背景技术
在高速铁路等交通控制系统中,有一种保证列车安全运行的被称为安全计算机的核心设备。安全计算机具体实现列车运行的实时控制和安全防护,确保列车按照设计路线和期望速度在允许的范围内运行。为实现这一目标,安全计算机需要实时监控列车的运行速度、当前位置、列车运行指令、系统内部状态等运行参数。操作人员或系统维护调试人员通过这些运行参数,能够及时了解系统运行状态和设备状况,并以此给出后续的操控命令。
安全计算机平台是建立在计算机技术、通信技术、控制技术之上,符合IEC62425安全完整性SIL4级的分布式网络控制系统,具有高可靠性、高安全性、开放性、灵活性等特点,主要包含以下关键技术:
1.系统安全架构
目前主流的系统安全架构有三取二、二乘二取二、二者的混合结构及派生结构。安全架构包括为同步与表决技术、故障-安全技术等。
2.安全I/O技术
安全I/O技术实现方式较多,但其核心思想表现为:具有高覆盖率的动态检测(诊断),故障后导向并保持在安全状态。
3.总线技术
这部分主要体现系统的灵活性、扩展能力、响应能力,也体现了系统的可靠性与可维护性。主要包括若干种实时以太网技术与现场总线技术。
4.安全通信协议
传输协议需满足IEC62280标准,但实现方法可能多种多样。
5.软件安全技术
软件安全技术需采用IEC62279相关规定,可能会采用不同的编码技术与加密技术。
6.轨道信号解码技术。
车载ATP、计算机联锁、区域控制器/列控制中心等轨道交通信号系统安全相关设备需要具备高可靠性和高安全性,目前轨道交通信号系统安全相关设备的安全架构大多采用单一的2取2或3取2的组合故障安全架构,安全机制单一,安全性不高且通用性不强。
发明内容
以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览,并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。
本发明的目的在于解决上述技术问题,提供了一种平台主机插件,通用性强、安全性高、便于维护。
本发明的技术方案为:本发明揭示了一种平台主机插件,包括:
电源模块,为主机插件提供电源;
第一CPU模块,和电源模块电性连接,;
第二CPU模块,和电源模块电性连接,;
第三CPU模块,和电源模块电性连接;
安全电路模块,和电源模块电性连接,接收来自第一CPU模块和第二CPU模块的控制信号,且和第三CPU模块电性连接;
其中第一CPU模块和第二CPU模块分别对输入插件的数据、输出插件的数据进行比较,若发现数据不一致则第一CPU模块和第二CPU模块都将封锁脉冲输出,控制安全电路模块导向安全侧,对外通信接口供电中断,若数据一致则经过安全表决和计算形成安全数据后,经由第三CPU模块和对外通信接口输出。
根据本发明的平台主机插件的一实施例,主机插件还包括:
同步电路,分别和第一CPU模块、第二CPU模块、第三CPU模块电性连接,第三CPU模块每隔固定时间向第一CPU模块和第二CPU模块同时发送同步信号,第一CPU模块和第二CPU模块以中断形式接收并进行同步。
根据本发明的平台主机插件的一实施例,主机插件还包括:
交换机,分别通过以太网和第一CPU模块、第二CPU模块、第三CPU模块建立通信连接,第一CPU模块、第二CPU模块、第三CPU模块之间通过交换机互相交换数据。
根据本发明的平台主机插件的一实施例,第一CPU模块和第二CPU模块组成二取二的安全结构。
根据本发明的平台主机插件的一实施例,对外通信接口是FlexRay通信接口或以太网接口,实现与外部设备的数据传输。
根据本发明的平台主机插件的一实施例,FlexRay通信接口包括FlexRay通信控制器和两路FlexRay通信收发器,其中第三CPU模块经过并行总线连接FlexRay通信控制器,FlexRay通信控制器的信号经过光电隔离后连接该两路FlexRay通信收发器。
根据本发明的平台主机插件的一实施例,主机插件的插件面板安装LED指示灯以表示运行及故障状态。
根据本发明的平台主机插件的一实施例,主机插件上具有防插错齿。
根据本发明的平台主机插件的一实施例,平台主机插件用于安全计算机平台或者列车运行监控系统。
本发明对比现有技术有如下的有益效果:本发明通过平台主机插件实现对输入数据或状态进行数学计算和逻辑处理,经安全表决和计算形成安全数据并输出,插件安全完整性达到IEC62425:2007标准规定的SIL4级,并通过相关安全认证,在研制轨道交通信号系统安全相关设备时,可直接使用本发明的主机插件作为核心处理单元,减少研发周期和成本,降低设备风险,同时可大大减轻安全认证的相关工作。
具体实施方式
在结合以下附图阅读本公开的实施例的详细描述之后,能够更好地理解本发明的上述特征和优点。在附图中,各组件不一定是按比例绘制,并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。
本发明的平台主机插件可用于安全计算机的平台,但因平台插件采用通用化设计,LKJ(列车运行监控系统)上,及除了安全计算机和LKJ之外的系统(如联锁系统等)也可以直接借用平台插件,进行二次开发(主要是插件数量组合方式及插件软件开发)。安全计算机主机采用插件型式,经通信总线与输入插件、输出插件及外部设备通信。主机插件将采集数据、外部设备通信数据进行校验、整理后,进行数学计算和逻辑处理,经安全表决和计算形成安全数据,经通信总线发送至输出插件和/或外部设备。主机在2取2比较过程中任一一机发现数据不一致将封锁脉冲输出,切断主机与外部的通信。本发明的实施例是以用于安全计算机平台上的主机插件为例进行说明。
图1示出了本发明的安全计算机平台的主机插件的较佳实施例的原理。
主机分别由第一CPU模块2、第二CPU模块3、第三CPU模块4组成三个主要的功能模块(以下简称A机系统2、B机系统3、C机通信系统4)组成。电源模块1为主机插件提供24V电源,和主机插件内的各个模块电性连接:向安全电路模块5提供24V电源,向A机系统2、B机系统3、C机通信系统4各提供5V电源。A机系统2、B机系统3组成2取2的安全结构,A机系统2、B机系统3负责安全计算和比较,C机通信系统4负责对外通信,将安全数据经通信总线发送至输出插件和/或外部设备。
A机系统2、B机系统3、C机通信系统4之间电源隔离,并通过以太网交换机互相交换数据。A机系统2、B机系统3组成二取二的安全结构,分别对输入插件的数据、输出插件的数据进行比较,若任意一机发现数据不一致,则A机系统2、B机系统3都将封锁脉冲输出,由于安全电路模块5接收来自A机系统2和B机系统3的控制信号,因此A机系统2和B机系统3控制安全电路模块5导向安全侧,通过C机通信系统4使得对外通信接口供电中断,退出工作。若数据一致则经过安全表决和计算形成安全数据后,经过C机通信系统4和对外通信接口输出。
C机通信系统4每隔固定时间向A机系统2和B机系统3同时发送同步信号INTCA、INTCB,A机系统2和B机系统3以中断型式接收并进行同步。这些控制逻辑电路组成了同步电路6。
主机插件还包括交换机7,分别通过以太网和A机系统2、B机系统3、C机通信系统4建立通信连接,A机系统2、B机系统3、C机通信系统4之间通过交换机互相交换数据。
对外通信接口可以是FlexRay通信接口(FlexRay:戴姆勒克莱斯勒公司的注册商标,一种应用在汽车上的通信网络标准),也可以是以太网接口。对于FlexRay通信接口的实现,如图2所示,FlexRay通信接口包括FlexRay通信控制器8和第一路FlexRay通信收发器11、第二路FlexRay通信收发器12,FlexRay通信控制器8通过光耦(光电隔离)电路9电性连接第一路FlexRay通信收发器11,FlexRay通信控制器8还通过光耦电路10电性连接第二路FlexRay通信收发器12。
主机插件主要实现安全逻辑处理、FlexRay总线通信、系统识别、系间识别、实时时钟、自检等安全功能,以及加密、热插拔、记录等非安全功能。
上述功能的具体实现方法如下。
对于安全逻辑处理的功能,是通过安全通信协议获取输入数据或状态,将数据或状态校验后进行运算,并将运算得出的控制命令或状态经表决后输出。具体实现方式为:主机插件采用3个CPU系统。A机系统、B机系统组成2取2的安全结构,负责安全计算和比较,若任意一机发现数据不一致,A机系统、B机系统都将封锁脉冲输出,控制安全电路导向安全侧。C机通信系统负责对外通信,将安全数据经通信总线发送至外部设备。
对于FlexRay通信的功能,是指主机插件具备10MbpsFlexRay通信接口,实现与外部设备的数据传输。其具体实现方式为:采用FlexRay通信控制器和FlexRay通信收发器方式实现,C机通信系统经并行总线连接FlexRay通信控制器,FlexRay通信控制器信号经光电隔离后连接FlexRay通信收发器。FlexRay通信收发器的电源由安全电路输出的5V提供。
对于故障检测的功能,是指包括上电自检和运行自检。自检故障后保持在安全状态(主机插件的安全状态定义为停止对外FlexRay通信),并给出相应LED指示和状态数据。其具体实现方式为:主机插件上电时,主机插件进行Flash自检、RAM自检、同步自检、内部通信自检、时钟自检等,若检测到故障,则进入安全状态,不输出安全电路动态脉冲,停止FlexRay供电,停止对外通信。主机插件运行过程中,进行周期性自检,自检故障应保持在安全状态。
对于系统配置的功能,是指主机插件在上电初始化过程中检查配置数据(用户根据实际应用,使用轨道交通信号系统通用安全计算机平台系统参数图形化配置软件生成的数据)的完整性及配置数据与实际配置的一致性;并在正常运行过程中定期进行配置数据与实际配置的一致性检查。如果检查失败,则导向安全状态。其具体实现方式为:1)主机插件可识别出本插件所在的系统和系别,采用6位系统识别编码和2位系别识别编码;A机、B机输入相反的逻辑值,A机、B机处理后比较,不一致则导向安全状态;2)主机插件下载系统配置数据,并检查配置数据的完整性;3)程序初始化时检查配置数据的完整性,配置数据完整性检查失败,主机插件导向安全侧;4)插件定期进行配置数据与实物匹配检查,检查失败,则导向安全状态。
对于实时时钟的功能,是指可提供安全可靠的时钟信息,可进行校正。具体实现方式为:通过实时时钟芯片提供安全可靠的时钟信息,提供分辨率为10ms的实时时钟。
对于加密功能,是指插件有安全加密功能,以保护知识产权。其具体实现方式为:采用硬件与软件相结合加密的方法。由PC机采用非对称加密算法对主机插件唯一编码进行加密计算,然后将密文写入主机插件,主机插件上电后根据公钥对密文进行解密,解密出的明文跟插件唯一编码进行比较,一致则进行后续工作,不一致则插件导向安全侧。
对于热插拔功能,是指在系统不断开电源的情况下,允许进行插件的插入或者拔出操作。其具体实现方式为:主机插件电源系统具有共模电感和电容的滤波,保证热插拔时不会因为瞬间电流过大影响损坏插件。当热插拔产生较大损失能量时,电源系统的输入保险管及时熔断,切断主机插件与系统电源的硬件连接,对外通信FlexRay总线增加相应的TVS管,对瞬间过电压形成保护。
对于记录功能,是指主机插件具有故障状态记录功能。其具体实现为:数据记录在Flash中,记录容量大于4MByte,采用循环记录方式。
本发明的主机插件主要具有安全性设计、机械接口设计。主机插件的A机和B机间进行2取2表决,保证发生单一随机故障时不会导致危险,发生组合故障时插件能满足规定的容许危害率。主机插件分别通过A机和B机间2取2表决、安全通信协议和由安全电路提供FlexRay供电的方式实现组合式故障-安全、反应式故障-安全和固有故障-安全三种安全机制。主机插件检测到单一故障后,停止安全电路的动态脉冲输出,从而保证安全电路的输出保持为低电平,停止FlexRay对外通信,在人工确认故障排除前不恢复动态脉冲输出,保证插件保持在安全状态。主机插件的安全状态定义为停止对外通信。主机插件通过上电自检、运行自检或双通道比较等方式对插件资源进行自检,其中上电自检内容为自检内容包括Flash自检、RAM自检、同步自检、内部通信自检、时钟自检等,运行自检内容为执行代码检查。若检测到故障,则进入安全状态,不输出安全电路动态脉冲,停止FlexRay供电,停止对外通信。A、B机分别对输入、输出数据进行比较,若任意一机发现数据不一致,A机、B机都将封锁脉冲输出,控制安全电路导向安全侧,对外通信接口供电中断,退出工作。为避免共因失效,主机插件-FlexRay的A、B、C三机之间在电气上相互隔离。
主机插件的机械尺寸为6U(高)×6R(宽,R为5.08mm)×268mm(深,含捏手),印制板板厚2mm。插件面板的上下端自带两个用于固定插件的安装螺钉,直径为2.5mm。输入/输出信号采用后部出线方式,装有2个符合DIN41612标准的F型48芯矩形插头X1、X2。调试及应用程序升级接口采用前面板出线方式,接口类型为M9接口。插件面板安装LED指示灯以表示运行及故障状态。
主机插件具有防插错齿,主机插件可插入应用系统的插箱内,用于支撑插件的导轨应采用适合板厚2mm的导轨。插入位置应符合应用设计的要求,插入位置有防插错装置,与主机插件的防插错齿相对应。主机插件插入后应拧紧面板上下安装螺钉以固定插件。插件面板捏手带助拔助推功能,方便主机插件插拔。松开面板紧固螺钉,即可拔出主机插件。主机插件支持热插拔,平均恢复时间不超过30分钟,维护十分方便。
本发明的主机插件的特点在于:a)3个CPU系统,3机同步;b)2取2的安全架构;c)组合式故障-安全、反应式故障-安全和固有故障-安全三种安全机制;d)采用“动态控制电源输出”的安全电路来控制通信总线驱动器的电源,从而控制对外通信,实现故障-安全策略,设计符合IEC62425:2007;e)安全加密;f)主机采用非固定的插件形式,便于维护。
本发明的优点在于:a)安全性高;在传统的组合故障安全的2取2表决架构的基础上,增加了反应式故障-安全和固有故障-安全的安全机制,从而具有更高的安全性;b)实时性强;A机和B机同步运算和比较,3机间实时进行数据交换;c)运行速度快,处理能力强;主处理器采用PowePCe300内核,主频533MHz,采用符合IEC61508SIL3的VxWorkscert6.6.1.1操作系统;d)通用性强;对外为电源和通信总线接口,应用范围广;e)维护方便;插件形式,更换方便。
本领域技术人员将进一步领会,结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性,但这样的实现决策不应被解读成导致脱离了本发明的范围。
结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。
结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。
在一个或多个示例性实施例中,所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现为计算机程序产品,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟,其中盘(disk)往往以磁的方式再现数据,而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。
提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的,且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此,本公开并非旨在被限定于本文中所描述的示例和设计,而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。