CN102799104B - 一种用于全智能主控系统的安全控制冗余系统及冗余方法 - Google Patents
一种用于全智能主控系统的安全控制冗余系统及冗余方法 Download PDFInfo
- Publication number
- CN102799104B CN102799104B CN201210224135.7A CN201210224135A CN102799104B CN 102799104 B CN102799104 B CN 102799104B CN 201210224135 A CN201210224135 A CN 201210224135A CN 102799104 B CN102799104 B CN 102799104B
- Authority
- CN
- China
- Prior art keywords
- control
- template
- architecture
- main control
- control architecture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
一种用于全智能主控系统的安全控制冗余系统及冗余方法,属于工业控制领域。本发明针对一种采用双机温备份控制方式的分布式控制系统(DCS)的控制方案未完全考虑到控制结果准确性、以及发生故障后不能实现自恢复的问题,对其系统中的数据信息采集和处理采用了多次三取二的表决方式,通过对采集数据的三选二的表决方式保证了系统输入的准确性,通过对控制模板运算结果的三选二的表决方式保证了系统计算的准确性,通过动态切换主控模板的方式保证了健康状况最优的控制模板充当主控模板,进一步提高系统准确性,实现系统安全控制的目的。通过对故障控制模板的无缝重构,实现了控制模板故障状况的自恢复,保证了控制系统工作的连续性和稳定性。
Description
技术领域
本发明属于工业控制领域,涉及一种用于全智能主控系统的安全控制冗余系统及冗余方法。
背景技术
容错技术是靠对资源的冗余利用和精心组织,通过冗余资源的线性增加来换取可靠性和安全性指数增长的技术。目前在容错计算机的冗余设计方面已经有很多人关注和研究,也取得了很多研究成果,如:双机冷备份、双机温备份、双机热备份和双机比较系统。但上述双机(双模)冗余方式的计算机系统,都存在单点故障失效的缺点且很难克服,当发生故障时,都要中断系统运行,实时性不够高,并且不能在线修复故障。而三模冗余容错计算机就可以消除这些缺点,它能够完全消除单点故障,并且具有在线修复故障的能力,提高了系统安全性。
三模冗余系统是最常用的一种容错设计技术,利用三个相互冗余的计算机模块,同时运行相同功能的处理程序,同步地采集相同的输入,通过三取二的表决方式作为该表决系统的正确输出,这种采用少数服从多数的方法使故障检测机制具有很高的检测覆盖率。当设备故障(包括软、硬件故障)时可能有错误输出,由于出现两种同样性质错误的概率一般非常小,因此系统中只要不出现两个计算机模块的错误结果完全相同的情况,就能屏蔽单点故障,保证系统的正确输出,从而有效地提高实时嵌入式系统的安全性与可靠性。在任何一个计算机模块出现故障后,三模冗余系统会降级为双机工作模式,不用中断系统的正常运行仍能输出正确的处理结果,并且还能对故障机器进行重构恢复。重构完成后,故障机器仍能正常工作,与在故障状态下仅能将输出导向安全值的双机容错系统相比,它不仅保证了系统在单个故障状态下的安全性,还确保了系统工作的连续性与稳定性。
发明内容
针对现有技术中存在的上述问题,本发明的目的是为了解决一种采用双机温备份控制方式的分布式控制系统(DCS)的控制方案未完全考虑到控制结果准确性、以及发生故障后不能实现自恢复的问题,而提出一种用于全智能主控系统的安全控制冗余系统及冗余方法。
所述的一种用于全智能主控系统的安全控制冗余系统,其特征在于包括一组控制模板及一组I/O模板,所述的控制模板与I/O模板通过CAN总线通信,所述的控制模板包括主控制模板及分别设置在主控制模板两侧的两个分控制模板,所述的主控制模板与分控制模板通过以太网通信,所述的I/O模板上设有一组I/O模块,每个I/O模块上设有3个I/O采集通道。
所述的一种用于全智能主控系统的安全控制冗余系统,其特征在于所述的CAN总线通信与以太网通信均采取双冗余热备份结构,由双份网络协议控制器和双电缆构成两条网络。
所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的主控制模板、分控制模板和I/O模板均为独立的计算机系统,包括电源、CPU、内存、总线及接口逻辑。
所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于包括如下步骤:
1)控制系统上电,系统初始化完成后,主控制模板按照各控制变量的采集周期,依次向各控制变量所在的I/O模板发送轮询请求命令;
2)I/O模板接收到轮询请求命令后,读取该控制变量所对应的I/O模块的采样值,I/O模板读取与其连接的3个I/O采集通道上的采样值后经过三取二表决方式得出最终采样值,并将其通过广播方式发送给主控制模板和分控制模板;
3)主控制模板和两个分控制模板同时接收到该采样值后进行任务同步,并进行相同的控制运算,得出各自的运算结果;
4)由主控制模板读取分控制模板的运算结果,将三个运算结果通过三取二表决方式得出最终运算值;
5)由主控制模板将最终运算值发送给相应的I/O模板,并将最终运算值作为准确值发送给两个分控制模板。
所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的主控制模板到I/O模板、分控制模板的通信模式均采用点对点方式,从I/O模板到主控制模板、分控制模板的通信模式采用广播方式。
所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的三取二表决方式基于少数服从多数的纠错原理,由软件按三取二的原则,以多数相同的输出作为该表决系统的正确输出。
所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的I/O模板采集到的采样值包括数字量、模拟量和脉冲量。
所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于步骤4)中在表决过程中当其中一个控制模板运算结果与其他两个不一致时,则该控制模板发生故障,所述的故障分为瞬时故障,严重故障和永久故障。
所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于当控制模板出现严重故障时,系统对其降级重构,所述的降级重构是指由主控制模板将其上电重启;在该控制模板重新运行正常之前,系统由其他两个控制模板同时控制,系统对其断电重启后,若其工作正常则再对其升级重构,恢复其工作现场数据,系统恢复为三模冗余控制方式。
所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述升级重构是指发生严重故障的控制模板重启正常后,重新参与控制,使系统恢复三模冗余控制方式的过程,升级重构时由主控制模板对其发送工作现场数据,使3个控制模板状态同步,在升级重构过程中通过将工作现场数据组织成合适的数据帧和对工作现场数据区的有效管理,并且只在主控制模板执行控制任务的空闲时间传送工作现场数据,使重构过程中系统不必中断正常任务而连续工作。
通过采用上述技术,与现有技术相比,本发明的有益效果如下:本发明利用三模冗余方式,针对一种分布式控制系统(DCS),对其系统中的数据信息采集和处理采用了多次三取二的表决方式,同时针对传统三模冗余方式中采用硬件表决模块比较三机计算结果、输出表决结果的方式,结合该分布式系统,采用由主控制模板通过软件方式实现三取二表决,通过对采集数据的三选二的表决方式保证了系统输入的准确性,通过对控制模板运算结果的三选二的表决方式保证了系统计算的准确性,通过动态切换主控制模板的方式保证了健康状况最优的控制模板充当主控制模板,进一步提高系统准确性,实现系统安全控制的目的,通过对故障控制模板的无缝重构,实现了控制模板故障状况的自恢复,保证了控制系统工作的连续性和稳定性。
附图说明
图1为本发明的电路示意图;
图2为本发明数据采集部分的结构示意图;
图3为本发明的的数据交换结构示意图;
图4为本发明控制模板的任务同步结构示意图。
图中:1-以太网,2-控制模板,3-CAN总线,4-I/O模板,5-I/O模块,6-I/O采集通道。
具体实施方式
以下结合附图对本发明做进一步说明。
如图1-4所示,一种用于全智能主控系统的安全控制冗余系统,包括一组控制模板2及一组I/O模板4,所述的控制模板2与I/O模板4通过CAN总线3通信,所述的控制模板2包括主控制模板202及分别设置在主控制模板202两侧的两个分控制模板201,所述的主控制模板202与分控制模板201通过以太网1通信,所述的I/O模板4上设有一组I/O模块5,每个I/O模块5上设有3个I/O采集通道6,每个I/O模块5对应一个控制变量,CAN总线3通信与以太网1通信均采取双冗余热备份结构,由双份网络协议控制器和双电缆构成两条网络,两种通信方式中的各自两个硬件通道硬件配置完全一样,在正常情况下,各网络节点可通过两条总线同时进行收发工作,若其中某一条通路多次发生通信错误,则认为此通路发生故障,将其关闭、隔离,把所有通信任务转换到另一条通路进行,每个控制模板102和I/O模板4都是独立的计算机系统,具有独立的电源、CPU、内存、总线、接口逻辑。
如图1-4所示,本发明的用于全智能主控系统的安全控制冗余方法,包括信息输入、输入信息的三取二表决、控制运算、运算结果的交换、输出结果软件三取二表决、输出控制结果。具体包括如下步骤:控制系统上电,系统初始化完成后,主控制模板202按照各控制变量的采集周期,依次向各控制变量所在的I/O模板4发送轮询请求命令; I/O模板4接收到轮询请求命令后,读取该控制变量所对应的I/O模块5的采样值,I/O模板5读取与其连接的3个I/O采集通道6上的采样值后经过三取二表决方式得出最终采样值,并将其通过广播方式发送给主控制模板202和分控制模板201;主控制模板202和分控制模板201同时接收到该采样值后进行任务同步,并进行相同的控制运算,得出各自的运算结果;主控制模板202读取分控制模板201的运算结果,将三个运算结果通过三取二表决方式得出最终运算值;由主控制模板202将最终运算值发送给相应的I/O模板4,并将最终运算值作为准确值发送给两个分控制模板201,从主控制模板202到I/O模板4和分控制模板201的通信模式采用点对点方式,从I/O模板4到分控制模板102的通信模式采用广播方式,各控制模板102通过同时接收到I/O模板4的采集数据作为任务同步的起点,再通过以太网1相互通信实现任务级同步。
该安全控制冗余方法“三取二表决方式”的表决机制基于“少数服从多数”的纠错原理,由软件按“三取二”的原则,以多数相同的输出作为该表决系统的正确输出,表决针对输入数据的表决和输出数据的表决。
如图2所示,系统输入包括模拟量、数字量、脉冲量等状态量, I/O模板4通过对各I/O模块5的三个I/O采集通道6采集到的数据进行三取二表决,屏蔽了采集过程出现的单点故障。表决完成后I/O模板4将表决结果通过CAN总线3广播到主控制模板202和分控制模板201。如果系统采集的数据是模拟量,模拟量输入的表决采用截断误差的方法来完成。通过设定表决精度,对输入数据进行表决处理:当三个I/O采集通道6的数据均在规定精度范围内时,用三个I/O采集通道6数据的平均值作为采集结果;若有一个I/O采集通道6的数据与其它两个I/O采集通道6的误差超出了精度允许范围,用其它两个I/O采集通道6数据的平均值作为采集结果;若三个I/O采集通道6数据之间误差都超出了精度规定,则认为是误差设置不合适,也用三个I/O采集通道6数据的平均值代替本机的数据值,当需要表决的数据是开关量或数字量时,不能有任何误差,当三个I/O采集通道6采集的状态不完全一致时,通过软件三取二表决得出结果。
在图3中,主控制模板202在某个控制变量的采样周期到后,对该变量对应的I/O模板4发送轮询请求,I/O模板4收到请求命令后,将该变量对应的采样表决结果通过广播方式发送到主控制模板202和另外两个分控制模板201,主控制模板202、分控制模板201同时接收到I/O模板4的采样数据后,进行相同的控制运算,主控制模板202运算完成后,依次向另外两个分控制模板201读取控制结果,另外两个分控制模板201接收到请求命令后发送控制结果到主控制模板202,再由主控制模板202对三机控制结果进行三取二表决后,将控制表决结果发送到I/O模板4和另外两个分控制模板201,此处控制结果的三取二表决是为了消除计算带来的错误,将控制表决结果作为准确值发送给其他两个分控制模板201,是为了使出现故障的控制模板在正确数据环境下继续执行。
在上述控制系统完成控制任务的整个过程中,主控制模板202、分控制模板201工作要同步,同步是表决的基础,只有经过三机同步,使采集到相同的输入信号,同时由主控制模板202进行控制结果表决时所有主控制模板202、分控制模板201数据在同一个表决周期,才能真正完成三模冗余功能,屏蔽单点故障。若冗余模块之间不能很好的同步,将使表决的结果处于紊乱状况,系统不能正常可靠的工作。
如图4所示,本方案是根据以下方法使主控制模板202、分控制模板201达到同步的:在图4中,任务一开始,由主控制模板202向I/O模板4发送轮询请求,I/O模板4将采样表决结果通过广播方式发送到CAN总线3,因此主控制模板202、分控制模板201可以同时接收相同的输入信号,进行相同的控制运算,但运算花费的时间可能不同,主控制模板202、两个分控制模板201分别在a、b、c时刻完成控制运算,主控制模板202运算完成后在时刻d向分控制模板201请求控制运算结果,分控制模板201在时刻e接收到请求控制运算结果命令,但此时分控制模板201并未完成控制运算,因此暂时不予响应,主控制模板202将在最大时间限制内等待其响应,若最大时间限制到则放弃此次请求,标记任务同步异常信息,以主控制模板的运算结果作为输出结果。分控制模板201在时刻b完成控制运算后,在时刻f向主控制模板202发送控制运算结果。主控制模板202在时刻g接收返回的控制运算结果并在时刻h向另一分控制模板201请求控制运算结果,另一分控制模板201在时刻i接收到控制运算结果请求后在时刻j向主控制模板202发送控制运算结果,主控制模板202在时刻k接收返回的控制运算结果后对三机控制结果进行表决,表决结果在时刻l发送到I/O模板4和另外两个分控制模板201。
本发明任务同步的核心思想是通过三机之间的相互等待,在运行较快的控制模板上的任务中插入一定的等待时间,使三机实现同步。针对三机数据不在同一个表决周期的情况,现用一个字节(0-255)来表示当前任务所处的周期序号,当主控制模板202接收到的控制运算结果中的周期序号跟自己的周期序号不同时,以主控制模板202的运算结果作为输出结果,同时通知对方更改周期序号到主控制模板202当前的周期序号。
当有一个分控制模板201不能正确同步、表决数据不正确或没有控制运算结果响应时,称其发生故障,本方案可容忍不同持续时间的故障,现将分控制模板201的故障按危害大小分为瞬时故障、严重故障和永久故障,瞬时故障是指偶尔发生非连续的故障,当发现某一分控制模板201故障时,为避免因瞬时故障过早将其离线,系统首先假设此时遇到的是瞬时故障,允许该分控制模板201采用经过比较而确定为正确的数据进行运行,若该分控制模板201运行正常且良好记录达到可接纳的门槛,则确定故障为瞬时故障,系统重新接纳该分控制模板201;若发现该分控制模板201持续发送故障,且累计故障次数超过预先设定的值时,认为该分控制模板201遇到严重故障,此时由主控制模板202对其进行上电重启,在该分控制模板201重新运行正常之前,系统由三模冗余自动降级为双模冗余继续运行,系统由另外两个分控制模板201同时控制,在双模冗余控制模式下,当双机计算结果不一致时,应马上报警,此时输出数据可以根据机器状态选择较健康控制模板即主控制模板202的数据,也可以输出强制为预设的安全值。当故障的分控制模板201上电重启后,系统进行升级重构恢复到三模冗余控制方式,由主控制模板202对故障控制模板发送工作现场数据,使分控制模板201状态同步。若故障分控制模板201重启后不能正常运行,则称为永久故障,需要报警人工修复或更换新的控制模板,在故障控制模板修复前系统保持双模冗余控制。
其中系统升级重构主要包括故障修复、重构识别、工作现场恢复、重新同步等步骤。
故障分控制模板201上电重启后,会在以太网1广播“I am alive”信息,为了区分此次上电启动是系统初始上电还是升级重构引起的单独上电,若故障分控制模板201在一定时间内收到另一个分控制模板201 或主控制模板202的相同信息,则为初始上电,不申请重构;若在一定时间内未收到另一个分控制模板201 或主控制模板202的这一信息,则为单独上电,向另一个分控制模板201 或主控制模板202申请重构。
当识别到重构请求以后,系统将会进入工作现场恢复状态,由主控制模板202对故障分控制模板201进行工作现场恢复工作。工作现场恢复包括机器状态与内存数据区的恢复,通过将主控制模板202的当前状态及内存数据拷贝到故障分控制模板201上,使故障分控制模板201与主控制模板202的状态一致后,从当前点继续运行。但这种恢复方式需要在双机之间交换大量的数据,重构时间与双机数据交换速率及数据交换量密切相关,本方案中采用100M波特率快速以太网1。常见的恢复方法是进行集中数据恢复,即恢复过程中系统停止控制任务的运行。为了使系统在重构过程中不中断正常任务,可以连续工作,识别到重构请求以后,主控制模板202并不立即开始进行现场恢复。主控制模板202只是设置一个重构标志后,继续运行正常的任务程序,待重构的故障分控制模板201则保持在重构等待状态。只有当主控制模板202进入空闲状态,并且通过时间片定时器读取到的空闲时间满足传输时间要求后,才将其关键数据区与关键状态通过以太网1发送给要恢复的故障分控制模板201,故障分控制模板201对接收数据进行正确性校验后,用它来恢复自身的执行现场。当主控制模板202空闲时间结束时,无论重构恢复是否全部完成,都会退出重构恢复过程,进入正常的任务执行过程。主控制模板再次进入空闲时间后,才会重新启动现场恢复的数据传送过程。现场恢复完成后,故障分控制模板201重新进入一个正常的同步等待状态,主控制模板202发送当前任务所处的周期序号给故障分控制模板201,然后一起开始三模冗余的正常执行过程。
主控制模板202对故障分控制模板201进行现场恢复时,先将重构恢复数据分成适当大小的数据包,使一个数据包可以在主控制模板202的一般空闲时间范围内完成传送。主控制模板202在传送时先判断空闲时间是否满足传输时间要求,若剩余的空闲时间不足,则禁止重构数据的传送。这样就可以使得重构数据传送时间得到较为精确的控制,尽可能地减小重构恢复模式下数据传送对系统任务的影响,同时又能够最大限度地利用系统的空闲时间进行重构恢复。
其中存储现场数据的内存区域称为关键数据区,一般由全局变量、静态数据及任务堆栈等重要数据构成,可以是一个连续的内存区域,也可以由多个内存数据块组成。通过仔细选择关键数据区,可以大大减少系统重构时的数据传送量,降低对数据交换速率的要求,有效减少系统重构时间。
如果按照一般的方法按顺序将现场数据从主控制模板202发送到重启后的故障分控制模板201或新增加的分控制模板201,关键数据区中某些数据在传送后发生变化的话,将导致重构恢复的数据不正确。
本方案采用单向链表方式按更新频度对关键数据块按队列进行管理。在重构程序中,为每个关键数据块设置一个包括数据块地址范围、恢复标志及更新标志等内容的数据块表项,并将它们按加入的先后顺序进行排队。数据恢复时,从队首到队尾依次恢复所有的数据块。初始时,所有表项的恢复标志均为0,更新标志均为1。通过对恢复标志及更新标志的识别,来确定本数据块的状态,以便于对其实行不同的处理措施。关键区数据管理方法如下:
1)开始恢复某一数据块时,将恢复标志置为1,将更新标志置为0,恢复完成后再将恢复标志清为0。恢复过程中,若其更新标志变为1,则认为该数据块已被更新,立即停止对它的恢复,将恢复标志重新置为0,并将其移至队尾,再去恢复下一数据块。
2)某一数据包被更新时,将更新标志置为1,若恢复标志不为1,说明这一数据块已经恢复过,也可能还没轮到恢复,不管哪种情况都将其移至队列末尾。
3)发送重构结束命令帧之前,恢复程序需要重新检查队列中所有数据块表项中的更新标志,只有当所有数据块的更新标志均为0时,才能认为数据恢复全部完成。若某一数据块的更新标志为1,需将其移至队尾,重新开始对它的恢复。
利用这一方法,可以将频繁更新的数据块放到队尾,推后它们的恢复时间,可以有效地减少对频繁更新的数据块的传输次数,从而有效地节省重构耗费的时间,也可以保证重构时故障机器拷贝数据与正常机器的一致性。
系统在完成上述工作过程中,三个控制模板中谁是主控制模板202并不是绝对的,主控权可动态切换。当主控制模板202的故障次数超过其他两个分控制模板201的故障次数,或出现主控制模板202通讯异常或不工作的情况后,应该切换主控权,由故障次数最少的分控制模板201担任主控制模板202。为了防止主控制模板202的反复切换,也可以设置一个缓冲次数,即当前主控制模板202发生故障次数比当前最健康分控制模板201故障次数超过缓冲次数时才切换主控权。
Claims (9)
1.一种用于全智能主控系统的安全控制冗余方法,其特征在于包括一组控制模板(2)及一组I/O模板(4),所述的控制模板(2)与I/O模板(4)通过CAN总线(3)通信,所述的控制模板(2)包括主控制模板(202)及分别设置在主控制模板(202)两侧的两个分控制模板(201),所述的主控制模板(202)与分控制模板(201)通过以太网(1)通信,所述的I/O模板(4)上设有一组I/O模块(5),每个I/O模块(5)上设有3个I/O采集通道(6),该安全控制冗余方法包括如下步骤:
1)控制系统上电,系统初始化完成后,主控制模板(202)按照各控制变量的采集周期,依次向各控制变量所在的I/O模板(4)发送轮询请求命令;
2)I/O模板(4)接收到轮询请求命令后,读取该控制变量所对应的I/O模块(5)的采样值,I/O模块(5)读取与其连接的3个I/O采集通道(6)上的采样值后经过三取二表决方式得出最终采样值,并将其通过广播方式发送给主控制模板(202)和分控制模板(201);
3)主控制模板(202)和两个分控制模板(201)同时接收到该采样值后进行任务同步,并进行相同的控制运算,得出各自的运算结果;
4)由主控制模板(202)读取分控制模板(201)的运算结果,将三个运算结果通过三取二表决方式得出最终运算值;
5)由主控制模板(202)将最终运算值发送给相应的I/O模板(4),并将最终运算值作为准确值发送给两个分控制模板(201)。
2.根据权利要求1所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的CAN总线(3)通信与以太网(1)通信均采取双冗余热备份结构,由双份网络协议控制器和双电缆构成两条网络。
3.根据权利要求1所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的主控制模板(202)、分控制模板(201)和I/O模板(4)均为独立的计算机系统,包括电源、CPU、内存、总线及接口逻辑。
4.根据权利要求1所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的主控制模板(202)到I/O模板(4)、分控制模板(201)的通信模式均采用点对点方式,从I/O模板(4)到主控制模板(202)、分控制模板(201)的通信模式采用广播方式。
5.根据权利要求1所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的三取二表决方式基于少数服从多数的纠错原理,由软件按三取二的原则,以多数相同的输出作为该表决系统的正确输出。
6.根据权利要求1所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述的I/O模板采集到的采样值包括数字量、模拟量和脉冲量。
7.根据权利要求1所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于步骤4)中在表决过程中当其中一个控制模板运算结果与其他两个不一致时,则该控制模板发生故障,所述的故障分为瞬时故障,严重故障和永久故障。
8.根据权利要求7所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于当控制模板出现严重故障时,系统对其降级重构,所述的降级重构是指由主控制模板将其上电重启;在该控制模板重新运行正常之前,系统由其他两个控制模板同时控制,系统对其断电重启后,若其工作正常则再对其升级重构,恢复其工作现场数据,系统恢复为三模冗余控制方式。
9.根据权利要求8所述的一种用于全智能主控系统的安全控制冗余方法,其特征在于所述升级重构是指发生严重故障的控制模板重启正常后,重新参与控制,使系统恢复三模冗余控制方式的过程,升级重构时由主控制模板对其发送工作现场数据,使3个控制模板状态同步,在升级重构过程中通过将工作现场数据组织成合适的数据帧和对工作现场数据区的有效管理,并且只在主控制模板执行控制任务的空闲时间传送工作现场数据,使重构过程中系统不必中断正常任务而连续工作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210224135.7A CN102799104B (zh) | 2012-07-02 | 2012-07-02 | 一种用于全智能主控系统的安全控制冗余系统及冗余方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210224135.7A CN102799104B (zh) | 2012-07-02 | 2012-07-02 | 一种用于全智能主控系统的安全控制冗余系统及冗余方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102799104A CN102799104A (zh) | 2012-11-28 |
| CN102799104B true CN102799104B (zh) | 2014-12-24 |
Family
ID=47198234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210224135.7A Active CN102799104B (zh) | 2012-07-02 | 2012-07-02 | 一种用于全智能主控系统的安全控制冗余系统及冗余方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102799104B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104953805A (zh) * | 2014-03-31 | 2015-09-30 | 西门子公司 | 管理变频器中功率单元的方法和设备 |
| CN104199467B (zh) * | 2014-07-11 | 2017-07-28 | 浙江大学 | 基于热备份冗余检测技术的物料跟踪系统及方法 |
| CN104536413B (zh) * | 2014-12-22 | 2018-01-16 | 重庆川仪自动化股份有限公司 | 一种通信控制系统中io数据冗余无缝传输的方法和系统 |
| CN108614527A (zh) * | 2016-12-13 | 2018-10-02 | 中核控制系统工程有限公司 | 一种安全级dcs现场控制站 |
| CN106940527B (zh) * | 2017-03-23 | 2020-01-14 | 浙江工业大学 | 基于控制器参数动态重构的大型热处理装置网络化控制方法 |
| CN107985349B (zh) * | 2017-10-24 | 2021-04-13 | 北京全路通信信号研究设计院集团有限公司 | 单硬件多软件的实现方法及装置、计算机存储介质 |
| CN107894742B (zh) * | 2017-11-09 | 2020-07-24 | 山东省计算中心(国家超级计算济南中心) | 一种快速配置硬件资源的安全plc实现方法 |
| CN108052082A (zh) * | 2017-12-14 | 2018-05-18 | 江苏坤发信息科技有限公司 | 一种基于can总线的高可靠性的分布式系统的实现 |
| CN108845971A (zh) * | 2018-06-14 | 2018-11-20 | 国蓉科技有限公司 | 多处理器板重构系统及方法 |
| CN108536111B (zh) * | 2018-07-12 | 2019-05-17 | 华能烟台发电有限公司 | 避免热控dcs中控制单元重启后指令归零的处理方法 |
| CN109213105B (zh) * | 2018-10-22 | 2020-10-27 | 暨南大学 | 一种可重构装置、实现可重构的方法及分布式控制系统 |
| CN112346332A (zh) * | 2020-11-20 | 2021-02-09 | 中国船舶工业集团公司第七0八研究所 | 一种水下无人航行器容错控制系统 |
| CN112506037B (zh) * | 2020-12-14 | 2023-04-07 | 杭州和利时自动化有限公司 | 一种基于异构多样性的冗余系统 |
| CN113050407B (zh) * | 2021-03-04 | 2022-11-22 | 中国航空工业集团公司西安航空计算技术研究所 | 一种分布式处理系统主备控制器确定及切换方法 |
| CN113867636A (zh) * | 2021-09-27 | 2021-12-31 | 远峰科技股份有限公司 | 一种关键信息的管理方法及关键信息的管理系统 |
| CN114326368B (zh) * | 2021-12-16 | 2024-04-12 | 三一汽车制造有限公司 | 一种泵车控制方法、系统及泵车 |
| CN114291133A (zh) * | 2021-12-17 | 2022-04-08 | 交控科技股份有限公司 | 用于地面设备远程重启的控制方法及装置、远程重启设备 |
| CN116841185B (zh) * | 2023-09-01 | 2023-11-21 | 浙江大学 | 一种可高实时多层次动态重构的工业控制系统架构 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1661503A (zh) * | 2003-11-18 | 2005-08-31 | 弗尼克斯-康泰克有限及两合公司 | 控制系统 |
| CN201374005Y (zh) * | 2008-12-24 | 2009-12-30 | 太原罗克佳华工业有限公司 | 带式输送设备自动化控制系统 |
| CN201576203U (zh) * | 2009-12-11 | 2010-09-08 | 徐州博林高新技术有限责任公司 | 工业总线煤矿水泵房排水冗余控制器 |
| CN201993597U (zh) * | 2011-03-25 | 2011-09-28 | 上海磁浮交通发展有限公司 | 一种实时传输的数据接口装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202794885U (zh) * | 2012-07-02 | 2013-03-13 | 浙江正泰中自控制工程有限公司 | 一种用于全智能主控系统的安全控制冗余系统 |
-
2012
- 2012-07-02 CN CN201210224135.7A patent/CN102799104B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1661503A (zh) * | 2003-11-18 | 2005-08-31 | 弗尼克斯-康泰克有限及两合公司 | 控制系统 |
| CN201374005Y (zh) * | 2008-12-24 | 2009-12-30 | 太原罗克佳华工业有限公司 | 带式输送设备自动化控制系统 |
| CN201576203U (zh) * | 2009-12-11 | 2010-09-08 | 徐州博林高新技术有限责任公司 | 工业总线煤矿水泵房排水冗余控制器 |
| CN201993597U (zh) * | 2011-03-25 | 2011-09-28 | 上海磁浮交通发展有限公司 | 一种实时传输的数据接口装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于冗余CAN总线的分布式控制系统的研究与设计;陈东;《安防科技》;20081231;第3卷;第3页第2栏第1段,第4页第1栏以及图1-2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102799104A (zh) | 2012-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102799104B (zh) | 一种用于全智能主控系统的安全控制冗余系统及冗余方法 | |
| CN101807076B (zh) | 基于profibus现场总线的具有协同热备份功能的双模冗余容错高可靠控制系统 | |
| CN103199972B (zh) | 基于soa、rs485总线实现的双机热备份切换方法及热备份系统 | |
| CN100492223C (zh) | 发动机冗余电控系统切换电路 | |
| CN107634855A (zh) | 一种嵌入式系统的双机热备方法 | |
| CN101917285B (zh) | 小卫星星务主机双机冷备结构的三机实现方法 | |
| CN110361979A (zh) | 一种铁路信号领域的安全计算机平台 | |
| CN101907888B (zh) | 小卫星星务系统双机冷备无扰切换方法 | |
| CN102724083A (zh) | 基于软件同步的可降级三模冗余计算机系统 | |
| CN109507866A (zh) | 一种基于网络地址漂移技术的双机冗余系统及方法 | |
| CN107347018A (zh) | 一种三冗余1553b总线动态切换方法 | |
| CN103473156B (zh) | 一种基于实时操作系统的星载计算机三机热备份容错方法 | |
| CN106970857A (zh) | 一种可重构三冗余计算机系统及其重构降级方法 | |
| CN106814603A (zh) | 一种基于非实时操作系统的双机冗余容错系统 | |
| CN102521059A (zh) | 一种星载数据管理系统自主容错方法 | |
| CN103294787A (zh) | 分布式数据库系统的多副本存储方法和系统 | |
| CN102521066A (zh) | 星载计算机空间环境事件容错方法 | |
| CN101916068B (zh) | 基于2取2结构的计算机控制系统及其实现方法 | |
| CN104268037A (zh) | 热冗余联锁子系统及其主备切换方法 | |
| CN103744753B (zh) | 一种双机系统的数据交互方法与装置 | |
| CN104571041A (zh) | 基于1:1控制器冗余的数据同步方法 | |
| CN102830647A (zh) | 一种故障安全的二乘二取二装置 | |
| CN108259227A (zh) | 一种双机热备联锁系统的数据同步方法 | |
| CN105610566A (zh) | 主备节点间数据实时同步的方法及系统 | |
| CN108847879A (zh) | 基于总线控制器的双机故障检测及恢复方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |