技術領域

實施例涉及容錯控制系統。

背景技術

提供安全功能的系統通常利用冗余控制器來通過關閉已經經歷故障(fault或failure)的功能來確保安全。如果檢測到故障，那么控制器關閉或控制器遭遇故障沉默，其中控制器沒有產生信號且次級控制器重新配置成初級控制器。

某些系統嘗試利用故障操作系統實施控制系統，其中使用另外的控制器(諸如雙重雙工控制器)來確保可繼續安全操作持續一定持續時間。如果第一控制器故障并且遭遇故障沉默，那么取決于系統設計，第二控制器可以始終是活動的，并且可能需要啟動。如果執行此操作，那么所有致動器將切換以依賴于來自第二控制器的請求。不同于其中一個控制器中的故障將存在于副本控制器中的軟件故障，硬件故障(例如，電源故障、短路接地故障等)雖然并非軟件故障的臨界水平，但是因為軟件設計故障將影響這兩個控制器，所以這兩個控制器將通常單獨出現故障且次級控制器此后在通常不具有相同缺陷時可正確地操作。

通常，控制器包括其中在相應控制器上單獨地且同時執行功能的兩個處理器或兩個核心。因此，初級控制器和次級控制器這二者將具有由每個控制器內的兩個處理器或兩個核心執行的相同功能。因此，如果利用雙重雙工設計，那么相同的功能將單獨地執行四次。比較來自每個控制器的結果用于確定一個控制器中是否存在錯誤。雖然雙重雙工設計提供了附加的穩健性，但是冗余操作需要附加的資源(例如，處理器、核心)，這是因為每個功能在每個控制器中單獨地執行兩次。冗余操作需要使用多個副本的并行執行、需要附加的硬件資源，使得對于提供這些硬件資源存在成本影響。

發明內容

實施例的優點是減少了控制器的處理時間，使得處理資源可被釋放用于其它操作并且減少處理器的總體處理負擔。通過利用先前控制器的結果和數據完整性來進行錯誤檢測和故障沉默性質的實現，在后續控制器中僅需要執行一次該功能。因此，通過不必對每個控制器執行兩個功能來減少處理。具有兩個控制器的控制系統可實現25％的處理減少，而具有三個控制器的控制系統在正常操作條件(即，沒有故障)期間可實現33％的減少。處理的節省可通過以下公式確定：N/(2+2N)，其中N是控制系統要處置的故障數量。

實施例預期一種改進型雙重雙工故障操作控制系統。初級控制器在無故障工作條件下操作時控制裝置的特征。該初級控制器包括利用來自感測裝置的輸入數據執行功能的第一處理單元和利用來自感測裝置的輸入數據同時執行該功能的第二處理單元。第一比較模塊比較來自第一處理單元的功能結果與來自第二處理單元的功能結果以確定第一控制器中是否存在錯誤。第二控制器包括利用來自感測裝置的輸入數據執行功能的第一處理單元和以非冗余狀態操作的第二處理單元。第二處理單元在非冗余狀態下不執行該功能。第二比較模塊確定第二控制器中是否存在錯誤。由第一控制器的第一比較模塊識別的匹配功能結果輸入至第二控制器的第二比較模塊。第二比較模塊僅利用由第一比較模塊識別的匹配功能結果以及由第二控制器的第一處理單元確定的功能結果來確定第二控制器中是否存在錯誤。

附圖說明

圖1是示例性集成控制系統的架構框圖。

圖2是用于執行冗余檢查的改進型雙工架構的第一實施例。

圖3是用于執行冗余檢查的改進型雙工架構的第二實施例。

圖4示出故障的初級控制器和備份控制器的重新配置的實例。

圖5示出故障的次級控制器和備份控制器的重新配置的實例。

具體實施方式

以下詳細描述意味著說明性的以理解實施例的主題并且不旨在限制主題的實施例或這些實施例的應用和用途。單詞“示例性”的任何使用均旨在被解譯為“用作實例、范例或說明”。本文陳述的實施方案是示例性的并且并不意味著被解釋為相比其它實施方案更優選或更有利。本文的描述并不意味著受限于前述發明背景、附圖簡述、發明內容或具體實施方式中呈現的任何明確或隱含的理論。

技術及工藝在本文可以就功能和/或邏輯塊部件來描述，并且可以參考可以由各種計算部件或裝置執行的操作、處理任務和功能的符號來描述。這樣的操作、任務和功能有時候稱為是計算機執行的、計算機化的、軟件實施的或計算機實施的。應當明白的是，圖中所示的各個塊部件可以由配置成執行指定功能的任何數量的硬件、軟件和/或固件部件來實現。例如，系統或部件的實施例可以采用各種集成電路部件(例如，存儲器元件、數字信號處理元件、邏輯元件、查找表等，其可以在一個或多個微處理器或其它控制裝置的控制下實行多種功能)。