[发明专利]混合双重双工故障操作模式和对任意数量的故障的概述

说明书

技术领域

实施例涉及容错控制系统。

背景技术

提供安全功能的系统通常利用冗余控制器来通过关闭已经经历故障(fault或failure)的功能来确保安全。如果检测到故障，那么控制器关闭或控制器遭遇故障沉默，其中控制器没有产生信号且次级控制器重新配置成初级控制器。

某些系统尝试利用故障操作系统实施控制系统，其中使用另外的控制器(诸如双重双工控制器)来确保可继续安全操作持续一定持续时间。如果第一控制器故障并且遭遇故障沉默，那么取决于系统设计，第二控制器可以始终是活动的，并且可能需要启动。如果执行此操作，那么所有致动器将切换以依赖于来自第二控制器的请求。不同于其中一个控制器中的故障将存在于副本控制器中的软件故障，硬件故障(例如，电源故障、短路接地故障等)虽然并非软件故障的临界水平，但是因为软件设计故障将影响这两个控制器，所以这两个控制器将通常单独出现故障且次级控制器此后在通常不具有相同缺陷时可正确地操作。

通常，控制器包括其中在相应控制器上单独地且同时执行功能的两个处理器或两个核心。因此，初级控制器和次级控制器这二者将具有由每个控制器内的两个处理器或两个核心执行的相同功能。因此，如果利用双重双工设计，那么相同的功能将单独地执行四次。比较来自每个控制器的结果用于确定一个控制器中是否存在错误。虽然双重双工设计提供了附加的稳健性，但是冗余操作需要附加的资源(例如，处理器、核心)，这是因为每个功能在每个控制器中单独地执行两次。冗余操作需要使用多个副本的并行执行、需要附加的硬件资源，使得对于提供这些硬件资源存在成本影响。

发明内容

实施例的优点是减少了控制器的处理时间，使得处理资源可被释放用于其它操作并且减少处理器的总体处理负担。通过利用先前控制器的结果和数据完整性来进行错误检测和故障沉默性质的实现，在后续控制器中仅需要执行一次该功能。因此，通过不必对每个控制器执行两个功能来减少处理。具有两个控制器的控制系统可实现25％的处理减少，而具有三个控制器的控制系统在正常操作条件(即，没有故障)期间可实现33％的减少。处理的节省可通过以下公式确定：N/(2+2N)，其中N是控制系统要处置的故障数量。

实施例预期一种改进型双重双工故障操作控制系统。初级控制器在无故障工作条件下操作时控制装置的特征。该初级控制器包括利用来自感测装置的输入数据执行功能的第一处理单元和利用来自感测装置的输入数据同时执行该功能的第二处理单元。第一比较模块比较来自第一处理单元的功能结果与来自第二处理单元的功能结果以确定第一控制器中是否存在错误。第二控制器包括利用来自感测装置的输入数据执行功能的第一处理单元和以非冗余状态操作的第二处理单元。第二处理单元在非冗余状态下不执行该功能。第二比较模块确定第二控制器中是否存在错误。由第一控制器的第一比较模块识别的匹配功能结果输入至第二控制器的第二比较模块。第二比较模块仅利用由第一比较模块识别的匹配功能结果以及由第二控制器的第一处理单元确定的功能结果来确定第二控制器中是否存在错误。

附图说明

图1是示例性集成控制系统的架构框图。

图2是用于执行冗余检查的改进型双工架构的第一实施例。

图3是用于执行冗余检查的改进型双工架构的第二实施例。

图4示出故障的初级控制器和备份控制器的重新配置的实例。

图5示出故障的次级控制器和备份控制器的重新配置的实例。

具体实施方式

以下详细描述意味着说明性的以理解实施例的主题并且不旨在限制主题的实施例或这些实施例的应用和用途。单词“示例性”的任何使用均旨在被解译为“用作实例、范例或说明”。本文陈述的实施方案是示例性的并且并不意味着被解释为相比其它实施方案更优选或更有利。本文的描述并不意味着受限于前述发明背景、附图简述、发明内容或具体实施方式中呈现的任何明确或隐含的理论。

技术及工艺在本文可以就功能和/或逻辑块部件来描述，并且可以参考可以由各种计算部件或装置执行的操作、处理任务和功能的符号来描述。这样的操作、任务和功能有时候称为是计算机执行的、计算机化的、软件实施的或计算机实施的。应当明白的是，图中所示的各个块部件可以由配置成执行指定功能的任何数量的硬件、软件和/或固件部件来实现。例如，系统或部件的实施例可以采用各种集成电路部件(例如，存储器元件、数字信号处理元件、逻辑元件、查找表等，其可以在一个或多个微处理器或其它控制装置的控制下实行多种功能)。