1、第四章 故障-安全计算机架构本章概述 从总体上介绍故障-安全计算机架构,介绍二乘二取二、三取二架构,介绍其组成部分和工作原理,介绍组合故障安全、反应故障安全和固有故障安全的概念,介绍主要厂家的故障安全计算机架构。安全技术n 避错技术质量保证评审、检查形式化方法测试安全技术n容错技术故障诊断技术nThe time for detection-plus-negation故障导向安全n复合故障安全n反应故障安全n固有故障安全冗余技术n硬件冗余n软件冗余n信息冗余n时间冗余安全技术n纠错技术自动恢复信息冗余/数据纠错n 故障-安全输入接口p 编码方式的故障安全输入p 采用诊断技术检查输入值p 多重模块
2、结构输入比较表决n 故障-安全输出接口p 多重模块的比较表决p 动态驱动电路p 基于硬件的表决电路6故障安全技术故障-安全输入接口p 编码方式的故障安全输入故障-安全输入接口p 采用诊断技术检查输入值故障-安全输入接口p 多重模块结构输入比较表决故障-安全输出接口p 多重模块的比较表决故障-安全输出接口p 动态驱动电路故障-安全输出接口p 基于硬件的表决电路n故障-安全数据处理p 同步表决p 差异与比较p 执行时间检查n故障-安全数据通信p 序列号p 时间戳p 超时p 源、目的地p 应答确认p 编码校验13故障安全技术n故障-安全数据处理n故障-安全数据处理n故障-安全数据通信接受方需要检测以
3、下内容:1、发送源ID;2、双通道差异化CRC报文数据校验;3、时间戳校验(采用伪随机序列生成时间戳);4、时间戳和报文序列校验故障安全技术n反应故障安全(Reactive fail-safety)由快速的故障检测和对任何危险失效进行避错来保证它的安全n举例输出回检编码校验输出回检编码校验故障安全技术n固有故障安全(Inherent fail-safety)如果由一个独立部件来执行某个安全功能,则须保证该独立部件在所有失效模式均无危险n举例重力型安全继电器动态输出条件电源重力型安全继电器动态输出条件电源VCOR:Vital Cut-Off Relay二乘二取二架构两个子系统形成冗余子系统内两台
4、计算机独立运行,形成二取二二乘二取二架构二乘二取二架构两个子系统,完全一致n 供电模块:各系都有独立的供电模块n 数据交流单元:用于与外部设备的数据交流 (以太网,PCIE等)n 二取二处理单元:数据处理n 输入模块:数据采集,提供给处理器n 输出模块:数据输出n 数据同步和切换模块:两系之间进行数据同步;主系发生故障时,进行主备的切换二乘二取二架构二取二处理模块:CPU1CPU2表决三取二架构 三取二架构,三台计算机采用并联结构,同步工作,从输入端输入相同的信息,执行同样的程序,完成同样的任务,得到的结果送入表决器,以多数的结果(取二)作为最后的控制输出。三取二架构三取二架构三个处理模块n
5、供电模块:各系都有独立的供电模块n 数据交流单元:用于与外部设备的数据交流 (以太网,PCIE等)n 数据处理单元:数据处理,3个,实现三取二n 输入模块:数据采集,提供给处理器n 输出模块:数据输出n 没有主备切换模块关键技术n 同步技术:用于各系之间以及同系的双机之间进行数据同步n 主备切换技术:当主系发生故障时,主备系之间进行切换(如何做到无缝切换)关键技术同步同步技术在三取二或者二乘二取二架构中至关重要常用的同步方法有时钟同步和任务同步n 时钟同步的实现方法是将两套完全一样的CPU及其核心电路集成在一块电路板上,以便采用同一个晶振分频电路作为芯片的时钟脉冲,并采用专门设计的比较器对两个
6、CPU总线进行比较监督。n 任务同步的实现方法是两个CPU单独工作,通过CPU问的高速通道周期性地对两个CPU中的各任务进行同步比较,以完成对两个CPU工作一致性的检查。关键技术同步 区别:两种实现方式的不同在于,时钟同步系统主要采用硬件完成双CPU工作一致性的比较,对硬件有较高的要求,并且在每一个时钟周期内,都要对两个CPU的内容进行比较。任务同步系统主要采用软件完成双CPU工作一致性的比较,对软件有较高的要求,同时也要求采用真正安全可靠的软件比较算法,它是基于任务的同步,只有在每个任务完成后,对每个任务的结果进行一致性比较。安全计算机在轨道交通上的应用 安全计算机平台是实现CBTC中各系统
7、功能的基础平台。主要有以下三个不同的应用环境n CBI应用环境:CBI专用于执行轨旁联锁逻辑的安全性功能,它通过安全型接口电路与轨旁设备接口,采集并控制其状态。n CC应用环境:CC系统是保证列车运行安全的系统,提供列车运行间隔控制、超速防护、车门和站台屏蔽门监督等安全防护功能以及自动驾驶功能。n ZC应用环境:ZC根据所有已知障碍物位置和移动授权来确定其区域内所有列车运行权限。安全计算机在轨道交通上的应用CBI环境建模主要厂商国外:西门子、阿尔斯通、安萨尔多国内:卡斯柯、中国通号、众合机电(网新)、和利时、自仪股份、中国电子科技集团第十四所合作合作合作各公司安全计算机架构1、通号-Sieme
8、ns(QDP1L3-CBI)系内通过双口RAM和公共时钟源实现同步双系通过串行高速总线实现信息的交换和系同步切换各公司安全计算机架构Bombardier-RATP各公司安全计算机架构3、CASCOCBI采用2oo4(dpram)ZC采用2oo3(与IO采集板通过高速串行总线通信)CC采用单头2oo3、双头热备冗余的方式4、交大微联-QDP1L3采用2oo45、AlcatelZC采用2oo3,CBI采用2oo4各公司架构6、网新三取二架构各公司安全计算机架构n CPU处理板是三取二核心处理单元,主要完成各种数据的运算和处理n ATO板完成各种数据的运算与处理n SAC板负责采集开关量数据、速度传感器数据、信标数据、多普勒雷达数据,并将采集到的数据发送给CPU板和ATO板。n 三者之间通过PCI总线相连接,进行数据通信各公司安全计算机架构n COMM板实现安全计算机内部板卡之间以及安全计算机对外通信n 两个COMM板,分别与三个处理模块点对点通信各公司安全计算机架构n IO板负责数据的输入和输出n 大量,分别与三个处理模块点对点通信(can总线)各公司安全计算机架构n 电源板负责各模块的供电n 直流、交流n 冗余各公司架构7、网新二乘二取二架构一系两个处理单元继电器逻辑切换
