浙江大学《电子信息技术及仪器8_故障安全计算机系统设计》(考试要求2011)

电子信息技术及仪器故障-安全计算机系统设计Design of Safety-Critical Computer Systems

黄海 教授

故障安全计算机系统 --- 内容引言 基本概念与术语 故障安全计算机系统结构形式 安全输入输出设计 安全通信设计 安全计算机系统软件设计

引言安全 ------ not “security” safety 不会导致重大损伤的后果 故障故障-安全 ----- Fail-Safe, Safety-Critical 系统在出现故障情况下保证安全 简称： 故障导向安全” 简称：“故障导向安全” 信号灯控制， 通行， 例：信号灯控制，“绿”灯-- 通行，“红”灯-- 停止 ”控制“ 是用 “0”控制“绿”灯，“1”控制“红”灯 ”控制“ 还是 “1”控制“绿”灯，“0”控制“红”灯 ”控制“ ”控制“

引言重力) 例：安全继电器 (重力)

例：软件的故障导向安全

普通计算机系统 故障-安全计算机系统 故障 安全计算机系统 在重要、关键的(控制) 在重要、关键的(控制)系统中具有十分重要的意义 航空、航天、核设施、轨道交通、 航空、航天、核设施、轨道交通、化工过程控制等

引言故障-安全计算机系统应用实例： 故障 安全计算机系统应用实例：轨道交通列车控制系统 安全计算机系统应用实例 先进的地铁控制系统： 先进的地铁控制系统：基于通信的列车控制系统 Communication Based Train Control, CBTC 系统组成： 联锁子系统( 系统组成： 联锁子系统(Interlocking) ) 自动列车防护系统( 自动列车防护系统(ATP) ) 自动列车驾驶系统( 自动列车驾驶系统(ATO) ) 自动列车监督系统( 自动列车监督系统(ATS) )

基本概念与术语RAMS ---- 故障 安全计算机系统的重要指标 故障-安全计算机系统的重要指标 可靠性( 可靠性(Reliability) )在规定的时间内、在规定的条件下，完成规定功能的能力 在规定的时间内、在规定的条件下，

可用性( 可用性(Avaliability) ) 可维护性( 可维护性(Maintainability) )系统可方便维护、 系统可方便维护、维修的性能

安全性( 安全性(Safety) )当系统的任何部件发生故障时，后果不会导致重大损伤的性能 当系统的任何部件发生故障时，

基本概念与术语SIL (Safety Integrity Level),安全整体性等级 ， ---- 故障 安全计算机系统的安全等级 故障-安全计算机系统的安全等级 SIL 0 ---- 无安全要求 SIL 1 SIL 2 SIL 3 SIL 4 ---- 安全最高等级

基本概念与术语故障-安全计算机系统的体系结构 故障 安全计算机系统的体系结构 反应故障安全 (Reactive fail-safety) )由快速的故障检测和对任何危险失效进行避错来保证它的 安全

组合故障安全( 组合故障安全(Composite fail-safety) )两个部件以

上同时执行同一个功能， 两个部件以上同时执行同一个功能，比较一致性

固有故障安全( 固有故障安全(Inherent fail-safety) )如果由一个独立部件来执行某个安全功能， 如果由一个独立部件来执行某个安全功能，则须保证该独 立部件在所有的失效模式均无危险

基本概念与术语避错技术通过对系统进行完善设计， 通过对系统进行完善设计，力求使系统避免发生故障 ●质量控制技术 质量控制技术：采用高可靠的部件。 质量控制技术 ●环境防护技术：通过散热、抗振、化学防护、电磁兼容 环境防护技术： 环境防护技术 等设计。

容错技术系统硬件或软件故障时，程序不会用此终止或被修改， 系统硬件或软件故障时，程序不会用此终止或被修改，结 果也不会引起差错。 果也不会引起差错。 ●主要方法：硬件冗余、软件冗余、时间冗余、信息冗余 主要方法： 主要方法

故障故障-安全计算机系统结构形式双机热备结构( 双机热备结构(Hot Standby) ) 二取二乘二结构( 二取二乘二结构(2 out of 2, 2oo2) ) 三取二结构( 三取二结构(2 out of 3, 2oo3) )

故障故障-安全计算机系统结构形式双机热备结构 动态冗余技术 ----- 故障切换输出信号

输入输入A输入信号

处理器A 处理器回读信号 输入使能 状态继电器N 状态继电器 VCOR N

输入 输出A 输出

CPS状态继电器R 状态继电器 输出电源控制

CPS输入

输出

输入 输入B 输入

输入信号

处理器B 处理器回读信号

VCOR R

输入 输出B 输出

输入使能 输出信号

输入子系统

处理器子系统

切换子系统

输出子系统

故障故障-安全计算机系统结构形式双机热备结构 特点： 特点： 一种早期的冗余结构 简单 容错和避错能力相对较低 适用于可靠性安全性不是很高的场合 主要关键是实现安全、 主要关键是实现安全、无缝切换

故障故障-安全计算机系统结构形式二取二乘二结构主系 输 入 A 表 决 CPU A 表 决 输 出 A 表 决

动态冗余技术---动态冗余技术---- 故障切换

输出 输入

输 入 B

CPU B

输 出 B 热备光纤

输 入 A

表 决 CPU A 表 决 输 出 A

表 决

输入

输 入 B

CPU B

输出

输 出 B

备系

故障故障-安全计算机系统结构形式二取二乘二结构 特点： 特点：基于双机热备冗余结构 二取二”提高安全性(但可靠性和可用性降低) “二取二”提高安全性(但可靠性和可用性降低) “乘二”提高可靠性 乘二” 适用于可靠性安全性高的场合 系统较复杂， 系统较复杂，成本高 主要关键是实现同步、 主要关键是实现同步、表决和无缝切换

…… 此处隐藏：578字，全部文档内容请下载后查看。喜欢就下载吧 ……