用于使處理器同步到相同的計(jì)算點(diǎn)的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本公開內(nèi)容涉及容錯(cuò)故障安全計(jì)算機(jī)系統(tǒng)。
【背景技術(shù)】
[0002]該部分提供與本公開內(nèi)容相關(guān)的背景信息，該背景信息不一定是現(xiàn)有技術(shù)。
[0003]本文提供的背景描述是為了概括地呈現(xiàn)本公開內(nèi)容的背景。當(dāng)前命名的發(fā)明人的工作，就其在該背景部分中描述的范圍以及不可能另外成為提交時(shí)的現(xiàn)有技術(shù)的描述的方面而言，既不明確地也不隱含地被認(rèn)為是相對(duì)于本公開內(nèi)容的現(xiàn)有技術(shù)。
[0004]外部安全系統(tǒng)，如軌道系統(tǒng)，可以包括被配置為實(shí)現(xiàn)安全應(yīng)用的容錯(cuò)故障安全計(jì)算機(jī)系統(tǒng)。該容錯(cuò)故障安全計(jì)算機(jī)系統(tǒng)可以包括多個(gè)硬件組件，該多個(gè)硬件組件以電氣方式和以邏輯方式聯(lián)接來實(shí)現(xiàn)安全應(yīng)用。安全應(yīng)用選擇性地與安全臨界硬件和軟件通信。將安全臨界硬件和軟件配置為控制軌道系統(tǒng)的安全相關(guān)功能。
[0005]例如,在軌道系統(tǒng)上行駛的火車包括制動(dòng)系統(tǒng)。該制動(dòng)系統(tǒng)配置為實(shí)現(xiàn)至少一個(gè)安全相關(guān)功能，如制動(dòng)功能。該制動(dòng)系統(tǒng)包括制動(dòng)器和被配置為對(duì)該制動(dòng)器進(jìn)行促動(dòng)的軟件。該軟件接收指令來對(duì)該制動(dòng)器進(jìn)行促動(dòng)。例如，火車的駕駛員可以操作制動(dòng)系統(tǒng)用戶界面，以指示該軟件對(duì)該制動(dòng)器進(jìn)行促動(dòng)。該軌道系統(tǒng)的錯(cuò)誤組件可以定期地生成差錯(cuò)指令來對(duì)該制動(dòng)器進(jìn)行促動(dòng)。相應(yīng)地，被配置為驗(yàn)證由外部安全系統(tǒng)接收的指令的容錯(cuò)故障安全計(jì)算機(jī)系統(tǒng)是期望的。
[0006]過去的中央處理單元(CPU)有被指令鎖步的能力。例如，底板或總線上的每個(gè)指令和數(shù)據(jù)會(huì)是相同的。然而，現(xiàn)代CPU不再是決定性的。由于今天使用的多線程和緩存技術(shù)，運(yùn)行相同代碼的多個(gè)CPU可以不以完全相同的順序運(yùn)行。進(jìn)一步地，今天的處理器的頻率遠(yuǎn)超過過去幾代CPU。于是，需要一種用于使CPU同步到相同的計(jì)算點(diǎn)的系統(tǒng)和方法。

【發(fā)明內(nèi)容】

[0007]該部分提供本公開內(nèi)容的一般概括，并且不是本公開內(nèi)容的全部范圍或本公開內(nèi)容的全部特征的全面公開。
[0008]一種用于同步中央處理單元(CPU)的系統(tǒng)包括將第一存儲(chǔ)器地址寫至第一寄存器的第一 CPU和將第二存儲(chǔ)器地址寫至第二寄存器的第二 CPU。所述系統(tǒng)進(jìn)一步包括基于所述第一存儲(chǔ)器地址和所述第二存儲(chǔ)器地址將第一值寫至第三寄存器的第一邏輯“與”模塊和基于所述第一存儲(chǔ)器地址和所述第二存儲(chǔ)器地址將第二值寫至第四寄存器的第二邏輯“與”模塊。所述系統(tǒng)還包括調(diào)度器模塊，所述調(diào)度器模塊基于所述第一值和所述第二值選擇性地生成處理器同步信號(hào)。
[0009]在其它特征中，一種方法包括將第一存儲(chǔ)器地址寫至第一寄存器，將第二存儲(chǔ)器地址寫至第二寄存器，基于所述第一存儲(chǔ)器地址和所述第二存儲(chǔ)器地址將第一值寫至第三寄存器，基于所述第一存儲(chǔ)器地址和所述第二存儲(chǔ)器地址將第二值寫至第四寄存器，以及基于所述第一值和所述第二值選擇性地生成處理器同步信號(hào)。
[0010]適用性的進(jìn)一步方面將從本文提供的描述中變得明顯。該
【發(fā)明內(nèi)容】
中的描述和特定示例旨在僅用于說明目的，而不旨在限制本公開內(nèi)容的范圍。
【附圖說明】
[0011]本文描述的附圖僅用于所選擇實(shí)施例的說明用途，而不是用于所有可能的實(shí)現(xiàn)，并且不旨在限制本公開的范圍。
[0012]圖1是根據(jù)本公開內(nèi)容原理的容錯(cuò)故障安全計(jì)算機(jī)系統(tǒng)的功能框圖；
[0013]圖2是根據(jù)本公開內(nèi)容原理的故障安全底架的功能框圖；
[0014]圖3是根據(jù)本公開內(nèi)容原理的實(shí)現(xiàn)同步模式的同步系統(tǒng)的功能框圖；
[0015]圖4是圖示根據(jù)本公開內(nèi)容原理的處理器同步方法的流程圖；以及
[0016]圖5是圖示根據(jù)本公開內(nèi)容原理的可替代處理器同步方法的流程圖。
[0017]在附圖的若干圖中，相對(duì)應(yīng)的附圖標(biāo)記始終表不相對(duì)應(yīng)的部分。
【具體實(shí)施方式】
[0018]現(xiàn)在將參考附圖更全面地描述示例實(shí)施例。
[0019]現(xiàn)在參考圖1，示出示例性容錯(cuò)故障安全計(jì)算機(jī)系統(tǒng)100的功能框圖。將系統(tǒng)100布置為與安全應(yīng)用交互。例如，作為非限定示例，將系統(tǒng)100布置為與安全臨界硬件和軟件關(guān)聯(lián)軌道系統(tǒng)通信。安全臨界硬件和軟件控制軌道系統(tǒng)的安全相關(guān)組件。例如，安全臨界硬件可以聯(lián)接至在軌道系統(tǒng)上操作的列車的制動(dòng)系統(tǒng)。進(jìn)一步，系統(tǒng)100也許能夠根據(jù)工業(yè)認(rèn)可的安全標(biāo)準(zhǔn)被驗(yàn)證。
[0020]安全臨界硬件從安全臨界軟件接收數(shù)據(jù)元素，以促動(dòng)制動(dòng)系統(tǒng)的制動(dòng)器。系統(tǒng)100與安全臨界硬件和軟件交互，以保證安全臨界硬件和軟件正根據(jù)預(yù)確定的操作標(biāo)準(zhǔn)操作。要理解，盡管僅描述列車的制動(dòng)系統(tǒng)，但是本公開的原理適用于任何安全臨界硬件和軟件。用于本文描述的實(shí)施例的其它可能應(yīng)用包括但不限于:飛機(jī)系統(tǒng)的組件、醫(yī)學(xué)治療系統(tǒng)的組件、油和氣控制系統(tǒng)的組件、智能電網(wǎng)系統(tǒng)的組件、以及各種制造系統(tǒng)的組件。
[0021 ] 在一些實(shí)現(xiàn)中，系統(tǒng)100從外部安全系統(tǒng)(如軌道系統(tǒng))接收多個(gè)進(jìn)入數(shù)據(jù)分組。將系統(tǒng)100配置為處理多個(gè)進(jìn)入數(shù)據(jù)分組，并且將多個(gè)外出數(shù)據(jù)分組傳遞給外部安全系統(tǒng)的安全相關(guān)組件。例如，系統(tǒng)100確定多個(gè)進(jìn)入數(shù)據(jù)分組中的第一分組是否是有效分組。當(dāng)系統(tǒng)100確定第一分組是有效分組時(shí)，系統(tǒng)100將外出分組傳遞給軌道系統(tǒng)的至少一個(gè)安全相關(guān)組件。
[0022]第一分組包括要由軌道系統(tǒng)的至少一個(gè)安全相關(guān)組件行動(dòng)的數(shù)據(jù)元素。數(shù)據(jù)元素可以包括傳感器數(shù)據(jù)和/或輸入/輸出(I/o)點(diǎn)狀態(tài)。該至少一個(gè)安全相關(guān)組件可以是與在軌道系統(tǒng)上行駛的列車聯(lián)接的制動(dòng)器。要理解，盡管僅描述外部安全系統(tǒng)的安全相關(guān)組件，但是第一分組可以包括要由外部安全系統(tǒng)的非安全相關(guān)組件行動(dòng)的數(shù)據(jù)元素。根據(jù)傳輸協(xié)議對(duì)數(shù)據(jù)元素進(jìn)行格式編排。例如，將軌道系統(tǒng)配置為根據(jù)預(yù)確定的封裝標(biāo)準(zhǔn)將數(shù)據(jù)元素封裝為可傳輸?shù)姆纸M。然后，軌道系統(tǒng)根據(jù)傳輸協(xié)議傳輸多個(gè)進(jìn)入數(shù)據(jù)分組。
[0023]將系統(tǒng)100布置為接收根據(jù)傳輸協(xié)議傳輸?shù)姆纸M。進(jìn)一步，將系統(tǒng)100配置為解釋預(yù)確定的封裝標(biāo)準(zhǔn)。然后，系統(tǒng)100從第一分組中提取數(shù)據(jù)元素，并且基于數(shù)據(jù)元素生成外出數(shù)據(jù)分組。外出數(shù)據(jù)分組包括基于數(shù)據(jù)元素的一組指令。盡管僅討論指令，但是外出數(shù)據(jù)分組還可以包括控制I/o的操作指令、讀取輸入來搜集信息的請(qǐng)求、健康消息通信、對(duì)中間過程通信的請(qǐng)求、或其它適合的元素。該組指令包括至少一個(gè)指令，該至少一個(gè)指令指示安全臨界硬件和軟件中至少之一運(yùn)行過程。
[0024]例如，該組指令可以指示安全臨界軟件運(yùn)行制動(dòng)過程。制動(dòng)過程包括硬件制動(dòng)指令。將硬件制動(dòng)指令傳遞給安全臨界硬件。安全臨界硬件運(yùn)行制動(dòng)指令。例如，安全臨界硬件施加制動(dòng)。
[0025]系統(tǒng)100確定是否要將外出數(shù)據(jù)分組和數(shù)據(jù)元素傳遞給安全臨界硬件和軟件。例如，系統(tǒng)100保證多個(gè)進(jìn)入數(shù)據(jù)分組中每個(gè)進(jìn)入數(shù)據(jù)分組滿足預(yù)確定的安全標(biāo)準(zhǔn)。預(yù)確定的安全標(biāo)準(zhǔn)包括確定軌道系統(tǒng)是否正根據(jù)一組預(yù)限定的操作標(biāo)準(zhǔn)操作。系統(tǒng)100驗(yàn)證多個(gè)進(jìn)入數(shù)據(jù)分組中每個(gè)數(shù)據(jù)分組是由軌道系統(tǒng)100有意傳輸?shù)?。僅例如，軌道系統(tǒng)可以傳遞由軌道系統(tǒng)內(nèi)的硬件或軟件錯(cuò)誤引起的差錯(cuò)進(jìn)入數(shù)據(jù)分組。
[0026]安全臨界硬件和軟件響應(yīng)于來自軌道系統(tǒng)的操作者的命令接收多個(gè)進(jìn)入數(shù)據(jù)分組中的第一分組。安全臨界硬件和軟件接收多個(gè)進(jìn)入數(shù)據(jù)分組中由軌道系統(tǒng)中的錯(cuò)誤引起的第二分組。僅作為非限定示例，軌道系統(tǒng)中的錯(cuò)誤可以包括硬件故障，如由對(duì)熱或潮濕的延長(zhǎng)暴露引起的惡化電連接。安全臨界硬件和軟件將包括第一分組和第二分組的多個(gè)進(jìn)入數(shù)據(jù)分組傳遞至系統(tǒng)100。將系統(tǒng)100配置為確定是否由于軌道系統(tǒng)中的錯(cuò)誤而由安全臨界硬件和軟件接收多個(gè)進(jìn)入數(shù)據(jù)分組中的每個(gè)數(shù)據(jù)分組。
[0027]當(dāng)系統(tǒng)100確定響應(yīng)于來自操作者的命令接收多個(gè)進(jìn)入數(shù)據(jù)分組之一時(shí)，系統(tǒng)100生成與所接收的進(jìn)入數(shù)據(jù)分組對(duì)應(yīng)的外出數(shù)據(jù)分組。例如，系統(tǒng)100基于第一分組生成第一外出數(shù)據(jù)分組。第一外出數(shù)據(jù)分組包括與第一分組內(nèi)的數(shù)據(jù)元素對(duì)應(yīng)的一組指令。當(dāng)系統(tǒng)100確定第一分組是有效分組時(shí)，系統(tǒng)100將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件。例如，系統(tǒng)100確定第一分組是響應(yīng)于來自操作者的命令接收的。系統(tǒng)100將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件。安全臨界硬件和軟件運(yùn)行在第一外出數(shù)據(jù)分組中包括的那組指令。
[0028]相反，當(dāng)系統(tǒng)100確定多個(gè)進(jìn)入數(shù)據(jù)分組之一是響應(yīng)于軌道系統(tǒng)內(nèi)的錯(cuò)誤接收的時(shí)，系統(tǒng)100不將外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件。例如，系統(tǒng)100確定第二分組是由于軌道系統(tǒng)中的錯(cuò)誤的原因接收的。系統(tǒng)100不將與第二分組對(duì)應(yīng)的外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件。因此，安全臨界硬件和軟件不運(yùn)行與第二分組中包括的數(shù)據(jù)元素對(duì)應(yīng)的指令。
[0029]進(jìn)一步，系統(tǒng)100基于在軌道系統(tǒng)內(nèi)發(fā)生錯(cuò)誤的確定，生成錯(cuò)誤指示。以此方式，由安全臨界硬件和軟件運(yùn)行的數(shù)據(jù)元素首先被系統(tǒng)100驗(yàn)證。該驗(yàn)證保證軌道系統(tǒng)正根據(jù)預(yù)確定的安全標(biāo)準(zhǔn)操作。
[0030]在一些實(shí)現(xiàn)中，系統(tǒng)100接收多個(gè)進(jìn)入數(shù)據(jù)分組中的第一分組。同時(shí)，系統(tǒng)100接收多個(gè)進(jìn)入數(shù)據(jù)分組中的第二分組。然后，系統(tǒng)100對(duì)第一分組和第二分組運(yùn)行表決邏輯?？梢詫⒈頉Q邏輯實(shí)現(xiàn)為雙二選二(2002)系統(tǒng)。下面更詳細(xì)地說明該2oo2表決邏輯。系統(tǒng)100確定第一分組和第二分組是否相同。當(dāng)系統(tǒng)100確定第一分組和第二分組相同時(shí)，系統(tǒng)100生成第一外出數(shù)據(jù)分組并且將第一外出數(shù)據(jù)分組傳遞至安全臨界硬件和軟件的至少一個(gè)組件。
[0031]然后，該至少一個(gè)組件運(yùn)行在第一外出數(shù)據(jù)分組中包括的操作數(shù)據(jù)元素。相反，當(dāng)?shù)谝环纸M和第二分組不相同時(shí)，系統(tǒng)100將系統(tǒng)100或軌道系統(tǒng)的至少一個(gè)組件識(shí)別為有錯(cuò)誤。要理解，盡管描述軌道系統(tǒng)，但是本公開內(nèi)容的原理適用于任何外部安全系統(tǒng)。
[0032]系統(tǒng)100還生成安全指示。安全指示可以表示系統(tǒng)100或安全臨界硬件和軟件內(nèi)的故障。進(jìn)一步，系統(tǒng)100指示該至少一個(gè)組件在預(yù)確定的安全狀態(tài)下操作。例如，安全狀態(tài)可以包括被布置為保持軌道系統(tǒng)的安全操作環(huán)境的一組安全狀態(tài)數(shù)據(jù)元素。
[0033]安全狀態(tài)數(shù)據(jù)元素包括指示軌道系統(tǒng)在預(yù)確定的操作模式下操作，該預(yù)確定的操作模式保證軌道系統(tǒng)的總體安全。僅例如，預(yù)確定的操作模式包括使在軌道系統(tǒng)上操作的列車停止。在一些實(shí)現(xiàn)中，安全狀態(tài)包括禁用所有安全相關(guān)的通信接口。例如，在安全狀態(tài)下操作的故障安全計(jì)算機(jī)不能夠與安全臨界硬件和軟件通信。以此方式，在安全狀態(tài)下操作的故障安全計(jì)算機(jī)不能夠與不正確地指示安全臨界硬件和軟件。
[0034]系統(tǒng)100包括活躍的故障安全底架(FSC) 104和待命FSC108。為了提高系統(tǒng)100的可用性和可靠性，活躍FSC104和待命FSC108是冗余FSC。例如，將活躍FSC104配置為運(yùn)行待命FSC108的任何和全部操作。以此方式，當(dāng)活躍FSC104和待命FSC108之一遇到硬件或軟件故障時(shí)，活躍FSC104和待命FSC108中另一個(gè)被配置為代替故障的FSC操作。
[0035]活躍FSC104實(shí)現(xiàn)二選二(2oo2)表決體系結(jié)構(gòu)，該二選二表決體系結(jié)構(gòu)檢測(cè)表決不匹配并且在發(fā)生表決不匹配時(shí)執(zhí)行故障安全操作。2oo2表決體系結(jié)構(gòu)包括雙冗余處理和表決子系統(tǒng)。冗余處理和表決子系統(tǒng)對(duì)進(jìn)入或離開活躍FSC104的分組進(jìn)行表決。例如，活躍FSC104接收多個(gè)進(jìn)入數(shù)據(jù)分組。活躍FSC104接收多個(gè)進(jìn)入數(shù)據(jù)分組中第一分組的兩個(gè)復(fù)本。
[0036]活躍FSC104確定第一分組的有效性?；钴SFSC104基于第一分組是否有效的確定，連續(xù)地生成第一健康狀態(tài)信號(hào)和第二健康狀態(tài)信號(hào)。在一些實(shí)現(xiàn)中，連續(xù)地生成信號(hào)可以包括將該信號(hào)設(shè)置為第