一種三冗余控制計(jì)算機(jī)及容錯(cuò)控制系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種三冗余控制計(jì)算機(jī)及容錯(cuò)控制系統(tǒng),包括開關(guān)量表決陣列模塊和三個(gè)完全獨(dú)立的子計(jì)算機(jī)�����;開關(guān)量表決陣列模塊接收三個(gè)子計(jì)算機(jī)輸出的開關(guān)量控制信號和備份開關(guān)量控制信號����,通過硬件表決器輸出開關(guān)量功率控制指令�;每個(gè)子計(jì)算機(jī)根據(jù)左右機(jī)角色定義表確定與其對應(yīng)的左機(jī)和右機(jī);每個(gè)子計(jì)算機(jī)包括同步模塊����、自檢模塊、左機(jī)檢測模塊����、右機(jī)檢測模塊、當(dāng)班控制模塊���、主機(jī)模塊與開關(guān)量控制輸出模塊���。本發(fā)明在滿足控制系統(tǒng)強(qiáng)實(shí)時(shí)要求的基礎(chǔ)上�����,可以容忍更多的單機(jī)故障模式����,提高系統(tǒng)的整體高可靠性���,簡化軟硬件開銷����。
【專利說明】一種三冗余控制計(jì)算機(jī)及容錯(cuò)控制系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種三冗余控制計(jì)算機(jī)及容錯(cuò)控制系統(tǒng)����。
【背景技術(shù)】
[0002] 在元器件、單機(jī)產(chǎn)品可靠性水平一定條件下���,通常采用冗余容錯(cuò)技術(shù)提高計(jì)算機(jī) 控制系統(tǒng)的整體可靠性���,例如雙機(jī)備份/雙模冗余、三模冗余(TMR)等冗余技術(shù)已經(jīng)被廣泛 應(yīng)用于具有高可靠要求的飛行器控制系統(tǒng)。
[0003] 雙模冗余系統(tǒng)通過增加一套同構(gòu)的硬件設(shè)備來提高系統(tǒng)的可靠性���。一般技術(shù)方案 為雙機(jī)同步采集數(shù)據(jù)��,對數(shù)據(jù)進(jìn)行處理�����,同時(shí)產(chǎn)生數(shù)據(jù)輸出并發(fā)送至表決器對輸出數(shù)據(jù)進(jìn) 行比較:當(dāng)雙機(jī)輸出數(shù)據(jù)結(jié)果相同時(shí)��,表明系統(tǒng)處于正常工作狀態(tài)���;當(dāng)輸出數(shù)據(jù)比較結(jié)果 不相同時(shí),表明系統(tǒng)發(fā)生故障��。當(dāng)發(fā)生故障時(shí)�,雙模冗余系統(tǒng)不能判斷故障機(jī)����,一般通過卷 回機(jī)制盡可能進(jìn)行事后恢復(fù),因此不能滿足某些可靠性與操作實(shí)時(shí)性都要求很高的應(yīng)用場 合中���。
[0004] 三模冗余系統(tǒng)采用三套同構(gòu)的設(shè)備進(jìn)行同步數(shù)據(jù)采樣�、同步運(yùn)算處理����、三機(jī)交互 后再按照三取二原則進(jìn)行表決選擇���,最終由硬件表決器對三機(jī)輸出進(jìn)行表決后輸出控制指 令。三模冗余系統(tǒng)可以自動(dòng)吸收一度故障但不能容忍二度故障��,相比雙模系統(tǒng)具有更高的 控制實(shí)時(shí)性���。
[0005] 雙模與三模冗余系統(tǒng)共同特點(diǎn)是在實(shí)現(xiàn)雙機(jī)/三機(jī)系統(tǒng)同步的基礎(chǔ)上����,通過專用 設(shè)計(jì)的信息交換通道(如雙口 RAM�����、高速機(jī)內(nèi)總線)等額外硬件資源實(shí)現(xiàn)多機(jī)之間輸入信 息����、輸出指令的交換,最終控制指令輸出需要經(jīng)過多個(gè)計(jì)算單元的表決判定��。這種技術(shù)方案 一方面增加了系統(tǒng)軟硬件的復(fù)雜度�,另一方面增加額外的時(shí)間開銷,降低了系統(tǒng)的實(shí)時(shí)性。 此外��,在某些控制系統(tǒng)中���,如航天飛行器控制系統(tǒng)中�,對控制系統(tǒng)配套設(shè)備(可分為敏感器 器/傳感器��、控制器與執(zhí)行器三大類)的重量與功耗存在嚴(yán)格約束�,由于其作用地位或功能 的不同,部分敏感器�、執(zhí)行器在技術(shù)上不可能或沒有必要采取三余度配置,構(gòu)成了非完全對 稱的三余度冗余控制系統(tǒng)����,而傳統(tǒng)三余度控制計(jì)算機(jī)不能適應(yīng)這種應(yīng)用場合。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明所要解決的技術(shù)問題是:針對現(xiàn)有技術(shù)的不足�,提供了一種能夠適應(yīng)非完 全對稱的三冗余控制計(jì)算機(jī)及容錯(cuò)控制系統(tǒng),在滿足控制系統(tǒng)強(qiáng)實(shí)時(shí)要求的基礎(chǔ)上���,可以 容忍更多的單機(jī)故障模式,提高系統(tǒng)的整體高可靠性�,簡化軟硬件開銷。
[0007] 本發(fā)明包括如下技術(shù)方案:
[0008] -種三冗余控制計(jì)算機(jī)��,包括開關(guān)量表決陣列模塊和三個(gè)完全獨(dú)立的子計(jì)算機(jī); 開關(guān)量表決陣列模塊接收三個(gè)子計(jì)算機(jī)輸出的開關(guān)量控制信號和備份開關(guān)量控制信號�,通 過硬件表決器輸出開關(guān)量功率控制指令;每個(gè)子計(jì)算機(jī)根據(jù)左右機(jī)角色定義表確定與其對 應(yīng)的左機(jī)和右機(jī)�;每個(gè)子計(jì)算機(jī)包括同步模塊、自檢模塊�����、左機(jī)檢測模塊�、右機(jī)檢測模塊、當(dāng) 班控制模塊���、主機(jī)模塊與開關(guān)量控制輸出模塊����;
[0009] 同步模塊接收左機(jī)與右機(jī)發(fā)送的控制周期信號����,根據(jù)本機(jī)時(shí)鐘對左機(jī)與右機(jī)發(fā)送 的控制周期信號進(jìn)行故障檢測后與本機(jī)控制周期信號進(jìn)行表決獲得表決后的控制周期信 號,將表決后的控制周期信號發(fā)送至主機(jī)模塊�、左機(jī)與右機(jī),并且將表決后的控制周期信號 作為本機(jī)控制周期信號計(jì)時(shí)起點(diǎn)產(chǎn)生本機(jī)的下一周期的控制周期信號����;
[0010]自檢模塊接收到主機(jī)模塊發(fā)出的自檢使能指令后���,根據(jù)每個(gè)控制周期從主機(jī)模塊 接收到的心跳信息產(chǎn)生高低電平交替變化的心跳信號并發(fā)送至左機(jī)與右機(jī);如果自檢模塊 在第一設(shè)定時(shí)間內(nèi)沒有檢測到心跳信號�,則將自檢結(jié)果標(biāo)志設(shè)定為異常狀態(tài);如果自檢模 塊在第一設(shè)定時(shí)間內(nèi)檢測到心跳信號�,則將自檢結(jié)果標(biāo)志設(shè)定為正常狀態(tài);向主機(jī)模塊與 當(dāng)班控制模塊發(fā)出自檢結(jié)果標(biāo)志����;
[0011] 左機(jī)檢測模塊接收到主機(jī)模塊發(fā)出的左機(jī)檢測使能指令后,接收左機(jī)心跳信號��、 自檢模塊輸出的自檢結(jié)果標(biāo)志���、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號���;在自檢結(jié)果標(biāo)志為正 常狀態(tài)、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號不全有效條件下��,如果在第一設(shè)定的時(shí)間內(nèi)����,沒 有檢測到左機(jī)心跳信號或者接收到主機(jī)模塊發(fā)出的左機(jī)不允許當(dāng)班指令,則向左機(jī)發(fā)出左 機(jī)不允許當(dāng)班信號�;如果在第一設(shè)定的時(shí)間內(nèi),沒有檢測到左機(jī)心跳信號��,向開關(guān)量控制指 令輸出模塊和主機(jī)模塊發(fā)送左機(jī)心跳異常信號�����;
[0012] 右機(jī)檢測模塊接收到主機(jī)模塊發(fā)出的右機(jī)檢測使能指令后��,接收右機(jī)心跳信號��、 自檢模塊輸出的自檢結(jié)果標(biāo)志����、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號,在自檢結(jié)果標(biāo)志為正 常狀態(tài)�����、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號不全有效條件下�,如果在第一設(shè)定的時(shí)間內(nèi),沒 有檢測到右機(jī)心跳信號電平發(fā)生高低交替變化或者接收到主機(jī)模塊發(fā)出的右機(jī)不允許當(dāng) 班指令���,則向右機(jī)發(fā)出右機(jī)不允許當(dāng)班信號�;如果在第一設(shè)定的時(shí)間內(nèi)���,沒有檢測到右機(jī) 心跳信號電平發(fā)生高低交替變化���,向開關(guān)量輸出控制模塊和主機(jī)模塊發(fā)送右機(jī)心跳異常信 號�;
[0013] 當(dāng)班控制模塊接收自檢模塊輸出的自檢結(jié)果標(biāo)志�、左機(jī)與右機(jī)發(fā)送的當(dāng)班信號、 左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號以及主機(jī)模塊發(fā)送的請求當(dāng)班指令��;在自檢模塊自檢結(jié) 果標(biāo)志為正常���、左機(jī)與右機(jī)發(fā)送的當(dāng)班信號均無效����、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號不 全有效�、請求當(dāng)班指令有效條件下,將本機(jī)當(dāng)班信號置為有效狀態(tài)��,否則將本機(jī)當(dāng)班信號置 為無效狀態(tài)���;當(dāng)班控制模塊向左機(jī)���、右機(jī)以及主機(jī)模塊輸出當(dāng)班信號;當(dāng)本機(jī)當(dāng)班信號由 有效狀態(tài)變?yōu)闊o效狀態(tài)時(shí)�,向主機(jī)模塊發(fā)出總線禁止發(fā)送信號���;
[0014] 主機(jī)模塊接收左機(jī)與右機(jī)發(fā)送的當(dāng)班信號�����、當(dāng)班控制模塊輸出的當(dāng)班信號��;通過 當(dāng)班競爭確定當(dāng)班機(jī)或備機(jī)角色����,根據(jù)當(dāng)班競爭后確定的角色在每個(gè)控制周期開始后順序 完成相應(yīng)角色的控制流程;主機(jī)模塊配置三個(gè)總線接口芯片���,當(dāng)接收到當(dāng)班控制模塊發(fā)出 的總線禁止發(fā)送信號后��,將三總線接口芯片發(fā)送器使能端置無效���;通過主機(jī)模塊的三個(gè)總 線接口芯片進(jìn)行三總線通信控制;
[0015] 開關(guān)量控制指令輸出模塊接收到主機(jī)模塊發(fā)送的本地開關(guān)量控制指令后向開關(guān) 量表決陣列模塊輸出N路開關(guān)量控制信號���;N為大于等于1的整數(shù)���;開關(guān)量控制指令輸出模 塊接收左機(jī)檢測模塊發(fā)送的左機(jī)心跳異常信號���、右機(jī)檢測模塊發(fā)送的右機(jī)心跳異常信號, 當(dāng)左機(jī)心跳異常信號與右機(jī)心跳異常信號均有效時(shí)�,輸出N路備份開關(guān)量控制信號。
[0016] 主機(jī)模塊的當(dāng)班競爭實(shí)現(xiàn)步驟如下:
[0017] a)如果主機(jī)模塊接收到的左機(jī)發(fā)送的當(dāng)班信號為有效狀態(tài)�,設(shè)定本機(jī)為備機(jī)角 色,左機(jī)為當(dāng)班機(jī)角色����,右機(jī)為備機(jī)角色;如果接收到的右機(jī)發(fā)送的當(dāng)班信號為有效狀態(tài)�����, 設(shè)定本機(jī)為備機(jī)角色����,右機(jī)為當(dāng)班機(jī)角色,左機(jī)為備機(jī)角色�����;主機(jī)模塊向自檢模塊發(fā)出自檢 使能���、向左機(jī)檢測模塊發(fā)送左機(jī)檢測使能指令����、向右機(jī)檢測模塊發(fā)送右機(jī)檢測使能指令,退 出當(dāng)班競爭�;否則向當(dāng)班控制模塊發(fā)出本機(jī)當(dāng)班請求,轉(zhuǎn)入步驟b);
[0018] b)如果查詢到當(dāng)班控制模塊輸出的當(dāng)班信號有效����、左機(jī)與右機(jī)當(dāng)班信號均無效��, 則設(shè)置本機(jī)為當(dāng)班機(jī)角色����,設(shè)置左右機(jī)為備機(jī)角色,向自檢模塊發(fā)出自檢使能��、向左機(jī)檢測 模塊發(fā)送左機(jī)檢測使能指令��、向右機(jī)檢測模塊發(fā)送右機(jī)檢測使能指令�����,退出當(dāng)班競爭����;如果 查詢當(dāng)班控制模塊輸出的當(dāng)班信號有效并且左/右機(jī)任意一機(jī)當(dāng)班信號有效�����,則取消當(dāng)班 請求��,返回步驟a)��。
[0019] 當(dāng)班機(jī)角色的控制流程如下:
[0020] a)判斷本機(jī)故障標(biāo)志���,如果本機(jī)故障標(biāo)志無效則向自檢模塊發(fā)出心跳信號;如果 本機(jī)故障標(biāo)志有效則停止向自檢模塊發(fā)出心跳信號�����;
[0021] b)本機(jī)作為三總線控制器完成信息采樣獲得敏感器測量信息���,完成本地開關(guān)量輸 入信號采樣并通過三總線轉(zhuǎn)發(fā)至左機(jī)和右機(jī)�;
[0022] c)根據(jù)敏感器測量信息和本地開關(guān)量輸入信號進(jìn)行控制運(yùn)算得到用于故障判別 的特征控制指令���、執(zhí)行器的控制指令和本地開關(guān)量控制指令�����;通過三總線發(fā)出用于故障判 別的特征控制指令和執(zhí)行器的控制指令����,向開關(guān)量指令輸出控制模塊發(fā)送本地開關(guān)量控制 指令;
[0023] d)持續(xù)第三設(shè)定時(shí)間內(nèi)����,判定任一總線所有消息均失敗或者消息無法啟動(dòng),則設(shè) 置本機(jī)故障標(biāo)志����,清除當(dāng)班請求;
[0024] e)當(dāng)查詢到自檢結(jié)果標(biāo)志為異常狀態(tài)或本機(jī)當(dāng)班信號無效時(shí)��,設(shè)置本機(jī)故障標(biāo)志 為有效�,進(jìn)入空閑狀態(tài)�����,主動(dòng)退出當(dāng)班狀態(tài)�����,作為被強(qiáng)制退出當(dāng)班的備份冗余操作���;否則等 待下一控制周期�����,重新進(jìn)入步驟a)��。
[0025] 備機(jī)角色的控制流程如下:
[0026] a)判斷本機(jī)故障標(biāo)志���,如果本機(jī)故障標(biāo)志無效則向自檢模塊發(fā)出心跳信號���;如果 本機(jī)故障標(biāo)志有效則停止向自檢模塊發(fā)出心跳信號;
[0027] b)完成本地開關(guān)量輸入信號采樣��;作為三總線監(jiān)視器����,監(jiān)視當(dāng)班機(jī)獲得的敏感器 測量信息;
[0028] c)根據(jù)本地開關(guān)量輸入信號和監(jiān)視獲得的敏感器測量信息進(jìn)行控制運(yùn)算處理得 到備機(jī)特征控制指令�����、備機(jī)執(zhí)行器的控制指令和備機(jī)本地開關(guān)量控制指令�;向開關(guān)量控制 指令輸出模塊發(fā)送本地開關(guān)量控制指令;
[0029] d)將備機(jī)特征控制指令與通過三總線監(jiān)視到的當(dāng)班機(jī)特征控制指令進(jìn)行比較�,如 果差值大于第一門限值��,則設(shè)置當(dāng)班機(jī)故障標(biāo)志有效���,當(dāng)當(dāng)班機(jī)是本機(jī)的左機(jī)時(shí)向左機(jī)檢 測模塊發(fā)出左機(jī)不允許當(dāng)班指令;當(dāng)當(dāng)班機(jī)是本機(jī)的右機(jī)時(shí)向右機(jī)檢測模塊發(fā)出右機(jī)不允 許當(dāng)班指令�;
[0030] e)將備機(jī)執(zhí)行器的控制指令與通過三總線監(jiān)視到的當(dāng)班機(jī)執(zhí)行器的控制指令進(jìn) 行比較判定當(dāng)班機(jī)是否故障,當(dāng)當(dāng)班機(jī)故障時(shí)設(shè)置當(dāng)班機(jī)故障標(biāo)志有效�,當(dāng)當(dāng)班機(jī)是本機(jī) 的左機(jī)時(shí)向左機(jī)檢測模塊發(fā)出左機(jī)不允許當(dāng)班指令;當(dāng)當(dāng)班機(jī)是本機(jī)的右機(jī)時(shí)向右機(jī)檢測 模塊發(fā)出右機(jī)不允許當(dāng)班指令���;
[0031] f)對備機(jī)本地開關(guān)量輸入信號進(jìn)行采樣��,如果備機(jī)本地開關(guān)量輸入信號為有效狀 態(tài)�����、通過三總線監(jiān)視到的當(dāng)班機(jī)本地開關(guān)量輸入信號為無效狀態(tài),或者連續(xù)兩個(gè)控制周期 備機(jī)本地開關(guān)量輸入信號為無效狀態(tài)��、通過三總線監(jiān)視到的當(dāng)班機(jī)開關(guān)量輸入信號為有效 狀態(tài)�����,則設(shè)置當(dāng)班機(jī)故障標(biāo)志為有效�,當(dāng)當(dāng)班機(jī)是本機(jī)的左機(jī)時(shí)向左機(jī)檢測模塊發(fā)出左機(jī) 不允許當(dāng)班指令�����;當(dāng)當(dāng)班機(jī)是本機(jī)的右機(jī)時(shí)向右機(jī)檢測模塊發(fā)出右機(jī)不允許當(dāng)班指令����;
[0032] g)任意一條總線持續(xù)第四設(shè)定時(shí)間內(nèi)沒有監(jiān)視到任何總線消息����,則設(shè)置當(dāng)班機(jī)故 障標(biāo)志為有效,當(dāng)當(dāng)班機(jī)是本機(jī)的左機(jī)時(shí)向左機(jī)檢測模塊發(fā)出左機(jī)不允許當(dāng)班指令�;當(dāng)當(dāng) 班機(jī)是本機(jī)的右機(jī)時(shí)向右機(jī)檢測模塊發(fā)出右機(jī)不允許當(dāng)班指令;
[0033] h)當(dāng)查詢到本機(jī)自檢結(jié)果標(biāo)志為異常狀態(tài)時(shí)設(shè)置本機(jī)故障標(biāo)志為有效�,或者沒有 收到左機(jī)心跳異常信號和右機(jī)心跳異常信號時(shí),持續(xù)發(fā)出當(dāng)班機(jī)不允許當(dāng)班指令且在第五 設(shè)定時(shí)間內(nèi)當(dāng)班信號均未發(fā)生變化時(shí)��,設(shè)置本機(jī)故障標(biāo)志為有效����;
[0034] i)如果查詢到當(dāng)班機(jī)當(dāng)班信號從有效狀態(tài)變?yōu)闊o效且對應(yīng)當(dāng)班機(jī)故障標(biāo)志有效 時(shí),重新進(jìn)行當(dāng)班競爭��;否則等待下一控制周期��,重新進(jìn)入步驟a)��。
[0035] 執(zhí)行器的控制指令為開關(guān)量控制指令或數(shù)字化連續(xù)量控制指令;
[0036] 當(dāng)執(zhí)行器的控制指令為數(shù)字化連續(xù)量控制指令時(shí)����,將數(shù)字化連續(xù)量控制指令與通 過三總線監(jiān)視到的當(dāng)班機(jī)數(shù)字化連續(xù)量控制指令進(jìn)行比較,如果連續(xù)若干個(gè)控制周期差值 均大于第二門限值或者在第三設(shè)定時(shí)間內(nèi)三總線均沒有監(jiān)視到數(shù)字化連續(xù)量控制指令�, 則判定當(dāng)班機(jī)故障;
[0037] 當(dāng)執(zhí)行器的控制指令為開關(guān)量控制指令時(shí)�����,如果連續(xù)兩個(gè)控制周期通過三總線監(jiān) 視到的當(dāng)班機(jī)開關(guān)量控制指令與備機(jī)的開關(guān)量控制指令不一致或者沒有監(jiān)視到當(dāng)班機(jī)的 開關(guān)量控制指令���,則判定當(dāng)班機(jī)故障�。
[0038] 三個(gè)完全獨(dú)立的子計(jì)算機(jī)分別標(biāo)記為A機(jī)����、B機(jī)和C機(jī);開關(guān)量表決陣列模塊包括 N路硬件表決器���,每路硬件表決器包括六個(gè)開關(guān)器件;第一開關(guān)器件��、第三開關(guān)器件和第五 開關(guān)器件的電源端并聯(lián)后與電源端相連���;第一開關(guān)器件的輸出端與第二開關(guān)器件的電源端 串聯(lián)�,第三開關(guān)器件的輸出端與第四開關(guān)器件的電源端串聯(lián),第五開關(guān)器件的輸出端與第 六開關(guān)器件的電源端串聯(lián)�;第二開關(guān)器件、第四開關(guān)器件和第六開關(guān)器件的輸出端并聯(lián)后 輸出開關(guān)量功率控制指令;A機(jī)輸出的開關(guān)量控制信號C_A與C機(jī)輸出的備份開關(guān)量控制 信號C_C_1線或后與第一開關(guān)器件和第六開關(guān)器件的控制端相連�;B機(jī)輸出的開關(guān)量控制 信號C_B與A機(jī)輸出的備份開關(guān)量控制信號C_A_1線或后與第二開關(guān)器件和第三開關(guān)器件 的控制端相連;C機(jī)輸出的開關(guān)量控制信號C_C與B機(jī)輸出的備份開關(guān)量控制信號C_B_1線 或后與第四開關(guān)器件和第五開關(guān)器件的控制端相連���。
[0039] 同步模塊包括分頻器���、左機(jī)周期信號檢測模塊、右機(jī)周期信號檢測模塊和周期信 號表決器��;本機(jī)時(shí)鐘通過分頻器產(chǎn)生本機(jī)控制周期信號��;左機(jī)周期信號檢測模塊利用本機(jī) 時(shí)鐘對左機(jī)控制周期信號進(jìn)行故障檢測��,如果左機(jī)控制周期信號的周期在設(shè)定的偏差范圍 外則認(rèn)為左機(jī)控制周期信號故障�,如果在設(shè)定的偏差范圍內(nèi)則認(rèn)為左機(jī)控制周期信號正 常;右機(jī)周期信號檢測模塊利用本機(jī)時(shí)鐘對右機(jī)控制周期信號進(jìn)行故障檢測���,如果右機(jī)控 制周期信號的周期在所述設(shè)定的偏差范圍外則認(rèn)為右機(jī)控制周期信號故障�����,如果在設(shè)定的 偏差范圍內(nèi)�����,則認(rèn)為右機(jī)控制周期信號正常���;如果左機(jī)與右機(jī)控制周期信號均正?��;蛘咧?有一個(gè)故障,則周期信號表決器對三機(jī)控制周期信號進(jìn)行三取二表決得到表決后的控制周 期信號����;如果左機(jī)與右機(jī)控制周期信號均故障,則周期信號表決器利用本機(jī)控制周期信號 作為表決后的控制周期信號����;周期信號表決器將表決后的控制周期信號發(fā)送至主機(jī)模塊、 左機(jī)與右機(jī)�����,并且將表決后的控制周期信號作為本機(jī)控制周期信號計(jì)時(shí)起點(diǎn)產(chǎn)生本機(jī)的下 一周期的控制周期信號����。
[0040] 一種容錯(cuò)控制系統(tǒng),包括上述的三冗余控制計(jì)算機(jī)��,三總線�����,三余度敏感器設(shè)備 Sl_l��、Sl_2���、Sl_3,雙余度敏感器設(shè)備S2_l�、S2_2,三余度執(zhí)行器A1_1����、A1_2、Al_3和雙余 度執(zhí)行器A2_l����、A2_2 ;控制計(jì)算機(jī)與三總線相連;三余度執(zhí)行器���,雙余度執(zhí)行器�����、三余度敏 感器設(shè)備�����、雙余度敏感器設(shè)備作為總線遠(yuǎn)程終端連接到任意一條總線��;三余度敏感器設(shè)備 Sl_l��、Sl_2����、Sl_3通過三總線與控制計(jì)算機(jī)相連,雙余度敏感器設(shè)備S2_l通過雙總線與控 制計(jì)算機(jī)相連�,由控制計(jì)算機(jī)對敏感器設(shè)備輸出信息進(jìn)行多數(shù)表決與數(shù)據(jù)融合;三余度執(zhí) 行器Al_l�、Al_2、Al_3通過三總線與控制計(jì)算機(jī)相連�,雙余度執(zhí)行器A2_l、A2_2通過雙總 線與控制計(jì)算機(jī)相連�����;三余度執(zhí)行器Al_l��、Al_2、Al_3對來自控制計(jì)算機(jī)的三余度控制指 令形成硬件表決結(jié)構(gòu)�����,雙余度執(zhí)行器Al_l��、Al_2對來自控制計(jì)算機(jī)的雙余度控制指令進(jìn)行 熱備切換�����;
[0041] 三個(gè)子計(jì)算機(jī)發(fā)起當(dāng)班競爭��,確定一個(gè)子計(jì)算機(jī)作為當(dāng)班機(jī)�����、其余兩個(gè)子計(jì)算機(jī) 作為備機(jī)����;當(dāng)班機(jī)作為三總線控制器完成敏感器設(shè)備Sl_l����、Sl_2、Sl_3�、S2_l、S2_2輸出信 息采樣獲得敏感器測量信息,備機(jī)作為總線監(jiān)視器同步監(jiān)視敏感器測量信息�;
[0042] 本地開關(guān)量輸入信號并聯(lián)連接至三個(gè)子計(jì)算機(jī),當(dāng)班機(jī)和備機(jī)均進(jìn)行采樣獲得開 關(guān)量輸入信號�,當(dāng)班機(jī)通過三總線向備機(jī)發(fā)送本地開關(guān)量輸入信號,備機(jī)通過與當(dāng)班機(jī)錯(cuò) 開采樣時(shí)間的方法��,判定當(dāng)班機(jī)是否故障��;
[0043] 三個(gè)子計(jì)算機(jī)分別根據(jù)敏感器測量信息與本地開關(guān)量輸入信號完成控制運(yùn)算得 到用于故障判別的特征控制指令����、執(zhí)行器的控制指令、和本地開關(guān)量控制指令��,當(dāng)班機(jī)通過 三總線向執(zhí)行器Al_l�、Al_2、Al_3�����、Al_l�����、Al_2輸出執(zhí)行器的控制指令���,向本地輸出開關(guān)量 控制指令����;備機(jī)只向本地輸出開關(guān)量控制指令;雙備機(jī)同時(shí)監(jiān)視當(dāng)班機(jī)通過總線輸出的用 于故障判別的特征控制指令���、執(zhí)行器的控制指令�,進(jìn)行當(dāng)班機(jī)故障判定�,當(dāng)當(dāng)班機(jī)故障時(shí)����, 向當(dāng)班機(jī)發(fā)出不允許當(dāng)班信號;如果雙備機(jī)均發(fā)出不允許當(dāng)班信號�����,當(dāng)班機(jī)被動(dòng)釋放當(dāng)班 控制權(quán)��?��;蛘弋?dāng)班機(jī)判定自身故障時(shí)��,主動(dòng)釋放當(dāng)班控制權(quán)�;
[0044] 當(dāng)班機(jī)釋放當(dāng)班控制權(quán)時(shí),雙備機(jī)再次競爭當(dāng)班控制權(quán)�����,在下一個(gè)控制周期����,取得 當(dāng)班權(quán)的備機(jī)接管三總線,繼續(xù)完成控制功能���;
[0045] 當(dāng)由備機(jī)轉(zhuǎn)換為當(dāng)班機(jī)的子計(jì)算機(jī)再次發(fā)生故障時(shí)�����,主動(dòng)釋放當(dāng)班控制權(quán)���,余下 的備機(jī)在下一個(gè)控制周期接管三總線,繼續(xù)完成控制功能����。
[0046] 所述總線為1553B總線或者RS485總線。
[0047] 每個(gè)執(zhí)行器的控制指令為開關(guān)量控制指令或數(shù)字化連續(xù)量控制指令����;如果執(zhí)行器 連續(xù)三個(gè)控制周期接收到相同的開關(guān)量控制指令后才執(zhí)行對應(yīng)的操作���;如果執(zhí)行器當(dāng)前控 制周期接收到的數(shù)字化連續(xù)量控制指令與前一控制周期接收到的數(shù)字化連續(xù)量控制指令 差值大于第一門限則拒絕執(zhí)行當(dāng)前控制周期的數(shù)字化連續(xù)量控制指令。
[0048] 本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(diǎn):
[0049] 1)三冗余控制計(jì)算機(jī)采取當(dāng)班機(jī)工作�、雙備機(jī)表決的工作模式,通過自檢模塊����、左 /右機(jī)監(jiān)測模塊、主機(jī)模塊軟硬件相互協(xié)同配合實(shí)現(xiàn)基于自檢與互檢的改進(jìn)三取二表決冗 余管理�����,可以自動(dòng)吸收一度故障與典型故障模式下的二度故障�,提高了三余度計(jì)算機(jī)系統(tǒng) 的可靠性��;
[0050] 2)三冗余控制計(jì)算機(jī)采用當(dāng)班機(jī)一機(jī)控制三總線�����、備機(jī)跟隨運(yùn)行的工作模式�����,使 得控制計(jì)算機(jī)余度模塊故障與配套敏感器���、執(zhí)行器故障不存在耦合關(guān)系����,控制系統(tǒng)可以容 忍任何單機(jī)任何余度故障,提高了非完全對稱的冗余控制系統(tǒng)的可靠性�����,減少了控制系統(tǒng) 配套設(shè)備需求��,減輕了控制系統(tǒng)整體重量�����,降低了控制設(shè)備安裝空間與功耗需求���;
[0051] 3)所述三冗余控制計(jì)算機(jī)取消了一般三余度控制計(jì)算機(jī)專門的三機(jī)敏感器測量 信息與控制指令的交互�����,簡化了軟硬件設(shè)計(jì)��,降低了冗余管理開銷��,提高了控制系統(tǒng)的實(shí)時(shí) 性�����。
【專利附圖】
【附圖說明】
[0052] 圖1為非完全對稱的本發(fā)明容錯(cuò)控制系統(tǒng)���;
[0053] 圖2為三冗余控制計(jì)算機(jī)組成示意圖����;
[0054] 圖3為子計(jì)算機(jī)組成示意圖��;
[0055] 圖4為同步模塊組成示意圖���;
[0056] 圖5為開關(guān)量表決陣列模塊中的單路硬件表決器與三機(jī)開關(guān)量控制指令輸出模 塊連接示意圖����。
【具體實(shí)施方式】
[0057] 下面就結(jié)合附圖對本發(fā)明做進(jìn)一步介紹�。
[0058] 基于單機(jī)非對稱冗余配置的三總線體系結(jié)構(gòu)如圖1所示�����,包括三冗余控制計(jì)算 機(jī)���,三總線�,三余度敏感器設(shè)備Sl_l、Sl_2��、Sl_3,雙余度敏感器設(shè)備S2_l���、S2_2,三余度執(zhí) 行器A1_1�、A1_2�、A1_3和雙余度執(zhí)行器A2_1、A2_2 ;控制計(jì)算機(jī)與三總線相連�����;三余度執(zhí)行 器���,雙余度執(zhí)行器��、三余度敏感器設(shè)備�、雙余度敏感器設(shè)備作為總線遠(yuǎn)程終端連接到任意一 條總線��;三余度敏感器設(shè)備S1_1��、S1_2����、S1_3通過三總線與控制計(jì)算機(jī)相連��,雙余度敏感器 設(shè)備S2_l通過雙總線與控制計(jì)算機(jī)相連����,由控制計(jì)算機(jī)對敏感器設(shè)備輸出信息進(jìn)行多數(shù) 表決與數(shù)據(jù)融合���;三余度執(zhí)行器A1_1�、A1_2��、A1_3通過三總線與控制計(jì)算機(jī)相連��,雙余度執(zhí) 行器A2_l���、A2_2通過雙總線與控制計(jì)算機(jī)相連����;三余度執(zhí)行器Al_l���、Al_2�����、Al_3對來自控 制計(jì)算機(jī)的三余度控制指令形成硬件表決結(jié)構(gòu)�����,雙余度執(zhí)行器Al_l���、Al_2對來自控制計(jì)算 機(jī)的雙余度控制指令進(jìn)行熱備切換。所述總線可以為1553B總線或者RS485總線或者其它 通信總線�����。
[0059] 其中控制計(jì)算機(jī)在硬件上采用三余度配置(在產(chǎn)品實(shí)現(xiàn)形式上為一個(gè)產(chǎn)品內(nèi)含 三個(gè)完全獨(dú)立的余度模塊�����,分別標(biāo)記為A機(jī)���、B機(jī)與C機(jī))����,每個(gè)余度模塊均提供三總線接口 連接到三總線中���。
[0060] 如錯(cuò)誤�!未找到引用源。所示����,三冗余控制計(jì)算機(jī)包括開關(guān)量表決陣列模塊和三 個(gè)完全獨(dú)立的子計(jì)算機(jī);開關(guān)量表決陣列模塊接收三個(gè)子計(jì)算機(jī)輸出的開關(guān)量控制信號和 備份開關(guān)量控制信號��,通過硬件表決器輸出開關(guān)量功率控制指令����;每個(gè)子計(jì)算機(jī)根據(jù)左右 機(jī)角色定義表確定與其對應(yīng)的左機(jī)和右機(jī)。例如可以按表1定義左右機(jī)角色:A機(jī)左機(jī)為B 機(jī)�����,右機(jī)為C機(jī)�;B機(jī)左機(jī)為A機(jī),右機(jī)為C機(jī)�����;C機(jī)左機(jī)為A機(jī)��,右機(jī)為B機(jī)�。另外,也可以 定義成別的形式����。
[0061] 表1左右機(jī)角色定義
[0062]
【權(quán)利要求】
1. 一種三冗余控制計(jì)算機(jī),其特征在于����,三冗余控制計(jì)算機(jī)包括開關(guān)量表決陣列模塊 和三個(gè)完全獨(dú)立的子計(jì)算機(jī);開關(guān)量表決陣列模塊接收三個(gè)子計(jì)算機(jī)輸出的開關(guān)量控制信 號和備份開關(guān)量控制信號��,通過硬件表決器輸出開關(guān)量功率控制指令�;每個(gè)子計(jì)算機(jī)根據(jù) 左右機(jī)角色定義表確定與其對應(yīng)的左機(jī)和右機(jī);每個(gè)子計(jì)算機(jī)包括同步|旲塊��、自檢|旲塊��、左 機(jī)檢測模塊��、右機(jī)檢測模塊����、當(dāng)班控制模塊、主機(jī)模塊與開關(guān)量控制輸出模塊�; 同步模塊接收左機(jī)與右機(jī)發(fā)送的控制周期信號,根據(jù)本機(jī)時(shí)鐘對左機(jī)與右機(jī)發(fā)送的控 制周期信號進(jìn)行故障檢測后與本機(jī)控制周期信號進(jìn)行表決獲得表決后的控制周期信號��,將 表決后的控制周期信號發(fā)送至主機(jī)模塊�、左機(jī)與右機(jī)�����,并且將表決后的控制周期信號作為 本機(jī)控制周期信號計(jì)時(shí)起點(diǎn)產(chǎn)生本機(jī)的下一周期的控制周期信號��; 自檢模塊接收到主機(jī)模塊發(fā)出的自檢使能指令后�����,根據(jù)每個(gè)控制周期從主機(jī)模塊接收 到的心跳信息產(chǎn)生高低電平交替變化的心跳信號并發(fā)送至左機(jī)與右機(jī)�;如果自檢模塊在第 一設(shè)定時(shí)間內(nèi)沒有檢測到心跳信號�����,則將自檢結(jié)果標(biāo)志設(shè)定為異常狀態(tài)�����;如果自檢模塊在 第一設(shè)定時(shí)間內(nèi)檢測到心跳信號��,則將自檢結(jié)果標(biāo)志設(shè)定為正常狀態(tài)����;向主機(jī)模塊與當(dāng)班 控制模塊發(fā)出自檢結(jié)果標(biāo)志; 左機(jī)檢測模塊接收到主機(jī)模塊發(fā)出的左機(jī)檢測使能指令后�,接收左機(jī)心跳信號���、自檢 模塊輸出的自檢結(jié)果標(biāo)志、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號��;在自檢結(jié)果標(biāo)志為正常狀 態(tài)��、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號不全有效條件下����,如果在第一設(shè)定的時(shí)間內(nèi)��,沒有檢 測到左機(jī)心跳信號或者接收到主機(jī)模塊發(fā)出的左機(jī)不允許當(dāng)班指令��,則向左機(jī)發(fā)出左機(jī)不 允許當(dāng)班信號����;如果在第一設(shè)定的時(shí)間內(nèi),沒有檢測到左機(jī)心跳信號�����,向開關(guān)量控制指令輸 出模塊和主機(jī)模塊發(fā)送左機(jī)心跳異常信號����; 右機(jī)檢測模塊接收到主機(jī)模塊發(fā)出的右機(jī)檢測使能指令后��,接收右機(jī)心跳信號��、自檢 模塊輸出的自檢結(jié)果標(biāo)志��、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號��,在自檢結(jié)果標(biāo)志為正常狀 態(tài)��、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號不全有效條件下���,如果在第一設(shè)定的時(shí)間內(nèi),沒有檢 測到右機(jī)心跳信號電平發(fā)生高低交替變化或者接收到主機(jī)模塊發(fā)出的右機(jī)不允許當(dāng)班指 令�,則向右機(jī)發(fā)出右機(jī)不允許當(dāng)班信號;如果在第一設(shè)定的時(shí)間內(nèi)��,沒有檢測到右機(jī)心跳信 號電平發(fā)生高低交替變化�����,向開關(guān)量輸出控制模塊和主機(jī)模塊發(fā)送右機(jī)心跳異常信號�����; 當(dāng)班控制模塊接收自檢模塊輸出的自檢結(jié)果標(biāo)志、左機(jī)與右機(jī)發(fā)送的當(dāng)班信號����、左機(jī) 與右機(jī)發(fā)送的不允許當(dāng)班信號以及主機(jī)模塊發(fā)送的請求當(dāng)班指令;在自檢模塊自檢結(jié)果標(biāo) 志為正常��、左機(jī)與右機(jī)發(fā)送的當(dāng)班信號均無效�����、左機(jī)與右機(jī)發(fā)送的不允許當(dāng)班信號不全有 效��、請求當(dāng)班指令有效條件下���,將本機(jī)當(dāng)班信號置為有效狀態(tài),否則將本機(jī)當(dāng)班信號置為無 效狀態(tài)��;當(dāng)班控制模塊向左機(jī)����、右機(jī)以及主機(jī)模塊輸出當(dāng)班信號;當(dāng)本機(jī)當(dāng)班信號由有效 狀態(tài)變?yōu)闊o效狀態(tài)時(shí)�����,向主機(jī)模塊發(fā)出總線禁止發(fā)送信號����; 主機(jī)模塊接收左機(jī)與右機(jī)發(fā)送的當(dāng)班信號�����、當(dāng)班控制模塊輸出的當(dāng)班信號�;通過當(dāng)班 競爭確定當(dāng)班機(jī)或備機(jī)角色��,根據(jù)當(dāng)班競爭后確定的角色在每個(gè)控制周期開始后順序完成 相應(yīng)角色的控制流程��;主機(jī)模塊配置三個(gè)總線接口芯片�,當(dāng)接收到當(dāng)班控制模塊發(fā)出的總 線禁止發(fā)送信號后,將三總線接口芯片發(fā)送器使能端置無效�;通過主機(jī)模塊的三個(gè)總線接 口芯片進(jìn)行三總線通信控制; 開關(guān)量控制指令輸出模塊接收到主機(jī)模塊發(fā)送的本地開關(guān)量控制指令后向開關(guān)量表 決陣列模塊輸出N路開關(guān)量控制信號�����;N為大于等于1的整數(shù)���;開關(guān)量控制指令輸出模塊接 收左機(jī)檢測模塊發(fā)送的左機(jī)心跳異常信號��、右機(jī)檢測模塊發(fā)送的右機(jī)心跳異常信號����,當(dāng)左 機(jī)心跳異常信號與右機(jī)心跳異常信號均有效時(shí),輸出N路備份開關(guān)量控制信號����。
2. 根據(jù)權(quán)利要求1所述的三冗余控制計(jì)算機(jī),其特征在于���,主機(jī)模塊的當(dāng)班競爭實(shí)現(xiàn) 步驟如下: a) 如果主機(jī)模塊接收到的左機(jī)發(fā)送的當(dāng)班信號為有效狀態(tài)��,設(shè)定本機(jī)為備機(jī)角色�����,左 機(jī)為當(dāng)班機(jī)角色��,右機(jī)為備機(jī)角色;如果接收到的右機(jī)發(fā)送的當(dāng)班信號為有效狀態(tài)�,設(shè)定 本機(jī)為備機(jī)角色,右機(jī)為當(dāng)班機(jī)角色�,左機(jī)為備機(jī)角色;主機(jī)模塊向自檢模塊發(fā)出自檢使 能��、向左機(jī)檢測模塊發(fā)送左機(jī)檢測使能指令��、向右機(jī)檢測模塊發(fā)送右機(jī)檢測使能指令,退出 當(dāng)班競爭�;否則向當(dāng)班控制模塊發(fā)出本機(jī)當(dāng)班請求,轉(zhuǎn)入步驟b); b) 如果查詢到當(dāng)班控制模塊輸出的當(dāng)班信號有效�、左機(jī)與右機(jī)當(dāng)班信號均無效,則設(shè) 置本機(jī)為當(dāng)班機(jī)角色�����,設(shè)置左右機(jī)為備機(jī)角色��,向自檢模塊發(fā)出自檢使能����、向左機(jī)檢測模塊 發(fā)送左機(jī)檢測使能指令、向右機(jī)檢測模塊發(fā)送右機(jī)檢測使能指令��,退出當(dāng)班競爭���;如果查 詢當(dāng)班控制模塊輸出的當(dāng)班信號有效并且左/右機(jī)任意一機(jī)當(dāng)班信號有效�����,則取消當(dāng)班請 求��,返回步驟a)���。
3. 根據(jù)權(quán)利要求1所述的三冗余控制計(jì)算機(jī)�����,其特征在于����,當(dāng)班機(jī)角色的控制流程如 下: a) 判斷本機(jī)故障標(biāo)志���,如果本機(jī)故障標(biāo)志無效則向自檢模塊發(fā)出心跳信號�;如果本機(jī) 故障標(biāo)志有效則停止向自檢模塊發(fā)出心跳信號�����; b) 本機(jī)作為三總線控制器完成信息采樣獲得敏感器測量信息����,完成本地開關(guān)量輸入信 號采樣并通過三總線轉(zhuǎn)發(fā)至左機(jī)和右機(jī)�; c) 根據(jù)敏感器測量信息和本地開關(guān)量輸入信號進(jìn)行控制運(yùn)算得到用于故障判別的特 征控制指令、執(zhí)行器的控制指令和本地開關(guān)量控制指令�;通過三總線發(fā)出用于故障判別的 特征控制指令和執(zhí)行器的控制指令,向開關(guān)量指令輸出控制模塊發(fā)送本地開關(guān)量控制指 令�����; d) 持續(xù)第三設(shè)定時(shí)間內(nèi),判定任一總線所有消息均失敗或者消息無法啟動(dòng)�����,則設(shè)置本 機(jī)故障標(biāo)志�����,清除當(dāng)班請求�����; e) 當(dāng)查詢到自檢結(jié)果標(biāo)志為異常狀態(tài)或本機(jī)當(dāng)班信號無效時(shí)�����,設(shè)置本機(jī)故障標(biāo)志為有 效��,進(jìn)入空閑狀態(tài)�����,主動(dòng)退出當(dāng)班狀態(tài)�,作為被強(qiáng)制退出當(dāng)班的備份冗余操作���;否則等待下 一控制周期,重新進(jìn)入步驟a)�。
4. 根據(jù)權(quán)利要求1所述的三冗余控制計(jì)算機(jī),其特征在于�,備機(jī)角色的控制流程如 下: a) 判斷本機(jī)故障標(biāo)志,如果本機(jī)故障標(biāo)志無效則向自檢模塊發(fā)出心跳信號�;如果本機(jī) 故障標(biāo)志有效則停止向自檢模塊發(fā)出心跳信號; b) 完成本地開關(guān)量輸入信號采樣����;作為三總線監(jiān)視器,監(jiān)視當(dāng)班機(jī)獲得的敏感器測量 信息�����; c) 根據(jù)本地開關(guān)量輸入信號和監(jiān)視獲得的敏感器測量信息進(jìn)行控制運(yùn)算處理得到備 機(jī)特征控制指令���、備機(jī)執(zhí)行器的控制指令和備機(jī)本地開關(guān)量控制指令��;向開關(guān)量控制指令 輸出模塊發(fā)送本地開關(guān)量控制指令���; d) 將備機(jī)特征控制指令與通過三總線監(jiān)視到的當(dāng)班機(jī)特征控制指令進(jìn)行比較,如果差 值大于第一門限值���,則設(shè)置當(dāng)班機(jī)故障標(biāo)志有效�,當(dāng)當(dāng)班機(jī)是本機(jī)的左機(jī)時(shí)向左機(jī)檢測模 塊發(fā)出左機(jī)不允許當(dāng)班指令����;當(dāng)當(dāng)班機(jī)是本機(jī)的右機(jī)時(shí)向右機(jī)檢測模塊發(fā)出右機(jī)不允許當(dāng) 班指令; e) 將備機(jī)執(zhí)行器的控制指令與通過三總線監(jiān)視到的當(dāng)班機(jī)執(zhí)行器的控制指令進(jìn)行比 較判定當(dāng)班機(jī)是否故障�����,當(dāng)當(dāng)班機(jī)故障時(shí)設(shè)置當(dāng)班機(jī)故障標(biāo)志有效�,當(dāng)當(dāng)班機(jī)是本機(jī)的左 機(jī)時(shí)向左機(jī)檢測模塊發(fā)出左機(jī)不允許當(dāng)班指令;當(dāng)當(dāng)班機(jī)是本機(jī)的右機(jī)時(shí)向右機(jī)檢測模塊 發(fā)出右機(jī)不允許當(dāng)班指令�����; f) 對備機(jī)本地開關(guān)量輸入信號進(jìn)行采樣����,如果備機(jī)本地開關(guān)量輸入信號為有效狀態(tài)、 通過三總線監(jiān)視到的當(dāng)班機(jī)本地開關(guān)量輸入信號為無效狀態(tài)���,或者連續(xù)兩個(gè)控制周期備機(jī) 本地開關(guān)量輸入信號為無效狀態(tài)�、通過三總線監(jiān)視到的當(dāng)班機(jī)開關(guān)量輸入信號為有效狀 態(tài)���,則設(shè)置當(dāng)班機(jī)故障標(biāo)志為有效����,當(dāng)當(dāng)班機(jī)是本機(jī)的左機(jī)時(shí)向左機(jī)檢測模塊發(fā)出左機(jī)不 允許當(dāng)班指令;當(dāng)當(dāng)班機(jī)是本機(jī)的右機(jī)時(shí)向右機(jī)檢測模塊發(fā)出右機(jī)不允許當(dāng)班指令����; g) 任意一條總線持續(xù)第四設(shè)定時(shí)間內(nèi)沒有監(jiān)視到任何總線消息,則設(shè)置當(dāng)班機(jī)故障標(biāo) 志為有效�,當(dāng)當(dāng)班機(jī)是本機(jī)的左機(jī)時(shí)向左機(jī)檢測模塊發(fā)出左機(jī)不允許當(dāng)班指令;當(dāng)當(dāng)班機(jī) 是本機(jī)的右機(jī)時(shí)向右機(jī)檢測模塊發(fā)出右機(jī)不允許當(dāng)班指令����; h) 當(dāng)查詢到本機(jī)自檢結(jié)果標(biāo)志為異常狀態(tài)時(shí)設(shè)置本機(jī)故障標(biāo)志為有效,或者沒有收到 左機(jī)心跳異常信號和右機(jī)心跳異常信號時(shí)�,持續(xù)發(fā)出當(dāng)班機(jī)不允許當(dāng)班指令且在第五設(shè)定 時(shí)間內(nèi)當(dāng)班信號均未發(fā)生變化時(shí),設(shè)置本機(jī)故障標(biāo)志為有效��; i) 如果查詢到當(dāng)班機(jī)當(dāng)班信號從有效狀態(tài)變?yōu)闊o效且對應(yīng)當(dāng)班機(jī)故障標(biāo)志有效時(shí)���,重 新進(jìn)行當(dāng)班競爭�����;否則等待下一控制周期����,重新進(jìn)入步驟a)����。
5. 根據(jù)權(quán)利要求1所述的三冗余控制計(jì)算機(jī),其特征在于��,執(zhí)行器的控制指令為開關(guān) 量控制指令或數(shù)字化連續(xù)量控制指令�����; 當(dāng)執(zhí)行器的控制指令為數(shù)字化連續(xù)量控制指令時(shí)��,將數(shù)字化連續(xù)量控制指令與通過三 總線監(jiān)視到的當(dāng)班機(jī)數(shù)字化連續(xù)量控制指令進(jìn)行比較��,如果連續(xù)若干個(gè)控制周期差值均大 于第二門限值或者在第三設(shè)定時(shí)間內(nèi)三總線均沒有監(jiān)視到數(shù)字化連續(xù)量控制指令�����,則判 定當(dāng)班機(jī)故障����; 當(dāng)執(zhí)行器的控制指令為開關(guān)量控制指令時(shí),如果連續(xù)兩個(gè)控制周期通過三總線監(jiān)視到 的當(dāng)班機(jī)開關(guān)量控制指令與備機(jī)的開關(guān)量控制指令不一致或者沒有監(jiān)視到當(dāng)班機(jī)的開關(guān) 量控制指令,則判定當(dāng)班機(jī)故障����。
6. 根據(jù)權(quán)利要求1所述的三冗余控制計(jì)算機(jī),其特征在于��,三個(gè)完全獨(dú)立的子計(jì)算機(jī) 分別標(biāo)記為A機(jī)�、B機(jī)和C機(jī);開關(guān)量表決陣列模塊包括N路硬件表決器,每路硬件表決器 包括六個(gè)開關(guān)器件;第一開關(guān)器件�����、第三開關(guān)器件和第五開關(guān)器件的電源端并聯(lián)后與電源 端相連���;第一開關(guān)器件的輸出端與第二開關(guān)器件的電源端串聯(lián),第三開關(guān)器件的輸出端與 第四開關(guān)器件的電源端串聯(lián)��,第五開關(guān)器件的輸出端與第六開關(guān)器件的電源端串聯(lián)�����;第二 開關(guān)器件���、第四開關(guān)器件和第六開關(guān)器件的輸出端并聯(lián)后輸出開關(guān)量功率控制指令;A機(jī) 輸出的開關(guān)量控制信號C_A與C機(jī)輸出的備份開關(guān)量控制信號C_C_1線或后與第一開關(guān)器 件和第六開關(guān)器件的控制端相連���;B機(jī)輸出的開關(guān)量控制信號C_B與A機(jī)輸出的備份開關(guān) 量控制信號C_A_1線或后與第二開關(guān)器件和第三開關(guān)器件的控制端相連�����;C機(jī)輸出的開關(guān) 量控制信號C_C與B機(jī)輸出的備份開關(guān)量控制信號C_B_1線或后與第四開關(guān)器件和第五開 關(guān)器件的控制端相連��。
7. 根據(jù)權(quán)利要求1所述的三冗余控制計(jì)算機(jī)����,其特征在于�,同步模塊包括分頻器���、左機(jī) 周期信號檢測模塊���、右機(jī)周期信號檢測模塊和周期信號表決器;本機(jī)時(shí)鐘通過分頻器產(chǎn)生 本機(jī)控制周期信號�����;左機(jī)周期信號檢測模塊利用本機(jī)時(shí)鐘對左機(jī)控制周期信號進(jìn)行故障檢 測����,如果左機(jī)控制周期信號的周期在設(shè)定的偏差范圍外則認(rèn)為左機(jī)控制周期信號故障,如 果在設(shè)定的偏差范圍內(nèi)則認(rèn)為左機(jī)控制周期信號正常;右機(jī)周期信號檢測模塊利用本機(jī)時(shí) 鐘對右機(jī)控制周期信號進(jìn)行故障檢測��,如果右機(jī)控制周期信號的周期在所述設(shè)定的偏差范 圍外則認(rèn)為右機(jī)控制周期信號故障���,如果在設(shè)定的偏差范圍內(nèi)�,則認(rèn)為右機(jī)控制周期信號 正常����;如果左機(jī)與右機(jī)控制周期信號均正常或者只有一個(gè)故障�,則周期信號表決器對三機(jī) 控制周期信號進(jìn)行三取二表決得到表決后的控制周期信號;如果左機(jī)與右機(jī)控制周期信號 均故障�,則周期信號表決器利用本機(jī)控制周期信號作為表決后的控制周期信號;周期信號 表決器將表決后的控制周期信號發(fā)送至主機(jī)模塊���、左機(jī)與右機(jī)�,并且將表決后的控制周期 信號作為本機(jī)控制周期信號計(jì)時(shí)起點(diǎn)產(chǎn)生本機(jī)的下一周期的控制周期信號��。
8. -種容錯(cuò)控制系統(tǒng)�����,其特征在于���,包括權(quán)利要求1所述的三冗余控制計(jì)算機(jī)���,三總 線�,三余度敏感器設(shè)備Sl_l��、Sl_2����、Sl_3,雙余度敏感器設(shè)備S2_l、S2_2,三余度執(zhí)行器 Al_l�、Al_2、Al_3和雙余度執(zhí)行器A2_l����、A2_2 ;控制計(jì)算機(jī)與三總線相連�����;三余度執(zhí)行器����, 雙余度執(zhí)行器、三余度敏感器設(shè)備��、雙余度敏感器設(shè)備作為總線遠(yuǎn)程終端連接到任意一條 總線;三余度敏感器設(shè)備S1_1�����、S1_2�、S1_3通過三總線與控制計(jì)算機(jī)相連,雙余度敏感器設(shè) 備S2_l通過雙總線與控制計(jì)算機(jī)相連�,由控制計(jì)算機(jī)對敏感器設(shè)備輸出信息進(jìn)行多數(shù)表 決與數(shù)據(jù)融合;三余度執(zhí)行器Al_l���、Al_2����、Al_3通過三總線與控制計(jì)算機(jī)相連�,雙余度執(zhí)行 器A2_l、A2_2通過雙總線與控制計(jì)算機(jī)相連�;三余度執(zhí)行器Al_l、Al_2���、Al_3對來自控制 計(jì)算機(jī)的三余度控制指令形成硬件表決結(jié)構(gòu)���,雙余度執(zhí)行器Al_l、Al_2對來自控制計(jì)算 機(jī)的雙余度控制指令進(jìn)行熱備切換��; 三個(gè)子計(jì)算機(jī)發(fā)起當(dāng)班競爭,確定一個(gè)子計(jì)算機(jī)作為當(dāng)班機(jī)����、其余兩個(gè)子計(jì)算機(jī)作為 備機(jī);當(dāng)班機(jī)作為三總線控制器完成敏感器設(shè)備Sl_l���、Sl_2��、Sl_3�、S2_l�、S2_2輸出信息采 樣獲得敏感器測量信息,備機(jī)作為總線監(jiān)視器同步監(jiān)視敏感器測量信息���; 本地開關(guān)量輸入信號并聯(lián)連接至三個(gè)子計(jì)算機(jī)��,當(dāng)班機(jī)和備機(jī)均進(jìn)行采樣獲得開關(guān)量 輸入信號,當(dāng)班機(jī)通過三總線向備機(jī)發(fā)送本地開關(guān)量輸入信號�����,備機(jī)通過與當(dāng)班機(jī)錯(cuò)開采 樣時(shí)間的方法���,判定當(dāng)班機(jī)是否故障����; 三個(gè)子計(jì)算機(jī)分別根據(jù)敏感器測量信息與本地開關(guān)量輸入信號完成控制運(yùn)算得到用 于故障判別的特征控制指令、執(zhí)行器的控制指令�����、和本地開關(guān)量控制指令����,當(dāng)班機(jī)通過三總 線向執(zhí)行器Al_l、Al_2���、Al_3��、Al_l�、Al_2輸出執(zhí)行器的控制指令�����,向本地輸出開關(guān)量控制 指令��;備機(jī)只向本地輸出開關(guān)量控制指令�;雙備機(jī)同時(shí)監(jiān)視當(dāng)班機(jī)通過總線輸出的用于故 障判別的特征控制指令、執(zhí)行器的控制指令���,進(jìn)行當(dāng)班機(jī)故障判定�,當(dāng)當(dāng)班機(jī)故障時(shí),向當(dāng) 班機(jī)發(fā)出不允許當(dāng)班信號�����;如果雙備機(jī)均發(fā)出不允許當(dāng)班信號���,當(dāng)班機(jī)被動(dòng)釋放當(dāng)班控制 權(quán)���。或者當(dāng)班機(jī)判定自身故障時(shí)�����,主動(dòng)釋放當(dāng)班控制權(quán)����; 當(dāng)班機(jī)釋放當(dāng)班控制權(quán)時(shí),雙備機(jī)再次競爭當(dāng)班控制權(quán)��,在下一個(gè)控制周期�����,取得當(dāng)班 權(quán)的備機(jī)接管三總線����,繼續(xù)完成控制功能; 當(dāng)由備機(jī)轉(zhuǎn)換為當(dāng)班機(jī)的子計(jì)算機(jī)再次發(fā)生故障時(shí)�,主動(dòng)釋放當(dāng)班控制權(quán),余下的備 機(jī)在下一個(gè)控制周期接管三總線���,繼續(xù)完成控制功能��。
9. 根據(jù)權(quán)利要求8所述的一種容錯(cuò)控制系統(tǒng)�����,其特征在于��,所述總線為1553B總線或者 RS485總線�����。
10. 根據(jù)權(quán)利要求8所述的一種容錯(cuò)控制系統(tǒng)�����,其特征在于����,每個(gè)執(zhí)行器的控制指令為 開關(guān)量控制指令或數(shù)字化連續(xù)量控制指令;如果執(zhí)行器連續(xù)三個(gè)控制周期接收到相同的開 關(guān)量控制指令后才執(zhí)行對應(yīng)的操作�����;如果執(zhí)行器當(dāng)前控制周期接收到的數(shù)字化連續(xù)量控制 指令與前一控制周期接收到的數(shù)字化連續(xù)量控制指令差值大于第一門限則拒絕執(zhí)行當(dāng)前 控制周期的數(shù)字化連續(xù)量控制指令�。
【文檔編號】G05B19/048GK104238435SQ201410228504
【公開日】2014年12月24日 申請日期:2014年5月27日 優(yōu)先權(quán)日:2014年5月27日
【發(fā)明者】黃波, 劉學(xué)士, 張福鑫, 劉俊陽, 劉茜筠, 曹幫林, 陳偉 申請人:北京航天自動(dòng)控制研究所, 中國運(yùn)載火箭技術(shù)研究院