CN116755320A - 一种基于双热备份系统的余度管理方法及系统、增强辅助驾驶系统 - Google Patents

Abstract

本发明涉及余度管理方法及系统、增强辅助驾驶系统，余度管理方法包括判断主通道和从通道是否处于故障状态；在主通道和从通道均处于无故障状态的情况下，进入主/从双通道工作模式；在主通道和从通道中的任意一个处于故障状态的情况下，进入单通道工作模式；在进入单通道工作模式的情况下，判断故障通道是否恢复至无故障状态；在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。其优点在于，利用双通道系统架构实现通道级系统冗余，即单一通道出现故障不影响整体运行；在双通道同时运行时，若一通道出现故障，可由另一通道接管输出，无需人工干预。

Description

一种基于双热备份系统的余度管理方法及系统、增强辅助驾 驶系统

技术领域

本发明涉及船舶辅助驾驶技术领域，尤其涉及一种基于双热备份系统的余度管理方法及系统、增强辅助驾驶系统。

背景技术

智能船舶是指利用传感器、通信、物联网、互联网等技术手段，自动感知和获得船舶自身、海洋环境、物流、港口等方面的信息和数据，并基于计算机技术、自动控制技术和大数据处理和分析技术，在船舶航行、管理、维护保养、货物运输等方面实现智能化运行的船舶，以使船舶更加安全、更加环保、更加经济和更加高效。

增强辅助驾驶系统(船舶智能规范定义)指利用先进感知技术和信息融合技术等获取和感知船舶航行所需的状态信息，并通过计算机技术、控制技术进行分析和处理，提高船舶在内河/海上复杂航道、恶劣天气、交通繁密、通航设施和建筑物等不利外部环境条件下的航行安全。

增强辅助驾驶系统控制器在增强辅助驾驶系统设计中处于核心地位。控制器负责处理感知设备接受的各类传感器数据，对感知信息的综合决策，以及最终的控制指令的生成。控制器架构设计以及合理的研发技术路线将是增强辅助驾驶系统研制成败的关键。

智能船舶规范规定了如下需求“场景感知系统和自主航行系统的设备和部件应具有充分的可靠性，以最大程度降低故障发生的几率，且设备的配备与布置应确保在设备发生单一故障时，船舶感知、通信与航行控制能力不受影响或者能够尽快恢复”。

现有船舶控制设备多为单通道系统，不符合上述规范。需要对其进行改进，引入冗余备份来支持系统对抗任意单点故障的能力。然而，传统的双热备份系统硬件上通常采用独立的故障检测和通道切换仲裁电路。这样一方面仲裁电路本身会引入新的单点失效风险，另一方面额外的硬件会加大系统的成本。另外，传统的双热备份系统软件设计时对原有的单通道系统软件结构做出较大改变，软件设计和硬件的耦合性很强。当硬件或软件发生改变时，控制软件都需要重新设计，开发成本巨大。

现有技术存在如下问题：

1)传统控制器单通道系统架构无法对抗单点故障以实现故障后系统无影响或尽快恢复；

2)传统的双热备份系统需要专用的硬件(仲裁板卡)负责双通道的切换逻辑的实现，增加了开发的硬件成本和系统的单点故障风险

3)传统的双热备份系统应用软件和余度管理软件耦合程度和定制开发工作量高，对单通道软件的改变较大，增加了双热备份系统的研发成本和难度

目前针对相关技术中存在的单通道架构无法对抗单点故障、双通道架构需要专用硬件进行双通道切换处理、开发难度大、开发工作量高、研发成本高等问题，尚未提出有效的解决方案。

发明内容

本发明的目的是针对现有技术中的不足，提供一种余度管理方法、余度管理系统及增强辅助驾驶系统，以解决相关技术中存在的单通道架构无法对抗单点故障、双通道架构需要专用硬件进行双通道切换处理、开发难度大、开发工作量高、研发成本高等问题。

为实现上述目的，本发明采取的技术方案是：

第一方面，提供一种基于双热备份系统的余度管理方法，用于智能船舶增强辅助驾驶系统，包括：

在双热备份系统处于主/从双通道工作模式的情况下，判断主通道和从通道是否处于故障状态；

在所述主通道和所述从通道均处于无故障状态的情况下，维持主/从双通道工作模式；

在所述主通道和所述从通道中的任意一个处于故障状态的情况下，由主/从双通道工作模式切换为单通道工作模式；

在进入单通道工作模式的情况下，判断故障通道是否能恢复至无故障状态，其中，故障通道为处于故障状态的主通道或从通道；

在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；

在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

在其中的一些实施例中，判断主通道和从通道是否处于故障状态包括：

判断主通道是否处于故障状态；

在主通道处于故障状态的情况下，将主通道和从通道进行切换，在切换完成后，由主/从双通道工作模式切换为单通道工作模式；

在主通道处于无故障状态的情况下，判断从通道是否处于故障状态；

在从通道处于故障状态的情况下，切除从通道，并由主/从双通道工作模式切换为单通道工作模式。

在其中的一些实施例中，在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式包括：

判断故障通道是否为主通道或从通道；

在故障通道为主通道的情况下，在主通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式；

在故障通道为从通道的情况下，在从通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

在其中的一些实施例中，还包括：

双热备份系统初始化后，在第一通道和第二通道均处于无故障状态的情况下，双热备份系统自动分配主通道和从通道，进入主/从双通道工作模式；

在所述第一通道和所述第二通道中的任意一个处于故障状态的情况下，进入单通道工作模式；

在进入单通道工作模式的情况下，判断故障通道是否能恢复至无故障状态，其中，故障通道为处于故障状态的所述第一通道或所述第二通道；

在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；

在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

在其中的一些实施例中，判断主通道和从通道是否处于故障状态包括：

主通道和从通道进行周期性的心跳检测，其中，心跳检测为主通道向从通道发送两路第一心跳信号、从通道向主通道发送两路第二心跳信号；

根据心跳检测判断主通道和从通道是否处于故障状态；

在主通道接收的至少一路第二心跳信号为正常的情况下，从通道处于无故障状态；

在主通道接收的两路第二心跳信号均为不正常的情况下，且主通道自检正常，则从通道处于故障状态；

在从通道接收的至少一路第一心跳信号为正常的情况下，主通道处于无故障状态；

在从通道接收的两路第一心跳信号均为不正常的情况下，且从通道自检正常，则主通道处于故障状态。

在其中的一些实施例中，判断主通道和从通道是否处于故障状态包括：

对主通道和从通道进行自检；

判断自检是否成功；

在自检成功的情况下，主通道和/或从通道处于无故障状态；

在自检失败的情况下，主通道和/或从通道处于故障状态。

在其中的一些实施例中，还包括：

判断第一跨通道数据链路和第二跨通道数据链路是否处于故障状态，其中，第一跨通道数据链路、第二跨通道数据链路为主通道和从通道的数据传输链路；

在第一跨通道数据链路和第二跨通道数据链路均处于无故障状态的情况下，保持主/从双通道工作模式；

在第一跨通道数据链路和第二跨通道数据链路中的任意一个处于故障状态的情况下，主通道生成报警信息，保持主/从双通道工作模式；

在第一跨通道数据链路和第二跨通道数据链路均处于故障状态的情况下，判断主通道是否处于故障状态；

在主通道处于无故障状态的情况下，由主/从双通道工作模式切换为主通道的单通道工作模式；

在主通道处于故障状态的情况下，判断从通道是否处于故障状态；

在从通道处于无故障状态的情况下，从通道切换为主通道，由主/从双通道工作模式切换为从通道的单通道工作模式。

在其中的一些实施例中，还包括：

在达到预设更新频率的情况下，存储主通道与从通道需要同步的数据信息至各自通道预设的存储区域；

在达到预设同步周期的情况下，通道将本地数据信息发送至远端通道进行远端通道存储区域更新。

第二方面，提供一种余度管理系统，用于执行如第一方面所述的余度管理方法，包括：

故障判断单元，用于判断主通道和从通道是否处于故障状态；

模式设置单元，用于在所述主通道和所述从通道均处于无故障状态的情况下，进入主/从双通道工作模式；以及在所述主通道和所述从通道中的任意一个处于故障状态的情况下，进入单通道工作模式；

所述故障判断单元还用于在进入单通道工作模式的情况下，判断故障通道是否能恢复至无故障状态，其中，故障通道为处于故障状态的主通道或从通道；

所述模式设置单元还用于在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；以及用于在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

第三方面，提供一种增强辅助驾驶系统，应用于智能船舶，包括：

感知装置，用于获取船舶的周围环境信息；

第一辅助驾驶控制装置，所述第一辅助驾驶控制装置与所述感知装置连接，用于获取周围环境信息并根据周围环境信息进行决策生成航行控制指令；

第二辅助驾驶控制装置，所述第二辅助驾驶控制装置与所述感知装置连接，并与所述第一辅助驾驶控制装置通过第一跨通道数据链路、第二跨通道数据链路连接，用于获取周围环境信息、根据周围环境信息进行决策生成航行控制指令以及与所述第一辅助驾驶控制装置进行同步；

交互装置，所述交互装置分别与所述第一辅助驾驶控制装置、所述第二辅助驾驶控制装置连接，用于与船员进行人机交互、显示增强辅助驾驶系统的信息以及向船舶推进系统输出当前控制通道的控制指令。

本发明采用以上技术方案，与现有技术相比，具有如下技术效果：

本发明的一种基于双热备份系统的余度管理方法及系统、增强辅助驾驶系统，与传统的单通道系统架构相比，本发明采用双通道系统架构，在实现相同功能的情况下，提高可靠性；利用双通道系统架构实现通道级系统冗余，即任意通道单点故障不影响系统整体运行；在双通道同时运行时，若一通道出现故障，可由另一通道接管系统进行输出，无需人工干预，不影响系统整体输出；在任何运行状态，在通道出现故障并恢复正常后，可以重新与另一通道组成双余度热备系统；采用异构双跨通道数据链路监控通道心跳信号，增加了系统的可靠性和对抗单点故障的能力；与传统的双通道系统架构相比，利用通道自检和通道互检，取消了传统的专用仲裁检测电路硬件。

附图说明

图1是根据本发明实施例的增强辅助驾驶系统的框架图；

图2是根据本发明实施例的余度管理方法的流程图(一)；

图3是根据本发明实施例的余度管理方法的流程图(二)；

图4是根据本发明实施例的余度管理方法的流程图(三)；

图5是根据本发明实施例的余度管理方法的流程图(四)；

图6是根据本发明实施例的余度管理方法的流程图(五)；

图7是根据本发明实施例的余度管理方法的流程图(六)；

图8是根据本发明实施例的余度管理方法的流程图(七)；

图9是根据本发明实施例的余度管理系统的框架图；

图10是根据本发明实施例的增强辅助驾驶系统的一个具体实施方式的硬件框架图；

图11是根据本发明实施例的增强辅助驾驶系统的一个具体实施方式的软件框架图；

图12是根据本发明实施例的增强辅助驾驶系统的主/从通道切换逻辑图；

图13是根据本发明实施例的主/从通道数据存储示意图。

其中的附图标记为：100、增强辅助驾驶系统；110、感知装置；120、第一辅助驾驶控制装置；130、第二辅助驾驶控制装置；140、交互装置；

900、余度管理系统；910、故障判断单元；920、模式设置单元；930、时钟同步单元；930、心跳检测单元；940、自检单元；950、数据同步单元。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或单元(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

实施例1

本实施例涉及本发明的增强辅助驾驶系统。

本发明的一个示意性实施例。如图1所示，一种增强辅助驾驶系统100，应用于智能船舶，包括感知装置110、第一辅助驾驶控制装置120、第二辅助驾驶控制装置130和交互装置140。其中，感知装置110用于获取船舶的周围环境信息；第一辅助驾驶控制装置120与感知装置110连接，用于获取周围环境信息并根据周围环境信息进行决策生成航行控制指令；第二辅助驾驶控制装置130与感知装置110连接，并与第一辅助驾驶控制装置120通过第一跨通道数据链路、第二跨通道数据链路连接，用于获取周围环境信息、根据周围环境信息进行决策生成航行控制指令以及与第一辅助驾驶控制装置120进行同步；交互装置140分别与第一辅助驾驶控制装置120、第二辅助驾驶控制装置130连接，用于与船员进行人机交互、显示增强辅助驾驶系统100的信息以及向船舶推进系统输出当前控制通道的控制指令。

感知装置110安装于船舶的相应位置，用于获取本船舶周围的图像信息、物体信息、距离信息、位置信息等。

一般地，感知装置110包括但不限于光学传感器、激光雷达、毫米波雷达、X波段雷达、定位系统(GPS系统、北斗系统)、惯导系统(IMU)和船舶自动识别系统(AutomaticIdentification System，AIS)。

第一辅助驾驶控制装置120包括第一感知处理单元和第一航行控制单元。其中，第一感知处理单元与感知装置110连接，用于获取周围环境信息进行预处理以及融合以获得船舶周围障碍物和船舶位置等融合信息；第一航行控制单元与第一感知处理单元连接，用于根据融合信息计算生成航行控制指令。

第二辅助驾驶控制装置130包括第二感知处理单元和第二航行控制单元。其中，第二感知处理单元与感知装置110连接，用于获取周围环境信息进行预处理以及融合以获得船舶周围障碍物和船舶位置等融合信息；第二航行控制单元与第二感知处理单元连接，用于根据融合信息计算生成航行控制指令。

第二辅助驾驶控制装置130与第一辅助驾驶控制装置120同时独立运行。

交互装置140分别与第一航行控制单元、第二航行控制单元连接，用于与船员进行人机交互，显示辅助驾驶系统的信息以及向船舶推进系统输出当前控制通道的控制指令。

一般地，交互装置140包括操作单元和显示单元。其中，操作单元分别与第一航行控制单元、第二航行控制单元连接，用于用于与船员进行人机交互以及向船舶推进系统输出当前控制通道的控制指令；显示单元分别与第一航行控制单元、第二航行控制单元连接，用于显示增强辅助驾驶系统100的信息。

本发明的技术效果如下：

1)与传统的单通道系统架构相比，本发明采用双通道系统架构，在实现相同功能的情况下，提高了系统可靠性；

2)利用双通道系统架构实现通道级系统冗余，即单一通道出现故障不影响系统整体运行；在双通道同时运行时，若一通道出现故障，在该运行周期内，由另一通道接管系统进行输出，无需人工干预，不影响系统整体输出；

3)在任何运行状态，在通道出现故障并恢复正常后，可以重新与另一通道组成双余度热备系统；

4)采用双异构跨通道数据链路监控通道心跳信号，增加了系统的可靠性和对抗单点故障的能力；

5)与传统的双通道系统架构相比，利用通道自检和通道互检，取消了传统的专用仲裁检测电路硬件。

实施例2

本实施例涉及本发明的应用于实施例1所述的增强辅助驾驶系统的余度管理方法。

图2是根据本发明实施例的余度管理方法的流程图(一)。如图2所示，一种基于双热备份系统的余度管理方法，用于智能船舶增强辅助驾驶系统，包括：

步骤S202、在双热备份系统处于主/从双通道工作模式的情况下，判断主通道和从通道是否处于故障状态；

步骤S204、在主通道和从通道均处于无故障状态的情况下，维持主/从双通道工作模式；

步骤S206、在主通道和从通道中的任意一个处于故障状态的情况下，由主/从双通道工作模式切换为单通道工作模式；

步骤S208、在进入单通道工作模式的情况下，判断故障通道是否能恢复至无故障状态，其中，故障通道为处于故障状态的主通道或从通道；

步骤S210、在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；

步骤S212、在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

其中，步骤S204和步骤S206为并列的步骤，步骤S210和步骤S212为并列的步骤。

在步骤S202中，判断主通道和从通道是否处于故障状态是指判断主通道是否处于故障状态以及判断从通道是否处于故障状态。

在步骤S206中，主通道和从通道中的任意一个处于故障状态是指主通道处于故障状态，或者，从通道处于故障状态。

通过上述步骤，利用双通道系统架构实现通道级系统冗余，即任意通道出现单点故障不影响系统整体运行；在双通道同时运行时，若一通道出现故障，可由另一通道接管系统进行输出，无需人工干预，不影响系统整体输出。

在其中的一些实施例中，在步骤S202之前，还包括：

判断当前日期是否为奇数日；

在当前日期为奇数日的情况下，系统初始化正常后设定第一通道为主通道，设定第二通道为从通道；

在当前日期为偶数日的情况下，系统初始化正常后设定第二通道为主通道，设定第一通道为从通道。

进一步地，还包括：

双热备份系统初始化后，判断第一通道和第二通道是否处于故障状态；

在第一通道和第二通道均处于无故障状态的情况下，双热备份系统自动分配主通道和从通道，进入主/从双通道工作模式；

在第一通道和第二通道中的任意一个处于故障状态的情况下，进入单通道工作模式；

在进入单通道工作模式的情况下，判断故障通道是否能恢复至无故障状态，其中，故障通道为处于故障状态的第一通道或第二通道；

在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；

在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

其中，将第一通道、第二通道分别设定为主通道、从通道的步骤需要在判断第一通道、第二通道是否自检正常的步骤之后。

通过上述步骤，可以使双通道间隔使用，便于在一通道使用的过程中对另一通道进行维护检修。

图3是根据本发明实施例的余度管理方法的流程图(二)。如图3所示，判断主通道和从通道是否处于故障状态包括：

步骤S302、判断主通道是否处于故障状态；

步骤S304、在主通道处于故障状态的情况下，将主通道和从通道进行切换，在切换完成后，由主/从双通道工作模式切换为单通道工作模式；

步骤S306、在主通道处于无故障状态的情况下，判断从通道是否处于故障状态；

步骤S308、在从通道处于故障状态的情况下，切除从通道，并由主/从双通道工作模式切换为单通道工作模式。

其中，步骤S304和步骤S306为并列的步骤。

进一步地，在步骤S306之后，还包括：

步骤S310、在从通道处于无故障状态的情况下，维持主/从双通道工作模式。

其中，步骤S310与步骤S308为并列的步骤。

在其中的一些实施例中，判断主通道和从通道是否处于故障状态包括：

判断故障通道是否为主通道；

在故障通道为主通道的情况下，将主通道和从通道进行切换，在切换完成后，由主/从双通道工作模式切换为单通道工作模式；

在故障通道为从通道的情况下，切除从通道，并由主/从双通道工作模式切换为单通道工作模式。

通过上述步骤，在通道出现故障的情况下，可以根据不同情况实现自动通道模式切换，无需人工干预，不影响系统整体输出。。

图4是根据本发明实施例的余度管理方法的流程图(三)。如图4所示，在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式包括：

步骤S402、判断故障通道是否为主通道或从通道；

步骤S404、在故障通道为主通道的情况下，在主通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式；

步骤S406、在故障通道为从通道的情况下，在从通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

其中，步骤S404和步骤S406为并列的步骤。

通过上述步骤，在通道恢复正常状态的情况下，可以根据不同情况实现自动通道模式切换，无需人工干预，不影响系统整体输出。

图5是根据本发明实施例的余度管理方法的流程图(四)。如图5所示，判断主通道和从通道是否处于故障状态包括：

步骤S502、主通道和从通道进行周期性的心跳检测，其中，心跳检测为主通道向从通道发送两路第一心跳信号、从通道向主通道发送两路第二心跳信号；

步骤S504、根据心跳检测判断主通道和从通道是否处于故障状态；

步骤S506、在主通道接收的至少一路第二心跳信号为正常的情况下，从通道处于无故障状态；

步骤S508、在主通道接收的两路第二心跳信号均为不正常的情况下，且主通道自检正常，则从通道处于故障状态；

步骤S510、在从通道接收的至少一路第一心跳信号为正常的情况下，主通道处于无故障状态；

步骤S512、在从通道接收的两路第一心跳信号均为不正常的情况下，且从通道自检正常，则主通道处于故障状态。

其中，步骤S506、步骤S508、步骤S510和步骤S512为并列的步骤。

在步骤S502中，主通道通过第一跨通道数据链路向从通道发送第一路第一心跳信号，以及通过第二跨通道数据链路向从通道发送第二路第一心跳信号。

在步骤S502中，从通道通过第一跨通道数据链路向主通道发送第一路第二心跳信号，以及通过第二跨通道数据链路向主通道发送第二路第二心跳信号。

通过上述步骤，利用心跳检测方法判断主从通道是否处于故障状态，可以根据不同情况实现自动通道模式切换，无需人工干预，不影响系统整体输出。

图6是根据本发明实施例的余度管理方法的流程图(五)。如图6所示，判断主通道和从通道是否处于故障状态包括：

步骤S602、对主通道和从通道进行自检；

步骤S604、判断自检是否成功；

步骤S606、在自检成功的情况下，主通道和/或从通道处于无故障状态；

步骤S608、在自检失败的情况下，主通道和/或从通道处于故障状态。

其中，步骤S606和步骤S608为并列的步骤。

其中，通道自检包括看门狗检测、CPU检测、存储器检测、I/O检测、电源检测。

第一种实施方式，进行看门狗检测的步骤如下：

获取主通道和从通道的看门狗计数器值；

判断看门狗计数器值是否达到预设阈值；

在看门狗计数器值达到或超过预设阈值的情况下，主通道和/或从通道处于故障状态，通道控制器重启；

在看门狗计数器值未达到预设阈值的情况下，主通道和/或从通道处于无故障状态。

第二种实施方式，进行CPU检测的步骤如下：

对主通道和从通道进行CPU检测；

判断CPU检测是否成功；

在CPU检测成功的情况下，主通道和/或从通道处于无故障状态；

在CPU检测失败的情况下，主通道和/或从通道处于故障状态。

第三种实施方式，进行存储器检测的步骤如下：

对主通道和从通道进行存储器检测；

判断存储器检测是否成功；

在存储器检测成功的情况下，主通道和/或从通道处于无故障状态；

在存储器检测失败的情况下，主通道和/或从通道处于故障状态。

第四种实施方式，进行I/O检测的步骤如下：

获取I/O设备的状态信息；

在状态信息为正常的情况下，主通道和/或从通道处于无故障状态；

在无法获取状态信息和/或状态信息为严重故障的情况下，主通道和/或从通道处于故障状态

第五种实施方式，进行电源检测的步骤如下：

对主通道和从通道进行电源检测；

判断电源检测是否成功；

在电源检测成功的情况下，主通道和/或从通道处于无故障状态；

在电源检测失败的情况下，主通道和/或从通道处于故障状态。

通过上述步骤，利用自检方法判断主从通道是否处于故障状态，可以根据不同情况实现自动通道模式切换，无需人工干预，不影响系统整体输出；此外，利用自检方法可以判断故障位置，从而便于进行维护检修。

图7是根据本发明实施例的余度管理方法的流程图(六)。如图7所示，还包括：

步骤S702、判断第一跨通道数据链路和第二跨通道数据链路是否处于故障状态，其中，第一跨通道数据链路、第二跨通道数据链路为主通道和从通道的数据传输链路；

步骤S704、在第一跨通道数据链路和第二跨通道数据链路均处于无故障状态的情况下，保持主/从双通道工作模式；

步骤S706、在第一跨通道数据链路和第二跨通道数据链路中的任意一个处于故障状态的情况下，主通道生成报警信息，保持主/从双通道工作模式；

步骤S708、在第一跨通道数据链路和第二跨通道数据链路均处于故障状态的情况下，判断主通道是否处于故障状态；

步骤S710、在主通道处于无故障状态的情况下，由主/从双通道工作模式切换为主通道的单通道工作模式；

步骤S712、在主通道处于故障状态的情况下，判断从通道是否处于故障状态；

步骤S714、在从通道处于无故障状态的情况下，从通道切换为主通道，由主/从双通道工作模式切换为单通道工作模式。

其中，步骤S704、步骤S706和步骤S708为并列的步骤，步骤S710和步骤S712为并列的步骤。

通过上述步骤，利用双路异构跨通道数据链路的设置，增加了系统的可靠性和对抗单点故障的能力。

图8是根据本发明实施例的余度管理方法的流程图(七)。如图8所示，还包括：

步骤S802、在达到预设更新频率的情况下，存储主通道与从通道需要同步的数据信息至各自通道预设的存储区域；

步骤S804、在达到预设同步周期的情况下，将本地数据信息发送至远端通道进行远端通道存储区域更新。

通过上述步骤，在主通道出现故障、从通道切换为主通道的情况下，实现主/从通道的无缝切换(系统输出状态不跳变)，保证系统整体运行无影响。

实施例3

本实施例涉及本发明的应用于实施例2所述的余度管理方法的余度管理系统。

本发明的一个示意性实施例。如图9所示，一种余度管理系统900，用于执行如实施例2所述的余度管理方法，包括故障判断单元910和模式设置单元920。其中，故障判断单元910用于判断主通道和从通道是否处于故障状态；模式设置单元920用于在主通道和从通道均处于无故障状态的情况下，进入主/从双通道工作模式；以及在主通道和从通道中的任意一个处于故障状态的情况下，进入单通道工作模式；故障判断单元910还用于在进入单通道工作模式的情况下，判断故障通道是否恢复至无故障状态，其中，故障通道为处于故障状态的主通道或从通道；模式设置单元920还用于在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；以及用于在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

进一步地，故障判断单元910用于判断主通道是否处于故障状态；模式设置单元920用于在主通道处于故障状态的情况下，将主通道和从通道进行切换，在切换完成后，由主/从双通道工作模式切换为单通道工作模式；故障判断单元910用于在主通道处于无故障状态的情况下，判断从通道是否处于故障状态；模式设置单元920用于在从通道处于故障状态的情况下，切除从通道，并由主/从双通道工作模式切换为单通道工作模式。

进一步地，故障判断单元910用于判断故障通道是否为主通道；模式设置单元920用于在故障通道为主通道的情况下，在主通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式；以及在故障通道为从通道的情况下，在从通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

进一步地，余度管理系统900还包括心跳检测单元930。其中，心跳检测单元930用于主通道和从通道进行周期性的心跳检测，其中，心跳检测为主通道向从通道发送两路第一心跳信号、从通道向主通道发送两路第二心跳信号。

故障判断单元910用于根据心跳检测判断主通道和从通道是否处于故障状态；在主通道接收的至少一路第二心跳信号为正常的情况下，从通道处于无故障状态；在主通道接收的两路第二心跳信号均为不正常的情况下，且主通道自检正常，则从通道处于故障状态；在从通道接收的至少一路第一心跳信号为正常的情况下，主通道处于无故障状态；在从通道接收的两路第一心跳信号均为不正常的情况下，且从通道自检正常，则主通道处于故障状态。

进一步地，余度管理系统900还包括自检单元940。其中，自检单元940用于对主通道和从通道进行自检。

此外，故障判断单元910用于判断自检是否成功；在自检成功的情况下，主通道和/或从通道处于无故障状态；在自检失败的情况下，主通道和/或从通道处于故障状态。

进一步地，故障判断单元910用于判断第一跨通道数据链路和第二跨通道数据链路是否处于故障状态，其中，第一跨通道数据链路、第二跨通道数据链路为主通道和从通道的数据传输链路；模式设置单元920用于在第一跨通道数据链路和第二跨通道数据链路均处于无故障状态的情况下，保持主/从双通道工作模式；模式设置单元920用于在第一跨通道数据链路和第二跨通道数据链路中的任意一个处于故障状态的情况下，主通道生成报警信息，保持主/从双通道工作模式；故障判断单元910用于在第一跨通道数据链路和第二跨通道数据链路均处于故障状态的情况下，判断主通道是否处于故障状态；模式设置单元920用于在主通道处于无故障状态的情况下，由主/从双通道工作模式切换为主通道的单通道工作模式；故障判断单元910用于在主通道处于故障状态的情况下，判断从通道是否处于故障状态；模式设置单元920用于在从通道处于无故障状态的情况下，从通道切换为主通道，由主/从双通道工作模式切换为单通道工作模式。

进一步地，余度管理系统900还包括数据同步单元950。其中，数据同步单元950用于在达到预设更新频率的情况下，存储主通道与从通道需要同步的数据信息至各自通道预设的存储区域；在达到预设同步周期的情况下，将通道将本地数据信息发送至远端通道进行远端通道存储区域更新。

本实施例的技术效果同实施例2基本相同，在此不再赘述。

实施例4

本实施例为本发明的一个具体实施方式。

(一)增强辅助驾驶系统的硬件架构

如图10所示，增强辅助驾驶系统包括感知定位设备、第一辅助驾驶控制器通道、第二辅助驾驶控制器通道、船载人机交互设备。其中，感知定位设备分别与第一辅助驾驶控制器通道、第二辅助驾驶控制器通道连接；船载人机交互设备分别与第一辅助驾驶控制器通道、第二辅助驾驶控制器通道连接。

感知定位设备包括但不限于X波段航海雷达、AIS、GPS、光学传感器、毫米波雷达和激光雷达等。感知定位设备向第一辅助驾驶控制器通道、第二辅助驾驶控制器通道提供船舶周围一定范围内障碍物的感知信息。

船舶上一般会有多套感知设备分开布置，这些设备提供的障碍物感知信息互为冗余。一旦部分传感器故障，系统的感知功能不会完全丧失(感知能力不变或感知能力降级)。

第一辅助驾驶控制器通道包括第一感知处理器和第一航行控制器。其中，第一感知处理器与感知定位设备连接；第一航行控制器分别与第一感知处理器、船载人机交互设备连接。

第一感知处理器负责实时的感知信息处理和信息融合。第一航行控制器负责航行决策计算，航行控制指令的生成，船载设备和岸基控制台的通讯服务以及通道内的故障检测等功能。

第二辅助驾驶控制器通道包括第二感知处理器和第二航行控制器。其中，第二感知处理器与感知定位设备连接；第二航行控制器分别与第二感知处理器、船载人机交互设备连接。

第二感知处理器负责实时的感知信息处理和信息融合。第二航行控制器负责航行决策计算，航行控制指令的生成，船载设备和岸基控制台的通讯服务以及通道内的故障检测等功能。

第一航行控制器和第二航行控制器通过两路异构的内部总线(网线和串口)进行跨通道的心跳和数据同步(CCDL，CrossChannelDataLink功能)。CCDL用来支持第一航行控制器和第二航行控制器的时钟同步、心跳检测和数据/状态同步。

船载人机交互设备包括控制指令输出设备、KVM、显示器以及控制指令输出。其中，控制按钮分别与第一航行控制器、第二航行控制器连接，用于实现船员与辅助驾驶系统的控制操作；KVM分别与第一航行控制器、第二航行控制器显示输出连接，用于选择一路显示器输出进行船载控制台显示；显示器与KVM连接，用于显示辅助驾驶系统的信息；控制指令输出设备分别与第一航行控制器和第二航行控制器输出连接。

具体地，控制指令输出设备为2选1开关，保证任一时刻只有一路通道的控制指令输出到船舶推进系统控制船舶航行的航向和航速。显示器的视频输入通过KVM设备进行2选1，保证单一时刻只有一路通道的显示输出给显示器。

(二)增强辅助驾驶系统的软件架构

如图11所示，第一航行控制器和第二航行控制器各自均安装有应用软件和余度管理软件(相当于实施例3的余度管理系统)。架构图的左右两边为完全相同的两通道的软件系统。软件逻辑会将两通道分配为逻辑上的主通道和从通道。正常时主从通道同时获取感知系统输入，输出最终的控制指令。通过通道之间的输出选择逻辑将主通道的指令进行输出。故障情况下，系统软件将会根据具体的故障检测结果，进行主从通道切换，保证仅正常通道的一路输出，整个系统输出不受影响。

底层的操作系统采用Linux，同时为了支持实时任务特别定制了一个RT-Linux内核。

应用层软件分为两大块。一块是独立的余度管理软件，由其负责双热备份两个控制器通道之间的通讯协同(心跳，数据/状态)，通道故障检测和通道重构的功能。该软件运行于RT-Linux环境下。另外一块软件是增强辅助驾驶系统的功能软件，其负责执行具体的感知，决策，控制和通讯等功能。该应用软件运行于Linux和ROS环境(中间件)下。

应用软件和余度管理软件相互独立，余度管理和应用软件的之间通过特定的接口机制交互数据进行双通道之间的同步，方便集成和系统验证。应用软件可以借鉴ROS现有的开源代码和项目案例经验独立开发，便于项目的快速迭代和系统集成。余度管理软件仅与通道控制器的硬件相关，通过对其进行少量的修改即可重用于不同的控制器硬件选型和系统设计更改/升级。

余度管理软件包括如下功能：

1)通道初始化功能。系统上电启动时首先需要进行系统和通道的软硬件初始化，自检以及双通道之间逻辑的主从分配和通道时钟同步。当这些操作都正常执行之后，才会进入到双通道各自运行其通道内的应用软件，产生控制指令的输出。

①专用硬件的初始化。通道内控制器硬件的自检初始化以及双通道CCDL硬件的自检初始化，确保系统硬件能正常工作。一旦检测到故障，则由余度管理软件中的故障响应程序进行相应的故障处理。

②主/从通道分配。通道设备初始化自检正常后，余度管理软件将建立双通道之间的CCDL连接，在此基础上，根据预设的逻辑将两通道分别设定为主/从通道。系统通道之间的输出选择逻辑将主通道的指令作为系统的最终输出结果发送给船舶推进系统。

2)通道同步功能。包括通道间的时钟同步和数据/状态信息的同步，以保证系统进行无缝的通道切换。

①时钟同步(包含初始化时钟同步和运行时钟同步)。初始化过程中，在完成主从通道分配后需要首次进行双通道时钟同步，保证两通道能够步调一致的执行应用程序。在应用程序周期性的执行过程中，为了防止通道间时钟误差的积累，需要定期进行双通道间时钟同步以消除双通道时钟之间累积的误差。

②通道数据/状态同步。应用程序执行的过程中，需要定期将远端通道当前的中间状态和中间数据在本地进行备份。余度管理软件将会有预设的定时器任务来触发相应的中断响应以完成上述操作。

3)通道故障检测功能。余度管理软件需要实时监测本通道和远端通道的健康状态，在发现故障的情况下调用对应的故障响应程序进行故障处理(系统重构)。

①控制器看门狗检测。通道内的控制器设置看门狗检测功能，当一定的预设时间内看门狗计数器不能被清零，则相应的控制器发生故障，系统将自动进行重启，同时系统功能将由远端通道接管。

②心跳检测。本通道的余度管理软件将定期通过CCDL总线监听远端通道的心跳信号以确定远端通道的健康状态。

③通道自检(包含上电自检和运行中自检)。初始化过程中，在系统上电或者通道重启之后首先通道内的硬件设备会进行相应的初始化和自检，以确定两通道硬件设备是否正常(PBIT)。在系统运行过程中或者系统发生通道故障情况下，余度管理软件将定期中断应用程序的执行进行通道内的硬件自检，以确定两通道硬件设备是否正常(CBIT)。

4)系统重构。系统在故障状态下，根据预设的重构逻辑选择一路正常的通道进行输出，以消除故障对系统功能的影响。故障的通道进行故障恢复处理直至终止该通道输出，将双热备份系统降级为单通道系统运行。

(三)增强辅助驾驶系统的主/从通道分配逻辑

如图12所示，增强辅助驾驶系统的主/从通道分配逻辑如下：

系统上电自检或者重启自检无故障后，在主/从通道分配之前，系统的两个通道分别处于其初始化的状态。余度管理软件在检查了两个通道的故障情况，同时结合预设的判断逻辑进行主/从通道的分配。如果成功，系统进入主/从双通道的工作模式。如果存在单通道的故障或者CCDL故障，则系统进入单通道的工作模式。在单通道模式下，故障通道可以重启进行恢复，则该通道重新进入其初始化模式等待余度管理软件对其进行处理。系统在主/从双通道的工作模式下，可以通过断电重启使得系统重新进入通道的初始化状态。

主/从通道判断的预设逻辑为在全部通道正常的前提条件下，按系统的当前日期来设定主/从通道。奇数日1通道(可通过跳线加以区分)设为主通道，2通道设为从通道。偶数日设定逻辑相反。这样设计的好处是既提高了余度管理软件的通用性，又降低了硬件安装错误导致的故障率。

在系统的主/从双通道的工作模式下，如果余度管理软件检测到主通道故障，则系统需要进入到主从通道的切换状态(临时状态)。待切换结束，系统将进入单通道模式运行。在系统的主/从双通道的工作模式下，如果余度管理软件检测到从通道故障，则系统直接将从通道切除，系统进入单通道运行模式。在系统处于单通道模式下，如果另一通道恢复正常重新进入到初始化状态且通道自检正常后，则余度管理软件将再次运行主/从分配功能。如果分配成功，系统恢复为主/从双通道工作构型。

(四)增强辅助驾驶系统的时钟同步逻辑

增强辅助驾驶系统的时钟同步基于IEEE 1588(PTP)协议。PTP是通过主从时钟(通道)传输同步报文来实现时钟同步。首先主时钟周期性的发送Sync报文，主通道记录Sync报文的精确发送时间t1。接着主时钟发送Follow_Up报文，该报文携带Sync报文发送的精确时间t1。从时钟接收到Sync报文，并记录接收时间t2。然后从时钟发送Delay_Req报文，并记录发送时刻t3。主时钟接收到Delay_Req，并记录接收时间t4。最后主时钟将时间信息t4放入Delay_Resp报文中发送给从时钟，当从时钟接收到Delay_Resp报文时，一个同步周期结束。

定义t1时刻主从时钟之间的偏差为offset，主从通讯链路的延迟为delay1，从主链路延迟为delay2，则有：

t2-t1＝delay1+offset

t4-t3＝delay2-offset

协议假设主从时钟往返时间是对称的，即delay1＝delay2＝delay。则有：

offset＝(t2-t1+t3-t4)/2

delay＝(t2-t1+t4-t3)/2

最终可根据主从时钟偏差和链路延迟调整本地时钟与主时钟保持同步。

余度管理软件将在系统正常启动/或系统重构后以及执行过程中设置周期性的中断来执行上述的主从通道时间同步。

增强辅助驾驶系统的同步流程如下：

1)主通道

向从通道发送Sync报文，并记录发送时间t1；

向从通道发送Follow_Up报文，Follow_Up报文携带Sync报文发送的精确时间t1；

判断是否接收到从通道发送的Delay_Req报文；

在未接收到从通道发送的Delay_Req报文的情况下，进行通道故障处理；

在接收到从通道发送的Delay_Req报文的情况下，记录接收时间t4；

向从通道发送Delay_Resp报文，Delay_Resp报文携带接收Delay_Req报文的精确时间t4；

在通道故障处理完毕或向从通道发送Delay_Resp报文之后，同步周期结束，进入下一同步周期；

2)从通道

判断是否接收到主通道发送的Sync报文；

在未接收到主通道发送的Sync报文的情况下，进行通道故障处理；

在接收到主通道发送的Sync报文的情况下，记录接收时间t2；

判断是否接收到主通道发送的Follow_Up报文；

在未接收到主通道发送的Follow_Up报文的情况下，进行通道故障处理；

在接收到主通道发送的Follow_Up报文的情况下，向主通道发送Delay_Req报文，并记录发送时间t3；

判断是否接收到主通道发送的Delay_Resp报文；

在未接收到主通道发送的Delay_Resp报文的情况下，进行通道故障处理；

在通道故障处理完毕或接收到主通道发送的Delay_Resp报文之后，同步周期结束，进入下一同步周期。

本发明的余度管理软件，在主通道故障检测正常的情况下，将主通道的时钟作为主时钟使用，避免了采用PTP协议运行BMC(最佳时钟选择)算法的开销。同时PTP协议完全基于Linux环境采用纯软件方案实现，可以保证主从通道的时钟同步精度达到毫秒级，满足了船舶增强辅助驾驶系统应用的需求。

(五)增强辅助驾驶系统的数据和状态同步逻辑

余度管理软件在系统成功初始化之后，会在各自控制器存储区内申请如下图13所示的专用存储空间。该空间负责存储本地通道和远端通道最新的需要进行同步交互的应用程序数据和状态信息以及余度管理软件的专用数据信息。存储区域的大小根据应用软件所需传输的数据量大小进行设定。

在应用程序执行过程中，应用程序将按照预先的设定的更新频率，将需要与远端通道同步的数据信息发送给本通道的余度管理软件，然后由余度管理软件将最新的数据更新到预设的存储区域的对应位置。余度管理软件内部将设置定时器进行中断。每次中断时，本通道的余度管理软件将存储区的本通道最新数据发送给远端通道的余度管理软件。再由远端通道的余度管理软件进行数据更新的中断处理，将远端通道的数据更新到其本地的远端数据存储区域，这样就完成了本地最新的状态和数据在远端通道的同步更新。

一旦系统检测到故障需要进行主/从切换，从通道可以从本地的余度管理软件存储区内获取最新的远端通道的数据和状态信息，以实现主/从通道的无缝切换。

(六)增强辅助驾驶系统的心跳检测逻辑

心跳检测主要用于检测远端通道的故障，利用周期性的心跳中断发送心跳信号报告自身的状态，并监听远端的心跳信号是否正常以检测远端通道是否发生故障。如前述的系统硬件架构图10所示，为实现系统的高可靠的主从切换，主从通道分别通过两套独立异构的通讯硬件和通讯接口(网线和串口，避免单点故障)与远端进行连接。

在单一心跳线结构中，一旦心跳信号通路发生故障造成心跳信号传输失败，处于备用状态的从机将因收不到心跳信号而误判主机失效。随后从机将立刻切换为主机工作状态执行主机功能，系统运行进入2个主机独立并行的工作状态，将造成系统控制的混乱。该“双主状态”发生迅速且不容易被预知和通过监测手段避免。基于双心跳信号的主从冗余切换逻辑如下：运行在从机状态的控制器通道持续检测来自主机的双路心跳信号，只要其中一路心跳信号正常，则保持从机状态；仅当双路心跳异常，且从机通道自检正常，从机才判定主机通道故障并将自身切换为单通道工作模式。

基于双路专用通信链路(即CCDL)，从机在接收主机心跳信号的同时可以周期性地进行自身状态报告。主机通过2个独立的通信链路将可靠地获取从机的工作状态。在从机失效的情况下，主机将设置相应的故障状态，进行从机失效的告警，以确保预期的冗余功能完整。同时，控制器主机也可以进行自检及故障诊断以确定自身的工作状态，依据该诊断结果控制器主机可将自身设置为故障状态，触发主从通道的切换。

(七)增强辅助驾驶系统的通道自检逻辑

1)看门狗检测

余度管理软件内部设置定时器。在该定时器周期脉冲下，通道控制器读取看门狗计数器值。正常情况下，该值总是小于某一特定值，大于该特定值表示该通道控制器不能正常工作，需要进行故障处理。

2)CPU检测

CPU自检是通过设计好的测试程序检查CPU能否正确执行全部的指令。该测试程序的设计将尽可能多的覆盖CPU指令集指令并且运算量尽量少。

3)存储器检测

对控制器内部存储器的读写测试通过给内部存储器写入一组数据，再由控制器读出该数据后用CRC校验的方法计算出数值与固定值进行比较，计算结果与固定值一致则认为无故障，否则认为存储器故障。

4)I/O检测

一般系统通过查询I/O设备的状态寄存器获取I/O设备的状态信息。系统在上电启动或者运行过程中定期检测I/O设备的运行状态，对没有任何响应或者出现严重故障的I/O设备记录故障信息，从而作为判断机器故障的依据。对重要的传感器数据需要回绕电路回绕测试(需要对应的测试功能的硬件支持)。

5)电源检测

系统通过专用的电源检测电路对通道的供电情况进行检测，出现故障需要进行故障处理。

(八)增强辅助驾驶系统的系统自检BIT

系统自检BIT通常包括上电PBIT和周期CBIT两大类。

对于随着时间的推移而出现的器件性能变化所引起的故障需要通过PBIT程序在系统启动时予以识别。该自检通常仅在上电后执行一次，过程通常耗时较长，检测结果充分。

在系统运行中，需要启动周期CBIT程序，以便将故障进行定位。该自检通常耗时较短并且不能影响系统的正常运行，通常仅检查关键设备或功能是否正常。

本发明的余度管理软件将在通道上电时运行通道的PBIT，在系统运行时执行通道的CBIT。PBIT的检测项目主要包括通道的CPU、存储器、IO设备、电源的检测以及看门狗和心跳设备的初始化和自检。CBIT将主要对电源、看门狗检测以及远端通道的心跳信号检测。

(九)增强辅助驾驶系统的系统重构逻辑

余度管理软件内置了双通道系统构型的重构逻辑。根据不同的系统故障情况，对应的采取系统构型重构的故障处理措施，具体的重构逻辑如下表1所示。

表1余度管理软件中系统构型和系统重构处理逻辑表

本发明的增强辅助驾驶系统的技术效果如下：

1.双机系统与单机系统功能相同，可靠性高于单机系统；

2.实现通道级系统冗余。即单通道任意单点故障不影响系统整体运行；双机同时运行时，一台控制器故障后，可由另一台控制器接管系统输出(系统运行无影响)，无需人工干预；

3.双机系统采用相同的软硬件结构；

4.同一时间，系统仅有一个通道可以正常输出；

5.余度管理软件与控制器功能软件独立，减少对现有功能软件的设计改变；

6.任何运行状态，故障控制器再恢复后可以重新与另一通道组成双余度热备系统；

7.余度管理软件可以在任意时刻向用户提供系统运行状态和当前故障信息；

8.采用两路异构的通道专用CCDL通讯链路监控通道心跳信号，增加了系统的可靠性和对抗单点故障的能力；

9.通过通道的自检和互检设计，取消了传统的双热备份系统架构中专用仲裁检测电路硬件。

以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。

Claims (10)

1.一种基于双热备份系统的余度管理方法，用于智能船舶增强辅助驾驶系统，其特征在于，包括：

在双热备份系统处于主/从双通道工作模式的情况下，判断主通道和从通道是否处于故障状态；

在所述主通道和所述从通道均处于无故障状态的情况下，维持主/从双通道工作模式；

在所述主通道和所述从通道中的任意一个处于故障状态的情况下，由主/从双通道工作模式切换为单通道工作模式；

在进入单通道工作模式的情况下，判断故障通道是否能恢复至无故障状态，其中，故障通道为处于故障状态的主通道或从通道；

在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；

在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

2.根据权利要求1所述的余度管理方法，其特征在于，判断主通道和从通道是否处于故障状态包括：

判断主通道是否处于故障状态；

在主通道处于故障状态的情况下，将主通道和从通道进行切换，在切换完成后，由主/从双通道工作模式切换为单通道工作模式；

在主通道处于无故障状态的情况下，判断从通道是否处于故障状态；

在从通道处于故障状态的情况下，切除从通道，并由主/从双通道工作模式切换为单通道工作模式。

3.根据权利要求1所述的余度管理方法，其特征在于，在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式包括：

判断故障通道是否为主通道或从通道；

在故障通道为主通道的情况下，在主通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式；

在故障通道为从通道的情况下，在从通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

4.根据权利要求1所述的余度管理方法，其特征在于，还包括：

双热备份系统初始化后，在第一通道和第二通道均处于无故障状态的情况下，双热备份系统自动分配主通道和从通道，进入主/从双通道工作模式；

在所述第一通道和所述第二通道中的任意一个处于故障状态的情况下，进入单通道工作模式；

在进入单通道工作模式的情况下，判断故障通道是否能恢复至无故障状态，其中，故障通道为处于故障状态的所述第一通道或所述第二通道；

在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；

在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

5.根据权利要求1～4任一所述的余度管理方法，其特征在于，判断主通道和从通道是否处于故障状态包括：

主通道和从通道进行周期性的心跳检测，其中，心跳检测为主通道向从通道发送两路第一心跳信号、从通道向主通道发送两路第二心跳信号；

根据心跳检测判断主通道和从通道是否处于故障状态；

在主通道接收的至少一路第二心跳信号为正常的情况下，从通道处于无故障状态；

在主通道接收的两路第二心跳信号均为不正常的情况下，且主通道自检正常，则从通道处于故障状态；

在从通道接收的至少一路第一心跳信号为正常的情况下，主通道处于无故障状态；

在从通道接收的两路第一心跳信号均为不正常的情况下，且从通道自检正常，则主通道处于故障状态。

6.根据权利要求1～4任一所述的余度管理方法，其特征在于，判断主通道和从通道是否处于故障状态包括：

对主通道和从通道进行自检；

判断自检是否成功；

在自检成功的情况下，主通道和/或从通道处于无故障状态；

在自检失败的情况下，主通道和/或从通道处于故障状态。

7.根据权利要求1～4任一所述的余度管理方法，其特征在于，还包括：

判断第一跨通道数据链路和第二跨通道数据链路是否处于故障状态，其中，第一跨通道数据链路、第二跨通道数据链路为主通道和从通道的数据传输链路；

在第一跨通道数据链路和第二跨通道数据链路均处于无故障状态的情况下，保持主/从双通道工作模式；

在第一跨通道数据链路和第二跨通道数据链路中的任意一个处于故障状态的情况下，主通道生成报警信息，保持主/从双通道工作模式；

在第一跨通道数据链路和第二跨通道数据链路均处于故障状态的情况下，判断主通道是否处于故障状态；

在主通道处于无故障状态的情况下，由主/从双通道工作模式切换为主通道的单通道工作模式；

在主通道处于故障状态的情况下，判断从通道是否处于故障状态；

在从通道处于无故障状态的情况下，从通道切换为主通道，由主/从双通道工作模式切换为从通道的单通道工作模式。

8.根据权利要求1所述的余度管理方法，其特征在于，还包括：

在达到预设更新频率的情况下，存储主通道与从通道需要同步的数据信息至各自通道预设的存储区域；

在达到预设同步周期的情况下，通道将本地数据信息发送至远端通道进行远端通道存储区域更新。

9.一种余度管理系统，用于执行如权利要求1～8任一所述的余度管理方法，其特征在于，包括：

故障判断单元，用于判断主通道和从通道是否处于故障状态；

模式设置单元，用于在所述主通道和所述从通道均处于无故障状态的情况下，进入主/从双通道工作模式；以及在所述主通道和所述从通道中的任意一个处于故障状态的情况下，进入单通道工作模式；

所述故障判断单元还用于在进入单通道工作模式的情况下，判断故障通道是否能恢复至无故障状态，其中，故障通道为处于故障状态的主通道或从通道；

所述模式设置单元还用于在故障通道无法恢复至无故障状态的情况下，维持单通道工作模式；以及用于在故障通道恢复至无故障状态的情况下，由单通道工作模式切换为主/从双通道工作模式。

10.一种增强辅助驾驶系统，应用于智能船舶，其特征在于，包括：

感知装置，用于获取船舶的周围环境信息；

第一辅助驾驶控制装置，所述第一辅助驾驶控制装置与所述感知装置连接，用于获取周围环境信息并根据周围环境信息进行决策生成航行控制指令；

第二辅助驾驶控制装置，所述第二辅助驾驶控制装置与所述感知装置连接，并与所述第一辅助驾驶控制装置通过第一跨通道数据链路、第二跨通道数据链路连接，用于获取周围环境信息、根据周围环境信息进行决策生成航行控制指令以及与所述第一辅助驾驶控制装置进行同步；

交互装置，所述交互装置分别与所述第一辅助驾驶控制装置、所述第二辅助驾驶控制装置连接，用于与船员进行人机交互、显示增强辅助驾驶系统的信息以及向船舶推进系统输出当前控制通道的控制指令。