高危場(chǎng)所安全監(jiān)控系統(tǒng)雙冗余控制器的設(shè)計(jì)與實(shí)現(xiàn)

2013-01-11 06:10，，

船海工程 2013年4期

，，

(北京明航技術(shù)研究所，北京 100023)

現(xiàn)代艦船上存在事關(guān)艦船生命的高危場(chǎng)所，如彈庫(kù)、燃料庫(kù)等，一旦發(fā)生危險(xiǎn)，有可能造成艦毀人亡的后果。因此，需要在艦船的高危場(chǎng)所配置安全監(jiān)控系統(tǒng)，在發(fā)生危險(xiǎn)時(shí)及時(shí)報(bào)警，采取措施對(duì)危險(xiǎn)進(jìn)行控制，消除危險(xiǎn)或減少事故造成的損失[1-2]。

1 安全監(jiān)控系統(tǒng)

高危場(chǎng)所安全監(jiān)控系統(tǒng)結(jié)構(gòu)見(jiàn)圖1。

圖1 安全監(jiān)控系統(tǒng)結(jié)構(gòu)

安全監(jiān)控系統(tǒng)工作流程：安裝在高危場(chǎng)所內(nèi)部的傳感器和探測(cè)器探測(cè)到危險(xiǎn)情況時(shí)，將信息傳遞給控制器，控制器對(duì)信息進(jìn)行融合，對(duì)危險(xiǎn)等級(jí)進(jìn)行判斷，并根據(jù)不同情況進(jìn)行決策，根據(jù)決策結(jié)果向設(shè)備驅(qū)動(dòng)器發(fā)出控制信號(hào)，設(shè)備驅(qū)動(dòng)器驅(qū)動(dòng)防火防爆安全設(shè)備開(kāi)始工作。

控制器作為安全監(jiān)控系統(tǒng)的核心部件，具有信息采集、數(shù)據(jù)融合、決策及控制輸出等功能，是系統(tǒng)的關(guān)鍵部件，必須具備如下關(guān)鍵特性。

1)高可靠性。由于高危場(chǎng)所安全監(jiān)控系統(tǒng)是一個(gè)無(wú)人值守系統(tǒng)，在海上艦船環(huán)境條件下全天候24 h連續(xù)運(yùn)行，監(jiān)控的對(duì)象是高危場(chǎng)所，因此，要求設(shè)備具有高可靠性，特別要保證在發(fā)生危險(xiǎn)情況時(shí)，設(shè)備能夠正確運(yùn)行，按照預(yù)定的決策方法對(duì)危險(xiǎn)情況進(jìn)行控制。

為滿(mǎn)足高可靠性的要求，必須在體系結(jié)構(gòu)設(shè)計(jì)、軟件設(shè)計(jì)和硬件設(shè)計(jì)中采用可靠性措施，如冗余容錯(cuò)設(shè)計(jì)、故障自動(dòng)切換機(jī)制和高可靠性模塊設(shè)計(jì)技術(shù)等。

2)快速響應(yīng)特性。一般來(lái)講，危險(xiǎn)發(fā)現(xiàn)越早、對(duì)其抑制越早，其產(chǎn)生的危害就越小，因此，當(dāng)危險(xiǎn)情況發(fā)生時(shí)，系統(tǒng)必須能夠快速響應(yīng)，及時(shí)采取措施，達(dá)到及早抑制危險(xiǎn)的效果，使得危害造成的影響最小，因此，快速響應(yīng)特性也是高危場(chǎng)所安全監(jiān)控系統(tǒng)必不可少的關(guān)鍵特性。

2 冗余方案

為滿(mǎn)足高危場(chǎng)所安全監(jiān)控系統(tǒng)高可靠性及快速響應(yīng)的需要，可以采用多種方法，例如，控制器采用高可靠單機(jī)系統(tǒng)，或者采用冗余控制器系統(tǒng)等方法。其中，高可靠單機(jī)系統(tǒng)實(shí)現(xiàn)簡(jiǎn)單，但是其核心元器件，如高可靠CPU、高可靠存貯器等很難獲得，并且價(jià)格昂貴，因此，實(shí)際應(yīng)用中多采用冗余控制器系統(tǒng)。

常用的控制器冗余方式分類(lèi)方法有多種，按冗余的工作方式分，有熱備份、溫備份和冷備份；按冗余模塊的數(shù)量分類(lèi)，可以有雙冗余、3冗余和4冗余等；按控制器耦合的緊密程度分類(lèi)，可以有松散耦合方式及緊耦合方式。冗余結(jié)構(gòu)見(jiàn)圖2。

圖2 冗余結(jié)構(gòu)示意

在松散耦合方式中，控制器間一般通過(guò)通信接口連接，其工作方式是控制器間通過(guò)通信接口交換信息，探測(cè)對(duì)方是否處于工作狀態(tài)，一旦某臺(tái)控制器探測(cè)到對(duì)方工作異常，則接管控制權(quán)。

在緊耦合方式下，控制器間通過(guò)硬件電路互相探測(cè)控制器的工作狀態(tài)，根據(jù)工作狀態(tài)通過(guò)硬件電路將控制權(quán)切換到可用的控制器中。

松散耦合方式設(shè)計(jì)簡(jiǎn)單，只需在通用的控制器上加上通信接口即可，而且很容易在異構(gòu)控制器間實(shí)現(xiàn)，這種方式的主要缺點(diǎn)是：判斷控制器異常實(shí)際上是通過(guò)控制器的軟件實(shí)現(xiàn)，切換也通過(guò)軟件實(shí)現(xiàn)，故切換速度慢，同時(shí)軟件設(shè)計(jì)較復(fù)雜。松散耦合冗余方式的方案一般實(shí)時(shí)性要求不高、但有可靠性要求。

緊耦合方式由于需要加上額外的硬件處理電路，設(shè)計(jì)較復(fù)雜，由于故障判斷和切換由硬件實(shí)現(xiàn)，因此，控制切換速度快，故障判斷快速可靠；判斷過(guò)程不需要或僅需要很少的軟件干預(yù)，故障處理軟件設(shè)計(jì)相對(duì)簡(jiǎn)單。緊耦合冗余控制器切換時(shí)間短，一般常用在實(shí)時(shí)響應(yīng)要求較高，不允許有失控的場(chǎng)所使用，如在火箭、導(dǎo)彈、衛(wèi)星等實(shí)時(shí)性和可靠性要求較高的設(shè)備中使用。

考慮上述兩種冗余方式的不同特點(diǎn)以及高危場(chǎng)所安全監(jiān)控系統(tǒng)的關(guān)鍵特性要求，綜合考慮可靠性、設(shè)計(jì)復(fù)雜性及成本等具體因素，在高危場(chǎng)所安全監(jiān)控系統(tǒng)設(shè)計(jì)中采用緊耦合雙冗余設(shè)計(jì)。

3 雙冗余控制器設(shè)計(jì)

在圖2的雙冗余結(jié)構(gòu)中，每個(gè)獨(dú)立的冗余模塊由控制器和冗余控制電路組成，其原理框圖見(jiàn)圖3。

每個(gè)冗余模塊由一個(gè)控制器及冗余控制電路組成，其中控制器是一個(gè)通用的控制器，包含微處理器、存貯器、輸入電路、輸出電路、通信接口和現(xiàn)實(shí)電路等；冗余控制電路在圖3的虛框中示出，它包含復(fù)位電路、錯(cuò)誤探測(cè)電路、狀態(tài)輸出電路、狀態(tài)輸入電路和主/備狀態(tài)指示電路5個(gè)部分。復(fù)位電路輸出復(fù)位信號(hào)(reset)，直接連接至控制器中CPU的復(fù)位信號(hào)端和錯(cuò)誤探測(cè)電路的輸入端，復(fù)位電路的輸入連接控制器的看門(mén)狗信號(hào)(watch dog)；錯(cuò)誤探測(cè)電路連接2個(gè)輸入：來(lái)自控制器的自檢錯(cuò)誤輸出信號(hào)(error)以及來(lái)自復(fù)位電路的復(fù)位信號(hào)，其輸出包括“正常”和“錯(cuò)誤”兩種狀態(tài)，實(shí)際工作中，該狀態(tài)輸出通過(guò)狀態(tài)輸出電路隔離后傳遞到另一個(gè)冗余模塊中；狀態(tài)輸入電路接收來(lái)自另一個(gè)冗余模塊的狀態(tài)輸出信號(hào)，經(jīng)過(guò)緩沖的信號(hào)連接到控制器CPU的硬件中斷端口上，使得控制器能夠快速探測(cè)到另一個(gè)控制器的狀態(tài)變化；主/備狀態(tài)指示電路是一個(gè)預(yù)置的位信號(hào)，用于設(shè)置控制器是“主控制器”或“從控制器”，控制器中的CPU可以讀取到此信號(hào)，判斷自身的狀態(tài)，在本設(shè)計(jì)中，只有一個(gè)惟一主控制器和一個(gè)惟一的備控制器。

圖3 冗余模塊原理示意

冗余電路工作原理如下：系統(tǒng)運(yùn)行后，2個(gè)冗余模塊中的錯(cuò)誤探測(cè)電路開(kāi)始不間斷地探測(cè)控制器的狀態(tài)，如果錯(cuò)誤探測(cè)電路探測(cè)到某個(gè)給定時(shí)間內(nèi)復(fù)位信號(hào)或者自檢錯(cuò)誤輸出信號(hào)到達(dá)指定的次數(shù)，則可以判斷出控制器出現(xiàn)錯(cuò)誤，不能正常工作，此時(shí)錯(cuò)誤探測(cè)電路輸出“錯(cuò)誤”狀態(tài)，同時(shí)，發(fā)出“處理器錯(cuò)誤”的警告信號(hào)，另一個(gè)控制器接收到上述狀態(tài)變化后，判斷自己是否掌握控制權(quán)，若不是，則接管控制權(quán)，實(shí)現(xiàn)控制權(quán)的切換。上述過(guò)程即實(shí)現(xiàn)了控制器間控制權(quán)的簡(jiǎn)單的無(wú)縫切換。

實(shí)際的設(shè)計(jì)中，電路部分采用了可編程器件實(shí)現(xiàn)，僅由2片小規(guī)模GAL編程實(shí)現(xiàn)了上述電路邏輯；與另一個(gè)冗余模塊的信號(hào)連接采用了電氣隔離設(shè)計(jì)，具體實(shí)現(xiàn)中采用了光耦和器進(jìn)行電路的電氣隔離，電氣隔離特性保證故障不會(huì)從一個(gè)冗余模塊向另一個(gè)冗余模塊蔓延；由于設(shè)計(jì)中采用了簡(jiǎn)化設(shè)計(jì)的指導(dǎo)思想，設(shè)計(jì)出的整個(gè)冗余控制電路本身極其簡(jiǎn)單，所用元器件很少；選用元器件時(shí)，元器件均選用軍標(biāo)高的可靠器件；在實(shí)際的冗余模塊結(jié)構(gòu)設(shè)計(jì)中，控制器和冗余控制電路設(shè)計(jì)為一體，安裝在一個(gè)機(jī)箱內(nèi)，保證了控制器和冗余控制電路連接的可靠性。上述一系列設(shè)計(jì)措施充分保證了冗余控制電路具有極高的可靠性。

4 應(yīng)用情況

采用雙冗余控制器構(gòu)成的高危場(chǎng)所安全監(jiān)控系統(tǒng)，其原理見(jiàn)圖4。

圖4 雙冗余控制器組成的安全監(jiān)控系統(tǒng)

在圖4中，采用了雙冗余控制器，系統(tǒng)中包含1臺(tái)主控制器和1臺(tái)備控制器，主、備控制器及其各自冗余控制電路分別安裝在單獨(dú)的箱體內(nèi)，其間通過(guò)電纜連接，主、備控制器與設(shè)備驅(qū)動(dòng)箱通過(guò)電纜連接。正常工作時(shí)，主、備控制器同時(shí)運(yùn)行，并互相檢測(cè)對(duì)方的運(yùn)行狀態(tài)，當(dāng)主控制器出現(xiàn)異?；蛘邆浞菘刂破鳈z測(cè)到主控制器不能正常工作時(shí)，通過(guò)雙冗余切換機(jī)制立即切換到備控制器工作，當(dāng)主控制器恢復(fù)正常后又可充當(dāng)備用控制器加入到系統(tǒng)中工作。

系統(tǒng)的工作方式采用了熱備份方式，備控制器與主控制器一樣，其輸入的傳感器信息完全相同，都通過(guò)現(xiàn)場(chǎng)總線輸入，它們的輸出也連接到同一個(gè)設(shè)備驅(qū)動(dòng)箱中，主、備控制器同時(shí)運(yùn)行。由于采用了熱備份，兩臺(tái)控制器在運(yùn)行時(shí)同時(shí)接收傳感器信息，根據(jù)傳感器信息進(jìn)行決策計(jì)算，因此，當(dāng)主控制權(quán)在主、備控制器間切換時(shí)，相對(duì)于松散耦合及冷備份和溫備份的手動(dòng)或軟件切換方式而言，獲得控制權(quán)的控制器不需要重新獲取傳感器信息以及重新進(jìn)行決策計(jì)算，可以直接采用本控制器計(jì)算出的決策結(jié)果并輸出到設(shè)備驅(qū)動(dòng)箱，由于沒(méi)有獲得傳感器信息及重新進(jìn)行決策計(jì)算的時(shí)間開(kāi)銷(xiāo)，提高了在控制權(quán)切換時(shí)系統(tǒng)輸出的速度，可以保證控制輸出的實(shí)時(shí)性。

實(shí)際的工作過(guò)程中，由于主、備兩臺(tái)控制器同時(shí)出現(xiàn)故障(雙點(diǎn)故障)的概率極小，同時(shí)，一臺(tái)控制器出現(xiàn)故障時(shí)，會(huì)給出警告信號(hào)，可以通過(guò)維修手段來(lái)恢復(fù)其工作狀態(tài)，因此，對(duì)比單控制器結(jié)構(gòu)，采用上述雙冗余控制器結(jié)構(gòu)的高危場(chǎng)所安全監(jiān)控系統(tǒng)具有很高的可靠性及可用性。

5 結(jié)束語(yǔ)

基于上述雙冗余控制器方案實(shí)現(xiàn)的雙冗余、緊耦合、熱備份的安全監(jiān)控系統(tǒng)已經(jīng)在多個(gè)型號(hào)艦船高危場(chǎng)所的安全監(jiān)控中實(shí)際采用。長(zhǎng)時(shí)間的設(shè)備運(yùn)行及測(cè)試結(jié)果證明：該設(shè)計(jì)具有高可靠性和快速反應(yīng)能力，在單控制器故障的條件下仍然能夠保證系統(tǒng)可靠完成安全監(jiān)控任務(wù)。

[1] 易軍.一種高可靠性嵌入式系統(tǒng)的主備切換設(shè)計(jì)[J].電腦與信息技術(shù),2005(6):30-32.