙壁810包封安全区域830，例如建筑物中的房间。门820为用户提供到安全区域830的进入。在此实施例中，控制器210安装在安全区域830内侧。在其它实施例中，控制器210可安装在非安全区域850中。读取器装置240安装在安全区域830外侧且锁装置250在安全区域830内侧安装到墙壁810及门820。在此实例中，传感器260为安装在安全区域830外侧在门820外侧的非安全区域中的监视装置。在此实例中，致动器270包含用于控制监视装置的视域的电动机。
[0110]当用户将凭证键入到读取器装置240中(例如，通过键入PIN、扫描进入卡、扫描虹膜等等)时，控制器210可使用所述凭证来验证用户的身份且可在进入规则表中执行查找以基于用户的身份及进入规则而确定是否准予用户的进入。如果控制器210确定应准予进入，那么控制器210激活锁装置250以将门820开锁，因此准予用户进入安全区域830。
[0111]虽然图8展示物理布局800的示范性组件，但在其它实施方案中，物理布局800相比图8中所描绘的组件可包含更少的组件、不同的组件、额外组件或不同布置的组件。另外或替代地，物理布局800中的任一组件(或组件群组)可执行描述为由物理布局800 —或多个其它组件执行的任务。
[0112]图9是图解说明DCS 110的示范性物理布局900的平面布置图。如图9中所展示，物理布局900可包含具有房间920-A到920-F的建筑物910。局部网络930(例如以太网络)可互连系统单元115-A到115-F。在此实例中，系统单元115-A控制进入到房间920-A中的两个门；系统单元115-B控制进入到房间920-B中的外侧门；系统单元115-C控制从房间920-B到房间920-C的一个门，系统单元115-D控制从房间920-C到房间920-D的一个门；系统单元115-E控制从房间920-D到房间920-E的一个门；且系统单元115-F控制进入到房间920-F中的外侧门。
[0113]在此实例中，系统单元115-A到115-F不包含中央控制装置(例如，服务器)且可包含一或多个分布式数据集。举例来说，系统单兀115-A到115-F可维持分布式凭证表、分布式进入规则表及/或分布式事件日志。假定管理员使用管理装置130登录到系统单元115-A中以添加用户并添加与用户相关联的凭证。可将那些所添加的凭证分布到控制到所述用户可以进入的房间的门的其它系统单元115。举例来说，如果系统单元115-B失效，那么由系统单元115-B收集的数据可由于包含于其它系统单元中的分布式事件日志而继续为可用的。
[0114]虽然图9展示物理布局900的示范性组件，但在其它实施方案中，物理布局900相比图9中所描绘的组件可包含更少的组件、不同的组件、额外组件或不同布置的组件。举例来说，在另一实施例中，中央控制装置(例如，服务器)可结合一或多个分布式数据集一起使用。另外或替代地，物理布局900的一或多个组件可执行描述为由物理布局900的一或多个其它组件执行的一或多个任务。
[0115]图10A-10C是根据本文中所描述的一或多个实施方案的示范性共识失去情景的图式。图10A图解说明在图9的物理布局900中的系统单元115的可能网络拓扑1000。如图10A中所展示，局部网络930可包含以太网交换机1010-A及以太网交换机1010-B。以太网交换机1010-A可连接到系统单元115-A、115-B及115-C的控制器。以太网交换机1010-B可连接到系统单元115-D、115-E及115-F的控制器。以太网交换机1010-A及1010-B可借助以太网电缆连接。假定以太网电缆被损坏，从而导致断裂的链路1020。断裂的链路1020可致使系统单元115-A、115-B及115-C不能与系统单元115_D、115_E及115-F通信。
[0116]图10B图解说明可对应于存储于共识数据库358中的信息的部分的表1030。如图10B中所展示，表1030包含与和系统单元115-A到115-F相关联的分布式数据集有关的信息。表1030可包含与主数据库分布式数据集、建筑物计数器分布式数据集及房间C计数器分布式数据集有关的信息。主数据库分布式数据集可与系统单元115-A到115-F相关联。举例来说，主数据库可存储经加密凭证信息、进入规则信息、系统单元115配置信息及/或其它类型的信息。在一个实施例中，在此实例中，所有系统单元115-A到115-F可与主数据库分布式数据集相关联。此外，达成与对主数据库分布式数据集的改变有关的共识可需要法定数4个系统单元。在其它实施例中，在其它实例中，并非所有系统单元115-A到115-F一定与主数据库分布式数据集相关联。
[0117]建筑物计数器分布式数据集可存储与建筑物计数器应用有关的信息。建筑物计数器应用可保持追踪进入及离开建筑物910的人且可维持关于当前有多少人在建筑物910内部的信息。由于仅系统单元115-B及115-F控制建筑物910的出口，因此仅系统单元115-B及115-F与建筑物计数器分布式数据集相关联。此外，达成与对建筑物计数器分布式数据集的改变有关的共识可需要法定数2个系统单元。
[0118]房间C计数器分布式数据集可存储与房间920-C的计数器应用有关的信息。举例来说，房间920-C可对应于自助餐厅且房间C计数器应用可保持追踪当前有多少人在自助餐厅中。由于仅系统单元115-A、115-C及115-D控制到房间920-C的门，因此仅系统单元115-AU15-C及115-D与房间C计数器分布式数据集相关联。此外，达成与对建筑物计数器分布式数据集的改变有关的共识可需要法定数2个系统单元。
[0119]断裂的链路1020可导致共识失去报警的产生。图1OC图解说明包含由系统单元115-A到115-F中的特定者响应于断裂的链路1020而产生的共识失去报警的信号流1040。系统单元115-A可不再到达系统单元115-D、115-E及115-F。因此，系统单元115-A无法达到关于主数据库分布式数据集所需的法定数4。因此，系统单元115-A可产生并将主数据库共识失去报警1042发送到管理装置130。主数据库共识失去报警1042可将系统单元115-A、115-B及115-C列示为可用装置。此外，由于系统单元115-A仍可到达系统单元115-C，因此系统单元115-A可达到关于房间C计数器分布式数据集所需的法定数2，且因此将检测不到针对房间C计数器分布式数据集的共识失去。
[0120]系统单元115-B可不再到达系统单元115-D、115_E及115-F。因此，系统单元115-B无法达到关于主数据库分布式数据集所需的法定数4。因此，系统单元115-B可产生并将主数据库共识失去报警1044发送到管理装置130。主数据库共识失去报警1044可将系统单元115-A、115-B及115-C列示为可用装置。此外，系统单元115-B无法达到关于建筑物计数器分布式数据集所需的法定数2。因此，系统单元115-B可产生并将建筑物计数器共识失去报警1046发送到管理装置130。建筑物计数器共识失去报警1046可将系统单元115-B列示为仅有可用装置。
[0121]系统单元115-C可不再到达系统单元115-D、115_E及115-F。因此，系统单元115-C无法达到关于主数据库分布式数据集所需的法定数4。因此，系统单元115-C可产生并将主数据库共识失去报警1048发送到管理装置130。主数据库共识失去报警1048可将系统单元115-A、115-B及115-C列示为可用装置。此外，由于系统单元115-C仍可到达系统单元115-A，因此系统单元115-C可达到关于房间C计数器分布式数据集所需的法定数2，且因此将检测不到针对房间C计数器分布式数据集的共识失去。
[0122]系统单元115-D可不再到达系统单元115-A、115_B及115-C。因此，系统单元115-D无法达到关于主数据库分布式数据集所需的法定数4。因此，系统单元115-D可产生并将主数据库共识失去报警1050发送到管理装置130。主数据库共识失去报警1050可将系统单元115-D、115-E及115-F列示为可用装置。此外，系统单元115-D无法达到关于房间C计数器分布式数据集所需的法定数2。因此，系统单元115-D可产生并将房间C计数器共识失去报警1052发送到管理装置130。房间C计数器共识失去报警1052可将系统单元115-D列示为仅有可用装置。
[0123]系统单元115-E可不再到达系统单元115-A、115-B及115-C。因此，系统单元115-E无法达到关于主数据库分布式数据集所需的法定数4。因此，系统单元115-E可产生并将主数据库共识失去报警1054发送到管理装置130。主数据库共识失去报警1054可将系统单元115-D、115-E及115-F列示为可用装置。
[0124]系统单元115-F可不再到达系统单元115-A、115_B及115-C。因此，系统单元115-F无法达到关于主数据库分布式数据集所需的法定数4。因此，系统单元115-F可产生并将主数据库共识失去报警1056发送到管理装置130。主数据库共识失去报警1056可将系统单元115-D、115-E及115-F列示为可用装置。此外，系统单元115-F无法达到关于建筑物计数器分布式数据集所需的法定数2。因此，系统单元115-F可产生并将建筑物计数器共识失去报警1058发送到管理装置130。建筑物计数器共识失去报警1058可将系统单元115-F列示为仅有可用装置。
[0125]图11是根据本文中所描述的一或多个实施方案的示范性用户接口 1100的图式。如图11中所展示，用户接口 1100可由管理装置130响应于接收到图10C中所展示的共识失去报警而产生。用户接口 1100可包含主数据库分布式数据集列表1110、建筑物计数器分布式数据集列表1120及房间C计数器分布式数据集列表1130。
[0126]主数据库分布式数据集列表1110可包含两个列表。第一列表可基于从主数据库共识失去报警1042、1044及1048接收的信息而产生，且第二列表可基于从主数据库共识失去报警1050、1054及1056接收的信息而产生。在此情况中，管理员可选择两个列表中的一者作为用于主数据库分布式数据集的新的基于共识的系统，且将另一列表取消选择以便避免具有主数据库分布式数据集的两个不同版本的裂脑问题。举例来说，如果管理员选择系统单元115-A、115-B及115-C，那么系统单元115-D、115-E及115-F将不能对主数据库做出改变。
[0127]建筑物计数器分布式数据集列表1120也可包含两个列表。第一列表可基于从建筑物计数器共识失去报警1046接收的信息而产生，且第二列表可基于从建筑物计数器共识失去报警1058接收的信息而产生。在此情况中，管理员可选择两个列表，此可导致裂脑问题。然而，管理员可将继续保持追踪进入及离开建筑物的人视为重要的，且可选择手动地调解来自系统单元115-B及115-F的建筑物计数器数据集。
[0128]房间C计数器分布式数据集列表1130可包含基于从房间C计数器共识失去报警1052接收的信息而产生的列表。管理员可选择忽略此报警，因为管理员基于系统的配置可认识到，系统单元115-A及115-C仍能够获得关于房间C计数器分布式数据集的法定数。
[0129]在前述说明书中，已参考附图描述了各种优选实施例。然而，将显而易见，可对本发明做出各种修改及改变且可实施额外实施例，此并不背离如所附权利要求书中所陈述的本发明的较宽广范围。因此，应将本说明书及图式视为具有说明性意义而非限制性意义。
[0130]举例来说，尽管已关于图5及7描述了若干系列的框，但在其它实施方案中可修改框的次序。此外，可并行地执行非相依框。
[0131]将明了，在图中所图解说明的实施方案中，可以许多不同形式的软件、固件及硬件来实施如上文所描述的系统及/或方法。用于实施这些系统及方法的实际软件代码或专门化控制硬件并不限于所述实施例。因此，在不参考特定软件代码的情况下来描述所述系统及方法的操作及行为一应理解，软件及控制硬件可经设计以基于本文中的描述而实施所述系统及方法。
[0132]此外，可将上文所描述的某些部分描述为执行一或多个功能的组件。如本文中所使用，组件可包含硬件(例如处理器、ASIC或FPGA)或硬件与软件的组合(例如，执行软件的处理器)。
[0133]应强调,术语“包括(comprises/comprising) ”在本说明书中使用时应视为规定所陈述特征、整数、步骤或组件的存在，但并不排除一或多个其它特征、整数、步骤、组件或其群组的存在或添加。
[0134]本申请案中所使用的元件、动作及指令不应理解为对所述实施例至关重要或必不可少，除非明确如此描述。而且，如本文中所使用，冠词“一”打算包含一或多个项目。此外，短语“基于”打算意指“至少部分地基于”，除非另有明确陈述。
【权利要求】
1.一种由分布式系统中的装置执行的方法，所述方法包括: 由所述装置检测所述分布式系统中的另一装置已变得不可用； 由所述装置基于检测到所述另一装置已变得不可用而确定已在所述分布式系统中发生共识失去； 由所述装置产生所述分布式系统中的可用装置的列表；以及 由所述装置将报警消息发送到管理装置，其中所述报警消息指示所述共识失去，且其中所述报警消息包含可用装置的所述列表。
2.根据权利要求1所述的方法，其进一步包括: 从所述管理装置接收创建包含在所述列表中所包含的所述可用装置中的至少一些可用装置的基于共识的分布式系统的指令；以及 响应于接收到所述指令而创建所述基于共识的分布式系统。
3.根据权利要求2所述的方法，其中创建所述基于共识的分布式系统包含: 选择产生法定数所需的装置数目，其中所述数目对应于达到大多数所需要的来自所述可用装置的最小装置数目。
4.根据权利要求1到3中任一权利要求所述的方法，其进一步包括: 给所述可用装置中的所述至少一些可用装置中的一装置指派投票权重，其中当所述装置正在所述所创建的所述基于共识的分布式系统中针对法定数投票时，所述投票权重对从所述装置接收的投票赋予比从所述可用装置中的所述至少一些可用装置中的另一装置接收的投票大的权重。
5.根据权利要求1到3中任一权利要求所述的方法，其中检测所述分布式系统中的另一装置已变得不可用包含以下各项中的至少一者: 检测到所述另一装置的连接已失去； 从所述另一装置接收装置失效的指示；或 检测所述另一装置与安全漏洞相关联。
6.根据权利要求1到5中任一权利要求所述的方法，其中将所述报警消息发送到所述管理装置包含以下各项中的至少一者: 将Web服务消息发送到所述管理装置； 将电子邮件消息发送到所述管理装置； 将短消息服务消息发送到所述管理装置；或 将实时服务质量消息发送到所述管理装置。
7.根据权利要求2所述的方法，其中所述分布式系统包含分布式数据集，所述方法进一步包括: 响应于确定已在所述分布式系统中发生共识失去而产生应急分布式数据集，其中所述应急分布式数据集是基于所述分布式数据集；以及 响应于确定已在所述分布式系统中发生共识失去而创建包含在所述列表中所包含的所述可用装置的应急基于共识的分布式系统，其中所述应急基于共识的分布式系统使用所述应急分布式数据集直到从所述管理装置接收到所述指令为止。
8.根据权利要求7所述的方法，其进一步包括: 响应于接收到所述创建所述基于共识的分布式系统的指令而将来自所述应急分布式数据集的数据并入到所述分布式数据集中。
9.根据权利要求1到3及7到8中任一权利要求所述的方法，其中所述分布式系统包含分布式物理进入控制系统，且其中所述装置及所述另一装置对应于物理进入控制单元。
10.一种分布式系统(110)的装置(115)，其包括: 逻辑(210)，其经配置以: 检测所述分布式系统(110)中的另一装置(115)已变得不可用； 基于检测到所述另一装置(115)已变得不可用而确定已在所述分布式系统中发生共识失去； 产生所述分布式系统(I1)中的可用装置(115)的列表；以及 将报警消息发送到管理装置(130)，其中所述报警消息指示所述共识失去，且其中所述报警消息包含可用装置(115)的所述列表。
11.根据权利要求10所述的装置，其中所述逻辑进一步经配置以: 从所述管理装置接收创建包含在所述列表中所包含的所述可用装置中的至少一些可用装置的基于共识的分布式系统的指令；以及 响应于接收到所述指令而创建所述基于共识的分布式系统。
12.根据权利要求11所述的装置，其中当所述逻辑正创建所述基于共识的分布式系统时，所述逻辑进一步经配置以: 选择产生法定数所需的装置数目，其中所述数目对应于达成大多数所需要的来自所述可用装置的最小装置数目。
13.根据权利要求10到12中任一权利要求所述的装置，其中当所述逻辑正创建所述基于共识的分布式系统时，所述逻辑进一步经配置以: 给所述可用装置中的所述至少一些可用装置中的一装置指派投票权重，其中当所述装置正在所述所创建的所述基于共识的分布式系统中针对法定数投票时，所述投票权重对从所述装置接收的投票赋予比从所述可用装置中的所述至少一些可用装置中的另一装置接收的投票大的权重。
14.根据权利要求11所述的装置，其中所述分布式系统包含分布式数据集，且其中所述逻辑进一步经配置以: 响应于确定已在所述分布式系统中发生共识失去而产生应急分布式数据集，其中所述应急分布式数据集是基于所述分布式数据集； 响应于确定已在所述分布式系统中发生共识失去而创建包含在所述列表中所包含的所述可用装置的应急基于共识的分布式系统，其中所述应急基于共识的分布式系统使用所述应急分布式数据集直到从所述管理装置接收到所述指令为止；以及 响应于接收到所述创建所述基于共识的分布式系统的指令而将来自所述应急分布式数据集的数据并入到所述分布式数据集中。
15.根据权利要求10到12及14中任一权利要求所述的装置，其中所述分布式系统包含分布式物理进入控制系统，且其中所述装置及所述另一装置对应于物理进入控制单元。
【文档编号】H04L29/08GK104468690SQ201410472738
【公开日】2015年3月25日 申请日期:2014年9月16日 优先权日:2013年9月16日
【发明者】马蒂亚斯·布鲁斯, 奥莱·布劳姆格林 申请人:安讯士有限公司