基于二乘二取二安全冗余系统的安全控制装置及系统的制作方法.docx

基于二乘二取二安全冗余系统的安全控制装置及系统的制作方法专利名称：基于二乘二取二安全冗余系统的安全控制装置及系统的制作方法技术领域：本发明涉及铁路信号控制技术，尤其涉及基于二乘二取二安全冗余系统的安全控制装置及系统背景技术：二乘二取二安全冗余系统是用于实现铁路信号控制的常用系统铁路信号控制系统是由两套完全相同的安全控制系构成，二乘二取二安全冗余系统是需要两系中的CPU同步工作,方能保证正常运作当前中国列车运行控制系统(Chinese Train ControlSystem,以下简称CTCS) 2级和CTCS3级列控中心的二乘二取二安全冗余系统在实现二乘二取二的安全冗余功能时，都是由两个CPU各自独立对本CPU的运算结果和对方CPU的运算结果进行软件数据比较，若某一 CPU发现数据比较不一致，则该CPU停止对外输出执行CPU 输出命令的设备只有在收到双CPU提供的有效输出命令后才会做出驱动反应，从而实现安全控制现有的二乘二取二安全冗余技术虽然在对CPU输出结果的判断上大大提高了安全性，可以较大程度上避免了由于单CPU运算故障造成的错误输出，但由于比较只是在两个CPU中通过软件来实现，只要软件比较通过，输出命令就会被发出，一但命令发出后，该命令输出就会被执行，若此时发现问题，CPU的软件已经不可能再挽回发出的错误输出命令，这样错误的输出命令若被执行后就有可能造成严重的不安全后果。

另外，若在CPU输出命令电路或执行设备上发生软件不可控制的故障时，也有可能导致非CPU发出命令的错误执行，从而带来严重安全隐患，使得该二乘二取二安全冗余系统所提供的安全性降低，即该系统的可靠性较低发明内容针对上述缺陷，本发明提供一种基于二乘二取二安全冗余系统的安全控制装置，连接于二乘二取二安全冗余系统的两个CPU与执行设备之间，包括第一比较模块，用于获取所述两个CPU输出的数据，若比较获知所述两个CPU输出的数据一致，则生成第一驱动脉冲信号和第一控制脉冲信号；第二比较模块，与所述第一比较模块相同设置，且与所述第一比较模块连接，以生成反向的第二驱动脉冲信号和第二控制脉冲信号；安全动态驱动模块，分别与所述第一比较模块和所述第二比较模块连接，用于根据从所述第一比较模块和所述第二比较模块获取的驱动脉冲信号生成驱动信号；双继电器输出模块，分别与所述第一比较模块、所述第二比较模块及所述安全动态驱动模块连接，用于根据从所述第一比较模块和所述第二比较模块获取的控制脉冲信号及从所述安全动态驱动模块获取的驱动信号生成用于支持执行设备进行工作的执行指示信号根据本发明的另一方面，还提供了一种二乘二取二安全冗余系统，包括相互连接的第一 CPU和第二 CPU，执行设备，以及分别连接所述第一 CPU、所述第二 CPU和所述执行设备的、本发明提供的安全控制装置。

根据本发明的基于二乘二取二安全冗余系统的安全控制装置和二乘二取二安全冗余系统，由于能够独立于CPU对执行设备进行控制，即当发现存在故障或CPU发送错误数据时，能够立即切断执行设备的工作，避免了设备的误动作，提高了安全性图I为本发明基于二乘二取二安全冗余系统的安全控制装置的结构示意图图2为本发明基于二乘二取二安全冗余系统的安全控制装置中安全动态驱动模块的结构示意图图3为利用开关延时保护单元对驱动脉冲信号进行整形前后的对照时序图图4为示出了双继电器输出模块与安全继电器之间连接关系的示意图图5为本发明二乘二取二安全冗余系统的结构示意图具体实施例方式为使本发明的目的、技术方案和优点更加清楚，下面将结合附图，对本发明的技术方案进行清楚、完整地描述图I为本发明基于二乘二取二安全冗余系统的安全控制装置的结构示意图如图I所示，安全控制装置100设置在连接于二乘二取二安全冗余系统的两个CPU与执行设备之间，包括第一比较模块10，用于获取两个CPU(如图I中所示的第一 CPU，简称CPUl ;第二CPU,简称CPU2)输出的数据，若比较获知两个CPU输出的数据一致，则生成第一驱动脉冲信号和第一控制脉冲信号；其中，CPUl与CPU2相互连接，以获取对方运算结果，并将自身运算结果与对方运算结果进行比较，当两者运算结果相一致时，则向外发送输出命令数据，该输出命令数据用于启动执行设备。

第二比较模块20，与第一比较模块10相同设置，且与第一比较模块10连接，以生成反向的第二驱动脉冲信号和第二控制脉冲信号； 其中，第一比较模块10和第二比较模块20均接收CPUl和CPU2发送的输出命令数据，并当满足以下两个条件时认为系统处于安全控制状态其一，能够持续接收到CPUl和CPU2发送的输出命令数据；其二，经比较获知CPUl和CPU2发送的输出命令数据一致当第一比较模块10和第二比较模块20认为系统处于安全控制状态时，对CPUl和CPU2的输出命令数据所对应的执行设备发出能够使其进入工作状态的安全控制信号，包括驱动脉冲信号和控制脉冲信号；一旦CPUl和CPU2中的任何一个对它不连续发送数据或两者发送来的数据比对不一致，则认为系统处于非安全控制状态，停止对外的安全控制，即停止执行设备的工作并且，第二比较模块20与第一比较模块10连接，以实现两者之间的信息传递，用以协调工作，使得两者对外输出的驱动脉冲信号和控制脉冲信号始终保持反向安全动态驱动模块30，分别与第一比较模块10和第二比较模块20连接，用于根据从第一比较模块10和第二比较模块20获取的驱动脉冲信号生成驱动信号；其中，安全动态驱动模块30从第一比较模块10和第二比较模块20接收到两路驱动脉冲信号，并对该两路驱动脉冲信号进行“鉴相”，即判断该两路驱动脉冲信号的相位是否相反，若相反，则该安全动态驱动模块30输出驱动信号；若不相反，则不输出。

该驱动信号为具有一定功率的直流信号双继电器输出模块40，分别与第一比较模块10、第二比较模块20及安全动态驱动模块30连接，用于根据从第一比较模块10和第二比较模块20获取的控制脉冲信号及从安全动态驱动模块30获取的驱动信号生成用于支持执行设备进行工作的执行指示信号其中，双继电器输出模块40从安全动态驱动模块30获取驱动信号、从第一比较模块10获取一路控制驱动信号、并从第二比较模块20获取另一路控制驱动信号在驱动信号及两路控制驱动信号同时作用于双继电器输出模块40时，能够向执行设备输出执行指示信号该执行设备能够在该执行指示信号的驱动下工作，当双继电器输出模块40停止输 出该执行指示信号时，执行设备便立即停止工作根据上述实施例的基于二乘二取二安全冗余系统的安全控制装置，由于第一比较模块和第二比较模块需对两个CPU输出的数据进行检验和比较，并仅当经检验和比较获知当前系统处于安全控制状态时，才输出驱动脉冲信号和控制脉冲信号；安全动态驱动模块和双继电器输出模块对该驱动脉冲信号和控制脉冲信号进行检验和/或处理，使得仅当驱动脉冲信号和控制脉冲信号均正常时，才能够输出用于支持执行设备工作的执行指示信号，若任一信号发生异常，则不发送执行指示信号，使得执行设备立即停止工作。

因此，利用这种安全控制装置，当两个CPU中的任意一个CPU在发出输出命令数据后，若发现该命令可能存在问题或系统存在故障，则可以立即通知该安全控制装置，从而切断执行设备的工作，中断错误命令的执行，避免了设备的误动作，提高了安全性进一步地，在上述实施例的基于二乘二取二安全冗余系统的安全控制装置中，第一比较模块/第二比较模块包括存储单元，用于获取并暂存两个CPU输出的数据；比较单元，与存储单元连接，用于对经暂存后输出的所述数据进行一致性校验，并当校验结果为一致时，生成第一 /第二驱动脉冲信号和第一 /第二控制脉冲信号其中，存储单元例如为先进先出双口缓存器(First In First Out，以下简称FIFO),比较单元例如实现在现场可编程门阵列(Field Programmable Gate Array,以下简称FPGA)芯片内部第一比较模块中的存储单元与CPUl连接，对其输出的输出命令数据进行FIFO暂存，该第一比较模块从第二比较模块中的存储单元获取CPU2输出的输出命令数据，即两个比较模块中的存储单元分别用于对一个CPU的输出进行暂存，并将暂存输出后的数据同时提供至两个比较模块中的比较单元。

两个比较模块中的FPGA相互连接，以协调工作，使得两者对外输出的驱动脉冲信号和控制脉冲信号始终保持反向进一步地，在上述实施例的基于二乘二取二安全冗余系统的安全控制装置中，比较单元还与CPU连接，用于与CPU进行故障信息发送/接收根据上述实施例的安全控制装置，能够实现比较单元与CPU之间的信息交换，使得比较单元能够控制CPU对存储单元的数据发送，例如当经比较单元判断后，认为该系统处于非安全控制状态而切断执行设备的工作时，其将该安全控制装置的工作状态反馈给CPU，从而使得CPU停止发送数据；另外，当CPU获知故障信息时，其可直接将故障信息发送给比较单元，而无需经FIFO的暂存，从而提高了响应效率图2为本发明基于二乘二取二安全冗余系统的安全控制装置中安全动态驱动模块的结构示意图如图2所示，在上述实施例的安全控制装置中，安全动态驱动模块可包括开关延时保护单元、电容充放电单元和光耦单元下面对各单元进行详细说明开关延时保护单元，用于对从第一比较模块(即FPGA1)和第二比较模块(即FPGA2)接收的互为反向的第一驱动脉冲信号和第二驱动脉冲信号进行脉冲延时整形；其中，安全动态驱动模块首先通过开关延时保护单元对两个比较模块输出的互为返向的驱动脉冲信号进行延时整形，以防止两路驱动脉冲信号同时出现高电平的情形。

图3为利用开关延时保护单元对驱动脉冲信号进行整形前后的对照时序图如图3所示，通过 开关延时保护单元的延时整形处理，两路驱动脉冲信号的高电平时间比原始驱动脉冲信号的高电平时间缩短了时间t，这样两路驱动脉冲信号的高电平时间和低电平的时间就相差了 2t，从而保障了该两路驱动脉冲信号在高电平处的相异性电容充放电单元，连接有外部电源，用于对第一驱动脉冲信号和所述第二驱动脉信号进行鉴相，并当判断获知两者中仅一者为高电平时，生成所述驱动信号；其中，电容充放电模块对两路处理后的脉冲驱动信号进行“鉴相”，即判断两路脉冲驱动信号的相位(包括处于高电平或低电平，以及两路信号是否相反)只有两路脉冲驱动信号在任一信号的高电平处相位相反，电容充放电模块才输出具有一定功率的直流信号驱动双继电器输出模块，该直流信号由电容充放电模块中的放电电容的放电量达预定值时产生，该电容充放电模块的外接24V电源并不能直接触发驱动信号光耦单元，设置在所述开关延时保护单元与所述电容充放电单元之间，用于将所述开关延时保护单元与所述电容充放电单元的所述外部电源隔离，即用于实现FPGA输出的脉冲驱动信号与用于为电容充放电单元供电的24V电压之间的相互隔离，以避免该24V电压造成对开关延时保护单元的损坏。

而且，该安全动态驱动模块还可包括监测单元M，用于监测电容充放电单元，并将监测信号发送至比较单元，以使得比较单元根据监测信号判断电容充放电单元是否发生故障，并当判断获知发生故障时，向CPU发送故障信息其中，该监测单元M对于电容充放电单元中的充放电晶体管进行监测，并将监测结果发送至FPGA，若FPGA发现该监测结果连续数次(例如为三次)异常(即压降值不在预定范围内)，则停止输出驱动脉冲信号，同时将故障信息上报给CPU通过设置该监测单元M能够及时发现充放电晶体管的隐含故障，提高了安全性进一步地，上述实施例的基于二乘二取二安全冗余系统的安全控制装置与执行设备之间通过安全继电器连接，相应地，双继电器输出模块生成的执行指示信号用于使安全继电器的励磁吸引，从而为执行设备提供工作电源供给图4为示出了双继电器输出模块与安全继电器之间连接关系的示意图如图4所示，双继电器输出模块由两个继电器和两个电子开关构成每个继电器的线包与电子开关串联后构成并联结构，并与安全动态驱动模块连接该双继电器输出模块的。