ControlSafe安全平臺 ——致力于列車運行控制和鐵路信號應(yīng)用的SIL4級別故障安全系統(tǒng)
ControlSafe 安全平臺
符合 SIL4即最高級別安全認(rèn)證標(biāo)準(zhǔn)的��,高度集成的 COTS(Commercial Off-The-Shelf)解決方案
領(lǐng)先行業(yè)的高可用性——99.9999%����, 顯著提升系統(tǒng)正常續(xù)航能力
基于開放式標(biāo)準(zhǔn)的模塊式設(shè)計�,可靈活搭建多種鐵路信號控制應(yīng)用
以硬件為基礎(chǔ)的安全表決機制,有效提高應(yīng)用軟件的透明度和可移植性
針對鐵路行業(yè)的特殊需求保證長達15 年的產(chǎn)品生命周期以及 25 年的服務(wù)支持
符合EN50155標(biāo)準(zhǔn)的特殊加固強化設(shè)計��,適用于復(fù)雜嚴(yán)酷的運行環(huán)境
ControlSafeTM計算機架構(gòu)
運行在每一臺 ControlSafeTM計算機 ( CSC ) 里的核心組件是兩片完全相同的 CPU 模塊�����。ControlSafe 安全平臺在數(shù)據(jù)同步模式下的二取二表決機制便由這兩片 CPU 模塊來執(zhí)行。在數(shù)據(jù)同步模式下�,表決的確定性邊界創(chuàng)建在兩片 CPU 模塊的數(shù)據(jù)交換接口處。系統(tǒng)會將所有通過確定性邊界的數(shù)據(jù)交換都進行比較�����,以確認(rèn)兩片 CPU 模塊運行正常�。而在與數(shù)據(jù)同步相異的硬同步模式下,不同模塊間的同步是通過處理器的時鐘來實現(xiàn)的�����,而且表決的確定性邊界創(chuàng)建于處理器的地址和數(shù)據(jù)總線���。這種架構(gòu)的本質(zhì)區(qū)別使得數(shù)據(jù)同步模式在利用高性能的現(xiàn)代處理器方面具有先天的優(yōu)勢���。
CSC通過二取二表決機制進行數(shù)據(jù)交換的比較��。在此機制下��,一旦兩片CPU模塊出現(xiàn)運行處理不一致的狀況�,系統(tǒng)將即刻表決認(rèn)定該CSC發(fā)生故障,并將其切換到故障安全模式�����。在故障安全模式的默認(rèn)設(shè)置下���,所有輸出端口都將被設(shè)定為安全/靜默狀態(tài)��,從而避免系統(tǒng)因輸出錯誤數(shù)據(jù)而導(dǎo)致對外部相關(guān)設(shè)備的不當(dāng)控制�。
SIL4安全認(rèn)證文檔
旨在為現(xiàn)代安全應(yīng)用提供一個具有離可靠性和高可用性的“共用平臺”�,ControlSafeTM安全平臺從設(shè)計到生產(chǎn)���,始終嚴(yán)格遵循相關(guān)的業(yè)界規(guī)范和標(biāo)準(zhǔn),向客戶提供完整的安全認(rèn)證文檔����,以協(xié)助其順利通過最終集成系統(tǒng)的安全認(rèn)證����。安全認(rèn)證文檔包括:
安全案例
系統(tǒng)定義
質(zhì)量管理報告
安全管理報告
技術(shù)安全報告
安全評估報告
安全手冊
由權(quán)威認(rèn)證機構(gòu)簽發(fā)的SIL4安全認(rèn)證證書
