d*****l
发帖数: 8441 | 1 这次温州动车事故,已经有北京的信号设备设计单位道歉了。
估计就是对重启动初始化的情况考虑不够,导致其实现的有限状态自动机模型里面漏掉了
一个极端(极小概率)状态:即备份系统初始启动的时候到底是输出红灯还是绿灯应该由
从被取代故障系统失效之后所发生的情况来决定,确实是挺复杂的,跟Windows重启时候
提示用户到底是“Continue Resume"还是完全重启差不多,机器很难判断的,需要提示。
如果是区间内无车,可以初始化为绿灯,这是最简单最常见的状态;但如果新备份设备
重启
时,区间内已经处于非常站控,在这种状态下就复杂了,得根据区间内有无车辆、多少
车辆
来判决。单单让信号系统刚恢复工作就要判断有无车辆在区间内就够复杂的了。。。 |
a***y
发帖数: 2803 | 2 关键技术还是要引进撒.
掉了
该由
时候
示。
【在 d*****l 的大作中提到】
: 这次温州动车事故,已经有北京的信号设备设计单位道歉了。
: 估计就是对重启动初始化的情况考虑不够,导致其实现的有限状态自动机模型里面漏掉了
: 一个极端(极小概率)状态:即备份系统初始启动的时候到底是输出红灯还是绿灯应该由
: 从被取代故障系统失效之后所发生的情况来决定,确实是挺复杂的,跟Windows重启时候
: 提示用户到底是“Continue Resume"还是完全重启差不多,机器很难判断的,需要提示。
: 如果是区间内无车,可以初始化为绿灯,这是最简单最常见的状态;但如果新备份设备
: 重启
: 时,区间内已经处于非常站控,在这种状态下就复杂了,得根据区间内有无车辆、多少
: 车辆
: 来判决。单单让信号系统刚恢复工作就要判断有无车辆在区间内就够复杂的了。。。
|
h********n
发帖数: 1671 | 3 系统初始化的时候,信号必须是红灯,并且这必须是由硬件强行设置的,就算这时系统
软件给出的是绿灯也不管用。直到系统启动后转入正常运行,收集到足够的信息可以决
定正确的信号的时候,管理复位的硬件才会把管理权交给系统程序。所以备份系统初始
化程序完全不用操这个心。如果出了问题,也是负责强行复位的硬件没有设计好,和备
份系统初始化程序没有关系。 |
c****p
发帖数: 6474 | 4 re
【在 h********n 的大作中提到】
: 系统初始化的时候,信号必须是红灯,并且这必须是由硬件强行设置的,就算这时系统
: 软件给出的是绿灯也不管用。直到系统启动后转入正常运行,收集到足够的信息可以决
: 定正确的信号的时候,管理复位的硬件才会把管理权交给系统程序。所以备份系统初始
: 化程序完全不用操这个心。如果出了问题,也是负责强行复位的硬件没有设计好,和备
: 份系统初始化程序没有关系。
|
O*******d
发帖数: 20343 | 5 国内的这种需要极大安全系数的软件是否有认证过程? |
O*******d
发帖数: 20343 | 6 美国的飞机航电的软件认证过程是一个非常复杂,花费高昂,极费时间的过程。但可以
在很大程度上保证飞机的安全运行。 国内也需要这种过程。 |
d*****l
发帖数: 8441 | 7 铁道部副部长陆东福已经承认是软件问题不是硬件电路问题了。
【在 h********n 的大作中提到】
: 系统初始化的时候,信号必须是红灯,并且这必须是由硬件强行设置的,就算这时系统
: 软件给出的是绿灯也不管用。直到系统启动后转入正常运行,收集到足够的信息可以决
: 定正确的信号的时候,管理复位的硬件才会把管理权交给系统程序。所以备份系统初始
: 化程序完全不用操这个心。如果出了问题,也是负责强行复位的硬件没有设计好,和备
: 份系统初始化程序没有关系。
|
h********n
发帖数: 1671 | 8 且不说事故真正原因不可能这么快就查出来,就说软件问题,就一定是重启动初始化的
软件的问题?既然知道这时候该输出红灯还是绿灯很难判断,就压根不应该去作这个判
断,而是必须强制红灯,直到所有输入输出信号就位,这是任何带处理器系统的硬件的
设计常识。这不是Windows重启提示Continue还是Resume这么简单的,这是要出人命的
。如果最后查出来信号系统设计人员和你的想法一样,在这个时候去根据“复杂的情况
”试图判断该输出什么信号,就不难理解为什么会发生这样的事故了。
【在 d*****l 的大作中提到】
: 铁道部副部长陆东福已经承认是软件问题不是硬件电路问题了。
|
a***y
发帖数: 2803 | 9 可见qa的重要性.测试软件的时候要想到每一种可能出现的特殊情况.
掉了
该由
时候
示。
【在 d*****l 的大作中提到】
: 这次温州动车事故,已经有北京的信号设备设计单位道歉了。
: 估计就是对重启动初始化的情况考虑不够,导致其实现的有限状态自动机模型里面漏掉了
: 一个极端(极小概率)状态:即备份系统初始启动的时候到底是输出红灯还是绿灯应该由
: 从被取代故障系统失效之后所发生的情况来决定,确实是挺复杂的,跟Windows重启时候
: 提示用户到底是“Continue Resume"还是完全重启差不多,机器很难判断的,需要提示。
: 如果是区间内无车,可以初始化为绿灯,这是最简单最常见的状态;但如果新备份设备
: 重启
: 时,区间内已经处于非常站控,在这种状态下就复杂了,得根据区间内有无车辆、多少
: 车辆
: 来判决。单单让信号系统刚恢复工作就要判断有无车辆在区间内就够复杂的了。。。
|
s****n
发帖数: 2305 | 10 这个靠谱,系统不能一上来就当没事啊
就和路口红绿灯一样,坏了的时候4个方向都是红灯,还是闪烁着,如果都是绿灯那就
麻烦了
【在 h********n 的大作中提到】
: 系统初始化的时候,信号必须是红灯,并且这必须是由硬件强行设置的,就算这时系统
: 软件给出的是绿灯也不管用。直到系统启动后转入正常运行,收集到足够的信息可以决
: 定正确的信号的时候,管理复位的硬件才会把管理权交给系统程序。所以备份系统初始
: 化程序完全不用操这个心。如果出了问题,也是负责强行复位的硬件没有设计好,和备
: 份系统初始化程序没有关系。
|
|
|
t****3
发帖数: 2337 | 11 什么软件问题,其实就是硬件问题,搞过工控机的都知道系统瘫痪的情况下要有看门狗
来执行输出信号,比方说常态是红灯,定时时间内接到特定脉冲是绿灯,超时立刻换回
常态红灯。瘫痪或重启时没有特定脉冲给看门狗,立刻红灯。 |
y*****n
发帖数: 11251 | 12 这个不好偷。偷得到程序,偷不到流程。
【在 O*******d 的大作中提到】
: 美国的飞机航电的软件认证过程是一个非常复杂,花费高昂,极费时间的过程。但可以
: 在很大程度上保证飞机的安全运行。 国内也需要这种过程。
|
r****y
发帖数: 26819 | 13 这不用偷吧。我觉得国内还是自己没把标准提上去,要是提到卫星国防的标准,这种问题
根本不在话下。
【在 y*****n 的大作中提到】
: 这个不好偷。偷得到程序,偷不到流程。
|
y*****n
发帖数: 11251 | 14 你以为中国现行制度能搞系统安全机制?一个安全机制是长期结果,中国现在就要见笑
快的。
能够见效快又比较安全的办法就是去偷一个别人现成的。
问题
【在 r****y 的大作中提到】
: 这不用偷吧。我觉得国内还是自己没把标准提上去,要是提到卫星国防的标准,这种问题
: 根本不在话下。
|
d*****l
发帖数: 8441 | 15 Don't give too much regard to the software designers in this respect.
Nothing is impossible for regular programmers. For the program designers,
he could only achieve what was required out of him from the specifications.
I wonder even the railway department made the requirements as clear as
possible from the beginning in this respect.
【在 h********n 的大作中提到】
: 且不说事故真正原因不可能这么快就查出来,就说软件问题,就一定是重启动初始化的
: 软件的问题?既然知道这时候该输出红灯还是绿灯很难判断,就压根不应该去作这个判
: 断,而是必须强制红灯,直到所有输入输出信号就位,这是任何带处理器系统的硬件的
: 设计常识。这不是Windows重启提示Continue还是Resume这么简单的,这是要出人命的
: 。如果最后查出来信号系统设计人员和你的想法一样,在这个时候去根据“复杂的情况
: ”试图判断该输出什么信号,就不难理解为什么会发生这样的事故了。
|
d*****l
发帖数: 8441 | 16 No dog could survive a thunder bolt attack.
【在 t****3 的大作中提到】
: 什么软件问题,其实就是硬件问题,搞过工控机的都知道系统瘫痪的情况下要有看门狗
: 来执行输出信号,比方说常态是红灯,定时时间内接到特定脉冲是绿灯,超时立刻换回
: 常态红灯。瘫痪或重启时没有特定脉冲给看门狗,立刻红灯。
|
r****y
发帖数: 26819 | 17 中国现在也没法短时间偷来一个更好的啊
要快,还是得提高标准和等级自己做吧
【在 y*****n 的大作中提到】
: 你以为中国现行制度能搞系统安全机制?一个安全机制是长期结果,中国现在就要见笑
: 快的。
: 能够见效快又比较安全的办法就是去偷一个别人现成的。
:
: 问题
|
y*****n
发帖数: 11251 | 18 安全的东西本来就不是能快的。你可以把能想到的东西一天做出来,老天可不一定把你
想不到的东西
一天都给你展示一边。
【在 r****y 的大作中提到】
: 中国现在也没法短时间偷来一个更好的啊
: 要快,还是得提高标准和等级自己做吧
|
h********n
发帖数: 1671 | 19 做还是要自己做的,但是需要长时间改进的过程,技术上要连续渐进,这不是能“跨越
”的事。许多人就爱走两个极端,一说独立自主就搞大跃进,一说引进就把自主技术全
都丢一边,还要说得一钱不值。中国的科研要是能一直坚持不断地搞下来,这几十年能
出不少东西了。可惜就是一阵子跃进,一阵子引进,光折腾了。 |
