一種基于AT96總線的控制單元雙模冗余結構設計

陳杰 何小鵬 張洧川 簡一帆 陳明虎

【摘 要】控制單元的雙模冗余有助于提高控制系統的可靠性。提出了一種基于AT96總線的控制單元雙模冗余結構，對信息同步、故障檢測和無擾切換進行了設計。通過可靠性計算，得到了冗余切換電路的可靠性指標要求。

【關鍵詞】控制單元；雙模冗余；可靠性

中圖分類號： TP273；TN402 文獻標識碼： A 文章編號： 2095-2457（2018）27-0023-002

DOI：10.19694/j.cnki.issn2095-2457.2018.27.010

【Abstract】The dual module redundancy of control unit helps improve the reliability of control system.A dual redundancy structure of control unit based on AT96 bus is proposed，and information synchronization，fault detection and interference free switching are designed in detail.Through reliability calculation，the reliability requirements of redundant switching circuits are obtained.

【Key words】Control Unit；Dual Module Redundancy；Reliability

1 引言

冗余是一種重要的容錯設計技術，是提高系統可靠性的有效手段。嵌入式控制單元作為數據計算與處理的主體，是儀控系統的核心，實現控制單元的冗余對于提高整個系統的可靠性有著重要作用。

控制單元冗余技術涉及信息同步、故障檢測以及無擾切換等技術難點，目前國外已經有多家公司或廠家掌握該技術。

本文根據某儀控系統的特點，提出了一種實現控制單元雙模冗余的方法，同時通過可靠性計算，得到了冗余切換電路的可靠性指標要求。

2 控制單元雙模冗余的技術方案

某儀控系統是一個背板總線通信系統，控制單元與各I/O板卡通過背板上的AT96并行總線相互連接。在該系統中實現控制單元的雙模冗余就是將兩個控制單元同時安裝在系統中，二者同時工作，互為熱備份。

控制單元雙模冗余有兩種實現方式：有中心裁決器雙模冗余和無中心裁決器雙模冗余。有中心仲裁器雙模冗余是在兩個控制單元之外加入比較電路，將兩個控制單元的輸出進行比較，結果相同才輸出到背板總線上；無中心裁決器的雙模冗余沒有比較電路，只是在每個控制單元上增加冗余切換邏輯[1]。

采用這種結構之后，不必為實現中心裁決而改變背板總線的設計，因此不用對系統的結構作任何改動。兩個控制單元一為“主”控制單元，完成整個系統的控制功能；一為“從”控制單元，處于熱備份模式。一旦主控制單元發生故障，從控制單元立刻接管AT96總線，保證系統能夠正常運行。

對于一個無中心裁決器的雙模冗余結構，需要解決三個關鍵技術難點：信息同步、故障檢測、無擾切換。信息同步是指從控制單元需要擁有與主控制單元相同的輸入信息和輸出信息，以保證控制單元能夠實現無擾切換；故障檢測是控制單元切換的依據，需要具備快速、準確、覆蓋率高等特點；無擾切換是指控制單元切換的時間足夠短、故障控制單元完全隔離、控制單元切換之后系統輸出不會出現擾動。本文設計的雙模冗余結構能夠很好地解決這三個問題。

2.1 信息同步

如圖1所示，接口模塊是AT96總線信號的傳輸通道，具有“使能”和“方向”兩個控制邏輯。信息交互模塊位于數據處理模塊和接口模塊之間，用于完成信息交互。

在正常的情況下，從控制單元的接口模塊會被使能，同時方向被設置為“輸入”。這樣，當主控制單元占有總線時，從控制單元的信息交互模塊能夠得到所有總線上的信息。這些信息被存儲在信息交互模塊之中以供數據處理模塊讀取。通過這種方法，能夠做到控制單元之間數據的實時同步，而且不會占用主控制單元的程序周期。

主控制單元上的信息交互模塊則相當于一系列導線，將數據處理模塊和接口模塊連接起來。

2.2 故障檢測

在圖1所示的結構中，故障檢測包括控制單元的自檢和控制單元之間的互檢。

控制單元的自檢結合軟件和硬件來完成。

在軟件上，數據處理模塊在每個程序周期完成一次自檢，并將自檢結果通過信息交互模塊通知在線監測模塊。通過編程，可以實現信息交互模塊和接口模塊的檢查。

在硬件上，在線監測模塊可以完成數據處理模塊、信息交互模塊、以及冗余信息收發模塊的檢查。在檢測到故障之后，在線監測模塊進入故障處理流程，控制單元的互檢在主控制單元和從控制單元上有所不同。從控制單元在下述兩種情況下會進入故障判斷與控制單元切換流程：

1）收到由主控制單元送來的故障信號；

2）長時間未收到主控制單元送來的互檢信號。

故障判斷與控制單元的切換邏輯由在線監測模塊實現，流程如圖2所示。

2.3 無擾切換

無擾切換首先要做到故障控制單元的隔離。

故障控制單元的隔離通過關閉接口模塊來完成。在某一控制單元發生故障之后，在線監測模塊會輸出相應的控制信號來關閉接口模塊。為了防止接口模塊不能被正確地關閉，在圖1所示的結構中做了兩方面的考慮。首先，在線監測模塊輸出的“使能”信號由至少3位開關量組成，一旦在線監測模塊發生故障，接口模塊將會自動關閉；其次，關閉接口模塊的同時將接口模塊設置為“輸入”模式。

無擾切換的第二個要求是切換時間足夠短。本文將切換時間的定義為：從主控制單元發生故障到從控制單元輸出正常控制信息所需要的時間。

通過2.2節的討論可知，控制單元的切換所需要時間最長可用公式2-1來表示：

其中，tswitch表示切換時間；tsc表示控制單元檢測到故障所需要的時間，不長于1個程序周期；ts→r表示互檢信息收發所需要的時間，與互檢信息的發送周期、信息發送速率等因素有關；tms表示確認背板總線工作正常所需要的時間，由設計決定；te為生成復位信號、打開、關閉接口模塊等所需的時間，一般可以忽略；tmain為程序周期，即從控制單元接管總線到輸出控制信號所需最長時間，由應用程序決定。

根據某儀控設備的實測結果，應用程序周期tmain為17ms。通過設計，可以將ts→r、tms與te之和限制在20ms之內，由2-1式可以估算出：采用了控制單元雙冗余結構之后，控制單元的切換時間小于54ms。

無擾切換的第三個要求是系統輸出無擾動。如2.1節所述，從控制單元能夠做到與主控制單元擁有相同的輸入和輸出，因此在控制單元切換后能夠實現系統輸出無擾動。

3 冗余切換電路的可靠性指標要求

無中心裁決器的雙模冗余結構需要在原有控制單元的基礎上添加冗余切換電路。圖1所示的信息交互模塊、在線監測模塊、冗余信息收發模塊都屬于冗余切換電路。

圖3 控制單元雙模冗余結構可靠性框圖

其中，模塊1為原有控制單元相關電路，模塊2為冗余切換電路。理論及實踐均已證明，對于一般的電子設備，經過一段時間的老化后，在其隨機失效期內，其失效率λ（t）基本為一常數。因此，假設圖中模塊1的失效率為λ1，模塊2的失效率為λ2。

根據可靠性相關理論，圖3所示并-串聯系統的平均故障前時間（MTTF）θs為[2]：

原有控制單元的平均故障前時間θ1為：

為了達到提高系統可靠性的目的，要求r>1，因此得到冗余切換電路的可靠性要求：

目前，控制單元的基本失效率為1.67×10-6/h，因此冗余切換電路的失效率不得超過0.835×10-6/h。

由式3-3還可以知道，r隨著λ2減小而增大，當λ2→0時，r可取得理論上的最大值：

因此，采用雙模冗余結構后，控制單元的平均故障前時間最長可延長至原來的1.5倍。由式3-2可知，目前控制單元的平均故障前時間約為68.4年。采用雙模冗余結構之后，平均故障前時間最長可達102.6年。

4 總結

本文根據某儀控系統的特點，提出了一種無中心裁決器的控制單元雙模冗余結構。經過論證，該結構可以實現控制單元之間信息的實時同步；利用自檢和互檢，可以實現故障檢測的全面覆蓋；通過合理的設計，冗余切換時間可達ms量級。經過相關理論計算可知，為實現雙模冗余而添加的切換電路的失效率必須低于原有控制單元失效率的二分之一方可達到提高系統可靠性的目的。

【參考文獻】

[1]王劍.基于CPLD的控制器冗余切換和通信容錯的研究. 微型機與應用，2005，（7）：27～29.

[2]宋保維.系統可靠性設計與分析.西安：西北工業大學出版社.2008.（43～48）.