專利名稱:基于二乘二取二安全冗余系統(tǒng)的安全控制裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及鐵路信號控制技術(shù)����,尤其涉及基于二乘二取二安全冗余系統(tǒng)的安全控制裝置及系統(tǒng)。
背景技術(shù):
二乘二取二安全冗余系統(tǒng)是用于實現(xiàn)鐵路信號控制的常用系統(tǒng)��。鐵路信號控制系統(tǒng)是由兩套完全相同的安全控制系構(gòu)成�����,二乘二取二安全冗余系統(tǒng)是需要兩系中的CPU同步工作,方能保證正常運作���。當前中國列車運行控制系統(tǒng)(Chinese Train ControlSystem,以下簡稱CTCS) 2級和CTCS3級列控中心的二乘二取二安全冗余系統(tǒng)在實現(xiàn)二乘二取二的安全冗余功能時���,都是由兩個CPU各自獨立對本CPU的運算結(jié)果和對方CPU的運算結(jié)果進行軟件數(shù)據(jù)比較����,若某一 CPU發(fā)現(xiàn)數(shù)據(jù)比較不一致��,則該CPU停止對外輸出�。執(zhí)行CPU 輸出命令的設(shè)備只有在收到雙CPU提供的有效輸出命令后才會做出驅(qū)動反應,從而實現(xiàn)安全控制?����,F(xiàn)有的二乘二取二安全冗余技術(shù)雖然在對CPU輸出結(jié)果的判斷上大大提高了安全性��,可以較大程度上避免了由于單CPU運算故障造成的錯誤輸出�,但由于比較只是在兩個CPU中通過軟件來實現(xiàn),只要軟件比較通過�,輸出命令就會被發(fā)出,一但命令發(fā)出后�,該命令輸出就會被執(zhí)行,若此時發(fā)現(xiàn)問題�,CPU的軟件已經(jīng)不可能再挽回發(fā)出的錯誤輸出命令,這樣錯誤的輸出命令若被執(zhí)行后就有可能造成嚴重的不安全后果����。另外�,若在CPU輸出命令電路或執(zhí)行設(shè)備上發(fā)生軟件不可控制的故障時��,也有可能導致非CPU發(fā)出命令的錯誤執(zhí)行��,從而帶來嚴重安全隱患����,使得該二乘二取二安全冗余系統(tǒng)所提供的安全性降低��,即該系統(tǒng)的可靠性較低��。
發(fā)明內(nèi)容
針對上述缺陷��,本發(fā)明提供一種基于二乘二取二安全冗余系統(tǒng)的安全控制裝置�����,連接于二乘二取二安全冗余系統(tǒng)的兩個CPU與執(zhí)行設(shè)備之間�����,包括第一比較模塊�����,用于獲取所述兩個CPU輸出的數(shù)據(jù),若比較獲知所述兩個CPU輸出的數(shù)據(jù)一致���,則生成第一驅(qū)動脈沖信號和第一控制脈沖信號���;第二比較模塊,與所述第一比較模塊相同設(shè)置��,且與所述第一比較模塊連接��,以生成反向的第二驅(qū)動脈沖信號和第二控制脈沖信號����;安全動態(tài)驅(qū)動模塊,分別與所述第一比較模塊和所述第二比較模塊連接�,用于根據(jù)從所述第一比較模塊和所述第二比較模塊獲取的驅(qū)動脈沖信號生成驅(qū)動信號;雙繼電器輸出模塊��,分別與所述第一比較模塊��、所述第二比較模塊及所述安全動態(tài)驅(qū)動模塊連接��,用于根據(jù)從所述第一比較模塊和所述第二比較模塊獲取的控制脈沖信號及從所述安全動態(tài)驅(qū)動模塊獲取的驅(qū)動信號生成用于支持執(zhí)行設(shè)備進行工作的執(zhí)行指示信號�����。根據(jù)本發(fā)明的另一方面,還提供了一種二乘二取二安全冗余系統(tǒng)�����,包括相互連接的第一 CPU和第二 CPU����,執(zhí)行設(shè)備,以及分別連接所述第一 CPU�����、所述第二 CPU和所述執(zhí)行設(shè)備的�、本發(fā)明提供的安全控制裝置����。根據(jù)本發(fā)明的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置和二乘二取二安全冗余系統(tǒng),由于能夠獨立于CPU對執(zhí)行設(shè)備進行控制�����,即當發(fā)現(xiàn)存在故障或CPU發(fā)送錯誤數(shù)據(jù)時��,能夠立即切斷執(zhí)行設(shè)備的工作,避免了設(shè)備的誤動作����,提高了安全性。
圖I為本發(fā)明基于二乘二取二安全冗余系統(tǒng)的安全控制裝置的結(jié)構(gòu)示意圖����。圖2為本發(fā)明基于二乘二取二安全冗余系統(tǒng)的安全控制裝置中安全動態(tài)驅(qū)動模塊的結(jié)構(gòu)示意圖。圖3為利用開關(guān)延時保護單元對驅(qū)動脈沖信號進行整形前后的對照時序圖����。
圖4為示出了雙繼電器輸出模塊與安全繼電器之間連接關(guān)系的示意圖。圖5為本發(fā)明二乘二取二安全冗余系統(tǒng)的結(jié)構(gòu)示意圖��。
具體實施例方式為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點更加清楚�����,下面將結(jié)合附圖���,對本發(fā)明的技術(shù)方案進行清楚、完整地描述�。圖I為本發(fā)明基于二乘二取二安全冗余系統(tǒng)的安全控制裝置的結(jié)構(gòu)示意圖�。如圖I所示���,安全控制裝置100設(shè)置在連接于二乘二取二安全冗余系統(tǒng)的兩個CPU與執(zhí)行設(shè)備之間����,包括第一比較模塊10�,用于獲取兩個CPU(如圖I中所示的第一 CPU,簡稱CPUl ;第二CPU,簡稱CPU2)輸出的數(shù)據(jù)��,若比較獲知兩個CPU輸出的數(shù)據(jù)一致�����,則生成第一驅(qū)動脈沖信號和第一控制脈沖信號���;其中,CPUl與CPU2相互連接�����,以獲取對方運算結(jié)果�,并將自身運算結(jié)果與對方運算結(jié)果進行比較,當兩者運算結(jié)果相一致時����,則向外發(fā)送輸出命令數(shù)據(jù)����,該輸出命令數(shù)據(jù)用于啟動執(zhí)行設(shè)備���。第二比較模塊20�,與第一比較模塊10相同設(shè)置�,且與第一比較模塊10連接,以生成反向的第二驅(qū)動脈沖信號和第二控制脈沖信號�; 其中,第一比較模塊10和第二比較模塊20均接收CPUl和CPU2發(fā)送的輸出命令數(shù)據(jù)�����,并當滿足以下兩個條件時認為系統(tǒng)處于安全控制狀態(tài)其一���,能夠持續(xù)接收到CPUl和CPU2發(fā)送的輸出命令數(shù)據(jù)��;其二����,經(jīng)比較獲知CPUl和CPU2發(fā)送的輸出命令數(shù)據(jù)一致�����。當?shù)谝槐容^模塊10和第二比較模塊20認為系統(tǒng)處于安全控制狀態(tài)時,對CPUl和CPU2的輸出命令數(shù)據(jù)所對應的執(zhí)行設(shè)備發(fā)出能夠使其進入工作狀態(tài)的安全控制信號����,包括驅(qū)動脈沖信號和控制脈沖信號;一旦CPUl和CPU2中的任何一個對它不連續(xù)發(fā)送數(shù)據(jù)或兩者發(fā)送來的數(shù)據(jù)比對不一致���,則認為系統(tǒng)處于非安全控制狀態(tài)����,停止對外的安全控制�,即停止執(zhí)行設(shè)備的工作。并且�,第二比較模塊20與第一比較模塊10連接,以實現(xiàn)兩者之間的信息傳遞����,用以協(xié)調(diào)工作����,使得兩者對外輸出的驅(qū)動脈沖信號和控制脈沖信號始終保持反向。安全動態(tài)驅(qū)動模塊30����,分別與第一比較模塊10和第二比較模塊20連接��,用于根據(jù)從第一比較模塊10和第二比較模塊20獲取的驅(qū)動脈沖信號生成驅(qū)動信號���;其中,安全動態(tài)驅(qū)動模塊30從第一比較模塊10和第二比較模塊20接收到兩路驅(qū)動脈沖信號����,并對該兩路驅(qū)動脈沖信號進行“鑒相”,即判斷該兩路驅(qū)動脈沖信號的相位是否相反�����,若相反����,則該安全動態(tài)驅(qū)動模塊30輸出驅(qū)動信號;若不相反���,則不輸出�。該驅(qū)動信號為具有一定功率的直流信號��。雙繼電器輸出模塊40�,分別與第一比較模塊10�����、第二比較模塊20及安全動態(tài)驅(qū)動模塊30連接�����,用于根據(jù)從第一比較模塊10和第二比較模塊20獲取的控制脈沖信號及從安全動態(tài)驅(qū)動模塊30獲取的驅(qū)動信號生成用于支持執(zhí)行設(shè)備進行工作的執(zhí)行指示信號�。其中�,雙繼電器輸出模塊40從安全動態(tài)驅(qū)動模塊30獲取驅(qū)動信號、從第一比較模塊10獲取一路控制驅(qū)動信號�����、并從第二比較模塊20獲取另一路控制驅(qū)動信號�。在驅(qū)動信號及兩路控制驅(qū)動信號同時作用于雙繼電器輸出模塊40時,能夠向執(zhí)行設(shè)備輸出執(zhí)行指示信號�。該執(zhí)行設(shè)備能夠在該執(zhí)行指示信號的驅(qū)動下工作,當雙繼電器輸出模塊40停止輸 出該執(zhí)行指示信號時����,執(zhí)行設(shè)備便立即停止工作。根據(jù)上述實施例的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置�����,由于第一比較模塊和第二比較模塊需對兩個CPU輸出的數(shù)據(jù)進行檢驗和比較�����,并僅當經(jīng)檢驗和比較獲知當前系統(tǒng)處于安全控制狀態(tài)時����,才輸出驅(qū)動脈沖信號和控制脈沖信號;安全動態(tài)驅(qū)動模塊和雙繼電器輸出模塊對該驅(qū)動脈沖信號和控制脈沖信號進行檢驗和/或處理�����,使得僅當驅(qū)動脈沖信號和控制脈沖信號均正常時����,才能夠輸出用于支持執(zhí)行設(shè)備工作的執(zhí)行指示信號,若任一信號發(fā)生異常���,則不發(fā)送執(zhí)行指示信號�,使得執(zhí)行設(shè)備立即停止工作���。因此�,利用這種安全控制裝置,當兩個CPU中的任意一個CPU在發(fā)出輸出命令數(shù)據(jù)后����,若發(fā)現(xiàn)該命令可能存在問題或系統(tǒng)存在故障,則可以立即通知該安全控制裝置��,從而切斷執(zhí)行設(shè)備的工作�,中斷錯誤命令的執(zhí)行,避免了設(shè)備的誤動作��,提高了安全性���。進一步地��,在上述實施例的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置中�,第一比較模塊/第二比較模塊包括存儲單元��,用于獲取并暫存兩個CPU輸出的數(shù)據(jù)�;比較單元,與存儲單元連接�,用于對經(jīng)暫存后輸出的所述數(shù)據(jù)進行一致性校驗,并當校驗結(jié)果為一致時����,生成第一 /第二驅(qū)動脈沖信號和第一 /第二控制脈沖信號����。其中�,存儲單元例如為先進先出雙口緩存器(First In First Out��,以下簡稱FIFO),比較單元例如實現(xiàn)在現(xiàn)場可編程門陣列(Field Programmable Gate Array,以下簡稱FPGA)芯片內(nèi)部��。第一比較模塊中的存儲單元與CPUl連接�,對其輸出的輸出命令數(shù)據(jù)進行FIFO暫存,該第一比較模塊從第二比較模塊中的存儲單元獲取CPU2輸出的輸出命令數(shù)據(jù)����,即兩個比較模塊中的存儲單元分別用于對一個CPU的輸出進行暫存,并將暫存輸出后的數(shù)據(jù)同時提供至兩個比較模塊中的比較單元�����。兩個比較模塊中的FPGA相互連接��,以協(xié)調(diào)工作��,使得兩者對外輸出的驅(qū)動脈沖信號和控制脈沖信號始終保持反向���。進一步地�,在上述實施例的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置中,比較單元還與CPU連接���,用于與CPU進行故障信息發(fā)送/接收�。根據(jù)上述實施例的安全控制裝置��,能夠?qū)崿F(xiàn)比較單元與CPU之間的信息交換���,使得比較單元能夠控制CPU對存儲單元的數(shù)據(jù)發(fā)送���,例如當經(jīng)比較單元判斷后,認為該系統(tǒng)處于非安全控制狀態(tài)而切斷執(zhí)行設(shè)備的工作時���,其將該安全控制裝置的工作狀態(tài)反饋給CPU���,從而使得CPU停止發(fā)送數(shù)據(jù);另外�,當CPU獲知故障信息時,其可直接將故障信息發(fā)送給比較單元�����,而無需經(jīng)FIFO的暫存���,從而提高了響應效率����。圖2為本發(fā)明基于二乘二取二安全冗余系統(tǒng)的安全控制裝置中安全動態(tài)驅(qū)動模塊的結(jié)構(gòu)示意圖。如圖2所示����,在上述實施例的安全控制裝置中��,安全動態(tài)驅(qū)動模塊可包括開關(guān)延時保護單元�、電容充放電單元和光耦單元。下面對各單元進行詳細說明�。開關(guān)延時保護單元,用于對從第一比較模塊(即FPGA1)和第二比較模塊(即FPGA2)接收的互為反向的第一驅(qū)動脈沖信號和第二驅(qū)動脈沖信號進行脈沖延時整形��;其中�,安全動態(tài)驅(qū)動模塊首先通過開關(guān)延時保護單元對兩個比較模塊輸出的互為返向的驅(qū)動脈沖信號進行延時整形,以防止兩路驅(qū)動脈沖信號同時出現(xiàn)高電平的情形���。圖3為利用開關(guān)延時保護單元對驅(qū)動脈沖信號進行整形前后的對照時序圖��。如圖3所示����,通過 開關(guān)延時保護單元的延時整形處理,兩路驅(qū)動脈沖信號的高電平時間比原始驅(qū)動脈沖信號的高電平時間縮短了時間t�����,這樣兩路驅(qū)動脈沖信號的高電平時間和低電平的時間就相差了 2t����,從而保障了該兩路驅(qū)動脈沖信號在高電平處的相異性。電容充放電單元��,連接有外部電源�,用于對第一驅(qū)動脈沖信號和所述第二驅(qū)動脈信號進行鑒相,并當判斷獲知兩者中僅一者為高電平時�,生成所述驅(qū)動信號;其中��,電容充放電模塊對兩路處理后的脈沖驅(qū)動信號進行“鑒相”�����,即判斷兩路脈沖驅(qū)動信號的相位(包括處于高電平或低電平�����,以及兩路信號是否相反)��。只有兩路脈沖驅(qū)動信號在任一信號的高電平處相位相反,電容充放電模塊才輸出具有一定功率的直流信號驅(qū)動雙繼電器輸出模塊�,該直流信號由電容充放電模塊中的放電電容的放電量達預定值時產(chǎn)生,該電容充放電模塊的外接24V電源并不能直接觸發(fā)驅(qū)動信號�。光耦單元,設(shè)置在所述開關(guān)延時保護單元與所述電容充放電單元之間�,用于將所述開關(guān)延時保護單元與所述電容充放電單元的所述外部電源隔離,即用于實現(xiàn)FPGA輸出的脈沖驅(qū)動信號與用于為電容充放電單元供電的24V電壓之間的相互隔離�����,以避免該24V電壓造成對開關(guān)延時保護單元的損壞�。而且�,該安全動態(tài)驅(qū)動模塊還可包括監(jiān)測單元M,用于監(jiān)測電容充放電單元��,并將監(jiān)測信號發(fā)送至比較單元��,以使得比較單元根據(jù)監(jiān)測信號判斷電容充放電單元是否發(fā)生故障���,并當判斷獲知發(fā)生故障時����,向CPU發(fā)送故障信息��。其中,該監(jiān)測單元M對于電容充放電單元中的充放電晶體管進行監(jiān)測�,并將監(jiān)測結(jié)果發(fā)送至FPGA,若FPGA發(fā)現(xiàn)該監(jiān)測結(jié)果連續(xù)數(shù)次(例如為三次)異常(即壓降值不在預定范圍內(nèi))���,則停止輸出驅(qū)動脈沖信號��,同時將故障信息上報給CPU�����。通過設(shè)置該監(jiān)測單元M能夠及時發(fā)現(xiàn)充放電晶體管的隱含故障��,提高了安全性����。進一步地�����,上述實施例的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置與執(zhí)行設(shè)備之間通過安全繼電器連接�����,相應地���,雙繼電器輸出模塊生成的執(zhí)行指示信號用于使安全繼電器的勵磁吸引�����,從而為執(zhí)行設(shè)備提供工作電源供給�����。圖4為示出了雙繼電器輸出模塊與安全繼電器之間連接關(guān)系的示意圖�����。如圖4所示��,雙繼電器輸出模塊由兩個繼電器和兩個電子開關(guān)構(gòu)成�。每個繼電器的線包與電子開關(guān)串聯(lián)后構(gòu)成并聯(lián)結(jié)構(gòu)�����,并與安全動態(tài)驅(qū)動模塊連接��。該雙繼電器輸出模塊的輸出端由一個繼電器的常閉節(jié)點和另一個繼電器的常開節(jié)點相連構(gòu)成對稱的并聯(lián)結(jié)構(gòu)�����。其中,兩個電子開關(guān)在控制脈沖信號及驅(qū)動信號的作用下交替閉合/斷開�����,即實現(xiàn)了由控制脈沖信號和驅(qū)動信號控制兩個繼電器(即Jl和J2)的勵磁���,并通過兩個繼電器的交替勵磁實現(xiàn)對安全繼電器(即J3)的勵磁�,使得繼電器抬起����,從而為執(zhí)行設(shè)備提供工作電源供給。當雙繼電器輸出模塊中的兩個繼電器停止交替勵磁時����,則安全繼電器J3落下,使執(zhí)行設(shè)備失去工作電壓、停止工作�����。根據(jù)上述實施例的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置���,由于該安全控制裝置以最終控制安全繼電器J3能否勵磁吸起來控制執(zhí)行設(shè)備的工作電源供給�����,一旦安全控制裝置切斷執(zhí)行設(shè)備的工作電源后��,即使 CPU仍向執(zhí)行設(shè)備傳送輸出命令數(shù)據(jù)��,執(zhí)行設(shè)備也無法執(zhí)行命令���,其使得在CPU在發(fā)出錯誤命令后或獲知執(zhí)行設(shè)備出現(xiàn)故障等時��,均能夠通過通知安全控制裝置來切斷執(zhí)行設(shè)備的工作��。提高了系統(tǒng)的安全性���。并且,若在比較單元中預置一控制脈沖信號的變換周期(例如為2小時)��,還可使得雙繼電器的狀態(tài)定時轉(zhuǎn)換��,從而能夠檢測繼電器的接點是否發(fā)生粘連��。根據(jù)本發(fā)明的另一方面�,還提供了一種二乘二取二安全冗余系統(tǒng)�����。圖5為本發(fā)明二乘二取二安全冗余系統(tǒng)的結(jié)構(gòu)示意圖。如圖5所示���,該二乘二取二安全冗余系統(tǒng)包括相互連接的兩個CPU����,執(zhí)行設(shè)備����,以及分別連接兩個CPU和執(zhí)行設(shè)備的、上述任一實施例的安全控制裝置�。進一步地,該二乘二取二安全冗余系統(tǒng)還可包括安全繼電器J3�,其連接在安全控制裝置與執(zhí)行設(shè)備之間。根據(jù)上述實施例的二乘二取二安全冗余系統(tǒng)中�����,當安全控制裝置從BI數(shù)據(jù)線和B2數(shù)據(jù)線得到CPUl和CPU2發(fā)來的輸出命令數(shù)據(jù)后進行比對��,當比對一致后��,控制雙繼電器輸出模塊中的兩個繼電器Jl和J2的勵磁�����,繼電器Jl和J2的交替勵磁控制著安全繼電器J3的勵磁,而安全繼電器J3的接點是控制執(zhí)行設(shè)備工作電源能否供給的條件���。當安全繼電器J3落下��,執(zhí)行設(shè)備失去工作電壓將不能工作�。因此�����,安全控制裝置以最終控制安全繼電器J3能否勵磁吸起來控制執(zhí)行設(shè)備的工作電源供給����,一但安全控制裝置通過安全繼電器J3切斷執(zhí)行設(shè)備的工作電源后,即使Al通道和A2通道有輸出命令數(shù)據(jù)送給執(zhí)行設(shè)備���,該命令也不能最終被執(zhí)行���,這樣就防止了 CPUl或CPU2有錯誤發(fā)出的命令后也能通過安全控制裝置及時阻止錯誤命令的被執(zhí)行。另一方面���,假如執(zhí)行設(shè)備或A1�����、A2通道發(fā)生故障����,不受(PU的直接控制后�,CPU可以通過BI數(shù)據(jù)線、B2數(shù)據(jù)線把該故障告訴安全控制裝置��,通過安全控制裝置間接控制了執(zhí)行設(shè)備的工作�����,阻止了有可能導致嚴重后果的錯誤輸出�����,實現(xiàn)系統(tǒng)的高安全性�����。最后應說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案����,而非對其限制�;盡管參照前述實施例對本發(fā)明進行了詳細的說明��,本領(lǐng)域的普通技術(shù)人員應當理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改��,或者對其中部分技術(shù)特征進行等同替換�����;而這些修改或者替換���,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍��。
權(quán)利要求
1.一種基于二乘二取二安全冗余系統(tǒng)的安全控制裝置����,其特征在于����,連接于二乘二取二安全冗余系統(tǒng)的兩個中央處理器CPU與執(zhí)行設(shè)備之間,包括 第一比較模塊��,用于獲取所述兩個CPU輸出的數(shù)據(jù)�����,若比較獲知所述兩個CPU輸出的數(shù)據(jù)一致,則生成第一驅(qū)動脈沖信號和第一控制脈沖信號�; 第二比較模塊,與所述第一比較模塊相同設(shè)置�,且與所述第一比較模塊連接����,以生成反向的第二驅(qū)動脈沖信號和第二控制脈沖信號; 安全動態(tài)驅(qū)動模塊����,分別與所述第一比較模塊和所述第二比較模塊連接,用于根據(jù)從所述第一比較模塊和所述第二比較模塊獲取的驅(qū)動脈沖信號生成驅(qū)動信號���; 雙繼電器輸出模塊����,分別與所述第一比較模塊�����、所述第二比較模塊及所述安全動態(tài)驅(qū)動模塊連接�,用于根據(jù)從所述第一比較模塊和所述第二比較模塊獲取的控制脈沖信號及從所述安全動態(tài)驅(qū)動模塊獲取的驅(qū)動信號生成用于支持執(zhí)行設(shè)備進行工作的執(zhí)行指示信號。
2.根據(jù)權(quán)利要求I所述的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置����,其特征在于�,所述第一/第二比較模塊包括 存儲單元���,用于獲取并暫存所述兩個CPU輸出的數(shù)據(jù)���; 比較單元,與所述存儲單元連接��,用于對經(jīng)暫存后輸出的所述數(shù)據(jù)進行一致性校驗���,并當校驗結(jié)果為一致時��,生成所述第一 /第二驅(qū)動脈沖信號和所述第一 /第二控制脈沖信號���。
3.根據(jù)權(quán)利要求2所述的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置,其特征在于�����,所述存儲單元為先進先出雙口存儲器�。
4.根據(jù)權(quán)利要求2所述的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置,其特征在于,所述比較單元還與所述CPU連接����,用于與所述CPU進行故障信息發(fā)送和接收。
5.根據(jù)權(quán)利要求4所述的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置�����,其特征在于��,所述比較單元實現(xiàn)在現(xiàn)場可編程門陣列FPGA芯片內(nèi)部�����。
6.根據(jù)權(quán)利要求I 5任一所述的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置��,其特征在于��,所述安全動態(tài)驅(qū)動模塊包括 開關(guān)延時保護單元���,用于對從所述第一比較模塊和所述第二比較模塊接收的互為反向的第一驅(qū)動脈沖信號和第二驅(qū)動脈沖信號進行脈沖延時整形; 電容充放電單元�,連接有外部電源,用于對所述第一驅(qū)動脈沖信號和所述第二驅(qū)動脈沖信號進行鑒相���,并當判斷獲知兩者中僅一者為高電平時����,生成所述驅(qū)動信號; 光耦單元���,設(shè)置在所述開關(guān)延時保護單元與所述電容充放電單元之間��,用于將所述開關(guān)延時保護單元與所述電容充放電單元的所述外部電源隔離�。
7.根據(jù)權(quán)利要求6所述的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置�����,其特征在于��,所述安全動態(tài)驅(qū)動模塊還包括 監(jiān)測單元�,用于監(jiān)測所述電容充放電單元,并將監(jiān)測信號發(fā)送至所述比較單元���,以使得所述比較單元根據(jù)所述監(jiān)測信號判斷所述電容充放電單元是否發(fā)生故障����,并當判斷獲知發(fā)生故障時���,向所述CPU發(fā)送所述故障信息���。
8.根據(jù)權(quán)利要求I 5任一所述的基于二乘二取二安全冗余系統(tǒng)的安全控制裝置��,其特征在于����,所述安全控制裝置與所述執(zhí)行設(shè)備之間通過安全繼電器連接���,相應地����,雙繼電器輸出模塊生成的所述執(zhí)行指示信號用于使所述安全繼電器的勵磁吸起���,從而為所述執(zhí)行設(shè)備提供工作電源供給。
9.一種二乘二取二安全冗余系統(tǒng)��,其特征在于�����,包括相互連接的第一 CPU和第二 CPU�,執(zhí)行設(shè)備,以及分別連接所述第一CPU、所述第二 CPU和所述執(zhí)行設(shè)備的�����、根據(jù)權(quán)利要求I 8中任一所述的安全控制裝置����。
10.根據(jù)權(quán)利要求9所述的二乘二取二安全冗余系統(tǒng),其特征在于����,還包括安全繼電器,連接在所述安全控制裝置與所述執(zhí)行設(shè)備之間�。
全文摘要
本發(fā)明提供基于二乘二取二安全冗余系統(tǒng)的安全控制裝置及系統(tǒng)。該安全控制裝置連接于二乘二取二安全冗余系統(tǒng)的兩個CPU與執(zhí)行設(shè)備之間���,包括兩個比較模塊����,用于獲取兩個CPU輸出的數(shù)據(jù)����,若比較獲知兩個CPU輸出的數(shù)據(jù)一致,則生成驅(qū)動脈沖信號和控制脈沖信號�;安全動態(tài)驅(qū)動模塊��,與比較模塊連接�,用于根據(jù)從比較模塊獲取的驅(qū)動脈沖信號生成驅(qū)動信號����;雙繼電器輸出模塊,分別與比較模塊及安全動態(tài)驅(qū)動模塊連接��,用于根據(jù)從比較模塊獲取的控制脈沖信號及從安全動態(tài)驅(qū)動模塊獲取的驅(qū)動信號生成用于支持執(zhí)行設(shè)備進行工作的執(zhí)行指示信號�。該安全控制裝置及二乘二取二安全冗余系統(tǒng)實現(xiàn)了系統(tǒng)高安全性。
文檔編號G05B9/03GK102789166SQ201110125518
公開日2012年11月21日 申請日期2011年5月16日 優(yōu)先權(quán)日2011年5月16日
發(fā)明者于健潔, 剛建雷, 唐世軍, 朱艷軍, 胡燕來, 趙陽, 韓安平 申請人:中國鐵道科學研究院通信信號研究所, 鐵道部運輸局