CN104714439B - 安全继电器箱系统 - Google Patents

安全继电器箱系统 Download PDF

Info

Publication number
CN104714439B
CN104714439B CN201310689383.3A CN201310689383A CN104714439B CN 104714439 B CN104714439 B CN 104714439B CN 201310689383 A CN201310689383 A CN 201310689383A CN 104714439 B CN104714439 B CN 104714439B
Authority
CN
China
Prior art keywords
fsc
cpu
pcb
circuit board
printed circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310689383.3A
Other languages
English (en)
Other versions
CN104714439A (zh
Inventor
罗伯特·查尔斯·图福德
江流
帕希·尤卡·彼得里·韦内尔
马丁·彼得·约翰·科尔内斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Smart Embedded Computing Inc
Original Assignee
Artesyn Embedded Computing Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Artesyn Embedded Computing Inc filed Critical Artesyn Embedded Computing Inc
Priority to CN201310689383.3A priority Critical patent/CN104714439B/zh
Priority to US14/141,580 priority patent/US9791901B2/en
Publication of CN104714439A publication Critical patent/CN104714439A/zh
Application granted granted Critical
Publication of CN104714439B publication Critical patent/CN104714439B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/16Constructional details or arrangements
    • G06F1/18Packaging or power distribution
    • G06F1/189Power distribution
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Automation & Control Theory (AREA)

Abstract

公开了一种安全继电器箱系统。一种双冗余计算机安全继电器箱系统包括单独安装至第一和第二印刷电路板的第一和第二故障安全计算系统(FSC)。每个FSC包括被指定为第一CPU和第二CPU的两个计算模块(CPU)。所述第一和第二FSC均连接至安全继电器箱。所述印刷电路板彼此绝缘,以允许在所述印刷电路板之一上维护,而维持另一印刷电路板的FSC的操作。在每个FSC中,从第一和第二CPU的第一和第二印刷电路板生成的健康信号定义多级动态脉冲信号。动态脉冲信号的存在产生被识别为来自第一或第二FSC之一的每一个CPU的第一和第二健康指示信号中的每一个的输出。

Description

安全继电器箱系统
技术领域
本公开涉及用于双冗余计算机系统的安全继电器箱和系统。
背景技术
此部分提供与本公开相关的背景信息,该背景信息不必是现有技术。
在用于轨道公共运输应用的安全紧急系统中提供有效/待机选择、故障转移以及切换的功能通常被提供为计算机系统内的嵌入功能。双冗余、高可用性的系统为上述功能提供备份,而且也位于计算机系统的体系架构内。商用现成品(COTS)计算机缺少这些特征,因此尚未直接应用于轨道公共运输故障安全应用,从而增加系统的成本和复杂性。产生同时均为有效的信号的双冗余系统会造成安全问题。已知系统还产生固定电压信号或零电压,使得难以确定“被卡住(stuck)”命令信号。
发明内容
此部分提供对本公开的一般概括,并且不是本公开的全部范围或本公开的全部特征的全面公开。
根据若干个方面,一种双冗余计算机安全继电器箱系统包括单独连接至安全继电器箱上的第一和第二印刷电路板中的每一个的第一和第二故障安全计算系统(FSC)。每个FSC包括被指定为第一CPU和第二CPU的两个计算模块(CPU)。所述第一和第二FSC均连接至安全继电器箱。所述印刷电路板彼此绝缘,以允许在所述安全继电器箱上的所述印刷电路板之一上维护,而维持受另一印刷电路板控制的所述FSC的操作。
根据其它方面,一种双冗余计算机安全继电器箱系统包括单独连接至安全继电器箱上的第一和第二印刷电路板中的每一个的第一和第二故障安全计算系统(FSC)。每个FSC包括被指定为限定安全继电器模块部分的第一CPU和第二CPU的两个计算模块(CPU)。所述第一和第二FSC均连接至安全继电器箱。在每个FSC中,从所述第一CPU和第二CPU的所述第一和第二印刷电路板生成的健康信号定义多级动态脉冲信号。动态脉冲信号的存在产生被识别为第一和第二健康指示信号中的每一个的输出,所述第一和第二健康指示信号中的每一个来自所述第一或第二FSC之一的所述CPU中的每一个。
根据更多方面,一种双冗余计算机安全继电器箱系统包括单独连接至安全继电器箱上的第一和第二印刷电路板中的每一个的第一和第二故障安全计算系统(FSC)。每个FSC包括被指定为第一CPU和第二CPU的两个计算模块(CPU)。所述第一和第二FSC均连接至安全继电器箱。所述安全继电器箱上的所述印刷电路板彼此绝缘,以允许在所述印刷电路板之一上维护,而维持受另一印刷电路板控制的所述FSC的操作。在每个FSC中,从所述第一CPU和第二CPU的所述第一和第二印刷电路板生成的健康信号定义多级动态脉冲信号。所述动态脉冲信号的存在产生被识别为第一和第二健康指示信号中的每一个的输出,所述第一和第二健康指示信号中的每一个来自所述第一或第二FSC之一的所述CPU中的每一个。
根据本文提供的描述,适用的更多领域将变得显而易见的。该发明内容部分中的描述和特定示例旨在仅仅用于图示的目的,而不旨在限制本公开的范围。
附图说明
本文所描述的附图仅仅是用于所选择实施例的图示目的,而不是所有可能的实施方式,并且不旨在限制本公开的范围。
图1是具有两个故障安全计算机的安全继电器箱系统的图;
图2是利用脉冲信号改变输出条件来进行操作的电路图;
图3是用于指示FSC的健康状态的多级动态脉冲信号的图;
图4是定义安全继电器箱系统的输入信号和输出信号的图和状态转换表;
图5是本公开的手动开关的图;
图6是用于本公开的异步输入Mealy状态机;以及
图7A和图7B分别是本公开两个印刷电路板设计的第一电路图和第二电路图。
在附图的若干个视图中,对应的附图标记始终指代对应的部分。
具体实施方式
现在将参照附图更充分地描述示例实施例。
参照图1,安全继电器箱系统10可像以近似500ms为周期的故障转移开关一样工作,并且提供两种工作模式:自动模式和手动模式。安全继电器箱系统10包括第一和第二故障安全计算系统(或故障安全计算机)FSC12、14(下文被指定为FSC_#1、FSC_#2),第一和第二故障安全计算系统FSC12、14各自包括两个计算模块(CPU)16、18(下文被指定为CPU#A、CPU#B)。第一和第二FSC的FSC_#1、FSC_#2连接至故障转移开关或安全继电器箱20。安全继电器箱系统10进一步包括第一和第二手动开关22、23,这将参照图5进行更详细描述。安全继电器箱系统10进一步包括位于三个组件FSC_#1、FSC_#2和安全继电器箱20之间的多个连接器。
在FSC_#1和FSC_#2的每一个中,健康信号将从CPU#A、CPU#B的CPU板生成。每个健康信号提供故障安全功能。当具有动态脉冲信号时,以健康信号24、26标识的输出(在下文中被指定为health-#1(1A)、health-#1(1B)、health-#2(2A)、health-#2(2B))指代来自CPU#A、CPU#B中每一个的健康指示信号。应注意,健康信号1A、1B和2A、2B具有含有特定周期的多级动态脉冲。动态多级脉冲的使用排除了当固定电压信号(常用于指示有效信号条件)实际为例如由硬件故障导致的“假安全”状态时出现的情形。如果健康信号生效(是脉冲式的),则该信号指示相关FSC的健康状态。如果该健康信号失效(具有与脉冲式健康信号不同的模式脉冲的脉冲式信号、或固定的逻辑电平(非脉冲式)信号),则指示该特定FSC的不健康状态。在安全继电器箱系统10中,一个FSC仅在两个CPU模块CPU#A、CPU#B均发出健康指示信号时才被判断为健康。每个健康信号health-#1,health-#2也可被指定为health-mn,其中“m”指示特定FSC的标识(m=1或2),并且“n”指示每个FSC中的CPU模块的标识(n=A或B)。
信号也被指定为有效或待机,如有效/待机-mn。有效/待机-mn信号是从安全继电器箱20发回CPU模块CPU#A、CPU#B的指示信号。有效/待机-mn信号被提供为具有特定周期的动态多级脉冲。如果有效/待机-mn信号生效(是脉冲式的),则相关FSC可以以有效模式操作。如果有效/待机-mn信号失效(具有与脉冲式健康信号不同的模式脉冲的脉冲式信号、或者固定的逻辑电平(非脉冲式)信号),则失效的信号将迫使FSC以待机模式工作。针对每个FSC中的这两个CPU模块CPU#A、CPU#B的操作,CPU#A或CPU#B中的每一个将从FSC获得其自己的有效/待机指示信号。
有效/待机选择在每个FSC中,每个CPU模块CPU#A、CPU#B生成动态多级脉冲健康信号,并将该信号发送至安全继电器箱20。安全继电器箱20使用所有四个健康信号的状态,以选择有效FSC。经系统初始化之后,安全继电器箱20选择第一FSC(FSC_#1或FSC_#2)作为被指定或有效的FSC,该第一FSC使健康信号health-#1、health-#2都生效。安全继电器箱20通过在其两个有效/待机信号上返回一动态多级脉冲,而以信号形式向有效FSC告知其有效状态。在初始化阶段中,通常两个FSC同时通电,因此为这两个FSC分派不同的初始化周期。通常,具有来自两个CPU的生效健康信号的第一FSC(FSC_#1或FSC_#2)被分派为有效状态。如果FSC_#1和FSC_#2均为健康的,并且并行操作(在完全相同的时间两个均有效),则FSC_#1将被分派为有效状态。因此,如果FSC_#2相继FSC_#1同步,则其将变为待机FSC。安全继电器箱20通过在有效/待机信号上返回静态逻辑0至待机FSC中的两个CPU模块,而以信号形式向待机FSC告知其待机状态。
安全输入参照图2以及再次参照图1,如之前所述,健康信号来自于每个FSC的两个CPU板CPU#A、CPU#B。当存在脉冲信号28时,输出30被激活。当脉冲信号28不存在时,发送到输入32的所有0或所有1(与不存在的信号区别开的不健康信号模式)将输出30置于未激活状态。输入信号的示例可以是5V,在10KHz的频率下占空比50%,不过本公开不限于此输入信号或任何特定输入信号。
故障转移操作(自动模式),如果来自有效FSC的健康信号中的一个或两个失效,并且来自待机FSC的两个健康信号均生效,则安全继电器箱20引起从旧的有效FSC到旧的待机FSC的故障转移操作。这通过使到旧的有效FSC(FSC_#1)的有效/待机信号均失效为并且使到旧的待机且现在新的有效FSC(FSC_#2)的有效/待机信号均生效而发生。
故障安全操作(自动模式)如果来自有效FSC的健康信号中的一个或两个失效,但来自待机FSC的一个或两个健康信号未生效,则安全继电器箱20通过使到两个FSC的有效/待机信号均失效而使两个FSC进入待机状态来引起故障安全操作。在这种状态下,不存在有效FSC,并且FSC均不能够向外部设备发送安全紧急输出。
安全输入参照图3并再次参照图1和图2,关于示例性ACT/STB信号,安全输出方法如下。当FSC需要从安全继电器箱20接收信号时,首先FSC向安全继电器箱20发送脉冲式健康信号。如果位于安全继电器箱20中的继电器34关闭,则FSC接收反馈脉冲式有效/待机信号。如果位于安全继电器箱20中的继电器34打开,则FSC不能接收反馈脉冲式有效/待机信号。
安全内部逻辑参照图4并再次参照图1至图3,存在两组输入信号。输入组A来自FSC_#1(A等于Health_#1和Health_#2),并且输入组B来自FSC_#2(B等于Health_#1′和Health_#2′)。这四个输入信号(Health_#1、Health_#2、Health_#1′、Health_#2′)控制两个输出信号:安全信号输出C和安全信号输出D。C用于指代FSC_#1,并且D用于指代FSC_#2。这两个输出信号争夺有效状态,因此如果一个获得有效状态,则另一个被禁止输出有效状态。两个输出C和D执行“先输入-先输出”策略。
手动切换操作(手动模式)参照图5并再次参照图1,除了上述自动模式操作之外,操作员可以促使单个FSC在有效或待机(维护)状态下工作。安全继电器箱20允许操作员通过将2静止位置手动开关22或23改变到维护位置而请求从有效FSC到待机FSC的切换。然后,针对维护或待机状态所选择的开关将维持在维护静止位置,以防止系统在维护模式时返回至有效状态。手动开关22或23通常倾向于维持在其最后选择的位置。开关22、23可以通过按下开关部分36而被复位至自动位置1,或者通过按下开关部分38而被复位至维护位置2。这种切换操作允许操作员请求如下到FSC_#1或FSC_#2的切换:
请求切换至FSC_#1(假设FSC_#2当前有效):
1)通过检查FSC_#2为有效LED来验证FSC_#2当前有效。
2)通过检查FSC_#1为健康LED来验证FSC_#1当前健康。
3)针对FSC_#2,将开关23的开关部分36从自动位置改变至维护位置。
请求切换至FSC_#2(假设FSC_#1当前有效):
1)通过检查FSC_#1为有效LED来验证FSC_#1当前有效。
2)通过检查FSC_#2为健康LED来验证FSC_#2当前健康。
3)针对FSC_#1,将开关22的开关部分36从自动位置改变至维护位置。
安全继电器箱状态机参照图6,为安全继电器箱系统10提供状态机。“输入A”指示来自FSC_#1的两个健康信号。为使输入A生效(“1”),来自FSC_#1的两个健康信号必须均生效。类似的结论适用于输入B和来自FSC_#2的两个健康信号。类似地,当状态机使输出C生效时,其使到FSC_#1的两个有效/待机信号均生效,而当其使输出C失效时,其使到FSC_#1的两个有效/待机信号均失效。类似的结论适用于输出D和到FSC_#2的两个有效/待机信号。当输出为“00”时,不存在有效FSC。当输出为“10”时,FSC_#1有效。当输出为“01”时,FSC_#2有效。从来没有两个输出均生效(输出=“11”)的情况,因此也从来没有两个FSC均有效的情况。
参照图7并且再次参照图1,安全继电器箱20包括安装至背板44的第一和第二模块部分40、42(下文称为安全继电器模块部分M#1和安全继电器模块部分M#2)。第一和第二安全继电器模块40、42之间的连接保证在任何时间安全继电器模块中仅仅不超过一个有效。当一个继电器模块有效时,其K_NC触点46、48将打开,使电源与另一继电器模块绝缘。
再次参照图5,2-位置手动开关22、23各自提供两种操作模式之间的选择:FSC自动模式和FSC强制维护或待机模式。强制维护模式也定义手动开关模式。需注意,FSC健康信号将使具有最高优先级的ACT/STB信号(图1所示)失效,无论其是否处于自动有效或维护/待机模式。例如,当手动开关22处于位置1时,安全继电器箱20将在正常的自动故障转移模式下工作。当手动开关22处于位置1时,K_NC触点46断开,并且第二模块部分42将从电源线切断。如上所述,安全继电器箱20将在强制操作模式下连接FSC_#1。当手动开关22处于位置2时,K_NC触点48断开,并且第一模块部分40将从电源线切断。如上所述,安全继电器箱20将在强制操作模式下连接FSC_#2。每个安全继电器模块部分中的内部开关(K-NC和K_NO)受通过健康指示信号驱动的外部KA和KB控制。仅仅当KA和KB均处于连接状态时,K_NC才改变为断开状态,并且K_NO改变为连接状态。否则,K_NO将维持在安全断开状态,并且K_NC将维持在连接状态,这在图7中被示出为默认状态。K_NC被用作第一和第二FSC(FSC_#1和FSC_#2)之间的互斥机制,以保证在任何时间仅仅一个FSC有效。
在自动模式下,在两个FSC均通电时,因为FSC均未通过初始化阶段,因此没有到安全继电器箱20的健康指示。两个安全继电器模块部分M#1和M#2将被供电,但将具有失效状态。因此,K_NO仍处于打开状态,并且未向FSC_#1或FSC_#2提供有效指示信号。之后,如果FSC_#1首先发出健康指示信号,则此时使K_NO实现为连接状态,而使K_NC实现为断开状态。此时,FSC_#1将从安全继电器箱20接收有效信号,这是因为K_NO被连接为使动态健康信号旁通。此外,因为安全继电器模块部分M#1中的K_NC处于打开状态,因此供给安全继电器模块部分M#2的电源被切断。FSC_#2此时不能变为有效,无论其健康与否。在这种互斥方式下,安全继电器箱20保证在冗余系统中仅仅具有一个有效FSC。
如果之后FSC_#2完成其初始化阶段并且向安全继电器箱20发送健康指示信号,则FSC_#2将没有有效指示,这是因为其安全继电器模块部分M#2断电。如果之后FSC_#1变为不健康,则安全继电器模块部分M#1中的内部开关(K_NO、K_NC)将返回至默认状态,这导致FSC#1具有待机指示。此外,安全继电器模块部分M#1的K_NC将被连接,这接着使安全继电器模块部分M#2通电。安全继电器模块部分M#2由于其被通电并且具有理想的输入,因此被激活。结果,安全继电器模块部分M#2的K_NO被实现为连接状态,而其K_NC被实现为断开状态,这导致FSC_#2具有有效信号。此外,安全继电器模块部分M#1的电源将被断开,这保证FSC_#1处于待机状态,无论其是否健康。
有效/待机动态信号的生成为了使安全继电器箱20选择FSC中的一个有效,必须使来自该FSC的两个健康信号均生效,其中这两个健康信号在信号上具有动态波形。为了以信号形式告知FSC应变为有效,安全继电器箱20仅仅关闭安全继电器模块部分M#1或M#2之一中的K_NO开关,并且将输入的动态健康状态信号作为输出的动态有效/待机控制信号发回至FSC。
继续参照图7,第一和第二模块部分40、42中的每一个包括可视化指示单个PSU16、18的操作状态的一组LED50、52。第一和第二模块部分40、42中的每一个也可经由连接器54、56单独连接至独立的电源。
本公开的故障安全安全继电器箱系统提供了若干个优点。因为印刷电路板40、42中的各个印刷电路板彼此绝缘,因此可以在印刷电路板之一上执行维护,而另一印刷电路板的FSC的故障安全操作将被维持。已知的故障安全系统具有共同安装/连接的全部部件,因此维护的执行需要切断整个系统。本公开的故障安全安全继电器箱系统还利用脉冲变化的动态健康信号。当变化的脉冲信号从FSC之一中被识别时,FSC被视为健康的。相反,利用固定电压信号的已知系统可以产生固定的电压,即使在部件处于故障状态时,因此固定电压信号的指示并不总是指示健康的FSC。另外,作为另一个安全特征,为了使安全继电器箱20选择FSC之一有效,来自该FSC的两个健康信号必须均生效(通过变化的脉冲指示)。
提供示例性实施例,使得本公开详尽,并且将范围完全传达给本领域技术人员。阐述了大量具体细节,例如具体组件、装置以及方法的示例,以提供对本公开实施例的详尽理解。无需采用具体细节,示例性实施例可以以多种不同形式来体现,并且示例性实施例不应被解释为限制本公开的范围,这些对于本领域技术人员来说是显然的。在一些示例性实施例中,并没有具体描述已知的处理、已知的装置结构以及已知的技术。
本文中使用的术语仅用于描述特定示例实施例用途,而不旨在作为限制。本文中使用的单数形式“一”、“该”、“此”可以旨在还包括复数形式,除非上下文明确地表示别的含义。术语“包括”、“包含”、“涵盖”和“具有”是包括性的,因此规定所介绍的特征、整体、步骤、操作、元件和/或部件的存在,但是不排除存在或增加一个或多个其它特征、整体、步骤、操作、元件、部件和/或它们的组合。本文中描述的方法步骤、过程和操作不应被解释为必须要求以所介绍或所图示的特定顺序表现,除非特定地被标识为表现的顺序。还应理解,可以采用附加步骤或可替代的步骤。
当元件或层被称为“位于另一元件或层上”、“与另一元件或层接合”、“与另一元件或层连接”或者“与另一元件或层联接”,其可以直接位于另一元件或层上、直接与另一元件或层接合、直接与另一元件或层连接或者直接与另一元件或层联接,或者可以存在介于中间的元件或层。相比之下,当元件被称为“直接位于另一元件或层上”、“直接与另一元件或层接合”、“直接与另一元件或层连接”或者“直接与另一元件或层联接”时,可以没有介于中间的元件或层。用来描述元件之间关系的其它词语应当以类似的方式去解释(例如“在……之间”对“直接在……之间”、“与……相邻”对“与……直接相邻”等)。术语“和/或”,当在本文中使用时,包括相关联列出的项目中的一个或多个项目的任一组合和全部组合。
虽然在本文中可以使用术语“第一”、“第二”、“第三”等来描述多个元件、组件、区域、层和/或部分,但是这些元件、组件、区域、层和/或部分不应受这些术语限制。这些术语可以仅用来将一个元件、组件、区域、层或部分与另一区域、层或部分区分开。像“第一”、“第二”和其它数字术语这样的术语,当其在本发明中使用时,不指顺序或次序,除非上下文清楚地这样表示。因此,下面介绍的第一元件、第一组件、第一区域、第一层或第一部分可以被称为第二元件、第二组件、第二区域、第二层或第二部分,而不背离示例实施例的教导。
为了便于描述,在本文中可以使用像“内”、“外”、“下面”、“下方”、“下”、“上面”、“上”等等这样的与空间有关的术语来描述附图中所示的一个元件或特征与别的元件或特征的关系。空间有关的术语可以旨在涵盖在使用中或在操作中的装置除附图所示的方向以外的不同方向。例如,如果附图中的装置翻转,那么被描述为“位于其它元件或特征下方”或“位于其它元件或特征下面”的元件将朝向“其它元件或特征上方”。因此,示例术语“下面”可以包括上面和下面两个朝向。装置可以朝向别的方向(旋转90度或朝向其它方向),相应地解释本发明中使用的与空间有关的描述词。
已经为了说明和描述目的提供上面对实施例的描述。描述不旨在是详尽的或者限制本公开。特定实施例的单独元件或特征通常不局限于该特定实施例,而是可在适用时互换并且可以在选择的实施例中使用,即便未具体地示出或描述。本发明还可以以多种方式变化。这样的变化不应被视为背离本公开,并且所有这样的修改旨在包含在本公开的范围内。

Claims (16)

1.一种双冗余计算机安全继电器箱系统,包括:
单独连接至相应的第一印刷电路板和第二印刷电路板的第一和第二故障安全计算系统(FSC);
每个FSC包括被指定为第一CPU和第二CPU的两个计算模块,每个CPU生成相应的健康指示信号;
所述第一和第二FSC均连接至安全继电器箱,所述安全继电器箱包括所述第一印刷电路板和所述第二印刷电路板;并且
所述印刷电路板彼此绝缘,以允许在所述印刷电路板之一上维护,而维持受另一印刷电路板控制的所述FSC的操作。
2.根据权利要求1所述的双冗余计算机安全继电器箱系统,其中所述第一和第二FSC中的每一个连接至第一手动开关或第二手动开关,所述第一手动开关和第二手动开关各自具有限定自动状态的第一开关位置和限定维护状态的第二开关位置。
3.根据权利要求2所述的双冗余计算机安全继电器箱系统,其中:
所述第一开关位置通过按下所述手动开关以改变至指示操作员的请求的所述第一开关位置而被手动选择,以允许所述安全继电器箱自动选择哪一个FSC为有效FSC;并且
所述第二开关位置通过按下所述手动开关以改变至指示操作员的请求的所述第二开关位置而被手动选择,以使受该开关控制的所述FSC转到维护模式,其中所述FSC不被允许在所述维护模式下同时转为有效角色。
4.根据权利要求1所述的双冗余计算机安全继电器箱系统,其中在每个FSC中,健康信号从相应的第一CPU和第二CPU生成,每个健康信号定义动态脉冲信号。
5.根据权利要求4所述的双冗余计算机安全继电器箱系统,其中所述动态脉冲信号的存在产生被识别为第一和第二健康信号中的每一个的输出,所述第一和第二健康信号中的每一个指代来自所述CPU中的每一个的健康指示信号。
6.根据权利要求5所述的双冗余计算机安全继电器箱系统,其中生效的健康信号指示相关FSC的健康状态,并且失效的健康信号指示相关FSC的不健康状态。
7.根据权利要求5所述的双冗余计算机安全继电器箱系统,其中所述FSC中的任意一个仅仅在所述FSC中的两个CPU均发出所述健康指示信号时才被指示为健康。
8.根据权利要求1所述的双冗余计算机安全继电器箱系统,其中所述FSC中首先启动的第一个FSC被指定为有效FSC,并且所述FSC中之后启动的第二个FSC被指定为待机FSC;并且
当所述FSC中的第二个FSC与所述第一个FSC相继通电时,所述安全继电器箱通过向所述待机FSC中的所述CPU模块中的两者返回待机状态信号,来以信号形式向所述待机FSC告知其待机状态。
9.根据权利要求5所述的双冗余计算机安全继电器箱系统,其中在自动模式下,如果来自所述有效FSC的健康信号中的一个或两个失效,并且来自所述待机FSC的健康信号中的一个或两个未失效,则所述安全继电器箱通过使两个FSC进入所述待机状态而引起故障安全操作,其中不存在有效FSC,并且FSC均不能向外部设备发送安全紧急输出。
10.一种双冗余计算机安全继电器箱系统,包括:
单独连接至相应的第一印刷电路板和第二印刷电路板的第一和第二故障安全计算系统(FSC);
每个FSC包括被指定为限定安全继电器模块部分的第一CPU和第二CPU的两个计算模块;
具有所述第一和第二FSC的安全继电器箱,所述第一和第二FSC均连接至所述安全继电器箱,所述安全继电器箱包括所述第一印刷电路板和所述第二印刷电路板;并且
在每个FSC中,从所述第一CPU和第二CPU的所述第一和第二印刷电路板生成的健康信号限定多级动态脉冲信号,其中所述动态脉冲信号的存在产生被识别为第一和第二健康指示信号中的每一个的输出,所述第一和第二健康指示信号中的每一个来自所述第一或第二FSC之一的所述CPU中的每一个。
11.根据权利要求10所述的双冗余计算机安全继电器箱系统,其中所述安全继电器箱连接至用于控制所述第一FSC的第一手动开关,并且所述安全继电器箱连接至用于控制所述第二FSC的第二手动开关,所述第一手动开关和第二手动开关各自具有限定所述FSC的自动状态的第一开关位置和用于限定所述FSC的维护状态的第二开关位置。
12.根据权利要求11所述的双冗余计算机安全继电器箱系统,其中在从所述第一手动开关和第二手动开关的所述第一开关位置改变为所述第二开关位置或从所述第二开关位置改变为所述第一开关位置之后,所述FSC中的一个被选择为定义“待机”角色的待机FSC,所述待机FSC在所述FSC中的有效FSC发生故障的情况下可用于承担有效角色。
13.根据权利要求10所述的双冗余计算机安全继电器箱系统,其中所述印刷电路板彼此绝缘,以允许在所述印刷电路板之一上维护,而维持受另一印刷电路板控制的所述FSC的操作。
14.根据权利要求10所述的双冗余计算机安全继电器箱系统,其中所述安全继电器箱仅在来自所述FSC之一的两个健康指示信号均生效的情况下才选择该FSC为有效FSC,并且两个健康指示信号在所述信号上具有动态波形。
15.根据权利要求10所述的双冗余计算机安全继电器箱系统,其中在每个FSC中,在所述第一CPU和第二CPU中的每一个生成所述多级动态脉冲健康信号并且将该信号发送至所述安全继电器箱之后,所述安全继电器箱识别来自两个FSC的所有四个健康信号的状态以选择有效FSC,使得经系统初始化后,所述安全继电器箱将所述第一或第二FSC中的使两个健康指示信号均生效的第一FSC选择为指定的有效FSC。
16.一种双冗余计算机安全继电器箱系统,包括:
单独安装至相应的第一印刷电路板和第二印刷电路板的第一和第二故障安全计算系统(FSC);
每个FSC包括被指定为第一CPU和第二CPU的两个计算模块;
所述第一和第二FSC均连接至安全继电器箱,所述安全继电器箱包括所述第一印刷电路板和所述第二印刷电路板;
所述印刷电路板彼此绝缘,以允许在所述印刷电路板之一上维护,而维持另一印刷电路板的所述FSC的操作;并且
在每个FSC中,从所述第一CPU和第二CPU的所述第一和第二印刷电路板生成的健康信号定义多级动态脉冲信号,其中所述动态脉冲信号的存在产生被识别为第一和第二健康指示信号中的每一个的输出,所述第一和第二健康指示信号中的每一个来自所述第一或第二FSC之一的所述CPU中的每一个。
CN201310689383.3A 2013-12-16 2013-12-16 安全继电器箱系统 Active CN104714439B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201310689383.3A CN104714439B (zh) 2013-12-16 2013-12-16 安全继电器箱系统
US14/141,580 US9791901B2 (en) 2013-12-16 2013-12-27 Safety relay box system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310689383.3A CN104714439B (zh) 2013-12-16 2013-12-16 安全继电器箱系统

Publications (2)

Publication Number Publication Date
CN104714439A CN104714439A (zh) 2015-06-17
CN104714439B true CN104714439B (zh) 2018-03-27

Family

ID=53368358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310689383.3A Active CN104714439B (zh) 2013-12-16 2013-12-16 安全继电器箱系统

Country Status (2)

Country Link
US (1) US9791901B2 (zh)
CN (1) CN104714439B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170199834A1 (en) * 2016-01-13 2017-07-13 Ford Global Technologies, Llc Vehicle subsystem communication arbitration
DE102016125031A1 (de) * 2016-12-20 2018-06-21 Pilz Gmbh & Co. Kg Sicherheitsschaltanordnung zum fehlersicheren Abschalten einer elektrisch angetriebenen Anlage
CN107291014B (zh) * 2017-07-26 2023-03-24 黑龙江瑞兴科技股份有限公司 一种轨道交通用继电器控制电路
US10621024B2 (en) * 2017-09-11 2020-04-14 Smart Embedded Computing, Inc. Signal pairing for module expansion of a failsafe computing system
CN113311774B (zh) * 2021-06-09 2023-02-28 中国第一汽车股份有限公司 一种驱动控制方法和系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1257236A (zh) * 1998-12-17 2000-06-21 联阳半导体股份有限公司 智能卡读卡机与电脑输入输出集成电路的整合架构

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5828140A (en) * 1995-11-03 1998-10-27 Shih; Steven Redundant power controller
US6928583B2 (en) * 2001-04-11 2005-08-09 Stratus Technologies Bermuda Ltd. Apparatus and method for two computing elements in a fault-tolerant server to execute instructions in lockstep
US7058170B2 (en) * 2001-05-30 2006-06-06 Siemens Communications, Inc. Method for operating and apparatus for a back-plane supporting redundant circuit cards
US6931568B2 (en) * 2002-03-29 2005-08-16 International Business Machines Corporation Fail-over control in a computer system having redundant service processors
JP4383780B2 (ja) * 2003-06-20 2009-12-16 有限会社エムアイティインターナショナル ループピン結合装置
JP4212970B2 (ja) * 2003-06-30 2009-01-21 株式会社キーエンス 安全リレーシステム
US20050273653A1 (en) * 2004-05-19 2005-12-08 Honeywell International Inc. Single fault tolerance in an architecture with redundant systems
DE602005008602D1 (de) * 2005-09-16 2008-09-11 Siemens Transportation Systems Redundanzkontrollverfahren und Vorrichtung für sichere Rechnereinheiten
JP2007119144A (ja) * 2005-10-26 2007-05-17 Funai Electric Co Ltd インクジェットプリンタ
TW200745873A (en) * 2006-06-05 2007-12-16 Dmp Electronics Inc Dual computers for backup and being fault-tolerant system architecture
CN101916212B (zh) * 2010-08-09 2012-01-11 北京交大资产经营有限公司 实现cots计算机故障导向安全的系统及方法
CN102176202B (zh) * 2010-12-29 2013-12-25 哈尔滨工业大学 一种星上商用器件冗余网络设计电路
CN103057567B (zh) * 2012-12-30 2015-10-14 卡斯柯信号有限公司 一种铁路信号领域的通用轨旁安全平台
US9268684B2 (en) * 2013-03-29 2016-02-23 Silicon Graphics International Corp. Populating localized fast bulk storage in a multi-node computer system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1257236A (zh) * 1998-12-17 2000-06-21 联阳半导体股份有限公司 智能卡读卡机与电脑输入输出集成电路的整合架构

Also Published As

Publication number Publication date
CN104714439A (zh) 2015-06-17
US9791901B2 (en) 2017-10-17
US20150168993A1 (en) 2015-06-18

Similar Documents

Publication Publication Date Title
CN104714439B (zh) 安全继电器箱系统
US10843716B2 (en) Method and apparatus for an interlocking control device
CN105759781B (zh) 机器人的布线方法
CN105974879B (zh) 数字仪控系统中的冗余控制设备、系统及控制方法
US8441766B2 (en) Apparatus for fault tolerant digital outputs
CN110376876B (zh) 一种双系同步的安全计算机平台
EP2674957B1 (en) Single-channel safety output
EP2573636B1 (en) Multi-channel control switchover logic
CN108008624B (zh) 抢权逻辑控制单元
JP2008146659A (ja) 安全モジュール及び自動化システム
CN113978480A (zh) 一种冗余电子控制系统及设备
JP7225689B2 (ja) モータ制御装置
US10747186B2 (en) Multi-channel control switchover logic
CN104977907A (zh) 直接连接算法
US9343894B2 (en) Method and device for monitoring a device equipped with a microprocessor
WO2015142979A1 (en) Fault tolerant systems and method of using the same
JP2000255431A (ja) 鉄道用保安制御装置及び保安制御システム
CN108228403A (zh) 一种冗余容错计算机系统的余度管理电路及管理方法
CN106451359B (zh) 发电机静态励磁装置多从冗余保护方法
CN105652191B (zh) 一种安全回路状态监测系统
CN110239575A (zh) 基于二乘二取二的逻辑控制设备及系统
CN102591322A (zh) 检验带有部件的控制系统的功能
CN204695092U (zh) 一种硼加热系统的pcs系统
CN105959193A (zh) 列车控制方法和系统
KR20120070551A (ko) 리그선의 전력 공급 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Arizona, USA

Applicant after: ARTESYN EMBEDDED COMPUTING, INC.

Address before: Arizona, USA

Applicant before: Emerson Network Power-Embedded Computing, Inc.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant