专利名称:三模冗余安全计算机中输出的安全关断方法及装置的制作方法
技术领域:
本发明涉及三模冗余安全计算机中输出的安全关断方法,为安全计算机安全输出的控制系统、特别是列车运行控制、核电站控制等领域,也涉及磁悬浮列车的运行控制。
背景技术:
三模冗余系统(Triple Modular Redundancy(TMR),也称三取二)是目前安全计算机系统中最常用的一种容错技术。三模冗余是指三个功能相同的模块同时执行相同的操作,用三个模块的输出做大数表决,把多数相同的输出作为该三模冗余系统的正确输出。该系统基于“少数服从多数”的纠错原理,通常也被称为三取二系统。
图a为三模冗余(TMR)系统原理框图。图中的M1、M2、M3是三个功能相同的工作模块,V是一个输出表决器。
正常情况下,三个模块输出的结果应完全相同,V将最终输出这个结果,作为TMR系统的正确输出。异常情况下,如果某一模块出错,其输出将不同于其它两个模块的输出,依据“少数服从多数”原则,V仍将输出正确结果。因此,可以写出输出表决器的逻辑表达式F=M1M2+M2M3+M1M3,根据该表达式不难设计出该表决器的一种逻辑电路,如图b所示。
从上述逻辑图可看出,在三模冗余系统中,当同时有两个模块出错,并产生相同的错误状态,表决器V的输出就会出现错误输出。一般情况下,三模冗余系统中的每个单独模块的可靠性都很高,因此,三个模块中有两个模块同时出现瞬时错误的概率会非常小。但是,必须考虑错误累积的情况即一个模块出现错误,如果系统不做任何处理,过一段时间另一个模块也出现错误,这时表决器V得到的表决输出将会是错误的输出,或系统不能正常工作。这说明,如果三模表决系统中,一个模块出现故障后,其输出如果还保持原来的值或其它值,不管其正确与否,都可能导致系统输出不安全。在安全等级较高的系统中,系统故障下的错误输出可能会导致危险的操作,造成严重的人员伤亡或财产损失。因此在安全系统的设计中,应尽可能保证系统在故障情况下导向安全输出。
鉴于以上情况,本发明提出了一种三模冗余安全计算机输出的安全关断方法,使安全计算机系统在故障情况下其输出导向安全侧。
发明内容
本发明的目的是针对安全计算机安全输出问题,提出一种三模冗余安全计算机中输出的安全关断方法及装置,保证三模冗余系统的表决输出即使在模块出现错误的情况下也不会导向危险侧。该方法强制将模块出错时的输出设置为事先指定的安全值,同时该强制电路本身也是安全的,即出现故障时不会使系统的输出导向危险侧。
为实现上述目的,本发明通过下述技术方案实现的。
一种三模冗余安全计算机中输出的安全关断方法,包括以下步骤;选择安全计算机输出安全侧步骤;设定安全关断条件步骤;安全关断条件信号进行判断步骤;控制模块输出安全关断电路步骤。
确定系统故障时输出应处于的状态。对于控制系统,输出的安全侧可设定为能量释放后的状态。该状态关系到输出安全关断电路的关断逻辑。
利用三模冗余安全计算机输出的安全关断条件信号进行判断,按照相应原则决定是否关断输出,并通过直接控制模块输出安全关断电路的供电电源来实现安全关断输出。
三模冗余安全计算机的每个模块输出3组安全关断的条件信号,判断是否安全关断采用“自身认为出错则必须关断,或者其它两模块认为出错则必须关断”的原则。
三模冗余安全计算机通过直接控制模块输出安全关断电路的供电电源,来实现安全关断输出,并采用串并结构或并串结构,提高关断电路的安全性和可靠性。
三模冗余安全计算机输出的动态信号到电平信号的转换,通过数字逻辑的计数器电路实现。
三模冗余安全计算机中输出的安全关断方法及装置的安全输出电路采用图6~9所示的方法。
本发明的有益效果;应用本发明,可在安全计算机出现故障的情况下,使安全计算机的输出导向安全侧,从而提高安全计算机的可靠性和安全性,避免安全计算机故障可能带来的生命和财产的损失。同时,本发明也有较广的应用范围,可推广到其它多模冗余安全计算机中,提高输出的安全性。
图1为三模冗余安全计算机的安全关断方法的原理图;图1a为三模冗余(TMR)系统原理框图;图1b三取二表决逻辑图;图2为安全关断电路供电电源控制原理图;
图3为多个输出安全关断条件电平信号的合成方法;图4为数字的动态信号到电平信号的转换电路;图5为模拟的动态信号到电平信号的转换电路;图6为安全输出逻辑电路一;图7为安全输出逻辑电路二;图8为安全输出逻辑电路三;图9为安全输出逻辑电路四。
具体实施例方式
下面结合附图和具体实施方式
对本发明作进一步的说明。
实施例1;(1)选择输出的安全侧首先要确定系统故障时输出应处于的状态。对于控制系统,输出的安全侧可设定为能量释放后的状态。在三模冗余系统中,选定接地(逻辑“0”)为输出安全侧。这个选择非常重要,它关系到输出安全关断电路的关断逻辑。也就是说,后述的输出安全关断电路是建立在逻辑“0”为输出安全侧这一前提条件之上。
(2)输出安全关断的条件在三模冗余安全计算机中,为三个模块均设置3组输出安全关断的条件信号,其中1组表示该模块对自身工作状态的判断,另2组分别表示本模块对其它两组模块工作状态的判断。这样,共得到9组输出安全关断条件信号,即模块M1输出3组输出安全关断条件信号GDAA、GDAN、GDAC;模块M2输出3组输出安全关断条件信号GDBB、GDBA、GDBC;模块M3输出3组输出安全关断条件信号GDCC、GDCA、GDCN。
对于每个模块,利用上述3组输出安全关断条件信号控制其安全关断电路的供电电源。当该模块故障时或其它两个模块认为其发生故障时,将会断开其安全关断电路的供电电源,其输出导向安全的“0”电平。这样,可以避免当该模块故障时其输出还维持错误的状态,从而带来安全隐患。
控制模块安全关断电路供电电源的逻辑表达式为GDXX(GDXY+GDXZ),式中X、Y、Z分别代表A、B、C。该表达式的含义为如果该模块认为自身出现错误,则必须关断输出;或者如果其它两个模块都认为本模块出现错误,则也必须关断输出。
(3)安全关断电路供电电源的结构在控制每个模块输出安全关断电路的供电电源时,采用继电器(光电、机械)器件来实现对供电电源的安全关断。该继电器设备可以采用串联或串并结合的结构,一般情况下,多采用串并结构或并串结构,这样该安全关断电路的安全性和可靠性都有保证。当然,也可采用简单的串连结构,此时安全关断电路的安全性指标不会下降,但可靠性指标会下降。
(4)输出安全关断条件信号的选择上述的9组输出安全关断条件信号,可以选择常见的电平信号(TTL、CMOS等)。考虑可靠性和安全性,每组输出安全关断条件信号至少包括2个电平信号,一般来说,需要考虑信号线的多少对系统复杂性的影响,所以选择每组输出安全关断条件信号包括2个或3个电平信号。当采用多个电平信号时,需要考虑如何把多个电平信号合成为1个模块输出安全关断电路供电电源控制信号。一般情况下,当采用2个电平信号时,多采用二取二的方式进行比较,即只有当两路电平信号都指示系统工作正常时,模块才能输出安全关断电路供电电源;当采用3个电平信号时,多采用三取二的方式进行表决,即当有多数电平信号指示系统工作正常,模块才能输出安全关断电路供电电源。
另外,由于数字电路失效时,会导致电平信号发生固“0”或固“1”的错误,但具体是“0”还是“1”并不固定,出现概率大致相当。因此,不管用“0”或者“1”来表示安全计算机系统故障都可能带来安全隐患。但由于数字电路失效绝大多数时保持某固定电平,因此可以使用动态信号来代替上述的电平信号(TTL、CMOS等),作为安全计算机系统工作正常的标志。这里,动态信号是指高低电平交替翻转的信号,能够和数字电路失效带来的输出信号固“0”或固“1”错误相区分,因此动态信号本身是安全的。
当然,动态信号本身不能直接控制继电器之类的元件,无法利用动态信号直接关断安全关断信号的供电电源。因此必须进行动态信号到电平信号的转换。动态信号到电平信号的转换可以采用传统的模拟方法,也可以采用数字电路转换方法。其中,利用数字电路进行转换,可灵活设定溢出时间,具有更高的灵活性。
(5)安全输出逻辑电路安全输出逻辑可以采用多种方式实现,但必须保证模块正常工作时,输出安全关断电路供电电源正常,模块输出正常逻辑。一旦该模块工作不正常,输出安全关断电路供电电源断开,其输出一定导向安全侧0电平(接地)。
实施例2;图1示范性地表示了三模冗余安全计算机的安全关断方法的原理,各部分框图将在后续详细介绍具体实施方式
。
控制每个模块输出的安全关断电路供电电源控制的原理如图2(a)(b)所示,该图示范性地表示了输出供电电源的安全关断逻辑。被关断部分使用继电器(光电、机械)。安全关断逻辑可采用串并结构或并串结构,这样,系统的安全性和可靠性都有保证。同时,安全关断逻辑也可简化成图2(c)所示的电路,此时安全性指标不会下降,但可靠性指标会下降。
图3表示了多个输出安全关断条件信号合成为一个输出安全关断电路供电电源控制信号的方法。当每组输出安全关断条件信号为2个电平信号时,可采用并联方式(“或”逻辑)合成为1个模块输出安全关断电路供电电源控制信号,即只要有一路条件信号有效,则输出控制信号有效,如图3(a)所示;当每组输出安全关断条件信号为3个电平信号时,可采用3取2表决方式合成为1个模块输出安全关断电路供电电源控制信号,即只有当多数条件信号有效时,输出控制信号才有效,如图3(b)所示。
安全计算机最主要的特性即故障导向安全,因此安全计算机中给出的故障诊断信号是具有安全侧的动态信号逻辑。图5给出了动态信号转换为电平信号的模拟电路实现方法。其中,动态信号是高低电平交替翻转的信号。图中,DTOUTA1为动态信号输入端,TJA1为电平信号输出端。
当安全计算机工作状态为正常时,DTOUTA1为动态翻转的信号。当DTOUTA1处于低电平这一半周时,三极管N7发射极电压为0,三极管截止,因此TJ01端为高电平。此时三极管N1的发射极正偏,三极管N1导通,三极管P1的发射极电压约为0,三极管P1截止。三极管N1导通和三极管P1截止会使电源通过N1、E4、D29这一回路对电容E4进行充电,使电容E4蓄能。同时,如果电容E5之前处于蓄能状态,则该电容E5会通过后级的负载释放能量。
当DTOUTA1处于高电平这一半周时,三极管N7发射极正偏,三极管N7导通,因此TJ01端为低电平。根据前述,此时电容E4蓄能,TJ02为高电平,因此三极管N1的发射极反偏,三极管N1截止,三极管P1的发射极正偏,三极管P1导通。三极管N1截止和三极管P1导通会使电容E4通过P1、E5、D28这一回路对电容E5进行充电,使电容E5蓄能,同时电容E4释放能量。
综上,当DTOUTA1为动态翻转的信号时,电路处于电容E4和E5交替充放电的状态,从而使TJA1保持负电压。而如果安全计算机工作异常,即输入信号为固定电平信号时,或者电路中某个元件异常(短路或断路)时,都不能使电容E4和E5交替充放电,从而输出电平固定为0电平。
动态信号到电平信号的转换也可以采用数字逻辑的方法来实现,如图4所示。首先利用一个计数器进行计数,然后利用一个上升沿和下降沿提取电路,将动态信号的每一个上升沿和下降沿都转换为一个短的脉冲信号,并作为计数器的异步复位信号。另外,利用一个简单的与或逻辑和锁存器,使电路在计数到一定数值时输出低电平,其余输出高电平。正常情况下,动态信号保持翻转,上升沿和下降沿提取电路将上升沿或下降沿统一变换为一个短的脉冲信号,即统一变换为一个下降沿。该下降沿对计数器进行异步复位,这样计数器每隔一段时间就会被复位,计数值始终不会超过设定的溢出时间。当安全计算机出现异常时,即动态信号停止翻转,这时计数器的异步复位始终无效,计数器就会一直向上计数,一旦计数器数值达到事先指定的数值后,与或逻辑电路就会向锁存器输出锁存信号,使锁存器输出低电平。这样,在动态信号无效时,电路输出导向安全侧-零电平,从而使输出安全关断电路供电电源被断开,达到故障导向安全的目的。当动态信号恢复正常时,会产生一个下降沿对锁存器进行置位,这样电路又继续在正常状态下工作了。
该电路可以灵活设置动态信号翻转的门限数值,即可设置多长时间没有翻转即认为该动态信号无效。通过对与或逻辑进行设计,可决定计数器计数到多少时产生锁存信号。另外,利用该电路可以产生两路输出信号,并对两路信号用二取二的原则进行比较,可提高该电路的安全性。产生两路输出信号时,可以对另一路动态信号取反后输入到相同的动态信号转换到电平信号的电路中,也可以使另一路的计数器向下计数,使电路具备双轨输出功能,同时也进一步提高电路的安全性。
安全输出的逻辑采用以下四种电路都可以实现,如图6所示;电阻R1接三极管N2基极,三极管N2集电极接电阻R2和电阻R3的一端,电阻R3的另一端接三极管P2基极,三极管P2发射极接电阻R2和受控电源;三极管P2集电极接电阻R4和输出;三极管N2发射极接电阻R4的一端和地。
如图7所示;输入接光电耦合器UA的一端1,光电耦合器UA的一端2接电阻R5,光电耦合器UA的另一端16接受控电源;光电耦合器UA的另一端15接输出和电阻R6,电阻R5和电阻R5的另一端接地。
如图8所示;输入接电阻R7后接三极管N3基极,三极管N3发射极接电阻R8和输出;三极管N3集电极接受控电源;电阻R8的另一端接地。
如图9所示;输入接电阻R9后接三极管P3基极,三极管P3集电极接电阻R10和输出;三极管P3发射极接受控电源;电阻R10的另一端接地。
它们共同的特点是当安全计算机正常工作时,输出安全关断电路供电电源正常,模块输出正常逻辑。一旦安全计算机工作异常,根据上述的实施方法,可导致输出安全关断电路供电电源断开,这时输出一定导向安全侧-0电平(接地)。另外,由于这四个电路输出安全关断的方法都采用的是直接切断供电电源,因此即使电路中的元件出现故障(不管出现短路或断路的故障),其输出都将导向安全侧-0电平,因此这四个电路本身也是故障安全的。
权利要求
1.一种三模冗余安全计算机中输出的安全关断方法,其特征在于包括以下步骤;选择安全计算机输出安全侧步骤;设定安全关断条件步骤;安全关断条件信号进行判断步骤;控制模块输出安全关断电路步骤。
2.根据权利要求1所述的一种三模冗余安全计算机输出的安全关断方法,其特征在于安全关断条件步骤,判断是否安全关断采用“自身认为出错则必须关断,或者其它两模块认为出错则必须关断”的方法。
3.根据权利要求1所述的一种三模冗余安全计算机输出的安全关断方法,其特征在于控制模块输出安全关断电路步骤的控制模块输出安全关断电路采用串并结构或并串结构,直接控制模块输出安全关断电路的供电电源。
4.根据权利要求1所述的一种三模冗余安全计算机输出的安全关断方法,其特征在于控制模块输出安全关断电路步骤的动态信号到电平信号的转换,通过数字逻辑的计数器电路实现。
5.根据权利要求1所述的一种三模冗余安全计算机输出的安全关断方法,其特征在于控制模块输出安全关断电路步骤为;首先利用一个计数器进行计数,然后利用一个上升沿和下降沿提取电路,将动态信号的每一个上升沿和下降沿都转换为一个短的脉冲信号,并作为计数器的异步复位信号,另外,利用一个简单的与或逻辑和锁存器,使电路在计数到一定数值时输出低电平,其余输出高电平,正常情况下,动态信号保持翻转,上升沿和下降沿提取电路将上升沿或下降沿统一变换为一个短的脉冲信号,即统一变换为一个下降沿,该下降沿对计数器进行异步复位,这样计数器每隔一段时间就会被复位,当安全计算机出现异常时,即动态信号停止翻转,这时计数器的异步复位始终无效,计数器就会一直向上计数,一旦计数器数值达到事先指定的数值后,与或逻辑电路就会向锁存器输出锁存信号,使锁存器输出低电平,这样,在动态信号无效时,电路输出导向安全侧—零电平,使输出安全关断电路供电电源被断开,当动态信号恢复正常时,产生一个下降沿对锁存器进行置位。
6.根据权利要求1所述的一种三模冗余安全计算机输出的安全关断方法,其特征在于控制模块输出安全关断电路步骤采用的电路为;电阻(R1)接三极管(N2)基极,三极管(N2)集电极接电阻(R2)和电阻(R3)的一端,电阻(R3)的另一端接三极管(P2)基极,三极管(P2)发射极接电阻(R2)和受控电源;三极管(P2)集电极接电阻(R4)和输出;三极管(N2)发射极接电阻(R4)的一端和地。
7.根据权利要求1所述的一种三模冗余安全计算机输出的安全关断方法,其特征在于控制模块输出安全关断电路步骤采用的电路为;输入接光电耦合器(UA)的一端(1),光电耦合器(UA)的一端(2)接电阻(R5),光电耦合器(UA)的另一端(16)接受控电源;光电耦合器(UA)的另一端(15)接输出和电阻(R6),电阻(R5)和电阻(R5)的另一端接地。
8.根据权利要求1所述的一种三模冗余安全计算机输出的安全关断方法,其特征在于控制模块输出安全关断电路步骤采用的电路为;输入接电阻(R7)后接三极管(N3)基极,三极管(N3)发射极接电阻(R8)和输出;三极管(N3)集电极接受控电源;电阻(R8)的另一端接地。
9.根据权利要求1所述的一种三模冗余安全计算机输出的安全关断方法,其特征在于控制模块输出安全关断电路步骤采用的电路为;输入接电阻(R9)后接三极管(P3)基极,三极管(P3)集电极接电阻(R10)和输出;三极管(P3)发射极接受控电源;电阻(R10)的另一端接地。
全文摘要
本发明公开了一种三模冗余安全计算机中输出的安全关断方法,本发明主要利用三模冗余安全计算机输出的安全关断条件信号进行判断,通过对多组安全关断条件信号进行表决,判断是否需要进行安全关断。通过动态信号到电平信号的转换电路,生成关断信号,直接控制模块输出安全关断电路的供电电源,来实现安全关断输出。该三模冗余安全计算机输出的安全关断方法,本身也是安全的。
文档编号G06F11/16GK101046678SQ20071006430
公开日2007年10月3日 申请日期2007年3月9日 优先权日2007年3月9日
发明者马连川, 李开成, 袁磊 申请人:北京交通大学