PDF《ControlSafe® Expansion Box 平台》

15 年的产品生命周期以及

25 年的技术支持和维护服 务,这将成为客户投资回报最大化,提供有力保障. ControlSafe 安全平台秉承雅特生科技面向未来的开发理念,是一 款模块化且可扩展的产品,在整个产品生命周期中均可无缝增加 输入/输出接口和更新到最新型处理器.雅特生科技致力于持续的 研发,以建立丰富完善的产品线,使得客户可以将我们的 ControlSafe 产品无缝集成到各种铁路信号应用中.雅特生科技的 最终目标在于让客户能够专注于开发终端应用,从而提升客户的 竞争地位. CONTROLSAFE EXPANSION BOX 架构 运行在每一台 Expansion Box (EXB) 里的核心组件是两片完全相同 的CPU 模块.Expansion Box 在数据同步模式下的二取二表决机 制(2oo2) 便由这两片 CPU 模块来执行.在数据同步模式下,表决 的确定性边界创建在两片 CPU 模块的数据交换接口处.系统会将 所有通过确定性边界的数据交换都进行比较,以确认两片 CPU 模 块运行正常.在硬件同步模式下,不同模块间的同步是通过处理 器的时钟来实现的,而且表决的确定性边界创建于处理器的地址 和数据总线;

而在数据同步模式下,可以利用高性能的新型处理 器,这对硬同步安全架构而言,却不可行. 主CPU 校验 CPU 以硬件为基础 的表决机制对 每个数据包均 进行比较 交换模块 表决通道 以太网信道 EXB 通过二取二表决机制进行数据交换的比较.在此机制下,一 旦两片 CPU 模块出现表决不一致的状况,系统将即刻表决认定该 EXB 发生故障,并将其切换到故障安全模式.在故障安全模式的 默认设置下,所有输出端口都将被设定为安全/非安全状态,从而 避免系统因输出错误数据而导致对外部相关设备的错误控制. EXB 采用数据同步架构,可确保客户在将来对处理器架构进行升 级时仍能保留相同的输入/输出.除此之外,ControlSafe 安全平台 基于硬件实现的二取二表决机制还将显著提高应用软件的透明度 和可移植性,因此能帮助客户尽可能地减少移植现有应用软件时 的修改工作,从而使客户获得对时间和资金成本控制的双重优势. 雅特生科技 ControlSafe Expansion Box 平台的主要应用目标为轨 旁应用,它支持 CAN、以太网、以太网环路、UART、数字和模 拟等各类输入/输出模块,可帮助解决方案集成商轻松新增部署并 升级项目.此外,雅特生科技携手客户打造特定的 I/O 解决方案, 从而满足特殊的应用需求.所有模块都采用基于 NXP? 系列处理 器和 Wind River VxWorks

653 操作系统的相同架构,这种一致 性,能有效地简化客户的软件开发环境,从而提高开发效率和降 低开发成本.而且所有输入/输出模块都可通过以太网,来搭建 无缝整合的分布式架构.在此架构下,系统的进一步扩容可以在 将来通过加载输入/输出扩展框来完成.所有模块都支持软件和 固件的远程在线升级,不会对系统的正常运行造成任何不良影 响.此外,交换模块的后方转换模块 (RTM) 上提供了三 (3) 个10/100/1000Base-T 端口,可用于通过 IP 地址直接访问应用网络 中的其他处理节点或者对等 EXB. 机箱级故障管理 雅特生科技的 ControlSafe Expansion Box 平台具有机箱级故障管 理性能,充分利用运行时间诊断和在线诊断两者.各模块在启动 时进行繁复的诊断检查 (POST),以确保其准备就绪.基于硬件的 健康和安全监控子系统与机箱中的所有模块相连,包括输入/输出 模块.基于硬件的在线诊断针对整个机箱安全路径范围内各安全 功能中的潜伏性故障执行连续的检查,而软件运行时间诊断则检 查诊断功能是否正确运行.硬件检测到安全相关故障时,所有安 全功能即刻转换到故障安全状态. 上行链路 上行链路 表决通道 以太网信道 故障切换接口 CPU 卡CPU 卡 以太网 交换机 交换模块 故障切换接口 xIOU 卡EIOU 卡#1 EIOU 卡#2 EIOU 卡#3 EIOU 卡#4 EIOU 卡#5 EIOU 卡#6 EIOU 卡#7 EIOU 卡#8 EIOU 卡#9 EIOU 卡#10 以太网 交换机 ControlSafe? Expansion Box Platform Data Sheet 主机/备机控制 雅特生科技的 ControlSafe Expansion Box 平台支持采用线缆直连 方式的主机/备机切换控制. 线缆直连 线缆直连方式利用雅特生科技的专利算法和专用电缆连接两台 EXB.为了控制 主机 和 备机 之间的角色切换,系统需要通 过运行在 CPU 模块上的特殊组件对两台 EXB 的健康状态信息进行 实时的交换和跟踪.当系统上电时,首台接收到信号表明两片 CPU 模块均处于健康状态的 EXB 将成为 主机 .线缆直连方式 (DCA) 的设计意图也在于保证每次仅有一台 EXB 可以成为 主机 ,而且只有健康的 EXB 才能成为 主机 . 安全继电器盒(SRB) 对于偏好或需要安全继电器的客户,可选择安全继电器盒 (SRB) 作为替代方式来连接 ControlSafe Expansion Box 平台的两台冗余 EXB.在此情况下,SRB 的运行方式与 ControlSafe 平台相同 (ControlSafe 平台是雅特生科技 ControlSafe 产品组合中的首款 SIL4 认证安全平台).当作为 主机 的EXB 发生失效时,SRB 会通过继电器和离散逻辑选择主机,并将控制权转交给先前作为 备机 的EXB.SRB 还保证在任何时刻,至多仅能有一台 EXB 可以 主机 的角色运行,而且处于 非健康 状态的 EXB 是不 能被切换为 主机 的.但是,初始版 ControlSafe Expansion Box 平台的 SIL4 认证仅涵盖基于线缆直连的配置.如果客户需要 在SIL4 应用环境中部署基于 SRB 的EXB 解决方案,请联系雅特 生科技的区域销售团队对此进行进一步讨论. 电源系统 EXB 包含冗余 (1+1) 交流电源 FRU (PSU).其中的任何一个皆足以 为完全填充的 EXB 供电.如果一个 PSU 出现故障,则将由另一个 供电,以保证连续运行.软件可监控 PSU 的健康状态. 冷却子系统 配备有风扇托盘 FRU,可进行自主运行.进气口环境温度达到设 置温度时,风扇托盘将开启.在约