一种冗余控制系统的制作方法

本发明涉及工业控制技术领域，尤其涉及一种冗余控制系统，尤其适用于对稳定性有着严格要求的铁路系统的过分相控制领域。

背景技术：

在工控领域，尤其是在过分相控制领域，采用系统冗余的控制系统来提高控制系统的稳定和可靠性或安全性，双冗余控制系统面临的一个重要问题为主系控制系统与备系控制系统权限切换过程中，需要一段时间来决策执行，在这段时间内，主系控制系统因为故障不参与控制，备系控制系统因为还未夺权升为主控制系统，因此整套系统处于无主控系统状态，虽然能通过控制器程序控制，保持主系控制系统故障前的控制状态，但是双冗余控制系统无主控系统对于系统本身就是一种异常工况，然而现阶段，还无法做到冗余控制系统真正意义上的实时主备系控制系统无缝切换。

图1(a)为目前主流为保障系统安全性能而采用的冗余控制系统架构简图，主系控制器与备系控制器独立运行，均采用数据采集-程序运算-结果输出的循环模式工作，主系统控制通过数据总线接收备系控制器的程序运算结果，与自身程序运算结果相比较，如果结果一致，主备系控制器同时输出，如果不一致，主系控制器判断系统故障，主系控制器将故障结果通过数据总线传送到备系控制器中，主备系控制器执行故障导向程序，保证系统安全，该控制系统架构虽能保障系统安全，但是在控制系统极不稳定，一旦主备系设备故障，整套系统故障无法正常工作。

图1(b)为目前主流保证系统稳定可靠性而采用的冗余控制架构图，在该架构中，主系控制器为主控制，采用数据采集-程序运算-结果输出的循环模式工作，备系统控制器通过数据总线实时同步主系控制器程序运算结果，并将结果输出到备系控制器输出模块，当主系控制器故障时，备系控制器夺权升为主系控制器，保证系统稳定可靠运行，但该冗余控制架构，主系控制器和备系控制器间的输入输出模块是独立的，主系控制器不能直接访问备系控制器的输入输出模块，备系控制器也不能直接访问主系控制器的输入输出模块，当主系控制系统输入输出模块故障时，将备系控制器升级为主控。在设备运行过程中，主系控制系统检测到主系输入输出模块故障，再到备系控制系统通过数据总线接收到主系控制系统发生故障，备系控制系统夺权升为主系控制系统，冗余控制系统权限切换需要一断时间来执行，这断时间内冗余系统不可控或者保持在主系控制系统故障前控制输出，均会影响冗余系统的正常运行。

申请号为：201710293869.3，名称为《一种用于柔性直流输电换流阀数据冗余控制方法》，以及申请号为：201710433044.7，名称为《一种单元级热备冗余的ato系统架构》的专利申请为本申请的背景技术。

技术实现要素：

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种稳定性好、容错性高，可大大提高系统运行的可靠性的冗余控制系统。

为解决上述技术问题，本发明提出的技术方案为：一种冗余控制系统，输入模块、控制模块，输入模块用于获取输入数据，并将所述输入数据提供给控制模块，控制模块用于执行控制逻辑，并输出计算结果；所述控制模块包括主系控制器和备系控制器，所述主系控制器和备系控制器接收由输入模块提供的相同的输入数据，并各自独立运行相同的控制逻辑程序，独立得到各自的运算结果；当所述主系控制器正常时，主系控制器输出运算结果，备系控制器不输出运算结果；当所述主系控制器异常时，主系控制器不输出运算结果，备系控制器输出运算结果。

进一步地，所述备系控制器通过接收由所述主系控制发送的第一状态信号，当所述第一状态信号显示所述主系控制器异常时，备系控制器输出运算结果。

进一步地，所述输入模块包括主系输入器和备系输入器；所述主系输入器和所述备系输入器用于对同一外部设备进行数据采样，独立获取输入数据；所述主系输入器和所述备系输入器单独或同时向所述控制模块提供输入数据。

进一步地，所述主系输入器仅在正常时向所述控制模块提供输入数据，所述备系输入器仅在所述主系输入器异常时向所述控制模块提供输入数据。

进一步地，所述备系输入器通过接收由所述主系输入器发送的第二状态信号，当所述第二状态信号显示所述主系输入器异常时，所述备系输入器向所述控制模块提供输入数据。

进一步地，还包括输出模块，用于接收所述控制模块输出的运算结果，并将所述运算结果提供给外部设备；所述输出模块包括主系输出器和备系输出器；所述主系控制器同时向所述主系输出器和备系输出器输出运算结果；或者：所述备系控制器同时向所述主系输出器和备系输出器输出运算结果。

进一步地，所述备系输出器通过接收由所述主系输出器发送的第三状态信号，当所述第三状态信号显示所述主系输出器异常时，所述备系输出器向外部设备提供运算结果。

与现有技术相比，本发明的优点在于：

1、本发明提出了一种输入输出共享冗余控制系统，该控制系统通过输入输出模块共享机制，大大减少主系控制系统因主系控制设备输入输出模块故障导致的主系控制系统无法工作，同时，通过输入输出模块共享机制也能提高系统容错冗余能力和系统故障诊断功能。

2、本发明的输入模块、控制模块和输出模块均为冗余构架，并每个模块中的冗余单元均可独立工作，每个模块中任意一个单元发生故障时，均不会影响整个系统的正常运行，保证了整个系统具有高稳定性和高可靠性。

附图说明

图1为现有技术的结构示意图。

图2为本发明具体实施例结构示意图。

图3为本发明具体实施例故障分布分析示意图。

图4为本发明具体实施例容错分析示意图。

图5为本发明具体实施例输入模块容错控制逻辑示意图。

图6为本发明具体实施例输出模块冗余示意图。

图7为安全型输入模块和非安全型输入模块示意图。

具体实施方式

以下结合说明书附图和具体优选的实施例对本发明作进一步描述，但并不因此而限制本发明的保护范围。

如图2所示，本实施例的冗余控制系统，输入模块、控制模块，输入模块用于获取输入数据，并将所述输入数据提供给控制模块，控制模块用于执行控制逻辑，并输出计算结果；所述控制模块包括主系控制器和备系控制器，所述主系控制器和备系控制器接收由输入模块提供的相同的输入数据，并各自独立运行相同的控制逻辑程序，独立得到各自的运算结果；当所述主系控制器正常时，主系控制器输出运算结果，备系控制器不输出运算结果；当所述主系控制器异常时，主系控制器不输出运算结果，备系控制器输出运算结果。

在本实施例中，主系控制器与备系控制器之间通过总线连接，主系控制器通过数据总线通道读取主系输入器和备系输入器采集到的外设信息，执行相应的逻辑运算程序，通过数据总线输出结果，备系控制系统处于热备状态，只做数据采集及程序运算功能，不输出控制结果，当主系控制器出故障，不正常工作时，降级为备系控制器，退出对系统控制，备系控制器夺权升为主系控制器，通过数据总线输出结果，提高系统稳定性和容错性。

在本实施例中，所述备系控制器通过接收由所述主系控制发送的第一状态信号，当所述第一状态信号显示所述主系控制器异常时，备系控制器输出运算结果。第一状态信号通过主系控制器与备系控制器之间的数据总线发送，当主系控制器正常时，第一状态信号为正常，主系控制器输出运算结果，备系控制器不输出运算结果；当主系控制器异常时，第一状态信号为异常，此时，主系控制器不输出运算结果，备系控制器输出运算结果，从而实现主系控制器因故障不再拥有控制权，下线可进行检修，而备系控制器升级为主控制器，接替主系控制器执行控制任务，保证整个系统的不间断正常运行。

在本实施例中，所述输入模块包括主系输入器和备系输入器；所述主系输入器和所述备系输入器用于对同一外部设备进行数据采样，独立获取输入数据；所述主系输入器和所述备系输入器单独或同时向所述控制模块提供输入数据。所述主系输入器仅在正常时向所述控制模块提供输入数据，所述备系输入器仅在所述主系输入器异常时向所述控制模块提供输入数据。

在本实施例中，主系输入器和备系输入器可以采用多种输入模式：一种如图5(a)所示，主系输入器和备系输入器同时对同一信号源进行数据采集，并都将采集得到的信号提供给控制模块，即采用“采二取二”的冗余逻辑。其优点在于：对于采二取二安全型输入模块，如图7所示，其本身具备采二取二的冗余逻辑，控制模块同时采取主系输入器和备系输入器的信号，进行“采二取二”冗余逻辑判断，整套系统可扩展为“采四取四”冗余逻辑，对整套系统而言，系统对输入信号处理更严格，确保系统更安全。对于非安全型输入模块，如图7所示，控制模块同时采取主备系输入模块信号，进行“采二取二”冗余逻辑判断，主系输入器和备系输入器组成安全型输入模块，大大缩减系统设计成本。

第二种如图5(b)所示，主系输入器和备系输入器同时对同一信号源进行数据采集，但只有一个输入器将采集到的数据提供给控制模块，即“采二取一”的控制逻辑。在该模式下，主系输入器和备系输入器均为安全型输入模块，安全型输入模块对信号源本身做了安全冗余决策，输出的信号是冗余决策结果，控制模块对主系输入器和备系输入器“采二取一”控制逻辑，基于安全型输入模块本身的安全机制，正常情况下，备系输入器处于热备状态，只对信号源进行数据采集，但所采集的数据不提供给控制模块，只由主系输入器对信号源进行数据采集并提供给控制模块；只有当主系输入器发生故障时，主系输入器不向控制模块提供数据，只由备系输入器向控制模块提供数据。在本实施例中，所述备系输入器通过接收由所述主系输入器发送的第二状态信号，当所述第二状态信号显示所述主系输入器异常时，所述备系输入器向所述控制模块提供输入数据。主系输入器与备系输入器之间可通过数据总线连接，由主系控制器向备系控制器发送第二状态信号，第二状态信号用于显示主系输入器为正常或异常的状态，从而使得备系输入器能够在主系输入器异常时，及时代替主系输入器，输出对信号源的采样数据。

在本实施例中，还包括输出模块，用于接收所述控制模块输出的运算结果，并将所述运算结果提供给外部设备；所述输出模块包括主系输出器和备系输出器；所述主系控制器同时向所述主系输出器和备系输出器输出运算结果；或者：所述备系控制器同时向所述主系输出器和备系输出器输出运算结果。所述备系输出器通过接收由所述主系输出器发送的第三状态信号，当所述第三状态信号显示所述主系输出器异常时，所述备系输出器向外部设备提供运算结果。如图6所示，主系输出器与备系输出器对应输出通道采用并联方式驱动外部继电器线圈或负载，较现有技术中的主系控制器控制主系输出，备系控制器控制备系输出的冗余控制逻辑，主系控制器与备系控制器在程序执行或者程序同步上存在时序差异，该差异反馈到输出模块上表现为，主系控制器下发给主系输出器的控制指令与备系控制器下发给备系输出器的控制指令不一致，最终导致主系输出器输出结果与备系模块输出结果存在动作不一致，本实施例的控制模块同时控制主系输入器和备系输出器信号输出的控制逻辑，具有主系输出器和备系输出器所输出的数据一致性好，同步性强的优点。

当然，在本实施例中，主系输出器和备系输出器也可以采用一主一备的工作模式，即当主系输出器正常时，只由主系输出器输出数据，备系输出器处于热备状态，而当主系输出器异常时，主系输出器不输出数据，由备系输出器输出数据。从而实现主系输出器与备系输出器之间的无缝切换，保证整个系统的安全运行。

本实施例的冗余系统相对于现有技术的冗余系统，稳定性更好。设输入器的故障率为a，控制器的故障率为b，输出器的故障率为c，那么现有技术的冗余系统的故障分布图如图3(a)所示，本实施例的故障分布图如图3(b)所示。那么，本实施例的冗余系统，只有当主系控制器故障时，备系控制器才夺权成为主系控制系统，因此，其概率为p1＝b；而现有技术的冗余系统，主备系控制系统输入输出模块是独立的，控制系统权限切换不仅与主系控制有关，而且与控制系统的输入输出模块故障有关，因此备系控制器夺权为主系控制系统概率为p2＝1-(1-a)*(1-b)*(1-c)。通过计算p2-p1＝(1-b)*(1-(1-a)*(1-c))，由a，b，c均大于0小于1，因此1≥p2-p1≥0；即当控制系统故障时，现有技术的冗余控制系统主备控制系权限切换概p2要大于共享冗余控制系统主备控制系权限切换概率，因此可以判断本实施例的冗余控制系统稳定性优于现有技术的冗余控制系统。

在本实施例中，现有冗余系统的容错性如图4(a)所示，而本实施例的冗余系统如图4(b)所示。本实施例的冗余系统对于整个控制系统而言，只有当整套冗余设备相同输入器或者控制器或者输出器同时发生故障时才会导致控制系统不能正常工作，而现有技术的冗余控制系统中，主备系控制系统中不同输入器或者控制器或者输出器同时发生故障会导致控制系统不能正常工作。因此本实施例的冗余控制系统较现有技术的冗余控制系统有更强的故障容错能力，更能保证系统稳定。

上述只是本发明的较佳实施例，并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明。因此，凡是未脱离本发明技术方案的内容，依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均应落在本发明技术方案保护的范围内。