[发明专利]一种用于全智能主控系统的安全控制冗余系统及冗余方法

说明书

技术领域

本发明属于工业控制领域，涉及一种用于全智能主控系统的安全控制冗余系统及冗余方法。

背景技术

容错技术是靠对资源的冗余利用和精心组织，通过冗余资源的线性增加来换取可靠性和安全性指数增长的技术。目前在容错计算机的冗余设计方面已经有很多人关注和研究，也取得了很多研究成果，如：双机冷备份、双机温备份、双机热备份和双机比较系统。但上述双机（双模）冗余方式的计算机系统，都存在单点故障失效的缺点且很难克服，当发生故障时，都要中断系统运行，实时性不够高，并且不能在线修复故障。而三模冗余容错计算机就可以消除这些缺点，它能够完全消除单点故障，并且具有在线修复故障的能力，提高了系统安全性。

三模冗余系统是最常用的一种容错设计技术，利用三个相互冗余的计算机模块，同时运行相同功能的处理程序，同步地采集相同的输入，通过三取二的表决方式作为该表决系统的正确输出，这种采用少数服从多数的方法使故障检测机制具有很高的检测覆盖率。当设备故障(包括软、硬件故障)时可能有错误输出，由于出现两种同样性质错误的概率一般非常小，因此系统中只要不出现两个计算机模块的错误结果完全相同的情况，就能屏蔽单点故障，保证系统的正确输出，从而有效地提高实时嵌入式系统的安全性与可靠性。在任何一个计算机模块出现故障后，三模冗余系统会降级为双机工作模式，不用中断系统的正常运行仍能输出正确的处理结果，并且还能对故障机器进行重构恢复。重构完成后，故障机器仍能正常工作，与在故障状态下仅能将输出导向安全值的双机容错系统相比，它不仅保证了系统在单个故障状态下的安全性，还确保了系统工作的连续性与稳定性。

发明内容

针对现有技术中存在的上述问题，本发明的目的是为了解决一种采用双机温备份控制方式的分布式控制系统(DCS)的控制方案未完全考虑到控制结果准确性、以及发生故障后不能实现自恢复的问题，而提出一种用于全智能主控系统的安全控制冗余系统及冗余方法。

所述的一种用于全智能主控系统的安全控制冗余系统，其特征在于包括一组控制模板及一组I/O模板，所述的控制模板与I/O模板通过CAN总线通信，所述的控制模板包括主控制模板及分别设置在主控制模板两侧的两个分控制模板，所述的主控制模板与分控制模板通过以太网通信，所述的I/O模板上设有一组I/O模块，每个I/O模块上设有3个I/O采集通道。

所述的一种用于全智能主控系统的安全控制冗余系统，其特征在于所述的CAN总线通信与以太网通信均采取双冗余热备份结构，由双份网络协议控制器和双电缆构成两条网络。

所述的一种用于全智能主控系统的安全控制冗余方法，其特征在于所述的主控制模板、分控制模板和I/O模板均为独立的计算机系统，包括电源、CPU、内存、总线及接口逻辑。

所述的一种用于全智能主控系统的安全控制冗余方法，其特征在于包括如下步骤：

1）控制系统上电，系统初始化完成后，主控制模板按照各控制变量的采集周期，依次向各控制变量所在的I/O模板发送轮询请求命令； 

2）I/O模板接收到轮询请求命令后，读取该控制变量所对应的I/O模块的采样值，I/O模板读取与其连接的3个I/O采集通道上的采样值后经过三取二表决方式得出最终采样值，并将其通过广播方式发送给主控制模板和分控制模板；

3）主控制模板和两个分控制模板同时接收到该采样值后进行任务同步，并进行相同的控制运算，得出各自的运算结果；

4）由主控制模板读取分控制模板的运算结果，将三个运算结果通过三取二表决方式得出最终运算值；

5）由主控制模板将最终运算值发送给相应的I/O模板，并将最终运算值作为准确值发送给两个分控制模板。

所述的一种用于全智能主控系统的安全控制冗余方法，其特征在于所述的主控制模板到I/O模板、分控制模板的通信模式均采用点对点方式，从I/O模板到主控制模板、分控制模板的通信模式采用广播方式。

所述的一种用于全智能主控系统的安全控制冗余方法，其特征在于所述的三取二表决方式基于少数服从多数的纠错原理，由软件按三取二的原则，以多数相同的输出作为该表决系统的正确输出。

所述的一种用于全智能主控系统的安全控制冗余方法，其特征在于所述的I/O模板采集到的采样值包括数字量、模拟量和脉冲量。

所述的一种用于全智能主控系统的安全控制冗余方法，其特征在于步骤4）中在表决过程中当其中一个控制模板运算结果与其他两个不一致时，则该控制模板发生故障，所述的故障分为瞬时故障，严重故障和永久故障。