[发明专利]基于单CPU软件双通道实现故障管理的系统

说明书

技术领域

本发明属于安全设计领域，用于实现安全关键系统中的故障管理。

背景技术

目前，在工业控制系统和安全信号系统（应用于航空电子、铁路信号、核电等行业）中，应对系统故障进行管理，以确保任何故障都能够记录、诊断，并在任意通道失效的情况下采取安全反应。

图1为现有的系统故障触发模型图，表示安全系统的任何过程包括安全输入，安全输出，在线自检，安全运算，安全通信都可以及时触发系统故障管理，根据不同的故障级别采取相应的安全反应。

图2为一个现有系统下故障管理通道1的模型图，故障管理任务在系统正常运行时为阻塞状态，当收到主任务释放的信号量时激活此任务。通过消息队列，取出并解析协议帧。对于系统性故障，该任务记录日志到NVRAM并发送给诊断终端，根据故障级别采取不同的安全反应。对于喂狗消息，周期性触发硬件看门狗。在任何过程触发的故障或引起的系统时间窗超出范围，系统及时导向安全状态。在单通道失效的情况下不影响系统安全。

图3为一个现有系统下故障管理通道2的模型图，故障管理中断定时查询共享内存区中的故障消息。当查询到系统故障消息时，通过共享内存区读出并解析协议帧。对于系统性故障，根据故障级别采取不同的安全反应。在单通道失效的情况下不影响系统安全。

发明内容

本发明要解决的技术问题是提供一种基于单CPU软件双通道实现故障管理的系统，其可以对系统故障有效管理，以确保单通道失效的情况下及时导向安全。

为解决以上技术问题，本发明提供了一种基于单CPU软件双通道实现故障管理的系统；包括：故障管理通道1，其采用任务调度的方式处理故障；故障管理通道2，其采用中断轮询的方式处理故障；故障管理消息队列和故障管理内存区，故障管理消息队列和故障管理内存区分别连接到故障管理通道1或故障管理通道2；系统中任何模块产生的故障均需按照系统定义的格式组成协议帧，分别由故障管理消息队列和消息管理内存区发出，再由故障管理通道1和故障管理通道2实时监控故障的产生，并根据故障级别，采取相应的安全反应。

本发明的有益效果在于：双通道包括两个差异化的通信信道，系统在故障产生时，将故障消息按照级别类型等组成协议帧，分别通过消息队列和共享内存区发出到安全反应完成，保障系统在消息队列机制失效或者内存读写失效的情况下，能够顺利将故障消息发出，及时导向安全。

故障管理通道1或故障管理通道2采用两种不同的通信信道将故障信息发出，其中一个故障管理通道采用消息队列的方式，另一通道采用共享内存区的方式。

系统故障产生时在单通道失效的情况下，及时导向安全通道。

故障管理通道1和故障管理通道2均能够独立的采取安全措施，迫使系统报警，禁止输出和宕机。

故障管理通道1连接看门狗模块，通过定时中断触发故障管理任务喂狗，通过硬件看门狗保障故障管理通道1的正常运行；当故障管理通道1发生故障，立即通过硬件看门狗迫使系统进入死锁状态，切断一切安全输出。

通过故障管理通道2触发主任务的运行，当故障管理通道2发生故障时，主任务进入死锁状态。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细说明。

图1是一种现有系统下故障触发模型图；

图2为一个现有系统下故障管理通道1的模型图；

图3为一个现有系统下故障管理通道2的模型图；

图4是本发明实例所述基于单CPU软件双通道实现故障管理的系统的示意图。

具体实施方式

本发明所述基于单CPU软件双通道实现故障管理的系统；它可以对系统故障有效管理，以确保单通道失效的情况下及时导向安全。其包括故障管理通道1（故障管理任务），故障管理通道2（故障管理中断），故障管理消息队列，故障管理内存区。系统中任何模块产生的故障均需按照系统定义的格式组成协议帧，分别由故障管理消息队列和故障管理内存区发出，再由故障管理通道1和故障管理通道2实时监控故障的产生，并根据故障级别，采取相应的安全反应，保障系统在单通道失效的情况下，及时导向安全。本发明可以对系统故障有效管理，以确保单通道失效的情况下及时导向安全。

软件双通道包括两个差异化的通信信道，系统在故障产生时，将故障消息按照级别类型等组成协议帧，分别通过消息队列和共享内存区发出到安全反应完成，保障系统在消息队列机制失效或者内存读写失效的情况下，能够顺利将故障消息发出，及时导向安全。