技術(shù)領(lǐng)域

本發(fā)明涉及一種應(yīng)用于自動(dòng)控制領(lǐng)域的雙機(jī)冗余容錯(cuò)系統(tǒng)，尤其涉及一種基于嵌入式CPU的雙機(jī)冗余容錯(cuò)系統(tǒng)。

背景技術(shù)

基于嵌入式CPU的雙機(jī)冗余系統(tǒng)在工業(yè)現(xiàn)場(chǎng)有很多應(yīng)用，在航空航天、供配電及電信等行業(yè)的大量實(shí)例表明，在高可靠性要求的環(huán)境中的雙機(jī)冗余系統(tǒng)一般都經(jīng)過(guò)單一的仲裁切換模塊進(jìn)行選擇輸出。

目前基于嵌入式CPU的雙機(jī)冗余系統(tǒng)只是對(duì)CPU進(jìn)行冗余設(shè)計(jì)，仲裁切換電路和輸出模塊都未進(jìn)行冗余設(shè)計(jì)，若這些部分出現(xiàn)故障，系統(tǒng)將沒(méi)有冗余備份，當(dāng)這些故障無(wú)法進(jìn)行修復(fù)時(shí)，系統(tǒng)將輸出錯(cuò)誤而產(chǎn)生故障，導(dǎo)致系統(tǒng)不能正常運(yùn)行。傳統(tǒng)的雙機(jī)冗余容錯(cuò)系統(tǒng)存在的主要缺點(diǎn)是系統(tǒng)存在單點(diǎn)故障從而引起系統(tǒng)故障，系統(tǒng)總體可靠性不高。由于仲裁切換電路和輸出模塊并未采用冗余結(jié)構(gòu)，這些部分出現(xiàn)故障則整個(gè)系統(tǒng)出現(xiàn)不可恢復(fù)故障。

發(fā)明內(nèi)容

本發(fā)明是提供一種基于嵌入式CPU的雙機(jī)冗余容錯(cuò)系統(tǒng)，解決傳統(tǒng)雙機(jī)冗余容錯(cuò)系統(tǒng)存在的單點(diǎn)故障問(wèn)題，實(shí)現(xiàn)在系統(tǒng)發(fā)生一度故障模式下仍能通過(guò)切換到冗余備份設(shè)備，使系統(tǒng)保持正常工作狀態(tài)。

為實(shí)現(xiàn)上述目的，本發(fā)明采用技術(shù)方案如下：

一種基于嵌入式CPU的雙機(jī)冗余容錯(cuò)系統(tǒng)主要包括：雙冗余CPU模塊和雙冗余輸出切換模塊。

其中雙冗余CPU模塊，包括兩個(gè)功能相同的CPU模塊，分別為第一CPU模塊和第二CPU模塊，系統(tǒng)工作時(shí)第一CPU模塊和第二CPU模塊中的一個(gè)作為主CPU，另外一個(gè)作為從CPU。它們各自帶有看門(mén)狗電路，在本機(jī)程序跑飛時(shí)重新啟動(dòng)，并且通過(guò)雙機(jī)通訊互相監(jiān)視，若主CPU出現(xiàn)故障且無(wú)法屏蔽自身的輸出時(shí)，從CPU借助雙冗余切換模塊屏蔽原主CPU輸出，并將從機(jī)切換到主CPU工作狀態(tài)，雙冗余CPU模塊間通過(guò)URAT通訊接口和SPI通訊接口連接，實(shí)現(xiàn)雙冗余CPU之間的通信，避免單一通信接口出現(xiàn)故障而導(dǎo)致主從機(jī)之間通信失效。主從CPU模塊完成傳感器的數(shù)據(jù)采集，然后進(jìn)行數(shù)據(jù)處理及運(yùn)算，最后將結(jié)果經(jīng)由雙冗余輸出切換模塊輸出，驅(qū)動(dòng)執(zhí)行模塊工作。

其中雙冗余輸出切換模塊，包括兩個(gè)功能相同的輸出切換模塊，輸出切換模塊由仲裁切換模塊和輸出驅(qū)動(dòng)模塊組成，仲裁切換模塊采用時(shí)序邏輯電路設(shè)計(jì)，并與第一CPU模塊和第二CPU模塊的I/O口連接，CPU模塊通過(guò)發(fā)送方波信號(hào)給仲裁切換模塊實(shí)現(xiàn)主從切換，仲裁切換模塊的輸出信號(hào)與CPU的輸入引腳相連接，由CPU監(jiān)視仲裁切換模塊的輸出結(jié)果；輸出驅(qū)動(dòng)模塊采用三態(tài)門(mén)電路驅(qū)動(dòng)輸出，由仲裁切換模塊與CPU模塊共同控制其輸出狀態(tài)，同時(shí)輸出驅(qū)動(dòng)模塊由CPU控制其是否上電工作。

在雙CPU的切換過(guò)程中，采用雙機(jī)冗余互相判斷，通過(guò)雙步切換方式避免由于從CPU的故障進(jìn)行誤判而進(jìn)行的一次誤切換，主CPU在從CPU進(jìn)行一次切換后通過(guò)切換到冗余輸出模塊進(jìn)行輸出，從CPU出現(xiàn)故障而出現(xiàn)誤動(dòng)作時(shí)，從CPU不會(huì)按預(yù)定程序執(zhí)行切換的全部過(guò)程，若主CPU出現(xiàn)故障則不會(huì)切換到冗余輸出模塊進(jìn)行切換而保證了雙機(jī)冗余的高可靠工作，避免了由于其中一個(gè)CPU故障而產(chǎn)生的誤切換。

在系統(tǒng)出現(xiàn)CPU模塊故障或輸出切換模塊故障的情況下，都可用通過(guò)雙冗余結(jié)構(gòu)切換到其備份設(shè)備，使系統(tǒng)繼續(xù)正常工作。

雙冗余CPU之間的通信采用URAT通訊接口和SPI通訊接口兩個(gè)通信鏈路，避免單一鏈路故障導(dǎo)致的雙機(jī)通信失效。

切換信號(hào)采用固定脈寬的脈沖信號(hào)取代傳統(tǒng)的高低電平信號(hào)，有效的防止故障CPU產(chǎn)生的誤切換信號(hào)。輸出模塊采用三態(tài)門(mén)電路，有效的對(duì)CPU故障而導(dǎo)致的管腳懸空、低電平或高電平的輸出進(jìn)行屏蔽。

采用通訊模塊與上位機(jī)進(jìn)行通訊，通過(guò)上位機(jī)對(duì)系統(tǒng)進(jìn)行操作及設(shè)置，并且在上位機(jī)上監(jiān)控系統(tǒng)狀態(tài)。若在較長(zhǎng)時(shí)間內(nèi)上位機(jī)都沒(méi)有收到主CPU的數(shù)據(jù)則判斷主CPU出現(xiàn)故障，并發(fā)出切換信號(hào)，使從CPU執(zhí)行切換程序，并切換到主CPU工作模式。

本發(fā)明采用雙CPU冗余、雙輸出切換模塊冗余，通過(guò)輸出切換模塊選擇正確的CPU結(jié)果作為輸出。本發(fā)明采用雙機(jī)互檢及雙冗余切換電路設(shè)計(jì)，切換方法簡(jiǎn)化，系統(tǒng)總體可靠性高，選用部件結(jié)構(gòu)簡(jiǎn)化，性價(jià)比高。與現(xiàn)有的雙機(jī)冗余技術(shù)相比，本發(fā)明具有如下優(yōu)點(diǎn)：

1、系統(tǒng)采用雙冗余CPU和雙冗余輸出切換模塊，提高系統(tǒng)整體可靠性，避免單點(diǎn)故障引起系統(tǒng)故障。

2、主從CPU采用雙步切換方式，避免從CPU故障引起電平變化而引起誤切換。

3、系統(tǒng)在其中一個(gè)CPU出現(xiàn)故障停留在某一狀態(tài)或者程序跑飛時(shí)系統(tǒng)進(jìn)行冗余切換并實(shí)現(xiàn)穩(wěn)定輸出。

4、切換信號(hào)采用固定脈寬的脈沖信號(hào)，避免傳統(tǒng)高低電平信號(hào)容易導(dǎo)致系統(tǒng)的誤切換。

附圖說(shuō)明

圖1是本發(fā)明的系統(tǒng)結(jié)構(gòu)框圖；