用于安全关键系统的可靠、低延迟的硬件和软件进程间通信通道的制作方法

用于安全关键系统的可靠、低延迟的硬件和软件进程间通信通道的制作方法
【专利说明】用于安全关键系统的可靠、低延迟的硬件和软件进程间通信通道
[0001]相关申请的交叉引用
[0002]本申请要求2013年12月16日递交的美国临时申请N0.61/916，445的权益。
技术领域
[0003]本公开涉及容错的失效保护计算机系统。
【背景技术】
[0004]本部分提供涉及本公开的背景信息，其不一定是现有技术。
[0005]这里提供的背景描述的目的是为了大体呈现本公开的环境。到本背景部分中描述的程度的现署名发明人的工作，以及在递交时可能没有资格作为现有技术的描述方面，既不明确也不隐含地被接纳为针对本公开的现有技术。
[0006]外部安全系统，诸如铁路系统，可以包括被配置为实施安全应用程序的容错失效保护计算机系统。容错失效保护计算机系统可以包括电联接且逻辑联接以便实施安全应用程序的多个硬件部件。安全应用程序与安全关键硬件和软件选择性通信。安全关键硬件和软件被配置为控制铁路系统的安全相关功能。
[0007]例如，在铁路系统上行驶的火车包括制动系统。制动系统被配置为实施至少一个安全相关功能，诸如制动功能。制动系统包括制动器和被配置为启动制动器的软件。软件接收指令以启动制动器。例如，火车的操作员可以操作制动系统用户界面以便命令软件启动制动器。偶尔，铁路系统的故障部件可能会产生启动制动器的错误指令。因此，期望被配置为验证由外部安全系统接收的指令的容错失效保护计算机系统。

【发明内容】

[0008]本部分提供本公开的一般总结，并不是其全部范围或全部特征的全面公开。
[0009]一种包括处理器间通信通道的容错失效保护计算机系统，包括发送控制模块，用于将第一数据包编码，并传送所述第一数据包的第一编码拷贝和所述第一数据包的第二编码拷贝。该系统还包括接收器控制模块，用于i)接收第二数据包的第一编码拷贝和第二数据包的第二编码拷贝，并且ii)将所述第一编码拷贝和所述第二编码拷贝解码。该系统进一步包括重复删除模块，用于接收多个数据包，并传送所述多个数据包中的至少一个唯一数据包。
[0010]在其他特征中，一种方法包括将第一数据包编码，传送所述第一数据包的第一编码拷贝和所述第一数据包的第二编码拷贝，接收第二数据包的第一编码拷贝和所述第二数据包的第二编码拷贝，将所述第一编码拷贝和所述第二编码拷贝解码，接收多个数据包，传送所述多个数据包中的至少一个唯一数据包。
[0011]根据这里提供的描述，另外的应用领域将显而易见。本总结中的描述和具体示例仅打算为了说明的目的，并不打算限制本公开的范围。
【附图说明】
[0012]这里所述的附图仅用于所选实施例而不是全部可能实施方式的示意性目的，并且不致力于限制本公开的范围。
[0013]图1是根据本公开的原理的容错失效保护计算机系统的功能框图；
[0014]图2是根据本公开的原理的失效保护底盘的功能框图；
[0015]图3是根据本公开的原理的表决子系统的替代例的功能框图；
[0016]图4是根据本公开的原理的处理器间通信通道的功能框图；
[0017]图5是示出根据本公开的原理的处理器间通信通道方法的流程图；以及
[0018]图6是示出根据本公开的替代处理器间通信通道方法的流程图。
[0019]在附图的几个视图中，对应的参考标记指代对应的部分。
【具体实施方式】
[0020]现在将结合附图更充分地描述示例实施例。
[0021]现在参见图1，示出了示例性容错失效保护计算机系统100的功能框图。系统100被布置为与安全应用程序交互。例如，系统100被布置为与安全关键硬件和相关联的软件通信，通过非限制性示例，系统100为铁路系统。安全关键硬件和软件控制铁路系统的安全相关部件。例如，安全关键硬件可以被联接至在铁路系统上运行的火车的制动系统。此外，系统100能够根据行业认可的安全标准被证明合格。
[0022]安全关键硬件从安全关键软件接收数据元以启动制动系统的制动器。系统100与安全关键硬件和软件配合，以确保安全关键硬件和软件根据预定操作标准操作。可以理解的是，虽然只描述了火车的制动系统，但是本公开的原理适用于任何安全关键硬件和软件。这里描述的实施例的其他可能应用包括但不限于航空系统的部件、医疗系统的部件、石油和天然气控制系统的部件、智能网格系统的部件和各种制造系统的部件。
[0023]在一些实施方式中，系统100从诸如铁路系统的外部安全系统接收多个输入数据包。系统100被配置为处理多个输入数据包，并且将多个传出数据包传送至外部安全系统的安全相关部件。例如，系统100确定多个输入数据包中的第一数据包是否为有效数据包。在系统100确定第一数据包是有效数据包时，系统100将传出数据包传送至铁路系统的至少一个安全相关部件。
[0024]第一数据包包括通过铁路系统的至少一个安全相关部件起作用的数据元。数据元可以包括传感器数据和/或输入/输出(I/o)点状态。至少一个安全相关部件可以是联接至铁路系统上行驶的火车的制动器。可以理解的是，虽然只描述了外部安全系统的安全相关部件，但是第一数据包可以包括通过外部安全系统的非安全相关部件起作用的数据元。数据元根据传输协议被格式化。例如，铁路系统被配置为根据预定封装标准将数据元封装为可传输数据包。然后，铁路系统根据传输协议传输多个输入数据包。
[0025]系统100被配置为接收根据传输协议发送的数据包。此外，系统100被配置为解译预定封装标准。然后，系统100从第一数据包提取数据元并基于数据元产生传出数据包。传出数据包包括基于数据元的指令集。虽然仅讨论指令，但是传出数据包还可以包括控制I/o的操作指令、读取输入以收集信息的请求、健康状态消息通信、进程间通信的请求或其他适合的元素。指令集包括命令安全关键硬件和软件中的至少一个执行一程序的至少一个指令。
[0026]例如，指令集可以命令安全关键软件执行制动程序。制动程序包括硬件制动指令。硬件制动指令被传送至安全关键硬件。安全关键硬件执行制动指令。例如，安全关键硬件实施制动。
[0027]系统100确定是否将传出数据包和数据元传送至安全关键硬件和软件。例如，系统100确保多个输入数据包中的每一个都满足预定安全标准。预定安全标准包括确定铁路系统是否根据预定义的操作标准集操作。系统100查证多个输入数据包中的每一个是由铁路系统100有意传输。仅仅是例如，由于铁路系统内的硬件或软件故障(fault)，铁路系统可能传输错误的输入数据包。
[0028]安全关键硬件和软件响应于铁路系统的操作员的命令，接收多个输入数据包中的第一数据包。由于铁路系统中的故障，安全关键硬件和软件接收多个输入数据包中的第二数据包。仅通过非限制性示例，铁路系统中的故障可以包括硬件失效(failure)，诸如由于长期暴露至热或湿气而导致的劣化电连接。安全关键硬件和软件将包括第一和第二数据包的多个输入数据包传送至系统100。系统100被配置为确定多个输入数据包中的每一个是否作为铁路系统中的故障的结果而被安全关键硬件和软件接收。
[0029]在系统100确定多个输入数据包中的一个响应于操作员的命令而接收时，系统100产生与所接收的输入数据包相对应的传出数据包。例如，系统100产生基于第一数据包的第一传出数据包。第一传出数据包包括与第一数据包内的数据元相对应的指令集。在系统100确定第一数据包是有效数据包时，系统100将第一传出数据包传送至安全关键硬件和软件。例如，系统100确定第一数据包响应于操作员的命令而被接收。系统100将第一传出数据包传送至安全关键硬件和软件。安全关键硬件和软件执行包括在第一传出数据包中的指令集。
[0030]相反，在系统100确定多个输入数据包中的一个响应于铁路系统内的故障而被接收时，系统100不向安全关键硬件和软件传送传出数据包。例如，系统100确定第二数据包由于铁路系统中的故障而被接收。系统100不向安全关键硬件和软件传送与第二数据包相对应的传出数据包。结果，安全关键硬件和软件不执行与包括在第二数据包中的数据元相对应的指令。
[0031]进一步地，系统100基于在铁路系统内发生故障的确定而产生故障指示。通过这种方法，安全关键硬件和软件执行的数据元首先被系统100查证。这种查证确保铁路系统根据预定安全标准而操作。
[0032]在一些实施方式中，系统100接收多个输入数据包中的第一数据包。同时，系统100接收多个输入数据包中的第二数据包。然后，系统100对第一和第二数据包执行表决逻辑。表决逻辑可以被实施为双重二选二(2002)系统。下文中更详细地解释2oo2表决逻辑。系统100确定第一和第二数据包是否相同。在系统100确定第一和第二数据包相同时，系统100产生第一传出数据包，并且将第一传出数据包传送至安全关键硬件和软件的至少一个部件。
[0033]然后，至少一个部件执行包括在第一传出数据包内的操作数据元。相反，在第一和第二数据包不同时，系统100将系统100或铁路系统中的至少一个部件识别为故障。可以理解的是，虽然描述了铁路系统，但本公开的原理适用于任何外部安全系统。
[0034]系统100还产生安全指示。安全指示可以指示系统100或安全关键硬件和软件内的失效。进一步地，系统100命令所述至少一个部件以预定安全状态操作。例如，安全状态可以包括被布置为维持铁路系统的安全操作环境的安全状态数据元集。
[0035]安全状态数据元包括命令铁路系统以确保铁路系统总体安全的预定操作模式操作。仅仅作为示例，预定操作模式包括将铁路系统上运行的火车导入车站。在一些实施方式中，安全状态包括禁用全部安全相关的通信界面。例如，在安全状态下操作的失效保护计算机不能与安全关键硬件和软件通信。通过这种方法，在安全状态下操作的失效保护计算机不能错误地命令安全关键硬件和软件。
[0036]系统100包括活动的失效保护底盘(FSC) 104和备用FSC 108。为了提高系统100的可用性和可靠性，活动FSC 104和备用FSC 108是冗余FSC。例如，活动FSC 104被配置为执行备用FSC 108的任意和全部操作。通过这种方法，在活动FSC 104和备用FSC 108中的一个遭遇硬件或软件失效时，活动FSC 104和备用FSC 108中的另一个被配置为代替失效FSC而操作。
[0037]活动FSC 104实施用于检测表决失配的二选二(2oo2)表决架构，并在表决失配发生时执行失效保护操作。2oo2表决架构包括双重冗余处理和表决子系统。冗余处理和表决子系统对进入或离开活动FSC 104的数据包进行表决。例如，活动FSC 104接收多个输入数据包。活动FSC 104接收多个输入数据包中的第一数据包的两个拷贝。
[0038]活动FSC 104确定第一数据包的有效性。活动FSC 104基于第一数据包是否有效的确定，连续产生第一健康状态信号和第二健康状态信号。在一些实施方式中，连续产生一信号可以包括将该信号设定为第一预定值。然后，连续产生的信号被维持在第一预定值，直到该信号被无效为第二预定值。
[0039]活动FSC 104比较第一数据包的两个拷贝中的每一个。在两个拷贝相同时，活动FSC 104确定第一数据包有效。在活动FSC 104确定第一数据包有效时，活动FSC 104连续产生第一健康状态信号和第二健康状态信号。第一和第二健康状态信号可以被有效为第一值。在一些实施方式中，第一值等于I。在另一个实施方式中，第一值可以是指示FS