一種采用容器技術(shù)基于通用硬件的云計(jì)算軌道交通信號(hào)控制系統(tǒng)安全平臺(tái)

蔣建金

（卡斯柯信號(hào)有限公司，上海）

目前，軌道交通信號(hào)控制領(lǐng)域（國(guó)鐵和城市軌道交通）采用專(zhuān)用嵌入式硬件和專(zhuān)用嵌入式軟件的既有嵌入式安全計(jì)算機(jī)平臺(tái)體系架構(gòu)[1]（4 種，如下介紹）來(lái)構(gòu)建組成軌道交通信號(hào)控制安全平臺(tái)，基于此安全平臺(tái)的軌道交通信號(hào)控制系統(tǒng)如聯(lián)鎖、區(qū)域控制器等均分散布置于各車(chē)站站點(diǎn)控制機(jī)房中。安全關(guān)鍵性的軌道交通信號(hào)控制系統(tǒng)有很高的可靠性和可用性要求[2]，這些系統(tǒng)必須具有長(zhǎng)壽命（≥25 年）要求。

隨著數(shù)字化的不斷發(fā)展和演變，基于專(zhuān)用嵌入式硬件系統(tǒng)架構(gòu)受到半導(dǎo)體硬件的短生命周期影響，導(dǎo)致產(chǎn)生既有專(zhuān)用硬件過(guò)時(shí)但系統(tǒng)卻需要具有長(zhǎng)期供貨能力的矛盾。對(duì)于軌道交通信號(hào)控制系統(tǒng)而言各種業(yè)務(wù)功能不斷整合演變得越來(lái)越復(fù)雜，產(chǎn)生了如何在既有專(zhuān)用硬件上實(shí)現(xiàn)新功能或者提出了使用新型專(zhuān)用嵌入式硬件的需求問(wèn)題。并且既有軌道交通信號(hào)控制系統(tǒng)均分散分布于各站點(diǎn)內(nèi)，隨著線路的不斷開(kāi)通和拓展，新站點(diǎn)的信號(hào)控制系統(tǒng)建設(shè)、運(yùn)行、維護(hù)成本不斷增加，產(chǎn)生了分散布局的成本累計(jì)問(wèn)題。快速發(fā)展的線網(wǎng)帶來(lái)了系統(tǒng)需要具備高可伸縮性（可重用性、可分配性、可伸縮性）的需求。

本文針對(duì)上述的問(wèn)題，研究設(shè)計(jì)了一種基于通用硬件（COTS）的云計(jì)算架構(gòu)的安全平臺(tái)，安全完整度達(dá)到SIL4。

1 既有嵌入式安全計(jì)算機(jī)平臺(tái)架構(gòu)

1.1 基于編碼的安全平臺(tái)

如圖1 所示，基于編碼的安全平臺(tái)采用反應(yīng)式故障安全原理，輸入輸出處理部分和計(jì)算部分均進(jìn)行了編碼運(yùn)算。此類(lèi)安全平臺(tái)又可以分為如圖1 中的子類(lèi)型I 和子類(lèi)型II 兩類(lèi)。子類(lèi)型I 由獨(dú)立的校驗(yàn)板進(jìn)行校驗(yàn)，校驗(yàn)不通過(guò)時(shí)將導(dǎo)向安全側(cè)。子類(lèi)型II 由校驗(yàn)碼（保證在計(jì)算結(jié)果出錯(cuò)或有可能導(dǎo)致危險(xiǎn)的輸出時(shí)，相應(yīng)的編碼的校驗(yàn)碼部分能檢測(cè)相應(yīng)的出錯(cuò)故障，并且將相關(guān)故障反映到校驗(yàn)碼）傳遞給解碼模塊[4]。

圖1 基于編碼的安全平臺(tái)

1.2 基于雙機(jī)熱備結(jié)構(gòu)的安全平臺(tái)

如圖2 所示，其基本工作原理是兩個(gè)模塊接收相同的輸入數(shù)據(jù)并進(jìn)行邏輯運(yùn)算，其中一個(gè)模塊為主機(jī)，另一個(gè)為熱備機(jī)，只有主機(jī)才有對(duì)外控制權(quán)。每個(gè)模塊一般為單CPU 處理單元，單個(gè)模塊構(gòu)成獨(dú)立的子系統(tǒng)。主備機(jī)都具有故障檢測(cè)功能，工作過(guò)程中，若主機(jī)自檢發(fā)現(xiàn)自身出現(xiàn)故障時(shí)，通過(guò)切換單元進(jìn)行切換,備機(jī)升為主機(jī)運(yùn)行。若熱備機(jī)出現(xiàn)故障，則不進(jìn)行切換[4]。

圖2 雙機(jī)熱備的安全平臺(tái)

1.3 三取二架構(gòu)安全平臺(tái)

如圖3 所示，三取二架構(gòu)的安全平臺(tái)由三個(gè)模塊組成，正常工作時(shí)，三個(gè)模塊接收相同的輸入數(shù)據(jù)，并行地對(duì)數(shù)據(jù)進(jìn)行處理，然后通過(guò)表決單元對(duì)運(yùn)算結(jié)果進(jìn)行多數(shù)表決，只要有兩個(gè)模塊的運(yùn)算結(jié)果一致，則認(rèn)為系統(tǒng)處于正常工作狀態(tài)，產(chǎn)生控制命令并輸出。三取二架構(gòu)在有一個(gè)模塊故障退出工作時(shí)，降級(jí)為二取二架構(gòu)，通過(guò)這種降級(jí)處理，增強(qiáng)了可用性，使整體系統(tǒng)能夠繼續(xù)工作，實(shí)際上起到了熱備的作用[4]。

圖3 三取二架構(gòu)的安全平臺(tái)

1.4 二乘二取二架構(gòu)的安全平臺(tái)

如圖4 所示，二乘二取二架構(gòu)的安全平臺(tái)由兩系四個(gè)模塊組成，兩個(gè)模塊構(gòu)成一個(gè)子系統(tǒng)，形成二取二結(jié)構(gòu)，通過(guò)比較器實(shí)時(shí)比較。兩系構(gòu)成熱備冗余結(jié)構(gòu)，和雙機(jī)熱備原理相同，其中一系為主系，另一系為備系，當(dāng)主系內(nèi)雙機(jī)比較不一致或出現(xiàn)故障時(shí)，則系統(tǒng)切換到備系工作；若備系內(nèi)雙機(jī)比較不一致或出現(xiàn)故障時(shí)，則不需要切換。該結(jié)構(gòu)采用二取二比較來(lái)保證安全性，采用雙機(jī)切換來(lái)保證可靠性[4]。

圖4 二乘二取二架構(gòu)的安全平臺(tái)

2 云計(jì)算架構(gòu)安全平臺(tái)

云計(jì)算架構(gòu)安全平臺(tái)分為云計(jì)算單元和時(shí)鐘表決通信單元兩部分，如圖5 所示。

圖5 云計(jì)算架構(gòu)安全平臺(tái)

2.1 云計(jì)算單元

云計(jì)算單元采用容器技術(shù)如圖6 將云計(jì)算單元中的通用服務(wù)器操作系統(tǒng)虛擬化，將全部功能分配給多個(gè)獨(dú)立的容器，實(shí)現(xiàn)了軌道交通信號(hào)控制系統(tǒng)安全應(yīng)用（平臺(tái)）與專(zhuān)用嵌入式硬件的分離。容器內(nèi)部采用編碼技術(shù)（反應(yīng)式故障安全，是一種對(duì)運(yùn)算進(jìn)行編碼的技術(shù)）對(duì)系統(tǒng)進(jìn)行隨機(jī)性和系統(tǒng)性失效檢測(cè)，保證安全可靠性。

圖6 云計(jì)算單元容器層級(jí)

容器（Docker 和Kubernetes 之類(lèi)）是一種操作系統(tǒng)虛擬化技術(shù)，用于打包應(yīng)用程序及其依賴(lài)項(xiàng)，并在隔離環(huán)境中運(yùn)行它們，為系統(tǒng)開(kāi)發(fā)、部署、運(yùn)行提供輕量級(jí)的隔離環(huán)境。容器化的核心目標(biāo)是提供一種更好的方式，以可預(yù)測(cè)和便于管理的方式在不同的環(huán)境中創(chuàng)建、打包以及部署軟件。在不同類(lèi)型的基礎(chǔ)架構(gòu)中，容器以一種標(biāo)準(zhǔn)的方式，提供了輕量級(jí)打包和部署應(yīng)用程序的方法。容器可以在任意支持容器的主機(jī)上運(yùn)行一致，可以確保應(yīng)用程序的依賴(lài)項(xiàng)被放到鏡像中，簡(jiǎn)化了手動(dòng)操作的部分和發(fā)布流程，容器從容器鏡像中創(chuàng)建，其中包含了系統(tǒng)、應(yīng)用程序和容器環(huán)境。容器鏡像和創(chuàng)建特定容器模板一樣，同一鏡像可用于生成任意數(shù)量的運(yùn)行中的容器，直接虛擬化操作系統(tǒng)。它作為由主機(jī)操作系統(tǒng)內(nèi)核管理的專(zhuān)用進(jìn)程運(yùn)行，但具有受限且嚴(yán)格操作的系統(tǒng)進(jìn)程、資源和環(huán)境視圖。容器存在于共享系統(tǒng)上，并且像它們?cè)谕耆刂频挠?jì)算機(jī)上運(yùn)行一樣。容器具有輕量級(jí)虛擬化、環(huán)境隔離、標(biāo)準(zhǔn)化打包格式和運(yùn)行時(shí)目標(biāo)、可擴(kuò)展性這些獨(dú)有特性。

通過(guò)容器技術(shù)把底層專(zhuān)用硬件從系統(tǒng)中分離出來(lái)，容器提供了一個(gè)隔離環(huán)境，軌道交通信號(hào)控制系統(tǒng)不用關(guān)注底層具體硬件資源，容器隔離環(huán)境中采用了編碼技術(shù)（反應(yīng)式故障安全，是一種對(duì)運(yùn)算進(jìn)行編碼的技術(shù)）對(duì)系統(tǒng)進(jìn)行隨機(jī)性和系統(tǒng)性失效檢測(cè)，保證安全可靠性。給軌道交通信號(hào)控制系統(tǒng)提供了一種解決過(guò)時(shí)硬件的方案。

通過(guò)云計(jì)算創(chuàng)建了集群提高了可用性，如果云計(jì)算單元中的某些服務(wù)器失效，其他服務(wù)器可以通過(guò)MooN 故障冗余特性提供可持續(xù)的服務(wù)。

通過(guò)在通用硬件服務(wù)器同一個(gè)多核節(jié)點(diǎn)上并發(fā)運(yùn)行多個(gè)容器，并可在多個(gè)容器上運(yùn)行不同業(yè)務(wù)（如可運(yùn)行聯(lián)鎖、區(qū)域控制器等不同業(yè)務(wù)）和相同業(yè)務(wù)的不同控制邏輯（如軌道交通信號(hào)控制系統(tǒng)聯(lián)鎖業(yè)務(wù)的車(chē)站甲、乙、丙等的不同邏輯），整合了資源，減少了業(yè)務(wù)系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)成本。

通過(guò)容器技術(shù)，在軌道交通信號(hào)控制系統(tǒng)線路的不斷開(kāi)通和拓展過(guò)程中，只需進(jìn)行容器虛擬計(jì)算節(jié)點(diǎn)的增加和調(diào)整，提供了高可伸縮性（可重用性、可分配性、可伸縮性）的解決方案。

2.2 時(shí)鐘表決通信單元

時(shí)鐘表決通信單元采用傳統(tǒng)軌交二乘二取二冗余的安全架構(gòu)實(shí)現(xiàn),完成安全時(shí)鐘、注冊(cè)管理、多核并發(fā)仲裁表決、MooN 機(jī)制表決解決云計(jì)算單元（云服務(wù)器硬件）健壯性不足的難題[3]。

2.3 時(shí)鐘、注冊(cè)、狀態(tài)廣播、表決機(jī)制

（1） 注冊(cè)：云計(jì)算單元容器需在時(shí)鐘表決通信單元中注冊(cè)，狀態(tài)變化（時(shí)鐘表決通信單元判斷或計(jì)算單元報(bào)告）后將信息虛擬組內(nèi)廣播。

（2） 啟動(dòng)：云計(jì)算單元容器啟動(dòng)后主動(dòng)在時(shí)鐘表決通信單元上進(jìn)行注冊(cè)；將虛擬組內(nèi)狀態(tài)信息告知新加入云計(jì)算單元各容器；新加入的云計(jì)算單元容器開(kāi)始從健康云計(jì)算單元容器獲得同步教育信息，從時(shí)鐘表決通信單元中獲得實(shí)時(shí)時(shí)鐘同步信息。

（3） 健康：云計(jì)算單元容器完成同步教育、時(shí)鐘同步信息后升級(jí)至健康狀態(tài)，狀態(tài)發(fā)送至表決器，由時(shí)鐘表決通信單元進(jìn)行廣播。

（4） 表決：時(shí)鐘表決通信單元收到云計(jì)算單元各容器的數(shù)據(jù)信息后采用MooN（M-out-of-N M 個(gè)信息中N 個(gè)一致后通過(guò)）表決機(jī)制進(jìn)行表決。

（5） 退出：當(dāng)時(shí)鐘表決通信單元表決出非健康云計(jì)算單元容器，將云計(jì)算單元容器踢出虛擬組（按后續(xù)策略進(jìn)行復(fù)位等操作）并廣播狀態(tài)信息給虛擬組內(nèi)所有云計(jì)算單元容器。

2.4 實(shí)施方法

2.4.1 云計(jì)算安全平臺(tái)-初始化（見(jiàn)圖7）

圖7 云計(jì)算安全平臺(tái)- 初始化時(shí)序

（1） 云計(jì)算安全平臺(tái)進(jìn)入初始化，云計(jì)算單元組、時(shí)鐘表決通信單元分別進(jìn)入初始化狀態(tài)。

（2） 時(shí)鐘表決通信單元完成初始化進(jìn)入表決就緒狀態(tài)。

（3） 云計(jì)算單元各節(jié)點(diǎn)將注冊(cè)信息發(fā)送至?xí)r鐘表決通信單元（時(shí)鐘表決通信單元已在就緒狀態(tài)）。

（4） 時(shí)鐘表決通信單元回復(fù)注冊(cè)成功信息，并將注冊(cè)信息廣播至云計(jì)算單元組中各節(jié)點(diǎn)，并進(jìn)行安全時(shí)鐘信息廣播。

（5） 云計(jì)算單元各節(jié)點(diǎn)收到各自注冊(cè)成功消息后轉(zhuǎn)入云計(jì)算單元就緒狀態(tài)。

（6） 時(shí)鐘表決通信單元收到邊緣計(jì)算控制器輸入后將消息廣播至云計(jì)算單元組中各節(jié)點(diǎn)。

（7） 云計(jì)算單元組各節(jié)點(diǎn)進(jìn)行編碼運(yùn)算（各節(jié)點(diǎn)編碼運(yùn)算采用不同的大素?cái)?shù)）。

（8） 云計(jì)算單元組各節(jié)點(diǎn)將編碼運(yùn)算后結(jié)果發(fā)送至?xí)r鐘表決通信單元。

（9） 時(shí)鐘表決通信單元進(jìn)行多重故障投票表決（MooN）。

（10） 時(shí)鐘表決通信單元表決成功后發(fā)送輸出結(jié)果至邊緣計(jì)算控制器。

2.4.2 云計(jì)算安全平臺(tái)-初始化（見(jiàn)圖8）（1） 云計(jì)算單元節(jié)點(diǎn)N 加入進(jìn)行初始化。

圖8 云計(jì)算安全平臺(tái)- 云計(jì)算點(diǎn)加入時(shí)序

（2） 云計(jì)算單元節(jié)點(diǎn)N 初始化后發(fā)送注冊(cè)消息至?xí)r鐘表決通信單元。

（3） 時(shí)鐘表決通信單元回復(fù)注冊(cè)成功信息至云計(jì)算單元節(jié)點(diǎn)N，并將注冊(cè)信息、安全時(shí)鐘廣播至云計(jì)算單元組中各節(jié)點(diǎn)。

（4） 云計(jì)算單元節(jié)點(diǎn)N 收到注冊(cè)成功信息后根據(jù)時(shí)鐘表決通信單元指定的教育者A 申請(qǐng)教育請(qǐng)求。

（5） 云計(jì)算單元節(jié)點(diǎn)A 回復(fù)云計(jì)算單元節(jié)點(diǎn)N教育消息。

（6） 云計(jì)算單元節(jié)點(diǎn)N 完成教育后進(jìn)入就緒狀態(tài)。

2.4.3 云計(jì)算安全平臺(tái)-MooN 表決時(shí)序（見(jiàn)圖9）

圖9 云計(jì)算安全平臺(tái)- MooN 表決時(shí)序

（1） 云計(jì)算單元各節(jié)點(diǎn)（A…N）均處于就緒狀態(tài)。

（2） 時(shí)鐘表決通信單元將邊緣計(jì)算控制器輸入消息廣播至云計(jì)算單元各節(jié)點(diǎn)。

（3） 云計(jì)算單元各節(jié)點(diǎn)進(jìn)行編碼運(yùn)算。

（4） 云計(jì)算單元各節(jié)點(diǎn)將編碼運(yùn)算結(jié)果發(fā)送至?xí)r鐘表決通信單元。

（5） 時(shí)鐘表決通信單元執(zhí)行多重故障投票表決（MooN）。

（6） 時(shí)鐘表決通信單元表決成功后發(fā)送輸出結(jié)果至邊緣計(jì)算控制器。