本文摘要：许多应用于与人身安全或设备安全性有密切联系，随着安全性拒绝的提升，期望设备或系统在其包含的部件与掌控装置再次发生故障时仍能确保安全性，即故障-安全性（failsafe）的特性。

许多应用于与人身安全或设备安全性有密切联系，随着安全性拒绝的提升，期望设备或系统在其包含的部件与掌控装置再次发生故障时仍能确保安全性，即故障-安全性（failsafe）的特性。系统是由子系统构成的，子系统有故障时有掌控地暂停工作（failsilent，故障-静默模式），对系统而言仍是故障，因为它仍然获取原订的服务了，这有可能引发全系统功能的过热。所以，安全性是要从最高层的全局来分析的。例如对一辆汽车，刹车系统整体无法用故障-静默来超过安全性，而应当是故障后仍能工作（failoperational，故障-仍工作模式），或最少是性能上升一点仍能工作（faildegraded，故障-降格工作模式）。

　　单一部件的架构（还包括硬件与软件）有故障而过热时就无法之后获取服务了，它无法符合故障-仍工作模式或故障-降格工作模式的拒绝。这就必需使用有备份的校验架构，每一个备份都能已完成出有故障的原本部件的大部分或全部服务工作，保持系统长时间运营。

备份工作的交错就拒绝它们对工作状态（系统的输出、应当的输入和谁不应输入）有完全相同的观点。这种完全相同的观点要通过信息互相交换并通过协议才能创建，并称作交互一致性（interactiveconsistency）。　　有一部分掌控对象不存在功能上相校验的可能性，例如汽车的4个轮子的刹车，当一个轮子的子刹车系统（设备或掌控装置）有故障时，修正其他轮子的刹车力之后可以构建总体刹车系统的故障-仍工作模式或故障-降格工作模式。

此时对单个轮子而言，它只要能构建故障-静默才可。似乎，单个轮子的可信赖性拒绝被减少，不会导致成本的大大降低。在这种情况下，轮子的控制器之间就不存在交互一致性问题。　　来自汽车电子大佬Infineon和Delphi的研究报告［1］较为了基于这种相校验的分布式校验刹车系统与集中式仅有控制器校验的硬件成本，认为成本可深感上升，相提并论集中式有控制器校验的刹车系统将不会废除，这对我国汽车电子业者有警告意义。

不过，该文未提及用硬件集中于方案也可实现对象相校验的刹车系统（这二种方案成本差异将会过于大）。此时由于通信有较小有所不同，交互一致性问题不会不一样，再加其他因素，它们的好坏尚待研究。但最少分布式相校验刹车系统是一个最合适方案。

参考文献［1］十分阐述地提到了掌控方案，未谈到技术细节以及使用的协议。本文将根据交互一致性的理论，对实行这类应用于中有可能遇上的问题展开分析。

　　1SM算法　　对交互一致性的研究早已有30年了，它被称作拜占庭将军问题算法（ByzentineGeneralsProblem）。完整文献有2个版本［23］，1980年的文章提到很多，但是普遍认为很难背诵［4］。

原本的辩论是针对点对点通信展开的，本文根据对参考文献［3］的解读，针对总线方式通信加以进行，这不会引进作者的观点。参考文献［3］明确提出：一个校验系统的所有无错节点应当使用某种程度的输出（这样才能产生某种程度的输入）；如果输出系统到底，就应当使用输出的值（这样才能产生准确的输入）。参考文献［3］获取了二种解决问题算法：一是口传消息算法OM（OralMessageAlgorithm），二是亲笔签名消息算法SM（SignedMessageAlgorithm）。对允许m个错而言，OM算法必须3m+1个节点以及m+1轮消息传输，SM必须m+2个节点和m+1轮消息传输。

这是2种原理与性能有相当大差异的算法。OM算法依赖消息自述与投票表决来确认从节点的输出，当无法展开投票表决时要采行预计义的缺省输出。当主节点有拜占庭错且错值占多数时，无错的从节点间观点虽是完全一致的，但是是不准确的。

SM算法依赖逐层检验与反复发送，可以找到各节点（还包括主节点）的错，而且只要有一次准确接到就可以了。由于性能好且必须的从节点数较较少，SM有一点更进一步探究。下面以总线通信时的情况来讲解SM的作法。

　　①对必须互相交换数据并确保完全一致的n=m+2个节点而言，可将问题不作分解成，每个节点可轮流作为主节点对其他节点传输消息，实行SM算法。　　②每个通信帧所含两部分内容：数据d和与d有关的亲笔签名a。根据参考文献［3］，亲笔签名要不被推卸责任节点作伪，应当各节点各不相同且每次都有所不同。

笔者指出根据工业应用于可以不这样拒绝，参见后文。　　③通信各轮的帧内容如下：　　第1轮，主节点放自己的数据与亲笔签名（d:a0）;　　第2轮，各从节点发送由第1轮接到的帧加上自己的亲笔签名（（d:a0）：aj），其中（j=1，，n-1）;　　以后各轮，各从节点发送由上一轮接到的帧加上自己的亲笔签名（（（（d:a0）：aj））：ar），其中（j，，r{1，，n-1};jr），也就是说早已经过本从节点发送的内容仍然发送。　　由于是通过总线广播而不是点到点通信，通信量只要计算出来有所不同的帧的个数就可以：N=1+（n-1）+（n-1）2+。

总的通信轮数为m+1。　　④每个从节点留存一个供选择的集choice，初始化时为空：choice{}。choice的改版可在m+1轮通信完结之后展开。

改版时再行检验亲笔签名的有效性，只有仅有为有效地的才可把该帧的d加到到choice中，如果choice中有数，就不反复加到。点对点通信按参考文献［3］的作法，经常出现主节点错时choice不会有多个元素，总线通信时主节点的亲笔签名计算出来只有一次，按本文作法（见下文）choice只不会有一个元素（真值或空）。　　⑤参考文献［3］证明了在下列假设获得确保的条件下所有无故障从节点不会获得完全相同的choice：　　A1发送到的消息总能准确递送；　　A2每个节点告诉谁在发送到；　　A3消息的缺陷可以检测出来；　　A4亲笔签名无法被作伪，作伪时可检测出来；　　任何从节点能检测出有亲笔签名否有拢。　　SM算法的有效性与此有关，通信时再次发生错帧漏检的情况相等于再次发生一次拢，要在容错的次数设计上加以考虑到。

　　参考文献［3］建议了一个亲笔签名的方法例子，即用密钥ki对数据d算出亲笔签名a：a=（kid）modp，其中p是2的幂，ki是大于p的一个奇数，接管节点用另一个密钥ki-1检验：d=（ki-1a）modp。ki和ki-1有如下关系：（kiki-1）modp=1。这样，有拢节点能作伪的概率为1/p。这种方案作伪者要不告诉加密的办法才讫。

参考文献［3］指出拒绝更加贤的场合要使用密码学的方法。　　从工业应用于来看，有拢节点的作伪的可能性来源乃是电磁干扰，对人为的黑客攻击不应另外使用对付措施，所以可以使用较为简单常用的CRC校验和作为亲笔签名。留意，这个CRC校验和是应用于数据的校验和，不要混同于通信帧的校验和。

在校验系统里关心的是应用于数据的一致性，而应用于数据在MCU与通信控制器的传送过程中有可能错误，通信帧的CRC校验无法覆盖面积这一错。例如，应用于通过FlexRay的二个地下通道传输同一数据时，由于载入输入缓冲器的过程是天内的，如果其中一次受到阻碍，应用于数据与应用于CRC（亲笔签名）仍然给定，那么接管方将能找到应用于数据的传输错而加以弃置。　　在总线广播通信中，由于各节点不受阻碍请况的有所不同，它们有可能接管到有所不同的帧，一旦又再次发生了错帧漏检，那么就不会再次发生一个节点给其他节点送来有所不同值的情况，这与点到点通信的情况一样，是一种拜占庭拢。同时，发送过程又牵涉到MCU与通信控制器的传送过程，其中也不会再次发生拢，所以发送过程也用数据特亲笔签名的方式。

例如节点p在第3轮接到帧（（（d:a0）：aj）：ai）时，检验ai的亲笔签名否准确，如果拢，那么在节点j到i的发送通信中有错。如无错，之后对（（d:a0）：aj）作aj亲笔签名的检验，如果拢，那么在节点0到j的发送通信中有错。

如无错，再对（d:a0）作a0亲笔签名的检验，如果拢，那么在节点0的MCU与节点0的通信控制器通信中再次发生了错，或者它在计算出来亲笔签名时再次发生了错。　　并未通过亲笔签名检验的数据将不递交到choice，如果主节点无错，从节点有m+1个，那么在第一轮中最少有一个从节点准确接到，在以后各轮中其他有拢节点的发送将会影响这个节点的choice。现在可以找到SM算法的一个有意思的特性：如果某些从节点只是再次发生了瞬时故障，由于无错节点的发送，它依然有机会获得完全相同的choice。

　　由于使用总线广播，主节点可以接到被发送的自己的帧，因此可以展开自检。若全部发送完结后自检不通过，就可以采行更进一步的措施，例如本节点重算亲笔签名并写出通信控制器，或者立刻转入故障-静默模式。

　　SM算法假设帧的遗失可以检测出来，这要靠外加的超时报警单元。一旦时间窗口重开，各节点就根据已接到的各帧展开choice的改版工作。　　一次SM算法完结后就可指出将开始新的一次SM算法，也就可以初始化choice。

如果将每一个节点开始发本节点数据的次序相同下来，并将以前节点开始放发送的时刻来预置本地定时器，那么在预计的时间窗口内上一节点因故障而并未发送的错误可以被找到。上一节点发送完结的信号或时限到能用来启动时本节点开始发送。

本文关键词：OD·体育,OD体育官网下载,od网页版入口登录,od体育在线下载官网,od体育app官方网站入口

本文来源：OD·体育-www.naslllj.cn