热门点击
随便看看
来源:职称阁分类:电子论文 时间:2020-11-14 09:28热度:
在安全计算机平台中,设计安全可靠的镜像远程在线更新软件,采用可变端口号TFTP协议,实现了下位机通信单元的远程通信和并行转发;结合IAP编程技术以及模式切换、内存缓冲、CRC校验等,实现了目标机板卡的镜像在线更新。目前具备该远程更新功能的安全计算机平台已在实际产品中得到验证和应用,更新速度快且便捷可靠。
关键词:远程更新;安全计算机平台;简单文件传输协议;在应用编程技术
安全计算机平台是一种故障导向安全的底层平台,具有良好的通用性。在不改变硬件和核心软件的基础上,仅通过应用软件开发和硬件配置,就能构建不同的应用系统,是铁路信号系统的核心组成部分。铁路信号系统投入使用后,难免遇到功能扩展和软件缺陷,需要进行软件更新。目前最常用方法是通过烧录器更新,需要维护人员到达目标机现场,先停止系统运行,再逐块拆卸目标机,连接烧录器进行软件更新,更新速度慢,而且人工操作复杂繁琐,容易导致遗漏或错误,不利于软件版本的管理。另外,铁路信号系统维护作业时间紧迫,且有诸多限制,有些信号系统目标机数目众多,或位于超低温、高海拔等恶劣环境,维护升级成本和难度都非常高。针对上述问题,设计一种安全可靠的镜像远程在线更新软件。与传统软件更新方法相比,维护人员可以通过网络,对批量目标机软件镜像进行远程在线更新,更新操作便捷可靠,大幅提高更新速度,降低维护难度和成本。
1设计思路
1.1安全计算机平台结构
若进行软件远程在线更新,首先需要了解安全计算机平台的系统结构,如图1所示。典型平台采用二乘二取二的安全冗余架构,由通信单元和执行单元构成,每个单元采用相同的硬件结构,由2个通道(CH_A和CH_B)分别独立运算后,进行结果表决,并使用2个通信单元构成双机热备。通信单元负责对外通信,通过以太网(100Mb/s带宽)与其他信号设备进行安全通信,与维护设备进行非安全通信;执行单元负责与通信单元交互信息,进而控制被控对象。各单元间通过系统内部高速CAN总线(1Mb/s)进行通信。对安全计算机平台集成上层应用,可以构成完整的信号系统板卡,完成对被控对象的控制。
1.2远程在线更新原理
带有对外网络接口的通信单元,可以通过以太网接收所有相关信息,通信单元解析但不存储这些信息,只是将对应的信息通过系统内部总线,透传给各个目标机,使不带网络接口的设备也可以间接接收到网络信息。各目标机(通信单元以及执行单元)接收信息后,通过IAP(在应用编程)技术,实现自身软件镜像在线更新。将应用软件和安全计算机平台库文件进行编译链接,生成可执行镜像文件。该镜像文件烧写在板卡Flash(快闪存储器)的指定扇区,即实现板卡的软件下载。板卡上电后,将程序自动加载至片内RAM(随机存储器)或片外SDRAM(同步动态随机存取内存)上运行。对第一次出厂的新板卡,需要通过烧录器进行镜像文件下载,完成首次烧录后,板卡就具备了在线更新功能,可在运行过程中对外部更新维护工具发来的信息进行解析操作。在接收到新镜像文件后,通过IAP技术将新镜像文件烧录到板卡对应的Flash扇区。镜像文件的流向示意图如图2所示。
2方法设计
2.1通信单元通信转发
通信单元需实现远程通信和路由转发功能。安全计算机平台和更新维护工具通过以太网进行通信,应用层采用TFTP(简单文件传输)协议。安全计算机平台作为TFTP的服务器端,接收更新维护工具请求,各单元间通过CAN总线通信。CAN总线上的每个节点具有唯一的节点号(Node_ID),可用于确定目标机.为了将来自外部更新维护工具的TFTP请求路由转发给目标机,并将目标机的TFTP回复路由,转发给外部更新维护工具,设计了一种可变端口号的TFTP协议,即将标准TFTP协议中固定端口号69,改为与CAN总线节点号(Node_ID)相关的可变端口号,并通过CAN总线进行端口号1024+20×Node_ID与更新维护工具的交互。对于在以太网上收到的消息,如果目的端口等于1024+20×Node_ID,则将该消息转发到节点号为Node_ID的目标机上;对于来自节点号为Node_ID的目标机消息,则将源端口置为1024+20×Node_ID,转发给更新维护工具。当在以太网上收到多条信息时,可通过区分目的端口号,并行转发给多个目标机节点。对于来自多个目标机节点的信息,通过添加Node_ID相关的源端口号,可以并行转发给上位机维护工具,从而实现了目标机并行批量远程更新。可变端口号TFTP协议通信过程如图3所示。1)写流程:客户端向服务器端发写请求包WRQ(1024+20×Node_ID);服务器端在收到写请求后,解析目的端口号,转发给对应目标机节点;目标机节点回复确认包ACK,服务器端添加对应源端口号ACK(1024+20×Node_ID);客户端在收到确认包后,向服务器端发送数据包DATA(1024+20×Node_ID);服务器端收到数据包后,向客户端回复确认包。2)读流程:客户端向服务器端发读请求包RRQ(1024+20×Node_ID);服务器端在收到读请求后,解析目的端口号,转发给对应目标机节点;目标机节点向客户端发送数据包DATA,服务器端添加对应源端口号DATA(1024+20×Node_ID);客户端在收到数据包后,向服务器端回复确认包。
2.2目标机在线更新设计
系统更新过程中可能会出现断电、网络中断等异常情况,造成更新出错。由于更新内容为镜像文件,一旦带错升级会导致系统瘫痪。本文的更新对象为安全计算机平台系统,必须保证系统安全。因此需进行如下安全性设计。通过设置远程更新标志位,控制板卡功能模式切换,使远程更新过程在远程更新模式下进行,该模式不对外安全输出。这样远程更新过程相对独立,更新过程出错不影响主程序的安全输出。1)通过向应用开放激活/禁用远程更新接口,保证应用可以根据其特殊安全要求,决定是否开启远程更新功能。2)对镜像文件进行分块传输,传输内容携带块号信息,设置每个分块的更新状态,确保一块完成后,再传输下一块。通过该设计可以尽早发现大容量镜像文件在传输中的错误,避免无效更新。3)将镜像文件分块先写入内存缓冲区,所有镜像分块在内存缓冲区更新完成,经双通道循环冗余校验(CRC)后,再覆盖Flash中的旧镜像。内存缓冲区的设计保证了传输过程中的错误不会破坏旧镜像文件。在出错情况下,支持回退到旧镜像或重新上传新镜像。镜像文件CRC校验技术可以保证镜像文件正确完整,双通道二取二校验结果,可以防止单一故障失效,进一步提高系统安全性和可靠性。
3更新流程
步骤1,板卡上电后,将程序自动加载至片内RAM或片外SDRAM运行。步骤2,Flash中的远程更新标志如果处于破坏状态,说明上次远程更新过程失败,则跳转到远程更新模式,否则跳转到正常模式。步骤3,接收到更新维护工具初始化请求时,打开会话,回复会话号(后续步骤都在该会话下进行);向更新维护工具回复自身信息,包括单元ID、功能模式、应用是否允许进行远程更新;更新维护工具据此发送请求远程更新命令,或上传镜像分块命令。步骤4,收到请求远程更新命令时,若应用允许远程更新,则破坏远程更新标志,跳转到远程更新模式。步骤5,收到上传镜像分块命令时,校验其块号信息,双通道校验通过后,将收到的每块镜像数据顺次存放进内存缓冲区中,并更新内存指针和操作状态。该步骤循环执行直到接收到最后一个镜像分块。针对第一块镜像,清空内存区,内存指针归0。如果远程更新过程失败,可以维持在原状态,重新接收镜像分块。若此时重启板卡,内存缓冲区中数据失效,加载的仍为Flash中的旧镜像文件,在步骤2跳转到远程更新模式,实现镜像重新上传。配合恢复远程更新标志操作,在步骤2跳转到正常模式,实现版本回退。步骤6,收到上传镜像CRC命令时,计算内存缓冲区镜像CRC,并与上传的CRC进行比较,双通道都校验通过后覆盖旧镜像,最后恢复远程更新标志,自动重启。重启后加载的为Flash中的新镜像文件,在步骤2跳转到正常模式。其中,所有与更新维护工具间的信息交互都通过通信单元转发。目标机板卡在网络中断或收不到更新维护工具请求时,维持原状态,更新维护工具则根据当前操作状态,决定下一步操作或终止更新。
4应用场景
上述远程更新方法支持以下几种应用场景。1)单独更新一块执行单元目标机,完成更新流程即可。2)单独更新一块通信单元目标机时,若为备用通信单元,完成更新流程即可;若为主用通信单元,在目标机进入远程更新模式时,发生主备切换,原备用通信单元升级为主通信单元,所有执行单元板卡可正常运行。3)批量更新多块执行单元目标机时,即为多块执行单元并行更新。4)批量更新通信单元目标机时,2块通信单元并行更新,进入远程更新模式时,所有执行单元板卡先进入限制态模式(不对外输出安全数据的一种功能模式),然后自动重启;在启动阶段等待通信单元更新完成重启后,再一起运行。5)批量更新所有目标机时,所有目标机并行更新,执行单元更新完成后在启动阶段等待通信单元更新完成重启后,再一起运行。
5结束语
针对安全计算机平台系统,设计并实现了软件镜像的远程更新。通信单元通过可变端口号TFTP协议,实现与更新维护工具交互信息,以及对目标机信息的并行转发;目标机节点通过IAP技术,实现镜像文件在线更新,同时通过切换功能模式,保证远程更新过程不影响安全输出;通过内存缓冲区设计,支持传输出错时版本回退或重新上传;通过镜像分块设计,提高传输效率;通过双通道校验镜像CRC,确保镜像文件正确完整。目前,具备该远程更新功能的安全计算机平台已应用于实际产品中,经验证,其远程更新操作便捷、可靠,能够降低维护难度和成本。
作者:耿佳灿 耿进龙 赵丽萍 张立鹏
文章名称:计算机平台镜像远程更新软件设计
文章地址:http://www.zhichengg.com/dzlw/17586.html
上一篇:自动化工作面采煤机自动截割
下一篇:移动WEB开发技术在商务网站建设的应用
SCISSCIEISCOPUS
