Дублированное микропроцессорное устройство для систем управления движением поездов
Полезная модель относится к микропроцессорной технике, к электронным устройствам с аппаратной и программной избыточностью, которые применяются в системах железнодорожной автоматики для управления движением поездов. В дублированное микропроцессорное устройство для систем управления движением поездов входят: первый и второй каналы, элемент «исключающее ИЛИ», схема запуска, схема контроля, цифровой и аналоговый и интерфейсы, цифровой сигнальный процессор (ЦСП), генератор тактовых импульсов. В первый и второй каналы входят первый и второй микроконтроллеры. Аналоговый и цифровой интерфейсы обеспечивают сопряжение дублированного микропроцессорного устройства с объектом управления. Цифровой сигнальный процессор выполняет контроль и обработку информации, поступающей от объекта управления. ЦСП работает асинхронно по отношению к первому и второму микроконтроллерам. Программное обеспечение ЦСП построено с избыточностью, операции ввода/вывода и обработку данных выполняют две разные программы. Результаты работы первой и второй программы поступают на входы, соответственно, первого и второго микроконтроллеров. Первый и второй микроконтроллеры работают синхронно, по одной программе. Входы синхронизации первого и второго микроконтроллеров объединены и подсоединены к выходу генератора тактовых импульсов. Входы/выходы первого и второго микроконтроллеров подключены к элементу «исключающее ИЛИ». Первый и второй микроконтроллеры передают байты, которые поступают на их входы из ЦСП и цифрового интерфейса, в элемент «исключающее ИЛИ» для аппаратного сравнения. Элемент «исключающее ИЛИ» обнаруживает искажение данных под действием помех на входе первого и второго микроконтроллеров. В этом случае первый и второй микроконтроллеры игнорируют введенные данные и повторяют операции ввода и вычисления. В процессе работы первый и второй микроконтроллеры формируют динамические сигналы и передают их на входы схемы контроля для аппаратного сравнения. Схема контроля обеспечивает безопасность при работе дублированного микропроцессорного устройства, обнаруживает отказы микроконтроллеров и включает схему запуска. Схема запуска перезапускает неисправный канал. Технический результат заявленной полезной модели состоит в том, что заявленное устройство обеспечивает защиту от искажений сигналов на входах микроконтроллеров, при этом исключается необходимость перезапуска схемы.
Полезная модель относится к микропроцессорной технике, к электронным устройствам с аппаратной и программной избыточностью, которые применяются в системах железнодорожной автоматики для управления движением поездов.
К системам железнодорожной автоматики предъявляют высокие требования по надежности и безопасности работы устройств. Безопасность функционирования обеспечивается за счет аппаратной и программной избыточности /Л.-1/.
Так, например, известна зарубежная компьютерная система управления движением поездов SMILE/Л.-2/. В системе SMILE имеется подсистема автоблокировки, аппаратура которой реализована по безопасной трехканальной схеме. В каждом канале имеется процессор, ОЗУ, ПЗУ и мажоритарная схема. Три процессора синхронизируются одним генератором тактовой частоты. При выполнении операций ввода-вывода состояние шин адреса и данных, а также управляющие сигналы от трех каналов поступают в мажоритарную схему. Мажоритарная схема выполняет поразрядное сравнение данных от трех каналов по принципу «большинства голосов». При обнаружении отказа в одном канале, неисправный канал выключается, а два оставшихся работают по дублированной схеме. При возникновении отказа в дублированной схеме, система выключается.
Информация с шины адреса, шины данных и управляющие сигналы трех каналов поступают на входы шести безопасных компараторов. Безопасный компаратор выполняет поразрядное сравнение данных. В состав безопасного компаратора входят два синхронно работающих сдвиговых регистра, элемент «исключающее ИЛИ» и двухразрядный сдвиговый регистр. Первый и второй входы элемента «исключающее ИЛИ» подсоединены к выходам первого и второго сдвиговых регистров. Выход элемента «исключающее ИЛИ» соединен с двухразрядным сдвиговым регистром. На входы первого и второго сдвиговых регистров поступают контролируемые сигналы. Частота сдвига первого и второго регистров задается внутренним генератором. Чтобы исключить отказ типа «константа 0» на выходе безопасного компаратора, к последовательности
битов добавляют дополнительный проверочный разряд. В этот разряд первого регистра заносится 0, а в одноименный разряд второго регистра записывается 1. В каждом цикле сравнения, после того, как сдвиг байта вправо закончен, на выходе элемента «исключающее ИЛИ» сигнал «0» заменяется на «1». При этом двухразрядный регистр выполняет сдвиг вправо. Один раз за цикл сравнения двухразрядный регистр выполняет сдвиг влево. Если контролируемые байты совпадают, то в цикле сравнения сдвиги двухразрядного регистра вправо и влево чередуются. В этом случае на выходе двухразрядного регистра формируется частотный сигнал, который после усиления и выпрямления поступает на вход реле и ставит его под ток. Если элемент «исключающее ИЛИ» обнаружил расхождение битов, то двухразрядный регистр выполняет два сдвига в одном направлении и обесточивает реле. Недостатком системы является использование реле.
Наиболее близким по технической сущности к заявляемой полезной модели является микропроцессорная система, патент №2000603 /Л.-3/. Она принята в качестве прототипа. Микропроцессорная система содержит первый и второй каналы обработки информации, элемент сравнения, генератор импульсов перезапуска и генератор сигнала с частотой контроля. В канал входят: микропроцессорное устройство, генератор тактовой частоты, первый и второй порты и блок формирования контрольного сигнала. Микропроцессорные устройства в первом и втором каналах работают асинхронно. Частоту синхронизации задают два различных генератора тактовых импульсов.
К микропроцессорному устройству подсоединены первый и второй порты. Входы/выходы первых портов в первом и втором каналах соединены друг с другом для обмена информацией. Каждое микропроцессорное устройство проверяет, допустимо ли рассогласование данных, которые поступают в первый порт от первого и второго каналов. Второй порт подключен к блоку формирования контрольного сигнала. Выходы блоков формирования контрольного сигнала в первом и втором каналах подсоединены к элементу сравнения. При расхождении данных, которые поступают в первый порт от первого и второго каналов, микропроцессорное устройство передает на вход элемента сравнения байт, не совпадающий с байтом другого канала.
На выходе элемента сравнения формируется сигнал с частотой контроля, если двухканальная схема исправна. В противном случае, когда произошел отказ канала, на выходе элемента сравнения формируется сигнал постоянного уровня. При отказе микропроцессорной системы генератор импульсов формирует сигналы перезапуска и передает их на входы первого и второго каналов. Если интервал между последовательными сигналами перезапуска меньше заданного времени, то система выключается.
Блок формирования контрольного сигнала содержит делитель частоты, регистр сдвига, элемент «НЕ», элемент «исключающее ИЛИ». На вход делителя частоты поступают сигналы частоты контроля. Первый выход делителя частоты подсоединен ко входу синхронизации регистра сдвига. Первый вход записи данных в регистре сдвига подключен ко второму порту. На вход регистра сдвига поступают данные в параллельном 8-ми разрядном коде. Выход регистра сдвига подключен к входу элемента «НЕ» и первому входу элемента «исключающее ИЛИ». Выход элемента «НЕ» подсоединен к второму входу записи данных регистра сдвига. Второй вход элемента «исключающее ИЛИ» подключен к второму выходу делителя частоты. Выход элемента «исключающее ИЛИ» образует выход блока формирования контрольного сигнала и подсоединен к входу элемента сравнения. Блок формирования контрольного сигнала поразрядно передает байт данных и его инверсный код на вход элемента сравнения.
Таким образом, соединение первого и второго блоков формирования контрольного сигнала и элемента сравнения выполняет функции, аналогичные безопасному компаратору системы SMILE.
Прототип имеет следующие недостатки.
1. Микропроцессорная система не различает искажение данных в первом и втором порте и отказ канала. Допустим, что в результате действия помех произошло искажение одного или нескольких разрядов в байте, который поступает на вход первого порта ввода/вывода данных. В этом случае микропроцессорное устройство может обнаружить недопустимое расхождение данных и передать во второй порт и в блок формирования контрольного сигнала байт, который указывает на состояние отказа. Этот байт поступит на вход элемента сравнения. Элемент сравнения обнаружит отказ и перезапустит микропроцессорную систему. Воздействие помех на входе любого элемента блока формирования контрольного сигнала может привести к расхождению контрольных сигналов и перезапуску системы.
2. При асинхронной работе каналов за время формирования контрольного сигнала первый и второй микропроцессорные устройства могут обменяться только одним байтом через первый порт. Это снижает глубину контроля микропроцессорной системы.
3. В системе допускается расхождение выходных данных микропроцессорных устройств. При этом не различаются расхождения, вызванные неодновременным считыванием входных сигналов, действием помех и отказами микропроцессорных устройств. В результате возможно накопление отказов, приводящих в данной технологической ситуации к допустимым расхождениям выходных данных. В этом случае элемент сравнения не обнаружит отказ.
4. Асинхронный режим работы микропроцессорных устройств затрудняет использование системы в условиях, когда обмен информацией с объектом управления или с системами верхнего
уровня происходит с высокой скоростью. В этом случае возрастает вероятность ввода разных данных двумя микропроцессорными устройствами. Следовательно, увеличивается степень рассогласования их выходных данных.
5. Обмен входными данными в двух микропроцессорных устройствах может привести к ситуации когда, при отказе одного из этих устройств, оно использует данные, которые поступили от другого, исправного микропроцессорного устройства, и выводит эти данные в элемент сравнения. В этом случае в схему сравнения поступят одинаковые данные, и она не обнаружит отказ.
Сущность заявляемой полезной модели состоит в следующем. В дублированном микропроцессорном устройстве для систем управления движением поездов имеются два канала, элемент «исключающее ИЛИ», схема запуска, схема контроля, генератор тактовых импульсов, аналоговый и цифровой интерфейсы, цифровой сигнальный процессор (ДСП). В первый и второй каналы входят первый и второй микроконтроллеры. Аналоговый и цифровой интерфейсы обеспечивают сопряжение дублированного микропроцессорного устройства с объектом управления. Первый и второй микроконтроллеры выполняют технологический алгоритм системы управления движением поездов. Первый и второй микроконтроллеры работают синхронно, по одной программе. ЦСП работает асинхронно по отношению к первому и второму микроконтроллерам. Программное обеспечение ЦСП построено с избыточностью, операции ввода/вывода и обработку данных выполняют две разные программы. Результаты работы первой и второй программы поступают на входы, соответственно, первого и второго микроконтроллеров. Входы/выходы первого и второго микроконтроллеров подсоединены к элементу «исключающее ИЛИ». Программное обеспечение первого и второго микроконтроллеров преобразует данные, которые поступают из ЦСП и цифрового интерфейса, в последовательность битов и передает их на первый и второй входы элемента «исключающее ПЛИ» для аппаратного сравнения. Микроконтроллеры опрашивают состояние сигнала, который формируется на выходе элемента «исключающее ИЛИ». Элемент «исключающее ИЛИ» обнаруживает искажение данных под действием помех на входе первого и второго микроконтроллеров. В этом случае микроконтроллеры игнорируют введенные данные и повторяют операции ввода и вычисления. В процессе работы первый и второй микроконтроллеры формируют динамические сигналы и передают их на входы схемы контроля для аппаратного сравнения. Схема контроля обеспечивает безопасность дублированного микропроцессорного устройства, обнаруживает отказы микроконтроллеров, выключает интерфейсы и включает схему запуска. Схема запуска перезапускает неисправный канал.
Технический результат заявленной полезной модели состоит в том, что заявленное устройство обеспечивает защиту от искажений сигналов на входах микроконтроллеров, при этом исключается необходимость перезапуска схемы.
Структурная схема дублированного микропроцессорного устройства для систем управления движением поездов приведена на фиг.1.
В дублированное микропроцессорное устройство входят: первый 1 и второй 2 микроконтроллеры, генератор тактовых импульсов 3, схема запуска 4, схема контроля 5, цифровой интерфейс 6, цифровой сигнальный процессор 7, аналоговый интерфейс 8, элемент «исключающее ИЛИ» 9.
Первые входы/выходы аналогового интерфейса 8 и цифрового интерфейса 6 подсоединены, соответственно, к аналоговым и цифровым входам/выходам объекта управления. Вторые входы/выходы аналогового интерфейса 8 подсоединены к первым входам/выходам цифрового сигнального процессора 7.
Вторые и третьи входы/выходы цифрового сигнального процессора подключены, соответственно, к первым входам/выходам первого 1 и второго 2 микроконтроллеров.
Вторые входы/выходы первого 1 и второго 2 микроконтроллеров подсоединены, соответственно, к вторым и третьим входам/выходам цифрового интерфейса 6.
Третьи входы первого 1 и второго 2 микроконтроллеров объединены и подключены к генератору тактовых импульсов 3.
Третьи выходы первого 1 и второго 2 микроконтроллеров подсоединены, соответственно, к первому и второму входам схемы контроля 5, которая выполняет сравнение сигналов.
Если сигналы на первом и втором входах СК совпадают, то на выходе схемы формируется сигнал с частотой контроля. В противном случае, при расхождении сигналов на первом и втором входах, на выходе схемы контроля формируется сигнал постоянного уровня.
Выход схемы контроля 5 подсоединен к четвертому входу цифрового 6 и третьему входу аналогового 8 интерфейсов и к схеме запуска 4.
Выход схемы запуска 4 подключен к четвертым входам микроконтроллеров 1,2 и четвертому входу ЦСП 7.
Четвертый выход первого 1 и пятый выход второго 2 микроконтроллеров подсоединены, соответственно, к первому и второму входам элемента «исключающее ИЛИ» 9. Выход элемента «исключающее ИЛИ» 9 подсоединен к объединенным пятым входам первого 1 и второго 2 микроконтроллеров.
Дублированное микропроцессорное устройство для систем управления движением поездов работает следующим образом. Первые входы/выходы аналогового интерфейса 8 и цифрового интерфейса 6 подсоединены к аналоговым и цифровым входам/выходам объекта управления. Через интерфейсы 6,8 дублированное микропроцессорное устройство принимает информацию от объекта управления, формирует и передает сигналы в цифровом или аналоговом виде. Вторые входы/выходы аналогового интерфейса 8 подсоединены к первым входам/выходам ЦСП 7.
Цифровой сигнальный процессор 7 подключен к первым входам/выходам, соответственно, первого 1 и второго 2 микроконтроллеров. ЦСП работает асинхронно по отношению к первому и второму микроконтроллерам. Программное обеспечение цифрового сигнального процессора построено с избыточностью. Операции ввода/вывода и обработку данных выполняют две разные программы. Первая программа передает результаты на вход первого микроконтроллера. Вторая программа передает результаты на вход второго микроконтроллера. При этом данные на входе первого и второго микроконтроллеров должны совпадать. Информация поступает из цифрового сигнального процессора на входы первого и второго микроконтроллеров, которые передают ее в элемент «исключающее ИЛИ» 9 для аппаратного сравнения.
На входы синхронизации первого 1 и второго 2 микроконтроллеров поступают сигналы с выхода генератора тактовых импульсов 3. Первый 1 и второй 2 микроконтроллеры работают синхронно, выполняют одинаковую программу. Программное обеспечение микроконтроллеров 1 и 2 реализует технологический алгоритм системы управления движением поездов. Программное обеспечение микроконтроллера построено с избыточностью. При включении и при перезапуске программное обеспечение выполняет тестирование микроконтроллера. В процессе работы программное обеспечение сохраняет результаты вычислений в памяти микроконтроллера, чтобы восстановить значения в случае отказа. Входы микроконтроллеров подсоединены к схеме запуска 4. При включении и при перезапуске на входы микроконтроллеров 1 и 2 поступают два импульса сигналов запуска с выхода схемы запуска 5. Первый импульс переводит микроконтроллеры в режим пониженного энергопотребления, второй импульс обеспечивает их синхронный запуск. В дальнейшем синхронность работы микроконтроллеров 1 и 2 обеспечивается за счет сигналов, которые поступают с выхода генератора тактовых импульсов 3.
Данные поступают на входы первого и второго микроконтроллеров 1,2 из цифрового интерфейса б и из цифрового сигнального процессора 7. Эти данные микроконтроллеры преобразуют в последовательный код и побитно передают на входы элемента «исключающее ИЛИ» для аппаратного сравнения. Четвертый выход первого 1 и пятый выход второго 2 микроконтроллеров подсоединены к первому и второму входам элемента «исключающее ИЛИ» 9. Если на первый
и второй входы элемента «исключающее ИЛИ» поступают одинаковые значения, то на его выходе будет сформирован сигнал постоянного уровня «0». Чтобы исключить отказ типа «константа 0», на входы элемента «исключающее ИЛИ» передают контролируемые байты и их инверсные коды. На четвертый выход микроконтроллера дважды передается контролируемый байт, а на пятый выход микроконтроллера - контролируемый байт, а затем его инверсный код. Выход элемента «исключающее ИЛИ» 9 подсоединен к объединенным входам первого 1 и второго 2 микроконтроллеров. Микроконтроллеры опрашивают состояние сигнала, который формируется на выходе элемента «исключающее ИЛИ». Если элемент «исключающее ИЛИ» обнаруживает искажение данных на входах первого и второго микроконтроллеров, то программное обеспечение микроконтроллеров игнорирует введенные данные, а затем повторяет операции ввода и вычисления.
На третьих выходах первого и второго микроконтроллеров программно формируются динамические сигналы. Эти сигналы поступают на первый и второй входы схемы контроля 5 для аппаратного сравнения. Динамические сигналы получены путем контрольного суммирования содержимого ОЗУ и ПЗУ, сигналов на выходах микроконтроллера. При совпадении сигналов на первом и втором входах, на выходе схемы 5 формируется сигнал с частотой контроля.
В противном случае, при расхождении указанных сигналов, схема контроля 5 обнаруживает отказ. В этом случае на выходе схемы контроля формируется сигнал постоянного уровня. Сигнал постоянного уровня с выхода схемы контроля поступает на четвертый вход цифрового б и третий вход аналогового 8 интерфейсов. Цифровые и аналоговые интерфейсы прекращают обмен информацией с объектом управления. К выходу схемы контроля подсоединен вход схемы запуска. При отказе канала схема запуска формирует сигналы перезапуска и передает их на входы микроконтроллеров 1,2 и ЦСП 7.
В программе микроконтроллера организованы счетчики времени и счетчики искаженных байтов. Если в течение заданного интервала времени Ts при сравнении данных в элементе «исключающее ИЛИ» обнаружено искажение одного байта, то этот байт игнорируется. В этом случае процесс вычислений продолжается. Когда в течение времени Ts обнаружено искажение в двух байтах, то первый и второй микроконтроллеры завершают выполнение программы, прекращают формировать динамические сигналы и передавать их на входы схемы контроля. Схема контроля обнаруживает отказ и включает схему запуска, которая перезапускает первый и второй микроконтроллеры и ЦСП. Величина интервала времени T s принята равной времени, в течение которого программа выполняет два цикла технологического алгоритма работы дублированного микропроцессорного устройства.
В программе микроконтроллера организованы счетчики времени между моментами запуска
и счетчики попыток запуска. Если интервал времени между двумя попытками запуска превышает заданное значение (t
10 с.), то счетчик попыток обнуляется. В противном случае, если интервал между двумя запусками меньше заданного значения (t<10 с.), то счетчик попыток увеличивается на единицу. Если величина счетчика попыток больше восьми, то микроконтроллер прекращает выполнение программы и не формирует динамические сигналы на входе схемы контроля.
Таким образом, заявляемая полезная модель выполняет функции самоконтроля, обеспечивает защиту от искажений данных на входах микроконтроллеров, а при обнаружении отказа переключает выходные сигналы в безопасное состояние.
В качестве первого и второго микроконтроллеров используются две одинаковые микросхемы в промышленном исполнении. Типы микроконтроллеров и ЦСП зависят от особенностей технической реализации системы управления движением поездов. Схема запуска и цифровой интерфейс выполнены на программируемых логических интегральных схемах. Схема контроля выполняет сравнение и проверку динамического характера сигналов, которые поступают на ее первые и вторые входы. Если на первые и вторые входы схемы контроля поступают синхронные динамические сигналы, то на ее выходе формируется сигнал с частотой контроля. В противном случае, на выходе схемы контроля формируется сигнал постоянного уровня.
Источники информации, принятые во внимание при составлении описания полезной модели:
1. Методы построения безопасных микроэлектронных систем железнодорожной автоматики.// Под ред. В.В. Сапожникова. - М.: Транспорт, 1995 - 272 с. /Л.-1/
2. Katsuji Akita, Toshikatsu Watanabe, Hideo Nakamwa, Ikumasa Okumura. Computerized Interlocking System for Railway Signaling Control: SMILE//IEE Transactions on industry applications. Vol.IA-21, No 4, May/June, 1985. - C.826-834. /Л.-2/
3. Маршов С.В., Розенберг Е.Н. и др. Микропроцессорная система. Патент РФ №2000603, МПК G 06 F 11/16, Н 05 К 10/00, опубл. 07.09.93, Бюл. №33-36. /Л.-3/
Дублированное микропроцессорное устройство для систем управления движением поездов, в которое входят первый и второй микроконтроллеры, элемент "исключающее ИЛИ", схема запуска, схема контроля, цифровой и аналоговый и интерфейсы, цифровой сигнальный процессор, генератор тактовых импульсов, причем первые входы/выходы аналогового и цифрового интерфейсов подключены, соответственно, к аналоговым и цифровым входам/выходам объекта управления, вторые входы/выходы аналогового интерфейса подсоединены к первым входам/выходам цифрового сигнального процессора, вторые и третьи входы/выходы цифрового сигнального процессора подключены, соответственно, к первым входам/выходам первого и второго микроконтроллеров, вторые входы/выходы первого и второго микроконтроллеров подсоединены, соответственно, к вторым и третьим входам/выходам цифрового интерфейса, третьи входы первого и второго микроконтроллеров объединены и подсоединены к выходу генератора тактовых импульсов, третьи выходы первого и второго микроконтроллеров подсоединены к первому и второму входам схемы контроля, которая выполняет сравнение сигналов, выход схемы контроля подключен к входу схемы запуска, выход схемы запуска подсоединен к четвертым входам первого и второго микроконтроллеров, отличающееся тем, что выход схемы контроля подключен к четвертому входу цифрового интерфейса и к третьему входу аналогового интерфейса, выход схемы запуска подсоединен к четвертому входу цифрового сигнального процессора, четвертый выход первого и пятый выход второго микроконтроллеров подсоединены к первому и второму входам элемента "исключающее ИЛИ", выход элемента "исключающее ИЛИ" подключен к пятым входам первого и второго микроконтроллеров.
