【技术实现步骤摘要】
用于地理热冗余的方法和系统
本专利技术涉及用于热冗余(hotredundancy)的方法和系统。
技术介绍
为了提供某一功能,信息系统包括安全计算机,该安全计算机以循环方式执行适当的应用程序。安全计算机是本质安全的计算机。例如,安全计算机基于2oo2(“二取二”)架构,该架构包括优选相对于彼此多样化的两个计算单元。这两个单元以为了始终接收相同输入的方式彼此并行布置。两个计算单元的输出路由到硬件或软件二者之一的评估单元(或表决器),该评估单元仅在来自两个计算单元的输出彼此相同时才递送输出。否则,评估单元生成限制性安全输出。这样,以某一置信级保证安全计算机的输出。其他架构为本领域技术人员所知,然而,可以看出,能够满足特定于铁路部门的安全性和可用性要求的架构是基于常规架构2oo2、2oo3或编码单处理器的。要注意的是,2oo2或2oo3复合架构的优点在于可操作地实施常规IT/计算部件(“商用成品部件”COTS)的可能性。由信息系统提供的功能的总体可用率的提高通过计算手段的集聚来获得,这些计算手段以使得一个手段可以立即接替另一个发生故障手段的方式并行运行。例如在专利文献EP1764694B1中提出了计算手段的称为热冗余的这种冗余,该专利文献公开了一种系统,该系统包括第一主安全计算机和复制第一主安全计算机的第二从安全计算机。各台计算机执行同一应用程序的副本。为了检查和验证两台计算机的/之间的一致性以及系统的标称运行,比较在两台安全计算机执行应用程序的各个周期中生成的输出。对应用程序各个副 ...
【技术保护点】
1.一种用于第一安全计算机(11)与第二安全计算机(12)之间的地理热冗余的方法(100),所述第一安全计算机和所述第二安全计算机远离彼此,以避免故障共模,所述第一安全计算机和所述第二安全计算机通过通用通信网络(8)彼此连接,而没有允许所述第一安全计算机与所述第二安全计算机之间的严格同步的同步链路,所述第一安全计算机循环执行应用程序的第一副本(13),为所述第一安全计算机提供冗余的所述第二安全计算机循环执行所述应用程序的第二副本(14),在正常运行中,在所述第一安全计算机作为主计算机运行而所述第二安全计算机作为从计算机运行时,所述方法的特征在于,包括以下步骤:/na)由所述第一安全计算机(11)向所述第二安全计算机(12)传输(120)包括用于第n个周期的第一输入数据项(17)以及用于在所述第n个周期内执行所述应用程序的全部或部分第一执行上下文(15)的消息(M
【技术特征摘要】
20190307 FR 19023441.一种用于第一安全计算机(11)与第二安全计算机(12)之间的地理热冗余的方法(100),所述第一安全计算机和所述第二安全计算机远离彼此,以避免故障共模,所述第一安全计算机和所述第二安全计算机通过通用通信网络(8)彼此连接,而没有允许所述第一安全计算机与所述第二安全计算机之间的严格同步的同步链路,所述第一安全计算机循环执行应用程序的第一副本(13),为所述第一安全计算机提供冗余的所述第二安全计算机循环执行所述应用程序的第二副本(14),在正常运行中,在所述第一安全计算机作为主计算机运行而所述第二安全计算机作为从计算机运行时,所述方法的特征在于,包括以下步骤:
a)由所述第一安全计算机(11)向所述第二安全计算机(12)传输(120)包括用于第n个周期的第一输入数据项(17)以及用于在所述第n个周期内执行所述应用程序的全部或部分第一执行上下文(15)的消息(MN);
b)在所述第n个周期期间,在所述第一安全计算机(11)上执行(130)所述应用程序的所述第一副本(13),并且在所述第n个周期结束时更新所述应用程序的所述第一执行上下文(15);
c)在所述第n个周期结束时,由所述第一安全计算机(11)向所述第二安全计算机(12)传输(140)对应于全部或部分所述第一执行上下文(15)的第一输出量(SN);
d)由所述第二安全计算机(12)接收(220)所述消息(MN),并且在所述第二安全计算机(12)上恢复在所述消息中包含的、用于所述第n个周期的所述第一输入数据项和用于所述第n个周期的全部或部分所述第一执行上下文,作为用于所述第n个周期的第二输入数据项(18)和第二执行上下文(16);
e)在所述第n个周期期间,在所述第二安全计算机(12)上,在用于所述第n个周期的所述第二执行上下文(16)中,对所述第n个周期的所述第二输入数据项(18)执行(230)所述应用程序的所述第二副本(14),并且在所述第n个周期结束时更新所述第二执行上下文;
f)通过将所述第二安全计算机(12)上在所述第n个周期结束时对应于全部或部分所述第二执行上下文(16)的第二输出量(S’N)与从所述第一安全计算机(11)接收的所述第n个周期结束时的第一输出量(SN)进行比较,来优选地通过所述第二安全计算机检查和验证(250)所述第一安全计算机与所述第二安全计算机之间的一致性。
2.根据权利要求1所述的方法,在所述第一输出量与所述第二输出量之间存在差异的情况下,包括训练步骤(400),以便恢复所述第二安全计算机(12)与所述第一安全计算机(11)之间的一致性,所述训练步骤包括:在所述第一安全计算机(11)上、在所述第n个周期结束时产生(420)所述第一执行上下文(15)的图像(IN);将所述图像传输(430)到所述第二安全计算机(12);用所接收的所述图像在所述第二安全计算机(12)上初始化第二执行上下文(16);以及在所述第n个周期之后的周期期间,在所述第二安全计算机(12)上执行所述应用程序的所述第二副本(14)。
3.根据权利要求2所述的方法,其中,在所述训练步骤(400)期间,将所述第二安全计算机(12)在预定周期数内维持在检验步骤(460)中,以便通过在所述检验步骤的各个周期内有效地实施所述步骤a)至f),来检查和验证所述第一安全计算机与所述第二安全计算机之间的一致性,并且在肯定验证的情况下,恢复所述第一安全计算机与所述第二安全计算机之间的冗余(470)。
4.根据权利要求1所述的...
【专利技术属性】
技术研发人员:塞尔吉奥·贝泽基,
申请(专利权)人:阿尔斯通运输科技公司,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。