安全苛求系统时间确定性实现方法技术方案

本发明专利技术实施例提供了一种安全苛求系统时间确定性实现方法。该方法主要包括：基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次，每一层次硬件中的电子器件使用各自独立运行的本地时钟；若干个基础时钟周期构成一个基本时钟周期，若干个基本时钟周期构成一个任务微周期时钟周期，若干个任务微周期时钟周期构成一个任务周期时钟周期，若干个任务周期时钟周期构成一个任务宏周期时钟周期；不同层次时钟之间采用时间窗口方式来实现双向定时监督。本发明专利技术利用基础时钟、基本时钟和任务时钟之间的时钟周期构成关系和双向实时监督机制来确保安全苛求系统的时间确定性，解决了安全苛求系统中安全功能的执行确定性问题。

【技术实现步骤摘要】
安全苛求系统时间确定性实现方法
本专利技术涉及安全苛求系统领域，尤其涉及一种安全苛求系统时间确定性实现方法。
技术介绍
安全苛求系统(Safety-criticalsystems)是指系统的故障往往会引起重大的生命、环境、财产等损失的系统，其典型应用领域包括航空、航天、军事、铁路信号、汽车电子、核电站、石油化工以及医疗等领域，IEC61508标准中称之为安全相关系统(Safety-relatedSystem)。IEC61508标准所定义的安全相关系统是指为了保证控制设备处于安全状态，采用安全相关技术和风险降低措施执行所需安全功能的系统。目前，安全苛求系统都是基于电气/电子/可编程电子(E/E/PE)系统实现的。E/E/PE系统是指以电气/电子/可编程电子技术为基础，以一个或多个可编程电子设备为基础，用于控制、防护和监督的系统，它包括了系统的全部元件，如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。其中，电气设备指电机设备；电子设备指固态非可编程电子设备；可编程电子设备指以计算机技术为基础的电子设备。因此，安全苛求系统都是实时控制系统，其安全功能的执行需具备确定性特征，即在正确的时间内执行正确的动作并产生正确的结果。现有技术中的一种安全苛求系统实现确定性特征的方法为：目前在讨论安全苛求系统的具体实现时，既有文献资料和相关专利都无一例外地强调关注如何确保安全苛求系统执行正确的动作并产生正确的结果，对时间确定性方面最多就是讨论不同系(亦称通道，例如2乘2取2系统的两个2乘系)或不同项(例如2取2系统的双机或3取2系统的三机)之间的时钟同步或任务同步问题。上述现有技术中的安全苛求系统实现确定性特征的方法的缺点为：目前时钟同步或任务同步方法都是基于不同系或不同项之间的时间上相互纠偏而实现的。这对于冗余或容错系统是合适的，但对于安全苛求系统则存在一定风险，其原因在于发现偏差而纠正属于纠错，而安全苛求系统的基本原则在于发现错误则需启动安全反应而非纠正错误，以避免越纠越错的危险状态出现。上述时钟同步或任务同步至多是安全苛求系统时间确定性的基础而非全部，因此研究如何确保安全苛求系统的时间确定性非常有意义。
技术实现思路
本专利技术实施例提供了一种安全苛求系统时间确定性实现方法，以解决安全苛求系统安全功能的执行确定性问题。为了实现上述目的，本专利技术采取了如下技术方案。根据本专利技术的一个方面，提出了一种安全苛求系统时间确定性实现方法，其特征在于，包括：基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次，所述安全苛求系统的每一层次的硬件中的电子器件使用各自独立运行的本地时钟；由外部第三方时钟电路产生或基于所述安全苛求系统的第一层次中的所述本地时钟产生所述基础时钟，基于所述基础时钟产生所述基本时钟，基于所述基本时钟产生所述任务时钟，所述任务时钟包括任务微周期时钟、任务周期时钟、任务宏周期时钟；所述安全苛求系统不同层次的时钟之间采用时间窗口方式来实现双向定时监督。优选地，所述的基础时钟、基本时钟和任务时钟，包括：基础时钟频率为所述安全苛求系统各层次硬件中的电子器件所使用的不同本地时钟频率的公因数；任务时钟频率，包括任务微周期时钟、任务周期时钟、任务宏周期时钟的频率，是根据所述安全苛求系统所完成安全功能的实时要求，按照不同安全功能的控制周期来确定的；基本时钟频率是所述安全苛求系统中不同所述任务时钟的频率的公倍数。优选地，所述的基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次，包括：逻辑划分的不同层次，即第一层次、第二层次和第三层次，根据电路设计情况位于相同的物理硬件中；逻辑划分的不同层次，即第一层次、第二层次和第三层次，根据电路设计情况位于不同的物理硬件中。优选地，所述的外部第三方时钟电路或所述安全苛求系统的第一层次中的任意项中的硬件或软件配合硬件产生所述基础时钟，包括：所述基础时钟产生方式一：外部第三方时钟电路驱动基础时钟产生和双向定时监督模块产生所述基础时钟，所述安全苛求系统的第一层次所有系中的所有项对所述基础时钟采用双向定时监督方式确认其工作正常，并将监督结果反馈给基础时钟产生电路，双向定时监督结果正常作为基础时钟产生电路正常工作的条件，所述基础时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基础时钟输出；所述基础时钟产生方式二：由所述安全苛求系统的第一层次中的任意项中的硬件或软件配合硬件基于所述第一层次的本地时钟产生所述基础时钟，所述安全苛求系统的同一系或不同系中的其它项采用双向定时监督方式确认其工作正常，并将此监督结果反馈给产生所述基础时钟的项，此双向定时监督结果正常作为产生所述基础时钟的项正常工作的条件，所述基础时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基础时钟输出。优选地，所述的基于基础时钟产生基本时钟，包括：所述安全苛求系统的第一层次中的任意项中的硬件独立产生或软件配合硬件产生所述基本时钟，所述安全苛求系统的第二层次中的所有项对所述基本时钟采用双向定时监督方式确认其工作正常，并将此监督结果反馈给所述安全苛求系统的第一层次中的所述基本时钟产生电路，此双向定时监督结果正常作为所述基本时钟产生电路正常工作的条件，所述基本时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基本时钟的输出。优选地，所述的基于基本时钟产生任务时钟，包括：所述安全苛求系统的第二层次中的任意项中的硬件独立产生或软件配合硬件产生所述任务时钟，所述安全苛求系统的第三层次中的所有项对所述任务时钟采用双向定时监督方式确认其工作正常，并将此监督结果反馈给所述安全苛求系统的第二层次中的所述任务时钟产生电路，此双向定时监督结果正常作为所述任务时钟产生电路正常工作的条件，所述任务时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述任务时钟的输出。优选地，若干个所述基础时钟周期构成一个所述基本时钟周期，若干个所述基本时钟周期构成一个所述任务微周期时钟周期，若干个所述任务微周期时钟周期构成一个所述任务周期时钟周期，若干个所述任务周期时钟周期构成一个所述任务宏周期时钟周期。优选地，在同一个所述安全苛求系统中，一个所述基本时钟的时钟周期包含若干个等长的所述基础时钟的时钟周期；在同一个所述安全苛求系统中，根据所述安全苛求系统完成安全功能的要求，一个所述任务周期时钟的时钟周期包含若干个等长或者不等长的所述任务微周期时钟的时钟周期；在同一个所述安全苛求系统中，根据所述安全苛求系统完成安全功能的要求，一个所述任务宏周期时钟的时钟周期包含若干个等长或者不等长的所述任务周期时钟的时钟周期。优选地，所述的不同层次的时钟之间采用时间窗口方式来实现双向定时监督，包括：对需要监督的时钟周期时长前后一定比例设置时间窗口，时钟产生发送方和接收方的任何一方在设定的时间窗口内收到应收到的时钟脉冲为工作正常，时钟产生电路正常工作产生时钟；对需要监督的时钟周期时长前后一定比例设置时间窗口，时钟产生发送方和接收方的任何一方在设定的时间窗口内未收到应收到的时钟脉冲为工作异常，启动安全反应关闭时钟输出。优选地，所述方法还包括：在所述安全苛求系统中取消所述基础时钟本文档来自技高网...

【技术保护点】
一种安全苛求系统时间确定性实现方法，其特征在于，包括：基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次，所述安全苛求系统的每一层次的硬件中的电子器件使用各自独立运行的本地时钟；由外部第三方时钟电路产生或基于所述安全苛求系统的第一层次中的所述本地时钟产生所述基础时钟，基于所述基础时钟产生所述基本时钟，基于所述基本时钟产生所述任务时钟，所述任务时钟包括任务微周期时钟、任务周期时钟、任务宏周期时钟；所述安全苛求系统不同层次的时钟之间采用时间窗口方式来实现双向定时监督。

【技术特征摘要】
1.一种安全苛求系统时间确定性实现方法，其特征在于，包括：基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次，所述安全苛求系统的每一层次的硬件中的电子器件使用各自独立运行的本地时钟；由外部第三方时钟电路产生或基于所述安全苛求系统的第一层次中的所述本地时钟产生所述基础时钟，基于所述基础时钟产生所述基本时钟，基于所述基本时钟产生所述任务时钟，所述任务时钟包括任务微周期时钟、任务周期时钟、任务宏周期时钟；所述安全苛求系统不同层次的时钟之间采用时间窗口方式来实现双向定时监督。2.根据权利要求1所述的安全苛求系统时间确定性实现方法，其特征在于，所述的基础时钟、基本时钟和任务时钟，包括：基础时钟频率为所述安全苛求系统各层次硬件中的电子器件所使用的不同本地时钟频率的公因数；任务时钟频率，包括任务微周期时钟、任务周期时钟、任务宏周期时钟的频率，是根据所述安全苛求系统所完成安全功能的实时要求，按照不同安全功能的控制周期来确定的；基本时钟频率是所述安全苛求系统中不同所述任务时钟的频率的公倍数。3.根据权利要求1所述的安全苛求系统时间确定性实现方法，其特征在于，所述的基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次，包括：逻辑划分的不同层次，即第一层次、第二层次和第三层次，根据电路设计情况位于相同的物理硬件中；逻辑划分的不同层次，即第一层次、第二层次和第三层次，根据电路设计情况位于不同的物理硬件中。4.根据权利要求1所述的安全苛求系统时间确定性实现方法，其特征在于，所述的外部第三方时钟电路或所述安全苛求系统的第一层次中的任意项中的硬件或软件配合硬件产生所述基础时钟，包括：所述基础时钟产生方式一：外部第三方时钟电路驱动基础时钟产生和双向定时监督模块产生所述基础时钟，所述安全苛求系统的第一层次所有系中的所有项对所述基础时钟采用双向定时监督方式确认其工作正常，并将监督结果反馈给基础时钟产生电路，双向定时监督结果正常作为基础时钟产生电路正常工作的条件，所述基础时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基础时钟输出；所述基础时钟产生方式二：由所述安全苛求系统的第一层次中的任意项中的硬件或软件配合硬件基于所述第一层次的本地时钟产生所述基础时钟，所述安全苛求系统的同一系或不同系中的其它项采用双向定时监督方式确认其工作正常，并将此监督结果反馈给产生所述基础时钟的项，此双向定时监督结果正常作为产生所述基础时钟的项正常工作的条件，所述基础时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基础时钟输出。5.根据权利要求1所述的安全苛求系统时间确定性实现方法，其特征在于，所述的基于基础时钟产生基本时钟，包括：所述安全苛求系统的第一层次中的任意项中的硬件独立产生或软...

【专利技术属性】
技术研发人员：李开成，马连川，唐涛，曹源，
申请(专利权)人：北京交通大学，
类型：发明
国别省市：北京,11