一种三冗余控制计算机及容错控制系统技术方案

本发明专利技术公开了一种三冗余控制计算机及容错控制系统，包括开关量表决阵列模块和三个完全独立的子计算机；开关量表决阵列模块接收三个子计算机输出的开关量控制信号和备份开关量控制信号，通过硬件表决器输出开关量功率控制指令；每个子计算机根据左右机角色定义表确定与其对应的左机和右机；每个子计算机包括同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块、主机模块与开关量控制输出模块。本发明专利技术在满足控制系统强实时要求的基础上，可以容忍更多的单机故障模式，提高系统的整体高可靠性，简化软硬件开销。

【技术实现步骤摘要】
一种三冗余控制计算机及容错控制系统
本专利技术涉及一种三冗余控制计算机及容错控制系统。
技术介绍
在元器件、单机产品可靠性水平一定条件下,通常采用冗余容错技术提高计算机控制系统的整体可靠性，例如双机备份/双模冗余、三模冗余(TMR)等冗余技术已经被广泛应用于具有高可靠要求的飞行器控制系统。双模冗余系统通过增加一套同构的硬件设备来提高系统的可靠性。一般技术方案为双机同步采集数据，对数据进行处理，同时产生数据输出并发送至表决器对输出数据进行比较：当双机输出数据结果相同时，表明系统处于正常工作状态；当输出数据比较结果不相同时，表明系统发生故障。当发生故障时，双模冗余系统不能判断故障机，一般通过卷回机制尽可能进行事后恢复，因此不能满足某些可靠性与操作实时性都要求很高的应用场合中。三模冗余系统采用三套同构的设备进行同步数据采样、同步运算处理、三机交互后再按照三取二原则进行表决选择，最终由硬件表决器对三机输出进行表决后输出控制指令。三模冗余系统可以自动吸收一度故障但不能容忍二度故障，相比双模系统具有更高的控制实时性。双模与三模冗余系统共同特点是在实现双机/三机系统同步的基础上，通过专用设计的信息交换通道(如双口RAM、高速机内总线)等额外硬件资源实现多机之间输入信息、输出指令的交换，最终控制指令输出需要经过多个计算单元的表决判定。这种技术方案一方面增加了系统软硬件的复杂度，另一方面增加额外的时间开销，降低了系统的实时性。此外，在某些控制系统中，如航天飞行器控制系统中，对控制系统配套设备(可分为敏感器器/传感器、控制器与执行器三大类)的重量与功耗存在严格约束，由于其作用地位或功能的不同，部分敏感器、执行器在技术上不可能或没有必要采取三余度配置，构成了非完全对称的三余度冗余控制系统，而传统三余度控制计算机不能适应这种应用场合。
技术实现思路
本专利技术所要解决的技术问题是：针对现有技术的不足，提供了一种能够适应非完全对称的三冗余控制计算机及容错控制系统，在满足控制系统强实时要求的基础上，可以容忍更多的单机故障模式，提高系统的整体高可靠性，简化软硬件开销。本专利技术包括如下技术方案：一种三冗余控制计算机，包括开关量表决阵列模块和三个完全独立的子计算机；开关量表决阵列模块接收三个子计算机输出的开关量控制信号和备份开关量控制信号，通过硬件表决器输出开关量功率控制指令；每个子计算机根据左右机角色定义表确定与其对应的左机和右机；每个子计算机包括同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块、主机模块与开关量控制输出模块；同步模块接收左机与右机发送的控制周期信号，根据本机时钟对左机与右机发送的控制周期信号进行故障检测后与本机控制周期信号进行表决获得表决后的控制周期信号，将表决后的控制周期信号发送至主机模块、左机与右机，并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号；自检模块接收到主机模块发出的自检使能指令后，根据每个控制周期从主机模块接收到的心跳信息产生高低电平交替变化的心跳信号并发送至左机与右机；如果自检模块在第一设定时间内没有检测到心跳信号，则将自检结果标志设定为异常状态；如果自检模块在第一设定时间内检测到心跳信号，则将自检结果标志设定为正常状态；向主机模块与当班控制模块发出自检结果标志；左机检测模块接收到主机模块发出的左机检测使能指令后，接收左机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号；在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下，如果在第一设定的时间内，没有检测到左机心跳信号或者接收到主机模块发出的左机不允许当班指令，则向左机发出左机不允许当班信号；如果在第一设定的时间内，没有检测到左机心跳信号，向开关量控制指令输出模块和主机模块发送左机心跳异常信号；右机检测模块接收到主机模块发出的右机检测使能指令后，接收右机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号，在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下，如果在第一设定的时间内，没有检测到右机心跳信号电平发生高低交替变化或者接收到主机模块发出的右机不允许当班指令，则向右机发出右机不允许当班信号；如果在第一设定的时间内，没有检测到右机心跳信号电平发生高低交替变化，向开关量输出控制模块和主机模块发送右机心跳异常信号；当班控制模块接收自检模块输出的自检结果标志、左机与右机发送的当班信号、左机与右机发送的不允许当班信号以及主机模块发送的请求当班指令；在自检模块自检结果标志为正常、左机与右机发送的当班信号均无效、左机与右机发送的不允许当班信号不全有效、请求当班指令有效条件下，将本机当班信号置为有效状态，否则将本机当班信号置为无效状态；当班控制模块向左机、右机以及主机模块输出当班信号；当本机当班信号由有效状态变为无效状态时，向主机模块发出总线禁止发送信号；主机模块接收左机与右机发送的当班信号、当班控制模块输出的当班信号；通过当班竞争确定当班机或备机角色，根据当班竞争后确定的角色在每个控制周期开始后顺序完成相应角色的控制流程；主机模块配置三个总线接口芯片，当接收到当班控制模块发出的总线禁止发送信号后，将三总线接口芯片发送器使能端置无效；通过主机模块的三个总线接口芯片进行三总线通信控制；开关量控制指令输出模块接收到主机模块发送的本地开关量控制指令后向开关量表决阵列模块输出N路开关量控制信号；N为大于等于1的整数；开关量控制指令输出模块接收左机检测模块发送的左机心跳异常信号、右机检测模块发送的右机心跳异常信号，当左机心跳异常信号与右机心跳异常信号均有效时，输出N路备份开关量控制信号。主机模块的当班竞争实现步骤如下：a)如果主机模块接收到的左机发送的当班信号为有效状态，设定本机为备机角色，左机为当班机角色，右机为备机角色；如果接收到的右机发送的当班信号为有效状态，设定本机为备机角色，右机为当班机角色，左机为备机角色；主机模块向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令，退出当班竞争；否则向当班控制模块发出本机当班请求，转入步骤b)；b)如果查询到当班控制模块输出的当班信号有效、左机与右机当班信号均无效，则设置本机为当班机角色，设置左右机为备机角色，向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令，退出当班竞争；如果查询当班控制模块输出的当班信号有效并且左/右机任意一机当班信号有效，则取消当班请求,返回步骤a)。当班机角色的控制流程如下：a)判断本机故障标志，如果本机故障标志无效则向自检模块发出心跳信号；如果本机故障标志有效则停止向自检模块发出心跳信号；b)本机作为三总线控制器完成信息采样获得敏感器测量信息，完成本地开关量输入信号采样并通过三总线转发至左机和右机；c)根据敏感器测量信息和本地开关量输入信号进行控制运算得到用于故障判别的特征控制指令、执行器的控制指令和本地开关量控制指令；通过三总线发出用于故障判别的特征控制指令和执行器的控制指令，向开关量指令输出控制模块发送本地开关量控制指令；d)持续第三设定时间内，判定任一总线所有消息均失败或者消息无本文档来自技高网...

【技术保护点】
一种三冗余控制计算机，其特征在于，三冗余控制计算机包括开关量表决阵列模块和三个完全独立的子计算机；开关量表决阵列模块接收三个子计算机输出的开关量控制信号和备份开关量控制信号，通过硬件表决器输出开关量功率控制指令；每个子计算机根据左右机角色定义表确定与其对应的左机和右机；每个子计算机包括同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块、主机模块与开关量控制输出模块； 同步模块接收左机与右机发送的控制周期信号，根据本机时钟对左机与右机发送的控制周期信号进行故障检测后与本机控制周期信号进行表决获得表决后的控制周期信号，将表决后的控制周期信号发送至主机模块、左机与右机，并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号； 自检模块接收到主机模块发出的自检使能指令后，根据每个控制周期从主机模块接收到的心跳信息产生高低电平交替变化的心跳信号并发送至左机与右机；如果自检模块在第一设定时间内没有检测到心跳信号，则将自检结果标志设定为异常状态；如果自检模块在第一设定时间内检测到心跳信号，则将自检结果标志设定为正常状态；向主机模块与当班控制模块发出自检结果标志； 左机检测模块接收到主机模块发出的左机检测使能指令后，接收左机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号；在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下，如果在第一设定的时间内，没有检测到左机心跳信号或者接收到主机模块发出的左机不允许当班指令，则向左机发出左机不允许当班信号；如果在第一设定的时间内，没有检测到左机心跳信号，向开关量控制指令输出模块和主机模块发送左机心跳异常信号； 右机检测模块接收到主机模块发出的右机检测使能指令后，接收右机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号，在 自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下，如果在第一设定的时间内，没有检测到右机心跳信号电平发生高低交替变化或者接收到主机模块发出的右机不允许当班指令，则向右机发出右机不允许当班信号；如果在第一设定的时间内，没有检测到右机心跳信号电平发生高低交替变化，向开关量输出控制模块和主机模块发送右机心跳异常信号； 当班控制模块接收自检模块输出的自检结果标志、左机与右机发送的当班信号、左机与右机发送的不允许当班信号以及主机模块发送的请求当班指令；在自检模块自检结果标志为正常、左机与右机发送的当班信号均无效、左机与右机发送的不允许当班信号不全有效、请求当班指令有效条件下，将本机当班信号置为有效状态，否则将本机当班信号置为无效状态；当班控制模块向左机、右机以及主机模块输出当班信号；当本机当班信号由有效状态变为无效状态时，向主机模块发出总线禁止发送信号； 主机模块接收左机与右机发送的当班信号、当班控制模块输出的当班信号；通过当班竞争确定当班机或备机角色，根据当班竞争后确定的角色在每个控制周期开始后顺序完成相应角色的控制流程；主机模块配置三个总线接口芯片，当接收到当班控制模块发出的总线禁止发送信号后，将三总线接口芯片发送器使能端置无效；通过主机模块的三个总线接口芯片进行三总线通信控制； 开关量控制指令输出模块接收到主机模块发送的本地开关量控制指令后向开关量表决阵列模块输出N路开关量控制信号；N为大于等于1的整数；开关量控制指令输出模块接收左机检测模块发送的左机心跳异常信号、右机检测模块发送的右机心跳异常信号，当左机心跳异常信号与右机心跳异常信号均有效时，输出N路备份开关量控制信号。...

【技术特征摘要】
1.一种三冗余控制计算机，其特征在于，三冗余控制计算机包括开关量表决阵列模块和三个完全独立的子计算机；开关量表决阵列模块接收三个子计算机输出的开关量控制信号和备份开关量控制信号，通过硬件表决器输出开关量功率控制指令；每个子计算机根据左右机角色定义表确定与其对应的左机和右机；每个子计算机包括同步模块、自检模块、左机检测模块、右机检测模块、当班控制模块、主机模块与开关量控制指令输出模块；同步模块接收左机与右机发送的控制周期信号，根据本机时钟对左机与右机发送的控制周期信号进行故障检测后与本机控制周期信号进行表决获得表决后的控制周期信号，将表决后的控制周期信号发送至主机模块、左机与右机，并且将表决后的控制周期信号作为本机控制周期信号计时起点产生本机的下一周期的控制周期信号；自检模块接收到主机模块发出的自检使能指令后，根据每个控制周期从主机模块接收到的心跳信息产生高低电平交替变化的心跳信号并发送至左机与右机；如果自检模块在第一设定时间内没有检测到心跳信号，则将自检结果标志设定为异常状态；如果自检模块在第一设定时间内检测到心跳信号，则将自检结果标志设定为正常状态；向主机模块与当班控制模块发出自检结果标志；左机检测模块接收到主机模块发出的左机检测使能指令后，接收左机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号；在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下，如果在第一设定的时间内，没有检测到左机心跳信号或者接收到主机模块发出的左机不允许当班指令，则向左机发出左机不允许当班信号；如果在第一设定的时间内，没有检测到左机心跳信号，向开关量控制指令输出模块和主机模块发送左机心跳异常信号；右机检测模块接收到主机模块发出的右机检测使能指令后，接收右机心跳信号、自检模块输出的自检结果标志、左机与右机发送的不允许当班信号，在自检结果标志为正常状态、左机与右机发送的不允许当班信号不全有效条件下，如果在第一设定的时间内，没有检测到右机心跳信号电平发生高低交替变化或者接收到主机模块发出的右机不允许当班指令，则向右机发出右机不允许当班信号；如果在第一设定的时间内，没有检测到右机心跳信号电平发生高低交替变化，向开关量输出控制模块和主机模块发送右机心跳异常信号；当班控制模块接收自检模块输出的自检结果标志、左机与右机发送的当班信号、左机与右机发送的不允许当班信号以及主机模块发送的请求当班指令；在自检模块自检结果标志为正常、左机与右机发送的当班信号均无效、左机与右机发送的不允许当班信号不全有效、请求当班指令有效条件下，将本机当班信号置为有效状态，否则将本机当班信号置为无效状态；当班控制模块向左机、右机以及主机模块输出当班信号；当本机当班信号由有效状态变为无效状态时，向主机模块发出总线禁止发送信号；主机模块接收左机与右机发送的当班信号、当班控制模块输出的当班信号；通过当班竞争确定当班机或备机角色，根据当班竞争后确定的角色在每个控制周期开始后顺序完成相应角色的控制流程；主机模块配置三个总线接口芯片，当接收到当班控制模块发出的总线禁止发送信号后，将三总线接口芯片发送器使能端置无效；通过主机模块的三个总线接口芯片进行三总线通信控制；开关量控制指令输出模块接收到主机模块发送的本地开关量控制指令后向开关量表决阵列模块输出N路开关量控制信号；N为大于等于1的整数；开关量控制指令输出模块接收左机检测模块发送的左机心跳异常信号、右机检测模块发送的右机心跳异常信号，当左机心跳异常信号与右机心跳异常信号均有效时，输出N路备份开关量控制信号。2.根据权利要求1所述的三冗余控制计算机，其特征在于，主机模块的当班竞争实现步骤如下：a)如果主机模块接收到的左机发送的当班信号为有效状态，设定本机为备机角色，左机为当班机角色，右机为备机角色；如果接收到的右机发送的当班信号为有效状态，设定本机为备机角色，右机为当班机角色，左机为备机角色；主机模块向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令，退出当班竞争；否则向当班控制模块发出本机当班请求，转入步骤b)；b)如果查询到当班控制模块输出的当班信号有效、左机与右机当班信号均无效，则设置本机为当班机角色，设置左右机为备机角色，向自检模块发出自检使能、向左机检测模块发送左机检测使能指令、向右机检测模块发送右机检测使能指令，退出当班竞争；如果查询当班控制模块输出的当班信号有效并且左/右机任意一机当班信号有效，则取消当班请求,返回步骤a)。3.根据权利要求1所述的三冗余控制计算机，其特征在于，当班机角色的控制流程如下：a)判断本机故障标志，如果本机故障标志无效则向自检模块发出心跳信号；如果本机故障标志有效则停止向自检模块发出心跳信号；b)本机作为三总线控制器完成信息采样获得敏感器测量信息，完成本地开关量输入信号采样并通过三总线转发至左机和右机；c)根据敏感器测量信息和本地开关量输入信号进行控制运算得到用于故障判别的特征控制指令、执行器的控制指令和本地开关量控制指令；通过三总线发出用于故障判别的特征控制指令和执行器的控制指令，向开关量指令输出控制模块发送本地开关量控制指令；d)持续第三设定时间内，判定任一总线所有消息均失败或者消息无法启动，则设置本机故障标志，清除当班请求；e)当查询到自检结果标志为异常状态或本机当班信号无效时，设置本机故障标志为有效，进入空闲状态，主动退出当班状态，作为被强制退出当班的备份冗余操作；否则等待下一控制周期，重新进入步骤a)。4.根据权利要求1所述的三冗余控制计算机，其特征在于，备机角色的控制流程如下：a)判断本机故障标志，如果本机故障标志无效则向自检模块发出心跳信号；如果本机故障标志有效则停止向自检模块发出心跳信号；b)完成本地开关量输入信号采样；作为三总线监视器，监视当班机获得的敏感器测量信息；c)根据本地开关量输入信号和监视获得的敏感器测量信息进行控制运算处理得到备机特征控制指令、备机执行器的控制指令和备机本地开关量控制指令；向开关量控制指令输出模块发送本地开关量控制指令；d)将备机特征控制指令与通过三总线监视到的当班机特征控制指令进行比较，如果差值大于第一门限值,则设置当班机故障标志有效，当当班机是本机的左机时向左机检测模块发出左机不允许当班指令；当当班机是本机的右机时向右机检测模块发出右机不允许当班指令；e)将备机执行器的控制指令与通过三总线监视到的当班机...

【专利技术属性】
技术研发人员：黄波，刘学士，张福鑫，刘俊阳，刘茜筠，曹帮林，陈伟，
申请(专利权)人：北京航天自动控制研究所，中国运载火箭技术研究院，
类型：发明
国别省市：北京;11