继电保护装置多核CPU嵌入式系统处理方法和平台与流程

本发明涉及一种电力系统继电保护装置多核CPU嵌入式系统平台和处理方法，特别是可适用于传统变电站和智能变电站电力系统二次保护设备。

背景技术：

随着我国国民经济的高速发展，社会对电力的需求量越来越大，电力系统设计越来越复杂,电力用户对电网的供电可靠性、电能质量、工作效率和优质服务等方面的要求也越来越高。利用现代电子技术开发微机嵌入式继电保护装置保障电力系统安全可靠运行提高供电质量是智能电网的发展趋势。

继电保护装置作为电力系统的重要组成部分，承担故障的准确判断、自动调整并及时维护电力系统故障，对保证电力系统安全稳定有着不可替代的作用，目前嵌入式继电保护装置大多为单核CPU多板配置，装置硬件设备在恶劣的环境中长期运行极有可能出现内存异常、采样异常、IO操作异常等硬件相关问题，当供电电源不稳定时也可能导致CPU处于一种不稳定状态，如CPU的IO处于不确定状态等，此时极有可能导致继电保护装置直接误动拒动，导致电力系统故障影响其安全可靠性。因此提高继电保护装置本身的可靠性就极为重要，要提高装置系统的可靠性除了提高保护算法本身之外，更重要的是提高系统虚拟平台的可靠性设计以及硬件平台的可靠性设计。

技术实现要素：

本发明的目的之一在于提供一种适用于各种复杂应用的高扩展性、高可靠性的继电保护装置多核CPU嵌入式系统处理方法。

本发明的另一目的在于提供一种适用于各种复杂应用的高扩展性、高可靠性的继电保护装置多核CPU嵌入式系统处理平台。

本发明的目的之一可以这样实现，设计一种继电保护装置多核CPU嵌入式系统处理方法，包括：

A、设置一个双核CPU作为主CPU，并配置FPGA作为协处理器；FPGA负责板件外部数据采集和输出交互，主CPU负责保护相关逻辑处理；设置基于实时并行数据总线和基于非实时管理总线的多板多核通信协议，各板件通过数据总线交互实时数据和网络管理总线交互非实时数据；

B、设置虚拟协议，将板件的主核配置为本板件的主板件号，从核虚拟出一个板件号，通过双核虚拟通信协议，从核虚拟为一个板件使用，通过配置实现多核多板相互通信且协议完全相同，同时多板多核相互交换并且可实现互闭锁；

C、设置针对主从核各自的关键性内容包括定值、内存、EEPROM、AD、出口正反码、关键常量、代码段的自检判断逻辑，当检查出异常时立即闭锁装置出口并置装置异常信号，防止软件出现故障时误动拒动；

D、设置看门狗逻辑检测双核运行状态，当双核处于异常状态时重启CPU或者闭锁出口，防止CPU异常时装置误动拒动。

进一步地，出口逻辑回路包括：

运行信号控制：各CPU板件各内核输出其正常运行的运行信号，其运行信号参与装置的启动继电器启动判断，各板件各内核运行信号正常时启动继电器才能启动，保障系统安全性；

装置故障控制：各CPU板件各内核输出其装置故障信号，装置故障信号参与启动继电器启动判断，当出现装置故障开出时启动继电器不能闭合；

启动继电器控制：启动继电器控制了其他所有出口板件出口继电器闭合的供电电源，只有当启动继电器闭合时其他出口板件的出口继电器才能获取闭合的供电，此时才能闭合，否则即使CPU发出出口继电器的闭合命令也是无法有效闭合该继电器；

出口继电器控制：出口继电器是装置出口跳闸的有效节点，其闭合受启动继电器的供电控制；

电源自检：硬件采用专门的电源直接芯片自检板件电源，当出现板件电源异常是直接闭锁所有出口电源。

进一步地，设有安全性自检策略方法包括：

看门狗设置一个独立的最高优先级喂狗任务(tWDog)进行喂狗操作；主核通过喂狗任务喂狗，从核不直接操作硬件狗，从核的异常状况通过主核来监视；喂狗任务(tWDog)通过硬件看门狗监视，硬件检测如果超过1s没有执行喂狗操作，认为任务异常，直接复位CPU；

AD自检，采集AD芯片的5V和12V工作电压，在中断中进行电压自检判断并检查AD芯片的工作状态，若电压偏移大于等于0.5V或者检查到AD芯片工作异常则报装置故障闭锁保护；

内存自检，设置平台的内存扫描机制，检测内存误改，检测EEPROM内存错误问题；当检测出内存出错后报装置故障闭锁保护；

定值自检，针对装置所有使用的定值数据进行校验判断，当检测出定值数据错误后报装置故障闭锁保护；

代码段自检，循环分段检查代码段，若代码段数据出错或者被误改立即闭锁保护并停止喂狗复位CPU；

出口数据正反码校验，对出口相关数据正反码校验，防止单bit数据错误导致误出口；当检测到出口数据正反码校验错误后立即报装置故障闭锁保护。

本发明的另一目的可以这样实现，设计一种继电保护装置多核CPU嵌入式系统平台，包括硬件平台和虚拟平台，

硬件平台设有基于实时并行数据总线和基于非实时管理总线的多板多核通信协议，多板件系统通过数据总线交互实时数据和管理总线交互非实时数据；

硬件平台设置一个双核或者单核CPU作为主CPU，并配置FPGA作为协处理器；FPGA负责板件外部数据采集和输出交互，主CPU负责保护相关逻辑处理；

硬件平台设置出口回路逻辑模块，保障当CPU出现异常时装置出口的安全可靠性；

虚拟平台设有基于实时并行数据总线和非实时管理总线多核多板通信协议，各板件以及各内核通过数据总线交互实时数据和管理总线交互非实时数据；

虚拟平台包括从核虚拟出一个板件模块，通过双核虚拟通信协议从核可以虚拟为一个板件使用，实现多核多板相互通信且协议完全相同；

虚拟平台包括虚拟平台安全性自检策略模块，针对主从核各自的定值、内存、EEPROM、AD、出口正反码、关键常量、代码段等关键性内容的自检判断逻辑，当检查出异常时立即闭锁装置出口防止软件出现故障时误动拒动；

虚拟平台包括看门狗逻辑模块，检测双核运行状态，当双核处于异常状态时重启CPU或者闭锁出口，防止CPU异常时装置误动拒动，保障平台可靠性。

进一步地，出口回路逻辑模块包括运行信号控制模块、装置故障控制模块、启动继电器控制模块、出口继电器控制模块、电源自检模块；

运行信号控制模块，各CPU板件各内核输出其正常运行的运行信号，其运行信号参与装置的启动继电器启动判断，各板件各内核运行信号正常时启动继电器才能启动；

装置故障控制模块，各CPU板件各内核输出其装置故障信号，装置故障信号参与启动继电器启动判断，当出现装置故障开出时启动继电器不能闭合；

启动继电器控制模块，启动继电器控制了其他所有出口板件出口继电器闭合的供电电源，只有当启动继电器闭合时其他出口板件的出口继电器才能获取闭合的供电，此时才能闭合，否则即使CPU发出出口继电器的闭合命令也是无法有效闭合该继电器；

出口继电器控制模块，出口继电器是装置出口跳闸的有效节点，其闭合受启动继电器的供电控制；

电源自检模块，采用电源直接芯片自检板件电源，当出现板件电源异常是直接闭锁所有出口电源。

本发明提高系统软件平台的可靠性设计以及硬件平台的可靠性设计，适用于继电保护装置各种复杂应用的高性能高可靠性平台系统，提高继电保护装置本身的安全性和扩展性。

附图说明

图1是本发明较佳实施例的系统架构图；

图2是本发明较佳实施例的出口回路安全性设计框图；

图3是本发明较佳实施例之运行正常信号设计框图；

图4是本发明较佳实施例之启动继电器回路设计框图；

图5是本发明较佳实施例之出口继电器回路设计框图；

图6是本发明较佳实施例之模块间监事关系示意图。

具体实施方式

以下结合实施例对本发明作进一步的描述。

一种继电保护装置多核CPU嵌入式系统处理方法，包括：

设置一个双核CPU作为主CPU，并配置FPGA作为协处理器；FPGA负责板件外部数据采集和输出交互，主CPU负责保护相关逻辑处理；设置基于实时并行数据总线和基于非实时管理总线的多板多核通信协议，各板件通过数据总线交互实时数据和网络管理总线交互非实时数据；

设置虚拟协议，将板件的主核配置为本板件的主板件号，从核虚拟出一个板件号，通过双核虚拟通信协议，从核虚拟为一个板件使用，通过配置实现多核多板相互通信且协议完全相同，同时多板多核相互交换并且可实现互闭锁；

设置针对主从核各自的关键性内容包括定值、内存、EEPROM、AD、出口正反码、关键常量、代码段的自检判断逻辑，当检查出异常时立即闭锁装置出口并置装置异常信号，防止软件出现故障时误动拒动；

设置看门狗逻辑检测双核运行状态，当双核处于异常状态时重启CPU或者闭锁出口，防止CPU异常时装置误动拒动。

出口逻辑回路包括：

运行信号控制：各CPU板件各内核输出其正常运行的运行信号，其运行信号参与装置的启动继电器启动判断，各板件各内核运行信号正常时启动继电器才能启动，保障系统安全性；

装置故障控制：各CPU板件各内核输出其装置故障信号，装置故障信号参与启动继电器启动判断，当出现装置故障开出时启动继电器不能闭合；

启动继电器控制：启动继电器控制了其他所有出口板件出口继电器闭合的供电电源，只有当启动继电器闭合时其他出口板件的出口继电器才能获取闭合的供电，此时才能闭合，否则即使CPU发出出口继电器的闭合命令也是无法有效闭合该继电器；

出口继电器控制：出口继电器是装置出口跳闸的有效节点，其闭合受启动继电器的供电控制；

电源自检：硬件采用专门的电源直接芯片自检板件电源，当出现板件电源异常是直接闭锁所有出口电源。

设有安全性自检策略方法包括：

看门狗设置一个独立的最高优先级喂狗任务(tWDog)进行喂狗操作；主核通过喂狗任务喂狗，从核不直接操作硬件狗，从核的异常状况通过主核来监视；喂狗任务(tWDog)通过硬件看门狗监视，硬件检测如果超过1s没有执行喂狗操作，认为任务异常，直接复位CPU；

AD自检，采集AD芯片的5V和12V工作电压，在中断中进行电压自检判断并检查AD芯片的工作状态，若电压偏移大于等于0.5V或者检查到AD芯片工作异常则报装置故障闭锁保护；

内存自检，设置平台的内存扫描机制，检测内存误改，检测EEPROM内存错误问题；当检测出内存出错后报装置故障闭锁保护；

定值自检，针对装置所有使用的定值数据进行校验判断，当检测出定值数据错误后报装置故障闭锁保护；

代码段自检，循环分段检查代码段，若代码段数据出错或者被误改立即闭锁保护并停止喂狗复位CPU；

出口数据正反码校验，对出口相关数据正反码校验，防止单bit数据错误导致误出口；当检测到出口数据正反码校验错误后立即报装置故障闭锁保护。

一种继电保护装置多核CPU嵌入式系统平台，包括硬件平台和虚拟平台。

硬件平台设有基于实时并行数据总线和基于非实时管理总线的多板多核通信协议，多板件系统通过数据总线交互实时数据和管理总线交互非实时数据。

硬件平台设置一个双核或者单核CPU作为主CPU，并配置FPGA作为协处理器；FPGA负责板件外部数据采集和输出交互，主CPU负责保护相关逻辑处理。

本实施例中，硬件采用飞思卡尔的双核PowerPC作为主工作CPU，并配置一块ALTERA的FPGA作为协处理器。FPGA作为外部数据采集和数据输出的协处理器解析外部SV、GOOSE、AD、IO、网络以及总线等数据，然后通过PCIE数据总线传输给PowerPC，PowerPC运行保护装置程序完成所有通讯、显示、遥信、遥测、模拟量计算、开入开出采集以及保护逻辑计算出口控制等模块功能，并输出出口数据以及交互数据给FPGA，FPGA输出到数据总线和管理总线，以此形成一个具备多核CPU交互系统。

硬件平台设置出口回路逻辑模块，保障当CPU出现异常时装置出口的安全可靠性。继电保护装置出口回路是继电保护装置的最后一道防线，是装置动作出口的直接操作节点，因此出口回路对继电保护装置及其重要。

本发明出口回路逻辑模块包括以下重要组成部分：运行正常信号模块、装置故障信号模块、启动继电器回路模块、出口继电器回路模块。

虚拟平台设有基于实时并行数据总线和非实时管理总线多核多板通信协议，各板件以及各内核通过数据总线交互实时数据和管理总线交互非实时数据；

虚拟平台包括从核虚拟出一个板件模块，通过双核虚拟通信协议从核可以虚拟为一个板件使用，实现多核多板相互通信且协议完全相同；

虚拟平台包括虚拟平台安全性自检策略模块，针对主从核各自的定值、内存、EEPROM、AD、出口正反码、关键常量、代码段等关键性内容的自检判断逻辑，当检查出异常时立即闭锁装置出口防止软件出现故障时误动拒动；

虚拟平台包括看门狗逻辑模块，检测双核运行状态，当双核处于异常状态时重启CPU或者闭锁出口，防止CPU异常时装置误动拒动，保障平台可靠性。

出口回路逻辑模块包括运行信号控制模块、装置故障控制模块、启动继电器控制模块、出口继电器控制模块、电源自检模块；

运行信号控制模块，各CPU板件各内核输出其正常运行的运行信号，其运行信号参与装置的启动继电器启动判断，各板件各内核运行信号正常时启动继电器才能启动；

装置故障控制模块，各CPU板件各内核输出其装置故障信号，装置故障信号参与启动继电器启动判断，当出现装置故障开出时启动继电器不能闭合；

启动继电器控制模块，启动继电器控制了其他所有出口板件出口继电器闭合的供电电源，只有当启动继电器闭合时其他出口板件的出口继电器才能获取闭合的供电，此时才能闭合，否则即使CPU发出出口继电器的闭合命令也是无法有效闭合该继电器；

出口继电器控制模块，出口继电器是装置出口跳闸的有效节点，其闭合受启动继电器的供电控制；

电源自检模块，采用电源直接芯片自检板件电源，当出现板件电源异常是直接闭锁所有出口电源。

如图3所示，运行正常信号设计，采样双核的单稳态脉冲运行信号设计，PowerPC双核中断中各自输出一个脉冲给FPGA，当双核运行正常时每隔3ms给FPGA输出一个Run信号翻转状态，当FPGA5ms内没有收到翻转信号时或者电源芯片自检电压异常时，认为此时CPU已经运行异常或者正在复位，此时FPGA置“装置异常”继电器，并关闭启动继电器的供电电源，确保装置无法闭合启动继电器，保证装置无法出口防止此时误动。本设计有效防止CPU异常时IO处于不确定状态导致FPGA误判情况，因为一般CPU异常时IO可能是低电平或者高电平或者高阻无法正常输出3ms的脉冲信号，因此本发明设计可以有效判断cpu异常提高继电保护装置的安全可靠性。

装置故障信号设计，此设计是配合软件实现的，从核主核各自自检定值、内存、EEPROM、AD、出口正反码以及常量等关键数据内容，当任何一个数据出现异常时，置装置异常开出。当FPGA检查到CPU置装置异常置位时，此时FPGA置“装置异常”继电器，并关闭启动继电器的供电电源，确保装置无法闭合启动继电器，保证装置无法出口防止此时误动。

如图4所示，启动继电器回路设计，本发明设计启动继电器是由PowerPC主内核控制的，PowerPC主内核通过采集模拟量AD2数据进行保护算法判断，当满足可以启动条件时主内核经PowerPC的IO输出独立控制启动继电器闭合，以便给出口继电器闭合提供工作电源。

启动继电器有PowerPC直接控制，而出口继电器FPGA控制，做到启动继电器与出口继电器分开控制，有效防止PowerPC或者FPGA异常时导致IO操作异常同时误闭合启动继电器和出口继电器，此方案中如果其中一个CPU出现异常另一个可以有效闭锁，装置无法出口保证装置可靠性。

同时采用双核双AD互闭锁机制，从核使用AD1数据计算模拟量保护控制出口继电器，主核使用AD2数据计算模拟量保护控制启动继电器，实现互闭锁大大降低单个CPU异常是误出口可能性。

并且软件应用中可以配置PowerPC主核控制启动继电器而从核控制出口继电器，有效防止两个内核其中一个采样模拟量异常或者出口操作异常导致误出口或者误操作，大大提高装置的安全可靠性。

如图5所示，出口继电器回路设计，出口继电器控制经过FPGA输出控制，出口继电器要完成出口动作需启动继电器启动、CPU_ENKO打开，才能正常出口。

CPU发出出口使能命令“CPU_ENKO”，FPGA接收到后驱动“出口使能”电源，同时通过驱动电路回采出口使能电源的实际状态，以便装置检查是否出口正常。

本平台虚拟平台设计一套多板多核通信协议具备基于LVDS的实时并行数据总线和基于TCP/IP的非实时管理总线，各板件通过LVDS数据总线交互实时数据和网络管理总线交互非实时数据，CPU双核通信是基于双核共享内存实现的。为了双核交互信息，同时为了兼容设计，本发明设计了一套虚拟协议，将板件的主核配置为本板件的主板件号，从核虚拟出一个板件号，这样通过双核虚拟通信协议，从核可以虚拟为一个板件使用，即对于通信配置而言可以认为双核是双板件，因此可以通过配置实现多核多板相互通信且协议完全相同大大提高可扩展性，同时多板多核可以相互交换并且可实现互闭锁大大提高本系统的安全可靠性。

虚拟平台安全可靠性包含如下主要设计内容：看门狗设计、主核从核的监视、AD自检设计、内存自检设计、定值自检设计。

看门狗设计，看门狗作为CPU板件的监视机制，对CPU的运行情况监视及其重要。有效的看门狗机制能及时发现CPU运行状态异常并复位CPU，防止CPU长期处于异常状态导致继电保护装置拒动误动。本发明设计一个独立的最高优先级喂狗任务(tWDog)进行喂狗操作。主核通过喂狗任务喂狗，从核不直接操作硬件狗，从核的异常状况通过主核来监视。特别是喂狗任务(tWDog)可通过硬件看门狗监视，硬件检测如果超过1s没有执行喂狗操作，认为任务异常，直接复位CPU。

如图6所示，双核各模块间监视关系。主核从核的监视判断策略如下：

主核中断异常监视，主核通过喂狗任务监视中断异常情况。当两次循环读取的中断计数无变化时，判定中断处于异常状态，由喂狗任务保存异常信息并复位系统。

主核任务监视任务异常监视，主核任务监视任务(tDogTask)异常由主核中断和喂狗任务共同监视。任务监视任务在循环对其异常标志计数进行清零，时间间隔约为1s，而中断中每秒对该计数值进行累加。喂狗任务监视到该异常标志计数超过40s时，记录异常信息并复位系统。

主核任务异常监视，主核的其他任务由任务监视任务(tDogTask)监视，每个任务在循环中对其异常标志计数进行清零，任务监视任务监视到该异常标志计数多次无法清零时，通知喂狗任务停止喂狗。

从核中断异常监视，从核通过主核中断监视从核中断异常情况。当主核监视到从核共享数据区中断计数超过60ms没有发生变化，则主核判定从核中断异常，由喂狗任务保存异常信息并复位系统。

从核任务监视任务异常监视，从核对任务监视任务(tDogTask)的监视与主核类似，区别在于，从核没有喂狗任务由从核中断监控。从核中断监视该异常标志计数超过40s时，不直接复位系统，而是置相应的从核停狗标志,并主动停止更新从核的运行计数，由主核的喂狗任务判断异常，记录异常信息后复位系统。

从核任务异常监视，从核的其他任务由任务监视任务(tDogTask)监视，每个任务在循环中对其异常标志计数进行清零，任务监视任务监视到该异常标志计数多次无法清零时，置相应的从核停狗标志,并主动停止更新从核的运行计数，由主核的喂狗任务判断异常，记录异常信息后复位系统。

AD自检设计，AD采集是继电保护装置最重要的数据，若AD采集出错会导致装置直接误动拒动，因此本发明设计双AD采集，主核采集AD2数据作为保护启动判断，从核采集AD1数据作为保护动作判断。同时增加AD采集自检功能，采集AD芯片的5V和12V工作电压，在中断中进行电压自检判断并检查AD芯片的工作状态，若电压偏移大于等于0.5V或者检查到AD芯片工作异常则报装置故障闭锁保护，提高装置可靠性。

内存自检设计，装置硬件设备在恶劣的环境中长期运行极有可能出现内存异常，经过评估对比测试发现在电磁干扰环境长期运行设备，不同的CPU以及内存会存在一定概率的出错。因此本发明设计平台的内存扫描机制，设备初始化时对关键性内存进行标记，中断或者主循环中针对标记内容进行检测是否被误改，既可以检测内存误改，也可以检测DDRII内存错误问题。当检测出内存出错后报装置故障闭锁保护，提高装置可靠性。平台内存自检设计支持公共资源的内存循环扫描，也支持重要资源以及关键内存块的快速扫描。这样设计是为了提高装置的效率降低CPU资源损耗，非关键资源可以使用循环扫描方式，而关键资源可以每个中断中都扫描。

定值自检设计，保护定值是继电保护装置的判断依据数据，如果定值出错直接导致装置误动拒动且无法避免，其重要性不言而喻。因此方案设计针对装置所有使用的定值数据进行校验判断，当检测出定值数据错误后报装置故障闭锁保护，提高装置可靠性。

继电保护装置定值分为保护定值和保护软压板，其自检方案设计如下：

保护定值自检包括定值原始区自检、定值使用区自检。定值原始区自检，定值原始区在主循环中自检，包括定值代号不一致、定值原反码不一致、定值小于最小值和定值大于最大值自检等。定值使用区自检，定值使用区自检在中断中自检，自检所有定值的正反码。

保护软压板自检包括软压板原始区自检。软压板原始区自检，软压板原始区在主循环中自检，包括软压板代号不一致和软压板原反码不一致自检。

代码段自检设计，代码段是程序运行的执行代码，若代码段数据出错或者被误改会导致程序执行错误，可能导致装置直接误动拒动，因此本平台增加代码段自检，防止代码段出错。

由于代码段数据很多，本发明设计循环分段检查模式，即每个循环中只检查一定量的代码段，这样多次循环后即可检查完整代码段，以降低自检逻辑对CPU资源的占用。

出口数据正反码校验，出口数据来自于各个板件和各个节点的出口逻辑，出口数据的正确性直接影响装置的出口。因此出口相关数据需要增加正反码校验设计，防止单bit数据错误导致误出口。当检测到出口数据正反码校验错误后立即报装置故障闭锁保护，提高装置可靠性。

本发明提高系统软件平台的可靠性设计以及硬件平台的可靠性设计，适用于继电保护装置各种复杂应用的高性能高可靠性平台系统，提高继电保护装置本身的安全性和扩展性。