[发明专利]基于2取2结构的计算机控制系统及其实现方法

说明书

技术领域

本发明涉及工业控制领域，特别是涉及一种基于2取2结构的计算机控制系统及其实现方法。

背景技术

目前的工业控制系统绝大多数都是计算机控制系统，采用容错技术可显著地提高其可靠性和可用性。但系统一旦不能正常工作，有可能向被控设备输出危险的控制信号，从而造成人员伤亡和财产损失。因此铁路、石化、钢铁等领域要求工业控制计算机系统不仅是高可靠和高可用的容错系统，同时也是故障安全系统。2取2结构计算机控制系统具有完备的双机比较检出危险侧故障的能力，在关键控制过程中被广泛应用。

2取2结构的计算机控制系统通常包括两个执行相同的控制程序的处理器模块，两个处理器模块的处理结果，只有比较一致才有正确输出，否则系统输出会倒向安全侧。由于避免了处理器自诊断，系统实时性能和故障安全性能得以大幅度提高。

2取2结构系统中冗余双处理器模块可以工作于时钟级和任务级两种同步方式。

时钟级同步时，两个处理器或者使用同一时钟，或者使用反向的两个时钟，构成紧耦合结构。通过对地址、数据总线上信息进行数据比较实现2取2。时钟级同步的实现方法为将两套完全一样的CPU及其核心电路集成在一块电路板上，以便采用同一个晶振分频电路作为芯片的时钟脉冲，并采用专门设计的比较器对两个CPU总线进行比较监督。

任务级同步时，两个处理器运行不绝对同步，构成松散耦合冗余结构。由于存在同步容差，对共模错误抑制能力高。任务级同步系统主要采用软件完成双CPU工作一致性的比较，实现方法为两个CPU单独工作，通过CPU间的高速通道周期性地对两个CPU中的各任务进行同步比较，以完成对两个CPU工作一致性的检查。

时钟级同步系统主要采用硬件完成双CPU工作一致性的比较，对硬件有较高的要求。这种同步方式存在无法在两个CPU中实现两套不同算法的缺点，无法利用差异性消除软件的共模故障。同时，随着硬件技术的飞速发展，由于复杂CPU芯片本身存在的封闭、高速特性，使得时钟同步的方式对于高性能的CPU芯片几乎无能为力。同时采用CPU时钟同步的2取2系统在硬件上的更新换代受到了很大的限制。

任务级同步时，系统的安全管理功能由软件完成，需要将应用程序分成若干任务，分别在每个任务之后通过通道内同步总线交换同步信息，同时进行状态数据和输出数据比较来实现2取2。

对于任务级同步2取2结构而言，可以证明不存在一种可纠正同步误差的双机同步算法，这是由双机不可能判断谁对谁错的逻辑二难特性所决定的。对于安全完善度等级较高的系统，要求故障反应时间尽可能短，在这种情况下，在每个任务之后再进行同步可能无法达到整个系统同步容差的要求。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是如何在缩短故障反应时间、纠正同步误差等前提下，实现任务级同步的2取2结构计算机控制。

(二)技术方案

为解决上述技术问题，提供一种基于2取2结构的计算机控制系统，包括安全管理层和具有两个处理器的2取2执行层，所述安全管理层和2取2执行层之间通过高速通信总线连接。

所述2取2执行层用于完成每个阶段的应用处理，并完成不同阶段的数据比较，并向安全管理层发送同步状态信号和数据比较结果。

所述安全管理层用于控制和判断所述2取2执行层中两个处理器的同步状态，并且判断两个处理器数据比较结果是否一致。

优选地，所述安全管理层包括时钟控制模块和表决结果判断模块，所述时钟控制模块和表决结果判断模块均采用数字可编程逻辑器件实现。

优选地，所述数字可编程逻辑器件配置为多模冗余结构，且所述多模冗余结构为2取2结构或3取2结构。

本发明还提供了一种基于2取2结构的计算机控制系统的实现方法，包括步骤：

S1，安全管理层设置上电时限，并判断两个处理器在所述时限内是否正常启动；如果否，则发送控制命令使得两个处理器停止工作，如果是，则转步骤S2；

S2，在一个控制周期内，安全管理层发送同步信号，两个处理器在同步信号的控制下进行一个处理过程，并分别向安全管理层发送该阶段的处理完成报告；

S3，安全管理层根据收到所述处理完成报告的时间差判断所述两个处理器是否处于同步状态；如果否，则发送控制命令使得两个处理器停止工作，如果是，则转步骤S2进行下一处理过程。

优选地，在步骤S2中，在各处理过程所处的控制周期的开始和/或结束处设置同步检查点。

优选地，将所述控制周期分为数据输入、数据处理和数据输出三个阶段，并在每个阶段设置一个同步检查点。