双核双锁步二取二架构及其安全平台的制作方法

本发明属于安全关键相关技术领域，具体涉及一种双核双锁步二取二架构及其基于该架构的安全平台。

背景技术：

基于二乘二架构的安全系统在安全关键领域(比如轨道交通、核电等已经得到广泛应用，其安全性和可靠性已经得到充分认证。现有通用二乘二取二架构由四个硬件结构和功能完全相同的处理单元组成，每两个处理单元组成单系二取二系统(参阅图2)，两系二取二结构和功能完全相同，两系之间为二乘冗余关系。单系中的两个处理单元各自独立对本处理单元的运算结果和对方处理单元的运算结果进行软件数据比较，若某一处理单元发现数据比较不一致，则该处理单元停止对外输出。外部执行单元或者设备只有在收到两个处理单元的有效输出命令后才会对外驱动输出，从而实现安全控制。如果某一系因数据此较不一致而不对外输出时，判断该系故障，自动切换至另一系。两系二取二之间的主备冗余结构保障了整个架构的可靠性，二取二架构内的二取二比较单元则保障了整个架构的安全性。

通用二取二安全架构虽然在对处理单元输出结果进行表决提高了安全性，但是若在处理单元输出电路或者外部执行单元上发生软件不可控制的故障时，有可能导致非处理单元发出的指令的错误执行，从而带来严重的安全隐患。同时两个处理单元之间相互独立运行，缺少系统正常运行监控，当系统跑飞时，错误输入导致最终错误输出。

针对通用二取二安全架构的上述问题，一种改进型二取二架构(参阅图3)被提出。改进型二取二架构增加了一个独立的监控单元，监控单元输出一个基准时钟，用于两个处理单元的任务同步，同时监控单元监控两个处理单元任务数据，当两个处理单元监控数据不一致时，直接切断二取二比较单元输出，提高安全平台输出响应速度。

改进型二取二架构虽然通过增加监控单元的方式实现了对两个处理单元的监控，在监控数据不一致时也具备切断二取二此较单元输出的功能，但是当监控单元出现特定单点故障时，监控单元无法保证对两个处理单元的监控，改进型二取二架构几乎降级成通用二取二安全架构。因此改进型二取二架构没有真正意义上解决通用二取二安全架构上出现的问题。

技术实现要素：

为解决前述问题，本发明提出了一种双核双锁步二取二架构及其基于该架构的安全平台。

为达到前述目的，本发明采用如下技术方案：

双核双锁步二取二架构，至少包括第一处理单元、第二处理单元和第三处理单元，其中，所述第一处理单元和第二处理单元均采用双核处理器，包括主内核和校验内核；

所述第一处理单元和第二处理单元的主内核用于执行相同的主体安全关键业务；所述第一处理单元和第二处理单元的校验内核中设置监视比较器，用于实现双处理器主内核间数据锁步以及完成实时故障诊断和故障注入；

所述第三处理单元用于完成第一处理单元和第二处理单元数据二取二表决以及在故障状态下输出切断信号。

作为进一步的改进方案，所述第一处理单元和第二处理单元采用同构或者异构。

作为进一步的改进方案，双核处理器的两个核心从物理内核上区分为内核1和内核2，所述第一处理单元中内核1配置为主内核、内核2配置为校验内核；第二处理单元中内核1配置为校验内核、内核2配置为主内核，以实现内核上的异构。实现两个处理单元主内核间的双锁步，解决了改进型二取二架构中存在的单点故障问题。

作为进一步的改进方案，所述第一处理单元和第二处理单元之间通过高速总线进行数据通信。

作为进一步的改进方案，所述第一处理单元或第二处理单元中的内核间通过共享内存或者实时消息实现数据交互。

作为进一步的改进方案，所述校验内核用于监视并比较所述第一处理单元和第二处理单元的地址总线和数据总线数据以实现两个处理单元主内核间的数据锁步。

作为进一步的改进方案，所述校验内核用于完成系统实时故障诊断同时通过注入故障方式可以验证平台故障诊断和故障响应机制的正确性和完备性并输出故障状态信号至本处理单元对应的主内核以及第三处理单元。

本发明还公开了基于双核双锁步二取二架构的安全平台，采用权利要求1-7所述的双核双锁步二取二架构作为主系和备系，两系构成二乘二冗余架构。

作为进一步的改进方案，主系和备系间通过高速总线交互业务数据、平台数据信息，以及两者间还包括硬接线脉冲信号，所述硬接线脉冲信号至少包括健康信号和主备信号。

作为进一步的改进方案，所述第三处理单元用于生成脉冲信号实现健康信号和主备信号的安全检测，以及接收备系健康信号和主备信号完成主备逻辑处理。

同时校验内核完成系统实时故障诊断，同时通过注入故障方式可以验证平台故障诊断和故障响应机制的正确性和完备性。校验内核监视和比较器功能输出故障状态信号至本处理单元对应的主内核以及第三处理单元3。

第三处理单元3对所有经由第一处理单元1和第二处理单元2输入或者输出的所有报文进行二取二表决。第三处理单元3综合处理二取二表决状态以及监视比较器输入的状态信息，特定故障状态下第三处理单元3可切断平台对外输出从而导向安全侧。第三处理单元3还用于生成脉冲信号用于健康信号和主备信号的安全检测。

作为优选，第一处理单元1和第二处理单元2为不同架构的处理器。

作为优先，第三处理单元3采用fpga(field-programmablegatearray)，即现场可编程门阵。

与现有技术相此，本发明具有如下技术效果：

1、第一处理单元和第二处理单元的处理器为双核心处理器，两个处理器在物理核上实现功能异构，降低系统共因失效；

2、第一处理单元和第二处理单元的处理器通过监视此较器实现双锁步机制，解决了单锁步机制存在的单点故障问题；

3、第一处理单元和第二处理单元的监视此较器具备故障诊断和故障注入功能，可以提高平台故障诊断覆盖率并解决了实时验证的问题；

4、第三处理单元具备二取二表决功能，同时实现二乘冗余信号切换机制。

附图说明

下面结合附图对本发明做进一步说明：

图1是本发明实施例1的双核双锁步二取二架构安全平台示意图。

图2是现有技术中的通用二取二架构示意图。

图3是有技术中的改进型二取二架构示意图。

具体实施方式

以下结合本发明实施例的附图对本发明实施例的技术方案进行解释和说明，但下述实施例公为本发明的优先实施例，并非全部。基于实施方式中的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的其他实施例，都属于本发明的保护范围。

实施例1：

参阅图1，本发明双核双锁步二取二架构的原理框图，基于该架构的安全平台，其包括皆为双核双锁步二取二架构的主系和备系，两系构成二乘二冗余架构。

主备两系皆包括三个处理单元，第一处理单元1、第二处理单元2和第三处理单元3；第一处理单元1和第二处理单元2中的主内核执行相同的安全关键业务，完成系统主体功能；第一处理单元1和第二处理单元2校验内核执行监视此较器的功能。第三处理单元3主要完成第一处理单元1和第二处理单元2数据二取二表决、接收备系健康信号和主备信号完成主备逻辑处理。

第一处理单元1和第二处理单元2为双核心处理器，两个处理器可以同构或者异构，优先采用异构方式以减小共因失效。处理单元在物理内核上异构化分配功能内核，进一步减小共因失效。

第一处理单元1和第二处理单元2中的校验内核实时监视并此较第一处理单元1和第二处理单元2的地址总线和数据总线数据，实现两个处理单元主内核间的双锁步，解决改进型二取二架构中存在的单点故障问题。同时校验内核完成系统实时故障诊断，同时通过注入故障方式可以验证平台故障诊断和故障响应机制的正确性和完备性。

第三处理单元3对所有经由第一处理单元1和第二处理单元2输入或者输出的所有报文进行二取二表决。第三处理单元3综合处理二取二表决状态以及监视此较器输入的状态信息，特定故障状态下第三处理单元3可切断平台对外输出从而导向安全侧。第三处理单元3还用于生成脉冲信号用于健康信号和主备信号的安全检测。

以上公开的仅为本发明的具体实施例，但本发明的保护范围并不局限于此，任何本领域的技术人员能思之的变化，都应落在本范围的保护范围内。任何不偏离本发明的功能和结构原理的修改都将包括在权利要求书的范围中。