《第四章 故障-安全计算机架构》由会员分享,可在线阅读,更多相关《第四章 故障-安全计算机架构(45页珍藏版)》请在金锄头文库上搜索。
1、第四章 故障-安全计算机架构,本章概述,从总体上介绍故障-安全计算机架构,介绍二乘二取二、三取二架构,介绍其组成部分和工作原理,介绍组合故障安全、反应故障安全和固有故障安全的概念,介绍主要厂家的故障安全计算机架构。,安全技术,避错技术 质量保证 评审、检查 形式化方法 测试,安全技术,容错技术 故障诊断技术 The time for detection-plus-negation 故障导向安全 复合故障安全 反应故障安全 固有故障安全 冗余技术 硬件冗余 软件冗余 信息冗余 时间冗余,安全技术,纠错技术 自动恢复 信息冗余/数据纠错,故障-安全输入接口 编码方式的故障安全输入 采用诊断技术检查
2、输入值 多重模块结构输入比较表决 故障-安全输出接口 多重模块的比较表决 动态驱动电路 基于硬件的表决电路,6,故障安全技术,故障-安全输入接口,编码方式的故障安全输入,故障-安全输入接口,采用诊断技术检查输入值,故障-安全输入接口,多重模块结构输入比较表决,故障-安全输出接口,多重模块的比较表决,故障-安全输出接口,动态驱动电路,故障-安全输出接口,基于硬件的表决电路,故障-安全数据处理 同步表决 差异与比较 执行时间检查 故障-安全数据通信 序列号 时间戳 超时 源、目的地 应答确认 编码校验,13,故障安全技术,故障-安全数据处理,故障-安全数据处理,故障-安全数据通信 接受方需要检测以
3、下内容: 1、发送源ID; 2、双通道差异化CRC报文数据校验; 3、时间戳校验(采用伪随机序列生成时间戳); 4、时间戳和报文序列校验,故障安全技术,反应故障安全(Reactive fail-safety) 由快速的故障检测和对任何危险失效进行避错来保证它的安全 举例 输出回检 编码校验,输出回检,编码校验,故障安全技术,固有故障安全(Inherent fail-safety) 如果由一个独立部件来执行某个安全功能,则须保证该独立部件在所有失效模式均无危险 举例 重力型安全继电器 动态输出 条件电源,重力型安全继电器,动态输出,条件电源,VCOR:Vital Cut-Off Relay,二乘
4、二取二架构,两个子系统形成冗余 子系统内两台计算机独立运行 ,形成二取二,二乘二取二架构,二乘二取二架构,两个子系统,完全一致 供电模块:各系都有独立的供电模块 数据交流单元:用于与外部设备的数据交流 (以太网,PCIE等) 二取二处理单元:数据处理 输入模块:数据采集,提供给处理器 输出模块:数据输出 数据同步和切换模块:两系之间进行数据同步;主系发生故障时,进行主备的切换,二乘二取二架构,二取二处理模块:,CPU1,CPU2,表决,三取二架构,三取二架构,三台计算机采用并联结构,同步工作,从输入端输入相同的信息,执行同样的程序,完成同样的任务,得到的结果送入表决器,以多数的结果(取二)作为
5、最后的控制输出。,三取二架构,三取二架构,三个处理模块 供电模块:各系都有独立的供电模块 数据交流单元:用于与外部设备的数据交流 (以太网,PCIE等) 数据处理单元:数据处理,3个,实现三取二 输入模块:数据采集,提供给处理器 输出模块:数据输出 没有主备切换模块,关键技术,同步技术: 用于各系之间以及同系的双机之间进行数据同步 主备切换技术: 当主系发生故障时,主备系之间进行切换 (如何做到无缝切换),关键技术同步,同步技术在三取二或者二乘二取二架构中至关重要 常用的同步方法有时钟同步和任务同步 时钟同步的实现方法是将两套完全一样的CPU及其核心电路集成在一块电路板上,以便采用同一个晶振分
6、频电路作为芯片的时钟脉冲,并采用专门设计的比较器对两个CPU总线进行比较监督。 任务同步的实现方法是两个CPU单独工作,通过CPU问的高速通道周期性地对两个CPU中的各任务进行同步比较,以完成对两个CPU工作一致性的检查。,关键技术同步,区别: 两种实现方式的不同在于,时钟同步系统主要采用硬件完成双CPU工作一致性的比较,对硬件有较高的要求,并且在每一个时钟周期内,都要对两个CPU的内容进行比较。任务同步系统主要采用软件完成双CPU工作一致性的比较,对软件有较高的要求,同时也要求采用真正安全可靠的软件比较算法,它是基于任务的同步,只有在每个任务完成后,对每个任务的结果进行一致性比较。,安全计算
7、机在轨道交通上的应用,安全计算机平台是实现CBTC中各系统功能的基础平台。主要有以下三个不同的应用环境 CBI应用环境:CBI专用于执行轨旁联锁逻辑的安全性功能,它通过安全型接口电路与轨旁设备接口,采集并控制其状态。 CC应用环境: CC系统是保证列车运行安全的系统,提供列车运行间隔控制、超速防护、车门和站台屏蔽门监督等安全防护功能以及自动驾驶功能。 ZC应用环境: ZC根据所有已知障碍物位置和移动授权来确定其区域内所有列车运行权限。,安全计算机在轨道交通上的应用,CBI环境建模,主要厂商,国外:西门子、阿尔斯通、安萨尔多 国内:卡斯柯、中国通号、众合机电(网新)、 和利时、自仪股份、中国电子
8、科技集团第十四所,合作,合作,合作,各公司安全计算机架构,1、通号-Siemens (QDP1L3-CBI) 系内通过双口RAM和公共时钟源实现同步 双系通过串行高速总线实现信息的交换和系同步切换,各公司安全计算机架构,Bombardier-RATP,各公司安全计算机架构,3、CASCO CBI采用2oo4 (dpram) ZC采用2oo3(与IO采集板通过高速串行总线通信) CC采用单头2oo3、双头热备冗余的方式 4、交大微联-QDP1L3 采用2oo4 5、Alcatel ZC采用2oo3,CBI采用2oo4,各公司架构,6、网新 三取二架构,各公司安全计算机架构,CPU处理板是三取二核心处理单元,主要完成各种数据的运算和处理 ATO板完成各种数据的运算与处理 SAC板负责采集开关量数据、速度传感器数据、信标数据、多普勒雷达数据,并将采集到的数据发送给CPU板和ATO板。 三者之间通过PCI总线相连接,进行数据通信,各公司安全计算机架构,COMM板实现安全计算机内部板卡之间以及安全计算机对外通信 两个COMM板,分别与三个处理模块点对点通信,各公司安全计算机架构,IO板负责数据的输入和输出 大量,分别与三个处理模块点对点通信(can总线),各公司安全计算机架构,电源板负责各模块的供电 直流、交流 冗余,各公司架构,7、网新 二乘二取二架构 一系两个处理单元 继电器逻辑切换,
