直接连接算法
【技术领域】
[0001]本公开涉及容错性失效保护计算机系统。
【背景技术】
[0002]该部分提供了关于本公开内容的背景信息,该背景信息并非必定为现有技术。
[0003]这里提供的【背景技术】的描述是为了呈现本公开的上下文概况。该【背景技术】所描述的所述现有发明人的工作以及可能在本申请申请日之前不能作为现有技术的所述描述的各个方面,既非明确也非隐含地作为本公开的现有技术。
[0004]一个外部安全系统,诸如铁路系统,可以包括被配置为执行安全应用程序的容错性失效保护计算机系统。所述容错性失效保护计算机系统可以包括用于执行安全应用程序的多个电连接且逻辑耦合的硬件组件。所述安全应用程序可选地与关键安全硬件和软件(safety critical hardware and software)进行通信。所述关键安全硬件和软件被配置为控制所述铁路系统的安全相关功能。
[0005]例如,在所述铁路系统上运行的火车包括一个制动系统。所述制动系统被配置为执行至少一个安全相关功能,例如制动功能。所述制动系统包括一个制动器以及被配置为驱动所述制动器的软件。所述软件接收指令来驱动所述制动器。例如,所述火车的操作员可以操作制动系统用户界面来指示所述软件驱动所述制动器。有时,所述铁路系统中的一个失效组件可能产生用于驱动所述制动器的一个错误指示。因而,需要一种容错性失效保护计算机系统,其被配置为验证外部安全系统所接收到的指令的有效性。
【发明内容】
[0006]该部分提供了本公开的
【发明内容】
概括,但是没有提供本公开所有范围或所有特征的详细内容。
[0007]一种系统包括一个用于响应于接收到一个执行任务的请求生成一个数据包并转发所述数据包的安全相关组件。所述系统还包括一个用于连续使(asserts) —个第一底盘正常(health)信号和一个第二底盘正常信号生效的第一失效保护底盘(FSC),所述第一失效保护底盘判断所述数据包是否有效,并且基于所述判断有选择地判断是否使所述第一底盘正常信号和一个第二底盘正常信号失效。所述系统也包括一个用于连续使一个第三底盘正常信号和一个第四底盘正常信号生效的第二失效保护底盘(FSC),所述第二失效保护底盘判断所述数据包是否有效以及,基于所述判断有选择地判断是否使所述第三底盘正常信号和所述第四底盘正常信号失效。所述系统还包括一个直接连接算法状态机,其用于基于所述第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和第四底盘正常信号判断是否指示所述第一失效保护底盘(FSC)以预定的模式运行。
[0008]在其他方面,一种方法包括响应于接收到一个执行任务的请求,生成一个数据包,并转发所述数据包,连续使一个第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和第四底盘正常信号生效,判断所述数据包是否有效,基于所述判断有选择地判断是否使所述第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和所述第四底盘正常信号失效,以及基于所述第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和第四底盘正常信号判断是否指示所述第一失效保护底盘(FSC)以预定的模式运行。
[0009]根据这里所提供的描述,进一步适用的范围将变得更明显。所述
【发明内容】
中的描述和具体示例仅用于示意性说明而不是旨在限定本公开的范围。
【附图说明】
[0010]此处描述的附图仅用于示意性地说明挑选出的实施例而不是说明所有可能的实施方式,并且不是旨在限定本公开的范围。
[0011]图1是根据本公开的原理的一个容错性失效保护计算机系统的功能框图;
[0012]图2是根据本公开的原理的一个失效保护底盘的功能框图;以及
[0013]图3是根据本公开的原理的一个用于执行直接连接算法的系统的功能框图;以及
[0014]图4是根据本公开的原理的一个容错性失效保护计算机执行方法的流程图。
[0015]附图中相同或相似的参考符号表示相同或相似的部件。
【具体实施方式】
[0016]现在将结合附图对示例性的实施例进行更充分地描述。
[0017]现在参考图1,示出了一个典型的容错性失效保护计算机系统100的功能框图。所述系统100被配置为与安全应用程序进行交互。例如,所述系统100被配置为与相关的关键安全软件和硬件进行交互,通过非限制性的举例而言,例如铁路系统。所述关键安全软件和硬件控制所述铁路系统的安全相关组件。例如,所述关键安全硬件可以耦合到运行所述铁路系统的火车的制动系统上。进一步地,所述系统100可以根据行业认定的安全标准来认证。
[0018]所述关键安全硬件接收来自所述关键安全软件的数据元素来驱动所述制动系统的制动器。所述系统100与所述关键安全硬件和关键安全软件交互以确保所述关键安全硬件和关键安全软件基于预定的操作标准来运行。应当理解的是,虽然仅描述了所述火车的一个制动系统,但是本公开的原理可应用到任何关键的安全硬件和软件。对于这里描述的实施例而言,其他可能的应用包括但不限于,航空系统的组件,医疗系统的组件,油气控制系统的组件,智能电网的组件,以及各种生产系统的组件。
[0019]在某些实施方式中,所述系统100接收来自诸如铁路系统等外部安全系统的多个输入数据包。所述系统100被配置为处理所述多个输入数据包并将多个输出数据包转发到所述外部安全系统的安全相关组件。例如,所述系统100判断所述多个输入数据包中的第一数据包是否为有效数据包。当所述系统100判断所述第一数据包为有效数据包,则所述系统100将一个输出数据包转发到所述铁路系统的至少一个安全相关组件。
[0020]所述第一数据包包括在所述铁路系统的至少一个安全相关组件上运行的数据元素。所述数据元素可以包括传感器数据和/或输入/输出(I/o)点状态。所述至少一个安全相关组件可以是一个耦合到运行所述铁路系统的火车的制动器。应当理解的是,尽管仅描述了所述外部安全系统的安全相关组件,但是所述第一数据包可以包括运行在所述外部安全系统的非安全相关组件上的数据元素。所述数据元素根据传输协议格式化。例如,所述铁路系统被配置为根据预定的打包标准将所述数据元素打包成可转发数据包。从而所述铁路系统根据所述传输协议转发所述多个输入数据包。
[0021]所述系统100被配置为根据所述传输协议接收所述转发的数据包。进一步地,所述系统100被配置为解析(interpret)所述预定的打包标准。从而所述系统100从所述第一数据包中提取所述数据元素并基于所述数据元素生成一个输出数据包。所述输出数据包包括基于所述数据元素的指令集合。尽管仅描述了指令,但是所述输出数据包也可以包括用于输入/输出控制(I/O)的操作指令、一个用于收集信息的输入读取请求、正常信息通信、进程之间的通信请求、或其他适当的元素。所述指令集合包括至少一个用于指示至少一个关键安全硬件和软件执行程序的指令。
[0022]例如,所述指令集合可以指示所述关键安全软件执行制动程序。所述制动程序包括硬件制动指令。所述硬件制动指令可以转发给所述关键安全硬件。所述关键安全硬件执行所述制动指令。例如,所述关键安全硬件执行制动功能。
[0023]所述系统100判断是否将所述输出数据包和数据元素转发给所述关键安全硬件和软件。例如,所述系统100确保所述多个输入数据包中的任何一个数据包符合预定的安全标准。所述预定的安全标准包括判断所述铁路系统是否按照预定的运行标准集合予以运行。所述系统100验证所述多个输入数据包中的任何一个数据包是由所述铁路系统100特意转发的。仅举例而言,所述铁路系统可能因为所述铁路系统内的硬件或软件失效而转发错误的输入数据包。
[0024]所述关键安全硬件和软件响应于来自所述铁路系统的操作员的命令,接收所述多个输入数据包中的第一数据包。由于所述铁路系统的一个故障,所述关键安全硬件和软件接收所述多个输入数据包中的第二数据包。通过非限制性的举例而言,所述铁路系统的所述故障可以包括,诸如因长期暴露于高温或潮湿中而导致的电气连接件磨损的硬件故障。所述关键安全硬件和软件转发多个输入数据包到所述系统100,包括所述第一数据包和第二数据包。所述系统100被配置为判断所述多个输入数据包中的每个数据包是否由于所述铁路系统的一个故障而导致被所述关键安全硬件和软件接收。
[0025]当所述系统100响应于来自所述操作员的命令,判断所述多个输入数据包中的一个数据包被接收,所述系统100生成一个与所接收的输入数据包对应的输出数据包。例如,所述系统100基于所述第一数据包生成第一输出数据包。所述第一输出数据包包括与所述第一数据包中的数据元素对应的指令集合。当所述系统100判断所述第一数据包为有效数据包,则所述系统100将所述第一输出数据包转发给所述关键安全硬件和软件。例如,所述系统100响应于来自所述操作员的命令,判断所述第一数据包被接收。所述系统100将所述第一输出数据包转发给所述关键安全硬件和软件。所述关键安全硬件和软件执行所述第一输出数据包中的指令集合。
[0026]相反,当所述系统100响应于所述铁路系统的一个故障,判断所述多个输入数据包之一被接收,则所述系统100不将输出数据包转发给所述关键安全硬件和软件。例如,所述系统100判断所述第二数据包被接收是由于所述铁路系统中的一个故障而导致,则所述系统100不将与所述第二数据包对应的输出数据包转发给所述关键安全硬件和软件。因而,所述关键安全硬件和软件不会执行与所述第二数据包中的数据元素对应的指令。
[0027]进一步地,所述系统100基于所判断的所述铁路系统内发生的故障,生成一个故障指示。如此,由所述关键安全硬件和软件执行的数据元素先通过所述系统100进行验证。所述验证确保所述铁路系统按照预定的安全标准运行。
[0028]在某些实施方式中,所述系统100接收所述多个输入数据包中的第一数据包。同时,所述系统100接收所述多个输入数据包中的第二数据包。所述系统100接着对所述第一数据包和所述第二数据包执行表决逻辑。所述表决逻辑可以由双重2取2(2oo2)系统来实现。所述2oo2表决逻辑在下文中进行了更详细的描述。所述系统100判断所述第一数据包和第二数据包是否相同,当所述系统100判断所述第一数据包和第二数据包相同,则所述系统100生成第一输出数据包并将所述第一输出数据包转发给所述关键安全硬件和软件中的至少一个组件。
[0029]从而所述至少一个组件执行所述第一输出数据包中的操作数据元素。相反地,当所述第一数据包和第二数据包不同时,所述系统100认定所述系统100或所述铁路系统中的至少一个部件发生故障。应当理解的是,尽管描述的是铁路系统,本公开的原理可以应用到任何外部安全系统。
[0030]所述系统100也可以生成一个安全指示。所述安全指示可以用于指示所述系统100或所述关键安全硬件和软件中的故障。进一步地,所述系统100指示所述至少一个组件以预定的安全模式运行。例如,所述安全模式可以包括被配置为用于维持所述铁路系统的安全运行环境的安全模式数据元素集合。
[0031]所述安全模式数据元素包括用于指示所述铁路系统以预定的运行模式运行以确保所述铁路系统整体安全的(元素)。仅示例而言,所述预定运行模式包括使运行所述铁路系统的火车到达一个站点。在某些实施方式中,所述安全模式包括使所有安全相关通信接口无效。例如,在安全模式运行下的一台失效保护计算机不能和所述关键安全硬件和软件进行通信。如此,在安全模式运行下的所述失效保护计算机不能对所述关键安全硬件和软件进行不正确的指示。
[0032]所述系统100包括一个激活(active)失效保护底盘(FSC) 104和一个备用FSC108。为了提升所述系统100的有效性和可靠性,所述激活FSC104和所述备用FSC108为冗佘FSC。例如,所述激活FSC104被配置为执行所述备用FSC108的任何操作。如此,当所述激活FSC104和备用FSC108中之一发生硬件或软件上的失效时,所述激活FSC104和备用FSC108中的另一个被配置为替代已失效的FSC运行。
[0033]所述激活FSC104执行一个2取2 (2oo2)表决体系,该体系用于检测表决失配并且在表决失配发生时执行一个失效保护操作。所述2oo2表决体系包括双重冗佘处理和表决子系统。所述冗佘处理和表决子系统对所述激活FSC104的输入或输出数据包进行表决。例如,所述激活FSC104