[发明专利]一种基于云计算设备的列控系统边缘安全节点的实现方法

权利要求书

1.一种基于云计算设备的列控系统的边缘安全节点的实现方法，其特征在于，包括：

在安全域的本地设备和非安全域的云计算设备之间设置边缘安全节点，所述边缘安全节点将所述本地设备和所述云计算设备进行隔离，所述本地设备和所述云计算设备之间通过所述边缘安全节点进行数据通信；

边缘安全节点对其控制的若干个云计算设备起到输入输出、程序运行监视、表决器以及云计算设备失效后降级控制的作用；

所述边缘安全节点控制的每一个云计算设备，依照其实现的虚拟机或容器或裸金属服务器的不同机制，按照所承载的轨道交通列车运行控制应用的不同而划分不同的列控应用区域块，每个云计算设备的列控应用区域块都是一个独立的故障区域遏制块；

所述边缘安全节点对其控制的若干个云计算设备的列控应用区域块实现输入输出、程序运行监视、表决器以及云计算设备失效后降级控制的功能；

所述边缘安全节点对其控制的云计算设备的列控应用区域块的输入输出功能包括将来自其自身或所控制的目标控制器OC的输入数据或输入数据索引发送给云计算设备的列控应用区域块，接收来自每个云计算设备的列控应用区域块的运算结果和程序运行签名数据，这些运算结果和程序运行签名数据经过边缘安全节点表决和逻辑判断正确后，供边缘安全节点自己使用或组成安全通信数据帧发送给其所控制的OC使用；

所述边缘安全节点对其控制的云计算设备的列控应用区域块的程序运行监视功能包括程序运行逻辑监视、程序运行时间监视和程序运行算力监视；

所述程序运行逻辑监视的实现原理是在程序设计阶段人工给边缘安全节点所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序的关键分支上打上加密程序运行签名，不同分支打上不同的加密程序运行签名，在程序运行的过程中，这些加密程序运行签名发送给边缘安全节点，边缘安全节点解密并检查这些程序运行签名是否正确，如果正确，说明云计算设备上列控应用区域块上程序运行正常；如果不正确，说明云计算设备上列控应用区域块异常，应启动相应的安全反应；

所述程序运行时间监视的实现原理在所述程序运行逻辑监视的基础上，按照时间触发机制，将周期的程序控制周期进一步划分为微周期，不同微周期执行的程序分支不同，程序运行签名也不一样，边缘安全节点在每个微周期的起点，通知其所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序，开始正确的微周期，并监控在本微周期结束前后一段合理的时间内这些程序能否正确应答执行完毕信息，一旦超过本微周期最大时长没有正确应答执行完毕，说明云计算设备上列控应用区域块异常，应启动相应的安全反应；

所述程序运行算力监视在所述程序运行逻辑监视、程序运行时间监视的基础上，缩短程序控制周期以及所包含的微周期的时间长度，让这些周期和微周期的时间长度达到程序正常运行的极限最小值；

所述边缘安全节点对其控制的云计算设备的表决器功能包括：边缘安全节点和其控制的云计算设备构成拜占庭容错关系，边缘安全节点起到指挥官commander的作用，每个云计算设备起到副职Lieutenant的作用，通过交互一致算法找出一般失效和拜占庭失效节点，并屏蔽一般失效和拜占庭失效节点的影响；

所述边缘安全节点对其控制的云计算设备失效后降级控制功能包括：一旦边缘安全节点判断其控制的云计算设备部分或全部失效，不足以支持正常的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序，边缘安全节点执行降级的列车运行控制功能，保障其控制覆盖范围内的所有列车处于安全状态。

2.根据权利要求1所述的方法，其特征在于，包括：

所述边缘安全节点为符合轨道交通相关安全标准的安全设备，满足故障导向安全特性，位于地面或者位于列车上，位于地面的边缘安全节点通过冗余有线通信网络与云计算设备交互数据信息，位于列车上的边缘安全节点通过冗余无线移动通信网络与云计算设备交互数据信息。

3.根据权利要求1所述的方法，其特征在于，所述边缘安全节点控制的云计算设备的数量至少为2，所述云计算设备部署运行安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序，所述云计算设备的构成方式包括虚拟机方式、容器方式或裸金属服务器方式。