专利名称:一种冗余控制系统的制作方法
技术领域:
本实用新型涉及冗余控制系统,尤其是涉及一种2 X 2取2冗余结构的冗余控制系统。
背景技术:
近几年来随着中国经济和国情的发展,道路建设成为国家建设的一个重点,特别 是轨道交通。为了保证列车运行的安全性和可靠性,轨道交通控制系统中需要设置冗余控 制系统。现有的冗余控制系统有2取2冗余结构、3取2冗余结构、2X2取2冗余结构,下 面就这几种冗余结构分别进行说明。2取2冗余结构,即双模冗余结构,两个模块同时执行相同的操作,并随时交换同 步数据,一旦主机出现故障,备机立即接替主机的任务,实现冗余控制系统不间断运行。但 这种结构安全保障性较差,尤其是当两套设备的计算结构不一致时无法确定到底哪个正 确,因此造成不可忽视的安全隐患。3取2冗余结构,即三模冗余结构,三个模块同时执行相同的操作,以多数相同的 输出作为表决器的正确输出,三个模块中只要不同时出现两个相同的错误,就能掩蔽掉故 障模块的错误,保证系统正确输出。由于三个模块是相互独立的,两个模块同时出现错误是 极小概率事件,因此具有较高的可信性,广泛应用于现阶段的轨道交通检测系统中。3取2 安全冗余结构,保证了系统的安全性,但该结构对表决器的要求较高,该结构中只要其中一 个模块故障,表决器的输出可靠性就会受到影响。2X2取2冗余结构,分为I、II系计算机系统,各系内部为2取2结构,双系互为 热备;每一系又包括双套计算机子系统。每一系中必须双机工作一致才能对外输出,实现全 系统的安全性;任一系检出故障均可立即倒向备系工作,较好地实现全系统的可靠性。2X2 取2冗余结构中每一系中双套计算机子系统的同步以及I、II系计算机系统的同步一般 采用网络或处理通道进行,很大部分依赖网卡或处理卡本身的可靠性,一旦软件出错造成 网卡或处理器卡死机,同步功能也会丧失,备用系统无法确定同步点,造成系统的崩溃或死 机,因此从整体上会降低整体系统的可靠性。
实用新型内容本实用新型的目的是针对上述现有技术的缺陷,提供一种2 X 2取2冗余结构的冗 余控制系统。本实用新型提供的冗余控制系统,包含第一系计算机系统、第二系计算机系统以 及系间仲裁模块,系间仲裁模块分别与第一系计算机系统及第二系计算机系统连接;每系 计算机系统包含第一套计算机子系统、第二套计算机子系统以及系内仲裁模块,系内仲裁 模块分别与第一套计算机子系统及第二套计算机子系统连接;其中,所述冗余控制系统还 包括同步装置,同步装置包括四个同步卡,每个同步卡对应连接一套计算机子系统,四个同 步卡依次互联。[0008]四个同步卡依次采用差分信号进行连接。同步卡包括同步超时中断模块,用于根据预设在计算机子系统中的同步超时时 间,判断需要同步的计算机子系统是否存在同步超时,如果存在同步超时,向该需要同步的 计算机子系统发出同步超时中断。同步卡包括同步使能模块,用于与该同步卡连接的计算机子系统到达需要同步的 同步点时,启动同步卡的同步使能。所述同步卡包括同步完成中断模块,用于判断需要同步的计算机子系统同步是否 完成,如果同步完成,向该需要同步的计算机子系统发出同步完成中断。四个同步卡优先保证各系中两套计算机子系统之间的同步。每套计算机子系统包含CPU控制模块、数字量I/O模块、串口通讯模块、同步模块。系内仲裁模块还包括离算量输出表决模块,用于判断该系内的两套计算机子系统 中数字量I/O模块的离算量输出结果是否一致,如果一致,则选择该系的离算量输出作为 系统的离算量输出;如果不一致,则向系间仲裁模块报告故障,系间仲裁模块将离算量输出 切换到另一系,选择另一系的离算量输出作为系统的离算量输出。系内仲裁模块还包括串口通讯表决模块,用于判断该系内的两套计算机子系统中 串口通讯模块发送的数据帧是否一致,如果一致,则选择该系的串口通讯输出作为系统的 串口通讯输出;如果不一致,则向系间仲裁模块报告故障,系间仲裁模块将串口通讯输出切 换到另一系,选择另一系的串口通讯输出作为系统的串口通讯输出。系间仲裁模块还包括串口监测模块,系间仲裁模块需将串口通讯输出切换到另一 系时,当串口监测模块监测到有正在发送的正常串口,则需要等到整帧数据发送完毕后再 进行切换。本实用新型提供的冗余控制系统,同步方式是通过为每一套计算机子系统设置一 个独立的同步卡,四个同步卡依次互联,保证了两系计算机系统之间的同步以及各系中两 套计算机子系统之间的同步;由于该同步方式采用了硬件同步,不需要软件的太多干涉,减 少了系统资源的占用,另外硬件同步提高了系统同步的精度,同时减少了应用程序对同步 的干扰,提高了同步的可靠性。
图1为一种冗余控制系统的结构示意图。
具体实施方式
以下结合附图和具体实施例对本实用新型作进一步说明,但不作为对本实用新型 的限定。图1为一种冗余控制系统的结构示意图。该冗余控制系统系统,包含I系计算机 系统、II系计算机系统以及系间仲裁模块;系间仲裁模块分别与I系计算机系统及II系计 算机系统连接。每系计算机系统包含第一套计算机子系统(图中为A机)、第二套计算机 子系统(图中为B机)及系内仲裁模块;系内仲裁模块分别与第一套计算机子系统(图中 为A机)及第二套计算机子系统(图中为B机)连接。该冗余控制系统还包括同步装置, 同步装置在图1中包括四个同步卡,每个同步卡对应连接一套计算机子系统,四个同步卡依次互联。每套计算机子系统A机/B机可以包含CPU控制模块、数字量I/O模块、串口通讯 模块、同步模块。其中串口通讯模块又可以包括高速串口通讯模块、8串口通讯模块。本实用新型提供的冗余控制系统,同步方式是通过为每一套计算机子系统设置一 个独立的同步卡,四个同步卡依次互联,保证了两系计算机系统之间的同步以及各系中两 套计算机子系统之间的同步,所有同步所需要的通讯和同步点的判别,以及中途同步插入 的处理都由同步卡来完成;由于该同步方式采用了硬件同步,不需要软件的太多干涉,减少 了系统资源的占用;同时硬件同步提高了系统同步的精度,同时减少了应用程序对同步的 干扰,提高了同步的可靠性;另外同时同步方式不依赖各套计算机子系统中的软硬件,如 CPU处理器或操作系统,能够支持CPU处理器或操作系统的异构,并且可以支持通过不同的 异构达到更高的安全性和可靠性。另外,通过对计算机子系统以及系内仲裁模块的进一步地设置,可以板级的故障 诊断,使得整个系统中的故障定位到板级,提高了整个系统的可维修性,减少了维护和维修 的时间。下面将通过以下几个方面来说明本实用新型可以达到的技术效果,以及对应达到 的技术效果系统内各模块的具体设置。a)各个计算机子系统之间的同步在整个系统中,为了确保系统输出的安全,系统的输出必须是A、B机的输出经过 系内仲裁模块的比较后的结果。即当A、B机的输出是一致的则仲裁模块将该输出作为系统 的输出,而如果不一致则会向系间仲裁模块报告故障,由系间仲裁模块将系统的输出切换 到另外一系。但是A、B机由于硬件或者软件上的差异,输出的离散量和通讯数据会有时间 上的差异。而仲裁模块如果接收到了 A机的输出,在规定的比较时间内没有接收到B机的 输出,则会比较不一致,就会导致系统不可用。因此需要有一种方式让A、B机的运算和输出 在时间上保持一致,即同步。本实用型型冗余控制系统中设置同步卡的具体方案如下1)同步卡之间采用高可靠的差分信号进行连接;2)由用户设定计算机子系统的同步超时时间,同步卡包括同步超时中断模块,用 于根据预设在计算机子系统中的同步超时时间,判断需要同步的计算机子系统是否存在同 步超时,如果存在同步超时,向该需要同步的计算机子系统发出同步超时中断。3)同步卡包括同步完成中断模块,用于判断需要同步的计算机子系统同步是否完 成,如果同步完成,向该需要同步的计算机子系统发出同步完成中断。4)同步卡包括同步使能模块,用于当与该同步卡连接的计算机子系统到达需要同 步的同步点时,可以通过调用同步函数来或通过软件开关的方式启动同步卡的同步使能。5)四个同步卡优先保证各系中两套计算机子系统之间的同步。b)安全的离散输入输出轨道交通中,所有关键的对外控制都为离散输入输出,因此离散输入输出在系统 中尤为重要,就是在轨道交通中所谓的安全输入输出。在本实用新型中,采用了可靠和安全 并重的2X2取2冗余控制系统,对离散量进行了多重的隔离和严格的仲裁,并且为了保证 系统的可靠性,能够无缝的切换到另外一个热备系。从而确保了整个系统的离散量输入输出的安全性和可靠性。本实用新型冗余控制系统中实现安全的离散量输入输出可以采取如下方案1)外部输入采用输入隔离后同时接入两系计算机,确保了两系不会互相干扰。2)输出进行电气隔离,确保了输出I/O的安全性。3)输入输出都采用了有效的防抖电路。4)采用仲裁系统对A、B机的离散量输出进行仲裁,在A、B机的离散量输出结果一 致的情况下才允许系统的输出,确保整个系统输出的安全性。5)当A、B机离散量输出不一致时,系间仲裁模块能够无缝的进行切换,保证了系 统的可靠性。具体地可以在系内仲裁模块设置离算量输出表决模块,用于判断该系内的两 套计算机子系统中数字量I/O模块的离算量输出结果是否一致,如果一致,则选择该系的 离算量输出作为系统的离算量输出;如果不一致,则向系间仲裁模块报告故障,系间仲裁模 块将离算量输出切换到另一系,选择另一系的离算量输出作为系统的离算量输出。c)安全的通讯仲裁接口很多各系统中对通讯接口都不进行仲裁和切换,这样的话如果在2 X 2取2冗余控 制系统中发生通讯故障,系统是不能够确保通讯的正确性和其可靠性。而在本实用新型中, 在考虑安全的离散输入输出的同时,还可以进一步地考虑安全的通讯仲裁接口,因此对系 统中的2X2取2异步通讯也进行了相应的仲裁和切换。本实用新型冗余控制系统中实现 安全的通信仲裁接口可以采取如下方案1)所有的2X2取2异步通讯接口在输出端都进行电气隔离。2)所有的2X2取22异步通讯接口都采用整帧仲裁法(即A、B机发送完一帧数 据后,仲裁卡进行比较仲裁)。3)A, B机的底层函数给应用层发送的数据帧添加相应的帧头帧尾,以方便仲裁卡 进行完整的数据帧检测。具体地可以在系内仲裁模块设置串口通讯表决模块,用于判断该 系内的两套计算机子系统中串口通讯模块发送的数据帧是否一致,如果一致,则选择该系 的串口通讯输出作为系统的串口通讯输出;如果不一致,则向系间仲裁模块报告故障,系间 仲裁模块将串口通讯输出切换到另一系,选择另一系的串口通讯输出作为系统的串口通讯 输出。4)对于串口仲裁的超时时间为可设定。5)由串口仲裁器负责向系统汇报串口仲裁的结果。6)系内仲裁模块可控制串口仲裁器的最终输出使能。d)两系之间的无缝切换2 X 2取2冗余控制系统中,两系之间为互为热备关系,如果当前工作系为I系那么 II系则处于热备份的状态,但是II系所有的计算和工作内容都和I系一致,只是整个系统 的输出由系间仲裁模块切换到了 I系。但是当I系中的A,B两机中的任何一机发生了故障 时,或者是I系中的A,B两机输出的比较结果不一致时,系间仲裁模块将会将所有的系统输 出切换到热备系即II系。但是在这个过程中,如果两系不同步则会造成切换过程中的丢步 或者是重复流程的过程;并且即使两系同步,但是由于一个系中有多个串口工作,当一个串 口比较出现错误时,而在切换的时候另一个串口正在发送数据,则容易造成数据帧的断帧。 本实用新型冗余控制系统中实现两系之间的无缝切换采取如下方案[0051]1)为了保障两系之间的同步,同时又确保系内的同步,则进行了所有系统内的计 算机子系统的同步处理,即4个计算机子系统全部同步。2)各系中的A,B两机具有实时监测功能,随时监测A,B两机中的所有板卡的状态, 确保A,B两机的健康状态,如果出现异常,能够及时进行两系的切换。3)各系中的A,B两机向系内仲裁模块提供心跳信息,避免A,B两机出现死机而未 能被系内仲裁模块侦测到。具体地可以在A,B机中分别设置实时监测模块,用于实时监测 该套计算机子系统中所有板卡的健康状态,向系内仲裁模块提供该套计算机子系统中所有 板卡的健康状态;系内仲裁模块还用于向系间仲裁模块提供本系计算机系统中的各套计算 机子系统中所有板卡的健康状态。4)系内仲裁模块向系间仲裁模块提供本系内的A,B两机健康状态。5)系内仲裁模块向系间仲裁模块提供系内仲裁模块的健康状态和心跳信息。6)系间仲裁模块在切换工作系和备份系的过程中根据两系仲裁卡上报的结果进 行分析和切换,当发现有正在发送的正常串口,则需要等到整帧数据发送完毕后才能进行 切换。这样保障了整个系统不会出现错误的数据帧和断帧。具体的可以在系间仲裁模块中 设置串口监测模块,系间仲裁模块需将串口通讯输出切换到另一系时,当串口监测模块监 测到有正在发送的正常串口,则需要等到整帧数据发送完毕后再进行切换。e)板级自动故障诊断为了提高系统的安全性,仲裁模块必须能够及时地发现系统中发生的故障状态。 因此系统必须具有较强的实时监测功能,能够实时的发现本系的故障,避免在故障状态下 输出离散量和数据通讯,从而导致系统的不安全。而从维护和维修的角度看,系统发生故障 后需要将故障定位到板级,更利于故障的维修和系统的维护。以轨道交通为例,在轨道交通 的该冗余控制系统是全自动化控制系统,属于无人值守,而当工作系发生了故障又能够无 缝的切换到另外一个备份系进行工作,因此当故障发生时,如果不进行记录,容易将故障忽 略,为了能够更好的对冗余控制系统进行维护和监测,需要有个相对完整的故障记录功能, 能够将故障精确定位到板级,方便系统的维护。本实用新型冗余控制系统中实现板级自动 故障诊断采取如下方案1)每系中的A,B机的各自的CPU控制模块通过看门狗和心跳信息向系内仲裁模 块报告健康状态。具体地可以在A,B机中分别设置实时监测模块,用于实时监测该套计算 机子系统中所有板卡的健康状态,确定该套计算机子系统的健康状态,向系内仲裁模块提 供该套计算机子系统的健康状态。2)各系中的A、B机的同步卡由CPU控制模块启动实时监测软件,对其健康状态进 行检测。3)各系中的A、B机的串口通讯模块通过自闭环进行实时监测。4)各系中的A、B机的数据量I/O模块通过自闭环进行实时监测。5) A,B两机分别对各自的故障状态进行实时记录和实时报警;对另一系的故障也 同样能够进行记录。进一步地,本实用新型在实际设计时,还会考虑一些现实因素,如器件的选择方 面,考虑其温度环境的适应性,并且在电路设计中充分了考虑了余度设计,从而使整体系统 满足-40-+85度环境工作;连接器的模式,采用了标准的CPCI连接器,在整体设计中采用军工产品的相关设计要求,保证了整个系统的抗震性;板卡的工艺,系统中的所有板卡均采用 特殊的三防工艺来确保一些特殊城市的抗盐雾要求。 最后应说明的是以上实施例仅用以说明本实用新型的技术方案,而非对其限制; 尽管参照前述实施例对本实用新型进行了详细的说明,本领域的普通技术人员应当理解: 其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等 同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本实用新型各实施例技术 方案的精神和范围。
权利要求1.一种冗余控制系统,包含第一系计算机系统、第二系计算机系统以及系间仲裁模块, 系间仲裁模块分别与第一系计算机系统及第二系计算机系统连接;每系计算机系统包含第 一套计算机子系统、第二套计算机子系统以及系内仲裁模块,系内仲裁模块分别与第一套 计算机子系统及第二套计算机子系统连接;其特征在于,所述冗余控制系统还包括同步装 置,同步装置包括四个同步卡,每个同步卡对应连接一套计算机子系统,四个同步卡依次互 联。
2.根据权利要求1所述的冗余控制系统,其特征在于,四个同步卡依次采用差分信号 进行连接。
3.根据权利要求1所述的冗余控制系统,其特征在于,四个同步卡优先保证各系中两 套计算机子系统之间的同步。
4.根据权利要求1所述的冗余控制系统,其特征在于,所述每套计算机子系统包含CPU 控制模块、数字量I/O模块、串口通讯模块、同步模块。
5.根据权利要求4所述的冗余控制系统,其特征在于,系内仲裁模块还包括离算量输 出表决模块,用于判断该系内的两套计算机子系统中数字量I/O模块的离算量输出结果是 否一致,如果一致,则选择该系的离算量输出作为系统的离算量输出;如果不一致,则向系 间仲裁模块报告故障,系间仲裁模块将离算量输出切换到另一系,选择另一系的离算量输 出作为系统的离算量输出。
6.根据权利要求4所述的冗余控制系统,其特征在于,系内仲裁模块还包括串口通讯 表决模块,用于判断该系内的两套计算机子系统中串口通讯模块发送的数据帧是否一致, 如果一致,则选择该系的串口通讯输出作为系统的串口通讯输出;如果不一致,则向系间仲 裁模块报告故障,系间仲裁模块将串口通讯输出切换到另一系,选择另一系的串口通讯输 出作为系统的串口通讯输出。
7.根据权利要求6所述的冗余控制系统,其特征在于,系间仲裁模块还包括串口监测 模块,系间仲裁模块需将串口通讯输出切换到另一系时,当串口监测模块监测到有正在发 送的正常串口,则需要等到整帧数据发送完毕后再进行切换。
专利摘要本实用新型涉及一种冗余控制系统,包含第一系计算机系统、第二系计算机系统以及系间仲裁模块,系间仲裁模块分别与第一系计算机系统及第二系计算机系统连接;每系计算机系统包含第一套计算机子系统、第二套计算机子系统以及系内仲裁模块,系内仲裁模块分别与第一套计算机子系统及第二套计算机子系统连接;其中,所述冗余控制系统还包括同步装置,同步装置分别与每系计算机系统中的每套计算机子系统连接。本实用新型实现了系内同步保证了系统的安全性,同时又实现了系间同步从而保证了系统的可靠性。
文档编号G05B19/02GK201909961SQ201020194078
公开日2011年7月27日 申请日期2010年5月18日 优先权日2010年5月18日
发明者周旭涛, 左北国, 胡波 申请人:北京捷世伟业电子科技有限公司