WO2012009960A1

WO2012009960A1 - 双通道热备系统及实现双通道热备的方法

Info

Publication number: WO2012009960A1
Application number: PCT/CN2011/001187
Authority: WO
Inventors: 唐涛; 马连川; 王悉; 袁彬彬
Original assignee: 北京交通大学
Priority date: 2010-07-22
Filing date: 2011-07-20
Publication date: 2012-01-26
Also published as: CN101917283A; US8935565B2; CN101917283B; US20130179723A1

Description

双通道热备系统及实现双通道热备的方法技术领域

本发明涉及工业控制技术领域，特别涉及一种双通道热备系统及实现双通道热备的方法。背景技术

在铁路、电力、钢铁、石化等工业控制领域中，对控制系统的可用性和可靠性有较高的要求。双通道热备系统由于具有较高的可用性和可靠性，同时具备一定的容错能力，便于操作人员进行维护，被广泛地釆用。

为了保证双通道热备系统的可用性和可靠性，设计过程中需要着重考虑的问题包括： "主" 、 "备" 通道状态切换， "主" 、 "备" 通道之间状态同步， "主" 、 "备" 通道的一致性校验等。

现有双通道热备的技术方案中，多数系统在双通道之间设置心跳线，依靠软件分别判断对方的状态来实现 "主" 、 "备" 状态的预置和切换。这种方式缺少第三方监督，当心跳线出现错误时，可能导致 "备" 通道误升 "主" 通道，产生双主状态，影响信息传输与控制，进入不安全状态。

为了解决缺少第三方判决的问题，有的系统设置了切换单元，通过继电器、中小规模数字集成电路组成的简单逻辑电路完成切换逻辑控制，保证在任意时刻，只有一个通道处于主状态。但是这种切换单元的功能仅限于"主"、 "备" 状态的预置和切换，无法控制两个通道间的同步状态，在对双通道状态的监控中存在盲点，同时如果切换单元缺少冗余设计，一旦切换单元故障，会给整个系统的正常运行带来更大的风险。发明内容

本发明要解决的技术问题是：其一，避免双通道出现 "双主" 或者 "双备" 的状态；其二，保证两个通道的控制周期同步；其三，提高故障反应时间；其四，满足整个双通道热备系统对于实时性的要求；其五，提高系统的可靠性和可用性；其六，保证主、备状态的无缝切换。为解决上述技术问题，本发明提供了一种双通道热备系统，所述系统包括热备状态管理层、应用处理层和数据通信层；所述热备状态管理层包括两个热备管理单元，所述应用处理层包括两个应用处理机，所述数据通信层包括两个通信机；所述热备状态管理层用于控制两个应用处理机主、备状态的设置和切换、监控数据通信层的工作状态，并实现系统的两个通道的控制周期同步，其中，一个热备管理单元控制一个应用处理机，并与其构成该系统的一个通道；所述数据通信层用于接收来自外界的数据，并转发给所述应用处理层。

其中，所述热备状态管理层、应用处理层和数据通信层均连接到高速通信总线上。

其中，两个热备管理单元之间通过互锁 /自锁连接总线连接，所述互锁 / 自锁连接总线用于实现自锁 /互锁逻辑，从而选择一个正常工作的通道作为主状态。

其中，两个热备管理单元之间通过同步连接总线连接，所述同步连接总线用于向当前备通道传递当前主通道的同步信号。

其中，热备状态管理层采用冗余硬件设计；两个应用处理机相互冗余，两台通信机也相互冗余，为两个通道共同使用；高速通信总线釆用冗余结构。

本发明还提供了一种利用上述系统来实现双通道热备的方法，所述热备状态管理层按照如下方式控制两个应用处理机主、备状态的设置：热备管理单元向对应的应用处理机发送工作模式码来通知其工作模式，其中，所述工作模式码分为工作状态和非工作状态，工作状态包括主、备两种模式，非工作状态包括上电、故障、同步和维护四种模式。

其中，所述热备状态管理层按照如下方式控制两个应用处理机主、备状态的切换：两个热备管理单元之间釆用自锁 /互锁逻辑选择一个工作正常的通道作为主状态；并且，

在每个控制周期开始时，两个应用处理机从对应的热备管理单元接收工作模式码，并根据接收到的工作模式码来执行主状态或者备状态的流程，完成应用处理流程后，向对应的热备管理单元报告自己的工作状态，热备管理单元根据工作状态信息判断两个应用处理机的工作状态是否正常，当任何一个应用处理机工作异常时，热备管理单元采用自锁 /互锁逻辑实现主、备状态的切换，并对工作异常的应用处理机釆取冗余策略使其停止工作。

其中，所述热备状态管理层按照如下方式实现两个通道的控制周期同步: 热备状态管理层向两个应用处理机输出同步信号，使两个应用处理机处于控制周期同步的工作状态。

其中，所述热备状态管理层实现两个通道的控制周期同步的方式具体为：当前主通道的热备管理单元从两个热备管理单元之间的同步连接总线发出同步信号，当前备通道的热备管理单元从同步连接总线接收该同步信号，从而保证两个热备管理单元处于控制周期同步的工作状态。

其中，热备管理层按照如下方式监控数据通信层的工作状态：

每个通信机正常工作时，向热备管理层发送周期变化的电平信号，一旦这种动态信号停止或者发生异常，热备管理层判断出该通信机发生了异常，并把该通信机的异常工作状态信号发送给应用处理层的两台应用处理机，以便于应用处理机选择工作正常的通信机输出。

其中，数据通信层在接收到应用处理层发送的数据请求之后将来自外界的数据转发给应用处理层，并且数据通信层通过识别应用处理层发送的数据请求中的周期号信息来保证给两个应用处理机发送的数据的一致性。

上述技术方案具有如下优点：本发明釆用分层结构设计双通道热备系统，利用其中切换单元（即热备管理单元）作为第三方判决设备来控制主、备状态的预置和切换，而且切换单元釆用冗余硬件设计方法，釆用自锁 /互锁逻辑选择 1个工作正常的通道为主状态，从而避免了两个通道间互相进行判断时出现的 "双主" 或者 "双备" 的状态。同时，切换单元还能够输出同步信号，从而保证了两个通道的控制周期同步，并通过流程控制码来实时监控双通道的运行状态，提高了故障反应时间。三层结构之间通过高速通信总线来实现数据的交换，可以满足整个双通道热备系统对于实时性的要求。热备管理单元、高速通信总线、通信机均釆用了冗余结构，提高了整个系统的可靠性和可用性。另外，通过同时使用以下三种方式保证了主、备状态的无缝切换： ( 1 )应用处理机在进入备模式之前，在同步模式中根据处于主模式的应用处理机发送的数据进行同步；（2 )使两个应用处理机处于周期同步的工作状态;

( 3 )数据通信层保证给两个应用处理机发送的输入数据的一致性。

附图说明

图 1是本发明实施例的双通道热备系统的层次结构图；

图 2是本发明实施例的方法中互锁 /自锁逻辑原理框图；

图 3是本发明实施例的方法中应用处理机工作模式转换图；

图 4是本发明实施例的系统中定义的控制面板示意图；

图 5是本发明实施例的系统中周期控制模块的原理框图；

图 6是本发明实施例的系统中通信机发送数据时所釆用的一致性控制策略的流程。具体实施方式

以下实施例用于说明本发明，但不用来限制本发明的范围。

本发明实施例提供了一种双通道热备系统及利用该系统实现双通道热备的方法。

采用分层设计方法，将双通道热备系统分为了热备状态管理层、应用处理层和数据通信层三个层次结构。系统层次结构图如图 1所示。

热备状态管理层釆用冗余硬件设计，包括两个热备管理单元。热备管理单元 1监控应用处理机 1的工作状态，并向应用处理机 1发送模式码来通知工作模式。同理，热备管理单元 2控制应用处理机 2的工作模式。两个热备管理单元之间釆用各自的自锁 /互锁逻辑选择 1个工作正常的通道为主状态，从而避免两个通道间互相判断时出现的 "双主" 或者 "双备" 的状态。同时，热备状态管理层输出同步信号，使应用层的两个应用处理机处于周期同步的工作状态。

应用处理层包括两台应用处理机（双机）。在每个控制周期开始时都会从对应的热备管理单元接收工作模式码，并根据接收到的工作模式码来执行主状态或者备状态的流程。完成应用处理流程后，会向热备管理单元报告自己的工作状态。热备管理单元根据这些信息判断双机的工作状态是否正常。当任何一台应用处理机出现问题时，热备状态管理层会控制双机完成主、备状态的切换，对工作异常的应用处理机采取冗余策略使其停止工作。

数据通信层包括两台通信机，主要完成数据转发的功能，接收来自外界的数据，并转发给应用处理层的两台应用处理机，同时将处于主状态的应用处理机发出的运算结果向外部系统发送。两台通信机相互独立工作，构成冗余的配置结构，任何一台通信机发生故障时，另外一台仍能为应用处理层的双机完成数据转发工作。两台通信机的状态受到热备管理层中两个热备管理单元的共同监控。通信机正常工作时，会向热备管理层发送周期变化的电平信号，一旦这种动态信号停止或者发生了异常，热备管理层会判断该通信机发生了异常，并把通信机的状态发送给应用处理层的两台应用处理机，便于应用处理机选择正常的通信机输出。

热备管理层的一个热备管理单元和应用处理层的一台应用处理机共同构成热备系统的一个通道。数据通信层的两台通信机相互冗余，为两个通道共同使用。三层结构之间通过高速通信总线来实现数据的交换，可以满足整个双通道热备系统对于实时性的要求。热备管理单元、高速通信总线、通信机均釆用了冗余结构，提高了整个系统的可靠性和可用性。

在双通道热备系统中，可靠地实现主、备通道状态切换是实现系统功能的关键。在本发明的具体方案中，通过自锁 /互锁逻辑来实现两个通道工作模式的管理。互锁 /自锁逻辑原理框图如图 2所示。

两个热备管理单元之间的自锁 /互锁逻辑分成完全一致的两个部分，分别位于两个热备管理单元内，分别称为自锁 /互锁单元 1、互锁 /自锁单元 2。自锁 /互锁连接总线用于交互两个自锁 /互锁单元判断得到的工作模式码，从而实现自锁 /互锁逻辑，选择一个正常工作的通道作为主状态。

每个互锁 /自锁单元的输入包括：

1 )本地应用处理机状态输入；

2 )本地自锁 /互锁单元的输出；

3 )对方自锁 /互锁单元的输出

4 ) 互锁 /自锁单元地址（1或 2 )。每个自锁 /互锁单元的输出为：给应用处理机的工作模式码。自锁 /互锁单元将本地应用处理机报告的工作模式码分为工作状态和非工作状态。工作状态包括主和备两种模式。非工作状态包括上电、故障、同步和维护四种模式。各种模式之间的转换关系如图 3所示。应用处理机在各种工作模式下完成的工作如下：

1 ) 上电模式：完成上电初始化和自检；

2 ) 主模式：完成正常的应用处理功能，并向通信机发送输出数据；

3 )备模式：完成正常的应用处理功能，但不向通信机发送输出数据；

4 )同步模式：处于同步模式的应用处理机向处于主模式的应用处理机请求同步数据，并根据这些数据完成对自身状态的同步；

5 ) 故障模式：应用处理机运行出现问题，停止工作；

6 )维护模式：在此模式下，可以对系统软件进行升级和维护。

自锁 /互锁单元根据保存的上个周期应用处理机的模式信息以及本周期的输入信息，根据图 3所示的转换关系，判决出双通道的工作模式。遇到互锁争权情况时，自锁 /互锁单元 1读取本地地址，本地地址为 " 1" 自锁 /互锁单元的输出为主状态。自锁 /互锁单元为冗余设计，保证其可用性。

为了便于对双通道热备系统的状态进行监控，本系统提供如图 4所示的控制面板，其具有显示双通道的工作状态和实现人工切换的功能。面板的上方一排为状态指示灯，显示应用处理机和通信机是否上电以及是否处于工作状态的信息。下面一排为带灯按钮，当应用处理机 1或者应用处理机 2工作的指示灯点亮时分别代表应用处理机 1或者应用处理机 2处于主模式。当故障指示灯亮起时，代表对应的应用处理机或者通信机发生了故障，需要人工按压点亮的指示灯使对应的设备重新上电。控制面板还提供人工切换的功能，当系统正常工作时，按压应用处理机 1或者应用处理机 2工作按钮可以指定对应的应用处理机进入主模式，另外一应用处理机进入备模式。当需要对软件升级或者进行人工维护时，可以在系统上电后的若干秒内，同时按压两个应用处理机的工作按钮，使整个系统进入维护模式，便于操作人员进行维护。

为了保证发生主、备状态切换时，切换动作是无缝的，需要保证主、备通道之间的状态同步。除了保证应用处理机在进入备模式之前，必须在同步模式中根据处于主模式的应用处理机发送的数据进行同步之外，在本方案中还通过以下两种方式保证应用处理层双机之间的状态同步。

( 1 )应用处理层双机处于周期同步的工作状态；

( 2 ) 数据通信层通信机保证给应用处理层双机发送的输入数据的一致性。

由于应用处理层双机是受热备管理层控制的，因此需要两个热备管理单元中的周期控制模块保证切换无缝。这就要求备通道热备管理单元的周期控制模块是无条件跟随主通道热备管理单元的周期控制模块，即主通道热备管理单元的周期控制模块要与备通道热备管理单元的周期控制模块同步。

这样，必须在两个热备管理单元中的周期控制模块之间设置同步连接总线，但考虑到两个热备管理单元的主、备关系是会变化的，所以同步连接总线只能由当前主通道的热备管理单元作为输出使用，当前备通道只能接收同步连接总线发来的同步信号。因此，同步连接总线负责向当前备通道传递当前主通道的同步信号。周期控制模块的原理框图如图 5所示。

从图 5可以看出，热备管理单元的周期控制模块中的计数器受控于同步信号，同步信号的来源有两个：本地周期控制单元的周期控制模块输出和主热备管理单元的周期控制模块输出。

当热备管理单元所在的通道为主通道时，其周期控制模块输出的同步信号控制自身的计数器，并通过同步连接总线控制备通道的热备管理单元中周期控制模块中的计数器。

所以，对于热备管理单元周期控制模块中的计数器的同步信号要设置切换开关，负责根据热备管理单元主或备状态来控制周期控制模块是使用自身的同步信号，还是主热备管理单元的周期控制模块的同步信号。同时热备管理单元周期控制模块的同步连接总线也要设置切换开关。当热备管理单元为主时，其周期控制模块输出同步信号，当热备管理单元为备时，其周期控制模块输入同步信号。值得强调的是：周期控制模块应釆用冗余设计，保证其可用性。在大多数控制系统中，外部输入数据的到来时刻总是随机的。对于周期控制的系统来说，总是在某一固定的时刻开始对输出的数据进行处理。由于热备系统中负责应用处理的双机不可能出于绝对的同步状态，所以会造成某一控制周期中处理的输入数据不一致。从而造成双机状态的不同步。设置数据通信管理层的好处在于可以通过通信机来保证给应用处理层双机发送数据的一致性。为了实现这一功能，需要应用处理机在进行数据输入处理之前，向通信机发送数据请求，数据请求报文中包括了周期号信息，以便通信机进行判断。通信机实现发送数据一致性的流程如图 6所示。

在釆用了以上方法后，可以保证主通道的运行状态和备通道的运行状态是周期同步的。在主、备通道的一致性校验方法上，釆用了无条件支持主通道输出的方法，在每个控制周期应用处理完毕后，主通道会把自己的计算结果发送给备通道，备通道把主通道的计算结果与本地计算的结果进行比较，如果出现了不一致的情况，则判定备通道出现了问题，是其转入故障模式。工业实用性

本发明提供一种双通道热备系统及利用该系统实现双通道热备的方法，该方案能够避免出现 "双主" 或者 "双备" 的状态；保证两通道的控制周期同步；提高系统的故障反应时间；满足实时性的要求；提高系统的可靠性和可用性；保证了主、备状态的无缝切换，具有工业实用性。

Claims

权利要求书:

1、一种双通道热备系统，其特征在于，所述系统包括热备状态管理层、应用处理层和数据通信层；所述热备状态管理层包括两个热备管理单元，所述应用处理层包括两个应用处理机，所述数据通信层包括两个通信机；所述热备状态管理层用于控制两个应用处理机主、备状态的设置和切换、监控数据通信层的工作状态，并实现系统的两个通道的控制周期同步，其中，一个热备管理单元控制一个应用处理机，并与其构成该系统的一个通道；所述数据通信层用于接收来自外界的数据，并转发给所述应用处理层。

2、如权利要求 1所述的系统，其特征在于，所述热备状态管理层、应用处理层和数据通信层均连接到高速通信总线上。

3、如权利要求 2所述的系统，其特征在于，两个热备管理单元之间通过互锁 /自锁连接总线连接，所述互锁 /自锁连接总线用于实现自锁 /互锁逻辑，从而选择一个正常工作的通道作为主状态。

4、如权利要求 1所述的系统，其特征在于，两个热备管理单元之间通过同步连接总线连接，所述同步连接总线用于向当前备通道传递当前主通道的同步信号。

5、如权利要求 3所述的系统，其特征在于，热备状态管理层釆用冗余硬件设计；两个应用处理机相互冗余，两台通信机也相互冗余，为两个通道共同使用；高速通信总线釆用冗余结构。

6、一种利用权利要求 1〜5任一项所述的系统来实现双通道热备的方法，其特征在于，所述热备状态管理层按照如下方式控制两个应用处理机主、备状态的设置：

热备管理单元向对应的应用处理机发送工作模式码来通知其工作模式，其中，所述工作模式码分为工作状态和非工作状态，工作状态包括主、备两种模式，非工作状态包括上电、故障、同步和维护四种模式。

7、如权利要求 6所述的方法，其特征在于，所述热备状态管理层按照如下方式控制两个应用处理机主、备状态的切换：两个热备管理单元之间釆用自锁 /互锁逻辑选择一个工作正常的通道作为主状态；并且，

在每个控制周期开始时，两个应用处理机从对应的热备管理单元接收工作模式码，并根据接收到的工作模式码来执行主状态或者备状态的流程，完成应用处理流程后，向对应的热备管理单元报告自己的工作状态，热备管理单元根据工作状态信息判断两个应用处理机的工作状态是否正常，当任何一个应用处理机工作异常时，热备管理单元釆用自锁 /互锁逻辑实现主、备状态的切换，并对工作异常的应用处理机釆取冗余策略使其停止工作。

8、如权利要求 6所述的方法，其特征在于，所述热备状态管理层按照如下方式实现两个通道的控制周期同步：

热备状态管理层向两个应用处理机输出同步信号，使两个应用处理机处于控制周期同步的工作状态。

9、如权利要求 8所述的方法，其特征在于，所述热备状态管理层实现两个通道的控制周期同步的方式具体为：

当前主通道的热备管理单元从两个热备管理单元之间的同步连接总线发出同步信号，当前备通道的热备管理单元从同步连接总线接收该同步信号，从而保证两个热备管理单元处于控制周期同步的工作状态。

10、如权利要求 6所述的方法，其特征在于，热备管理层按照如下方式监控数据通信层的工作状态：

11、如权利要求 6所述的方法，其特征在于，数据通信层在接收到应用处理层发送的数据请求之后将来自外界的数据转发给应用处理层，并且数据通信层通过识别应用处理层发送的数据请求中的周期号信息来保证给两个应用处理机发送的数据的一致性。