陳杰 何小鵬 張洧川 簡(jiǎn)一帆 陳明虎

【摘 要】控制單元的雙模冗余有助于提高控制系統(tǒng)的可靠性。提出了一種基于AT96總線的控制單元雙模冗余結(jié)構(gòu)，對(duì)信息同步、故障檢測(cè)和無擾切換進(jìn)行了設(shè)計(jì)。通過可靠性計(jì)算，得到了冗余切換電路的可靠性指標(biāo)要求。

【關(guān)鍵詞】控制單元；雙模冗余；可靠性

中圖分類號(hào)： TP273；TN402 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2018）27-0023-002

DOI：10.19694/j.cnki.issn2095-2457.2018.27.010

【Abstract】The dual module redundancy of control unit helps improve the reliability of control system.A dual redundancy structure of control unit based on AT96 bus is proposed，and information synchronization，fault detection and interference free switching are designed in detail.Through reliability calculation，the reliability requirements of redundant switching circuits are obtained.

【Key words】Control Unit；Dual Module Redundancy；Reliability

1 引言

冗余是一種重要的容錯(cuò)設(shè)計(jì)技術(shù)，是提高系統(tǒng)可靠性的有效手段。嵌入式控制單元作為數(shù)據(jù)計(jì)算與處理的主體，是儀控系統(tǒng)的核心，實(shí)現(xiàn)控制單元的冗余對(duì)于提高整個(gè)系統(tǒng)的可靠性有著重要作用。

控制單元冗余技術(shù)涉及信息同步、故障檢測(cè)以及無擾切換等技術(shù)難點(diǎn)，目前國外已經(jīng)有多家公司或廠家掌握該技術(shù)。

本文根據(jù)某儀控系統(tǒng)的特點(diǎn)，提出了一種實(shí)現(xiàn)控制單元雙模冗余的方法，同時(shí)通過可靠性計(jì)算，得到了冗余切換電路的可靠性指標(biāo)要求。

2 控制單元雙模冗余的技術(shù)方案

某儀控系統(tǒng)是一個(gè)背板總線通信系統(tǒng)，控制單元與各I/O板卡通過背板上的AT96并行總線相互連接。在該系統(tǒng)中實(shí)現(xiàn)控制單元的雙模冗余就是將兩個(gè)控制單元同時(shí)安裝在系統(tǒng)中，二者同時(shí)工作，互為熱備份。

控制單元雙模冗余有兩種實(shí)現(xiàn)方式：有中心裁決器雙模冗余和無中心裁決器雙模冗余。有中心仲裁器雙模冗余是在兩個(gè)控制單元之外加入比較電路，將兩個(gè)控制單元的輸出進(jìn)行比較，結(jié)果相同才輸出到背板總線上；無中心裁決器的雙模冗余沒有比較電路，只是在每個(gè)控制單元上增加冗余切換邏輯[1]。

采用這種結(jié)構(gòu)之后，不必為實(shí)現(xiàn)中心裁決而改變背板總線的設(shè)計(jì)，因此不用對(duì)系統(tǒng)的結(jié)構(gòu)作任何改動(dòng)。兩個(gè)控制單元一為“主”控制單元，完成整個(gè)系統(tǒng)的控制功能；一為“從”控制單元，處于熱備份模式。一旦主控制單元發(fā)生故障，從控制單元立刻接管AT96總線，保證系統(tǒng)能夠正常運(yùn)行。

對(duì)于一個(gè)無中心裁決器的雙模冗余結(jié)構(gòu)，需要解決三個(gè)關(guān)鍵技術(shù)難點(diǎn)：信息同步、故障檢測(cè)、無擾切換。信息同步是指從控制單元需要擁有與主控制單元相同的輸入信息和輸出信息，以保證控制單元能夠?qū)崿F(xiàn)無擾切換；故障檢測(cè)是控制單元切換的依據(jù)，需要具備快速、準(zhǔn)確、覆蓋率高等特點(diǎn)；無擾切換是指控制單元切換的時(shí)間足夠短、故障控制單元完全隔離、控制單元切換之后系統(tǒng)輸出不會(huì)出現(xiàn)擾動(dòng)。本文設(shè)計(jì)的雙模冗余結(jié)構(gòu)能夠很好地解決這三個(gè)問題。

2.1 信息同步

如圖1所示，接口模塊是AT96總線信號(hào)的傳輸通道，具有“使能”和“方向”兩個(gè)控制邏輯。信息交互模塊位于數(shù)據(jù)處理模塊和接口模塊之間，用于完成信息交互。

在正常的情況下，從控制單元的接口模塊會(huì)被使能，同時(shí)方向被設(shè)置為“輸入”。這樣，當(dāng)主控制單元占有總線時(shí)，從控制單元的信息交互模塊能夠得到所有總線上的信息。這些信息被存儲(chǔ)在信息交互模塊之中以供數(shù)據(jù)處理模塊讀取。通過這種方法，能夠做到控制單元之間數(shù)據(jù)的實(shí)時(shí)同步，而且不會(huì)占用主控制單元的程序周期。

主控制單元上的信息交互模塊則相當(dāng)于一系列導(dǎo)線，將數(shù)據(jù)處理模塊和接口模塊連接起來。

2.2 故障檢測(cè)

在圖1所示的結(jié)構(gòu)中，故障檢測(cè)包括控制單元的自檢和控制單元之間的互檢。

控制單元的自檢結(jié)合軟件和硬件來完成。

在軟件上，數(shù)據(jù)處理模塊在每個(gè)程序周期完成一次自檢，并將自檢結(jié)果通過信息交互模塊通知在線監(jiān)測(cè)模塊。通過編程，可以實(shí)現(xiàn)信息交互模塊和接口模塊的檢查。

在硬件上，在線監(jiān)測(cè)模塊可以完成數(shù)據(jù)處理模塊、信息交互模塊、以及冗余信息收發(fā)模塊的檢查。在檢測(cè)到故障之后，在線監(jiān)測(cè)模塊進(jìn)入故障處理流程，控制單元的互檢在主控制單元和從控制單元上有所不同。從控制單元在下述兩種情況下會(huì)進(jìn)入故障判斷與控制單元切換流程：

1）收到由主控制單元送來的故障信號(hào)；

2）長(zhǎng)時(shí)間未收到主控制單元送來的互檢信號(hào)。

故障判斷與控制單元的切換邏輯由在線監(jiān)測(cè)模塊實(shí)現(xiàn)，流程如圖2所示。

2.3 無擾切換

無擾切換首先要做到故障控制單元的隔離。

故障控制單元的隔離通過關(guān)閉接口模塊來完成。在某一控制單元發(fā)生故障之后，在線監(jiān)測(cè)模塊會(huì)輸出相應(yīng)的控制信號(hào)來關(guān)閉接口模塊。為了防止接口模塊不能被正確地關(guān)閉，在圖1所示的結(jié)構(gòu)中做了兩方面的考慮。首先，在線監(jiān)測(cè)模塊輸出的“使能”信號(hào)由至少3位開關(guān)量組成，一旦在線監(jiān)測(cè)模塊發(fā)生故障，接口模塊將會(huì)自動(dòng)關(guān)閉；其次，關(guān)閉接口模塊的同時(shí)將接口模塊設(shè)置為“輸入”模式。

無擾切換的第二個(gè)要求是切換時(shí)間足夠短。本文將切換時(shí)間的定義為：從主控制單元發(fā)生故障到從控制單元輸出正?？刂菩畔⑺枰臅r(shí)間。

通過2.2節(jié)的討論可知，控制單元的切換所需要時(shí)間最長(zhǎng)可用公式2-1來表示：

其中，tswitch表示切換時(shí)間；tsc表示控制單元檢測(cè)到故障所需要的時(shí)間，不長(zhǎng)于1個(gè)程序周期；ts→r表示互檢信息收發(fā)所需要的時(shí)間，與互檢信息的發(fā)送周期、信息發(fā)送速率等因素有關(guān)；tms表示確認(rèn)背板總線工作正常所需要的時(shí)間，由設(shè)計(jì)決定；te為生成復(fù)位信號(hào)、打開、關(guān)閉接口模塊等所需的時(shí)間，一般可以忽略；tmain為程序周期，即從控制單元接管總線到輸出控制信號(hào)所需最長(zhǎng)時(shí)間，由應(yīng)用程序決定。

根據(jù)某儀控設(shè)備的實(shí)測(cè)結(jié)果，應(yīng)用程序周期tmain為17ms。通過設(shè)計(jì)，可以將ts→r、tms與te之和限制在20ms之內(nèi)，由2-1式可以估算出：采用了控制單元雙冗余結(jié)構(gòu)之后，控制單元的切換時(shí)間小于54ms。

無擾切換的第三個(gè)要求是系統(tǒng)輸出無擾動(dòng)。如2.1節(jié)所述，從控制單元能夠做到與主控制單元擁有相同的輸入和輸出，因此在控制單元切換后能夠?qū)崿F(xiàn)系統(tǒng)輸出無擾動(dòng)。

3 冗余切換電路的可靠性指標(biāo)要求

無中心裁決器的雙模冗余結(jié)構(gòu)需要在原有控制單元的基礎(chǔ)上添加冗余切換電路。圖1所示的信息交互模塊、在線監(jiān)測(cè)模塊、冗余信息收發(fā)模塊都屬于冗余切換電路。

圖3 控制單元雙模冗余結(jié)構(gòu)可靠性框圖

其中，模塊1為原有控制單元相關(guān)電路，模塊2為冗余切換電路。理論及實(shí)踐均已證明，對(duì)于一般的電子設(shè)備，經(jīng)過一段時(shí)間的老化后，在其隨機(jī)失效期內(nèi)，其失效率λ（t）基本為一常數(shù)。因此，假設(shè)圖中模塊1的失效率為λ1，模塊2的失效率為λ2。

根據(jù)可靠性相關(guān)理論，圖3所示并-串聯(lián)系統(tǒng)的平均故障前時(shí)間（MTTF）θs為[2]：

原有控制單元的平均故障前時(shí)間θ1為：

為了達(dá)到提高系統(tǒng)可靠性的目的，要求r>1，因此得到冗余切換電路的可靠性要求：

目前，控制單元的基本失效率為1.67×10-6/h，因此冗余切換電路的失效率不得超過0.835×10-6/h。

由式3-3還可以知道，r隨著λ2減小而增大，當(dāng)λ2→0時(shí)，r可取得理論上的最大值：

因此，采用雙模冗余結(jié)構(gòu)后，控制單元的平均故障前時(shí)間最長(zhǎng)可延長(zhǎng)至原來的1.5倍。由式3-2可知，目前控制單元的平均故障前時(shí)間約為68.4年。采用雙模冗余結(jié)構(gòu)之后，平均故障前時(shí)間最長(zhǎng)可達(dá)102.6年。

4 總結(jié)

本文根據(jù)某儀控系統(tǒng)的特點(diǎn)，提出了一種無中心裁決器的控制單元雙模冗余結(jié)構(gòu)。經(jīng)過論證，該結(jié)構(gòu)可以實(shí)現(xiàn)控制單元之間信息的實(shí)時(shí)同步；利用自檢和互檢，可以實(shí)現(xiàn)故障檢測(cè)的全面覆蓋；通過合理的設(shè)計(jì)，冗余切換時(shí)間可達(dá)ms量級(jí)。經(jīng)過相關(guān)理論計(jì)算可知，為實(shí)現(xiàn)雙模冗余而添加的切換電路的失效率必須低于原有控制單元失效率的二分之一方可達(dá)到提高系統(tǒng)可靠性的目的。

【參考文獻(xiàn)】

[1]王劍.基于CPLD的控制器冗余切換和通信容錯(cuò)的研究. 微型機(jī)與應(yīng)用，2005，（7）：27～29.

[2]宋保維.系統(tǒng)可靠性設(shè)計(jì)與分析.西安：西北工業(yè)大學(xué)出版社.2008.（43～48）.