本发明专利技术涉及一种冗余的计算机配置,其具有处理相同输入数据的至少两台可靠的计算机或者至少三个通道。为了实现计算机在接通或者交替运行时的高可靠性水平,每个计算机与一个外部剩余存储器连接,该外部剩余存储器存储伙伴计算机的接通/断开状态和对可靠性很关键的事件或者这些事件的存在,其中,在该伙伴计算机处于断开状态并且存在至少一个对可靠性很关键的事件时,对伙伴计算机的启动或者加以防止,或者利用可靠性重要的限制加以允许,或者在根据对可靠性很关键的事件更新伙伴计算机的运行状态之后加以允许。
【技术实现步骤摘要】
本专利技术涉及一种冗余的计算机配置,其具有至少两台处理相同输入数据的可靠的计算机。该可靠计算机的冗余优选地通过计算机结构的加倍(2台计算机的2×2)来实现,其中,两台计算机处理相同的输入数据并在数据处理正确时得到相同的输出。不过,可以考虑的还有计算机配置的至少三通道的结构(两个三通道计算机)。
技术介绍
下面,在不将本专利技术限制在具有两个两通道计算机的计算机配置的条件下基本上涉及两台计算机的2×2配置。在没有故障的状态下并行写入两台计算机的存储器部件。这些存储器部件存储有相同的、用信号技术可靠存储的数据。这意味着,两台计算机具有相同的当前运行状态。在车载计算机配置的情况下,例如由两台计算机按允许的最高速度来存储相同的数据。下面,描述用于受轨道约束的交通工具的车载计算机,其中不应该将本专利技术限制为该应用。在双重计算机中的问题是例如由于一台计算机的安全性断开引起的继续运行。被断开的计算机在安全性断开的时间内不参与运行,使得对安全性很关键的数据仅仅存储在继续引导运行的计算机中。如果两台计算机随后断开运行并重新被接通,则此前由于安全性断开而出故障的计算机可能启动,而此前没有故障的计算机由于某种干扰出故障并因此不能启动。在这种情况下,在启动的计算机的存储器部件中现有的数据是过时的。特别是,如果该数据包括限制运行的信息,例如关于允许的最高速度,则继续信号技术上可靠的运行就存在问题。西门子的文献“SicherheitsnachweisSignaltechnisch sichere remanente Datenspeicherung SIMIS 3116/3216”公开了,为计算机的每个通道设置一种硬件监视装置,如果可靠性断开涉及到了一个计算机通道,则该装置就起作用。该监视装置基本上防止了在一个计算机通道断开之后出故障的通道再次启动。同时向有关受过培训的人员发出维护要求。其缺点主要是巨大的人员和时间花费。此外,该公知的监视装置是为计算机的通道而不是为计算机系统的计算机所设计的。例如,在列车上采用了多个冗余的可靠计算机以保证在两个方向上的安全行驶。通常每个行驶方向设置一个列车安全性计算机,其中,该列车安全性计算机应该在指定的路段被断开,否则可能通过该不起作用的计算机引起强制制动。但是,对于运行接通、但就输出而言是不起作用的计算机也可能通过干扰而采取断开状态,该状态的结果是,涉及对安全性很关键的事件的数据仅仅加载到起作用的计算机而不加载到不起作用的计算机上。例如,这种对安全性很关键的数据可以是预定的最高速度或者在ETCS(European Train Control System,欧洲列车控制系统)中待监视的回滚路径(Rueckrollweg)。如果在行驶方向改变时此前不起作用的计算机变为起作用的计算机,则其处于一种过时的运行模式。这起码一直是如此,直到行驶过路段边上的Balise,由后者向列车安全性计算机传送确定的标志,由此将特定于标志的数据组存储在起作用的列车安全性计算机中。在驶过Balise之前的不可靠性不能被排除。
技术实现思路
因此,本专利技术要解决的技术问题是,提供一种普通类型的计算机配置,其中,仅当确保给出了整个系统的可靠运行状态时才进行计算机的首次启动或者重新启动。在此,避免对待启动计算机的数据库进行手动更新。上述技术问题是通过一种冗余的计算机配置解决的。该冗余的计算机配置具有处理相同输入数据的至少两台可靠的计算机或者至少三个通道,其中,每个计算机与一个外部剩余存储器连接,该外部剩余存储器存储伙伴计算机的接通/断开状态和对可靠性很关键的事件或者该事件的存在性,其中,在伙伴计算机处于断开状态并且存在至少一个对可靠性很关键的事件时,对该伙伴计算机的启动或者加以防止,或者利用对可靠性重要的限制加以允许,或者在根据对可靠性很关键的事件更新该伙伴计算机的运行状态之后加以允许。具体实施例方式通过与每个计算机连接的外部剩余存储器,在另一计算机(近似于伙伴计算机)的重新启动时保证了所要求的可靠性标准。此外,向外部剩余存储器输入关于更新伙伴计算机的运行状态所需要的对可靠性很关键的事件的数据。仅仅对于在待重新启动的计算机的断开阶段期间出现了对可靠性很关键的事件的情况,才必须引入一定的措施。如果不是存储对可靠性很关键的事件的内容而是仅仅存储其出现,则对伙伴计算机的启动或者加以防止,或者利用相应的对可靠性重要的限制加以允许。不过,外部剩余存储器优选地设置用来存储对可靠性很关键的事件的内容。这样,存储器内容用于更新伙伴计算机的运行状态,使得该伙伴计算机随后可以被完全释放。在标准EN 50159中规定了保证存放数据安全的措施。随后删除存储内容,由此外部剩余存储器可重新用于监控伙伴计算机。在该优选的变形中,去除了手动方式的维护措施来更新出现故障、并将要重新启动的伙伴计算机的数据成分。与现有技术中的硬件控制相比,本专利技术的方法由软件控制,因此本质上更灵活。此外如果待存储的事件应验,则仅仅有针对性地禁止此前断开的两台两通道计算机中的一个不受限制地再次启动。可以选择专门的外部存储介质并相应进行设置。为了提高安全性和/或可靠性,可以为每两台两通道计算机使用多个外部剩余存储器。按照本专利技术,作为存储器例如采用双稳态继电器,或者采用计算机硬盘。选择何种配置以及如何正确地设置该配置,尤其取决于要实现的可靠性整体水平。如果选择双稳态继电器作为存储介质,则该双稳态继电器由一个输出吸合而由第二个输出释放。如果伙伴计算机由于某些原因或者总是被断开,或者在整个系统启动时没有被接通并且还应验了信号技术上待可靠存储的信息,则继电器触点由计算机的一个输入精确地进行操纵。必须满足上述两个条件,由此才能操纵该触点并按照该方式例如直接阻止伙伴计算机的电流输入。不过,该触点也可以起到这样的作用,即在伙伴计算机被启动之后由该伙伴计算机读入对可靠性很关键的状态并由此进行处理。如果在重新接通之后两台计算机运行,则将在没有被双稳态继电器的触点阻塞的计算机中的数据设置为有效。另一台被接通的继电器触点阻塞的计算机必须首先得到更新。在更新之后,通过一个释放输入将双稳态继电器设置回输出状态。如果通过维护人员进行计算机的更新和继电器的复位设置,则可以省略该自动释放功能。如果在重新接通之后该两台两通道计算机中只有在断开前可靠性断开所涉及的那一个计算机启动,则该计算机总是由于吸合的继电器触点或者根本不恢复运行,或者利用特定于项目而确定的限制来恢复运行。在将可靠性重要的数据存储在外部剩余存储器的情况下,已启动的计算机在调用该数据之后可以没有干扰地恢复运行。如果两台计算机启动并且两个继电器触点吸合,则也采取类似的可靠性措施。如果计算机配置是具有如本文开始部分所述只交替运行的两台列车安全性计算机的布置,则作为外部剩余存储器优选采用具有硬盘或者其它存储介质的计算机系统,因为双稳态继电器的状态指示由于在两台列车安全性计算机之间的列车导线很长而只能非常昂贵地实现。如果在主动运行的引导列车安全性计算机中积累了待剩余存储的数据,则该数据优选地不仅存放在该列车安全性计算机中,而且还额外地存放在所连接的具有剩余存储器的外部计算机中。不过,在大数据量的情况下也可以仅仅存放关于新的安全性关键数据被验证的信息。在此要使本文档来自技高网...
【技术保护点】
一种冗余的计算机配置,其具有处理相同输入数据的至少两台可靠的计算机或者至少三个通道,其特征在于,每个计算机与一个外部剩余存储器连接,该外部剩余存储器存储伙伴计算机的接通/断开状态和对可靠性很关键的事件或者这些事件的存在,其中,在所述伙伴计算机处于断开状态并且存在至少一个对可靠性很关键的事件时,对该伙伴计算机的启动或者加以防止,或者利用对可靠性重要的限制加以允许,或者在根据所述对可靠性很关键的事件更新了该伙伴计算机的运行状态之后加以允许。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:迈克尔温格尔,
申请(专利权)人:西门子公司,
类型:发明
国别省市:DE[德国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。