CN117724325A - 一种铁路信号控制系统的安全计算机平台 - Google Patents

Abstract

一种铁路信号控制系统的安全计算机平台，包括：第一计算子系统包括至少一个主用模块组，其中每个主用模块组对应铁路信号控制系统中至少一个应用，其中，每个主用模块组包括互为主备的第一主用计算模块和第二主用计算模块；第二计算子系统包括至少一个备用模块组，其中每个备用模块组包括第一备用计算模块和第二备用计算模块，其中，在备用模块组的个数为一个时，该备用模块组对应第一计算子系统中的全部主用模块组；在备用模块组的个数为至少两个时，每个备用模块组对应的主用模块组两两不重复，其中至少部分备用模块组对应的主用模块组的个数为至少两个，其中全部备用模块组对应的主用模块组为第一计算子系统中的全部主用模块组。

Description

一种铁路信号控制系统的安全计算机平台

技术领域

本文涉及铁路信号控制技术，尤指一种铁路信号控制系统的安全计算机平台。

背景技术

铁路信号控制系统包括计算机联锁系统、车站列控中心、无线闭塞中心、临时限速服务器、调度集中控制系统，上述系统功能安全完整性等级为SIL4级（即可容忍的功能失效概率TFFR范围为：10^-9≤THR＜10^-8）。如图1所示，铁路信号控制系统的应用11一般运行与安全计算机平台12上，安全计算机平台12再与外设13实现数据交互，为同时满足铁路信号控制系统安全性、可靠性、可用性和可维护性要求，因此对安全计算机平台设计提出了上述要求，目前安全计算机平台主要采用二乘二取二架构或三取二架构。

图2为相关技术中铁路信号控制系统的二乘二取二的结构示意图。如图2所示，由A系211和B系212双系组成了铁路信号安全计算机平台21，A系与B系为相同的设计，正常工作时为AB系为一主一备冗余关系构成“二乘”架构，当主系出现工作异常宕机时，备系升为主系，实现双系冗余切换，整个系统功能无影响，保证了系统可用性。对于每一系主要由主控计算模块2111/2121和扩展子系统2112/2122组成，下面以A系为例（B系为相同设计，不再赘述）：A系主控计算模块由两个CPU组成及控制电路组成，分别是CPU1 21111和CPU2 21112，控制电路21113和冗余切换互锁电路21114，两个CPU同于运行相同的逻辑、处理相同的数据，并对处理后的结果进行两个CPU之间的表决，表决一致才能对外输出数据，这也是EN50129标准中“组合-故障安全”的基本结构。A系中的扩展子系统2112实现与外设22的互联互通，接收外设22数据经过安全协议的解析之后发送给主控计算模块2111；同时扩展子系统2112接收主控计算模块2111下发的应用数据，经过安全协议封装后，发送给外设22，扩展子系统2112的作用主要是分担主控计算模块2111的数据处理压力，从系统架构设计上层次更加清晰。另外AB系之间还通过切换面板模块213实现两个系工作状态的指示、切系控制等操作。

图3为相关技术中铁路信号控制系统的三取二的结构示意图。如图3所示，有I系311、II系312和III系313三个独立的系以及扩展子系统314/315组成了铁路信号安全计算机平台31，这三个系为相同的设计，运行相同的逻辑和计算相同的数据，正常工作时三个系统并行工作，并且每两个系之间均进行表决，当其中某一系出现工作异常宕机时，另外两系工作正常，那么整个系统功能无影响，保证了系统可用性。对于每一系的主控计算模块(以I系为例进行说明)，包含一个CPU 3111以及通信及控制电路3112，该系统CPU与其他两系两两表决，组成了符合EN50129标准的“组合-故障安全”的架构设计要求。另外安全计算机平台中包含两个扩展子系统314/315实现与外设32的互联互通，接收外设32数据经过安全协议的解析之后发送给三个系的主控计算模块311/312/313；同时扩展子系统314/315接收三个系的主控计算模块311/312/313下发的应用数据，经过安全协议封装后，发送给外设32，扩展子系统314/315的作用主要是分担主控计算模块的数据处理压力，从系统架构设计上层次清晰。

基于二乘二取二或三取二的铁路信号安全计算机平台基本能够满足各列车控制系统的运行需求，但随着铁路信号控制系统新型列车控制系统的研制，基于传统的二乘二取二或三取二架构的安全计算机平台已无法满足新型列车控制系统的运行需求。主要问题表现在：

基于二乘二取二或三取二的安全计算机平台只能承载一种列控系统应用，有多个列控系统，就需要多套安全计算机平台，对路局信号机房摆放面积、维护难度、成本均不利；

新型列车控制系统具有高度集成、硬件资源虚拟化管理、多个应用同时运行在同一套安全计算机平台上，那么基于二乘二取二或三取二架构安全计算机平台，在某一系尽管只是一个应用软件故障后，系统也将倒切或导向安全侧处理，这种粗暴式的双系倒切对于高度集成多个应用的安全计算机平台可用性非常不利；

基于二乘二取二或三取二的安全计算机平台，在一系故障后，由于铁路信号控制系统受运营管理约束或车站地理位置限制，往往不能立即前往信号机械室进行故障处理，那么在一系故障后，到维护人员到场现场处理故障的几个小时甚至几十个小时期间内，信号控制系统只能保持单系运行，这时如果再发生故障，整个系统立即停止工作，列车停车，对整个铁路运营和组织带来的极大的困难和挑战。

发明内容

本申请实施例提供了一种铁路信号控制系统的安全计算机平台，包括第一计算子系统和第二计算子系统；其中：

所述第一计算子系统包括至少一个主用模块组，其中每个主用模块组对应所述铁路信号控制系统中至少一个应用，其中，每个主用模块组包括互为主备的第一主用计算模块和第二主用计算模块；

所述第二计算子系统包括至少一个备用模块组，其中每个备用模块组包括第一备用计算模块和第二备用计算模块，其中，在备用模块组的个数为一个时，该备用模块组对应所述第一计算子系统中的全部主用模块组；在备用模块组的个数为至少两个时，每个备用模块组对应的主用模块组两两不重复，其中至少部分备用模块组对应的主用模块组的个数为至少两个，其中全部备用模块组对应的主用模块组为所述第一计算子系统中的全部主用模块组；

其中：

每个主用模块组中处于主用模式的计算模块，用于对各自对应的应用进行计算操作；

每个主用模块组中处于备用模式的计算模块，用于保持与各自的主用模块组中处于主用模式的计算模块的运算同步，以及，在检测到各自的主用模块组中处于主用模式的计算模块发生故障时，进行主备切换，对各自对应的应用进行计算操作；

每个备用模块组中的第一备用计算模块，用于在各自对应的第一主用计算模块发生故障后，加载数据以实现发生故障的第一主用计算模块在发生故障前所实现的计算功能，再作为发生故障的第一主用计算模块对应的第二主用计算模块的备用模块；

每个备用模块组中的第二备用计算模块，用于在各自对应的第二主用计算模块发生故障后，加载数据以实现发生故障的第二主用计算模块在发生故障前所实现的计算功能，再作为发生故障的第二主用计算模块对应的第一主用计算模块的备用模块。

本申请实施例，打破铁路信号安全计算机平台传统的二乘二取二和三取二的架构，提出了一种全新的符合EN50129对铁路信号系统安全性要求的安全计算机平台，采用N*2+1的全新冗余架构，在主备冗余基础上，增设备用模块组，作为后备计算模块，具备可快速顶替任一模块故障后的功能，仍然保持整个安全计算机平台中所有计算模块为主备冗余工作模式，大幅提升安全计算机平台的可用性，并为维护处理故障模块留出了充足的时间。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。

附图说明

附图用来提供对本申请技术方案的理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。

图1为相关技术中图1是铁路信号控制系统的结构示意图；

图2为相关技术中铁路信号控制系统的二乘二取二的结构示意图；

图3为相关技术中铁路信号控制系统的三取二的结构示意图；

图4为本申请实施例提供的铁路信号控制系统的安全计算机平台的架构示意图；

图5为本申请实施例提供的铁路信号控制系统的安全计算机平台的结构示意图；

图6为图5所示第一主用计算模块的结构示意图。

具体实施方式

本申请描述了多个实施例，但是该描述是示例性的，而不是限制性的，并且对于本领域的普通技术人员来说显而易见的是，在本申请所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合，并在具体实施方式中进行了讨论，但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外，任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用，或可以替代任何其它实施例中的任何其他特征或元件。

本申请包括并设想了与本领域普通技术人员已知的特征和元件的组合。本申请已经公开的实施例、特征和元件也可以与任何常规特征或元件组合，以形成独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元件组合，以形成另一个独特的发明方案。因此，应当理解，在本申请中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此，除了根据所附权利要求及其等同替换所做的限制以外，实施例不受其它限制。此外，可以在所附权利要求的保护范围内进行各种修改和改变。

此外，在描述具有代表性的实施例时，说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而，在该方法或过程不依赖于本文所述步骤的特定顺序的程度上，该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的，其它的步骤顺序也是可能的。因此，说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外，针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤，本领域技术人员可以容易地理解，这些顺序可以变化，并且仍然保持在本申请实施例的精神和范围内。

本申请实施例提供一种铁路信号控制系统的安全计算机平台，满足新型列车控制系统对高度集成、硬件资源虚拟化管理和分配、承载多应用，以及同时满足铁路信号系统安全性、可靠性、可用性、可维护性的需求。

图4为本申请实施例提供的铁路信号控制系统的安全计算机平台的架构示意图。如图4所示，安全计算机平台被划分为三层，分别为应用软件层、安全计算机平台层、外设层；其中：

应用软件层是基于安全计算机平台硬件运行的应用，可以为多个应用软件,运行不同的列车控制系统，例如应用软件1为车站列控中心（Train Control Center，TCC）应用软件、应用软件2为计算机联锁（Computer Based Interlocking，CBI）应用软件，应用软件3为相邻站车站列控中心TCC应用软件。

安全计算机平台主要包含高性能工业级硬件资源、以及实现硬件资源虚拟化管理、分配及驱动，通过虚拟化管理技术，为上述应用软件层提供适配各个应用软件所需的硬件资源，包括CPU内核资源、内存资源、Flash资源、Cache资源、CPU内指令总线资源、CPU内数据总线资源、数据通信接口资源。

外设层包含各类不同的外设，外设的类型与数量由上述应用层所承载的应用软件的规格需求确定。

图5为本申请实施例提供的铁路信号控制系统的安全计算机平台的结构示意图。如图5所示，所述安全计算平台包括第一计算子系统和第二计算子系统：其中：

在主备关系上，第一计算子系统作为主用系统，第二计算子系统作为备用系统。

所述第一计算子系统包括至少一个主用模块组，其中每个主用模块组对应所述铁路信号控制系统中至少一个应用，其中，每个主用模块组包括互为主备的第一主用计算模块和第二主用计算模块；其中：

每个主用模块组中处于主用模式的计算模块，用于对各自对应的应用进行计算操作；

每个主用模块组中处于备用模式的计算模块，用于保持与各自的主用模块组中处于主用模式的计算模块的运算同步，以及，在检测到各自的主用模块组中处于主用模式的计算模块发生故障时，进行主备切换，对各自对应的应用进行计算操作；

具体的，如果主用模块组中模块故障前为处于备用模式，则主用模块组中与故障的模块互为冗余的模块继续保持在主用模式状态，该主用模式状态的模块所加载运行的应用系统功能无影响，只是此时为单系运行状态。如果主用模块组中模块故障前处于主用模式，则主用模块组中与故障的模块互为冗余的模块立即从备用模式切换到主用模式，完成了主备状态倒切，主备系倒切之后，从备用状态切换到主用模式状态的模块所加载运行的应用系统功能无影响，只是此时为单系运行状态。

所述第二计算子系统包括至少一个备用模块组，其中每个备用模块组包括第一备用计算模块和第二备用计算模块，其中：

在备用模块组的个数为一个时，该备用模块组对应所述第一计算子系统中的全部主用模块组；

在备用模块组的个数为至少两个时，每个备用模块组对应的主用模块组两两不重复，其中至少部分备用模块组对应的主用模块组的个数为至少两个，其中全部备用模块组对应的主用模块组为所述第一计算子系统中的全部主用模块组。

基于上述内容可知，在备用模块组的个数为一个时，备用模块组的总数小于主用模块组的总数；在备用模块组的个数为至少两个时，由于每个备用模块组对应的主用模块组两两不重复，其中至少部分备用模块组对应的主用模块组的个数为至少两个，备用模块组的总数也小于主用模块组的总数。因此，可以得出，本申请实施例中第二计算子系统中备用模块组的总数小于第一计算子系统中主用模块组的总数，在保证主备冗余的工作模式前提下，实现了资源的合理利用。

每个备用模块组中的第一备用计算模块，用于在各自对应的第一主用计算模块发生故障后，加载数据以实现发生故障的第一主用计算模块在发生故障前所实现的计算功能，再作为发生故障的第一主用计算模块对应的第二主用计算模块的备用模块；

每个备用模块组中的第二备用计算模块，用于在各自对应的第二主用计算模块发生故障后，加载数据以实现发生故障的第一主用计算模块在发生故障前所实现的计算功能，再作为发生故障的第二主用计算模块对应的第一主用计算模块的备用模块；

具体的，在主用模块组中有模块故障后，备用模块组监测到有主用模块组有模块发生故障，进行正常运行，并与刚才单系运行的处于主用模式的安全计算模块组成主备冗余工作模式，立即补足了由于模块故障导致单系运行可用性降低的风险。

另外，由于每个主用模块中处于主用模式和处于备用模式的计算模块保持同步状态，因此，在处于备用模式的计算模块故障后，处于备用模式的计算模块具备随时完成主备倒切的条件，否则备用模块的计算模块需要进行完全的初始化后才能转换到主用模式。

进一步的，由于同一主用模块组中能够保证能够实现一个计算模块作为主用模式进行计算操作，因此，备用模块组的计算模块处于温备状态，即，在各自对应的主用模块组中的计算模块后，才进行数据加载，实现各自对应的主用模块组中的计算模块的功能，以便作为发生故障的第二主用计算模块对应的第一主用计算模块的备用模块，达到有效控制备用模块组的处理压力的目的。

如图5所示，第二计算子系统中备用模块组的个数为一个，其中第一备用计算模块R作为第一主用计算模块A、B、……N的后备，第二备用计算模块R’作为第二主用计算模块A’、B’、……N’的后备。

在第一主用计算模块A、B、……N中至少一个发生故障时，第一备用计算模块R均能实现发生故障的第一主用计算模块的功能，作为发生故障的第一主用计算模块对应的第二主用计算模块的备用模块。

在图5所示的安全计算机平台中，第一计算子系统包含至少一个主用模块组，其中每个主用模块组内的计算模块之间为互为冗余关系，即第一主用计算模块A与第二主用计算模块A’互为冗余，第一主用计算模块B与第二主用计算模块B’互为冗余，依次类推块。第二计算子系统包含一个备用模块组，其中该备用模块组包括第一备用计算模块R和第二备用计算模块R’，主要作用是当主用模块组中一旦有模块故障后，虽然还有互为冗余的模块正常工作，但由于每个主用模块组承接有多个应用，为不降低此时整个系统的可用性，那么备用模块组的模块可以实现快速加载故障模块所承接的应用软件，经过自检通过后，即可投入运行，整个系统仍然保持双系冗余配置，大幅提高了系统可用性。

例如，第一主用计算模块A作为主用模式进行运行，在第一主用计算模块A发生故障后，在第一计算子系统中，第二主用计算模块A’进行主备切换，作为主用模式进行运行；在第二计算子系统中，第一备用计算模块R实现第一主用计算模块A的功能，作为第二主用计算模块A’的备用模块进行运行。

第一主用计算模块A作为备用模式进行运行，在第一主用计算模块A发生故障后，在第一计算子系统中，第二主用计算模块A’继续作为主用模式进行运行；在第二计算子系统中，第一备用计算模块R实现第一主用计算模块A的功能，作为第二主用计算模块A’的备用模块进行运行。

同理可知，第二主用计算模块A’发生故障时的处理流程相似，区别在于，备用模块组中第二备用计算模块R’ 作为第一主用计算模块A的备用模块进行运行。

在备用模块组的个数为至少两个时，每个备用模块组对应的主用模块组的个数可以相等，或者，不相等。另外，每个备用模块组对应的主用模块组的个数可以均大于或等于2，或者，一部分备用模块组对应的主用模块组的个数均大于或等于2，另一部分备用模块组对应的主用模块组的个数均为1。

其中，每个备用模块组对应的主用模块组的个数可以根据主用模块组运行的应用的重要性、处理负载、所需计算能力等进行动态调整。

本申请实施例提供的安全计算机平台，打破铁路信号安全计算机平台传统的二乘二取二和三取二的架构，提出了一种全新的符合EN50129对铁路信号系统安全性要求的安全计算机平台，采用N*2+1的全新冗余架构，在主备冗余基础上，增设备用模块组，作为后备计算模块，具备可快速顶替任一模块故障后的功能，仍然保持整个安全计算机平台中所有计算模块为主备冗余工作模式，大幅提升安全计算机平台的可用性，并为维护处理故障模块留出了充足的时间。

除此以外，该安全计算平台还包括配置管理子系统、扩展子系统、第一供电电源、第二供电电源、系内总线和扩展总线；其中：

配置管理子系统，接第一供电电源，作为人机接口，用于接收并存储任务配置信息，并在系统上电初始化时下发给主用模块组，主用模块组进行应用程序和配置数据的加载运行。

本申请提供的安全计算机平台的连接关系如下：

所述安全计算机平台中具有相互独立的第一供电电源和第二供电电源；其中

对于主用模块组，每个主用模块组的第一主用计算模块均与所述第一供电电源相连，每个主用模块组的第二主用计算模块均与所述第二供电电源相连；

以图5所示结构为例，第一主用计算模块A、B、……、N接第一供电电源，第二主用计算模块A’、B’、……、N’接第二供电电源，保证了互为冗余的两个计算模块由相互独立的电源供电，满足EN50129标准要求的独立性要求，避免共因失效导致系统安全性和可用性降低；

对于备用模块组，每个备用模块组的第一备用计算模块均与所述第一供电电源相连，每个备用模块组的第二备用计算模块均与第二供电电源相连。

以图5所示结构为例，第一备用计算模块R接第一供电电源，第二备用计算模块R’接第二供电电源，保证了互为冗余的两个备用计算模块由相互独立的电源供电，满足EN50129标准要求的独立性要求，避免共因失效导致系统安全性和可用性降低，

所述安全计算机平台具有系内总线，其中主用模块组所有模块、备用模块组所有模块以及配置管理子系统均连接系内总线。

每个主用模块组中的第一主用计算模块和第二主用计算模块均周期性输出心跳数据；其中：

由于第一计算子系统和第二计算系统之间通过系内总线相连；其中，可以通过系内总线对心跳数据进行接收操作，可以判断主用模块组内的模块是否发生故障，实现简单方便。

具体的，每个主用模块组中的一个计算模块根据主用模块组中的另一个计算模块的心跳数据，确定作为主用模式的计算模块；

每个备用模块组中的第一备用计算模块均周期性对各自对应的第一主用计算模块输出的心跳数据进行接收操作，并根据接收结果，确定各自对应的第一主用计算模块是否发生故障；

每个备用模块组中的第二备用计算模块均周期性对各自对应的第二主用计算模块输出的心跳数据进行接收操作，并根据接收结果，确定各自对应的第二主用计算模块是否发生故障。

所述安全计算机平台具有扩展总线，其中，主用模块组的所有模块以及备用模块组的所有模块均与扩展总线的一端连接，所述扩展总线的另一端与扩展子系统连接，其中扩展子系统包括多个扩展模块，每个扩展模块一端分别与扩展总线进行连接；其中扩展模块的另一端与外设连接。

在一个示例性实施例中，每个主用模块组中的第一主用计算模块和第二主用计算模块在确定主备关系后，处于主用模式的计算模块周期性向处于备用模式的计算模块输出应用逻辑数据；

每个主用模块组中处于备用模式的计算模块接收处于主用模式的计算模块的应用逻辑数据，并根据接收到应用逻辑数据进行计算操作，从而保持与处于主用模式的计算模块同步运行。

由于每个主用模块中处于主用模式和处于备用模式的计算模块保持同步状态，因此，在处于备用模式的计算模块故障后，处于备用模式的计算模块具备随时完成主备倒切的条件，否则备用模块的计算模块需要进行完全的初始化后才能转换到主用模式。

另外，处于主用模式的计算模块周期性向处于备用模式的计算模块输出应用逻辑数据，可以提高处于备用模式的计算模块的数据获取效率，提高数据同步的实时性。

下面对本申请实施例提供的安全计算机平台进行说明：

在一个示例性实施例中，每个备用模块组中的第一备用计算模块，用于在各自对应的第一主用计算模块从故障状态恢复为正常运行时，停止作为发生故障的第一主用计算模块对应的第二主用计算模块的备用模块；

由于发生故障的第一主用计算模块恢复为正常运行，则主用模块组中已经恢复为主备冗余工作模式，因此，第一备用计算模块则停止作为发生故障的第一主用计算模块对应的第二主用计算模块的备用模块。

同理可知，每个备用模块组中的第二备用计算模块，用于在各自对应的第二主用计算模块从故障状态恢复为正常运行时，停止作为发生故障的第一主用计算模块对应的第二主用计算模块的备用模块。

由于发生故障的第二主用计算模块恢复为正常运行，则主用模块组中已经恢复为主备冗余工作模式，因此，第二备用计算模块则停止作为发生故障的第二主用计算模块对应的第一主用计算模块的备用模块。

在一个示例性实施例中，第一主用计算模块、第二主用计算模块、第一备用计算模块、第二备用计算模块中的每个计算模块均包括相互隔离的两个CPU通道，每个CPU通道调用不同的CPU进行计算。

其中，第一主用计算模块、第二主用计算模块、第一备用计算模块、第二备用计算模块中的每个计算模块还包括：

看门狗模块；与所述两个CPU通道相连，用于在接收到两个CPU通道中的CPU的激励信号后，允许CPU通道中的CPU与外设进行通信。

其中，每个CPU通道对应的CPU为多核CPU，其中核0用于完成各自对应的应用的资源调度，核1至核m有各自对应的一个或至少两个应用，其中m=1,2,3，……，M-1，其中M表示CPU的总核数，且为大于或等于4的整数。

以第一主用计算模块为例进行说明：

图6为图5所示第一主用计算模块的结构示意图。如图6所示，第一主用计算模块包括CPU1通道611、CPU2通道612、安全看门狗613、光电隔离614。两个CPU通道为相同设计，以CPU1通道为例，CPU1通道611包括CPU处理器6111、内存6112、Flash 6113、系内通信接口6114、扩展通信接口6115、电源管理6116，特别说明的是CPU处理器6111为多核CPU处理器。

第一主用计算模块内部连接关系如下，以CPU1通道611为例：

CPU1通道611中CPU1处理器6111与内存6112连接；

CPU1通道611中CPU1处理器6111与Flash 6113连接；

CPU1通道611中CPU1处理器6111与系内通信接口6114连接，并连接至图5系内总线；

CPU1通道611中CPU1处理器6111与扩展通信接口6115连接，但该连接受安全看门狗613控制；扩展通信接口6115连接至图5扩展总线；

CPU1通道611中CPU1处理器6111与光电隔离614连接；

CPU1通道611中CPU1处理器6111与安全看门狗613连接，安全看门狗输出控制开关信号控制CPU1处理器6111与扩展通信接口6115的通断；

电源管理6116连接图5中第一供电电源或第二供电电源；经过电源转换后，为CPU1通道611所有电路提供所需电源。

每个主用计算模块采用多核处理器，假设第一计算子系统设置4个主用模块组，每个主用计算模块采用四核处理器，其中一个内核为管理内核，其他三个核作为应用内核。以每核均加载运行1个应用为例，安全计算机平台最大可满足12个不同应用系统软件的运行需求，相当于传统的12套安全计算机平台硬件，实现高度集成化、简统化、小型化。

安全计算机平台采用多种安全防护措施，满足铁路信号控制系统的功能安全完整性等级SIL4的要求，第一主用计算模块的两个CPU组成“组合-故障”式安全架构，两个CPU通道的供电相互独立，系内总线、扩展总线均采用电气隔离措施，与CPU处理电路实现大于AC2500V耐压的隔离性，并且在电路上设计有看门狗电路，实时检测两个CPU通道的运行状态，一旦出现异常，立即切断第一主用计算模块与外设的通信，导向安全侧；在安全性设计方面，主要采用上电自检、周期自检、互相表决、防御性编程、数据字段符合安全码距要求等措施保证其安全性；在通信安全性方面，第一主用计算模块的两个CPU通道之间数据交互、表决、同步均采用安全协议对数据进行封装、在系内通信、与外设通信也均采用安全通信协议将数据进行封装，如果数据的传输过程被破坏，能够立即被检测到，系统导向安全侧。

其中第二主用计算模块、第一备用计算模块以及第二备用计算模块的实现方式相同，此处不再赘述。

在一个示例性实施例中，配置管理子系统，与所述第一计算子系统和所述第二计算子系统相连，用于获取所述铁路信号控制系统当前需运行的应用，并将当前需运行的应用分配给至少部分主用模块组，并建立主用模块组和备用模块组的对应关系，生成任务配置信息，将得到的主用模块组的任务配置信息发送给所述第一计算子系统，以及，将得到的备用模块组的任务配置信息发送给所述第二计算子系统；

其中，所述任一主用模块组中处于主用模式的计算模块，用于根据各自的任务配置信息，进行任务加载，并在加载完成后启动计算操作；

其中，所述任一主用模块组中处于备用模式的计算模块，用于根据各自的任务配置信息，进行任务加载，并在加载完成后，保持与各自的主用模块组中处于主用模式的计算模块的运算同步，以及，在检测到各自的主用模块组中处于主用模式的计算模块发生故障时，进行主备切换，启动计算操作

其中，每个备用模块组中的第一备用计算模块，用于在得到各自的任务配置信息后，在各自对应的第一主用计算模块发生故障后，根据发生故障的第一主用计算模块对应的任务配置信息，进行任务加载，以实现发生故障的第一主用计算模块在发生故障前所实现的计算功能，并在加载完成后，进行计算操作；

其中，每个备用模块组中的第二备用计算模块，用于在各自对应的第二主用计算模块发生故障后，根据发生故障的第二主用计算模块对应的任务配置信息，进行任务加载，以实现发生故障的第二主用计算模块在发生故障前所实现的计算功能，并在加载完成后，进行计算操作。

其中，所述任务配置信息包括每个应用当前使用的应用程序、每个应用当前使用的应用配置数据和每个应用当前运行使用的硬件资源。

在本申请实施例中，备用模块组进入温备状态，不加载运行任何应用程序，处于后备工作模式，只有管理内核CORE0实时侦听系内总线数据，接收主用模块组中各模块工作状态，具备随时可加载应用投入正常运行的条件。

在一个示例性实施例中，所述扩展子系统包括与不同类型的外设一一对应的扩展模块，其中不同类型的外设之间通信接口和通信协议中至少一个不同；

其中，每个扩展模块设置有互为主备的两个扩展单元，其中：

每个扩展单元，一端与所述第一计算子系统和所述第二计算子系统相连，另一端与各自对应的外设相连，用于实现各自连接的计算子系统中的计算模块与所连接的外设的正常通信。

在主用模块组中的目标主用模块组中的第一主用计算模块和第二主用计算模块均能够正常运行时，同一扩展模块中的两个扩展单元一一对应的所述目标主用模块组中的第一主用计算模块和第二主用计算模块相连；

在主用模块组中的目标主用模块组中的第一主用计算模块不能正常运行时，同一扩展模块中的两个扩展单元的一个与所述目标主用模块组中第二主用计算模块相连，另一个与所述目标主用模块组中的第一主用计算模块对应的第一备用计算模块相连；

在主用模块组中的目标主用模块组中的第二主用计算模块不能正常运行时，同一扩展模块中的两个扩展单元的一个与所述目标主用模块组中第一主用计算模块相连，另一个与所述目标主用模块组中的第二主用计算模块对应的第二备用计算模块相连；

在主用模块组中的目标主用模块组中的第一主用计算模块和第二主用计算模块均不能正常运行时，同一扩展模块中的两个扩展单元的一个与所述目标主用模块组中的第一主用计算模块对应的第一备用计算模块相连，另一个与所述目标主用模块组中的第二主用计算模块对应的第二备用计算模块相连。

本申请实施例提供的安全计算机平台的系统工作原理如下：

1、初始处理过程如下：

在系统首次使用时，配置管理子系统获取任务配置信息，通过上位机下载到上述配置管理子系统接收完毕后，对任务配置信息进行校验，双通道校核一致后，并将校核结果反馈给上位机。后续如需更新应用或应用配置数据，也需此步骤。如系统非首次使用或无需升级时，则跳过此步骤。

在系统上电后，主用模块组、备用模块组等待配置管理子系统下发任务配置信息，各模块校核自身存储的任务配置信息版本与下发的数据是否一致，如一致，则无需更新本地存储的文件和数据，如不一致，则接收配置管理子系统下发的文件和数据，并存储在自身模块Flash 6113上。

主用模块组内的计算模块加载任务配置信息，根据硬件配置数据，每个主用模块组内的计算模块中的CPU1和CPU2的CORE0为管理内核，CORE1/CORE2/COREn为应用内核，每个CPU的CORE0为其他三个核分配硬件资源、分配数据通信通道带宽、确定各应用内核所加载的应用程序，各个应用内核经过资源分配后开始加载运行应用程序，并开始按照EN50129标准的要求进行上电自检，包括但不限于内存自检、Flash自检、寄存器自检、定时器自检、表决器自检、双通道软件和数据版本校核，只有校核通过后才能继续往下运行，否则模块宕机，导向安全侧。

主用模块组内的计算模块自检通过后，则与互为冗余的模块确定主备系，在这里采用“软互锁”机制，通过采用安全通信协议的实时通信总线，实时交互主用模块组内互为冗余的计算模块的工作状态及主备系标志，确保同一时刻最多只有一系为主系。

备用模块组在接收并存储配置管理子系统下发的任务配置信息后，进入温备状态，不加载运行任何应用程序，处于后备工作模式，只有管理内核CORE0实时侦听系内总线数据，接收主用模块组中各模块工作状态，具备随时可加载应用投入正常运行的条件。

2、周期运行过程

当安全计算机平台的主用模块组经过上电加载初始化自检后，则进入周期运行状态，每个周期主用模块组模块通过扩展总线接收扩展子系统的来自外设的数据，并且通过系内总线与其他主用模块组进行数据传输，经过逻辑计算后，只有两个CPU通道的表决一致后才认为运算结果正确，然后通过扩展总线向扩展子系统发送给外设的数据，同时通过系内总线向其他主用模块组传输数据。另外在周期运行时，两个CPU通道进行运行同步握手，与互为冗余的模块进行主备同步和应用数据重构。最后在周期运行周期内必须留出自检的时间窗口，必须按照EN50129标准要求进行硬件周期自检，包括但不限于内存自检、寄存器自检、定时器自检、表决器自检。

在每个计算模块上设计有安全看门狗电路，在周期运行时，CPU1和CPU2需不间断的同时给安全看门狗电路输入激励脉冲，安全看门狗才能正常输出控制信号，此时两个CPU通道与扩展子系统正常通信，相当于安全看门狗实时监控两个CPU的运行状态，一旦出现异常，立即切断两个CPU通道与通信扩展接口的连接，切断与外设的通信，导向安全侧，在系统安全性方面额外增加了一道安全防护措施，进一步提升了安全计算机平台的安全性。

3、故障处理过程

当安全计算机平台中主用模块组中的计算模块由于某种原因导致运行异常，首先模块自身安全看门狗切断CPU与扩展子系统的通信接口通道，然后模块进入故障状态，CPU加载的应用程序停止运行。

如果模块故障前为处于备用模式，则主用模块组中与故障的模块互为冗余的计算模块继续保持在主用模式状态，该主用模式的计算模块所加载运行的应用功能无影响，只是此时为单系运行状态。

如果模块故障前处于主用模式，则主用模块组中与故障的模块互为冗余的计算模块立即从备用模式切换到主用模式，完成了主备状态倒切，主备系倒切之后，从备用状态切换到主用模式状态的计算模块所加载运行的应用系统功能无影响，只是此时为单系运行状态。

在主用模块组中有模块故障后，备用模块组中处于温备状态的计算模块单元监测到有主用模块组中计算模块故障，根据故障模块唯一地址标志和硬件配置数据，确定所需加载的应用程序和相应数据，经过自检校核之后，即可通入正常运行，并与刚才单系运行的处于主用模式的安全计算模块组成主备冗余工作模式，立即补足了由于模块故障导致单系运行可用性降低的风险。

本申请实施例提供的安全计算机平台具有如下优势，包括：

全新的体系架构：打破铁路信号安全计算机平台传统的二乘二取二和三取二的架构，提出了一种全新的符合EN50129对铁路信号系统安全性要求的安全计算机平台，采用N*2+1的全新冗余架构，在主备冗余基础上，再增加一套温备单元，大幅提高系统在计算模块故障情况下的可用性；

高度集成：第一计算子系统包括至少一个主用模块组，主用模块组中每个计算模块采用多核处理器，除其中一个内核为管理内核，其他核作为应用内核，其中每核可以加载运行一个或多个应用系统软件；实现高度集成化、简统化、小型化；

高安全性：安全计算机平台采用了多种安全防护措施满足铁路信号控制系统功能安全完整性等级SIL4的要求，每个计算模块两个CPU组成“组合-故障”式安全架构，两个CPU通道供电独立，互为冗余的计算模块供电独立，系内总线、扩展总线均采用电气隔离措施，与CPU处理电路实现大于AC2500V耐压的隔离性，并且在电路上设计有硬件看门狗电路，实时检测两个通道CPU的运行状态，一旦出现异常，立即切断与外设的通信，导向安全侧；在软件安全性设计方面主要采用上电自检、周期自检、互相表决、防御性编程、数据字段符合安全码距要求等措施保证其安全性；在通信安全性方面，计算模块两个CPU通道之间数据交互、表决、同步均采用安全协议对数据进行封装、在系内通信、与外设通信也均采用安全通信协议将数据进行封装，保证数据在传输过程一旦被破坏立即能够被检测到，系统导向安全侧。

通用性强：本发明的铁路信号安全计算机平台，适用轨道交通铁路信号控制系统，包括客运专线列车控制系统，城市轨道交通列车控制系统，同时也适用于对功能安全完整性等级有要求的工业自动化控制系统等领域，作为一个安全计算机通用硬件平台通用性强，具有很高的应用价值和经济效益；

简统化设计：本发明的铁路信号安全计算机平台充分考虑了开发技术难度和简统化需求，经过深入研究，主用模块组中的计算模块、备用模块组中的计算模块以及配置管理子系统的硬件设计均相同，只是软件功能不同，降低开发难度和工作量。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质（或非暂时性介质）和通信介质（或暂时性介质）。如本领域普通技术人员公知的，术语“计算机存储介质”包括在用于存储信息（诸如计算机可读指令、数据结构、程序模块或其他数据）的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘（DVD）或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

Claims (11)

1.一种铁路信号控制系统的安全计算机平台，包括第一计算子系统和第二计算子系统；其中：

所述第一计算子系统包括至少一个主用模块组，其中每个主用模块组对应所述铁路信号控制系统中至少一个应用，其中，每个主用模块组包括互为主备的第一主用计算模块和第二主用计算模块；

所述第二计算子系统包括至少一个备用模块组，其中每个备用模块组包括第一备用计算模块和第二备用计算模块，其中，在备用模块组的个数为一个时，该备用模块组对应所述第一计算子系统中的全部主用模块组；在备用模块组的个数为至少两个时，每个备用模块组对应的主用模块组两两不重复，其中至少部分备用模块组对应的主用模块组的个数为至少两个，其中全部备用模块组对应的主用模块组为所述第一计算子系统中的全部主用模块组；

其中：

每个主用模块组中处于主用模式的计算模块，用于对各自对应的应用进行计算操作；

每个主用模块组中处于备用模式的计算模块，用于保持与各自的主用模块组中处于主用模式的计算模块的运算同步，以及，在检测到各自的主用模块组中处于主用模式的计算模块发生故障时，进行主备切换，对各自对应的应用进行计算操作；

每个备用模块组中的第一备用计算模块，用于在各自对应的第一主用计算模块发生故障后，加载数据以实现发生故障的第一主用计算模块在发生故障前所实现的计算功能，再作为发生故障的第一主用计算模块对应的第二主用计算模块的备用模块；

每个备用模块组中的第二备用计算模块，用于在各自对应的第二主用计算模块发生故障后，加载数据以实现发生故障的第一主用计算模块在发生故障前所实现的计算功能，再作为发生故障的第二主用计算模块对应的第一主用计算模块的备用模块。

2.根据权利要求1所述的安全计算机平台，其特征在于：

每个备用模块组中的第一备用计算模块，用于在各自对应的第一主用计算模块从故障状态恢复为正常运行时，停止作为发生故障的第一主用计算模块对应的第二主用计算模块的备用模块；

每个备用模块组中的第二备用计算模块，用于在各自对应的第二主用计算模块从故障状态恢复为正常运行时，停止作为发生故障的第二主用计算模块对应的第一主用计算模块的备用模块。

3.根据权利要求1所述的安全计算机平台，其特征在于：

每个主用模块组中的第一主用计算模块和第二主用计算模块均周期性输出心跳数据；其中：

每个主用模块组中的一个计算模块根据主用模块组中的另一个计算模块的心跳数据，确定作为主用模式的计算模块；

每个备用模块组中的第一备用计算模块均周期性对各自对应的第一主用计算模块输出的心跳数据进行接收操作，并根据接收结果，确定各自对应的第一主用计算模块是否发生故障；

每个备用模块组中的第二备用计算模块均周期性对各自对应的第二主用计算模块输出的心跳数据进行接收操作，并根据接收结果，确定各自对应的第二主用计算模块是否发生故障。

4.根据权利要求1所述的安全计算机平台，其特征在于：

每个主用模块组中的第一主用计算模块和第二主用计算模块在确定主备关系后，处于主用模式的计算模块周期性向处于备用模式的计算模块输出应用逻辑数据；

每个主用模块组中处于备用模式的计算模块接收处于主用模式的计算模块的应用逻辑数据，并根据接收到应用逻辑数据进行计算操作，从而保持与处于主用模式的计算模块同步运行。

5.根据权利要求1所述的安全计算机平台，其特征在于：

所述安全计算机平台还包括相互独立的第一供电电源和第二供电电源；其中：

每个主用模块组的第一主用计算模块均与所述第一供电电源相连，每个主用模块组的第二主用计算模块均与所述第二供电电源相连；

每个备用模块组的第一备用计算模块均与所述第一供电电源相连，每个备用模块组的第二备用计算模块均与第二供电电源相连。

6.根据权利要求1所述的安全计算机平台，其特征在于：

第一主用计算模块、第二主用计算模块、第一备用计算模块、第二备用计算模块中的每个计算模块均包括相互隔离的两个CPU通道，每个CPU通道调用不同的CPU进行计算。

7.根据权利要求6所述的安全计算机平台，其特征在于：

第一主用计算模块、第二主用计算模块、第一备用计算模块、第二备用计算模块中的每个计算模块还包括：

看门狗模块；与所述两个CPU通道相连，用于在接收到两个CPU通道中的CPU的激励信号后，允许CPU通道中的CPU与外设进行通信。

8.根据权利要求6所述的安全计算机平台，其特征在于：

每个CPU通道对应的CPU为多核CPU，其中核0用于完成各自对应的应用的资源调度，核1至核m有各自对应的一个或至少两个应用，其中m=1,2,3，……，M-1，其中M表示CPU的总核数，且为大于或等于4的整数。

9.根据权利要求1至8任一项所述的安全计算机平台，其特征在于，所述安全计算机平台还包括：

配置管理子系统，与所述第一计算子系统和所述第二计算子系统相连，用于获取所述铁路信号控制系统当前需运行的应用，并将当前需运行的应用分配给至少部分主用模块组，并建立主用模块组和备用模块组的对应关系，生成任务配置信息，将得到的主用模块组的任务配置信息发送给所述第一计算子系统，以及，将得到的备用模块组的任务配置信息发送给所述第二计算子系统；

其中，任一主用模块组中处于主用模式的计算模块，用于根据各自的任务配置信息，进行任务加载，并在加载完成后启动计算操作；

其中，所述任一主用模块组中处于备用模式的计算模块，用于根据各自的任务配置信息，进行任务加载，并在加载完成后，保持与各自的主用模块组中处于主用模式的计算模块的运算同步，以及，在检测到各自的主用模块组中处于主用模式的计算模块发生故障时，进行主备切换，启动计算操作；

其中，每个备用模块组中的第一备用计算模块，用于在得到各自的任务配置信息后，在各自对应的第一主用计算模块发生故障后，根据发生故障的第一主用计算模块对应的任务配置信息，进行任务加载，以实现发生故障的第一主用计算模块在发生故障前所实现的计算功能，并在加载完成后，进行计算操作；

其中，每个备用模块组中的第二备用计算模块，用于在各自对应的第二主用计算模块发生故障后，根据发生故障的第二主用计算模块对应的任务配置信息，进行任务加载，以实现发生故障的第二主用计算模块在发生故障前所实现的计算功能，并在加载完成后，进行计算操作。

10.根据权利要求1至8任一项所述的安全计算机平台，其特征在于，所述安全计算机平台还包括扩展子系统，其中所述扩展子系统包括与不同类型的外设一一对应的扩展模块，其中不同类型的外设之间通信接口和通信协议中至少一个不同；

其中，每个扩展模块设置有互为主备的两个扩展单元，其中：

每个扩展单元，一端与所述第一计算子系统和所述第二计算子系统相连，另一端与各自对应的外设相连，用于实现各自连接的计算子系统中的计算模块与所连接的外设的正常通信。

11.根据权利要求10所述的安全计算机平台，其特征在于：

在主用模块组中的目标主用模块组中的第一主用计算模块和第二主用计算模块均能够正常运行时，同一扩展模块中的两个扩展单元一一对应的所述目标主用模块组中的第一主用计算模块和第二主用计算模块相连；

在主用模块组中的目标主用模块组中的第一主用计算模块不能正常运行时，同一扩展模块中的两个扩展单元的一个与所述目标主用模块组中第二主用计算模块相连，另一个与所述目标主用模块组中的第一主用计算模块对应的第一备用计算模块相连；

在主用模块组中的目标主用模块组中的第二主用计算模块不能正常运行时，同一扩展模块中的两个扩展单元的一个与所述目标主用模块组中第一主用计算模块相连，另一个与所述目标主用模块组中的第二主用计算模块对应的第二备用计算模块相连；

在主用模块组中的目标主用模块组中的第一主用计算模块和第二主用计算模块均不能正常运行时，同一扩展模块中的两个扩展单元的一个与所述目标主用模块组中的第一主用计算模块对应的第一备用计算模块相连，另一个与所述目标主用模块组中的第二主用计算模块对应的第二备用计算模块相连。