[发明专利]一种用于安全苛求系统软件升级的校验方法

说明书

本发明公开了一种用于安全苛求系统软件升级的校验方法，包括：从硬件层面拓展至少一个新增计算单元；在冗余单元中的既有计算单元加载既有软件，在新增计算单元加载待升级软件；各既有计算单元和新增计算单元基于相同输入进行计算；根据各既有计算单元的运算结果决定实际输出；将新增计算单元的运算结果与各既有计算单元的的运算结果或由各运算结果产生的既有投票结果进行比较，记录比较日志；离线识别既有软件的预期行为变化；根据预期行为变化和比较日志，判断新增计算单元的行为是否符合预期。从而解决运营系统现场调试有限时间与系统软件升级现场调试时间需求的矛盾。

技术领域

本发明涉及软件领域，尤其涉及一种用于轨道交通的安全苛求系统软件升级的校验方法。

背景技术

安全相关的安全苛求系统对于系统故障，尤其是安全相关的故障是零容忍的要求。安全苛求系统最重要的使命就是消灭系统故障。系统故障来源可以是由硬件随机性失效带来的随机性失效和系统设计或系统实现错误带来的系统性失效。

对于系统性失效，目前主流方法是通过系统工程及数学模型的方法来控制。系统性失效很难根除，主要有两个方面的原因：

1）系统模型与现实世界存在差异。建立模型过程，是对现实世界在特定视角下的简化。

2）在系统模型实现成最终产品过程中，工程师在理解沟通及实现产品过程中的人为错误被带入最终产品中。

对于第2点，系统工程及软件自动生成代码及数学验证等技术已经可以很好的控制，但对于第一点，必须通过大量的现实系统测试来保障。但是，对于未投运的系统可以通过大量现场调试来获得排查故障的时间资源，但对于已经投运的系统，现场调试时间是一个很宝贵的有限资源。比如地铁系统是城市的交通命脉，通常地铁收班在凌晨之后，但首列车出车在5点左右。为了调试新软件，需要对系统进行倒接，也就是新软件安装，以及调试后还原到旧系统并进行验证测试确保第二天正常运营。如果再扣除调试的安全管理，测试准备等环节，所剩调试时间非常有限。但安全苛求系统调试测试必须充分。

发明内容

本发明的目的在于提供一种用于安全苛求系统软件升级的校验方法，解决运营系统现场调试有限时间与系统软件升级现场调试时间需求的矛盾。

实现上述目的的技术方案是：

一种用于安全苛求系统软件升级的校验方法，包括：

在X乘N取M系统的冗余单元中，从硬件层面拓展至少一个新增计算单元；其中，X为正整数，N、M均大于等于2，且为整数；

在冗余单元中的N个既有计算单元加载既有软件，在新增计算单元加载待升级软件；

各既有计算单元和新增计算单元每个运算周期均基于本周期相同输入进行计算；

根据各既有计算单元的运算结果决定实际输出，并将各既有计算单元的运算结果或由各运算结果产生的既有投票结果告知新增计算单元；

将新增计算单元的运算结果与各既有计算单元的的运算结果或由各运算结果产生的既有投票结果进行比较，并根据比较结果记录比较日志为行为一致或行为不一致；

离线识别既有软件针对待升级软件的变更而产生的预期行为变化；

根据预期行为变化和比较日志，判断新增计算单元的行为是否符合预期。

优选的，所述的预期行为变化包括：预期行为一致和预期行为不一致；

所述的判断新增计算单元的行为是否符合预期，包括：

比较日志记录为行为一致，并且预期行为一致，则判定新增计算单元的行为符合预期；

比较日志记录为行为一致，并且预期行为不一致，则判定新增计算单元的行为不符合预期；