国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于安全和任務(wù)關(guān)鍵系統(tǒng)的表決架構(gòu)的制作方法

      文檔序號:8395782閱讀:281來源:國知局
      用于安全和任務(wù)關(guān)鍵系統(tǒng)的表決架構(gòu)的制作方法
      【專利說明】用于安全和任務(wù)關(guān)鍵系統(tǒng)的表決架構(gòu)
      [0001]相關(guān)申請的交叉引用
      [0002]本發(fā)明本申請要求2013年12月16日遞交的美國臨時(shí)申請N0.61/916,458的權(quán)益。
      技術(shù)領(lǐng)域
      [0003]本公開涉及容錯(cuò)的失效保護(hù)計(jì)算機(jī)系統(tǒng)。
      【背景技術(shù)】
      [0004]本部分提供涉及本公開的背景信息,其不一定是現(xiàn)有技術(shù)。
      [0005]這里提供的背景描述的目的是為了大體呈現(xiàn)本公開的環(huán)境。到本背景部分中描述的程度的現(xiàn)署名發(fā)明人的工作,以及在遞交時(shí)可能沒有資格作為現(xiàn)有技術(shù)的描述方面,既不明確也不隱含地被接納為針對本公開的現(xiàn)有技術(shù)。
      [0006]外部安全系統(tǒng),諸如鐵路系統(tǒng),可以包括被配置為實(shí)施安全應(yīng)用程序的容錯(cuò)失效保護(hù)計(jì)算機(jī)系統(tǒng)。容錯(cuò)失效保護(hù)計(jì)算機(jī)系統(tǒng)可以包括電聯(lián)接且邏輯聯(lián)接以便實(shí)施安全應(yīng)用程序的多個(gè)硬件部件。安全應(yīng)用程序與安全關(guān)鍵硬件和軟件選擇性通信。安全關(guān)鍵硬件和軟件被配置為控制鐵路系統(tǒng)的安全相關(guān)功能。
      [0007]例如,在鐵路系統(tǒng)上行駛的火車包括制動系統(tǒng)。制動系統(tǒng)被配置為實(shí)施至少一個(gè)安全相關(guān)功能,諸如制動功能。制動系統(tǒng)包括制動器和被配置為啟動制動器的軟件。軟件接收指令以啟動制動器。例如,火車的操作員可以操作制動系統(tǒng)用戶界面以便命令軟件啟動制動器。偶爾,鐵路系統(tǒng)的故障部件可能會產(chǎn)生啟動制動器的錯(cuò)誤指令。因此,期望被配置為驗(yàn)證由外部安全系統(tǒng)接收的指令的容錯(cuò)失效保護(hù)計(jì)算機(jī)系統(tǒng)。

      【發(fā)明內(nèi)容】

      [0008]本部分提供本公開的一般總結(jié),并不是其全部范圍或全部特征的全面公開。
      [0009]容錯(cuò)失效保護(hù)計(jì)算機(jī)表決系統(tǒng)包括:用于產(chǎn)生第一數(shù)據(jù)包的第一拷貝和所述第一數(shù)據(jù)包的第二拷貝并且傳送所述第一拷貝和所述第二拷貝的交換模塊。該系統(tǒng)還包括用于基于所述第一拷貝產(chǎn)生第一數(shù)據(jù)包簽名并且傳送所述第一數(shù)據(jù)包簽名的第一表決模塊。
      [0010]該系統(tǒng)進(jìn)一步包括用于基于所述第二拷貝產(chǎn)生第二數(shù)據(jù)包簽名并傳送所述第二數(shù)據(jù)包簽名的第二表決模塊,其中所述第一表決模塊基于所述第一數(shù)據(jù)包簽名和所述第二數(shù)據(jù)包簽名之間的比較產(chǎn)生第一表決信號,并且所述第二表決模塊基于所述第一數(shù)據(jù)包簽名和所述第二數(shù)據(jù)包簽名之間的比較產(chǎn)生第二表決信號,并且其中所述第一表決模塊基于所述第一表決信號和所述第二表決信號傳送所述第一拷貝。
      [0011]在其他特征中,一種方法包括:產(chǎn)生第一數(shù)據(jù)包的第一拷貝和所述第一數(shù)據(jù)包的第二拷貝,傳送所述第一拷貝和所述第二拷貝,基于所述第一拷貝產(chǎn)生第一數(shù)據(jù)包簽名,傳送所述第一數(shù)據(jù)包簽名,基于所述第二拷貝產(chǎn)生第二數(shù)據(jù)包簽名,傳送所述第二數(shù)據(jù)包簽名,基于所述第一數(shù)據(jù)包簽名和所述第二數(shù)據(jù)包簽名之間的比較產(chǎn)生第一表決信號,基于所述第一數(shù)據(jù)包簽名和所述第二數(shù)據(jù)包簽名之間的比較產(chǎn)生第二表決信號,以及基于所述第一表決信號和所述第二表決信號傳送所述第一拷貝。
      [0012]根據(jù)這里提供的描述,另外的應(yīng)用領(lǐng)域?qū)@而易見。本總結(jié)中的描述和具體示例僅打算為了說明的目的,并不打算限制本公開的范圍。
      【附圖說明】
      [0013]這里所述的附圖僅用于所選實(shí)施例而不是全部可能實(shí)施方式的示意性目的,并且不致力于限制本公開的范圍。
      [0014]圖1是根據(jù)本公開的原理的容錯(cuò)失效保護(hù)計(jì)算機(jī)系統(tǒng)的功能框圖;
      [0015]圖2是根據(jù)本公開的原理的失效保護(hù)底盤的功能框圖;
      [0016]圖3是根據(jù)本公開的原理的表決子系統(tǒng)的替代例的功能框圖;
      [0017]圖4是根據(jù)本公開的原理的處理器間通信通道的功能框圖;以及
      [0018]圖5是示出根據(jù)本公開的原理的容錯(cuò)表決方法的流程圖。
      [0019]在附圖的幾個(gè)視圖中,對應(yīng)的參考標(biāo)記指代對應(yīng)的部分。
      【具體實(shí)施方式】
      [0020]現(xiàn)在將結(jié)合附圖更充分地描述示例實(shí)施例。
      [0021]現(xiàn)在參見圖1,示出了示例性容錯(cuò)失效保護(hù)計(jì)算機(jī)系統(tǒng)100的功能框圖。系統(tǒng)100被布置為與安全應(yīng)用程序交互。例如,系統(tǒng)100被布置為與安全關(guān)鍵硬件和相關(guān)聯(lián)的軟件通信,通過非限制性示例,系統(tǒng)100為鐵路系統(tǒng)。安全關(guān)鍵硬件和軟件控制鐵路系統(tǒng)的安全相關(guān)部件。例如,安全關(guān)鍵硬件可以被聯(lián)接至在鐵路系統(tǒng)上運(yùn)行的火車的制動系統(tǒng)。此外,系統(tǒng)100能夠根據(jù)行業(yè)認(rèn)可的安全標(biāo)準(zhǔn)被證明合格。
      [0022]安全關(guān)鍵硬件從安全關(guān)鍵軟件接收數(shù)據(jù)元以啟動制動系統(tǒng)的制動器。系統(tǒng)100與安全關(guān)鍵硬件和軟件配合,以確保安全關(guān)鍵硬件和軟件根據(jù)預(yù)定操作標(biāo)準(zhǔn)操作。可以理解的是,雖然只描述了火車的制動系統(tǒng),但是本公開的原理適用于任何安全關(guān)鍵硬件和軟件。這里描述的實(shí)施例的其他可能應(yīng)用包括但不限于航空系統(tǒng)的部件、醫(yī)療系統(tǒng)的部件、石油和天然氣控制系統(tǒng)的部件、智能網(wǎng)格系統(tǒng)的部件和各種制造系統(tǒng)的部件。
      [0023]在一些實(shí)施方式中,系統(tǒng)100從諸如鐵路系統(tǒng)的外部安全系統(tǒng)接收多個(gè)輸入數(shù)據(jù)包。系統(tǒng)100被配置為處理多個(gè)輸入數(shù)據(jù)包,并且將多個(gè)傳出數(shù)據(jù)包傳送至外部安全系統(tǒng)的安全相關(guān)部件。例如,系統(tǒng)100確定多個(gè)輸入數(shù)據(jù)包中的第一數(shù)據(jù)包是否為有效數(shù)據(jù)包。在系統(tǒng)100確定第一數(shù)據(jù)包是有效數(shù)據(jù)包時(shí),系統(tǒng)100將傳出數(shù)據(jù)包傳送至鐵路系統(tǒng)的至少一個(gè)安全相關(guān)部件。
      [0024]第一數(shù)據(jù)包包括通過鐵路系統(tǒng)的至少一個(gè)安全相關(guān)部件起作用的數(shù)據(jù)元。數(shù)據(jù)元可以包括傳感器數(shù)據(jù)和/或輸入/輸出(I/o)點(diǎn)狀態(tài)。至少一個(gè)安全相關(guān)部件可以是聯(lián)接至鐵路系統(tǒng)上行駛的火車的制動器??梢岳斫獾氖牵m然只描述了外部安全系統(tǒng)的安全相關(guān)部件,但是第一數(shù)據(jù)包可以包括通過外部安全系統(tǒng)的非安全相關(guān)部件起作用的數(shù)據(jù)元。數(shù)據(jù)元根據(jù)傳輸協(xié)議被格式化。例如,鐵路系統(tǒng)被配置為根據(jù)預(yù)定封裝標(biāo)準(zhǔn)將數(shù)據(jù)元封裝為可傳輸數(shù)據(jù)包。然后,鐵路系統(tǒng)根據(jù)傳輸協(xié)議傳輸多個(gè)輸入數(shù)據(jù)包。
      [0025]系統(tǒng)100被配置為接收根據(jù)傳輸協(xié)議發(fā)送的數(shù)據(jù)包。此外,系統(tǒng)100被配置為解譯預(yù)定封裝標(biāo)準(zhǔn)。然后,系統(tǒng)100從第一數(shù)據(jù)包提取數(shù)據(jù)元并基于數(shù)據(jù)元產(chǎn)生傳出數(shù)據(jù)包。傳出數(shù)據(jù)包包括基于數(shù)據(jù)元的指令集。雖然僅討論指令,但是傳出數(shù)據(jù)包還可以包括控制I/o的操作指令、讀取輸入以收集信息的請求、健康狀態(tài)消息通信、進(jìn)程間通信的請求或其他適合的元素。指令集包括命令安全關(guān)鍵硬件和軟件中的至少一個(gè)執(zhí)行一程序的至少一個(gè)指令。
      [0026]例如,指令集可以命令安全關(guān)鍵軟件執(zhí)行制動程序。制動程序包括硬件制動指令。硬件制動指令被傳送至安全關(guān)鍵硬件。安全關(guān)鍵硬件執(zhí)行制動指令。例如,安全關(guān)鍵硬件實(shí)施制動。
      [0027]系統(tǒng)100確定是否將傳出數(shù)據(jù)包和數(shù)據(jù)元傳送至安全關(guān)鍵硬件和軟件。例如,系統(tǒng)100確保多個(gè)輸入數(shù)據(jù)包中的每一個(gè)都滿足預(yù)定安全標(biāo)準(zhǔn)。預(yù)定安全標(biāo)準(zhǔn)包括確定鐵路系統(tǒng)是否根據(jù)預(yù)定義的操作標(biāo)準(zhǔn)集操作。系統(tǒng)100查證多個(gè)輸入數(shù)據(jù)包中的每一個(gè)是由鐵路系統(tǒng)100有意傳輸。僅僅是例如,由于鐵路系統(tǒng)內(nèi)的硬件或軟件故障(fault),鐵路系統(tǒng)可能傳輸錯(cuò)誤的輸入數(shù)據(jù)包。
      [0028]安全關(guān)鍵硬件和軟件響應(yīng)于鐵路系統(tǒng)的操作員的命令,接收多個(gè)輸入數(shù)據(jù)包中的第一數(shù)據(jù)包。由于鐵路系統(tǒng)中的故障,安全關(guān)鍵硬件和軟件接收多個(gè)輸入數(shù)據(jù)包中的第二數(shù)據(jù)包。僅通過非限制性示例,鐵路系統(tǒng)中的故障可以包括硬件失效(failure),諸如由于長期暴露至熱或濕氣而導(dǎo)致的劣化電連接。安全關(guān)鍵硬件和軟件將包括第一和第二數(shù)據(jù)包的多個(gè)輸入數(shù)據(jù)包傳送至系統(tǒng)100。系統(tǒng)100被配置為確定多個(gè)輸入數(shù)據(jù)包中的每一個(gè)是否作為鐵路系統(tǒng)中的故障的結(jié)果而被安全關(guān)鍵硬件和軟件接收。
      [0029]在系統(tǒng)100確定多個(gè)輸入數(shù)據(jù)包中的一個(gè)響應(yīng)于操作員的命令而接收時(shí),系統(tǒng)100產(chǎn)生與所接收的輸入數(shù)據(jù)包相對應(yīng)的傳出數(shù)據(jù)包。例如,系統(tǒng)100產(chǎn)生基于第一數(shù)據(jù)包的第一傳出數(shù)據(jù)包。第一傳出數(shù)據(jù)包包括與第一數(shù)據(jù)包內(nèi)的數(shù)據(jù)元相對應(yīng)的指令集。在系統(tǒng)100確定第一數(shù)據(jù)包是有效數(shù)據(jù)包時(shí),系統(tǒng)100將第一傳出數(shù)據(jù)包傳送至安全關(guān)鍵硬件和軟件。例如,系統(tǒng)100確定第一數(shù)據(jù)包響應(yīng)于操作員的命令而被接收。系統(tǒng)100將第一傳出數(shù)據(jù)包傳送至安全關(guān)鍵硬件和軟件。安全關(guān)鍵硬件和軟件執(zhí)行包括在第一傳出數(shù)據(jù)包中的指令集。
      [0030]相反,在系統(tǒng)100確定多個(gè)輸入數(shù)據(jù)包中的一個(gè)響應(yīng)于鐵路系統(tǒng)內(nèi)的故障而被接收時(shí),系統(tǒng)100不向安全關(guān)鍵硬件和軟件傳送傳出數(shù)據(jù)包。例如,系統(tǒng)100確定第二數(shù)據(jù)包由于鐵路系統(tǒng)中的故障而被接收。系統(tǒng)100不向安全關(guān)鍵硬件和軟件傳送與第二數(shù)據(jù)包相對應(yīng)的傳出數(shù)據(jù)包。結(jié)果,安全關(guān)鍵硬件和軟件不執(zhí)行與包括在第二數(shù)據(jù)包中的數(shù)據(jù)元相對應(yīng)的指令。
      [0031]進(jìn)一步地,系統(tǒng)100基于在鐵路系統(tǒng)內(nèi)發(fā)生故障的確定而產(chǎn)生故障指示。通過這種方法,安全關(guān)鍵硬件和軟件執(zhí)行的數(shù)據(jù)元首先被系統(tǒng)100查證。這種查證確保鐵路系統(tǒng)根據(jù)預(yù)定安全標(biāo)準(zhǔn)而操作。
      [0032]在一些實(shí)施方式中,系統(tǒng)100接收多個(gè)輸入數(shù)據(jù)包中的第一數(shù)據(jù)包。同時(shí),系統(tǒng)100接收多個(gè)輸入數(shù)據(jù)包中的第二數(shù)據(jù)包。然后,系統(tǒng)100對第一和第二數(shù)據(jù)包執(zhí)行表決邏輯。表決邏輯可以被實(shí)施為雙重二選二(2002)系統(tǒng)。下文中更詳細(xì)地解釋2oo2表決邏輯。系統(tǒng)100確定第一和第二數(shù)據(jù)包是否相同。在系統(tǒng)100確定第一和第二數(shù)據(jù)包相同時(shí),系統(tǒng)100產(chǎn)生第一傳出數(shù)據(jù)包,并且將第一傳出數(shù)據(jù)包傳送至安全關(guān)鍵硬件和軟件的至少一個(gè)部件。
      [0033]然后,至少一個(gè)部件執(zhí)行包括在第一傳出數(shù)據(jù)包內(nèi)的操作數(shù)據(jù)元。相反,在第一和第二數(shù)據(jù)包不同時(shí),系統(tǒng)100將系統(tǒng)100或鐵路系統(tǒng)中的至少一個(gè)部件識別為故障??梢岳斫獾氖?,雖然描述了鐵路系統(tǒng),但本公開的原理適用于任何外部安全系統(tǒng)。
      [0034]系統(tǒng)100還產(chǎn)生安全指示。安全指示可以指示系統(tǒng)100或安全關(guān)鍵硬件和軟件內(nèi)的失效。進(jìn)一步地,系統(tǒng)100命令所述至少一個(gè)部件以預(yù)定安全狀態(tài)操作。例如,安全狀態(tài)可以包括被布置為維持鐵路系統(tǒng)的安全操作環(huán)境的安全狀態(tài)數(shù)據(jù)元集。
      [0035]安全狀態(tài)數(shù)據(jù)元包括命令鐵路系統(tǒng)以確保鐵路系統(tǒng)總體安全的預(yù)定操作模式操作。僅僅作為示例,預(yù)定操作模式包括將鐵路系統(tǒng)上運(yùn)行的火車導(dǎo)入車站。在一些實(shí)施方式中,安全狀態(tài)包括禁用全部安全相關(guān)的通信界面。例如,在安全狀態(tài)下操作的失效保護(hù)計(jì)算機(jī)不能與安全關(guān)鍵硬件和軟件通信。通過這種方法,在安全狀態(tài)下操作的失效保護(hù)計(jì)算機(jī)不能錯(cuò)誤地命令安全關(guān)鍵硬件和軟件。
      [0036]系統(tǒng)100包括活動的失效保護(hù)底盤(FSC) 104和備用FSC 108。為了提高系統(tǒng)100的可用性和可靠性,活動FSC 104和備用FSC 108是冗余FSC。例如,活動FSC 104被配置為執(zhí)行備用FSC 108的任意和全部操作。通過這種方法,在活動FSC 104和備用FSC 108中的一個(gè)遭遇硬件或軟件失效時(shí),活動FSC 104和備用FSC 108中的另一個(gè)被配置為代替失效FSC而操作。
      [0037]活動FSC 104實(shí)施用于檢測表決失配的二選二(2oo2)表決架構(gòu),并在表決失配發(fā)生時(shí)執(zhí)行失效保護(hù)操作。2oo2表決架構(gòu)包括雙重冗余處理和表決子系統(tǒng)。冗余處理和表決子系統(tǒng)對進(jìn)入或離開活動FSC 104的數(shù)據(jù)包進(jìn)行表決。例如,活動FSC 104接收多個(gè)輸入數(shù)據(jù)包?;顒覨SC 104接收多個(gè)輸入數(shù)據(jù)包中的第一數(shù)據(jù)包的兩個(gè)拷貝。
      [0038]活動FSC 104確定第一數(shù)據(jù)包的有效性?;顒覨SC 104基于第一數(shù)據(jù)包是否有效的確定,連續(xù)產(chǎn)生第一健康狀態(tài)信號和第二健康狀態(tài)信號。在一些實(shí)施方式中,連續(xù)產(chǎn)生一信號可以包括將該信號設(shè)定為第一預(yù)定值。然后,連續(xù)產(chǎn)生的信號被維持在第一預(yù)定值,直到該信號被無效為第二預(yù)定值。
      [0039]活動FSC 104比較第一數(shù)據(jù)包的兩個(gè)拷貝中的每一個(gè)。在兩個(gè)拷貝相同時(shí),活動FSC 104確定第一數(shù)據(jù)包有效。在活動FSC 104確定第一數(shù)據(jù)包有效時(shí),活動FSC 104連續(xù)產(chǎn)生第一健康狀態(tài)信號和第二健康狀態(tài)信號。第一和第二健康狀態(tài)信號可以被有效為第一值
      當(dāng)前第1頁1 2 3 4 5 6 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1