Данное изобретение относится к отказоустойчивой управляемой компьютером системе, которую можно использовать, например, для управления транспортным средством или другим критически важным устройством.
С увеличением значения компьютерных систем во многих областях жизни человека их надежность становится все более важной, поскольку отказ может иметь дорогостоящие последствия, включая нанесение повреждений и аварии. Примерами таких компьютерных систем являются системы управления и контролирования транспортного средства, такие как системы управления поездом или система управления самолетом, а также медицинские системы.
Типичное «среднее время между отказами» электронных компьютеров составляет порядка 104 часов, что является недостаточно высоким для критически важных применений. Поэтому обычной практикой является использование параллельно нескольких компьютеров с избыточной работой для повышения надежности.
В обычных избыточных системах обычно используются несколько компьютеров, которые служат источниками данных в сети. Сеть состоит из множества линий связи, каждая из которых соединяет один компьютер с приемником данных, таким как исполнительный механизм для закрылка самолета. Компьютеры создают элементы данных, содержащие команды для работы закрылка. Закрылок принимает все элементы данных и комбинирует их для генерирования отказоустойчивого элемента данных, например, посредством определения среднего значения.
Этот тип системы не способен передавать элементы данных при отказе линии связи. Для преодоления этого было предложено соединять компьютеры с использованием дополнительных линий связи. В случае отказа линии связи между данным компьютером и приемником данных элементы данных из данного компьютера перенаправляются в другие компьютеры и в альтернативную линию связи. Поскольку системы этого типа имеют большое количество компьютеров и приемников, а также большое количество линий связи, то необходимые стадии для маршрутизации элементов данных при отказе линии связи могут становиться довольно сложными. Кроме того, анализ и тестирование системы для всех возможных отказов и конфигураций маршрутизации становятся очень сложными и дорогостоящими, если не невозможными.
Поэтому задачей, положенной в основу данного изобретения, является создание способа и системы указанного выше типа, которую легче реализовать, анализировать и тестировать при одновременном сохранении низкой вероятности отказа.
Эта задача решена с помощью способа и системы согласно независимым пунктам формулы изобретения.
Поэтому, согласно изобретению, данные подают в линии связи приемников с выходов переключательного узла. Переключательный узел имеет несколько входов, каждый из которых соединен с источником данных или с другим выходом. Переключательный узел способен соединять каждый источник данных с каждым приемником данных, по меньшей мере, через две разные приемные линии связи. Вся система выполнена с возможностью передачи каждого элемента данных из любого данного источника данных в любой данный приемник данных через каждую из, по меньшей мере, двух разных приемных линий связи, так что данный приемник данных принимает один и тот же элемент данных через две приемные линии связи.
При нормальной работе каждый приемник данных принимает каждый элемент данных, по меньшей мере, два раза через отдельные линии связи. Даже хотя для этого необходима дополнительная ширина полосы, это имеет то преимущество, что нет необходимости в маршрутизации элементов данных, если происходит отказ в линии связи, т.е. нет необходимости в перегруппировке потока информации в случае отказа, что делает систему более надежной и более простой для анализа и тестирования. Можно легко прогнозировать, с каким видом отказов может справляться система, и нет необходимости тестировать все возможные комбинации потенциальных отказов.
Согласно предпочтительному варианту выполнения переключательный узел разделен на множество переключательных блоков, при этом каждый переключательный блок соединен, по меньшей мере, через две переключаемых линии связи с другими переключательными блоками и при этом каждый приемник данных соединен, по меньшей мере, с двумя разными переключательными блоками. Такое подразделение переключательного узла обеспечивает улучшенную работу, если любой из переключательных блоков откажет. Согласно предпочтительному варианту выполнения точно один переключательный блок относится к каждому источнику данных, и, предпочтительно, один вход каждого переключательного блока соединен с выходом своего источника данных.
Согласно другому предпочтительному варианту выполнения, используется схема синхронной передачи, где повторяемые временные окна присваиваются каждому источнику данных. В каждом временном окне переключательный узел соединяет все приемные линии связи с источником данных, относящихся к временному окну. Это, в свою очередь, приводит к увеличению необходимой ширины полосы, но помогает сохранять систему простой. Дополнительно к этому, это предотвращает постоянное создание помех неисправным источником данных в приемной линии связи, поскольку каждый источник данных имеет доступ к линии связи лишь во время своего окна для передачи данных. Если переключательный узел разделен на переключательные блоки, соединенные указанным выше образом, то одну и ту же схему можно использовать для предотвращения помех в переключаемых линиях связи.
Согласно другому предпочтительному варианту выполнения, каждому источнику данных присваивается однозначный ключ. Элементы данных, передаваемые каждым источником, снабжаются цифровой подписью с помощью соответствующего ключа, и подпись проверяется при приеме элемента данных в приемнике данных. Использование такой схемы подписей обеспечивает дополнительную возможность для обнаружения искаженных сообщений.
Данное изобретение пригодно, в частности, для управления направлением и/или скоростью транспортных средств. Согласно предпочтительному варианту выполнения оно используется для управления самолетом.
Другие предпочтительные варианты выполнения описаны в зависимых пунктах формулы изобретения.
Для лучшего понимания изобретения и указания задач, помимо упомянутых выше, ниже приводится подробное описание изобретения со ссылками на прилагаемые чертежи, на которых
фиг.1 изображает блок-схему отказоустойчивой компьютерной системы согласно данному изобретению;
фиг.2 - переключательный блок одного источника данных;
фиг.3 - временную диаграмму для передачи данных;
фиг.4А, 4В, 4С - таблицы избыточных элементов данных, принимаемых приемником данных;
фиг.5 - самолет, управляемый с помощью компьютерной системы согласно данному изобретению;
фиг.6 - упрощенную иллюстрацию фиг.1;
фиг.7 - альтернативный вариант выполнения изобретения.
Показанная на фиг.1 система работает с тремя избыточными компьютерами Р0, Р1 и Р2, которые обрабатывают сигналы от трех датчиков S0, S1 и S2 и двух вводных устройств V0, V1 и управляют тремя исполнительными механизмами А0, А1 и А2. Каждому компьютеру присвоен один переключательный блок SU0, SU1, SU2.
В специальном варианте выполнения показанная здесь система может управлять транспортным средством, где датчики S0, S1 и S2 измеряют, например, положение, ориентацию и/или скорость транспортного средства, вводные устройства V0, V1 являются органами управления, приводимыми в действие пользователем, и А0, А1 и А2 являются исполнительными механизмами, управляющими приводом и механизмом управления транспортного средства.
С целью обеспечения надежности предусмотрены, по меньшей мере, два избыточных датчика для измерения каждого параметра, используемого компьютерами Р0, P1, P2, и предусмотрены дублирующие вводные устройства LV0, LV1.
Компьютеры Р0, P1, P2 генерируют команды для исполнительных механизмов А0, А1 и А2 в зависимости от ввода, обеспечиваемого датчиками SU0, SU1, SU2 и вводными устройствами LV0, LV1, а также переменных состояния, хранящихся в компьютере. Компьютеры Р0, Р1, P2 работают независимо друг от друга. Они являются избыточными, т.е. команды, генерируемые компьютерами, при отсутствии отказа в системе являются идеально идентичными и поэтому избыточными. Команды передаются в виде элементов данных в исполнительные механизмы А0, А1 и А2. Последние комбинируют принятые избыточные данные с целью определения отказоустойчивого элемента данных, как будет описано более подробно ниже.
Следует отметить, что для большинства применений соответствующее число компонентов больше, чем показано на фиг.1. Однако архитектуру данной системы можно легко масштабировать для соответствия требованиям систем любой сложности.
Ниже приводится подробное описание этой архитектуры. В данном описании каждый компьютер Р0, P1, P2 (или точнее, его выходы, соединенные с переключательными блоками) рассматриваются в качестве «источника данных», передающего элементы данных для приема исполнительными механизмами А0, А1 и А2. Каждый исполнительный механизм А0, А1 и А2 рассматривается в качестве «приемника данных», принимающего элементы данных.
Предусмотрено множество линий связи для соединения отдельных частей системы. Входные линии связи LS0, LS1, LS2 LV0 и LV1 соединяют каждый датчик S0, S1 и S2 и каждое вводное устройство V0, V1 с каждым компьютером Р0, P1, P2. Переключаемые линии связи LPiPj соединяют отдельные переключательные блоки SUO, SU1, SU2 (где i и j являются целыми числами между 0 и числом переключательных блоков минус один). Приемные линии связи LPiAk соединяют каждый переключательный блок SUi с приемниками Ak данных (где k является целым числом между 0 и числом исполнительных механизмов минус один). Каждый приемник Ak данных соединен, по меньшей мере, с двумя приемными линиями связи LPiAk, ведущими к различным переключательным блокам SUi.
Каждая переключаемая линия связи LPiPj является прямым соединением и соединяет один выход переключательного блока SUi с одним входом другого переключательного блока SUj. Аналогичным образом каждая приемная линия связи LPiAk является прямым соединением, соединяющим один выход переключательного блока SUi с одним исполнительным механизмом Ak.
Приемные линии связи LPiAk предпочтительно являются оптическими кабелями для надежной передачи данных и надежной гальванической защиты остальной системы, поскольку во многих применениях исполнительные механизмы приводят в действие оборудование высокой мощности. Другие линии связи могут быть оптическими волокнами, электрическими проводами или линиями радиосвязи или другими.
Архитектура переключательных блоков SU0, SU1, SU2 показана на фиг.2. В показанном варианте выполнения каждый переключательный блок SUi имеет три входа I0-I2 и пять выходов O0-O4. Один переключатель (демультиплексор) S0-S4 предусмотрен для каждого выхода, так что каждый выход Oi может быть избирательно соединен с любым из входов Ij.
Входы I0 и I2 соединены каждый с переключаемой линией связи LPjLPi, LPj'LPi, принимающей элементы данных из двух других переключательных блоков SUj и Suj'. Вход I1 соединен с источником данных, соответствующим переключательному блоку.
Выходы O0 и O4 соединены каждый с переключаемой линией связи LPiLPj, LPiLPj' для передачи элементом данных к двум другим переключательным блокам SUj и Suj'. Выходы O1 и O2 соединены с приемными линиями связи LpiAk и LPiAk' для передачи элементов данных в приемники Ak и Ak'. Выход O3 соединен с вводом данных компьютера, соответствующего переключательному блоку.
Стол 10 управления переключениями предусмотрен для установки переключателей Si в соответствии с сигналами из тактового блока 11.
Каждый переключательный блок SU0, SU1, SU2 снабжен своим собственным тактовым блоком 11 и своим собственным столом 10 с целью обеспечения возможности автономной установки переключателей. Тактовые блоки 10 удерживаются в синхронизации. Для специалистов в данной области техники известны различные отказоустойчивые способы синхронизации тактовых блоков, некоторые из которых описаны Фред. Б. Шнайдером в «Интерпретация протоколов для византийской синхронизации тактов», август 1987, Dept. of Computer Science, Cornell University. Тактовые блоки 11 предпочтительно синхронизируются с помощью временных меток, добавляемых источниками данных к каждому элементу данных или, по меньшей мере, к части из них, при этом каждый переключательный блок извлекает временную метку приходящих элементов данных из различных источников данных и определяет из них глобальное время, например, посредством определения медианы временных меток, принятых одновременно, и посредством вычисления отклонения относительно своего собственного такта.
Для регулирования связи в системе каждому источнику данных присваивается временное окно, при этом окна предпочтительно имеют одинаковую длину и повторяются с регулярным циклом, как показано на фиг.3. Можно использовать также временные окна различной длины, в частности, если один из источников данных имеет большое количество данных, подлежащих передаче. В заданное временное окно переключательные блоки SUi устанавливают переключатели так, что все переключаемые линии связи LPiPj, а также все приемные линии связи LPiAk, соединяются с источником данных, к которому относится окно.
Как показано на фиг.3 и как будет описано ниже, могут быть предусмотрены дополнительные временные окна для передачи от исполнительных механизмов Ai.
Источники данных также синхронизируются, например, с помощью тактовых блоков присвоенных им переключателей данных, и передают элементы данных лишь внутри своих временных окон, при этом передний и задний конец каждого временного окна остается неиспользованным с целью учета рассогласования синхронизации и задержек сигналов.
Длина окон на фиг.3 первично зависит от количества данных, подлежащих передаче, и максимально допустимого времени задержки для передачи сообщения. Для большинства систем управления транспортных средств длина окна порядка 10 мс считается подходящей.
Использование фиксированной временной схемы для глобального присвоения линий связи единственному источнику данных в одно время приводит к увеличению требуемой полосы пропускания. Однако для многих применений доступные в настоящее время линии связи обеспечивают подходящую ширину полосы для поддержки протокола такого типа.
Как следует из сказанного выше, каждый источник Pi передает все свои элементы данных во все приемники Ak данных одновременно, а каждый приемник данных принимает каждый элемент данных, по меньшей мере, через две приемных линии связи LPjAk одновременно. Таким образом, при нормальной работе приемник данных принимает каждый элемент данных от каждого источника данных, по меньшей мере, два раза и, поскольку все источники данных создают избыточные элементы данных, то приемники данных принимают группу из шести избыточных версий каждого элемента данных через различные пути сети.
Это показано для приемника А0 данных на фиг.4А, 4В и 4С. Приемник данных пытается принять все шесть элементов данных группы и может проверять их физическую целостность, например, посредством проверки контрольной суммы или цифровой подписи, как указывалось выше. При отсутствии какой-либо ошибки в передаче каждый элемент данных получает флажок «ок», как показано на фиг.4А. В случае отказа линии связи LP1P0 лишь пять элементов данных являются достоверными, как показано на фиг.4В. Если даже дополнительно к этому откажет линия связи LP2A0, два элемента данных все еще являются достоверными, как показано на фиг.4С.
Из достоверных принятых избыточных элементов данных приемник данных генерирует элемент данных с коррекцией ошибки с использованием известных перестановочных-инвариантных технологий (медианных, мажоритарных,...). Например, если элементы данных задают числовой параметр, то определяется средняя величина параметра, задаваемая достоверными элементами данных.
Как указывалось выше, элементы данных могут содержать цифровую подпись. Для создания цифровой подписи (и, не обязательно, шифрования), каждому источнику Р0, P1, P2 данных присваивается однозначный ключ. С использованием этого однозначного ключа каждый источник данных создает цифровую подпись, известную для специалистов в данной области техники, т.е. величину подписи, которая зависит от подлежащего передаче сообщения в элементе данных, а также от ключа, при этом алгоритм, используемый для генерирования подписи, выбран так, что можно проверять с достаточной надежностью, была ли генерирована данная величина подписи с использованием данного ключа или нет. Для улучшения защиты можно использовать схемы подписи, основанные на несимметричных ключах. Однако следует отметить, что схемы подписи, которые можно использовать в контексте данного изобретения, могут быть более простыми и менее защищенными от копирования, чем используемые для передачи данных, поскольку они прежде всего должны защищать от отказов в системе, а не от преднамеренного копирования.
Когда приемник данных принимает сообщение из данного источника данных, он проверяет достоверность элемента данных посредством проверки, соответствует ли подпись ключу источника данных. Если нет, то элемент данных получает флажок как недостоверный.
Применение данного изобретения схематично показано на фиг.5. На фиг.5 показан самолет 20 вертикального взлета и посадки, такой как раскрыт, например, в WO 01/30652, содержащий множество отклоняемых приводных блоков 21, каждый из которых содержит электрически приводимый в действие вентилятор. Приводные блоки 21 обеспечивают управление ориентацией, подъемом и передней тягой самолета. Каждый приводной блок 21 содержит блок управления приводом для управления угла его наклона и тяги. Каждый блок управления принимает свои установочные данные из одного из приемников Aj, Ai данных, описанных выше. Дополнительно к этому, датчики Sm, Sn ориентации и другие типы датчиков, а также вводные устройства V0 и V1 установлены в самолете для обеспечения компьютеров Pi входными данными.
Для описания некоторых из множества возможных модификаций данного изобретения на фиг.6 показан в виде схемы вариант выполнения согласно фиг.1.
Как показано на фиг.6, одно из преимуществ описанного варианта выполнения состоит в том, что каждый приемник Ak данных принимает данные из всех источников Pi данных по избыточным путям, даже если число приемных линий связи LPiAk для данного приемника Ak меньше (а именно, 2), чем число источников данных (а именно, 3). Это происходит за счет того, что переключательные блоки SUi обеспечивают каждому источнику Pi данных доступ в обе приемные линии связи данного приемника данных.
Минимальное число приемных линий связи для каждого приемника данных составляет 2, если альтернативные пути необходимо обеспечить для каждого элемента данных. Для увеличения надежности, для каждого приемника данных могут быть предусмотрены более двух приемных линий связи.
В показанном на фиг.6 варианте выполнения каждый переключательный блок SUi соединен для приема и передачи данных с двумя другими переключательными блоками, что обеспечивает альтернативные пути между переключательными блоками. Для повышенной надежности это число может быть более двух, однако может быть также лишь одна переключаемая линия связи на каждый переключательный блок.
В показанном на фиг.6 варианте выполнения один переключательный блок SUi присвоен каждому компьютеру Pi. Каждый компьютер и каждый переключательный блок предпочтительно расположены физически вблизи друг друга, так что они могут совместно использовать некоторые механические или электрические компоненты. Однако предпочтительно, чтобы переключательный блок мог работать независимо от своего соответствующего компьютера, т.е. когда компьютер имеет сбой в своей обработке данных, то переключательный блок должен продолжать работу.
Близкое физическое расположение компьютера и соответствующего переключательного блока является предпочтительным, но не необходимым. Переключательный блок может быть расположен в произвольном месте. Однако, если расстояние между компьютером и его переключательным узлом становится большим, то увеличивается опасность отказа линий связи между ними. В этом случае может быть целесообразным обеспечить дополнительные избыточные линии связи между компьютером и переключательными блоками.
На фиг.7 показан вариант выполнения с четырьмя компьютерами Pi и только двумя переключательными блоками SUj. В данном случае каждый переключательный блок имеет четыре входа и шесть выходов, а отдельные переключатели S имеют четыре возможных положения. Переключатели снова располагаются в соответствии с источником данных, которому присвоено текущее окно, так что сигналы этого источника данных передаются во все приемные линии связи и к переключаемым линиям связи.
Следует отметить, что в приведенном выше описании и на прилагаемых чертежах описаны и показаны лишь наиболее важные линии связи между компонентами. Дополнительно к этому, сеть может содержать дополнительные линии связи, например, от исполнительных механизмов обратно к компьютерам или к отдельному контрольному блоку. Аналогичным образом переключательный блок может содержать дополнительно к переключателям, соединенным с приемными линиями связи и переключаемыми линиями связи, дополнительные линии связи для подачи данных в приемники другого типа, такие как переключатели S3 для подачи элементов данных на входы компьютеров.
Например, если желательно, чтобы исполнительные механизмы А0, A1, A2 были способны передавать сигналы обратной связи в компьютеры Р0, P1, P2, то линии связи между переключательными блоками SUi и исполнительными механизмами должны быть двунаправленными. Например, линия LAiPk обратной связи может вести от каждого исполнительного механизма к двум переключательным блокам, с которыми он соединен, так, как показано штриховыми линиями для исполнительного механизма A1 на фиг.1. Число входов для переключателей S0-S4 в каждом переключательном блоке будет соответственно увеличиваться на два, так чтобы они были способны соединять линии LAiPk обратной связи с выходами переключательных блоков во время временных окон, выделенных для исполнительных механизмов (смотри фиг.3). Другими словами, исполнительные механизмы А0, A1, A2 могут также выполнять роль источников данных. Однако в противоположность компьютерам Р0, Р1 и P2 они обычно не являются избыточными источниками данных, но они могут передавать данные по избыточным путям к выбранным приемникам.
Понятие «система», используемое в данном описании, обозначает устройство, содержащее источники данных и приемники данных, а также соединяющую их сеть, однако оно используется также для обозначения способа работы такого устройства.
Изобретение относится к отказоустойчивой компьютерной системе, которую можно использовать для управления транспортным средством или другим критически важным устройством. Изобретение обеспечивает систему, простую для реализации, анализа и тестирования, при сохранении низкой вероятности отказа. Отказоустойчивая управляемая компьютерами система содержит несколько компьютеров (Р0, Р1 и Р2), работающих избыточно и управляющих исполнительными механизмами (А0, А1 и А2) на основе сигналов датчиков (S0, S1 и S2) и вводных устройств (V0, V1). Каждый элемент данных, передаваемых каждым компьютером, одновременно передается по разным путям связи в каждый исполнительный механизм, так что при нормальной работе каждый исполнительный механизм принимает каждый элемент данных по нескольким путям. Эта система продолжает правильно функционировать даже в случае отказа без необходимости маршрутизации элементов данных, что делает более простым ее конструирование, анализ и тестирование и тем самым повышает ее надежность. 3 н. и 14 з.п. ф-лы, 9 ил.
множество избыточных источников (Р0, P1, P2) данных, генерирующих, по меньшей мере, частично избыточные элементы данных,
множество приемников (А0, A1, A2) данных для приема избыточных элементов данных и комбинирования их в отказоустойчивый элемент данных,
переключательный узел (SU0, SU1, SU2) с множеством входов и выходов, при этом каждый вход соединен с одним источником (Р0, P1, P2) данных или с одним выходом, и при этом каждый выход соединен с одним входом или одним приемником (А0, A1, A2) данных, и при этом каждый приемник данных (А0, A1, A2) соединен через отдельную приемную линию связи (LPiAk), по меньшей мере, с двумя выходами,
в которой указанные переключательные узлы (SU0, SU1, SU2) выполнены с возможностью соединения любого из указанных источников (Р0, P1, P2) данных с каждым из указанных приемников (А0, A1, A2) данных через, по меньшей мере, две разные приемные линии связи (LPiAk), и в которой указанная управляемая компьютерами система выполнена с возможностью передачи каждого элемента данных из любого заданного источника (Р0, Р1, P2) данных в любой заданный приемник (А0, A1, A2) данных через каждую из, по меньшей мере, двух разных приемных линий связи (LPiAk), так что заданный приемник данных принимает один и тот же элемент данных через, по меньшей мере, две приемные линии связи (LPiAk),
при этом переключательный узел (SU0, SU1, SU2) разделен на множество переключательных блоков, при этом каждый вход каждого переключательного блока соединен либо с одним источником (Р0, P1, P2), либо через переключаемую линию связи (LPiPj) с одним выходом другого переключательного блока, при этом каждый переключательный блок соединен, по меньшей мере, через две переключаемые линии связи (LPiPj) с другими переключательными блоками, при этом каждая переключаемая линия связи (LPiPj) соединяет один вход с одним выходом, и при этом каждый приемник (А0, A1, A2) данных соединен через приемные линии связи (LPiAk), по меньшей мере, с двумя разными переключательными блоками (SU0, SU1, SU2).
| US 4644538 А, 17.02.1987 | |||
| RU 21223202 C1, 10.12.1998 | |||
| Аппарат для очищения воды при помощи химических реактивов | 1917 |
|
SU2A1 |
| US 6141770 A, 31.10.2000 | |||
| US 5588111 A, 24.12.1996. | |||
