一种基于嵌入式CPU的双机冗余容错系统

技术领域

本发明涉及一种应用于自动控制领域的双机冗余容错系统，尤其涉及一种基于嵌入式CPU的双机冗余容错系统。

背景技术

基于嵌入式CPU的双机冗余系统在工业现场有很多应用，在航空航天、供配电及电信等行业的大量实例表明，在高可靠性要求的环境中的双机冗余系统一般都经过单一的仲裁切换模块进行选择输出。

目前基于嵌入式CPU的双机冗余系统只是对CPU进行冗余设计，仲裁切换电路和输出模块都未进行冗余设计，若这些部分出现故障，系统将没有冗余备份，当这些故障无法进行修复时，系统将输出错误而产生故障，导致系统不能正常运行。传统的双机冗余容错系统存在的主要缺点是系统存在单点故障从而引起系统故障，系统总体可靠性不高。由于仲裁切换电路和输出模块并未采用冗余结构，这些部分出现故障则整个系统出现不可恢复故障。

发明内容

本发明是提供一种基于嵌入式CPU的双机冗余容错系统，解决传统双机冗余容错系统存在的单点故障问题，实现在系统发生一度故障模式下仍能通过切换到冗余备份设备，使系统保持正常工作状态。

为实现上述目的，本发明采用技术方案如下：

一种基于嵌入式CPU的双机冗余容错系统主要包括：双冗余CPU模块和双冗余输出切换模块。

其中双冗余CPU模块，包括两个功能相同的CPU模块，分别为第一CPU模块和第二CPU模块，系统工作时第一CPU模块和第二CPU模块中的一个作为主CPU，另外一个作为从CPU。它们各自带有看门狗电路，在本机程序跑飞时重新启动，并且通过双机通讯互相监视，若主CPU出现故障且无法屏蔽自身的输出时，从CPU借助双冗余切换模块屏蔽原主CPU输出，并将从机切换到主CPU工作状态，双冗余CPU模块间通过URAT通讯接口和SPI通讯接口连接，实现双冗余CPU之间的通信，避免单一通信接口出现故障而导致主从机之间通信失效。主从CPU模块完成传感器的数据采集，然后进行数据处理及运算，最后将结果经由双冗余输出切换模块输出，驱动执行模块工作。

其中双冗余输出切换模块，包括两个功能相同的输出切换模块，输出切换模块由仲裁切换模块和输出驱动模块组成，仲裁切换模块采用时序逻辑电路设计，并与第一CPU模块和第二CPU模块的I/O口连接，CPU模块通过发送方波信号给仲裁切换模块实现主从切换，仲裁切换模块的输出信号与CPU的输入引脚相连接，由CPU监视仲裁切换模块的输出结果；输出驱动模块采用三态门电路驱动输出，由仲裁切换模块与CPU模块共同控制其输出状态，同时输出驱动模块由CPU控制其是否上电工作。

在双CPU的切换过程中，采用双机冗余互相判断，通过双步切换方式避免由于从CPU的故障进行误判而进行的一次误切换，主CPU在从CPU进行一次切换后通过切换到冗余输出模块进行输出，从CPU出现故障而出现误动作时，从CPU不会按预定程序执行切换的全部过程，若主CPU出现故障则不会切换到冗余输出模块进行切换而保证了双机冗余的高可靠工作，避免了由于其中一个CPU故障而产生的误切换。

在系统出现CPU模块故障或输出切换模块故障的情况下，都可用通过双冗余结构切换到其备份设备，使系统继续正常工作。

双冗余CPU之间的通信采用URAT通讯接口和SPI通讯接口两个通信链路，避免单一链路故障导致的双机通信失效。

切换信号采用固定脉宽的脉冲信号取代传统的高低电平信号，有效的防止故障CPU产生的误切换信号。输出模块采用三态门电路，有效的对CPU故障而导致的管脚悬空、低电平或高电平的输出进行屏蔽。

采用通讯模块与上位机进行通讯，通过上位机对系统进行操作及设置，并且在上位机上监控系统状态。若在较长时间内上位机都没有收到主CPU的数据则判断主CPU出现故障，并发出切换信号，使从CPU执行切换程序，并切换到主CPU工作模式。

本发明采用双CPU冗余、双输出切换模块冗余，通过输出切换模块选择正确的CPU结果作为输出。本发明采用双机互检及双冗余切换电路设计，切换方法简化，系统总体可靠性高，选用部件结构简化，性价比高。与现有的双机冗余技术相比，本发明具有如下优点：

1、系统采用双冗余CPU和双冗余输出切换模块，提高系统整体可靠性，避免单点故障引起系统故障。

2、主从CPU采用双步切换方式，避免从CPU故障引起电平变化而引起误切换。

3、系统在其中一个CPU出现故障停留在某一状态或者程序跑飞时系统进行冗余切换并实现稳定输出。

4、切换信号采用固定脉宽的脉冲信号，避免传统高低电平信号容易导致系统的误切换。

附图说明

图1是本发明的系统结构框图；

图2是本发明的双冗余单片机与双冗余切换电路的电路图；

图3是本发明的系统状态转换图。

图中：

1、第一CPU模块；   2、第二CPU模块； 3、第一输出切换模块；  4、第二输出切换模块；

5、传感器；        6、通讯模块；    7、基板；              8、执行模块；

9、上位机；        31、第一输出驱动模块；32、第一仲裁模块；41、第二输出驱动模块；

42、第二仲裁模块； 311、第一三态门；     312、第二三态门； 321、第一驱动电路；

322、第一或门；    323、第一与非门；     324、第二与非门； 325、第一D触发器；

326、第二或门；    327、第三与非门；     411、第三三态门； 412、第四三态门；

421、第三驱动电路；422、第四与非门；     423、第二D触发器；424、第三或门；

425、第五与非门；  426、第六与非门；     427、第四或门。

具体实施方式

以下结合附图和具体实施方式进一步说明本发明的特点。

如图1所示，本发明的一种基于嵌入式CPU的双机冗余容错系统包括基板7，自带看门狗的双冗余的第一CPU模块1和第二CPU模块2，第一仲裁切换模块32与第一输出驱动模块31组成的第一输出切换模块3，第二仲裁切换模块42与第二输出驱动模块41组成的第二输出切换模块4和通讯模块6。第一CPU模块1、第二CPU模块2、第一输出切换模块3、第二输出切换模块4和通讯模块6均安装在基板7上并且通过通讯模块6与上位机9进行通讯。第一CPU模块1与第一仲裁切换模块32、第二仲裁切换模块42连接；第二CPU模块2与第一仲裁切换模块32、第二仲裁切换模块42连接，第一CPU模块1与第二CPU模块2发出切换指令，并且监视第一仲裁切换模块32、第二仲裁切换模块42的状态；第一CPU模块1输出连接第一输出驱动模块31、第二输出驱动模块41，并且监视第一输出驱动模块31、第二输出驱动模块41的输出；第二CPU模块2输出连接第一输出驱动模块31、第二输出驱动模块41，并且监视第一输出驱动模块31、第二输出驱动模块41的输出；第一仲裁切换模块32输出与第一输出驱动模块31的选通端相连控制第一输出驱动模块31是否导通，第二仲裁切换模块42输出与第二输出驱动模块41的选通端相连控制第二输出驱动模块41是否导通；第一输出驱动模块31、第二输出驱动模块41输出与执行模块8、通讯模块6的输入相连，通讯模块6与第一CPU模块1和第二CPU模块2的RXD引脚相连。第一CPU模块1和第二CPU模块2间通过对应引脚相连实现双机通讯。下面详述每个部件的结构及其工作机理。

第一CPU模块1和第二CPU模块2各自带有看门狗电路，系统工作时第一CPU模块1和第二CPU模块2一个作为主CPU，另外一个作为从CPU，主从CPU模块在本机程序跑飞时重启，并且双机间通过两种通讯接口进行询问与应答，实现双机的互检。主从CPU模块完成传感器5的数据采集，然后进行数据处理及运算，最后将结果经由第一输出切换模块3或第二输出切换模块4输出，驱动执行模块8工作。

第一仲裁切换模块32与第一输出驱动模块31组成的第一输出切换模块3，第二仲裁切换模块42与第二输出驱动模块41组成的第二输出切换模块4，它们一起形成双冗余输出切换模块结构，第一仲裁切换模块32和第二仲裁切换模块42为时序逻辑电路，与第一CPU模块1、第二CPU模块2的I/O口连接，接收CPU的输出作为切换信号，仲裁切换模块由触发器及与非门电路组成，图2是本发明一个实施例，其中仲裁切换模块部分采用D触发器、与非门组成，主CPU与从CPU通过发送方波信号给第一仲裁切换模块32和第二仲裁切换模块42实现主从切换，并且第一仲裁切换模块32的输出信号与第一CPU模块1的输入引脚相连接，第二仲裁切换模块42的输出信号与第二CPU模块2的输入引脚相连接，由第一CPU模块1监视第一仲裁切换模块32输出结果，第二CPU模块2监视第二仲裁模块42的输出结果。

第一输出驱动模块31由第一仲裁切换模块32与第一CPU模块1共同控制其输出状态，同时第一输出驱动模块31由第一CPU模块1控制其是否上电工作；第二输出驱动模块41由第二仲裁切换模块42与第二CPU模块2共同控制其输出状态，同时第二输出驱动模块41由第二CPU模块2控制其是否上电工作。

通信模块6采用232通讯，本实施例中采用MAX232及周边电路实现，RXD信号引脚同时接到第一CPU模块1与第二CPU模块2的RXD0引脚，并且第一CPU模块1与第二CPU模块2的TXD0与TXD0’引脚接到第一输出驱动模块31和第二输出驱动模块41，经第一输出驱动模块31和第二输出驱动模块41选择后形成TXD输出信号，并连接到MAX232的对应引脚。

通讯模块6与上位机9进行通讯，在上位机9上监视系统的工作状态，并能通过手动的方式控制第一CPU模块1与第二CPU模块2的工作状态与主从CPU之间的切换。

双冗余CPU主从切换采用双步切换过程：

假设工作在第一CPU模块1作为主CPU，第二CPU模块2作为从CPU。

从CPU第二CPU模块2切换到主CPU工作模式，并通过对对应引脚的控制使输出切换模块3选择新主CPU第二CPU模块2的结果输出；在原从CPU第二CPU模块2无故障的情况下，原从CPU现作为主CPU工作，并且再次对原主CPU第一CPU模块1发出询问信号；若原从CPU第二CPU模块2发生错误而错误地发出切换信号，原主CPU第一CPU模块1通过对输出切换模块3监视发现输出与输入不同，则对输出切换模块3断电，对输出切换模块4上电并且使其选择原主CPU第一CPU模块1的结果作为系统输出，并且在新主CPU第二CPU模块2进行询问时原主CPU第一CPU模块1给予应答，则原从CPU第二CPU模块2不会进行后续切换程序；在原从CPU第二CPU模块2出现掉电或程序跑飞等故障而产生引脚电平跳变引起误切换而原主CPU第一CPU模块1无故障情况下，则在误切换后原主CPU第一CPU模块1在询问原从CPU第二CPU模块2无应答，则原主CPU第一CPU模块1通过输出切换模块3屏蔽出故障的原从CPU第二CPU模块2的输出，并且原从CPU第二CPU模块2由于自身故障不会继续执行切换程序。避免原从CPU第二CPU模块2的某次故障错误切换；若原主CPU第一CPU模块1在一定时间内无应答，则新主CPU第二CPU模块2第二次判断原主CPU第一CPU模块1故障，则新主CPU第二CPU模块2的对应引脚使输出切换模块4工作，通过输出切换模块4选择新主CPU第二CPU模块2作为主机输出，并且对输出切换模块3断电。

图2是本发明的一个实施的双冗余单片机与双冗余切换电路的电路图，第一CPU模块1由ATMEGA128L构成，通过引脚PC.0和第四与非门422，通过PC.1和第一或门322的输入端和第一D触发器325的CLK引脚相连，通过PC.2和第五与非门425和第三或门424的输入端引脚相连，PE.6通过第三驱动电路421驱动第三三态门411，PE.7通过第一驱动电路321驱动第一三态门311，第一CPU模块1的输出引脚接到第一三态门311和第三三态门411的输入端D0…D7，第一仲裁切换模块32与第二仲裁切换模块42由第一D触发器325、第二D触发器423、第一与非门323、第二与非门324、第三与非门327、第四与非门422、第五与非门425、第六与非门426、和第一或门322、第二或门326、第三或门424、第四或门427组成，第一CPU模块1输出切换方波信号的引脚PE.0、PE.1与PE.2在正常状态下为低电平，并且第一或门322、第三或门424此时才会被选中输出低电平，第一三态门311、第三三态门411的/OE端才会置低，才会被选中作为系统输出，否则不会被选中并且输出为高阻态。第二D触发器423输出Q通过第六或非门426产生逻辑相反信号与另一CPU2支路的第四或门427的输入端相连，保障主CPU第一CPU模块1与从CPU第二CPU模块2的输出不会同时被选中作为系统输出。第一三态门311、第三三态门411各引出一个引脚的信号被第一CPU模块1监视，并且引出第二D触发器423和第一与非门323的输出信号作为第一CPU模块1的输入信号，监视第一三态门311、第三三态门411是否正常工作，并且这两个三态门的供电由第一CPU模块1控制，在一个第一三态门311或第三三态门411出现故障时检测到并且通过PE.6或PE.7对故障输出驱动模块断电并且切换到正常输出驱动模块工作，上述内容构成第一CPU模块1支路。第一CPU模块1支路的电路结构复制到第二CPU模块2的电路中，构成第二CPU模块2支路，即第二CPU模块2支路也采用相同的电路结构，具体电路参照图2。

主CPU第一CPU模块1与从CPU第二CPU模块2都各自带有看门狗电路，在本机程序跑飞时进行重置。双冗余第一CPU模块1和第二CPU模块2之间的通信采用URAT通讯接口和SPI通讯接口进行询问与应答，实现双机的互检，SPI通讯速率快但需要双冗余CPU间协同，数据量大的数据通过SPI接口传输，UART口传输速率慢但可靠性高，状态字与命令字数据量小通过UART口传输。

主从CPU间通过采用询问应答机制，在某一CPU出现故障时，对方CPU询问无应答而做出故障判断，并且通过输出切换模块进行切换，屏蔽故障CPU的输出，工作正常的CPU作为主机运行，并且通过输出切换模块输出正确的控制信号。

主从CPU的切换采用双步切换方式，假设正常工作时各个模块的状态为：第一CPU模块1做主CPU，第二CPU模块2作为从CPU工作，主从CPU分别通过主CPU1的引脚PE.7与从CPU2的引脚PE.6对第一三态门311与第二三态门312供电，并且都是为主CPU输出信号接到的第一三态门311输出，从CPU输出信号接到的第三三态门411输出为高阻态，并且第一D触发器325的Q端输出电平为高，第二D触发器423的Q端输出电平为低，整个系统等价于主CPU1工作，总输出为第一三态门311的输出。若主CPU1在发生故障时，从CPU2的询问信号发出后一定时间内没有收到主CPU1的应答信号则从CPU2判断主CPU1发生故障，从CPU2进入切换程序，切换机制过程如下：

从CPU2通过引脚PC.0发出一个方波信号后恢复低电平，通过与非门324使第一D触发器325的输出Q端置“1”使第一三态门311的输出引脚置为高阻态，并使第二三态门312的/OE端置低，使从CPU2输出信号接到的第二三态门312开通，使从CPU2切换到主机工作模式并且使其输出通过第二三态门312作为系统输出；在原从CPU2无故障的情况下，原从CPU2现作为主机工作，并且再次对原主CPU1发出询问信号；若原从CPU2发生错误而错误地发出切换信号，原主CPU1通过对第一三态门311的/OE端和输出端监视判断第一三态门311输出与输入不同，则对应引脚PE.7对其断电，同时通过PE.6对第三三态门411供电，并且同时通过PC.0引脚发出一个方波信号使第二D触发器423输出端Q置高电平，通过原主CPU1的输出通过第四三态门412输出，原主CPU1的对应引脚PC.1输出一个方波信号后置低通过第一D触发器325使输出Q的逻辑电平翻转后变为高电平，并且在新主CPU2进行询问时原主CPU 1给予应答，则原从CPU2停止执行切换程序；若原从CPU2出现掉电或程序跑飞等故障而产生引脚电平跳变引起误切换，则在误切换后原主CPU1在询问原从CPU2无应答，则原主CPU1通过向引脚PC.1发出一个方波信号，使第一D触发器325的Q端信号翻转，使第三三态门411输出为高阻，屏蔽出故障的原从CPU的输出，并且原从CPU2由于自身故障不会执行全部的切换程序。避免原从CPU2的某次故障错误切换。若原主CPU1在一定时间内无应答，则新主CPU2第二次判断原主CPU1故障，则新主CPU2的对应引脚PC.1输出一个方波信号后置低通过第二D触发器423使输出Q的逻辑电平翻转后变为高电平，通过第三或门424使第三三态门411的/OE端置高，并且由第六与非门426输出低电平，第四或门427输出置第四三态门412的/OE端置低。并且在整个切换过程中新主CPU2通过引脚PE.6和PE.7分别对第三三态门411断电，对第四三态门412上电；

双冗余输出切换模块的切换程序，假设在正常工作状态时，输出切换模块3被选择作为输出端时出现故障，则工作在主机状态的CPU通过检测输出驱动模块的状态对输出驱动模块的错误进行判断，而对故障部分第一三态门311进行断电，并且对第二三态门312供电切换到备份模块的输出作为系统输出；

上位机9也参与双机故障判断，由于主CPU第一CPU模块1通过通讯模块6定周期与上位机9通讯，若上位机9在过长时间没有收到来自主CPU第一CPU模块1的通信，则通过上位机9发出切换命令切换到从CPU第二CPU模块2执行切换程序使原从CPU第二CPU模块2作为主机工作并选择切换输出驱动模块输出。

本发明的一种基于嵌入式CPU的双机冗余容错系统的在系统出现某个部件故障的情况下，都可用通过双冗余结构切换到其备份设备，使系统继续正常工作，根据故障部位的不同，系统将分为13种工作状态。如图3所示为本发明的系统状态转换图，状态I与状态III为系统正常工作状态，系统开机初始化后工作在状态I，第一CPU模块1作为主CPU工作，第二CPU模块2作为从CPU监视，第一输出切换模块3工作，执行输出。在系统发生部件发生故障的情况下，系统状态转换如下：

状态I：第一CPU模块1做主CPU，第二CPU模块2做从CPU，第一输出切换模块3工作，第二输出切换模块4备份。若第一CPU模块1故障则切换到状态II；若第二CPU模块2故障则切换到状态IV；若第一输出切换模块3故障则切换到状态V；若第二输出切换模块4故障则切换到状态VI；若收到上位机主从切换命令则切换到状态III；

状态II：第二CPU模块2做主CPU，无从CPU，第二输出切换模块4工作，第一输出切换模块3备份。若第二CPU模块2故障则切换到状态XIII；若第一输出切换模块3故障则切换到状态VIII；若第二输出切换模块4故障则切换到状态VII；

状态III：第二CPU模块2做主CPU，第一CPU模块1做从CPU，第二输出切换模块4工作，第一输出切换模块3备份。若第一CPU模块1故障则切换到状态II；若第二CPU模块2故障则切换到状态IV；若第一输出切换模块3故障则切换到状态IX；若第二输出切换模块4故障则切换到状态X；若收到上位机主从切换命令则切换到状态I。

状态IV：第一CPU模块1做主CPU，无从CPU，第一输出切换模块3工作，第二输出切换模块4备份。若第一CPU模块1故障则切换到状态XIII；若第一输出切换模块3故障则切换到状态XII；若第二输出切换模块4故障则切换到状态XI；

状态V：第一CPU模块1做主CPU，第二CPU模块2做从CPU，第二输出切换模块4工作，第一输出切换模块3故障。若第一CPU模块1故障则切换到状态VIII；若第二CPU模块2故障则切换到状态XII；若第二输出切换模块4故障则切换到状态XIII；

状态VI：第一CPU模块1做主CPU，第二CPU模块2做从CPU，第一输出切换模块3工作，第二输出切换模块4故障。若第一CPU模块1故障则切换到状态VII；若第二CPU模块2故障则切换到状态XI；若第一输出切换模块3故障则切换到状态XIII；

状态VII：第二CPU模块2做主CPU，无从CPU，第一输出切换模块3工作，第二输出切换模块4故障。若第二CPU模块2故障或第一输出切换模块3故障则切换到状态XIII。

状态VIII：第二CPU模块2做主CPU，无从CPU，第二输出切换模块4工作，第一输出切换模块3故障。若第二CPU模块2故障或第二输出切换模块4故障则切换到状态XIII。

状态IX：第二CPU模块2做主CPU，第一CPU模块1做从CPU，第二输出切换模块4工作，第一输出切换模块3故障。若第一CPU模块1故障则切换到状态VIII；第二CPU模块2故障则切换到状态XII，若第二输出切换模块4故障则切换到状态XIII；

状态X：第二CPU模块2做主CPU，第一CPU模块1做从CPU，第一输出切换模块3工作，第二输出切换模块4故障。若第一CPU模块1故障则切换到状态VII；若第二CPU模块2故障则切换到状态XI；若第一输出切换模块3故障则切换到状态XIII；

状态XI：第一CPU模块1做主CPU，无从CPU，第一输出切换模块3工作，第二输出切换模块4故障。若第一CPU模块1故障或第一输出切换模块3故障则切换到状态XIII；

状态XII：第一CPU模块1做主CPU，无从CPU，第二输出切换模块4工作，第一输出切换模块3故障。若第一CPU模块1故障或第二输出切换模块4故障则切换到状态XIII；

状态XIII：系统故障，无法正确输出。

假设系统启动后正常工作情况下第一CPU模块1为主CPU，第二CPU模块2为从CPU。在第一CPU模块1或第二CPU模块2出现以下故障，系统进行冗余切换，保证系统正常运行：

1、若主CPU第一CPU模块1程序跑飞，由本机看门狗电路检测并重启，在重启阶段开始由从CPU第二CPU模块2执行切换程序并作为新主机工作。

2、若从CPU第二CPU模块2程序跑飞，由本机看门狗电路检测并重启，并且原主CPU第一CPU模块1作为主机继续工作。

3、若主CPU第一CPU模块1故障掉电，各引脚都悬空或主CPU第一CPU模块1故障置为低电平，则原从CPU第二CPU模块2在询问无应答判断出故障并执行切换程序后作为新主机工作。

4、若从CPU第二CPU模块2故障掉电，各引脚都悬空或从CPU第二CPU模块2故障置为低电平，则原主CPU第一CPU模块1继续作为主机工作。

5、若主CPU第一CPU模块1故障，引脚为高电平，则本支路输出驱动模块都会被置为高阻态而被屏蔽掉本支路输出，原从CPU第二CPU模块2检测到原主CPU第一CPU模块1故障并执行切换程序并作为新主机工作。

6、若从CPU第二CPU模块2故障，引脚为高电平，则本支路输出驱动模块都会被置为高阻态而被屏蔽掉本支路输出，原主CPU第一CPU模块1继续作为主机工作。

第一输出切换模块3出现故障，由第一CPU模块1与第二CPU模块2通过检测第一输出切换模块3状态而检测到故障而通过对应引脚对故障输出驱动模块3切断供电，并且对备用冗余第二输出驱动模块4上电工作。

若上位机9长时间没有收到数据，双冗余CPU及双输出切换模块出现故障并未进行切换时，则由上位机9对双冗余CPU发出切换信号执行切换。

本发明中通过双机冗余互相判断，通过二步切换方式避免由于从CPU的故障进行误判而进行的一次切换，主CPU在从CPU进行一次切换后通过切换到冗余输出模块进行输出，从CPU出现故障时，从CPU不会对两个不同引脚按次序发送切换方波信号，不会进行切换的全部过程。主CPU出现故障则不会切换到冗余输出模块进行切换而保证了双机冗余的高可靠工作，避免了由于其中一个CPU故障而产生的误切换。