06_计算机联锁系统技术_第六章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
校验法
用已知的正确量与被测量进行比较,如果两者 一致就说明被测模块工作正常
被测模块 输入 比 较 器 理想模块 输出
在线测试
V ( x1 , x2 , x3 ) = x1 x2 + x2 x3 + x3 x1
模块A 输入 模块A 模块A x1 x2 x3 V 输出
三模系统需解决的问题
表决问题
硬件实现-速度快,但功耗、重量、体积大 软件实现-结构简单,方便修改,但速度慢 具体系统需考虑的因素
表决的速度要求 表决处理机是否易于实现 系统的功耗、重量和体积限制要求 表决方式的灵活性要求 表决器数量需求
FS 去计算机
必须考虑的硬件故障
元件级故障
包括电阻、电容、晶体管、三级管等故障
门级故障
输入粘“0”和输入粘“1”故障 输出粘“0”和输出粘“1”故障 桥接线“与”和桥接线“或”故障
芯片级故障
存储单元、寄存器译码器器故障等
故障特性
永久性故障、瞬间故障与间歇故障
涉安信息的表达形式
电路形式
安全型继电器电路应采用非对称的电子电路或器件, 同时须把前接点断开设定为安全侧,前接点接通设为 危险侧
计算机联锁系统技术
第六章 系统可靠性与安全性技术保障
本章主要内容
安全性与可靠性 系统的安全性保障 I/O通道的安全性保障 无接点安全性输出接口电路 计算机系统的安全性保障 系统的可靠性保障 故障掩蔽技术和系统重组技术 故障检测与诊断方法 提高计算机系统可靠性的方法
安全性
安全性
指设备在运行过程中无论发生什么变故都不会产生有可能造 成人民生命财产损失的危险因素
铁路信号设备的安全性设计
保证行车安全 提高运输效率 减轻劳动强度 向运输管理信息系统提高数据
故障-安全
系统得在任何部分发生故障及系统处于任何可能的外界环境 中时系统的输出均处与安全状态
不对称指数(危险比)
δ=λd/λf<<1
可靠性
可靠性
系统或设备在规定的时间和规定的条件下完成 规定功能的能力
MTBF=1/λ(λ是失效率) 可用度A
计算机联锁系统的安全性保障
涉安信息I/O通道的硬件设计符合故障-安全原则 计算机系统的数据存储、运算与处理是正确和安全的
I/O通道的安全性保障
晶体管级的计算机故障无法实现故障-安 全性 需特别设计具有故障-安全特性的接口电 路
输入电路-如果继电器落下,则决不允许读入 继电器吸气的信息 输出电路-如果没有继电器吸起命令,就决不 允许向继电器线圈送电
分段的冗余结构容忍更多的故障,更可靠,但 分段太多,表决器的可靠性会下降
动态冗余技术
动态冗余系统由多个模块构成,其中一个 运行,不断的检测故障同时定位,再根据 结果,将发生故障的模块用备用模块取代 替,实现系统重组恢复 二模动态冗余技术
切换开关 工作模块 输出 备用模块
二模动态冗余技术
四种工作方式
四线制道岔控制电路
控制和表示合用的电路 节省电缆芯线
无接点四线制道岔表示电路
将四线制道岔控制电路中的继电器用光电 耦合器取代
计算机系统的安全性保障
安全性保障的四个方面
信息采集 信息输出 信息存储 信息处理
计算机系统的安全性保障问题
数据安全性保障 信息储存的安全性保障 程序安全性保障 程序本身是否有错 运算出错 程序的执行错误 输入/输出安全性保障 安全性数据输出到I/O端口时最后一道关口或从I/O端 口取得数据的第一步的安全性保障问题
动态冗余系统的结构
自检法结构
两个模块各有自己独立的故障检查功能,各有 一个检测输出信号 输入 不需要严格的同步工作
模块A 自 检 信 号 识别器 模块B
输出
动态冗余系统的结构
比较法结构
对两个模块的输出进行比较,发现故障,控制 切换开关
主机 特点-在无故障 期间,两个模块 无须执行故障自 检程序,有利于 提高执行应用程 序的速度 诊 断 输 出 判别 或 G1 或 G2 比较 备机 诊 断 输 出 判别
物理原因-内部器件的缺陷或外部的变化 人为原因-无意识的设计错误和操作错误以及 有目的的对系统的破坏
计算机系统硬件故障的分类
本质上
硬件设计故障 硬件物理故障
性质上
逻辑故障 非逻辑故障
影响范围
局部型故障 分布型故障
持续时间上
永久故障 瞬间故障 间歇故障
故障表现上
物理层故障 逻辑层故障 数据层故障 系统层故障
系统的可靠性保障
安全性
着重设备故障之后的后果
可靠性
关注的是系统少出故障
故障的分析&特性
可靠性技术
故障-系统硬件中发生的物理缺陷、设计制造 的不完善或软件设计中隐含的错误 差错-指系统由于故障而造成的信息或状态的 不正确 失效-指系统未能正确提供标准的服务或丧失 了完成规定功能的能力
故障产生的原因
避错技术
容错技术
当系统的某一部分发生故障时仍使系统保持正 常工作的技术
避错技术
防止和减少故障的发生 包括两个方面
质量控制-主要针对计算机及其接口电路 环境保护-主要针对系统的元器件以及改善系统 所在机房的环境
故障掩蔽技术和系统重组技术
实现容错技术的两种途径
故障掩蔽技术
指防止系统中故障产生差错的各种技术,即将故 障进行遮蔽 不要求故障检测,但要求故障包容,使故障影响 局部化
动态冗余系统的结构
仲裁法结构
特点-采取了常量 检验自检结果的方 式;计算机在输出 计算结果或自检结 果时,同时输出一 个计算结束的信 号,由外部仲裁机 构进行比较,不需 要同步工作
计算机 计算或诊 断结果 计算或诊 计算机 断结果
A 寄存器R1
常熟C 寄存器R1
B
比较 中断 信号 计算 结果 中断 信号 计算 结果
A=MTBF/(MTBF+MTTR) MTTR平均修复时间
系统的安全性保障
计算机故障将导致怎样的结果是无法确知 也是无法分析的 计算机联锁系统的安全性模型
数据流 联锁计算机 控制 操作 现场 状态 采集 联锁程序 控制 元件 控制流
采集
联锁数据
采集
系统的安全性保障
车站联锁系统的涉安信息
反映道岔状态的信息 反映轨道区段状态的信息 反映道岔锁闭状态的信息 开放信号的控制信息 转换道岔的控制信息 反映信号是否开放的状态信息 反映敌对进路是否建立的状态和其他照查信息
包括自诊断法、比较法、检验法、监视定时器法 和特征字法等
在线测试
周期性运行自诊断程序
每个模块都配备自诊断程序,需周期性暂停正 常工作,执行自诊断程序 缺点-不能发现瞬时故障
比较法
通过比较来发现差异 要求比较器有很高的可靠性 能及时检测到故障,无故障时不需要执行自诊 断程序,有利于提高工作效率
在线测试
代码形式
当处理到非法代码后,给出提示同时,要将无效代码 认作安全侧代码予以处理,使得错误发生导致的结果 为安全的概率远大于导向危险的概率
动/静形式
用脉冲串(动态)代表变量的危险侧,稳态的高电平 或稳态的低电平(静态)代表变量的安全侧,实现故 障-安全
典型的安全性输入接口电路
电平-动/静变换电路
计算机发出脉冲,继电器吸起,该脉冲由另一 个输入口读回,证明继电器处于吸起;当继电 器落下或故障,该脉冲不能正确读回,计算机 认为继电器处于落下,导向安全
防护继电器 负载
A B C JF
采用矩形磁滞回环作检测回线的电路
矩形磁滞回环
当电流达到一定程度以后,磁心中的磁通就不 再随电流增大而增大,而呈饱和态势
W 负载 Wi A Wo
B
瞬时导通晶闸管电路
解决无法检查检测线的缺点
瞬时给晶闸管一个窄脉冲,来检查检测线的完 整性
防护继电器 晶闸管
A B C
四线制道岔控制电路的无接点化控制方法
双向晶闸管电路
晶闸管
一种以可控硅为基础的控制元件 其控制级加有电压时,双向导通,即可导通正 向电流,也可导通反向电流 具有很大的功率,可接大功率负载
防护继电器 SSR 负载
A B C
单向晶闸管电路
用于驱动直流负载,电路导通时,晶闸管将流过 直流电流 交流驱动直流的优点:当晶闸管发生短路故障 时,直流负载不会动作,增强故障-安全性
IN
整流 平滑
继电器
采用晶体管推挽输出的动态电路
V=24V,30V IN
继电器
采用光控可控硅的电路
V=24V
IN 继电器
无接点安全性输出接口电路
目前还没有一种具有故障-安全的固态器 件可用来构成安全控制电路,而需要采用 非安全的故态器件和相应的故障检测电路 来实现。 输出接口电路
双向晶闸管电路 单向晶闸管电路 采用矩形磁滞回环作检测回线的电路 瞬时导通晶闸管电路 四线制道岔控制电路的无接点化控制方法 无接点四线制道岔表示电路
数据安全性保障
采用不对称码元表示涉安信息
在具有2n状态的码字集合中,仅取少量的码字 构成一个子集,代表有意义的码字,而其他的 代码为非法代码,同时这种代码要有故障-安 全特性
危险测码字(继电器吸起) 0 1 0 1 0 1 0 1 安全测码字(继电器落下) 1 0 1 0 1 0 1 0 非法码字(继电器落下) x x x x x x x x
判决 选择
动态冗余系统的结构
自检互检法结构
特点-在模块内的 某类故障仅靠自检 不能检出时用两个 模块互相检测的方 法予以补偿 冗余管理机构-类 似于识别器,能识 别出哪个模块发生 了故障
模块A 输入
模块B
冗余管理机构
输出
故障检测与诊断方法
故障检测
指测试系统是否存在故障
故障诊断(故障测试)
不仅需要指出故障是否存在,还要确定故障发 生的地点 离线测试-用于系统设计验证、产品检测或系 统的维修 在线测试-系统工作同时进行
数据完好的正确性检验
数据不出现非法字 数据总量不发生差错 数据与数据间不出现不合理的逻辑联系 静态原始数据未发生变化 异地存储的多份代码相互之间不存在意义 上的不一致
程序运行安全性保障
程序没有编错 程序代码不错 程序执行不错 CPU运算不错
输入/输出安全性保障
输入/输出数据去向正确性保障,重在考 查计算机内所用的各种地址译码器。 输入/输出的安全性保障归结为地址计算 的正确性保障&物理寻址的安全性保障。
数据安全性保障
假定每一码元发生差错的概率是p,则无差错的 概率是1-p,整个代码无差错的概率为(1- p)n;则有k个差错的概率为
n! p k (1 − p ) n − k k!(n − k )!
危险比表示不对称性
pn δ= 1 − (1 − p ) n
当n=8时,δ=1/255≈4×10-3
关键数据异地多份存储
系统重组技术
指防止系统中的差错导致系统失效的各种技术 要求进行故障检测,然后做到故障复位,最后做 到系统恢复
冗余技术
冗余技术是故障掩蔽技术和系统重组技术 的基础,是容错技术的核心 硬件冗余的三种形式
静态冗余 动态冗余 混合冗余
静态冗余技术
静态冗余(屏蔽冗余)
通过冗余资源来隔离、掩盖或校正故障的影响,使故 障不能在输出种造成差错 基本机理是通过多数表决掩蔽发生的故障 系统为三取二系统(TMR系统) 表决器输出为
对于同一种有存储格式的代码也可以在内存种多 处存储,作为空间冗余的另一种方式 异地存储提高安全性在本质上时增加码位以使该 数据在程序运行过程中通过比较法或多数表决法 鉴别数据的合法性成为可能 数据存储最多不超过3份,并采用三中取二方式 即可
规范化数据结构与数据生成方式
通常对于系统的数据量大的特点,采用计算机辅 助设计的数据生成方式,以减少认为工作量和错 误。 数据结构实现规范化
冷备方式-要从断电状态切换,需要一定时间 温备方式-备机通电但不运行,减少了一定的等待时间 分布方式-两机共同担任不同的任务,故障时,一机降级 承担任务,其容错能力强,但会丧失些控制能力 热备方式-能满足其控制连续性、瞬时控制能力的要求
具备的能力
能检测出哪个模块发生了故障 发现故障后能及时驱动切换开关,将故障模块隔离,同时 将备用模块作为系统的输出
计 算 机
动态输入电路
VCCΒιβλιοθήκη IN 通 信 接 口1
GD1
GD1
BUS
0 GND
典型的安全性输出接口电路
输出接口电路
功率放大,将存于计算机内部的输出控制命令
代码-动/静 变换
软件方法 软硬件结合方法
动/静-电平转换
采用变压器的动态电路 采用晶体管推挽输出的动态电路 采用光控可控硅的电路
采用变压器的动态电路
三模系统需解决的问题
同步处理
表决的基本前提是同步条件 TMR有两种同步方式
硬件同步 共同时钟方式 时钟反馈调节方式 事件调节的同步方式 软件同步 属于松散同步 用软件算法来实现同步
三模系统需解决的问题
要使多模冗余系统的可靠性比单模结构的 高,必要条件是采用高可靠性的单模块构 成冗余系统 三模冗余技术可以在各种不同级别的模块 上应用
用已知的正确量与被测量进行比较,如果两者 一致就说明被测模块工作正常
被测模块 输入 比 较 器 理想模块 输出
在线测试
V ( x1 , x2 , x3 ) = x1 x2 + x2 x3 + x3 x1
模块A 输入 模块A 模块A x1 x2 x3 V 输出
三模系统需解决的问题
表决问题
硬件实现-速度快,但功耗、重量、体积大 软件实现-结构简单,方便修改,但速度慢 具体系统需考虑的因素
表决的速度要求 表决处理机是否易于实现 系统的功耗、重量和体积限制要求 表决方式的灵活性要求 表决器数量需求
FS 去计算机
必须考虑的硬件故障
元件级故障
包括电阻、电容、晶体管、三级管等故障
门级故障
输入粘“0”和输入粘“1”故障 输出粘“0”和输出粘“1”故障 桥接线“与”和桥接线“或”故障
芯片级故障
存储单元、寄存器译码器器故障等
故障特性
永久性故障、瞬间故障与间歇故障
涉安信息的表达形式
电路形式
安全型继电器电路应采用非对称的电子电路或器件, 同时须把前接点断开设定为安全侧,前接点接通设为 危险侧
计算机联锁系统技术
第六章 系统可靠性与安全性技术保障
本章主要内容
安全性与可靠性 系统的安全性保障 I/O通道的安全性保障 无接点安全性输出接口电路 计算机系统的安全性保障 系统的可靠性保障 故障掩蔽技术和系统重组技术 故障检测与诊断方法 提高计算机系统可靠性的方法
安全性
安全性
指设备在运行过程中无论发生什么变故都不会产生有可能造 成人民生命财产损失的危险因素
铁路信号设备的安全性设计
保证行车安全 提高运输效率 减轻劳动强度 向运输管理信息系统提高数据
故障-安全
系统得在任何部分发生故障及系统处于任何可能的外界环境 中时系统的输出均处与安全状态
不对称指数(危险比)
δ=λd/λf<<1
可靠性
可靠性
系统或设备在规定的时间和规定的条件下完成 规定功能的能力
MTBF=1/λ(λ是失效率) 可用度A
计算机联锁系统的安全性保障
涉安信息I/O通道的硬件设计符合故障-安全原则 计算机系统的数据存储、运算与处理是正确和安全的
I/O通道的安全性保障
晶体管级的计算机故障无法实现故障-安 全性 需特别设计具有故障-安全特性的接口电 路
输入电路-如果继电器落下,则决不允许读入 继电器吸气的信息 输出电路-如果没有继电器吸起命令,就决不 允许向继电器线圈送电
分段的冗余结构容忍更多的故障,更可靠,但 分段太多,表决器的可靠性会下降
动态冗余技术
动态冗余系统由多个模块构成,其中一个 运行,不断的检测故障同时定位,再根据 结果,将发生故障的模块用备用模块取代 替,实现系统重组恢复 二模动态冗余技术
切换开关 工作模块 输出 备用模块
二模动态冗余技术
四种工作方式
四线制道岔控制电路
控制和表示合用的电路 节省电缆芯线
无接点四线制道岔表示电路
将四线制道岔控制电路中的继电器用光电 耦合器取代
计算机系统的安全性保障
安全性保障的四个方面
信息采集 信息输出 信息存储 信息处理
计算机系统的安全性保障问题
数据安全性保障 信息储存的安全性保障 程序安全性保障 程序本身是否有错 运算出错 程序的执行错误 输入/输出安全性保障 安全性数据输出到I/O端口时最后一道关口或从I/O端 口取得数据的第一步的安全性保障问题
动态冗余系统的结构
自检法结构
两个模块各有自己独立的故障检查功能,各有 一个检测输出信号 输入 不需要严格的同步工作
模块A 自 检 信 号 识别器 模块B
输出
动态冗余系统的结构
比较法结构
对两个模块的输出进行比较,发现故障,控制 切换开关
主机 特点-在无故障 期间,两个模块 无须执行故障自 检程序,有利于 提高执行应用程 序的速度 诊 断 输 出 判别 或 G1 或 G2 比较 备机 诊 断 输 出 判别
物理原因-内部器件的缺陷或外部的变化 人为原因-无意识的设计错误和操作错误以及 有目的的对系统的破坏
计算机系统硬件故障的分类
本质上
硬件设计故障 硬件物理故障
性质上
逻辑故障 非逻辑故障
影响范围
局部型故障 分布型故障
持续时间上
永久故障 瞬间故障 间歇故障
故障表现上
物理层故障 逻辑层故障 数据层故障 系统层故障
系统的可靠性保障
安全性
着重设备故障之后的后果
可靠性
关注的是系统少出故障
故障的分析&特性
可靠性技术
故障-系统硬件中发生的物理缺陷、设计制造 的不完善或软件设计中隐含的错误 差错-指系统由于故障而造成的信息或状态的 不正确 失效-指系统未能正确提供标准的服务或丧失 了完成规定功能的能力
故障产生的原因
避错技术
容错技术
当系统的某一部分发生故障时仍使系统保持正 常工作的技术
避错技术
防止和减少故障的发生 包括两个方面
质量控制-主要针对计算机及其接口电路 环境保护-主要针对系统的元器件以及改善系统 所在机房的环境
故障掩蔽技术和系统重组技术
实现容错技术的两种途径
故障掩蔽技术
指防止系统中故障产生差错的各种技术,即将故 障进行遮蔽 不要求故障检测,但要求故障包容,使故障影响 局部化
动态冗余系统的结构
仲裁法结构
特点-采取了常量 检验自检结果的方 式;计算机在输出 计算结果或自检结 果时,同时输出一 个计算结束的信 号,由外部仲裁机 构进行比较,不需 要同步工作
计算机 计算或诊 断结果 计算或诊 计算机 断结果
A 寄存器R1
常熟C 寄存器R1
B
比较 中断 信号 计算 结果 中断 信号 计算 结果
A=MTBF/(MTBF+MTTR) MTTR平均修复时间
系统的安全性保障
计算机故障将导致怎样的结果是无法确知 也是无法分析的 计算机联锁系统的安全性模型
数据流 联锁计算机 控制 操作 现场 状态 采集 联锁程序 控制 元件 控制流
采集
联锁数据
采集
系统的安全性保障
车站联锁系统的涉安信息
反映道岔状态的信息 反映轨道区段状态的信息 反映道岔锁闭状态的信息 开放信号的控制信息 转换道岔的控制信息 反映信号是否开放的状态信息 反映敌对进路是否建立的状态和其他照查信息
包括自诊断法、比较法、检验法、监视定时器法 和特征字法等
在线测试
周期性运行自诊断程序
每个模块都配备自诊断程序,需周期性暂停正 常工作,执行自诊断程序 缺点-不能发现瞬时故障
比较法
通过比较来发现差异 要求比较器有很高的可靠性 能及时检测到故障,无故障时不需要执行自诊 断程序,有利于提高工作效率
在线测试
代码形式
当处理到非法代码后,给出提示同时,要将无效代码 认作安全侧代码予以处理,使得错误发生导致的结果 为安全的概率远大于导向危险的概率
动/静形式
用脉冲串(动态)代表变量的危险侧,稳态的高电平 或稳态的低电平(静态)代表变量的安全侧,实现故 障-安全
典型的安全性输入接口电路
电平-动/静变换电路
计算机发出脉冲,继电器吸起,该脉冲由另一 个输入口读回,证明继电器处于吸起;当继电 器落下或故障,该脉冲不能正确读回,计算机 认为继电器处于落下,导向安全
防护继电器 负载
A B C JF
采用矩形磁滞回环作检测回线的电路
矩形磁滞回环
当电流达到一定程度以后,磁心中的磁通就不 再随电流增大而增大,而呈饱和态势
W 负载 Wi A Wo
B
瞬时导通晶闸管电路
解决无法检查检测线的缺点
瞬时给晶闸管一个窄脉冲,来检查检测线的完 整性
防护继电器 晶闸管
A B C
四线制道岔控制电路的无接点化控制方法
双向晶闸管电路
晶闸管
一种以可控硅为基础的控制元件 其控制级加有电压时,双向导通,即可导通正 向电流,也可导通反向电流 具有很大的功率,可接大功率负载
防护继电器 SSR 负载
A B C
单向晶闸管电路
用于驱动直流负载,电路导通时,晶闸管将流过 直流电流 交流驱动直流的优点:当晶闸管发生短路故障 时,直流负载不会动作,增强故障-安全性
IN
整流 平滑
继电器
采用晶体管推挽输出的动态电路
V=24V,30V IN
继电器
采用光控可控硅的电路
V=24V
IN 继电器
无接点安全性输出接口电路
目前还没有一种具有故障-安全的固态器 件可用来构成安全控制电路,而需要采用 非安全的故态器件和相应的故障检测电路 来实现。 输出接口电路
双向晶闸管电路 单向晶闸管电路 采用矩形磁滞回环作检测回线的电路 瞬时导通晶闸管电路 四线制道岔控制电路的无接点化控制方法 无接点四线制道岔表示电路
数据安全性保障
采用不对称码元表示涉安信息
在具有2n状态的码字集合中,仅取少量的码字 构成一个子集,代表有意义的码字,而其他的 代码为非法代码,同时这种代码要有故障-安 全特性
危险测码字(继电器吸起) 0 1 0 1 0 1 0 1 安全测码字(继电器落下) 1 0 1 0 1 0 1 0 非法码字(继电器落下) x x x x x x x x
判决 选择
动态冗余系统的结构
自检互检法结构
特点-在模块内的 某类故障仅靠自检 不能检出时用两个 模块互相检测的方 法予以补偿 冗余管理机构-类 似于识别器,能识 别出哪个模块发生 了故障
模块A 输入
模块B
冗余管理机构
输出
故障检测与诊断方法
故障检测
指测试系统是否存在故障
故障诊断(故障测试)
不仅需要指出故障是否存在,还要确定故障发 生的地点 离线测试-用于系统设计验证、产品检测或系 统的维修 在线测试-系统工作同时进行
数据完好的正确性检验
数据不出现非法字 数据总量不发生差错 数据与数据间不出现不合理的逻辑联系 静态原始数据未发生变化 异地存储的多份代码相互之间不存在意义 上的不一致
程序运行安全性保障
程序没有编错 程序代码不错 程序执行不错 CPU运算不错
输入/输出安全性保障
输入/输出数据去向正确性保障,重在考 查计算机内所用的各种地址译码器。 输入/输出的安全性保障归结为地址计算 的正确性保障&物理寻址的安全性保障。
数据安全性保障
假定每一码元发生差错的概率是p,则无差错的 概率是1-p,整个代码无差错的概率为(1- p)n;则有k个差错的概率为
n! p k (1 − p ) n − k k!(n − k )!
危险比表示不对称性
pn δ= 1 − (1 − p ) n
当n=8时,δ=1/255≈4×10-3
关键数据异地多份存储
系统重组技术
指防止系统中的差错导致系统失效的各种技术 要求进行故障检测,然后做到故障复位,最后做 到系统恢复
冗余技术
冗余技术是故障掩蔽技术和系统重组技术 的基础,是容错技术的核心 硬件冗余的三种形式
静态冗余 动态冗余 混合冗余
静态冗余技术
静态冗余(屏蔽冗余)
通过冗余资源来隔离、掩盖或校正故障的影响,使故 障不能在输出种造成差错 基本机理是通过多数表决掩蔽发生的故障 系统为三取二系统(TMR系统) 表决器输出为
对于同一种有存储格式的代码也可以在内存种多 处存储,作为空间冗余的另一种方式 异地存储提高安全性在本质上时增加码位以使该 数据在程序运行过程中通过比较法或多数表决法 鉴别数据的合法性成为可能 数据存储最多不超过3份,并采用三中取二方式 即可
规范化数据结构与数据生成方式
通常对于系统的数据量大的特点,采用计算机辅 助设计的数据生成方式,以减少认为工作量和错 误。 数据结构实现规范化
冷备方式-要从断电状态切换,需要一定时间 温备方式-备机通电但不运行,减少了一定的等待时间 分布方式-两机共同担任不同的任务,故障时,一机降级 承担任务,其容错能力强,但会丧失些控制能力 热备方式-能满足其控制连续性、瞬时控制能力的要求
具备的能力
能检测出哪个模块发生了故障 发现故障后能及时驱动切换开关,将故障模块隔离,同时 将备用模块作为系统的输出
计 算 机
动态输入电路
VCCΒιβλιοθήκη IN 通 信 接 口1
GD1
GD1
BUS
0 GND
典型的安全性输出接口电路
输出接口电路
功率放大,将存于计算机内部的输出控制命令
代码-动/静 变换
软件方法 软硬件结合方法
动/静-电平转换
采用变压器的动态电路 采用晶体管推挽输出的动态电路 采用光控可控硅的电路
采用变压器的动态电路
三模系统需解决的问题
同步处理
表决的基本前提是同步条件 TMR有两种同步方式
硬件同步 共同时钟方式 时钟反馈调节方式 事件调节的同步方式 软件同步 属于松散同步 用软件算法来实现同步
三模系统需解决的问题
要使多模冗余系统的可靠性比单模结构的 高,必要条件是采用高可靠性的单模块构 成冗余系统 三模冗余技术可以在各种不同级别的模块 上应用