安全系统的菊花链技术方案

本发明专利技术涉及一种安全系统的菊花链。一种系统包括第一计算机、第二计算机和活跃计算机系统确定模块。第一计算机从第二计算机接收表示第二计算机中的故障的第二计算机正常信号并且生成表示第一计算机和/或第二计算机中的故障的第一计算机系统正常信号。活跃计算机系统确定模块接收第一计算机系统正常信号并且基于第一计算机系统正常信号生成待机信号。第二计算机接收待机信号并基于待机信号禁用其输出端口中的一个或多个。

【技术实现步骤摘要】
安全系统的菊花链
本公开涉及容错故障安全计算机系统。
技术介绍
本部分提供不一定是现有技术的、涉及本公开的背景信息。本文提供的背景描述是为了大体呈现本公开的背景。在本背景部分中描述范围内的目前命名的专利技术人的工作以及在申请时可能不符合现有技术的条件的描述的各方面既不明确地，也不隐含地被承认为针对本公开的现有技术。诸如铁路系统的外部安全系统可以包括被配置为实现安全应用的容错故障安全计算机系统。容错故障安全计算机系统可以包括电气地和逻辑地耦接的多个硬件组件，以实现安全应用。安全应用选择性地与安全关键硬件和软件通信。安全关键硬件和软件被配置为控制铁路系统的安全相关功能。例如，行驶在铁路系统上的列车包括制动系统。制动系统被配置为实现至少一个安全相关功能，例如制动功能。制动系统包括制动器和被配置为致动制动器的软件。软件接收用于致动制动器的指令。例如，列车的操作员可以操作制动系统用户界面以指示软件致动制动器。偶尔，铁路系统的故障组件可能生成致动制动器的错误指令。因此，期望一种被配置为验证由外部安全系统接收的指令的容错故障安全计算机系统。此外，随着外部安全系统网络的范围和复杂性不断增大，通过这种网络传输的数据量同样地在增加。常规的容错故障安全计算机系统常常缺乏处理日益增长的数据吞吐量的I/O容量。因此，期望一种被配置为解决一个或多个前述问题的容错故障安全计算机系统。
技术实现思路
本部分提供了本公开的总体概述，并非全面披露其全部范围或全部特征。在特征中，提供了一种容错故障安全计算机系统。容错故障安全计算机系统可以包括具有第一计算机和可操作地连接到第一计算机的第二计算机的第一计算机系统。容错故障安全计算机系统还可以包括可操作地连接到第一计算机和第二计算机的活跃计算机系统确定模块。第一计算机可以被配置为从第二计算机接收指示第二计算机中的故障的第二计算机正常信号。此外，第一计算机可以被配置成生成第一计算机系统正常信号，该第一计算机系统正常信号指示第一计算机、第二计算机或作为容错故障安全计算机系统的第一计算机系统的部分而被包括的任何其它计算机中的故障。活跃计算机系统确定模块可以被配置为从第一计算机接收第一计算机系统正常信号并基于第一计算机系统正常信号生成待机信号。第二计算机可以被配置为接收待机信号并且基于待机信号禁用第二计算机的一个或多个输出端口。在另一特征中，容错故障安全计算机系统的第一计算机系统还可以包括可操作地连接到第一计算机和第二计算机的第三计算机。在该特征中，第二计算机可以被进一步配置为将待机信号转发给第三计算机。第三计算机可以被配置为接收待机信号并且基于待机信号禁用第三计算机的一个或多个输出端口。在特征中，第一计算机可以被配置为通过第一通信信道接收第二计算机正常信号。第二计算机可以被配置为通过第二通信信道接收待机信号。第一通信信道和第二通信信道可以是不同的通信信道。在一个特征中，第一通信信道可以是以太网通信信道。在另一特征中，容错故障安全计算机系统可以包括第二计算机系统，该第二计算机系统具有可操作地连接到活跃计算机系统确定模块的第四计算机。第四计算机可以被配置为接收由活跃计算机系统确定模块生成的活跃信号，并基于活跃信号启用第四计算机的一个或多个输出端口。在特征中，容错故障安全计算机系统的第二计算机系统包括可操作地连接到活跃计算机系统确定模块和第四计算机的第五计算机。第五计算机可以被配置为接收由活跃计算机系统确定模块生成的活跃信号，并基于活跃信号启用第五计算机的一个或多个输出端口。在一个特征中，容错故障安全计算机系统的第二计算机系统包括可操作地连接到第四计算机和第五计算机的第六计算机。第六计算机可以被配置为接收由第五计算机转发给第六计算机的活跃信号，并且基于活跃信号启用第六计算机的一个或多个输出端口。在特征中，活跃计算机系统确定模块可以被进一步配置为同时生成活跃信号和待机信号。在另一特征中，活跃计算机系统确定模块被进一步配置为响应于接收到第一计算机系统正常信号而生成活跃信号。在一个特征中，第一计算机被进一步配置为通过解除断言预先存在的第一计算机系统正常信号来生成该第一计算机系统正常信号。在其它特征中，一种方法包括由第一计算机接收第二计算机正常信号。第二计算机正常信号可以表示第二计算机中的故障。第一计算机系统正常信号可以由第一计算机生成。第一计算机正常信号可以表示第一计算机和第二计算机中的至少一个中的故障。活跃计算机系统确定模块可以接收第一计算机系统正常信号。活跃计算机系统确定模块可以生成待机信号。第二计算机可以接收待机信号并且基于待机信号禁用第二计算机的一个或多个输出端口。根据本文提供的描述，其它适用领域将变得显而易见。本
技术实现思路
中的描述和具体示例仅用于说明的目的，而不旨在限制本公开的范围。附图说明本文描述的附图仅用于选择的实施例而不是所有可能的实施方式的说明性目的，并且不旨在限制本公开的范围。图1是根据本公开的原理的容错故障安全计算机系统的功能框图；图2是根据本公开的原理的故障安全机架的功能框图；图3是根据本公开原理的基于任务的表决系统的功能框图；图4是说明根据本公开原理的基于任务的表决计算机操作方法的流程图；图5是根据本公开的原理的用于安全应用的扩展盒的功能框图；图6是根据本公开的原理的结合了扩展盒的容错故障安全计算机系统的功能框图；图7是说明根据本公开的原理的切换活跃计算机系统的方法的流程图；和图8是根据本公开的原理的扩展盒的后部转换模块的功能框图。对应的附图标记表示附图的多个视图中的对应的部分。具体实施方式现在将参考附图更全面地描述示例实施例。现在参考图1，示出了示例性容错故障安全计算机系统100的功能框图。系统100被布置为与安全应用交互。例如，系统100被布置为与作为非限制性示例的铁路系统相关联的安全关键硬件和软件进行通信。铁路系统的安全关键硬件和软件控制安全相关组件。例如，安全关键硬件可以被耦接到在铁路系统上运行的列车的制动系统。此外，系统100可以能够根据行业公认的安全标准被认证。安全关键硬件从安全关键软件接收数据元素以致动制动系统的制动器。系统100与安全关键硬件和软件接口以确保安全关键硬件和软件正在根据预定运行标准运行。可以理解的是，虽然仅描述了列车的制动系统，但是本公开的原理适用于任何安全关键硬件和软件。本文描述的实施例的其它可能应用包括但不限于航空系统的组件、医疗系统的组件、油气控制系统的组件、智能电网系统的组件和各种制造系统的组件。在一些实施方式中，系统100从诸如铁路系统的外部安全系统接收多个传入数据包。系统100被配置为处理多个传入数据包且将多个传出数据包传送到外部安全系统的安全相关组件。例如，系统100确定多个传入数据包中的第一包是否是有效包。当系统100确定第一包是有效包时，系统100将传出包传送到铁路系统的至少一个安全相关组件。第一包包括要由铁路系统的至少一个安全相关组件起作用的数据元素。数据元素可以包括传感器数据和/或输入/输出(I/O)点状态。至少一个安全相关组件可以是耦接到行驶在铁路系统上的列车的制动器。可以理解的是，虽然仅描述了外部安全系统的安全相关组件，但第一包可包括要由外部安全系统的非安全相关组件起作用的数据元素。数据元素根据传输协议被格式化。例如，铁路系统本文档来自技高网...

【技术保护点】
1.一种方法，包括：由第一计算机接收第二计算机正常信号，其中所述第二计算机正常信号表示第二计算机中的故障；由所述第一计算机生成第一计算机系统正常信号，其中所述第一计算机系统正常信号表示所述第一计算机和所述第二计算机中的至少一个中的故障；由活跃计算机系统确定模块接收所述第一计算机系统正常信号；由所述活跃计算机系统确定模块生成待机信号；由所述第二计算机接收由所述待机信号；和由所述第二计算机基于所述待机信号禁用所述第二计算机的一个或多个输出端口。

【技术特征摘要】
2017.06.15 US 15/624,3191.一种方法，包括：由第一计算机接收第二计算机正常信号，其中所述第二计算机正常信号表示第二计算机中的故障；由所述第一计算机生成第一计算机系统正常信号，其中所述第一计算机系统正常信号表示所述第一计算机和所述第二计算机中的至少一个中的故障；由活跃计算机系统确定模块接收所述第一计算机系统正常信号；由所述活跃计算机系统确定模块生成待机信号；由所述第二计算机接收由所述待机信号；和由所述第二计算机基于所述待机信号禁用所述第二计算机的一个或多个输出端口。2.根据权利要求1所述的方法，进一步包括：由所述第二计算机将所述待机信号转发给第三计算机；和由所述第三计算机基于所述待机信号禁用所述第三计算机的一个或多个输出端口。3.根据权利要求1所述的方法，其中：由所述第一计算机接收所述第二计算机正常信号包括通过第一通信信道接收所述第二计算机正常信号；由所述第二计算机接收所述待机信号包括通过第二通信信道接收所述待机信号；并且所述第一通信信道和所述第二通信信道是不同的通信信道。4.根据权利要求1所述的方法，其中所述第一通信信道包括以太网通信信道。5.根据权利要求1所述的方法，进一步包括：由所述活跃计算机系统确定模块生成活跃信号；由第四计算机接收所述活跃信号；和由所述第四计算机基于所述活跃信号启用所述第四计算机的一个或多个输出端口。6.根据权利要求5所述的方法，进一步包括：由第五计算机接收所述活跃信号；和由所述第五计算机基于所述活跃信号启用所述第五计算机的一个或多个输出端口。7.根据权利要求6所述的方法，进一步包括：由所述第五计算机将所述活跃信号转发给第六计算机；和由所述第六计算机基于所述活跃信号启用所述第六计算机的一个或多个输出端口。8.根据权利要求5所述的方法，其中由所述第二计算机禁用所述第二计算机的所述一个或多个输出端口与由所述第四计算机启用所述第四计算机的所述一个或多个输出端口同时发生。9.根据权利要求5所述的方法，其中由所述活跃计算机系统确定模块生成所述活跃信号包括响应于接收到所述第一计算机系统正常信号而生成所述活跃信号。10.根据权利要求1所述的方法，其中由所述第一计算机生成所述第一计算机系统正常信号包括解除断言预先存在的第一计算机系统正常信号。11.一种系统，包括：第一计算机系统，包括第一计算机和可操作地连接到所述第一计算机的第二计算机；和活跃计算机系统确定模块，可操作地连接到所述第一计算机和所述第二计算机两者，其中所述第一计算机被配置为...

【专利技术属性】
技术研发人员：马丁·彼得·约翰·科尔内斯，什洛莫·普里陶尔，
申请(专利权)人：雅特生嵌入式计算有限公司，
类型：发明
国别省市：美国,US