PDF《ControlSafe® 紧凑型车载平台》

15 年的产品寿命以及

25 年的技术支持和维护服 务,这将成为客户投资回报最大化的有力保障.模块化且可扩展的 ControlSafe 紧凑型车载平台秉承雅特生科技面向未来的开发理念, 在整个产品生命周期中均可无缝容纳附加输入/输出接口和升级版 处理器. 雅特生科技致力于持续的平台研发,以建立丰富完善的产品线,使 得客户可以将 ControlSafe 紧凑型车载平台无缝集成到各种铁路信 号应用中.雅特生科技的最终目标在于让客户能够专注于开发个性 化的终端应用,从而提升客户的竞争地位. CONTROLSAFE 紧凑型车载计算机构架 运行在每一台 ControlSafe 紧凑型车载计算机 (C-CCC) 里的核心组 件是两片完全相同的 CPU 模块.ControlSafe 车载平台在数据同步 模式下的二取二表决机制 (2oo2) 便由这两片 CPU 模块来执行.在 数据同步模式下,表决的确定性边界创建在两片 CPU 模块的数据 交换接口处.系统会将所有通过确定性边界的数据交换都进行比 较,以确认两片 CPU 模块运行正常.在硬同步模式下,不同模块 间的同步是通过处理器的时钟来实现的,而且表决的确定性边界 创建于处理器的地址和数据总线;

而在数据同步模式下,只需利 用高性能的现代处理器即可实现,这对硬同步安全架构而言却不 可行. 主CPU 校验 CPU 以硬件为基础的表 决机制对每个数据 包均进行比较 交换模块 表决通道 以太网信道 以太网交 换机 交换模块 以太网 交换机 表决通道 以太网信道 故障切换接口 上行链路 故障切换接口 上行链路 CPU 卡CPU 卡IOU 卡C-CCC 通过二取二表决机制进行数据交换的比较.在此机制下, 一旦两片 CPU 模块出现运行处理不一致的状况,系统将即刻表决 认定该 C-CCC 发生故障,并将其切换到故障安全模式.在故障安 全模式的默认设置下,所有输出端口都将被设定为安全/非安全 状态,从而避免系统因输出错误数据而导致对外部相关设备的不 当控制. C-CCC 采用数据同步架构,可确保客户在将来对处理器架构进行 升级时仍能保留相同的输入/输出.除此之外,ControlSafe 安全平 台基于硬件实现的二取二表决机制还将显著提高应用软件的透明 度和可移植性,因此能帮助客户尽可能地减少移植现有应用软件 时的修改工作,从而使客户获得对时间和资金成本控制的双重优 势. 雅特生科技 ControlSafe 紧凑型车载平台主要设计用于车载应用, 得益于标准车载平台研发的优势,可支持 CAN、以太网、以太网 环网、MVB、GPS/无线、UART、数字和模拟等各类输入/输出模 块,从而帮助解决方案集成商轻松进行各类部署.所有智能输入/ 输出模块均可通过以太网访问,从而实现无缝分布式编程模型. 所有模块均支持远程联机软件和固件升级,不会导致系统无法使 用.所有输入/输出端口均可由客户设计为与安全相关或与安全无 关.此外,交换模块的后方转换模块 (RTM) 上提供了四 (4) 个带加 固型 M12 连接器的 10/100/1000Base-T 端口,可用于通过以太 网/IP 地址直接访问应用网络中的其他处理节点或者对等 C-CCC. 机箱级故障管理 雅特生科技的 ControlSafe 紧凑型车载平台具有机箱级故障管理性 能,充分利用运行时间诊断和在线诊断两者.各模块在启动时进 行繁复的诊断检查 (POST),以确保其准备就绪.基于硬件安全监 控子系统与机箱中的所有模块相连,包括输入/输出模块.硬件的 在线诊断针对整个机箱安全路径范围内各安全功能中的潜伏性故 障执行连续的检查,而软件运行时间诊断则检查诊断功能是否正 确运行.硬件检测到安全相关故障时,所有安全功能即刻转换到 故障安全状态. 主机/备机控制 雅特生科技的 ControlSafe 紧凑型车载平台支持采用线缆直连方式 实现主机/备机切换控制. 线缆直连 (DCA) 线缆直连方式利用雅特生科技的专利算法和专用电缆连接两台 C-CCC.为了控制 主机 和 备机 之间的角色切换,系统需 要通过运行在 CPU 模块上的特殊组件对两台 C-CCC 的健康状态 信息进行实时的交换和跟踪.当系统上电时,首台接收到信号表明 两片 CPU 模块均处于健康状态的 C-CCC 将成为 主机 .线缆 直连方式 (DCA) 的设计意图也在于保证每次仅有一台 C-CCC 可以 成为 主机 ,而且只有健康的 C-CCC 才能成为 主机 . 安全继电器盒(SRB) 对于偏好或需要安全继电器的客户,可选择安全继电器盒 (SRB) 作 为替代方式来连接 ControlSafe 紧凑型车载平台的两台冗余 C-CCC.在此情况下,SRB 的运行方式与 ControlSafe 安全平台相 同(ControlSafe 安全平台是雅特生科技 ControlSafe 产品组合中的 首款 SIL4 认证安全平台).当作为 主机 的C-CCC 发生失效 时,SRB 会通过继电器和离散逻辑选择主机 C-CCC,并将控制权 转交给先前作为 备机 的C-CCC.SRB 还保证在任何时刻,至 多仅能有一台 C-CCC 可以 主机 的角色运行,而且处于 非健 康 状态的 C-CCC 是不能被切换为 主机 的.但是,初始版 ControlSafe 车载平台的 SIL4 认证仅涵盖基于线缆直连的配置.如 果客户需要在 SIL4 应用环境中部署基于 SRB 的C-CCC 解决方 案,请联系雅特生科技的区域销售团队对此进行进一步讨论. 输入/输出模块开发 ControlSafe 紧凑型车载平台设计为通用基础平台,可通过连续追加 雅特生科技 IOU 模块的方式实现各种应用.此外,雅特生科技还有 助于客户灵活开发 IOU 模块和指定输入/输出背板连接,以通过提 供所有必要的技术规格、产品支持和服务来满足客户的特定需求. 此商业模式旨在增强雅特生科技与客户之间的合作,帮助客户有效 且高效地利用可用资源来处理具有不同要求级别的项目. 可选集成风扇冷却子系统 为了使客户能够应对各种操作环境,雅特生科技还提供有可选集成 风扇冷却子系统,以确保装满电源单元且完全运转的 ControlSafe 紧凑型车载平台机箱能够在 -40 ℃ 至+70 ℃ 的进气口环境温度下 正常运行.主动式空气冷却子系统由一个固定在机箱底部的安装盘 位和一个 1U 可热插拔模块化自主风扇托盘(仅在进气口环境温度 超过最低温度阈值时启动)组成.即使出现单个风扇故障,风扇托 盘也可实现充分冷却.冷却系统在运行时,气流方向为由下而上. 风扇托盘配有控制器,其运行状态由前面板 LED 指示,并且 ControlSafe 紧凑型车载平台可通过 I2 C 接口对其进行轮询. CONTROLSAFE 紧凑型车载平台构架 雅特生科技的 ControlSafe 紧凑型车载平台是由两台冗余 C-CCC 组成的系统,每台 C-CCC 都具备故障安全功能,联合实现高度可靠的 平台.两台 C-CCC 之间则借助线缆直连方式 (DCA) 连接.DCA 负责实时监控平台内部两台 C-CCC 的运行健康状态.在初始状态下, DCA 会指定其中一台 C-CCC 为 主机 ,另一台 C-CCC 为 备机 .在 主机 C-CCC 上运行的用户应用程序可以完全控制所有的 输入/输出.在 备机 C-CCC 上运行的同一用户应用程序虽亦可监控安全相关的输入,但在默认情况下无法驱动任何安全相关的输出. 作为 主机 的C-CCC 发生失效时,其安全相关输出会受到抑制,并会通过 DCA 发出相应的状态信号,DCA 随即将 备机 C-CCC 切换为 主机 ,并开始驱动安全相关的输出.而出现故障的 C-CCC 则被隔离到系统外不再参与运行,直至由维修人员重新修复.监 控两台 C-CCC 的运行健康状态并控制两台 C-CCC 间的故障转移操作,从而实现高度可靠的故障安全计算系统. SRB 或DCA 表决通道 IOU 连接 以太网信道 故障切换接口 故障切换接口 主机 C-CCC 备机 C-CCC 校验 CPU 校验 CPU 主CPU 主CPU 应用程序编程接口 (API) 为了帮助客户提高安全应用程序的开发效率,雅特生科技将向客 户提供了详尽的应用程序编程接口(API).借助 API,客户可方 便快捷的调用程序来执行各种任务,例如,查询安全逻辑的状 态、协助各层级间的通信,以及监控系统内存等关键组件的健康 状况.除此之外,雅特生科技还提供一系列控制和状态 API 以使 安全应用程序具备更为细致的系统控制能力,例如,对watchdog 定时器和输入/输出端口的控制,以及对设备硬件物理健康的监 控.供为参考,以下是 API 的主要类型列表: ? 控制/状态 ? 永久性 DRAM ? DRAM 数据清理程序 ? 平台管理 ? 固件升级 ? 运行时间诊断 ? 闪存完整性 ? 切换管理 ? 链路健康检查 ? 安全层 ? 日志记录 ? 重要产品数据 (VPD) ? 维护模式监视器 ? 表决逻辑 ? 网络路由 认证文档 雅特生科技的 ControlSafe 车载平台严格遵循所有适用的业界规格 和标准,为现代安全应用程序提供高可靠和高可用性平台.雅特 生科技将向客户提供完整的安全认证文档,以协助其顺利通过最 终集成系统的安全认证. 这些安全认证文档包括: ? 安全案例 ? 系统定义 ? 质量管理报告 ? 安全管理报告 ? 技术安全报告 ? 安全评估报告 ? 安全手册 ? 规定相应的用户动作,以确保其能够将雅特生科技的 ControlSafe 紧凑型车载平台顺利集成到安全相关系统中去 ? 由认证机构签发的安全认证证书 操作系统 ControlSafe 紧凑型车载平台支持面向用户可编程模块的风河 VxWorks