1、96可靠性研究基于二乘二取二结构的多点冗余系统设计方案张 龙1,黄春雷1,郭虹利2(1黑龙江瑞兴科技股份有限公司,哈尔滨 150030;2中国铁道科学研究院集团有限公司,北京 100081)摘要:针对二乘二取二的高安全、高可靠等级系统,介绍二乘二取二结构工作中系统同步和切机控制的原理,通过研究分析,提出一种多点冗余的系统设计方案,描述了系统组成、双机之间工作关系、多点冗余之间连接关系、各冗余双机输出的切机方法。通过实践证明,此种设计方案能够满足对于复杂、不间断、高稳定性场景的使用需求。关键词:二乘二取二;系统同步;切机控制;多点冗余中图分类号:U284.2 文献标志码:A 文章编号:1673-
2、4440(2023)Z1-0096-04Design Scheme of Multipoint Redundant System Based on22-out-of-2 StructureAbstract:Focusing on 22-out-of-2 systems with a high level of safety and reliability,this paper introduces the principles of system synchronization and machine switching control in the operation of the 22-o
3、ut-of-2 structure.Through research and analysis,a system design scheme of multi-point redundancy is proposed,and the system composition,working relationship between two machines,connection relationship between multi-point redundancy and the method for switching between the output of each of the redu
4、ndant dual machines are described.Practice shows that this design scheme can meet the needs of complex,uninterrupted and high stability scenarios.Keywords:22-out-of-2;system synchronization;machine switching control;multipoint redundancyDOI:10.3969/j.issn.1673-4440.2023.Z1.0221概述随着科学技术的发展,二乘二取二结构被广泛
5、应用到轨道交通、航空航天、冶金、核电、医疗等高安全、高可靠等级的安全苛求领域1,该类应用通常要求系统结构复杂,具有冗余结构和多机并行运行表决机制,能够不间断运行,同时运行安全、可靠、稳定2。本文对二乘二取二结构中的系统同步、切机控制等关键技术进行研究,在工程应用中针对多系统协同工作,且系统都应具有容错功能的需求,提出一种基于二乘二取二结构的多点冗余系统设计方案。该方法能够很好的适用于多套冗余系统之间协同工作的场景。2二乘二取二平台结构二乘二取二平台结构由两套相同的二取二平台铁路通信信号工程技术(RSCE)2023年11月(2023)京新出刊增准字第(295)号97可靠性研究构成3,通常称为 A
6、 系与 B 系,每系二取二平台也是由两个相同的处理器构成,其中两个处理器运行的程序相同4,运算的最终结果进行二取二比较输出,作为本系的运算结果。本系运算结果与另一系运算结果进行切机控制判断,保证无论在何种情况下,最多只能保证有一系数据认定为满足要求向外输出,另一系数据作为备用或者判定为异常,禁止输出,当两系都出现异常情况,停止一切对外输出5。如图 1 所示为二乘二取二平台结构6。图二乘二取二平台结构CPUACPUB二取二比较器输入数据输出数据切机控制A系B系系间通信同步数据交互同步n数据交互nCPUACPUB二取二比较器同步数据交互同步n数据交互n2.1系统同步系统同步是两个相同处理器运行相同
7、程序时,二者之间进行数据交互和状态比对的方法,其实现方式通常可以分为任务级同步和时钟同步7。系统同步要求两个处理器的运算对象、运行时间、运算数据在完全相同的情况下,最终表决输出结果才是可信的,因此,系统同步是二取二平台得以实现的关键8。2.2切机控制切机控制是针对两系二取二平台中,哪系运算结果作为向外输出的控制方法,其实现方法有基于通信方式9、基于仲裁方式2、基于硬件驱动和采集方式等。切机控制本身应遵循诸多的逻辑判定条件,如不能双系输出,在主用系出现异常,对备用系进行升主用系,备用系异常时,及时报警提示等,因此,切机控制的工作稳定性,直接影响双机热备系统的运行。3总体设计结构本文针对实际工程应
8、用中的场景,提出一种多点冗余的系统设计方案,其由控制部分和执行部分构成,其中控制部分和执行部分是分别放置于不同位置,每部分分别是二乘二取二的双机热备10的组成结构。方案原理框如图 2 所示。图二乘二取二双机热备系统结构切机控制(A系主用或B系主用)向下级输出切机控制(进行互斥输出)主机CPUACPUB其余外设系统同步B系CPUACPUB其余外设系统同步A系其余外设CPUACPUB双CPU与操作后输出系统同步其余外设CPUACPUB双CPU与操作后输出系统同步AAAAAAAA备机总线A总线A总线B总线B控制部分执行部分通信张龙,黄春雷,郭虹利:基于二乘二取二结构的多点冗余系统设计方案98可靠性研
9、究控制部分结构组成中,有两套完全相同的二取二平台,分别为 A 系和 B 系,两系的工作优先等级相同,谁都可以成为主用系或者备用系。每系中两个完全相同的 CPU 执行处理相同的运算,彼此间进行关键位置的多次系统同步操作,保证向外输出的信息是经过两个 CPU 相互独立运算后一致的结果,两系之间通过切机控制 1 结构进行连接,保证A 系与 B 系之间只有一系是主用输出。两个 CPU向外输出的数据信息中对应标志位均为十六进制数A5,另外一系是备用,两个 CPU 向外输出的数据信息中对应标志位均为十六进制数 5A。执行部分同样也是由两套完全相同的二取二平台组成,分别是主机和备机,主机和备机内部同样也是有
10、两个相同的 CPU,两个 CPU 接收的数据信息中对应标志位分别是十六进制数 A5 和 5A,分别表示与控制部分的主用系或者备用系连接,接收到标志位为 A5 的 CPU,判定收到的数据是可用数据,与另一个 CPU 进行同步,向下执行双 CPU 的二取二运算,在正常工作状态下只有主机是向外进行输出。当主机出现异常情况下,主机停止输出,备机进行向外输出,当主机和备机都出现异常情况下,整个执行部分停止向外输出,主机和备机向外输出的抉择是通过切机控制 2 结构进行判定的。控制部分和执行部分之间是通过 4 路相同总线A1、A2、B1、B2 进行连接,具体的连接关系见系统结构框图。此种总线连接方式,能够保
11、证在控制部分 A 系与 B 系有一系正常工作情况下,执行部分的主机或备机中有一个 CPU 接收数据标志位为A5,系统能够正常运行,最终实现 4 路通信总线的冗余设计。3.1切机控制1设计切机控制 1 采用硬件采集和通信结合的冗余方式进行设计,结构框如图 3 所示。A 系与 B 系在初始上电后,二者都输出驱动,试图驱动具有互锁关系的 A 系与 B 系工作状态继电器,先驱动成功系继电器处于吸起状态,互锁关系使得另一系的工作状态继电器一直处于落下状态,两系同时分别采集 A 系与 B 系的工作状态继电器前后节点状态,最后逻辑判断驱动输出和采集继电器节点条件为吸起的为主用系,反之为备用系。因此处是控制部
12、分运算结果最后输出的关键部分,应严格、可靠的进行切机控制,故增加两系之间总线通信形式的切机控制方式,与前者驱动和采集继电器进行判断的方式构成冗余切机控制方式,即二者全部异常情况下控制部分向外输出无效数据,当两种切机控制方式都正常工作,而对于最终的主备用判断结果不一致情况,切机控制将进入无任何输出的保护状态,给出严重报警提示。当两种切机控制方式中有一种正常运行,另一种异常运行,如有驱动输出,无法正确采集到节点状态,无驱动输出,两系通信中断等,系统采用正常运行方式的结果最为冗余判定的最终输出结果,同时系统给出相应报警提示。如图 4 所示为切机控制 1 部分的软件执行流程。3.2切机控制2设计切机控
13、制 2 采用主机与备机分别驱动各自能表示自身工作状态的输出通道继电器,输出信号通过两个继电器节点间的逻辑关系方式进行输出,实现主机和备机的互斥输出,当主机和并机都出现异常情况下,执行部分停止向下输出信号,如图 5 为切机控制 2 的结构框。4总结本文提出的基于二乘二取二结构的多点冗余系统设计方案,实现两个功能分配明确的二乘二取二系统的协同工作,其中控制部分和执行部分各自冗余的结构通过总线冗余的形式进行连接,满足复杂系统对于模块化设计,同时各个模块应具有冗余、容错、可靠的使用需求。对于文中提出的两种切机控制方式,可以在不同的应用场景中进行灵活使用,图切机控制结构A系B系A系工作状态继电器B系工作
14、状态继电器驱动采集采集驱动采集采集互锁总线通信铁路通信信号工程技术(RSCE)2023年11月99可靠性研究图切机控制两系主备状态控制软件流程上电初始化驱动切机继电器同时采集相关切机继电器的前后接点主用工作采集本系和对方系继电器接点逻辑状态正确?备用工作正常运行程序,对外输出数据对应标志位为A双系都进入异常工作状态,对外输出无效数据正常运行程序,对外输出数据对应标志位为AA系/B系初始上电与对方系通信,判定本系是主用?与对方系通信正常?主用?与对方系通信正常?与对方系通信,判定本系是备用?是否是否是否是是否是否与对方系通信正常?与对方系通信,判定本系是主用?是否否是输出驱动采集切机控制方式异常
15、报警提示输出总线通信切机控制方式异常报警提示输出总线通信切机控制方式异常报警提示否停止 对外输出,输出严 重 报警提示图切机控制结构主机备机主机驱动输出继电器J吸起备机驱动输出继电器J吸起向下级输出J-J-J-信号输出信号输出同时,对于三个或更多的功能模块分配明确的复杂系统也可以使用多点冗余的系统设计方案。通过实践证明,此种设计方案能够满足对于复杂、不间断、高稳定性场景的使用需求。参考文献1 段武.铁路信号的失效-安全及其基本原则J.铁道通信信号,2016,52(7):1-10.2 陈梅,汪月乾,张永贤,等.二乘二取二系统的同步表决安全机制研究 J.单片机与嵌入式系统应用,2018,18(3)
16、:10-12,18.3 杨文阁,刘杰.二乘二取二安全计算机的设计与实现 J.自动化技术与应用,2019,38(10):42-45.4 秦友伦,袁强,涂炯,等.一种基于双机热备系统的仲裁切换方案 J.兵工自动化,2015,34(8):56-58.5 徐强.基于二乘二取二计算机安全平台的设计与实现 D.西安:西安电子科技大学,2011.6 魏臻,许崇,胡庆新.计算机联锁系统二乘二取二结构的可靠性和安全性分析 J.铁道通信信号,2019,55(12):1-5.7 沈浩.基于双机热备的控制计算机系统研究与实现 J.工业控制计算机,2011,24(4):29-30.8 徐效宁.一种二乘二取二安全计算机的设计与实现 J.铁道通信信号,2010,46(3):15-17.9 边庆.二乘二取二安全计算机平台中倒机单元的设计与实现 D.北京:北京交通大学,2012.10 段晓东.双机热备技术研究 J.网络安全和信息化,2019(11):120-123.(收稿日期:2023-05-11)(修回日期:2023-09-21)张龙,黄春雷,郭虹利:基于二乘二取二结构的多点冗余系统设计方案
浙ICP备2021020529号-1 | 浙B2-20240490 
