一种系统,包括安全相关组件,用于响应于接收到执行任务的请求,生成数据包并将转发所述数据包。所述系统还包括第一失效保护底盘(FSC),用于连续生成用于判断所述数据包是否有效的第一和第二底盘正常信号,并基于所述判断选择性地判断是否使所述第一和第二底盘正常信号失效。所述系统也包括用于连续生成用于判断数据包是否有效的第三和第四底盘正常信号的第二失效保护底盘,并基于所述判断选择性地判断是否使所述第三和第四底盘正常信号失效。所述系统包括直接连接算法状态机,用于基于所述底盘正常信号来判断是否指示所述第一和第二失效保护底盘之一在预定模式下运行。
【技术实现步骤摘要】
本公开涉及容错性失效保护计算机系统。
技术介绍
该部分提供了关于本公开内容的背景信息,该背景信息并非必定为现有技术。这里提供的
技术介绍
的描述是为了呈现本公开的上下文概况。该
技术介绍
所描述的所述现有专利技术人的工作以及可能在本申请申请日之前不能作为现有技术的所述描述的各个方面,既非明确也非隐含地作为本公开的现有技术。一个外部安全系统,诸如铁路系统,可以包括被配置为执行安全应用程序的容错性失效保护计算机系统。所述容错性失效保护计算机系统可以包括用于执行安全应用程序的多个电连接且逻辑耦合的硬件组件。所述安全应用程序可选地与关键安全硬件和软件(safety critical hardware and software)进行通信。所述关键安全硬件和软件被配置为控制所述铁路系统的安全相关功能。例如,在所述铁路系统上运行的火车包括一个制动系统。所述制动系统被配置为执行至少一个安全相关功能,例如制动功能。所述制动系统包括一个制动器以及被配置为驱动所述制动器的软件。所述软件接收指令来驱动所述制动器。例如,所述火车的操作员可以操作制动系统用户界面来指示所述软件驱动所述制动器。有时,所述铁路系统中的一个失效组件可能产生用于驱动所述制动器的一个错误指示。因而,需要一种容错性失效保护计算机系统,其被配置为验证外部安全系统所接收到的指令的有效性。
技术实现思路
该部分提供了本公开的
技术实现思路
概括,但是没有提供本公开所有范围或所有特征的详细内容。一种系统包括一个用于响应于接收到一个执行任务的请求生成一个数据包并转发所述数据包的安全相关组件。所述系统还包括一个用于连续使(asserts) —个第一底盘正常(health)信号和一个第二底盘正常信号生效的第一失效保护底盘(FSC),所述第一失效保护底盘判断所述数据包是否有效,并且基于所述判断有选择地判断是否使所述第一底盘正常信号和一个第二底盘正常信号失效。所述系统也包括一个用于连续使一个第三底盘正常信号和一个第四底盘正常信号生效的第二失效保护底盘(FSC),所述第二失效保护底盘判断所述数据包是否有效以及,基于所述判断有选择地判断是否使所述第三底盘正常信号和所述第四底盘正常信号失效。所述系统还包括一个状态机,其用于基于所述第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和第四底盘正常信号判断是否指示所述第一失效保护底盘(FSC)以预定的模式运行。在其他方面,一种方法包括响应于接收到一个执行任务的请求,生成一个数据包,并转发所述数据包,连续使一个第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和第四底盘正常信号生效,判断所述数据包是否有效,基于所述判断有选择地判断是否使所述第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和所述第四底盘正常信号失效,以及基于所述第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和第四底盘正常信号判断是否指示所述第一失效保护底盘(FSC)以预定的模式运行。根据这里所提供的描述,进一步适用的范围将变得更明显。所述
技术实现思路
中的描述和具体示例仅用于示意性说明而不是旨在限定本公开的范围。【附图说明】此处描述的附图仅用于示意性地说明挑选出的实施例而不是说明所有可能的实施方式,并且不是旨在限定本公开的范围。图1是根据本公开的原理的一个容错性失效保护计算机系统的功能框图;图2是根据本公开的原理的一个失效保护底盘的功能框图;以及图3是根据本公开的原理的一个用于执行的系统的功能框图;以及图4是根据本公开的原理的一个容错性失效保护计算机执行方法的流程图。附图中相同或相似的参考符号表示相同或相似的部件。【具体实施方式】现在将结合附图对示例性的实施例进行更充分地描述。现在参考图1,示出了一个典型的容错性失效保护计算机系统100的功能框图。所述系统100被配置为与安全应用程序进行交互。例如,所述系统100被配置为与相关的关键安全软件和硬件进行交互,通过非限制性的举例而言,例如铁路系统。所述关键安全软件和硬件控制所述铁路系统的安全相关组件。例如,所述关键安全硬件可以耦合到运行所述铁路系统的火车的制动系统上。进一步地,所述系统100可以根据行业认定的安全标准来认证。所述关键安全硬件接收来自所述关键安全软件的数据元素来驱动所述制动系统的制动器。所述系统100与所述关键安全硬件和关键安全软件交互以确保所述关键安全硬件和关键安全软件基于预定的操作标准来运行。应当理解的是,虽然仅描述了所述火车的一个制动系统,但是本公开的原理可应用到任何关键的安全硬件和软件。对于这里描述的实施例而言,其他可能的应用包括但不限于,航空系统的组件,医疗系统的组件,油气控制系统的组件,智能电网的组件,以及各种生产系统的组件。在某些实施方式中,所述系统100接收来自诸如铁路系统等外部安全系统的多个输入数据包。所述系统100被配置为处理所述多个输入数据包并将多个输出数据包转发到所述外部安全系统的安全相关组件。例如,所述系统100判断所述多个输入数据包中的第一数据包是否为有效数据包。当所述系统100判断所述第一数据包为有效数据包,则所述系统100将一个输出数据包转发到所述铁路系统的至少一个安全相关组件。所述第一数据包包括在所述铁路系统的至少一个安全相关组件上运行的数据元素。所述数据元素可以包括传感器数据和/或输入/输出(I/o)点状态。所述至少一个安全相关组件可以是一个耦合到运行所述铁路系统的火车的制动器。应当理解的是,尽管仅描述了所述外部安全系统的安全相关组件,但是所述第一数据包可以包括运行在所述外部安全系统的非安全相关组件上的数据元素。所述数据元素根据传输协议格式化。例如,所述铁路系统被配置为根据预定的打包标准将所述数据元素打包成可转发数据包。从而所述铁路系统根据所述传输协议转发所述多个输入数据包。所述系统100被配置为根据所述传输协议接收所述转发的数据包。进一步地,所述系统100被配置为解析(interpret)所述预定的打包标准。从而所述系统100从所述第一数据包中提取所述数据元素并基于所述数据元素生成一个输出数据包。所述输出数据包包括基于所述数据元素的指令集合。尽管仅描述了指令,但是所述输出数据包也可以包括用于输入/输出控制(I/O)的操作指令、一个用于收集信息的输入读取请求、正常信息通信、进程之间的通信请求、或其他适当的元素。所述指令集合包括至少一个用于指示至少一个关键安全硬件和软件执行程序的指令。例如,所述指令集合可以指示所述关键安全软件执行制动程序。所述制动程序包括硬件制动指令。所述硬件制动指令可以转发给所述关键安全硬件。所述关键安全硬件执行所述制动指令。例如,所述关键安全硬件执行制动功能。所述系统100判断是否将所述输出数据包和数据元素转发给所述关键安全硬件和软件。例如,所述系统100确保所述多个输入数据包中的任何一个数据包符合预定的安全标准。所述预定的安全标准包括判断所述铁路系统是否按照预定的运行标准集合予以运行。所述系统100验证所述多个输入数据包中的任何一个数据包是由所述铁路系统100特意转发的。仅举例而言,所述铁路系统可能因为所述铁路系统内的硬件或软件失效而转发错误的输入数据包。所述关键安全硬件和软件响应于来自所述铁路系统的操作员的命令,接收所述多个输入本文档来自技高网...
【技术保护点】
一种系统,包括:安全相关组件,用于响应于接收到执行任务的请求,生成数据包并且转发所述数据包;第一失效保护底盘(FSC),用于:连续使第一底盘正常信号和第二底盘正常信号生效;判断数据包是否有效;以及基于所述判断选择性地判断是否使所述第一底盘正常信号和第二底盘正常信号失效;第二失效保护底盘,用于:连续使第三底盘正常信号和第四底盘正常信号生效;判断数据包是否有效;以及基于所述判断选择性地判断是否使所述第三底盘正常信号和第四底盘正常信号失效;以及直接连接算法(DCA)状态机,用于基于所述第一底盘正常信号、第二底盘正常信号、第三底盘正常信号和第四底盘正常信号判断是否指示所述第一失效保护底盘(FSC)以预定的模式运行。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:马丁·彼得·约翰·科尔内斯,加里·铂金斯,
申请(专利权)人:雅特生嵌入式计算有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。