CN104238435B - 一种三冗余控制计算机及容错控制系统 - Google Patents
一种三冗余控制计算机及容错控制系统 Download PDFInfo
- Publication number
- CN104238435B CN104238435B CN201410228504.9A CN201410228504A CN104238435B CN 104238435 B CN104238435 B CN 104238435B CN 201410228504 A CN201410228504 A CN 201410228504A CN 104238435 B CN104238435 B CN 104238435B
- Authority
- CN
- China
- Prior art keywords
- machine
- signal
- duty
- module
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明公开了一种三冗余控制计算机及容错控制系统,包括开关量表决阵列模块和三个完全独立的子计算机;开关量表决阵列模块接收三个子计算机输出的开关量控制信号和备份开关量控制信号,通过硬件表决器输出开关量功率控制指令;每个子计算机根据左右机角色定义表确定与其对应的左机和右机;每个子计算机包括同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块、主机模块与开关量控制输出模块。本发明在满足控制系统强实时要求的基础上,可以容忍更多的单机故障模式,提高系统的整体高可靠性,简化软硬件开销。
Description
技术领域
本发明涉及一种三冗余控制计算机及容错控制系统。
背景技术
在元器件、单机产品可靠性水平一定条件下,通常采用冗余容错技术提高计算机控制系统的整体可靠性,例如双机备份/双模冗余、三模冗余(TMR)等冗余技术已经被广泛应用于具有高可靠要求的飞行器控制系统。
双模冗余系统通过增加一套同构的硬件设备来提高系统的可靠性。一般技术方案为双机同步采集数据,对数据进行处理,同时产生数据输出并发送至表决器对输出数据进行比较:当双机输出数据结果相同时,表明系统处于正常工作状态;当输出数据比较结果不相同时,表明系统发生故障。当发生故障时,双模冗余系统不能判断故障机,一般通过卷回机制尽可能进行事后恢复,因此不能满足某些可靠性与操作实时性都要求很高的应用场合中。
三模冗余系统采用三套同构的设备进行同步数据采样、同步运算处理、三机交互后再按照三取二原则进行表决选择,最终由硬件表决器对三机输出进行表决后输出控制指令。三模冗余系统可以自动吸收一度故障但不能容忍二度故障,相比双模系统具有更高的控制实时性。
双模与三模冗余系统共同特点是在实现双机/三机系统同步的基础上,通过专用设计的信息交换通道(如双口RAM、高速机内总线)等额外硬件资源实现多机之间输入信息、输出指令的交换,最终控制指令输出需要经过多个计算单元的表决判定。这种技术方案一方面增加了系统软硬件的复杂度,另一方面增加额外的时间开销,降低了系统的实时性。此外,在某些控制系统中,如航天飞行器控制系统中,对控制系统配套设备(可分为敏感器器/传感器、控制器与执行器三大类)的重量与功耗存在严格约束,由于其作用地位或功能的不同,部分敏感器、执行器在技术上不可能或没有必要采取三余度配置,构成了非完全对称的三余度冗余控制系统,而传统三余度控制计算机不能适应这种应用场合。
发明内容
本发明所要解决的技术问题是:针对现有技术的不足,提供了一种能够适应非完全对称的三冗余控制计算机及容错控制系统,在满足控制系统强实时要求的基础上,可以容忍更多的单机故障模式,提高系统的整体高可靠性,简化软硬件开销。
本发明包括如下技术方案:
一种三冗余控制计算机,包括开关量表决阵列模块和三个完全独立的子计算机;开关量表决阵列模块接收三个子计算机输出的开关量控制信号和备份开关量控制信号,通过硬件表决器输出开关量功率控制指令;每个子计算机根据左右机角色定义表确定与其对应的左机和右机;每个子计算机包括同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块、主机模块与开关量控制输出模块;
同步模块接收左机与右机发送的控制周期信号,根据本机时钟对左机与右机发送的控制周期信号进行故障检测后与本机控制周期信号进行表决获得表决后的控制周期信号,将表决后的控制周期信号发送至主机模块、左机与右机,并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号;
自检模块接收到主机模块发出的自检使能指令后,根据每个控制周期从主机模块接收到的心跳信息产生高低电平交替变化的心跳信号并发送至左机与右机;如果自检模块在第一设定时间内没有检测到心跳信号,则将自检结果标志设定为异常状态;如果自检模块在第一设定时间内检测到心跳信号,则将自检结果标志设定为正常状态;向主机模块与当班控制模块发出自检结果标志;
左机检测模块接收到主机模块发出的左机检测使能指令后,接收左机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号;在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下,如果在第一设定的时间内,没有检测到左机心跳信号或者接收到主机模块发出的左机不允许当班指令,则向左机发出左机不允许当班信号;如果在第一设定的时间内,没有检测到左机心跳信号,向开关量控制指令输出模块和主机模块发送左机心跳异常信号;
右机检测模块接收到主机模块发出的右机检测使能指令后,接收右机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号,在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下,如果在第一设定的时间内,没有检测到右机心跳信号电平发生高低交替变化或者接收到主机模块发出的右机不允许当班指令,则向右机发出右机不允许当班信号;如果在第一设定的时间内,没有检测到右机心跳信号电平发生高低交替变化,向开关量输出控制模块和主机模块发送右机心跳异常信号;
当班控制模块接收自检模块输出的自检结果标志、左机与右机发送的当班信号、左机与右机发送的不允许当班信号以及主机模块发送的请求当班指令;在自检模块自检结果标志为正常、左机与右机发送的当班信号均无效、左机与右机发送的不允许当班信号不全有效、请求当班指令有效条件下,将本机当班信号置为有效状态,否则将本机当班信号置为无效状态;当班控制模块向左机、右机以及主机模块输出当班信号;当本机当班信号由有效状态变为无效状态时,向主机模块发出总线禁止发送信号;
主机模块接收左机与右机发送的当班信号、当班控制模块输出的当班信号;通过当班竞争确定当班机或备机角色,根据当班竞争后确定的角色在每个控制周期开始后顺序完成相应角色的控制流程;主机模块配置三个总线接口芯片,当接收到当班控制模块发出的总线禁止发送信号后,将三总线接口芯片发送器使能端置无效;通过主机模块的三个总线接口芯片进行三总线通信控制;
开关量控制指令输出模块接收到主机模块发送的本地开关量控制指令后向开关量表决阵列模块输出N路开关量控制信号;N为大于等于1的整数;开关量控制指令输出模块接收左机检测模块发送的左机心跳异常信号、右机检测模块发送的右机心跳异常信号,当左机心跳异常信号与右机心跳异常信号均有效时,输出N路备份开关量控制信号。
主机模块的当班竞争实现步骤如下:
a)如果主机模块接收到的左机发送的当班信号为有效状态,设定本机为备机角色,左机为当班机角色,右机为备机角色;如果接收到的右机发送的当班信号为有效状态,设定本机为备机角色,右机为当班机角色,左机为备机角色;主机模块向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令,退出当班竞争;否则向当班控制模块发出本机当班请求,转入步骤b);
b)如果查询到当班控制模块输出的当班信号有效、左机与右机当班信号均无效,则设置本机为当班机角色,设置左右机为备机角色,向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令,退出当班竞争;如果查询当班控制模块输出的当班信号有效并且左/右机任意一机当班信号有效,则取消当班请求,返回步骤a)。
当班机角色的控制流程如下:
a)判断本机故障标志,如果本机故障标志无效则向自检模块发出心跳信号;如果本机故障标志有效则停止向自检模块发出心跳信号;
b)本机作为三总线控制器完成信息采样获得敏感器测量信息,完成本地开关量输入信号采样并通过三总线转发至左机和右机;
c)根据敏感器测量信息和本地开关量输入信号进行控制运算得到用于故障判别的特征控制指令、执行器的控制指令和本地开关量控制指令;通过三总线发出用于故障判别的特征控制指令和执行器的控制指令,向开关量指令输出控制模块发送本地开关量控制指令;
d)持续第三设定时间内,判定任一总线所有消息均失败或者消息无法启动,则设置本机故障标志,清除当班请求;
e)当查询到自检结果标志为异常状态或本机当班信号无效时,设置本机故障标志为有效,进入空闲状态,主动退出当班状态,作为被强制退出当班的备份冗余操作;否则等待下一控制周期,重新进入步骤a)。
备机角色的控制流程如下:
a)判断本机故障标志,如果本机故障标志无效则向自检模块发出心跳信号;如果本机故障标志有效则停止向自检模块发出心跳信号;
b)完成本地开关量输入信号采样;作为三总线监视器,监视当班机获得的敏感器测量信息;
c)根据本地开关量输入信号和监视获得的敏感器测量信息进行控制运算处理得到备机特征控制指令、备机执行器的控制指令和备机本地开关量控制指令;向开关量控制指令输出模块发送本地开关量控制指令;
d)将备机特征控制指令与通过三总线监视到的当班机特征控制指令进行比较,如果差值大于第一门限值,则设置当班机故障标志有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
e)将备机执行器的控制指令与通过三总线监视到的当班机执行器的控制指令进行比较判定当班机是否故障,当当班机故障时设置当班机故障标志有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
f)对备机本地开关量输入信号进行采样,如果备机本地开关量输入信号为有效状态、通过三总线监视到的当班机本地开关量输入信号为无效状态,或者连续两个控制周期备机本地开关量输入信号为无效状态、通过三总线监视到的当班机开关量输入信号为有效状态,则设置当班机故障标志为有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
g)任意一条总线持续第四设定时间内没有监视到任何总线消息,则设置当班机故障标志为有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
h)当查询到本机自检结果标志为异常状态时设置本机故障标志为有效,或者没有收到左机心跳异常信号和右机心跳异常信号时,持续发出当班机不允许当班指令且在第五设定时间内当班信号均未发生变化时,设置本机故障标志为有效;
i)如果查询到当班机当班信号从有效状态变为无效且对应当班机故障标志有效时,重新进行当班竞争;否则等待下一控制周期,重新进入步骤a)。
执行器的控制指令为开关量控制指令或数字化连续量控制指令;
当执行器的控制指令为数字化连续量控制指令时,将数字化连续量控制指令与通过三总线监视到的当班机数字化连续量控制指令进行比较,如果连续若干个控制周期差值均大于第二门限值或者在第三设定时间内三总线均没有监视到数字化连续量控制指令,则判定当班机故障;
当执行器的控制指令为开关量控制指令时,如果连续两个控制周期通过三总线监视到的当班机开关量控制指令与备机的开关量控制指令不一致或者没有监视到当班机的开关量控制指令,则判定当班机故障。
三个完全独立的子计算机分别标记为A机、B机和C机;开关量表决阵列模块包括N路硬件表决器,每路硬件表决器包括六个开关器件;第一开关器件、第三开关器件和第五开关器件的电源端并联后与电源端相连;第一开关器件的输出端与第二开关器件的电源端串联,第三开关器件的输出端与第四开关器件的电源端串联,第五开关器件的输出端与第六开关器件的电源端串联;第二开关器件、第四开关器件和第六开关器件的输出端并联后输出开关量功率控制指令;A机输出的开关量控制信号C_A与C机输出的备份开关量控制信号C_C_1线或后与第一开关器件和第六开关器件的控制端相连;B机输出的开关量控制信号C_B与A机输出的备份开关量控制信号C_A_1线或后与第二开关器件和第三开关器件的控制端相连;C机输出的开关量控制信号C_C与B机输出的备份开关量控制信号C_B_1线或后与第四开关器件和第五开关器件的控制端相连。
同步模块包括分频器、左机周期信号检测模块、右机周期信号检测模块和周期信号表决器;本机时钟通过分频器产生本机控制周期信号;左机周期信号检测模块利用本机时钟对左机控制周期信号进行故障检测,如果左机控制周期信号的周期在设定的偏差范围外则认为左机控制周期信号故障,如果在设定的偏差范围内则认为左机控制周期信号正常;右机周期信号检测模块利用本机时钟对右机控制周期信号进行故障检测,如果右机控制周期信号的周期在所述设定的偏差范围外则认为右机控制周期信号故障,如果在设定的偏差范围内,则认为右机控制周期信号正常;如果左机与右机控制周期信号均正常或者只有一个故障,则周期信号表决器对三机控制周期信号进行三取二表决得到表决后的控制周期信号;如果左机与右机控制周期信号均故障,则周期信号表决器利用本机控制周期信号作为表决后的控制周期信号;周期信号表决器将表决后的控制周期信号发送至主机模块、左机与右机,并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号。
一种容错控制系统,包括上述三冗余控制计算机,三总线,三余度敏感器设备S1_1、S1_2、S1_3,双余度敏感器设备S2_1、S2_2,三余度执行器A1_1、A1_2、A1_3和双余度执行器A2_1、A2_2;控制计算机与三总线相连;三余度执行器,双余度执行器、三余度敏感器设备、双余度敏感器设备作为总线远程终端连接到任意一条总线;三余度敏感器设备S1_1、S1_2、S1_3通过三总线与控制计算机相连,双余度敏感器设备S2_1、S2_2通过双总线与控制计算机相连,由控制计算机对敏感器设备输出信息进行多数表决与数据融合;三余度执行器A1_1、A1_2、A1_3通过三总线与控制计算机相连,双余度执行器A2_1、A2_2通过双总线与控制计算机相连;三余度执行器A1_1、A1_2、A1_3对来自控制计算机的三余度控制指令形成硬件表决结构,双余度执行器A1_1、A1_2对来自控制计算机的双余度控制指令进行热备切换;
三个子计算机发起当班竞争,确定一个子计算机作为当班机、其余两个子计算机作为备机;当班机作为三总线控制器完成敏感器设备S1_1、S1_2、S1_3、S2_1、S2_2输出信息采样获得敏感器测量信息,备机作为总线监视器同步监视敏感器测量信息;
本地开关量输入信号并联连接至三个子计算机,当班机和备机均进行采样获得开关量输入信号,当班机通过三总线向备机发送本地开关量输入信号,备机通过与当班机错开采样时间的方法,判定当班机是否故障;
三个子计算机分别根据敏感器测量信息与本地开关量输入信号完成控制运算得到用于故障判别的特征控制指令、执行器的控制指令、和本地开关量控制指令,当班机通过三总线向执行器A1_1、A1_2、A1_3、A2_1、A2_2输出执行器的控制指令,向本地输出开关量控制指令;备机只向本地输出开关量控制指令;双备机同时监视当班机通过总线输出的用于故障判别的特征控制指令、执行器的控制指令,进行当班机故障判定,当当班机故障时,向当班机发出不允许当班信号;如果双备机均发出不允许当班信号,当班机被动释放当班控制权,或者当班机判定自身故障时,主动释放当班控制权;
当班机释放当班控制权时,双备机再次竞争当班控制权,在下一个控制周期,取得当班权的备机接管三总线,继续完成控制功能;
当由备机转换为当班机的子计算机再次发生故障时,主动释放当班控制权,余下的备机在下一个控制周期接管三总线,继续完成控制功能。
所述总线为1553B总线或者RS485总线。
每个执行器的控制指令为开关量控制指令或数字化连续量控制指令;如果执行器连续三个控制周期接收到相同的开关量控制指令后才执行对应的操作;如果执行器当前控制周期接收到的数字化连续量控制指令与前一控制周期接收到的数字化连续量控制指令差值大于第一门限则拒绝执行当前控制周期的数字化连续量控制指令。
本发明与现有技术相比具有如下优点:
1)三冗余控制计算机采取当班机工作、双备机表决的工作模式,通过自检模块、左/右机监测模块、主机模块软硬件相互协同配合实现基于自检与互检的改进三取二表决冗余管理,可以自动吸收一度故障与典型故障模式下的二度故障,提高了三余度计算机系统的可靠性;
2)三冗余控制计算机采用当班机一机控制三总线、备机跟随运行的工作模式,使得控制计算机余度模块故障与配套敏感器、执行器故障不存在耦合关系,控制系统可以容忍任何单机任何余度故障,提高了非完全对称的冗余控制系统的可靠性,减少了控制系统配套设备需求,减轻了控制系统整体重量,降低了控制设备安装空间与功耗需求;
3)所述三冗余控制计算机取消了一般三余度控制计算机专门的三机敏感器测量信息与控制指令的交互,简化了软硬件设计,降低了冗余管理开销,提高了控制系统的实时性。
附图说明
图1为非完全对称的本发明容错控制系统;
图2为三冗余控制计算机组成示意图;
图3为子计算机组成示意图;
图4为同步模块组成示意图;
图5为开关量表决阵列模块中的单路硬件表决器与三机开关量控制指令输出模块连接示意图。
具体实施方式
下面就结合附图对本发明做进一步介绍。
基于单机非对称冗余配置的三总线体系结构如图1所示,包括三冗余控制计算机,三总线,三余度敏感器设备S1_1、S1_2、S1_3,双余度敏感器设备S2_1、S2_2,三余度执行器A1_1、A1_2、A1_3和双余度执行器A2_1、A2_2;控制计算机与三总线相连;三余度执行器,双余度执行器、三余度敏感器设备、双余度敏感器设备作为总线远程终端连接到任意一条总线;三余度敏感器设备S1_1、S1_2、S1_3通过三总线与控制计算机相连,双余度敏感器设备S2_1、S2_2通过双总线与控制计算机相连,由控制计算机对敏感器设备输出信息进行多数表决与数据融合;三余度执行器A1_1、A1_2、A1_3通过三总线与控制计算机相连,双余度执行器A2_1、A2_2通过双总线与控制计算机相连;三余度执行器A1_1、A1_2、A1_3对来自控制计算机的三余度控制指令形成硬件表决结构,双余度执行器A1_1、A1_2对来自控制计算机的双余度控制指令进行热备切换。所述总线可以为1553B总线或者RS485总线或者其它通信总线。
其中控制计算机在硬件上采用三余度配置(在产品实现形式上为一个产品内含三个完全独立的余度模块,分别标记为A机、B机与C机),每个余度模块均提供三总线接口连接到三总线中。
如图2所示,三冗余控制计算机包括开关量表决阵列模块和三个完全独立的子计算机;开关量表决阵列模块接收三个子计算机输出的开关量控制信号和备份开关量控制信号,通过硬件表决器输出开关量功率控制指令;每个子计算机根据左右机角色定义表确定与其对应的左机和右机。例如可以按表1定义左右机角色:A机左机为B机,右机为C机;B机左机为A机,右机为C机;C机左机为A机,右机为B机。另外,也可以定义成别的形式。
表1 左右机角色定义
| 本机 | 左机 | 右机 |
| A | B | C |
| B | A | C |
| C | A | B |
如图3所示,每个子计算机包括同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块、主机模块与开关量控制输出模块;其中主机模块为以CPU为核心的配置了必要的内存与相关接口的嵌入式计算机,同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块与开关量控制输出模块为硬件模块,一般可以由FPGA等可编程器件实现。
同步模块接收左机与右机发送的控制周期信号,根据本机时钟对左机与右机发送的控制周期信号进行故障检测后与本机控制周期信号进行表决获得表决后的控制周期信号,将表决后的控制周期信号发送至主机模块、左机与右机,并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号;控制周期信号作为中断信号连接到主机模块的中断接口。控制周期信号例如可以是占空比为50%周期为10ms的周期信号。对10ms周期信号,如果一个周期内的控制任务可以在[9.9ms,10.1ms]完成,则设定的偏差范围为[9.9ms,10.1ms]。
如图4所示,同步模块包括分频器、左机周期信号检测模块、右机周期信号检测模块和周期信号表决器;本机时钟通过分频器产生本机控制周期信号;左机周期信号检测模块利用本机时钟对左机控制周期信号进行故障检测,如果左机控制周期信号的周期在设定的偏差范围外则认为左机控制周期信号故障,如果在设定的偏差范围内则认为左机控制周期信号正常;右机周期信号检测模块利用本机时钟对右机控制周期信号进行故障检测,如果右机控制周期信号的周期在所述设定的偏差范围外则认为右机控制周期信号故障,如果在设定的偏差范围内,则认为右机控制周期信号正常;如果左机与右机控制周期信号均正常或者只有一个故障,则周期信号表决器对三机控制周期信号进行三取二表决得到表决后的控制周期信号;如果左机与右机控制周期信号均故障,则周期信号表决器利用本机控制周期信号作为表决后的控制周期信号;周期信号表决器将表决后的控制周期信号发送至主机模块、左机与右机,并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号。该反馈机制使得系统上电一个控制周期后即可实现三机控制周期信号同步,在任意一机、双机出现故障时,非故障机控制周期信号相位、周期不会发生突变从而不影响故障后的控制运算。上述自检与表决相结合的三余度飞控计算机可以在两度故障情况下还具备工作的基础,而经典的三取二表决只能容忍一度故障。
自检模块接收到主机模块发出的自检使能指令后,根据每个控制周期从主机模块接收到的心跳信息产生高低电平交替变化的心跳信号并发送至左机与右机;如果自检模块在第一设定时间内(如1.5个控制周期)没有检测到心跳信号,则将自检结果标志设定为异常状态,否则将自检结果标志设定为正常状态,并向主机模块与当班控制模块发出自检结果标志。主机模块向自检模块发送心跳信息例如可以通过如下方式实现:主机模块每个控制周期交替向IO接口写指令(0x5555/0xAAAA),自检模块据此产生高低电平交替变化的心跳信号。
左机检测模块接收到主机模块发出的左机检测使能指令后,接收左机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号;在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下,如果在第一设定的时间内(如1.5个控制周期),没有检测到左机心跳信号或者接收到主机模块发出的左机不允许当班指令,则向左机发出左机不允许当班信号;如果在第一设定的时间内,没有检测到左机心跳信号,向开关量控制指令输出模块和主机模块发送左机心跳异常信号。
右机检测模块接收到主机模块发出的右机检测使能指令后,接收右机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号,在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下,如果在第一设定的时间内,没有检测到右机心跳信号电平发生高低交替变化或者接收到主机模块发出的右机不允许当班指令,则向右机发出右机不允许当班信号;如果在第一设定的时间内,没有检测到右机心跳信号电平发生高低交替变化,向开关量输出控制模块和主机模块发送右机心跳异常信号。
当班控制模块接收自检模块输出的自检结果标志、左机与右机发送的当班信号、左机与右机发送的不允许当班信号以及主机模块发送的请求当班指令;在自检模块自检结果标志为正常、左机与右机发送的当班信号均无效、左机与右机发送的不允许当班信号不全有效、请求当班指令有效条件下,将本机当班信号置为有效状态,否则将本机当班信号置为无效状态;当班控制模块向左机、右机以及主机模块输出当班信号;当本机当班信号由有效状态变为无效状态时,向主机模块发出总线禁止发送信号。
主机模块接收左机与右机发送的当班信号、当班控制模块输出的当班信号;通过当班竞争确定当班机或备机角色,根据当班竞争后确定的角色在每个控制周期开始后顺序完成相应角色的控制流程;主机模块配置三个总线接口芯片,当接收到当班控制模块发出的总线禁止发送信号后,将三总线接口芯片发送器使能端置无效;通过主机模块的三个总线接口芯片与三总线进行通信;通过当班机控制模块硬件表决将故障机强制隔离。
主机通过如下当班竞争的方式确定当班机、备机角色,不区分优先级,整机余度是否存在故障当班竞争流程相同,三机软硬件状态一致,易于工程实现:
a)如果主机模块接收到的左机发送的当班信号为有效状态(认为左机或右机已经取得当班权),设定本机为备机角色,左机为当班机角色,右机为备机角色;如果接收到的右机发送的当班信号为有效状态,设定本机为备机角色,右机为当班机角色,左机为备机角色;主机模块向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令,退出当班竞争;否则向当班控制模块发出本机当班请求,转入步骤b);
b)如果查询到当班控制模块输出的当班信号有效、左机与右机当班信号均无效,则设置本机为当班机角色,设置左右机为备机角色,向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令,退出当班竞争;如果查询当班控制模块输出的当班信号有效并且左/右机任意一机当班信号有效(这种情况说明当班控制模块在某种非常特殊的、三机精确同步的情况下当班控制模块同步输出了有效当班信号),则取消当班请求,返回步骤a)。当班机角色的控制流程如下:
a)判断本机故障标志,如果本机故障标志无效则向自检模块发出心跳信号;如果本机故障标志有效则停止向自检模块发出心跳信号;
b)本机作为三总线控制器完成信息采样获得敏感器测量信息,完成本地开关量输入信号采样并通过三总线转发至左机和右机,供备机监视后进行故障判别使用;
c)根据敏感器测量信息和本地开关量输入信号进行控制运算得到用于故障判别的特征控制指令、执行器的控制指令和本地开关量控制指令;通过三总线发出用于故障判别的特征控制指令和执行器的控制指令,向开关量指令输出控制模块发送本地开关量控制指令;所述特征控制指令能够表征系统运行基本状态,执行器的控制指令包括开关量控制指令或数字化连续量控制指令;对于数字化连续量控制指令,在特征控制指令发出后延时第二设定时间(该设定时间由三机同步偏差时间与备机表决时间之和增加安全余量后确定)后向执行器输出;对于开关量控制指令,当相应条件满足时连续三个控制周期向总线系统执行设备终端输出相同的开关量控制指令;
d)持续第三设定时间内,判定任一总线所有消息均失败或者消息无法启动,则设置本机故障标志,清除当班请求;第三设定时间设定为预计正常完成某些关键敏感器设备数据采样时间。
e)当查询到自检结果标志为异常状态或本机当班信号无效时,设置本机故障标志为有效,进入空闲状态,主动退出当班状态,作为被强制退出当班的备份冗余操作;否则等待下一控制周期,重新进入步骤a)。备机角色的控制流程如下:
a)判断本机故障标志,如果本机故障标志无效则向自检模块发出心跳信号;如果本机故障标志有效则停止向自检模块发出心跳信号;
b)完成本地开关量输入信号采样;作为三总线监视器,监视当班机获得的敏感器测量信息;
c)根据本地开关量输入信号和监视获得的敏感器测量信息进行控制运算处理得到备机特征控制指令、备机执行器的控制指令和备机本地开关量控制指令;向开关量控制指令输出模块发送本地开关量控制指令;
d)将备机特征控制指令与通过三总线监视到的当班机特征控制指令进行比较,如果差值大于第一门限值,则设置当班机故障标志有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;第一门限值可以设定为控制系统可以忍受的关键执行机构最大的误动作指令。
e)将备机执行器的控制指令与通过三总线监视到的当班机执行器的控制指令进行比较判定当班机是否故障,当当班机故障时设置当班机故障标志有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;备机将本机数字化连续量控制指令与通过三总线监视到的当班机数字化连续量控制指令进行比较,如果连续若干个控制周期(例如3个控制周期)差值均大于第二门限值或者在第三设定时间内三总线均没有监视到数字化连续量控制指令,则设置当班机故障标志;与之相配合,执行器如果连续接收到控制指令差值大于第一门限则拒绝执行;第二门限值小于第一门限值;第三设定时间设定为预计正常完成某些关键敏感器设备的数据采样时间。
如果连续两个控制周期通过三总线监视到当班机开关量控制指令与本机指令不一致或者没有监视到当班机开关量控制指令,则设置当班机故障标志;与上述设计相配合,执行器连续三个控制周期接收到相同的开关量控制指令后才执行对应的操作,如果双备机均认为当班机故障时,当班机将被表决隔离,从而无法向执行设备发出第三个开关量控制指令,因此执行设备不会执行该指令对应的操作);
f)对备机本地开关量输入信号进行采样,如果备机本地开关量输入信号为有效状态、通过三总线监视到的当班机本地开关量输入信号为无效状态,或者连续两个控制周期备机本地开关量输入信号为无效状态、通过三总线监视到的当班机开关量输入信号为有效状态,则设置当班机故障标志为有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;本地开关量输入信号为完全相同的信号,通过上述当班机与备机主动错时采样后的结果判定当班机与备机本地开关量输入信号是否存在故障;
g)任意一条总线持续第四设定时间内没有监视到任何总线消息,则设置当班机故障标志为有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
h)当查询到本机自检结果标志为异常状态时设置本机故障标志为有效,或者没有收到左机心跳异常信号和右机心跳异常信号时,持续发出当班机不允许当班指令且在第五设定时间内当班信号均未发生变化时(这种情况表明备机误判当班机故障)设置本机故障标志为有效;
i)如果查询到当班机当班信号从有效状态变为无效且对应当班机故障标志有效时,重新进行当班竞争,三冗余控制计算机由三机表决运行模式降级为双机热备运行模式或由双机热备运行模式降级为单机运行模式;否则等待下一控制周期,重新进入步骤a)。
开关量控制指令输出模块接收到主机模块发送的本地开关量控制指令后向开关量表决阵列模块输出N路开关量控制信号;N为大于等于1的整数;开关量控制指令输出模块接收左机检测模块发送的左机心跳异常信号、右机检测模块发送的右机心跳异常信号,当左机心跳异常信号与右机心跳异常信号均有效时,输出N路备份开关量控制信号。
开关量表决阵列模块接收三机开关量控制指令输出模块输出的N路开关量控制信号和N路备份开关量控制信号,通过N路硬件表决器输出开关量功率(通常可以承担一功率)指令。A机开关量控制指令输出模块发出的开关量控制信号与备份开关量控制信号分别称为C_A与C_A_1,B机开关量输出模块发出的开关量控制信号与备份开关量控制信号分别称为C_B与C_B_1,C机开关量输出模块发出的开关量控制信号与备份开关量控制信号分别称为C_C与C_C_1,按照图5所示方式与相应的开关器件输入端相连。每路硬件表决器包括六个开关器件,图中开关器件用三极管模型替代,实际上不限于三极管,第一开关器件、第三开关器件和第五开关器件的电源端并联后与电源端相连;第一开关器件的输出端与第二开关器件的电源端串联,第三开关器件的输出端与第四开关器件的电源端串联,第五开关器件的输出端与第六开关器件的电源端串联;第二开关器件、第四开关器件和第六开关器件的输出端并联后输出开关量功率控制指令;开关量控制信号C_A与备份开关量控制信号C_C_1线或后与第一开关器件和第六开关器件的控制端相连;开关量控制信号C_B与备份开关量控制信号C_A_1线或后与第二开关器件和第三开关器件的控制端相连;开关量控制信号C_C与备份开关量控制信号C_B_1线或后与第四开关器件和第五开关器件的控制端相连。开关器件例如可以是电磁继电器、固体继电器或功率管等。
开关量表决阵列模块的工作机理如下:在控制计算机不存在故障或一度故障时,三机开关量输出的备份开关量控制信号无效,六个开关器件构成经典的六管表决器,可以自动吸收一度故障,对外输出开关量功率控制指令;在双机故障条件下,非故障机备份开关量控制信号有效,可以正常对外输出开关量功率控制指令。例如A机正常、B机与C双机故障情况下,A机开关量输出模块发出的开关量控制信号与备份开关量控制信号使得开关器件1和开关器件2导通从而对外输出开关量功率控制指令;其它故障模式下情况类似。
如图1所示的控制系统的工作过程如下:
三个子计算机发起当班竞争,确定一个子计算机作为当班机、其余两个子计算机作为备机;当班机作为三总线控制器完成敏感器设备S1_1、S1_2、S1_3、S2_1、S2_2输出信息采样获得敏感器测量信息,备机作为总线监视器同步监视敏感器测量信息;
本地开关量输入信号并联连接至三个子计算机,当班机和备机均进行采样获得开关量输入信号,当班机通过三总线向备机发送本地开关量输入信号,备机通过与当班机错开采样时间的方法,判定当班机是否故障;
三个子计算机分别根据敏感器测量信息与本地开关量输入信号完成控制运算得到用于故障判别的特征控制指令、执行器的控制指令、和本地开关量控制指令,当班机通过三总线向执行器A1_1、A1_2、A1_3、A2_1、A2_2输出执行器的控制指令,向本地输出开关量控制指令;备机只向本地输出开关量控制指令;双备机同时监视当班机通过总线输出的用于故障判别的特征控制指令、执行器的控制指令,进行当班机故障判定,当当班机故障时,向当班机发出不允许当班信号;如果双备机均发出不允许当班信号,当班机被动释放当班控制权。或者当班机判定自身故障时,主动释放当班控制权;
当班机释放当班控制权时,双备机再次竞争当班控制权,在下一个控制周期,取得当班权的备机接管三总线,继续完成控制功能;
当由备机转换为当班机的子计算机再次发生故障时,主动释放当班控制权,余下的备机在下一个控制周期接管三总线,继续完成控制功能。
实施例
下面以运载器控制系统为例对本发明的控制系统进行介绍,其中三余度敏感器设备是三个惯性测量组合,双余度敏感器设备是两个GPS接收机,三余度执行器例如是主发动机伺服机构,双余度执行器例如是气动舵伺服机构;本地开关量输入信号例如是起飞信号,本地开关量功率控制指令例如可以是火工品起爆功率指令,用于起爆距离三冗余控制计算机较近的火工品;特征控制指令例如可以是主发动机伺服机构的偏角指令,仅用于供备机进行故障判断;执行器的数字化连续量控制指令例如是所有伺服机构的偏角指令,执行器的开关量控制指令例如可以是火工品起爆控制指令,用于起爆距离三冗余控制计算机较远的火工品。
本发明未详细说明部分属本领域技术人员公知常识。
Claims (9)
1.一种三冗余控制计算机,其特征在于,三冗余控制计算机包括开关量表决阵列模块和三个完全独立的子计算机;开关量表决阵列模块接收三个子计算机输出的开关量控制信号和备份开关量控制信号,通过硬件表决器输出开关量功率控制指令;每个子计算机根据左右机角色定义表确定与其对应的左机和右机;每个子计算机包括同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块、主机模块与开关量控制指令输出模块;
同步模块接收左机与右机发送的控制周期信号,根据本机时钟对左机与右机发送的控制周期信号进行故障检测后与本机控制周期信号进行表决获得表决后的控制周期信号,将表决后的控制周期信号发送至主机模块、左机与右机,并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号;
自检模块接收到主机模块发出的自检使能指令后,根据每个控制周期从主机模块接收到的心跳信息产生高低电平交替变化的心跳信号并发送至左机与右机;如果自检模块在第一设定时间内没有检测到心跳信号,则将自检结果标志设定为异常状态;如果自检模块在第一设定时间内检测到心跳信号,则将自检结果标志设定为正常状态;向主机模块与当班控制模块发出自检结果标志;
左机检测模块接收到主机模块发出的左机检测使能指令后,接收左机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号;在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下,如果在第一设定的时间内,没有检测到左机心跳信号或者接收到主机模块发出的左机不允许当班指令,则向左机发出左机不允许当班信号;如果在第一设定的时间内,没有检测到左机心跳信号,向开关量控制指令输出模块和主机模块发送左机心跳异常信号;
右机检测模块接收到主机模块发出的右机检测使能指令后,接收右机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号,在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下,如果在第一设定的时间内,没有检测到右机心跳信号电平发生高低交替变化或者接收到主机模块发出的右机不允许当班指令,则向右机发出右机不允许当班信号;如果在第一设定的时间内,没有检测到右机心跳信号电平发生高低交替变化,向开关量输出控制模块和主机模块发送右机心跳异常信号;
当班控制模块接收自检模块输出的自检结果标志、左机与右机发送的当班信号、左机与右机发送的不允许当班信号以及主机模块发送的请求当班指令;在自检模块自检结果标志为正常、左机与右机发送的当班信号均无效、左机与右机发送的不允许当班信号不全有效、请求当班指令有效条件下,将本机当班信号置为有效状态,否则将本机当班信号置为无效状态;当班控制模块向左机、右机以及主机模块输出当班信号;当本机当班信号由有效状态变为无效状态时,向主机模块发出总线禁止发送信号;
主机模块接收左机与右机发送的当班信号、当班控制模块输出的当班信号;通过当班竞争确定当班机或备机角色,根据当班竞争后确定的角色在每个控制周期开始后顺序完成相应角色的控制流程;主机模块配置三个总线接口芯片,当接收到当班控制模块发出的总线禁止发送信号后,将三总线接口芯片发送器使能端置无效;通过主机模块的三个总线接口芯片进行三总线通信控制;
开关量控制指令输出模块接收到主机模块发送的本地开关量控制指令后向开关量表决阵列模块输出N路开关量控制信号;N为大于等于1的整数;开关量控制指令输出模块接收左机检测模块发送的左机心跳异常信号、右机检测模块发送的右机心跳异常信号,当左机心跳异常信号与右机心跳异常信号均有效时,输出N路备份开关量控制信号。
2.根据权利要求1所述的三冗余控制计算机,其特征在于,主机模块的当班竞争实现步骤如下:
a)如果主机模块接收到的左机发送的当班信号为有效状态,设定本机为备机角色,左机为当班机角色,右机为备机角色;如果接收到的右机发送的当班信号为有效状态,设定本机为备机角色,右机为当班机角色,左机为备机角色;主机模块向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令,退出当班竞争;否则向当班控制模块发出本机当班请求,转入步骤b);
b)如果查询到当班控制模块输出的当班信号有效、左机与右机当班信号均无效,则设置本机为当班机角色,设置左右机为备机角色,向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令,退出当班竞争;如果查询当班控制模块输出的当班信号有效并且左/右机任意一机当班信号有效,则取消当班请求,返回步骤a)。
3.根据权利要求1所述的三冗余控制计算机,其特征在于,当班机角色的控制流程如下:
a)判断本机故障标志,如果本机故障标志无效则向自检模块发出心跳信号;如果本机故障标志有效则停止向自检模块发出心跳信号;
b)本机作为三总线控制器完成信息采样获得敏感器测量信息,完成本地开关量输入信号采样并通过三总线转发至左机和右机;
c)根据敏感器测量信息和本地开关量输入信号进行控制运算得到用于故障判别的特征控制指令、执行器的控制指令和本地开关量控制指令;通过三总线发出用于故障判别的特征控制指令和执行器的控制指令,向开关量指令输出控制模块发送本地开关量控制指令;
d)持续第三设定时间内,判定任一总线所有消息均失败或者消息无法启动,则设置本机故障标志,清除当班请求;
e)当查询到自检结果标志为异常状态或本机当班信号无效时,设置本机故障标志为有效,进入空闲状态,主动退出当班状态,作为被强制退出当班的备份冗余操作;否则等待下一控制周期,重新进入步骤a)。
4.根据权利要求1所述的三冗余控制计算机,其特征在于,备机角色的控制流程如下:
a)判断本机故障标志,如果本机故障标志无效则向自检模块发出心跳信号;如果本机故障标志有效则停止向自检模块发出心跳信号;
b)完成本地开关量输入信号采样;作为三总线监视器,监视当班机获得的敏感器测量信息;
c)根据本地开关量输入信号和监视获得的敏感器测量信息进行控制运算处理得到备机特征控制指令、备机执行器的控制指令和备机本地开关量控制指令;向开关量控制指令输出模块发送本地开关量控制指令;
d)将备机特征控制指令与通过三总线监视到的当班机特征控制指令进行比较,如果差值大于第一门限值,则设置当班机故障标志有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
e)将备机执行器的控制指令与通过三总线监视到的当班机执行器的控制指令进行比较判定当班机是否故障,当当班机故障时设置当班机故障标志有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
f)对备机本地开关量输入信号进行采样,如果备机本地开关量输入信号为有效状态、通过三总线监视到的当班机本地开关量输入信号为无效状态,或者连续两个控制周期备机本地开关量输入信号为无效状态、通过三总线监视到的当班机开关量输入信号为有效状态,则设置当班机故障标志为有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
g)任意一条总线持续第四设定时间内没有监视到任何总线消息,则设置当班机故障标志为有效,当当班机是本机的左机时向左机检测模块发出左机不允许当班指令;当当班机是本机的右机时向右机检测模块发出右机不允许当班指令;
h)当查询到本机自检结果标志为异常状态时设置本机故障标志为有效,或者没有收到左机心跳异常信号和右机心跳异常信号时,持续发出当班机不允许当班指令且在第五设定时间内当班信号均未发生变化时,设置本机故障标志为有效;
i)如果查询到当班机当班信号从有效状态变为无效且对应当班机故障标志有效时,重新进行当班竞争;否则等待下一控制周期,重新进入步骤a)。
5.根据权利要求1所述的三冗余控制计算机,其特征在于,三个完全独立的子计算机分别标记为A机、B机和C机;开关量表决阵列模块包括N路硬件表决器,每路硬件表决器包括六个开关器件;第一开关器件、第三开关器件和第五开关器件的电源端并联后与电源端相连;第一开关器件的输出端与第二开关器件的电源端串联,第三开关器件的输出端与第四开关器件的电源端串联,第五开关器件的输出端与第六开关器件的电源端串联;第二开关器件、第四开关器件和第六开关器件的输出端并联后输出开关量功率控制指令;A机输出的开关量控制信号C_A与C机输出的备份开关量控制信号C_C_1线或后与第一开关器件和第六开关器件的控制端相连;B机输出的开关量控制信号C_B与A机输出的备份开关量控制信号C_A_1线或后与第二开关器件和第三开关器件的控制端相连;C机输出的开关量控制信号C_C与B机输出的备份开关量控制信号C_B_1线或后与第四开关器件和第五开关器件的控制端相连。
6.根据权利要求1所述的三冗余控制计算机,其特征在于,同步模块包括分频器、左机周期信号检测模块、右机周期信号检测模块和周期信号表决器;本机时钟通过分频器产生本机控制周期信号;左机周期信号检测模块利用本机时钟对左机控制周期信号进行故障检测,如果左机控制周期信号的周期在设定的偏差范围外则认为左机控制周期信号故障,如果在设定的偏差范围内则认为左机控制周期信号正常;右机周期信号检测模块利用本机时钟对右机控制周期信号进行故障检测,如果右机控制周期信号的周期在所述设定的偏差范围外则认为右机控制周期信号故障,如果在设定的偏差范围内,则认为右机控制周期信号正常;如果左机与右机控制周期信号均正常或者只有一个故障,则周期信号表决器对三机控制周期信号进行三取二表决得到表决后的控制周期信号;如果左机与右机控制周期信号均故障,则周期信号表决器利用本机控制周期信号作为表决后的控制周期信号;周期信号表决器将表决后的控制周期信号发送至主机模块、左机与右机,并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号。
7.一种容错控制系统,其特征在于,包括权利要求1所述的三冗余控制计算机,三总线,三余度敏感器设备S1_1、S1_2、S1_3,双余度敏感器设备S2_1、S2_2,三余度执行器A1_1、A1_2、A1_3和双余度执行器A2_1、A2_2;控制计算机与三总线相连;三余度执行器,双余度执行器、三余度敏感器设备、双余度敏感器设备作为总线远程终端连接到任意一条总线;三余度敏感器设备S1_1、S1_2、S1_3通过三总线与控制计算机相连,双余度敏感器设备S2_1、S2_2通过双总线与控制计算机相连,由控制计算机对敏感器设备输出信息进行多数表决与数据融合;三余度执行器A1_1、A1_2、A1_3通过三总线与控制计算机相连,双余度执行器A2_1、A2_2通过双总线与控制计算机相连;三余度执行器A1_1、A1_2、A1_3对来自控制计算机的三余度控制指令形成硬件表决结构,双余度执行器A1_1、A1_2对来自控制计算机的双余度控制指令进行热备切换;
三个子计算机发起当班竞争,确定一个子计算机作为当班机、其余两个子计算机作为备机;当班机作为三总线控制器完成敏感器设备S1_1、S1_2、S1_3、S2_1、S2_2输出信息采样获得敏感器测量信息,备机作为总线监视器同步监视敏感器测量信息;
本地开关量输入信号并联连接至三个子计算机,当班机和备机均进行采样获得开关量输入信号,当班机通过三总线向备机发送本地开关量输入信号,备机通过与当班机错开采样时间的方法,判定当班机是否故障;
三个子计算机分别根据敏感器测量信息与本地开关量输入信号完成控制运算得到用于故障判别的特征控制指令、执行器的控制指令、和本地开关量控制指令,当班机通过三总线向执行器A1_1、A1_2、A1_3、A2_1、A2_2输出执行器的控制指令,向本地输出开关量控制指令;备机只向本地输出开关量控制指令;双备机同时监视当班机通过总线输出的用于故障判别的特征控制指令、执行器的控制指令,进行当班机故障判定,当当班机故障时,向当班机发出不允许当班信号;如果双备机均发出不允许当班信号,当班机被动释放当班控制权,或者当班机判定自身故障时,主动释放当班控制权;
当班机释放当班控制权时,双备机再次竞争当班控制权,在下一个控制周期,取得当班权的备机接管三总线,继续完成控制功能;
当由备机转换为当班机的子计算机再次发生故障时,主动释放当班控制权,余下的备机在下一个控制周期接管三总线,继续完成控制功能。
8.根据权利要求7所述的一种容错控制系统,其特征在于,所述总线为1553B总线或者RS485总线。
9.根据权利要求7所述的一种容错控制系统,其特征在于,每个执行器的控制指令为开关量控制指令或数字化连续量控制指令;如果执行器连续三个控制周期接收到相同的开关量控制指令后才执行对应的操作;如果执行器当前控制周期接收到的数字化连续量控制指令与前一控制周期接收到的数字化连续量控制指令差值大于第一门限则拒绝执行当前控制周期的数字化连续量控制指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410228504.9A CN104238435B (zh) | 2014-05-27 | 2014-05-27 | 一种三冗余控制计算机及容错控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410228504.9A CN104238435B (zh) | 2014-05-27 | 2014-05-27 | 一种三冗余控制计算机及容错控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104238435A CN104238435A (zh) | 2014-12-24 |
| CN104238435B true CN104238435B (zh) | 2017-01-18 |
Family
ID=52226751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410228504.9A Active CN104238435B (zh) | 2014-05-27 | 2014-05-27 | 一种三冗余控制计算机及容错控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104238435B (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104635745B (zh) * | 2015-03-02 | 2017-03-22 | 中国航空无线电电子研究所 | 一种飞行管理系统双机同步的方法 |
| CN105138488A (zh) * | 2015-07-31 | 2015-12-09 | 上海卫星工程研究所 | 基于模块间交叉冗余的星载电子设备 |
| CN106525030B (zh) * | 2015-09-10 | 2019-08-02 | 中国航空工业第六一八研究所 | 一种导航系统双余度控制和显示的方法 |
| CN105159034B (zh) * | 2015-09-21 | 2017-08-25 | 中国科学院长春光学精密机械与物理研究所 | 光刻投影物镜容错控制装置 |
| CN105334747B (zh) * | 2015-09-24 | 2018-08-17 | 哈尔滨工程大学 | 一种船舶动力定位三冗余计算机数据表决同步方法 |
| CN105298665B (zh) * | 2015-10-22 | 2018-02-23 | 天津大学 | 航空活塞式发动机冗余式电控单元 |
| CN105656670B (zh) * | 2015-12-31 | 2019-08-23 | 北京航管软件技术有限公司 | 多控制卡线路切换装置及其控制方法 |
| CN105652749B (zh) * | 2016-02-29 | 2019-02-15 | 北京天诚同创电气有限公司 | 多个受控部件的同步控制方法和同步控制系统 |
| CN106154824B (zh) * | 2016-08-19 | 2019-04-09 | 北京航天自动控制研究所 | 一种星载时钟冗余系统及方法 |
| CN106774367B (zh) * | 2016-12-27 | 2020-05-15 | 歌尔股份有限公司 | 一种飞行器的冗余控制方法 |
| CN106776463B (zh) * | 2016-12-30 | 2020-04-07 | 西安奇维科技有限公司 | 一种基于fpga的双余度计算机控制系统的设计方法 |
| CN106814604B (zh) * | 2017-03-01 | 2020-04-10 | 北京航天自动控制研究所 | 一种三冗余无源独立电流互检断电重启系统及方法 |
| CN107347018B (zh) * | 2017-04-14 | 2019-12-20 | 上海航天控制技术研究所 | 一种三冗余1553b总线动态切换方法 |
| CN107272400B (zh) * | 2017-06-26 | 2020-05-19 | 北京机械设备研究所 | 一种同步冗余的顺序控制装置及方法 |
| CN107168046B (zh) * | 2017-06-27 | 2020-08-25 | 上海电机学院 | 一种三冗余dcs控制系统 |
| US10571914B2 (en) * | 2017-06-29 | 2020-02-25 | The Boeing Company | Fault coverage for multiple failures in redundant systems |
| EP3428748B1 (de) * | 2017-07-13 | 2020-08-26 | Siemens Aktiengesellschaft | Verfahren und anordnung zum betrieb von zwei redundanten systemen |
| CN107719155B (zh) * | 2017-09-11 | 2019-09-17 | 吉利汽车研究院(宁波)有限公司 | 电池管理系统及方法 |
| CN107992380B (zh) * | 2017-11-28 | 2021-09-17 | 北京东土科技股份有限公司 | 一种计算机系统、备份管理方法和计算机可读存储介质 |
| CN108494395B (zh) * | 2018-03-19 | 2021-10-22 | 杭州和利时自动化有限公司 | 一种三重化冗余系统的do模块及其输出表决电路 |
| CN108776486B (zh) * | 2018-06-11 | 2021-03-09 | 中国水利水电科学研究院 | 一种大型中高空察打一体无人机飞控系统冗余架构方法 |
| CN109358488A (zh) * | 2018-09-04 | 2019-02-19 | 南宁学院 | 一种高容错的传感器冗余控制系统 |
| CN110347095B (zh) * | 2019-08-07 | 2022-02-11 | 天津津航计算技术研究所 | 一种应用于航空电热控制系统的三余度切换电路 |
| CN110824988B (zh) * | 2019-11-06 | 2021-02-09 | 上海航天控制技术研究所 | 一种基于1553b总线冗余的姿控输出信号表决方法 |
| CN110958073B (zh) * | 2019-11-06 | 2021-07-09 | 上海航天控制技术研究所 | 一种基于三套1553b总线冗余的时间同步表决方法 |
| CN110703716A (zh) * | 2019-11-12 | 2020-01-17 | 红河学院 | 一种应用于自动化控制系统下的多设备通信方法 |
| CN111427727B (zh) * | 2020-03-04 | 2023-04-14 | 上海航天控制技术研究所 | 一种火星探测三计算机基于数据敏感度及类别的表决方法 |
| CN111694304B (zh) * | 2020-06-12 | 2021-11-09 | 西安微电子技术研究所 | 一种面向空间飞行器的综合故障逻辑判决电路及方法 |
| CN112046773A (zh) * | 2020-08-11 | 2020-12-08 | 湖北吉利太力飞车有限公司 | 一种基于can网络的空中交通飞行器的航电系统 |
| CN112147928B (zh) * | 2020-09-15 | 2022-02-25 | 北京神州飞航科技有限责任公司 | 一种双can总线多冗余热备份飞控计算机系统及方法 |
| CN112282934A (zh) * | 2020-10-20 | 2021-01-29 | 哈尔滨工程大学 | 一种船用发动机电控系统三冗余控制方法 |
| CN112230625B (zh) * | 2020-10-30 | 2022-04-01 | 北京汽车研究总院有限公司 | 智能驾驶控制器的车辆控制方法及存储介质与计算机设备 |
| CN113311774B (zh) * | 2021-06-09 | 2023-02-28 | 中国第一汽车股份有限公司 | 一种驱动控制方法和系统 |
| CN113590518B (zh) * | 2021-08-03 | 2023-07-28 | 北京北航天宇长鹰无人机科技有限公司 | 一种双余度数据总线的同步系统及方法 |
| CN113778519A (zh) * | 2021-09-06 | 2021-12-10 | 中广核工程有限公司 | 执行机构输出指令控制方法、装置和计算机设备 |
| CN115946875B (zh) * | 2023-01-28 | 2023-07-14 | 北京星途探索科技有限公司 | 一种箭载计算机决策方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101813934A (zh) * | 2010-01-27 | 2010-08-25 | 清华大学 | 基于可编程器件的三冗余总线同步和表决电路 |
| CN102606331A (zh) * | 2012-03-20 | 2012-07-25 | 西安航天动力试验技术研究所 | 三冗余表决控制系统及方法 |
| WO2012137652A1 (ja) * | 2011-04-06 | 2012-10-11 | 株式会社日立製作所 | Fpga設計支援システムおよびfpga設計支援方法ならびにfpga設計支援プログラム |
| CN103293949A (zh) * | 2013-06-08 | 2013-09-11 | 杭州和利时自动化有限公司 | 开关量输出通道冗余容错控制方法及冗余开关量输出通道 |
| CN103543715A (zh) * | 2013-10-10 | 2014-01-29 | 上海发电设备成套设计研究院 | 一种三冗错控制系统的三加一冗错控制通讯总线方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7908520B2 (en) * | 2000-06-23 | 2011-03-15 | A. Avizienis And Associates, Inc. | Self-testing and -repairing fault-tolerance infrastructure for computer systems |
-
2014
- 2014-05-27 CN CN201410228504.9A patent/CN104238435B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101813934A (zh) * | 2010-01-27 | 2010-08-25 | 清华大学 | 基于可编程器件的三冗余总线同步和表决电路 |
| WO2012137652A1 (ja) * | 2011-04-06 | 2012-10-11 | 株式会社日立製作所 | Fpga設計支援システムおよびfpga設計支援方法ならびにfpga設計支援プログラム |
| CN102606331A (zh) * | 2012-03-20 | 2012-07-25 | 西安航天动力试验技术研究所 | 三冗余表决控制系统及方法 |
| CN103293949A (zh) * | 2013-06-08 | 2013-09-11 | 杭州和利时自动化有限公司 | 开关量输出通道冗余容错控制方法及冗余开关量输出通道 |
| CN103543715A (zh) * | 2013-10-10 | 2014-01-29 | 上海发电设备成套设计研究院 | 一种三冗错控制系统的三加一冗错控制通讯总线方法 |
Non-Patent Citations (2)
| Title |
|---|
| 三微机混合冗余容错模式及其在水轮机调速中的应用;李朝晖;《大电机技术》;19980129;全文 * |
| 冗余技术在载人运载火箭飞行控制中的应用;孙凝生;《载人航天》;20031030;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104238435A (zh) | 2014-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104238435B (zh) | 一种三冗余控制计算机及容错控制系统 | |
| CN107187465B (zh) | 一种单元级热备冗余的ato系统架构 | |
| CN110361979B (zh) | 一种铁路信号领域的安全计算机平台 | |
| CN108153144A (zh) | 一种dcs冗余控制器无扰切换方法 | |
| RU2413975C2 (ru) | Способ и вычислительная система отказоустойчивой обработки информации критических функций летательных аппаратов | |
| CN111352338A (zh) | 一种双余度飞控计算机及余度管理方法 | |
| CN109507866A (zh) | 一种基于网络地址漂移技术的双机冗余系统及方法 | |
| CN107255918A (zh) | 一种远程控制计算机热备冗余自动切换控制方法 | |
| CN109976141A (zh) | Uav传感器信号余度表决系统 | |
| CN102724083A (zh) | 基于软件同步的可降级三模冗余计算机系统 | |
| CN106814603A (zh) | 一种基于非实时操作系统的双机冗余容错系统 | |
| CN104267713B (zh) | 双机热备结构的ato设备的故障检测和切换方法 | |
| CN104714406B (zh) | 输入输出模块冗余切换方法 | |
| CN107347018A (zh) | 一种三冗余1553b总线动态切换方法 | |
| CN109698775A (zh) | 一种基于实时状态检测的双机冗余备份系统 | |
| CN103901772A (zh) | 双dsp冗余惯性平台控制器 | |
| CN103809429B (zh) | 硬件仲裁混合冗余智能控制器及冗余备份方法 | |
| CN103309319A (zh) | 分布冗余式飞机自动配电控制系统 | |
| CN104360916A (zh) | 基于数据同步的主备同步方法 | |
| CN111694304B (zh) | 一种面向空间飞行器的综合故障逻辑判决电路及方法 | |
| CN111261458B (zh) | 一种航空配电系统中采用非相似双处理器的接触器控制方法 | |
| CN101131570B (zh) | 冗余切换控制方法及其控制电路 | |
| CN105739469A (zh) | 一种数据中心机房的冷冻水二次泵冗余控制系统及方法 | |
| CN109379130A (zh) | 一种基于光纤通道节点卡的网络重构方法 | |
| CN107688335B (zh) | 一种巡航模式与发射模式可切换的测发控系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |