система управления, управляющее вычислительное устройство и способ функционирования системы управления
Классы МПК: | G05B19/042 с использованием цифровых процессоров |
Автор(ы): | ПАУЛЬСБУРГ Аксель (DE) |
Патентообладатель(и): | СИМЕНС АКЦИЕНГЕЗЕЛЛЬШАФТ (DE) |
Приоритеты: |
подача заявки:
2009-05-26 публикация патента:
27.08.2013 |
Группа изобретений относится к защищенной от отказов системе управления. Технический результат заключается в упрощении конструкции системы управления с сохранением ее отказоустойчивости. Для этого предложена система управления с управляющим вычислительным устройством, которое предусмотрено для обмена данными с по меньшей мере одним периферийным устройством, и по меньшей мере одним другим управляющим вычислительным устройством, которое с упомянутым управляющим вычислительным устройством связано каналом связи и выполнено с возможностью принятия на себя по меньшей мере части функциональности упомянутого управляющего вычислительного устройства, при этом управляющее вычислительное устройство выполнено таким образом, что в случае его частичного отказа данные, принятые от другого управляющего вычислительного устройства по каналу связи, направляются к периферийному устройству и/или данные, принятые от периферийного устройства, направляются по каналу связи на другое управляющее вычислительное устройство. 3 н. и 17 з.п. ф-лы, 2 ил.
Формула изобретения
1. Система управления с управляющим вычислительным устройством (1), которое предусмотрено для обмена данными с по меньшей мере одним периферийным устройством (10а, 10b, 10с, 10d, 10e) и по меньшей мере одним другим управляющим вычислительным устройством (2), которое с упомянутым управляющим вычислительным устройством (1) связано каналом (3) связи и выполнено с возможностью принятия на себя по меньшей мере части функциональности упомянутого управляющего вычислительного устройства (1),
отличающаяся тем, что
управляющее вычислительное устройство (1) выполнено таким образом, что в случае его частичного отказа данные, принятые от другого управляющего вычислительного устройства (2) по каналу (3) связи, направляются к периферийному устройству (10а, 10b, 10с, 10d, 10e), и/или данные, принятые от периферийного устройства (10а, 10b, 10с, 10d, 10e), направляются по каналу (3) связи на другое управляющее вычислительное устройство (2).
2. Система управления по п.1, отличающаяся тем, что
другому управляющему вычислительному устройству (2) сопоставлено по меньшей мере одно другое периферийное устройство (11а, 11b, 11c, 11d, 11е), и
другое управляющее вычислительное устройство (2) предусмотрено для обмена другими данными с другим периферийным устройством (11а, 11b, 11c, 11d, 11e).
3. Система управления по п.1, отличающаяся тем, что по меньшей мере управляющее вычислительное устройство (1) представляет собой многоканальное надежное вычислительное устройство.
4. Система управления по п.2, отличающаяся тем, что по меньшей мере управляющее вычислительное устройство (1) представляет собой многоканальное надежное вычислительное устройство.
5. Система управления по п.1, отличающаяся тем, что она выполнена с возможностью защищенной от искажения передачи данных, маршрутизируемых через управляющее вычислительное устройство (1) от другого управляющего вычислительного устройства (2) к периферийному устройству (10а, 10b, 10с, 10d, 10e) и/или через управляющее вычислительное устройство (1) от периферийного устройства (10а, 10b, 10с, 10d, 10е) к другому управляющему вычислительному устройству (2).
6. Система управления по п.2, отличающаяся тем, что она выполнена с возможностью защищенной от искажения передачи данных, маршрутизируемых через управляющее вычислительное устройство (1) от другого управляющего вычислительного устройства (2) к периферийному устройству (10а, 10b, 10с, 10d, 10e) и/или через управляющее вычислительное устройство (1) от периферийного устройства (10а, 10b, 10с, 10d, 10e) к другому управляющему вычислительному устройству (2).
7. Система управления по п.3, отличающаяся тем, что она выполнена с возможностью защищенной от искажения передачи данных, маршрутизируемых через управляющее вычислительное устройство (1) от другого управляющего вычислительного устройства (2) к периферийному устройству (10а, 10b, 10с, 10d, 10e) и/или через управляющее вычислительное устройство (1) от периферийного устройства (10а, 10b, 10с, 10d, 10e) к другому управляющему вычислительному устройству (2).
8. Система управления по п.4, отличающаяся тем, что она выполнена с возможностью защищенной от искажения передачи данных, маршрутизируемых через управляющее вычислительное устройство (1) от другого управляющего вычислительного устройства (2) к периферийному устройству (10а, 10b, 10с, 10d, 10е) и/или через управляющее вычислительное устройство (1) от периферийного устройства (10а, 10b, 10с, 10d, 10е) к другому управляющему вычислительному устройству (2).
9. Система управления по любому из пп.1-8, отличающаяся тем, что управляющее вычислительное устройство (1) выполнено с возможностью принятия на себя по меньшей мере части функциональности другого управляющего вычислительного устройства (2), и другое управляющее вычислительное устройство (2) выполнено таким образом, чтобы в случае его частичного отказа данные, принимаемые от управляющего вычислительного устройства (1) по каналу (3) связи, направлять на другое периферийное устройство (11а, 11b, 11c, 11d, 11e) и/или данные, принимаемые от другого периферийного устройства (11а, 11b, 11c, 11d, 11e), направлять по каналу (3) связи на управляющее вычислительное устройство (1).
10. Система управления по любому из пп.1-8, отличающаяся тем, что периферийное устройство (10а, 10b, 10с, 10d, 10е) является сенсором или исполнительным элементом.
11. Система управления по п.9, отличающаяся тем, что периферийное устройство (10а, 10b, 10с, 10d, 10е) является сенсором или исполнительным элементом.
12. Система управления по любому из пп.1-8, отличающаяся тем, что она является компонентом системы обеспечения безопасности движения на железной дороге или системы автоматизации.
13. Система управления по п.9, отличающаяся тем, что она является компонентом системы обеспечения безопасности движения на железной дороге или системы автоматизации.
14. Система управления по п.10, отличающаяся тем, что она является компонентом системы обеспечения безопасности движения на железной дороге или системы автоматизации.
15. Система управления по п.11, отличающаяся тем, что она является компонентом системы обеспечения безопасности движения на железной дороге или системы автоматизации.
16. Управляющее вычислительное устройство (1) для системы управления с управляющим вычислительным устройством (1), которое предусмотрено для обмена данными с по меньшей мере одним периферийным устройством (10а, 10b, 10с, 10d, 10e) и по меньшей мере одним другим управляющим вычислительным устройством (2), которое с упомянутым управляющим вычислительным устройством (1) соединено посредством канала (3) связи и выполнено с возможностью принятия на себя по меньшей мере части функциональности упомянутого управляющего вычислительного устройства (1),
отличающееся тем, что управляющее вычислительное устройство (1) выполнено таким образом, чтобы в случае его частичного отказа данные, принятые от другого управляющего вычислительного устройства (2) через канал (3) связи, направлять на периферийное устройство (10а, 10b, 10с, 10d, 10e), и/или данные, принятые от периферийного устройства (3), по каналу (3) связи направлять на другое управляющее вычислительное устройство (2).
17. Управляющее вычислительное устройство по п.16, отличающееся тем, что оно представляет собой многоканальное защищенное вычислительное устройство.
18. Управляющее вычислительное устройство по п.16 или 17, отличающееся тем, что оно выполнено с возможностью принятия на себя функциональности другого управляющего вычислительного устройства (2).
19. Способ эксплуатации системы управления с управляющим вычислительным устройством (1), которое предусмотрено для обмена данными с по меньшей мере одним периферийным устройством (10а, 10b, 10с, 10d, 10е), и по меньшей мере одним другим управляющим вычислительным устройством (2), которое с упомянутым управляющим вычислительным устройством (1) связано каналом (3) связи и выполнено с возможностью принятия на себя по меньшей мере части функциональности упомянутого управляющего вычислительного устройства (1),
отличающийся тем, что управляющим вычислительным устройством (1) в случае его частичного отказа принятые от другого управляющего вычислительного устройства (2) через канал (3) связи данные направляются на периферийное устройство (10а, 10b, 10с, 10d, 10е) и/или принятые от периферийного устройства (10а, 10b, 10с, 10d, 10е) по каналу (3) связи данные направляются на другое управляющее вычислительное устройство (2).
20. Способ по п.19, отличающийся тем, что данные, направляемые через управляющее вычислительное устройство (1) от другого управляющего вычислительного устройства (2) на периферийное устройство (10а, 10b, 10с, 10d, 10е), или данные, направляемые через управляющее вычислительное устройство (1) от периферийного устройства (10а, 10b, 10с, 10d, 10е) на другое управляющее вычислительное устройство (2), передаются защищенным образом.
Описание изобретения к патенту
Изобретение относится к системе управления с управляющим вычислительным устройством, которое предусмотрено для обмена данными с по меньшей мере одним периферийным устройством, и по меньшей мере одним другим управляющим вычислительным устройством, которое с упомянутым управляющим вычислительным устройством связано каналом связи и выполнено с возможностью принятия на себя по меньшей мере части функциональности упомянутого управляющего вычислительного устройства.
Такая система управления известна, например, из опубликованной международной патентной заявки WO 02/01305 A1. В ней описана резервируемая система управления, в которой периферийное устройство соединено как с первым, так и со вторым управляющим вычислительным устройством. Оба управляющих вычислительных устройства обрабатывают синхронно ту же самую управляющую программу, причем для их синхронизации предусмотрен канал связи в форме резервированного соединения. Если системой управления будет распознан отказ одного из обоих управляющих вычислительных устройств, то происходит переключение на другое управляющее вычислительное устройство, которое затем принимает на себя обмен данными непосредственно с периферийным устройством.
В основе настоящего изобретения лежит задача, предложить особенно простую и в то же время отказоустойчивую систему управления.
Эта задача в соответствии с изобретением решается посредством системы управления вышеупомянутого типа, в которой управляющее вычислительное устройство выполнено таким образом, что, в случае его частичного отказа, данные, принятые от другого управляющего вычислительного устройства по каналу связи, направляются к периферийному устройству, и/или данные, принятые от периферийного устройства, направляются по каналу связи на другое управляющее вычислительное устройство.
Соответствующая изобретению система управления предоставляет преимущество, заключающееся в том, что можно отказаться от выполнения с избыточностью (резервирования) управляющего вычислительного устройства. Это обеспечивается тем, что управляющее вычислительное устройство выполнено таким образом, что оно и в случае его частичного отказа может еще использоваться по меньшей мере для направления данных. Это обеспечивает то, что другое управляющее вычислительное устройство может принимать на себя функциональность, то есть функцию обработки, отказавшего управляющего вычислительного устройства, при этом для этого не требуется непосредственное соединение периферийного устройства или периферийных устройств с другим управляющим вычислительным устройством. Тем самым предпочтительным образом отпадает необходимость в соответствующем соединении периферийного устройства или периферийных устройств с множеством управляющих вычислительных устройств.
Резервированные системы управления известны, например, как так называемые 2×2v2-системы, при которых используются 2 независимые надежные 2v2-системы, то есть две отдельные соответственно двухканальные системы. Соответствующая изобретению система управления требует, по сравнению с этим, меньше компонентов, благодаря чему экономятся затраты и стоимость. Однако одновременно отказоустойчивость системы управления остается, по существу, неизменной.
Предпочтительным образом соответствующая изобретению система управления усовершенствована таким образом, что другому управляющему вычислительному устройству сопоставлено по меньшей мере одно другое периферийное устройство, и другое управляющее вычислительное устройство предусмотрено для обмена другими данными с другим периферийным устройством. Это предоставляет преимущество, состоящее в том, что другое управляющее вычислительное устройство само может применяться для обмена данными и для управления по меньшей мере одним другим периферийным устройством. Это означает, что другое управляющее вычислительное устройство, в случае частичного отказа управляющего вычислительного устройства, принимает на себя функциональность управляющего вычислительного устройства или по меньшей мере часть этой функциональности дополнительно к своим собственным задачам. Это имеет преимущество, состоящее в том, что для обмена другими данными с по меньшей мере одним другим периферийным устройством не требуется никакое дополнительное управляющее вычислительное устройство.
В принципе, в случае управляющего вычислительного устройства, речь может идти о вычислительном устройстве любой архитектуры и любого строения. Это включает в себя, например, любые конфигурации аппаратных средств и операционные системы. В другой особенно предпочтительной форме выполнения соответствующей изобретению системы управления управляющее вычислительное устройство представляет собой многоканальное надежное вычислительное устройство. Это обеспечивает преимущество, состоящее в том, что, например, при отказе канала 2v2-вычислительного устройства, хотя не вышедший из строя канал один не может больше гарантировать надежную обработку, однако этот канал может все же использоваться для маршрутизации данных. Собственно управление связанным с управляющим вычислительным устройством периферийным прибором или связанными периферийными приборами осуществляется при этом через не вышедшее из строя, предпочтительно многоканальное надежное другое управляющее вычислительное устройство.
В предпочтительной форме выполнения соответствующая изобретению система управления выполнена таким образом, что она выполнена с возможностью защищенной от искажения передачи данных, маршрутизируемых через управляющее вычислительное устройство от другого управляющего вычислительного устройства к периферийному устройству и/или через управляющее вычислительное устройство от периферийного устройства к другому управляющему вычислительному устройству. Это является предпочтительным, так как тем самым для релевантных для безопасности приложений обеспечивается возможность проверки целостности передаваемых данных. Если, например, один канал управляющего вычислительного устройства отказывает, нельзя исключить того, что оставшийся, не вышедший из строя канал, который теперь служит исключительно для маршрутизации или пропускания данных, передаваемые им данные, ввиду дополнительного необнаруженного сбоя, могут оказаться искаженными. С помощью упомянутой предпочтительной формы выполнения соответствующей изобретению системы управления теперь возможно, что со стороны периферийного устройства и/или со стороны другого управляющего вычислительного устройства соответствующее искажение распознается, и могут вызываться соответствующие меры, например, в форме отбрасывания передаваемых данных, повторения передачи данных и/или выдачи сигнала ошибки. Распознавание искажения может, например, осуществляться путем оценки сигнатуры, например, в форме хэш-значения, передаваемых данных.
Предпочтительным образом соответствующая изобретению система управления может быть выполнена таким образом, что управляющее вычислительное устройство выполнено с возможностью принятия на себя по меньшей мере части функциональности другого управляющего вычислительного устройства, а другое управляющее вычислительное устройство выполнено таким образом, чтобы в случае его частичного отказа данные, принимаемые от управляющего вычислительного устройства по каналу связи, направлять на другое периферийное устройство и/или данные, принимаемые от другого периферийного устройства, направлять по каналу связи на управляющее вычислительное устройство. Это предоставляет преимущество, состоящее в том, что, в случае частичного отказа другого управляющего вычислительного устройства, передача данных и управление возможны посредством упомянутого управляющего вычислительного устройства. Это означает, что управляющее вычислительное устройство, а также другое управляющее вычислительное устройство взаимным образом могут принимать на себя функциональность или функцию обработки соответствующего другого управляющего вычислительного устройства. В качестве альтернативы этому, также возможно, что не управляющее вычислительное устройство, а дополнительное управляющее вычислительное устройство выполнено с возможностью принятия на себя функциональности другого управляющего вычислительного устройства. Это означает, что в системе управления со связанными в сеть управляющими вычислительными устройствами, при отказе одного управляющего вычислительного устройства, его функцию в принципе полностью или частично может принимать на себя одно из остальных управляющих вычислительных устройств. При этом, в частности, также возможно, что несколько управляющих вычислительных устройств могут совместно принимать на себя функцию обработки вышедшего из строя управляющего вычислительного устройства. В этом случае требуется, чтобы вышедшее из строя управляющее вычислительное устройство было выполнено с возможностью маршрутизации данных на или от нескольких управляющих вычислительных устройств.
В другой особенно предпочтительной форме выполнения соответствующей изобретению системы управления периферийное устройство является сенсором или исполнительным элементом. Это является предпочтительным, так как в особенности при управлении такими периферийными устройствами отказобезопасность приобретает большое значение. Кроме того, часто желательно, чтобы сенсоры или исполнительные элементы были связаны только с одним управляющим вычислительным устройством, а не также, по причинам резервирования, дополнительно с другим управляющим вычислительным устройством.
Соответствующая изобретению система управления может, в принципе, быть компонентом любой вышестоящей системы. В особенно предпочтительном дальнейшем развитии система управления является компонентом системы обеспечения безопасности на железной дороге или техники автоматизации. Это является предпочтительным, так как соответствующие системы имеют особенно высокие требования к отказобезопасности, и, как правило, множество периферийных устройств соединены с управляющими вычислительными устройствами. Соответствующие периферийные устройства, в случае системы обеспечения безопасности на железной дороге, могут представлять собой контакт стрелочного перевода, сигнал, стрелочный привод или исполнительный орган, а в случае системы техники автоматизации, например, - сенсоры или исполнительные элементы управления процессом на фабрике.
Изобретение относится, кроме того, к управляющему вычислительному устройству для системы управления с управляющим вычислительным устройством, которое предусмотрено для обмена данными с по меньшей мере одним периферийным устройством и по меньшей мере одним другим управляющим вычислительным устройством, которое с упомянутым управляющим вычислительным устройством соединено посредством канала связи и выполнено с возможностью принятия на себя по меньшей мере части функциональности упомянутого управляющего вычислительного устройства.
В отношении управляющего вычислительного устройства, в основе предложенного изобретения лежит задача создать управляющее вычислительное устройство, которое обеспечивает возможность особенно простого и к тому же отказобезопасного построения системы управления.
Эта задача для управляющего вычислительного устройства вышеназванного типа в соответствии с изобретением решается тем, что управляющее вычислительное устройство выполнено таким образом, чтобы, в случае его частичного отказа, принятые от другого управляющего вычислительного устройства через канал связи данные направлять на периферийное устройство и/или принятые от периферийного устройства по каналу связи направлять на другое управляющее вычислительное устройство.
Преимущества соответствующего изобретению управляющего вычислительного устройства соответствуют, по существу, преимуществам, названным выше в связи с соответствующей изобретению системой управления. Так соответствующее изобретению управляющее вычислительное устройство предоставляет, в частности, преимущество, состоящее в том, что можно отказаться от выполнения с резервированием (избыточностью) в целях отказобезопасности.
В предпочтительном дальнейшем развитии соответствующего изобретению управляющего вычислительного устройства управляющее вычислительное устройство представляет собой многоканальное надежное вычислительное устройство. Это предоставляет, в соответствии с вышеприведенными пояснениями, относящимися к соответствующей форме выполнения системы управления, преимущество, состоящее в том, что, при выходе из строя одного из каналов надежного вычислительного устройства, другой или другие каналы надежного вычислительного устройства предоставляются в распоряжение для маршрутизации данных от или к другому вычислительному устройству.
Предпочтительным образом соответствующее изобретению управляющее вычислительное устройство реализовано таким образом, что оно выполнено с возможностью принятия на себя функциональности другого управляющего вычислительного устройства. Это предоставляет преимущество, состоящее в том, что управляющее вычислительное устройство дополнительно может применяться для обеспечения защищенности от отказов другого управляющего вычислительного устройства.
Изобретение относится, кроме того, к способу для эксплуатации системы управления с управляющим вычислительным устройством, которое предусмотрено для обмена данными с по меньшей мере одним периферийным устройством, и другим управляющим вычислительным устройством, которое с упомянутым управляющим вычислительным устройством связано каналом связи и выполнено с возможностью принятия на себя по меньшей мере части функциональности упомянутого управляющего вычислительного устройства.
В отношении способа, в основе настоящего изобретения лежит задача предложить особенно простой и к тому же защищенный от отказов способ для эксплуатации системы управления.
Эта задача для способа вышеназванного типа в соответствии с изобретением решается тем, что через управляющее вычислительное устройство, в случае его частичного отказа, принятые от другого управляющего вычислительного устройства через канал связи данные направляются на периферийное устройство и/или принятые от периферийного устройства по каналу связи направляются на другое управляющее вычислительное устройство.
Относительно преимуществ соответствующего изобретению способа, можно сослаться на преимущества, упомянутые в связи с соответствующей изобретению системой управления, а также соответствующим изобретению управляющим вычислительным устройством.
Предпочтительным образом соответствующий изобретению способ далее выполнен таким образом, чтобы данные, направляемые через управляющее вычислительное устройство от другого управляющего вычислительного устройства на периферийное устройство, или данные, направляемые через управляющее вычислительное устройство от периферийного устройства на другое управляющее вычислительное устройство, передавались защищенным образом. За счет этого предотвращается нераспознаваемое искажение данных, передаваемых, в частности, через вышедшее из строя управляющее вычислительное устройство, служащее для маршрутизации.
Далее изобретение поясняется более подробно на примерах выполнения. На чертежах показано следующее:
фиг.1 - пример выполнения соответствующей изобретению системы управления в бездефектном состоянии и
фиг.2 - пример выполнения соответствующей изобретению системы управления по фиг.1 в состоянии, в котором одно из управляющих вычислительных устройств, по меньшей мере частично, вышло из строя.
На фиг.1 показан пример выполнения соответствующей изобретению системы управления в бездефектном состоянии. Более конкретно, показаны система управления с управляющим вычислительным устройством 1 и другим управляющим вычислительным устройством 2. Управляющее вычислительное устройство 1, а также управляющее вычислительное устройство 2 связаны между собой каналом 3 связи. При этом канал 3 связи может быть выполнен любым образом, проводным или беспроводным, так что управляющее вычислительное устройство 1 и другое управляющее вычислительное устройство 2, например, могут располагаться одно от другого на любом расстоянии.
В примере выполнения по фиг.1 как управляющее вычислительное устройство 1, так и управляющее вычислительное устройство 2 выполнены как двухканальное надежное вычислительное устройство, то есть как 2v2-система. Это означает, что управляющее вычислительное устройство 1 имеет первый канал 1а и второй канал 1b. То же самое относится к другому управляющему вычислительному устройству относительно обоих каналов 2а и 2b. Следует отметить то, что каналы 1а, 1b, 2а, 2b представляют собой самостоятельные компоненты, например, в форме соответствующего персонального компьютера (РС), которые совместно с другими компонентами образуют соответствующее управляющее вычислительное устройство 1 или 2.
В примере выполнения по фиг.1 каналы 1а, 1b, 2а, 2b имеют как функцию 4а, 4b обработки для функциональности управляющего вычислительного устройства 1, так и другую функцию 5а, 5b обработки для функциональности другого управляющего вычислительного устройства 2. При этом в показанном на фиг.1 состоянии, в котором отсутствует отказ, функция обработки соответствующего другого управляющего вычислительного устройства 1, 2 в соответствующем управляющем вычислительном устройстве 1, 2 неактивна. Это означает, что на управляющем вычислительном устройстве 1 активна только функция 4а, 4b обработки для управляющего вычислительного устройства 1, а на другом управляющем вычислительном устройстве 2 активна только функция 5а, 5b обработки для управляющего вычислительного устройства 2.
Функции 4а, 4b обработки выполняются на обоих каналах 1а, 1b управляющего вычислительного устройства 1, соответственно, одновременно и параллельно; соответствующее справедливо для функции 5а, 5b обработки другого управляющего вычислительного устройства 2 относительно каналов 2а, 2b другого управляющего вычислительного устройства 2. С целью защиты от работы со сбоями отдельных каналов 1а, 1b или 2а, 2b, при этом осуществляется сравнение событий обработки обоих каналов 1а, 1b или 2а, 2b посредством не показанного на фиг.1 устройства сравнения соответствующего управляющего вычислительного устройства 1, 2.
Управляющее вычислительное устройство 1, а также другое управляющее вычислительное устройство 2 содержат также функциональность 6а, 6b для маршрутизации данных, принятых, соответственно, от другого управляющего вычислительного устройства 2 или 1. Однако эта функциональность 6а, 6b в нормальном, показанном на фиг.1 бездефектном состоянии, неактивна. Это означает, что в нормальном состоянии системы управления обмен данными с периферийными устройствами 10а, 10b, 10с, 10d, 10е осуществляется исключительно посредством управляющего вычислительного устройства 1, а обмен данными с другими периферийными устройствами 11а, 11b, 11с, 11d, 11е осуществляется исключительно посредством другого управляющего вычислительного устройства 2.
Если в случае системы управления речь идет, например, о системе обеспечения безопасности движения на железной дороге, то периферийное устройство 10а может представлять собой, например, защищенную систему ввода/вывода, периферийное устройство 10b - контакт стрелки перевода, периферийное устройство 10с - исполнительный элемент в форме сигнала, периферийное устройство 10d - сенсор и периферийное устройство 10e - стрелочный привод. Предпочтительным образом периферийные устройства 10а, 10b, 10с, 10d, 10е, а также другие периферийные устройства 11а, 11b, 11с, 11d, 11е таким образом связаны с управляющим вычислительным устройством 1 или другим управляющим вычислительным устройством 2, что осуществляется защищенная от искажений передача данных.
Далее, со ссылками на фиг.2, поясняется, каким образом работает система управления при частичном отказе управляющего вычислительного устройства 1.
На фиг.2 показан пример выполнения соответствующей изобретению системы управления по фиг.1 в состоянии, в котором одно из управляющих вычислительных устройств, по меньшей мере частично, вышло из строя. При этом компоненты, сходные с показанными на фиг.1, обозначены теми же ссылочными позициями.
В отличие от фиг.1, на фиг.2 представлено состояние системы управления, в котором канал 1а управляющего вычислительного устройства вышел из строя. Так как при этом безопасный обмен данными между управляющим вычислительным устройством 1 и периферийными устройствами 10а-10е больше невозможен, то данные, принятые управляющим вычислительным устройством 1 через канал 3 связи, маршрутизируются на другое управляющее вычислительное устройство 2. Одновременно в другом управляющем вычислительном устройстве 2 осуществляется активирование функции 4а, 4b, обработки управляющего вычислительного устройства 1. Соответствующее активирование может осуществляться, например, на основе принятого через канал 23 связи сигнала от работоспособного канала 1b управляющего вычислительного устройства 1.
Затем, на основе распознавания отказа канала 1а управляющего вычислительного устройства 1, активируется функциональность 6b маршрутизации канала 1b. Кроме того, функции 4b, 5b обработки работоспособного канала 1b управляющего вычислительного устройства 1 отключаются, так как они больше не используются.
Вследствие этого посланные на периферийные устройства 10а, 10b, 10с, 10d, 10е данные, например, исполнительные импульсы для исполнительного элемента, проходят от работоспособного канала 1b управляющего вычислительного устройства 1 на соответствующее периферийное устройство 10а, 10b, 10с, 10d, 10е. При этом периферийные устройства 10а, 10b, 10с, 10d, 10е, как упомянуто выше, предпочтительным образом связаны с управляющим вычислительным устройством 1 через безопасную систему ввода/вывода. Также данные, переданные от периферийных устройств 10а, 10b, 10с, 10d, 10е, то есть, например, от сенсоров на управляющее вычислительное устройство 1, маршрутизируются функцией 6b маршрутизации, то есть функциональностью маршрутизации, управляющего вычислительного устройства 1 на другое управляющее вычислительное устройство 2 для дальнейшей безопасной или защищенной обработки.
Функция 5а, 5b обработки другого управляющего вычислительного устройства 2 затрагивается приемом на себя функции 4а, 4b обработки управляющего вычислительного устройства другим управляющим вычислительным устройством лишь постольку, поскольку другое управляющее вычислительное устройство 2 должно обеспечивать исполнение совокупности функций 4а, 4b, 5a, 5b обработки. При этом требуется, чтобы канал 3 связи был выполнен таким образом, чтобы он был в состоянии передавать маршрутизируемые или подлежащие маршрутизации данные. Временная задержка, являющаяся результатом маршрутизации данных, должна учитываться в связи с характеристиками процессов, связанных с периферийными устройствами 10а, 10b, 10с, 10d, 10е, например, системы обеспечения безопасности движения на железной дороге, чтобы избежать ухудшения возможности работоспособности этих процессов.
В соответствии с приведенным выше описанием, представленная система управления в релевантных с точки зрения обеспечения безопасности применениях является предпочтительной особенно тогда, когда подключенные периферийные устройства 10а, 10b, 10с, 10d, 10е, то есть, например, системы исполнительных элементов или сенсоров, выполнены с возможностью самостоятельной проверки исполнительных команд исполнительных элементов или кодирования сенсорных данных для защиты от искажений. Причина этого состоит в том, что при вышедшем из строя канале 1а управляющего вычислительного устройства следует исходить из того, что оставшийся работоспособный канал 1b, который теперь служит исключительно для маршрутизации данных, мог бы внести искажения в маршрутизируемые данные, ввиду дальнейшего необнаруженного сбоя.
В соответствии с приведенным выше описанием, представленная система управления имеет, в особенности, преимущество, состоящее в том, что можно отказаться от выполнения с избыточностью отдельных управляющих вычислительных устройств 1, 2. Это обеспечивается за счет объединения в сеть управляющих вычислительных устройств 1, 2 посредством канала 3 связи, и использования вышедшего из строя управляющего вычислительного устройства 1 для маршрутизации данных между другим управляющим вычислительным устройством 2, принимающим на себя функциональность управляющего вычислительного устройства, и периферийными устройствами 10а, 10b, 10с, 10d, 10е. Со стороны управляющего вычислительного устройства 1, может при этом для маршрутизации данных применяться, например, оставшийся работоспособный канал 1b.
Класс G05B19/042 с использованием цифровых процессоров