專利名稱：：一種可降級的三機(jī)冗余容錯(cuò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及基于嵌入式的三機(jī)冗余備份技術(shù)，具體涉及一種可降級的三機(jī)冗余容錯(cuò)系統(tǒng)。技術(shù)背景航空航天等領(lǐng)域的某些關(guān)鍵場合要求其子系統(tǒng)具備高可用性的同時(shí)還要求有很長的工作壽命比如溫度控制系統(tǒng)，對這些應(yīng)用而言，任何因控制系統(tǒng)故障所造成的損失都是無法承受的。傳統(tǒng)的釆用雙機(jī)冗余的控制系統(tǒng)存在以下不足如雙機(jī)熱備份，雖然能減少單機(jī)故障時(shí)主備機(jī)之間的切換時(shí)間，但是系統(tǒng)工作壽命會明顯下降；雙機(jī)冷備份或溫備份，雖然能獲得較長的工作壽命，但是單機(jī)故障時(shí)系統(tǒng)恢復(fù)的時(shí)間相對較長，且以上兩種方案均不能達(dá)到深空探測等項(xiàng)目所要求的可靠性和工作壽命。而傳統(tǒng)的采用三機(jī)冗余的系統(tǒng)通過表決的方法只能達(dá)到容許一個(gè)單機(jī)永久性故障的要求，對于航天應(yīng)用中的一些突發(fā)情況可能導(dǎo)致的雙機(jī)同時(shí)故障沒有應(yīng)對能力，其容錯(cuò)能力和壽命均受局限。
發(fā)明內(nèi)容本發(fā)明的技術(shù)解決問題克服現(xiàn)有技術(shù)的不足，提供一種具有高可靠性和長壽命的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)。本發(fā)明的技術(shù)解決方案一種可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，由A機(jī)、B機(jī)和C機(jī)三個(gè)結(jié)構(gòu)相同的單機(jī)、公共存儲器、仲裁切換單元及三機(jī)的輸出驅(qū)動器組成；A機(jī)、B機(jī)和C機(jī)通過讀寫公共存儲器內(nèi)的單機(jī)輸出結(jié)果實(shí)現(xiàn)三機(jī)間處理結(jié)果的交換，從而進(jìn)行三機(jī)表決；此外，A機(jī)、B機(jī)和C機(jī)還能通過讀寫公共存儲器內(nèi)的進(jìn)程信息實(shí)現(xiàn)三機(jī)或雙機(jī)的同步；A機(jī)、B機(jī)、C機(jī)之間互相連接，彼此都能讀取對方當(dāng)前是否正常工作的狀態(tài)信息；A機(jī)、B機(jī)、C機(jī)還與仲裁切換單元連接，向仲裁切換單元提供自身狀態(tài)信息，由仲裁切換單元協(xié)調(diào)進(jìn)行三機(jī)工作/雙機(jī)工作/單機(jī)工作的冗余降級以及單機(jī)工作/雙機(jī)工作/三機(jī)工作的冗余系統(tǒng)重構(gòu)，仲裁切換單元還連接于三個(gè)的輸出驅(qū)動器，決定A機(jī)、B機(jī)和C機(jī)對輸出線的使用權(quán)，對于正常工作的三機(jī)，輸出具有優(yōu)先級順序依次為A機(jī)一B機(jī)一C機(jī)。公共存儲器為三口RAM，包含三個(gè)單機(jī)處理結(jié)果存儲區(qū)和進(jìn)程信息存儲區(qū)兩部分，A機(jī)、B機(jī)和C機(jī)在處理結(jié)果存儲區(qū)和進(jìn)程信息存儲區(qū)內(nèi)有相對獨(dú)立的存儲空間，處理結(jié)果存儲區(qū)用于存儲單fl的處理結(jié)果，進(jìn)程信息存儲區(qū)用于存儲單機(jī)的狀'態(tài)信息。單機(jī)的硬件單元包括CPU模塊、供配電模塊、數(shù)據(jù)采集模塊、存儲模塊、輸出模塊和數(shù)據(jù)接口模塊；軟件模塊包括脈沖檢測模塊、表決器、自檢測模塊。供配電模塊主要作用是在仲裁切換單元的控制下完成單機(jī)重啟或永久斷電將單機(jī)切出的操作。存儲模塊存儲待執(zhí)行的程序和CPU模塊處理結(jié)果。數(shù)據(jù)采集模塊負(fù)責(zé)將輸入數(shù)據(jù)轉(zhuǎn)換為數(shù)字量輸入給CPU。輸出模塊的作用為將CPU模塊的輸出轉(zhuǎn)化為所需的輸出信號類型。數(shù)據(jù)接口模塊實(shí)現(xiàn)CUP模塊與公共存儲器及容錯(cuò)冗余控制器的數(shù)據(jù)交換。脈沖檢測模塊的作用是檢測來自仲裁切換單元發(fā)出的采樣脈沖信號，作為CPU模塊一個(gè)采樣處理周期的開始；表決器采用三取二多數(shù)表決方式，表決器模塊執(zhí)行本機(jī)輸出結(jié)果和表決器結(jié)果比對的任務(wù)；CPU模塊首先采集輸入數(shù)據(jù)并進(jìn)行運(yùn)算等處理，處理完后將結(jié)果存入公共存儲器內(nèi)的單機(jī)處理結(jié)果存儲區(qū)，同時(shí)完成對公共存儲器的處理結(jié)果存儲區(qū)和輸出驅(qū)動器的輸出端口的自檢，僅當(dāng)公共存儲器的處理結(jié)果存儲區(qū)和輸出驅(qū)動器的輸出端口自檢結(jié)果均正常時(shí)，CPU模塊才認(rèn)為單機(jī)自檢通過，并向仲裁切換單元發(fā)出心跳信號。對公共存儲器的處理結(jié)果存儲區(qū)的自檢方法為在單機(jī)執(zhí)行完存儲處理結(jié)果后，CPU模塊通過總線讀出存儲在公共存儲器中處理結(jié)果存儲區(qū)內(nèi)的處理結(jié)果，.然后與CPU模塊緩沖區(qū)內(nèi)的處理結(jié)果進(jìn)行比對，如果一致則表示檢測結(jié)果正常，否則檢測結(jié)果異常。對輸出驅(qū)動器的輸出端口的自檢方法為CPU模塊通過1/0線向輸出驅(qū)動器發(fā)送一位數(shù)字量，在驅(qū)動器一端的1/0線設(shè)置一個(gè)回送機(jī)構(gòu)，將發(fā)送的數(shù)據(jù)位回送給CPU模塊，CPU模塊對發(fā)出的數(shù)據(jù)和接收到的數(shù)據(jù)進(jìn)行比對，如果二者一致則表明單機(jī)與輸出驅(qū)動器之間的連接完好，否則認(rèn)為單機(jī)與輸出驅(qū)動器之間的連接存在故障。表決器釆用冗余設(shè)計(jì)，確保在單機(jī)中的一個(gè)表決器故障時(shí)，系統(tǒng)仍能進(jìn)行正常的三機(jī)表決。仲裁切換單元包括時(shí)鐘模塊、容錯(cuò)冗余控制器、優(yōu)先級控制器；時(shí)鐘模塊為三個(gè)單機(jī)中的CPU時(shí)鐘與容錯(cuò)冗余控制器提供時(shí)鐘信號，從而實(shí)現(xiàn)全局時(shí)鐘同步，同時(shí)時(shí)鐘模塊還向三個(gè)單機(jī)發(fā)送采樣脈沖信號；優(yōu)先級控制器與容錯(cuò)冗余控制器相連接，并讀取容錯(cuò)冗余控制器內(nèi)的三個(gè)單機(jī)輸出允許信號；容錯(cuò)冗余控制器為整個(gè)冗余容錯(cuò)系統(tǒng)的核心，它與三個(gè)單機(jī)進(jìn)行交互，對單機(jī)的輸出結(jié)果連續(xù)錯(cuò)誤、連續(xù)重啟進(jìn)行計(jì)數(shù)，還對單機(jī)自檢輸出的心跳信號進(jìn)行監(jiān)測，經(jīng)過邏輯判斷對單機(jī)的供配電單元發(fā)出重啟指令以及永久性切出指令。本發(fā)明與現(xiàn)有技術(shù)相比的優(yōu)點(diǎn)在于-(1)采用具有優(yōu)先級的可降級和重構(gòu)的三機(jī)容錯(cuò)冗余技術(shù)，相對于傳統(tǒng)的三機(jī)冗余控制系統(tǒng)，本發(fā)明中的冗余容錯(cuò)系統(tǒng)采用了一種通過軟硬件結(jié)合的自身具^r容錯(cuò)功能的單機(jī)系統(tǒng)，避免了系統(tǒng)中的單點(diǎn)故障，此冗余容錯(cuò)系統(tǒng)允許有兩個(gè)單機(jī)同時(shí)出現(xiàn)暫歇性故障或是永久性故障，因此與傳統(tǒng)的三機(jī)容錯(cuò)冗余系統(tǒng)相比大大提高了系統(tǒng)的可靠性，此系統(tǒng)可以進(jìn)行三機(jī)工作/雙機(jī)工作/單機(jī)工作降級，并且在一定條件下可以進(jìn)行單機(jī)工作/雙機(jī)工作/三機(jī)工作重構(gòu)，使系統(tǒng)具有較長的可靠工作壽命。(2)本發(fā)明采用外部的三口RAM作為系統(tǒng)三個(gè)單機(jī)的程序進(jìn)程信息和處理器結(jié)果的公共存儲區(qū)，通過這種方式減少了三個(gè)單機(jī)之間互聯(lián)，加強(qiáng)了各個(gè)單機(jī)的獨(dú)立性，減小了關(guān)聯(lián)故障發(fā)生的可能性，采用讀進(jìn)程信息進(jìn)行同步的方式與傳統(tǒng)的雙緩沖和三緩沖方式相比使系統(tǒng)具有實(shí)時(shí)性更強(qiáng)、不間斷工作的優(yōu)點(diǎn)。(3)本發(fā)明中采用了軟硬件相結(jié)合的自檢方法實(shí)現(xiàn)了對公共模塊讀寫和輸出線路的檢測，使系統(tǒng)整體的可靠性得到提升。(4)本發(fā)明單機(jī)中的表決器采用冗余設(shè)計(jì)，確保了在單機(jī)中的一個(gè)表決器故障時(shí)，系統(tǒng)仍能進(jìn)行正常的三機(jī)表決，進(jìn)一步提高了系統(tǒng)的可靠性。(5)此外，本發(fā)明采用商用領(lǐng)域已經(jīng)應(yīng)用成熟的FPGA芯片以及硬件編成技術(shù)來實(shí)現(xiàn)系統(tǒng)的容錯(cuò)控制器，單部件的可靠性很高，并且使整個(gè)容錯(cuò)冗余系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)變得更加方便可行。圖1為本發(fā)明可降級的三機(jī)冗余容錯(cuò)系統(tǒng)的組成示意圖；圖2為本發(fā)明的單機(jī)中各模塊的組成示意圖；圖3為本發(fā)明中公共存儲器的自檢方法示意圖；圖4為本發(fā)明中輸出端口自檢方法示意圖；圖5為本發(fā)明的仲裁模塊中優(yōu)先級控制器邏輯電路圖；圖6為本發(fā)明的系統(tǒng)衛(wèi)作狀態(tài)轉(zhuǎn)換圖。具體實(shí)施方式如圖l所示，本發(fā)明包括A機(jī)IOO,B機(jī)200，C機(jī)300，仲裁切換單元400，公共存儲500，三個(gè)單機(jī)的輸出驅(qū)動器600。如圖l、2所示，A機(jī)IOO，B機(jī)200，C機(jī)300中單機(jī)均具有相同的結(jié)構(gòu)。以A機(jī)為例A機(jī)100硬件結(jié)構(gòu)包含CPU模塊lOl、供配電模塊102、存儲模塊103、數(shù)據(jù)采集模塊104、輸出模塊105和數(shù)據(jù)接口模塊106;軟件模塊包含自檢測模塊107、表決器108和脈沖檢測單元109。供配電模塊102主要作用是在仲裁切換單元400的控制下完成單機(jī)重啟或永久斷電將單機(jī)切出的操作。存儲模塊103包含程序存儲區(qū)和數(shù)據(jù)存儲區(qū)兩個(gè)部分。數(shù)據(jù)采集模塊104可根據(jù)輸入數(shù)據(jù)的實(shí)際類型進(jìn)行設(shè)計(jì)，如'果輸入為模擬量則對輸入信號進(jìn)行A/D轉(zhuǎn)換，然后輸入給CPU模塊，如果輸入為數(shù)字量則可以將數(shù)據(jù)直接輸入給CPU模塊101。輸出模塊105的作用為將CPU模塊101的輸出轉(zhuǎn)化為所需的輸出信號類型。數(shù)據(jù)接口模塊106主要實(shí)現(xiàn)CPU模塊101與公共存儲器500的數(shù)據(jù)交換和CPU模塊101與容錯(cuò)冗余控制器402的數(shù)據(jù)交換。脈沖檢測模塊109的作用是檢測來自仲裁切換單元400的時(shí)鐘模塊401發(fā)出的采樣脈沖信號，以該采樣脈沖信號用于作為CPU模塊101—個(gè)采樣處理周期T的開始；表決器108通過軟件實(shí)現(xiàn)，采用的是三取二多數(shù)表決方式，此處的表決器還執(zhí)行本機(jī)輸出結(jié)果和表決器結(jié)果比對的任務(wù)；CPU模塊101對采信后的輸入數(shù)據(jù)進(jìn)行處理，處理完后將結(jié)果存入公共存儲器內(nèi)的處理器結(jié)果存儲區(qū)，同時(shí)完成對公共存儲器的處理結(jié)果存儲區(qū)和輸出驅(qū)動器的輸出端口的自檢。對公共存儲器的處理結(jié)果存儲區(qū)自檢的方法如圖3所示，在CPU模塊101執(zhí)行完存儲處理結(jié)果后，CPU模塊101通過總線讀出存儲在公共存儲器500內(nèi)處理器結(jié)果存儲區(qū)中的處理器結(jié)果，然后與CPU模塊101緩沖區(qū)內(nèi)的處理結(jié)果進(jìn)行比對，如果一致則表示檢測結(jié)果正常，否則檢測結(jié)果異常。對輸出驅(qū)動器600的輸出端口的自檢方法如圖4所示CPU模塊101通過I/O線向輸出驅(qū)動器600發(fā)送一位數(shù)字量，在輸出驅(qū)動器600—端的I/O線設(shè)置一個(gè)回送機(jī)構(gòu)，將發(fā)送的數(shù)據(jù)位回送給CPU模塊101，CPU模塊101對發(fā)出的和接收到的數(shù)據(jù)進(jìn)行比對，如果二者一致則表明A機(jī)100與輸出驅(qū)動器600之間的連接完好，否則A機(jī)100與輸出驅(qū)動器600之間的連接存在一定故障。當(dāng)且僅當(dāng)公共存儲區(qū)檢測和輸出端口檢測結(jié)果均正常時(shí)，CPU模塊101才會向仲裁切換單元400發(fā)出心跳信號。如圖l、5所示，仲裁切換單元400采用可編程器件FPGA，其功能模塊包括時(shí)鐘模塊401、容錯(cuò)冗余控制器402、優(yōu)先級控制器403。優(yōu)先級控制器403與容錯(cuò)冗余控制器402相連接，并讀取容錯(cuò)冗余控制器402內(nèi)的輸出允許信號OA、OB和OC。時(shí)鐘模塊401內(nèi)包含晶振、計(jì)數(shù)器、譯碼器，A機(jī)、B機(jī)和C機(jī)的CPU時(shí)鐘與容錯(cuò)冗余控制器402內(nèi)的看門狗時(shí)鐘共用時(shí)鐘模塊內(nèi)晶振產(chǎn)生的脈沖信號，實(shí)現(xiàn)全局時(shí)鐘同步。通過設(shè)定時(shí)鐘模塊401內(nèi)的計(jì)數(shù)器的值，可以實(shí)現(xiàn)定時(shí)向A機(jī)、B機(jī)、C機(jī)發(fā)送周期為T的采樣脈沖信號。容錯(cuò)冗余控制器402是整個(gè)冗余容錯(cuò)系統(tǒng)的核心，它的主要功能是與三機(jī)進(jìn)行交互，對單機(jī)的輸出結(jié)果連續(xù)錯(cuò)誤、連續(xù)重啟等進(jìn)行計(jì)數(shù)，還對單機(jī)自檢模塊的心跳信號進(jìn)行監(jiān)測，經(jīng)過邏輯判斷對單機(jī)的供配電單元發(fā)出重啟指令以及永久性切出指令。其具體實(shí)現(xiàn)方法為內(nèi)部設(shè)有四組標(biāo)志位寄存器和兩組計(jì)數(shù)器以及三個(gè)看門狗電路。四組標(biāo)志位分別是允許重啟標(biāo)志RA、RB、RC，記錄當(dāng)前是否處于重啟狀態(tài)，RX=1(此處X代表A、B或C，以下同)表示允許單機(jī)因?yàn)橹俨们袚Q單元連續(xù)三個(gè)處理周期未接受到心跳信號而對單機(jī)發(fā)送重啟指令，RX-0時(shí)，不允許單機(jī)因?yàn)橹俨们袚Q單元連續(xù)三個(gè)處理周期未接受到心跳信號而對單機(jī)發(fā)送重啟指令，設(shè)置允許重啟標(biāo)志可以防止某一單機(jī)由于處于重啟狀態(tài)使得仲裁切換單元連續(xù)三個(gè)處理周期接收不到心跳信號而對單機(jī)重復(fù)發(fā)送重啟指令；單機(jī)是否切出標(biāo)志W(wǎng)EA、WEB、WEC，WEX=1表示單機(jī)還處于系統(tǒng)中，包括正常工作和重啟兩個(gè)狀態(tài)，WEXW表示單機(jī)永久性的切出；單機(jī)自檢完成標(biāo)志SA、SB、SC，記錄單機(jī)是否正常執(zhí)行了數(shù)據(jù)處理和自檢，當(dāng)SX=1時(shí)表示單機(jī)正常執(zhí)行了數(shù)據(jù)處理和自檢，否則默認(rèn)SX=0，值不變；單機(jī)輸出允許標(biāo)志0A、0B、0C，記錄單機(jī)是否允許輸出，0X=1表示允許該單機(jī)處理器結(jié)果作為輸出，0X=0表示不允許該單機(jī)處理器結(jié)果作為輸出，這組標(biāo)志位由優(yōu)先級控制器403讀取并進(jìn)行邏輯判斷。兩組組計(jì)數(shù)器分別為三機(jī)表決過程中單機(jī)輸出結(jié)果錯(cuò)誤計(jì)數(shù)器EA、EB、EC，當(dāng)EX大于單機(jī)輸出結(jié)果錯(cuò)誤最大允許次數(shù)EXmax值時(shí)容錯(cuò)冗余控制器會向單機(jī)發(fā)送重啟指令；連續(xù)重啟次數(shù)計(jì)數(shù)器CQA、CQB、CQC，當(dāng)單機(jī)連續(xù)重啟次數(shù)CQX大于給定值CQXmax時(shí)，冗余切換單元會向單機(jī)加斷電單元發(fā)送永久性斷電切出指令?？撮T狗電路設(shè)定為在三個(gè)周期內(nèi)未收到單機(jī)自檢模塊發(fā)出的心跳信號時(shí)就會向單機(jī)發(fā)送一個(gè)重啟請求信號RQX=1，當(dāng)RX-1時(shí)系統(tǒng)執(zhí)行重啟動作，當(dāng)RX=0時(shí)該重啟請求被屏蔽。優(yōu)先級控制器403在每個(gè)CPU處理周期內(nèi)讀取三機(jī)的輸出允許信號0A、0B、OC,通過邏輯運(yùn)算向輸出驅(qū)動器600發(fā)送使能信號ENA、ENB、ENC，優(yōu)先級控制器判斷邏輯電路如圖5所示。如圖5所示，優(yōu)先級控制器判斷邏輯電路中0A、0B、QC為三機(jī)的輸出允許信號，值為1表示允許，值為0時(shí)表示不允許當(dāng)前CPU的處理結(jié)果作為輸出。ENA、ENB、ENC分別為三機(jī)CPU1/0線相連接的輸出控制器的輸出使能信號，ENX=1時(shí)表示CPUX1/0線上的數(shù)據(jù)輸出給外部的作動器。優(yōu)先級控制器的判斷邏輯表達(dá)式為￡^4=04，S\^=^i*C^，￡WC=^i*^*OC，這種邏輯所決定的系統(tǒng)輸出順序優(yōu)先級為A機(jī)一B機(jī)一C機(jī)。優(yōu)先級控制器邏輯真值表<table>tableseeoriginaldocumentpage9</column></row><table><table>tableseeoriginaldocumentpage10</column></row><table>ENA、ENB、ENC分別為三個(gè)輸出控制器的輸出時(shí)能信號，確保任何一個(gè)CPU周期內(nèi)只能有一個(gè)單機(jī)對系統(tǒng)具有輸出線使用權(quán)。如圖1所示，公共存儲器500采甩的是三口RAM,支持三機(jī)處理器同時(shí)對它進(jìn)行讀寫操作，包含三個(gè)單機(jī)處理結(jié)果存儲區(qū)和進(jìn)程信息存儲區(qū)兩部分，A機(jī)、B機(jī)和C機(jī)在處理結(jié)果存儲區(qū)和進(jìn)程信息存儲區(qū)內(nèi)有相對獨(dú)立的存儲空間，處理結(jié)果存儲區(qū)用于存儲單機(jī)的處理結(jié)果，進(jìn)程信息存儲區(qū)用于存儲單機(jī)的狀態(tài)信息。在系統(tǒng)上電初始化的時(shí)候，在處理器數(shù)據(jù)存儲區(qū)和進(jìn)程信息存儲區(qū)內(nèi)為三機(jī)分配獨(dú)立的存儲地址空間。存儲地址空間分配信息為三機(jī)所共有，從而保證了任何一個(gè)單機(jī)均能正確地讀取另外兩個(gè)單機(jī)的處理器輸出結(jié)果以及相應(yīng)的進(jìn)程信息。如圖1所示，輸出驅(qū)動器600的輸入端為三機(jī)的1/0輸入和使能端輸入，輸出端具有三態(tài)輸出、輸出保持能力，通過對三機(jī)的1/0輸入信號進(jìn)行功率放大來控制執(zhí)行機(jī)構(gòu)(如繼電器)的動作，同時(shí)可接優(yōu)先級控制器的輸出來控制輸出驅(qū)動器的輸出狀態(tài)(高電平輸出、低電平輸出和高阻輸出)，這種方法解決了總線爭用問題以及輸出干擾問題。如圖6所示，本發(fā)明中單機(jī)(A機(jī)、B機(jī)或C機(jī)，三機(jī)的軟件工作流程一致)的軟件工作流程圖，在整個(gè)系統(tǒng)初始化上電階段單機(jī)狀態(tài)信號為SA-1，SB=1，SC=1，單機(jī)讀取狀態(tài)信息，如果SA=1則讀取A機(jī)對應(yīng)的進(jìn)程信息，否則如果SB=1則讀取B機(jī)對應(yīng)的進(jìn)程信息，再否則如果SC=1則讀取C機(jī)對應(yīng)的進(jìn)程信息。同步完成后設(shè)置單機(jī)允許重啟動作信號RX-1。此時(shí)，單機(jī)的輸入脈沖信號檢測單元一直處于檢測狀態(tài)，當(dāng)檢測到定時(shí)器以T為周期發(fā)出的脈沖信號時(shí)，設(shè)置SX-O，輸出允許信號(《=0，CPU讀取輸入16位總線上的數(shù)據(jù)，進(jìn)行處理，存入公共存儲器的處理器輸出結(jié)果存儲區(qū)。緊接著系統(tǒng)進(jìn)行自檢，當(dāng)公共存儲區(qū)檢測和輸出端口檢測結(jié)果均正常時(shí)，CPU才會向仲裁切換單元發(fā)出心跳信號并且置SX=i，連續(xù)重啟計(jì)數(shù)器CQX清零。單機(jī)進(jìn)行邏輯判斷7=^￡4*『五5，『￡0(&4*幼+&4"。+幼，5<:),決定是否進(jìn)行三機(jī)表決。當(dāng)Y=0時(shí)表示不進(jìn)行三級表決，設(shè)置本機(jī)OX-SX，等待下一脈沖信號。當(dāng)Y=l時(shí)表示進(jìn)行三機(jī)表決，即三機(jī)均在系統(tǒng)內(nèi)且至少有兩機(jī)正常通過自檢，單機(jī)讀取另外兩機(jī)位于公共存儲區(qū)內(nèi)的處理器輸出結(jié)果，通過自身的軟件進(jìn)行三取二多數(shù)一致表決，緊接著將表決器結(jié)果和自身輸出結(jié)果進(jìn)行一致性比較。如果一致則置ox-i，單機(jī)輸出結(jié)果錯(cuò)誤計(jì)數(shù)器'Ex請零;等待下一周期的脈沖信信號；如果結(jié)果不一致則置0X=0，單機(jī)輸出結(jié)果錯(cuò)誤計(jì)數(shù)器EX加l，等待下一周期的脈沖信號，當(dāng)單機(jī)輸出結(jié)果錯(cuò)誤計(jì)數(shù)器EX大于設(shè)定值單機(jī)輸出結(jié)果錯(cuò)誤最大允許次數(shù)EXmax時(shí)，單機(jī)則進(jìn)入重啟狀態(tài)，設(shè)置RX=0，連續(xù)重啟計(jì)數(shù)器CQX加1。容錯(cuò)冗余控制器402內(nèi)設(shè)有用于接收單機(jī)自檢的發(fā)出的心跳信號的看門狗電路，如果看門狗在三個(gè)周期內(nèi)沒有收到心跳信號且RX-1,則單機(jī)進(jìn)入重啟狀態(tài)，并設(shè)置RX-0,連續(xù)重啟計(jì)數(shù)器加1。重啟過程為，向單機(jī)的供配電單元發(fā)送命令進(jìn)行斷電-加電操作，單機(jī)重啟后讀取SA、SB、SC的值，判斷后讀取當(dāng)前正常工if^L優(yōu)先級最高的單機(jī)的工作進(jìn)輕信息進(jìn)行同步，同步完成后待下一脈沖信號到來后切入系統(tǒng)恢復(fù)正常工作。當(dāng)連續(xù)重啟計(jì)數(shù)器CQX技術(shù)值大于設(shè)定值最大允許連續(xù)重啟次數(shù)CQXmax時(shí)，仲裁切換單元400向單機(jī)的供配電單元發(fā)出永久性斷電操作，并且設(shè)置WEX=0,SX=0，0X=0(WEX=1表示單機(jī)處于正常工作或重啟狀態(tài)，WEXW表示單機(jī)己被永久性的切出系統(tǒng))。如圖6所示為系統(tǒng)工作狀態(tài)轉(zhuǎn)換圖，系統(tǒng)大體包含三種狀態(tài)系統(tǒng)正常工作、系統(tǒng)暫時(shí)性實(shí)效、系統(tǒng)失效。單機(jī)由正常工作狀態(tài)變?yōu)橹貑顟B(tài)的轉(zhuǎn)換條件為單機(jī)出現(xiàn)連續(xù)輸出結(jié)果錯(cuò)誤次數(shù)大于設(shè)定值或者仲裁切換單元連續(xù)三個(gè)周期沒收到單機(jī)心跳信號的情況時(shí)，當(dāng)單機(jī)經(jīng)過重啟后恢復(fù)正常則單機(jī)由重啟狀態(tài)轉(zhuǎn)為正常工作狀態(tài)。當(dāng)單機(jī)連續(xù)重啟且連續(xù)重啟的次數(shù)超過設(shè)定值時(shí)，單機(jī)便會永久性的被切出。系統(tǒng)的正常工作狀態(tài)包含三機(jī)工作，雙機(jī)正常、一機(jī)重啟，一機(jī)工作、兩機(jī)重啟，雙機(jī)工作、一機(jī)切出，一機(jī)工作、一機(jī)重啟、一機(jī)切出，一機(jī)工作、兩機(jī)切出。系統(tǒng)失效狀態(tài)包含兩機(jī)重啟一機(jī)切出、一機(jī)重.啟兩機(jī)切出、三機(jī)均切出。由仲裁切換單元協(xié)調(diào)進(jìn)行各工作狀態(tài)之間的轉(zhuǎn)換，進(jìn)行系統(tǒng)降級和重構(gòu)。上述的過程具體實(shí)現(xiàn)如下仲裁切換單元協(xié)調(diào)進(jìn)行三機(jī)工作/雙機(jī)工作/單機(jī)工作的冗余系統(tǒng)降級的實(shí)現(xiàn)為(1)系統(tǒng)初始狀態(tài)為三機(jī)均正常工作，當(dāng)仲裁切換單元監(jiān)測到某一單機(jī)出現(xiàn)輸出結(jié)果連續(xù)錯(cuò)誤次數(shù)大于設(shè)定值或者單機(jī)連續(xù)三個(gè)周期自檢失敗的情況時(shí)，向單機(jī)的供配電單元發(fā)送重啟指令，系統(tǒng)處于雙機(jī)工作、一機(jī)重啟的狀態(tài)，此時(shí)系統(tǒng)仍進(jìn)行三機(jī)表決，若故障的單機(jī)連續(xù)重啟且連續(xù)重啟的次數(shù)大于設(shè)定值時(shí)，仲裁切換單元對單機(jī)發(fā)出永久斷電指令，將其永久性切出，系統(tǒng)由三機(jī)工作降級為雙機(jī)工作。(2)系統(tǒng)為雙機(jī)工作、一機(jī)重啟狀態(tài)或雙機(jī)工作、一機(jī)切出的狀態(tài)時(shí)，當(dāng)仲裁切換單元檢測到某正常單機(jī)故障并對其發(fā)出重啟命令，系統(tǒng)進(jìn)入一機(jī)工作、兩機(jī)重啟或一機(jī)工作、一機(jī)重啟、一機(jī)切出的狀態(tài)，若重啟單機(jī)經(jīng)一定次數(shù)重啟后均未能恢復(fù)正常，則由仲裁切換單元將故障機(jī)永久性切出，系統(tǒng)由雙機(jī)工4乍降級'為單機(jī)工作'。(3)系統(tǒng)為三機(jī)工作狀態(tài)時(shí)，當(dāng)仲裁切換單元檢測到有兩單機(jī)均連續(xù)自檢失敗，且次數(shù)均超過三次，仲裁切換單元向這兩個(gè)單機(jī)同時(shí)發(fā)出重啟命令，系統(tǒng)進(jìn)入一機(jī)工作、兩機(jī)重啟的狀態(tài)，若重啟的兩個(gè)單機(jī)經(jīng)一定次數(shù)的重啟均未能恢復(fù)正常，則由仲裁切換單元將故障機(jī)永久性切出，系統(tǒng)由三機(jī)工作直接降級為單機(jī)工作。仲裁切換單元協(xié)調(diào)進(jìn)行單機(jī)工作/雙機(jī)工作/三機(jī)工作的冗余系統(tǒng)重構(gòu)的實(shí)現(xiàn)為(1)系統(tǒng)的單機(jī)工作狀態(tài)包含一機(jī)工作、兩機(jī)重啟和一機(jī)正常、一機(jī)重啟、一機(jī)切出兩種狀態(tài)，當(dāng)仲裁切換單元檢測到某一重啟單機(jī)正常通過自檢時(shí)，系統(tǒng)即進(jìn)入雙機(jī)工作狀態(tài)，此時(shí)系統(tǒng)由單機(jī)工作重構(gòu)為雙機(jī)工作。(2)當(dāng)系統(tǒng)'為雙機(jī)工作、一機(jī)重啟的雙機(jī)工作狀態(tài)時(shí)，如果仲裁切換單元檢測到重啟單機(jī)正常通過自檢且輸出結(jié)果與表決結(jié)果一致，則系統(tǒng)由雙機(jī)工作重構(gòu)為三機(jī)工作。(3)當(dāng)系統(tǒng)為一機(jī)工作、兩機(jī)重啟時(shí)，若仲裁切換單元檢測到重啟的故障機(jī)均正常通過自檢，則系統(tǒng)由單機(jī)工作直接重構(gòu)為三機(jī)工作。(4)當(dāng)系統(tǒng)為一機(jī)重啟、兩機(jī)切出或兩機(jī)重啟、一機(jī)切出的系統(tǒng)暫時(shí)性失效狀態(tài)時(shí)，如果某一重啟單機(jī)在限定次數(shù)內(nèi)重啟后正常通過了自檢則系統(tǒng)由暫時(shí)性失效狀態(tài)重構(gòu)為單機(jī)工作狀態(tài)。權(quán)利要求1、一種可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于它由A機(jī)、B機(jī)和C機(jī)三個(gè)結(jié)構(gòu)相同的單機(jī)、公共存儲器、仲裁切換單元及三機(jī)的輸出驅(qū)動器組成；A機(jī)、B機(jī)和C機(jī)通過讀寫公共存儲器內(nèi)的單機(jī)輸出結(jié)果實(shí)現(xiàn)三機(jī)間處理結(jié)果的交換，從而進(jìn)行三機(jī)表決；此外，A機(jī)、B機(jī)和C機(jī)還能通過讀寫公共存儲器內(nèi)的進(jìn)程信息實(shí)現(xiàn)三機(jī)或雙機(jī)的同步；A機(jī)、B機(jī)、C機(jī)之間互相連接，彼此都能讀取對方當(dāng)前是否正常工作的狀態(tài)信息；A機(jī)、B機(jī)、C機(jī)還與仲裁切換單元連接，向仲裁切換單元提供自身狀態(tài)信息，由仲裁切換單元協(xié)調(diào)進(jìn)行三機(jī)工作/雙機(jī)工作/單機(jī)工作的冗余系統(tǒng)降級以及單機(jī)工作/雙機(jī)工作/三機(jī)工作的冗余系統(tǒng)重構(gòu)，仲裁切換單元還連接于三個(gè)的輸出驅(qū)動器，決定A機(jī)、B機(jī)和C機(jī)對輸出線的使用權(quán)，對于正常工作的三機(jī)，輸出具有優(yōu)先級順序依次為A機(jī)-B機(jī)-C機(jī)。2、根據(jù)權(quán)利要求l所述的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于所述的公共存儲器為三口RAM，包含三個(gè)單機(jī)處理結(jié)果存儲區(qū)和進(jìn)程信息存儲區(qū)兩部分，A機(jī)、B機(jī)和C機(jī)在處理結(jié)果存儲區(qū)和進(jìn)程信息存儲區(qū)內(nèi)有相對獨(dú)立的存儲空間，處理結(jié)果存儲區(qū)用于存儲單機(jī)的處理結(jié)果，進(jìn)程信息存儲區(qū)用于存儲單機(jī)的狀態(tài)信息。3、根據(jù)權(quán)利要求1所述的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于所述的每個(gè)單機(jī)的硬件單元包括CPU模塊、供配電模塊、數(shù)據(jù)采集模塊、存儲模塊、輸出模塊和數(shù)據(jù)接口模塊；軟件模塊包括脈沖檢測模塊、表決器、自檢測模塊；供配電模塊在仲裁切換單元的控制下完成單機(jī)重啟或永久斷電將單機(jī)切出的操作，存儲模塊存儲待執(zhí)行的程序和CPU模塊處理結(jié)果，數(shù)據(jù)采集模塊負(fù)責(zé)將輸入數(shù)據(jù)轉(zhuǎn)換為數(shù)字量輸入給CPU模塊，輸出模塊將CPU模塊的輸出轉(zhuǎn)化為所需的輸出信號類型，數(shù)據(jù)接口模塊實(shí)現(xiàn)CUP模塊與公共存儲器及容錯(cuò)冗余控制器的數(shù)據(jù)交換；脈沖檢測模塊檢測來自仲裁切換單元發(fā)出的采樣脈沖信號，作為CPU模塊一個(gè)采樣處理周期的開始；表決器采用三取二多數(shù)表決方式，表決器模塊執(zhí)行本機(jī)輸出結(jié)果和表決器結(jié)果比對的任務(wù)；CPU模塊首先采集輸入數(shù)據(jù)并進(jìn)行運(yùn)算等處理，處理完后將結(jié)果存入公共存儲器內(nèi)的單機(jī)處理結(jié)果存儲區(qū)，同時(shí)完成對公共存儲器的處理結(jié)果存儲區(qū)和輸出驅(qū)動器的輸出端口的自檢，僅當(dāng)公共存儲器的處理結(jié)果存儲區(qū)和輸出驅(qū)動器的輸出端口自檢結(jié)果均正常時(shí)，CPU模塊才認(rèn)為單機(jī)自檢通過，并向仲裁切換單元發(fā)出心跳信號。4、根據(jù)權(quán)利要求3所述的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于所述的對公共存儲器的處理結(jié)果存儲區(qū)的自檢方法為在單機(jī)執(zhí)行完存儲處理結(jié)果后，CPU模塊"it'過總線讀出存儲在公共存儲器中處理結(jié)果存儲區(qū)內(nèi)的處理結(jié)果，然后與CPU模塊緩沖區(qū)內(nèi)的處理結(jié)果進(jìn)行比對，如果一致則表示檢測結(jié)果正常，否則檢測結(jié)果異常。5、根據(jù)權(quán)利要求3所述的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于所述的對輸出驅(qū)動器的輸出端口的自檢方法為CPU模塊通過1/0線向輸出驅(qū)動器發(fā)送一位數(shù)字量，在驅(qū)動器一端的1/0線設(shè)置一個(gè)回送機(jī)構(gòu)，將發(fā)送的數(shù)據(jù)位回送給CPU模塊，CPU模塊對發(fā)出的數(shù)據(jù)和接收到的數(shù)據(jù)進(jìn)行比對，如果二者一致則表明單機(jī)與輸出驅(qū)動器之間的連接完好，否則認(rèn)為單機(jī)與輸出驅(qū)動器之間的連接存在故障。6、根據(jù)權(quán)利要求3所述的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于所述的表決器采用冗余設(shè)計(jì)，確保在單機(jī)中的一個(gè)表決器故障時(shí)，系統(tǒng)仍能進(jìn)行正常的三機(jī)表決。7、根據(jù)權(quán)利要求l所述的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于所述仲裁切換、單元包括時(shí)鐘模塊、容錯(cuò)冗余控制器、優(yōu)先級控制器；時(shí)鐘模塊為三個(gè)單機(jī)中的CPU模塊時(shí)鐘與容錯(cuò)冗余控制器提供時(shí)鐘信號，從而實(shí)現(xiàn)全局時(shí)鐘同步，同時(shí)時(shí)鐘模塊還向三個(gè)單機(jī)發(fā)送采樣脈沖信號；優(yōu)先級控制器與容錯(cuò)冗余控制器相連接，并讀取容錯(cuò)冗余控制器內(nèi)的三個(gè)單機(jī)輸出允許信號；容錯(cuò)冗余控制器為孳個(gè)冗余容錯(cuò)系統(tǒng)的核心，它與三個(gè)單機(jī)進(jìn)行交互，對單機(jī)的輸出結(jié)果連續(xù)錯(cuò)誤、連續(xù)重啟進(jìn)行計(jì)數(shù)，還對單機(jī)自檢輸出的心跳信號進(jìn)行監(jiān)測，經(jīng)過邏輯判斷對單機(jī)的供配電單元發(fā)出重啟指令以及永久性切出指令。8、根據(jù)權(quán)利要求1所述的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于所述的由仲裁切換單元協(xié)調(diào)進(jìn)行三機(jī)工作/雙機(jī)工作/單機(jī)工作的冗余系統(tǒng)降級的實(shí)現(xiàn)為(1)系統(tǒng)初始狀態(tài)為三機(jī)工作，當(dāng)仲裁切換單元檢測到某一單機(jī)出現(xiàn)輸出結(jié)果連續(xù)錯(cuò)誤次數(shù)大于設(shè)定值或者單機(jī)連續(xù)三個(gè)周期自檢失敗的情況時(shí)，向單機(jī)的供配電單元發(fā)送重啟指令，系統(tǒng)處于雙機(jī)工作、一機(jī)重啟的狀態(tài)，此時(shí)系統(tǒng)仍進(jìn)行三機(jī)表決，若故障的單機(jī)連續(xù)重啟且連續(xù)重啟的次數(shù)大于設(shè)定值時(shí)，仲裁切換單元對單機(jī)發(fā)出永久斷電指令，將其永久性切出，系統(tǒng)由三機(jī)工作降級為雙機(jī)工作；(2)系統(tǒng)為雙機(jī)工作、一機(jī)重啟或雙機(jī)工作、一機(jī)切出的狀態(tài)時(shí)，當(dāng)仲裁切換單元檢測到某正常單機(jī)故障并對其發(fā)出重啟命令，系統(tǒng)進(jìn)入一機(jī)工作、兩機(jī)重啟或一機(jī)工作、一機(jī)重啟、一機(jī)切出的狀態(tài)，若重啟單機(jī)經(jīng)一定次數(shù)重啟后均未能恢復(fù)正常，則由仲裁切換單元將故障機(jī)永久性切出，系統(tǒng)由雙機(jī)工作降級為單機(jī)工作；(3)系統(tǒng)為三機(jī)工作狀態(tài)時(shí)，當(dāng)仲裁切換單元檢測到有兩單機(jī)均連續(xù)自檢失敗，且次數(shù)均超過三次，仲裁切換單元向這兩個(gè)單機(jī)同時(shí)發(fā)出重啟命令，系統(tǒng)進(jìn)入一機(jī)工作、兩機(jī)重啟的狀態(tài)，若-重后的兩個(gè)單機(jī)經(jīng)一定次數(shù)的重啟均未能恢復(fù)正常，"則由仲裁切換單元將故障機(jī)永久性切出，系統(tǒng)由三機(jī)工作直接降級為單機(jī)工作。9、根據(jù)權(quán)利要求1所述的可降級的三機(jī)冗余容錯(cuò)系統(tǒng)，其特征在于所述的由仲裁切換單元協(xié)調(diào)進(jìn)行單機(jī)工作/雙機(jī)工作/三機(jī)工作的冗余系統(tǒng)重構(gòu)的實(shí)現(xiàn)為(1)系統(tǒng)的單機(jī)工作狀態(tài)包含一機(jī)工作、.兩機(jī)重啟和一機(jī)正常、一機(jī)重啟、一機(jī)切出兩種狀態(tài)，當(dāng)仲裁切換單元檢測到某一重啟單機(jī)正常通過自檢時(shí)，系統(tǒng)即進(jìn)入雙機(jī)工作狀態(tài)，此時(shí)系統(tǒng)由單機(jī)工作重構(gòu)為雙機(jī)工作；(2)當(dāng)系統(tǒng)為雙機(jī)工作、一機(jī)重啟的雙機(jī)工作狀態(tài)時(shí)，如果仲裁切換單元檢測到重啟單機(jī)正常通過自檢且輸出結(jié)果與表決結(jié)果一致，則系統(tǒng)由雙機(jī)工作重構(gòu)為三機(jī)工作；(3)當(dāng)系統(tǒng)為一機(jī)工作、兩機(jī)重啟時(shí)，若仲裁切換單元檢測到重啟的故障機(jī)均正常通過自檢，則系統(tǒng)由單機(jī)工作直接重構(gòu)為三機(jī)工作；(4)當(dāng)系統(tǒng)為一機(jī)重啟、兩機(jī)切出或兩機(jī)重啟、一機(jī)切出的系統(tǒng)暫時(shí)性失效狀態(tài)時(shí)，如果某一重啟單機(jī)在限定次數(shù)內(nèi)重啟后正常通過了自檢則系統(tǒng)由暫時(shí)性失效狀態(tài)重構(gòu)為單機(jī)工作狀態(tài)。全文摘要一種可降級的三機(jī)冗余容錯(cuò)系統(tǒng)由A機(jī)、B機(jī)和C機(jī)三個(gè)結(jié)構(gòu)相同的單機(jī)、公共存儲器、仲裁切換單元及三機(jī)的輸出驅(qū)動器組成；A機(jī)、B機(jī)和C機(jī)通過讀寫公共存儲器內(nèi)的單機(jī)輸出結(jié)果實(shí)現(xiàn)三機(jī)間處理結(jié)果的交換，從而進(jìn)行三機(jī)表決；此外，A機(jī)、B機(jī)和C機(jī)還能通過讀寫公共存儲器內(nèi)的進(jìn)程信息實(shí)現(xiàn)三機(jī)或雙機(jī)的同步；A機(jī)、B機(jī)、C機(jī)之間互相連接，彼此都能讀取對方當(dāng)前是否正常工作的狀態(tài)信息；A機(jī)、B機(jī)、C機(jī)還與仲裁切換單元連接，向仲裁切換單元提供自身狀態(tài)信息，由仲裁切換單元協(xié)調(diào)進(jìn)行三機(jī)工作/雙機(jī)工作/單機(jī)工作的冗余降級以及單機(jī)工作/雙機(jī)工作/三機(jī)工作的冗余系統(tǒng)重構(gòu)，仲裁切換單元還連接于三個(gè)的輸出驅(qū)動器，決定A機(jī)、B機(jī)和C機(jī)對輸出線的使用權(quán)，對于正常工作的三機(jī)，輸出具有優(yōu)先級順序依次為A機(jī)—B機(jī)—C機(jī)。本發(fā)明具有高可靠性和長壽命的優(yōu)點(diǎn)。文檔編號G06F11/18GK101576836SQ200910086598公開日2009年11月11日申請日期2009年6月12日優(yōu)先權(quán)日2009年6月12日發(fā)明者徐利杰,青王,董朝陽,威陳申請人:北京航空航天大學(xué)