专利名称:冗余时钟系统的制作方法
技术领域:
本发明涉及计算机技术领域,特别是涉及一种冗余时钟系统。
背景技术:
冗余技术是提高控制系统可靠性的一种非常有效的方法,如何保证冗余系统公共 时钟的高可靠性成为设计冗余系统的关键,一般通过设计冗余时钟来解决这个问题。例如 文献(1) ((The theory and practice of reliable system design)) (D. P. Siewiorek, R. S. Swarz. Digital Press, 1982 235-249)详细论述了冗余时钟的设计方法。实现冗余时 钟主要可分成模拟方案和全数字方案2类。模拟方案早期应用较多,目前主要以全数字方 案为主。全数字方案主要又分成基于锁相或表决技术与基于切换技术2类。例如文献(2)《An all digital phase locked loop fault tolerant clock》 (Van Alen, D. J. ;Somani, A. K. ;IEEE international symposium ; 11-14, June 1991 3170-3173)、文献(3)《TMR计算系统中的容错锁相同步时钟电路》(曾戈虹,杨樱华,黄 敞.微电子学与计算机.1995 (3). 6-8)、文献(4)《容错锁相时钟系统与可靠性分析》(孟 昭鹏,任长明,靳展.天津大学学报.1998(3). 365-369)都详细描述基于锁相或表决技术实 现全数字冗余时钟的方法。中国专利(3)《200510134282. 5冗余同步时钟分配系统》、中国专利(4) 《200710112741. 9 —种冗余时钟信号切换电路和方法》、美国专利(5)《Redundant clock system utilizing nonsynchronous oscillators》则详细描述了基于切换技术实现冗余时 钟的方法。通过分析基于切换技术实现冗余时钟的方法,不难发现该方法存在着“自己判断 自己错误,或者判断他人错误而切换”的逻辑漏洞。对于基于锁相或表决技术实现冗余时钟的方法,则存在难于处理的拜占庭故障。 由于时钟信号的特殊性,时钟模块一旦出现故障,其故障行为都会表现很复杂,一般将时钟 故障模型考虑为拜占庭故障模型。拜占庭故障模型是指一个时钟模块表现出向其他模块随意发送错误时钟值等任 意行为的故障模型。拜占庭故障是一种是最难处理的恶意故障,已经证明至少要有N > = 3f+l个模块才能屏蔽住f个拜占庭故障,保证系统输出不受影响,因此最简单的能够容忍 一个拜占庭故障的冗余时钟电路至少要采用四模冗余结构。在传统冗余时钟电路中,由于不能指示出故障的时钟模块,也没有切除故障的时 钟模块的机制,会出现“故障的时钟模块的输出虽然被屏蔽,但仍然在向其它模块发送错误 信号”的情况,而成为冗余时钟系统的拜占庭故障隐患。
发明内容
(一)要解决的技术问题本发明要解决的技术问题是针对传统实现冗余时钟的方法中存在的“自己判断自己错误,或者判断他人错误而切换”的逻辑漏洞与拜占庭故障,基于故障安全N取M结构(例 如2取2)以及并行冗余方法实现高可靠时钟。(二)技术方案为解决上述技术问题,提供了一种冗余时钟系统,包括η个时钟模块,每个时钟模 块用于输出具有故障安全特征的信号给其它η-1个时钟模块及其自身。优选地,所述时钟模块包括高频时钟单元和并行冗余处理单元,所述高频时钟单 元包括时钟比较器、错误状态锁存器和安全切除逻辑,所述并行冗余处理单元包括时钟表 决电路、时钟同步电路、安全比较器和安全切除逻辑。优选地,所述高频时钟单元基于N取M结构,其中N彡M,M彡2,且N取2、3、4或 5。优选地,所述高频时钟单元基于2取2结构。优选地,所述高频时钟单元设置有两组相同且独立的晶振和复位芯片,每个复位芯片同时输出低电平有效和高电平 有效的复位信号;其中,低电平有效的复位信号经过与门输出低电平有效的复位信号,高电 平有效的复位信号经过或门输出高电平有效的复位信号;两组时钟比较器,使用晶振时钟信号和N分频器,N分频器的输出送给另一个时钟 比较器;以一组晶振时钟信号作为时钟源,测量另一组N分频器的输出是否正确;两个相同的错误状态锁存器,用于锁住所述时钟比较器输出的错误状态;安全切除逻辑,其时钟输入来自于晶振时钟信号,或者分频之后的时钟信号。优选地,测量N分频器的输出是否正确的判断标准为如果N分频器的输出高电平 或低电平持续的时间为N或N-I个时钟源周期时,则N分频器的输出为正确,否则为错误。优选地,所述并行冗余处理单元中,所述时钟表决电路和时钟同步电路基于N取1 结构,其中N取1、2、3或4。优选地,时钟表决电路的输入来自于时钟模块的输出,经过或门之后,送入与门作 为D触发器的时钟输入,D触发器的输出到时钟同步电路和延迟电路。优选地,所述时钟同步电路采用数字锁相环电路。优选地,所述并行冗余处理单元中,所述安全比较器基于N取M结构,其中N彡Μ, M彡2,且N取2、3、4或5。优选地,所述安全比较器基于2取2结构。优选地,所述安全比较器采用完全自校验电路。(三)有益效果本发明针对传统实现冗余时钟的方法中存在的“自己判断自己错误,或者判断他 人错误而切换”的逻辑漏洞与拜占庭故障,基于故障安全N取M结构以及并行冗余方法实现 高可靠时钟。故障安全的N取M结构保障时钟模块一旦出现故障即导向安全而关闭输出,也 就不可能向其它模块发送错误信号而存在拜占庭故障隐患。并行冗余负责提高整个冗余时 钟的高可用性。本发明基于全数字电路实现,通过使用大规模可编程逻辑器件,降低功耗, 缩小电路尺寸,提高可靠性。
图1是本发明实施例冗余时钟系统的逻辑结构图2是本发明实施例冗余时钟系统的时钟模块的逻辑结构图;图3是本发明实施例冗余时钟系统的2取2结构的高频时钟单元逻辑结构图;图4是本发明实施例冗余时钟系统的并行冗余处理单元的逻辑结构图;图5是本发明实施例冗余时钟系统的N取1结构的时钟表决电路;图6是本发明实施例包含一个时钟模块的冗余时钟系统结构图;图7是本发明实施例包含两个时钟模块的冗余时钟系统结构图;图8是本发明实施例包含三个时钟模块的冗余时钟系统结构图;图9是本发明实施例包含四个时钟模块的冗余时钟系统结构图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施 例用于说明本发明,但不用来限制本发明的范围。在本发明的具体实施方式
中,所述冗余时钟系统包括η个时钟模块,时钟模块是 所述冗余时钟系统的基本结构单元,在其产生的具有故障安全特征的高频时钟和复位信号 的激励下,使其时钟输出信号同步于其它时钟模块的时钟输出信号,每个时钟模块的时钟 输出信号具有故障安全特征,不但输出给其它η-1个时钟模块,还输出给其自身。其中η的 取值范围优选1-4。冗余时钟系统的逻辑结构图如图1所示。由于时钟电路的特殊性,将每个时钟模块划分成两部分故障安全高频时钟单元 和故障安全并行冗余处理单元,时钟模块的逻辑结构图如图2所示。故障安全高频时钟单元能够产生具有故障安全特征的高频时钟和复位信号供后 续的故障安全并行冗余处理单元使用,故障安全并行冗余处理单元则产生具有故障安全特 征的同步冗余时钟输出。故障安全高频时钟单元和故障安全并行冗余处理单元都使用N取M结构(例如2 取2)保障这些单元一旦出现故障即导向安全而关闭输出,也就不可能向其它模块发送错 误信号而存在拜占庭故障隐患。故障安全并行冗余处理单元还负责提高整个冗余时钟的可 用性指标。之所以设置故障安全高频时钟单元,主要基于如下原因最常见的时钟电路一般 包括有源晶体振荡器,还可能包括时钟逻辑电路(例如锁相环、分频电路)。一般来说有源 晶体振荡器的失效率要高于时钟逻辑电路的失效率,大约在10_5-10_6,除非特制的高可靠 有源晶体振荡器,整个电路的失效率不会低于10_6,而且晶体振荡器故障时理论上可能出现 频率漂移,输出紊乱的时钟信号。由于时钟电路是其它所有时序电路的基础,这样时钟电路 因为晶体振荡器而成为单拜占庭故障点。故障安全高频时钟单元基于N取M结构,此处N彡M,M最少为2,可以选择2取2、 3取2、3取3、2乘2取2、5取3等结构,考虑时钟模块还设计有并行冗余处理单元,同时考 虑系统的复杂性与造价等因素,此处优选2取2结构,使得非常容易实现故障安全特征。2取2结构的高频时钟单元逻辑结构图如图3所示,其基本原理为a)设置2组完全相同但独立的晶振和复位芯片,每个复位芯片同时输出低电平有 效和高电平有效的复位信号各1个。b) 2个低电平有效的复位信号经过与门输出1个低电平有效的复位信号,2个高电平有效的复位信号经过或门输出1个高电平有效的复位信号,上述处理都符合2取2特性, 2个输出的复位信号除给下面的2组时钟比较器使用,还供后续的并行冗余处理单元使用。c)设置2组时钟比较器,各使用1个晶振时钟信号和1个N分频器,N分频器的输 出送给另1个时钟比较器。本组晶振时钟信号作为时钟源,测量另1组N分频器的输出是 否正确,其判断的标准为N分频器的输出高、低电平持续的时间为N或N-I个时钟源周期 为正确,否则为错误。时钟比较器的比较输出为2位,“01”时为正确,“10”为错误,2个时 钟比较器一共有2组2位共4个比较输出信号。d)为了将时钟比较器输出的错误状态锁住,从而能将时钟输出彻底切除,设置了 2个完全相同的错误状态锁存器,其具体功能如下输入瞬间的ab为00、10或11时,或者 错误指示单元本身出现瞬间错误时,都会使其输出ef固定为00、10或11,直到输入为01并 且复位信号有效才能使错误指示单元输出正常。e)安全切除逻辑的时钟输入既可来自于1个晶振时钟信号,也可来自于1个N分 频之后的时钟信号,图3中安全切除逻辑的时钟来自于上方的N分频之后的时钟信号。其 控制输入来自2个错误状态锁存器的2组2位输出信号。2位比较输出分别控制与门和非 门,因此切除逻辑串联使用了 4个门电路。f)2取2结构的高频时钟单元中任何晶振时钟出现故障,都会导致最终的时钟输 出信号的安全切除。故障安全并行冗余处理单元的逻辑结构图如图4所示,包括并行冗余处理模块、 安全比较器和安全切除逻辑。并行冗余处理模块如图5所示,由N取1结构的时钟表决电路和时钟同步电路组 成。考虑系统的复杂性与造价等因素,此处优选N < 4,即为1、2、3、4。需要指出的是当N= 1时,实际上就是不设置并行冗余处理,适用于只考虑时钟具 备故障安全,冗余特性由控制系统保障的情形,例如2乘2取2结构控制系统的每一系2取 2结构即可使用此类型的故障安全时钟。N取1时钟表决电路的输入来自于本时钟模块和其它时钟模块的输出,经过1个N 或门之后,送入1个与门作为D触发器的时钟输入,D触发器的C是异步清零端,C =“0”则 Q=“0”。输入端D和异步预置端S恒置“1”。D触发器的输出送到时钟同步电路和延迟电 路,由于信号通过延迟电路的时候被延迟,因此可以使时间非常短的“毛刺”在D触发器的 输出端Q被屏蔽掉。延迟时间应仔细选择,保证“毛刺”屏蔽效果,一般选择稍微小于时钟 周期的一半。经过处理后的信号,占空比(每周期高电平和低电平的比例)将会改变,高电 平持续的时间比低电平持续的时间稍微短一点,但是时钟周期不改变。时钟同步电路可使用常见的数字锁相环电路完成时钟同步功能。安全比较器基于N取M结构,此处N彡M,M最少为2,可以选择2取2、3取2、3取 3、2乘2取2、5取3等结构,考虑系统的复杂性与造价等因素,此处优选2取2结构,2取2 结构非常容易实现故障安全特征。安全比较器使用完全自校验(TSC)电路实现。只包含故障安全高频时钟单元的冗余时钟如图6所示,该种类冗余时钟可用于2 乘2取2结构控制系统的每一系2取2结构。2个时钟模块构成的冗余时钟如图7所示,此时时钟模块中的时钟表决电路采用2取1结构。3个时钟模块构成的冗余时钟如图8所示,此时时钟模块中的时钟表决电路采用3 取1结构。4个时钟模块构成的冗余时钟如图9所示,此时时钟模块中的时钟表决电路采用4 取1结构。本发明的技术关键点在于(1)设计了冗余时钟系统的逻辑结构。(2)设计了故障安全高频时钟单元,包括时钟比较器、错误状态锁存器、安全切除 逻辑。(3)设计了故障安全并行冗余处理单元,包括N取1结构的时钟表决电路、时钟同 步电路、安全比较器、安全切除逻辑。(4)给出了只包含故障安全高频时钟单元的冗余时钟、2个时钟模块构成的冗余 时钟、3个时钟模块构成的冗余时钟、4个时钟模块构成的冗余时钟的构成。本发明针对传统实现冗余时钟的方法中存在的“自己判断自己错误,或者判断他 人错误而切换”的逻辑漏洞与拜占庭故障,基于故障安全N取M结构(例如2取2)以及并 行冗余方法实现高可靠时钟。故障安全的N取M结构(例如2取2)保障时钟模块一旦出 现故障即导向安全而关闭输出,也就不可能向其它模块发送错误信号而存在拜占庭故障隐 患。并行冗余则负责提高整个冗余时钟的高可用性。本发明基于全数字电路实现,通过使 用大规模可编程逻辑器件,降低功耗,缩小电路尺寸,提高可靠性。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型 也应视为本发明的保护范围。
权利要求
一种冗余时钟系统,其特征在于,包括n个时钟模块,每个时钟模块用于输出具有故障安全特征的信号给其它n 1个时钟模块及其自身,所述时钟模块包括高频时钟单元和并行冗余处理单元,所述高频时钟单元用于产生具有故障安全特征的高频时钟和复位信号,其包括时钟比较器、错误状态锁存器和安全切除逻辑;所述并行冗余处理单元用于产生具有故障安全特征的同步冗余时钟输出,其包括时钟表决电路、时钟同步电路、安全比较器和安全切除逻辑。
2.如权利要求1所述的冗余时钟系统,其特征在于,所述高频时钟单元基于N取M结 构,其中N≥M,M≥2。
3.如权利要求2所述的冗余时钟系统,其特征在于,所述高频时钟单元基于2取2结构。
4.如权利要求3所述的冗余时钟系统,其特征在于,所述高频时钟单元设置有两组相同且独立的晶振和复位芯片,每个复位芯片同时输出低电平有效和高电平有效 的复位信号;其中,低电平有效的复位信号经过与门输出低电平有效的复位信号,高电平有 效的复位信号经过或门输出高电平有效的复位信号;两组时钟比较器,每组时钟比较器均使用晶振时钟信号和N分频器分频之后的信号, 本组N分频器的输出送给另一组时钟比较器;以一组晶振时钟信号作为时钟源,测量另一 组N分频器的输出是否正确;两个相同的错误状态锁存器,用于锁住所述时钟比较器输出的错误状态;安全切除逻辑,其时钟输入来自于晶振时钟信号,或者分频之后的时钟信号。
5.如权利要求4所述的冗余时钟系统,其特征在于,测量N分频器的输出是否正确的判 断标准为如果N分频器的输出高电平或低电平持续的时间为N或N-I个时钟源周期时,则 N分频器的输出为正确,否则为错误。
6.如权利要求1所述的冗余时钟系统,其特征在于,所述并行冗余处理单元中,所述时 钟表决电路和时钟同步电路基于N取1结构,其中N取1、2、3或4。
7.如权利要求6所述的冗余时钟系统,其特征在于,时钟表决电路的输入来自于时钟 模块的输出,经过或门之后,送入与门作为D触发器的时钟输入,D触发器的输出送到时钟 同步电路和延迟电路。
8.如权利要求6或7所述的冗余时钟系统,其特征在于,所述时钟同步电路采用数字锁 相环电路。
9.如权利要求1所述的冗余时钟系统,其特征在于,所述并行冗余处理单元中,所述安 全比较器基于N取M结构,其中N≥M,M≥2。
10.如权利要求9所述的冗余时钟系统,其特征在于,所述安全比较器基于2取2结构。
11.如权利要求9或10所述的冗余时钟系统,其特征在于,所述安全比较器采用完全自 校验电路。
全文摘要
本发明公开了一种冗余时钟系统,包括n个时钟模块,所述时钟模块包括高频时钟单元和并行冗余处理单元,所述高频时钟单元用于产生具有故障安全特征的高频时钟和复位信号,其包括时钟比较器、错误状态锁存器和安全切除逻辑;所述并行冗余处理单元用于产生具有故障安全特征的同步冗余时钟输出,其包括时钟表决电路、时钟同步电路、安全比较器和安全切除逻辑。本发明针对传统实现冗余时钟的方法中存在的“自己判断自己错误,或者判断他人错误而切换”的逻辑漏洞与拜占庭故障,基于故障安全N取M结构以及并行冗余方法实现高可靠时钟。
文档编号G06F1/04GK101901176SQ20101023534
公开日2010年12月1日 申请日期2010年7月22日 优先权日2010年7月22日
发明者李开成, 王悉, 袁彬彬, 马连川 申请人:北京交通大学