控制器双冗余系统

1万 · 2019-7-3 09:11

控制器双冗余系统

1万 · 2019-7-3 09:15

本控制器双冗余系统的设计要求如下:
   (1)采用两个控制器同步工作，其中一个为工作主控制器，另一个为备用
控制器，一旦工作主控制器发生故障(包括掉电、控制器本身出现硬件故障等)，
备用控制器切换为工作主机投入工作，整个切换过程不得超过100ms，切换过后
原备用控制器将改为单机工作模式;
   (2)两控制器均需连接到CAN总线上，通过CAN总线与其他节点通信;
   (3)两控制器工作时保证数据同步，即每个工作周期主控制器需将数据处
理结果及控制器状态发送给备用控制器，同时备用控制器也将自身的状态发送给
主控制器;
   (4)两控制器间需要有互相监测对方工作状态的机制，当一方出现故障时
另一方能够及时检测到;
   (5)系统自身需具有故障诊断及处理功能，当系统出现故障时，能够诊断
出故障所在，除此之外，还需带有报警装置及工作指示灯;
(6) CAN总线通讯速度不得低于2_SOkbps，通讯帧使用标准帧或扩展帧皆
可。

1万 · 2019-7-3 09:20

在绪论当中提到过，目前控制器冗余的种类繁多，同时也各具特点。控制器
冗余系统如果按控制器切换时间长短来分类的话，可以分为冷备份、暖备份和热
备份;如果按照冗余的实现方法分类，可以分为软件冗余和硬件冗余;如果按照
控制器的冗余度来分类，可以分为双控制器冗余和多控制器冗余。

1万 · 2019-7-3 10:17

1万 · 2019-7-3 10:18

1万 · 2019-7-3 10:18

1万 · 2019-7-3 10:18

1万 · 2019-7-3 10:18

1万 · 2019-7-3 10:19

1万 · 2019-7-3 10:19

1万 · 2019-7-3 10:20

1万 · 2019-7-3 10:22

1万 · 2019-7-3 10:23

下面详细的介绍实现冗余系统的方法及过程！

我们感觉这个冗余还是非常有必要的一个方法！

1万 · 2019-7-3 12:39

本控制器双冗余系统的设计要求如下:
   (1)采用两个控制器同步工作，其中一个为工作主控制器，另一个为备用
控制器，一旦工作主控制器发生故障(包括掉电、控制器本身出现硬件故障等)，
备用控制器切换为工作主机投入工作，整个切换过程不得超过100ms，切换过后
原备用控制器将改为单机工作模式;
   (2)两控制器均需连接到CAN总线上，通过CAN总线与其他节点通信;
   (3)两控制器工作时保证数据同步，即每个工作周期主控制器需将数据处
理结果及控制器状态发送给备用控制器，同时备用控制器也将自身的状态发送给
主控制器;
   (4)两控制器间需要有互相监测对方工作状态的机制，当一方出现故障时
另一方能够及时检测到;
   (5)系统自身需具有故障诊断及处理功能，当系统出现故障时，能够诊断
出故障所在，除此之外，还需带有报警装置及工作指示灯;
(6) CAN总线通讯速度不得低于2_SOkbps，通讯帧使用标准帧或扩展帧皆
可。

1万 · 2019-7-3 12:39

如前所述，从冗余实现的方式来分，可以分为硬件冗余和软件冗余。所谓硬
件冗余方式，主要是对系统的关键部件或元件进行冗余，以此来屏蔽掉己经发生
的故障对系统的影响。由于冗余的元器件大小不同，小至元件，大至系统，使得
硬件冗余的级别种类繁多，但都是依赖硬件资源的冗余来提高系统的可靠性。随
着科技的不断进步，各类半导体器件的尺寸逐渐减小，并且价格也不断降低，所
以硬件冗余的成本也在持续降低，这使得硬件冗余变得容易被人们所接受，同时
也成为提高系统可靠性的一种非常重要的方法「‘“]。
目前硬件冗余所包含的种类主要有四种:电源的冗余、控制器冗余、通信网
络的冗余和v0模块的冗余「‘“]。
关于硬件冗余的概念，不只有上述一种含义，还有一种含义表示控制器的切
换方式，是指检测控制器的工作状态、完成两个控制器的切换均是靠硬件来完成。
硬件冗余的特点主要是切换过程比较可靠、切换的时间比较短[4]。但是由于完全
是硬件搭建的切换机制，所以成本相对较高。
目前国内外都不乏对硬件冗余的研究，文献[19]中介绍了一种硬件冗余技术
文中提出了一种现场总线控制器的冗余设计，采用可编程逻辑控制器CPLD作为
冗余逻辑控制器，判断总线控制器的状态，并能够完成主备控制器的切换，两个
控制器之间的切换时间可以达到}s级，可见硬件冗余的切换速度之快，但是却
附带较高的成本。

1万 · 2019-7-3 12:39

软件冗余的实现是在硬件冗余的基础上，软件冗余和硬件冗余实现的原理相
同，只不过实现的方法不同，也即对控制器的工作状态的检测、两控制器之间的
切换是靠软件来实现的。软件冗余相对硬件冗余来讲，成本较低，各种场合都能
够应用，但是切换速度远远不及硬件冗余。目前在许多热轧水处理系统、石油、
天然气等控制工程中，软冗余系统得到普遍的应用[[20-22]。随着软冗余技术的不
断发展，在很多应用场合，高级复杂的硬件冗余系统并不是唯一选择，简单低成
本的软冗余系统同样可以使整个系统的容错率以及可靠性得到显著提高，并且会
大大缩减硬件成本和降低程序设计的复杂程度[}22}
目前软冗余系统做的相对较成熟的当属西门子的S7-300/400的软冗余系统，
该系统是采用硬件上的冗余和软冗余系统相结合的方法，通过对软件程序的设计
来实现控制器的在线切换。西门子将该软冗余系统作为实现冗余功能的花销成本
较低的方案，虽然切换时间不及硬件冗余速度快，但是可以应用于一些对切换时
间要求不高的场合，例如一些允许主备控制器的切换时间可以达到秒级的系统中

1万 · 2019-7-3 12:40

1万 · 2019-7-3 12:40

同时本设计采用的是热备份的方式，即有两个控制器同时处于工作状态，执行同
样的任务，拥有同样的程序，并且要求在同一时刻执行同一个程序，只不过只有
一个控制器的输出有效。即有一个控制器是主控制器，另一个控制器是备用控制
器，两个控制器同时工作的条件下，只有主控制器会输出数据，而备用控制器则
不会将数据输出。工作时两控制器互相监测对方的状态，两控制器之间通过串口
1进行数据同步，通过串口2进行心跳信号传输，确保同步运行。当主控制器出
现故障时，备控制器切换为主控制器继续工作，实现不间断工作，也可以说是单
机工作模式，因为此时原主控制器己不再工作。
在此基础上，本设计将通过对软件程序的设计来完成对两个控制器状态的检
测和控制器的切换。
当然并不是出现任何故障时控制器都会切换，只有当主控制系统出现如下故
障时才会切换控制器或报警:
   (1)掉电;
   (2)控制器本身出现硬件故障;
   (    3) CAN通信通道出现故障。
当主控制系统出现故障(1)时，备控制器通过检测其心跳信号和数据同步
端来确定对方是否出现故障，若均出现异常则立即报警并切换为主控制器工作。
当主控制器出现故障(2)时，仍然按照出现故障(1)是检测方法进行检测，备
控制器仍然可以通过检测对方的心跳信号和数据同步端来确定对方是否出现故
障，若心跳信号和数据同步端均出现异常则立即报警并切换控制器。对于故障(3)}
当数据发送或接收出现异常时，说明 CAN通信通道可能出现故障，此时可以向
对方控制器提出切换申请，当备控制器接收到主控制器的切换申请时，将自动切
换为主控制器进行工作。

1万 · 2019-7-3 12:40

虽然方案一基本满足设计要求，两控制器均与CAN总线连接，但是方案一
仍然存在缺陷。其一，在方案一中，两控制器的输出直接与CAN总线相连，若
一个控制器坏掉可能导致总线瘫痪，可能促使整个网络无法正常工作;其二，只
由两控制器直接通信从而判断对方工作状态着实有些不妥，若备用控制器判断失
误可能造成两个控制器均以主控制器身份进行工作，最后导致整个系统工作紊乱，
失去了冗余本来的意义。由于方案一有这两方面的问题，所以提出了方案二，此
方案对于这两方面的问题均做出了改进。

1万 · 2019-7-3 12:41

方案二的设计框图如图2-2所示，硬件上的冗余如下:
(1)控制器冗余;
(2)控制器的最小系统及报警装置冗余。
如图2-2所示，方案二的设计相对于前一个方案来讲最大的不同点是增加了
一个接口模块，该接口模块有一个核心控制器，所以具有接受数据、发送数据、
分析数据的功能，该接口的主要作用有以下三点:
(1)完成CAN总线与控制器之间的通信;
C2)隔离控制器与总线;
(3)防止由于备控制器误判断而导致的误切换。