本申请公开使用COTS组件的容错故障安全计算机系统。该系统包括安全相关组件,该安全相关组件响应于接收执行任务的请求生成数据分组并且传递数据分组。该系统进一步包括第一故障安全底架(FSC),该第一故障安全底架连续地生成第一底架健康信号,确定数据分组是否有效,并且基于该确定选择性地确定是否使第一底架健康信号失效。该系统还包括第二FSC,该第二FSC连续地生成第二底架健康信号,确定数据分组的复本是否有效,并且基于该确定选择性地确定是否使第二底架健康信号失效。该系统进一步包括安全继电器箱模块,该安全继电器箱模块基于第一底架健康信号和第二底架健康信号确定是否指示第一FSC在预确定的模式下操作。
【技术实现步骤摘要】
本公开内容涉及容错故障安全计算机系统。
技术介绍
该部分提供与本公开内容相关的背景信息,该背景信息不一定是现有技术。本文提供的背景描述是为了概括地呈现本公开内容的背景。当前命名的专利技术人的工作,就其在该背景部分中描述的范围以及不可能另外成为提交时的现有技术的描述的方面而言,既不明确地也不隐含地被认为是相对于本公开内容的现有技术。外部安全系统,如轨道系统,可以包括被配置为实现安全应用的容错故障安全计算机系统。该容错故障安全计算机系统可以包括多个硬件组件,该多个硬件组件以电气方式和以逻辑方式联接来实现安全应用。安全应用选择性地与安全临界硬件和软件通信。将安全临界硬件和软件配置为控制轨道系统的安全相关功能。例如,在轨道系统上行驶的火车包括制动系统。该制动系统配置为实现至少一个安全相关功能,如制动功能。该制动系统包括制动器和被配置为对该制动器进行促动的软件。该软件接收指令来对该制动器进行促动。例如,火车的驾驶员可以操作制动系统用户界面,以指示该软件对该制动器进行促动。该轨道系统的错误组件可以定期地生成差错指令来对该制动器进行促动。相应地,被配置为验证由外部安全系统接收的指令的容错故障安全计算机系统是期望的。
技术实现思路
该部分提供本公开内容的一般概括,并且不是本公开内容的全部范围或本公开内容的全部特征的全面公开。一种系统包括安全相关组件,所述安全相关组件响应于接收执行任务的请求生成数据分组并且传递所述数据分组。所述系统进一步包括第一故障安全底架(FSC),该第一故障安全底架连续地生成第一底架健康信号,确定所述数据分组是否有效,并且基于该确定选择性地确定是否使所述第一底架健康信号失效。该系统还包括第二 FSC,该第二 FSC连续地生成第二底架健康信号,确定所述数据分组的复本是否有效,并且基于该确定选择性地确定是否使所述第二底架健康信号失效。该系统进一步包括安全继电器箱模块,该安全继电器箱模块基于所述第一底架健康信号和所述第二底架健康信号确定是否指示所述第一FSC在预确定的模式下操作。在其它特征中,一种方法包括:响应于接收执行任务的请求,生成数据分组;传递所述数据分组;连续地生成第一底架健康信号;确定所述数据分组是否有效;基于该确定选择性地确定是否使所述第一底架健康信号失效;连续地生成第二底架健康信号;确定所述数据分组的复本是否有效;基于该确定选择性地确定是否使所述第二底架健康信号失效;以及基于所述第一底架健康信号和所述第二底架健康信号,确定是否指示第一 FSC在预确定的模式下操作。适用性的进一步方面将从本文提供的描述中变得明显。该
技术实现思路
中的描述和特定示例旨在仅用于说明目的,而不旨在限制本公开的范围。【附图说明】本文描述的附图仅用于所选择实施例的说明用途,而不是用于所有可能的实现,并且不旨在限制本公开的范围。图1是根据本公开内容原理的容错故障安全计算机系统的功能框图;图2是根据本公开内容原理的故障安全底架的功能框图;以及图3是图示根据本公开内容原理的容错故障安全计算机的操作方法的流程图。在附图的若干图中,相对应的附图标记始终表不相对应的部分。【具体实施方式】现在将参考附图更全面地描述示例实施例。现在参考图1,示出示例性容错故障安全计算机系统100的功能框图。将系统100布置为与安全应用交互。例如,作为非限定示例,将系统100布置为与安全临界硬件和软件关联轨道系统通信。安全临界硬件和软件控制轨道系统的安全相关组件。例如,安全临界硬件可以联接至在轨道系统上操作的列车的制动系统。进一步,系统100也许能够根据工业认可的安全标准被验证。安全临界硬件从安全临界软件接收数据元素,以促动制动系统的制动器。系统100与安全临界硬件和软件交互,以保证安全临界硬件和软件正根据预确定的操作标准操作。要理解,尽管仅描述列车的制动系统,但是本公开的原理适用于任何安全临界硬件和软件。用于本文描述的实施例的其它可能应用包括但不限于:飞机系统的组件、医学治疗系统的组件、油和气控制系统的组件、智能电网系统的组件、以及各种制造系统的组件。在一些实现中,系统100从外部安全系统(如轨道系统)接收多个进入数据分组。将系统100配置为处理多个进入数据分组,并且将多个外出数据分组传递给外部安全系统的安全相关组件。例如,系统100确定多个进入数据分组中的第一分组是否是有效分组。当系统100确定第一分组是有效分组时,系统100将外出分组传递给轨道系统的至少一个安全相关组件。第一分组包括要由轨道系统的至少一个安全相关组件行动的数据元素。数据元素可以包括传感器数据和/或输入/输出(I/o)点状态。该至少一个安全相关组件可以是与在轨道系统上行驶的列车联接的制动器。要理解,尽管仅描述外部安全系统的安全相关组件,但是第一分组可以包括要由外部安全系统的非安全相关组件行动的数据元素。根据传输协议对数据元素进行格式编排。例如,将轨道系统配置为根据预确定的封装标准将数据元素封装为可传输的分组。然后,轨道系统根据传输协议传输多个进入数据分组。将系统100布置为接收根据传输协议传输的分组。进一步,将系统100配置为解释预确定的封装标准。然后,系统100从第一分组中提取数据元素,并且基于数据元素生成外出数据分组。外出数据分组包括基于数据元素的一组指令。尽管仅讨论指令,但是外出数据分组还可以包括控制I/o的操作指令、读取输入来搜集信息的请求、健康消息通信、对中间过程通信的请求、或其它适合的元素。该组指令包括至少一个指令,该至少一个指令指示安全临界硬件和软件中至少之一运行过程。例如,该组指令可以指示安全临界软件运行制动过程。制动过程包括硬件制动指令。将硬件制动指令传递给安全临界硬件。安全临界硬件运行制动指令。例如,安全临界硬件施加制动。系统100确定是否要将外出数据分组和数据元素传递给安全临界硬件和软件。例如,系统100保证多个进入数据分组中每个进入数据分组满足预确定的安全标准。预确定的安全标准包括确定轨道系统是否正根据一组预限定的操作标准操作。系统100验证多个进入数据分组中每个数据分组是由轨道系统100有意传输的。仅例如,轨道系统可以传递由轨道系统内的硬件或软件错误引起的差错进入数据分组。安全临界硬件和软件响应于来自轨道系统的操作者的命令接收多个进入数据分组中的第一分组。安全临界硬件和软件接收多个进入数据分组中由轨道系统中的错误引起的第二分组。仅作为非限定示例,轨道系统中的错误可以包括硬件故障,如由对热或潮湿的延长暴露引起的恶化电连接。安全临界硬件和软件将包括第一分组和第二分组的多个进入数据分组传递至系统100。将系统100配置为确定是否由于轨道系统中的错误而由安全临界硬件和软件接收多个进入数据分组中的每个数据分组。当系统100确定响应于来自操作者的命令接收多个进入数据分组之一时,系统100生成与所接收的进入数据分组对应的外出数据分组。例如,系统100基于第一分组生成第一外出数据分组。第一外出数据分组包括与第一分组内的数据元素对应的一组指令。当系统100确定第一分组是有效分组时,系统100将第一外出数据分组传递至安全临界硬件和软件。例如,系统100确定第一分组是响应于来自操作者的命令接收的。系统100将第一外出数据分组传递至安全临界硬件和软件。安全临界硬本文档来自技高网...
【技术保护点】
一种系统,包括:安全相关组件,该安全相关组件响应于接收执行任务的请求生成数据分组并且传递所述数据分组;第一故障安全底架(FSC),该第一故障安全底架(FSC):连续地生成第一底架健康信号,确定所述数据分组是否有效,以及基于所述确定,选择性地确定是否使所述第一底架健康信号失效;第二FSC,该第二FSC:连续地生成第二底架健康信号,确定所述数据分组的复本是否有效,以及基于该确定,选择性地确定是否使所述第二底架健康信号失效;以及安全继电器箱模块,该安全继电器箱模块基于所述第一底架健康信号和所述第二底架健康信号确定是否指示所述第一FSC在预确定的模式下操作。
【技术特征摘要】
【专利技术属性】
技术研发人员:马丁·彼得·约翰·科尔内斯,帕希·尤卡·彼得里·韦内尔,江流,
申请(专利权)人:艾默生网络能源嵌入式计算有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。