CN113485185A - N倍冗余控制系统的架构和方法 - Google Patents

N倍冗余控制系统的架构和方法 Download PDF

Info

Publication number
CN113485185A
CN113485185A CN202110752621.5A CN202110752621A CN113485185A CN 113485185 A CN113485185 A CN 113485185A CN 202110752621 A CN202110752621 A CN 202110752621A CN 113485185 A CN113485185 A CN 113485185A
Authority
CN
China
Prior art keywords
mcu
module
state
fault
bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110752621.5A
Other languages
English (en)
Other versions
CN113485185B (zh
Inventor
汤曦东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Zhitong Technology Co ltd
Original Assignee
Hangzhou Zhitong Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Zhitong Technology Co ltd filed Critical Hangzhou Zhitong Technology Co ltd
Priority to CN202110752621.5A priority Critical patent/CN113485185B/zh
Publication of CN113485185A publication Critical patent/CN113485185A/zh
Application granted granted Critical
Publication of CN113485185B publication Critical patent/CN113485185B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0421Multiprocessor system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24182Redundancy
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P80/00Climate change mitigation technologies for sector-wide applications
    • Y02P80/10Efficient use of energy, e.g. using compressed air or pressurized fluid as energy carrier

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Abstract

本发明涉及电力控制系统技术,公开了N倍冗余控制系统的架构和方法,其包括动力控制模块,动力控制模块包括电源管理模块、MCU处理模块和电气隔离模块;电源管理模块提供电源至MCU处理模块,MCU处理模块通过CAN总线与电气隔离模块连接;动力控制模块至少为3组,任意2组MCU处理模块通过同步总线连接。MCU处理模块采用双锁步处理器设计,具有自我诊断功能。MCU处理模块包括安全检查模块,安全检查模块发送安全状态信号至电气隔离模块;通过控制系统的冗余设计架构,其安全系数高,每小时发生危险故障概率至小于10‑9;设计的控制系统可用于交通车辆,工业自动化,航空器,或其它需要高度可靠性与安全性的控制器中。

Description

N倍冗余控制系统的架构和方法
技术领域
本发明涉及电力控制系统技术,尤其涉及了N倍冗余控制系统的架构和方法。
背景技术
目前技术的控制系统,安全级别不能很好地达到国际标准ISO26262中描述的ASIL-D规格或航空工业标准DO-254中的DAL-A规格,尤其在电力控制系统中。
例如专利名称:专利申请号:CN201210294539.3;专利申请日:2012-08-17,专利申请记载了,抗辐照的三模冗余电路结构,将电路的组合逻辑电路和时序逻辑电路都复制为三份,在三个时序逻辑电路之后添加表决器,让电路的每段路径都变成三份。另外在每段路径中都添加表决器,希望通过冗余路径和表决器所组成的结构,将单粒子故障消除在每级路径中。本发明的优点是:利用冗余的模块去屏蔽已发生故障对整个电路的影响。
例如专利名称:冗余阵列的控制装置,专利申请号:US10513826,专利申请日:2003-08-30,专利申请公开了一种具有多个控制装置的控制装置的阵列,其通过第一数据总线在运输工具中互连,控制装置具有关于提供的控制功能的冗余配置,并且在每种情况下都将数据总线隔离开关分配给具有冗余配置的控制设备,数据总线隔离根据评估信号连接或断开数据总线的开关。为了优化冗余阵列,这些数据总线隔离开关中的每一个连接到至少一个另外的冗余控制装置的信号线,另外的冗余控制装置将评估信号发送到分配给第一冗余控制装置的数据总线隔离开关。
现有技术的设计中不能进行自我诊断,当MCU出现故障时,不能很好地做到同步切换;在MCU出现故障时不能自动进行切换。且现有技术设计的冗余控制系统安全级别低。
发明内容
本发明针对现有技术中不能进行自我诊断,当MCU出现故障时,不能很好地做到同步切换;在MCU出现故障时不能自动进行切换;且冗余控制系统安全级别低的缺点,提供了一种N倍冗余控制系统的架构和方法。
为了解决上述技术问题,本发明通过下述技术方案得以解决:
N倍冗余控制系统的架构,包括动力控制模块,动力控制模块包括电源管理模块、MCU处理模块和电气隔离模块;电源管理模块提供电源至MCU处理模块,MCU处理模块通过CAN总线与电气隔离模块连接;其特征在于,动力控制模块至少为3组,任意2组MCU处理模块相互之间通过同步总线连接。动力控制模块至少为三组,能够提高控制系统的安全性能,其每小时发生危险故障概率至小于10-9
作为优选,MCU处理模块包括安全检查模块,安全检查模块发送安全状态信号至电气隔离模块。通过安全检查模块实时的检测检查MCU处理模块的状态。
作为优选,安全检查模块包括第一诊断模块、第二诊断模块和故障处理模块;第一诊断模块发送成功信号至第二诊断模块,失败信号至故障处理模块;第二诊断模块发送成功信号至第二诊断模块,失败信号至故障处理模。
作为优选,第二诊断模块包括MCU处理模块状态比较模块、系统时钟诊断模块、内存ECC校验模块、系统指令及数据总线诊断模块、MCU外设数据校验模块。
作为优选,MCU处理模块为双锁步处理模块。MCU处理模块为双锁步处理模块;MCU处理模块具有自我诊断功能,在N个MCU处理模块中只有一个MCU处理模块处于Active状态并输出控制命令和参数至下级控制器,其他MCU处理模块处于Passive状态作为ActiveMCU的备选,在当前Active处理模块出现故障后,通过竞争和状态切换而成为替代Active处理模块。
作为优选,还包括故障确认模块,故障确认模块与CAN总线连接;故障确认模块包括故障可操作性电机控制器、故障可操作性主控制器和故障可操作性传感器;故障可操作性传感器将传感器信号传送至软件投票比较器,故障可操作性主控制器依据软件投票比较器对信号进行比较输出信号至故障可操作性电机控制器;故障可操作性电机控制器包括电机控制器、FPGA投票比较器和电机驱动器;电机控制器设有电机控制器A,电机控制器B和电机控制器C;A、B和C电机比较器将电机饶子电压传送至FPGA投票比较器,FPGA投票比较器确认输出的电机饶子电压,并输出PWM信号至电机驱动器。
N倍冗余控制系统的方法,由N倍冗余控制系统的架构构成,其方法为,
初始化,系统上电,上电后执行MCU诊断;
MCU诊断,检查MCU在线诊断状态,状态好则执行监视CAN总线,否则进行故障后系统恢复;
监视CAN总线,通过监视CAN总线判断是否有Active状态的MCU正常工作,有的话则继续监视CAN总线,否则进入广播申请报文;
广播申请报文,在CAN总线上进行广播申请报文,并监视是否从其他的MCU接收申请报文,是的话则进入passive状态,进行MCU诊断,否则进入MCU状态确定;
MCU状态确定,通过CAN总线周期性发送计算结果,并确定MCU状态为active状态,并进入active状态MCU诊断;
active状态MCU诊断,检查MCU在线诊断状态,状态好则继续执行active状态MCU在线诊断状态,否则进行故障后系统恢复。
作为优选,故障后系统恢复过程包括,
软件系统重置,进入故障后系统恢复状态,则将该MCU从CAN总线上隔离,进行MCU状态判断;
MCU状态判断,状态良好则通过同步数据总线接收来自active状态MCU处的系统最新状态变量数值,并进入状态变量数值的判断;否则进行故障恢复重试次数判断;
故障恢复重试次数判断,故障恢复重试次数超标则重新进行软件系统重置,否则进入系统失效状态;
状态变量数值的判断,在指定时间窗口内接受到系统最新状态变量数值,则用接收到的系统状态变量数值来初始化MCU的系统变量,否则,用默认值初始化MCU的系统变量;
进入passive状态。
作为优选,同步总线实现数据同步的过程包括,
双向通信测量passive状态MCU和active状态MCU的时钟漂移;
在Passive MCU端测量时钟漂移,MCU可以调整压控震荡器的输入电压,改变输入时钟频率fosc;同步本地时钟设置定时器。
作为优选,时钟漂移量为o,
o=tp–ta=(t1’-t1-t2’+t2)/2
其中,t1和t2为active状态MCU的时间戳,t1’和t2’为passive状态MCU的时间戳。
本发明由于采用了以上技术方案,具有显著的技术效果:通过动力控制模块至少为三组,能够提高控制系统的安全性能,其每小时发生危险故障概率至小于10-9。设计的控制系统可用于交通车辆,工业自动化,航空器,或其它需要高度可靠性与安全性的控制器中。本发明设计的系统中MCU采用时钟锁步技术,具有自我诊断功能;仅一个MCU工作在master模式;输出系统结果。一旦master MCU发生故障,通过特定切换逻辑新的MCU成为Master模式。
本发明的设计基于微处理器(MCU)复杂的系统,而且每个MCU具有自我诊断功能。在本发明的三倍冗余实施方案中,多数表决器具有使用MCU自我诊断输出结果,不会采用故障MCU的输出,从而在故障发生时更具有安全性。采用异步时序并具有自我时钟同步功能,在任务层面进行表决。
附图说明
图1是本发明的系统架构图。
图2是本发明的控制电路图。
图3是本发明系统重置流程图。
图4是本发明CAN总线收发流程图。
图5是本发明CAN总线接收流程图。
图6是本发明CAN总线发送流程图。
图7是本发明控制系统工作流程图。
图8是本发明安全检查模块工作流程图。
图9是本发明系统恢复流程图。
图10是本发明本地时钟设置定时器流程图。
图11是本发明的实施例5的架构图。
图12是本发明的实施例5的系统图。
具体实施方式
下面结合附图与实施例对本发明作进一步详细描述。
实施例1
N倍冗余控制系统的架构,包括动力控制模块,动力控制模块包括电源管理模块、MCU处理模块和电气隔离模块;电源管理模块提供电源至MCU处理模块,MCU处理模块通过CAN总线与电气隔离模块连接;其特征在于,动力控制模块至少为3组,任意2组MCU处理模块相互之间通过同步总线连接。动力控制模块至少为三组,能够提高控制系统的安全性能,其每小时发生危险故障概率至小于10-9
MCU处理模块包括安全检查模块,安全检查模块发送安全状态信号至电气隔离模块。通过安全检查模块实时的检测检查MCU处理模块的状态。
MCU处理模块为双锁步处理模块;MCU处理模块具有自我诊断功能,在N个MCU处理模块中只有一个MCU处理模块处于Active状态并输出控制命令和参数至下级控制器,其他MCU处理模块处于Passive状态作为ActiveMCU的备选,在当前Active处理模块出现故障后,通过竞争和状态切换而成为替代Active处理模块
安全检查模块包括第一诊断模块、第二诊断模块和故障处理模块;第一诊断模块发送成功信号至第二诊断模块,失败信号至故障处理模块;第二诊断模块发送成功信号至第二诊断模块,失败信号至故障处理模。
第二诊断模块包括MCU处理模块状态比较模块、系统时钟诊断模块、内存ECC校验模块、系统指令及数据总线诊断模块、MCU外设数据校验模块。
实施例2
基于实施例1的N倍冗余控制系统的架构构成,实现N倍冗余控制系统的方法,包括,
初始化,系统上电,上电后执行MCU诊断;
MCU诊断,检查MCU在线诊断状态,状态好则执行监视CAN总线,否则进行故障后系统恢复;
监视CAN总线,通过监视CAN总线判断是否有Active状态的MCU正常工作,有的话则继续监视CAN总线,否则进入广播申请报文;
广播申请报文,在CAN总线上进行广播申请报文,并监视是否从其他的MCU接收申请报文,是的话则进入passive状态,进行MCU诊断,否则进入MCU状态确定;
MCU状态确定,通过CAN总线周期性发送计算结果,并确定MCU状态为active状态,并进入active状态MCU诊断;
active状态MCU诊断,检查MCU在线诊断状态,状态好则继续执行active状态MCU在线诊断状态,否则进行故障后系统恢复。
故障后系统恢复过程包括,
软件系统重置,进入故障后系统恢复状态,则将该MCU从CAN总线上隔离,进行MCU状态判断;
MCU状态判断,状态良好则通过同步数据总线接收来自active状态MCU处的系统最新状态变量数值,并进入状态变量数值的判断;否则进行故障恢复重试次数判断;
故障恢复重试次数判断,故障恢复重试次数超标则重新进行软件系统重置,否则进入系统失效状态;
状态变量数值的判断,在指定时间窗口内接受到系统最新状态变量数值,则用接收到的系统状态变量数值来初始化MCU的系统变量,否则,用默认值初始化MCU的系统变量;
进入passive状态。
同步总线实现数据同步的过程包括,
双向通信测量passive状态MCU和active状态MCU的时钟漂移;
在Passive MCU端测量时钟漂移,MCU可以调整压控震荡器的输入电压,改变输入时钟频率fosc;同步本地时钟设置定时器。
时钟漂移量为o,
o=tp–ta=(t1’-t1-t2’+t2)/2
其中,t1和t2为active状态MCU的时间戳,t1’和t2’为passive状态MCU的时间戳。
实施例3
在上述实施例基础上,N倍冗余控制系统的电源管理模块,其输入端为基于二极管的多路电源输入;电源管理模块的nMR为软件重置申请,nRESET为硬件重置申请,均与MCU的nMR和nRESET连接;MCU模块中的nActiveCAN连接CAN总线请求,nERROR为MCU系统故障事件;ENABLE引脚为有效高电平,在nERROR无效而且nActiveCAN请求有效条件下,电气隔离器联通MCU和CAN总线。
系统重置电路的过程包括,是否接收到加电系统重置申请,是的话则进行设置MCU电源管理模块引脚nRESET为有效低电平,即Active nRESETpin(low voltage),否则判断是够MCU系统故障,如引脚nERROR低电平,是的话则进行设置MCU电源管理模块引脚nRESET为有效低电平,否则判断软件重置申请,即nMR为低电平;是的话则进行设置MCU电源管理模块引脚nRESET为有效低电平;否则设置MCU电源管理模块引脚nRESET为无效高电平,然后重新进行加电系统重置申请判断。
安全检查模块检查的过程包括,加电系统重置启动程序,系统重置启动后MCU诊断,然后进行第一次诊断判断,诊断成功则进入正常模式,连接数据总线,执行应用程序,进行MCU在线诊断,对于MCU在线诊断包括双锁步处理器状态比较、系统时钟诊断、内存ECC校验、系统指令及数据总线诊断、MCU外设数据校验等;进行第二次诊断判断,诊断成功则重复进行MCU在线诊断;否则进入故障处理模式,设置引脚nError为有效电平,断开MCU的数据总线;然后重新进行加电系统重置启动程序。
CAN总线进行发送和接收的过程,首先发送队列发送信息报文,每个信息报文包括字段msg id、RollingCount,发送队列是否为空,不是空的话则从发送队列队首摘取出一个信息并发送至所有连接的CAN总线上;CAN总线另一端接收器接收,初始化变量,ExpectedCount=0;接收到任何新报文从任何CAN总线,如果接收到则从CAN总线中读取接收的报文,进一步读取的报文是否是重复报文;即ExpectedCount!=RollingCount;如果不是重复的报文,则将读取的报文存入接收缓冲内存,并设置ExpectedCount=RollingCount+1。连接数据总线,执行重置启动后MCU诊断;
重置启动后MCU诊断成功;从CAN总线接收并复制当前Active MCU状态变量数值为该MCU的状态变量数值,或设置MCU状态变量为默认值;启动定时器1用来检查有无ActiveMCU有效输出;启动定时器3用来触发新周期;清除恢复重试次数;执行应用和在线MCU诊断程序;
重置启动后MCU诊断失败,增加非易失性存储器中的重试次数;断开数据总线和执行重置启动程序;
检查到Active MCU有效输出,即Active MCU工作正常,启动定时器1用来检查有无Active MCU有效输出;启动定时器3用来触发新周期;清除恢复重试次数;执行应用和在线MCU诊断程序;
在线诊断失败,增加非易失性存储器中的重试次数;断开数据总线和执行重置启动程序;
定时器1超时,没有观察到Active MCU的有效输出或接收到申请报文;在数据总线上广播申请成为Active MCU的报文,启动定时器2来检查是否其它竞争申请者;
从其他MCU接收到申请报文,并且该申请MCU具有更高优先级别,即该MCU id小于本MCU id,停止定时器2;
定时器2超时或者没有接收到更高优先级别申请报文,停止定时器2;启动定时器3用来触发新周期;如果应用和诊断程序没有执行则执行应用和诊断程序;等待应用程序结束,在计算完成后后输出结果至数据总线和系统状态至同步总线;
在线诊断失败;增加非易失性存储器中的重试次数;断开数据总线和执行重置启动程序;
MCU重置启动结束连接数据总线,执行重置启动后MCU诊断;
在线诊断失败,增加非易失性存储器中的重试次数;断开数据总线和执行重置启动程序;
接收到申请报文,在数据总线上广播申请成为Active MCU的报文,启动定时器2来检查是否其它竞争申请者;
定时器3超时新的周期开始;保持Active状态并执行应用程序;启动定时器3用来触发新周期;如果应用和诊断程序没有执行则执行应用和在线MCU诊断程序;等待应用程序结束,在计算完成后后输出结果至数据总线和系统状态至同步总线;
定时器3超时新的周期开始;保持Passive状态并执行应用程序;启动定时器1用来检查有无Active MCU有效输出;启动定时器3用来触发新周期;清除恢复重试次数;执行应用和在线MCU诊断程序;
故障恢复重试次数超标,设置MCU为省电待机模式,断开数据总线;
本MCU在Active状态,但观察到存在其他Active MCU正在输出而且观察到的MCU具有更高的优先级别,切换到Passive状态。
实施例4
在上述实施例基础上,减少在故障发生后系统切换MCU过程中可能出现的时序抖动。主要是以Active MCU的时钟为基准,调整Passive MCU的时钟。从而每个MCU可以根据本地时钟安排或调整应用程序执行的时序,达到程序同步执行的目的。
报文s1和s2可为零长度报文,报文s3则含有分别发送s1和s2时Active MCU时戳t1和t2.Passive MCU和Active MCU时钟的漂移量则为o=tp–ta=(t1’-t1-t2’+t2)/2,其中t1’和t2’分别是接收到s1和s2时Passive MCU时戳;
通过在Passive MCU端测量时钟漂移,MCU可以调整压控震荡器(VCO)的输入电压,改变输入时钟频率fosc,从而达到时钟同步的目的。如Passive MCU时钟快则调慢时钟频率fosc,反之Passive MCU时钟慢则调快时钟频率fosc;
读取当前时钟时戳T;计算超时时戳S=(T+duration)其中duration为定时器超时时长;读取当前时钟时戳T;比较前时钟时戳和计算超时时戳的大小,T<S则产生超时中断信号,否则继续读取当前时钟时戳T。
实施例5
在上述实施例基础上,本实施还包括故障确认模块,故障确认模块与CAN总线连接;故障确认模块包括故障可操作性电机控制器、故障可操作性主控制器和故障可操作性传感器;故障可操作性传感器将传感器信号传送至软件投票比较器,故障可操作性主控制器依据软件投票比较器对信号进行比较输出信号至故障可操作性电机控制器;故障可操作性电机控制器包括电机控制器、FPGA投票比较器和电机驱动器;电机控制器设有电机控制器A,电机控制器B和电机控制器C;A、B和C电机比较器将电机饶子电压传送至FPGA投票比较器,FPGA投票比较器确认输出的电机饶子电压,并输出PWM信号至电机驱动器。在数据流水线中每个处理器或控制器含有3倍模式投票比较器,它比较三路输入信号的数值,若有不同,它将输出多数数值(至少两路相同的数值)从而具有纠正一路信号错误的能力。保证不会将故障传递至下一阶段。在三个主控制器中,每个控制器运行不同软件版本但实现了同一功能,从而减少软件故障发生概率。

Claims (10)

1.N倍冗余控制系统的架构,包括动力控制模块,动力控制模块包括电源管理模块、MCU处理模块和电气隔离模块;电源管理模块提供电源至MCU处理模块,MCU处理模块通过CAN总线与电气隔离模块连接;其特征在于,动力控制模块至少为3组,任意2组MCU处理模块相互之间通过通信或同步总线连接。
2.根据权利要求1所述的N倍冗余控制系统的架构,其特征在于,MCU处理模块包括安全检查模块,安全检查模块发送安全状态信号至电气隔离模块。
3.根据权利要求1所述的N倍冗余控制系统的架构,其特征在于,安全检查模块包括第一诊断模块、第二诊断模块和故障处理模块;第一诊断模块发送成功信号至第二诊断模块,失败信号至故障处理模块;第二诊断模块发送成功信号至第二诊断模块,失败信号至故障处理模。
4.根据权利要求3所述的N倍冗余控制系统的架构,其特征在于,第二诊断模块包括MCU处理模块状态比较模块、系统时钟诊断模块、内存ECC校验模块、系统指令及数据总线诊断模块、MCU外设数据校验模块。
5.根据权利要求1所述的N倍冗余控制系统的架构,其特征在于,MCU处理模块为双锁步处理模块;MCU处理模块具有自我诊断功能,在N个MCU处理模块中只有一个MCU处理模块处于Active状态并输出控制命令和参数至下级控制器,其他MCU处理模块处于Passive状态作为ActiveMCU的备选,在当前Active处理模块出现故障后,通过竞争和状态切换而成为替代Active处理模块。
6.根据权利要求1所述的N倍冗余控制系统的架构,其特征在于,还包括故障确认模块,故障确认模块与CAN总线连接;故障确认模块包括故障可操作性电机控制器、故障可操作性主控制器和故障可操作性传感器;故障可操作性传感器将传感器信号传送至软件投票比较器,故障可操作性主控制器依据软件投票比较器对信号进行比较输出信号至故障可操作性电机控制器;故障可操作性电机控制器包括电机控制器、FPGA投票比较器和电机驱动器;电机控制器设有电机控制器A,电机控制器B和电机控制器C;A、B和C电机比较器将电机饶子电压传送至FPGA投票比较器,FPGA投票比较器确认输出的电机饶子电压,并输出PWM信号至电机驱动器。
7.N倍冗余控制系统的方法,包括权利要求1—5任一所述的N倍冗余控制系统的架构,其方法为,
初始化,系统上电,上电后执行MCU诊断;
MCU诊断,检查MCU在线诊断状态,状态好则执行监视CAN总线,否则进行故障后系统恢复;
监视CAN总线,通过监视CAN总线判断是否有Active状态的MCU正常工作,有的话则继续监视CAN总线,否则进入广播申请报文;
广播申请报文,在CAN总线上进行广播申请报文,并监视是否从其他的MCU接收申请报文,是的话则进入passive状态,进行MCU诊断,否则进入MCU状态确定;
MCU状态确定,通过CAN总线周期性发送计算结果,并确定MCU状态为active状态,并进入active状态MCU诊断;
active状态MCU诊断,检查MCU在线诊断状态,状态好则继续执行active状态MCU在线诊断状态,否则进行故障后系统恢复。
8.根据权利要求7所述的N倍冗余控制系统的方法,其特征在于,故障后系统恢复过程包括,
软件系统重置,进入故障后系统恢复状态,则将该MCU从CAN总线上隔离,进行MCU状态判断;
MCU状态判断,状态良好则通过同步数据总线接收来自active状态MCU处的系统最新状态变量数值,并进入状态变量数值的判断;否则进行故障恢复重试次数判断;
故障恢复重试次数判断,故障恢复重试次数超标则重新进行软件系统重置,否则进入系统失效状态;
状态变量数值的判断,在指定时间窗口内接受到系统最新状态变量数值,则用接收到的系统状态变量数值来初始化MCU的系统变量,否则,用默认值初始化MCU的系统变量;
进入passive状态。
9.根据权利要求7所述的N倍冗余控制系统的方法,其特征在于,同步总线实现数据同步的过程包括,
双向通信测量passive状态MCU和active状态MCU的时钟漂移;
在Passive MCU端测量时钟漂移,MCU可以调整压控震荡器的输入电压,改变输入时钟频率fosc;同步本地时钟设置定时器。
10.根据权利要求9所述的N倍冗余控制系统的方法,其特征在于,时钟漂移量为o,
o=tp–ta=(t1’-t1-t2’+t2)/2
其中,t1和t2为active状态MCU的时间戳,t1’和t2’为passive状态MCU的时间戳。
CN202110752621.5A 2021-07-02 2021-07-02 N倍冗余控制系统的方法 Active CN113485185B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110752621.5A CN113485185B (zh) 2021-07-02 2021-07-02 N倍冗余控制系统的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110752621.5A CN113485185B (zh) 2021-07-02 2021-07-02 N倍冗余控制系统的方法

Publications (2)

Publication Number Publication Date
CN113485185A true CN113485185A (zh) 2021-10-08
CN113485185B CN113485185B (zh) 2022-12-30

Family

ID=77939731

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110752621.5A Active CN113485185B (zh) 2021-07-02 2021-07-02 N倍冗余控制系统的方法

Country Status (1)

Country Link
CN (1) CN113485185B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114385757A (zh) * 2022-01-12 2022-04-22 北京中科宇航技术有限公司 一种三模冗余计算机软件数据同步方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101178674A (zh) * 2007-12-13 2008-05-14 北京理工大学 基于龙芯的三模冗余容错控制系统
US20090027662A1 (en) * 2007-07-27 2009-01-29 Snap-On Incorporated Fault tolerant wheel alignment head and system
CN109189600A (zh) * 2018-08-17 2019-01-11 四川航天系统工程研究所 一种基于多模冗余嵌入式软件的计算机系统及设计方法
CN109888922A (zh) * 2019-03-06 2019-06-14 中国南方电网有限责任公司 一种故障录波装置、去中心化故障录波系统及方法
CN112556749A (zh) * 2020-11-30 2021-03-26 薛峰 一种冗余测控装置检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090027662A1 (en) * 2007-07-27 2009-01-29 Snap-On Incorporated Fault tolerant wheel alignment head and system
CN101178674A (zh) * 2007-12-13 2008-05-14 北京理工大学 基于龙芯的三模冗余容错控制系统
CN109189600A (zh) * 2018-08-17 2019-01-11 四川航天系统工程研究所 一种基于多模冗余嵌入式软件的计算机系统及设计方法
CN109888922A (zh) * 2019-03-06 2019-06-14 中国南方电网有限责任公司 一种故障录波装置、去中心化故障录波系统及方法
CN112556749A (zh) * 2020-11-30 2021-03-26 薛峰 一种冗余测控装置检测方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114385757A (zh) * 2022-01-12 2022-04-22 北京中科宇航技术有限公司 一种三模冗余计算机软件数据同步方法
CN114385757B (zh) * 2022-01-12 2024-05-17 北京中科宇航技术有限公司 一种三模冗余计算机软件数据同步方法

Also Published As

Publication number Publication date
CN113485185B (zh) 2022-12-30

Similar Documents

Publication Publication Date Title
CN111352338B (zh) 一种双余度飞控计算机及余度管理方法
CN100375044C (zh) 信息处理系统及其控制方法、控制程序以及冗余控制装置
US5144230A (en) Method and system for testing integrated circuits by cycle stealing
US5572620A (en) Fault-tolerant voter system for output data from a plurality of non-synchronized redundant processors
CN107065830A (zh) 一种基于仲裁方式的双冗余热备份系统
WO2007133300A2 (en) Error filtering in fault tolerant computing systems
CN113485185B (zh) N倍冗余控制系统的方法
KR101560497B1 (ko) 락스텝으로 이중화된 프로세서 코어들의 리셋 제어 방법 및 이를 이용하는 락스텝 시스템
US4860289A (en) Reset circuit for electrically isolated circuits communicating via uart
WO2015119950A1 (en) Diagnostic systems and methods of finite state machines
CN113791937B (zh) 一种数据同步冗余系统及其控制方法
US20070271486A1 (en) Method and system to detect software faults
KR100279204B1 (ko) 자동제어시스템에서현장제어장치의콘트롤러이중화제어방법및그장치
CN116088369A (zh) 一种星载计算机重构方法和系统
CN116010158A (zh) 配置寄存器的校验装置、校验系统和芯片设备
JP3063334B2 (ja) 高信頼度化情報処理装置
KR101631631B1 (ko) 보호계전기의 고장진단 및 복구방법
Gohil et al. Redundancy management and synchronization in avionics communication products
JP3497855B2 (ja) 2重系装置
RU2264648C2 (ru) Резервированная двухпроцессорная вычислительная система
CN112929120B (zh) 一种用于时间同步的方法、设备和计算机可读存储介质
US11662764B2 (en) Method for controlling and automatically restarting a technical apparatus
JPH0695902A (ja) プロセッサ二重化方式の情報処理装置
JP3539687B2 (ja) プロセッサ二重化方式の情報処理装置
Wirthumer et al. Fault Tolerance for Railway Signalling Votrics in Practice

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant