CN105739299B - 基于二乘二取二安全冗余系统的控制装置 - Google Patents
基于二乘二取二安全冗余系统的控制装置 Download PDFInfo
- Publication number
- CN105739299B CN105739299B CN201610287247.5A CN201610287247A CN105739299B CN 105739299 B CN105739299 B CN 105739299B CN 201610287247 A CN201610287247 A CN 201610287247A CN 105739299 B CN105739299 B CN 105739299B
- Authority
- CN
- China
- Prior art keywords
- unit
- output
- communication
- power supply
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0421—Multiprocessor system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24182—Redundancy
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24186—Redundant processors are synchronised
Abstract
本发明公开了一种基于二乘二取二安全冗余系统的控制装置,包括第一二取二系统、第二二取二系统、系统冗余电源和切系装置;系统冗余电源分别为第一二取二系统、第二二取二系统和切系装置供电;切系装置能对第一二取二系统和第二二取二系统进行运行状况切换。上述基于二乘二取二安全冗余系统的控制装置,具有较高的可用性、可靠性和安全性。
Description
技术领域
本发明涉及通讯安全控制技术领域,特别是涉及一种基于二乘二安全冗余系统的控制装置。
背景技术
安全控制平台是各个工业领域重要处理平台,具备信号输入、逻辑处理和信号输出等基本功能。安全控制平台对可靠性、可用性、可维护性和安全性等方面的要求均应符合EN50126中的相关规定。
发明内容
本发明提供一种可靠性较高、可用性较强的基于二乘二安全冗余系统的控制装置。
为解决上述技术问题,本发明所采取的技术方案是:一种基于二乘二取二安全冗余系统的控制装置,包括第一二取二系统、第二二取二系统、系统冗余电源和切系装置;
所述系统冗余电源为所述第一二取二系统、所述第二二取二系统和所述切系装置供电;
所述切系装置能对所述第一二取二系统和所述第二二取二系统进行运行状况切换。
优选的,所述切换为自动切换,即根据两个二取二系统的运行状况自动选择主系。
优选的,所述第一二取二系统或所述第二二取二系统包括第一安全电源、第一主控单元、第二主控单元、第一通信单元、第二通信单元、第一采集单元、第二采集单元、第一输出单元、第二输出单元和第一记录单元;
所述第一安全电源为所述第一主控单元、所述第一通信单元、所述第一采集单元和第一输出单元提供独立的逻辑电源;所述第一安全电源为所述第二主控单元、所述第二通信单元、所述第二采集单元和第二输出单元提供独立的逻辑电源;
所述第一主控单元分别与所述第一通信单元、所述第一采集单元、第一输出单元和所述第一记录单元通信连接;所述第一通信单元、所述第一采集单元、第一输出单元和所述第一记录单元形成所述第一二取二系统的第一通道;
所述第二主控单元分别与所述第二通信单元、所述第二采集单元、第二输出单元和所述第一记录单元通信连接;所述第二通信单元、所述第二采集单元、第二输出单元和所述第一记录单元形成所述第一二取二系统的第二通道。
优选的,还包括通信接口A、通信接口B、输出接口A和采集接口A;
所述通信接口A与所述第一通信单元连接;所述通信接口B与所述第二通信单元连接;所述输出接口A与所述第一输出单元和所述第二输出单元连接;所述采集接口A与所述第一采集单元和所述第二采集单元连接。
优选的,所述第一安全电源接收所述第一主控单元和所述第二主控单元输出的动态信号,并对应为所述通信接口A、所述通信接口B和所述输出接口A供电;
在所述通信接口A和/或所述通信接口B的收发时间超过预设时间或数据超过预设时间时,关闭所述第一二取二系统,并切换至所述第二二取二系统工作。
优选的,所述第一输出单元和所述第二输出单元均包括延时电路,所述延时电路用于对各个输出单元输出的信号进行延时。
优选的,所述第一通信单元和所述第二通信单元之间、所述第一输出单元和所述第二输出单元之间以及所述第一采集单元和所述第二采集单元之间均设置表决函数,对输入数据、输出数据和/或运行状态实施实时表决;
其中,所述对输入数据、输出数据和/或运行状态实施实时表决的方法为:
对被表决的数据进行字节模二加操作,并表决预设次数,若有一次为真,则表决通过;否则,跳入故障陷阱,关闭对应的通信接口和输出接口。
优选的,所述第一通信单元和所述第二通信单元之间、所述第一输出单元和所述第二输出单元之间以及所述第一采集单元和所述第二采集单元之间均形成一个二取二单元;
每个所述二取二单元包括时钟隔离电路、数据隔离电路和两套对称的硬件结构;所述时钟隔离电路和所述数据隔离电路设置在两套所述硬件结构之间,并均与两套所述硬件结构电连接;
每套所述硬件结构包括运算CPU、调度FPGA、独立电源和独立接口电路及相应的扩展电路;所述运算CPU与所述调度FPGA连接,所述调度FPGA与所述独立接口电路连接;所述独立电源为所述运算CPU、所述调度FPGA、所述独立接口电路和相应的扩展电路供电。
优选的,所述切系装置包括钥匙开关和互斥电路;所述钥匙开关和所述互斥电路电连接;
所述切系装置接收所述第一安全电源和所述第二安全电源输出的条件输出电源,以及所述第一主控单元至所述第四主控单元输出的主备状态信号;所述切系装置将所述钥匙开关输出的主备系选择信号和所述互斥电路输出的主备切系选择信号发送至对应的主控单元。
优选的,所述系统冗余电源包括第一冗余电源、第二冗余电源和第三冗余电源;
所述第一冗余电源为所述第一二取二系统供电,所述第二冗余电源为所述切系装置供电,所述第三冗余电源为所述第二二取二系统供电;
所述第一冗余电源、所述第二冗余电源和所述第三冗余电源相互隔离。
采用上述技术方案所产生的有益效果在于:第一二取二系统和第二二取二系统,包含完全相同的软件和硬件,且供电独立,构成二乘冗余关系,保障目标系统的可用性和可靠性;而且设置切系装置,能够更好提高可用性。进一步的,每个二取二系统均包含两个输入一致的处理通道,两个处理通道输出经“硬件表决”模块等安全电路对外输出,构成二乘二取二安全结构,保障目标系统的安全性。而且,该控制装置能够满足车载和地面多类应用场景,提供可扩展的安全的输入输出接口,为用户提供业务层接口和通信通道协议更新接口。
附图说明
图1是本发明的结构示意图;
图2是本发明一个实施例的详细结构示意图;
图3是本发明与维修设备和外部设备连接示意图;
图4是图2中各二取二单元的硬件结构示意图;
图5是图4的二取二表决过程示意图;
图6是图4中各二取二单元程序执行过程示意图;
图7是本发明应用扩展示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示,一个实施例中,基于二乘二取二安全冗余系统的控制装置可以包括系统冗余电源100、第一二取二系统210、第二二取二系统220和切系装置300。其中,系统冗余电源100分别为第一二取二系统210、第二二取二系统220和切系装置300供电。切系装置300分别与第一二取二系统210和第二二取二系统220连接。切系装置300设置有强制第一二取二系统210为主系、强制第二二取二系统220为主系和根据两个二取二系统的运行状况选择主系的三种工作状态。
参见图2,作为一种可实施方式,第一二取二系统210和第二二取二系统220的结构相同,为便于后续描述,将第一二取二系统210和第二二取二系统220的具体结构以不同名称命名。第一二取二系统210可以包括第一安全电源211、第一主控单元2121、第二主控单元2122、第一通信单元2131、第二通信单元2132、第一采集单元2151、第二采集单元2152、第一输出单元2141、第二输出单元2142和第一记录单元216。第一安全电源211为第一主控单元2121、第一通信单元2131、第一采集单元2151和第一输出单元2141提供独立的逻辑电源。第一安全电源211为第二主控单元2122、第二通信单元2132、第二采集单元2152和第二输出单元2142提供独立的逻辑电源。
第一主控单元2121分别与第一通信单元2131、第一采集单元2151、第一输出单元2141和第一记录单元216通信连接。具体的,第一主控单元2121可以通过第一内部总线217,以一主多从模式分别与第一通信单元2131、第一采集单元2151、第一输出单元2141和第一记录单元216通信连接。第一通信单元2131、第一采集单元2151、第一输出单元2141和第一记录单元216形成第一二取二系统210的第一通道,以实现第一二取二系统210的第一通道内部的数据调度过程。其中,第一二取二系统210的第一通道,即为图3中所示的I系A通道。
第二主控单元2122分别与第二通信单元2132、第二采集单元2152、第二输出单元2142和第一记录单元216通信连接。具体的,第二主控单元2122可以通过第二内部总线218,以一主多从模式分别与第二通信单元2132、第二采集单元2152、第二输出单元2142和第一记录单元216通信连接。第二通信单元2132、第二采集单元2152、第二输出单元2142和第一记录单元216形成第一二取二系统210的第二通道,以实现第一二取二系统210的第二通道内部的数据调度过程。其中,第一二取二系统210的第二通道,即为图3中所示的I系B通道。
进一步的,参见图2,第一二取二系统210还可以包括通信接口A、通信接口B、输出接口A和采集接口A。通信接口A与第一通信单元2131连接。通信接口B与第二通信单元2132连接。输出接口A与第一输出单元2141和第二输出单元2142连接。采集接口A与第一采集单元2151和第二采集单元2152连接。其中,第一安全电源211接收第一主控单元2121和第二主控单元2122输出的动态信号,作为条件电源的条件判断信号,并对应为通信接口A、通信接口B和输出接口A供电。
参见图2,作为一种可实施方式,第二二取二系统220包括第二安全电源221、第三主控单元2221、第四主控单元2222、第三通信单元2231、第四通信单元2232、第三采集单元2251、第四采集单元2252、第三输出单元2241、第四输出单元2242和第二记录单元226。第二安全电源221为第三主控单元2221、第三通信单元2231、第三采集单元2251和第三输出单元2241提供独立的逻辑电源。第二安全电源221为第四主控单元2222、第四通信单元2232、第四采集单元2252和第四输出单元2242提供独立的逻辑电源。
第三主控单元2221分别与第三通信单元2231、第三采集单元2251、第三输出单元2241和第二记录单元226通信连接。具体的,第三主控单元2221可以通过第三内部总线227,以一主多从模式分别与第三通信单元2231、第三采集单元2251、第三输出单元2241和第二记录单元226通信连接。第三通信单元2231、第三采集单元2251、第三输出单元2241和第二记录单元226形成第二二取二系统220的第一通道,以实现第二二取二系统220的第一通道内部的数据调度过程。其中,第二二取二系统220的第一通道,即为图3中所示的
系A通道。
第四主控单元2222分别与第四通信单元2232、第四采集单元2252、第四输出单元2242和第二记录单元226通信连接。具体的,第四主控单元2222可以通过第四内部总线228,以一主多从模式分别与第四通信单元2232、第四采集单元2252、第四输出单元2242和第二记录单元226通信连接。第四通信单元2232、第四采集单元2252、第四输出单元2242和第二记录单元226形成第二二取二系统220的第二通道,以实现第二二取二系统220的第二通道内部的数据调度过程。其中,第二二取二系统220的第二通道,即为图3中所示的
系B通道。
进一步的,参见图2,第二二取二系统220还可以包括通信接口C、通信接口D、输出接口B和采集接口B。通信接口C与第三通信单元2231连接。通信接口D与第四通信单元2232连接。输出接口B与第三输出单元2241和第四输出单元2242连接。采集接口B与第三采集单元2251和第四采集单元2252连接。其中,第二安全电源221接收第三主控单元2221和第四主控单元2222输出的动态信号,作为条件电源的条件判断信号,并对应为通信接口C、通信接口D和输出接口B供电。
一个实施例中,切系装置300可以包括钥匙开关和互斥电路。钥匙开关和互斥电路电连接。切系装置300接收第一安全电源211和所述第二安全电源221输出的条件输出电源,以及第一主控单元2121至第四主控单元2222输出的主备状态信号。切系装置300将钥匙开关输出的主备系选择信号和互斥电路输出的主备切系选择信号发送至对应的主控单元。
本实施例中,通过切系装置300的钥匙开关可以手动或自动确定第一二取二系统210和第二二取二系统220中的一个系统为主系,并确保某一时刻第一二取二系统210和第二二取二系统220中有且只有一个系统为主系。另外,还可以通过切系装置300识别主备系状态信息。例如,当前第一二取二系统210和第二二取二系统220中哪一二取二系统为主系,及主备系的工作状态信息等。
进一步的,第一输出单元2141至第四输出单元2242均包括延时电路。延时电路用于对各个输出单元输出的信号进行预设延时。其中,各个输出端口在获得关闭命令后,T0时间内不会关闭最终输出,而会在T1时间内可靠关闭。另外,若因某一二取二系统故障而导致该系输出端口关闭输出,则在T0时间内可靠切系,转由另一二取二系统继续输出,实现无缝切换操作。
作为一种可实施方式,各通信接口中均可设置时间判断函数、数据时间戳功能和动态方波功能,严格对数据实时性进行把关,任何一处的数据收发时间超时或数据超时,均将导致所对应的二取二系统不能正常运行而关闭最终输出,并切换到另一二取二系统工作。具体的,在通信接口A和/或通信接口B的收发时间超过预设时间或数据超过预设时间时,关闭第一二取二系统210,并切换至第二二取二系统220工作。在通信接口C和/或通信接口D的收发时间超过预设时间或数据超过预设时间,关闭第二二取二系统220,并切换至第一二取二系统210工作。
第一通信单元2131和第二通信单元2132之间设置表决函数。第一输出单元2141和第二输出单元2142之间设置表决函数。第一采集单元2151和第二采集单元2152之间设置表决函数。第三通信单元2231和第四通信单元2232之间设置表决函数。第三输出单元2241和第四输出单元2242之间设置表决函数。以及第三采集单元2251和第四采集单元2252之间设置表决函数。设置表决函数,能够对各个单元中的输入数据、输出数据和/或运行状态实施实时表决。
其中,对输入数据、输出数据和/或运行状态实施实时表决的方法为:对被表决的数据进行字节模二加操作,并表决预设次数,若有一次为真,则表决通过;否则,跳入故障陷阱,关闭对应的通信接口和输出接口。如图5和图6所示,如果在运行过程中某处理单元数据表决不一致超限,系统将跳入故障陷阱,关闭对应的通信接口和输出接口,并输出维护指示信息。
具体的,第一通信单元2131和第二通信单元2132之间、第一输出单元2141和第二输出单元2142之间、第一采集单元2151和第二采集单元2152之间、第三通信单元2231和第四通信单元2232之间、第三输出单元2241和第四输出单元2242之间以及第三采集单元2251和第四采集单元2252之间均形成一个二取二单元。所有二取二单元均设置软件通信表决功能,通信双方信号隔离。即按照系统周期运行过程中均设置软件表决函数,对本节点处的输入数据、输出数据、运行状态实施实时表决。通过对被表决的数据进行字节模二加操作,表决预设次数次后如果有一次为真,则表决通过,程序可以继续执行下一任务;否则跳入故障陷阱,关闭对应的通信接口和输出接口。
参见图4,一个实施例中,每个二取二单元均可以包括时钟隔离电路、数据隔离电路和两套对称的硬件结构10。时钟隔离电路和数据隔离电路设置在两套硬件结构10之间,并均与两套硬件结构10电连接,作为通道时钟同步、数据同步和任务同步等同步操作电路。其中,每套硬件结构10包括运算CPU 11、调度FPGA 12、独立电源14和独立接口电路13及相应的扩展电路。不同单元对应的硬件结构10中的扩展电路不同。运算CPU 11与调度FPGA 12连接。调度FPGA 12与独立接口电路13连接。独立电源14为运算CPU 11、调度FPGA 12、独立接口电路13和相应的扩展电路供电。
具体的,由A通道的调度FPGA 12输出10ms间隔的任务同步脉冲,将该脉冲分别输出给A通道的运算CPU 11和B通道的调度FPGA 12。再由B通道的调度FPGA 12将该10ms任务同步脉冲输出给B通道的运算CPU 11和A通道的调度FPGA 12。此时,A通道的调度FPGA 12对传回的10ms任务同步脉冲进行校验。A、B两个通道的运算CPU 11和B通道的调度FPGA 12应用自身的时钟也对10ms任务同步脉冲进行检验。A、B两个通道的调度FPGA 12任何一方出现故障,将导致10ms任务同步脉冲停止,从而系统任务停止。
另外,可根据不同的功能需求,设置对应的独立接口电路13。例如,主控单元对应的独立接口电路13可以设置为内部通信总线接口。其他各类别单元的独立接口电路13除内部总线接口外,还可以设置网卡接口、RS232接口、CAN总线接口、RS422/485接口、采集接口以及输出接口中的一种以上的接口。当然,除去上述接口外的其他接口,也可根据相同的模式在接口电路中作出调整,以满足系统需要。
参见图5,各CPU和FPGA所有任务均设置在如图5中所示的同步脉冲节拍下进行。同步顺序可以分为四步:第一步,各二取二单元A、B两个通道同步,以A通道同步为主;第二步,系内各单板同步,以主控单元同步为主;第三步,Ⅰ系和Ⅱ系系间的同步,以Ⅰ系主控单元为主;第四步,远端机笼与主控机笼之间的同步,以主控机笼同步为主。
参见图2,一个实施例中,系统冗余电源100可以包括第一冗余电源110、第二冗余电源120和第三冗余电源130。第一冗余电源110为第一二取二系统210供电。第二冗余电源120为切系装置300和其他非安全部分供电。第三冗余电源130为第二二取二系统220供电。第一冗余电源110、第二冗余电源120和第三冗余电源130相互隔离。另外,系统冗余电源100还可以包括电源滤波装置。第一冗余电源110通过电源滤波装置为第一二取二系统210供电。第二冗余电源120通过电源滤波装置为第二二取二系统220供电。第三冗余电源130通过电源滤波装置为切系装置300和其他装置供电。
作为一种可实施方式,第一冗余电源110可以包括第一冗余电源A和第一冗余电源B。第二冗余电源120可以包括第二冗余电源A和第二冗余电源B。第三冗余电源130可以包括第三冗余电源A和第三冗余电源B。各组冗余电源的输入均为AC220V交流电,第一冗余电源110输出DC24V直流电给第一二取二系统210供电。第二冗余电源120输出DC24V直流电给切系装置300和其他非安全部分供电。第三冗余电源130输出DC24V直流电给第二二取二系统210供电。
参见图3,使用基于二乘二取二安全冗余系统的控制装置时,基于二乘二取二安全冗余系统的控制装置与维修设备400和外部设备500连接。与维修设备400连接时,维修设备400通过工艺冗余以太网分别与第一主控单元2121、第二主控单元2122、第三主控单元2221和第四主控单元2222进行通信。
基于二乘二取二安全冗余系统的控制装置采集外部设备500的开关状态时,可使得第一采集单元2151、第二采集单元2152、第三采集单元2251和第四采集单元2252分别连接外部设备500的状态触点。也可使得第一采集单元2151和第二采集单元2152采集外部设备500的一组状态触点, 并使第三采集单元2251和第四采集单元2252采集外部设备500表示同一信息的另一组状态触点,这样可以排除因外部配线受损而造成故障的因素。
基于二乘二取二安全冗余系统的控制装置驱动开关量输出时,第一输出单元2141、第二输出单元2142、第三输出单元2241和第二输出单元2242,分别输出接口A和输出接口B。其中,输出接口A由第一输出单元2141和第二输出单元2142输出的开关量信号通过硬件表决单元获得。输出接口B由第三输出单元2241和第二输出单元2242输出的开关量信号通过硬件表决单元获得。两路输出接口均设置单向输出功能,可以根据被驱动设备的需要,设置为两路驱动还是一路驱动。若设置为一路驱动时,可将输出接口A和输出接口B的正端短接,负端短接,形成一个新的输出端口。
基于二乘二取二安全冗余系统的控制装置与外部设备500建立通信连接时,可配置基于二乘二取二安全冗余系统的控制装置与外部设备500通信交叉连接或直连。支持的外部通信设备必须是二乘二取二安全系统结构或者二取二安全系统结构。外部设备500某系故障时,不会影响基于二乘二取二安全冗余系统的控制装置的正常功能。
由于基于二乘二取二安全冗余系统的控制装置的应用CPU分别存在与四组独立的主控单元中,四组CPU均在实时同步的进行业务运算,并由维修设备400分别记录四组CPU的逻辑输入、处理过程和逻辑输出。
进一步的,第一主控单元2121和第三主控单元2221设置高速通信通道,第二主控单元2122和第四主控单元2222设置高速通信通道。两两独立交互Ⅰ系和Ⅱ系二取二输入和输出数据、状态数据,实现二乘系统内部数据共享,保障某系因故障而不能正常工作时,无缝切换至另一系继续运行并输出数据。
上述基于二乘二取二安全冗余系统的控制装置,适合车载及地面多种应用环境。根据不同的应用环境,可以配置不同的通信接口数量、采集接口数量和输出接口数量,在主控单元中也设置了对应的模块虚拟接口。采用带电磁屏蔽功能的19英寸机笼,将图2中的各个单元单板对称设置在机笼中。如果一个19英寸机笼的接口数量不能满足某应用场景的数量需求时,装置及系统以机笼为单位进行扩展,如图7所示。带业务程序处理功能的机笼为主控机笼600,不带业务程序处理功能的机笼的其他机笼为远端机笼700。在物理配置上,两个二取二系统分别设置在主控机笼600的左右两侧。除安全电源单元、记录单元和切换装置位置固定以外,其他单元板卡均可实现灵活配置。远端机笼700和主控机笼600基本一致,需设置安全电源、主控单元,并根据需要配置通信单元、采集单元和输出单元,而主控单元不设置逻辑软件处理功能,只负责本机笼的安全管理、内部数据调度和与主控机笼通信接口的数据收发工作。远端机笼700也不设置切系装置。远端机笼700与主控机笼600通过以太网通信进行数据传输,以交换机拓扑网络接口方式将二乘二取二安全计算机系统配置为光纤环网设备,用以实现庞大系统中的多节点采集和输出功能。
远端机笼700数据采集获得后,通过组包和协议过程将数据发送给本机笼的主控单元,再通过主控单元将所有单板数据整合成标准帧发送给主控机笼600的通信单元。主控机笼600的通信单元将获得的各远端机笼700的数据按照固定的协议过程,发送给主控机笼600的主控单元。
主控机笼600在经过业务函数处理获得输出数据后,按照固定的协议过程发送给通信单元,由通信单元将输出数据包分发给各个远端机笼700的主控单元。再由远端机笼700的主控单元解析出本机笼的输出数据后,将数据按照固定的协议过程发送给本机笼的各个输出单元,由输出单元通过硬件表决模块表决和输出。
在数据收发过程中,经过任何一个单板环节都需要安装二取二模式将数据进行表决,取表决通过的数据往下一级传输,如图5所示。如果某环节数据超时或数据不一致,装置及系统将切除该链路数据,并转由另一链路数据继续工作。
另外,主控机笼600中各安全电源的电源输出条件为主控单元的两通道CPU均输出了正常的动态方波信号,如图5所示。远端机笼700中各安全电源的电源输出条件为本机笼主控单元的两通道CPU均输出了正常的动态方波信号,同时远端机笼700的各安全电源也受主控机笼600安全电源控制。如果主控机笼600中安全电源因输入条件不成立或者自身故障,将导致该安全电源所在二取二系统所有安全电源单板停止供电,关闭该系所有输出接口和通信接口。
上述基于二乘二取二安全冗余系统的控制装置,第一二取二系统210和第二二取二系统220,包含完全相同的软、硬件,供电独立,构成二乘冗余关系,保障目标系统的可用性和可靠性;而且设置切系装置300,能够更好提高可用性。进一步的,每个二取二系统均包含两个输入一致的处理通道,两个处理通道输出经“硬件表决”模块等安全电路对外输出,构成二乘二取二安全结构,保障目标系统的安全性。而且,该控制装置能够满足车载和地面多类应用场景,提供可扩展的安全的输入输出接口,为用户提供业务层接口和通信通道协议更新接口。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于二乘二取二安全冗余系统的控制装置,其特征在于,包括第一二取二系统、第二二取二系统、系统冗余电源和切系装置;
所述系统冗余电源为所述第一二取二系统、所述第二二取二系统和所述切系装置供电;
所述切系装置能对所述第一二取二系统和所述第二二取二系统进行运行状况切换;
所述第一二取二系统和所述第二二取二系统结构相同,所述第一二取二系统包括第一安全电源、第一主控单元、第二主控单元、第一通信单元、第二通信单元、第一采集单元、第二采集单元、第一输出单元、第二输出单元和第一记录单元;
所述第一安全电源为所述第一主控单元、所述第一通信单元、所述第一采集单元和第一输出单元提供独立的逻辑电源;所述第一安全电源为所述第二主控单元、所述第二通信单元、所述第二采集单元和第二输出单元提供独立的逻辑电源;
所述第一主控单元分别与所述第一通信单元、所述第一采集单元、第一输出单元和所述第一记录单元通信连接;所述第一通信单元、所述第一采集单元、所述第一输出单元和所述第一记录单元形成所述第一二取二系统的第一通道;
所述第二主控单元分别与所述第二通信单元、所述第二采集单元、第二输出单元和所述第一记录单元通信连接;所述第二通信单元、所述第二采集单元、所述第二输出单元和所述第一记录单元形成所述第一二取二系统的第二通道;
所述第一通信单元和所述第二通信单元之间、所述第一输出单元和所述第二输出单元之间以及所述第一采集单元和所述第二采集单元之间均设置表决函数,对各个单元的数据实施实时表决,若某一单元数据不一致,则切断当前二取二系统并切换到另一二取二系统工作;
其中,第一二取二系统还包括通信接口A、通信接口B,通信接口A与第一通信单元连接,通信接口B与第二通信单元连接;第二二取二系统还包括通信接口C、通信接口D,通信接口C与第二二取二系统中的第三通信单元连接,通信接口D与第二二取二系统中的第四通信单元连接;各通信接口中均设置时间判断函数、数据时间戳功能和动态方波功能,在通信接口A和/或通信接口B的收发时间超过预设时间或数据超过预设时间时,关闭第一二取二系统,并切换至第二二取二系统工作;在通信接口C和/或通信接口D的收发时间超过预设时间或数据超过预设时间,关闭第二二取二系统,并切换至第一二取二系统工作。
2.根据权利要求1所述的基于二乘二取二安全冗余系统的控制装置,其特征在于,所述切换为自动切换,即根据两个二取二系统的运行状况自动选择主系。
3.根据权利要求1所述的基于二乘二取二安全冗余系统的控制装置,其特征在于,还包括通信接口A、通信接口B、输出接口A和采集接口A;
所述通信接口A与所述第一通信单元连接;所述通信接口B与所述第二通信单元连接;所述输出接口A与所述第一输出单元和所述第二输出单元连接;所述采集接口A与所述第一采集单元和所述第二采集单元连接。
4.根据权利要求3所述的基于二乘二取二安全冗余系统的控制装置,其特征在于,所述第一安全电源接收所述第一主控单元和所述第二主控单元输出的动态信号,并对应为所述通信接口A、所述通信接口B和所述输出接口A供电;
在所述通信接口A和/或所述通信接口B的收发时间超过预设时间或数据超过预设时间时,关闭所述第一二取二系统,并切换至所述第二二取二系统工作。
5.根据权利要求1所述的基于二乘二取二安全冗余系统的控制装置,其特征在于,所述第一输出单元和所述第二输出单元均包括延时电路,所述延时电路用于对各个输出单元输出的信号进行延时。
6.根据权利要求1所述的基于二乘二取二安全冗余系统的控制装置,其特征在于,所述第一通信单元和所述第二通信单元之间、所述第一输出单元和所述第二输出单元之间以及所述第一采集单元和所述第二采集单元之间均设置表决函数,对输入数据、输出数据和/或运行状态实施实时表决;
其中,所述对输入数据、输出数据和/或运行状态实施实时表决的方法为:
对被表决的数据进行字节模二加操作,并表决预设次数,若有一次为真,则表决通过;否则,跳入故障陷阱,关闭对应的通信接口和输出接口。
7.根据权利要求1所述的基于二乘二取二安全冗余系统的控制装置,其特征在于,所述第一通信单元和所述第二通信单元之间、所述第一输出单元和所述第二输出单元之间以及所述第一采集单元和所述第二采集单元之间均形成一个二取二单元;
每个所述二取二单元包括时钟隔离电路、数据隔离电路和两套对称的硬件结构;所述时钟隔离电路和所述数据隔离电路设置在两套所述硬件结构之间,并均与两套所述硬件结构电连接;
每套所述硬件结构包括运算CPU、调度FPGA、独立电源和独立接口电路及相应的扩展电路;所述运算CPU与所述调度FPGA连接,所述调度FPGA与所述独立接口电路连接;所述独立电源为所述运算CPU、所述调度FPGA、所述独立接口电路和相应的扩展电路供电。
8.根据权利要求2所述的基于二乘二取二安全冗余系统的控制装置,其特征在于,所述切系装置包括钥匙开关和互斥电路;所述钥匙开关和所述互斥电路电连接;
所述切系装置接收所述第一安全电源和第二二取二系统中的第二安全电源输出的条件输出电源,以及四个主控单元输出的主备状态信号;所述切系装置将所述钥匙开关输出的主备系选择信号和所述互斥电路输出的主备切系选择信号发送至对应的主控单元。
9.根据权利要求1至8任意一项所述的基于二乘二取二安全冗余系统的控制装置,其特征在于,所述系统冗余电源包括第一冗余电源、第二冗余电源和第三冗余电源;
所述第一冗余电源为所述第一二取二系统供电,所述第二冗余电源为所述切系装置供电,所述第三冗余电源为所述第二二取二系统供电;
所述第一冗余电源、所述第二冗余电源和所述第三冗余电源相互隔离。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610287247.5A CN105739299B (zh) | 2016-04-29 | 2016-04-29 | 基于二乘二取二安全冗余系统的控制装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610287247.5A CN105739299B (zh) | 2016-04-29 | 2016-04-29 | 基于二乘二取二安全冗余系统的控制装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105739299A CN105739299A (zh) | 2016-07-06 |
| CN105739299B true CN105739299B (zh) | 2020-01-07 |
Family
ID=56287945
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610287247.5A Active CN105739299B (zh) | 2016-04-29 | 2016-04-29 | 基于二乘二取二安全冗余系统的控制装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105739299B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108238065B (zh) * | 2016-12-23 | 2020-06-19 | 比亚迪股份有限公司 | 基于轨道交通的计算机平台 |
| CN107748727B (zh) * | 2017-09-25 | 2020-05-29 | 上海卫星工程研究所 | 航天器用高可靠交叉冗余串行通信接口及其使用方法 |
| CN107992752B (zh) * | 2017-10-18 | 2020-05-22 | 北京全路通信信号研究设计院集团有限公司 | 一种数据处理方法、装置及计算机设备 |
| CN107967194B (zh) * | 2017-10-19 | 2020-09-29 | 北京全路通信信号研究设计院集团有限公司 | 一种基于冗余以太网的安全计算机系统 |
| CN108082219B (zh) * | 2017-11-10 | 2021-01-22 | 北京全路通信信号研究设计院集团有限公司 | 一种2乘2取2冗余结构数据处理方法 |
| CN109032021B (zh) * | 2018-08-07 | 2021-06-18 | 中国航空工业集团公司雷华电子技术研究所 | 一种冗余双mcu热备份控制系统的使用方法 |
| CN109739693B (zh) * | 2018-12-13 | 2022-06-24 | 上海航天控制技术研究所 | 货运飞船对接机构仲裁表决系统及其表决方法 |
| CN109739568B (zh) * | 2018-12-19 | 2021-12-21 | 卡斯柯信号有限公司 | 一种基于2乘2取2架构的安全平台启动方法 |
| CN109774489B (zh) * | 2019-01-17 | 2020-11-27 | 同济大学 | 一种二乘二取二冗余磁浮列车悬浮传感器及控制方法 |
| CN110095978A (zh) * | 2019-05-06 | 2019-08-06 | 杭州耘新科技有限公司 | 一种2乘2取2系统及其安全诊断方法 |
| CN110361979B (zh) * | 2019-07-19 | 2022-08-16 | 北京交大思诺科技股份有限公司 | 一种铁路信号领域的安全计算机平台 |
| CN110376876B (zh) * | 2019-07-19 | 2022-09-23 | 北京交大思诺科技股份有限公司 | 一种双系同步的安全计算机平台 |
| CN110351174B (zh) * | 2019-07-19 | 2021-11-12 | 北京交大思诺科技股份有限公司 | 一种模块冗余的安全计算机平台 |
| CN110554978B (zh) * | 2019-08-30 | 2022-02-15 | 北京交大思诺科技股份有限公司 | 一种采用通用i/o模块实现的安全计算机平台 |
| CN110758489A (zh) * | 2019-11-13 | 2020-02-07 | 通号城市轨道交通技术有限公司 | 一种列车自动防护系统 |
| CN111459544B (zh) * | 2020-03-03 | 2022-10-28 | 北京和利时系统工程有限公司 | 安全计算机板卡中多对线程数据表决方法、介质和装置 |
| CN111405047B (zh) * | 2020-03-19 | 2023-04-07 | 北京永列科技有限公司 | 一种二乘二取二计轴通信接口切换实现方法 |
| CN111474878B (zh) * | 2020-04-07 | 2021-07-13 | 张根兵 | 基于遍历循环的电驱动车控制延时优化方法及电子设备 |
| CN112395236A (zh) * | 2020-11-13 | 2021-02-23 | 中车株洲电力机车有限公司 | 一种分布式车载安全计算机系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102945221A (zh) * | 2012-10-18 | 2013-02-27 | 上海亨钧科技有限公司 | 一种全电子安全计算机联锁系统 |
| CN103678031A (zh) * | 2012-09-10 | 2014-03-26 | 西门子信号有限公司 | 二乘二取二冗余系统及方法 |
| CN105159863A (zh) * | 2015-09-09 | 2015-12-16 | 株洲南车时代电气股份有限公司 | 一种用于轨道交通的安全计算机平台 |
| CN204990103U (zh) * | 2015-09-17 | 2016-01-20 | 滨州学院 | 一种新型二乘二取二安全计算机系统 |
| CN205186190U (zh) * | 2015-10-10 | 2016-04-27 | 河南思维自动化设备股份有限公司 | 一种lkj系统的冗余主机单元 |
| CN205656443U (zh) * | 2016-04-29 | 2016-10-19 | 固安信通信号技术股份有限公司 | 基于二乘二取二安全冗余系统的控制装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ITSV20020018A1 (it) * | 2002-05-03 | 2003-11-03 | Alstom Transp Spa | Dispositivo di elaborazione o comando operante in sicurezza intrinseca |
-
2016
- 2016-04-29 CN CN201610287247.5A patent/CN105739299B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103678031A (zh) * | 2012-09-10 | 2014-03-26 | 西门子信号有限公司 | 二乘二取二冗余系统及方法 |
| CN102945221A (zh) * | 2012-10-18 | 2013-02-27 | 上海亨钧科技有限公司 | 一种全电子安全计算机联锁系统 |
| CN105159863A (zh) * | 2015-09-09 | 2015-12-16 | 株洲南车时代电气股份有限公司 | 一种用于轨道交通的安全计算机平台 |
| CN204990103U (zh) * | 2015-09-17 | 2016-01-20 | 滨州学院 | 一种新型二乘二取二安全计算机系统 |
| CN205186190U (zh) * | 2015-10-10 | 2016-04-27 | 河南思维自动化设备股份有限公司 | 一种lkj系统的冗余主机单元 |
| CN205656443U (zh) * | 2016-04-29 | 2016-10-19 | 固安信通信号技术股份有限公司 | 基于二乘二取二安全冗余系统的控制装置 |
Non-Patent Citations (1)
| Title |
|---|
| 一种新型二乘二取二安全计算机的设计和实现;郭庆;《中国优秀硕士学位论文全文数据库》;20120731;7,8,10-14,17-18,35-40,42-46,51-53,57-60 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105739299A (zh) | 2016-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105739299B (zh) | 基于二乘二取二安全冗余系统的控制装置 | |
| CN110361979B (zh) | 一种铁路信号领域的安全计算机平台 | |
| US10296685B2 (en) | Failure logic modeling method for a high-speed railway train operation control on-board system | |
| CN110376876B (zh) | 一种双系同步的安全计算机平台 | |
| CN205068381U (zh) | 一种用于轨道交通的安全计算机平台 | |
| CN104516306B (zh) | 冗余的自动化系统 | |
| CN110351174A (zh) | 一种模块冗余的安全计算机平台 | |
| CN102866690A (zh) | 分散控制系统中冗余过程控制站之间冗余切换方法 | |
| CN105244065B (zh) | 一种基于fpga技术的核电站dcs控制站架构 | |
| CN102830647A (zh) | 一种故障安全的二乘二取二装置 | |
| CN105681131B (zh) | 主备系统及其并行输出方法 | |
| CN202110281U (zh) | 空管一次雷达设备自动重组结构 | |
| CN109062028A (zh) | 一种飞控计算机的多余度控制系统 | |
| CN103472782B (zh) | 一种分布式时序触发控制系统 | |
| CN106201971A (zh) | 一种基于总线同步校验的铁路信号安全计算机平台 | |
| CN205656443U (zh) | 基于二乘二取二安全冗余系统的控制装置 | |
| CN110392009A (zh) | 具有冗余功能的多逆变器并联载波同步装置及其同步方法 | |
| CN103885421A (zh) | 一种标准总线控制器 | |
| CN102760504A (zh) | 核电站全厂机组的数字控制系统及非核级控制系统、方法 | |
| CN107563075B (zh) | 一种实现CosiMate网络和DDS网络互联的方法 | |
| CN205427464U (zh) | 可自动恢复冗余的冗余控制系统 | |
| CN103744755A (zh) | 主备单板端口共享保护的实现系统及方法 | |
| CN210442679U (zh) | 一种基于plc和数据总线技术的风闸控制系统 | |
| CN107992752A (zh) | 一种数据处理方法、装置及计算机设备 | |
| CN210518371U (zh) | 一种变电站网络拓扑定位装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |