CN107544620A - 安全苛求系统时间确定性实现方法 - Google Patents
安全苛求系统时间确定性实现方法 Download PDFInfo
- Publication number
- CN107544620A CN107544620A CN201710804782.8A CN201710804782A CN107544620A CN 107544620 A CN107544620 A CN 107544620A CN 201710804782 A CN201710804782 A CN 201710804782A CN 107544620 A CN107544620 A CN 107544620A
- Authority
- CN
- China
- Prior art keywords
- clock
- safety
- critical system
- task
- cycle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Electric Clocks (AREA)
Abstract
本发明实施例提供了一种安全苛求系统时间确定性实现方法。该方法主要包括:基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次,每一层次硬件中的电子器件使用各自独立运行的本地时钟;若干个基础时钟周期构成一个基本时钟周期,若干个基本时钟周期构成一个任务微周期时钟周期,若干个任务微周期时钟周期构成一个任务周期时钟周期,若干个任务周期时钟周期构成一个任务宏周期时钟周期;不同层次时钟之间采用时间窗口方式来实现双向定时监督。本发明利用基础时钟、基本时钟和任务时钟之间的时钟周期构成关系和双向实时监督机制来确保安全苛求系统的时间确定性,解决了安全苛求系统中安全功能的执行确定性问题。
Description
技术领域
本发明涉及安全苛求系统领域,尤其涉及一种安全苛求系统时间确定性实现方法。
背景技术
安全苛求系统(Safety-critical systems)是指系统的故障往往会引起重大的生命、环境、财产等损失的系统,其典型应用领域包括航空、航天、军事、铁路信号、汽车电子、核电站、石油化工以及医疗等领域,IEC 61508标准中称之为安全相关系统(Safety-related System)。IEC 61508标准所定义的安全相关系统是指为了保证控制设备处于安全状态,采用安全相关技术和风险降低措施执行所需安全功能的系统。
目前,安全苛求系统都是基于电气/电子/可编程电子(E/E/PE)系统实现的。E/E/PE系统是指以电气/电子/可编程电子技术为基础,以一个或多个可编程电子设备为基础,用于控制、防护和监督的系统,它包括了系统的全部元件,如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。其中,电气设备指电机设备;电子设备指固态非可编程电子设备;可编程电子设备指以计算机技术为基础的电子设备。
因此,安全苛求系统都是实时控制系统,其安全功能的执行需具备确定性特征,即在正确的时间内执行正确的动作并产生正确的结果。
现有技术中的一种安全苛求系统实现确定性特征的方法为:目前在讨论安全苛求系统的具体实现时,既有文献资料和相关专利都无一例外地强调关注如何确保安全苛求系统执行正确的动作并产生正确的结果,对时间确定性方面最多就是讨论不同系(亦称通道,例如2乘2取2系统的两个2乘系)或不同项(例如2取2系统的双机或3取2系统的三机)之间的时钟同步或任务同步问题。
上述现有技术中的安全苛求系统实现确定性特征的方法的缺点为:目前时钟同步或任务同步方法都是基于不同系或不同项之间的时间上相互纠偏而实现的。这对于冗余或容错系统是合适的,但对于安全苛求系统则存在一定风险,其原因在于发现偏差而纠正属于纠错,而安全苛求系统的基本原则在于发现错误则需启动安全反应而非纠正错误,以避免越纠越错的危险状态出现。
上述时钟同步或任务同步至多是安全苛求系统时间确定性的基础而非全部,因此研究如何确保安全苛求系统的时间确定性非常有意义。
发明内容
本发明实施例提供了一种安全苛求系统时间确定性实现方法,以解决安全苛求系统安全功能的执行确定性问题。
为了实现上述目的,本发明采取了如下技术方案。
根据本发明的一个方面,提出了一种安全苛求系统时间确定性实现方法,其特征在于,包括:
基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次,所述安全苛求系统的每一层次的硬件中的电子器件使用各自独立运行的本地时钟;
由外部第三方时钟电路产生或基于所述安全苛求系统的第一层次中的所述本地时钟产生所述基础时钟,基于所述基础时钟产生所述基本时钟,基于所述基本时钟产生所述任务时钟,所述任务时钟包括任务微周期时钟、任务周期时钟、任务宏周期时钟;
所述安全苛求系统不同层次的时钟之间采用时间窗口方式来实现双向定时监督。
优选地,所述的基础时钟、基本时钟和任务时钟,包括:
基础时钟频率为所述安全苛求系统各层次硬件中的电子器件所使用的不同本地时钟频率的公因数;
任务时钟频率,包括任务微周期时钟、任务周期时钟、任务宏周期时钟的频率,是根据所述安全苛求系统所完成安全功能的实时要求,按照不同安全功能的控制周期来确定的;
基本时钟频率是所述安全苛求系统中不同所述任务时钟的频率的公倍数。
优选地,所述的基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次,包括:
逻辑划分的不同层次,即第一层次、第二层次和第三层次,根据电路设计情况位于相同的物理硬件中;
逻辑划分的不同层次,即第一层次、第二层次和第三层次,根据电路设计情况位于不同的物理硬件中。
优选地,所述的外部第三方时钟电路或所述安全苛求系统的第一层次中的任意项中的硬件或软件配合硬件产生所述基础时钟,包括:
所述基础时钟产生方式一:外部第三方时钟电路驱动基础时钟产生和双向定时监督模块产生所述基础时钟,所述安全苛求系统的第一层次所有系中的所有项对所述基础时钟采用双向定时监督方式确认其工作正常,并将监督结果反馈给基础时钟产生电路,双向定时监督结果正常作为基础时钟产生电路正常工作的条件,所述基础时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基础时钟输出;
所述基础时钟产生方式二:由所述安全苛求系统的第一层次中的任意项中的硬件或软件配合硬件基于所述第一层次的本地时钟产生所述基础时钟,所述安全苛求系统的同一系或不同系中的其它项采用双向定时监督方式确认其工作正常,并将此监督结果反馈给产生所述基础时钟的项,此双向定时监督结果正常作为产生所述基础时钟的项正常工作的条件,所述基础时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基础时钟输出。
优选地,所述的基于基础时钟产生基本时钟,包括:
所述安全苛求系统的第一层次中的任意项中的硬件独立产生或软件配合硬件产生所述基本时钟,所述安全苛求系统的第二层次中的所有项对所述基本时钟采用双向定时监督方式确认其工作正常,并将此监督结果反馈给所述安全苛求系统的第一层次中的所述基本时钟产生电路,此双向定时监督结果正常作为所述基本时钟产生电路正常工作的条件,所述基本时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基本时钟的输出。
优选地,所述的基于基本时钟产生任务时钟,包括:
所述安全苛求系统的第二层次中的任意项中的硬件独立产生或软件配合硬件产生所述任务时钟,所述安全苛求系统的第三层次中的所有项对所述任务时钟采用双向定时监督方式确认其工作正常,并将此监督结果反馈给所述安全苛求系统的第二层次中的所述任务时钟产生电路,此双向定时监督结果正常作为所述任务时钟产生电路正常工作的条件,所述任务时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述任务时钟的输出。
优选地,若干个所述基础时钟周期构成一个所述基本时钟周期,若干个所述基本时钟周期构成一个所述任务微周期时钟周期,若干个所述任务微周期时钟周期构成一个所述任务周期时钟周期,若干个所述任务周期时钟周期构成一个所述任务宏周期时钟周期。
优选地,在同一个所述安全苛求系统中,一个所述基本时钟的时钟周期包含若干个等长的所述基础时钟的时钟周期;
在同一个所述安全苛求系统中,根据所述安全苛求系统完成安全功能的要求,一个所述任务周期时钟的时钟周期包含若干个等长或者不等长的所述任务微周期时钟的时钟周期;
在同一个所述安全苛求系统中,根据所述安全苛求系统完成安全功能的要求,一个所述任务宏周期时钟的时钟周期包含若干个等长或者不等长的所述任务周期时钟的时钟周期。
优选地,所述的不同层次的时钟之间采用时间窗口方式来实现双向定时监督,包括:
对需要监督的时钟周期时长前后一定比例设置时间窗口,时钟产生发送方和接收方的任何一方在设定的时间窗口内收到应收到的时钟脉冲为工作正常,时钟产生电路正常工作产生时钟;
对需要监督的时钟周期时长前后一定比例设置时间窗口,时钟产生发送方和接收方的任何一方在设定的时间窗口内未收到应收到的时钟脉冲为工作异常,启动安全反应关闭时钟输出。
优选地,所述方法还包括:
在所述安全苛求系统中取消所述基础时钟,多层次时钟包含所述基本时钟和所述任务时钟,所述基本时钟由所述安全苛求系统第一层次中的任意项中的硬件或软件配合硬件基于所述第一层次的本地时钟产生,所述任务时钟基于所述基本时钟产生。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例根据安全苛求系统的架构特点,将基础时钟、基本时钟和任务时钟这几种不同种类的时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次,其中,安全苛求系统的每一层次硬件中的电子器件使用各自独立运行的本地时钟;由外部第三方时钟电路产生或基于所述安全苛求系统的第一层次中的所述本地时钟产生所述基础时钟,基于所述基础时钟产生所述基本时钟,基于所述基本时钟产生所述任务时钟;不同层次的时钟之间采用时间窗口方式来实现双向定时监督;本发明利用基础时钟、基本时钟和任务时钟之间的时钟周期构成关系和双向实时监督机制来确保安全苛求系统的时间确定性,解决了安全苛求系统中安全功能的执行确定性问题。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种安全苛求系统时间确定性实现方法的不同时钟的逻辑分层设置图;
图2为本发明实施例提供的一种安全苛求系统时间确定性实现方法的双向定时监督机制图;
图3为本发明实施例提供的一种安全苛求系统时间确定性实现方法的列控安全计算机结构示意图;
图4为本发明实施例提供的一种安全苛求系统时间确定性实现方法的列控安全计算机时间确定性实现方案1;
图5为本发明实施例提供的一种安全苛求系统时间确定性实现方法的列控安全计算机时间确定性实现方案2。
具体实施方式
下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
为确保实时控制的安全苛求系统安全功能的执行能够具备确定性特征,本发明实施例将基础时钟、基本时钟和任务时钟从逻辑上应用于安全苛求系统的不同层次,该方法通过时钟周期之间的构成关系将安全苛求系统逻辑上划分的各个层次从时间层面进行统一,并采用双向定时监督机制进一步地保证系统中安全功能的执行。
该实施例提供了一种安全苛求系统时间确定性实现方法的不同时钟的逻辑分层设置图如图1所示,基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次,所述安全苛求系统的每一层次的硬件中使用的处理器、微控制器、硬件器件(含FPGA等可编程逻辑器件)所使用的时钟称为本地时钟。按逻辑划分的安全苛求系统的不同层次(即第一层次、第二层次、第三层次)可以根据实际电路设计情况位于相同或者不同的物理硬件中;同时所述多层次时钟的分配可以根据实际情况加以取舍,例如可取消基础时钟,基本时钟直接由最低层次中的任意项中的硬件独立产生或软件配合硬件基于本地时钟产生。
基础时钟、基本时钟和任务时钟的产生与时钟周期构成关系如下:
1、基础时钟的产生与双向定时监督。
在安全苛求系统中,基础时钟可由外部第三方时钟电路产生,外部第三方时钟电路驱动基础时钟产生和双向定时监督模块产生所述基础时钟,如图1所示所述安全苛求系统的第一层次所有系中的所有项应对此基础时钟采用双向定时监督方式确认其工作正常,并将此监督结果反馈给基础时钟产生电路(即基础时钟产生和双向定时监督模块),此双向定时监督结果正常应作为基础时钟产生电路正常工作的条件,此基础时钟产生发送方和接收方的任何一方发现工作异常应启动安全反应以关闭基础时钟输出。
基础时钟也可由图1所示的基于所述安全苛求系统的第一层次中的本地时钟,由所述安全苛求系统的第一层次中的任意项中的硬件独立产生或软件配合硬件产生,同一系或不同系中的其它项采用双向定时监督方式确认其工作正常,并将此监督结果反馈给产生基础时钟的该项,此双向定时监督结果正常应作为产生基础时钟的该项正常工作的条件,此基础时钟产生发送方和接收方的任何一方发现工作异常应启动安全反应以关闭基础时钟输出。
基础时钟的频率是根据安全苛求系统各层次中硬件所使用处理器、微控制器、硬件器件(含FPGA等可编程逻辑器件)所使用的不同本地时钟频率来确定,所使用的不同本地时钟频率的公因数作为基础时钟的频率。
本领域技术人员应能理解上述基础时钟的产生方式仅为举例,其他现有的或今后可能出现的驱动电路产生基础时钟的方式如可适用于本发明实施例,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
2、基本时钟的产生与双向定时监督。
在安全苛求系统中,基本时钟由图1所示的第一层次中的任意项中的硬件独立产生或软件配合硬件产生。图1所示的第二层次中的所有项应对此基本时钟采用双向定时监督方式确认其工作正常,并将此监督结果反馈给图1所示的第一层次中的基本时钟产生电路(即基本时钟产生和双向定时监督模块),此双向定时监督结果正常应作为此基本时钟产生电路正常工作的条件,此基本时钟产生发送方和接收方的任何一方发现工作异常应启动安全反应以关闭基本时钟输出。
基本时钟的频率是根据安全苛求系统中不同任务时钟(包括任务微周期时钟、任务周期时钟、任务宏周期时钟)的分布情况选择任务时钟的频率来确定,以这些被选择的任务时钟的频率的公倍数作为基本时钟的频率,即基本时钟周期应为安全苛求系统中不同所述任务时钟周期的公因数。
3、任务时钟的产生与双向定时监督。
在安全苛求系统中,任务时钟由图1所示的第二层次中的任意项中的硬件独立产生或软件配合硬件产生;任务时钟包括任务微周期时钟、任务周期时钟、任务宏周期时钟。图1所示的第三层次中的所有项应对此任务时钟采用双向定时监督方式确认其工作正常,并将此监督结果反馈给图1所示的第二层次中的任务时钟产生电路(即任务时钟产生和双向定时监督模块),此双向定时监督结果正常应作为任务时钟产生电路正常工作的条件,此任务时钟产生发送方和接收方的任何一方发现工作异常应启动安全反应以关闭任务时钟输出。
任务时钟的频率,包括任务微周期时钟、任务周期时钟、任务宏周期时钟的频率,是根据安全苛求系统所完成安全功能的实时要求,按照不同安全功能的控制周期来确定的。
4、基础时钟、基本时钟和任务时钟的时钟周期构成关系。
基于基础时钟产生基本时钟,基于基本时钟产生任务时钟,任务时钟包括任务微周期时钟、任务周期时钟、任务宏周期时钟;若干个基础时钟周期构成一个基本时钟周期,若干个基本时钟周期构成一个任务微周期时钟周期,若干个任务微周期时钟周期构成一个任务周期时钟周期,若干个任务周期时钟周期构成一个任务宏周期时钟周期。本地时钟则为各自独立运行的时钟。
在同一个安全苛求系统中,一个基本时钟的时钟周期包含若干个等长的基础时钟的时钟周期;根据所述安全苛求系统完成安全功能的要求,一个任务周期时钟的时钟周期可以包含若干个等长或者不等长的任务微周期时钟的时钟周期,一个所述任务宏周期时钟的时钟周期可以包含若干个等长或者不等长的所述任务周期时钟的时钟周期。
5、双向定时监督机制。
在安全苛求系统中,不同层次的双向定时监督都是基于对需要监督的时钟周期时长前后一定比例设置时间窗口的方式来实现,本发明实施例提供的一种安全苛求系统时间确定性实现方法的双向定时监督机制图如图2所示。
对需要监督的时钟周期时长前后一定比例设置时间窗口,时钟产生发送方和接收方的任何一方在设定的时间窗口内收到应收到的时钟脉冲为工作正常,时钟产生电路正常工作产生时钟;
对需要监督的时钟周期时长前后一定比例设置时间窗口,时钟产生发送方和接收方的任何一方在设定的时间窗口内未收到应收到的时钟脉冲为工作异常,启动安全反应关闭时钟输出。
实施例二
该实施例提供的一种安全苛求系统时间确定性实现方法的列控安全计算机时间确定性实现方案如图4和图5所示,针对已申请的发明专利(申请号201410852714.5)所列出的列控安全计算机结构如图3所示,其从逻辑上划分为通用计算域GCD(GeneralComputational Domain)、安全计算机管理域SCMD(Safety Computer Management Domain)和安全输入输出域SIOD(Safety Input and Output Domain)。
用计算域GCD与安全计算机管理域SCMD之间通过冗余COTS通信网络(优选以太网)交换数据,安全输入输出域SIOD与安全计算机管理域SCMD之间通过冗余专用输入输出IO(Input and Output)总线交换数据。安全计算机管理域SCMD控制通用计算域GCD和安全输入输出域SIOD实现安全功能。
通用计算域GCD由多个异构的通用计算单元GCU(General Computational Unit)组成,每个GCU都是基于通用COTS硬件和通用COTS操作系统软件实现,优选使用2个异构的GCU构成GCD,逻辑上2个异构GCU为二取二关系。
安全计算机管理域SCMD由多个异构的安全计算机管理单元SCMU(SafetyComputer Management Unit)组成,每个SCMU都使用自行设计的硬件和软件实现,优选使用2个异构的SCMU构成SCMD,逻辑上2个异构SCMU为二取二关系。
安全输入输出域SIOD完成列控系统中应用所需的通信输入输出、数字量输入输出等功能。其中,通信输入输出包括以太网、异步串行通信、CAN、MVB等列控系统中常见的通信方式,数字量输入输出则根据列控系统中地面设备和车载设备的具体需求,基于铁路信号传统故障安全输入输出原则实现。
安全输入输出域SIOD由多个异构的安全输入输出单元SIOU(Safety Input andOutput Unit)组成,每个SCMU基于自行设计的硬件并配合通用COTS硬件实现,其中,自行设计的硬件主要完成数字量输入输出功能,而通用COTS硬件与通用COTS操作系统软件配合,一起完成通信输入输出功能。优选使用2个异构的SIOU构成SIOD,逻辑上2个异构SIOU为二取二关系。
基于上述安全苛求系统时间确定性实现原理,针对上述列控安全计算机实现时间确定性可采用如下两种方案:
方案一:基础时钟由外部第三方时钟电路驱动独立设置的基础时钟产生与双向定时监督模块产生,基于基础时钟产生基本时钟,基于基本时钟产生任务时钟。
在安全计算机管理域SCMD中的2个SCMU中设置基本时钟产生与双向定时监督模块、任务时钟产生与双向定时监督模块,由外部第三方时钟电路驱动独立设置的基础时钟产生与双向定时监督模块。所产生的基础时钟提供给基本时钟产生与双向定时监督模块,所产生的基本时钟提供给任务时钟产生与双向定时监督模块,而任务时钟产生与双向定时监督模块分别产生用于通用计算域GCD和安全输入输出域SIOD的任务时钟,GCD和SIOD中也设置任务时钟双向定时监督模块,如图4所示。此处,基础时钟优选1MHz,基本时钟优选1KHz(即基本时钟的时钟周期为1ms),通用计算域GCD任务时钟周期优选100ms,其中输入相周期优选20ms,逻辑运算相周期优选50ms,输出相周期优选20ms,剩余10ms为周期空闲等待,任务宏周期优选1s。安全输入输出域SIOD任务时钟周期优选20ms。
方案二:取消基础时钟层次,基于本地时钟产生基本时钟,基于基本时钟产生任务时钟。
取消基础时钟层次,在安全计算机管理域SCMD中的2个SCMU中设置基本时钟产生与双向定时监督模块、任务时钟产生与双向定时监督模块。本地时钟直接作为基本时钟产生与双向定时监督模块的驱动时钟源,所产生的基本时钟提供给任务时钟产生与双向定时监督模块,而任务时钟产生与双向定时监督模块分别产生用于通用计算域GCD和安全输入输出域SIOD的任务时钟,GCD和SIOD中也设置任务时钟双向定时监督模块,如图5所示。此处,基本时钟优选1KHz(即基本时钟的时钟周期为1ms),通用计算域GCD任务时钟周期优选100ms,其中输入相周期优选20ms,逻辑运算相周期优选50ms,输出相周期优选20ms,剩余10ms为周期空闲等待,任务宏周期优选1s。安全输入输出域SIOD任务时钟周期优选20ms。
本领域技术人员应能理解,上述图4和图5所举的根据实际电路设计情况决定的时间确定性方案仅为更好地说明本发明实施例的技术方案,而非对本发明实施例作出的限定。任何根据实际电路情况来对多层次时钟进行分配的方法,均包含在本发明实施例的范围内。
综上所述,本发明实施例根据安全苛求系统的架构特点,将基础时钟、基本时钟和任务时钟这几种不同种类的时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次,其中,安全苛求系统的每一层次硬件中的电子器件使用各自独立运行的本地时钟;由外部第三方时钟电路产生或基于所述安全苛求系统的第一层次中的所述本地时钟产生所述基础时钟,基于所述基础时钟产生所述基本时钟,基于所述基本时钟产生所述任务时钟;不同层次的时钟之间采用时间窗口方式来实现双向定时监督;本发明利用基础时钟、基本时钟和任务时钟之间的时钟周期构成关系和双向实时监督机制来确保安全苛求系统的时间确定性,解决了安全苛求系统中安全功能的执行确定性问题。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种安全苛求系统时间确定性实现方法,其特征在于,包括:
基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次,所述安全苛求系统的每一层次的硬件中的电子器件使用各自独立运行的本地时钟;
由外部第三方时钟电路产生或基于所述安全苛求系统的第一层次中的所述本地时钟产生所述基础时钟,基于所述基础时钟产生所述基本时钟,基于所述基本时钟产生所述任务时钟,所述任务时钟包括任务微周期时钟、任务周期时钟、任务宏周期时钟;
所述安全苛求系统不同层次的时钟之间采用时间窗口方式来实现双向定时监督。
2.根据权利要求1所述的安全苛求系统时间确定性实现方法,其特征在于,所述的基础时钟、基本时钟和任务时钟,包括:
基础时钟频率为所述安全苛求系统各层次硬件中的电子器件所使用的不同本地时钟频率的公因数;
任务时钟频率,包括任务微周期时钟、任务周期时钟、任务宏周期时钟的频率,是根据所述安全苛求系统所完成安全功能的实时要求,按照不同安全功能的控制周期来确定的;
基本时钟频率是所述安全苛求系统中不同所述任务时钟的频率的公倍数。
3.根据权利要求1所述的安全苛求系统时间确定性实现方法,其特征在于,所述的基础时钟、基本时钟和任务时钟从逻辑上依次由低到高分配给安全苛求系统的不同层次,包括:
逻辑划分的不同层次,即第一层次、第二层次和第三层次,根据电路设计情况位于相同的物理硬件中;
逻辑划分的不同层次,即第一层次、第二层次和第三层次,根据电路设计情况位于不同的物理硬件中。
4.根据权利要求1所述的安全苛求系统时间确定性实现方法,其特征在于,所述的外部第三方时钟电路或所述安全苛求系统的第一层次中的任意项中的硬件或软件配合硬件产生所述基础时钟,包括:
所述基础时钟产生方式一:外部第三方时钟电路驱动基础时钟产生和双向定时监督模块产生所述基础时钟,所述安全苛求系统的第一层次所有系中的所有项对所述基础时钟采用双向定时监督方式确认其工作正常,并将监督结果反馈给基础时钟产生电路,双向定时监督结果正常作为基础时钟产生电路正常工作的条件,所述基础时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基础时钟输出;
所述基础时钟产生方式二:由所述安全苛求系统的第一层次中的任意项中的硬件或软件配合硬件基于所述第一层次的本地时钟产生所述基础时钟,所述安全苛求系统的同一系或不同系中的其它项采用双向定时监督方式确认其工作正常,并将此监督结果反馈给产生所述基础时钟的项,此双向定时监督结果正常作为产生所述基础时钟的项正常工作的条件,所述基础时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基础时钟输出。
5.根据权利要求1所述的安全苛求系统时间确定性实现方法,其特征在于,所述的基于基础时钟产生基本时钟,包括:
所述安全苛求系统的第一层次中的任意项中的硬件独立产生或软件配合硬件产生所述基本时钟,所述安全苛求系统的第二层次中的所有项对所述基本时钟采用双向定时监督方式确认其工作正常,并将此监督结果反馈给所述安全苛求系统的第一层次中的所述基本时钟产生电路,此双向定时监督结果正常作为所述基本时钟产生电路正常工作的条件,所述基本时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述基本时钟的输出。
6.根据权利要求1所述的安全苛求系统时间确定性实现方法,其特征在于,所述的基于基本时钟产生任务时钟,包括:
所述安全苛求系统的第二层次中的任意项中的硬件独立产生或软件配合硬件产生所述任务时钟,所述安全苛求系统的第三层次中的所有项对所述任务时钟采用双向定时监督方式确认其工作正常,并将此监督结果反馈给所述安全苛求系统的第二层次中的所述任务时钟产生电路,此双向定时监督结果正常作为所述任务时钟产生电路正常工作的条件,所述任务时钟产生发送方和接收方的任何一方发现工作异常启动安全反应以关闭所述任务时钟的输出。
7.根据权利要求1所述的安全苛求系统时间确定性实现方法,其特征在于,若干个所述基础时钟周期构成一个所述基本时钟周期,若干个所述基本时钟周期构成一个所述任务微周期时钟周期,若干个所述任务微周期时钟周期构成一个所述任务周期时钟周期,若干个所述任务周期时钟周期构成一个所述任务宏周期时钟周期。
8.根据权利要求7所述的安全苛求系统时间确定性实现方法,其特征在于,在同一个所述安全苛求系统中,一个所述基本时钟的时钟周期包含若干个等长的所述基础时钟的时钟周期;
在同一个所述安全苛求系统中,根据所述安全苛求系统完成安全功能的要求,一个所述任务周期时钟的时钟周期包含若干个等长或者不等长的所述任务微周期时钟的时钟周期;
在同一个所述安全苛求系统中,根据所述安全苛求系统完成安全功能的要求,一个所述任务宏周期时钟的时钟周期包含若干个等长或者不等长的所述任务周期时钟的时钟周期。
9.根据权利要求8所述的安全苛求系统时间确定性实现方法,其特征在于,所述的不同层次的时钟之间采用时间窗口方式来实现双向定时监督,包括:
对需要监督的时钟周期时长前后一定比例设置时间窗口,时钟产生发送方和接收方的任何一方在设定的时间窗口内收到应收到的时钟脉冲为工作正常,时钟产生电路正常工作产生时钟;
对需要监督的时钟周期时长前后一定比例设置时间窗口,时钟产生发送方和接收方的任何一方在设定的时间窗口内未收到应收到的时钟脉冲为工作异常,启动安全反应关闭时钟输出。
10.根据权利要求9所述的安全苛求系统时间确定性实现方法,其特征在于,所述方法还包括:
在所述安全苛求系统中取消所述基础时钟,多层次时钟包含所述基本时钟和所述任务时钟,所述基本时钟由所述安全苛求系统第一层次中的任意项中的硬件或软件配合硬件基于所述第一层次的本地时钟产生,所述任务时钟基于所述基本时钟产生。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710804782.8A CN107544620B (zh) | 2017-09-08 | 2017-09-08 | 安全苛求系统时间确定性实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710804782.8A CN107544620B (zh) | 2017-09-08 | 2017-09-08 | 安全苛求系统时间确定性实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107544620A true CN107544620A (zh) | 2018-01-05 |
CN107544620B CN107544620B (zh) | 2019-11-15 |
Family
ID=60958144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710804782.8A Active CN107544620B (zh) | 2017-09-08 | 2017-09-08 | 安全苛求系统时间确定性实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107544620B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108880728A (zh) * | 2018-07-05 | 2018-11-23 | 卡斯柯信号有限公司 | 一种基于冗余安全系统的时钟同步测试方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101376393A (zh) * | 2008-09-25 | 2009-03-04 | 卡斯柯信号有限公司 | 铁路信号系统中故障容错的安全处理器 |
CN102955903A (zh) * | 2012-11-15 | 2013-03-06 | 同济大学 | 一种轨道交通计算机控制系统安全苛求信息的处理方法 |
EP1333579B1 (de) * | 2002-01-30 | 2013-03-13 | Infineon Technologies AG | Einrichtung zur Erkennung eines Taktsignalausfalls |
CN106154824A (zh) * | 2016-08-19 | 2016-11-23 | 北京航天自动控制研究所 | 一种星载时钟冗余系统及方法 |
-
2017
- 2017-09-08 CN CN201710804782.8A patent/CN107544620B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1333579B1 (de) * | 2002-01-30 | 2013-03-13 | Infineon Technologies AG | Einrichtung zur Erkennung eines Taktsignalausfalls |
CN101376393A (zh) * | 2008-09-25 | 2009-03-04 | 卡斯柯信号有限公司 | 铁路信号系统中故障容错的安全处理器 |
CN102955903A (zh) * | 2012-11-15 | 2013-03-06 | 同济大学 | 一种轨道交通计算机控制系统安全苛求信息的处理方法 |
CN106154824A (zh) * | 2016-08-19 | 2016-11-23 | 北京航天自动控制研究所 | 一种星载时钟冗余系统及方法 |
Non-Patent Citations (2)
Title |
---|
王悉等: ""2取2乘2安全计算机平台的设计与实现"", 《都市快轨交通》 * |
袁彬彬等: ""CBTC中轨旁安全计算机的设计与形式化验证"", 《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108880728A (zh) * | 2018-07-05 | 2018-11-23 | 卡斯柯信号有限公司 | 一种基于冗余安全系统的时钟同步测试方法 |
CN108880728B (zh) * | 2018-07-05 | 2020-05-29 | 卡斯柯信号有限公司 | 一种基于冗余安全系统的时钟同步测试方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107544620B (zh) | 2019-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60309928T2 (de) | Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems | |
Longo et al. | Optimal and robust scheduling for networked control systems | |
CN105739299A (zh) | 基于二乘二取二安全冗余系统的控制装置 | |
DE69433468T2 (de) | Logischer Schaltkreis mit Fehlernachweisfunktion | |
EP1699203B1 (de) | Modulares numerisches steuergerät | |
CN103885853B (zh) | 基于双cpu的轨道交通同步数据表决系统及方法 | |
Patowary et al. | Reliability modeling of microgrid system using hybrid methods in hot standby mode | |
CN107544620A (zh) | 安全苛求系统时间确定性实现方法 | |
Levitin et al. | Optimizing Dynamic Performance of Multistate Systems With Heterogeneous 1-Out-of-${N} $ Warm Standby Components | |
CN105426171B (zh) | 多个二取二系统的同步和切换方法、系统 | |
CN106326736A (zh) | 数据处理方法及系统 | |
JP5525065B2 (ja) | 安全増設ベース及びその制御方法 | |
DE102004018857A1 (de) | Sicherheitssteuerung | |
CN105334747B (zh) | 一种船舶动力定位三冗余计算机数据表决同步方法 | |
Svetlichny et al. | Do the Bell inequalities require the existence of joint probability distributions? | |
KR100398381B1 (ko) | 1e 등급 원자로 보호 시스템을 위한 듀얼 광학 통신 네트워크 | |
Francis | A synchronous distributed digital control architecture for high power converters | |
Zhang et al. | Cluster synchronization in delayed networks with adaptive coupling strength via pinning control | |
Babeshko et al. | Reliability assessment of safety critical system considering different communication architectures | |
Pang et al. | Analysis of control interval for foundation fieldbus-based control systems | |
EP2696249B1 (en) | Processor Connectivity | |
Barrera et al. | Methodology for the deployment of ITER Fast Plant Interlock system. Use case: ITER Poloidal Field and Central Solenoid coil's power converter protection system | |
Markovits et al. | Safety principles for designing a generic product for railway signalling systems | |
Elwell et al. | Avionic Data Bus Integration Technology | |
CN108257319A (zh) | 一种具有加解密功能的usbkey安全存储柜及其应用方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |