一种可降级的三机冗余容错系统

摘要

一种可降级的三机冗余容错系统由A机、B机和C机三个结构相同的单机、公共存储器、仲裁切换单元及三机的输出驱动器组成；A机、B机和C机通过读写公共存储器内的单机输出结果实现三机间处理结果的交换，从而进行三机表决；此外，A机、B机和C机还能通过读写公共存储器内的进程信息实现三机或双机的同步；A机、B机、C机之间互相连接，彼此都能读取对方当前是否正常工作的状态信息；A机、B机、C机还与仲裁切换单元连接，向仲裁切换单元提供自身状态信息，由仲裁切换单元协调进行三机工作/双机工作/单机工作的冗余降级以及单机工作/双机工作/三机工作的冗余系统重构，仲裁切换单元还连接于三个的输出驱动器，决定A机、B机和C机对输出线的使用权，对于正常工作的三机，输出具有优先级顺序依次为A机-B机-C机。本发明具有高可靠性和长寿命的优点。

主权项

一种可降级的三机冗余容错系统，其特征在于：它由A机、B机和C机三个结构相同的单机、公共存储器、仲裁切换单元及三机的输出驱动器组成；A机、B机和C机通过读写公共存储器内的单机输出结果实现三机间处理结果的交换，从而进行三机表决；此外，A机、B机和C机还能通过读写公共存储器内的进程信息实现三机或双机的同步；A机、B机、C机之间互相连接，彼此都能读取对方当前是否正常工作的状态信息；A机、B机、C机还与仲裁切换单元连接，向仲裁切换单元提供自身状态信息，由仲裁切换单元协调进行三机工作/双机工作/单机工作的冗余系统降级以及单机工作/双机工作/三机工作的冗余系统重构，仲裁切换单元还连接于三机的输出驱动器，决定A机、B机和C机对输出线的使用权，对于正常工作的三机，输出具有优先级顺序依次为A机‑B机‑C机；所述的每个单机的硬件单元包括CPU模块、供配电模块、数据采集模块、存储模块、输出模块和数据接口模块；软件模块包括：脉冲检测模块、表决器模块、自检测模块；供配电模块在仲裁切换单元的控制下完成单机重启或永久断电将单机切出的操作，存储模块存储待执行的程序和CPU模块处理结果，数据采集模块负责将输入数据转换为数字量输入给CPU模块，输出模块将CPU模块的输出转化为所需的输出信号类型，数据接口模块实现CPU模块与公共存储器及容错冗余控制器的数据交换；脉冲检测模块检测来自仲裁切换单元发出的采样脉冲信号，作为CPU模块一个采样处理周期的开始；表决器模块采用三取二多数表决方式，表决器模块执行本机输出结果和表决器模块结果比对的任务；CPU模块首先采集输入数据并进行运算处理，处理完后将结果存入公共存储器内的单机处理结果存储区，同时完成对公共存储器的处理结果存储区和输出驱动器的输出端口的自检，仅当公共存储器的处理结果存储区和输出驱动器的输出端口自检结果均正常时，CPU模块才认为单机自检通过，并向仲裁切换单元发出心跳信号；所述的表决器模块采用冗余设计，确保在单机中的一个表决器模块故障时，系统仍能进行正常的三机表决；所述仲裁切换单元包括时钟模块、容错冗余控制器、优先级控制器；时钟模块为三个单机中的CPU模块时钟与容错冗余控制器提供时钟信号，从而实现全局时钟同步，同时时钟模块还向三个单机发送采样脉冲信号；优先级控制器与容错冗余控制器相连接，并读取容错冗余控制器内的三个单机输出允许信号；容错冗余控制器为整个冗余容错系统的核心，它与三个单机进行交互，对单机的输出结果连续错误、连续重启进行计数，还对单机自检输出的心跳信号进行监测，经过逻辑判断对单机的供配电模块发出重启指令以及永久性切出指令。