專利名稱:基于同步通信交換的三模冗余實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及軌道交通信號安全控制技術(shù)領(lǐng)域,特別涉及一種基于同步通信交換的 三模冗余實現(xiàn)方法。
背景技術(shù):
目前我國軌道交通安全控制系統(tǒng)的技術(shù)水平尚不能滿足高速鐵路和高密度城市 軌道交通的需要,對于鐵路高速客運專線和城市軌道交通的列車運行控制系統(tǒng)的關(guān)鍵技 術(shù)和集成裝備主要依賴引進?;跓o線通信的列車運行控制系統(tǒng)(communication based train controlsystem,CBTC)的車載控制器(vehicle on-board controller,V0BC)系統(tǒng)實 時、連續(xù)地監(jiān)督和控制列車的速度,自動控制列車的制動系統(tǒng),實現(xiàn)列車的超速防護,保證 運行效率以及行車安全性。車載安全計算機是車載控制器VOBC系統(tǒng)運行平臺,承載車載控 制器VOBC系統(tǒng)對內(nèi)、對外信息交互,通過容錯技術(shù)、故障-安全技術(shù)設(shè)計、安全通信技術(shù)等, 保證車載控制器VOBC系統(tǒng)運行可靠性和可用性,并保證通信信息輸入、輸出的可靠性和安 全性。目前實現(xiàn)安全計算機冗余結(jié)構(gòu)方式主要有三取二表決、二取二表決、二取二乘二 表決等。車載安全計算機對系統(tǒng)安全、可靠、不間斷工作具有很高要求,同時對表決信息正 確輸出也具有嚴(yán)格要求。三取二表決是基于少數(shù)服從多數(shù)的糾錯原理,保證了系統(tǒng)輸出表 決信息的正確性,相比二取二表決具有更高的可靠性和可用性。車載控制器VOBC是實時操 作系統(tǒng),對于二取二乘二表決存在主機和備用主機切換,會消耗一定時間,對于實時系統(tǒng)將 很難容忍。因此,三模冗余車載安全計算機是較為理想的解決方案。三模冗余車載安全計算機,屬于分布式三模冗余系統(tǒng),每個獨立模塊各具有一套 軟、硬件系統(tǒng)獨立運行。傳統(tǒng)方式在保證系統(tǒng)同步的前提下,系統(tǒng)同步方式主要有硬件同 步、軟件同步和軟硬件結(jié)合同步;同時還需要嚴(yán)格保證系統(tǒng)任務(wù)同步,造成對系統(tǒng)軟件、硬 件同步要求高,降低了系統(tǒng)可用性。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問題本發(fā)明要解決的技術(shù)問題是如何實現(xiàn)更高可用性的三模冗余決策機制。( 二 )技術(shù)方案一種基于同步通信交換的三模冗余實現(xiàn)方法,包括以下步驟Sl 三主機基于同步通信交換方式交換各自的輸入信息;S2 三主機將交換后的輸入信息依據(jù)安全表決原則進行表決;S3:三主機分別將表決后的輸入信息依據(jù)預(yù)先設(shè)定的安全處理策略進行安全處 理,若某一主機安全處理后的輸入信息與另外兩主機不一致,或某一主機本身認(rèn)為自己不 一致或故障時,該主機將會自關(guān)斷,結(jié)束本次處理,否則并根據(jù)三主機中安全處理后的輸入 信息,調(diào)用應(yīng)用程序分別進行應(yīng)用處理;
S4 三主機基于同步通信交換方式交換應(yīng)用處理后的輸出信息;S5 三主機將交換后各自的輸出信息依據(jù)安全表決原則進行表決;S6 三主機將交換后各自的輸出信息依據(jù)預(yù)先設(shè)定的安全處理原則進行安全處 理,若某一主機安全處理后的輸出信息與另外兩主機不一致,或某一主機本身認(rèn)為自己不 一致或故障時,該主機將會自關(guān)斷,結(jié)束本次處理,否則輸出安全處理后的輸出信息。其中,所述步驟Sl之前還包括分別初始化所述三個主機中的硬件和軟件,并分別輸入系統(tǒng)信息和應(yīng)用信息到三 主機中。其中,所述輸入信息的方式為采用輸入信息三重化處理進行輸入,所述輸入信息包括其它主機系統(tǒng)輸入的通信 數(shù)據(jù);底層驅(qū)動采集數(shù)字量和模擬量。其中,所述步驟Sl和S4中的同步通信交換為優(yōu)先級中斷方式實現(xiàn)的通信同步交 換,所述交換分為交換發(fā)送和交換接收,交換接收優(yōu)先級高于交換發(fā)送優(yōu)先級,交換優(yōu)先級 高于任務(wù)進程優(yōu)先級。其中,所述步驟S2和S5的表決方式為3取2表決。其中,所述步驟S2和S5的安全表決原則為保證安全相關(guān)信息表決的可靠性;保證非安全相關(guān)信息表決的可用性。其中,表決后還包括步驟三主機保存各自的表決結(jié)果。其中,所述步驟S3和S6中的安全處理原則包括保證表決失敗安全相關(guān)變量遵循故障-安全原則進行安全處理,處理結(jié)果偏向安 全側(cè);保證表決策略淘汰的異常主機進行異常處理;保證安全性的基礎(chǔ)上,進行容錯性處理。其中,所述步驟S3后還包括步驟
保存應(yīng)用處理后的輸出信息。(三)有益效果本發(fā)明通過同步通信交換的方式實現(xiàn)了高可用性的三模冗余決策機制,利用本發(fā) 明的方法的三模冗余安全計算機系統(tǒng)可以異步工作,不需要相關(guān)同步處理單元和軟件功 能,有效減少硬件成本和降低軟件復(fù)雜度,并通過基于容錯技術(shù)、故障-安全技術(shù)設(shè)計等技 術(shù)和經(jīng)驗建立的安全表決策略和安全處理策略,保證了三模冗余安全計算機安全性、可靠 性,并有效提高了系統(tǒng)可用性。
圖1是本發(fā)明實施例的三模冗余安全計算機系統(tǒng)結(jié)構(gòu)示意圖;圖2是本發(fā)明實施例的基于同步通信交換的三模冗余實現(xiàn)方法流程圖。
具體實施例方式下面結(jié)合附圖和實施例,對本發(fā)明的具體實施方式
作進一步詳細(xì)描述。以下實施 例用于說明本發(fā)明,但不用來限制本發(fā)明的范圍。以VOBC車載安全計算機為例,VOBC車載安全計算機采用三模冗余結(jié)構(gòu),即每個主 機中包括電源、輸入單元、輸出單元、主處理單元,三個主機互為獨立的三個模塊,三個主 機間通過ARCNET通信網(wǎng)絡(luò)組成雙模冗余內(nèi)網(wǎng)進行信息交互。三模冗余安全計算機系統(tǒng)三 機間的通信基于同步通信交換方式實現(xiàn),通信過程中無需進行同步處理,三主機工作中的 任務(wù)容許異步處理?;谕酵ㄐ沤粨Q方式,系統(tǒng)內(nèi)部通信交換通過高優(yōu)先級中斷實現(xiàn)同 步通信,應(yīng)用安全通信技術(shù)保證通信內(nèi)容的完整性和正確性,通過基于容錯技術(shù)、故障_安 全技術(shù)設(shè)計等技術(shù)構(gòu)建的安全表決策略和安全信息處理技術(shù)策略保證系統(tǒng)安全、可靠前提 下很大程度上提高系統(tǒng)的可用性,并能夠降低軟件復(fù)雜度和對硬件性能的要求。如圖1所示,為三模冗余安全計算機系統(tǒng)結(jié)構(gòu)示意圖,包括三臺主機,三臺主機間 通過雙網(wǎng)冗余模式通信網(wǎng)連接。三臺主機基于同步通信交換的三模冗余實現(xiàn)方法步驟如圖 2所示步驟S201 :V0BC車載系統(tǒng)的三個主機上電后,分別初始化所述三個主機中的硬件 和軟件,并完成自檢。如某主機初始化或自檢失敗,該主機進入自關(guān)斷,保證系統(tǒng)的安全性 和可靠性。步驟S202 =VOBC車載系統(tǒng)完成初始化后,通過三重化輸入方式(是將輸入各種 不同形式的信息經(jīng)過多重化處理,重化出三路相同信息分別輸入到三個主機。),將相同 的輸入信息分別輸入三主機中,輸入信息包括外部系統(tǒng)輸入的通信數(shù)據(jù)、VOBC系統(tǒng)底層 驅(qū)動采集的數(shù)字量和模擬量等系統(tǒng)狀態(tài)信息,其中外部系統(tǒng)輸入的通信數(shù)據(jù)包括計算 機聯(lián)系子系統(tǒng)CI (Computer Interlocking)、列車自動監(jiān)督子系統(tǒng)ATS (Automatic Train Supervision)及列車自動駕駛ATO(Automatic Train Operation)等發(fā)送給VOBC系統(tǒng)的通 信數(shù)據(jù)。步驟S203 三主機基于同步通信交換方式交換各自的輸入信息。三機間兩兩進行 通信交換,主機間通信交換通過優(yōu)先級中斷方式實現(xiàn)通信同步交換。信息交換分為交換發(fā) 送和交換接收(三機將信息進行交換,即將自己的信息發(fā)送給對方,接收對方的信息,因為 三機必須了解對方信息,才能進行表決),交換接收優(yōu)先級高于交換發(fā)送優(yōu)先級,交換優(yōu)先 級高于任務(wù)進程優(yōu)先級。即某機進行通信交換通信時,中斷當(dāng)前任務(wù),進行數(shù)據(jù)交換,完成 交換任務(wù)后,繼續(xù)進行當(dāng)前任務(wù)。步驟S204 三主機將交換后的輸入信息依據(jù)安全表決原則進行3取2表決,并各 自保存各自的表決結(jié)果。安全表決原則如下1、保證安全相關(guān)信息表決的可靠性;2、保證非安全相關(guān)信息表決的可用性??煽啃?Reliability)是指產(chǎn)品在規(guī)定的條件下和規(guī)定的時間內(nèi),完成規(guī)定功能 的能力;可用性(Availability)在要求的外部資源得到保證的前提下,元件或系統(tǒng)在規(guī) 定的條件下和規(guī)定的時刻或時間內(nèi)處于可執(zhí)行規(guī)定功能狀態(tài)的能力。步驟S205 三主機分別將表決后的輸入信息依據(jù)預(yù)先設(shè)定的安全處理策略進行安全處理。所述安全處理策略包括保證表決失敗安全相關(guān)變量遵循故障-安全原則進行安全處理,處理結(jié)果偏向安 全側(cè);保證對表決策略淘汰的異常主機進行異常處理;保證安全性的基礎(chǔ)上,進行容錯性處理,提高系統(tǒng)可用性。若某一主機安全處理后的輸入信息與另外兩主機不一致或某一主機本身認(rèn)為自 己不一致(或故障)時,該主機將會自關(guān)斷,結(jié)束本次處理,否則執(zhí)行步驟S206。步驟S206 :對三主機中安全處理后的輸入信息,進行列車自動防護 ATP (Automatic Train Protection)應(yīng)用處理,并保存ATP處理后的輸出信息。步驟S207 三主機基于同步通信交換方式交換應(yīng)用處理后的輸出信息,其交換的 具體方式和步驟S203類似。步驟S208 三主機將交換后各自的輸出信息依據(jù)安全表決原則進行3取2表決, 并各自保存各自的表決結(jié)果。表決原則與步驟S204類似。步驟S209 三主機將交換后各自的輸出信息依據(jù)預(yù)先設(shè)定的安全處理原則進行 安全處理,所述安全處理原則與步驟S205中的原則類似。若某一主機安全處理后的輸出信 息與另外兩主機不一致或某一主機本身認(rèn)為自己不一致(或故障)時,該主機將會自關(guān)斷, 結(jié)束本次處理,否則執(zhí)行步驟S210。步驟S210 輸出安全處理后的輸出信息。以上實施方式僅用于說明本發(fā)明,而并非對本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通 技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型,因此所有 等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
一種基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,包括以下步驟S1三主機基于同步通信交換方式交換各自的輸入信息;S2三主機將交換后的輸入信息依據(jù)安全表決原則進行表決;S3三主機分別將表決后的輸入信息依據(jù)預(yù)先設(shè)定的安全處理原則進行安全處理,若某一主機安全處理后的輸入信息與另外兩主機不一致,或某一主機本身認(rèn)為自己不一致或故障時,該主機將會自關(guān)斷,結(jié)束本次處理,否則,根據(jù)三主機中安全處理后的輸入信息,調(diào)用應(yīng)用程序分別進行應(yīng)用處理;S4三主機基于同步通信交換方式交換應(yīng)用處理后的輸出信息;S5三主機將交換后各自的輸出信息依據(jù)安全表決原則進行表決;S6三主機將交換后各自的輸出信息依據(jù)預(yù)先設(shè)定的安全處理原則進行安全處理,若某一主機安全處理后的輸出信息與另外兩主機不一致,或某一主機本身認(rèn)為自己不一致或故障時,該主機將會自關(guān)斷,結(jié)束本次處理,否則輸出安全處理后的輸出信息。
2.如權(quán)利要求1所述的基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,所述步 驟Sl之前還包括分別初始化所述三個主機中的硬件和軟件,將輸入信息通過三重化處理單元,分別輸 入相同的輸入信息到三主機中。
3.如權(quán)利要求2所述的基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,所述輸 入信息的方式為采用輸入信息三重化處理進行輸入,所述輸入信息包括外部系統(tǒng)輸入的通信數(shù)據(jù)、底 層驅(qū)動采集數(shù)字量和模擬量的主機狀態(tài)信息。
4.如權(quán)利要求1所述的基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,所述步 驟Sl和S4中的同步通信交換為優(yōu)先級中斷方式實現(xiàn)的通信同步交換,所述交換分為交換 發(fā)送和交換接收,交換接收優(yōu)先級高于交換發(fā)送優(yōu)先級,交換優(yōu)先級高于任務(wù)進程優(yōu)先級。
5.如權(quán)利要求1所述的基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,所述步 驟S2和S5的表決方式為3取2表決。
6.如權(quán)利要求1或5所述的基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,所述 步驟S2和S5的安全表決原則為保證安全相關(guān)信息表決的可靠性;保證非安全相關(guān)信息表決的可用性。
7.如權(quán)利要求1或5所述的基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,表決 后還包括步驟三主機保存各自的表決結(jié)果。
8.如權(quán)利要求1所述的基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,所述步 驟S3和S6中的安全處理原則包括保證表決失敗安全相關(guān)變量遵循故障_安全原則進行安全處理,處理結(jié)果偏向安全側(cè);保證對表決策略淘汰的異常主機進行異常處理;保證安全性的基礎(chǔ)上,進行容錯處理。
9.如權(quán)利要求1所述的基于同步通信交換的三模冗余實現(xiàn)方法,其特征在于,所述步驟S3后還包括步驟保存應(yīng)用處理后的輸出信息。
全文摘要
本發(fā)明公開了一種基于同步通信交換的三模冗余實現(xiàn)方法,包括分別初始化三個主機中的軟件和硬件;初始化后,將三重化輸入信息分別輸入到三主機中;三主機基于同步通信交換方式交換各自的輸入信息;三主機將交換后的輸入信息依據(jù)安全表決原則進行表決;三主機分別將表決后的輸入信息依據(jù)預(yù)先設(shè)定的安全處理策略進行安全處理;對中安全處理后的輸入信息,進行應(yīng)用處理;三主機基于同步通信交換方式交換應(yīng)用處理后的輸出信息;將交換后各自的輸出信息依據(jù)安全表決原則進行表決;并將交換后各自的輸出信息依據(jù)預(yù)先設(shè)定的安全處理原則進行安全處理;輸出安全處理后的輸出信息。本發(fā)明實現(xiàn)了三模冗余安全計算機異步交互機制,提高了系統(tǒng)的可用性。
文檔編號H04L1/22GK101931519SQ201010264290
公開日2010年12月29日 申請日期2010年8月26日 優(yōu)先權(quán)日2010年8月26日
發(fā)明者劉波, 周達天, 唐濤, 郜春海 申請人:北京交通大學(xué)