一种故障安全的二乘二取二装置的制作方法

文档序号:6311577阅读:423来源:国知局
专利名称:一种故障安全的二乘二取二装置的制作方法
技术领域
本发明涉及控制领域,尤其涉及一种故障安全的二乘二取二装置。
背景技术
目前的轨道交通地面控制设备采用二乘二取二结构,也就是两套计算机系统各有两个CPU,并且所有结构和配件完全相同,两套系统之间采取双机热备份,在两个系统中各采用一台CPU的结果进行对比,输出一致就发出这个结果;二乘二取二结构可实现系统的可靠性和可用性。现有系统中,如果哪套系统出现故障,只能由软件进行处理;两套系统中的主控模块没有严格的同步机制;二取二功能由软件通过以太网传输数据并比较实现,无法实现严格的二取二功能。

发明内容
本发明要解决的技术问题是如何实现二乘二取二装置的硬件故障安全。为了解决上述问题,本发明提供了一种故障安全的二乘二取二装置,包括两套系统及切换面板,所述两套系统均连接所述切换面板;所述切换面板用于控制两套系统中的一套作为主系统,另一套作为备系统;各套系统的结构包括系统总线;主控子系统、记录子系统、通信子系统,三个子系统间通过所述系统总线通信;安全看门狗模块,与所述主控子系统相连,并连接所述切换面板;还连接在所述通信子系统的接口电源上,用于接通或断开所述通信子系统的接口电源。进一步地,所述安全看门狗模块通过继电器打开或者关闭通信子系统的接口电源。进一步地,所述主控子系统包括主控模块;所述主控模块包括电气隔离的第一通道和第二通道,每个通道各包括一个协处理器COP和一个中央处理器CPU,每个通道的CPU各输出一路使能信号给所述安全看门狗模块、每个通道的CoP各输出一路脉冲信号给所述安全看门狗模块;所述安全看门狗模块只有当本套系统的主控模块中两个通道输出的使能信号及脉冲信号同时有效时,才接通本套系统中通信子系统的接口电源;若有至少任一个通道的使能信号或脉冲信号无效,则断开本套系统中通信子系统的接口电源。进一步地,所述主控模块中第一通道的COP和第二通道的COP之间完成同步定时,完成后各COP分别给本通道的CPU提供同步信号;各通道中的CPU根据所述同步信号进行周期调度。进一步地,一套系统主控模块中第一通道的COP和另一套系统主控模块中第一通道的COP完成同步定时,一套系统主控模块中第二通道的COP和另一套系统主控模块中第二通道的COP完成同步定时。进一步地,所述通信子系统包括接口模块,所述接口模块包括电气隔离的第一通道和第二通道,每个通道各包括一个协处理器COP和一个中央处理器CPU ;主控模块中第一通道的COP还用于和本系统的接口模块第一通道的COP完成同步定时;主控模块第二通道的COP还用于和本系统的接口模块第二通道的COP完成同步定时。进一步地,各所述接口模块中两个通道的CPU用于以握手方式完成同步,以同时进入周期循环。进一步地,主控模块和接口模块输出数据时,第一通道的CPU和第二通道的CPU分 别将本周期要输出的数据发送给本通道的COP ;两个通道的COP交换所收到的数据,并将从CPU接收的数据和交换时接收的数据进行按位表决,将表决结果返回给本通道的CPU ;各通道的CPU当所述表决结果为一致时使能本通道的COP发送本周期要输出的数据。进一步地,主控模块和接口模块中的各通道还各包括一接口 ;CPU使能本通道的COP发送本周期要输出的数据是指CPU使能本通道的COP发送本周期要输出的数据给本通道的接口,由本通道的接口输出数据给外部。本发明的技术方案采用基于硬件看门狗的故障安全机制,实现了故障安全功能;其优化方案采用定时同步机制,两套系统内主控模块和接口模块内的CPU同步执行;其另一优化方案由COP协助CPU完成严格的表决;从而避免了原有系统无法实现固有故障安全、各模块不同步、表决不严格的缺点。


图I是实施例一的故障安全的二乘二取二装置的结构框图;图2是实施例一的故障安全的二乘二取二装置中单套系统的结构框图;图3是单套系统中主控子系统和安全看门狗模块的控制示意图;图4是单套系统中主控子系统和通信子系统的同步示意图;图5是单套系统的模块中两通道CPU的同步示意图;图6是与安全相关模块的结构框图。
具体实施例方式下面将结合附图及实施例对本发明的技术方案进行更详细的说明。需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。实施例一,一种故障安全的二乘二取二装置,如图I所示,包括两套系统(比如图I里的A系统和B系统)及切换面板;所述两套系统均连接所述切换面板,使用时还可以连接装置以外的外部设备和显示设备;所述切换面板用于控制两套系统中的一套作为主系统,另一套作为备系统。所述两套系统各自的功能完整且独立运行,按主备模式运行在正常工作时,一套系统为主系统,另外一套系统为备系统;所述两套系统根据自身的运行状态和切换面板的控制决定主备关系;所述两套系统之间的数据交换由独立的系统间通讯通道完成。本实施例中,所述两套系统结构相同,其中任一套的结构如图2所示,包括系统总线、安全看门狗模块;主控子系统、记录子系统、通信子系统,三者间通过所述系统总线通信;所述安全看门狗模块与所述主控子系统相连,并连接所述切换面板;还连接在所述通信子系统的接口电源上,用于接通或断开所述通信子系统的接口电源。本实施例中,安全看门狗模块由独立的硬件单元实现,在本套系统发生故障的情况下,可由安全看门狗模块切断本套系统对外输出,达到输出安全侧的目的。所述安全看门 狗模块可以但不限于通过继电器打开或者关闭通信子系统的接口电源,充当了“开关”的功能,当然也可以采用其它器件完成“开关”的功能。如图3所示,本实施例中的所述主控子系统包括两个电气隔离的通道CHl和CH2,每个通道各包括一个COP (协处理器)和一个CPU (中央处理器),每个通道的CPU各输出一路使能信号OE (如图3中,CHl和CH2中的CPU所输出的使能信号分别为OE-Wl和0E-W2)、每个通道的CoP各输出一路脉冲信号给所述安全看门狗模块;只有本套系统的主控模块中两个通道的使能信号及脉冲信号同时有效(有效是指0E信号为高电平且脉冲持续不断)时,安全看门狗模块才工作在正常状态,才控制所述继电器闭合,接通本套系统中通信子系统的接口电源,此时本套系统的通信子系统和外部设备连通,本套系统可对外正常输出。若有至少任一个通道的使能信号或脉冲信号无效,则安全看门狗模块判断本套系统出现故障,控制所述继电器断开本套系统中通信子系统的接口电源,从而切断本套系统对外输出,达到故障安全的作用。如图4所示,所述主控子系统包括主控模块,所述通信子系统包括接口模块,所述主控模块和接口模块均包括电气隔离的第一通道(通道I)和第二通道(通道2)两个通道,主控模块和接口模块中的每个通道各包括一个COP (协处理器)和一个CPU (中央处理器),且主控模块中第一通道的COP和接口模块中第一通道的COP相连,主控模块中第二通道的COP和接口模块中第二通道的COP相连。主控模块中第一、第二通道的COP之间先进行定时同步,然后分别给本通道的CPU提供同步信号,各通道的CPU根据所述同步信号进行周期调度,同步误差低于10微秒。两套系统中的主控模块中的COP之间根据简化的IEEE1588协议完成同步定时,具体来说就是一套系统主控模块中第一通道的COP和另一套系统主控模块中第一通道的COP完成同步定时,一套系统主控模块中第二通道的COP和另一套系统主控模块中第二通道的COP完成同步定时。在一套系统内,主控模块第一通道的COP还用于和本系统的接口模块第一通道的COP完成同步定时,主控模块第二通道的COP还用于和本系统的接口模块第二通道的COP完成同步定时。主控模块两个通道的COP之间、不同系统主控模块的COP之间、及一个系统内主控模块和接口模块的COP之间完成同步定时的方式可参照现有技术实施。
如图5所示,各所述接口模块中两个通道的CPU(图4中的CPUl和CPU2)用于以握手方式完成同步,以同时进入周期循环,在代码段I执行前先进行周期初始同步,在代码
段2执行时进行周期运行同步1,......,在代码段η执行时进行周期运行同步η-1,最后同
步误差低于50微秒。如图6所示,本实施例中所有安全相关模块(包括主控模块、接口模块)均采用双通道结构实现二取二功能,两个通道电气隔离,通过光耦通信;各通道分别包括CPU和C0P,还可以分别包括一接口,用于输出数据给外部,比如图6中通道I包括CPUl和C0P1,通道2包括CPU2和C0P2。安全相关模块输出数据时CPU1和CPU2分别将本周期要输出的数据发送给COPl和C0P2,两个COP交换所收到的数据,并将从CPU接收的数据和交换时接收的数据进行按位表决(比较),将表决结果返回给本通道的CPU,如果表决结果为一致则CPU使能本通道的COP发送本周期要输出的数据给本通道的接口。各模块的两个通道中的COP均采用全表决策略,即每个位都表决,而现有系统只 表决原始数据的MD5码(MD5是消息摘要算法第五版,为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护),可能会出现表决错误。同时,现有系统由于没有严格的同步机制,需要缓存3个周期,在三个周期内有相同的数据即认为表决成功,这样有安全风险,本实施例表决的是本周期的数据,杜绝了这种风险。本实施例中,2取2执行(即上一段所述的表决过程)是在CoP协处理器中由硬件执行的,速度更快。本实施例中,由硬件完成定时(即一个系统主控模块两个通道里的COP之间先定时同步,然后COP发送同步信号给本通道的CPU ;两个系统主控模块两个通道里的COP分别定时同步;同一个系统中,主控模块和接口模块中相连接的COP之间定时同步;接口模块的CPU之间通过握手协议同步),精度更高。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
权利要求
1.一种故障安全的二乘二取二装置,包括 两套系统及切换面板,所述两套系统均连接所述切换面板;所述切换面板用于控制两套系统中的一套作为主系统,另一套作为备系统; 其特征在于,各套系统的结构包括 系统总线; 主控子系统、记录子系统、通信子系统,三个子系统间通过所述系统总线通信; 安全看门狗模块,与所述主控子系统相连,并连接所述切换面板;还连接在所述通信子系统的接口电源上,用于接通或断开所述通信子系统的接口电源。
2.如权利要求I所述的装置,其特征在于 所述安全看门狗模块通过继电器打开或者关闭通信子系统的接口电源。
3.如权利要求I所述的装置,其特征在于 所述主控子系统包括主控模块;所述主控模块包括电气隔离的第一通道和第二通道,每个通道各包括一个协处理器COP和一个中央处理器CPU,每个通道的CPU各输出一路使能信号给所述安全看门狗模块、每个通道的CoP各输出一路脉冲信号给所述安全看门狗模块; 所述安全看门狗模块只有当本套系统的主控模块中两个通道输出的使能信号及脉冲信号同时有效时,才接通本套系统中通信子系统的接口电源;若有至少任一个通道的使能信号或脉冲信号无效,则断开本套系统中通信子系统的接口电源。
4.如权利要求3所述的装置,其特征在于 所述主控模块中第一通道的COP和第二通道的COP之间完成同步定时,完成后各COP分别给本通道的CPU提供同步信号; 各通道中的CPU根据所述同步信号进行周期调度。
5.如权利要求4所述的装置,其特征在于 一套系统主控模块中第一通道的COP和另一套系统主控模块中第一通道的COP完成同步定时,一套系统主控模块中第二通道的COP和另一套系统主控模块中第二通道的COP完成同步定时。
6.如权利要求5所述的装置,其特征在于 所述通信子系统包括接口模块,所述接口模块包括电气隔离的第一通道和第二通道,每个通道各包括一个协处理器COP和一个中央处理器CPU ; 主控模块中第一通道的COP还用于和本系统的接口模块第一通道的COP完成同步定时; 主控模块第二通道的COP还用于和本系统的接口模块第二通道的COP完成同步定时。
7.如权利要求6所述的装置,其特征在于 各所述接口模块中两个通道的CPU用于以握手方式完成同步,以同时进入周期循环。
8.如权利要求7所述的装置,其特征在于 主控模块和接口模块输出数据时,第一通道的CPU和第二通道的CPU分别将本周期要输出的数据发送给本通道的COP ; 两个通道的COP交换所收到的数据,并将从CPU接收的数据和交换时接收的数据进行按位表决,将表决结果返回给本通道的CPU ;各通道的CPU当所述表决结果为一致时使能本通道的COP发送本周期要输出的数据。
9.如权利要求8所述的装置,其特征在于 主控模块和接口模块中的各通道还各包括一接口; CPU使能本通道的COP发送本周期要输出的数据是指 CPU使能本通道的COP发送本周期要输出的数据给本通道的接口,由本通道的接口输出数据给外部。
全文摘要
本发明公开了一种故障安全的二乘二取二装置,包括两套系统及切换面板,所述两套系统均连接所述切换面板;所述切换面板用于控制两套系统中的一套作为主系统,另一套作为备系统;各套系统的结构包括系统总线;主控子系统、记录子系统、通信子系统,三个子系统间通过所述系统总线通信;安全看门狗模块,与所述主控子系统相连,并连接所述切换面板;还连接在所述通信子系统的接口电源上,用于接通或断开所述通信子系统的接口电源。本发明能够实现二乘二取二装置的硬件故障安全。
文档编号G05B19/048GK102830647SQ201210320228
公开日2012年12月19日 申请日期2012年8月31日 优先权日2012年8月31日
发明者赵雅囡, 雷志军, 朱爱华, 薄云览 申请人:北京和利时系统工程有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1