CN103929424B - 软硬件结合的三取二安全数据处理与仲裁方法及其装置 - Google Patents
软硬件结合的三取二安全数据处理与仲裁方法及其装置 Download PDFInfo
- Publication number
- CN103929424B CN103929424B CN201410158066.3A CN201410158066A CN103929424B CN 103929424 B CN103929424 B CN 103929424B CN 201410158066 A CN201410158066 A CN 201410158066A CN 103929424 B CN103929424 B CN 103929424B
- Authority
- CN
- China
- Prior art keywords
- hardware
- data
- module
- primary processor
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明涉及一种软硬件结合的三取二安全数据处理与仲裁方法及其装置,该方法包括两种三取二操作,分别为对数据处理模块的系统状态的三取二操作和对输出模块的输出数据的三取二操作,所述对系统状态的三取二操作由软件仲裁模块完成,所述对输出数据的三取二操作由硬件仲裁模块完成;所述的装置包括第一通道、第二通道、第三通道和硬件仲裁模块,三个通道分别包括对应主处理器和硬件比较器,三个主处理器两两连接,并分别与各自对应通道的硬件比较器连接,三个硬件比较器分别与硬件仲裁模块连接。与现有技术相比,本发明具有高效、可靠等优点。
Description
技术领域
本发明涉及一种三取二安全计算机系统,尤其是涉及一种软硬件结合的三取二安全数据处理与仲裁方法及其装置。
背景技术
应用在轨道交通行业中的三取二安全计算机系统,有三个计算通道,每个通道都对接收到的数据进行逻辑运算,之后向外部设备输出逻辑运算结果,三个通道的输出数据需要时刻保持一致,为了保持三个通道的输出数据的一致性,需要对三个通道输出数据进行多数表决,发现其中数据不一致的通道,将该通道从系统中剔除。
目前已有的三取二安全计算机系统中,为了保证三个通道的输出数据的一致性,会采用一些仲裁方法来比较三个通道的输出数据来保证数据的一致性,但这些仲裁方法有以下不足:
1)一些三取二系统采用全软件仲裁方法,该方法完全依赖于计算机的运算能力,仲裁的实时性不够好,而且仲裁的结果准确度不高。
2)全软件仲裁对软件设计的安全性要求特别高,对仲裁结果处理不能完全满足三取二安全计算机的安全性要求,尤其是在安全完整性等级为SIL4的系统;
3)一些三取二系统采用全硬件仲裁方法,该方法需要设计复杂的仲裁逻辑电路,实现比较困难,而且增加了开发成本;
4)全硬件仲裁方法对仲裁器的安全性要求比较高,仲裁器容易出现单点故障,从而使仲裁器失效。
5)很多三取二系统,三个通道本身硬件或者软件设计都是一样,不能有效的避免各个通道间的共模失效。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种软硬件结合的三取二安全数据处理与仲裁方法及其装置。
本发明的目的可以通过以下技术方案来实现:
一种软硬件结合的三取二安全数据处理与仲裁方法,其特征在于,该方法包括两种三取二操作,分别为对数据处理模块的系统状态的三取二操作和对输出模块的输出数据的三取二操作,所述对系统状态的三取二操作由软件仲裁模块完成,所述对输出数据的三取二操作由硬件仲裁模块完成。
所述方法包括以下步骤:
1)装置启动后,对装置各个模块进行初始化;
2)操作系统启动后,对系统软件模块进行初始化,并创建主处理任务;
3)主处理任务传输交换各通道的系统状态,并发送给软件表决模块;
4)软件仲裁模块比较各通道系统状态是否一致,若为是,则执行步骤6),否则执行步骤5);
5)软件仲裁模块识别并剔除异常的通道,并返回步骤3);
6)各通道中的主处理器接收输入数据;
7)主处理器接对输入的数据进行处理,并输出数据;
8)硬件比较器对输出数据进行一致性比较,并将比较结果发送给硬件仲裁模块;
9)硬件仲裁模块根据比较结果判断是否存在不一致的通道,若为是,则执行步骤10),否则返回步骤3);
10)将不一致的通道数据从系统中剔除,并返回步骤3)。
所述步骤6)包括子步骤:
6-1)主处理器判断是否是数据输入,若为是,则执行步骤6-2),若为否,则执行步骤3);
6-2)主处理器接收输入的数据,并执行步骤7)。
一种软硬件结合的三取二安全数据处理与仲裁方法的装置,其特征在于,该装置包括第一通道、第二通道、第三通道和硬件仲裁模块,三个通道分别包括对应主处理器和硬件比较器,三个主处理器两两连接,并分别与各自对应通道的硬件比较器连接,三个硬件比较器分别与硬件仲裁模块连接;
所述硬件比较器分别从对应主处理器处接收数据,同一时刻从其他主处理器获取数据,将数据进行比较,所述硬件仲裁模块从硬件比较器接收比较结果信号,对比较结果进行表决,发现并剔除输出数据异常的通道。
所述三个主处理器、三个硬件比较器和硬件仲裁模块均由独立的电源模块供电。
所述主处理器均包括微处理器、RAM、Flash、网口芯片、串口芯片和PCI桥接芯片,所述硬件比较器由CPLD逻辑模块组成,所述硬件仲裁模块由CPLD逻辑模块和微处理器组成,所述主处理器通过CPCI总线分别与对应的硬件比较器连接,所述主处理模块与输入输出接口单元之间通过网络连接。
所述三个通道的软件模块包括网络通信模块、串口通信模块、主处理模块、时钟同步模块和错误处理模块;
网络通信模块,用于通过网络协议接收输入数据和发送输出数据,数据包括状态信息和控制命令;
串口通信模块,用于通过串口协议接收发送状态信息,状态信息包括运行状态和数据比较结果;
主处理模块,用于对输入的数据进行逻辑处理,并输出;同时采集输出数据比较结果,然后进行一致性仲裁,主处理器的运行状态进行维护管理;
时钟同步模块,用于负责产生时钟驱动信号,与其他的主处理器按照毫秒级进行周期时钟同步;
软件仲裁模块,用于负责产生对通道间的系统状态进行仲裁;
错误处理模块,用于在主处理器出现数据不一致或者其他异常时,会进行错误处理,在错误日志文件中记录错误情况,并进行相应的报警。
所述三个通道的硬件比较器相同,三个通道的主处理器硬件不同,其中两个通道的主处理器为PowerPC,另一个通道的主处理器为ARM。
所述三个通道的主处理器上运行的操作系统不同,其中两个通道的主处理器上运行的操作系统是vxWorks嵌入式操作系统,另一个通道的主处理器上运行的操作系统是QNX嵌入式操作系统。
与现有技术相比,本发明具有以下优点:
1)采用软件仲裁模块对系统状态进行仲裁,可以预先发现系统处理模块异常。
2)采用硬件比较器和硬件仲裁模块,比较、仲裁速度快,实时性好。
3)通过软硬件结合,降低硬件仲裁的逻辑复杂程度,也降低了开发难度和成本。
4)通过软件仲裁模块和硬件仲裁模块的双重表决,保证了仲裁的准确性和可靠性,满足轨道交通行业的安全性要求。
5)通过分布式比较,可以克服出现单点故障的问题。
6)可以快速识别输出不一致的通道,并将其从系统中剔除。
7)对三个通道的硬件和软件进行异构设计,有效的避免了三个通道之间的共模失效,提高了系统安全性。
附图说明
图1为本发明原理图;
图2为本发明方法的流程图;
图3为本发明装置的结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,一种软硬件结合的三取二安全数据处理与仲裁方法,该方法包括两种三取二操作,分别为对数据处理模块的系统状态的三取二操作和对输出模块的输出数据的三取二操作,对系统状态的三取二操作由软件仲裁模块完成,对输出数据的三取二操作由硬件仲裁模块完成。
如图2所示,该方法包括以下步骤:
1)装置启动后,对设备各个模块进行初始化;
2)操作系统启动后,对系统软件模块进行初始化,创建主处理任务;
3)主处理任务,将本通道的系统状态发送两外的通道,并从其他通道接收系统状态;
4)运行软件表决模块,对三个通道的系统状态进行一致性表决;
5)判断三个通道的系统状态是否一致,如果有不一致的通道,执行步骤6),否则,执行步骤7);
6)识别系统状态不一致的通道,将其从系统中剔除,返回步骤3)。
7)主处理器接收输入数据;
8)判断是否接收到输入数据,如果有执行步骤9),否则返回执行步骤3);
9)主处理器对输入数据进行逻辑处理,输出数据;
10)硬件比较器会对将其他本通道的数据与输出数据进行比较,将比较结果传递给硬件仲裁模块;
11)硬件仲裁模块对比较结果进行表决,判断是否存在不一致的通道,如果有,识别数据不一致的通道,将其从系统中剔除,返回执行步骤3);
如图2所示,本发明软硬件结合的三取二安全数据处理与仲裁的装置,该装置包括第一通道1、第二通道2、第三通道3、软件仲裁模块和硬件仲裁模块A,三个通道1、2、3分别包括对应主处理器M1、M2、M3和硬件比较器C1、C2、C3,三个主处理器M1、M2、M3通过串口线两两连接,还分别和各自对应通道的硬件比较器C1、C2、C3连接,三个硬件比较器C1、C2、C3均通过串口线和硬件仲裁器A连接;
软件仲裁模块对系统状态进行三取二操作,剔除系统状态异常的通道,硬件比较器C1、C2、C3分别从对应主处理器M1、M2、M3处接收数据,同一时刻从其他主处理器获取数据,将数据进行比较,并将比较结果放到寄存器,数据比较的速率是2Mbit/s,硬件仲裁模块A从硬件比较器C1、C2、C3接收比较结果信号,对比较结果进行表决,发现并剔除输出数据异常的通道。
另外本方法为了有效避免三个通道可能因软件或者硬件设计带来的共模失效,对三个通道进行软件与硬件的异构设计,提高三取二系统的安全性。本方法提供一种软硬件异构的通道软硬件设计方案,在三个通道的硬件板卡上的处理器芯片和运行的软件操作系统进行相异处理,具体的相异情况如下表:
表1
| 第一通道 | 第二通道 | 第三通道 | |
| 处理器芯片 | ARM(Cortex-R) | PowerPC(MPC8572) | PowerPC(MPC8572) |
| 操作系统 | vxWorks | vxWorks | QNX |
| 编译器 | GCC | Diab | GCC |
| 编程语言 | C | C | C |
三个主处理器M1、M2、M3、三个硬件比较器C1、C2、C3和硬件仲裁模块A均由独立的电源模块供电。
主处理器M1、M2、M3均包括微处理器、RAM、Flash、网口芯片、串口芯片、PCI桥接芯片和软件仲裁模块,硬件比较器C1、C2、C3由CPLD逻辑模块组成,硬件仲裁模块A由CPLD逻辑模块和微处理器组成,主处理器M1、M2、M3通过CPCI总线分别与对应的硬件比较器C1、C2、C3连接,主处理器M1、M2、M3与输入输出接口单元之间通过网络连接。
三个通道的硬件比较器C1、C2、C3在硬件上都是一样的,但是三个通道的主处理器M1、M2、M3硬件不同,具体不同见表1。
主处理器M1同1000M网络接口从外部设备接收网络数据包,负责对接收的数据进行逻辑处理,各个主处理器M1、M2和M3之间采用RS422串口通信来交互系统状态,该串口波特率为115200b/ps。
电源模块将输入的220V电压转换成24V的电压,分别给主处理器M1、M2、M3、硬件比较器C1、C2、C3、硬件仲裁模块A独立供电。
第一通道1、第二通道2和第三通道3上操作系统不完全相同,具体情况见表1。但是三个通道1、2和3上的软件都采用标准C进行软件开发,实现的软件是一样的,本处的软硬件结合的三取二仲裁装置的软件结构具体如下:
1)网络通信模块
通过网络协议接收输入数据和发送输出数据,数据包括状态信息和控制命令。
2)串口通信模块
通过串口协议接收发送状态信息,状态信息包括运行状态和数据比较结果。
3)主处理模块
对输入的数据进行逻辑处理,并输出;同时采集输出数据比较结果,然后进行一致性仲裁,主处理器的运行状态进行维护管理。
4)时钟同步模块
负责产生时钟驱动信号,与其他的主处理器按照毫秒级进行周期时钟同步。
5)软件仲裁模块
负责产生对通道间的系统状态进行仲裁。
6)错误处理模块
当主处理器出现数据不一致或者其他异常时,会进行错误处理,在错误日志文件中记录错误情况,并进行相应的报警。
Claims (8)
1.一种软硬件结合的三取二安全数据处理与仲裁方法,其特征在于,该方法包括两种三取二操作,分别为对数据处理模块的系统状态的三取二操作和对输出模块的输出数据的三取二操作,所述对系统状态的三取二操作由软件仲裁模块完成,所述对输出数据的三取二操作由硬件仲裁模块完成;
所述方法包括以下步骤:
1)装置启动后,对装置各个模块进行初始化;
2)操作系统启动后,对系统软件模块进行初始化,并创建主处理任务;
3)主处理任务传输交换各通道的系统状态,并发送给软件表决模块;
4)软件仲裁模块比较各通道系统状态是否一致,若为是,则执行步骤6),否则执行步骤5);
5)软件仲裁模块识别并剔除异常的通道,并返回步骤3);
6)各通道中的主处理器接收输入数据;
7)主处理器对输入的数据进行处理,并输出数据;
8)硬件比较器对输出数据进行一致性比较,并将比较结果发送给硬件仲裁模块;
9)硬件仲裁模块根据比较结果判断是否存在不一致的通道,若为是,则执行步骤10),否则返回步骤3);
10)将不一致的通道数据从系统中剔除,并返回步骤3)。
2.根据权利要求1所述的一种软硬件的结合三取二安全数据处理与仲裁的方法,其特征在于,所述步骤6)包括子步骤:
6-1)主处理器判断是否是数据输入,若为是,则执行步骤6-2),若为否,则执行步骤3);
6-2)主处理器接收输入的数据,并执行步骤7)。
3.一种实施权利要求1-2任一所述的软硬件结合的三取二安全数据处理与仲裁方法的装置,其特征在于,该装置包括第一通道(1)、第二通道(2)、第三通道(3)和硬件仲裁模块(A),三个通道(1、2、3)分别包括对应主处理器(M1、M2、M3)和硬件比较器(C1、C2、C3),三个主处理器(M1、M2、M3)两两连接,并分别与各自对应通道的硬件比较器(C1、C2、C3)连接,三个硬件比较器(C1、C2、C3)分别与硬件仲裁模块(A)连接;
所述硬件比较器(C1、C2、C3)分别从对应主处理器(M1、M2、M3)处接收数据,同一时刻从其他主处理器获取数据,将数据进行比较,所述硬件仲裁模块(A)从硬件比较器(C1、C2、C3)接收比较结果信号,对比较结果进行表决,发现并剔除输出数据异常的通道。
4.根据权利要求3所述的装置,其特征在于,所述三个主处理器(M1、M2、M3)、三个硬件比较器(C1、C2、C3)和硬件仲裁模块(A)均由独立的电源模块供电。
5.根据权利要求3所述的装置,其特征在于,所述主处理器(M1、M2、M3)均包括微处理器、RAM、Flash、网口芯片、串口芯片和PCI桥接芯片,所述硬件比较器(C1、C2、C3)由CPLD逻辑模块组成,所述硬件仲裁模块(A)由CPLD逻辑模块和微处理器组成,所述主处理器(M1、M2、M3)通过CPCI总线分别与对应的硬件比较器(C1、C2、C3)连接,所述主处理模块(M1、M2、M3)与输入输出接口单元之间通过网络连接。
6.根据权利要求3所述的装置,其特征在于,所述三个通道的软件模块包括网络通信模块、串口通信模块、主处理模块、时钟同步模块、软件仲裁模块和错误处理模块;
网络通信模块,用于通过网络协议接收输入数据和发送输出数据,数据包括状态信息和控制命令;
串口通信模块,用于通过串口协议接收发送状态信息,状态信息包括运行状态和数据比较结果;
主处理模块,用于对输入的数据进行逻辑处理,并输出;同时采集输出数据比较结果,然后进行一致性仲裁,主处理器的运行状态进行维护管理;
时钟同步模块,用于负责产生时钟驱动信号,与其他的主处理器按照毫秒级进行周期时钟同步;
软件仲裁模块,用于负责对通道间的系统状态进行仲裁;
错误处理模块,用于在主处理器出现数据不一致或者其他异常时,会进行错误处理,在错误日志文件中记录错误情况,并进行相应的报警。
7.根据权利要求3所述的装置,其特征在于,所述三个通道(1、2、3)的硬件比较器相同,三个通道的主处理器硬件不同,其中两个通道的主处理器为PowerPC,另一个通道的主处理器为ARM。
8.根据权利要求3所述的装置,其特征在于,所述三个通道(1、2、3)的主处理器上运行的操作系统不同,其中两个通道的主处理器上运行的操作系统是vxWorks嵌入式操作系统,另一个通道的主处理器上运行的操作系统是QNX嵌入式操作系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410158066.3A CN103929424B (zh) | 2014-04-18 | 2014-04-18 | 软硬件结合的三取二安全数据处理与仲裁方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410158066.3A CN103929424B (zh) | 2014-04-18 | 2014-04-18 | 软硬件结合的三取二安全数据处理与仲裁方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103929424A CN103929424A (zh) | 2014-07-16 |
| CN103929424B true CN103929424B (zh) | 2017-06-06 |
Family
ID=51147501
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410158066.3A Active CN103929424B (zh) | 2014-04-18 | 2014-04-18 | 软硬件结合的三取二安全数据处理与仲裁方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103929424B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105045164A (zh) * | 2015-05-28 | 2015-11-11 | 谭龙飞 | 可降级的三冗余同步表决计算机控制系统及方法 |
| CN105302482A (zh) * | 2015-10-15 | 2016-02-03 | 北京友信宏科电子科技有限公司 | 一种参数存储方法、装置及汽车控制器 |
| CN108255123B (zh) * | 2018-01-16 | 2021-08-24 | 广州地铁集团有限公司 | 基于三取二软硬件表决的列车lcu控制设备 |
| CN108833242B (zh) * | 2018-05-22 | 2021-03-23 | 天津市英贝特航天科技有限公司 | 一种二取二安全数据处理与仲裁方法 |
| CN113885392B (zh) * | 2021-10-18 | 2024-04-26 | 卡斯柯信号有限公司 | 用于安全输出的无熔丝化离散输出安全态逃逸防护系统 |
| CN114461703B (zh) * | 2022-04-13 | 2022-08-09 | 北京全路通信信号研究设计院集团有限公司 | 多通道数据处理方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101178674A (zh) * | 2007-12-13 | 2008-05-14 | 北京理工大学 | 基于龙芯的三模冗余容错控制系统 |
| CN101599055A (zh) * | 2009-07-24 | 2009-12-09 | 原亮 | 基于互关总线的嵌入式异构cpu阵列系统 |
| US8121707B2 (en) * | 2009-04-14 | 2012-02-21 | General Electric Company | Method for download of sequential function charts to a triple module redundant control system |
| CN102508745A (zh) * | 2011-10-21 | 2012-06-20 | 上海交通大学 | 一种基于两级松散同步的三模冗余系统及其实现方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040010716A1 (en) * | 2002-07-11 | 2004-01-15 | International Business Machines Corporation | Apparatus and method for monitoring the health of systems management software components in an enterprise |
-
2014
- 2014-04-18 CN CN201410158066.3A patent/CN103929424B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101178674A (zh) * | 2007-12-13 | 2008-05-14 | 北京理工大学 | 基于龙芯的三模冗余容错控制系统 |
| US8121707B2 (en) * | 2009-04-14 | 2012-02-21 | General Electric Company | Method for download of sequential function charts to a triple module redundant control system |
| CN101599055A (zh) * | 2009-07-24 | 2009-12-09 | 原亮 | 基于互关总线的嵌入式异构cpu阵列系统 |
| CN102508745A (zh) * | 2011-10-21 | 2012-06-20 | 上海交通大学 | 一种基于两级松散同步的三模冗余系统及其实现方法 |
Non-Patent Citations (3)
| Title |
|---|
| 《基于三取二冗余结构的安全计算机系统》;黄涛 等;《计算机工程》;20110930;第37卷(第18期);全文 * |
| 一种高可靠、高安全性系统——三取二计算机系统;陈文赛;《现代雷达》;20040630;第26卷(第6期);正文第20页第1.3.2节 * |
| 三模冗余MPSOC容错设计与验证;陈陈 等;《空间控制技术与应用》;20120831;第38卷(第4期);正文第1页右栏第2段、第1.1-1.4节,图1-4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103929424A (zh) | 2014-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103929424B (zh) | 软硬件结合的三取二安全数据处理与仲裁方法及其装置 | |
| CN110361979B (zh) | 一种铁路信号领域的安全计算机平台 | |
| CN105739299B (zh) | 基于二乘二取二安全冗余系统的控制装置 | |
| CN110351174A (zh) | 一种模块冗余的安全计算机平台 | |
| CN102713773B (zh) | 用于自动化设备的安全模块 | |
| CN106627668B (zh) | 基于二乘二取二架构的列车监控服务器系统及控制方法 | |
| WO2017107665A1 (zh) | 一种用于列车控制的安全计算机系统 | |
| EP3699764B1 (en) | Redundant ethernet-based secure computer system | |
| RU2679706C2 (ru) | Двухканальная архитектура | |
| CN110442073A (zh) | 一种多余度飞机管理计算机mio板通道故障逻辑判断方法 | |
| US20170212490A1 (en) | Control and data-transfer system, gateway module, i/o module, and method for process control | |
| CN104360916B (zh) | 基于数据同步的主备同步方法 | |
| CN104268037A (zh) | 热冗余联锁子系统及其主备切换方法 | |
| CN102955903A (zh) | 一种轨道交通计算机控制系统安全苛求信息的处理方法 | |
| CN107229534A (zh) | 混合双重双工故障操作模式和对任意数量的故障的概述 | |
| CN107450987A (zh) | 一种高可用的异构服务器 | |
| CN103795520B (zh) | 一种基于fpga报文实时同步方法 | |
| CN110758489A (zh) | 一种列车自动防护系统 | |
| CN105681131A (zh) | 主备系统及其并行输出方法 | |
| CN106648998A (zh) | 一种基于cmc芯片的安全计算机系统 | |
| CN113791937A (zh) | 一种数据同步冗余系统及其控制方法 | |
| Chen et al. | A newly developed safety-critical computer system for China metro | |
| CN110554978A (zh) | 一种采用通用i/o模块实现的安全计算机平台 | |
| RU107753U1 (ru) | Микропроцессорная система централизации и автоблокировки на железнодорожном транспорте | |
| KR20010041271A (ko) | 원자로 보호 시스템을 위한 듀얼 광학 통신 네트워크 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |