使用cots組件的容錯故障安全計算機系統(tǒng)的制作方法
【技術領域】
[0001]本公開內(nèi)容涉及容錯故障安全計算機系統(tǒng)��。
【背景技術】
[0002]該部分提供與本公開內(nèi)容相關的背景信息��,該背景信息不一定是現(xiàn)有技術��。
[0003]本文提供的背景描述是為了概括地呈現(xiàn)本公開內(nèi)容的背景���。當前命名的發(fā)明人的工作,就其在該背景部分中描述的范圍以及不可能另外成為提交時的現(xiàn)有技術的描述的方面而言�,既不明確地也不隱含地被認為是相對于本公開內(nèi)容的現(xiàn)有技術。
[0004]外部安全系統(tǒng)�,如軌道系統(tǒng),可以包括被配置為實現(xiàn)安全應用的容錯故障安全計算機系統(tǒng)��。該容錯故障安全計算機系統(tǒng)可以包括多個硬件組件����,該多個硬件組件以電氣方式和以邏輯方式聯(lián)接來實現(xiàn)安全應用����。安全應用選擇性地與安全臨界硬件和軟件通信�。將安全臨界硬件和軟件配置為控制軌道系統(tǒng)的安全相關功能。
[0005]例如,在軌道系統(tǒng)上行駛的火車包括制動系統(tǒng)���。該制動系統(tǒng)配置為實現(xiàn)至少一個安全相關功能��,如制動功能�。該制動系統(tǒng)包括制動器和被配置為對該制動器進行促動的軟件�����。該軟件接收指令來對該制動器進行促動�����。例如�,火車的駕駛員可以操作制動系統(tǒng)用戶界面,以指示該軟件對該制動器進行促動���。該軌道系統(tǒng)的錯誤組件可以定期地生成差錯指令來對該制動器進行促動���。相應地�,被配置為驗證由外部安全系統(tǒng)接收的指令的容錯故障安全計算機系統(tǒng)是期望的���。
【發(fā)明內(nèi)容】
[0006]該部分提供本公開內(nèi)容的一般概括��,并且不是本公開內(nèi)容的全部范圍或本公開內(nèi)容的全部特征的全面公開����。
[0007]一種系統(tǒng)包括安全相關組件�,所述安全相關組件響應于接收執(zhí)行任務的請求生成數(shù)據(jù)分組并且傳遞所述數(shù)據(jù)分組。所述系統(tǒng)進一步包括第一故障安全底架(FSC)��,該第一故障安全底架連續(xù)地生成第一底架健康信號��,確定所述數(shù)據(jù)分組是否有效����,并且基于該確定選擇性地確定是否使所述第一底架健康信號失效�����。該系統(tǒng)還包括第二 FSC����,該第二 FSC連續(xù)地生成第二底架健康信號�,確定所述數(shù)據(jù)分組的復本是否有效��,并且基于該確定選擇性地確定是否使所述第二底架健康信號失效����。該系統(tǒng)進一步包括安全繼電器箱模塊,該安全繼電器箱模塊基于所述第一底架健康信號和所述第二底架健康信號確定是否指示所述第一FSC在預確定的模式下操作���。
[0008]在其它特征中���,一種方法包括:響應于接收執(zhí)行任務的請求,生成數(shù)據(jù)分組��;傳遞所述數(shù)據(jù)分組��;連續(xù)地生成第一底架健康信號����;確定所述數(shù)據(jù)分組是否有效;基于該確定選擇性地確定是否使所述第一底架健康信號失效�;連續(xù)地生成第二底架健康信號;確定所述數(shù)據(jù)分組的復本是否有效�;基于該確定選擇性地確定是否使所述第二底架健康信號失效�����;以及基于所述第一底架健康信號和所述第二底架健康信號����,確定是否指示第一 FSC在預確定的模式下操作���。
[0009]適用性的進一步方面將從本文提供的描述中變得明顯�。該
【發(fā)明內(nèi)容】
中的描述和特定示例旨在僅用于說明目的��,而不旨在限制本公開的范圍���。
【附圖說明】
[0010]本文描述的附圖僅用于所選擇實施例的說明用途����,而不是用于所有可能的實現(xiàn)�����,并且不旨在限制本公開的范圍���。
[0011]圖1是根據(jù)本公開內(nèi)容原理的容錯故障安全計算機系統(tǒng)的功能框圖����;
[0012]圖2是根據(jù)本公開內(nèi)容原理的故障安全底架的功能框圖�;以及
[0013]圖3是圖示根據(jù)本公開內(nèi)容原理的容錯故障安全計算機的操作方法的流程圖。
[0014]在附圖的若干圖中�,相對應的附圖標記始終表不相對應的部分。
【具體實施方式】
[0015]現(xiàn)在將參考附圖更全面地描述示例實施例����。
[0016]現(xiàn)在參考圖1,示出示例性容錯故障安全計算機系統(tǒng)100的功能框圖�。將系統(tǒng)100布置為與安全應用交互。例如���,作為非限定示例���,將系統(tǒng)100布置為與安全臨界硬件和軟件關聯(lián)軌道系統(tǒng)通信。安全臨界硬件和軟件控制軌道系統(tǒng)的安全相關組件��。例如���,安全臨界硬件可以聯(lián)接至在軌道系統(tǒng)上操作的列車的制動系統(tǒng)�����。進一步�����,系統(tǒng)100也許能夠根據(jù)工業(yè)認可的安全標準被驗證�����。
[0017]安全臨界硬件從安全臨界軟件接收數(shù)據(jù)元素����,以促動制動系統(tǒng)的制動器。系統(tǒng)100與安全臨界硬件和軟件交互����,以保證安全臨界硬件和軟件正根據(jù)預確定的操作標準操作。要理解��,盡管僅描述列車的制動系統(tǒng)����,但是本公開的原理適用于任何安全臨界硬件和軟件。用于本文描述的實施例的其它可能應用包括但不限于:飛機系統(tǒng)的組件���、醫(yī)學治療系統(tǒng)的組件���、油和氣控制系統(tǒng)的組件、智能電網(wǎng)系統(tǒng)的組件�、以及各種制造系統(tǒng)的組件。
[0018]在一些實現(xiàn)中��,系統(tǒng)100從外部安全系統(tǒng)(如軌道系統(tǒng))接收多個進入數(shù)據(jù)分組���。將系統(tǒng)100配置為處理多個進入數(shù)據(jù)分組�����,并且將多個外出數(shù)據(jù)分組傳遞給外部安全系統(tǒng)的安全相關組件�����。例如����,系統(tǒng)100確定多個進入數(shù)據(jù)分組中的第一分組是否是有效分組�。當系統(tǒng)100確定第一分組是有效分組時,系統(tǒng)100將外出分組傳遞給軌道系統(tǒng)的至少一個安全相關組件�����。
[0019]第一分組包括要由軌道系統(tǒng)的至少一個安全相關組件行動的數(shù)據(jù)元素。數(shù)據(jù)元素可以包括傳感器數(shù)據(jù)和/或輸入/輸出(I/o)點狀態(tài)����。該至少一個安全相關組件可以是與在軌道系統(tǒng)上行駛的列車聯(lián)接的制動器。要理解�����,盡管僅描述外部安全系統(tǒng)的安全相關組件�����,但是第一分組可以包括要由外部安全系統(tǒng)的非安全相關組件行動的數(shù)據(jù)元素��。根據(jù)傳輸協(xié)議對數(shù)據(jù)元素進行格式編排����。例如,將軌道系統(tǒng)配置為根據(jù)預確定的封裝標準將數(shù)據(jù)元素封裝為可傳輸?shù)姆纸M����。然后,軌道系統(tǒng)根據(jù)傳輸協(xié)議傳輸多個進入數(shù)據(jù)分組�����。
[0020]將系統(tǒng)100布置為接收根據(jù)傳輸協(xié)議傳輸?shù)姆纸M。進一步�����,將系統(tǒng)100配置為解釋預確定的封裝標準���。然后,系統(tǒng)100從第一分組中提取數(shù)據(jù)元素����,并且基于數(shù)據(jù)元素生成外出數(shù)據(jù)分組。外出數(shù)據(jù)分組包括基于數(shù)據(jù)元素的一組指令��。盡管僅討論指令�����,但是外出數(shù)據(jù)分組還可以包括控制I/o的操作指令�、讀取輸入來搜集信息的請求、健康消息通信�����、對中間過程通信的請求、或其它適合的元素���。該組指令包括至少一個指令���,該至少一個指令指示安全臨界硬件和軟件中至少之一運行過程。
[0021]例如��,該組指令可以指示安全臨界軟件運行制動過程�。制動過程包括硬件制動指令。將硬件制動指令傳遞給安全臨界硬件�����。安全臨界硬件運行制動指令���。例如�����,安全臨界硬件施加制動��。
[0022]系統(tǒng)100確定是否要將外出數(shù)據(jù)分組和數(shù)據(jù)元素傳遞給安全臨界硬件和軟件����。例如,系統(tǒng)100保證多個進入數(shù)據(jù)分組中每個進入數(shù)據(jù)分組滿足預確定的安全標準�。預確定的安全標準包括確定軌道系統(tǒng)是否正根據(jù)一組預限定的操作標準操作。系統(tǒng)100驗證多個進入數(shù)據(jù)分組中每個數(shù)據(jù)分組是由軌道系統(tǒng)100有意傳輸?shù)?�。僅例如�����,軌道系統(tǒng)可以傳遞由軌道系統(tǒng)內(nèi)的硬件或軟件錯誤引起的差錯進入數(shù)據(jù)分組��。
[0023]安全臨界硬件和軟件響應于來自軌道系統(tǒng)的操作者的命令接收多個進入數(shù)據(jù)分組中的第一分組�����。安全臨界硬件和軟件接收多個進入數(shù)據(jù)分組中由軌道系統(tǒng)中的錯誤引起的第二分組�����。僅作為非限定示例���,軌道系統(tǒng)中的錯誤可以包括硬件故障,如由對熱或潮濕的延長暴露引起的惡化電連接���。安全臨界硬件和軟件將包括第一分組和第二分組的多個進入數(shù)據(jù)分組傳遞至系統(tǒng)100�。將系統(tǒng)100配置為確定是否由于軌道系統(tǒng)中的錯誤而由安全臨界硬件和軟件接收多個進入數(shù)據(jù)分組中的每個數(shù)據(jù)分組。
[0024]當系統(tǒng)100確定響應于來自操作者的命令接收多個進入數(shù)據(jù)分組之一時����,系統(tǒng)100生成與所接收的進入數(shù)據(jù)分組對應的外出數(shù)據(jù)分組。例如�����,系統(tǒng)100基于第一分組生成第一外出數(shù)據(jù)分組�。第一外出數(shù)據(jù)分組包括與第一分組內(nèi)的數(shù)據(jù)元素對應的一組指令。當系統(tǒng)100確定第一分組是有效分組時�����,系統(tǒng)100將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件��。例如���,系統(tǒng)100確定第一分組是響應于來自操作者的命令接收的����。系統(tǒng)100將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件���。安全臨界硬件和軟件運行在第一外出數(shù)據(jù)分組中包括的那組指令��。
[0025]相反�,當系統(tǒng)100確定多個進入數(shù)據(jù)分組之一是響應于軌道系統(tǒng)內(nèi)的錯誤接收的時,系統(tǒng)100不將外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件��。例如���,系統(tǒng)100確定第二分組是由于軌道系統(tǒng)中的錯誤的原因接收的���。系統(tǒng)100不將與第二分組對應的外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件。因此��,安全臨界硬件和軟件不運行與第二分組中包括的數(shù)據(jù)元素對應的指令��。
[0026]進一步����,系統(tǒng)100基于在軌道系統(tǒng)內(nèi)發(fā)生錯誤的確定�����,生成錯誤指示���。以此方式���,由安全臨界硬件和軟件運行的數(shù)據(jù)元素首先被系統(tǒng)100驗證���。該驗證保證軌道系統(tǒng)正根據(jù)預確定的安全標準操作。
[0027]在一些實現(xiàn)中���,系統(tǒng)100接收多個進入數(shù)據(jù)分組中的第一分組��。同時����,系統(tǒng)100接收多個進入數(shù)據(jù)分組中的第二分組����。然后,系統(tǒng)100對第一分組和第二分組運行表決邏輯�����?��?梢詫⒈頉Q邏輯實現(xiàn)為雙二選二(2002)系統(tǒng)�。下面更詳細地說明該2oo2表決邏輯����。系統(tǒng)100確定第一分組和第二分組是否相同��。當系統(tǒng)100確定第一分組和第二分組相同時���,系統(tǒng)100生成第一外出數(shù)據(jù)分組并且將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件的至少一個組件。
[0028]然后���,該至少一個組件運行在第一外出數(shù)據(jù)分組中包括的操作數(shù)據(jù)元素��。相反��,當?shù)谝环纸M和第二分組不相同時�,系統(tǒng)100將系統(tǒng)100或軌道系統(tǒng)的至少一個組件識別為有錯誤���。要理解���,盡管描述軌道系統(tǒng)�,但是本公開的原理適用于任何外部安全系統(tǒng)。
[0029]系統(tǒng)100還生成安全指示���。安全指示可以表示系統(tǒng)100或安全臨界硬件和軟件內(nèi)的故障�����。進一步���,系統(tǒng)100指示該至少一個組件在預確定的安全狀態(tài)下操作��。例如�����,安全狀態(tài)可以包括被布置為保持軌道系統(tǒng)的安全操作環(huán)境的一組安全狀態(tài)數(shù)據(jù)元素��。
[0030]安全狀態(tài)數(shù)據(jù)元素包括指示軌道系統(tǒng)在預確定的操作模式下操作����,該預確定的操作模式保證軌道系統(tǒng)的總體安全�����。僅例如�����,預確定的操作模式包括使在軌道系統(tǒng)上操作的列車停止。在一些實現(xiàn)中�����,安全狀態(tài)包括禁用所有安全相關的通信接口���。例如���,在安全狀態(tài)下操作的故障安全計算機不能夠與安全臨界硬件和軟件通信。以此方式��,在安全狀態(tài)下操作的故障安全計算機不能夠與不正確地指示安全臨界硬件和軟件���。
[0031]系統(tǒng)100包括活躍的故障安全底架(FSC) 104和待命FSC108���。為了提高系統(tǒng)100的可用性和可靠性,活躍FSC104和待命FSC108是冗余FSC�。例如,將活躍FSC104配置為運行待命FSC108的任何和全部操作��。以此方式�,當活躍FSC104和待命FSC108之一遇到硬件或軟件故障時,活躍FSC104和待命FSC108中另一個被配置為代替故障的FSC操作���。
[0032]活躍FSC104實現(xiàn)二選二(2oo2)表決體系結構����,該二選二表決體系結構檢測表決不匹配并且在發(fā)生表決不匹配時執(zhí)行故障安全操作�。2oo2表決體系結構包括雙冗余處理和表決子系統(tǒng)。冗余處理和表決子系統(tǒng)對進入或離開活躍FSC104的分組進行表決�����。例如�,活躍FSC104接收多個進入數(shù)據(jù)分組?���;钴SFSC104接收多個進入數(shù)據(jù)分組中第一分組的兩個復本。
[0033]活躍FSC104確定第一分組的有效性����。活躍FSC104基于第一分組是否有效的確定���,連續(xù)地生成第一健康狀態(tài)信號和第二健康狀態(tài)信號����。在一些實現(xiàn)中,連續(xù)地生成信號可以包括將該信號設置為第一預確定的值���。然后��,所連續(xù)生成的信號保持在該第一預確定的值����,直到將該信號失效為第二預