WO2024011906A1

WO2024011906A1 - 一种主从冗余控制系统及控制方法

Info

Publication number: WO2024011906A1
Application number: PCT/CN2023/077134
Authority: WO
Inventors: 辛克廷; 刘铭皓; 祖利辉; 陈闯
Original assignee: 南京科远智慧科技集团股份有限公司
Priority date: 2022-07-15
Filing date: 2023-02-20
Publication date: 2024-01-18
Also published as: CN115113516A

Abstract

一种主从冗余控制系统，包括两个可根据工作状态进行主从切换的控制器；一个控制器工作在主状态，另一个控制器作为冗余备份工作在从状态，并根据工作状态进行主从切换；各控制器包括：处理器，实现主从控制器的控制逻辑；通信接口，作为控制器的同步状态报文的传输接口；以太网接口，作为控制器的同步数据报文的传输接口；逻辑器件，实现主从切换和主从同步逻辑的收发控制；该系统采用逻辑器件传输冗余切换报文，处理器不参与报文的收发，一方面逻辑器件在检查到状态改变后向处理器发送中断，降低了处理器的负荷，提高主从切换速度，另一方面逻辑器件发送报文的周期固定，降低了冗余控制器的切换抖动

Description

一种主从冗余控制系统及控制方法

技术领域

本申请涉及一种应用于主从冗余控制系统的冗余通信以及主从切换的方法。

背景技术

高可靠性要求的工业自动化的领域会采用控制器热备冗余的方式提高整个系统的可靠性。目前控制系统采用控制器冗余，模件冗余，通信链路冗余，电源冗余，网络设备冗余等方式提高系统的可靠性。

其中控制器冗余，冗余的两个或者更多个控制器需要控制数据的同步和主从控制的切换，主控制器在发生故障的情况下要及时切换为从控制器，同时作为冗余备份的从控制器要及时切换为主控制器。

目前主要采用的方式有：1、硬件电路构成的冗余切换电路，该方式的优点主要是电路简单可靠，缺点是可扩展性差，对控制器主从切换的信息简单，不能根据系统的扩展增加冗余切换的判断逻辑；2、采用专用的通信链路进行冗余切换通信，该方式的优点，电路简单，通信信息可扩展，缺点是实时性较差，特别是随着控制器的负荷增加，冗余通信的周期不确定，存在切换周期抖动，也很难达到微秒级的主从切换；3、采用专用的逻辑器件构建通信链路，该方式结合上述方案的优点，具备可扩展性，电路简化，通信数据可校验，实时性高，达到微秒级通信周期，切换抖动小，降低控制器符合，不随着控制器的负荷增加冗余切换周期增加等特点，适合用在一些快速无扰切换的应用场合。

发明内容

本申请是为了减小热备冗余的控制器的主从切换周期，降低切换周期的抖动，使冗余切换的过程与控制器的负荷解耦，增加通信数据的校验，从而提高增加冗余控制系统的可靠性。冗余切换的周期达到微秒级精度是控制系统对不同的工业应用场合具有更高的适用性。

本发明所采用的技术方案如下：

一种主从冗余控制系统，包括两个可根据工作状态进行主从切换的控制器；一个控制器工作在主状态，另一个控制器作为冗余备份工作在从状态，并根据工作状态进行主从切换。各控制器包括：

处理器，实现主从控制器的控制逻辑；

通信接口，作为控制器的同步状态报文的传输接口；

以太网接口，作为控制器的同步数据报文的传输接口；

逻辑器件，实现主从切换和主从同步逻辑的收发控制。

逻辑器件采用可编程逻辑器件，以其构建冗余切换链路，主要目的是解决由控制器直接参与构建通信链路进行冗余切换的问题。控制器直接通信链路的方式，不论是采用周期查询方式或者中断的方式，都会增加控制器负荷，同时控制器随着外围控制逻辑的增加，会导致冗余切换的周期也会跟随增加，冗余切换的抖动也会增加。可编程逻辑器件可以在不需要控制器参与的情况下，实现在主从控制器的高效通信，并且不会随着控制器负荷的增加而增加冗余切换周期，切换抖动小，同时通信扩展性高，增加通信数据校验后，通信可靠性增加，并且冗余切换的周期可以达到微秒级。

本申请冗余热备控制器之间通过通信接口和以太网接口分布传输冗余切换报文和冗余数据报文，保证冗余切换的实时性。

其中，处理器提供一个SPI接口与逻辑器件进行通信。处理器提供的SPI接口实现双向数据的收发，包括向逻辑器件写入状态信息和读取状态信息，处理器提供的SPI接口只实现主从切换逻辑的写入和读取。处理器在控制周期内写入本机的状态，处理器对冗余状态的读取是通过中断的方式，通过中断的方式可以降低处理器的负荷，另外可以提高处理器获取冗余状态的速度。处理器获取冗余状态并不仅仅支持中断模式，SPI的全双工的通信方式同时支持在处理器在下发本机状态的同时获取冗余状态。

进一步的，上述逻辑器件包括：

SPI接口，与处理器相连，接收处理器下发的本机状态信息并更新到本机状态中，同时响应处理器的读取冗余状态的命令，向处理器发送冗余状态；

串行收发模块，包含串行发送和串行接收构成串行收发模块的全双工通信，该模块在发送本机状态的同时接收冗余状态；

冗余状态改变模块，在检测到冗余状态改变的情况下向处理器发出中断。

本申请通过冗余状态改变模块降低处理器的负荷并提高处理器获取冗余状态的速度。在冗余状态未改变的情况下，不产生中断，处理器不会读取冗余状态；在冗余状态改变的情况下，产生中断，处理器读取冗余状态。并采用串行收到模块进行数据收发，不占用处理器的处理时间，以可以计算的时间和周期将本机状态发送给冗余控制器，同时获取冗余控制器的状态到本机。串行收发模块构造通信报文，串行发送模块的发送报文包含本机状态和校验信息；同时串行接收模块接收报文，需要校验接收报文，报文没有错误情况下更新冗余状态，在报文检验错误情况下发送错误标记为给处理器。

本申请还提供了一种主从冗余控制方法，采用以下冗余切换逻辑：处理器根据本控制器的状态向逻辑器件发送本机状态，逻辑器件获取本机状态，添加校验信息，固定周期内发送报文；逻辑器件同时接收报文，对接收的报文数据进行校验，校验报文没有错误的情况下更新冗余状态，并在检测到冗余状态发生改变的情况下，向处理器发送中断，处理器读取冗余状态；逻辑器件在校验报文错误情况下发送错误标记给处理器。

本申请冗余切换的逻辑控制报文在通信接口中传输，该接口只传输冗余切换的报文，提高冗余切换的实时性。处理器并不直接参与数据的收发，因此处理器负荷的高低并不能影响数据的收发周期，该方式解决了由于处理器负荷的不同导致的冗余切换周期的抖动。

更为具体的，所述主从冗余控制方法包括以下步骤：

处理器根据本控制器的状态周期向逻辑器件的SPI接口发送本机状态；

SPI接口接收到本机状态后，进入下一个等待周期；

串行发送模块获取本机状态后，添加CRC8校验信息，发送报文；

通信接口，接收冗余控制器发送的状态报文；

冗余状态改变模块，根据冗余控制器的状态报文的接收情况，更新冗余状态；在冗余状态发生改变的情况下，向处理器发出中断；

处理器以中断的方式读取冗余状态，读取完成后，冗余状态改变模块清除该中断，进行下一个监控冗余状态周期。

进一步的，主从冗余控制方法还采用以太网接口进行主从控制器的控制数据报文收发。该以太网接口主要作为冗余切换的数据报文的通信接口，主要作用是主控制器和从控制器的控制数据同步。

进一步的，当通信接口在一个通信周期内未收到冗余控制器发送过来的状态报文，判断冗余控制器不存在，将冗余状态清零，通知处理器，本机控制器进入单机运行状态，在此状态下，持续等待通信接口接收的报文数据，当收到数据即退出单机模式；当通信接口收到冗余控制器发送过来的状态报文，进行数据校验后没有错误，更新冗余状态，控制系统进入双机冗余控制状态。

本申请相比现有技术具有以下优点：

1）本申请控制系统中冗余热备控制器之间通过通信接口和以太网接口分别传输冗余切换报文和冗余数据报文，保证冗余切换的实时性。

2）本申请的实施例中，冗余切换报文的收发采用可编程逻辑器件，冗余切换报文长度可扩展，报文中包含本控制器的网络诊断信息，电源诊断信息，以及模件诊断信息，以便于控制器支持更加复杂的冗余切换逻辑，并且在报文中添加校验信息，通信更加可靠。

3）本申请的实施例中，逻辑器件传输冗余切换报文，处理器不参与报文的收发，一方面逻辑器件在检查到状态改变后向处理器发送中断，降低了处理器的负荷，另一方面逻辑器件发送报文的周期固定，降低了冗余控制器的切换抖动。整个冗余切换报文的通信周期在7.52us，报文处理周期在50us内，冗余切换的周期在100us内，较采用处理器控制的方式1-10ms内，冗余切换的速度提高10倍以上。

附图说明

图1为本申请实施例控制系统的拓扑结构。

图2为本申请实施例控制器冗余切换模块框图。

图3为本是申请实施例中逻辑器件的状态机跳转图。

具体实施方式

下面结合附图对本申请的技术方案作进一步的说明。

本实施例提供了一种应用于主从冗余控制系统的冗余通信以及冗余切换的方法，该方法应用在冗余控制器之间的主从同步和主从切换。主要目的实现主从控制器的快速切换，降低主从切换的周期抖动，同时使主从切换具有功能可扩展性以及高可靠性的特点。通过可编程逻辑器件来实现主从控制器的状态转换控制，解决了由CPU直接进行冗余切换造成的切换速度变化问题，降低了控制器通信周期对冗余切换周期的影响，同时也降低了控制器切换周期抖动。主、从控制器固定周期内通过报文的形式将从控制器的状态发送给主控制器，同时将主控制器的状态发送给从控制器，该报文包含了主从控制器的状态，以及数据校验信息。该通信报文由可编程逻辑器件实现收发，采用报文的方式，解决了由固定连接线构成主从切换的可扩展性问题，同时可以添加校验信息保证通信的可靠性。

如图1所示，本实施例系统包括两个完全相同的控制器1和控制器2，该控制器1和控制器2互为冗余备份，其中一个控制器1或者控制器2工作在主控制器状态，负责整个控制逻辑的处理，监控设备的通信，现场设备的控制，同时将控制数据通过以太网接口14主动传输给冗余控制器，另一个控制器处于冗余备份状态，接收主控制器通过以太网接口14发送来的控制数据，做到与主控制器的完全同步。

在主控制器发送故障的条件下产生两种处理逻辑，一种是主控制器通过通信接口13主动将主控制器的故障信息发送给从控制器，从控制器将本机切换为主控制器的同时将发送状态转换报文把主控制器切换为从控制器；另一种情况，主控制器故障已经无法发送状态报文，从控制在通过通信接口13发送给主控制器状态的时间内，未收到主控制器发送的状态报文，判断主控制器已经离线，主动将从控制器切换为主控制器。

逻辑器件12负责冗余数据通信和冗余状态通信的数据链路层的实现，对外通信连接通信接口13和以太网接口14，对内通信连接处理器11，将对内通信和对外通信解耦合，以防止处理器11负荷增加对冗余数据通信和冗余状态通信周期产生影响，同时防止外部数据通信对增加处理器11的负荷。逻辑器件在没有处理器11参与的情况下，主动收发冗余状态数据，接收处理器11发送的状态信息，在冗余状态发生改变的情况下，主动向处理器11发送状态信息。

如图2所示，为本实施例控制器内冗余切换逻辑框图，处理器11包含一个可以作为SPI主设备的外设，SPI可以支持全双工通信，单个字节在25MHz时钟下通信周期为320ns，并且该接口可以在发送本机状态123情况下同时接收冗余状态124。

首先处理器11根据本控制器的状态（网络状态、电源状态、设备通信状态等信息）周期通过SPI外设向逻辑器件12的SPI 121发送本机状态123，由于SPI 121全双工通信方式，在发送的同时处理器11可以接收到冗余状态124，该方式为处理器11在冗余状态124没有改变的情况下，主动查询冗余状态124的方式，同时处理器11支持在冗余状态124改变的情况下，以中断的方式读取冗余状态，这两种方式保证了处理器11对控制器工作状态的周期诊断和主从控制器状态改变的立即响应处理。处理器的周期诊断的任务周期在50us。

逻辑器件12包含一个SPI 121，该SPI 121是属于SPI主从通信中的从设备，从设备不能发送通信时钟，只能响应处理器11的SPI主设备的通信命令，因此逻辑器件12的SPI 121 不能主动发起通信，只能等待处理器11的命令。

逻辑器件12包含一个串行收发模块122，该模块包含串行发送和串行接收两部分。该模块将并行的数据按照2.5MHz的波特率发送出去。

串行发送模块获取本机状态123后，添加CRC8校验信息，构造一个发送报文，发送报文交给串行发送模块发送；

串行接收模块接收报文，该报文包含了冗余状态信息和CRC8的校验信息，串行接收模块将串行数据转化成并行数据暂存后，对接收到的数据进行校验，校验报文没有错误情况下更新冗余状态124，在报文检验错误情况下发送错误标记为给处理器11。

逻辑器件12包含一个冗余状态改变模块125，该模块可以有效降低处理器11的负荷并提高处理器11的相应速度，从而提高冗余控制系统的主从切换速度。冗余状态改变模块125，在检测到冗余状态124发生改变的情况下，向处理器11产生中断，处理器11快速响应中断后，通过SPI接口读取冗余状态124。

如图3所示，为逻辑器件12的状态机跳转图，该逻辑器件12的功能需求为：①响应处理器11下发的数据；②固定的周期内将本机状态123发送出去；③等待接收数据，根据接收到的数据初步判断冗余控制器的状态，在特定的情况下将该数据发送给处理器11。

图3逻辑器件12的状态跳转如下，控制器1和控制器2启动后，逻辑器件12同时创建四个功能模块，分别负责SPI接收，发送本机状态、接收冗余状态和冗余状态改变，四个功能模块并行执行。

SPI接收，控制器1或者控制器2上电后，一直等待处理器11的通信命令，接收到数据（本机状态123）后，进入下一个等待周期。

发送本机状态，控制器1或者控制器2上电后，一直在发送由SPI接收到的本机状态123，处理器11在启动过程中本机状态123为全0状态，该状态发送给冗余控制器，冗余控制器可以判断本控制器存在但是在启动中，因此发送本机状态模块的周期发送不能中断，中断后冗余控制器判断本地控制器不存在，会将冗余控制器切换为主控制器状态。控制器1或者控制器2在正常启动后，SPI会收到处理器11发送的本机状态123信息，该信息会更新给发送本机状态模块。

接收冗余状态（由串行收发模块执行），控制器1或者控制器2上电后，一直等待通信接口13输入的数据。如图3所示，通信接口13输入的数据分为两种不同情况，一种情况下在一个通信周期内未收到冗余控制器发送过来的数据，判断冗余控制器不存在，将冗余状态124清零后，通知处理器11，控制器1或者控制器2进入单机运行状态，在单机运行状态下，串行收发模块也在一直等待通信接口13输入的数据，如果收到数据即退出单机模式；另一种情况，通信接口13收到了冗余控制器发送过来的数据，进行数据校验后没有错误，更新冗余状态124，控制系统进入双机冗余控制状态。

冗余状态改变（由冗余状态改变模块执行），控制器1或者控制器2上电后，一直在监控冗余状态124，冗余状态124改变后，即向处理器11发出中断，等待处理器11读取冗余状态124，处理器11通过SPI外设发送读取命令，读取完成后，冗余状态改变模块需要清除该中断，进行下一个监控冗余状态124周期。

以上所述仅是本申请的一种实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下还可以作出若干改进，这些改进也应视为本申请的保护范围。

Claims

一种主从冗余控制系统，包括两个可根据工作状态进行主从切换的控制器；其特征在于，各控制器包括：

处理器，实现主从控制器的控制逻辑；

通信接口，作为控制器的同步状态报文的传输接口；

以太网接口，作为控制器的同步数据报文的传输接口；

逻辑器件，实现主从切换和主从同步逻辑的收发控制。
根据权利要求1所述的主从冗余控制系统，其特征在于，所述逻辑器件包括：

SPI接口，与处理器相连，接收处理器下发的本机状态信息并更新到本机状态中，同时响应处理器的读取冗余状态的命令，向处理器发送冗余状态；

串行收发模块，包含串行发送和串行接收构成串行收发模块的全双工通信，该模块在发送本机状态的同时接收冗余状态；

冗余状态改变模块，在检测到冗余状态改变的情况下向处理器发出中断。
一种主从冗余控制方法，其特征在于，采用以下冗余切换逻辑：处理器根据本控制器的状态向逻辑器件发送本机状态，逻辑器件获取本机状态，添加校验信息，固定周期内发送报文；逻辑器件同时接收报文，对接收的报文数据进行校验，校验报文没有错误的情况下更新冗余状态，并在检测到冗余状态发生改变的情况下，向处理器发送中断，处理器读取冗余状态；逻辑器件在校验报文错误情况下发送错误标记给处理器。
根据权利要求3所述的主从冗余控制方法，其特征在于，所述主从冗余控制方法包括以下步骤：

处理器根据本控制器的状态周期向逻辑器件的SPI接口发送本机状态；

SPI接口接收到本机状态后，进入下一个等待周期；

串行发送模块获取本机状态后，添加CRC8校验信息，发送报文；

通信接口，接收冗余控制器发送的状态报文；

冗余状态改变模块，根据冗余控制器的状态报文的接收情况，更新冗余状态；在冗余状态发生改变的情况下，向处理器发出中断；

处理器以中断的方式读取冗余状态，读取完成后，冗余状态改变模块清除该中断，进行下一个监控冗余状态周期。
根据权利要求4所述的主从冗余控制方法，其特征在于，所述主从冗余控制方法还采用以太网接口进行主从控制器的控制数据报文收发。
根据权利要求4所述的主从冗余控制方法，其特征在于，当通信接口在一个通信周期内未收到冗余控制器发送过来的状态报文，判断冗余控制器不存在，将冗余状态清零，通知处理器，本机控制器进入单机运行状态，在此状态下，持续等待通信接口接收的报文数据，当收到数据即退出单机模式；当通信接口收到冗余控制器发送过来的状态报文，进行数据校验后没有错误，更新冗余状态，控制系统进入双机冗余控制状态。