專利名稱:一種故障安全的二乘二取二裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及控制領(lǐng)域,尤其涉及一種故障安全的二乘二取二裝置。
背景技術(shù):
目前的軌道交通地面控制設(shè)備采用二乘二取二結(jié)構(gòu),也就是兩套計算機(jī)系統(tǒng)各有兩個CPU,并且所有結(jié)構(gòu)和配件完全相同,兩套系統(tǒng)之間采取雙機(jī)熱備份,在兩個系統(tǒng)中各采用一臺CPU的結(jié)果進(jìn)行對比,輸出一致就發(fā)出這個結(jié)果;二乘二取二結(jié)構(gòu)可實(shí)現(xiàn)系統(tǒng)的可靠性和可用性。現(xiàn)有系統(tǒng)中,如果哪套系統(tǒng)出現(xiàn)故障,只能由軟件進(jìn)行處理;兩套系統(tǒng)中的主控模塊沒有嚴(yán)格的同步機(jī)制;二取二功能由軟件通過以太網(wǎng)傳輸數(shù)據(jù)并比較實(shí)現(xiàn),無法實(shí)現(xiàn)嚴(yán)格的二取二功能。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是如何實(shí)現(xiàn)二乘二取二裝置的硬件故障安全。為了解決上述問題,本發(fā)明提供了一種故障安全的二乘二取二裝置,包括兩套系統(tǒng)及切換面板,所述兩套系統(tǒng)均連接所述切換面板;所述切換面板用于控制兩套系統(tǒng)中的一套作為主系統(tǒng),另一套作為備系統(tǒng);各套系統(tǒng)的結(jié)構(gòu)包括系統(tǒng)總線;主控子系統(tǒng)、記錄子系統(tǒng)、通信子系統(tǒng),三個子系統(tǒng)間通過所述系統(tǒng)總線通信;安全看門狗模塊,與所述主控子系統(tǒng)相連,并連接所述切換面板;還連接在所述通信子系統(tǒng)的接口電源上,用于接通或斷開所述通信子系統(tǒng)的接口電源。進(jìn)一步地,所述安全看門狗模塊通過繼電器打開或者關(guān)閉通信子系統(tǒng)的接口電源。進(jìn)一步地,所述主控子系統(tǒng)包括主控模塊;所述主控模塊包括電氣隔離的第一通道和第二通道,每個通道各包括一個協(xié)處理器COP和一個中央處理器CPU,每個通道的CPU各輸出一路使能信號給所述安全看門狗模塊、每個通道的CoP各輸出一路脈沖信號給所述安全看門狗模塊;所述安全看門狗模塊只有當(dāng)本套系統(tǒng)的主控模塊中兩個通道輸出的使能信號及脈沖信號同時有效時,才接通本套系統(tǒng)中通信子系統(tǒng)的接口電源;若有至少任一個通道的使能信號或脈沖信號無效,則斷開本套系統(tǒng)中通信子系統(tǒng)的接口電源。進(jìn)一步地,所述主控模塊中第一通道的COP和第二通道的COP之間完成同步定時,完成后各COP分別給本通道的CPU提供同步信號;各通道中的CPU根據(jù)所述同步信號進(jìn)行周期調(diào)度。進(jìn)一步地,一套系統(tǒng)主控模塊中第一通道的COP和另一套系統(tǒng)主控模塊中第一通道的COP完成同步定時,一套系統(tǒng)主控模塊中第二通道的COP和另一套系統(tǒng)主控模塊中第二通道的COP完成同步定時。進(jìn)一步地,所述通信子系統(tǒng)包括接口模塊,所述接口模塊包括電氣隔離的第一通道和第二通道,每個通道各包括一個協(xié)處理器COP和一個中央處理器CPU ;主控模塊中第一通道的COP還用于和本系統(tǒng)的接口模塊第一通道的COP完成同步定時;主控模塊第二通道的COP還用于和本系統(tǒng)的接口模塊第二通道的COP完成同步定時。進(jìn)一步地,各所述接口模塊中兩個通道的CPU用于以握手方式完成同步,以同時進(jìn)入周期循環(huán)。進(jìn)一步地,主控模塊和接口模塊輸出數(shù)據(jù)時,第一通道的CPU和第二通道的CPU分 別將本周期要輸出的數(shù)據(jù)發(fā)送給本通道的COP ;兩個通道的COP交換所收到的數(shù)據(jù),并將從CPU接收的數(shù)據(jù)和交換時接收的數(shù)據(jù)進(jìn)行按位表決,將表決結(jié)果返回給本通道的CPU ;各通道的CPU當(dāng)所述表決結(jié)果為一致時使能本通道的COP發(fā)送本周期要輸出的數(shù)據(jù)。進(jìn)一步地,主控模塊和接口模塊中的各通道還各包括一接口 ;CPU使能本通道的COP發(fā)送本周期要輸出的數(shù)據(jù)是指CPU使能本通道的COP發(fā)送本周期要輸出的數(shù)據(jù)給本通道的接口,由本通道的接口輸出數(shù)據(jù)給外部。本發(fā)明的技術(shù)方案采用基于硬件看門狗的故障安全機(jī)制,實(shí)現(xiàn)了故障安全功能;其優(yōu)化方案采用定時同步機(jī)制,兩套系統(tǒng)內(nèi)主控模塊和接口模塊內(nèi)的CPU同步執(zhí)行;其另一優(yōu)化方案由COP協(xié)助CPU完成嚴(yán)格的表決;從而避免了原有系統(tǒng)無法實(shí)現(xiàn)固有故障安全、各模塊不同步、表決不嚴(yán)格的缺點(diǎn)。
圖I是實(shí)施例一的故障安全的二乘二取二裝置的結(jié)構(gòu)框圖;圖2是實(shí)施例一的故障安全的二乘二取二裝置中單套系統(tǒng)的結(jié)構(gòu)框圖;圖3是單套系統(tǒng)中主控子系統(tǒng)和安全看門狗模塊的控制示意圖;圖4是單套系統(tǒng)中主控子系統(tǒng)和通信子系統(tǒng)的同步示意圖;圖5是單套系統(tǒng)的模塊中兩通道CPU的同步示意圖;圖6是與安全相關(guān)模塊的結(jié)構(gòu)框圖。
具體實(shí)施例方式下面將結(jié)合附圖及實(shí)施例對本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說明。需要說明的是,如果不沖突,本發(fā)明實(shí)施例以及實(shí)施例中的各個特征可以相互結(jié)合,均在本發(fā)明的保護(hù)范圍之內(nèi)。實(shí)施例一,一種故障安全的二乘二取二裝置,如圖I所示,包括兩套系統(tǒng)(比如圖I里的A系統(tǒng)和B系統(tǒng))及切換面板;所述兩套系統(tǒng)均連接所述切換面板,使用時還可以連接裝置以外的外部設(shè)備和顯示設(shè)備;所述切換面板用于控制兩套系統(tǒng)中的一套作為主系統(tǒng),另一套作為備系統(tǒng)。所述兩套系統(tǒng)各自的功能完整且獨(dú)立運(yùn)行,按主備模式運(yùn)行在正常工作時,一套系統(tǒng)為主系統(tǒng),另外一套系統(tǒng)為備系統(tǒng);所述兩套系統(tǒng)根據(jù)自身的運(yùn)行狀態(tài)和切換面板的控制決定主備關(guān)系;所述兩套系統(tǒng)之間的數(shù)據(jù)交換由獨(dú)立的系統(tǒng)間通訊通道完成。本實(shí)施例中,所述兩套系統(tǒng)結(jié)構(gòu)相同,其中任一套的結(jié)構(gòu)如圖2所示,包括系統(tǒng)總線、安全看門狗模塊;主控子系統(tǒng)、記錄子系統(tǒng)、通信子系統(tǒng),三者間通過所述系統(tǒng)總線通信;所述安全看門狗模塊與所述主控子系統(tǒng)相連,并連接所述切換面板;還連接在所述通信子系統(tǒng)的接口電源上,用于接通或斷開所述通信子系統(tǒng)的接口電源。本實(shí)施例中,安全看門狗模塊由獨(dú)立的硬件單元實(shí)現(xiàn),在本套系統(tǒng)發(fā)生故障的情況下,可由安全看門狗模塊切斷本套系統(tǒng)對外輸出,達(dá)到輸出安全側(cè)的目的。所述安全看門 狗模塊可以但不限于通過繼電器打開或者關(guān)閉通信子系統(tǒng)的接口電源,充當(dāng)了“開關(guān)”的功能,當(dāng)然也可以采用其它器件完成“開關(guān)”的功能。如圖3所示,本實(shí)施例中的所述主控子系統(tǒng)包括兩個電氣隔離的通道CHl和CH2,每個通道各包括一個COP (協(xié)處理器)和一個CPU (中央處理器),每個通道的CPU各輸出一路使能信號OE (如圖3中,CHl和CH2中的CPU所輸出的使能信號分別為OE-Wl和0E-W2)、每個通道的CoP各輸出一路脈沖信號給所述安全看門狗模塊;只有本套系統(tǒng)的主控模塊中兩個通道的使能信號及脈沖信號同時有效(有效是指0E信號為高電平且脈沖持續(xù)不斷)時,安全看門狗模塊才工作在正常狀態(tài),才控制所述繼電器閉合,接通本套系統(tǒng)中通信子系統(tǒng)的接口電源,此時本套系統(tǒng)的通信子系統(tǒng)和外部設(shè)備連通,本套系統(tǒng)可對外正常輸出。若有至少任一個通道的使能信號或脈沖信號無效,則安全看門狗模塊判斷本套系統(tǒng)出現(xiàn)故障,控制所述繼電器斷開本套系統(tǒng)中通信子系統(tǒng)的接口電源,從而切斷本套系統(tǒng)對外輸出,達(dá)到故障安全的作用。如圖4所示,所述主控子系統(tǒng)包括主控模塊,所述通信子系統(tǒng)包括接口模塊,所述主控模塊和接口模塊均包括電氣隔離的第一通道(通道I)和第二通道(通道2)兩個通道,主控模塊和接口模塊中的每個通道各包括一個COP (協(xié)處理器)和一個CPU (中央處理器),且主控模塊中第一通道的COP和接口模塊中第一通道的COP相連,主控模塊中第二通道的COP和接口模塊中第二通道的COP相連。主控模塊中第一、第二通道的COP之間先進(jìn)行定時同步,然后分別給本通道的CPU提供同步信號,各通道的CPU根據(jù)所述同步信號進(jìn)行周期調(diào)度,同步誤差低于10微秒。兩套系統(tǒng)中的主控模塊中的COP之間根據(jù)簡化的IEEE1588協(xié)議完成同步定時,具體來說就是一套系統(tǒng)主控模塊中第一通道的COP和另一套系統(tǒng)主控模塊中第一通道的COP完成同步定時,一套系統(tǒng)主控模塊中第二通道的COP和另一套系統(tǒng)主控模塊中第二通道的COP完成同步定時。在一套系統(tǒng)內(nèi),主控模塊第一通道的COP還用于和本系統(tǒng)的接口模塊第一通道的COP完成同步定時,主控模塊第二通道的COP還用于和本系統(tǒng)的接口模塊第二通道的COP完成同步定時。主控模塊兩個通道的COP之間、不同系統(tǒng)主控模塊的COP之間、及一個系統(tǒng)內(nèi)主控模塊和接口模塊的COP之間完成同步定時的方式可參照現(xiàn)有技術(shù)實(shí)施。
如圖5所示,各所述接口模塊中兩個通道的CPU(圖4中的CPUl和CPU2)用于以握手方式完成同步,以同時進(jìn)入周期循環(huán),在代碼段I執(zhí)行前先進(jìn)行周期初始同步,在代碼
段2執(zhí)行時進(jìn)行周期運(yùn)行同步1,......,在代碼段η執(zhí)行時進(jìn)行周期運(yùn)行同步η-1,最后同
步誤差低于50微秒。如圖6所示,本實(shí)施例中所有安全相關(guān)模塊(包括主控模塊、接口模塊)均采用雙通道結(jié)構(gòu)實(shí)現(xiàn)二取二功能,兩個通道電氣隔離,通過光耦通信;各通道分別包括CPU和C0P,還可以分別包括一接口,用于輸出數(shù)據(jù)給外部,比如圖6中通道I包括CPUl和C0P1,通道2包括CPU2和C0P2。安全相關(guān)模塊輸出數(shù)據(jù)時CPU1和CPU2分別將本周期要輸出的數(shù)據(jù)發(fā)送給COPl和C0P2,兩個COP交換所收到的數(shù)據(jù),并將從CPU接收的數(shù)據(jù)和交換時接收的數(shù)據(jù)進(jìn)行按位表決(比較),將表決結(jié)果返回給本通道的CPU,如果表決結(jié)果為一致則CPU使能本通道的COP發(fā)送本周期要輸出的數(shù)據(jù)給本通道的接口。各模塊的兩個通道中的COP均采用全表決策略,即每個位都表決,而現(xiàn)有系統(tǒng)只 表決原始數(shù)據(jù)的MD5碼(MD5是消息摘要算法第五版,為計算機(jī)安全領(lǐng)域廣泛使用的一種散列函數(shù),用以提供消息的完整性保護(hù)),可能會出現(xiàn)表決錯誤。同時,現(xiàn)有系統(tǒng)由于沒有嚴(yán)格的同步機(jī)制,需要緩存3個周期,在三個周期內(nèi)有相同的數(shù)據(jù)即認(rèn)為表決成功,這樣有安全風(fēng)險,本實(shí)施例表決的是本周期的數(shù)據(jù),杜絕了這種風(fēng)險。本實(shí)施例中,2取2執(zhí)行(即上一段所述的表決過程)是在CoP協(xié)處理器中由硬件執(zhí)行的,速度更快。本實(shí)施例中,由硬件完成定時(即一個系統(tǒng)主控模塊兩個通道里的COP之間先定時同步,然后COP發(fā)送同步信號給本通道的CPU ;兩個系統(tǒng)主控模塊兩個通道里的COP分別定時同步;同一個系統(tǒng)中,主控模塊和接口模塊中相連接的COP之間定時同步;接口模塊的CPU之間通過握手協(xié)議同步),精度更高。當(dāng)然,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種故障安全的二乘二取二裝置,包括 兩套系統(tǒng)及切換面板,所述兩套系統(tǒng)均連接所述切換面板;所述切換面板用于控制兩套系統(tǒng)中的一套作為主系統(tǒng),另一套作為備系統(tǒng); 其特征在于,各套系統(tǒng)的結(jié)構(gòu)包括 系統(tǒng)總線; 主控子系統(tǒng)、記錄子系統(tǒng)、通信子系統(tǒng),三個子系統(tǒng)間通過所述系統(tǒng)總線通信; 安全看門狗模塊,與所述主控子系統(tǒng)相連,并連接所述切換面板;還連接在所述通信子系統(tǒng)的接口電源上,用于接通或斷開所述通信子系統(tǒng)的接口電源。
2.如權(quán)利要求I所述的裝置,其特征在于 所述安全看門狗模塊通過繼電器打開或者關(guān)閉通信子系統(tǒng)的接口電源。
3.如權(quán)利要求I所述的裝置,其特征在于 所述主控子系統(tǒng)包括主控模塊;所述主控模塊包括電氣隔離的第一通道和第二通道,每個通道各包括一個協(xié)處理器COP和一個中央處理器CPU,每個通道的CPU各輸出一路使能信號給所述安全看門狗模塊、每個通道的CoP各輸出一路脈沖信號給所述安全看門狗模塊; 所述安全看門狗模塊只有當(dāng)本套系統(tǒng)的主控模塊中兩個通道輸出的使能信號及脈沖信號同時有效時,才接通本套系統(tǒng)中通信子系統(tǒng)的接口電源;若有至少任一個通道的使能信號或脈沖信號無效,則斷開本套系統(tǒng)中通信子系統(tǒng)的接口電源。
4.如權(quán)利要求3所述的裝置,其特征在于 所述主控模塊中第一通道的COP和第二通道的COP之間完成同步定時,完成后各COP分別給本通道的CPU提供同步信號; 各通道中的CPU根據(jù)所述同步信號進(jìn)行周期調(diào)度。
5.如權(quán)利要求4所述的裝置,其特征在于 一套系統(tǒng)主控模塊中第一通道的COP和另一套系統(tǒng)主控模塊中第一通道的COP完成同步定時,一套系統(tǒng)主控模塊中第二通道的COP和另一套系統(tǒng)主控模塊中第二通道的COP完成同步定時。
6.如權(quán)利要求5所述的裝置,其特征在于 所述通信子系統(tǒng)包括接口模塊,所述接口模塊包括電氣隔離的第一通道和第二通道,每個通道各包括一個協(xié)處理器COP和一個中央處理器CPU ; 主控模塊中第一通道的COP還用于和本系統(tǒng)的接口模塊第一通道的COP完成同步定時; 主控模塊第二通道的COP還用于和本系統(tǒng)的接口模塊第二通道的COP完成同步定時。
7.如權(quán)利要求6所述的裝置,其特征在于 各所述接口模塊中兩個通道的CPU用于以握手方式完成同步,以同時進(jìn)入周期循環(huán)。
8.如權(quán)利要求7所述的裝置,其特征在于 主控模塊和接口模塊輸出數(shù)據(jù)時,第一通道的CPU和第二通道的CPU分別將本周期要輸出的數(shù)據(jù)發(fā)送給本通道的COP ; 兩個通道的COP交換所收到的數(shù)據(jù),并將從CPU接收的數(shù)據(jù)和交換時接收的數(shù)據(jù)進(jìn)行按位表決,將表決結(jié)果返回給本通道的CPU ;各通道的CPU當(dāng)所述表決結(jié)果為一致時使能本通道的COP發(fā)送本周期要輸出的數(shù)據(jù)。
9.如權(quán)利要求8所述的裝置,其特征在于 主控模塊和接口模塊中的各通道還各包括一接口; CPU使能本通道的COP發(fā)送本周期要輸出的數(shù)據(jù)是指 CPU使能本通道的COP發(fā)送本周期要輸出的數(shù)據(jù)給本通道的接口,由本通道的接口輸出數(shù)據(jù)給外部。
全文摘要
本發(fā)明公開了一種故障安全的二乘二取二裝置,包括兩套系統(tǒng)及切換面板,所述兩套系統(tǒng)均連接所述切換面板;所述切換面板用于控制兩套系統(tǒng)中的一套作為主系統(tǒng),另一套作為備系統(tǒng);各套系統(tǒng)的結(jié)構(gòu)包括系統(tǒng)總線;主控子系統(tǒng)、記錄子系統(tǒng)、通信子系統(tǒng),三個子系統(tǒng)間通過所述系統(tǒng)總線通信;安全看門狗模塊,與所述主控子系統(tǒng)相連,并連接所述切換面板;還連接在所述通信子系統(tǒng)的接口電源上,用于接通或斷開所述通信子系統(tǒng)的接口電源。本發(fā)明能夠?qū)崿F(xiàn)二乘二取二裝置的硬件故障安全。
文檔編號G05B19/048GK102830647SQ201210320228
公開日2012年12月19日 申請日期2012年8月31日 優(yōu)先權(quán)日2012年8月31日
發(fā)明者趙雅囡, 雷志軍, 朱愛華, 薄云覽 申請人:北京和利時系統(tǒng)工程有限公司