用于地理热冗余的方法和系统技术方案

本发明专利技术公开用于地理热冗余的方法和系统。该方法包括：由第一主计算机向第二从计算机传输第一输入数据项以及用于应用程序的第n个执行周期的第一执行上下文，该应用程序的第一和第二副本分别在第一和第二计算机上执行；执行第一副本，在第n个周期结束时更新第一执行上下文，并且将其传输给第二计算机；恢复用于第n个周期的第一输入数据项和第一执行上下文，作为用于第n个周期的第二输入数据项和第二执行上下文；在用于第n个周期的第二执行上下文中，对第n个周期的第二输入数据项执行第二副本，并且在第n个周期结束时更新第二执行上下文；以及通过将第n个周期结束时的第一和第二执行上下文进行比较，来检查和验证一致性。

【技术实现步骤摘要】
用于地理热冗余的方法和系统
本专利技术涉及用于热冗余(hotredundancy)的方法和系统。
技术介绍
为了提供某一功能，信息系统包括安全计算机，该安全计算机以循环方式执行适当的应用程序。安全计算机是本质安全的计算机。例如，安全计算机基于2oo2(“二取二”)架构，该架构包括优选相对于彼此多样化的两个计算单元。这两个单元以为了始终接收相同输入的方式彼此并行布置。两个计算单元的输出路由到硬件或软件二者之一的评估单元(或表决器)，该评估单元仅在来自两个计算单元的输出彼此相同时才递送输出。否则，评估单元生成限制性安全输出。这样，以某一置信级保证安全计算机的输出。其他架构为本领域技术人员所知，然而，可以看出，能够满足特定于铁路部门的安全性和可用性要求的架构是基于常规架构2oo2、2oo3或编码单处理器的。要注意的是，2oo2或2oo3复合架构的优点在于可操作地实施常规IT/计算部件(“商用成品部件”COTS)的可能性。由信息系统提供的功能的总体可用率的提高通过计算手段的集聚来获得，这些计算手段以使得一个手段可以立即接替另一个发生故障手段的方式并行运行。例如在专利文献EP1764694B1中提出了计算手段的称为热冗余的这种冗余，该专利文献公开了一种系统，该系统包括第一主安全计算机和复制第一主安全计算机的第二从安全计算机。各台计算机执行同一应用程序的副本。为了检查和验证两台计算机的/之间的一致性以及系统的标称运行，比较在两台安全计算机执行应用程序的各个周期中生成的输出。对应用程序各个副本的执行一致性的该验证是基于以下内容的存在：硬件控制装置、计算机之间的双向同步链路(用于严格同步主计算机和从计算机)以及用于处理两台计算机的输出的硬件装置。为了确信由各台计算机生成的输出数据项的比较与基于/根据同一批输入数据项在同一应用程序执行周期的过程中计算出的数据相关/集中于此，必须对两台安全计算机进行完美的同步。由此，专利文献EP1764694B1中提出的系统包括一种手段，该手段用于通过两台安全计算机之间的双向同步链路进行同步和通信，从而使得这些安全计算机能够保持严格同步。为了不引入失真，该链路必须高效且专用。它通常是电缆线路、数据总线或专用通信网络。这些限制强加该同步链路的长度较短的要求，这意味着两台安全计算机(主计算机和从计算机)彼此靠近放置。由于存在该同步链路且有时存在用于评估一致性/仲裁的评估装置，因此两台安全计算机位于同一地理位置。然而，这种系统不提供克服共模故障的手段。例如，如果第一安全计算机所位于的房间中的火灾将导致该第一计算机停止运行，则存在也导致第二计算机停止运行的风险。然后，该第二计算机将不能在为发生故障的主计算机提供冗余方面发挥作用，并且信息系统所提供的功能将不再可用。因此，需要一种地理热冗余，该冗余允许冗余计算机被分开一物理距离，以便避免共同故障模式。这样，在第一主计算机发生故障的情况下，第二从计算机不会先验地受影响，并且在注意到第一计算机发生故障后，能够接替控制并确保系统功能可用性的连续性。然而，分离两台安全计算机导致失去精确同步它们的可能性，并且因此失去了比较它们的输出以便确定一台或另一台安全计算机是否正在发生故障的可能性。因此，不再可以在两台计算机之间关于它们中的哪一台将作为主机运行和哪一台将作为从机运行进行仲裁。
技术实现思路
本专利技术的目的是通过提出一种用于地理热冗余的方法来解决该问题。为此，本专利技术的目的是一种热冗余方法，该热冗余方法用于在通过通用通信网络彼此连接的第一安全计算机与第二安全计算机之间的地理热冗余，第一安全计算机循环执行应用程序的第一副本，为第一安全计算机提供冗余的第二安全计算机循环执行所述应用程序的第二副本，在正常运行中，在第一安全计算机作为主计算机运行而第二安全计算机作为从计算机运行时，该方法的特征在于，包括以下步骤：a)由第一安全计算机向第二安全计算机传输消息，该消息包括用于第n个周期的第一输入数据项以及用于在第n个周期内执行应用程序的全部或部分第一执行上下文；b)在第n个周期期间，在第一安全计算机上执行应用程序的第一副本，并且在第n个周期结束时更新用于执行应用程序的第一执行上下文；c)在第n个周期结束时，由第一安全计算机向第二安全计算机传输对应于全部或部分第一执行上下文的第一输出量；d)由第二安全计算机接收消息，并且在第二安全计算机上恢复在消息中包含的、用于第n个周期的第一输入数据项和用于第n个周期的全部或部分第一执行上下文，作为用于第n个周期的第二输入数据项和第二执行上下文；e)在第n个周期期间，在第二安全计算机上，在用于第n个周期的第二执行上下文中，对第n个周期的第二输入数据项执行应用程序的第二副本，并且在第n个周期结束时更新第二执行上下文；f)通过将第二安全计算机上在第n个周期结束时对应于全部或部分第二执行上下文的第二输出量与从第一安全计算机接收的第n个周期结束时的第一输出量进行比较，来检查和验证第一安全计算机与第二安全计算机之间的一致性。根据特定实施方式，方法包括以下特性特征中的一个或多个，这些特性特征单独考虑或根据所有技术上可以的组合来考虑：-在第一输出量与第二输出量之间存在差异的情况下，包括训练步骤，以便恢复第二安全计算机与第一安全计算机之间的一致性，所述训练步骤包括：在第一安全计算机上、在第n个周期结束时生成第一执行上下文的图像；将图像传输到第二安全计算机；用所接收的图像在第二安全计算机上初始化第二执行上下文；以及在第n个周期之后的周期期间，在第二安全计算机上执行应用程序的第二副本；-在训练步骤期间，将第二安全计算机在预定周期数内维持在检验步骤中，以便通过在检验步骤的各个周期内有效地实施步骤a)至f)，来检查和验证第一安全计算机与第二安全计算机之间的一致性，并且在肯定验证的情况下，恢复第一安全计算机与第二安全计算机之间的冗余；-在第n个周期结束时的第一输出量和第二输出量对应于与第n个周期的结束对应的执行上下文的签名，签名算法根据所需的运行安全等级来选择；-当第二安全计算机在预定的时间段内不再从第一安全计算机接收到消息时，执行由从机到主机切换的切换步骤；-当第一安全计算机检测到故障时，它采用安全回退状态，并将对所采用的回退状态的确认传输到第二安全计算机，第二安全计算机在已经接收到所述确认后发起由从机切换到主机的切换步骤；-方法包括以下步骤：通过可操作地部署实现控制计算机角色的附加安全计算机来维持通信，该安全计算机一方面连接到第一安全计算机，另一方面连接到第二安全计算机，第二安全计算机在与第一安全计算机的通信中断之后，在询问附加安全计算机并从附加安全计算机接收到第一安全计算机未响应的确认之后，发起由从机切换到主机的切换步骤；-在自从大于预定阈值的时间段以来第一次检测到第一输出量与第二输出量之间的差异的情况下，预定阈值优选地大于两个执行周期的持续时间，提供用于再执行一个执行周期本文档来自技高网...

【技术保护点】
1.一种用于第一安全计算机(11)与第二安全计算机(12)之间的地理热冗余的方法(100)，所述第一安全计算机和所述第二安全计算机远离彼此，以避免故障共模，所述第一安全计算机和所述第二安全计算机通过通用通信网络(8)彼此连接，而没有允许所述第一安全计算机与所述第二安全计算机之间的严格同步的同步链路，所述第一安全计算机循环执行应用程序的第一副本(13)，为所述第一安全计算机提供冗余的所述第二安全计算机循环执行所述应用程序的第二副本(14)，在正常运行中，在所述第一安全计算机作为主计算机运行而所述第二安全计算机作为从计算机运行时，所述方法的特征在于，包括以下步骤：/na)由所述第一安全计算机(11)向所述第二安全计算机(12)传输(120)包括用于第n个周期的第一输入数据项(17)以及用于在所述第n个周期内执行所述应用程序的全部或部分第一执行上下文(15)的消息(M

【技术特征摘要】
20190307 FR 19023441.一种用于第一安全计算机(11)与第二安全计算机(12)之间的地理热冗余的方法(100)，所述第一安全计算机和所述第二安全计算机远离彼此，以避免故障共模，所述第一安全计算机和所述第二安全计算机通过通用通信网络(8)彼此连接，而没有允许所述第一安全计算机与所述第二安全计算机之间的严格同步的同步链路，所述第一安全计算机循环执行应用程序的第一副本(13)，为所述第一安全计算机提供冗余的所述第二安全计算机循环执行所述应用程序的第二副本(14)，在正常运行中，在所述第一安全计算机作为主计算机运行而所述第二安全计算机作为从计算机运行时，所述方法的特征在于，包括以下步骤：
a)由所述第一安全计算机(11)向所述第二安全计算机(12)传输(120)包括用于第n个周期的第一输入数据项(17)以及用于在所述第n个周期内执行所述应用程序的全部或部分第一执行上下文(15)的消息(MN)；
b)在所述第n个周期期间，在所述第一安全计算机(11)上执行(130)所述应用程序的所述第一副本(13)，并且在所述第n个周期结束时更新所述应用程序的所述第一执行上下文(15)；
c)在所述第n个周期结束时，由所述第一安全计算机(11)向所述第二安全计算机(12)传输(140)对应于全部或部分所述第一执行上下文(15)的第一输出量(SN)；
d)由所述第二安全计算机(12)接收(220)所述消息(MN)，并且在所述第二安全计算机(12)上恢复在所述消息中包含的、用于所述第n个周期的所述第一输入数据项和用于所述第n个周期的全部或部分所述第一执行上下文，作为用于所述第n个周期的第二输入数据项(18)和第二执行上下文(16)；
e)在所述第n个周期期间，在所述第二安全计算机(12)上，在用于所述第n个周期的所述第二执行上下文(16)中，对所述第n个周期的所述第二输入数据项(18)执行(230)所述应用程序的所述第二副本(14)，并且在所述第n个周期结束时更新所述第二执行上下文；
f)通过将所述第二安全计算机(12)上在所述第n个周期结束时对应于全部或部分所述第二执行上下文(16)的第二输出量(S’N)与从所述第一安全计算机(11)接收的所述第n个周期结束时的第一输出量(SN)进行比较，来优选地通过所述第二安全计算机检查和验证(250)所述第一安全计算机与所述第二安全计算机之间的一致性。


2.根据权利要求1所述的方法，在所述第一输出量与所述第二输出量之间存在差异的情况下，包括训练步骤(400)，以便恢复所述第二安全计算机(12)与所述第一安全计算机(11)之间的一致性，所述训练步骤包括：在所述第一安全计算机(11)上、在所述第n个周期结束时产生(420)所述第一执行上下文(15)的图像(IN)；将所述图像传输(430)到所述第二安全计算机(12)；用所接收的所述图像在所述第二安全计算机(12)上初始化第二执行上下文(16)；以及在所述第n个周期之后的周期期间，在所述第二安全计算机(12)上执行所述应用程序的所述第二副本(14)。


3.根据权利要求2所述的方法，其中，在所述训练步骤(400)期间，将所述第二安全计算机(12)在预定周期数内维持在检验步骤(460)中，以便通过在所述检验步骤的各个周期内有效地实施所述步骤a)至f)，来检查和验证所述第一安全计算机与所述第二安全计算机之间的一致性，并且在肯定验证的情况下，恢复所述第一安全计算机与所述第二安全计算机之间的冗余(470)。


4.根据权利要求1所述的...

【专利技术属性】
技术研发人员：塞尔吉奥·贝泽基，
申请(专利权)人：阿尔斯通运输科技公司，
类型：发明
国别省市：法国;FR