CN102053883B - 一种三模冗余容错计算机控制周期同步装置 - Google Patents

Abstract

一种三模冗余容错计算机控制周期同步装置，包括单机A、B、C、表决电路以及配置于A、B、C内的控制周期中断管理模块。单机A、B、C将各自的控制周期时钟同时输入到表决电路；表决电路利用其内部的表决单元和线与逻辑对输入的控制周期进行三选二表决，产生统一的控制周期时钟；单机A、B、C利用统一的控制周期时钟响应控制周期中断；控制周期中断管理模块在控制周期中断开始后关闭控制周期中断，并在经过一定延时候重新开启单机A、B、C的控制周期中断。本发明利用简单的电路设计方案，三模冗余容错计算机的高可靠性的控制周期同步控制，能容忍所有的单重故障模式，包括常0或常1故障，以及时钟漂移故障(包括高频振荡和频率变慢)。

Description

一种三模冗余容错计算机控制周期同步装置

技术领域

本发明涉及一种三模冗余容错计算机控制周期同步装置，特别适用于对基于任务级同步的三模冗余容错计算机进行控制周期同步。 

背景技术

在任务级同步三模冗余容错计算机中，控制周期用于产生同步中断，以便三个备份计算机同步执行相同的任务，包括三机同步交换、数据比对等操作，控制周期同步是三模冗余容错计算机中的关键技术。 

目前的三模冗余容错计算机控制周期同步基本采用集中式的控制周期同步方法，即采用集中式的控制周期同步源，例如： 

神舟飞船控制计算机采用了双冗余热备份的同步控制周期产生电路，当其中的一个冗余备份发生故障时，自动切换到另一个备份工作； 

中兴公司在2010年1月公开的CN200910166117.6号专利中，提出了一个多备份的控制周期同步方法，其特征在于，在源设备与目标设备之间设置多个同步通道；所述源设备从所述多个同步通道中选择第一同步通道，使用所述第一同步通道向所述目标设备发送待同步消息；检测到所述第一同步通道出现异常，则所述源设备从未使用过的同步通道中选择第二同步通道，使用所述第二同步通道向所述目标设备发送待同步消息；所述目标设备接收所述待同步消息。 

但是，现有方法所存在的不足包括： 

(1)电路规模庞大：电路中需要有时钟电路、时钟检测电路、输出切换电路等众多的电路，需要较多的器件才能实现； 

(2)不能实时容错，不能容忍时钟漂移故障：故障检测电路只能检测常0和常1故障，而不能检测漂移故障(漂移故障又分为高频振荡故障和低频漂移故障)。一旦发生时钟漂移故障，只能依赖地面遥控切换时钟，在地面遥控指令 发出前，系统只能按错误的时钟频率工作，这可能会导致灾难性故障。 

发明内容

本发明的技术解决问题是：克服现有技术的不足，提供了一种用于三模热备份冗余容错的计算机控制周期同步装置。本发明解决了控制周期同步的容错能力以及现有集中式控制周期同步电路设计复杂的问题。 

本发明的技术解决方案是： 

一种用于三模热备份冗余容错的计算机控制周期同步装置，其特征在于，包括：单机A、B、C、表决电路以及配置于A、B、C内的控制周期中断管理模块； 

单机A、B、C将各自独立的控制周期时钟clk_a、clk_b、clk_c同时输出给表决电路；表决电路对clk_a、clk_b、clk_c的电平进行三取二表决，将产生同步控制时钟clk_tmr输出到单机A、B、C中；单机A、B、C同时响应clk_tmr进入控制周期中断；单机A、B、C中的控制周期中断管理模块关闭控制周期中断，并在经过预先设定的控制周期高电平宽度clk_pos和延迟时间clk_delay后打开单机A、B、C的控制周期中断； 

所述表决电路由三个表决单元x、y、z和线与逻辑组成；x的输入端与clk_a、clk_b相连；y的输入端与clk_b、clk_c相连；z的输入端与clk_a、clk_c相连；x、y、z将输入控制周期时钟分别经与非处理后输出到线与逻辑；线与逻辑对输入信号进行线与处理后产生clk_tmr输出。 

所述延迟时间clk_delay由式(1)确定， 

$\left\{\begin{array}{c}\mathrm{clk}\_\mathrm{delay}>\max (\max (\mathrm{pos}\_a),\max (\mathrm{pos}\_b),\max (\mathrm{pos}\_c))-\mathrm{clk}\_\mathrm{pos}\\ \mathrm{clk}\_\mathrm{delay}<\mathrm{clk}\_\mathrm{neg}\end{array}\right.$

其中，pos_a、pos_b、pos_c分别为clk_a、clk_b、clk_c的高电平宽度；clk_neg为预先设定的控制周期的低电平宽度；max()表示取最大值。 

所述表决电路中的表决单元对输入时钟进行表决的方法为：当输入时钟均为高电平时，输出低电平；否则输出高电平。 

本发明与现有技术相比具有如下优点： 

(1)本发明中的表决电路设计简单，现有技术中集中式控制周期同步电路中基本采用冗余设计，电路设计复杂，包括时钟电路、时钟检测电路、输出切换电路等。而本发明表决电路仅需要6支三极管和15支电阻即可实现三路输入时钟的三选二表决，较集中式控制周期同步电路显著减少了电路硬件规模。 

(2)本发明所述装置容错能力强。能容忍所有的单重故障模式，包括常0或常1故障，以及时钟漂移故障(包括高频振荡和频率变慢)。而传统的集中式控制周期同步电路若要解决漂移故障和振荡故障则需较大代价，必须采用更为可靠的时钟源以实现漂移和振荡故障的检测功能。因此，集中式控制周期同步电路在实际工作中几乎不考虑此类故障的检测和处理。 

附图说明

图1为本发明结构示意图； 

图2为本发明时序图； 

图3为表决单元示意图。 

具体实施方式

下面就结合附图对本发明具体实施方式作进一步介绍。 

在热备份冗余容错的计算机系统中，每台冗余单机(单机)都有独立的单机时钟，该时钟包括高电平宽度clk_pos和低电平宽度clk_neg，clk_pos为固定值，通过调整clk_neg的长短，可调整单机时钟的大小。 

在初始工作时，各台单机首先采用统一复位，从而实现三个单机时钟的初始同步。复位后，各台单机输出各自的单机时钟，在工作过程中，各台单机根据由各单机时钟产生的控制周期时钟同步进入控制周期中断，从而实现控制任务同步。 

控制周期中断存在以下几种故障模式： 

第一种，控制周期常0和常1故障。将不能进入控制周期中断，从而造成控制任务失效。 

第二种，控制周期漂移故障。若控制周期变长，将导致无法满足控制任务 实时性的要求；若控制周期变快(即振荡)，将会频繁进入控制周期中断，导致无法完成控制任务。 

为解决上述问题，本发明的控制周期同步装置在设计时采用了分布式时钟同步的方法。在具体应用时，整体设计方案由软硬件设计联合实现。其中，表决电路采用硬件设计实现；控制周期中断管理模块在各冗余单机上以软件实现。 

如图1所示，为本发明结构示意图。三台热备份冗余单机的单机时钟的clk_a、clk_b、clk_c同时输入到表决电路的三个输入端。在表决电路的内部，有三个表决单元，三个输入时钟两两组合后分别输入到三个表决单元中。表决单元对输入的时钟信号进行表决处理，并将产生的信号叠加输出，通过输出信号的叠加即完成了线与逻辑的功能，从而产生了控制周期时钟clk_tmr。由表决电路所进行的上述操作即为三取二选择操作。 

三台热备份单机A、B、C分别同时接收clk_tmr，并根据clk_tmr进入控制周期中断。在A、B、C进入中断后，其内部的控制周期中断管理模块将启动工作，关闭A、B、C的控制周期中断相应功能，在经过控制周期高电平宽度clk_pos和延迟时间clk_delay重新开启控制周期中断。A、B、C三台单机将可以重新响应控制周期中断。 

如图2所示，为本发明时序图，其中单机c的时钟clk_c发生了高频振荡故障。针对此种故障，本发明所述装置采取的具体操作为：表决电路中的表决单元分别对clk_a、clk_b、clk_c的组合进行表决，当表决单元的输入时钟均为高电平时，则产生高电平输出；否则产生低电平输出。表决单元的输出经叠加后便形成了图中的clk_tmr控制周期时钟。 

由于单机c存在高频振荡故障，且clk_a和clk_b均存在时钟漂移。产生的clk_tmr在clk_pos时间内同样存在振荡故障区。 

利用产生的控制周期时钟clk_tmr，三台单机首先在同一时刻同步进入控制周期中断。但是，由于振荡故障区的存在，仍然需要采取进一步的处理。 

在A、B、C单机进入中断后，首先控制周期中断管理模块A、B、C的控 制周期中断，并延迟clk_delay的时间再重新开启中断。 

clk_delay的选取规则为： 

$\left\{\begin{array}{c}\mathrm{clk}\_\mathrm{delay}>\max (\max (\mathrm{pos}\_a),\max (\mathrm{pos}\_b),\max (\mathrm{pos}\_c))-\mathrm{clk}\_\mathrm{pos}\\ \mathrm{clk}\_\mathrm{delay}<\mathrm{clk}\_\mathrm{neg}\end{array}\right.$

其中，pos_a、pos_b、pos_c分别为clk_a、clk_b、clk_c的高电平宽度；clk_neg为预先设定的控制周期的低电平宽度；max()为取最大值操作。 

这样一方面通过clk_delay的延迟可以使A、B、C在控制周期中避开振荡故障区，另一方面，可以在下一个下降沿到来之前，重新开启中断，使A、B、C可重新进行响应。 

实施例 

在具体实现时，本发明中的表决电路中的表决如图3所示，由NPN三极管和电阻组成。其中，In1和In2分别为表决单元的输入端，输入端通过两支1K欧姆的电阻R1和R2分别与两个三极管的基极相连，用于接收两个时钟的输入信号；Q1的集电极通过一个10K欧姆的电阻R5与电源相连，三极管Q1的发射极与Q2的集电极直接相连，Q2的发射极直接接地。 

以星载三模冗余控制计算机为例。假设控制周期为100ms，可设clk_pos和clk_neg分别为20ms和80ms；假设器件偏差因素会导致三台单机输出的单机时钟正电平的最大时钟偏移max(max(pos_a)，max(pos_b)，max(pos_c))-clk_pos为10ms，则可根据clk_delay设置的规则，将其设为20ms；假定clk_c出现了1kHz(1ms)的振荡故障。分析如下： 

1.在clk_tmr的下降沿，各单机进入控制周期中断，并在进入控制周期中断后的(clk_pos+clk_delay＝40ms)的时间内关闭控制周期中断，在此期间，即使clk_tmr存在高频振荡，三台单机也不会重复进入控制周期中断任务。 

2.在进入控制周期中断后的40ms后，打开控制周期中断，即使C机仍然处于高频振荡状态，A机和B机输出的单机时钟信号都已经转变为0，clk_tmr也不会出现高频振荡故障。 

测试验证：针对图1所示的电路，采用Pspice仿真工具进行故障注入测试，证明了该电路的容错能力。构建图1所示的电路，采取故障注入的方法进行实测，分别模拟A/B/C三机中的一机出现高频振荡故障，都能屏蔽掉该高频振荡故障。 

本发明未详细说明部分属本领域技术人员公知常识。 

Claims (2)

1.一种三模冗余容错计算机控制周期同步装置，其特征在于，包括：单机A、B、C、表决电路以及配置于A、B、C内的控制周期中断管理模块；

单机A、B、C将各自独立的控制周期时钟clk_a、clk_b、clk_c同时输出给表决电路；表决电路对clk_a、clk_b、clk_c的电平进行三取二表决，将产生同步控制时钟clk_tmr输出到单机A、B、C中；单机A、B、C同时响应clk_tmr进入控制周期中断；单机A、B、C中的控制周期中断管理模块关闭控制周期中断，并在经过预先设定的控制周期高电平宽度clk_pos和延迟时间clk_delay后打开单机A、B、C的控制周期中断；其中，所述延迟时间clk_delay由下式确定，

其中，pos_a、pos_b、pos_c分别为clk_a、clk_b、clk_c的高电平宽度；clk_neg为预先设定的控制周期的低电平宽度；max()表示取最大值；

所述表决电路由三个表决单元x、y、z和线与逻辑组成；x的输入端与clk_a、clk_b相连；y的输入端与clk_b、clk_c相连；z的输入端与clk_a、clk_c相连；x、y、z将输入控制周期时钟分别经与非处理后输出到线与逻辑；线与逻辑对输入信号进行线与处理后产生clk_tmr输出。

2.根据权利要求1所述的一种三模冗余容错计算机控制周期同步装置，其特征在于：所述表决电路中的表决单元对输入时钟进行表决的方法为：当输入时钟均为高电平时，输出低电平；否则输出高电平。 

Images