仿真及增强仿真2oo2安全平台设备、安全平台维护方法与流程

本发明实施例涉及轨道交通技术领域，具体涉及一种仿真2oo2安全平台设备、增强仿真2oo2安全平台设备以及平台维护方法。

背景技术：

在轨道交通领域中，传统2oo2(2by2outof2platform，2乘2取2安全平台)硬件结构如图1所示包括平台管理单元、平台a系及平台b系。平台a系包括平台主机a1及平台主机a2，平台b系包括平台主机b1及平台主机b2。平台主机a1、平台主机a2、平台主机b1、平台主机b2、平台管理单元各自运行于相互独立的计算机系统之上。平台a系与平台b系各自拥有相互独立的输出模块、输入模块。

平台a系内部的平台主机a1及平台主机a2构成一个独立的2取2系统，平台b系亦然；平台a系与平台b系软硬件及结构完全相同，构成一个冗余热备系统，该系统即为一个2oo2安全平台。平台a系的平台主机a1与平台主机a2、平台b系的平台主机b1与平台主机b2，在平台管理单元的控制下，周期性的运行，执行输入、应用、输出三个工作阶段。同时平台管理单元还用于控制周期同步、工作阶段控制的功能之外，负责整个2oo2安全平台的主备系管理、主备系切换等功能。图2示出了2oo2安全平台中主备系运行流程图。

平台a系的平台主机a1与平台主机a2、平台b系的平台主机b1与平台主机b2及平台管理单元，通过安全平台内部总线(一般是工业总线，包括工业以太网、can、profibus、profinet、powerlink等)进行相互间通信，以实现周期同步、工作阶段控制、同系双机间数据比较、主备系间数据比较、主备系管理、主备系切换等功能。

现有的一种软硬件同构的2oo2安全平台如图3所示，平台主机a1/b1、平台主机a2/b2使用以下配置的计算机系统：

1)处理器：intelatomn270x861核1.6ghz(至少需要用4台计算机)

2)内存：512mbddr2sdram533mhz

3)操作系统：vxworks5.5.1

平台管理单元使用以下配置的计算机系统：

1)处理器：x86amdgeodelx800x861核500mhz(至少需要用1台计算机)

2)内存：128mbddr1sdram166mhz

3)操作系统：vxworks5.5.1

对于图3示出的安全平台，其各主机及安全平台管理单元的程序以独立进程的形态在各个计算机系统上运行，其运行机制如图4所示。

然而，在实现发明创造的过程中发明人发现，现有的2oo2安全平台的解决方案严重依赖多计算机系统构成的平台硬件架构，具体来说平台a/b系各平台主机和平台管理单元、输入模块、输出模块都必须是独立的硬件，平台a/b系的平台主机需要4套独立的计算机系统，平台管理单元也需要1套独立的计算机系统，传统2oo2安全平台至少需要5套计算机系统。故而现有2oo2安全平台设计、制造及维护成本高昂；各种硬件及软件模块众多，增加了整个安全平台的故障点及不稳定因素，提高了硬件成本、增加了维护难度、影响了可用性。

且安全平台内部各计算机系统间通信采用工业总线，虽可保证数据安全性及实时性，但工业总线的封闭性使得难以进行数据链路分析和故障判断。另一方面，工业总线数据通信速率低下，平台a/b系间通信、平台a/b系内平台主机间通信、平台a/b系内平台主机与平台管理单元间通信将占用大量时间，关键数据通信量大的情况下，该缺陷尤为明显，对于实时性较高的系统，将极大地影响实时性。

技术实现要素：

本发明实施例提供一种仿真2oo2安全平台设备、增强仿真2oo2安全平台设备以及平台维护方法，用于克服现有的2oo2安全平台设备至少需要5套计算机系统，硬件维护成本高难度大，且使用工业总线进行数据通信难以进行分析和故障判断，且速率低下影响实时性的缺陷。

第一方面，本发明实施例提供了一种仿真2oo2安全平台设备，包括：多个均配置在所述仿真2oo2安全平台设备上且相互独立的物理处理器，多个物理处理器在所述设备的共享内存中连接对应的物理内存，每个物理内存中存储有可在对应的物理处理器上运行的计算机程序；

各个物理处理器基于相互独立的进程在执行对应物理内存中的计算机程序时，用于实现如下步骤：

在第一物理处理器和第二物理处理器上执行2取2算法，构成第一2取2系统；

在第三物理处理器和第四物理处理器上执行2取2算法，构成第二2取2系统；

在第五物理处理器上通过所述设备的内部通信总线对第一2取2系统以及第二2取2系统进行控制，使其构成互为主备的2乘2系统。

第二方面，本发明实施例提供了一种增强仿真2oo2安全平台设备，包括：两个如权利要求1或2所述的仿真2oo2安全平台设备以及连接两个仿真2oo2安全平台设备的数据/控制总线，两个仿真2oo2安全平台设备互为主备；

其中，主系设备在需要进行主备切换时，通过所述数据/控制总线将主系设备中的数据或状态传输至备系设备中。

第二方面，本发明实施例提供了一种平台维护方法，包括：

在第一电子设备处，获取并记录第一平台设备的工作数据，将所述工作数据发送至第二电子设备处；其中，所述第一平台设备为如权利要求1或2所述的仿真2oo2安全平台设备，和/或如权利要求3或4所述的增强仿真2oo2安全平台设备；所述工作数据包括运行、故障及维护数据；

在第二电子设备处，根据接收到的第一平台设备的工作数据，计算第一系统的故障概率及故障事件分布，并将计算结果发送至第三电子设备处；其中，所述第一系统为2取2系统、仿真2oo2安全平台设备或增强仿真2oo2安全平台设备；

在第三电子设备处，在接收到用户输入的查询2取2系统可靠安全性指令时，根据接收到的计算结果计算并输出2取2系统的可靠性概率及安全性概率；在接收到用户输入的查询仿真2oo2安全平台设备可靠安全性指令时，根据接收到的计算结果计算并输出仿真2oo2安全平台设备的可靠性概率及安全性概率；在接收到用户输入的查询增强仿真2oo2安全平台设备可靠安全性指令时，根据接收到的计算结果计算并输出增强仿真2oo2安全平台设备的可靠性概率及安全性概率。

本发明实施例提供了一种仿真2oo2安全平台设备、增强仿真2oo2安全平台设备以及平台维护方法，该仿真2oo2安全平台设备中，虚拟安全平台各虚拟主机及虚拟安全平台管理单元以独立进程的形态在同一计算机系统上运行，且每个进程运行在物理上相互独立的物理处理器和物理内存空间之上。这样的运行机制，与软硬件同构的2oo2安全平台，以物理隔离实现安全性的本质是相同的。因此这样的结构能够在保证安全性可靠性的前提下，大大降低硬件成本及硬件架构复杂程度，从而提高维护性和可用性。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是现有技术中传统2oo2安全平台硬件结构示意图；

图2是现有技术中主备系运行流程图；

图3是现有技术中软硬件同构的传统2oo2安全平台硬件结构示意图；

图4是现有技术中软硬件同构的传统2oo2安全平台运行机制示意图；

图5是本发明实施例提供的一种仿真2oo2安全平台设备结构示意图；

图6是本发明实施例提供的仿真2oo2安全平台设备结构运行机制示意图；

图7是本发明实施例提供的仿真2oo2安全平台设备内部总线示意图；

图8是本发明实施例提供的仿真2oo2安全平台设备输入输出示意图；

图9是本发明实施例提供的一种增强仿真2oo2安全平台设备结构示意图；

图10是本发明实施例提供的增强仿真2oo2安全平台设备故障迁移流程示意图；

图11是本发明实施例提供的增强仿真2oo2安全平台设备维护迁移流程示意图；

图12是本发明实施例提供的仿真2oo2安全平台设备2取2系统结构示意图；

图13是本发明实施例提供的2取2系统状态转移示意图；

图14是本发明实施例提供的仿真2oo2安全平台设备结构示意图；

图15是本发明实施例提供的仿真2oo2安全平台设备状态转移示意图；

图16是本发明实施例提供的增强仿真2oo2安全平台设备结构示意图；

图17是本发明实施例提供的增强仿真2oo2安全平台设备状态转移示意图；

图18是本发明实施例提供的平台维护装置结构示意图；

图19是本发明实施例提供的平台维护装置与设备连接结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

第一方面，本发明实施例提供了一种仿真2oo2安全平台设备，如图5所示，包括：多个均配置在所述仿真2oo2安全平台设备上且相互独立的物理处理器，多个物理处理器在所述设备的共享内存中连接对应的物理内存，每个物理内存中存储有可在对应的物理处理器上运行的计算机程序；

各个物理处理器基于相互独立的进程在执行对应物理内存中的计算机程序时，用于实现如下步骤：

在物理处理器1(虚拟平台主机a1)和物理处理器2(虚拟平台主机a2)上执行2取2算法，构成第一2取2系统；在物理处理器3(虚拟平台主机b1)和物理处理器4(虚拟平台主机b2)上执行2取2算法，构成第二2取2系统；在物理处理器5上通过所述设备的内部通信总线对第一2取2系统以及第二2取2系统进行控制，使其构成互为主备的2乘2系统。

其中，上述设备能够实现的主要原因是依托了计算机处理器的smp技术。计算机处理器的smp技术(symmetricmultiprocessing，对称多处理器)是一种多处理器的电脑硬件架构，在对称多处理架构下，每个处理器的地位都是平等的，对资源的使用权限相同。现代多数的多处理器系统，都采用对称多处理架构，也被称为对称多处理系统(symmetricmultiprocessingsystem)。在这个系统中，拥有超过一个以上的处理器，这些处理器都连接到同一个共享的内存，并由单一操作系统来控制。目前在便携智能设备上非常流行的arm多核处理器，或者是一统桌面计算机及服务器领域的x86多核处理器，都属于smp架构。

基于smp架构，上述仿真2oo2安全平台中的虚拟平台主机a1/a2、虚拟平台主机b1/b2、虚拟平台管理单元可以配置在以下配置的计算机系统中：

1)处理器：intelxeonprocessore5-2418lv3x866核3.5ghz(可以仅使用一台计算机或两台计算机)

2)内存：16gbddr3sdram1600mhz

3)操作系统：vxworks6.8

在对称多处理系统上，在操作系统的支持下，进程可以被分配到任何一个处理器上运行。同样的，如图6所示，仿真2oo2安全平台的4个虚拟主机，1个虚拟安全平台管理单元，都可以作为独立的进程分配在独立的物理内存空间之中，运行于独立的物理处理器之上。

在具体实施时，如图7所示，这里的内部通信总线可以使用虚拟总线，包括虚拟内部数据总线以及虚拟内部控制总线。具体可为socket、共享内存、管道或其他，可根据实际需求及硬件条件自由配置。虚拟总线的数据记录更为完善，相比于工业总线更好排查故障。

图8示出了本发明实施例提供的仿真2oo2安全平台设备的输入与输出示意图。由图8可知，本发明实施例提供的设备的输入和输出仍然与传统2oo2安全平台相同。

本发明实施例提供的仿真2oo2安全平台设备中，虚拟安全平台各虚拟主机及虚拟安全平台管理单元以独立进程的形态在同一计算机系统上运行，且每个进程运行在物理上相互独立的物理处理器和物理内存空间之上。这样的运行机制，与软硬件同构的2oo2安全平台，以物理隔离实现安全性的本质是相同的。因此相比于现有技术中配置在5台计算机上的2oo2安全平台，这样的结构能够在保证安全性可靠性的前提下，大大降低硬件成本及硬件架构复杂程度，从而提高维护性和可用性。

仿真2oo2安全平台的2取2机制，其安全性与软硬件同构的传统2oo2安全平台相同。但仿真2oo2安全平台主备系热备机制，其可靠性相较软硬件同构的传统2oo2安全平台有所欠缺，原因是仿真2oo2安全平台运行于单个计算机系统之上，其热备机制只可以解决进程级别的软硬件故障，对于计算机系统级别的软硬件故障则无能为力。

基于此，第二方面，本发明实施例提供了一种增强仿真2oo2安全平台设备，如图9所示，包括：

两个如第一方面所述的仿真2oo2安全平台设备(也即图9所示的仿真计算机1以及仿真计算机2)以及连接两个仿真2oo2安全平台设备的数据/控制总线，两个仿真2oo2安全平台设备互为主备；其中，主系设备在需要进行主备切换时，通过所述数据/控制总线将主系设备中的数据或状态传输至备系设备中。

在具体实施时，增强仿真2oo2安全平台设备中的两个仿真2oo2安全平台设备可执行的工作模式可以有两种。参见图10，图10示出了其中一种工作模式，也即两个仿真2oo2安全平台计算机中，在主系仿真2oo2安全平台计算机故障时，将数据/状态实时迁移至备系，使备系接替其运行工作。参见图11，图11示出了另一种工作模式，也即两个仿真2oo2安全平台计算机中，在主系仿真2oo2安全平台计算机达到维护周期时，将数据/状态实时迁移至备系，使备系接替其运行工作。

从而通过上述两个仿真2oo2安全平台设备互为冗余热备的方式有效避免由于计算机系统级别的软硬件故障导致的整个系统的瘫痪，保证系统运行的安全有效性。

为提高仿真2oo2安全平台设备以及增强仿真2oo2安全平台设备以的可维护性，第三方面，本发明实施例还提供了一种平台维护方法，包括：

s101、在第一电子设备处，获取并记录第一平台设备的工作数据，将所述工作数据发送至第二电子设备处；其中，所述第一平台设备为如权利要求1或2所述的仿真2oo2安全平台设备，和/或如权利要求3或4所述的增强仿真2oo2安全平台设备；所述工作数据包括运行、故障及维护数据；

s102、在第二电子设备处，根据接收到的第一平台设备的工作数据，计算第一系统的故障概率及故障事件分布，并将计算结果发送至第三电子设备处；其中，所述第一系统为2取2系统、仿真2oo2安全平台设备或增强仿真2oo2安全平台设备；

s103、在第三电子设备处，在接收到用户输入的查询2取2系统可靠安全性指令时，根据接收到的计算结果计算并输出2取2系统的可靠性概率及安全性概率；在接收到用户输入的查询仿真2oo2安全平台设备可靠安全性指令时，根据接收到的计算结果计算并输出仿真2oo2安全平台设备的可靠性概率及安全性概率；在接收到用户输入的查询增强仿真2oo2安全平台设备可靠安全性指令时，根据接收到的计算结果计算并输出增强仿真2oo2安全平台设备的可靠性概率及安全性概率。

从而通过上述方法能够在用户想要获知各系统可靠性概率或安全性概率的情况下，能够为用户输出想要的结果，以便用户能够实施获知设备或设备内部各系统的状态信息，从而提高设备的可维护性。

下面对上述方法中第三电子设备处计算各个系统的可靠性概率及安全性概率的过程进行详细说明。

(一)2取2系统的可靠性概率及安全性概率

计算2取2系统的可靠性概率及安全性概率，可以包括：

a、根据2取2系统中双机对应的不同的工作状态，计算各个状态之间发生迁移的瞬时概率；

b、根据所述瞬时概率，计算任意时刻双机由正常工作状态迁移至正常工作状态或其他状态的概率；

c、根据双机由正常工作状态迁移至正常工作状态的概率计算2取2系统的可靠性概率；

d、根据双机由正常工作状态迁移至正常工作状态的概率，以及双机由正常工作状态迁移至双机中的至少一机发生故障且故障可测状态的概率，计算2取2系统的安全性概率。

具体来说，首先对于图12系统中的仿真2取2系统的任一主机，其故障发生过程可视为一个时间连续、状态离散的马尔可夫过程，即一个泊松过程，其强度为λ；而故障检测率为pm，始终为一常数。2取2系统，其故障发生过程亦可视为一个时间连续、状态离散的马尔可夫过程，即一个泊松过程。可认为在虚拟平台主机a/b1或虚拟主机a/b2机初始状态正常的前提下，每经过1个δt的时间，发生一次状态的迁移。图13示出了2取2系统状态转移示意图。

图13中，各状态如下：

状态0：双机正常运行

状态1：一机故障且故障可测

状态2：一机故障且故障不可测

状态3：一机故障且故障可测，另一机故障且故障不可测

状态4：两机故障且故障不可测

状态5：两机故障且故障可测

进而可以根据上述状态之间的迁移情况，计算各个状态之间发生迁移的瞬时概率，获得任意时刻从正常状态转移至各个状态的概率，这一计算过程需要经过化为微分方程、拉普拉斯变换、解线性方程、拉普拉斯反变换，由于这一计算过程为现有技术，在此不再进行过多说明。

则根据上述不同的工作状态，计算各个状态之间发生迁移的瞬时概率，为：

状态0-状态0概率：1-2λδt

状态0-状态1概率：2λpmδt

状态0-状态2概率：2λ(1-pm)δt

状态1-状态1概率：1-λδt

状态1-状态3概率：λ(1-pm)δt

状态1-状态5概率：λpmδt

状态2-状态2概率：1-λδt

状态2-状态4概率：λ(1-pm)δt

虚拟主机a/b1与虚拟主机a/b2故障后不可恢复，则

状态3-状态3概率：1

状态4-状态4概率：1

状态5-状态5概率：1

接着根据所述瞬时概率，计算任意时刻t双机由正常工作状态0迁移至正常工作状态0或其他状态(1-5)的概率：

p00(t)＝e^-2λt

p01(t)＝2pm(e^-λt-e^-2λt)

p02(t)＝2(1-pm)(e^-λt-e^-2λt)

p03(t)＝2(pm-pm²)(1-2e^-λt+e^-2λt)

p04(t)＝(1-2pm+pm²)(1-2e^-λt+e^-2λt)

p05(t)＝pm²(1-2e^-λt+e^-2λt)

由于可靠性是指系统可以正常使用，但不发生故障，因此二取二系统可靠性概率仅与p00(t)有关，为：

pr＝p00(t)＝e^-2λt

而安全性是系统正常工作，或者是发生故障但故障可检测，因此二取二系统安全性概率与p00(t)、p01(t)、p05(t)有关，为：

ps(t)＝p00(t)+p01(t)+p05(t)＝e^-2λt+2pm(e^-λt-e^-2λt)+pm²(1-2e^-λt+e^-2λt)

(二)仿真2oo2安全平台设备的可靠性概率及安全性概率

计算仿真2oo2安全平台设备的可靠性概率及安全性概率，包括：

a、根据仿真2oo2安全平台设备中的主备系设备对应的不同的工作状态，计算各个状态之间发生迁移的瞬时概率；

b、根据所瞬时概率，计算任意时刻仿真2oo2安全平台设备由正常工作状态迁移至正常工作状态或其他状态的概率；

c、根据仿真2oo2安全平台设备由正常工作状态迁移至正常工作状态的概率计算仿真2oo2安全平台设备的第一可靠性概率；

d、根据仿真2oo2安全平台设备由正常工作状态迁移至正常工作状态的概率，以及仿真2oo2安全平台设备由正常工作状态迁移至主备设备均发生故障且故障可测状态的概率，计算仿真2oo2安全平台设备的第一安全性概率。

具体来说，对于图14所示的仿真2oo2安全平台设备，首先仿真2oo2安全平台的任一系，由于pm≈1，其故障发生过程可近似为一个时间连续、状态离散的马尔可夫过程，即一个泊松过程，其强度为λ2,λ2＝2λ。而故障检测率仍为pm，始终为一常数。由2个仿真2取2系统构成的主备系热备系统，也就是仿真2oo2安全平台，其故障发生过程亦可视为一个时间连续、状态离散的马尔可夫过程，即一个泊松过程。可认为在虚拟平台a系及b系初始状态正常的前提下，每经过1个δt的时间，发生一次状态的迁移。图15示出了仿真2oo2安全平台设备状态转移示意图。

图15中，各状态如下：

状态0：主备系均正常

状态1：主系正常，备系故障(故障可测)

状态2：主系正常，备系故障(故障不可测)

状态3：主系故障(故障不可测)，备系正常或备系故障(故障可测或故障不可测)

状态4：主备系均故障(故障可测)

以上各状态：a系为主系、b系为备系；或，b系为主系、a系为备系；

则根据上述不同的工作状态，计算各个状态之间发生迁移的瞬时概率，为：

状态0-状态0概率：1-2λ2δt′

状态0-状态1概率：2pm′λ2δt′

状态0-状态2概率：(1-pm′)λ2δt′

状态0-状态3概率：(1-pm′)λ2δt′

状态1-状态1概率：(1-λ2)δt′

状态1-状态3概率：(1-pm′)λ2δt′

状态1-状态4概率：pm′λ2δt′

状态2-状态2概率：1-λ2δt′

状态2-状态3概率：λ2δt′

状态3-状态3概率：1

状态4-状态4概率：1

其中，λ2＝2λ，pm′＝pm

则根据所述瞬时概率，计算任意时刻t仿真2oo2安全平台设备由正常工作状态迁移至正常工作状态或其他状态的概率为：

同样地，可靠性是指系统可以正常使用，但不发生故障，因此仿真2oo2安全平台第一可靠性概率为：

安全性是系统正常工作，或者是发生故障但故障可检测，因此仿真2oo2安全平台安全性概率为：

(三)增强仿真2oo2安全平台设备的可靠性概率及安全性概率

计算仿真2oo2安全平台设备的可靠性概率及安全性概率，包括：

a、根据增强仿真2oo2安全平台设备中的各仿真2oo2安全平台设备对应的正常或故障工作状态，计算各个状态之间发生迁移的瞬时概率；

b、根据所述瞬时概率，计算任意时刻t增强仿真2oo2安全平台设备由正常工作状态迁移至正常工作状态概率以及由正常工作状态迁移至故障工作状态概率；

c、根据增强仿真2oo2安全平台设备由正常工作状态迁移至正常工作状态概率，计算m个维护周期tm单个仿真2oo2安全平台设备的第二可靠性概率以及一个维护周期内t’时刻单个仿真2oo2安全平台设备的第三可靠性概率；根据所述第二可靠性概率以及所述第三可靠性概率，计算两个仿真2oo2安全平台设备的第四可靠性概率；其中，t＝mtm+t’；

d、根据m个维护周期对应的所述第一可靠性概率、t’时刻对应的所述第一可靠性概率以及所述第四可靠性概率，计算t时刻增强仿真2oo2安全平台设备的可靠性概率；

e、根据所述第一安全性概率，计算m个维护周期tm增强仿真2oo2安全平台设备的第二安全性概率，以及t’时刻增强仿真2oo2安全平台设备的第三安全性概率；根据所述第二安全性概率以及第三安全性概率计算t时刻增强仿真2oo2安全平台设备的安全性概率。

具体来说，对于图16所示的增强仿真2oo2安全平台设备中，首先单个仿真计算机系统(也即仿真2oo2安全平台设备)，其故障发生过程可视为一个时间连续、状态离散的马尔可夫过程，即一个泊松过程，其强度为λ3。增强2oo2安全平台使用两个仿真计算机系统，这两个仿真计算机系统交替工作、维护，其中，tm为维护周期。本发明实施例中仅针对两个仿真计算机处于维护的工作模式下(也即图11所示的工作模式)计算增强仿真2oo2安全平台设备的可靠性及安全性。可认为在仿真计算机初始状态正常的前提下，每经过1个δt的时间，发生一次状态的迁移。其状态迁移图如图17所示。

图17中，各状态如下：

状态0：计算机正常

状态1：计算机故障

根据上述状态可计算得到各个状态之间发生迁移的瞬时概率为：

状态0-状态0概率：1-λ3δt

状态0-状态1概率：λ3δt

状态1-状态1概率：1

根据所述瞬时概率，计算任意时刻t增强仿真2oo2安全平台设备由正常工作状态迁移至正常工作状态概率以及由正常工作状态迁移至故障工作状态概率为：

在t时刻，t＝mtm+t′,t′∈[0，tm]，其中，tm为维护周期，m为维护周期的个数，t′为一个维护周期内的任一时刻。

则接着根据增强仿真2oo2安全平台设备由正常工作状态迁移至正常工作状态概率，也即p00(t)，先计算一个维护周期单个仿真计算机系统可靠性概率为：

再计算m个维护周期tm单个仿真2oo2安全平台设备的第二可靠性概率为：

接着计算一个维护周期内t’时刻单个仿真2oo2安全平台设备的第三可靠性概率为：

根据第二可靠性概率pr2(mtm)以及第三可靠性概率pr2(t′)，计算两个仿真2oo2安全平台设备的第四可靠性概率为：

接着，根据m个维护周期对应的所述第一可靠性概率pr1(mtm)、t’时刻对应的所述第一可靠性概率pr1(t′)以及所述第四可靠性概率pr2(t)，计算t时刻增强仿真2oo2安全平台设备的可靠性概率为：

pr3(t)＝pr1(mtm)pr1(t′)pr2(t)

＝pr1(mtm)pr1(t′)pr2(mtm)pr2(t′)

＝(pr1(tm))^mpr1(t′)(pr2(tm))^mpr2(t′)

接下来计算增强2oo2仿真安全平台的安全性概率。首先计算一个维护周期增强2oo2仿真安全平台安全性概率，为：

ps2(tm)＝ps1(tm)

接着计算m个维护周期增强2oo2仿真安全平台安全性概率为：

ps2(mtm)＝ps1(mtm)＝(ps1(tm))^m

t’时刻增强2oo2仿真安全平台安全性概率为：

ps2(t′)＝ps1(t′)

则增强2oo2仿真安全平台安全性概率为：

ps3(t)＝ps2(mtm)ps2(t′)

＝(ps1(tm))^mps1(t′)

第四方面，本发明实施例还提供了一种平台维护装置，如图18所示，包括：

运行数据记录单元201，用于在第一电子设备处，获取并记录第一平台设备的工作数据，将所述工作数据发送至第二电子设备处；其中，所述第一平台设备为如权利要求1或2所述的仿真2oo2安全平台设备，和/或如权利要求3或4所述的增强仿真2oo2安全平台设备；所述工作数据包括运行、故障及维护数据；

故障事件统计单元202，用于在第二电子设备处，根据接收到的第一平台设备的工作数据，计算第一系统的故障概率及故障事件分布，并将计算结果发送至第三电子设备处；其中，所述第一系统为2取2系统、仿真2oo2安全平台设备或增强仿真2oo2安全平台设备；

可靠性安全性计算单元203，用于在第三电子设备处，在接收到用户输入的查询2取2系统可靠安全性指令时，根据接收到的计算结果计算并输出2取2系统的可靠性概率及安全性概率；在接收到用户输入的查询仿真2oo2安全平台设备可靠安全性指令时，根据接收到的计算结果计算并输出仿真2oo2安全平台设备的可靠性概率及安全性概率；在接收到用户输入的查询增强仿真2oo2安全平台设备可靠安全性指令时，根据接收到的计算结果计算并输出增强仿真2oo2安全平台设备的可靠性概率及安全性概率。

由于本实施例所介绍的平台维护装置为可以执行本发明实施例中的平台维护方法的装置，故而基于本发明实施例中所介绍的平台维护的方法，本领域所属技术人员能够了解本实施例的平台维护装置的具体实施方式以及其各种变化形式，所以在此对于该平台维护装置如何实现本发明实施例中的平台维护方法不再详细介绍。只要本领域所属技术人员实施本发明实施例中平台维护方法所采用的装置，都属于本申请所欲保护的范围。

需要说明的是，该装置可以对一般仿真2oo2安全平台或增强仿真2oo2安全平台进行数据的采集记录及计算，图19示出了该平台维护装置与一般仿真2oo2安全平台或增强仿真2oo2安全平台进行数据的连接结构示意图。其中，可靠性及安全性概率的数据可以图形用户界面或系统日志(文本或数据库)的方式提供给用户。

此外，该维护装置的3个单元需要运行于3台独立的计算机系统之上，这是由于在轨道交通领域中，即使是非安全的软件装置，独立功能的软件装置一般是配置在独立的硬件装置上的。如果所有的软件装置都配置在同一台硬件设备上，那么该硬件设备发生故障后，所有软件装置均会失效。因此需要将这三个单元配置在独立的三个电子设备上。

由于此3个单元非安全相关且没有实时性的需求，所以一般的主流商用计算机即可满足运行条件。例如使用以下配置的计算机系统：

1.处理器：x86inteli37100

2.内存：8gbddr4sdram2133mhz

3.操作系统：windows10

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的某些部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。