СТА 3/2018

при необходимости могут упростить разработку полностью сконфигуриро- ванных 19-дюймовых систем. Гибкость расширения и интерфейсов Модульная концепция ввода/выво- да стандартизованной архитектуры menTCS обеспечивает разработчикам большую гибкость и позволяет им по- средством карт стандарта CompactPCI легко оснастить контроллер и удалён- ные блоки ввода/вывода коммуника- ционными интерфейсами. Для под- ключения к сети TCN можно использо- вать интерфейсные платыMVB. Допол- нительные бортовые компоненты и блоки управления могут быть под- ключены через RS-485, CAN, ProfiNet и другие полевые шины. Для подключе- ния IoT доступныWLAN, GSM-R, GPS, GLONASS или Galileo, а также возмож- на работа через стандартные маршрути- заторы и коммутаторы Ethernet. Масштабируемая безопасность Поскольку все критически важные для безопасности модули menTCS пред- варительно сертифицированы на самый высокий уровень безопасности SIL 4 в соответствии с EN 50128 и EN 50129, они отвечают всем требованиям, кото- рые могут возникать в критически важ- ных для железных дорог приложениях, от SIL 2 для систем ATO до SIL 4 для сигнализации. Это позволяет разработ- чикам сосредоточиться исключительно на программном обеспечении, избавляя от забот об аппаратной части. В зависи- мости от конечного приложения уро- вень безопасности оборудования может быть определён в любое время и без до- полнительных инженерных усилий. Безопасные домены упрощают разработку программного обеспечения Аппаратная платформа menTCS раз- работана таким образом, что программ- ное обеспечение для управления без- опасностью строго изолировано от пе- риферийного программного обеспече- ния, не относящегося к сертификации. Это достигается благодаря выполнению критически важных функций управле- ния в отдельных безопасных доменах. Тем самым обеспечивается их обособ- ленность от общих некритических функ- ций ввода/вывода. Эта изоляция выпол- няется как на аппаратном, так и на про- граммном уровне. Благодаря такому строгому разделению более сложное и критически важное для безопасности программирование ограничивается ис- ключительно безопасными доменами, что облегчает разработку программного обеспечения, а также упрощает и уско- ряет сертификацию по SIL. В дополне- ние к сокращению объёмов аппаратной документации это второй важный фак- тор, способствующий значительной эко- номии средств во внутренних разработ- ках (рис. 2). Высокопроизводительные контроллеры уровня SIL 4 В основе контроллера menTCS MH50C лежит процессорная плата F75P CompactPCI PlusIO SBC, сертифициро- ванная по SIL 4. Это одноплатный ком- пьютер, объединяющий три процессора Intel Atom E680T. Два процессора в нём выполняют критически важные функ- ции управления. Они связаны с PCIe че- рез FPGA (ПЛИС – программируемая логическая интегральная схема), кото- рая обеспечивает синхронизацию конт- рольных точек приложения с SIL 4 для требуемой избыточности 2oo2 (2 out of 2 voting – мажоритарная схема 2 из 2). Третий процессор отвечает за общий ввод/вывод. Благодаря широкой рас- пространённости и многолетнему ры- ночному опыту работы с этими процес- сорами все известные критически важ- ные ошибки уже известны и документи- рованы. Поэтому, если соблюдаются из- вестные правила проектирования плат, систематические ошибки, которые мо- гут повлиять на поведение безопасно- сти, исключаются. Безопасный домен с QNX Neutrino Для исполнения критически важных приложений контроллер menTCS MH50C имеет предустановленную опе- рационную систему реального времени QNX Neutrino, специально адаптиро- ванную к интегрированному оборудо- ванию. По сравнению с проприетарны- ми операционными системами эта ин- теграция сама по себе экономит разра- ботчикам и OEM-производителям око- ло двух миллионов евро в расходах по проекту и позволяет им избежать всех рисков, связанных с сертификацией. Пакет поддержки платы для разработок под QNX Neutrino также является сер- тифицированным по SIL 4 на платфор- ме menTCS и, следовательно, с самого начала обеспечивает наивысшую сте- пень надёжности. QNX Neutrino использует микроядер- ную архитектуру, которая строго изоли- РАЗ РА БОТ КИ / ЖЕ Л Е ЗНОДОРОЖНЫЙ Т РАНСПОР Т СТА 3/2018 46 www.cta.ru Коммуникации (общая память RAM, виртуальная сеть Ethernet) Внешние интерфейсы «Чёрный» канал Программная архитектура menTCS Безопасный домен (плата ЦП) Безопасный домен (платы ввода/вывода) Домен ввода/вывода (плата ЦП) Пользовательское безопасное приложение Безопасная библиотека ввода/вывода (PACY). Сравнение Безопасная операционная система Безопасная библиотека ввода/вывода (PACY) Безопасная операционная система Пользовательское безопасное приложение Сравнение Сравнение Уровень взаимодействия с безопасным доменом Не жизненно важные приложения, коммуникации, диагностика, сервисные функции Библиотеки драйверов Ядро Soft Real-Time Linux Рис. 2. Платформа menTCS является первой в мире системой, не зависящей от конечного приложения