第四章故障-安全計算機架構(gòu)課件

第四章故障-安全計算機架構(gòu)第四章故障-安全計算機架構(gòu)本章概述從總體上介紹故障-安全計算機架構(gòu)，介紹二乘二取二、三取二架構(gòu)，介紹其組成部分和工作原理，介紹組合故障安全、反應故障安全和固有故障安全的概念，介紹主要廠家的故障安全計算機架構(gòu)。本章概述從總體上介紹故障-安全計算機架構(gòu)，介紹安全技術(shù)避錯技術(shù)質(zhì)量保證評審、檢查形式化方法測試安全技術(shù)避錯技術(shù)安全技術(shù)容錯技術(shù)故障診斷技術(shù)Thetimefordetection-plus-negation故障導向安全復合故障安全反應故障安全固有故障安全冗余技術(shù)硬件冗余軟件冗余信息冗余時間冗余安全技術(shù)容錯技術(shù)安全技術(shù)糾錯技術(shù)自動恢復信息冗余/數(shù)據(jù)糾錯安全技術(shù)糾錯技術(shù)故障-安全輸入接口編碼方式的故障安全輸入采用診斷技術(shù)檢查輸入值多重模塊結(jié)構(gòu)輸入比較表決故障-安全輸出接口多重模塊的比較表決動態(tài)驅(qū)動電路基于硬件的表決電路6故障安全技術(shù)故障-安全輸入接口6故障安全技術(shù)故障-安全輸入接口編碼方式的故障安全輸入故障-安全輸入接口編碼方式的故障安全輸入故障-安全輸入接口采用診斷技術(shù)檢查輸入值故障-安全輸入接口采用診斷技術(shù)檢查輸入值故障-安全輸入接口多重模塊結(jié)構(gòu)輸入比較表決故障-安全輸入接口多重模塊結(jié)構(gòu)輸入比較表決故障-安全輸出接口多重模塊的比較表決故障-安全輸出接口多重模塊的比較表決故障-安全輸出接口動態(tài)驅(qū)動電路故障-安全輸出接口動態(tài)驅(qū)動電路故障-安全輸出接口基于硬件的表決電路故障-安全輸出接口基于硬件的表決電路故障-安全數(shù)據(jù)處理同步表決差異與比較執(zhí)行時間檢查故障-安全數(shù)據(jù)通信序列號時間戳超時源、目的地應答確認編碼校驗13故障安全技術(shù)故障-安全數(shù)據(jù)處理13故障安全技術(shù)故障-安全數(shù)據(jù)處理故障-安全數(shù)據(jù)處理故障-安全數(shù)據(jù)處理故障-安全數(shù)據(jù)處理故障-安全數(shù)據(jù)通信接受方需要檢測以下內(nèi)容：1、發(fā)送源ID；2、雙通道差異化CRC報文數(shù)據(jù)校驗；3、時間戳校驗（采用偽隨機序列生成時間戳）；4、時間戳和報文序列校驗故障-安全數(shù)據(jù)通信故障安全技術(shù)反應故障安全（Reactivefail-safety）由快速的故障檢測和對任何危險失效進行避錯來保證它的安全舉例輸出回檢編碼校驗故障安全技術(shù)反應故障安全（Reactivefail-saf輸出回檢輸出回檢編碼校驗編碼校驗故障安全技術(shù)固有故障安全（Inherentfail-safety）如果由一個獨立部件來執(zhí)行某個安全功能，則須保證該獨立部件在所有失效模式均無危險舉例重力型安全繼電器動態(tài)輸出條件電源故障安全技術(shù)固有故障安全（Inherentfail-saf重力型安全繼電器重力型安全繼電器動態(tài)輸出動態(tài)輸出條件電源VCOR:VitalCut-OffRelay條件電源VCOR:VitalCut-OffRelay二乘二取二架構(gòu)兩個子系統(tǒng)形成冗余子系統(tǒng)內(nèi)兩臺計算機獨立運行，形成二取二二乘二取二架構(gòu)兩個子系統(tǒng)形成冗余二乘二取二架構(gòu)二乘二取二架構(gòu)二乘二取二架構(gòu)兩個子系統(tǒng)，完全一致供電模塊：各系都有獨立的供電模塊數(shù)據(jù)交流單元：用于與外部設備的數(shù)據(jù)交流（以太網(wǎng)，PCIE等）二取二處理單元：數(shù)據(jù)處理輸入模塊：數(shù)據(jù)采集，提供給處理器輸出模塊：數(shù)據(jù)輸出數(shù)據(jù)同步和切換模塊：兩系之間進行數(shù)據(jù)同步；主系發(fā)生故障時，進行主備的切換二乘二取二架構(gòu)兩個子系統(tǒng)，完全一致二乘二取二架構(gòu)二取二處理模塊：CPU1CPU2表決二乘二取二架構(gòu)二取二處理模塊：CPU1CPU2表決三取二架構(gòu)三取二架構(gòu)，三臺計算機采用并聯(lián)結(jié)構(gòu)，同步工作，從輸入端輸入相同的信息，執(zhí)行同樣的程序，完成同樣的任務，得到的結(jié)果送入表決器，以多數(shù)的結(jié)果(取二)作為最后的控制輸出。三取二架構(gòu)三取二架構(gòu)，三臺計算機采用并聯(lián)結(jié)三取二架構(gòu)三取二架構(gòu)三取二架構(gòu)三個處理模塊供電模塊：各系都有獨立的供電模塊數(shù)據(jù)交流單元：用于與外部設備的數(shù)據(jù)交流（以太網(wǎng)，PCIE等）數(shù)據(jù)處理單元：數(shù)據(jù)處理，3個，實現(xiàn)三取二輸入模塊：數(shù)據(jù)采集，提供給處理器輸出模塊：數(shù)據(jù)輸出沒有主備切換模塊三取二架構(gòu)三個處理模塊關(guān)鍵技術(shù)同步技術(shù)：用于各系之間以及同系的雙機之間進行數(shù)據(jù)同步主備切換技術(shù)：當主系發(fā)生故障時，主備系之間進行切換（如何做到無縫切換）關(guān)鍵技術(shù)同步技術(shù)：關(guān)鍵技術(shù)——同步同步技術(shù)在三取二或者二乘二取二架構(gòu)中至關(guān)重要常用的同步方法有時鐘同步和任務同步時鐘同步的實現(xiàn)方法是將兩套完全一樣的CPU及其核心電路集成在一塊電路板上，以便采用同一個晶振分頻電路作為芯片的時鐘脈沖，并采用專門設計的比較器對兩個CPU總線進行比較監(jiān)督。任務同步的實現(xiàn)方法是兩個CPU單獨工作，通過CPU問的高速通道周期性地對兩個CPU中的各任務進行同步比較，以完成對兩個CPU工作一致性的檢查。關(guān)鍵技術(shù)——同步同步技術(shù)在三取二或者二乘二取二架構(gòu)中至關(guān)重要關(guān)鍵技術(shù)——同步區(qū)別：兩種實現(xiàn)方式的不同在于，時鐘同步系統(tǒng)主要采用硬件完成雙CPU工作一致性的比較，對硬件有較高的要求，并且在每一個時鐘周期內(nèi)，都要對兩個CPU的內(nèi)容進行比較。任務同步系統(tǒng)主要采用軟件完成雙CPU工作一致性的比較，對軟件有較高的要求，同時也要求采用真正安全可靠的軟件比較算法，它是基于任務的同步，只有在每個任務完成后，對每個任務的結(jié)果進行一致性比較。關(guān)鍵技術(shù)——同步區(qū)別：安全計算機在軌道交通上的應用安全計算機平臺是實現(xiàn)CBTC中各系統(tǒng)功能的基礎(chǔ)平臺。主要有以下三個不同的應用環(huán)境CBI應用環(huán)境：CBI專用于執(zhí)行軌旁聯(lián)鎖邏輯的安全性功能，它通過安全型接口電路與軌旁設備接口，采集并控制其狀態(tài)。CC應用環(huán)境:CC系統(tǒng)是保證列車運行安全的系統(tǒng)，提供列車運行間隔控制、超速防護、車門和站臺屏蔽門監(jiān)督等安全防護功能以及自動駕駛功能。ZC應用環(huán)境：ZC根據(jù)所有已知障礙物位置和移動授權(quán)來確定其區(qū)域內(nèi)所有列車運行權(quán)限。安全計算機在軌道交通上的應用安全計算機平臺是實安全計算機在軌道交通上的應用CBI環(huán)境建模安全計算機在軌道交通上的應用CBI環(huán)境建模主要廠商國外：西門子、阿爾斯通、安薩爾多國內(nèi)：卡斯柯、中國通號、眾合機電（網(wǎng)新）、和利時、自儀股份、中國電子科技集團第十四所合作合作合作主要廠商國外：西門子、阿爾斯通、安薩爾多合作合作合作各公司安全計算機架構(gòu)1、通號-Siemens(QDP1L3-CBI)系內(nèi)通過雙口RAM和公共時鐘源實現(xiàn)同步雙系通過串行高速總線實現(xiàn)信息的交換和系同步切換各公司安全計算機架構(gòu)1、通號-Siemens(QDP1L3各公司安全計算機架構(gòu)Bombardier--RATP各公司安全計算機架構(gòu)Bombardier--RATP各公司安全計算機架構(gòu)3、CASCOCBI采用2oo4(dpram)ZC采用2oo3(與IO采集板通過高速串行總線通信)CC采用單頭2oo3、雙頭熱備冗余的方式4、交大微聯(lián)-QDP1L3采用2oo45、AlcatelZC采用2oo3，CBI采用2oo4各公司安全計算機架構(gòu)3、CASCO各公司架構(gòu)6、網(wǎng)新三取二架構(gòu)各公司架構(gòu)6、網(wǎng)新各公司安全計算機架構(gòu)CPU處理板是三取二核心處理單元，主要完成各種數(shù)據(jù)的運算和處理ATO板完成各種數(shù)據(jù)的運算與處理SAC板負責采集開關(guān)量數(shù)據(jù)、速度傳感器數(shù)據(jù)、信標數(shù)據(jù)、多普勒雷達數(shù)據(jù)，并將采集到的數(shù)據(jù)發(fā)送給CPU板和ATO板。三者之間通過PCI總線相連接，進行數(shù)據(jù)通信各公司安全計算機架構(gòu)CPU處理板是三取二核心處理單元，主要完各公司安全計算機架構(gòu)COMM板實現(xiàn)安全計算機內(nèi)部板卡之間以及安全計算機對外通信兩個COMM板，分別與三個處理模塊點對點通信各公司安全計算機架構(gòu)COMM板實現(xiàn)安全計算機內(nèi)部板卡之間以及各公司安全計算機架構(gòu)IO板負責數(shù)據(jù)的輸入和輸出大量，分別與三個處理模塊點對點通信（can總線）各公司安全計算機架構(gòu)IO板負責數(shù)據(jù)的輸入和輸出各公司安全計算機架構(gòu)電源板負責各模塊的供電直流、交流冗余各公司安全計算機架構(gòu)電源板負責各模塊的供電各公司架構(gòu)7、網(wǎng)新二乘二取二架構(gòu)一系兩個處理單元繼電器邏輯切換各公司架構(gòu)7、網(wǎng)新第四章故障-安全計算機架構(gòu)第四章故障-安全計算機架構(gòu)本章概述從總體上介紹故障-安全計算機架構(gòu)，介紹二乘二取二、三取二架構(gòu)，介紹其組成部分和工作原理，介紹組合故障安全、反應故障安全和固有故障安全的概念，介紹主要廠家的故障安全計算機架構(gòu)。本章概述從總體上介紹故障-安全計算機架構(gòu)，介紹安全技術(shù)避錯技術(shù)質(zhì)量保證評審、檢查形式化方法測試安全技術(shù)避錯技術(shù)安全技術(shù)容錯技術(shù)故障診斷技術(shù)Thetimefordetection-plus-negation故障導向安全復合故障安全反應故障安全固有故障安全冗余技術(shù)硬件冗余軟件冗余信息冗余時間冗余安全技術(shù)容錯技術(shù)安全技術(shù)糾錯技術(shù)自動恢復信息冗余/數(shù)據(jù)糾錯安全技術(shù)糾錯技術(shù)故障-安全輸入接口編碼方式的故障安全輸入采用診斷技術(shù)檢查輸入值多重模塊結(jié)構(gòu)輸入比較表決故障-安全輸出接口多重模塊的比較表決動態(tài)驅(qū)動電路基于硬件的表決電路51故障安全技術(shù)故障-安全輸入接口6故障安全技術(shù)故障-安全輸入接口編碼方式的故障安全輸入故障-安全輸入接口編碼方式的故障安全輸入故障-安全輸入接口采用診斷技術(shù)檢查輸入值故障-安全輸入接口采用診斷技術(shù)檢查輸入值故障-安全輸入接口多重模塊結(jié)構(gòu)輸入比較表決故障-安全輸入接口多重模塊結(jié)構(gòu)輸入比較表決故障-安全輸出接口多重模塊的比較表決故障-安全輸出接口多重模塊的比較表決故障-安全輸出接口動態(tài)驅(qū)動電路故障-安全輸出接口動態(tài)驅(qū)動電路故障-安全輸出接口基于硬件的表決電路故障-安全輸出接口基于硬件的表決電路故障-安全數(shù)據(jù)處理同步表決差異與比較執(zhí)行時間檢查故障-安全數(shù)據(jù)通信序列號時間戳超時源、目的地應答確認編碼校驗58故障安全技術(shù)故障-安全數(shù)據(jù)處理13故障安全技術(shù)故障-安全數(shù)據(jù)處理故障-安全數(shù)據(jù)處理故障-安全數(shù)據(jù)處理故障-安全數(shù)據(jù)處理故障-安全數(shù)據(jù)通信接受方需要檢測以下內(nèi)容：1、發(fā)送源ID；2、雙通道差異化CRC報文數(shù)據(jù)校驗；3、時間戳校驗（采用偽隨機序列生成時間戳）；4、時間戳和報文序列校驗故障-安全數(shù)據(jù)通信故障安全技術(shù)反應故障安全（Reactivefail-safety）由快速的故障檢測和對任何危險失效進行避錯來保證它的安全舉例輸出回檢編碼校驗故障安全技術(shù)反應故障安全（Reactivefail-saf輸出回檢輸出回檢編碼校驗編碼校驗故障安全技術(shù)固有故障安全（Inherentfail-safety）如果由一個獨立部件來執(zhí)行某個安全功能，則須保證該獨立部件在所有失效模式均無危險舉例重力型安全繼電器動態(tài)輸出條件電源故障安全技術(shù)固有故障安全（Inherentfail-saf重力型安全繼電器重力型安全繼電器動態(tài)輸出動態(tài)輸出條件電源VCOR:VitalCut-OffRelay條件電源VCOR:VitalCut-OffRelay二乘二取二架構(gòu)兩個子系統(tǒng)形成冗余子系統(tǒng)內(nèi)兩臺計算機獨立運行，形成二取二二乘二取二架構(gòu)兩個子系統(tǒng)形成冗余二乘二取二架構(gòu)二乘二取二架構(gòu)二乘二取二架構(gòu)兩個子系統(tǒng)，完全一致供電模塊：各系都有獨立的供電模塊數(shù)據(jù)交流單元：用于與外部設備的數(shù)據(jù)交流（以太網(wǎng)，PCIE等）二取二處理單元：數(shù)據(jù)處理輸入模塊：數(shù)據(jù)采集，提供給處理器輸出模塊：數(shù)據(jù)輸出數(shù)據(jù)同步和切換模塊：兩系之間進行數(shù)據(jù)同步；主系發(fā)生故障時，進行主備的切換二乘二取二架構(gòu)兩個子系統(tǒng)，完全一致二乘二取二架構(gòu)二取二處理模塊：CPU1CPU2表決二乘二取二架構(gòu)二取二處理模塊：CPU1CPU2表決三取二架構(gòu)三取二架構(gòu)，三臺計算機采用并聯(lián)結(jié)構(gòu)，同步工作，從輸入端輸入相同的信息，執(zhí)行同樣的程序，完成同樣的任務，得到的結(jié)果送入表決器，以多數(shù)的結(jié)果(取二)作為最后的控制輸出。三取二架構(gòu)三取二架構(gòu)，三臺計算機采用并聯(lián)結(jié)三取二架構(gòu)三取二架構(gòu)三取二架構(gòu)三個處理模塊供電模塊：各系都有獨立的供電模塊數(shù)據(jù)交流單元：用于與外部設備的數(shù)據(jù)交流（以太網(wǎng)，PCIE等）數(shù)據(jù)處理單元：數(shù)據(jù)處理，3個，實現(xiàn)三取二輸入模塊：數(shù)據(jù)采集，提供給處理器輸出模塊：數(shù)據(jù)輸出沒有主備切換模塊三取二架構(gòu)三個處理模塊關(guān)鍵技術(shù)同步技術(shù)：用于各系之間以及同系的雙機之間進行數(shù)據(jù)同步主備切換技術(shù)：當主系發(fā)生故障時，主備系之間進行切換（如何做到無縫切換）關(guān)鍵技術(shù)同步技術(shù)：關(guān)鍵技術(shù)——同步同步技術(shù)在三取二或者二乘二取二架構(gòu)中至關(guān)重要常用的同步方法有時鐘同步和任務同步時鐘同步的實現(xiàn)方法是將兩套完全一樣的CPU及其核心電路集成在一塊電路板上，以便采用同一個晶振分頻電路作為芯片的時鐘脈沖，并采用專門設計的比較器對兩個CPU總線進行比較監(jiān)督。任務同步的實現(xiàn)方法是兩個CPU單獨工作，通過CPU問的高速通道周期性地對兩個CPU中的各任務進行同步比較，以完成對兩個CPU工作一致性的檢查。關(guān)鍵技術(shù)——同步同步技術(shù)在三取二或者二乘二取二架構(gòu)中至關(guān)重要關(guān)鍵技術(shù)——同步區(qū)別：兩種實現(xiàn)方式的不同在于，時鐘同步系統(tǒng)主要采用硬件完成雙CPU工作一致性的比較，對硬件有較高的要求，并且在每一個時鐘周期內(nèi)，都要對兩個CPU的內(nèi)容進行比較。任務同步系統(tǒng)主要采用軟件完成雙CPU工作一致性的比較，對軟件有較高的要求，同時也要求采用真正安全可靠的軟件比較算法，它是基于任務的同步，只有在每個任務完成后，對每個任務的結(jié)果進行一致性比較。關(guān)鍵技術(shù)——同步區(qū)別：安全計算機在軌道交通上的應用安全計算機平臺是實現(xiàn)CBTC中各系統(tǒng)功能的基礎(chǔ)平臺。主要有以下三個不同的應用環(huán)境CBI應用環(huán)境：CBI專用于執(zhí)行軌旁聯(lián)鎖邏輯的安全性功能，它通過安全型接口電路與軌旁設備接口，采集并控制其狀態(tài)。CC應用環(huán)境:CC系統(tǒng)是保證列車運行安全的系統(tǒng)，提供列車運行間隔控制、超速防護、車門和站臺屏蔽門監(jiān)督等安全防護功能以及自動駕駛功能。ZC應用環(huán)境：ZC根據(jù)所有已知障礙物位置和移動授權(quán)來確定其區(qū)域內(nèi)所有列車運行權(quán)限。安全計算機在軌道交通上的應用安全計算機平臺是實安全計算機在軌道交通上的應用CBI環(huán)境建模安全計算機在軌道交通上的應用CBI環(huán)境建模主要廠商國外：西門子、阿爾斯通、安薩爾多國內(nèi)：卡斯柯、中國通號、眾合機電（網(wǎng)新）、和利時、自儀股份、中國電子科技集團第十四所合作合作合作主要廠商國外：西門子、阿爾斯通、安薩爾多合作合作合作各公司安全計算機架構(gòu)1、通號-Siemens(QDP1L3-CBI)系內(nèi)通過雙口RAM和公共時鐘源實現(xiàn)同步雙系通過串行高速總線實現(xiàn)信息的交換和系同步切換各公司安全計算