基于二乘二取二安全冗余系统的控制装置的制造方法

基于二乘二取二安全冗余系统的控制装置的制造方法
【专利摘要】本实用新型公开了一种基于二乘二取二安全冗余系统的控制装置，包括第一二取二系统、第二二取二系统、系统冗余电源和切系装置；系统冗余电源分别为第一二取二系统、第二二取二系统和切系装置供电；切系装置能对第一二取二系统和第二二取二系统进行运行状况切换。上述基于二乘二取二安全冗余系统的控制装置，具有较高的可用性、可靠性和安全性。
【专利说明】
基于二乘二取二安全冗余系统的控制装置
技术领域
[0001] 本实用新型涉及通讯安全控制技术领域，特别是涉及一种基于二乘二安全冗余系 统的控制装置。
【背景技术】
[0002] 安全控制平台是各个工业领域重要处理平台，具备信号输入、逻辑处理和信号输 出等基本功能。安全控制平台对可靠性、可用性、可维护性和安全性等方面的要求均应符合 EN50126中的相关规定。 【实用新型内容】
[0003] 本实用新型提供一种可靠性较高、可用性较强的基于二乘二安全冗余系统的控制 装置。
[0004] 为解决上述技术问题，本实用新型所采取的技术方案是:一种基于二乘二取二安 全冗余系统的控制装置，包括第一二取二系统、第二二取二系统、系统冗余电源和切系装 置；
[0005] 所述系统冗余电源为所述第一二取二系统、所述第二二取二系统和所述切系装置 供电；
[0006] 所述切系装置能对所述第一二取二系统和所述第二二取二系统进行运行状况切 换。
[0007] 优选的，所述切换为自动切换，即根据两个二取二系统的运行状况自动选择主系。
[0008] 优选的，所述第一二取二系统或所述第二二取二系统包括第一安全电源、第一主 控单元、第二主控单元、第一通信单元、第二通信单元、第一采集单元、第二采集单元、第一 输出单元、第二输出单元和第一记录单元；
[0009] 所述第一安全电源为所述第一主控单元、所述第一通信单元、所述第一采集单元 和第一输出单元提供独立的逻辑电源;所述第一安全电源为所述第二主控单元、所述第二 通信单元、所述第二采集单元和第二输出单元提供独立的逻辑电源；
[0010] 所述第一主控单元分别与所述第一通信单元、所述第一采集单元、第一输出单元 和所述第一记录单元通信连接;所述第一通信单元、所述第一采集单元、第一输出单元和所 述第一记录单元形成所述第一二取二系统的第一通道；
[0011]所述第二主控单元分别与所述第二通信单元、所述第二采集单元、第二输出单元 和所述第一记录单元通信连接;所述第二通信单元、所述第二采集单元、第二输出单元和所 述第一记录单元形成所述第一二取二系统的第二通道。
[0012]优选的，还包括通信接口 A、通信接口 B、输出接口 A和采集接口 A;
[0013]所述通信接口 A与所述第一通信单元连接;所述通信接口 B与所述第二通信单元连 接;所述输出接口 A与所述第一输出单元和所述第二输出单元连接;所述采集接口 A与所述 第一采集单元和所述第二采集单元连接。
[0014] 优选的，所述第一安全电源接收所述第一主控单元和所述第二主控单元输出的动 态信号，并对应为所述通信接口 A、所述通信接口 B和所述输出接口 A供电。
[0015] 优选的，所述第一输出单元和所述第二输出单元均包括延时电路，所述延时电路 用于对各个输出单元输出的信号进行延时。
[0016] 优选的，所述第一通信单元和所述第二通信单元之间、所述第一输出单元和所述 第二输出单元之间以及所述第一采集单元和所述第二采集单元之间均形成一个二取二单 元；
[0017] 每个所述二取二单元包括时钟隔离电路、数据隔离电路和两套对称的硬件结构； 所述时钟隔离电路和所述数据隔离电路设置在两套所述硬件结构之间，并均与两套所述硬 件结构电连接；
[0018] 每套所述硬件结构包括运算CPU、调度FPGA、独立电源和独立接口电路及相应的扩 展电路;所述运算CHJ与所述调度FPGA连接，所述调度FPGA与所述独立接口电路连接;所述 独立电源为所述运算CPU、所述调度FPGA、所述独立接口电路和相应的扩展电路供电。
[0019] 优选的，所述切系装置包括钥匙开关和互斥电路;所述钥匙开关和所述互斥电路 电连接；
[0020] 所述切系装置接收所述第一安全电源输出的条件输出电源，以及所述第一主控单 元和所述第二主控单元输出的主备状态信号;所述切系装置将所述钥匙开关输出的主备系 选择信号和所述互斥电路输出的主备切系选择信号发送至对应的主控单元。
[0021] 优选的，所述系统冗余电源包括第一冗余电源、第二冗余电源和第三冗余电源；
[0022] 所述第一冗余电源为所述第一二取二系统供电，所述第二冗余电源为所述切系装 置供电，所述第三冗余电源为所述第二二取二系统供电；
[0023]所述第一冗余电源、所述第二冗余电源和所述第三冗余电源相互隔离。
[0024]采用上述技术方案所产生的有益效果在于:第一二取二系统和第二二取二系统， 包含完全相同的软件和硬件，且供电独立，构成二乘冗余关系，保障目标系统的可用性和可 靠性;而且设置切系装置，能够更好提高可用性。进一步的，每个二取二系统均包含两个输 入一致的处理通道，两个处理通道输出经"硬件表决"模块等安全电路对外输出，构成二乘 二取二安全结构，保障目标系统的安全性。而且，该控制装置能够满足车载和地面多类应用 场景，提供可扩展的安全的输入输出接口，为用户提供业务层接口和通信通道协议更新接 □ 〇
【附图说明】
[0025]图1是本实用新型的结构不意图；
[0026] 图2是本实用新型一个实施例的详细结构示意图；
[0027] 图3是本实用新型与维修设备和外部设备连接示意图；
[0028] 图4是图2中各二取二单元的硬件结构示意图；
[0029]图5是图4的二取二表决过程不意图；
[0030] 图6是图4中各二取二单元程序执行过程示意图；
[0031] 图7是本实用新型应用扩展示意图。
【具体实施方式】
[0032] 下面结合附图和【具体实施方式】对本实用新型作进一步详细的说明。
[0033] 如图1所示，一个实施例中，基于二乘二取二安全冗余系统的控制装置可以包括系 统冗余电源100、第一二取二系统210、第二二取二系统220和切系装置300。其中，系统冗余 电源100分别为第一二取二系统210、第二二取二系统220和切系装置300供电。切系装置300 分别与第一二取二系统210和第二二取二系统220连接。切系装置300设置有强制第一二取 二系统210为主系、强制第二二取二系统220为主系和根据两个二取二系统的运行状况选择 主系的三种工作状态。
[0034] 参见图2,作为一种可实施方式，第一二取二系统210和第二二取二系统220的结构 相同，为便于后续描述，将第一二取二系统210和第二二取二系统220的具体结构以不同名 称命名。第一二取二系统210可以包括第一安全电源211、第一主控单元2121、第二主控单元 2122、第一通信单元2131、第二通信单元2132、第一采集单元2151、第二采集单元2152、第一 输出单元2141、第二输出单元2142和第一记录单元216。第一安全电源211为第一主控单元 2121、第一通信单元2131、第一采集单元2151和第一输出单元2141提供独立的逻辑电源。第 一安全电源211为第二主控单元2122、第二通信单元2132、第二采集单元2152和第二输出单 元2142提供独立的逻辑电源。
[0035]第一主控单元2121分别与第一通信单元2131、第一采集单元2151、第一输出单元 2141和第一记录单元216通信连接。具体的，第一主控单元2121可以通过第一内部总线217， 以一主多从模式分别与第一通信单元2131、第一米集单元2151、第一输出单元2141和第一 记录单元216通信连接。第一通信单元2131、第一采集单元2151、第一输出单元2141和第一 记录单元216形成第一二取二系统210的第一通道，以实现第一二取二系统210的第一通道 内部的数据调度过程。其中，第一二取二系统210的第一通道，即为图3中所示的I系A通道。 [0036]第二主控单元2122分别与第二通信单元2132、第二采集单元2152、第二输出单元 2142和第一记录单元216通信连接。具体的，第二主控单元2122可以通过第二内部总线218， 以一主多从模式分别与第二通信单元2132、第二采集单元2152、第二输出单元2142和第一 记录单元216通信连接。第二通信单元2132、第二采集单元2152、第二输出单元2142和第一 记录单元216形成第一二取二系统210的第二通道，以实现第一二取二系统210的第二通道 内部的数据调度过程。其中，第一二取二系统210的第二通道，即为图3中所示的I系B通道。 [0037]进一步的，参见图2,第一二取二系统210还可以包括通信接口 A、通信接口 B、输出 接口 A和采集接口 A。通信接口 A与第一通信单元2131连接。通信接口 B与第二通信单元2132 连接。输出接口 A与第一输出单元2141和第二输出单元2142连接。采集接口 A与第一采集单 元2151和第二采集单元2152连接。其中，第一安全电源211接收第一主控单元2121和第二主 控单元2122输出的动态信号，作为条件电源的条件判断信号，并对应为通信接口A、通信接 口 B和输出接口 A供电。
[0038] 参见图2,作为一种可实施方式，第二二取二系统220包括第二安全电源221、第三 主控单元2221、第四主控单元2222、第三通信单元2231、第四通信单元2232、第三采集单元 2251、第四采集单元2252、第三输出单元2241、第四输出单元2242和第二记录单元226。第二 安全电源221为第三主控单元2221、第三通信单元2231、第三采集单元2251和第三输出单元 2241提供独立的逻辑电源。第二安全电源221为第四主控单元2222、第四通信单元2232、第 四采集单元2252和第四输出单元2242提供独立的逻辑电源。
[0039]第三主控单元2221分别与第三通信单元2231、第三采集单元2251、第三输出单元 2241和第二记录单元226通信连接。具体的，第三主控单元2221可以通过第三内部总线227， 以一主多从模式分别与第三通信单元2231、第三采集单元2251、第三输出单元2241和第二 记录单元226通信连接。第三通信单元2231、第三采集单元2251、第三输出单元2241和第二 记录单元226形成第二二取二系统220的第一通道，以实现第二二取二系统220的第一通道 内部的数据调度过程。其中，第二二取二系统220的第一通道，即为图3中所示的B系A通道。
[0040] 第四主控单元2222分别与第四通信单元2232、第四采集单元2252、第四输出单元 2242和第二记录单元226通信连接。具体的，第四主控单元2222可以通过第四内部总线228， 以一主多从模式分别与第四通信单元2232、第四采集单元2252、第四输出单元2242和第二 记录单元226通信连接。第四通信单元2232、第四采集单元2252、第四输出单元2242和第二 记录单元226形成第二二取二系统220的第二通道，以实现第二二取二系统220的第二通道 内部的数据调度过程。其中，第二二取二系统220的第二通道，即为图3中所示的II系B通道。
[0041] 进一步的，参见图2,第二二取二系统220还可以包括通信接口 C、通信接口 D、输出 接口 B和采集接口 B。通信接口 C与第三通信单元2231连接。通信接口 D与第四通信单元2232 连接。输出接口 B与第三输出单元2241和第四输出单元2242连接。采集接口 B与第三采集单 元2251和第四采集单元2252连接。其中，第二安全电源221接收第三主控单元2221和第四主 控单元2222输出的动态信号，作为条件电源的条件判断信号，并对应为通信接口C、通信接 口 D和输出接口 B供电。
[0042] 一个实施例中，切系装置300可以包括钥匙开关和互斥电路。钥匙开关和互斥电路 电连接。切系装置300接收第一安全电源211和所述第二安全电源221输出的条件输出电源， 以及第一主控单元2121至第四主控单元2222输出的主备状态信号。切系装置300将钥匙开 关输出的主备系选择信号和互斥电路输出的主备切系选择信号发送至对应的主控单元。 [0043]本实施例中，通过切系装置300的钥匙开关可以手动或自动确定第一二取二系统 210和第二二取二系统220中的一个系统为主系，并确保某一时刻第一二取二系统210和第 二二取二系统220中有且只有一个系统为主系。另外，还可以通过切系装置300识别主备系 状态信息。例如，当前第一二取二系统210和第二二取二系统220中哪一二取二系统为主系， 及主备系的工作状态信息等。
[0044] 进一步的，第一输出单元2141至第四输出单元2242均包括延时电路。延时电路用 于对各个输出单元输出的信号进行预设延时。其中，各个输出端口在获得关闭命令后，T0时 间内不会关闭最终输出，而会在T1时间内可靠关闭。另外，若因某一二取二系统故障而导致 该系输出端口关闭输出，则在T0时间内可靠切系，转由另一二取二系统继续输出，实现无缝 切换操作。
[0045]作为一种可实施方式，各通信接口中均可设置时间判断函数、数据时间戳功能和 动态方波功能，严格对数据实时性进行把关，任何一处的数据收发时间超时或数据超时，均 将导致所对应的二取二系统不能正常运行而关闭最终输出，并切换到另一二取二系统工 作。具体的，在通信接口A和/或通信接口B的收发时间超过预设时间或数据超过预设时间 时，关闭第一二取二系统210，并切换至第二二取二系统220工作。在通信接口 C和/或通信接 口 D的收发时间超过预设时间或数据超过预设时间，关闭第二二取二系统220,并切换至第 一二取二系统210工作。
[0046] 第一通信单元2131和第二通信单元2132之间设置表决函数。第一输出单元2141和 第二输出单元2142之间设置表决函数。第一采集单元2151和第二采集单元2152之间设置表 决函数。第三通信单元2231和第四通信单元2232之间设置表决函数。第三输出单元2241和 第四输出单元2242之间设置表决函数。以及第三采集单元2251和第四采集单元2252之间设 置表决函数。设置表决函数，能够对各个单元中的输入数据、输出数据和/或运行状态实施 实时表决。
[0047] 其中，对输入数据、输出数据和/或运行状态实施实时表决的方法为:对被表决的 数据进行字节模二加操作，并表决预设次数，若有一次为真，则表决通过;否则，跳入故障陷 阱，关闭对应的通信接口和输出接口。如图5和图6所示，如果在运行过程中某处理单元数据 表决不一致超限，系统将跳入故障陷阱，关闭对应的通信接口和输出接口，并输出维护指示 信息。
[0048] 具体的，第一通信单元2131和第二通信单元2132之间、第一输出单元2141和第二 输出单元2142之间、第一采集单元2151和第二采集单元2152之间、第三通信单元2231和第 四通信单元2232之间、第三输出单元2241和第四输出单元2242之间以及第三采集单元2251 和第四采集单元2252之间均形成一个二取二单元。所有二取二单元均设置软件通信表决功 能，通信双方信号隔离。即按照系统周期运行过程中均设置软件表决函数，对本节点处的输 入数据、输出数据、运行状态实施实时表决。通过对被表决的数据进行字节模二加操作，表 决预设次数次后如果有一次为真，则表决通过，程序可以继续执行下一任务;否则跳入故障 陷阱，关闭对应的通信接口和输出接口。
[0049] 参见图4,一个实施例中，每个二取二单元均可以包括时钟隔离电路、数据隔离电 路和两套对称的硬件结构10。时钟隔离电路和数据隔离电路设置在两套硬件结构10之间， 并均与两套硬件结构10电连接，作为通道时钟同步、数据同步和任务同步等同步操作电路。 其中，每套硬件结构10包括运算CPU 11、调度FPGA 12、独立电源14和独立接口电路13及相 应的扩展电路。不同单元对应的硬件结构10中的扩展电路不同。运算CPU 11与调度FPGA 12 连接。调度FPGA 12与独立接口电路13连接。独立电源14为运算CPU 11、调度FPGA 12、独立 接口电路13和相应的扩展电路供电。
[0050] 具体的，由A通道的调度FPGA 12输出10ms间隔的任务同步脉冲，将该脉冲分别输 出给A通道的运算CPU 11和B通道的调度FPGA 12。再由B通道的调度FPGA 12将该10ms任务 同步脉冲输出给B通道的运算CPU 11和A通道的调度FPGA 12。此时，A通道的调度FPGA 12对 传回的l〇ms任务同步脉冲进行校验。A、B两个通道的运算CPU 11和B通道的调度FPGA 12应 用自身的时钟也对l〇ms任务同步脉冲进行检验。A、B两个通道的调度FPGA 12任何一方出现 故障，将导致l〇ms任务同步脉冲停止，从而系统任务停止。
[0051]另外，可根据不同的功能需求，设置对应的独立接口电路13。例如，主控单元对应 的独立接口电路13可以设置为内部通信总线接口。其他各类别单元的独立接口电路13除内 部总线接口外，还可以设置网卡接口、RS232接口、CAN总线接口、RS422/485接口、采集接口 以及输出接口中的一种以上的接口。当然，除去上述接口外的其他接口，也可根据相同的模 式在接口电路中作出调整，以满足系统需要。
[0052] 参见图5，各CPU和FPGA所有任务均设置在如图5中所示的同步脉冲节拍下进行。同 步顺序可以分为四步:第一步，各二取二单元A、B两个通道同步，以A通道同步为主;第二步， 系内各单板冋步，以主控单兀冋步为主;弟二步，I系和Π系系间的冋步，以I系主控单兀为 主;第四步，远端机笼与主控机笼之间的同步，以主控机笼同步为主。
[0053] 参见图2,一个实施例中，系统冗余电源100可以包括第一冗余电源110、第二冗余 电源120和第三冗余电源130。第一冗余电源110为第一二取二系统210供电。第二冗余电源 120为切系装置300和其他非安全部分供电。第三冗余电源130为第二二取二系统220供电。 第一冗余电源110、第二冗余电源120和第三冗余电源130相互隔离。另外，系统冗余电源100 还可以包括电源滤波装置。第一冗余电源110通过电源滤波装置为第一二取二系统210供 电。第二冗余电源120通过电源滤波装置为第二二取二系统220供电。第三冗余电源130通过 电源滤波装置为切系装置300和其他装置供电。
[0054] 作为一种可实施方式，第一冗余电源110可以包括第一冗余电源A和第一冗余电源 B。第二冗余电源120可以包括第二冗余电源A和第二冗余电源B。第三冗余电源130可以包括 第三冗余电源A和第三冗余电源B。各组冗余电源的输入均为AC220V交流电，第一冗余电源 110输出DC24V直流电给第一二取二系统210供电。第二冗余电源120输出DC24V直流电给切 系装置300和其他非安全部分供电。第3组电源输出DC24V直流电给第二二取二系统210供 电。
[0055] 参见图3,使用基于二乘二取二安全冗余系统的控制装置时，基于二乘二取二安全 冗余系统的控制装置与维修设备400和外部设备500连接。与维修设备400连接时，维修设备 400通过工艺冗余以太网分别与第一主控单元2121、第二主控单元2122、第三主控单元2221 和第四主控单元2222进行通信。
[0056]基于二乘二取二安全冗余系统的控制装置采集外部设备500的开关状态时，可使 得第一采集单元2151、第二采集单元2152、第三采集单元2251和第四采集单元2252分别连 接外部设备500的状态触点。也可使得第一采集单元2151和第二采集单元2152采集外部设 备500的一组状态触点，并使第三采集单元2251和第四采集单元2252采集外部设备500表 示同一信息的另一组状态触点，这样可以排除因外部配线受损而造成故障的因素。
[0057]基于二乘二取二安全冗余系统的控制装置驱动开关量输出时，第一输出单元 2141、第二输出单元2142、第三输出单元2241和第二输出单元2242,分别输出接口 A和输出 接口B。其中，输出接口A由第一输出单元2141和第二输出单元2142输出的开关量信号通过 硬件表决单兀获得。输出接口 B由第三输出单兀2241和第二输出单兀2242输出的开关量信 号通过硬件表决单元获得。两路输出接口均设置单向输出功能，可以根据被驱动设备的需 要，设置为两路驱动还是一路驱动。若设置为一路驱动时，可将输出接口 A和输出接口 B的正 端短接，负端短接，形成一个新的输出端口。
[0058]基于二乘二取二安全冗余系统的控制装置与外部设备500建立通信连接时，可配 置基于二乘二取二安全冗余系统的控制装置与外部设备500通信交叉连接或直连。支持的 外部通信设备必须是二乘二取二安全系统结构或者二取二安全系统结构。外部设备500某 系故障时，不会影响基于二乘二取二安全冗余系统的控制装置的正常功能。
[0059]由于基于二乘二取二安全冗余系统的控制装置的应用CPU分别存在与四组独立的 主控单元中，四组CPU均在实时同步的进行业务运算，并由维修设备400分别记录四组CPU的 逻辑输入、处理过程和逻辑输出。
[0060] 进一步的，第一主控单元2121和第三主控单元2221设置高速通信通道，第二主控 单元2122和第四主控单元2222设置高速通信通道。两两独立交互I系和Π系二取二输入和 输出数据、状态数据，实现二乘系统内部数据共享，保障某系因故障而不能正常工作时，无 缝切换至另一系继续运行并输出数据。
[0061] 上述基于二乘二取二安全冗余系统的控制装置，适合车载及地面多种应用环境。 根据不同的应用环境，可以配置不同的通信接口数量、采集接口数量和输出接口数量，在主 控单元中也设置了对应的模块虚拟接口。采用带电磁屏蔽功能的19英寸机笼，将图2中的各 个单元单板对称设置在机笼中。如果一个19英寸机笼的接口数量不能满足某应用场景的数 量需求时，装置及系统以机笼为单位进行扩展，如图7所示。带业务程序处理功能的机笼为 主控机笼600,不带业务程序处理功能的机笼的其他机笼为远端机笼700。在物理配置上，两 个二取二系统分别设置在主控机笼600的左右两侧。除安全电源单元、记录单元和切换装置 位置固定以外，其他单元板卡均可实现灵活配置。远端机笼700和主控机笼600基本一致，需 设置安全电源、主控单元，并根据需要配置通信单元、采集单元和输出单元，而主控单元不 设置逻辑软件处理功能，只负责本机笼的安全管理、内部数据调度和与主控机笼通信接口 的数据收发工作。远端机笼700也不设置切系装置。远端机笼700与主控机笼600通过以太网 通信进行数据传输，以交换机拓扑网络接口方式将二乘二取二安全计算机系统配置为光纤 环网设备，用以实现庞大系统中的多节点采集和输出功能。
[0062]远端机笼700数据采集获得后，通过组包和协议过程将数据发送给本机笼的主控 单元，再通过主控单元将所有单板数据整合成标准帧发送给主控机笼600的通信单元。主控 机笼600的通信单元将获得的各远端机笼700的数据按照固定的协议过程，发送给主控机笼 600的主控单元。
[0063] 主控机笼600在经过业务函数处理获得输出数据后，按照固定的协议过程发送给 通信单元，由通信单元将输出数据包分发给各个远端机笼700的主控单元。再由远端机笼 700的主控单元解析出本机笼的输出数据后，将数据按照固定的协议过程发送给本机笼的 各个输出单元，由输出单元通过硬件表决模块表决和输出。
[0064] 在数据收发过程中，经过任何一个单板环节都需要安装二取二模式将数据进行表 决，取表决通过的数据往下一级传输，如图5所示。如果某环节数据超时或数据不一致，装置 及系统将切除该链路数据，并转由另一链路数据继续工作。
[0065] 另外，主控机笼600中各安全电源的电源输出条件为主控单元的两通道CPU均输出 了正常的动态方波信号，如图5所示。远端机笼700中各安全电源的电源输出条件为本机笼 主控单元的两通道CPU均输出了正常的动态方波信号，同时远端机笼700的各安全电源也受 主控机笼600安全电源控制。如果主控机笼600中安全电源因输入条件不成立或者自身故 障，将导致该安全电源所在二取二系统所有安全电源单板停止供电，关闭该系所有输出接 口和通信接口。
[0066] 上述基于二乘二取二安全冗余系统的控制装置，第一二取二系统210和第二二取 二系统220,包含完全相同的软、硬件，供电独立，构成二乘冗余关系，保障目标系统的可用 性和可靠性;而且设置切系装置300,能够更好提高可用性。进一步的，每个二取二系统均包 含两个输入一致的处理通道，两个处理通道输出经"硬件表决"模块等安全电路对外输出， 构成二乘二取二安全结构，保障目标系统的安全性。而且，该控制装置能够满足车载和地面 多类应用场景，提供可扩展的安全的输入输出接口，为用户提供业务层接口和通信通道协 议更新接口。
[0067]以上所述仅为本实用新型的较佳实施例而已，并不用以限制本实用新型，凡在本 实用新型的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本实用新型 的保护范围之内。
【主权项】
1. 一种基于二乘二取二安全冗余系统的控制装置，其特征在于，包括第一二取二系统、 第二二取二系统、系统冗余电源和切系装置； 所述系统冗余电源为所述第一二取二系统、所述第二二取二系统和所述切系装置供 电； 所述切系装置能对所述第一二取二系统和所述第二二取二系统进行运行状况切换。2. 根据权利要求1所述的基于二乘二取二安全冗余系统的控制装置，其特征在于，所述 切换为自动切换，即根据两个二取二系统的运行状况自动选择主系。3. 根据权利要求2所述的基于二乘二取二安全冗余系统的控制装置，其特征在于，所述 第一二取二系统或所述第二二取二系统包括第一安全电源、第一主控单元、第二主控单元、 第一通信单元、第二通信单元、第一采集单元、第二采集单元、第一输出单元、第二输出单元 和第一记录单元； 所述第一安全电源为所述第一主控单元、所述第一通信单元、所述第一采集单元和第 一输出单元提供独立的逻辑电源;所述第一安全电源为所述第二主控单元、所述第二通信 单元、所述第二采集单元和第二输出单元提供独立的逻辑电源； 所述第一主控单元分别与所述第一通信单元、所述第一采集单元、第一输出单元和所 述第一记录单元通信连接;所述第一通信单元、所述第一采集单元、所述第一输出单元和所 述第一记录单元形成所述第一二取二系统的第一通道； 所述第二主控单元分别与所述第二通信单元、所述第二采集单元、第二输出单元和所 述第一记录单元通信连接;所述第二通信单元、所述第二采集单元、所述第二输出单元和所 述第一记录单元形成所述第一二取二系统的第二通道。4. 根据权利要求3所述的基于二乘二取二安全冗余系统的控制装置，其特征在于，所述 第一二取二系统还包括通信接口 A、通信接口 B、输出接口 A和采集接口 A; 所述通信接口 A与所述第一通信单元连接;所述通信接口 B与所述第二通信单元连接； 所述输出接口 A与所述第一输出单元和所述第二输出单元连接;所述采集接口 A与所述第一 采集单元和所述第二采集单元连接。5. 根据权利要求4所述的基于二乘二取二安全冗余系统的控制装置，其特征在于，所述 第一安全电源接收所述第一主控单元和所述第二主控单元输出的动态信号，并对应为所述 通信接口 A、所述通信接口 B和所述输出接口 A供电。6. 根据权利要求3所述的基于二乘二取二安全冗余系统的控制装置，其特征在于，所述 第一输出单元和所述第二输出单元均包括延时电路，所述延时电路用于对各个输出单元输 出的信号进行预设延时。7. 根据权利要求3所述的基于二乘二取二安全冗余系统的控制装置，其特征在于，所述 第一通信单元和所述第二通信单元之间、所述第一输出单元和所述第二输出单元之间、所 述第一采集单元和所述第二采集单元之间均形成一个二取二单元； 每个所述二取二单元包括时钟隔离电路、数据隔离电路和两套对称的硬件结构;所述 时钟隔离电路和所述数据隔离电路设置在两套所述硬件结构之间，并均与两套所述硬件结 构电连接； 每套所述硬件结构包括运算CPU、调度FPGA、独立电源和独立接口电路及相应的扩展电 路;所述运算CPU与所述调度FPGA连接，所述调度FPGA与所述独立接口电路连接;所述独立 电源为所述运算CPU、所述调度FPGA、所述独立接口电路和相应的扩展电路供电。8. 根据权利要求3所述的基于二乘二取二安全冗余系统的控制装置，其特征在于，所述 切系装置包括钥匙开关和互斥电路;所述钥匙开关和所述互斥电路电连接； 所述切系装置接收所述第一安全电源输出的条件输出电源，以及所述第一主控单元和 所述第二主控单元输出的主备状态信号;所述切系装置将所述钥匙开关输出的主备系选择 信号和所述互斥电路输出的主备切系选择信号发送至对应的主控单元。9. 根据权利要求1至8任意一项所述的基于二乘二取二安全冗余系统的控制装置，其特 征在于，所述系统冗余电源包括第一冗余电源、第二冗余电源和第三冗余电源； 所述第一冗余电源为所述第一二取二系统供电，所述第二冗余电源为所述切系装置供 电，所述第三冗余电源为所述第二二取二系统供电； 所述第一冗余电源、所述第二冗余电源和所述第三冗余电源相互隔离。
【文档编号】G05B19/042GK205656443SQ201620391355
【公开日】2016年10月19日
【申请日】2016年4月29日 公开号201620391355.2, CN 201620391355, CN 205656443 U, CN 205656443U, CN-U-205656443, CN201620391355, CN201620391355.2, CN205656443 U, CN205656443U
【发明人】周飞, 国勇, 吴尽, 江国平, 池扬, 王丽会, 许良, 纪璐, 郭艳肖, 雷阳, 马丽娜, 赵丽丽, 庄贺松, 谭爱青, 吴晶晶, 辛春娟
【申请人】固安信通信号技术股份有限公司