CN114280919A - 冗余控制装置 - Google Patents
冗余控制装置 Download PDFInfo
- Publication number
- CN114280919A CN114280919A CN202210217688.3A CN202210217688A CN114280919A CN 114280919 A CN114280919 A CN 114280919A CN 202210217688 A CN202210217688 A CN 202210217688A CN 114280919 A CN114280919 A CN 114280919A
- Authority
- CN
- China
- Prior art keywords
- fault
- unit
- processing
- tolerant
- processing board
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 claims abstract description 362
- 238000004891 communication Methods 0.000 claims abstract description 126
- 238000002955 isolation Methods 0.000 claims abstract description 40
- 230000002093 peripheral effect Effects 0.000 claims description 25
- 238000012544 monitoring process Methods 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000008878 coupling Effects 0.000 abstract description 12
- 238000010168 coupling process Methods 0.000 abstract description 12
- 238000005859 coupling reaction Methods 0.000 abstract description 12
- 238000000034 method Methods 0.000 description 22
- 230000008569 process Effects 0.000 description 20
- 230000006870 function Effects 0.000 description 14
- 238000012423 maintenance Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000015556 catabolic process Effects 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 4
- 239000013078 crystal Substances 0.000 description 4
- 238000006731 degradation reaction Methods 0.000 description 4
- 238000003745 diagnosis Methods 0.000 description 4
- 238000009792 diffusion process Methods 0.000 description 4
- 238000004092 self-diagnosis Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 101000879673 Streptomyces coelicolor Subtilisin inhibitor-like protein 3 Proteins 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000003990 capacitor Substances 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005553 drilling Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000010355 oscillation Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 230000035882 stress Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Hardware Redundancy (AREA)
Abstract
本申请提供冗余控制装置,涉及工业控制技术领域。该装置包括:多个安全控制器和容错单元,各安全控制器包括多个处理板及至少一个隔离单元,各处理板通过隔离单元进行电气隔离;各处理板上设置有处理器芯片、冗余通信单元及容错通信单元,各处理板上处理器芯片通过冗余通信单元获取安全控制器上其他处理器芯片的数据、及通过容错通信单元接收外部设备的数据;各处理板上处理器芯片对从安全控制器上其他处理器芯片获取到的数据及从外部设备接收到的数据进行表决,得到处理板的处理结果,将处理结果通过容错通信单元发送给容错单元,由容错单元对各处理板发送的数据进行表决。本方案解决了现有技术中各处理器单元间存在耦合性强、共因失效的问题。
Description
技术领域
本申请涉及工业控制技术领域,具体而言,涉及一种冗余控制装置。
背景技术
容错系统,是一种高可靠的计算机系统,在部分硬件或软件资源发生故障的情况下,仍然能够持续地执行计算并输出正确结果,广泛应用于高安全性、高可用性要求的石化、海上钻井平台等场景。
目前,在容错系统中,主要是采用片上多核冗余技术,即将多个完全一样的处理器单元集成在同一芯片内部,由该芯片内的多个处理器单元同时处理相同的处理任务,然后,将处理后的结果输出给容错系统中的表决器,由表决器按照“少数服从多数”的原则进行结果表决和输出,从而提高了容错系统最终输出结果的可靠性和容错能力,使得其能够适用于深空探测等复杂、恶劣环境下的工程应用。
但是,现有的这种片上多核冗余技术,是将多个处理器单元同时集成在同一芯片内部,导致各处理器单元之间存在耦合性强、共因失效的问题,进而造成该类容错系统的稳定性以及安全性偏低。
发明内容
本申请的目的在于,针对上述现有技术中的不足,提供一种冗余控制装置,以便解决现有技术中存在的各处理器单元之间耦合性强、共因失效,进而造成该类容错系统的稳定性以及安全性偏低的问题。
为实现上述目的,本申请实施例采用的技术方案如下:
本申请实施例提供了一种冗余控制装置,包括:多个安全控制器以及容错单元;
各所述安全控制器包括:多个处理板以及至少一个隔离单元,各所述处理板之间通过所述隔离单元进行电气隔离;
各所述处理板上固定设置有处理器芯片以及多个外设单元,所述处理器芯片和各所述外设单元固定连接;
所述外设单元包括:冗余通信单元;各所述处理板之间通过所述冗余通信单元通信连接;各所述处理板上的所述处理器芯片通过所述冗余通信单元获取所述安全控制器上其他处理器芯片的数据;
所述外设单元还包括:容错通信单元;各所述处理板通过所述容错通信单元与所述容错单元连接;各所述处理板还通过所述容错通信单元与外部设备通信连接,以接收所述外部设备的数据;各所述处理板上的所述处理器芯片根据从所述安全控制器上其他处理器芯片获取到的数据以及从所述外部设备接收到的数据进行表决处理,得到所述处理板对应的处理结果,并将所述处理结果通过所述容错通信单元发送给所述容错单元;
所述容错单元对各所述处理板发送的数据进行表决处理,得到待输出数据,并将所述待输出数据输出。
可选地,各所述处理板上的所述处理器芯片在检测到所述处理器芯片发生故障时,控制所述处理板上的所述容错通信单元关断。
可选地,各所述安全控制器包括:第一处理板、第二处理板以及第一隔离单元;
所述第一处理板上的冗余通信单元的一端固定连接在所述第一处理板的处理器芯片上,所述第一处理板上的冗余通信单元的另一端与所述第一隔离单元连接;
所述第二处理板上的冗余通信单元的一端固定连接在所述第二处理板的处理器芯片上,所述第二处理板上的冗余通信单元的另一端与所述第一隔离单元连接。
可选地,各所述安全控制器还包括:至少一个背板连接单元;
所述安全控制器上的各处理板分别插接在所述背板连接单元上。
可选地,所述安全控制器上的各处理板通过所述处理板上的所述容错通信单元插接在所述背板连接单元上,所述背板连接单元与所述容错单元连接,所述容错通信单元通过所述背板连接单元与所述容错单元连接。
可选地,各所述处理板上的所述处理器芯片以从所述其他处理器芯片获取的数据以及从所述处理器芯片的数据作为查询条件,从预先设定的表决真值表中查询出所述处理板对应的处理结果,并将所述处理结果通过所述容错通信单元发送给所述容错单元。
可选地,所述容错单元中包括:与各所述安全控制器一一对应的一级容错单元以及二级容错单元,各所述一级容错单元分别与对应的安全控制器中的各处理板通信连接,且各所述一级容错单元分别与所述二级容错单元连接;
所述一级容错单元接收对应的安全控制器中各处理板的处理器芯片发送的处理结果,并对各处理板的处理器芯片发送的处理结果进行表决处理,得到所述一级容错单元对应的处理结果;
所述二级容错单元从各所述一级容错单元获取各所述一级容错单元对应的处理结果,并对各所述一级容错单元对应的处理结果进行表决处理,得到所述待输出数据。
可选地,所述外设单元还包括:供电监测单元;
所述供电监测单元监测到所述处理板的供电异常时,控制所述处理板上的所述容错通信单元关断。
可选地,所述处理板上还固定设置有:重启单元;
所述处理器芯片和所述重启单元固定连接;
所述重启单元用于根据所述处理器芯片发送的脉冲信号检测所述处理器芯片是否发生故障,并在所述处理器芯片发生故障时控制所述处理器芯片复位重启。
可选地,所述处理板上还固定设置有:内存单元;
所述处理器芯片和所述内存单元固定连接;
所述内存单元用于保存所述处理器芯片的处理数据,所述处理数据包括:所述处理板对应的处理结果。
本申请的有益效果是:
本申请实施例提供一种冗余控制装置,该冗余控制装置主要包括:多个安全控制器、容错单元,其中,各安全控制器由多个“相互独立的处理板”以及至少一个隔离单元组成,且各处理板通过隔离单元实现电气隔离;进一步的,各处理板上固定设置有处理器芯片、冗余通信单元、以及容错通信单元,各处理板上的处理器芯片通过冗余通信单元获取安全控制器上其他处理器芯片的数据;然后,各处理板上的处理器芯片根据从安全控制器上其他处理器芯片获取到的数据以及从外部设备接收到的数据进行表决处理,得到处理板对应的处理结果;最后,由容错通信单元将“处理板对应的处理结果”发送给容错单元,由容错单元对各处理板发送的数据进行表决处理,得到待输出数据,并将待输出数据输出。在本方案中,该冗余控制装置主要包括:多个安全控制器、容错单元,且各安全控制器主要是基于由隔离单元进行电气隔离连接的多个处理板,使得单个处理板的故障不会产生故障扩散,即各处理板具有较强的独立性,有效克服了现有技术中各处理器单元之间存在耦合性强的问题;其中,各处理板上均固定设置有处理器芯片、冗余通信单元、以及容错通信单元,即各处理板上具有完整且独立的处理功能及通信功能,有效解决了现有技术中各处理器单元之间存在耦合性强、共因失效问题,从而提高了冗余控制装置的稳定性及安全性。
另外,当安全控制器中的某一个处理板上固定设置的任一元器件(如处理器芯片、冗余通信单元、容错通信单元或者其他元器件)出现故障问题时,只需要用一个功能完全相同且无故障的处理板对这一故障“处理板”进行替换即可,且由于各处理板的独立配置以及冗余控制装置架构的容错特点,替换过程中对于其他独立处理器芯片的运行状态及系统整体的输出状态无影响,即实现维护过程的无扰替换,即本申请提供的冗余控制装置具有较强的可维护性,有效避免了现有技术中存在的多个处理器单元同时集成在同一芯片内部,导致内部故障无法维护的问题,甚至存在故障可能进一步扩散的风险,即本申请从整体上提高了冗余控制装置工作的安全性和可靠性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的冗余控制装置的结构示意图;
图2为本申请实施例提供的冗余控制装置中安全控制器的结构示意图一;
图3为本申请实施例提供的冗余控制装置中安全控制器的结构示意图二;
图4为本申请实施例提供的冗余控制装置中容错单元的结构示意图;
图5为本申请实施例提供的冗余控制装置中容错降级示意图。
图标:100-冗余控制装置;101-安全控制器;102-容错单元;103-隔离单元;104-冗余通信单元;105-容错通信单元;201-背板连接单元;301-供电监测单元;302-重启单元;303-内存单元;401-二级容错单元。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中将会用到术语“包括”,用于指出其后所声明的特征的存在,但并不排除增加其它的特征。
首先,在对本申请所提供的技术方案展开具体说明之前,先对本申请所涉及的相关背景进行简单说明。
在提出本申请方案之前,目前,在容错系统中,主要是采用片上多核冗余技术,即将多个完全一样的处理器单元集成在同一芯片内部,由该芯片内的多个处理器单元同时处理相同的处理任务,然后,将处理后的结果输出给容错系统中的表决器,由表决器按照“少数服从多数”的原则进行结果表决和输出,从而提高了容错系统最终输出结果的可靠性和容错能力,使得其能够适用于深空探测等复杂、恶劣环境下的工程应用。
但是,现有的这种片上多核冗余技术,是将多个处理器单元同时集成在同一芯片内部,导致各处理器单元之间存在耦合性强、共因失效的问题,进而造成该类容错系统的稳定性以及安全性偏低。
为了解决上述现有技术中存在的技术问题,本申请提出一种冗余控制装置,该冗余控制装置主要是采用多模冗余技术,实现容错降级模式。具体的,该冗余控制装置主要包括:多个安全控制器、容错单元,其中,各安全控制器由多个“相互独立的处理板”以及至少一个隔离单元组成,且各处理板通过隔离单元实现电气隔离;进一步的,各处理板上固定设置有处理器芯片、冗余通信单元、以及容错通信单元,各处理板上的处理器芯片通过“冗余通信单元”获取安全控制器上其他处理器芯片的数据;然后,各处理板上的处理器芯片根据从安全控制器上其他处理器芯片获取到的数据以及从外部设备接收到的数据进行表决处理,得到处理板对应的处理结果;最后,由容错通信单元将“处理板对应的处理结果”发送给容错单元,由容错单元对各处理板发送的数据进行表决处理,得到待输出数据,并将待输出数据输出。在本方案中,该冗余控制装置主要包括:多个安全控制器、容错单元,且各安全控制器主要是基于由隔离单元进行电气隔离连接的多个“处理板”,使得单个处理板的故障不会产生故障扩散,即各处理板具有较强的独立性,有效克服了现有技术中存在的各处理器单元之间存在耦合性强的问题;其中,各处理板上均固定设置有处理器芯片、冗余通信单元、以及容错通信单元,即各处理板上具有完整且独立的处理功能及通信功能,有效解决了现有技术中各处理器单元之间存在共因失效的问题,从而提高了冗余控制装置的稳定性及安全性。
另外,当安全控制器中的某一个处理板上固定设置的任一元器件(如处理器芯片、冗余通信单元、容错通信单元或者其他元器件)出现故障问题时,只需要用一个功能完全相同且无故障的处理板对这一故障“处理板”进行替换即可,且由于各处理板的独立配置以及冗余控制装置架构的容错特点,替换过程中对于其他独立处理器芯片的运行状态及系统整体的输出状态无影响,即实现维护过程的无扰替换,即本申请提供的冗余控制装置具有较强的可维护性,有效避免了现有技术中存在的多个处理器单元同时集成在同一芯片内部,导致内部故障无法维护的问题,甚至存在故障可能进一步扩散的风险,即本申请从整体上提高了冗余控制装置工作的安全性和可靠性。
如下将通过多个实施例,对本申请提供的冗余控制装置的具体结构和对应产生的有益效果进行说明。
参考图1所示,是本申请提供的一种冗余控制装置,该冗余控制装置100可以应用于高安全性、高可用性要求的石化行业、食品、医疗、电力等行业,以提高各设备运行的可靠性。
其中,该冗余控制装置100包括:多个安全控制器101以及容错单元102。示例性地,例如,安全控制器101的数量可以为2个(如,图1中所示的安全控制器1、安全控制器2)、或者3个不等,在此对安全控制器101的数量不做具体限定。
需要说明的是,为了提高冗余控制装置的实用性,本实施例中的容错单元102可以为具有执行容错功能的电子设备、或者是第三方表决器,在此不做具体限定。
其中,各安全控制器101包括:多个处理板(如,图1中所示的安全控制器1包括处理板Pa1、处理板Pa2、及其他处理板)以及至少一个隔离单元103,各处理板之间通过隔离单元103进行电气隔离。例如,图1中所示的安全控制器1中的处理板Pa1、处理板Pa2通过一个隔离单元103进行电气隔离。
示例性地,隔离单元103可以为电容。具体的,可以通过电容隔断处理板Pa1固定设置的元器件与处理板Pa2上固定设置的元器件之间的直流电流,且不阻隔处理板Pa1与处理板Pa2之间数据的传输。这样,可以减少各处理板上固定设置的元器件之间的相互干扰,降低噪声,但同时隔离单元103还可以保证各处理板之间的数据维持通信关系。
继续参考图1所示,各处理板上固定设置有处理器芯片以及多个外设单元,处理器芯片和各外设单元固定连接;示例性地,外设单元可以为如下至少一项:晶振、复位电路、或者其他外设电路等;其中,晶振主要是用于在处理器芯片工作过程起到产生振荡频率的作用,控制着处理器芯片的工作频率;复位电路主要是在处理器芯片上电冷启动过程中需要满足一定的启动时序,若启动时序无法检测通过,则复位电路将处理器芯片的复位管脚拉低,使处理器芯片处于不工作的状态,防止处理器芯片发出错误的指令、执行错误操作。
在本实施例中,外设单元包括:冗余通信单元;各处理板之间通过冗余通信单元通信连接;各处理板上的处理器芯片通过冗余通信单元获取安全控制器上其他处理板上固定设置的处理器芯片的数据。例如,图1所示,图1中所示的处理板Pa1上的外设单元包括冗余通信单元104,处理板Pa1、处理板Pa2可以经由冗余通信单元104进行通信连接,即处理板Pa1上的处理器芯片A1可以通过冗余通信单元104获取安全控制器1上处理板Pa2上固定设置的处理器芯片A2的数据;相应的,处理板Pa2上的处理器芯片A2也可以通过该冗余通信单元104获取安全控制器1上处理板Pa1上固定设置的处理器芯片A1的数据。
应理解,处理器芯片A1(或者处理器芯片A2)的数据可以包括:处理器A1(或者处理器芯片A2)对从外部设备获取到的数据进行处理后的结果、以及处理器芯片A1(或者处理器芯片A2)的运行状态信息。其中,处理器芯片A1(或者处理器芯片A2)的运行状态信息可以为故障或正常。
继续参考图1所示,外设单元还包括:容错通信单元;各处理板通过容错通信单元与容错单元102连接;各处理板还通过容错通信单元与外部设备通信连接,以接收外部设备的数据。例如,以处理板Pa1上的处理器芯片A1为例,外部设备可以为信号采集单元(图1中未示出),先是通过信号采集单元采集火力发电厂中的仪表、或传感器等运行时的数据,然后,处理器芯片A1可以经由容错通信单元105接收外部设备采集到的数据。
各处理板上的处理器芯片根据从安全控制器上其他处理器芯片获取到的数据以及从外部设备接收到的数据进行表决处理,得到处理板对应的处理结果,并将处理结果通过容错通信单元发送给容错单元。例如,继续以图1中处理板Pa1上的处理器芯片A1、处理板Pa2上的处理器芯片A2为例,处理器芯片A1对从安全控制器1上处理器芯片A2获取到的数据、以及从外部设备接收到的数据进行表决处理,得到处理板Pa1对应的处理结果,并将处理结果通过容错通信单元105发送给容错单元102;同理,也可以得到处理板Pa2对应的处理结果。
在一种可实现的方式中,例如,处理器芯片A1先是从外部设备接收到的数据进行处理,得到处理器芯片A1对应的处理结果,处理器芯片A1在对从安全控制器1上处理器芯片A2获取到的数据、以及处理器芯片A1对应的处理结果进行表决处理,得到处理板Pa1对应的处理结果,实现同一个安全控制器中各处理器芯片之间的两两表决。
继续参考图1所示,容错单元102对各处理板发送的数据进行表决处理,得到待输出数据,并将待输出数据输出。在本实施例中,各处理板发送的数据可以为各处理板对应的处理结果,或者各处理板发送的数据也可以包括:各处理板对应的处理结果及各处理板上各处理器芯片的运行状态信息。
示例性,例如,火力发电厂的控制系统是基于本申请提供的冗余控制装置来实现对火力发电厂中各执行设备的控制。其中,容错单元102输出的待输出数据可以用于指示对火力发电厂中某一个执行设备(如,调节阀、或电机)的控制指令,例如,待输出数据为0,则指示对该执行设备的打开指令,若待输出数据为1,则指示对该执行设备的闭合指令。
例如,经由处理板Pa1上的容错通信单元105将处理板Pa1对应的处理结果发送至容错单元102,以及经由处理板Pa2上的容错通信单元将处理板Pa2对应的处理结果发送至容错单元102,容错单元102对处理板Pa1对应的处理结果、以及处理板Pa2对应的处理结果进行表决处理,得到待输出数据,并将待输出数据输出,使得可以根据容错单元102输出的输出数据对待控制设备进行控制,充分利用冗余控制装置的容错能力,有效减轻故障带来的影响,以保证基于冗余控制装置控制的各生产系统运行的安全性及稳定性。
另外,本实施例中的各处理板上固定设置的冗余通信单元可以为SERDES高速总线连接器,这样,能够使得同一安全控制器上的各处理板上的处理器芯片能够通过SERDES高速总线连接器与其他处理器芯片进行通信,交互实时处理数据与诊断信息,提高同一安全控制器上各处理器芯片之间的数据传输效率。
综上所述,本申请实施例提供一种冗余控制装置,该冗余控制装置主要包括:多个安全控制器、容错单元,其中,各安全控制器由多个“相互独立的处理板”以及至少一个隔离单元组成,且各处理板通过隔离单元实现电气隔离;进一步的,各处理板上固定设置有处理器芯片、冗余通信单元、以及容错通信单元,各处理板上的处理器芯片通过“冗余通信单元”获取安全控制器上其他处理器芯片的数据;然后,各处理板上的处理器芯片根据从安全控制器上其他处理器芯片获取到的数据以及从外部设备接收到的数据进行表决处理,得到处理板对应的处理结果;最后,由容错通信单元将“处理板对应的处理结果”发送给容错单元,由容错单元对各处理板发送的数据进行表决处理,得到待输出数据,并将待输出数据输出。在本方案中,该冗余控制装置主要包括:多个安全控制器、容错单元,且各安全控制器主要是基于由隔离单元进行电气隔离连接的多个“处理板”,使得单个处理板的故障不会产生故障扩散,即各处理板具有较强的独立性,有效克服了现有技术中存在的各处理器单元之间存在耦合性强的问题;其中,各处理板上均固定设置有处理器芯片、冗余通信单元、以及容错通信单元,即各处理板上具有完整且独立的处理功能及通信功能,有效解决了现有技术中各处理器单元之间存在共因失效的问题,从而提高了冗余控制装置的稳定性及安全性。
另外,由于各处理板都是相互独立的硬件板,因此各处理板在硬件结构上相互独立,不存在耦合,当安全控制器中的某一个处理板上的某一元器件(如处理器芯片、冗余通信单元、容错通信单元或者其他元器件)出现故障问题时,只需要用一个功能完全相同且无故障的处理板对这一故障“处理板”进行替换即可,且由于各处理板的独立配置以及冗余控制装置架构的容错特点,替换过程中对于其他独立处理器芯片的运行状态及系统整体的输出状态无影响,即实现维护过程的无扰替换,即本申请提供的冗余控制装置具有较强的可维护性,有效避免了现有技术中存在的多个处理器单元同时集成在同一芯片内部,导致内部故障无法维护的问题,甚至存在故障可能进一步扩散的风险,即本申请从整体上提高了冗余控制装置工作的安全性和可靠性。
将通过如下实施例,对冗余控制装置中的各部件进行详细介绍。
可选地,各处理板上的处理器芯片在检测到处理器芯片发生故障时,控制处理板上的容错通信单元关断。
在本实施案例中,各处理板上的处理器芯片支持自诊断功能,以满足石化、海上钻井平台等不同安全应用场合中对于系统SIL3级安全完整性的设计要求。
因此,本实施例中提供的各处理板上的处理器芯片还具有强大的在线自诊断功能,能够周期性(或实时性)地对处理板上固定设置的外设单元、以及处理器芯片的内部电路进行实时动态诊断,每个处理器芯片可实现高于90%的诊断覆盖率,并通过安全控制器上的其他处理芯片的实时表决,进一步提升系冗余控制装置的故障诊断覆盖率提供故障检测的准确性。
示例性地,例如,处理器芯片检测到的可能故障包括:硬件失效、软错误。其中,硬件失效是指与处理器芯片相连的某个元器件出现老化、应力损伤等一种或几种退化机理综合作用而导致局部电路在随机时间里发生功能性的失效,该失效具有持续性、破坏性的特点,使得处理器芯片无法正常工作,如,向处理器芯片提供的供电电源不符合要求,晶振、总线、或者其他外设单元出现故障问题,无法确保处理器芯片的正常工作。软错误是指由于处理器芯片内部的电子-空穴对受到电磁干扰、高能粒子辐射等因素的影响从而产生错误翻转,如单比特翻转和多比特翻转,该类失效具有瞬时性、非破坏性的特点,可短暂地造成处理器芯片上的程序逻辑运行出错,如,处理器芯片按照信息读取程序逻辑,无法正常读取所需的目标信息,导致出现寻址错误,或者处理器芯片上的程序逻辑执行异常。
在本实施例中,主要是由各处理板上的处理器芯片周期性地运行预先生成的诊断逻辑程序,以对处理器芯片进行自诊断,确定处理器芯片是否存在故障;若检测到某一个处理板上的处理器芯片出现故障,则可以将这个处理板上的处理器芯片作为故障部件,并控制该处理器芯片控制处理板上的容错通信单元关断,以实现对故障部件的精准隔离,使得被降级的故障部件被隔离不参与表决和输出,并在指定的维护时间内对故障部件进行在线备品更换,以使冗余控制装置重新恢复到正常工作状态。
为了确保冗余控制装置中故障部件维护的及时性,防止故障在不受管控的状态下进一步扩散,还对各处理板上的处理器芯片配置预设的故障维护超时时间,当检测到某一个安全控制器上的处理板Pi上的处理器芯片出现故障时,即该安全控制器上其他处理板上的处理器芯片无法从冗余通信单元获取到处理板Pi上的处理器芯片的数据,此时,该安全控制器上其他处理板上的处理器芯片开始执行故障维护超时计数器计数,当该计数器时间超过故障维护超时时间,则认为这个安全控制器不具备维护的条件,冗余控制装置可以按照预设的指令对故障超时未维护状态下的行为进行主动干预,如主动停车或继续运行,避免后续出现进一步失效扩散的风险。
应理解,在故障维护期间,该安全控制器上其他处理板上的处理器芯片还可以发送报警提醒信息,以便于用户能够及时对存在故障的处理板Pi进行更换,以确保冗余控制装置重新恢复到正常工作状态。
将通过如下实施例,具体对冗余控制装置中的安全控制器的内部结构进行详细介绍。
可选地,各安全控制器包括:第一处理板、第二处理板以及第一隔离单元;第一处理板上的冗余通信单元的一端固定连接在第一处理板的处理器芯片上,第一处理板上的冗余通信单元的另一端与第一隔离单元连接;
第二处理板上的冗余通信单元的一端固定连接在第二处理板的处理器芯片上,第二处理板上的冗余通信单元的另一端与第一隔离单元连接。
在本实施例中,继续参考图1所示,为了便于说明,以安全控制器的数量为2个,且各安全控制器包括2个处理板、以及各处理板上固定设置有一个处理器芯片为例进行说明。应理解,可以将这种一个处理板上固定设置有一个处理器芯片,由两个处理板组成一个安全控制器(即安全控制器包括两个处理器芯片),以及由两个安全控制器组成的冗余控制装置称作为“四模冗余(Quadruple Modular Redundant,简称QMR)的容错安全系统”。
继续参考图1所示,冗余控制装置包括:安全控制器1、及安全控制器2,同时,安全控制器1、及安全控制器2分别包括2个处理板为例。
以安全控制器1为例,安全控制器1包括:第一处理板Pa1、第二处理板Pa2。其中,第一处理板Pa1上的冗余通信单元104一端固定连接在第一处理板Pa1上的处理器芯片A1上,第一处理板Pa1上的冗余通信单元104一端固定连接在第一处理板Pa1上的处理器芯片A1上,第一处理板Pa1上的冗余通信单元104的另一端与第一隔离单元(即,图1中的隔离单元103)连接。
第二处理板Pa2上的冗余通信单元的一端固定连接在第二处理板Pa2的处理器芯片A2上,第二处理板Pa2上的冗余通信单元的另一端与第一隔离单元(即,图1中的隔离单元103)连接。
这样,第一处理板Pa1上的处理器芯片A1可以经由冗余通信单元获取第二处理板Pa2上的处理器芯片A2的数据,使得安全控制器中的处理器芯片之间存在双模冗余(DualModular Redundancy,简称DMR)表决,两个安全控制器之间也存在DMR表决。这样,使得容错单元得到的待输出数据是由多层次、相互独立的DMR表决生成,大大提高了冗余控制装置中容错单元得到的待输出数据的准确性,从而提高了冗余控制装置的安全性及稳定性;同时也可以进一步降低现有技术中各处理板上处理器芯片之间存在的共因失效问题,对冗余控制装置安全性的影响。
将通过如下实施例,继续对冗余控制装置中的安全控制器的进行详细介绍。
可选地,各安全控制器还包括:至少一个背板连接单元;安全控制器上的各处理板分别插接在背板连接单元上。
在本实例中,可以参考图2所示,以安全控制器1为例对背板连接单元201进行介绍。
值得说明的是,可以将冗余控制装置布设在一个机柜中,且机柜中设有多个机架,此时,背板连接单元是冗余控制装置中各安全控制器与其对应的待安装机架之间进行连接的一个连接部件,且背板连接单元上设有多个插槽(其中,每个槽位用于插接不同的模块),可以将各处理板灵活插接在背板连接单元中的某一个插槽内,实现了对安全控制器中各处理板安装的灵活性,从而大大提高了对故障处理板的更换效率。
可选地,安全控制器上的各处理板通过所述处理板上的所述容错通信单元插接在所述背板连接单元上,所述背板连接单元与所述容错单元连接,所述容错通信单元通过所述背板连接单元与所述容错单元连接。
其中,背板连接单元上设置有多个接口,如电源线、通信总线、冗余模块交互线、地址线、拨码开关控制线、故障确认按钮信号线等。在此,主要对各电源线接口、通信总线、故障确认按钮信号线的作用进行说明。具体的,(1)电源线,可以经由背板连接单元上的接口电源线接口向各处理板上固定设置的处理器芯片以及多个外设单元供电,以确保各处理板能够正常工作;(2)通信总线,各处理板上固定设置的处理器芯片可以经由通信总线与其他部件进行通信;(3)故障确认按钮信号线,对故障部件维护完成后,需要按下确认按钮。
可选地,安全控制器上的各处理板通过处理板上的容错通信单元插接在背板连接单元上,背板连接单元与容错单元连接,容错通信单元通过背板连接单元与容错单元连接。
在本实施例中,继续参考图2所示,安全控制器1上的处理板Pa1通过处理板Pa1上的容错通信单元插接在背板连接单元201上,使得处理板Pa1上固定设置的处理器芯片A1可以经由背板连接单元201上提供的通信总线与其他部件进行通信。
将通过如下实施例,对各处理板上固定设置的多个外设单元进行介绍。
可选地,参考图3所示,本实施例中提供的外设单元还包括:供电监测单元301;供电监测单元301监测到处理板的供电异常时,控制处理板上的容错通信单元关断。如供电监测单元301可以为过欠压(Over-Voltage/Under-Voltage,简称OV/UV)监视器。
在本实施例中,以处理板Pa1为例,处理板Pa1上固定设置的处理器芯片A1可以经由背板连接单元上的电源线接口、隔离电源模块、以及供电芯片获取冗余供电电源,即24VA和24VB这两路供电电源,以确保各处理板上固定设置的处理器芯片工作时获取供电电源的稳定性。
在本实施例中,考虑到供电芯片向处理器芯片提供的供电电源时,可能会存在供电电源转换出现异常的情况。因此,可以通过供电监测单元301监控向处理器芯片A1提供的供电电源,若供电监测单元301监测到向处理器芯片A1提供的供电电源超过正常工作范围,供电监测单元301控制处理板Pa1上的容错通信单元关断,使得处理器芯片A1可以实现通信隔离。
此外,本实施例中提供的外设单元还包括:模数转换器、温度采集器以及实时时钟,将由温度采集器以及RTC实时时钟采集到的信息、以及由模数转换器实时采集到的向处理器芯片A1提供的供电电源信息,通过集成电路总线传输给处理器芯片进行自我诊断,以便于及时发现处理器芯片A1是否出现故障。
可选地,继续参考图3所示,处理板Pa1上还固定设置有:重启单元302;处理器芯片A1和重启单元302固定连接;示例性地,重启单元302可以为看门狗电路。
重启单元302用于根据处理器芯片A1发送的脉冲信号检测处理器芯片是否发生故障,并在处理器芯片A1发生故障时控制处理器芯片复位重启。
在本实施例中,重启单元302实时接收处理器芯片A1输出的周期性脉冲波形,如果处理器芯片A1发生程序逻辑执行异常,即死锁、跑飞、或者故障,则重启单元302无法接收到处理器芯片A1输出的周期性脉冲波形,此时,重启单元302输出低电平将处理器芯片A1的复位管脚拉低,使处理器芯片A1处于不工作的状态,并控制处理器芯片A1执行复位操作。
可选地,继续参考图3所示,处理板Pa1上还固定设置有:内存单元303;示例性地,内存单元303可以为双倍速率(Double Data Rate,简称DDR)内存。
处理器芯片A1和内存单元303固定连接;内存单元303用于保存处理器芯片A1的处理数据,处理数据包括:处理板对应的处理结果。除此之外,内存单元303还可以用于保存实时从外部设备接收到的数据、或者安全控制器中其他处理板上的处理器芯片接收到的数据、处理器芯片上的程序运行过程中的实时数据、以及表决处理后的数据等。
此外,继续参考图3所示,处理板Pa1上还固定设置有:并转串扩展芯片、FLASH、非易失性的磁性随机存储器(Magnetic Random Access Memory,简称MRAM)等外设单元;其中,处理器芯片A1基于IFC(Integrated FLASH controller)接口的并行总线与上述外设单元(即,并转串扩展芯片、FLASH、MRAM)进行调度通信,并转串扩展芯片读取处理器芯片A1地址信息(例如,地址信息包括:机架地址和槽池地址,其中,机架地址用于表征处理板Pa1安装在机柜中的哪个机架上,槽池地址用于表征处理板Pa1安装在机柜中的哪个机架上的哪个槽池中),FLASH用于存储组态和程序数据,MRAM用于存储日志信息。
这样,本实施例中,提供的各处理板上的处理器芯片均拥有各自独立的资源,如电源、内存单元、时钟晶振、通信单元等外设单元,处理器芯片间无共享的物理资源;同时处理器芯片间的公共接口具有隔离设计,单侧的故障不会通过公共接口进行扩散,有效解决了现有技术中各处理器单元之间存在共因失效的问题,从而提高了冗余控制装置的稳定性及安全性。
将通过如下实施例,具体讲解本实施例中执行表决的具体过程。
首先,对各处理板上的处理器芯片两两表决的过程进行介绍。
可选地,各处理板上的处理器芯片以从其他处理器芯片获取的数据以及处理器芯片的数据作为查询条件,从预先设定的表决真值表中查询出处理板对应的处理结果,并将处理结果通过容错通信单元发送给容错单元。其中,处理器芯片的数据包括:处理器芯片对从外部设备接收的数据进行处理后的处理结果、以及该处理器芯片的运行状态信息。
需要注意的是,在本实施例中,处理器芯片的状态信息为正常,则处理器芯片的数据参与表决,若处理器芯片的运行状态信息为故障,则处理器芯片的数据被隔离,不参与表决,表决过程由DMR降级为单处理器数据输出,即进行容错处理。
在本实施例中,继续参考图2所示,以图2所示安全控制器1为例,处理板Pa1上的处理器芯片A1以从处理器芯片A2获取的数据包括:处理器芯片A2对外部设备接收的数据进行处理后的处理结果、以及处理器芯片A2的运行状态信息。
例如,处理器芯片A1从处理器芯片A2获取的数据为(0、正常),即处理器芯片A2对外部设备接收的数据进行处理后的处理结果为0,处理器芯片A2的运行状态信息为正常;又比如,处理器芯片A2从处理器芯片A1获取的数据为(0、正常),即处理器芯片A2对外部设备接收的数据进行处理后的处理结果为0,处理器芯片A2的运行状态信息为正常。即处理器芯片A1及处理器芯片A2的运行状态信息均为正常。因此,处理器芯片A1的数据、处理器芯片A2的数据均参与表决。
此时,处理器芯片A1以从处理器芯片A2获取的数据(即,0、正常)以及处理器芯片A1的数据(即,0、正常)作为查询条件,从如下表1-1所示的表决真值表中查询出处理板Pa1对应的处理结果0,并将处理结果0通过容错通信单元发送给容错单元。
表1-1为 各处理器芯片的状态信息均为正常对应的表决真值表
处理器芯片A1 | 处理器芯片A2 | 表决结果 |
0,正常 | 0,正常 | 0 |
0,正常 | 1,正常 | 0 |
1,正常 | 0,正常 | 0 |
1,正常 | 1,正常 | 1 |
表1-2为 各处理器芯片的状态信息均为正常对应的表决真值表
处理器芯片A1 | 处理器芯片A2 | 表决结果 |
0,故障(故障数据被隔离) | 0,正常 | 0 |
1,故障(故障数据被隔离) | 1,正常 | 1 |
1,故障(故障数据被隔离) | 1,故障(故障数据被隔离) | 0 |
0,故障(故障数据被隔离) | 0,故障(故障数据被隔离) | 0 |
故障(故障数据被隔离) | 1,正常 | 1 |
0,正常 | 1,故障(故障数据被隔离) | 0 |
0,故障(故障数据被隔离) | 1,故障(故障数据被隔离) | 0 |
同理,若处理器芯片A1(处理器芯片A2)的状态信息为故障,则可以根据表1-2查询出各自对应的处理结果。
其次,对冗余控制装置中的容错单元执行表决的过程进行介绍。
可选地,容错单元中包括:与各安全控制器一一对应的一级容错单元、以及二级容错单元,各一级容错单元分别与对应的安全控制器中的各处理板通信连接,且各一级容错单元分别与二级容错单元连接;例如,参考图4所示,容错单元102包括:与安全控制器1对应的一级容错单元1、与安全控制器2对应的一级容错单元2以及二级容错单元401,一级容错单元1分别与安全控制器1中的处理板Pa1、处理板Pa2通信连接,一级容错单元2分别与安全控制器2中的处理板Pb1、处理板Pb2通信连接,且一级容错单元1、一级容错单元2分别与二级容错单元401连接。
一级容错单元接收对应的安全控制器中各处理板的处理器芯片发送的处理结果,并对各处理板的处理器芯片发送的处理结果进行表决处理,得到一级容错单元对应的处理结果。在本实施例中,继续参考图4所示,一级容错单元1同时接收安全控制器1中处理板Pa1的处理器芯片A1发送的处理结果、以及处理板Pa2的处理器芯片A2发送的处理结果,也即,处理板Pa1的处理器芯片A1发送的处理结果为处理器芯片A1与处理器芯片A2间两两表决后的结果。
二级容错单元从各一级容错单元获取各一级容错单元对应的处理结果,并对各一级容错单元对应的处理结果进行表决处理,得到待输出数据。在本实施例中,继续参考图4所示,二级容错单元401从一级容错单元1获取一级容错单元1的处理结果,以及,二级容错单元401从一级容错单元2获取一级容错单元2的处理结果,二级容错单元401并对一级容错单元1的处理结果、以及一级容错单元2的处理结果进行表决处理,得到待输出数据。其中,待输出数据可以用于指示对某一个执行设备的控制指令,例如,待输出数据为0,则指示对该执行设备的打开指令,若待输出数据为1,则指示对该执行设备的闭合指令。
在一种可实现的方式中,二级容错单元401可以根据如下表2-1、表2-2所示的表决真值表对一级容错单元1的处理结果、以及一级容错单元2的处理结果进行表决处理。其中,表2-1为各处理器芯片的状态信息均为正常对应的表决真值表,表2-2为各处理器芯片的状态信息可能为故障对应的表决真值表。
表2-1为 各处理器芯片的状态信息均为正常对应的表决真值表
处理器芯片A1 | 处理器芯片A2 | 处理器芯片B1 | 处理器芯片B2 | 表决结果 |
0,正常 | 0,正常 | 0,正常 | 0,正常 | 0 |
0,正常 | 0,正常 | 0,正常 | 1,正常 | 0 |
0,正常 | 0,正常 | 1,正常 | 1,正常 | 0 |
0,正常 | 1,正常 | 1,正常 | 1,正常 | 0 |
1,正常 | 1,正常 | 1,正常 | 1,正常 | 1 |
表2-2为 各处理器芯片的状态信息均为正常对应的表决真值表
处理器芯片A1 | 处理器芯片A2 | 处理器芯片B1 | 处理器芯片B2 | 表决结果 |
1,故障(故障数据被隔离) | 0,正常 | 0,正常 | 0,正常 | 0 |
0,故障(故障数据被隔离) | 1,正常 | 1,正常 | 1,正常 | 1 |
0,故障(故障数据被隔离) | 0,故障(故障数据被隔离) | 1,正常 | 1,正常 | 1 |
0,正常 | 0,正常 | 1,故障(故障数据被隔离) | 1,故障(故障数据被隔离) | 0 |
1,故障(故障数据被隔离) | 0,正常 | 0,故障(故障数据被隔离) | 1,正常 | 0 |
例如,处理器芯片A1的数据为0、正常,处理器芯片A2的数据为0、正常,处理器芯片B1的数据为0、正常,处理器芯片B2的数据为0、正常,则一级容错单元1的处理结果为0,一级容错单元2的处理结果为0,二级容错单元401对一级容错单元1的处理结果0、以及一级容错单元2的处理结果0进行表决处理,得到待输出数据为0,并将待输出数据0进行输出,确保了待输出数据的准确性。
在本实施例中,冗余控制装置中的某一个处理板Pi上处理器芯片Ai发生故障,也可将处理器芯片Ai的数据称为故障数据,即处理器芯片Ai的数据被隔离,不参与表决和输出,可在指定的维护时间内对处理板Pi进行在线备品更换使冗余控制装置恢复到完整状态。
另外,可以参考图5所示,以冗余控制装置中包括2个安全控制器,且各安全控制器包括2个处理板,各处理板上均固定设置有一个处理器芯片及多个外设单元为例,在本实例中,这种冗余控制装置支持支持4-3-2-0的降级模式,发生单个故障时,冗余控制装置降级为三模冗余(即,由三个正常的处理器芯片进行表决处理);发生第二重故障时,冗余控制装置降级为双模冗余(即,由两个正常的处理器芯片进行表决处理);三模冗余和双模冗余的冗余控制装置仍至少具有一级DMR表决,冗余控制装置的安全性能力仍能够维持在SIL3等级,因此,该冗余控制装置可声称至少容忍2个独立的单一故障,不丧失其正常功能。
值得说明的是,若冗余控制装置中存在故障的处理板长时间没有被维护,当发生第三个故障时,即冗余控制装置中仅剩单个处理板上处理器芯片正常工作,此时,安全控制器内部、以及安全控制器之间无法进行表决,冗余控制装置整体安全性能下降无法满足预期的安全完整性要求,因此,仅剩的正常处理器主动导向预设的安全状态。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种冗余控制装置,其特征在于,包括:多个安全控制器以及容错单元;
各所述安全控制器包括:多个处理板以及至少一个隔离单元,各所述处理板之间通过所述隔离单元进行电气隔离;
各所述处理板上固定设置有处理器芯片以及多个外设单元,所述处理器芯片和各所述外设单元固定连接;
所述外设单元包括:冗余通信单元;各所述处理板之间通过所述冗余通信单元通信连接;各所述处理板上的所述处理器芯片通过所述冗余通信单元获取所述安全控制器上其他处理器芯片的数据;
所述外设单元还包括:容错通信单元;各所述处理板通过所述容错通信单元与所述容错单元连接;各所述处理板还通过所述容错通信单元与外部设备通信连接,以接收所述外部设备的数据;各所述处理板上的所述处理器芯片根据从所述安全控制器上其他处理器芯片获取到的数据以及从所述外部设备接收到的数据进行表决处理,得到所述处理板对应的处理结果,并将所述处理结果通过所述容错通信单元发送给所述容错单元;
所述容错单元对各所述处理板发送的数据进行表决处理,得到待输出数据,并将所述待输出数据输出。
2.根据权利要求1所述的装置,其特征在于,各所述处理板上的所述处理器芯片在检测到所述处理器芯片发生故障时,控制所述处理板上的所述容错通信单元关断。
3.根据权利要求1所述的装置,其特征在于,各所述安全控制器包括:第一处理板、第二处理板以及第一隔离单元;
所述第一处理板上的冗余通信单元的一端固定连接在所述第一处理板的处理器芯片上,所述第一处理板上的冗余通信单元的另一端与所述第一隔离单元连接;
所述第二处理板上的冗余通信单元的一端固定连接在所述第二处理板的处理器芯片上,所述第二处理板上的冗余通信单元的另一端与所述第一隔离单元连接。
4.根据权利要求1所述的装置,其特征在于,各所述安全控制器还包括:至少一个背板连接单元;
所述安全控制器上的各处理板分别插接在所述背板连接单元上。
5.根据权利要求4所述的装置,其特征在于,所述安全控制器上的各处理板通过所述处理板上的所述容错通信单元插接在所述背板连接单元上,所述背板连接单元与所述容错单元连接,所述容错通信单元通过所述背板连接单元与所述容错单元连接。
6.根据权利要求1-5任一项所述的装置,其特征在于,各所述处理板上的所述处理器芯片以从所述其他处理器芯片获取的数据以及从所述处理器芯片的数据作为查询条件,从预先设定的表决真值表中查询出所述处理板对应的处理结果,并将所述处理结果通过所述容错通信单元发送给所述容错单元。
7.根据权利要求1-5任一项所述的装置,其特征在于,所述容错单元中包括:与各所述安全控制器一一对应的一级容错单元、及二级容错单元,各所述一级容错单元分别与对应的安全控制器中的各处理板通信连接,且各所述一级容错单元分别与所述二级容错单元连接;
所述一级容错单元接收对应的安全控制器中各处理板的处理器芯片发送的处理结果,并对各处理板的处理器芯片发送的处理结果进行表决处理,得到所述一级容错单元对应的处理结果;
所述二级容错单元从各所述一级容错单元获取各所述一级容错单元对应的处理结果,并对各所述一级容错单元对应的处理结果进行表决处理,得到所述待输出数据。
8.根据权利要求1-5任一项所述的装置,其特征在于,所述外设单元还包括:供电监测单元;
所述供电监测单元监测到所述处理板的供电异常时,控制所述处理板上的所述容错通信单元关断。
9.根据权利要求1-5任一项所述的装置,其特征在于,所述处理板上还固定设置有:重启单元;
所述处理器芯片和所述重启单元固定连接;
所述重启单元用于根据所述处理器芯片发送的脉冲信号检测所述处理器芯片是否发生故障,并在所述处理器芯片发生故障时控制所述处理器芯片复位重启。
10.根据权利要求1-5任一项所述的装置,其特征在于,所述处理板上还固定设置有:内存单元;
所述处理器芯片和所述内存单元固定连接;
所述内存单元用于保存所述处理器芯片的处理数据,所述处理数据包括:所述处理板对应的处理结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210217688.3A CN114280919B (zh) | 2022-03-08 | 2022-03-08 | 冗余控制装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210217688.3A CN114280919B (zh) | 2022-03-08 | 2022-03-08 | 冗余控制装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114280919A true CN114280919A (zh) | 2022-04-05 |
CN114280919B CN114280919B (zh) | 2022-05-31 |
Family
ID=80882334
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210217688.3A Active CN114280919B (zh) | 2022-03-08 | 2022-03-08 | 冗余控制装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114280919B (zh) |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5423024A (en) * | 1991-05-06 | 1995-06-06 | Stratus Computer, Inc. | Fault tolerant processing section with dynamically reconfigurable voting |
CN1311877A (zh) * | 1998-06-02 | 2001-09-05 | 联合讯号公司 | 管理冗余的基于计算机的系统用于容错计算的方法和设备 |
CN1404671A (zh) * | 2000-02-25 | 2003-03-19 | 霍尼韦尔国际公司 | 经由冗余网络控制的多重网络故障容错 |
US7743285B1 (en) * | 2007-04-17 | 2010-06-22 | Hewlett-Packard Development Company, L.P. | Chip multiprocessor with configurable fault isolation |
US7877627B1 (en) * | 2008-12-18 | 2011-01-25 | Supercon, L.L.C. | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology |
CN102006155A (zh) * | 2010-11-09 | 2011-04-06 | 深圳市中庆微科技开发有限公司 | 一种全方向数据传输的冗余容错方法 |
CN102065604A (zh) * | 2010-11-01 | 2011-05-18 | 深圳市中庆微科技开发有限公司 | 一种信号传输的冗余容错系统 |
CN103399546A (zh) * | 2013-07-26 | 2013-11-20 | 杭州和利时自动化有限公司 | 三冗余控制方法及系统 |
CN107358713A (zh) * | 2017-07-11 | 2017-11-17 | 西北核技术研究所 | 一种全隔离式三取二表决器 |
CN110413456A (zh) * | 2019-07-30 | 2019-11-05 | 上海航天计算机技术研究所 | 三冗余数据逐级表决系统及方法 |
CN110837233A (zh) * | 2018-08-16 | 2020-02-25 | 舍弗勒技术股份两合公司 | 一种提高功能安全性的安全控制系统 |
CN112214350A (zh) * | 2020-09-02 | 2021-01-12 | 中国船舶重工集团公司第七0九研究所 | 一种分布式多模冗余容错系统软件表决方法 |
JP2021140653A (ja) * | 2020-03-09 | 2021-09-16 | ナブテスコ株式会社 | 航空機用の多重化制御装置 |
CN113541672A (zh) * | 2021-07-02 | 2021-10-22 | 浙江中控技术股份有限公司 | 风险降级装置和风险降级方法 |
-
2022
- 2022-03-08 CN CN202210217688.3A patent/CN114280919B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5423024A (en) * | 1991-05-06 | 1995-06-06 | Stratus Computer, Inc. | Fault tolerant processing section with dynamically reconfigurable voting |
CN1311877A (zh) * | 1998-06-02 | 2001-09-05 | 联合讯号公司 | 管理冗余的基于计算机的系统用于容错计算的方法和设备 |
CN1404671A (zh) * | 2000-02-25 | 2003-03-19 | 霍尼韦尔国际公司 | 经由冗余网络控制的多重网络故障容错 |
US7743285B1 (en) * | 2007-04-17 | 2010-06-22 | Hewlett-Packard Development Company, L.P. | Chip multiprocessor with configurable fault isolation |
US7877627B1 (en) * | 2008-12-18 | 2011-01-25 | Supercon, L.L.C. | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology |
CN102065604A (zh) * | 2010-11-01 | 2011-05-18 | 深圳市中庆微科技开发有限公司 | 一种信号传输的冗余容错系统 |
CN102006155A (zh) * | 2010-11-09 | 2011-04-06 | 深圳市中庆微科技开发有限公司 | 一种全方向数据传输的冗余容错方法 |
CN103399546A (zh) * | 2013-07-26 | 2013-11-20 | 杭州和利时自动化有限公司 | 三冗余控制方法及系统 |
CN107358713A (zh) * | 2017-07-11 | 2017-11-17 | 西北核技术研究所 | 一种全隔离式三取二表决器 |
CN110837233A (zh) * | 2018-08-16 | 2020-02-25 | 舍弗勒技术股份两合公司 | 一种提高功能安全性的安全控制系统 |
CN110413456A (zh) * | 2019-07-30 | 2019-11-05 | 上海航天计算机技术研究所 | 三冗余数据逐级表决系统及方法 |
JP2021140653A (ja) * | 2020-03-09 | 2021-09-16 | ナブテスコ株式会社 | 航空機用の多重化制御装置 |
CN112214350A (zh) * | 2020-09-02 | 2021-01-12 | 中国船舶重工集团公司第七0九研究所 | 一种分布式多模冗余容错系统软件表决方法 |
CN113541672A (zh) * | 2021-07-02 | 2021-10-22 | 浙江中控技术股份有限公司 | 风险降级装置和风险降级方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114280919B (zh) | 2022-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7877627B1 (en) | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology | |
US7461303B2 (en) | Monitoring VRM-induced memory errors | |
US6035416A (en) | Method and apparatus for interface dual modular redundancy | |
US20020152425A1 (en) | Distributed restart in a multiple processor system | |
CN102467417B (zh) | 计算机系统 | |
CN100555235C (zh) | N模冗余表决系统 | |
US9952579B2 (en) | Control device | |
JP2008097164A (ja) | 複数の機能要素から構成されるシステムの故障監視方法 | |
US11099961B2 (en) | Systems and methods for prevention of data loss in a power-compromised persistent memory equipped host information handling system during a power loss event | |
US6002970A (en) | Method and apparatus for interface dual modular redundancy | |
RU2439674C1 (ru) | Способ формирования отказоустойчивой вычислительной системы и отказоустойчивая вычислительная система | |
US12007820B2 (en) | Systems, devices, and methods for controller devices handling fault events | |
CN114280919B (zh) | 冗余控制装置 | |
CN111984471B (zh) | 一种机柜电源bmc冗余管理系统及方法 | |
US20040199824A1 (en) | Device for safety-critical applications and secure electronic architecture | |
US7627774B2 (en) | Redundant manager modules to perform management tasks with respect to an interconnect structure and power supplies | |
Nedeljković et al. | A survey of hardware fault tolerance techniques | |
CN108009047B (zh) | 一种双机热备模型及实现方法 | |
Rennels et al. | A fault-tolerant embedded microcontroller testbed | |
CN113867648B (zh) | 一种服务器存储子系统及其控制方法 | |
Rennels et al. | Recovery in fault-tolerant distributed microcontrollers | |
CN113839827B (zh) | 数据监控系统、设备和方法 | |
US11042443B2 (en) | Fault tolerant computer systems and methods establishing consensus for which processing system should be the prime string | |
Wensley | Fault tolerant techniques for power plant computers | |
CN1433115A (zh) | 监控物理量的方法和电路布置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310053 No. 309 Liuhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: Zhongkong Technology Co.,Ltd. Country or region after: China Address before: 309 Liuhe Road, Binjiang District, Hangzhou, Zhejiang 310000 Patentee before: ZHEJIANG SUPCON TECHNOLOGY Co.,Ltd. Country or region before: China |