專利名稱：一種三取二安全輸出的表決結(jié)構(gòu)及其表決方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種三取ニ的表決結(jié)構(gòu)及其表決方法。
背景技術(shù)：
目前的エ業(yè)控制系統(tǒng)絕大多數(shù)都是計算機控制系統(tǒng)，采用容錯技術(shù)可顯著地提高其可靠性和可用性。但系統(tǒng)一旦不能正常工作，有可能向被控設(shè)備輸出危險的控制信號，從而造成人員傷亡和財產(chǎn)損失。因此鐵路、石化、鋼鐵等領(lǐng)域要求エ業(yè)控制計算機系統(tǒng)不僅是高可靠和高可用的容錯系統(tǒng)，同時也是故障安全系統(tǒng)。硬件失效，電磁干擾以及軟件代碼中的隱含錯誤導(dǎo)致的故障是不可避免的。為了提高系統(tǒng)的可靠性，會采取容錯技術(shù)加以屏蔽。容錯就是當系統(tǒng)中某些指定的硬件發(fā)生故障或軟件出現(xiàn)錯誤吋，系統(tǒng)仍能正確地執(zhí)行規(guī)定的一組程序或算法，當然這些指定的硬件或軟件是經(jīng)過冗余設(shè)計的。因此避錯和容錯技術(shù)是提高計算機系統(tǒng)可靠性的2種主要技術(shù)手段。尤其是容錯技木，它是構(gòu)造高可靠和高安全計算機系統(tǒng)強有力的直接手段，因此在設(shè)計計算機系統(tǒng)時應(yīng)采用故障檢測、故障屏蔽及故障恢復(fù)等容錯技木。2oo3結(jié)構(gòu)又稱三模冗余結(jié)構(gòu)(Triple Modular Redundancy, TMR),也稱三取ニ結(jié)構(gòu)。三個模塊同時執(zhí)行一祥的操作，以多數(shù)相同的輸出作為該表決系統(tǒng)的正確輸出，這是基干“少數(shù)服從多數(shù)”的糾錯原理，可以屏蔽任意一個通道的故障。像計算機這種非故障-安全的設(shè)備，設(shè)備故障(包括軟、硬件故障)可能有錯誤輸出。而三取ニ結(jié)構(gòu)只要不出現(xiàn)兩個性質(zhì)完全相同的錯誤，就能保證系統(tǒng)是正確輸出的。因為出現(xiàn)兩種同樣性質(zhì)錯誤的概率一般是非常小的。對于安全性輸出可通過故障-安全輸出控制電路和2oo3表決器來共同保證其故障-安全特性。為了實現(xiàn)上述的方案，出現(xiàn)了ー種三取ニ安全輸出的表決結(jié)構(gòu)，如圖1，包括兩個ニ極管和四個固態(tài)繼電器；固態(tài)繼電器兩兩串聯(lián)后并聯(lián)，利用三系主機輸出三組控制信號控制三個固態(tài)繼電器，再通過ニ系主機輸出兩組控制信號的邏輯運算后控制另ー個固態(tài)繼電器，實現(xiàn)三取ニ安全輸出。該表決結(jié)構(gòu)還包括三個光電稱合器，三個光電稱合器用來接收所述的表決電壓信號并輸出反饋信號，供三系進行輸出反饋檢查，從而檢測表決結(jié)構(gòu)是否存在故障。上述的表決結(jié)構(gòu)雖然可以實現(xiàn)三取ニ輸出，但在檢測方面存在缺陷，三個用來檢測的光電耦合器只能檢測到最終經(jīng)過表決的輸出信號，不能對單個固態(tài)繼電器進行檢測，如果單個固態(tài)繼電器發(fā)生故障，可能會出現(xiàn)系統(tǒng)檢測不出的情況出現(xiàn)。例如，當SSRl固態(tài)繼電器故障，三系的信號可以通過SSR2、SSR4固態(tài)繼電器進行輸出，而檢測系統(tǒng)也可以檢測到系統(tǒng)輸出的信號，而SSRl固態(tài)繼電器的故障就無法被發(fā)現(xiàn)，成為ー個安全隱患。即使當檢測系統(tǒng)檢測到系統(tǒng)輸出出現(xiàn)問題吋，也只能判斷是這4個固態(tài)繼電器出現(xiàn)了問題，而不能判斷到底是哪ー個出現(xiàn)了問題，這樣會加大系統(tǒng)的維護時間，從而降低系統(tǒng)的可維修性。

發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)存在的問題，本發(fā)明的目的之ー在于提供一種既能實現(xiàn)三取ニ輸出又可以對三取ニ表決結(jié)構(gòu)自檢的三取ニ安全輸出的表決結(jié)構(gòu)。本發(fā)明的另一目的在于提供ー種上述三取ニ安全輸出的表決結(jié)構(gòu)的表決、自檢方法。為實現(xiàn)上述目的，本發(fā)明的三取ニ安全輸出的表決結(jié)構(gòu)包括三個功能模塊，第一功能模塊用于接入外部設(shè)備的第一控制信號、第二控制信號和電源電壓信號，并對第一控制信號和第二控制信號進行與操作；第二功能模塊用于接入外部設(shè)備的第二控制信號、第三控制信號和電源電壓信號，并對第二控制信號和第三控制信號進行與操作；第三功能模塊用于接入外部設(shè)備的第一控制信號、第三控制信號和電源電壓信號，并對第三控制信號和第一控制信號進行與操作；三個功能模塊的輸出端相連并輸出表決電壓信號；姆一功能模塊的輸出還引出一反饋端，自反饋端輸出各自的自檢信號。進ー步，所述第一控制信號、第二控制信號和第三控制信號均包括第一子控制信號和第二子控制信號，當所述表決結(jié)構(gòu)表決輸出時，接入的第一子控制信號和第二子控制信號相同；當所述表決結(jié)構(gòu)自檢吋，接入的第一子控制信號和第二子控制信號相同或不同。進ー步，所述三個功能模塊為三個光電繼電器，每個光電繼電器包括兩個控制端、ー電源電壓信號輸入端和ー輸出端，姆個光電繼電器的兩個控制端接入控制三個光電繼電器通斷的一組控制信號，三個光電繼電器的輸出端相連并輸出表決電壓信號。進ー步，姆個功能模塊由第一、第二光電繼電器串聯(lián)而成，第一、第二光電繼電器包括一控制端和ー輸出端，第一光電繼電器的控制端、第二光電繼電器的控制端分別接入ー控制第一光電繼電器和第二光電繼電器通斷的一控制信號，第一光電繼電器的輸出端前極接入所述外部設(shè)備的電源電壓信號，第一光電繼電器的輸出端后極和第二光電繼電器的輸出端前極相連，姆個功能模塊的第二光電繼電器的輸出端后極相連并輸出表決電壓信號。本發(fā)明的三取ニ安全輸出的表決結(jié)構(gòu)的表決方法，包括如下步驟:I)獲取第一控制信號、第二控制信號和第三控制信號，第一控制信號、第二控制信號和第三控制信號分別包括第一子控制信號和第二子控制信號；2)對第一功能模塊、第二功能模塊和第三功能模塊進行上電自檢:利用第一控制信號的第一子控制信號和第二控制信號的第一子控制信號控制第一功能模塊的通斷；第二控制信號的第二子控制信號和第三控制信號的第一子控制信號控制第二功能模塊的通斷；第三控制信號的第二子控制信號和第一控制信號的第二子控制信號控制第三功能模塊的通斷； 3)向第一控制信號、第二控制信號和第三控制信號輸入不同的自檢序列，根據(jù)第一功能模塊、第二功能模塊和第三功能模塊的反饋端反饋的自檢信號判斷第一功能模塊、第二功能模塊和第三功能模塊是否發(fā)生故障；4)自檢完成后，第一控制信號、第二控制信號和第三控制信號輸入表決序列，并由第一功能模塊、第二功能模塊和第三功能模塊的輸出端輸出表決結(jié)果。
進一歩，當自檢序列輸出第一控制信號的第一子控制信號和第二控制信號的第一子控制信號均為高電平時，若第一功能模塊的反饋端輸出低電平，則判斷第一功能模塊發(fā)生斷路；當自檢序列輸出第一控制信號的第一子控制信號和第二控制信號的第一子控制信號均為零電平時，若第一功能模塊的反饋端輸出高電平，則判斷第一功能模塊發(fā)生短路；當自檢序列輸出第二控制信號的第二子控制信號和第三控制信號的第一子控制信號均為高電平時，若第二功能模塊的反饋端輸出低電平，則判斷第二功能模塊發(fā)生斷路；當自檢序列輸出第二控制信號的第二子控制信號和第三控制信號的第一子控制信號均為零電平時，若第二功能模塊的反饋端輸出高電平，則判斷第二功能模塊發(fā)生短路；當自檢序列輸出第三控制信號的第二子控制信號和第一控制信號的第二子控制信號均為高電平時，若第三功能模塊的反饋端輸出低電平，則判斷第三功能模塊發(fā)生斷路；當自檢序列輸出第三控制信號的第二子控制信號和第一控制信號的第二子控制信號均為零電平時，若第三功能模塊的反饋端輸出高電平，則判斷第三功能模塊發(fā)生短路。本發(fā)明的三取ニ安全輸出的表決結(jié)構(gòu)及其表決方法，既能夠?qū)崿F(xiàn)三取ニ輸出表決，又可以對表決結(jié)構(gòu)中的元件進行短路和斷路檢查，可以大大提高輸出系統(tǒng)維護的效率。


圖1為現(xiàn)有技術(shù)三取ニ安全輸出的表決結(jié)構(gòu)的示意圖；圖2為本發(fā)明實施例1的示意圖；圖3為本發(fā)明實施例2的示意圖。
具體實施例方式下面結(jié)合附圖和實施例，對本發(fā)明的具體實施方式
作進ー步詳細描述。以下實施例用于說明本發(fā)明，但不是限制本發(fā)明的范圍。實施例1如圖2所不,本發(fā)明的三取ニ安全輸出的表決結(jié)構(gòu),包括J1-J6六個光電繼電器，光電繼電器包括兩個ニ極管和兩個MOS管，每一二極管對應(yīng)ー MOS管，兩個MOS管引出1、
2、3、4四個管腳，兩個MOS管引出5、6、7、8四個管腳，R1-R12為12個限流電阻，以光電繼電器Jl為例，第一路的管腳1、2分別連接主機A的控制信號OUTAl和信號地；第一路管腳8、7分別連接安全5V電源和第二路管腳3 ;第二路管腳4連接信號地；第二路管腳6連接安全24V電源正；第二路管腳5連接反饋I及光電繼電器J2第二路管腳6，以此類推，組成了一個安全輸出的表決陣列。為了保證輸出表決的安全性，圖中的24V、5V都是安全電源，安全電源由三系主機動態(tài)信號控制，當三系主機出現(xiàn)故障吋，電源會被切斷。5V電源用來推動光電繼電器，而24V電源是用來推動后級機械式繼電器線圏。當系統(tǒng)需要進行輸出時，三系主機會分別通過IO管腳輸出控制命令。每一系主機會輸出兩個輸出信號，如A系的控制信號為0UTA1、0UTA2。在系統(tǒng)正常運行時，同一系的這兩個輸出信號都是ー樣的。當OUTAl輸出控制信號I時，會通過限流電阻導(dǎo)通Jl的第一個發(fā)光二極管，而發(fā)光二極管通過發(fā)光將Jl的第一個MOS管導(dǎo)通，此時，安全5V會通過限流電阻先導(dǎo)通第一個MOS管，再導(dǎo)通第二個發(fā)光二極管，第二個發(fā)光二極管再通過發(fā)光將第ニ個MOS管導(dǎo)通,24V通過此MOS管輸出，驅(qū)動外部執(zhí)行機構(gòu)進行輸出，而外部執(zhí)行機構(gòu)一般都選用機械繼電器，另外五組輸出控制信號的輸出原理與之相同。從圖2可知，當一系輸出出現(xiàn)故障時，此三取ニ表決系統(tǒng)會發(fā)揮作用。我們假設(shè)，A、B系均輸出繼電器吸起的命令，即0UTA1、0UTA2、0UTB1、0UTB2均為I ;而C系發(fā)生故障，OUTCl、0UTC2均為0 (無輸出)。這時表決陣列發(fā)揮作用，系統(tǒng)輸出I。本發(fā)明為了能夠?qū)α鶄€光電繼電器實現(xiàn)自檢，在姆一光電繼電器的輸出端上游均引出一反饋端，以對每一光電繼電器的狀態(tài)進行分別檢查。當六個光電繼電器陣列其中一列的兩個光電繼電器出現(xiàn)短路故障時，會導(dǎo)致系統(tǒng)一直輸出高電平，從而導(dǎo)向危險側(cè)。自檢的目的主要是為了防止這種情況發(fā)生。光電繼電器的故障主要有兩種，ー種是短路，ー種是斷路，對輸出板光電繼電器表決陣列的檢測需要三系主機的共同動作，同步輸出、同步檢測。由于輸出陣列驅(qū)動后級的機械繼電器壽命沒有光電繼電器長，這就要求輸出陣列控制的機械繼電器在光電繼電器自檢時一定不能吸起(如果此時吸起，一是影響機械繼電器壽命，毎次上電都要吸起一次；ニ是可能造成ー些意想不到的問題)。光電繼電器檢查的原理是:光電繼電器的響應(yīng)時間比機械繼電器要快的多，當光電繼電器導(dǎo)通時,機械繼電器并未導(dǎo)通?？梢粤钶敵鱿到y(tǒng)只在快于機械繼電器的響應(yīng)時間的短暫時間內(nèi)(4ms左右)輸出自檢信號，而此時機械繼電器是不會動作的，這時檢測光電繼電器的反饋信號就可以對光電繼電器的狀態(tài)做出判斷。對每組光電繼電器按照以下順序輸出，對輸出和反饋結(jié)果進行記錄。一共順序輸出8組。姆組輸出的時間4ms,因時間有一定誤差,輸出前后各延時4ms,輸出后歸零。順序是:輸出前先等待4ms,然后輸出，再等待4ms,讀出數(shù)據(jù)；輸出零,再等待4ms,—共13ms。防止機械繼電器動作。8組自檢序列如下表格，通過第0組 第I組輸出后的反饋數(shù)據(jù)，可以用來判斷J1、J3、J5的狀態(tài)，所以此3個光電繼電器可以一起進行判斷；第2組 第7組輸出后的反饋數(shù)據(jù)，可以用來判斷J2、J4、J6的狀態(tài)，因為J2、J4、J6的反饋信號與此陣列輸出為同一路，所以此3個光電繼電器需要分別進行判斷；短路判斷時，反饋出現(xiàn)“I”時即認為短路；斷路判斷時，反饋出現(xiàn)“0”時即認為斷路。
權(quán)利要求
1.一種三取ニ安全輸出的表決結(jié)構(gòu)，其特征在于，包括三個功能模塊； 第一功能模塊用于接入外部設(shè)備的第一控制信號、第二控制信號和電源電壓信號，并對第一控制信號和第二控制信號進行與操作； 第二功能模塊用于接入外部設(shè)備的第二控制信號、第三控制信號和電源電壓信號，并對第二控制信號和第三控制信號進行與操作； 第三功能模塊用于接入外部設(shè)備的第一控制信號、第三控制信號和電源電壓信號，并對第三控制信號和第一控制信號進行與操作； 三個功能模塊的輸出端相連并輸出表決電壓信號；每一功能模塊的輸出還引出一反饋端，自反饋端輸出各自的自檢信號。
2.根據(jù)權(quán)利要求1所述的表決結(jié)構(gòu)，其特征在于，所述第一控制信號、第二控制信號和第三控制信號均包括第一子控制信號和第二子控制信號，當所述表決結(jié)構(gòu)表決輸出時，接入的第一子控制信號和第二子控制信號相同；當所述表決結(jié)構(gòu)自檢時，接入的第一子控制信號和第二子控制信號相同或不同。
3.根據(jù)權(quán)利要求1所述的表決結(jié)構(gòu)，其特征在于，所述三個功能模塊為三個光電繼電器，姆個光電繼電器包括兩個控制端、ー電源電壓信號輸入端和ー輸出端，姆個光電繼電器的兩個控制端接入控制三個光電繼電器通斷的一組控制信號，三個光電繼電器的輸出端相連并輸出表決電壓信號。
4.根據(jù)權(quán)利要求1所述的表決結(jié)構(gòu)，其特征在于，姆個功能模塊由第一、第二光電繼電器串聯(lián)而成，第一、第二光電繼電器包括一控制端和ー輸出端，第一光電繼電器的控制端、第二光電繼電器的控制端分別接入ー控制第一光電繼電器和第二光電繼電器通斷的ー控制信號，第一光電繼電器的輸出端前極接入所述外部設(shè)備的電源電壓信號，第一光電繼電器的輸出端后極和第二光電繼電器輸出端前極相連，姆個功能模塊的第二光電繼電器的輸出端后極相連并輸出表決電壓信號。
5.一種采用如權(quán)利要求1-4任一項所述的三取ニ安全輸出的表決結(jié)構(gòu)的表決方法，其特征在于，包括如下步驟: 1)獲取第一控制信號、第二控制信號和第三控制信號，第一控制信號、第二控制信號和第三控制信號分別包括第一子控制信號和第二子控制信號； 2)對第一功能模塊、第二功能模塊和第三功能模塊進行上電自檢: 利用第一控制信號的第一子控制信號和第二控制信號的第一子控制信號控制第一功能模塊的通斷；第二控制信號的第二子控制信號和第三控制信號的第一子控制信號控制第ニ功能模塊的通斷；第三控制信號的第二子控制信號和第一控制信號的第二子控制信號控制第三功能模塊的通斷； 3)向第一控制信號、第二控制信號和第三控制信號輸入不同的自檢序列，根據(jù)第一功能模塊、第二功能模塊和第三功能模塊的反饋端反饋的自檢信號判斷第一功能模塊、第二功能模塊和第三功能模塊是否發(fā)生故障； 4)自檢完成后，第一控制信號、第二控制信號和第三控制信號輸入表決序列，并由第一功能模塊、第二功能模塊和第三功能模塊的輸出端輸出表決結(jié)果。
6.根據(jù)權(quán)利要求5所述 的表決方法，其特征在干，當自檢序列輸出第一控制信號的第一子控制信號和第二控制信號的第一子控制信號均為高電平時，若第一功能模塊的反饋端輸出低電平，則判斷第一功能模塊發(fā)生斷路；當自檢序列輸出第一控制信號的第一子控制信號和第二控制信號的第一子控制信號均為零電平時，若第一功能模塊的反饋端輸出高電平，則判斷第一功能模塊發(fā)生短路； 當自檢序列輸出第二控制信號的第二子控制信號和第三控制信號的第一子控制信號均為高電平時，若第二功能模塊的反饋端輸出低電平，則判斷第二功能模塊發(fā)生斷路；當自檢序列輸出第二控制信號的第二子控制信號和第三控制信號的第一子控制信號均為零電平時，若第二功能模塊的反饋端輸出高電平，則判斷第二功能模塊發(fā)生短路； 當自檢序列輸出第三控制信號的第二子控制信號和第一控制信號的第二子控制信號均為高電平時，若第三功能模塊的反饋端輸出低電平，則判斷第三功能模塊發(fā)生斷路；當自檢序列輸出第三控制信號的第二子控制信號和第一控制信號的第二子控制信號均為零電平時，若第三功能模塊 的反饋端輸出高電平，則判斷第三功能模塊發(fā)生短路。
全文摘要
本發(fā)明公開了一種三取二安全輸出的表決結(jié)構(gòu)及其表決方法，該表決結(jié)構(gòu)包括三個功能模塊；第一功能模塊用于接入外部設(shè)備的第一控制信號、第二控制信號和電源電壓信號，并對第一控制信號和第二控制信號進行與操作；第二功能模塊用于接入外部設(shè)備的第二控制信號、第三控制信號和電源電壓信號，并對第二控制信號和第三控制信號進行與操作；第三功能模塊用于接入外部設(shè)備的第一控制信號、第三控制信號和電源電壓信號，并對第三控制信號和第一控制信號進行與操作；三個功能模塊的輸出端相連并輸出表決電壓信號；每一功能模塊的輸出還引出一反饋端，自反饋端輸出各自的自檢信號。本發(fā)明既能夠?qū)崿F(xiàn)三取二輸出表決，又可以對表決結(jié)構(gòu)中各元件進行自檢。
文檔編號G05B23/02GK103092186SQ20121058504
公開日2013年5月8日 申請日期2012年12月28日 優(yōu)先權(quán)日2012年12月28日
發(fā)明者陳寅昊 申請人:北京交控科技有限公司