第四章 故障-安全計算機架構

1、第四章 故障-安全計算機架構本章概述 從總體上介紹故障-安全計算機架構，介紹二乘二取二、三取二架構，介紹其組成部分和工作原理，介紹組合故障安全、反應故障安全和固有故障安全的概念，介紹主要廠家的故障安全計算機架構。安全技術n 避錯技術質量保證評審、檢查形式化方法測試安全技術n容錯技術故障診斷技術nThe time for detection-plus-negation故障導向安全n復合故障安全n反應故障安全n固有故障安全冗余技術n硬件冗余n軟件冗余n信息冗余n時間冗余安全技術n糾錯技術自動恢復信息冗余/數(shù)據糾錯n 故障-安全輸入接口p 編碼方式的故障安全輸入p 采用診斷技術檢查輸入值p 多重模塊

2、結構輸入比較表決n 故障-安全輸出接口p 多重模塊的比較表決p 動態(tài)驅動電路p 基于硬件的表決電路6故障安全技術故障-安全輸入接口p 編碼方式的故障安全輸入故障-安全輸入接口p 采用診斷技術檢查輸入值故障-安全輸入接口p 多重模塊結構輸入比較表決故障-安全輸出接口p 多重模塊的比較表決故障-安全輸出接口p 動態(tài)驅動電路故障-安全輸出接口p 基于硬件的表決電路n故障-安全數(shù)據處理p 同步表決p 差異與比較p 執(zhí)行時間檢查n故障-安全數(shù)據通信p 序列號p 時間戳p 超時p 源、目的地p 應答確認p 編碼校驗13故障安全技術n故障-安全數(shù)據處理n故障-安全數(shù)據處理n故障-安全數(shù)據通信接受方需要檢測以

3、下內容：1、發(fā)送源ID；2、雙通道差異化CRC報文數(shù)據校驗；3、時間戳校驗（采用偽隨機序列生成時間戳）；4、時間戳和報文序列校驗故障安全技術n反應故障安全（Reactive fail-safety） 由快速的故障檢測和對任何危險失效進行避錯來保證它的安全n舉例輸出回檢編碼校驗輸出回檢編碼校驗故障安全技術n固有故障安全（Inherent fail-safety） 如果由一個獨立部件來執(zhí)行某個安全功能，則須保證該獨立部件在所有失效模式均無危險n舉例重力型安全繼電器動態(tài)輸出條件電源重力型安全繼電器動態(tài)輸出條件電源VCOR:Vital Cut-Off Relay二乘二取二架構兩個子系統(tǒng)形成冗余子系統(tǒng)內

4、兩臺計算機獨立運行 ，形成二取二二乘二取二架構二乘二取二架構兩個子系統(tǒng)，完全一致n 供電模塊：各系都有獨立的供電模塊n 數(shù)據交流單元：用于與外部設備的數(shù)據交流 （以太網，PCIE等）n 二取二處理單元：數(shù)據處理n 輸入模塊：數(shù)據采集，提供給處理器n 輸出模塊：數(shù)據輸出n 數(shù)據同步和切換模塊：兩系之間進行數(shù)據同步；主系發(fā)生故障時，進行主備的切換二乘二取二架構二取二處理模塊：CPU1CPU2表決三取二架構 三取二架構，三臺計算機采用并聯(lián)結構，同步工作，從輸入端輸入相同的信息，執(zhí)行同樣的程序，完成同樣的任務，得到的結果送入表決器，以多數(shù)的結果(取二)作為最后的控制輸出。三取二架構三取二架構三個處理模

5、塊n 供電模塊：各系都有獨立的供電模塊n 數(shù)據交流單元：用于與外部設備的數(shù)據交流 （以太網，PCIE等）n 數(shù)據處理單元：數(shù)據處理，3個，實現(xiàn)三取二n 輸入模塊：數(shù)據采集，提供給處理器n 輸出模塊：數(shù)據輸出n 沒有主備切換模塊關鍵技術n 同步技術：用于各系之間以及同系的雙機之間進行數(shù)據同步n 主備切換技術：當主系發(fā)生故障時，主備系之間進行切換（如何做到無縫切換）關鍵技術同步同步技術在三取二或者二乘二取二架構中至關重要常用的同步方法有時鐘同步和任務同步n 時鐘同步的實現(xiàn)方法是將兩套完全一樣的CPU及其核心電路集成在一塊電路板上，以便采用同一個晶振分頻電路作為芯片的時鐘脈沖，并采用專門設計的比較器

6、對兩個CPU總線進行比較監(jiān)督。n 任務同步的實現(xiàn)方法是兩個CPU單獨工作，通過CPU問的高速通道周期性地對兩個CPU中的各任務進行同步比較，以完成對兩個CPU工作一致性的檢查。關鍵技術同步 區(qū)別：兩種實現(xiàn)方式的不同在于，時鐘同步系統(tǒng)主要采用硬件完成雙CPU工作一致性的比較，對硬件有較高的要求，并且在每一個時鐘周期內，都要對兩個CPU的內容進行比較。任務同步系統(tǒng)主要采用軟件完成雙CPU工作一致性的比較，對軟件有較高的要求，同時也要求采用真正安全可靠的軟件比較算法，它是基于任務的同步，只有在每個任務完成后，對每個任務的結果進行一致性比較。安全計算機在軌道交通上的應用 安全計算機平臺是實現(xiàn)CBTC中

7、各系統(tǒng)功能的基礎平臺。主要有以下三個不同的應用環(huán)境n CBI應用環(huán)境：CBI專用于執(zhí)行軌旁聯(lián)鎖邏輯的安全性功能，它通過安全型接口電路與軌旁設備接口，采集并控制其狀態(tài)。n CC應用環(huán)境: CC系統(tǒng)是保證列車運行安全的系統(tǒng)，提供列車運行間隔控制、超速防護、車門和站臺屏蔽門監(jiān)督等安全防護功能以及自動駕駛功能。n ZC應用環(huán)境： ZC根據所有已知障礙物位置和移動授權來確定其區(qū)域內所有列車運行權限。安全計算機在軌道交通上的應用CBI環(huán)境建模主要廠商國外：西門子、阿爾斯通、安薩爾多國內：卡斯柯、中國通號、眾合機電（網新）、和利時、自儀股份、中國電子科技集團第十四所合作合作合作各公司安全計算機架構1、通號-

8、Siemens (QDP1L3-CBI)系內通過雙口RAM和公共時鐘源實現(xiàn)同步雙系通過串行高速總線實現(xiàn)信息的交換和系同步切換各公司安全計算機架構Bombardier-RATP各公司安全計算機架構3、CASCOCBI采用2oo4 (dpram)ZC采用2oo3(與IO采集板通過高速串行總線通信)CC采用單頭2oo3、雙頭熱備冗余的方式4、交大微聯(lián)-QDP1L3采用2oo45、AlcatelZC采用2oo3，CBI采用2oo4各公司架構6、網新三取二架構各公司安全計算機架構n CPU處理板是三取二核心處理單元，主要完成各種數(shù)據的運算和處理n ATO板完成各種數(shù)據的運算與處理n SAC板負責采集開關量數(shù)據、速度傳感器數(shù)據、信標數(shù)據、多普勒雷達數(shù)據，并將采集到的數(shù)據發(fā)送給CPU板和ATO板。n 三者之間通過PCI總線相連接，進行數(shù)據通信各公司安全計算機架構n COMM板實現(xiàn)安全計算機內部板卡之間以及安全計算機對外通信n 兩個COMM