本发明涉及一种安全系统,尤其涉及一种用于乘客输送系统的安全系统。
背景技术
在现有技术中,乘客输送系统,例如,自动扶梯输送系统、电梯输送系统或人行道输送系统,通常具有两种模式的控制系统,一种是具有较高安全完整性等级(sil,safetyintegritylevel)的特殊模式安全控制系统,另一种是具有较低的安全完整性等级的普通模式安全控制系统。在现有技术中,这两种模式的控制系统是两个完全独立的控制系统,这增加了整个控制系统的开发难度和成本。
技术实现要素:
本发明的目的旨在解决现有技术中存在的上述问题和缺陷的至少一个方面。
根据本发明的一个方面,提供一种安全系统,包括:第一安全控制系统,具有第一安全完整性等级;第二安全控制系统,具有第二安全完整性等级,所述第二安全完整性等级低于所述第一安全完整性等级;和公共数据容器,用于存储所述第一安全控制系统与所述第二安全控制系统之间的交换数据。
根据本发明的一个实例性的实施例,所述安全系统为用于乘客输送系统的安全控制系统,所述第一安全控制系统为特殊模式安全控制系统,所述第二安全控制系统为普通模式安全控制系统。
根据本发明的另一个实例性的实施例,所述乘客输送系统为自动扶梯输送系统、电梯输送系统或人行道输送系统。
根据本发明的另一个实例性的实施例,所述第一安全控制系统包括第一安全装置和用于控制所述第一安全装置的第一安全单元;所述第二安全控制系统包括第二安全装置和用于控制所述第二安全装置的第二安全单元;所述第一安全单元独立于所述第二安全单元,使得所述第一安全单元和所述第二安全单元可分别独立运行。
根据本发明的另一个实例性的实施例,所述第一安全单元包括第一安全处理器核、第一安全数据容器和第一安全控制容器;所述第一安全处理器核与所述第一安全数据容器和所述公共数据容器通信,用于从所述第一安全数据容器和所述公共数据容器导入计算数据;所述第一安全处理器核与所述第一安全控制容器通信,用于驱动和控制所述第一安全控制容器的所有输入和输出。
根据本发明的另一个实例性的实施例,所述第二安全单元包括第二安全处理器核、第二安全数据容器和第二安全控制容器;所述第二安全处理器核与所述第二安全数据容器和所述公共数据容器通信,用于从所述第二安全数据容器和所述公共数据容器导入计算数据;所述第二安全处理器核与所述第二安全控制容器通信,用于驱动和控制所述第二安全控制容器的所有输入和输出。
根据本发明的另一个实例性的实施例,所述第一安全数据容器用于存储第一安全软件代码和第一安全数据,所述第一安全数据通过所述第一安全数据容器来调用和链接到所述第一安全处理器核。
根据本发明的另一个实例性的实施例,所述第二安全数据容器用于存储第二安全软件代码和第二安全数据,所述第二安全数据通过所述第二安全数据容器来调用和链接到所述第二安全处理器核。
根据本发明的另一个实例性的实施例,所述第一安全单元是有锁步或无锁步的双核或多核处理器,所述第一安全控制系统的系统结构是有诊断的多通道。
根据本发明的另一个实例性的实施例,所述第一安全数据容器包括第一安全软件代码只读存储器、第一安全数据随机存取存储器、第一参数数据存储器和第一堆栈数据存储器;所述第一安全装置独立于所述第一安全单元,包括传感器、开关、继电器和接触器中的至少一个。
根据本发明的另一个实例性的实施例,所述第二安全数据容器包括第二安全软件代码只读存储器、第二安全数据随机存取存储器、第二参数数据存储器和第二堆栈数据存储器;所述第二安全装置独立于所述第二安全单元,包括传感器、开关、按钮、显示器、继电器和接触器中的至少一个。
根据本发明的另一个实例性的实施例,所述第一安全单元、所述第二安全单元和所述公共数据容器被集成在一个多核安全中央处理器中。
根据本发明的另一个实例性的实施例,所述第一安全单元和所述第二安全单元通过硬件结构配置被强制绝对分离开。
在根据本发明的前述各个实例性的实施例中,将具有不同安全完整性等级的第一安全控制系统和第二安全控制系统集成在同一个安全系统中,从而降低了整个安全系统的开发难度和成本。
通过下文中参照附图对本发明所作的描述,本发明的其它目的和优点将显而易见,并可帮助对本发明有全面的理解。
附图说明
图1显示根据本发明的一个实例性的实施例的安全系统的功能框图。
具体实施方式
下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。在说明书中,相同或相似的附图标号指示相同或相似的部件。下述参照附图对本发明实施方式的说明旨在对本发明的总体发明构思进行解释,而不应当理解为对本发明的一种限制。
另外,在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本披露实施例的全面理解。然而明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。在其他情况下,公知的结构和装置以图示的方式体现以简化附图。
根据本发明的一个总体技术构思,提供一种安全系统,包括:第一安全控制系统,具有第一安全完整性等级;第二安全控制系统,具有第二安全完整性等级,所述第二安全完整性等级低于所述第一安全完整性等级;和公共数据容器,用于存储所述第一安全控制系统与所述第二安全控制系统之间的交换数据。
图1显示根据本发明的一个实例性的实施例的安全系统50的功能框图。
如图1所示,在图示的实施例中,该安全系统主要包括:第一安全控制系统15、第二安全控制系统16和公共数据容器28。
如图1所示,在图示的实施例中,第一安全控制系统15具有第一安全完整性等级。例如,第一安全控制系统15可以具有最高的安全完整性等级sil4。第二安全控制系统16具有第二安全完整性等级,该第二安全完整性等级低于第一安全完整性等级。例如,第二安全控制系统16可以具有最低的安全完整性等级sil1。
如图1所示,在图示的实施例中,公共数据容器28用于存储第一安全控制系统15与第二安全控制系统16之间的交换数据。这样,第一安全控制系统15和第二安全控制系统16可以通过公共数据容器28交换数据。
在本发明的一个实例性的实施例中,前述安全系统50可以为用于乘客输送系统的安全控制系统,例如,自动扶梯输送系统、电梯输送系统或人行道输送系统。
在本发明的一个实例性的实施例中,前述第一安全控制系统15可以为具有较高的安全完整性等级的特殊模式安全控制系统,前述第二安全控制系统16可以为具有较低的安全完整性等级的普通模式安全控制系统。
如图1所示,在图示的实施例中,第一安全控制系统15包括第一安全装置41和用于控制第一安全装置41的第一安全单元11。第二安全控制系统16包括第二安全装置42和用于控制第二安全装置42的第二安全单元12。第一安全单元11独立于第二安全单元12,使得第一安全单元11和第二安全单元12可分别独立运行。
如图1所示,在图示的实施例中,第一安全单元11包括第一安全处理器核21、第一安全数据容器22和第一安全控制容器23。第一安全处理器核21与第一安全数据容器22和公共数据容器28通信,用于从第一安全数据容器22和公共数据容器28导入计算数据。第一安全处理器核21与第一安全控制容器23通信,用于驱动和控制第一安全控制容器23的所有输入和输出。
如图1所示,在图示的实施例中,第二安全单元12包括第二安全处理器核31、第二安全数据容器32和第二安全控制容器33。第二安全处理器核31与第二安全数据容器32和公共数据容器28通信,用于从第二安全数据容器32和公共数据容器28导入计算数据。第二安全处理器核31与第二安全控制容器33通信,用于驱动和控制第二安全控制容器33的所有输入和输出。
如图1所示,在图示的实施例中,第一安全数据容器22用于存储第一安全软件代码和第一安全数据。第一安全数据通过第一安全数据容器22来调用和链接到第一安全处理器核21。
如图1所示,在图示的实施例中,第二安全数据容器32用于存储第二安全软件代码和第二安全数据。第二安全数据通过第二安全数据容器32来调用和链接到第二安全处理器核31。
如图1所示,在图示的实施例中,第一安全单元11是有锁步或无锁步的双核或多核处理器,第一安全控制系统15的系统结构是有诊断的多通道,例如,有诊断的双通道。
如图1所示,在图示的实施例中,第一安全数据容器22包括第一安全软件代码只读存储器、第一安全数据随机存取存储器、第一参数数据存储器和第一堆栈数据存储器。第一安全装置41独立于第一安全单元11,包括传感器、开关、继电器和接触器中的至少一个。
如图1所示,在图示的实施例中,第二安全数据容器32包括第二安全软件代码只读存储器、第二安全数据随机存取存储器、第二参数数据存储器和第二堆栈数据存储器。第二安全装置42独立于第二安全单元12,包括传感器、开关、按钮、显示器、继电器和接触器中的至少一个。
如图1所示,在图示的实施例中,第一安全单元11、第二安全单元12和公共数据容器28被集成在一个多核安全中央处理器13中。
如图1所示,在图示的实施例中,第一安全单元11和第二安全单元12通过硬件结构配置被强制绝对分离开。
为了将第二安全控制系统16与第一安全控制系统15绝对隔离,在安全中央处理器13执行第一安全单元11时,控制和避免对第二安全单元12的操作。第一安全单元11和第二安全单元12通过硬件结构配置和强制绝对分离。第一安全单元11将安全认证过的,以确保第一安全控制系统15不受到来自第二安全单元12的威胁或中断。可能的威胁包括第二安全单元12对第一安全控制系统15的安全相关输入和输出的禁止访问,第二安全单元12对第一安全单元11的安全数据进行操作,并阻止执行第一安全单元11。第一安全单元11分配第二安全单元12的控制器资源,并监督评估经定义过的公共数据容器28,第二安全单元12分配第一安全单元11的控制器资源,并监督评估定义过的公共数据容器28。检测到第一安全单元11故障,将第一安全控制系统15停止到安全模式,并在公共数据容器28中报告消息的适当对策,并暂停第二安全控制系统16。检测到第二安全单元12故障,停止第二安全控制系统16,并在公共数据容器28中报告安全消息,并暂停第一安全控制系统15。
如果第二安全单元12违反了公共数据容器28中的任何安全保护,则第一安全单元11判定是否正在执行允许的指令。在第一安全单元11中可能执行并比较当前的操作指令,并确认第一安全单元11正在执行的指令是作为限制性的指令。如果当前指令超出限制指令,则停止第一安全控制系统15并在公共数据容器28中报告消息,以暂停第二安全控制系统16。
如果检测到第一安全单元11故障,则第一安全装置41激活保护以确保处于安全模式,有可能停止安全系统50,例如停止自动扶梯安全继电器、接触器、制动器等。如果检测到第二安全单元12故障,则第二安全装置42激活停止模式,并报告安全信息给公共数据容器28,以确保第一安全控制系统15切换到安全模式。
出于各种原因,安全系统50中的安全中央处理器13包含多核是有利的。例如,多核安全中央处理器13可以并行处理来自第一安全装置41的两个或更多个冗余传感器的信号,并且与单核处理器的单个信号处理相比,更容易实现更高的安全完整性等级。第一安全处理器核21和第二安全处理器核31被集成到一个安全中央处理器13中,这易于一起开发第一安全控制系统15和第二安全控制系统16,并且比使用多个单核处理器的其他解决方案更便宜。
本领域的技术人员可以理解,上面所描述的实施例都是示例性的,并且本领域的技术人员可以对其进行改进,各种实施例中所描述的结构在不发生结构或者原理方面的冲突的情况下可以进行自由组合。
虽然结合附图对本发明进行了说明,但是附图中公开的实施例旨在对本发明优选实施方式进行示例性说明,而不能理解为对本发明的一种限制。
虽然本总体发明构思的一些实施例已被显示和说明,本领域普通技术人员将理解,在不背离本总体发明构思的原则和精神的情况下,可对这些实施例做出改变,本发明的范围以权利要求和它们的等同物限定。
应注意,措词“包括”不排除其它元件或步骤,措词“一”或“一个”不排除多个。另外,权利要求的任何元件标号不应理解为限制本发明的范围。