一种基于AT96总线的控制单元双模冗余结构设计

陈杰 何小鹏 张洧川 简一帆 陈明虎

【摘 要】控制单元的双模冗余有助于提高控制系统的可靠性。提出了一种基于AT96总线的控制单元双模冗余结构，对信息同步、故障检测和无扰切换进行了设计。通过可靠性计算，得到了冗余切换电路的可靠性指标要求。

【关键词】控制单元；双模冗余；可靠性

中图分类号： TP273；TN402 文献标识码： A 文章编号： 2095-2457（2018）27-0023-002

DOI：10.19694/j.cnki.issn2095-2457.2018.27.010

【Abstract】The dual module redundancy of control unit helps improve the reliability of control system.A dual redundancy structure of control unit based on AT96 bus is proposed，and information synchronization，fault detection and interference free switching are designed in detail.Through reliability calculation，the reliability requirements of redundant switching circuits are obtained.

【Key words】Control Unit；Dual Module Redundancy；Reliability

1 引言

冗余是一種重要的容错设计技术，是提高系统可靠性的有效手段。嵌入式控制单元作为数据计算与处理的主体，是仪控系统的核心，实现控制单元的冗余对于提高整个系统的可靠性有着重要作用。

控制单元冗余技术涉及信息同步、故障检测以及无扰切换等技术难点，目前国外已经有多家公司或厂家掌握该技术。

本文根据某仪控系统的特点，提出了一种实现控制单元双模冗余的方法，同时通过可靠性计算，得到了冗余切换电路的可靠性指标要求。

2 控制单元双模冗余的技术方案

某仪控系统是一个背板总线通信系统，控制单元与各I/O板卡通过背板上的AT96并行总线相互连接。在该系统中实现控制单元的双模冗余就是将两个控制单元同时安装在系统中，二者同时工作，互为热备份。

控制单元双模冗余有两种实现方式：有中心裁决器双模冗余和无中心裁决器双模冗余。有中心仲裁器双模冗余是在两个控制单元之外加入比较电路，将两个控制单元的输出进行比较，结果相同才输出到背板总线上；无中心裁决器的双模冗余没有比较电路，只是在每个控制单元上增加冗余切换逻辑[1]。

采用这种结构之后，不必为实现中心裁决而改变背板总线的设计，因此不用对系统的结构作任何改动。两个控制单元一为“主”控制单元，完成整个系统的控制功能；一为“从”控制单元，处于热备份模式。一旦主控制单元发生故障，从控制单元立刻接管AT96总线，保证系统能够正常运行。

对于一个无中心裁决器的双模冗余结构，需要解决三个关键技术难点：信息同步、故障检测、无扰切换。信息同步是指从控制单元需要拥有与主控制单元相同的输入信息和输出信息，以保证控制单元能够实现无扰切换；故障检测是控制单元切换的依据，需要具备快速、准确、覆盖率高等特点；无扰切换是指控制单元切换的时间足够短、故障控制单元完全隔离、控制单元切换之后系统输出不会出现扰动。本文设计的双模冗余结构能够很好地解决这三个问题。

2.1 信息同步

如图1所示，接口模块是AT96总线信号的传输通道，具有“使能”和“方向”两个控制逻辑。信息交互模块位于数据处理模块和接口模块之间，用于完成信息交互。

在正常的情况下，从控制单元的接口模块会被使能，同时方向被设置为“输入”。这样，当主控制单元占有总线时，从控制单元的信息交互模块能够得到所有总线上的信息。这些信息被存储在信息交互模块之中以供数据处理模块读取。通过这种方法，能够做到控制单元之间数据的实时同步，而且不会占用主控制单元的程序周期。

主控制单元上的信息交互模块则相当于一系列导线，将数据处理模块和接口模块连接起来。

2.2 故障检测

在图1所示的结构中，故障检测包括控制单元的自检和控制单元之间的互检。

控制单元的自检结合软件和硬件来完成。

在软件上，数据处理模块在每个程序周期完成一次自检，并将自检结果通过信息交互模块通知在线监测模块。通过编程，可以实现信息交互模块和接口模块的检查。

在硬件上，在线监测模块可以完成数据处理模块、信息交互模块、以及冗余信息收发模块的检查。在检测到故障之后，在线监测模块进入故障处理流程，控制单元的互检在主控制单元和从控制单元上有所不同。从控制单元在下述两种情况下会进入故障判断与控制单元切换流程：

1）收到由主控制单元送来的故障信号；

2）长时间未收到主控制单元送来的互检信号。

故障判断与控制单元的切换逻辑由在线监测模块实现，流程如图2所示。

2.3 无扰切换

无扰切换首先要做到故障控制单元的隔离。

故障控制单元的隔离通过关闭接口模块来完成。在某一控制单元发生故障之后，在线监测模块会输出相应的控制信号来关闭接口模块。为了防止接口模块不能被正确地关闭，在图1所示的结构中做了两方面的考虑。首先，在线监测模块输出的“使能”信号由至少3位开关量组成，一旦在线监测模块发生故障，接口模块将会自动关闭；其次，关闭接口模块的同时将接口模块设置为“输入”模式。

无扰切换的第二个要求是切换时间足够短。本文将切换时间的定义为：从主控制单元发生故障到从控制单元输出正常控制信息所需要的时间。

通过2.2节的讨论可知，控制单元的切换所需要时间最长可用公式2-1来表示：

其中，tswitch表示切换时间；tsc表示控制单元检测到故障所需要的时间，不长于1个程序周期；ts→r表示互检信息收发所需要的时间，与互检信息的发送周期、信息发送速率等因素有关；tms表示确认背板总线工作正常所需要的时间，由设计决定；te为生成复位信号、打开、关闭接口模块等所需的时间，一般可以忽略；tmain为程序周期，即从控制单元接管总线到输出控制信号所需最长时间，由应用程序决定。

根据某仪控设备的实测结果，应用程序周期tmain为17ms。通过设计，可以将ts→r、tms与te之和限制在20ms之内，由2-1式可以估算出：采用了控制单元双冗余结构之后，控制单元的切换时间小于54ms。

无扰切换的第三个要求是系统输出无扰动。如2.1节所述，从控制单元能够做到与主控制单元拥有相同的输入和输出，因此在控制单元切换后能够实现系统输出无扰动。

3 冗余切换电路的可靠性指标要求

无中心裁决器的双模冗余结构需要在原有控制单元的基础上添加冗余切换电路。图1所示的信息交互模块、在线监测模块、冗余信息收发模块都属于冗余切换电路。

图3 控制单元双模冗余结构可靠性框图

其中，模块1为原有控制单元相关电路，模块2为冗余切换电路。理论及实践均已证明，对于一般的电子设备，经过一段时间的老化后，在其随机失效期内，其失效率λ（t）基本为一常数。因此，假设图中模块1的失效率为λ1，模块2的失效率为λ2。

根據可靠性相关理论，图3所示并-串联系统的平均故障前时间（MTTF）θs为[2]：

原有控制单元的平均故障前时间θ1为：

为了达到提高系统可靠性的目的，要求r>1，因此得到冗余切换电路的可靠性要求：

目前，控制单元的基本失效率为1.67×10-6/h，因此冗余切换电路的失效率不得超过0.835×10-6/h。

由式3-3还可以知道，r随着λ2减小而增大，当λ2→0时，r可取得理论上的最大值：

因此，采用双模冗余结构后，控制单元的平均故障前时间最长可延长至原来的1.5倍。由式3-2可知，目前控制单元的平均故障前时间约为68.4年。采用双模冗余结构之后，平均故障前时间最长可达102.6年。

4 总结

本文根据某仪控系统的特点，提出了一种无中心裁决器的控制单元双模冗余结构。经过论证，该结构可以实现控制单元之间信息的实时同步；利用自检和互检，可以实现故障检测的全面覆盖；通过合理的设计，冗余切换时间可达ms量级。经过相关理论计算可知，为实现双模冗余而添加的切换电路的失效率必须低于原有控制单元失效率的二分之一方可达到提高系统可靠性的目的。

【参考文献】

[1]王剑.基于CPLD的控制器冗余切换和通信容错的研究. 微型机与应用，2005，（7）：27～29.

[2]宋保维.系统可靠性设计与分析.西安：西北工业大学出版社.2008.（43～48）.