具有任务冗余和非对称通信能力的铁路安全关键系统的制作方法

文档序号:11140944阅读:678来源:国知局
具有任务冗余和非对称通信能力的铁路安全关键系统的制造方法与工艺

本发明涉及铁路控制安全关键系统。更特别地,本发明涉及如铁路行业中需要的具有低危险率的铁路安全关键应用系统中的控制系统。铁路安全关键应用系统(“安全关键系统”)以非限制性示例的方式包括列车管理系统、后台服务器、用于在列车超过安全防护速度限制的情况下自动干预的车载单元、记录操作信息的数据记录器、列车速度和定位确定设备、制动和节流控制装置、子系统状态和诊断装置、在轨道侧/陆地侧和列车侧之间(例如经由无线电通信)交换的无线数据通信装置和列车工作人员通信装置。如这里所使用的,术语“列车”是单独的机车、具有车厢的机车、或集成的机车/车厢交通工具(例如轻轨或地铁)。



背景技术:

铁路列车装备有安全关键系统,要求该安全关键系统具有高可用性和低危险率(“危险”通常被理解为“具有人受伤和/或损害环境的可能性的物理情形”(IEC 62278))。“铁路运营商和政府监管机构常常要求满足它们对操作安全的高需求的极低危险率。”)。安全关键系统通常利用电子控制系统来操作。随着时间的过去,那些系统倾向与通过一个或多个通信数据总线彼此进行通信的处理器或控制器操作的数字电子系统。

为了满足铁路安全目标,控制系统硬件常常是有文档证明的测试和验证的专有专用设计。数字电子控制器操作系统和应用程序软件也被验证。电子数据通信利用经过验证的安全代码来进行数据完整性检查(诸如散列代码或加密附件),以便确保在各系统之间传输时的数据完整性。验证过程需要时间和开销。考虑到铁路安全关键系统的相对有限需求和销售量,与一般的商用和消费电子器件(例如个人计算机硬件、软件和操作系统)的需求相比,铁路安全关键系统控制器以及相关设备制造成本很高并且具有比在一般电子器件应用领域中销售的那些更长的产品生命周期。

然而,消费者和商用个人计算机(PC)不能直接替代现有的铁路安全关键系统控制系统。PC往往仅具有每操作小时不多于10-4的数据故障率,这不足以满足铁路系统所要求的危险。另外,未验证PC商用操作系统软件在铁路安全关键系统中的使用。

在铁路行业中存在(在可能的情况下)对将铁路领域特定的专有设计安全关键系统控制系统硬件和操作系统软件替换为更容易得到的通用商业现货(“COTS”)产品的需要。用COTS子系统替代铁路领域特定专有设计子系统潜在地可以简化总体系统设计、缩短系统设计周期、并允许铁路安全关键系统主要供应商将其努力集中于总体系统应用和集成问题上,就此来说该供应商比一般消费者或COTS电子子供应商具有更多专业知识。

在铁路行业中还存在对通过用COTS产品替代铁路领域特定产品(当替代物的验证是划算时)来降低安全关键系统控制系统采购成本且增加合格子供货商的数目的需要。铁路消费者和安全关键系统主要供应商还可能受益于将子系统部件的设计和制造外包给子供货商,这些子供货商对它们各自的商用部件具有更广阔的设计专业知识。

在铁路行业中存在对通过简化和聚集验证程序来合理化安全关键系统采购时间线的额外需要。例如,如果商业现货(COST)控制系统硬件和软件组件已经满足识别的和文档证明的可靠性验证标准;则可能不需要重新验证用于铁路关键系统应用的那些相同的产品。相反地,可以通过包括已经验证的商业现货产品的贡献的一般系统验证程序来统一和简化安全关键系统验证,由此合理化采购时间线和过程。



技术实现要素:

因此,本发明的一个目标是通过将专有设计安全关键系统控制系统硬件和操作系统软件替换为更容易得到的非专有商业产品来简化铁路安全关键系统总体设计。

本发明还有的另一目标是通过当替代物的验证划算时用非专有产品替代专有产品来降低安全关键系统控制系统采购成本并且增加合格子供货商的数目,这些子供货商在它们各自的商业生产线方面具有更广阔的设计专业知识。

本发明的额外目标是通过简化和聚集验证程序来合理化安全关键系统控制系统采购成本和验证时间线以及增加合格供货商的数目。

根据本发明通过用于铁路安全关键应用系统(“安全关键系统”)的控制系统和用于操作该控制系统的方法来实现这些和其他目标,该控制系统用商业现货硬件和操作系统软件替代铁路领域特定专有产品部件,还可以被验证为符合铁路安全关键系统标准。例如,商业个人计算机或具有一个或多个个人计算机和操作系统的虚拟计算机环境可以替代具有两个独立任务、线程或节点的专有铁路领域特定铁路环境,并且被配置用于与其他安全关键系统进行非对称通信。这两个任务接收并检验安全关键系统输入消息数据和安全代码完整性并响应于输入消息分别地生成输出数据。利用非对称通信架构,第一任务具有发送包括输出数据但不具有输出安全代码的安全关键系统输出消息的唯一能力,并且仅第二任务具有生成所需的输出安全代码的能力。因为冗余和非对称通信架构,任一个或两个任务、软件或处理能力的故障导致未能传送安全关键系统输出消息或不能被接收那些未被检验的消息的其他安全关键系统检验(并因此不被使用或信任)的输出消息。

本发明的特征在于用于铁路安全关键应用系统(“安全关键系统”)的控制系统。该控制系统具有执行第一和第二任务的至少一个控制器。该第一任务具有外部双边通信接口,其能够发送和接收在铁路安全关键应用系统内生成的安全关键系统消息。该消息包括安全代码和安全关键数据。该第二任务具有外部通信接口,其能够接收但是不能发送在第二任务内生成的安全关键系统消息。该第二任务具有安全代码生成器。该控制系统具有耦合第一和第二任务的任务间通信路径。当操作本发明的控制系统时,该第一和第二任务分别接收包括输入安全关键系统数据和输入安全代码的输入安全关键系统消息。它们两个都检验输入消息完整性并生成输出安全关键系统数据。该第二任务生成输出安全代码并且将其发送给第一任务。然后第一任务发送包括输出安全关键系统数据和第二任务的输出安全代码的输出安全关键系统消息,以便在安全关键应用系统内使用。

本发明的特征还在于包括用于控制铁路安全关键系统的多个控制系统的铁路系统。各控制系统彼此通信耦合以用于接收和传输分别具有安全关键数据和安全代码的安全关键系统消息。相应控制系统中的至少一些中的每一个都具有执行第一和第二任务的至少一个控制器。该第一任务具有外部双边通信接口,其能够发送和接收在另一被连接的系统内生成的安全关键系统消息。该第二任务具有外部通信接口,其能够接收但是不能发送在该第二任务内生成的安全关键系统消息。该第二任务具有安全代码生成器。任务间通信路径耦合第一和第二任务。在那些相应控制系统的操作中,该第一和第二任务分别接收包括输入安全关键系统数据和输入安全代码的输入安全关键系统消息;检验输入消息完整性并生成输出安全关键系统数据。该第二任务生成输出安全代码并且将其发送给第一任务,并且第一任务发送包括输出安全关键系统数据和第二任务的输出安全代码的输出安全关键系统消息,以便在被连接的系统内使用。

本发明额外的特征在于一种用于控制安全关键铁路控制系统(诸如联锁系统或列车控制系统)的方法。该方法包括利用在至少一个控制器上执行的相应第一和第二任务来接收在铁路列车内生成的包括安全代码和安全关键数据的安全关键系统输入消息,并且独立地检验输入消息完整性。接下来各任务中的每一个响应于该输入消息独立地生成输出安全关键系统数据。该第二任务生成被发送给第一任务的输出安全代码,然后该第一任务进而负责收集、检验和发送包括输出安全关键系统数据和第二任务的输出安全代码的输出安全关键系统消息。

本领域技术人员可以以任何组合或子组合来共同地或分别地应用本发明的目标和特征。

附图说明

可以通过结合附图考虑下面的详细描述来容易地理解本发明的教导,在附图中:

图1是示出本发明的列车安全关键系统的相互作用的车载列车控制系统一般示意图;

图2是在本发明的列车安全关键系统控制系统中使用的类型的计算机或控制器的示意图;

图3是在本发明的安全关键系统控制系统中使用的示例性安全关键系统消息格式;

图4是示出在本发明的各安全关键系统控制系统之间的通信相互作用的框图;

图5是示出由本发明的安全关键系统控制系统的示例性实施例执行的处理步骤的计时图;以及

图6是示出由本发明的安全关键系统控制系统的另一示例性实施例执行的处理步骤的计时图。

为了促进理解,在可能的的情况下已使用了同样的参考数字来指定附图所共有的同样的元件。

具体实施方式

在考虑下面的描述之后,本领域技术人员将会清楚地认识到,可以在用商业硬件和/或操作系统软件替代专有产品部件的、还被验证符合铁路安全关键系统标准的铁路安全关键系统中容易地利用本发明的教导。在本发明的一些实施例中,安全关键系统利用具有一个或多个个人计算机、具有两个独立任务和操作系统或其他商业上可得到的控制器和操作系统的虚拟计算机环境。为了额外的多样性,每个计算机、操作系统、软件语言和编译器可能不同。两个任务接收和检验安全关键系统输入消息数据和安全代码完整性并响应于输入消息单独地生成输出数据。该单独成对的任务非对称地通信。第一任务具有发送包括输出数据和输出安全代码的安全关键系统输出消息的唯一能力,但仅第二任务具有生成输出安全代码的能力。任一计算机硬件、软件或处理能力的故障会导致未能传送安全关键系统输出消息或未能传送不能被接收那些未被检验的消息的其他安全关键系统检验(并因此不被使用或信任)的输出消息。

列车安全关键系统的一般描述

图1一般地示出具有固定轨道10以及一个或多个列车40的铁路系统。这里关于列车通信、包括安全关键系统等等的各列车系统的相互作用的一般描述具有帮助理解在铁路列车中可以怎样利用本发明的一般性质。个体列车网络和列车系统可能不同于这里阐述的一般示例性描述。列车40包括无线数据/通信系统42,其能够传送和接收无线数据,与通信系统无线轨道列车控制站网络(未示出)通信。

列车发射器和接收器通信安全关键系统42直接或间接通信耦合到其他安全关键系统,其他安全关键系统包括车载列车管理系统(TMS)50和车载单元(OBU)51,该车载单元(OBU)51在列车操作员未能遵循局部轨道速度和停止指令的情况下干预列车速度控制和制动。典型地,列车40还有具有已知设计的车载数据记录系统(DRS)60,其具有记录器62以及一个或多个相关联的存储器储存设备64(除了别的之外其还用于获取、处理、组织、格式化和记录事故数据)。和任何其他安全关键系统一样,DRS 60功能可以作为一个子系统合并到另一列车车载重要系统(诸如列车管理系统(TMS)50)内,而不是作为分开的独立设备。

如图1中还示出的,列车40通常具有其他安全关键子系统,包括将驱动力提供给一个或多个车轮车厢的驱动系统72和用于改变列车速度的制动系统74。该车载列车管理系统(TMS)50是用于所有其他受控列车子系统的主要电子控制设备,该其他受控列车子系统包括导航定位系统(NPS)82A,其与提供列车定位和速度信息的列车位置检测系统82B相关联。其他子系统包括节流控制装置,其促使驱动系统72(例如或多或少的被节流速度)工作并且从TMS 50接收命令。制动系统74促使制动器对列车40制动。制动系统74也从TMS 50接收命令。其他列车车厢和/或串联机车40’可选地可以与TMS 50或列车40中的其他子系统通信,诸如用于制动和节流控制的协调。列车40还具有列车工作人员人机接口(HMI)90(其具有电子显示屏91)和操作员致动的制动器B和节流阀T控制装置(操作员根据列车操作状况来使用它们中的一个或两个),以使得列车操作员可以驱动列车。HMI 90经由通信数据总线92与TMS 50进行通信,尽管当实施其他已知控制系统架构时其他已知的通信路径可以替代该数据总线。HMI 90将列车操作员相应的节流阀T和制动器B控制命令传达给相应的引擎控制装置72和制动系统74。

在图1的该示例性实施例中,TMS列车控制系统50、OBU 51、数据记录系统(DRS)60和HMI 90中的每一个都具有经由数据总线92彼此进行通信的已知设计的内部计算机/控制器平台100。然而,作为设计选择的问题,计算机控制器的数目、它们的位置以及它们的分布功能可能改变。在该示例性实施例中,由TMS 50以及其中的控制器平台100来执行列车40子系统的一般控制;由OBU 51以及其中的控制器平台来执行干预功能;由数据记录系统60以及其中的控制器平台100来执行数据记录功能;并且由HMI 90以及其中的控制器平台100来执行HMI功能,然而这些系统50、51、60、90中的任一个可以部分或整体地组合。

安全关键铁路系统任务及其通信的一般描述

参考图2,物理或虚拟控制器平台100包括处理器110以及与其通信的控制器总线120。处理器110被耦合到一个或多个内部或外部存储器设备130,该存储器设备130中包括由处理器访问和执行的应用程序150软件模块指令集和操作系统140,并且促使其各自的控制设备(例如TMS 50、OBU 51、DRS 60或HMI 90等等)在它们各自的相关联安全关键子系统上执行控制操作。

尽管参考由通过处理器110所执行的软件模块的示例性控制器平台100架构和实现,但是还要理解,可以以硬件、软件、固件、专用处理器或其组合的各种形式来实施本发明。优选地,本发明的各方面以软件方式实施为程序存储设备上有形体现的程序。该程序可以被上传到包括任何适当架构的机器,并且由该机器来执行。优选地,在计算机平台上实施该机器,该计算机平台具有诸如一个或多个中央处理单元(CPU)、随机存取存储器(RAM)和(一个或多个)输入/输出(I/O)接口之类的硬件。计算机平台100还包括操作系统和微指令代码。这里描述的各种过程和功能可以是微指令代码的一部分或者经由操作系统执行的程序(或其组合)的一部分。此外,各种其他外围设备可以被连接到计算机/控制器平台100。

要理解,因为在附图中描绘的构成系统部件和方法步骤中的一些优选地以软件方式来实施,所以根据本发明被编程的方式各系统部件(或过程步骤)之间的实际连接可能不同。具体来说,各计算机平台或设备中的任何一个可以使用任何现有的或稍后发现的联网技术来互连,并且所有都还可以通过较大的网络系统(诸如企业网络、城域网或全球网(诸如互联网))来连接。

计算机/控制器平台100经由相应的通信路径I’通过输入接口160从一个或多个输入设备I接收输入通信,进而可以经由控制器总线120分配输入信息。输出接口180经由相关联的通信路径O’促进与一个或多个输出设备O的通信。控制器平台100还具有用于与共享外部数据总线(诸如先前描述的数据总线92)上的其他控制器进行通信的通信接口170。

参考图2-4,经由数据总线92上载送的安全关键系统消息(SCSM)200来完成计算机/控制器平台100以及它们各自的安全关键系统(SCS1-SCSn)之间的通信。根据针对铁路关键系统中的安全关键数据完整性而批准的已知协议(包括由已知CHECK-SUM、HASH等等协议生成的已知安全代码)来格式化和传送每个SCSM 200。图3中示出的示例性SCSM 200包括时间戳210,并且如果需要的话还包括序列号和来源及目的地标识符(未示出)、安全关键系统数据(SCS数据)220和安全代码(SC)230。为了便于这里的描述,传入或输入安全关键系统消息(SCSMI)包括安全关键输入数据(DI)和输入安全代码(SI)。类似地,传出或输出安全关键系统消息(SCSMO)包括安全关键输出数据(DO)和输出安全代码(SO)。当安全关键系统SCS1-SCSn接收到SCSMI时,利用以硬件、固件、软件或其任何组合实施的任务(T1、T2)内的已知SCI 240分析模块来检验其数据完整性。如果SCSMI数据完整性被检验,则DI被该任务利用来准备包括输出数据DO和在SCO 250生成模块中生成的输出安全代码的相应输出消息SCSMO。和SCI 240模块一样,以硬件、固件、软件或其任何组合来实施SCO 250模块生成功能。随后生成的SCSMO被传达给一个或多个预期接受者SCS控制器平台,其进而将该消息当作SCSMI。

冗余控制系统和操作

在图4中,安全关键系统任务SCS1和SCS2分别包括一成对任务集T1 300和T2 320,它们经由控制器间数据接口330彼此双边通信。任务330、320在商业上可得到的工业、商用或消费设备(诸如例如工业可编程逻辑控制器、单独的或组合的计算机/控制器母板或商业现货个人计算机/母板)中运行。以其他示例的方式,如果在个人计算机中照字面地或虚拟地执行任务300、320,则可以在一个或多个计算机中的同一或分开的控制器100上执行它们,该一个或多个计算机被容纳在分开的设备中、在共同设备外壳、服务器机架中组合的分开的板等等中。该一个或多个计算机中的每一个可以包括不同的硬件(其包括单独或共同的控制器平台100、和/或处理器110)和/或操作系统140和/或存储在硬件中由(一个或多个)处理器执行来实行其各自的专用安全关键系统功能的应用程序150。在每个相应任务300、320中使用的部件和软件可以来源于不同的供货商。例如,每个任务300、320可以利用处理器110、操作系统140和应用程序软件150的不同供货商模型、版本或类型,以便降低广泛的供货商范围部件或软件故障的可能性。在分开的任务T1和T2的另一示例性实施例或配置实现中,在共同计算机处理器100中利用也虚拟实施的相应SCI 240和SCO 250子任务来同时且实时虚拟地执行它们。

T1 任务300能够通过通信路径340与关键系统数据总线92双边通信,该通信路径340可以包括在任务平台100通信装置接口170中启用的通信端口。任务300具有传入安全代码检验模块240,其使得它能够检验SCSMI的数据完整性,但是它不具有生成传出SCSMO安全代码SCO的能力。

T2任务320具有启用的传出安全代码SCO生成器250,但是不能将SCO和关键输出数据直接传送给关键系统数据接口92。任务320仅能够经由内部数据接口330将SCO传送给任务300:仅能够通过单边传入通信路径350接收SCSMI并且可以利用SCI检验模块240来检验数据完整性。换言之,T2任务320不能将SCSMO直接传送给数据总线92。

如可以通过参考图5和图6所理解的,SCS1中的相应T1任务300和T2 任务320具有利用非对称通信实现的互相依赖的成对关系。第一T1任务300能够接收SCSMI并发送响应的SCSMO,但是它直到它从第二T2任务320接收到SCO才能创建响应消息。T2任务不能外部通信到关键系统数据总线92,并且必须依赖于T1任务来发送任何消息。

在图5中,在步骤400中各安全关键系统SCS2-SCSn中的一个发送SCSMI(其包括在时间t1到达SCS1的DI和SCI),在SCS1处该SCSMI被T1和T2二者接收到。在t2处,在步骤410中T1和T2二者检验SCSMI数据完整性并且在步骤420中这二者响应于输入数据DI来生成DO数据(t3)。在步骤430中,T2在时间t4生成输出安全代码SCO并且在步骤440中将其发送给T1。在步骤450(t5)中,T1现在收集(由T2在前一步骤提供的)DO并可选地利用其自己生成DO对其进行检验,之后在步骤460(t6)中,通过关键系统数据总线92将SCSMO传送给其他安全关键系统。如果在步骤450期间DO没有彼此确证(即输出数据可疑)则它将不传送SCSMO。可替代地,如果不启用T1来检验DO或者如果T1和/或T2出故障,则它可能传送受损SCSMO,但是当消息被另一安全关键系统接收时将识别出该损坏。

图6的实施例具有如图5的实施例的所有步骤和过程,但是添加比较SCSMI检验步骤415,在那里T1和T2检查彼此相应检验结果。如果比较结果不同,则SCS1标示错误。该实施例还在步骤430中的T2生成安全输出代码SCO之前添加比较输出数据DO步骤425。再次地,如果比较结果不同,则SCS1标示错误。

用于安全关键系统的本发明铁路控制系统的软件冗余和相互依赖非对称通信输出安全代码生成/传输特征确保比商业现货控制器或个人计算机的任何个体或独立并行处理对更高的安全级。单台计算机容易受到将不一定由从发生故障的计算机接收SCSMO的其他安全关键系统检测到的多种形式的故障。将同一SCSMO馈送到其他安全关键系统或者在传输之前确证输出消息的两个独立并行任务执行T1和T2(无论是否在一个或多个计算机平台上被实施)二者可以生成同一不正确的输出消息。利用本发明的控制系统这样的故障模式传输错误是不可能的。

当分析本发明SCS1的安全关键系统控制系统的可能故障模式时,如果T1计算不正确的DO且T2计算正确的DO和SCO,则在检验步骤450期间T1将标示其自己的DO和DO之间的失配并且标示错误。如果T1在步骤450中没有检验SCSMO,则当接收该消息的其他安全关键系统检验所接收到的消息时它们将标示该错误。反过来,如果T1 DO是正确的但是T2 DO或SCO是不正确的,则T2或接收SCSMO的其他SCS将标识该错误。如果T1和T2二者发生故障并生成有错误的DO和/或SCO,则将由随后接收受损消息的其他关键系统来指出DO和SCO的失配。

尽管在这里已经详细示出和描述了结合本发明的教导的各种实施例,但是本领域技术人员可以容易地想出仍结合这些教导的许多其他改变的实施例。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1