本发明专利技术公开用于容错故障安全计算机系统的基于任务的表决。一种系统包括:将多个第一任务写至第一存储器缓冲器的第一应用;接收多个第一任务的复本的第二存储器缓冲器;将多个第二任务写至第三存储器缓冲器的第二应用;以及接收多个第二任务的复本的第四存储器缓冲器。该系统进一步包括第一比较模块,其基于第一任务和第二任务之间的第一比较,生成第一表决信号。该系统进一步包括第二比较模块,其基于第一任务和第二任务之间的第二比较,生成第二表决信号。所述系统进一步包括第一中央处理单元(CPU),其基于所述第一表决信号和所述第二表决信号,选择性地确定是否使模块健康信号失效。
【技术实现步骤摘要】
本公开涉及容错故障安全计算机系统。
技术介绍
该部分提供与本公开相关的背景信息,该背景信息不一定是现有技术。本文提供的背景描述是为了概括地呈现本公开的背景。当前命名的专利技术人的工作,就其在该背景部分中描述的范围以及不可能另外成为提交时的现有技术的描述的方面而言,既不明确地也不隐含地被认为是相对于本公开的现有技术。外部安全系统,如轨道系统,可以包括被配置为实现安全应用的容错故障安全计算机系统。该容错故障安全计算机系统可以包括多个硬件组件,该多个硬件组件以电气方式或以逻辑方式联接来实现安全应用。安全应用选择性地与安全临界硬件和软件通信。将安全临界硬件和软件配置为控制轨道系统的安全相关功能。例如,在轨道系统上行驶的火车包括制动系统。将该制动系统配置为实现至少一个安全相关功能,如制动功能。该制动系统包括制动器和被配置为对该制动器进行促动的软件。该软件接收指令来对该制动器进行促动。例如,火车的驾驶员可以操作制动系统用户界面,以指示该软件对该制动器进行促动。该轨道系统的错误组件可以定期地生成差错指令来对该制动器进行促动。相应地,被配置为验证由外部安全系统接收的指令的容错故障安全计算机系统是期望的。
技术实现思路
该部分提供本公开的一般概括,并且不是本公开的全部范围或本公开的全部特征的全面公开。—种系统包括:第一应用,该第一应用在第一时钟周期期间将多个第一任务写至第一存储器缓冲器;第二存储器缓冲器,该第二存储器缓冲器在第二时钟期间接收所述多个第一任务的复本;第二应用,该第二应用在所述第一时钟周期期间将多个第二任务写至第三存储器缓冲器;以及第四存储器缓冲器,所述第四存储器缓冲器在所述第二时钟周期期间接收所述多个第二任务的复本。所述系统进一步包括:第一比较模块,所述第一比较模块接收所述多个第一任务中的第一任务和所述多个第二任务中的第二任务,并且基于所述第一任务和所述第二任务之间的第一比较,选择性地生成第一表决信号。所述系统进一步包括:第二比较模块,所述第二比较模块接收所述多个第一任务中的所述第一任务和所述多个第二任务中的所述第二任务,并且基于所述第一任务和所述第二任务之间的第二比较,选择性地生成第二表决信号。所述系统进一步包括第一中央处理单兀(CPU),该第一中央处理单兀基于所述第一表决信号和所述第二表决信号,选择性地确定是否使模块健康信号失效。在其它特征中,一种方法包括:在第一时钟周期期间写多个第一任务;在第二时钟周期期间拷贝所述多个第一任务;在第一时钟周期期间写多个第二任务;在所述第二时钟周期期间拷贝所述多个第二任务;接收所述多个第一任务中的第一任务;接收所述多个第二任务中的第二任务;基于所述第一任务和所述第二任务之间的第一比较,选择性地生成第一表决信号;基于所述第一任务和所述第二任务之间的第二比较,选择性地生成第二表决信号;基于所述第一表决信号和所述第二表决信号,选择性地确定是否使模块健康信号失效。其它应用领域将从本文提供的描述中变得清楚。该
技术实现思路
中的描述和特定示例旨在仅用于说明目的,而不旨在限制本公开的范围。【附图说明】本文描述的图仅用于所选择实施例的说明用途,而不是用于所有可能的实现,并且不旨在限制本公开的范围。图1是根据本公开原理的容错故障安全计算机系统的功能框图;图2是根据本公开原理的故障安全底架的功能框图;图3是根据本公开原理的基于任务的表决系统的功能框图;以及图4是图示根据本公开原理的基于任务的表决计算机的操作方法的流程图。在附图的全部几个图中,相对应的附图标记表示相对应的部分。【具体实施方式】现在将参考附图更全面地描述示例实施例。现在参考图1,示出示例性容错故障安全计算机系统100的功能框图。将系统100布置为与安全应用交互。例如,作为非限定示例,将系统100布置为与安全临界硬件和软件关联轨道系统通信。安全临界硬件和软件控制轨道系统的安全相关组件。例如,安全临界硬件可以联接至在轨道系统上操作的列车的制动系统。进一步,系统100也许能够根据工业认可的安全标准被验证。安全临界硬件从安全临界软件接收数据元素,以促动制动系统的制动器。系统100与安全临界硬件和软件交互,以保证安全临界硬件和软件正根据预确定的操作标准操作。要理解,尽管仅描述列车的制动系统,但是本公开的原理适用于任何安全临界硬件和软件。用于本文描述的实施例的其它可能应用包括但不限于:飞机系统的组件、医学治疗系统的组件、油和气控制系统的组件、智能电网系统的组件、以及各种制造系统的组件。在一些实现中,系统100从外部安全系统(如轨道系统)接收多个进入数据分组。将系统100配置为处理多个进入数据分组,并且将多个外出数据分组传递给外部安全系统的安全相关组件。例如,系统100确定多个进入数据分组中的第一分组是否是有效分组。当系统100确定第一分组是有效分组时,系统100将外出分组传递给轨道系统的至少一个安全相关组件。第一分组包括要由轨道系统的至少一个安全相关组件行动的数据元素。数据元素可以包括传感器数据和/或输入/输出(I/o)点状态。该至少一个安全相关组件可以是与在轨道系统上行驶的列车联接的制动器。要理解,尽管仅描述外部安全系统的安全相关组件,但是第一分组可以包括要由外部安全系统的非安全相关组件行动的数据元素。根据传输协议对数据元素进行格式编排。例如,将轨道系统配置为根据预确定的封装标准将数据元素封装为可传输的分组。然后,轨道系统根据传输协议传输多个进入数据分组。将系统100布置为接收根据传输协议传输的分组。进一步,将系统100配置为解释预确定的封装标准。然后,系统100从第一分组中提取数据元素,并且基于数据元素生成外出数据分组。外出数据分组包括基于数据元素的一组指令。尽管仅讨论指令,但是外出数据分组还可以包括控制I/o的操作指令、读取输入来搜集信息的请求、健康消息通信、对中间过程通信的请求、或其它适合的元素。该组指令包括至少一个指令,该至少一个指令指示安全临界硬件和软件中至少之一运行过程。例如,该组指令可以指示安全临界软件运行制动过程。制动过程包括硬件制动指令。将硬件制动指令传递给安全临界硬件。安全临界硬件运行制动指令。例如,安全临界硬件施加制动。系统100确定是否要将外出数据分组和数据元素传递给安全临界硬件和软件。例如,系统100保证多个进入数据分组中每个进入数据分组满足预确定的安全标准。预确定的安全标准包括确定轨道系统是否正根据一组预限定的操作标准操作。系统100验证多个进入数据分组中每个数据分组是由轨道系统100有意传输的。仅例如,轨道系统可以传递由轨道系统内的硬件或软件错误引起的差错进入数据分组。安全临界硬件和软件响应于来自轨道系统的操作者的命令接收多个进入数据分组中的第一分组。安全临界硬件和软件接收多个进入数据分组中由轨道系统中的错误引起的第二分组。仅作为非限定示例,轨道系统中的错误可以包括硬件故障,如由对热或潮湿的延长暴露引起的恶化电连接。安全临界硬件和软件将包括第一分组和第二分组的多个进入数据分组传递至系统100。将系统100配置为确定是否由于轨道系统中的错误而由安全临界硬件和软件接收多个进入数据分组中的每个数据分组。当系统100确定响应于来自操作者的命令接收多个进入数据分组之一时,系统100生成与所接收的进本文档来自技高网...
【技术保护点】
一种系统,包括:第一应用,所述第一应用在第一时钟周期期间将多个第一任务写至第一存储器缓冲器;第二存储器缓冲器,所述第二存储器缓冲器在第二时钟周期期间接收所述多个第一任务的复本;第二应用,所述第二应用在第一时钟周期期间将多个第二任务写至第三存储器缓冲器;第四存储器缓冲器,所述第四存储器缓冲器在第二时钟周期期间接收所述多个第二任务的复本;第一比较模块,所述第一比较模块接收所述多个第一任务中的第一任务和所述多个第二任务中的第二任务,并且基于所述第一任务和所述第二任务之间的第一比较,选择性地生成第一表决信号;第二比较模块,所述第二比较模块接收所述多个第一任务中的所述第一任务和所述多个第二任务中的所述第二任务,并且基于所述第一任务和所述第二任务之间的第二比较,选择性地生成第二表决信号;和第一中央处理单元(CPU),该第一中央处理单元基于所述第一表决信号和所述第二表决信号,选择性地确定是否使模块健康信号失效。
【技术特征摘要】
【专利技术属性】
技术研发人员:帕希·尤卡·彼得里·韦内尔,马丁·彼得·约翰·科尔内斯,江流,
申请(专利权)人:艾默生网络能源嵌入式计算有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。