，，

(北京明航技术研究所，北京 100023)

现代舰船上存在事关舰船生命的高危场所，如弹库、燃料库等，一旦发生危险，有可能造成舰毁人亡的后果。因此，需要在舰船的高危场所配置安全监控系统，在发生危险时及时报警，采取措施对危险进行控制，消除危险或减少事故造成的损失[1-2]。

1 安全监控系统

高危场所安全监控系统结构见图1。

图1 安全监控系统结构

安全监控系统工作流程：安装在高危场所内部的传感器和探测器探测到危险情况时，将信息传递给控制器，控制器对信息进行融合，对危险等级进行判断，并根据不同情况进行决策，根据决策结果向设备驱动器发出控制信号，设备驱动器驱动防火防爆安全设备开始工作。

控制器作为安全监控系统的核心部件，具有信息采集、数据融合、决策及控制输出等功能，是系统的关键部件，必须具备如下关键特性。

1)高可靠性。由于高危场所安全监控系统是一个无人值守系统，在海上舰船环境条件下全天候24 h连续运行，监控的对象是高危场所，因此，要求设备具有高可靠性，特别要保证在发生危险情况时，设备能够正确运行，按照预定的决策方法对危险情况进行控制。

为满足高可靠性的要求，必须在体系结构设计、软件设计和硬件设计中采用可靠性措施，如冗余容错设计、故障自动切换机制和高可靠性模块设计技术等。

2)快速响应特性。一般来讲，危险发现越早、对其抑制越早，其产生的危害就越小，因此，当危险情况发生时，系统必须能够快速响应，及时采取措施，达到及早抑制危险的效果，使得危害造成的影响最小，因此，快速响应特性也是高危场所安全监控系统必不可少的关键特性。

2 冗余方案

为满足高危场所安全监控系统高可靠性及快速响应的需要，可以采用多种方法，例如，控制器采用高可靠单机系统，或者采用冗余控制器系统等方法。其中，高可靠单机系统实现简单，但是其核心元器件，如高可靠CPU、高可靠存贮器等很难获得，并且价格昂贵，因此，实际应用中多采用冗余控制器系统。

常用的控制器冗余方式分类方法有多种，按冗余的工作方式分，有热备份、温备份和冷备份；按冗余模块的数量分类，可以有双冗余、3冗余和4冗余等；按控制器耦合的紧密程度分类，可以有松散耦合方式及紧耦合方式。冗余结构见图2。

图2 冗余结构示意

在松散耦合方式中，控制器间一般通过通信接口连接，其工作方式是控制器间通过通信接口交换信息，探测对方是否处于工作状态，一旦某台控制器探测到对方工作异常，则接管控制权。

在紧耦合方式下，控制器间通过硬件电路互相探测控制器的工作状态，根据工作状态通过硬件电路将控制权切换到可用的控制器中。

松散耦合方式设计简单，只需在通用的控制器上加上通信接口即可，而且很容易在异构控制器间实现，这种方式的主要缺点是：判断控制器异常实际上是通过控制器的软件实现，切换也通过软件实现，故切换速度慢，同时软件设计较复杂。松散耦合冗余方式的方案一般实时性要求不高、但有可靠性要求。

紧耦合方式由于需要加上额外的硬件处理电路，设计较复杂，由于故障判断和切换由硬件实现，因此，控制切换速度快，故障判断快速可靠；判断过程不需要或仅需要很少的软件干预，故障处理软件设计相对简单。紧耦合冗余控制器切换时间短，一般常用在实时响应要求较高，不允许有失控的场所使用，如在火箭、导弹、卫星等实时性和可靠性要求较高的设备中使用。

考虑上述两种冗余方式的不同特点以及高危场所安全监控系统的关键特性要求，综合考虑可靠性、设计复杂性及成本等具体因素，在高危场所安全监控系统设计中采用紧耦合双冗余设计。

3 双冗余控制器设计

在图2的双冗余结构中，每个独立的冗余模块由控制器和冗余控制电路组成，其原理框图见图3。

每个冗余模块由一个控制器及冗余控制电路组成，其中控制器是一个通用的控制器，包含微处理器、存贮器、输入电路、输出电路、通信接口和现实电路等；冗余控制电路在图3的虚框中示出，它包含复位电路、错误探测电路、状态输出电路、状态输入电路和主/备状态指示电路5个部分。复位电路输出复位信号(reset)，直接连接至控制器中CPU的复位信号端和错误探测电路的输入端，复位电路的输入连接控制器的看门狗信号(watch dog)；错误探测电路连接2个输入：来自控制器的自检错误输出信号(error)以及来自复位电路的复位信号，其输出包括“正常”和“错误”两种状态，实际工作中，该状态输出通过状态输出电路隔离后传递到另一个冗余模块中；状态输入电路接收来自另一个冗余模块的状态输出信号，经过缓冲的信号连接到控制器CPU的硬件中断端口上，使得控制器能够快速探测到另一个控制器的状态变化；主/备状态指示电路是一个预置的位信号，用于设置控制器是“主控制器”或“从控制器”，控制器中的CPU可以读取到此信号，判断自身的状态，在本设计中，只有一个惟一主控制器和一个惟一的备控制器。

图3 冗余模块原理示意

冗余电路工作原理如下：系统运行后，2个冗余模块中的错误探测电路开始不间断地探测控制器的状态，如果错误探测电路探测到某个给定时间内复位信号或者自检错误输出信号到达指定的次数，则可以判断出控制器出现错误，不能正常工作，此时错误探测电路输出“错误”状态，同时，发出“处理器错误”的警告信号，另一个控制器接收到上述状态变化后，判断自己是否掌握控制权，若不是，则接管控制权，实现控制权的切换。上述过程即实现了控制器间控制权的简单的无缝切换。

实际的设计中，电路部分采用了可编程器件实现，仅由2片小规模GAL编程实现了上述电路逻辑；与另一个冗余模块的信号连接采用了电气隔离设计，具体实现中采用了光耦和器进行电路的电气隔离，电气隔离特性保证故障不会从一个冗余模块向另一个冗余模块蔓延；由于设计中采用了简化设计的指导思想，设计出的整个冗余控制电路本身极其简单，所用元器件很少；选用元器件时，元器件均选用军标高的可靠器件；在实际的冗余模块结构设计中，控制器和冗余控制电路设计为一体，安装在一个机箱内，保证了控制器和冗余控制电路连接的可靠性。上述一系列设计措施充分保证了冗余控制电路具有极高的可靠性。

4 应用情况

采用双冗余控制器构成的高危场所安全监控系统，其原理见图4。

图4 双冗余控制器组成的安全监控系统

在图4中，采用了双冗余控制器，系统中包含1台主控制器和1台备控制器，主、备控制器及其各自冗余控制电路分别安装在单独的箱体内，其间通过电缆连接，主、备控制器与设备驱动箱通过电缆连接。正常工作时，主、备控制器同时运行，并互相检测对方的运行状态，当主控制器出现异常或者备份控制器检测到主控制器不能正常工作时，通过双冗余切换机制立即切换到备控制器工作，当主控制器恢复正常后又可充当备用控制器加入到系统中工作。

系统的工作方式采用了热备份方式，备控制器与主控制器一样，其输入的传感器信息完全相同，都通过现场总线输入，它们的输出也连接到同一个设备驱动箱中，主、备控制器同时运行。由于采用了热备份，两台控制器在运行时同时接收传感器信息，根据传感器信息进行决策计算，因此，当主控制权在主、备控制器间切换时，相对于松散耦合及冷备份和温备份的手动或软件切换方式而言，获得控制权的控制器不需要重新获取传感器信息以及重新进行决策计算，可以直接采用本控制器计算出的决策结果并输出到设备驱动箱，由于没有获得传感器信息及重新进行决策计算的时间开销，提高了在控制权切换时系统输出的速度，可以保证控制输出的实时性。

实际的工作过程中，由于主、备两台控制器同时出现故障(双点故障)的概率极小，同时，一台控制器出现故障时，会给出警告信号，可以通过维修手段来恢复其工作状态，因此，对比单控制器结构，采用上述双冗余控制器结构的高危场所安全监控系统具有很高的可靠性及可用性。

5 结束语

基于上述双冗余控制器方案实现的双冗余、紧耦合、热备份的安全监控系统已经在多个型号舰船高危场所的安全监控中实际采用。长时间的设备运行及测试结果证明：该设计具有高可靠性和快速反应能力，在单控制器故障的条件下仍然能够保证系统可靠完成安全监控任务。

[1] 易 军.一种高可靠性嵌入式系统的主备切换设计[J].电脑与信息技术,2005(6):30-32.

[2] 满梦华，原 亮，丁国良，等.嵌入式高可靠性异构双机冗余系统的设计[J].计算机应用, 2009,29(8):2143-2145.