用于容錯故障安全計算機系統(tǒng)的基于任務(wù)的表決的制作方法
【技術(shù)領(lǐng)域】
[0001]本公開涉及容錯故障安全計算機系統(tǒng)。
【背景技術(shù)】
[0002]該部分提供與本公開相關(guān)的背景信息,該背景信息不一定是現(xiàn)有技術(shù)���。
[0003]本文提供的背景描述是為了概括地呈現(xiàn)本公開的背景�����。當前命名的發(fā)明人的工作�����,就其在該背景部分中描述的范圍以及不可能另外成為提交時的現(xiàn)有技術(shù)的描述的方面而言���,既不明確地也不隱含地被認為是相對于本公開的現(xiàn)有技術(shù)��。
[0004]外部安全系統(tǒng)�����,如軌道系統(tǒng)���,可以包括被配置為實現(xiàn)安全應(yīng)用的容錯故障安全計算機系統(tǒng)。該容錯故障安全計算機系統(tǒng)可以包括多個硬件組件�����,該多個硬件組件以電氣方式或以邏輯方式聯(lián)接來實現(xiàn)安全應(yīng)用�。安全應(yīng)用選擇性地與安全臨界硬件和軟件通信。將安全臨界硬件和軟件配置為控制軌道系統(tǒng)的安全相關(guān)功能���。
[0005]例如��,在軌道系統(tǒng)上行駛的火車包括制動系統(tǒng)�。將該制動系統(tǒng)配置為實現(xiàn)至少一個安全相關(guān)功能,如制動功能�����。該制動系統(tǒng)包括制動器和被配置為對該制動器進行促動的軟件�����。該軟件接收指令來對該制動器進行促動��。例如�����,火車的駕駛員可以操作制動系統(tǒng)用戶界面�����,以指示該軟件對該制動器進行促動��。該軌道系統(tǒng)的錯誤組件可以定期地生成差錯指令來對該制動器進行促動�����。相應(yīng)地�����,被配置為驗證由外部安全系統(tǒng)接收的指令的容錯故障安全計算機系統(tǒng)是期望的�。
【發(fā)明內(nèi)容】
[0006]該部分提供本公開的一般概括,并且不是本公開的全部范圍或本公開的全部特征的全面公開���。
[0007]—種系統(tǒng)包括:第一應(yīng)用���,該第一應(yīng)用在第一時鐘周期期間將多個第一任務(wù)寫至第一存儲器緩沖器;第二存儲器緩沖器�,該第二存儲器緩沖器在第二時鐘期間接收所述多個第一任務(wù)的復本;第二應(yīng)用�����,該第二應(yīng)用在所述第一時鐘周期期間將多個第二任務(wù)寫至第三存儲器緩沖器���;以及第四存儲器緩沖器��,所述第四存儲器緩沖器在所述第二時鐘周期期間接收所述多個第二任務(wù)的復本���。所述系統(tǒng)進一步包括:第一比較模塊,所述第一比較模塊接收所述多個第一任務(wù)中的第一任務(wù)和所述多個第二任務(wù)中的第二任務(wù)�,并且基于所述第一任務(wù)和所述第二任務(wù)之間的第一比較�,選擇性地生成第一表決信號���。
[0008]所述系統(tǒng)進一步包括:第二比較模塊����,所述第二比較模塊接收所述多個第一任務(wù)中的所述第一任務(wù)和所述多個第二任務(wù)中的所述第二任務(wù)�,并且基于所述第一任務(wù)和所述第二任務(wù)之間的第二比較,選擇性地生成第二表決信號���。所述系統(tǒng)進一步包括第一中央處理單兀(CPU),該第一中央處理單?��;谒龅谝槐頉Q信號和所述第二表決信號,選擇性地確定是否使模塊健康信號失效。
[0009]在其它特征中����,一種方法包括:在第一時鐘周期期間寫多個第一任務(wù);在第二時鐘周期期間拷貝所述多個第一任務(wù)��;在第一時鐘周期期間寫多個第二任務(wù)�����;在所述第二時鐘周期期間拷貝所述多個第二任務(wù)��;接收所述多個第一任務(wù)中的第一任務(wù)�;接收所述多個第二任務(wù)中的第二任務(wù);基于所述第一任務(wù)和所述第二任務(wù)之間的第一比較�����,選擇性地生成第一表決信號��;基于所述第一任務(wù)和所述第二任務(wù)之間的第二比較���,選擇性地生成第二表決信號��;基于所述第一表決信號和所述第二表決信號����,選擇性地確定是否使模塊健康信號失效�����。
[0010]其它應(yīng)用領(lǐng)域?qū)谋疚奶峁┑拿枋鲋凶兊们宄?。?br/>【發(fā)明內(nèi)容】
中的描述和特定示例旨在僅用于說明目的,而不旨在限制本公開的范圍��。
【附圖說明】
[0011]本文描述的圖僅用于所選擇實施例的說明用途����,而不是用于所有可能的實現(xiàn)���,并且不旨在限制本公開的范圍。
[0012]圖1是根據(jù)本公開原理的容錯故障安全計算機系統(tǒng)的功能框圖��;
[0013]圖2是根據(jù)本公開原理的故障安全底架的功能框圖��;
[0014]圖3是根據(jù)本公開原理的基于任務(wù)的表決系統(tǒng)的功能框圖�;以及
[0015]圖4是圖示根據(jù)本公開原理的基于任務(wù)的表決計算機的操作方法的流程圖。
[0016]在附圖的全部幾個圖中����,相對應(yīng)的附圖標記表示相對應(yīng)的部分。
【具體實施方式】
[0017]現(xiàn)在將參考附圖更全面地描述示例實施例���。
[0018]現(xiàn)在參考圖1�,示出示例性容錯故障安全計算機系統(tǒng)100的功能框圖����。將系統(tǒng)100布置為與安全應(yīng)用交互。例如�,作為非限定示例���,將系統(tǒng)100布置為與安全臨界硬件和軟件關(guān)聯(lián)軌道系統(tǒng)通信�����。安全臨界硬件和軟件控制軌道系統(tǒng)的安全相關(guān)組件���。例如����,安全臨界硬件可以聯(lián)接至在軌道系統(tǒng)上操作的列車的制動系統(tǒng)�。進一步,系統(tǒng)100也許能夠根據(jù)工業(yè)認可的安全標準被驗證�����。
[0019]安全臨界硬件從安全臨界軟件接收數(shù)據(jù)元素���,以促動制動系統(tǒng)的制動器�。系統(tǒng)100與安全臨界硬件和軟件交互�,以保證安全臨界硬件和軟件正根據(jù)預(yù)確定的操作標準操作。要理解�����,盡管僅描述列車的制動系統(tǒng),但是本公開的原理適用于任何安全臨界硬件和軟件�。用于本文描述的實施例的其它可能應(yīng)用包括但不限于:飛機系統(tǒng)的組件、醫(yī)學治療系統(tǒng)的組件�����、油和氣控制系統(tǒng)的組件����、智能電網(wǎng)系統(tǒng)的組件、以及各種制造系統(tǒng)的組件�。
[0020]在一些實現(xiàn)中,系統(tǒng)100從外部安全系統(tǒng)(如軌道系統(tǒng))接收多個進入數(shù)據(jù)分組��。將系統(tǒng)100配置為處理多個進入數(shù)據(jù)分組���,并且將多個外出數(shù)據(jù)分組傳遞給外部安全系統(tǒng)的安全相關(guān)組件����。例如�����,系統(tǒng)100確定多個進入數(shù)據(jù)分組中的第一分組是否是有效分組。當系統(tǒng)100確定第一分組是有效分組時�,系統(tǒng)100將外出分組傳遞給軌道系統(tǒng)的至少一個安全相關(guān)組件。
[0021]第一分組包括要由軌道系統(tǒng)的至少一個安全相關(guān)組件行動的數(shù)據(jù)元素����。數(shù)據(jù)元素可以包括傳感器數(shù)據(jù)和/或輸入/輸出(I/o)點狀態(tài)���。該至少一個安全相關(guān)組件可以是與在軌道系統(tǒng)上行駛的列車聯(lián)接的制動器����。要理解�,盡管僅描述外部安全系統(tǒng)的安全相關(guān)組件,但是第一分組可以包括要由外部安全系統(tǒng)的非安全相關(guān)組件行動的數(shù)據(jù)元素����。根據(jù)傳輸協(xié)議對數(shù)據(jù)元素進行格式編排。例如�����,將軌道系統(tǒng)配置為根據(jù)預(yù)確定的封裝標準將數(shù)據(jù)元素封裝為可傳輸?shù)姆纸M����。然后,軌道系統(tǒng)根據(jù)傳輸協(xié)議傳輸多個進入數(shù)據(jù)分組。
[0022]將系統(tǒng)100布置為接收根據(jù)傳輸協(xié)議傳輸?shù)姆纸M��。進一步����,將系統(tǒng)100配置為解釋預(yù)確定的封裝標準。然后��,系統(tǒng)100從第一分組中提取數(shù)據(jù)元素���,并且基于數(shù)據(jù)元素生成外出數(shù)據(jù)分組��。外出數(shù)據(jù)分組包括基于數(shù)據(jù)元素的一組指令���。盡管僅討論指令,但是外出數(shù)據(jù)分組還可以包括控制I/o的操作指令�、讀取輸入來搜集信息的請求、健康消息通信�、對中間過程通信的請求、或其它適合的元素�。該組指令包括至少一個指令,該至少一個指令指示安全臨界硬件和軟件中至少之一運行過程�。
[0023]例如,該組指令可以指示安全臨界軟件運行制動過程�����。制動過程包括硬件制動指令。將硬件制動指令傳遞給安全臨界硬件���。安全臨界硬件運行制動指令����。例如���,安全臨界硬件施加制動。
[0024]系統(tǒng)100確定是否要將外出數(shù)據(jù)分組和數(shù)據(jù)元素傳遞給安全臨界硬件和軟件����。例如,系統(tǒng)100保證多個進入數(shù)據(jù)分組中每個進入數(shù)據(jù)分組滿足預(yù)確定的安全標準�。預(yù)確定的安全標準包括確定軌道系統(tǒng)是否正根據(jù)一組預(yù)限定的操作標準操作。系統(tǒng)100驗證多個進入數(shù)據(jù)分組中每個數(shù)據(jù)分組是由軌道系統(tǒng)100有意傳輸?shù)?���。僅例如,軌道系統(tǒng)可以傳遞由軌道系統(tǒng)內(nèi)的硬件或軟件錯誤引起的差錯進入數(shù)據(jù)分組�����。
[0025]安全臨界硬件和軟件響應(yīng)于來自軌道系統(tǒng)的操作者的命令接收多個進入數(shù)據(jù)分組中的第一分組。安全臨界硬件和軟件接收多個進入數(shù)據(jù)分組中由軌道系統(tǒng)中的錯誤引起的第二分組�。僅作為非限定示例,軌道系統(tǒng)中的錯誤可以包括硬件故障�����,如由對熱或潮濕的延長暴露引起的惡化電連接�����。安全臨界硬件和軟件將包括第一分組和第二分組的多個進入數(shù)據(jù)分組傳遞至系統(tǒng)100�����。將系統(tǒng)100配置為確定是否由于軌道系統(tǒng)中的錯誤而由安全臨界硬件和軟件接收多個進入數(shù)據(jù)分組中的每個數(shù)據(jù)分組����。
[0026]當系統(tǒng)100確定響應(yīng)于來自操作者的命令接收多個進入數(shù)據(jù)分組之一時,系統(tǒng)100生成與所接收的進入數(shù)據(jù)分組對應(yīng)的外出數(shù)據(jù)分組�����。例如��,系統(tǒng)100基于第一分組生成第一外出數(shù)據(jù)分組�。第一外出數(shù)據(jù)分組包括與第一分組內(nèi)的數(shù)據(jù)元素對應(yīng)的一組指令�����。當系統(tǒng)100確定第一分組是有效分組時�����,系統(tǒng)100將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件���。例如,系統(tǒng)100確定第一分組是響應(yīng)于來自操作者的命令接收的�����。系統(tǒng)100將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件�����。安全臨界硬件和軟件運行在第一外出數(shù)據(jù)分組中包括的那組指令���。
[0027]相反,當系統(tǒng)100確定多個進入數(shù)據(jù)分組之一是響應(yīng)于軌道系統(tǒng)內(nèi)的錯誤接收的時�����,系統(tǒng)100不將外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件。例如��,系統(tǒng)100確定第二分組是由于軌道系統(tǒng)中的錯誤的原因接收的���。系統(tǒng)100不將與第二分組對應(yīng)的外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件�。因此��,安全臨界硬件和軟件不運行與第二分組中包括的數(shù)據(jù)元素對應(yīng)的指令��。
[0028]進一步���,系統(tǒng)100基于在軌道系統(tǒng)內(nèi)發(fā)生錯誤的確定���,生成錯誤指示。以此方式����,由安全臨界硬件和軟件運行的數(shù)據(jù)元素首先被系統(tǒng)100驗證。該驗證保證軌道系統(tǒng)正根據(jù)預(yù)確定的安全標準操作�。
[0029]在一些實現(xiàn)中,系統(tǒng)100接收多個進入數(shù)據(jù)分組中的第一分組�。同時,系統(tǒng)100接收多個進入數(shù)據(jù)分組中的第二分組�。然后�����,系統(tǒng)100對第一分組和第二分組運行表決邏輯����?�?梢詫⒈頉Q邏輯實現(xiàn)為雙二選二(2002)系統(tǒng)��。下面更詳細地說明該2oo2表決邏輯�����。系統(tǒng)100確定第一分組和第二分組是否相同���。當系統(tǒng)100確定第一分組和第二分組相同時,系統(tǒng)100生成第一外出數(shù)據(jù)分組并且將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件的至少一個組件��。
[0030]然后��,該至少一個組件運行在第一外出數(shù)據(jù)分組中包括的操作數(shù)據(jù)元素��。相反���,當?shù)谝环纸M和第二分組不相同時���,系統(tǒng)100將系統(tǒng)100或軌道系統(tǒng)的至少一個組件識別為有錯誤�。要理解��,盡管描述軌道系統(tǒng)�,但是本公開的原理適用于任何外部安全系統(tǒng)。
[0031]系統(tǒng)100還生成安全指示��。安全指示可以表示系統(tǒng)100或安全臨界硬件和軟件內(nèi)的故障�����。進一步����,系統(tǒng)100指示該至少一個組件在預(yù)確定的安全狀態(tài)下操作。例如���,安全狀態(tài)可以包括被布置為保持軌道系統(tǒng)的安全操作環(huán)境的一組安全狀態(tài)數(shù)據(jù)元素�。
[0032]安全狀態(tài)數(shù)據(jù)元素包括指示軌道系統(tǒng)在預(yù)確定的操作模式下操作����,該預(yù)確定的操作模式保證軌道系統(tǒng)的總體安全���。僅例如,預(yù)確定的操作模式包括使在軌道系統(tǒng)上操作的列車停止����。在一些實現(xiàn)中,安全狀態(tài)包括禁用所有安全相關(guān)的通信接口��。例如���,在安全狀態(tài)下操作的故障安全計算機不能夠與安全臨界硬件和軟件通信����。以此方式����,在安全狀態(tài)下操作的故障安全計算機不能夠與不正確地指示安全臨界硬件和軟件。
[0033]系統(tǒng)100包括活躍的故障安全底架(FSC) 104和待命FSC108����。為了提高系統(tǒng)100的可用性和可靠性���,活躍FSC104和待命FSC108是冗余FSC���。例如���,將活躍FSC104配置為運行待命FSC108的任何和全部操作。以此方式�,當活躍FSC104和待命FSC108之一遇到硬件或軟件故障時,活躍FSC104和待命FSC108中另一個被配置為代替故障的FSC操作����。
[0034]活躍FSC104實現(xiàn)二選二(2oo2)表決體系結(jié)構(gòu),該二選二表決體系結(jié)構(gòu)檢測表決不匹配并且在發(fā)生表決不匹配時執(zhí)行故障安全操作��。2oo2表決體系結(jié)構(gòu)包括雙冗余處理和表決子系統(tǒng)��。冗余處理和表決子系統(tǒng)對進入或離開活躍FSC104的分組進行表決��。例如���,活躍FSC104接收多個進入數(shù)據(jù)分組���。活躍FSC104接收多個進入數(shù)據(jù)分組中第一分組的兩個復本�����。
[0035]活躍FSC104確定第一分組的有效性?���;钴SFSC104基于第一分組是否有效的確定,連續(xù)地生成第一健康狀態(tài)信號和第二健康狀態(tài)信號�����。在一些實現(xiàn)中��,連續(xù)地生成信號可以包括將該信號設(shè)置為第一預(yù)確定的值����。然后,所連續(xù)生成的信號保持在該第一預(yù)確定的值�����,直到使將信號失效(de-asser