基于二乘二取二安全冗余系統(tǒng)的控制裝置的制造方法
【專利摘要】本實用新型公開了一種基于二乘二取二安全冗余系統(tǒng)的控制裝置����,包括第一二取二系統(tǒng)、第二二取二系統(tǒng)�、系統(tǒng)冗余電源和切系裝置;系統(tǒng)冗余電源分別為第一二取二系統(tǒng)���、第二二取二系統(tǒng)和切系裝置供電����;切系裝置能對第一二取二系統(tǒng)和第二二取二系統(tǒng)進行運行狀況切換。上述基于二乘二取二安全冗余系統(tǒng)的控制裝置���,具有較高的可用性�����、可靠性和安全性���。
【專利說明】
基于二乘二取二安全冗余系統(tǒng)的控制裝置
技術(shù)領(lǐng)域
[0001] 本實用新型涉及通訊安全控制技術(shù)領(lǐng)域,特別是涉及一種基于二乘二安全冗余系 統(tǒng)的控制裝置�。
【背景技術(shù)】
[0002] 安全控制平臺是各個工業(yè)領(lǐng)域重要處理平臺,具備信號輸入����、邏輯處理和信號輸 出等基本功能。安全控制平臺對可靠性�、可用性、可維護性和安全性等方面的要求均應符合 EN50126中的相關(guān)規(guī)定���。 【實用新型內(nèi)容】
[0003] 本實用新型提供一種可靠性較高�����、可用性較強的基于二乘二安全冗余系統(tǒng)的控制 裝置��。
[0004] 為解決上述技術(shù)問題��,本實用新型所采取的技術(shù)方案是:一種基于二乘二取二安 全冗余系統(tǒng)的控制裝置����,包括第一二取二系統(tǒng)、第二二取二系統(tǒng)���、系統(tǒng)冗余電源和切系裝 置���;
[0005] 所述系統(tǒng)冗余電源為所述第一二取二系統(tǒng)��、所述第二二取二系統(tǒng)和所述切系裝置 供電�����;
[0006] 所述切系裝置能對所述第一二取二系統(tǒng)和所述第二二取二系統(tǒng)進行運行狀況切 換�。
[0007] 優(yōu)選的,所述切換為自動切換�����,即根據(jù)兩個二取二系統(tǒng)的運行狀況自動選擇主系。
[0008] 優(yōu)選的���,所述第一二取二系統(tǒng)或所述第二二取二系統(tǒng)包括第一安全電源����、第一主 控單元�����、第二主控單元��、第一通信單元�����、第二通信單元����、第一采集單元、第二采集單元���、第一 輸出單元�����、第二輸出單元和第一記錄單元����;
[0009] 所述第一安全電源為所述第一主控單元、所述第一通信單元��、所述第一采集單元 和第一輸出單元提供獨立的邏輯電源;所述第一安全電源為所述第二主控單元���、所述第二 通信單元�、所述第二采集單元和第二輸出單元提供獨立的邏輯電源�����;
[0010] 所述第一主控單元分別與所述第一通信單元��、所述第一采集單元�����、第一輸出單元 和所述第一記錄單元通信連接;所述第一通信單元���、所述第一采集單元、第一輸出單元和所 述第一記錄單元形成所述第一二取二系統(tǒng)的第一通道���;
[0011]所述第二主控單元分別與所述第二通信單元��、所述第二采集單元�、第二輸出單元 和所述第一記錄單元通信連接;所述第二通信單元、所述第二采集單元��、第二輸出單元和所 述第一記錄單元形成所述第一二取二系統(tǒng)的第二通道�����。
[0012]優(yōu)選的��,還包括通信接口 A��、通信接口 B����、輸出接口 A和采集接口 A;
[0013]所述通信接口 A與所述第一通信單元連接;所述通信接口 B與所述第二通信單元連 接;所述輸出接口 A與所述第一輸出單元和所述第二輸出單元連接;所述采集接口 A與所述 第一采集單元和所述第二采集單元連接。
[0014] 優(yōu)選的�����,所述第一安全電源接收所述第一主控單元和所述第二主控單元輸出的動 態(tài)信號��,并對應為所述通信接口 A���、所述通信接口 B和所述輸出接口 A供電��。
[0015] 優(yōu)選的����,所述第一輸出單元和所述第二輸出單元均包括延時電路,所述延時電路 用于對各個輸出單元輸出的信號進行延時���。
[0016] 優(yōu)選的�,所述第一通信單元和所述第二通信單元之間����、所述第一輸出單元和所述 第二輸出單元之間以及所述第一采集單元和所述第二采集單元之間均形成一個二取二單 元;
[0017] 每個所述二取二單元包括時鐘隔離電路�、數(shù)據(jù)隔離電路和兩套對稱的硬件結(jié)構(gòu); 所述時鐘隔離電路和所述數(shù)據(jù)隔離電路設置在兩套所述硬件結(jié)構(gòu)之間��,并均與兩套所述硬 件結(jié)構(gòu)電連接����;
[0018] 每套所述硬件結(jié)構(gòu)包括運算CPU、調(diào)度FPGA�����、獨立電源和獨立接口電路及相應的擴 展電路;所述運算CHJ與所述調(diào)度FPGA連接�����,所述調(diào)度FPGA與所述獨立接口電路連接;所述 獨立電源為所述運算CPU�����、所述調(diào)度FPGA���、所述獨立接口電路和相應的擴展電路供電��。
[0019] 優(yōu)選的����,所述切系裝置包括鑰匙開關(guān)和互斥電路;所述鑰匙開關(guān)和所述互斥電路 電連接����;
[0020] 所述切系裝置接收所述第一安全電源輸出的條件輸出電源,以及所述第一主控單 元和所述第二主控單元輸出的主備狀態(tài)信號;所述切系裝置將所述鑰匙開關(guān)輸出的主備系 選擇信號和所述互斥電路輸出的主備切系選擇信號發(fā)送至對應的主控單元���。
[0021] 優(yōu)選的�,所述系統(tǒng)冗余電源包括第一冗余電源���、第二冗余電源和第三冗余電源��;
[0022] 所述第一冗余電源為所述第一二取二系統(tǒng)供電���,所述第二冗余電源為所述切系裝 置供電�,所述第三冗余電源為所述第二二取二系統(tǒng)供電�;
[0023]所述第一冗余電源、所述第二冗余電源和所述第三冗余電源相互隔離����。
[0024]采用上述技術(shù)方案所產(chǎn)生的有益效果在于:第一二取二系統(tǒng)和第二二取二系統(tǒng), 包含完全相同的軟件和硬件���,且供電獨立��,構(gòu)成二乘冗余關(guān)系�,保障目標系統(tǒng)的可用性和可 靠性;而且設置切系裝置�,能夠更好提高可用性。進一步的���,每個二取二系統(tǒng)均包含兩個輸 入一致的處理通道�����,兩個處理通道輸出經(jīng)"硬件表決"模塊等安全電路對外輸出����,構(gòu)成二乘 二取二安全結(jié)構(gòu)�����,保障目標系統(tǒng)的安全性�。而且,該控制裝置能夠滿足車載和地面多類應用 場景���,提供可擴展的安全的輸入輸出接口�����,為用戶提供業(yè)務層接口和通信通道協(xié)議更新接 □ 〇
【附圖說明】
[0025]圖1是本實用新型的結(jié)構(gòu)不意圖��;
[0026] 圖2是本實用新型一個實施例的詳細結(jié)構(gòu)示意圖�����;
[0027] 圖3是本實用新型與維修設備和外部設備連接示意圖����;
[0028] 圖4是圖2中各二取二單元的硬件結(jié)構(gòu)示意圖;
[0029]圖5是圖4的二取二表決過程不意圖����;
[0030] 圖6是圖4中各二取二單元程序執(zhí)行過程示意圖;
[0031] 圖7是本實用新型應用擴展示意圖���。
【具體實施方式】
[0032] 下面結(jié)合附圖和【具體實施方式】對本實用新型作進一步詳細的說明����。
[0033] 如圖1所示�,一個實施例中,基于二乘二取二安全冗余系統(tǒng)的控制裝置可以包括系 統(tǒng)冗余電源100�����、第一二取二系統(tǒng)210���、第二二取二系統(tǒng)220和切系裝置300���。其中,系統(tǒng)冗余 電源100分別為第一二取二系統(tǒng)210���、第二二取二系統(tǒng)220和切系裝置300供電�。切系裝置300 分別與第一二取二系統(tǒng)210和第二二取二系統(tǒng)220連接。切系裝置300設置有強制第一二取 二系統(tǒng)210為主系��、強制第二二取二系統(tǒng)220為主系和根據(jù)兩個二取二系統(tǒng)的運行狀況選擇 主系的三種工作狀態(tài)�����。
[0034] 參見圖2,作為一種可實施方式���,第一二取二系統(tǒng)210和第二二取二系統(tǒng)220的結(jié)構(gòu) 相同,為便于后續(xù)描述�����,將第一二取二系統(tǒng)210和第二二取二系統(tǒng)220的具體結(jié)構(gòu)以不同名 稱命名�����。第一二取二系統(tǒng)210可以包括第一安全電源211��、第一主控單元2121��、第二主控單元 2122���、第一通信單元2131�����、第二通信單元2132����、第一采集單元2151、第二采集單元2152�����、第一 輸出單元2141�、第二輸出單元2142和第一記錄單元216。第一安全電源211為第一主控單元 2121����、第一通信單元2131、第一采集單元2151和第一輸出單元2141提供獨立的邏輯電源�����。第 一安全電源211為第二主控單元2122�����、第二通信單元2132、第二采集單元2152和第二輸出單 元2142提供獨立的邏輯電源����。
[0035]第一主控單元2121分別與第一通信單元2131、第一采集單元2151����、第一輸出單元 2141和第一記錄單元216通信連接。具體的�����,第一主控單元2121可以通過第一內(nèi)部總線217�, 以一主多從模式分別與第一通信單元2131��、第一米集單元2151�、第一輸出單元2141和第一 記錄單元216通信連接。第一通信單元2131���、第一采集單元2151�����、第一輸出單元2141和第一 記錄單元216形成第一二取二系統(tǒng)210的第一通道����,以實現(xiàn)第一二取二系統(tǒng)210的第一通道 內(nèi)部的數(shù)據(jù)調(diào)度過程。其中���,第一二取二系統(tǒng)210的第一通道�����,即為圖3中所示的I系A通道����。 [0036]第二主控單元2122分別與第二通信單元2132��、第二采集單元2152��、第二輸出單元 2142和第一記錄單元216通信連接���。具體的��,第二主控單元2122可以通過第二內(nèi)部總線218���, 以一主多從模式分別與第二通信單元2132、第二采集單元2152���、第二輸出單元2142和第一 記錄單元216通信連接�。第二通信單元2132、第二采集單元2152�、第二輸出單元2142和第一 記錄單元216形成第一二取二系統(tǒng)210的第二通道,以實現(xiàn)第一二取二系統(tǒng)210的第二通道 內(nèi)部的數(shù)據(jù)調(diào)度過程����。其中,第一二取二系統(tǒng)210的第二通道���,即為圖3中所示的I系B通道���。 [0037]進一步的,參見圖2,第一二取二系統(tǒng)210還可以包括通信接口 A�、通信接口 B�����、輸出 接口 A和采集接口 A�。通信接口 A與第一通信單元2131連接。通信接口 B與第二通信單元2132 連接�。輸出接口 A與第一輸出單元2141和第二輸出單元2142連接。采集接口 A與第一采集單 元2151和第二采集單元2152連接�。其中�����,第一安全電源211接收第一主控單元2121和第二主 控單元2122輸出的動態(tài)信號����,作為條件電源的條件判斷信號��,并對應為通信接口A����、通信接 口 B和輸出接口 A供電。
[0038] 參見圖2,作為一種可實施方式����,第二二取二系統(tǒng)220包括第二安全電源221、第三 主控單元2221���、第四主控單元2222��、第三通信單元2231�����、第四通信單元2232�、第三采集單元 2251、第四采集單元2252����、第三輸出單元2241、第四輸出單元2242和第二記錄單元226��。第二 安全電源221為第三主控單元2221�����、第三通信單元2231���、第三采集單元2251和第三輸出單元 2241提供獨立的邏輯電源���。第二安全電源221為第四主控單元2222、第四通信單元2232�����、第 四采集單元2252和第四輸出單元2242提供獨立的邏輯電源�。
[0039]第三主控單元2221分別與第三通信單元2231�、第三采集單元2251、第三輸出單元 2241和第二記錄單元226通信連接�����。具體的,第三主控單元2221可以通過第三內(nèi)部總線227���, 以一主多從模式分別與第三通信單元2231����、第三采集單元2251����、第三輸出單元2241和第二 記錄單元226通信連接。第三通信單元2231��、第三采集單元2251�、第三輸出單元2241和第二 記錄單元226形成第二二取二系統(tǒng)220的第一通道,以實現(xiàn)第二二取二系統(tǒng)220的第一通道 內(nèi)部的數(shù)據(jù)調(diào)度過程����。其中,第二二取二系統(tǒng)220的第一通道���,即為圖3中所示的B系A通道�。
[0040] 第四主控單元2222分別與第四通信單元2232����、第四采集單元2252�����、第四輸出單元 2242和第二記錄單元226通信連接���。具體的,第四主控單元2222可以通過第四內(nèi)部總線228�����, 以一主多從模式分別與第四通信單元2232��、第四采集單元2252�����、第四輸出單元2242和第二 記錄單元226通信連接�。第四通信單元2232、第四采集單元2252�����、第四輸出單元2242和第二 記錄單元226形成第二二取二系統(tǒng)220的第二通道����,以實現(xiàn)第二二取二系統(tǒng)220的第二通道 內(nèi)部的數(shù)據(jù)調(diào)度過程。其中���,第二二取二系統(tǒng)220的第二通道���,即為圖3中所示的II系B通道。
[0041] 進一步的�����,參見圖2,第二二取二系統(tǒng)220還可以包括通信接口 C��、通信接口 D�、輸出 接口 B和采集接口 B。通信接口 C與第三通信單元2231連接��。通信接口 D與第四通信單元2232 連接����。輸出接口 B與第三輸出單元2241和第四輸出單元2242連接。采集接口 B與第三采集單 元2251和第四采集單元2252連接���。其中�,第二安全電源221接收第三主控單元2221和第四主 控單元2222輸出的動態(tài)信號,作為條件電源的條件判斷信號�����,并對應為通信接口C�����、通信接 口 D和輸出接口 B供電�。
[0042] 一個實施例中,切系裝置300可以包括鑰匙開關(guān)和互斥電路��。鑰匙開關(guān)和互斥電路 電連接��。切系裝置300接收第一安全電源211和所述第二安全電源221輸出的條件輸出電源�, 以及第一主控單元2121至第四主控單元2222輸出的主備狀態(tài)信號。切系裝置300將鑰匙開 關(guān)輸出的主備系選擇信號和互斥電路輸出的主備切系選擇信號發(fā)送至對應的主控單元����。 [0043]本實施例中,通過切系裝置300的鑰匙開關(guān)可以手動或自動確定第一二取二系統(tǒng) 210和第二二取二系統(tǒng)220中的一個系統(tǒng)為主系����,并確保某一時刻第一二取二系統(tǒng)210和第 二二取二系統(tǒng)220中有且只有一個系統(tǒng)為主系����。另外��,還可以通過切系裝置300識別主備系 狀態(tài)信息����。例如���,當前第一二取二系統(tǒng)210和第二二取二系統(tǒng)220中哪一二取二系統(tǒng)為主系����, 及主備系的工作狀態(tài)信息等�����。
[0044] 進一步的���,第一輸出單元2141至第四輸出單元2242均包括延時電路��。延時電路用 于對各個輸出單元輸出的信號進行預設延時��。其中���,各個輸出端口在獲得關(guān)閉命令后�,T0時 間內(nèi)不會關(guān)閉最終輸出��,而會在T1時間內(nèi)可靠關(guān)閉���。另外�,若因某一二取二系統(tǒng)故障而導致 該系輸出端口關(guān)閉輸出��,則在T0時間內(nèi)可靠切系����,轉(zhuǎn)由另一二取二系統(tǒng)繼續(xù)輸出,實現(xiàn)無縫 切換操作���。
[0045]作為一種可實施方式�����,各通信接口中均可設置時間判斷函數(shù)�����、數(shù)據(jù)時間戳功能和 動態(tài)方波功能�����,嚴格對數(shù)據(jù)實時性進行把關(guān)�����,任何一處的數(shù)據(jù)收發(fā)時間超時或數(shù)據(jù)超時�,均 將導致所對應的二取二系統(tǒng)不能正常運行而關(guān)閉最終輸出�����,并切換到另一二取二系統(tǒng)工 作�����。具體的��,在通信接口A和/或通信接口B的收發(fā)時間超過預設時間或數(shù)據(jù)超過預設時間 時��,關(guān)閉第一二取二系統(tǒng)210�,并切換至第二二取二系統(tǒng)220工作。在通信接口 C和/或通信接 口 D的收發(fā)時間超過預設時間或數(shù)據(jù)超過預設時間�����,關(guān)閉第二二取二系統(tǒng)220,并切換至第 一二取二系統(tǒng)210工作。
[0046] 第一通信單元2131和第二通信單元2132之間設置表決函數(shù)�。第一輸出單元2141和 第二輸出單元2142之間設置表決函數(shù)。第一采集單元2151和第二采集單元2152之間設置表 決函數(shù)�����。第三通信單元2231和第四通信單元2232之間設置表決函數(shù)��。第三輸出單元2241和 第四輸出單元2242之間設置表決函數(shù)�����。以及第三采集單元2251和第四采集單元2252之間設 置表決函數(shù)����。設置表決函數(shù),能夠?qū)Ω鱾€單元中的輸入數(shù)據(jù)��、輸出數(shù)據(jù)和/或運行狀態(tài)實施 實時表決�。
[0047] 其中,對輸入數(shù)據(jù)�、輸出數(shù)據(jù)和/或運行狀態(tài)實施實時表決的方法為:對被表決的 數(shù)據(jù)進行字節(jié)模二加操作,并表決預設次數(shù)��,若有一次為真�,則表決通過;否則���,跳入故障陷 阱,關(guān)閉對應的通信接口和輸出接口����。如圖5和圖6所示,如果在運行過程中某處理單元數(shù)據(jù) 表決不一致超限��,系統(tǒng)將跳入故障陷阱�,關(guān)閉對應的通信接口和輸出接口,并輸出維護指示 信息�����。
[0048] 具體的�����,第一通信單元2131和第二通信單元2132之間��、第一輸出單元2141和第二 輸出單元2142之間�����、第一采集單元2151和第二采集單元2152之間�、第三通信單元2231和第 四通信單元2232之間、第三輸出單元2241和第四輸出單元2242之間以及第三采集單元2251 和第四采集單元2252之間均形成一個二取二單元���。所有二取二單元均設置軟件通信表決功 能���,通信雙方信號隔離。即按照系統(tǒng)周期運行過程中均設置軟件表決函數(shù)���,對本節(jié)點處的輸 入數(shù)據(jù)���、輸出數(shù)據(jù)、運行狀態(tài)實施實時表決�。通過對被表決的數(shù)據(jù)進行字節(jié)模二加操作,表 決預設次數(shù)次后如果有一次為真��,則表決通過���,程序可以繼續(xù)執(zhí)行下一任務;否則跳入故障 陷阱����,關(guān)閉對應的通信接口和輸出接口�。
[0049] 參見圖4,一個實施例中,每個二取二單元均可以包括時鐘隔離電路、數(shù)據(jù)隔離電 路和兩套對稱的硬件結(jié)構(gòu)10�����。時鐘隔離電路和數(shù)據(jù)隔離電路設置在兩套硬件結(jié)構(gòu)10之間�����, 并均與兩套硬件結(jié)構(gòu)10電連接�,作為通道時鐘同步、數(shù)據(jù)同步和任務同步等同步操作電路����。 其中,每套硬件結(jié)構(gòu)10包括運算CPU 11���、調(diào)度FPGA 12、獨立電源14和獨立接口電路13及相 應的擴展電路�����。不同單元對應的硬件結(jié)構(gòu)10中的擴展電路不同����。運算CPU 11與調(diào)度FPGA 12 連接。調(diào)度FPGA 12與獨立接口電路13連接。獨立電源14為運算CPU 11��、調(diào)度FPGA 12�����、獨立 接口電路13和相應的擴展電路供電�����。
[0050] 具體的���,由A通道的調(diào)度FPGA 12輸出10ms間隔的任務同步脈沖���,將該脈沖分別輸 出給A通道的運算CPU 11和B通道的調(diào)度FPGA 12。再由B通道的調(diào)度FPGA 12將該10ms任務 同步脈沖輸出給B通道的運算CPU 11和A通道的調(diào)度FPGA 12��。此時��,A通道的調(diào)度FPGA 12對 傳回的l〇ms任務同步脈沖進行校驗���。A�����、B兩個通道的運算CPU 11和B通道的調(diào)度FPGA 12應 用自身的時鐘也對l〇ms任務同步脈沖進行檢驗�。A、B兩個通道的調(diào)度FPGA 12任何一方出現(xiàn) 故障�,將導致l〇ms任務同步脈沖停止,從而系統(tǒng)任務停止���。
[0051]另外�,可根據(jù)不同的功能需求��,設置對應的獨立接口電路13�����。例如�,主控單元對應 的獨立接口電路13可以設置為內(nèi)部通信總線接口。其他各類別單元的獨立接口電路13除內(nèi) 部總線接口外��,還可以設置網(wǎng)卡接口��、RS232接口����、CAN總線接口�、RS422/485接口、采集接口 以及輸出接口中的一種以上的接口。當然��,除去上述接口外的其他接口�����,也可根據(jù)相同的模 式在接口電路中作出調(diào)整���,以滿足系統(tǒng)需要��。
[0052] 參見圖5���,各CPU和FPGA所有任務均設置在如圖5中所示的同步脈沖節(jié)拍下進行。同 步順序可以分為四步:第一步���,各二取二單元A���、B兩個通道同步,以A通道同步為主;第二步����, 系內(nèi)各單板冋步,以主控單兀冋步為主;弟二步����,I系和Π系系間的冋步���,以I系主控單兀為 主;第四步,遠端機籠與主控機籠之間的同步��,以主控機籠同步為主���。
[0053] 參見圖2,一個實施例中�,系統(tǒng)冗余電源100可以包括第一冗余電源110��、第二冗余 電源120和第三冗余電源130����。第一冗余電源110為第一二取二系統(tǒng)210供電。第二冗余電源 120為切系裝置300和其他非安全部分供電��。第三冗余電源130為第二二取二系統(tǒng)220供電�����。 第一冗余電源110�����、第二冗余電源120和第三冗余電源130相互隔離�。另外,系統(tǒng)冗余電源100 還可以包括電源濾波裝置���。第一冗余電源110通過電源濾波裝置為第一二取二系統(tǒng)210供 電���。第二冗余電源120通過電源濾波裝置為第二二取二系統(tǒng)220供電。第三冗余電源130通過 電源濾波裝置為切系裝置300和其他裝置供電�����。
[0054] 作為一種可實施方式�,第一冗余電源110可以包括第一冗余電源A和第一冗余電源 B。第二冗余電源120可以包括第二冗余電源A和第二冗余電源B��。第三冗余電源130可以包括 第三冗余電源A和第三冗余電源B�����。各組冗余電源的輸入均為AC220V交流電�����,第一冗余電源 110輸出DC24V直流電給第一二取二系統(tǒng)210供電����。第二冗余電源120輸出DC24V直流電給切 系裝置300和其他非安全部分供電��。第3組電源輸出DC24V直流電給第二二取二系統(tǒng)210供 電�。
[0055] 參見圖3,使用基于二乘二取二安全冗余系統(tǒng)的控制裝置時���,基于二乘二取二安全 冗余系統(tǒng)的控制裝置與維修設備400和外部設備500連接����。與維修設備400連接時�����,維修設備 400通過工藝冗余以太網(wǎng)分別與第一主控單元2121����、第二主控單元2122、第三主控單元2221 和第四主控單元2222進行通信��。
[0056]基于二乘二取二安全冗余系統(tǒng)的控制裝置采集外部設備500的開關(guān)狀態(tài)時�����,可使 得第一采集單元2151���、第二采集單元2152��、第三采集單元2251和第四采集單元2252分別連 接外部設備500的狀態(tài)觸點��。也可使得第一采集單元2151和第二采集單元2152采集外部設 備500的一組狀態(tài)觸點���,并使第三采集單元2251和第四采集單元2252采集外部設備500表 示同一信息的另一組狀態(tài)觸點,這樣可以排除因外部配線受損而造成故障的因素�����。
[0057]基于二乘二取二安全冗余系統(tǒng)的控制裝置驅(qū)動開關(guān)量輸出時�,第一輸出單元 2141、第二輸出單元2142�����、第三輸出單元2241和第二輸出單元2242,分別輸出接口 A和輸出 接口B�����。其中��,輸出接口A由第一輸出單元2141和第二輸出單元2142輸出的開關(guān)量信號通過 硬件表決單兀獲得�。輸出接口 B由第三輸出單兀2241和第二輸出單兀2242輸出的開關(guān)量信 號通過硬件表決單元獲得����。兩路輸出接口均設置單向輸出功能�,可以根據(jù)被驅(qū)動設備的需 要,設置為兩路驅(qū)動還是一路驅(qū)動�。若設置為一路驅(qū)動時,可將輸出接口 A和輸出接口 B的正 端短接���,負端短接����,形成一個新的輸出端口�。
[0058]基于二乘二取二安全冗余系統(tǒng)的控制裝置與外部設備500建立通信連接時,可配 置基于二乘二取二安全冗余系統(tǒng)的控制裝置與外部設備500通信交叉連接或直連�。支持的 外部通信設備必須是二乘二取二安全系統(tǒng)結(jié)構(gòu)或者二取二安全系統(tǒng)結(jié)構(gòu)。外部設備500某 系故障時��,不會影響基于二乘二取二安全冗余系統(tǒng)的控制裝置的正常功能�����。
[0059]由于基于二乘二取二安全冗余系統(tǒng)的控制裝置的應用CPU分別存在與四組獨立的 主控單元中���,四組CPU均在實時同步的進行業(yè)務運算���,并由維修設備400分別記錄四組CPU的 邏輯輸入�����、處理過程和邏輯輸出�����。
[0060] 進一步的,第一主控單元2121和第三主控單元2221設置高速通信通道����,第二主控 單元2122和第四主控單元2222設置高速通信通道。兩兩獨立交互I系和Π系二取二輸入和 輸出數(shù)據(jù)�、狀態(tài)數(shù)據(jù),實現(xiàn)二乘系統(tǒng)內(nèi)部數(shù)據(jù)共享���,保障某系因故障而不能正常工作時��,無 縫切換至另一系繼續(xù)運行并輸出數(shù)據(jù)�。
[0061] 上述基于二乘二取二安全冗余系統(tǒng)的控制裝置�,適合車載及地面多種應用環(huán)境。 根據(jù)不同的應用環(huán)境,可以配置不同的通信接口數(shù)量���、采集接口數(shù)量和輸出接口數(shù)量�,在主 控單元中也設置了對應的模塊虛擬接口��。采用帶電磁屏蔽功能的19英寸機籠�����,將圖2中的各 個單元單板對稱設置在機籠中�。如果一個19英寸機籠的接口數(shù)量不能滿足某應用場景的數(shù) 量需求時,裝置及系統(tǒng)以機籠為單位進行擴展����,如圖7所示。帶業(yè)務程序處理功能的機籠為 主控機籠600,不帶業(yè)務程序處理功能的機籠的其他機籠為遠端機籠700�。在物理配置上,兩 個二取二系統(tǒng)分別設置在主控機籠600的左右兩側(cè)����。除安全電源單元、記錄單元和切換裝置 位置固定以外���,其他單元板卡均可實現(xiàn)靈活配置��。遠端機籠700和主控機籠600基本一致�,需 設置安全電源、主控單元��,并根據(jù)需要配置通信單元�����、采集單元和輸出單元��,而主控單元不 設置邏輯軟件處理功能��,只負責本機籠的安全管理���、內(nèi)部數(shù)據(jù)調(diào)度和與主控機籠通信接口 的數(shù)據(jù)收發(fā)工作。遠端機籠700也不設置切系裝置�����。遠端機籠700與主控機籠600通過以太網(wǎng) 通信進行數(shù)據(jù)傳輸���,以交換機拓撲網(wǎng)絡接口方式將二乘二取二安全計算機系統(tǒng)配置為光纖 環(huán)網(wǎng)設備����,用以實現(xiàn)龐大系統(tǒng)中的多節(jié)點采集和輸出功能。
[0062]遠端機籠700數(shù)據(jù)采集獲得后�,通過組包和協(xié)議過程將數(shù)據(jù)發(fā)送給本機籠的主控 單元,再通過主控單元將所有單板數(shù)據(jù)整合成標準幀發(fā)送給主控機籠600的通信單元����。主控 機籠600的通信單元將獲得的各遠端機籠700的數(shù)據(jù)按照固定的協(xié)議過程,發(fā)送給主控機籠 600的主控單元��。
[0063] 主控機籠600在經(jīng)過業(yè)務函數(shù)處理獲得輸出數(shù)據(jù)后��,按照固定的協(xié)議過程發(fā)送給 通信單元�,由通信單元將輸出數(shù)據(jù)包分發(fā)給各個遠端機籠700的主控單元。再由遠端機籠 700的主控單元解析出本機籠的輸出數(shù)據(jù)后��,將數(shù)據(jù)按照固定的協(xié)議過程發(fā)送給本機籠的 各個輸出單元���,由輸出單元通過硬件表決模塊表決和輸出���。
[0064] 在數(shù)據(jù)收發(fā)過程中,經(jīng)過任何一個單板環(huán)節(jié)都需要安裝二取二模式將數(shù)據(jù)進行表 決����,取表決通過的數(shù)據(jù)往下一級傳輸,如圖5所示�����。如果某環(huán)節(jié)數(shù)據(jù)超時或數(shù)據(jù)不一致,裝置 及系統(tǒng)將切除該鏈路數(shù)據(jù)���,并轉(zhuǎn)由另一鏈路數(shù)據(jù)繼續(xù)工作��。
[0065] 另外�,主控機籠600中各安全電源的電源輸出條件為主控單元的兩通道CPU均輸出 了正常的動態(tài)方波信號�����,如圖5所示�。遠端機籠700中各安全電源的電源輸出條件為本機籠 主控單元的兩通道CPU均輸出了正常的動態(tài)方波信號,同時遠端機籠700的各安全電源也受 主控機籠600安全電源控制���。如果主控機籠600中安全電源因輸入條件不成立或者自身故 障���,將導致該安全電源所在二取二系統(tǒng)所有安全電源單板停止供電�,關(guān)閉該系所有輸出接 口和通信接口。
[0066] 上述基于二乘二取二安全冗余系統(tǒng)的控制裝置�����,第一二取二系統(tǒng)210和第二二取 二系統(tǒng)220,包含完全相同的軟、硬件�,供電獨立,構(gòu)成二乘冗余關(guān)系�����,保障目標系統(tǒng)的可用 性和可靠性;而且設置切系裝置300,能夠更好提高可用性��。進一步的��,每個二取二系統(tǒng)均包 含兩個輸入一致的處理通道�����,兩個處理通道輸出經(jīng)"硬件表決"模塊等安全電路對外輸出�����, 構(gòu)成二乘二取二安全結(jié)構(gòu)����,保障目標系統(tǒng)的安全性。而且���,該控制裝置能夠滿足車載和地面 多類應用場景�,提供可擴展的安全的輸入輸出接口,為用戶提供業(yè)務層接口和通信通道協(xié) 議更新接口����。
[0067]以上所述僅為本實用新型的較佳實施例而已,并不用以限制本實用新型����,凡在本 實用新型的精神和原則之內(nèi)所作的任何修改、等同替換和改進等��,均應包含在本實用新型 的保護范圍之內(nèi)����。
【主權(quán)項】
1. 一種基于二乘二取二安全冗余系統(tǒng)的控制裝置,其特征在于�,包括第一二取二系統(tǒng)、 第二二取二系統(tǒng)�����、系統(tǒng)冗余電源和切系裝置�����; 所述系統(tǒng)冗余電源為所述第一二取二系統(tǒng)�、所述第二二取二系統(tǒng)和所述切系裝置供 電; 所述切系裝置能對所述第一二取二系統(tǒng)和所述第二二取二系統(tǒng)進行運行狀況切換���。2. 根據(jù)權(quán)利要求1所述的基于二乘二取二安全冗余系統(tǒng)的控制裝置�����,其特征在于�����,所述 切換為自動切換����,即根據(jù)兩個二取二系統(tǒng)的運行狀況自動選擇主系���。3. 根據(jù)權(quán)利要求2所述的基于二乘二取二安全冗余系統(tǒng)的控制裝置����,其特征在于�����,所述 第一二取二系統(tǒng)或所述第二二取二系統(tǒng)包括第一安全電源���、第一主控單元���、第二主控單元��、 第一通信單元���、第二通信單元、第一采集單元�、第二采集單元、第一輸出單元���、第二輸出單元 和第一記錄單元�; 所述第一安全電源為所述第一主控單元�����、所述第一通信單元��、所述第一采集單元和第 一輸出單元提供獨立的邏輯電源;所述第一安全電源為所述第二主控單元��、所述第二通信 單元���、所述第二采集單元和第二輸出單元提供獨立的邏輯電源��; 所述第一主控單元分別與所述第一通信單元�����、所述第一采集單元��、第一輸出單元和所 述第一記錄單元通信連接;所述第一通信單元�、所述第一采集單元���、所述第一輸出單元和所 述第一記錄單元形成所述第一二取二系統(tǒng)的第一通道�; 所述第二主控單元分別與所述第二通信單元��、所述第二采集單元���、第二輸出單元和所 述第一記錄單元通信連接;所述第二通信單元�、所述第二采集單元��、所述第二輸出單元和所 述第一記錄單元形成所述第一二取二系統(tǒng)的第二通道��。4. 根據(jù)權(quán)利要求3所述的基于二乘二取二安全冗余系統(tǒng)的控制裝置�,其特征在于,所述 第一二取二系統(tǒng)還包括通信接口 A、通信接口 B��、輸出接口 A和采集接口 A; 所述通信接口 A與所述第一通信單元連接;所述通信接口 B與所述第二通信單元連接�; 所述輸出接口 A與所述第一輸出單元和所述第二輸出單元連接;所述采集接口 A與所述第一 采集單元和所述第二采集單元連接。5. 根據(jù)權(quán)利要求4所述的基于二乘二取二安全冗余系統(tǒng)的控制裝置�����,其特征在于����,所述 第一安全電源接收所述第一主控單元和所述第二主控單元輸出的動態(tài)信號,并對應為所述 通信接口 A��、所述通信接口 B和所述輸出接口 A供電��。6. 根據(jù)權(quán)利要求3所述的基于二乘二取二安全冗余系統(tǒng)的控制裝置���,其特征在于���,所述 第一輸出單元和所述第二輸出單元均包括延時電路,所述延時電路用于對各個輸出單元輸 出的信號進行預設延時����。7. 根據(jù)權(quán)利要求3所述的基于二乘二取二安全冗余系統(tǒng)的控制裝置���,其特征在于,所述 第一通信單元和所述第二通信單元之間�����、所述第一輸出單元和所述第二輸出單元之間����、所 述第一采集單元和所述第二采集單元之間均形成一個二取二單元�; 每個所述二取二單元包括時鐘隔離電路、數(shù)據(jù)隔離電路和兩套對稱的硬件結(jié)構(gòu);所述 時鐘隔離電路和所述數(shù)據(jù)隔離電路設置在兩套所述硬件結(jié)構(gòu)之間�����,并均與兩套所述硬件結(jié) 構(gòu)電連接�; 每套所述硬件結(jié)構(gòu)包括運算CPU、調(diào)度FPGA���、獨立電源和獨立接口電路及相應的擴展電 路;所述運算CPU與所述調(diào)度FPGA連接�,所述調(diào)度FPGA與所述獨立接口電路連接;所述獨立 電源為所述運算CPU����、所述調(diào)度FPGA����、所述獨立接口電路和相應的擴展電路供電�。8. 根據(jù)權(quán)利要求3所述的基于二乘二取二安全冗余系統(tǒng)的控制裝置,其特征在于��,所述 切系裝置包括鑰匙開關(guān)和互斥電路;所述鑰匙開關(guān)和所述互斥電路電連接����; 所述切系裝置接收所述第一安全電源輸出的條件輸出電源,以及所述第一主控單元和 所述第二主控單元輸出的主備狀態(tài)信號;所述切系裝置將所述鑰匙開關(guān)輸出的主備系選擇 信號和所述互斥電路輸出的主備切系選擇信號發(fā)送至對應的主控單元���。9. 根據(jù)權(quán)利要求1至8任意一項所述的基于二乘二取二安全冗余系統(tǒng)的控制裝置����,其特 征在于�,所述系統(tǒng)冗余電源包括第一冗余電源、第二冗余電源和第三冗余電源���; 所述第一冗余電源為所述第一二取二系統(tǒng)供電�,所述第二冗余電源為所述切系裝置供 電��,所述第三冗余電源為所述第二二取二系統(tǒng)供電����; 所述第一冗余電源�、所述第二冗余電源和所述第三冗余電源相互隔離���。
【文檔編號】G05B19/042GK205656443SQ201620391355
【公開日】2016年10月19日
【申請日】2016年4月29日 公開號201620391355.2, CN 201620391355, CN 205656443 U, CN 205656443U, CN-U-205656443, CN201620391355, CN201620391355.2, CN205656443 U, CN205656443U
【發(fā)明人】周飛, 國勇, 吳盡, 江國平, 池揚, 王麗會, 許良, 紀璐, 郭艷肖, 雷陽, 馬麗娜, 趙麗麗, 莊賀松, 譚愛青, 吳晶晶, 辛春娟
【申請人】固安信通信號技術(shù)股份有限公司