C;處理器D與B和C比對后�����,認為(B⑶)���,當班機應(yīng)該為處理器B�,最終系統(tǒng)仍保持三機模 式���,處理器B繼續(xù)當班�����。
[0094]當處理器發(fā)生圖7(a)���、(b)所示的兩種故障情況時,另兩個處理器C和D都各自認為 處理器B故障��,在經(jīng)過相互間核對后�,處理器C���、D都同意"處理器B故障",此時處理器C�����、D都發(fā) 出處理器B輸出禁止信號�,將處理器B從系統(tǒng)中隔離����;同時根據(jù)優(yōu)先級順序,處理器C當班行 使控制權(quán)���。此時系統(tǒng)降級為雙機模式���。
[0095] (3)雙機模式下,發(fā)生第三次故障
[0096] 進入雙機模式后����,如處理器B和D在信息核對過程中出現(xiàn)一次不一致情況,系統(tǒng)都 將輸出預設(shè)的安全信號�,進入安全導向模式。
[0097] 通過本發(fā)明的實施����,非相似雙余度四機系統(tǒng)可以做到二次故障工作�����,三次故障安 全����。
[0098] 本發(fā)明通過擴大處理器系統(tǒng)間信息交互范圍�,增加故障定位判據(jù),將雙機比較改 進為在每個處理器系統(tǒng)中采取表決機制實現(xiàn)處理器系統(tǒng)間自我監(jiān)控�,并按預設(shè)優(yōu)先級確定 當班機,免除對公共資源的需求�����,達到提高系統(tǒng)資源利用率�����,消除系統(tǒng)單點隱患�,提升系統(tǒng) 容錯能力的目的。
[0099] 綜上所述���,以上僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍。 凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改����、等同替換、改進等����,均應(yīng)包含在本發(fā)明的 保護范圍之內(nèi)�����。
【主權(quán)項】
1. 一種非相似雙余度四機自監(jiān)控容錯控制方法�����,其特征在于�����,包括如下步驟: 步驟1����,構(gòu)建包括4個處理器的控制系統(tǒng): 所述4個處理器之間采用同步串行通道進行連接���,進行兩兩之間的信息交互,四個處理 器同時處理相同的子任務(wù)��,預設(shè)各處理器的優(yōu)先級順序;各子任務(wù)周期內(nèi)僅有一個處理器 為當班機���,由當班機輸出最終的子任務(wù)運算結(jié)果���,其中,默認優(yōu)先級別高的非故障處理器為 當前子任務(wù)周期內(nèi)的當班機���; 步驟2��,在子任務(wù)起始處����,各處理器向其他處理器發(fā)送同步請求�����,并接收其他處理器發(fā) 送的同步請求;各處理器根據(jù)當前的控制系統(tǒng)工作模式以及接收到的同步請求數(shù)量����,標識 故障機����,產(chǎn)生自己的子任務(wù)啟動信號�����,并根據(jù)自身時鐘執(zhí)行子任務(wù)���; 步驟3,各處理器完成子任務(wù)后�,通過同步串行通道將運算結(jié)果及握手請求發(fā)送給其它 處理器����,并接收其它處理器的運算結(jié)果及握手請求;各處理器根據(jù)當前的控制系統(tǒng)工作模 式以及接收到的握手請求數(shù)量�,標識故障機,并用無效數(shù)據(jù)代替故障機的運算結(jié)果;各處理 器對接收到的所有運算結(jié)果進行少數(shù)服從多數(shù)的表決�,形成一致的最終運算結(jié)果,并判斷 與最終運算結(jié)果不一致的處理器為故障機�,判斷當前優(yōu)先級最高的非故障的處理器為當班 機;各處理器將其對故障機和當班機的判斷結(jié)果發(fā)送給其它三個處理器,等待其它處理器 的判斷結(jié)果��; 步驟4,各處理器在接收到其他處理器發(fā)送的故障機和當班機的判斷結(jié)果后�����,根據(jù)當前 的控制系統(tǒng)工作模式以及接收到的判斷結(jié)果數(shù)量,對接收到的所有判斷結(jié)果進行少數(shù)服從 多數(shù)的表決��,形成一致的最終當班機和故障機判斷結(jié)果�; 步驟5,由步驟4最終確定的當班機輸出步驟3確定的最終運算結(jié)果,該最終運算結(jié)果即 為非相似雙余度四機對該子任務(wù)的運算結(jié)果;轉(zhuǎn)入下一個子任務(wù)���,返回步驟2,直至所有子 任務(wù)執(zhí)行完畢或控制系統(tǒng)安全輸出��。2. 如權(quán)利要求1所述的非相似雙余度四機自監(jiān)控容錯控制方法�����,其特征在于��,所述步驟 1中��,各處理器的優(yōu)先級順序按各處理器的處理速度快慢排序����,處理速度最慢的處理器優(yōu)先 級最高��,處理速度最快的處理器優(yōu)先級最低�����。3. 如權(quán)利要求1所述的非相似雙余度四機自監(jiān)控容錯控制方法,其特征在于��,所述步驟 2中���,當4個處理器均未發(fā)生故障���,即當前工作模式為四機模式時,如果各處理器在設(shè)定的時 間內(nèi)接收到2個或2個以上的同步請求���,則各處理器標識同步請求未送達的處理器為故障 機�,各自產(chǎn)生自己的子任務(wù)啟動信號����,并根據(jù)自身時鐘執(zhí)行子任務(wù);如果某處理器在設(shè)定的 時間內(nèi)未收到2個或2個以上的同步請求���,則該處理器不執(zhí)行子任務(wù)�����,其他處理器在之后的 步驟中將該處理器標識為故障機�; 當3個處理器未發(fā)生故障、1個處理器發(fā)生故障���,即當前工作模式為三機模式時����,如果各 處理器在設(shè)定的時間內(nèi)接收到1個或1個以上的同步請求����,貝各處理器標識同步請求未送達 的處理器為故障機,各自產(chǎn)生自己的子任務(wù)啟動信號�����,并根據(jù)自身時鐘執(zhí)行子任務(wù);如果某 各處理器在設(shè)定的時間內(nèi)未收到1個或1個以上的同步請求��,則該處理器不執(zhí)行子任務(wù)��,其 他處理器在之后的步驟中將該處理器標識為故障機���; 當2個處理器未發(fā)生故障�、2個處理器發(fā)生故障�,即當前工作模式為雙機模式時,如果各 處理器在設(shè)定的時間內(nèi)接收到1個同步請求����,則各處理器各自產(chǎn)生自己的子任務(wù)啟動信號��, 并根據(jù)自身時鐘執(zhí)行子任務(wù);如果各處理器在設(shè)定的時間內(nèi)未收到同步請求�,則該處理器 不執(zhí)行子任務(wù)�����,系統(tǒng)安全輸出���。4. 如權(quán)利要求1所述的非相似雙余度四機自監(jiān)控容錯控制方法����,其特征在于��,所述步驟 3中�����,當4個處理器均未發(fā)生故障��,即當前工作模式為四機模式時���,如果各處理器在設(shè)定的時 間內(nèi)接收到2個或2個以上的握手請求��,則各處理器標識握手請求未送達的處理器為故障 機����,并用無效數(shù)據(jù)代替其運算結(jié)果;如果某處理器在設(shè)定的時間內(nèi)未收到2個或2個以上的 握手請求�,則該處理器一直等待,其他處理器在之后的步驟中將該處理器標識為故障機����; 當3個處理器未發(fā)生故障、1個處理器發(fā)生故障��,即當前工作模式為三機模式時�,如果各 處理器在設(shè)定的時間內(nèi)接收到1個或1個以上的握手請求,則各處理器標識握手請求未送達 的處理器為故障機��,并用無效數(shù)據(jù)代替其運算結(jié)果;如果某處理器在設(shè)定的時間內(nèi)未收到1 個或1個以上的握手請求�����,則該處理器一直等待��,其他處理器在之后的步驟中將該處理器標 識為故障機��; 當2個處理器未發(fā)生故障�、2個處理器發(fā)生故障�����,即當前工作模式為雙機模式�,如果各處 理器在設(shè)定的時間內(nèi)接收到1個握手請求�,則各處理器對接收到的所有運算結(jié)果進行表決; 如果各處理器在設(shè)定的時間內(nèi)未收到握手請求�����,則該處理器一直等待��,系統(tǒng)安全輸出���。5. 如權(quán)利要求1所述的非相似雙余度四機自監(jiān)控容錯控制方法����,其特征在于�����,所述步驟 4中���,當4個處理器均未發(fā)生故障����,即當前工作模式為四機模式時�,如果各處理器在設(shè)定的時 間內(nèi)接收到2個或2個以上的判斷結(jié)果,則各處理器標識判斷結(jié)果未送達的處理器為故障 機�����,并用無效數(shù)據(jù)代替其判斷結(jié)果;如果某處理器在設(shè)定的時間內(nèi)未收到2個或2個以上的 判斷結(jié)果���,則該處理器一直等待����,其他處理器在之后的步驟中將該處理器標識為故障機��; 當3個處理器未發(fā)生故障����、1個處理器發(fā)生故障,即當前工作模式為三機模式時��,如果各 處理器在設(shè)定的時間內(nèi)接收到1個或1個以上的判斷結(jié)果�,則各處理器標識判斷結(jié)果未送達 的處理器為故障機并用無效數(shù)據(jù)代替其判斷結(jié)果;如果某處理器在設(shè)定的時間內(nèi)未收到1 個或1個以上的判斷結(jié)果����,則該處理器一直等待��,其他處理器在之后的步驟中將該處理器標 識為故障機���; 當2個處理器未發(fā)生故障、2個處理器發(fā)生故障��,即當前工作模式為雙機模式�,如果各處 理器在設(shè)定的時間內(nèi)接收到1個判斷結(jié)果,則各處理器對接收到的判斷結(jié)果進行表決;如果 各處理器在設(shè)定的時間內(nèi)未收到判斷結(jié)果�,則一直等待,系統(tǒng)安全輸出��。
【專利摘要】本發(fā)明公開了一種非相似雙余度四機自監(jiān)控容錯控制方法��。使用本發(fā)明能夠充分利用系統(tǒng)資源�,準確定位故障處理器,避免仲裁單元故障導致的單點故障��,并能實現(xiàn)二次故障工作�����,三次故障安全,提高系統(tǒng)的可靠性及使用壽命���。本發(fā)明將四個處理器系統(tǒng)之間采用同步串行通道進行連接�����,能夠在各處理器間建立快速信息傳輸通道,用以傳送狀態(tài)請求及需要表決的信息�;采用處理器狀態(tài)同步的方式確保各處理器系統(tǒng)在各表決點能步調(diào)一致發(fā)出啟動信號,達到任務(wù)級同步運行�;根據(jù)同步和表決結(jié)果,識別是否存在故障處理器�����,確定哪個處理器是當班機����;在發(fā)生故障的情況下,管理系統(tǒng)降級�,隔離故障處理器系統(tǒng),并在降級模式下繼續(xù)工作����。
【IPC分類】G06F11/16, G06F15/17
【公開號】CN105487945
【申請?zhí)枴緾N201510816755
【發(fā)明人】李 杰, 牟文秀, 邱慶林, 喬軍卿, 曹振興
【申請人】中國航天科技集團公司第五研究院第五一三研究所
【公開日】2016年4月13日
【申請日】2016年2月19日