CN103176870B - 一种多模式信息交互的冗余安全计算机平台 - Google Patents

Abstract

本发明公开了一种多模式信息交互的冗余安全计算机平台，包括：两套硬件配置完全相同的第一计算机单元与第二计算机单元，每一计算机单元均包括：中央处理器CPU单元、通信单元COM、输入输出单元I/O及电源PSU；CPU单元一端通过DPRAM与COM单元进行数据传输，另一端通过CAN总线与I/O单元进行数据传输；PSU分别与CPU、COM及I/O单元相连；PSU包括：动态驱动继电器DDR单元；DDR单元与CPU单元相连，用于根据CPU单元输出的特定频率的方波，输出特定幅值的直流电平，并由该DDR单元中的继电器控制计算机单元工作状态的切换；所述第一计算机单元中的CPU单元通过SSP与第二计算机单元中的CPU单元进行数据传输。通过采用本发明公开的计算机平台，提高了系统的安全性、可靠性及可移植性。

Description

一种多模式信息交互的冗余安全计算机平台

技术领域

本发明涉及计算机技术领域，尤其涉及一种多模式信息交互的冗余安全计算机平台。

背景技术

列车运行控制系统是控制列车运行和保障铁路行车安全、提高运输效率的主要设备。其中车载设备是列控系统的关键部分，其主要任务是监督列车的运行速度，实现列车的超速防护，属于安全攸关系统，目前国内外普遍采用具有特定冗余架构的安全计算机系统来实现。

目前国内外铁路信号产品的安全计算机主要分为二乘二取二和三取二两种结构。它们各有优劣，实现方式也各不相同。前者结构简单；后者结构相对复杂，但是良好的可靠性和可维护性，逐渐成为当前设计的主流。然后，现有技术中实现三取二或者二乘二取二冗余架构，主要采取单纯依赖现场总线或以太网等串行通信的方式实现多CPU间的同步与信息交互，信息交互方式单一，CPU软件开销大，存在一定的技术缺陷。

对于现有的二乘二取二构架的安全平台而言，主要存在以下缺陷：

1）双CPU同步技术包括两种：A.任务级同步：大多需要单独的取二表决器或同步器来完成双CPU同步和数据取二比较的功能，硬件配置复杂，软件开销大，可移植性差。B.指令级同步：时钟同步要求高，随着CPU主频的不断提高，实现难度日益增大，需要为此研发专用器件，不能适应对安装空间有严格要求的场景。

2）冗余数据的处理：在二乘二取二系统中，取二操作用于保证系统输出的安全性，乘二操作用于保证系统的可用性。通常情况下，为了保证系统的可用性，大多数方案采用信息A/B双网冗余的结构。但是A/B双网上的数据既要相互隔离又要保证时序和内容上的一致是一个难题。

另外，对于二乘二取二系统而言，由于有多个CPU参与计算，如何保证系统输出命令的唯一性和安全性是一个难题。

发明内容

本发明的目的是提供一种多模式信息交互的冗余安全计算机平台，提高了系统的安全性、可靠性及可移植性。

本发明的目的是通过以下技术方案实现的：

一种多模式信息交互的冗余安全计算机平台，包括：两套硬件配置完全相同的第一计算机单元与第二计算机单元，其中，每一计算机单元均包括：中央处理器CPU单元、通信单元COM、输入输出单元I/O以及电源PSU；

所述CPU单元一端通过双口随机存取器DPRAM与所述COM单元进行数据传输；所述CPU单元另一端通过控制器局域网络CAN总线与I/O单元进行数据传输；所述PSU分别与CPU、COM及I/O单元相连；

所述PSU包括：动态驱动继电器DDR单元；所述DDR单元与CPU单元相连，用于根据所述CPU单元输出的特定频率的方波，输出特定幅值的直流电平，并由该DDR单元中的继电器控制计算机单元工作状态的切换；

所述第一计算机单元中的CPU单元通过同步串行接口SSP与第二计算机单元中的CPU单元进行数据传输。

由上述本发明提供的技术方案可以看出，针对城市轨道交通列车控制系统应用需求，采用了基于大容量高速DPRAM（双口随机存取器）接口、动态驱动继电器DDR与高速SSP（同步串行接口）的冗余安全计算机平台，具有结构简单、安全可靠、外部接口丰富、数据吞吐量大、系统扩展能力强、可移植性等突出特点，不仅可以满足城轨交通列车控制系统的需求，还可以广泛应用于其他安全控制领域。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种多模式信息交互的冗余安全计算机平台的示意图；

图2为本发明实施例提供的取二流程与乘二比较流程的示意图；

图3为本发明实施例提供的双CPU任务同步的流程图；

图4为本发明实施例提供的工作状态转换逻辑关系的示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

实施例

图1为本发明实施例提供的一种多模式信息交互的冗余安全计算机平台的示意图。如图1所示，主要包括：

两套硬件配置完全相同的第一计算机单元与第二计算机单元，其中，每一计算机单元均包括：中央处理器单元CPU、通信单元COM、输入输出单元I/O以及电源PSU；

所述CPU单元一端通过双口随机存取器DPRAM与所述COM单元进行数据传输；所述CPU单元另一端通过控制器局域网络CAN总线与I/O单元进行数据传输；所述PSU分别与CPU、COM及I/O单元相连；

所述PSU包括：动态驱动继电器DDR单元；所述DDR单元与CPU单元相连，用于根据所述CPU单元输出的特定频率的方波，输出特定幅值的直流电平，并由该DDR单元中的继电器控制计算机单元工作状态的切换；

所述第一计算机单元中的CPU单元通过同步串行接口SSP与第二计算机单元中的CPU单元进行数据传输。

所述CPU单元包括：第一CPU与第二CPU；所述第一CPU通过DPRAM与所述第二CPU实现任务同步。

所述任务同步包括：第一CPU将本轮同步码M写入本地同步信息内存地址中；并查验第二CPU的同步信息内存地址中存储的同步码是否为M；若是，则同步成功；否则，不断查验第二CPU的同步信息内存地址中存储的同步码；

或者，第二CPU不断查验第一CPU的同步信息内存地址中存储的信息是否是本轮期望的同步码M；若是，则将校核同步码M写入本地同步信息内存地址中，完成同步；否则，不断查验第一CPU的同步信息内存地址中存储的同步码。

所述第一CPU与所述第二CPU实现任务同步后包括：取二比较与乘二比较；

其中，所述取二比较包括：所述第一CPU与所述第二CPU共享彼此的数据，并分别计算比较结果；若所述第一CPU与所述第二CPU计算的比较结果均一致，则通过取二比较；否则，失败；

所述乘二比较包括：所述第一计算机单元中CPU单元的第一与第二CPU，通过SSP分别与第二计算机单元中CPU单元的第一与第二CPU交换彼此的工作状态及取二比较结果；并由各自的CPU单元通过比较本地，和与对端CPU单元的交换的信息来计算当前计算机单元的工作状态。

所述第一计算机单元与所述第二计算机单元的工作状态包括：主机状态、从机状态与待机状态；

上述三个状态转换的关系包括：所述第一计算机单元与所述第二计算机单元在初始状态下若无故障则进入从机状态，否则进入待机状态；

率先进入从机状态的计算机单元，若取二比较通过，则升级为主机状态；另一计算机单元若取二比较通过，则保持从机状态；

若进入从机状态后的计算机单元在当前周期取二比较失败，或乘二比较时本地信息与接收到的主机CPU单元发出的信息不一致，则判定当前计算机单元发生故障，进入待机状态；

若进入主机状态后的计算机单元在当前周期取二比较失败，则判定当前计算机单元发生故障，进入待机状态；或者另一计算机单元也处于主机状态，则判定发生双主碰撞，进入待机状态，否则保持主机状态；

在待机状态的计算机单元在当前周期取二比较通过，且乘二比较时本地信息与接收到的主机CPU单元发出的信息一致，则判定当前计算机单元无故障，升级至从机状态，否则保持待机状态。

所述COM单元包括：通过DPRAM相连的第一COM与第二COM；所述第一与第二COM通过DPRAM分别与所述第一与第二CPU连接，用于为所述第一与第二CPU提供对外的通信接口，并将通信线路上的信息分别传送至第一与第二CPU，以及将第一与第二CPU输出的信息分配到通信线路上。

所述I/O单元包括：第一I/O与第二I/O；所述第一与第二I/O通过CAN总线分别与所述第一与第二CPU连接，用于接收所述第一与第二CPU发送的采用正反码表述的控制信息，并将采集到的信息以正反码的形式反馈给第一与第二CPU。

所述DDR单元包括：第一DDR与第二DDR；

所述第一DDR与第二DDR分别与第一CPU及第二CPU相连，用于根据接收的所述第一与第二CPU输出的特定频率的方波，输出特定幅值的直流电平。

所述由该DDR单元中的继电器控制计算机单元的工作状态包括：

DDR单元包括：继电器，且第一DDR与第二DDR中的继电器分别串入第一与第二I/O的输出控制电路中；

若当前PSU中第一DDR与第二DDR中的继电器均处于吸起状态，则该PSU所属的计算机单元为主机状态，另一计算机单元为从机状态；

当主机中第一DDR或第二DDR中的继电器处于落下状态时，切断当前计算机单元中I/O单元的输出，并将当前继电器的状态发送至另一计算机单元中的I/O单元。

通过以上说明可以了解到，本发明实施例提供的多模式信息交互的冗余安全计算机平台是一种基于大容量高速DPRAM接口、高速SSP通信以及动态驱动继电器接点控制的多种模式信息交互的改进型二乘二取二安全平台。

为了便于理解，下面对该二乘二取二安全平台做进一步的说明。

本发明实施例中的第一计算机单元与第二计算机单元采用了完全相同的硬件配置。下面，以第一计算机单元为例进行说明：所述第一计算机单元中的CPU单元、COM单元、I/O单元以及PSU，均为单独设置的板卡。

进一步的，为了最大限度地提高了板卡的通用性和互换性，CPU单元、COM单元与I/O单元可以采用完全相同的硬件设计；例如，CPU单元采用板卡搭载两块CPU，两个CPU共享一块大容量高速DPRAM的单板双系统硬件架构；COM单元也采用相同的方法在单块板卡上搭载两块COM并通过DPRAM分别与CPU单元中的两块CPU相连。基于以上硬件架构设计，CPU单元内部的两块CPU之间以及CPU单元与COM单元之间，均通过大容量高速DPRAM进行基于内存地址的信息交互，实现了双向高速实时数据“环型通路”，相对于传统的串行通信方案，交互信息量极大提高，消除了频繁通信数据收发中断对CPU正常逻辑处理时序的干扰，用于安全平台信息交互的软件开销降低，系统安全性、稳定性和可靠性得以提升。在本发明实施例中CPU单元上的两块CPU负责完成安全控制逻辑、双CPU任务同步、取二安全校核以及工作状态的计算；COM单元则作为CPU单元的“协处理器”，负责CPU单元对外的多类型通信接口，它负责保证将冗余通信线路上的信息平衡的传送给CPU单元上的两块CPU，同时也负责将CPU单元上两颗CPU输出的信息平衡的分配到冗余的通信线路上，从而降低了CPU单元的处理负载。

CPU单元中的两块CPU分别通过两路CAN（控制器局域网络）总线，与I/O单元的第一I/O及第二I/O相连。CPU单元在安全通信协议保护下向I/O单元发送使用正码、反码表述的控制信息，同时，I/O单元也采用同样的方式将采集信息反馈给CPU单元。

需要强调的是，本发明实施例中两个计算机单元，在正常工作的情况下，主机状态的计算机单元可输出控制命令，而从机状态的计算机单元则无法输出控制命令。并且，CPU单元、COM单元与I/O单元中所包含的第一与第二CPU、COM、I/O可以是相同的硬件，本发明实施例根据其所体现的功能不同而用不同的名称加以区分。

PSU电源单元除了具有向各个单元供电的功能外，还设计了两套DDR（动态驱动继电器单元），每个DDR分别受控于CPU单元的两块CPU的方波，当CPU正常工作时可产生特定频率为500Hz的5V方波，通过母板输出至PSU内设置的DDR电路，DDR电路基于动态电解电容有极性充放电原理设计，当接收特定频率范围方波脉冲信号，方可维持输出一定幅值的直流电平；频率超限或者输入为直流电平，均无法维持输出的适当直流电平。

另外，两个DDR还分别控制ZTJ-1和ZTJ-2继电器，ZTJ-1和ZTJ-2继电器接点被串入I/O单元的输出控制电路中。当某一计算机单元中的两个CPU均工作正常且处于主机状态时ZTJ-1和ZTJ-2吸起，如果主机中CPU单元的某一CPU工作异常，则中断方波输出；此时，ZTJ-1或ZTJ-2落下，且切断本地I/O单元的输出，以此来确保只有主机状态的计算机单元才能够输出控制命令。同时该继电器状态也被从机状态的I/O单元采集，作为一个影响状态切换的参数参与状态计算。通过上述机制，有效防护了两个计算机单元通信故障时由于不明确相互工作状态而造成的“双主”故障。

另一方面，将两个计算机单元的CPU单元中的两个CPU采用SSP（同步串行接口）实现状态及数据交换。通过上述通信的方式，使得两个计算机单元可以交换大量信息；同时，通过对另一计算机单元工作状态的全面掌握可以灵活处理各种情况下的状态转换策略。

以上为本发明实施例提供的多模式信息交互的冗余安全计算机平台的主要组成及结构。下面对该计算机平台主要的工作流程进行说明。

由前述可知，本发明实施例提供的计算机平台是改进型二乘二取二安全平台。其采用主控制从自检的双系冗余方案，每个周期的工作可分为：取二流程与乘二比较流程。如图2所示，其中，取二流程由CPU单元中的两个CPU独立完成（两个计算机单元独立进行），主要包括：任务同步和取二比较的工作，系统通过取二流程保证系统输出的安全性。乘二比较流程：在完成取二流程后，当前计算机单元中CPU单元上的两块CPU通过SSP高速串行接口与冗余的另一计算机单元中的CPU单元上的对应CPU交换工作状态、输出命令、取二比较结果等信息。CPU单元通过获取本地和对端CPU单元的工作状态来计算当前工作状态，使得系统在主机状态、从机状态、待机状态三种状态下无缝的切换。

下面对取二流程与乘二比较流程做进一步介绍。取二流程包括：任务同步和取二比较。

双CPU任务同步：为了降低系统设计复杂度，本方案没有采用时钟级同步或是依靠外加同步器的任务同步，而是利用两块CPU间的共享的DPRAM，利用校核同步码的方法实现任务同步，使得平台硬件设计成本更低廉，结构更精简。如图3所示，具体实现方法如下：

当需要进行双CPU同步时，第一CPU将本轮同步码M写入同步信息内存地址ADD_A，同时查验第二CPU的同步信息内存地址ADD_B上存储的同步码是否是M，如果不是则不断查验ADD_B上存储的信息；若是则表示同步成功。

当需要进行双CPU同步时，第二CPU不断查验第一CPU的同步信息内存地址ADD_A上存储的信息是否是自己本轮期望的同步码M，若不是则不断查验ADD_A，若是，则将校核同步码M写入ADD_B，完成同步。

取二比较流程：同一CPU单元上的两块CPU利用双CPU同步功能使两块CPU在需要交换数据时相互调整步调，以确保取二比较数据能够顺利交换。其设计基于如下事实：1）两块CPU处于同一CPU单元；2）通常为第一CPU发起同步命令，第二CPU响应；3）两块CPU工作流程一致。其同步原理流程为：1）在需要进行双CPU数据交换时使用双CPU任务同步的方法实现双CPU同步；2）同步完成后，双CPU通过共享内存约定的地址交换彼此的数据，并各自计算比较结果；3）得出比较结果后，双CPU再次进行同步，并交换比较结果，当双方均确认比较结果一致，则比较通过，否则取二比较失败。

乘二比较流程：在完成取二流程后，当前计算机单元中CPU单元上的两块CPU通过SSP与冗余的另一计算机单元中的CPU单元上的对应CPU交换工作状态、输出命令、取二比较结果等信息。CPU单元通过比较本地和对端CPU单元的信息来计算当前工作状态。

本发明实施例中计算机单元的工作状态可分为三种：主机状态、从机状态、待机状态。其中，主机状态与从机状态的均为正常工作状态，待机状态则为故障状态。如图4所示，为计算机单元各个工作状态转换的逻辑关系：

1）初始状态下无故障则进入从机状态（路径1），否则进入待机状态（路径2）；

2）率先进入从机状态的计算机单元（例如，另一计算机单元的ZTJ未吸起，也未收到从SSP高速串口收到对方为主机状态的信息）若取二比较通过，则升级为主机状态（路径4）；后进入从机状态且取二比较通过的计算机单元，则保持从机状态（路径6）；

3）若进入从机状态后当前周期发现取二比较失败，或乘二比较时本地信息与接收到的主机CPU单元发出的信息不一致，则判定本侧故障，进入待机状态（路径5）；

4）若进入主机状态后当前周期发现取二比较失败，则判定本侧故障，进入待机状态（路径7）；或者另一计算机单元也处于主机状态（例如，ZTJ吸起或收到从SSP高速串口收到对方为主机状态的信息），则判定发生双主碰撞，进入待机状态（路径7），否则保持主机状态（路径8）。

5）在待机状态时发现当前周期自身取二比较通过，且乘二比较时本地信息与接收到的主机CPU单元发出的信息一致，则判定自身无故障，升级至从机状态（路径3），否则保持待机状态（路径9）。

通过上述“主控制，从自检”的状态转换策略，既可以确保两个独立运转的计算机单元工作状态的一致性，也能够通过两个计算机单元的独立输入和独立计算来保证安全性。

以上可知，本发明实施例采用了基于大容量高速DPRAM（双口随机存取器）接口、高速SSP接口进行通信以及动态驱动继电器接点控制的二乘二取二冗余安全计算机平台，具有结构简单、安全可靠、外部接口丰富、数据吞吐量大、系统扩展能力强、可移植性等突出特点，不仅可以满足城轨交通列车控制系统的需求，还可以广泛应用于其他安全控制领域。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将平台的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (7)

1.一种多模式信息交互的冗余安全计算机平台，其特征在于，包括：两套硬件配置完全相同的第一计算机单元与第二计算机单元，其中，每一计算机单元均包括：中央处理器CPU单元、通信单元COM、输入输出单元I/O以及电源PSU；

所述CPU单元一端通过双口随机存取器DPRAM与所述COM单元进行数据传输；所述CPU单元另一端通过控制器局域网络CAN总线与I/O单元进行数据传输；所述PSU分别与CPU、COM及I/O单元相连；

所述PSU包括：动态驱动继电器DDR单元；所述DDR单元与CPU单元相连，用于根据所述CPU单元输出的特定频率的方波，输出特定幅值的直流电平，并由该DDR单元中的继电器控制计算机单元工作状态的切换；

所述第一计算机单元中的CPU单元通过同步串行接口SSP与第二计算机单元中的CPU单元进行数据传输；

其中，所述第一计算机单元与第二计算机单元中的CPU单元均包括：第一CPU与第二CPU；所述第一CPU通过DPRAM与所述第二CPU实现任务同步；

所述第一CPU与所述第二CPU实现任务同步后包括：取二比较与乘二比较；

其中，所述取二比较包括：所述第一CPU与所述第二CPU共享彼此的数据，并分别计算比较结果；若所述第一CPU与所述第二CPU计算的比较结果均一致，则通过取二比较；否则，失败；

所述乘二比较包括：所述第一计算机单元中CPU单元的第一与第二CPU，通过SSP分别与第二计算机单元中CPU单元的第一与第二CPU交换彼此的工作状态及取二比较结果；具体的：所述第一计算机单元中CPU单元的第一CPU通过SSP与第二计算机单元中CPU单元的第一CPU交换彼此的工作状态及取二比较结果，所述第一计算机单元中CPU单元的第二CPU通过SSP与第二计算机单元中CPU单元的第二CPU交换彼此的工作状态及取二比较结果；并由各自的CPU单元通过比较本地，和与对端CPU单元的交换的信息来计算当前计算机单元的工作状态。

2.根据权利要求1所述的计算机平台，其特征在于，所述任务同步包括：

第一CPU将本轮同步码M写入本地同步信息内存地址中；并查验第二CPU的同步信息内存地址中存储的同步码是否为M；若是，则同步成功；否则，不断查验第二CPU的同步信息内存地址中存储的同步码；

或者，第二CPU不断查验第一CPU的同步信息内存地址中存储的信息是否是本轮期望的同步码M；若是，则将校核同步码M写入本地同步信息内存地址中，完成同步；否则，不断查验第一CPU的同步信息内存地址中存储的同步码。

3.根据权利要求1所述的计算机平台，其特征在于，所述第一计算机单元与所述第二计算机单元的工作状态包括：主机状态、从机状态与待机状态；

上述三个状态转换的关系包括：所述第一计算机单元与所述第二计算机单元在初始状态下若无故障则进入从机状态，否则进入待机状态；

率先进入从机状态的计算机单元，若取二比较通过，则升级为主机状态；另一计算机单元若取二比较通过，则保持从机状态；

若进入从机状态后的计算机单元在当前周期取二比较失败，或乘二比较时本地信息与接收到的主机CPU单元发出的信息不一致，则判定当前计算机单元发生故障，进入待机状态；

若进入主机状态后的计算机单元在当前周期取二比较失败，则判定当前计算机单元发生故障，进入待机状态；或者另一计算机单元也处于主机状态，则判定发生双主碰撞，进入待机状态，否则保持主机状态；

在待机状态的计算机单元在当前周期取二比较通过，且乘二比较时本地信息与接收到的主机CPU单元发出的信息一致，则判定当前计算机单元无故障，升级至从机状态，否则保持待机状态。

4.根据权利要求1所述的计算机平台，其特征在于，所述COM单元包括：通过DPRAM相连的第一COM与第二COM；所述第一与第二COM通过DPRAM分别与所述第一与第二CPU连接，用于为所述第一与第二CPU提供对外的通信接口，并将通信线路上的信息分别传送至第一与第二CPU，以及将第一与第二CPU输出的信息分配到通信线路上。

5.根据权利要求1所述的计算机平台，其特征在于，所述I/O单元包括：第一I/O与第二I/O；所述第一与第二I/O通过CAN总线分别与所述第一与第二CPU连接，用于接收所述第一与第二CPU发送的采用正反码表述的控制信息，并将采集到的信息以正反码的形式反馈给第一与第二CPU。

6.根据权利要求5所述的计算机平台，其特征在于，所述DDR单元包括：第一DDR与第二DDR；

所述第一DDR与第二DDR分别与第一CPU及第二CPU相连，用于根据接收的所述第一与第二CPU输出的特定频率的方波，输出特定幅值的直流电平。

7.根据权利要求6所述的计算机平台，其特征在于，所述由该DDR单元中的继电器控制计算机单元的工作状态包括：

DDR单元包括：继电器，且第一DDR与第二DDR中的继电器分别串入第一与第二I/O的输出控制电路中；

若当前PSU中第一DDR与第二DDR中的继电器均处于吸起状态，则该PSU所属的计算机单元为主机状态，另一计算机单元为从机状态；

当主机中第一DDR或第二DDR中的继电器处于落下状态时，切断当前计算机单元中I/O单元的输出，并将当前继电器的状态发送至另一计算机单元中的I/O单元。