一种三重化冗余系统的DO模块及其输出表决电路的制作方法

本发明实施例涉及安全系统技术领域，特别是涉及一种三重化冗余系统中的do模块及其输出表决电路。

背景技术：

三重化冗余系统简称tmr(triplemodularredundancy)，是最常用的一种容错设计技术，三个模块同时执行相同的操作，以多数相同的输出作为表决系统的正确输出。三重化冗余系统中的do(digitalout，数字输出端口)模块设计为冗余容错的三个通道在一块io(input/output，输入/输出)板卡上实现。在现有技术中，do模块的输出表决电路是由六个电子开关管组成的六方驱动电路构成的，并执行3-2-0的降级运行模式，具体请参照图1。

图1中，a、b和c分别表示三重化冗余系统中的do模块的3个通道，每个通道中均设有与该通道对应的通道级微处理器uc，每个通道的微处理器uc的输出信号输出至对应通道的输出驱动电路的cpld(complexprogrammablelogicdevice，复杂可编程逻辑)器件，在该cpld器件中信号被复制为2份输出，一份输出送至对应的常开型电子开关管，另一份通过一个非门后送至对应的常闭型电子开关管，这两个常开型电子开关管和常闭型电子开关管分别处于不同的输出表决电路的支路中，如上图所示。

最终该六方驱动表决电路的输出结果为：

out负荷＝a&c+b&a+c&b

现有技术中的输出表决电路执行的降级运行模式是3-2-0，当有一个io通道出现故障时，最终的输出通道能够正常带电运行。但是，当同时有两个io通道出现故障时，最终的输出通道将进入失电安全状态，并导致工厂非计划停车，从而给用户带来较大的经济损失。

鉴于此，如何提供一种解决上述技术问题的三重化冗余安全系统的do模块及其输出表决电路成为本领域技术人员需要解决的问题。

技术实现要素：

本发明实施例的目的是提供一种三重化冗余安全系统的do模块及其输出表决电路，在使用过程中能够保障当两个io通道出现故障时，最终的输出通道依旧能够正常带电运行，实现3-2-1-0的降级运行模式，提升系统的安全性能，从而在很大程度上避免工厂非计划停车带来的经济损失。

为解决上述技术问题，本发明实施例提供了一种输出表决电路，应用于三重化冗余安全系统的do模块，包括第一驱动电路、第二驱动电路和第三驱动电路，还包括第四驱动电路、第一可控开关、第二可控开关、第三可控开关和第四可控开关，其中：

各个驱动电路均接第一微处理器、第二微处理器、第三微处理器、a通道主控单元、b通道主控单元和c通道主控单元的输出端；所述第一微处理器、所述第二微处理器和所述第三微处理器分别位于a通道、b通道和c通道中；

所述第一驱动电路、所述第二驱动电路、所述第三驱动电路和所述第四驱动电路的输出端分别一一对应的与所述第一可控开关、所述第二可控开关、所述第三可控开关和所述第四可控开关的控制端连接；各个可控开关中的任意两个可控开关串联构成第一可控单元，剩余两个可控开关串联构成第二可控单元，所述第一可控单元与所述第二可控单元并联后作为输出表决电路的输出端；

所述第一微处理器和所述a通道主控单元的输出信号为第一组输入信号，所述第二微处理器和所述b通道主控单元的输出信号为第二组输入信号，所述第三微处理器和所述c通道主控单元的输出信号为第三组输入信号；当各组输入信号中至少有一组输入信号均正常时，通过各个驱动电路对相应的可控开关进行相应的控制，所述第一可控单元和所述第二可控单元至少有一个导通。

可选的，所述第一可控开关与所述第三可控开关串联构成第一可控单元，所述第二可控开关与所述第四可控开关串联构成第二可控单元。

可选的，所述第一驱动电路的逻辑为：

out_a＝a&mpa_ok+b&mpb_ok&not(mpa_ok)&not(mpc_ok)

+c&mpc_ok&not(mpa_ok)&not(mpb_ok)

所述第二驱动电路的逻辑为：

out_b＝b&mpb_ok+c&mpc_ok&not(mpa_ok)&not(mpb_ok)

+a&mpa_ok&not(mpb_ok)&not(mpc_ok)

所述第三驱动电路的逻辑为：

out_c＝c&mpc_ok+a&mpa_ok&not(mpb_ok)&not(mpc_ok)

+b&mpb_ok&not(mpa_ok)&not(mpc_ok)

所述第四驱动电路的逻辑为：

out_a|c＝a&mpa_ok+c&mpc_ok

+b&mpb_ok&not(mpa_ok)&not(mpc_ok)

其中，a、b和c分别为所述第一微处理器、所述第二微处理器和所述第三第一微处理器的输出信号；mpa_ok、mpb_ok和mpc_ok分别为所述a通道主控单元、所述b通道主控单元和所述c通道主控单元的输出信号；out_a、out_b、out_c和out_a|c分别为所述第一驱动电路、所述第二驱动电路、所述第三驱动电路和所述第四驱动电路的输出信号。

可选的，所述第一可控开关、所述第二可控开关、所述第三可控开关和所述第四可控开关均为mos管。

可选的，所述第一可控开关、所述第二可控开关、所述第三可控开关和所述第四可控开关均nmos。

本发明实施例还提供了一种三重化冗余安全系统的do模块，包括如上述所述的输出表决电路。

本发明实施例提供了一种三重化冗余安全系统的do模块及其输出表决电路，包括第一驱动电路、第二驱动电路和第三驱动电路，还包括第四驱动电路、第一可控开关、第二可控开关、第三可控开关和第四可控开关，其中，各个驱动电路的输入端均接第一微处理器、第二微处理器、第三微处理器、a通道主控单元、b通道主控单元和c通道主控单元的输出端；第一微处理器、第二微处理器和第三微处理器分别位于a通道、b通道和c通道中。通过第一驱动电路、第二驱动电路、第三驱动电路和第四驱动电路将系统中的三个控制通道a通道、b通道和c通道转换为4个输出通道，并且每个驱动电路对应一个可控开关，通过第一驱动电路、第二驱动电路、第三驱动电路和第四驱动电路分别对第一可控开关、第二可控开关、第三可控开关和第四可控开关进行控制，且四个可控开关形成两串两并的电路结构，其中，四个可控开关中的任意两个串联形成第一可控单元，剩余两个可控开关串联形成第二可控单元，第一可控单元和第二可控单元并联，并且在a通道对应的第一组输入信号、b通道对应的第二组输入信号和c通道对应的第三组输入信号中至少有一组输入信号均正常时，通过各个驱动电路对相应的可控开关进行相应的控制，使第一可控单元和第二可控单元中至少有一个可控单元导通，以保障在两个io通道出现故障时，最终的输出通道依旧能够正常带电运行，从而即可实现3-2-1-0的降级运行模式，提升系统的安全性能，在很大程度上避免工厂非计划停车带来的经济损失。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有的一种三重化冗余安全系统do模块的输出表决电路的结构示意图；

图2为本发明实施例提供的一种应用于三重化冗余安全系统do模块的输出表决电路的结构示意图。

具体实施方式

本发明实施例提供了一种三重化冗余安全系统的do模块及其输出表决电路，在使用过程中能够保障当两个io通道出现故障时，最终的输出通道依旧能够正常带电运行，实现3-2-1-0的降级运行模式，提升系统的安全性能，从而在很大程度上避免工厂非计划停车带来的经济损失。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参照图2，图2为本发明实施例提供的一种应用于三重化冗余安全系统do模块的输出表决电路的结构示意图。

该输出表决电路，包括第一驱动电路11、第二驱动电路12和第三驱动电路13，还包括第四驱动电路14、第一可控开关21、第二可控开关22、第三可控开关23和第四可控开关24，其中：

第一驱动电路11、第二驱动电路12、第三驱动电路13和第四驱动电路14均接第一微处理器、第二微处理器、第三微处理器、a通道主控单元、b通道主控单元和c通道主控单元的输出端；第一微处理器、第二微处理器和第三微处理器分别位于a通道、b通道和c通道中；

需要说明的是，第一微处理器、第二微处理器和第三微处理器均为通道级的微处理器，其中，第一微处理器的输入端与a通道主控单元的输出端连接，第二微处理器的输入端与b通道主控单元的输出端连接，第三微处理器的输入端与c通道主控单元的输出端连接。

第一驱动电路11、第二驱动电路12、第三驱动电路13和第四驱动电路14的输出端分别一一对应的与第一可控开关21、第二可控开关22、第三可控开关23和第四可控开关24的控制端连接；各个可控开关中的任意两个可控开关串联构成第一可控单元2，剩余两个可控开关串联构成第二可控单元3，第一可控单元2与第二可控单元3并联后作为输出表决电路的输出端；

具体的，本申请中的四个驱动电路将三个通道控制输出转换为四个输出的四方驱动电路，且四个可控开关构成了两串两并的电路结构，每个驱动电路控制一个与其对应的可控开关，例如，可以将第一可控开关21和第三可控开关23串联构成第一可控单元2，第二可控开关22和第四可控开关24串联构成第二可控单元3，具体组合方式不做限定。

第一微处理器和a通道主控单元的输出信号为第一组输入信号，第二微处理器和b通道主控单元的输出信号为第二组输入信号，第三微处理器和c通道主控单元的输出信号为第三组输入信号；当各组输入信号中至少有一组输入信号均正常时，通过各个驱动电路对相应的可控开关进行相应的控制，使第一可控单元2和第二可控单元3至少有一个导通。

具体的，a通道中对应的第一微处理器和a通道主控单元的输出信号作为第一组输入信号，b通道中对应的第二微处理器和b通道主控单元的输出信号作为第二组输入信号，c通道中对应的第三微处理器和c通道主控单元的输出信号作为第三组输入信号，当至少有一组输入信号均正常时，各个驱动电路对与各自相应的可控开元进行控制，以使第一可控单元2和第二可控单元3中至少有一个导通，也即四个可控开关所形成的两串两并电路结构中至少有一路导通。

第一驱动电路11、第二驱动电路12、第三驱动电路13和第四驱动电路14均可以根据第一微处理器、第二微处理器、第三微处理器、a通道主控单元、b通道主控单元和c通道主控单元的输出信号输出相应的驱动信号，以对相应的可控开关进行控制。

本发明实施例中的各个驱动电路优选的通过可编程逻辑器件实现对相应的可控开关的控制，也即各个驱动电路中均可包括相应的可编程逻辑器件cpld，并通过相应的逻辑编程使各个驱动电路中的cpld输出相应的控制信号以对相应的可控开关进行控制。

进一步的，第一可控开关21与第三可控开关23串联构成第一可控单元2，第二可控开关22与第四可控开关24串联构成第二可控单元3。

更具体的，每个驱动电路中设有相应的可编程逻辑器件cpld，例如，第一驱动电路11对应的可编程逻辑器件为第一cpld，第二驱动电路12对应的可编程逻辑器件为第二cpld，第三驱动电路13对应的可编程逻辑器件为第三cpld，第四驱动电路14对应的可编程逻辑器件为第四cpld，并且第一驱动电路11(也即第一cpld)的逻辑为：

out_a＝a&mpa_ok+b&mpb_ok&not(mpa_ok)&not(mpc_ok)

+c&mpc_ok&not(mpa_ok)&not(mpb_ok)

第二驱动电路12(也即第二cpld)的逻辑为：

out_b＝b&mpb_ok+c&mpc_ok&not(mpa_ok)&not(mpb_ok)

+a&mpa_ok&not(mpb_ok)&not(mpc_ok)

第三驱动电路13(也即第三cpld)的逻辑为：

out_c＝c&mpc_ok+a&mpa_ok&not(mpb_ok)&not(mpc_ok)

+b&mpb_ok&not(mpa_ok)&not(mpc_ok)

第四驱动电路14(也即第四cpld)的逻辑为：

out_a|c＝a&mpa_ok+c&mpc_ok

+b&mpb_ok&not(mpa_ok)&not(mpc_ok)

其中，a、b和c分别为第一微处理器、第二微处理器和第三第一微处理器的输出信号；mpa_ok、mpb_ok和mpc_ok分别为a通道主控单元、b通道主控单元和c通道主控单元的输出信号；out_a、out_b、out_c和out_a|c分别为第一驱动电路11、第二驱动电路12、第三驱动电路13和第四驱动电路14的输出信号；“&”表示逻辑与，“+”表示逻辑或，“not”表示逻辑非。

具体的，由上述可知将第一微处理器、第二微处理器和第三第一微处理器的输出信号a、b和c、及a通道主控单元、b通道主控单元和c通道主控单元的输出信号mpa_ok、mpb_ok和mpc_ok均输入至每个驱动电路中的可编程逻辑器件cpld，信号a和mpa_ok作为第一组输入信号，b和mpb_ok作为第二组输入信号、c和mpc_ok作为第二组输入信号。通过上述逻辑编程即可实现在a和mpa_ok、b和mpb_ok、c和mpc_ok中有一组输入信号均正常时，各个驱动电路通过输出的驱动信号对与各自相应的控制开关进行控制，以使第一可控单元2和第二可控单元3中至少有一个导通，从而保障输出表决电路的正常输出。

需要说明的是，本发明实施例中不仅限于第一可控开关21和第三可控开关23串联，第二可控开关22和第四可控开关24串联，其组合方式还可以为第一可控开关21和第二可控开关22串联构成第一可控单元2，第三可控开关23和第四可控开关24串联构成第二可控单元3，并对各个驱动电路进行相应的逻辑编程即可实现在各组输入信号中至少有一组输入信号均正常时，第一可控单元和第二可控单元中至少有一路导通。

具体的，当第一可控开关21和第二可控开关22串联，第三可控开关23和第四可控开关串联24时，第一驱动电路11(也即第一cpld)的逻辑为：

out_a＝a&mpa_ok+b&mpb_ok&not(mpa_ok)&not(mpc_ok)

+c&mpc_ok&not(mpa_ok)&not(mpb_ok)

第二驱动电路12(也即第二cpld)的逻辑为：

out_b＝b&mpb_ok+c&mpc_ok&not(mpa_ok)&not(mpb_ok)

+a&mpa_ok&not(mpb_ok)&not(mpc_ok)

第三驱动电路13(也即第三cpld)的逻辑为：

out_c＝c&mpc_ok+a&mpa_ok&not(mpb_ok)&not(mpc_ok)

+b&mpb_ok&not(mpa_ok)&not(mpc_ok)

第四驱动电路14(也即第四cpld)的逻辑为：

out_a|b＝a&mpa_ok+b&mpb_ok

+c&mpc_ok&not(mpa_ok)&not(mpb_ok)

其中，out_a|b为第四驱动电路的输出信号。

更进一步的，由于mos管的控制方式比较简单，且体积小重量轻，所以本发明实施例中优选的第一可控开关21、第二可控开关22、第三可控开关23和第四可控开关24均为mos管。

当然，本发明实施例中的各个可控开关不仅限于采用mos管，也可以采用其他的可控器件作为可控开关，本发明实时对此不作特殊限定，能实现本发明实施例的目的即可。

更具体的，第一可控开关21、第二可控开关22、第三可控开关23和第四可控开关24均nmos。

当然，本发明实施例中的各个可控开关不仅限于采用nmos，也可以采用pmos，并且为了进一步提高系统的稳定性，本发明实施例中的各个可控开关中的一个或两个或三个采用nmos，其他的可控开关采用pmos。

本发明实施例提供了一种三重化冗余安全系统的do模块及其输出表决电路，包括第一驱动电路、第二驱动电路和第三驱动电路，还包括第四驱动电路、第一可控开关、第二可控开关、第三可控开关和第四可控开关，其中，各个驱动电路的输入端均接第一微处理器、第二微处理器、第三微处理器、a通道主控单元、b通道主控单元和c通道主控单元的输出端；第一微处理器、第二微处理器和第三微处理器分别位于a通道、b通道和c通道中。通过第一驱动电路、第二驱动电路、第三驱动电路和第四驱动电路将系统中的三个控制通道a通道、b通道和c通道转换为4个输出通道，并且每个驱动电路对应一个可控开关，通过第一驱动电路、第二驱动电路、第三驱动电路和第四驱动电路分别对第一可控开关、第二可控开关、第三可控开关和第四可控开关进行控制，且四个可控开关形成两串两并的电路结构，其中，四个可控开关中的任意两个串联形成第一可控单元，剩余两个可控开关串联形成第二可控单元，第一可控单元和第二可控单元并联，并且在a通道对应的第一组输入信号、b通道对应的第二组输入信号和c通道对应的第三组输入信号中至少有一组输入信号均正常时，通过各个驱动电路对相应的可控开关进行相应的控制，使第一可控单元和第二可控单元中至少有一个可控单元导通，以保障在两个io通道出现故障时，最终的输出通道依旧能够正常带电运行，从而即可实现3-2-1-0的降级运行模式，提升系统的安全性能，在很大程度上避免工厂非计划停车带来的经济损失。

本发明实施例还提供了一种三重化冗余安全系统的do模块，包括如上述所述的输出表决电路。

需要说明的是，本发明实施例中的三重化冗余安全系统的do模块在使用过程中可以实现3-2-1-0的降级运行模式，提升系统的安全性能，在很大程度上避免工厂非计划停车带来的经济损失。

另外，对于本发明实时例中所涉及到的输出表决电路的具体介绍，请参照上述实施例，本申请在此不再赘述。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。