一种双冗余计算机高可靠切换方案

1、引言

在航空、航天计算机设计及研制中,经常采用双机对称冗余的体系结构。即一台主机A加一台设计完全相同的备机B,在主机故障的情况下,可利用双机切换装装置,切换至备机工作。当两台计算机均处于热机状态时,为了避免冲突,通常设置控制权信号。拥有控制权的计算机输出控制信号,而无控制权的计算机不能输出信号。一般包括赋A权和赋B权功能。除了“权”信号,还可以通过开、关机指令进行双机的切换,通常包括开双机、开A关B、开B关A指令。

以上功能一般都是通过遥控指令或自主指令实施的,遥控或自主指令的发送与当前计算机的工作状态有关,不能随意发送,否则可能会引发故障。如在A机开B机关的情况下,若发送了赋B权指令并且得到执行,则唯一的热机A机失去了“权”,会进入无输出状态,从而丧失计算机应有的功能；又如在A机有权的状态下,若发送了开B关A指令并且得到执行,则B机虽为热机却无“权”,处于无输出状态,计算机会丧失应有功能。

本方案的设计,就是为了避免由于误发控制指令而出现冷机被赋权（热机被夺权）、有权的热机被关掉的情况。

2、双机切换装置设计

主要是利用继电器对电源或指令的开关控制,实现赋权和开关机之间的相互制约。

图1是双机冗余计算机切换装置的电路原理框图。该双机切换装置包括四个部分。

第一部分是对双机供电进行开关控制的继电器电路。它包括两个继电器A、B；其中A为控制主机的电源开闭,B为控制备机的电源开闭；通过将控制指令作用于继电器的两个线包,实现对计算机A、B机电源的断开与闭合。

第二部分是对双机控制权进行切换的继电器电路。它通过一个继电器C控制主机和备机“权”的切换；通过将控制指令作用于继电器的两个线包,实现对计算机主机和备机“权”的切换。

第三部分是控制权对开关机指令进行约束的继电器电路。它包括两个继电器D、E。当赋权指令执行时,该电路将相应的关机指令对应的继电器线包供电断开,以使有权的计算机不被关掉。继电器D负责在赋A权执行时将主机的关机指令断开,继电器E负责在赋B权执行时将备机的关机指令断开。

第四部分是开关机动作对赋权指令进行约束的继电器电路。它包括两个继电器F、G,当发生关机动作时,该电路将相应的赋权指令对应的继电器线包供电关闭,以使之后对冷机的赋权指令不能够被执行。继电器F负责在关备机指令执行时将赋B权指令对应的继电器线包断电,继电器G负责在关主机指令执行时将赋A权指令对应的继电器线包断电。

3、双机切换的实施方式

参照图1中所标示,下面按控制指令逐条论述实施方式。

(1)开双机指令KAGB,可直接作用于继电器A、继电器B的开机线包。(2)开A机关B机指令KAGB,它作为开A机指令,可直接作用于继电器A的开机线包；它作为关B机指令,需经过另一继电器E的控制后作用于继电器B的关机线包。(3)开B机关A机指令KBGA,它作为开B机指令,可直接作用于继电器B的开机线包；它作为关A机指令,需经过另一继电器D的控制后作用于继电器A的关机线包。(4)赋A权指令FAQ,直接作用于继电器C相应的线包；但指令能否执行,则取决与相应线包是否有供电,利用另一继电器F来控制其供电开关,从而决定指令是否被执行。(5)赋B权指令FBQ,直接作用于继电器C相应的线包；但指令能否执行,则取决于相应线包是否有供电,利用另一继电器E来控制其供电开关,从而决定指令是否被执行。(6)当利用赋权指令对开关机指令进行约束时,赋权指令均直接作用于相应继电器D或E,但指令能否执行,则取决于该继电器相应线包是否有供电,利用继电器F、G来控制其供电开关,从而决定指令是否被执行。(7)当利用开关机指令对赋权指令进行约束时,开机指令可直接作用于相应继电器F或G的线包,而关机指令则需要经过另一组约束继电器D、E的控制后与线包接通。继电器组D、E和继电器组F、G形成了彼此交错嵌套,相互制约的关系。

4、结语

本方案通过采用继电器实现相互制约的控制权切换和开关机切换,来预防遥控或自主控制误指令可能引起的致命误操作,解决了飞行器计算机控制电路对误指令的容错问题,适用于所有双冗余计算机和双机冷冗余及双机热冗余模式,提高了系统的可靠性。

参考文献

[1]杨斌.模块化综合系统的重构技术.《电视技术》,2009,(6):45-48.

[2]姜连祥,李华旺,杨银庆,杨勤荣,黄海宇.航天器自主故障诊断技术研究进展.《宇航学报》,2009,(7):1320-1326.