專利名稱:一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法
技術(shù)領(lǐng)域:
本發(fā)明涉及自動控制技術(shù)領(lǐng)域,具體涉及一種電路系統(tǒng)的構(gòu)架方法。
背景技術(shù):
在需要高速動態(tài)控制、不間斷控制、高可靠性和高安全性控制要求的自動控制領(lǐng)域,例如航天和空間探測設(shè)備或深海探測設(shè)備中,如果僅僅由一套電路系統(tǒng)進(jìn)行控制,即使 電路的安全系數(shù)已經(jīng)非常高,仍無法排除因為偶然事件造成的故障。而在這些特殊場合中, 一旦系統(tǒng)發(fā)生故障,設(shè)備進(jìn)入失控狀態(tài),則后果是相當(dāng)嚴(yán)重的,例如造成人員的傷亡和設(shè)備 的損壞,沒有補救和維修的機會。解決一套電路系統(tǒng)安全性的局限,最直接的辦法就是采用兩套或兩套以上冗余備 份系統(tǒng)技術(shù),在主系統(tǒng)發(fā)生故障時由另外一套備份系統(tǒng)接替,從而保證設(shè)備始終處于可控 狀態(tài)。隨著高速動態(tài)控制、不間斷控制、高可靠性和高安全性等高端控制要求的場合越 來越多,各種冗余備份技術(shù)逐漸涌現(xiàn),冗余備份電源,冗余備份服務(wù)器等諸多場合已經(jīng)有多 種備份方案用于實際使用?,F(xiàn)有的典型系統(tǒng)備份方案一般有以下幾種1. 一套主系統(tǒng)工作,另一套相同功能的備份系統(tǒng),不參與工作,兩套系統(tǒng)由同一個 仲裁模塊進(jìn)行監(jiān)控和切換,如果主系統(tǒng)出現(xiàn)問題,則由仲裁模塊切換到備份系統(tǒng)。如2004 年國內(nèi)專利說明書CN1472863A提到的單板電源備份系統(tǒng)。2.兩套完全一樣的系統(tǒng),互相可以感知和替換,但只有一套系統(tǒng)參與工作,另一套 系統(tǒng)處于待機狀態(tài)。如2010年國內(nèi)專利說明書CN101634855A提到的用于大型運動會開幕 式的冗余備份控制系統(tǒng)。上述提到的冗余備份方案都存在以下的問題1.單套系統(tǒng)總是工作在滿載的工況下。每套系統(tǒng)都必須具有滿足系統(tǒng)最高性能要 求的的驅(qū)動能力,但由于兩套系統(tǒng)有一個是備份的狀態(tài),則主系統(tǒng)必須工作在滿載的情況 下,對其驅(qū)動能力要求必然很高。2.僅有的一套仲裁模塊要求有非常高的可靠性,如果該模塊本身出現(xiàn)故障,則備 份系統(tǒng)方案的功能無法得到保證。3.在主備份系統(tǒng)切換的時候,故障系統(tǒng)需要從設(shè)備中斷開,備份系統(tǒng)需要啟動,接 入設(shè)備,不可避免的存在延時滯后的問題,不適合用于高速度、高精度、不間斷控制的場合。4.備份系統(tǒng)長期處于不工作的狀態(tài),其系統(tǒng)健康程度無法得到有效監(jiān)控,如果主 系統(tǒng)故障,切換到有故障的備份系統(tǒng),則設(shè)備進(jìn)入失控的狀態(tài),同樣失去了備份的意義。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,它能針對所有 可能出的電路問題的情況下,均能夠保證當(dāng)前的設(shè)備有可用的系統(tǒng),以保證執(zhí)行機構(gòu)不會做出意外的動作,嚴(yán)格保證設(shè)備和人員的絕對安全??捎糜诟邉討B(tài)性能要求和高危險性的 機電設(shè)備。為了解決背景技術(shù)所存在的問題,本發(fā)明是采用以下技術(shù)方案它包括電路系統(tǒng) A、電路系統(tǒng)B和被控對象三大部分。電路系統(tǒng)A和電路B的結(jié)構(gòu)完全一樣,均可以驅(qū)動執(zhí) 行機構(gòu)進(jìn)行工作。電路系統(tǒng)A包含電路A、電源A、執(zhí)行機構(gòu)A三大部分,電源A與電路A連 接,電路A與執(zhí)行機構(gòu)A相互連接,電路系統(tǒng)B結(jié)構(gòu)和A完全一樣,包含控制電路B、電源B、 執(zhí)行機構(gòu)B三大部分,電源B與電路B連接,電路B與執(zhí)行機構(gòu)B相互連接,電源A和電路 B通過通道1和通道2相互連接,電路A和電路B分別接收外部信號,執(zhí)行機構(gòu)A與執(zhí)行機 構(gòu)B均與被控對象連接。本發(fā)明擁有兩套完全一樣的電路系統(tǒng),兩套系統(tǒng)均同時參與正常的工作,信號輸 入來源和控制對象也完全相同。本發(fā)明具有以下有益效果擁有兩套完全一樣的電路系統(tǒng),正常工作時不存在主 次之分,且兩套系統(tǒng)同步協(xié)調(diào)工作。每套系統(tǒng)僅提供一半的驅(qū)動能力,長期處于輕載狀態(tài)。 冗余的驅(qū)動能力用于提供在出現(xiàn)故障的緊急時刻,一套系統(tǒng)承擔(dān)起所有的驅(qū)動力需求。即 使其中一個電路系統(tǒng)發(fā)生最為嚴(yán)重的故障時,另外一個系統(tǒng)能夠及時感知到該緊急狀態(tài), 并仍能夠有效控制整個設(shè)備的運行,從而在可控的范圍內(nèi)將設(shè)備在短時間內(nèi)安全停下,等 待維修。在該短時間內(nèi),由于第二套電路系統(tǒng)出問題的可能性非常小,所以可以幾乎排除設(shè) 備由于兩個電路系統(tǒng)同時故障而造成失控的嚴(yán)重后果,從而提高了安全性。
圖1是本發(fā)明的構(gòu)架框圖;圖2是本發(fā)明實施例1的構(gòu)架框圖;圖3是本發(fā)明實施例1中可能出現(xiàn)的故障問題及其相應(yīng)的處理方式的構(gòu)架框圖。
具體實施例方式參看圖1,本具體實施方式
采用以下技術(shù)方案它包括電路系統(tǒng)A、電路系統(tǒng)B和 被控對象三大部分。電路系統(tǒng)A和電路B的結(jié)構(gòu)完全一樣,均可以驅(qū)動執(zhí)行機構(gòu)進(jìn)行工作。 電路系統(tǒng)A包含電路A、電源A、執(zhí)行機構(gòu)A三大部分,電源A與電路A連接,電路A與執(zhí)行 機構(gòu)A相互連接,電路系統(tǒng)B結(jié)構(gòu)和A完全一樣,包含控制電路B、電源B、執(zhí)行機構(gòu)B三大 部分,電源B與電路B連接,電路B與執(zhí)行機構(gòu)B相互連接,電源A和電路B通過通道1和 通道2相互連接,電路A和電路B分別接收外部信號,執(zhí)行機構(gòu)A與執(zhí)行機構(gòu)B均與被控對 象連接。所述的電路系統(tǒng)A和電路系統(tǒng)B的地位完全等同,正常工作狀態(tài)下兩者處于同步 協(xié)作的狀態(tài),電路系統(tǒng)A和B實時的互相通信,感知對方的工作狀態(tài)。所述的電路系統(tǒng)A和電路系統(tǒng)B均擁有自己獨立的信號輸入、輸出裝置,電源和執(zhí) 行機構(gòu),可以完全獨立運行并在另一個系統(tǒng)不工作的情況下可獨立保證設(shè)備的安全運行并 可以保證系統(tǒng)能夠發(fā)揮最大效能。所述的電路系統(tǒng)A和電路系統(tǒng)B同時工作時,每個系統(tǒng)僅需提供一半的驅(qū)動能力, 即長期工作在輕載狀態(tài)下,有助于延長器件的使用壽命。剩下冗余的驅(qū)動能力用于在一個系統(tǒng)出現(xiàn)故障時,備份系統(tǒng)利用所有的驅(qū)動能力承擔(dān)起設(shè)備所有的需求。所述的電路系統(tǒng)A或者電路系統(tǒng)B中的任何一個在所有可能的故障情況下,均不 會對另一個系統(tǒng)產(chǎn)生負(fù)面影響。所述電路系統(tǒng)A和電路系統(tǒng)B的實時通訊通過隔離器件完全從電氣上隔離開。所述的電路系統(tǒng)A和電路系統(tǒng)B的實時通訊信號有兩路地位完全一樣的通道,每 個通道均可獨立完成兩個系統(tǒng)信號的傳輸。所述的電路系統(tǒng)A和電路系統(tǒng)B將各自的感知和執(zhí)行信號實時提供給對方系統(tǒng), 共同判斷系統(tǒng)所處的狀態(tài)。所述的電路系統(tǒng)A或者電路系統(tǒng)B向?qū)Ψ较到y(tǒng)實時發(fā)送請求信號,如果對方系統(tǒng) 崩潰,無法工作,則無應(yīng)答信號,該系統(tǒng)則進(jìn)行超時處理,將設(shè)備安全停下。本具體實施方式
擁有兩套完全一樣的電路系統(tǒng),兩套系統(tǒng)均同時參與正常的工 作,信號輸入來源和控制對象也完全相同。本具體實施方式
擁有兩套完全一樣的電路系統(tǒng),正常工作時不存在主次之分,且 兩套系統(tǒng)同步協(xié)調(diào)工作。每套系統(tǒng)僅提供一半的驅(qū)動能力,長期處于輕載狀態(tài)。冗余的驅(qū) 動能力用于提供在出現(xiàn)故障的緊急時刻,一套系統(tǒng)承擔(dān)起所有的驅(qū)動力需求。即使其中一 個電路系統(tǒng)發(fā)生最為嚴(yán)重的故障時,另外一個系統(tǒng)能夠及時感知到該緊急狀態(tài),并仍能夠 有效控制整個設(shè)備的運行,從而在可控的范圍內(nèi)將設(shè)備在短時間內(nèi)安全停下,等待維修。在 該短時間內(nèi),由于第二套電路系統(tǒng)出問題的可能性非常小,所以可以幾乎排除設(shè)備由于兩 個電路系統(tǒng)同時故障而造成失控的嚴(yán)重后果,從而提高了安全性。實施例1 參看圖2,以移動小車做為典型的自動控制系統(tǒng)為例進(jìn)行分析。電源使用電池進(jìn)行 供電,執(zhí)行機構(gòu)為電機,電路為電機伺服驅(qū)動電路,共同組成一套電路系統(tǒng)。被控對象為小 車的車輪,外部信號以慣性導(dǎo)航信號為例,依靠電路本身的慣性導(dǎo)航傳感器得到。通訊通道 1、2采用電氣隔離器件使得系統(tǒng)A、B進(jìn)行雙向通訊。電機A、B通過齒輪直接驅(qū)動同一個車 輪。系統(tǒng)各可能出問題的環(huán)節(jié)有以下幾類1.外部信號輸入故障;2.電路內(nèi)部核心器件故障;3.電路內(nèi)部外圍器件故障;4.電機故障;5.電池故障;6.通訊通道故障;7.車輪故障。下面論述針對每種故障的感知方式及應(yīng)對處理方式。1.外部信號輸入故障包括傳感器故障,信號傳輸線路故障等,通過控制核心內(nèi)部的檢測可以判斷該信 號值是否處在正常范圍內(nèi)。同時系統(tǒng)A、B將對比各自的輸入信號值,以判斷該故障。處理 方式為將關(guān)閉較為可能出故障的系統(tǒng),由正常系統(tǒng)負(fù)責(zé)將小車安全停下。2.電路內(nèi)部核心器件故障
該故障由于核心器件無法工作,即自身無法感知該故障,此時借由對側(cè)系統(tǒng)通過 通訊通道發(fā)送的心跳詢問信號超時無應(yīng)答來判斷。處理方式為故障系統(tǒng)自動退出對車輪的控制,正常系統(tǒng)及時感知并安全將小車停 下。3.電路內(nèi)部外圍器件故障要求控制核心能夠監(jiān)控所有外圍器件的工作狀態(tài),對每個環(huán)節(jié)進(jìn)行有效監(jiān)控,來 準(zhǔn)確判斷該故障。處理方式為故障系統(tǒng)主動退出對車輪的控制,并發(fā)送報警信號給對側(cè)系統(tǒng),由該 正常系統(tǒng)安全將小車停下。4.電機故障由電機的反饋環(huán)路來判斷該故障,類似于外圍器件故障。處理方式為故障系統(tǒng)主動退出對車輪的控制,并發(fā)送報警信號給對側(cè)系統(tǒng),由該 正常系統(tǒng)安全將小車停下。5.電池故障最嚴(yán)重的情況為電池?zé)o法供電,此時該側(cè)電路無法工作,情況類似于電路內(nèi)部核 心器件故障,同樣由對側(cè)系統(tǒng)的心跳信號來判斷該故障。處理方式為故障系統(tǒng)自動退出對車輪的控制,正常系統(tǒng)及時感知并安全將小車停 下。6.通訊通道故障僅討論只有一個通道故障的情況,因為故障必然先從某一個通道的損壞開始。兩 個通道信號實時對比,一旦兩個信號不匹配,并判斷出信號異常的那個通道,則可以定位為 通訊通道故障。此時兩套電路系統(tǒng)的狀態(tài)是可以正常工作的,并且依靠剩下的正常通訊通 道依然可以對小車進(jìn)行良好的控制。但是如果另一通訊通道故障,則兩套系統(tǒng)將無法同步 工作,造成小車失控。所以此時仍應(yīng)當(dāng)進(jìn)入報警狀態(tài),兩套系統(tǒng)同步工作,令小車安全停下。7.車輪故障該故障屬于機械類的故障,不屬于本發(fā)明的處理范圍。電路系統(tǒng)的冗余備份無助 于徹底處理該類型的故障,只能通過添加對車輪工作狀態(tài)的傳感器來提前感知故障的發(fā) 生,例如車輪擺動過大,轉(zhuǎn)速不均勻等等,期望在車輪完全失控之前預(yù)先進(jìn)行維護(hù)。一旦能夠預(yù)先定位該故障,則電路系統(tǒng)將小車安全停下。綜上所述,本發(fā)明能夠安全處理電路系統(tǒng)中所有可能出問題的環(huán)節(jié),并能夠有效 地采取應(yīng)對措施,如圖3所示。本發(fā)明方案保證了設(shè)備總是處于可控的狀態(tài),最大程度的提 高了安全性。
權(quán)利要求
一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在于它包括電路系統(tǒng)A、電路系統(tǒng)B和被控對象三大部分;電路系統(tǒng)A和電路B的結(jié)構(gòu)完全一樣,均可以驅(qū)動執(zhí)行機構(gòu)進(jìn)行工作;電路系統(tǒng)A包含電路A、電源A、執(zhí)行機構(gòu)A三大部分,電源A與電路A連接,電路A與執(zhí)行機構(gòu)A相互連接,電路系統(tǒng)B結(jié)構(gòu)和A完全一樣,包含控制電路B、電源B、執(zhí)行機構(gòu)B三大部分,電源B與電路B連接,電路B與執(zhí)行機構(gòu)B相互連接,電源A和電路B通過通道1和通道2相互連接,電路A和電路B分別接收外部信號,執(zhí)行機構(gòu)A與執(zhí)行機構(gòu)B均與被控對象連接。
2.根據(jù)權(quán)利要求1所述的一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在于所 述的電路系統(tǒng)A和電路系統(tǒng)B的地位完全等同,正常工作狀態(tài)下兩者處于同步協(xié)作的狀態(tài), 電路系統(tǒng)A和B實時的互相通信,感知對方的工作狀態(tài)。
3.根據(jù)權(quán)利要求1所述的一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在于所 述的電路系統(tǒng)A和電路系統(tǒng)B均擁有自己獨立的信號輸入、輸出裝置,電源和執(zhí)行機構(gòu),可 以完全獨立運行并在另一個系統(tǒng)不工作的情況下可獨立保證設(shè)備的安全運行并可以保證 系統(tǒng)能夠發(fā)揮最大效能。
4.根據(jù)權(quán)利要求1所述的一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在于所 述的電路系統(tǒng)A和電路系統(tǒng)B同時工作時,每個系統(tǒng)僅需提供一半的驅(qū)動能力,即長期工作 在輕載狀態(tài)下,有助于延長器件的使用壽命;剩下冗余的驅(qū)動能力用于在一個系統(tǒng)出現(xiàn)故 障時,備份系統(tǒng)利用所有的驅(qū)動能力承擔(dān)起設(shè)備所有的需求。
5.根據(jù)權(quán)利要求1所述的一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在于所 述的電路系統(tǒng)A或者電路系統(tǒng)B中的任何一個在所有可能的故障情況下,均不會對另一個 系統(tǒng)產(chǎn)生負(fù)面影響。
6.根據(jù)權(quán)利要求1所述的一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在所述 的電路系統(tǒng)A和電路系統(tǒng)B的實時通訊通過隔離器件完全從電氣上隔離開。
7.根據(jù)權(quán)利要求1所述的一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在所述 的電路系統(tǒng)A和電路系統(tǒng)B的實時通訊信號有兩路地位完全一樣的通道,每個通道均可獨 立完成兩個系統(tǒng)信號的傳輸。
8.根據(jù)權(quán)利要求1所述的一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在所述 的電路系統(tǒng)A和電路系統(tǒng)B將各自的感知和執(zhí)行信號實時提供給對方系統(tǒng),共同判斷系統(tǒng) 所處的狀態(tài)。
9.根據(jù)權(quán)利要求1所述的一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,其特征在所述 的電路系統(tǒng)A或者電路系統(tǒng)B向?qū)Ψ较到y(tǒng)實時發(fā)送請求信號,如果對方系統(tǒng)崩潰,無法工 作,則無應(yīng)答信號,該系統(tǒng)則進(jìn)行超時處理,將設(shè)備安全停下。
全文摘要
一種高安全性的冗余備份電路系統(tǒng)構(gòu)架方法,它涉及自動控制技術(shù)領(lǐng)域。擁有兩套完全一樣的電路系統(tǒng),每套系統(tǒng)僅提供一半的驅(qū)動能力,長期處于輕載狀態(tài),冗余的驅(qū)動能力用于提供在出現(xiàn)故障的緊急時刻,一套系統(tǒng)承擔(dān)起所有的驅(qū)動力需求;即使其中一個電路系統(tǒng)發(fā)生最為嚴(yán)重的故障時,另外一個系統(tǒng)能夠及時感知到該緊急狀態(tài),并仍能夠有效控制整個設(shè)備的運行,從而在可控的范圍內(nèi)將設(shè)備在短時間內(nèi)安全停下,等待維修;在該短時間內(nèi),由于第二套電路系統(tǒng)出問題的可能性非常小,所以可以幾乎排除設(shè)備由于兩個電路系統(tǒng)同時故障而造成失控的嚴(yán)重后果。
文檔編號H02J9/00GK101807814SQ20101013034
公開日2010年8月18日 申請日期2010年3月23日 優(yōu)先權(quán)日2010年3月23日
發(fā)明者周偉, 李一鵬, 林敬橋, 郭蓋華, 閆學(xué)凱, 陳志發(fā) 申請人:武漢若比特機器人有限公司