CN118625640A - 一种并行冗余控制系统及信号同步方法 - Google Patents

Abstract

本发明提供的一种并行冗余控制系统及信号同步方法，该系统包括并行冗余的至少两个控制站，每个控制站通过公用IO模块和/或冗余IO模块进行通信和数据交换，提供决策逻辑对各控制站输出的控制信号进行处理后输出，能够实现两个以上的控制站的冗余运行，同时提供信号同步方法，避免主控制站出现故障或IO设备出现故障时导致的误动或拒动的问题，从而保障系统的稳定运行。

Description

一种并行冗余控制系统及信号同步方法

技术领域

本发明涉及自动化控制领域，尤其涉及一种并行冗余控制系统及信号同步方法。

背景技术

并行冗余，也被称为冗余备份，是一种在系统设计中用于增加可靠性和容错能力的方法。它的主要思想是复制关键控制站，使它们能够同时执行相同的任务。并行冗余的多个控制站同时工作，如果一个控制站出现故障，则该控制站退出工作状态，系统由其他的控制站控制，以保证整体系统的正常运行和功能实现。

在自动化控制系统中，高可用性和可靠性是至关重要的。为了实现此目标，包括核电站控制系统在内的许多系统采用了热备冗余控制方案，正常运行时只有主控制站输出信号，备控制站仅采集不输出；备控制站跟踪主控制站同步信号，实现数据同步；当主控制站故障时，备控制站切换至运行状态输出信号。然而，在主控制站出现故障或主控制站和备控制站共用的IO设备出现故障时，可能会导致误动或拒动的情况，严重影响系统的稳定运行。

因此，如何可靠地实现两个以上的控制站的冗余运行，成为本领域技术人员急需解决的技术问题。

发明内容

鉴于上述问题，本发明提供一种克服上述问题或者至少部分地解决上述问题的一种并行冗余控制系统及信号同步方法，技术方案如下：

一种并行冗余控制系统，包括：并行冗余的至少两个控制站，所述控制站配置有同步信号接口，各所述控制站通过所述同步信号接口进行信号同步，不同的所述控制站之间配置有公用IO模块和/或冗余IO模块，所述公用IO模块与各所述控制站的IO总线连接，所述冗余IO模块包括分配模块、决策输出模块、分别与各所述控制站的IO总线对应连接的冗余输入模块和冗余输出模块，各所述冗余输入模块与所述分配模块连接，各所述冗余输出模块与所述决策输出模块连接；

所述公用IO模块，用于通过各所述控制站的IO总线，将接收到的第一输入信号同时发送至各所述控制站，并采集各所述控制站输出的第一控制信号，按照预先配置好的第一决策逻辑处理各所述控制器输出的所述第一控制信号后输出；

所述分配模块，用于将接收到的第二输入信号分发至各所述冗余输入模块；

所述冗余输入模块，用于通过对应连接的所述控制站的IO总线，将所述第二输入信号发送至相应的所述控制站；

所述冗余输出模块，用于通过对应连接的所述控制站的IO总线，采集相应的所述控制站输出的第二控制信号，并将所述第二控制信号发送至所述决策输出模块；

所述决策输出模块，用于按照预先配置好的第二决策逻辑处理各所述控制器输出的所述第二控制信号后输出。

可选的，所述公用IO模块包括公用输入模块和公用输出模块，所述公用输入模块包括公用数字输入模块和公用模拟输入模块，所述公用输出模块包括公用数字输出模块和公用模拟输出模块，

所述公用数字输入模块，用于通过各所述控制站的IO总线，将接收到的第一数字输入信号同时发送至各所述控制站；

所述公用数字输出模块，用于通过各所述控制站的IO总线，采集各所述控制站输出的第一数字控制信号，在各所述控制站均处于非故障状态的情况下，按照第一表决逻辑对各所述第一数字控制信号处理后输出；

所述公用模拟输入模块，用于通过各所述控制站的IO总线，将接收到的第一模拟输入信号同时发送至各所述控制站；

所述公用模拟输出模块，用于通过各所述控制站的IO总线，采集各所述控制站输出的第一模拟控制信号，在各所述控制站均处于非故障状态的情况下，按照第一选择逻辑对各所述第一模拟控制信号处理后输出。

可选的，所述公用数字输出模块，还用于在任一所述控制站处于故障状态的情况下，筛除处于故障状态的所述控制站对应的所述第一数字控制信号，按照所述第一表决逻辑对其他控制站对应的所述第一数字控制信号处理后输出；

和/或，所述公用模拟输出模块，还用于在任一所述控制站处于故障状态的情况下，筛除处于故障状态的所述控制站对应的所述第一模拟控制信号，按照所述第一选择逻辑对其他控制站对应的所述第一模拟控制信号处理后输出。

可选的，所述公用数字输出模块，还用于在各所述控制站均处于故障状态的情况下，输出第一故障安全值；

和/或，所述公用模拟输出模块，还用于在各所述控制站均处于故障状态的情况下，输出第二故障安全值。

可选的，所述冗余输入模块包括冗余数字输入模块和冗余模拟输入模块，所述冗余输出模块包括冗余数字输出模块和冗余模拟输出模块，所述决策输出模块包括表决模块和选择模块，各所述冗余数字输出模块与所述表决模块连接，各所述冗余模拟输出模块与所述选择模块连接，

所述冗余数字输入模块，用于通过对应连接的所述控制站的IO总线，将从所述分配模块接收到的第二数字输入信号发送至相应的所述控制站；

所述冗余数字输出模块，用于通过对应连接的所述控制站的IO总线，采集相应的所述控制站输出的第二数字控制信号，并将所述第二数字控制信号发送至所述表决模块；

所述表决模块，用于在各所述控制站均处于非故障状态的情况下，按照第二表决逻辑对各所述第二数字控制信号处理后输出；

所述冗余模拟输入模块，用于通过对应连接的所述控制站的IO总线，将从所述分配模块接收到的第二模拟输入信号发送至相应的所述控制站；

所述冗余模拟输出模块，用于通过对应连接的所述控制站的IO总线，采集相应的所述控制站输出的第二模拟控制信号，并将所述第二模拟控制信号发送至所述选择模块；

所述选择模块，用于在各所述控制站均处于非故障状态的情况下，选择默认的所述控制器对应的所述第二模拟控制信号输出。

可选的，所述表决模块，还用于在任一所述控制站处于故障状态的情况下，按照第三表决逻辑对各所述第二数字控制信号处理后输出，其中，所述第三表决逻辑的表决等级低于所述第二表决逻辑；

和/或，所述选择模块，还用于在任一所述控制站处于故障状态的情况下，输出第三故障安全值，并按照预设控制器优先级选择优先级高且处于非故障状态的所述控制站对应的所述第二模拟控制信号输出。

可选的，所述表决模块，还用于在各所述控制站均处于故障状态的情况下，按照第三表决逻辑对各所述冗余数字输出模块输出的故障安全值进行处理后输出；

和/或，所述选择模块，还用于在各所述控制站均处于故障状态的情况下，输出最后故障的所述控制器的所述冗余模拟输出模块的故障安全值。

一种信号同步方法，应用于上述任一项所述的并行冗余控制系统，所述方法包括：

在所述并行冗余控制系统的运行过程中，对各所述控制站的输出信号进行一致性校验，在各所述控制站均处于非故障状态的情况下，若各所述控制站的输出信号不一致，则输出预设不一致报警信息；

获得与所述预设不一致报警信息对应的同步指令，其中，所述同步指令指示有待同步控制器和目标同步控制器；

响应于所述同步指令，控制所述待同步控制器通过所述同步信号接口同步所述目标同步控制器的信号。

可选的，所述方法还包括：

在任一所述控制站启动的情况下，判定是否存在正在运行且处于非故障状态的其他控制站，如果存在，则通过所述同步信号接口同步所述其他控制站的信号。

可选的，所述对各所述控制站的输出信号进行一致性校验，包括：

在所述输出信号为数字控制信号的情况下，判定各所述数字控制信号是否相同，如果不同，则判定各所述控制站的所述输出信号不一致；

在所述输出信号为模拟控制信号的情况下，判定各所述模拟控制信号之间的误差是否超过预设允许偏差阈值，如果是，则判定各所述控制站的所述输出信号不一致。

借由上述技术方案，本发明提供的一种并行冗余控制系统及信号同步方法，该系统包括：并行冗余的至少两个控制站，不同的控制站之间配置有公用IO模块和/或冗余IO模块，公用IO模块与各控制站的IO总线连接，冗余IO模块包括分配模块、决策输出模块、分别与各控制站的IO总线对应连接的冗余输入模块和冗余输出模块，各冗余输入模块与分配模块连接，各冗余输出模块与决策输出模块连接；公用IO模块，用于通过各控制站的IO总线，将接收到的第一输入信号同时发送至各控制站，并采集各控制站输出的第一控制信号，按照预先配置好的第一决策逻辑处理各控制器输出的第一控制信号后输出；分配模块，用于将接收到的第二输入信号分发至各冗余输入模块；冗余输入模块，用于通过对应连接的控制站的IO总线，将第二输入信号发送至相应的控制站；冗余输出模块，用于通过对应连接的控制站的IO总线，采集相应的控制站输出的第二控制信号，并将第二控制信号发送至决策输出模块；决策输出模块，用于按照预先配置好的第二决策逻辑处理各控制器输出的第二控制信号后输出。本发明通过向并行冗余的控制站提供公用IO模块和/或冗余IO模块，能够实现两个以上的控制站的冗余运行，同时提供信号同步方法，避免主控制站出现故障或IO设备出现故障时导致的误动或拒动的问题，从而保障系统的稳定运行。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文并行冗余控制实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出并行冗余控制实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的热备冗余控制方式的配置结构示意图；

图2示出了本发明实施例提供的并行冗余控制系统的一种配置结构示意图；

图3示出了本发明实施例提供的一种表决模块的3取2逻辑实现原理的示意图；

图4示出了本发明实施例提供的一种选择模块的3取1逻辑实现原理的示意图；

图5示出了本发明实施例提供的并行冗余控制系统的另一种配置结构示意图；

图6示出了本发明实施例提供的并行冗余控制系统的另一种配置结构示意图；

图7示出了本发明实施例提供的并行冗余控制系统的另一种配置结构示意图；

图8示出了本发明实施例提供的并行冗余控制系统的另一种配置结构示意图；

图9示出了本发明实施例提供的并行冗余控制系统的另一种配置结构示意图；

图10示出了本发明实施例提供的信号同步方法的一种实施方式的流程示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

在核电站的运行应用中，控制站主要通过热备冗余控制方式进行控制。如图1所示，对于热备冗余控制方式，两个控制站同时进行控制，一个处于运行状态，另一个处于备用状态。两个控制站共享一套输入/输出设备，通过信号交换来实现同步。然而，热备冗余控制方式存在以下问题：

1、在主控制站出现无法自诊断的故障时，可能会导致主备控制站无法进行切换的问题。

2、由于备控制站实时接收并同步主控制站的数据，因此，如果主控制站的运算出错，备控制站也会使用错误的数据。

3、如果输出设备出现故障，可能会导致误动或拒动。

4、切换主备控制站存在故障判断及切换时间，这期间可能无法输出信号，且主备切换可能存在失败的风险。

5、如果主备控制站间的诊断信号异常，可能会出现双主控制站或双备控制站的情况，从而导致输出异常。

基于此，本发明实施例提供了一种并行冗余控制系统，实现并行冗余的至少两个控制站的异步运行，对各控制站的输出指令进行决策后输出，避免单控制站或单IO故障导致的拒动和误动。同时提供了异步运行控制站的信号同步方法，能够避免控制器故障后重新启动时产生的扰动问题。

如图2所示，本发明实施例提供的并行冗余控制系统的一种配置结构示意图，该系统可以包括：并行冗余的至少两个控制站，控制站配置有同步信号接口，各控制站通过同步信号接口进行信号同步，不同的控制站之间配置有公用IO模块和/或冗余IO模块，公用IO模块与各控制站的IO总线连接，冗余IO模块包括分配模块、决策输出模块、分别与各控制站的IO总线对应连接的冗余输入模块和冗余输出模块，各冗余输入模块与分配模块连接，各冗余输出模块与决策输出模块连接。

其中，控制站可以是在核电站中，用于监控和控制核反应堆运行的集中控制系统。控制站通常由各种控制设备和仪器组成，可以实时监测核反应堆的各种运行参数(如温度、压力等)，并根据实际情况调整控制参数，以确保反应堆的安全稳定运行。并行冗余的控制站能够确保即使任一控制站出现故障，其他控制站依然能够保证整个控制系统继续正常运行。

在并行冗余控制系统中，通过同步信号接口，能够实现各控制站之间关键数据的紧密协作与同步，保证输入信号、中间计算结果以及输出信号在所有控制站之间无缝传递，同时保证了中间计算值的精确同步。

本发明实施例提供的IO模块提供有多个IO总线通信接口，可与一个或多个IO总线进行通信连接，能够同时支持与单个或多个IO总线的连接。为了确保即便某些IO总线通信接口未被连接也不会对系统的正常功能产生影响，这些未连接的IO总线通信接口将采用默认值设置。在这种配置下，每个控制器至少有一个IO总线通信接口，而这个IO总线通信接口能够连接到多个IO模块。同时，每个IO模块本身也配备了多个IO总线通信接口(例如：3个)，它们可以分别连接到不同控制器的IO总线，实现高度的互操作性和模块间的通信灵活性。

公用IO模块，用于通过各控制站的IO总线，将接收到的第一输入信号同时发送至各控制站，并采集各控制站输出的第一控制信号，按照预先配置好的第一决策逻辑处理各控制器输出的第一控制信号后输出。

分配模块，用于将接收到的第二输入信号分发至各冗余输入模块。

输入系统的AI/DI信号首先通过分配模块被引导至各自的独立冗余输入模块。每个冗余输入模块负责采集其对应的信号值，并通过专用的IO总线将这些采集值传输至相应的控制站。

冗余输入模块，用于通过对应连接的控制站的IO总线，将第二输入信号发送至相应的控制站。

冗余输出模块，用于通过对应连接的控制站的IO总线，采集相应的控制站输出的第二控制信号，并将第二控制信号发送至决策输出模块。

决策输出模块，用于按照预先配置好的第二决策逻辑处理各控制器输出的第二控制信号后输出。

控制站可以根据系统的运行状态，自动或手动地进行数据同步处理，确保系统的稳定性和可靠性。为了进一步增强系统的冗余能力，可以配置公用输出模块(数字输出/模拟输出，Digital Output/Analog Output，DO/AO)，这些模块负责自动处理冗余信号并输出。此外，也可以配置与控制站单独对应的冗余输出模块(DO/AO)，通过专门的输出处理设备来实现信号的表决(DO)或选择(AO)后输出，从而提高系统的决策精确性和可靠性。

在输入信号的管理方面，可以配置公用输入模块(模拟输入/数字输入，AnalogInput/Digital Input，AI/DI)来自动分配信号至多个并行冗余的控制站，确保输入信号的一致性和准确性。另外，也可以配置两个或多个冗余的输入模块(AI/DI)，这些模块分别采集输入信号并传送至各自的控制站，增强了系统对信号的处理能力和灵活性。这种配置方式不仅提高了系统的容错能力，还增强了对复杂操作环境的适应性。

可选的，公用IO模块可以包括公用输入模块和公用输出模块，公用输入模块可以包括公用数字输入模块和公用模拟输入模块，公用输出模块可以包括公用数字输出模块和公用模拟输出模块。

公用数字输入模块，用于通过各控制站的IO总线，将接收到的第一数字输入信号同时发送至各控制站。

公用数字输入模块负责采集数字输入信号，并通过不同的IO总线将采集到的数字输入信号同时发送至所有控制站，从而确保了数字输入信号的一致性和可靠性，使得每个控制站都能基于相同的信息做出决策，减少了因数据不同步而导致的决策差异，提高了系统的整体可靠性。

公用数字输出模块，用于通过各控制站的IO总线，采集各控制站输出的第一数字控制信号，在各控制站均处于非故障状态的情况下，按照第一表决逻辑对各第一数字控制信号处理后输出。

在所有控制站均正常运行的情况下公用数字输出模块会收集所有控制站输出的数字控制信号，并通过预设的表决逻辑(例如：2/3或1/2)进行表决后输出，从而增强系统的容错能力，使得即使部分控制站出现故障，系统仍能通过表决逻辑确保输出的正确性。

公用模拟输入模块，用于通过各控制站的IO总线，将接收到的第一模拟输入信号同时发送至各控制站。

公用模拟输入模块负责采集模拟输入信号，并通过不同的IO总线将采集到的模拟输入信号同时发送至所有控制站，从而确保了模拟输入信号的一致性和可靠性，使得每个控制站都能基于相同的信息做出决策，减少了因数据不同步而导致的决策差异，提高了系统的整体可靠性。

公用模拟输出模块，用于通过各控制站的IO总线，采集各控制站输出的第一模拟控制信号，在各控制站均处于非故障状态的情况下，按照第一选择逻辑对各第一模拟控制信号处理后输出。

如果所有控制站均正常，公用模拟输出模块会收集所有控制站的模拟控制信号，并根据预设的选择逻辑(例如：最大值、次大值、次小值、最小值或默认第一个控制站)进行选择后输出，提高了系统的容错能力。

可选的，公用数字输出模块，还用于在任一控制站处于故障状态的情况下，筛除处于故障状态的控制站对应的第一数字控制信号，按照第一表决逻辑对其他控制站对应的第一数字控制信号处理后输出。

如果存在一个或多个控制站故障，故障控制站输出的数字控制信号将被排除。公用数字输出模块将只对剩余正常控制站输出的数字控制信号进行表决输出。

可选的，公用模拟输出模块，还用于在任一控制站处于故障状态的情况下，筛除处于故障状态的控制站对应的第一模拟控制信号，按照第一选择逻辑对其他控制站对应的第一模拟控制信号处理后输出。

如果存在一个或多个控制站故障，故障控制站输出的模拟控制信号将被排除。公用模拟输出模块将只对剩余正常控制站输出的模拟控制信号进行选择输出。

在控制站出现故障时，公用IO模块能够排除故障控制站的信号，只对正常控制站的信号进行处理后输出，有助于防止因故障控制站的不正确输出而导致的安全风险。

可选的，公用数字输出模块，还用于在各控制站均处于故障状态的情况下，输出第一故障安全值。

当所有控制站均出现故障时，公用数字输出模块将采用预配置的故障安全值输出，例如：“0”、“1”或“保持”，以确保核电站的安全运行。

可选的，公用模拟输出模块，还用于在各控制站均处于故障状态的情况下，输出第二故障安全值。

如果所有控制站均故障，公用模拟输出模块将采用预配置的故障安全值输出，例如：“上限”、“下限”、“固定值”或“保持”，以保障核电站的安全状态。

当所有控制站均故障时，公用IO模块能够采用预配置的故障安全值输出，确保核电站处于安全状态，进一步提升了系统的安全性。

本发明实施例对AI/DI(模拟输入/数字输入)和DO/AO(数字输出/模拟输出)信号的处理采用了高度可靠的并行冗余配置，通过多重校验和选择机制，增强核电站控制系统的可靠性和安全性，确保在各种情况下都能维持核电站的正常运行和安全状态。

可选的，冗余输入模块可以包括冗余数字输入模块和冗余模拟输入模块，冗余输出模块包括冗余数字输出模块和冗余模拟输出模块，决策输出模块包括表决模块和选择模块，各冗余数字输出模块与表决模块连接，各冗余模拟输出模块与选择模块连接。

冗余数字输入模块，用于通过对应连接的控制站的IO总线，将从分配模块接收到的第二数字输入信号发送至相应的控制站。

输入系统的数字输入信号首先通过分配模块被引导至各自的独立冗余数字输入模块。每个冗余数字输入模块接收到数字输入信号后，再通过专用的IO总线将数字输入信号传输至相应的控制站。

冗余数字输出模块，用于通过对应连接的控制站的IO总线，采集相应的控制站输出的第二数字控制信号，并将第二数字控制信号发送至表决模块。

表决模块，用于在各控制站均处于非故障状态的情况下，按照第二表决逻辑对各第二数字控制信号处理后输出。

在所有控制站正常运行的情况下，各冗余数字输出模块通过IO总线接收来自各自控制站输出的的数字控制信号。随后，这些数字控制信号被送至表决模块，表决模块根据预设的表决逻辑(例如：2/3或1/2)对信号进行多数表决后输出。

冗余模拟输入模块，用于通过对应连接的控制站的IO总线，将从分配模块接收到的第二模拟输入信号发送至相应的控制站。

输入系统的模拟输入信号首先通过分配模块被引导至各自的独立冗余模拟输入模块。每个冗余模拟输入模块接收到模拟输入信号后，再通过专用的IO总线将模拟输入信号传输至相应的控制站。

冗余模拟输出模块，用于通过对应连接的控制站的IO总线，采集相应的控制站输出的第二模拟控制信号，并将第二模拟控制信号发送至选择模块。

选择模块，用于在各控制站均处于非故障状态的情况下，选择默认的控制器对应的第二模拟控制信号输出。

在所有控制站正常运行时，各冗余模拟输出模块通过IO总线接收来自各自控制站输出的模拟控制信号。选择模块会根据预设的逻辑选择一个默认的控制器的模拟控制信号进行输出，例如：选择第一路、第二路或第三路信号。

本发明实施例通过冗余数字输入/输出模块和冗余模拟输入/输出模块的使用，使得系统可以在某一部分发生故障时继续运行，因为其他模块可以接替故障模块的功能，从而减少单点故障的风险，提高了整个系统的可靠性。表决模块和选择模块的应用则确保了即使在多个信号源中存在一个或多个故障信号时，系统仍能根据预设决策逻辑正确处理信号。表决模块通过多数表决确保输出的信号是多数模块同意的结果，而选择模块则能在多个备选信号中选择一个最合适的信号输出，进一步增强了系统可靠性。

可选的，表决模块，还用于在任一控制站处于故障状态的情况下，按照第三表决逻辑对各第二数字控制信号处理后输出，其中，第三表决逻辑的表决等级低于第二表决逻辑。

当一个或多个控制站发生故障时，故障控制站的冗余数字输出模块将输出预设的故障安全值。表决模块在这种情况下会进行表决降级输出，例如：从2/3降级为2/2或1/2。冗余数字输出模块输出的故障安全值可以根据核电站的具体工艺需求进行配置，选项包括“0”、“1”、或“保持”状态，以确保核电站在故障情况下的安全状态。

可选的，选择模块，还用于在任一控制站处于故障状态的情况下，输出第三故障安全值，并按照预设控制器优先级选择优先级高且处于非故障状态的控制站对应的第二模拟控制信号输出。

当一个或多个控制站发生故障时，故障控制站的冗余模拟输出模块将输出故障安全值。选择模块会按照顺序选择剩余正常控制站的冗余模拟输出模块输出的模拟控制信号进行输出。冗余模拟输出模块输出的故障安全值可以根据核电站的工艺需求进行配置，选项包括“上限”、“下限”、“固定值”或“保持”，以确保核电站在故障情况下的安全状态。

可选的，表决模块，在各控制站均处于故障状态的情况下，按照第三表决逻辑对各冗余数字输出模块输出的故障安全值进行处理后输出。

如果所有控制站均发生故障，表决模块将依据冗余数字输出模块的故障安全值进行表决输出，确保系统输出的是故障安全值。

如图3所示，本发明实施例提供的一种表决模块的3取2逻辑实现原理的示意图，DO故障安全值为0:“2/3→2/2→0”，DO故障安全值为1:“2/3→1/2→1”。

可选的，选择模块，还用于在各控制站均处于故障状态的情况下，输出最后故障的控制器的冗余模拟输出模块的故障安全值。

如果所有控制站均发生故障，选择模块将选择最后故障的控制器的冗余模拟输出模块输出信号进行输出，即输出冗余模拟输出模块的故障安全值。

如图4所示，本发明实施例提供的一种选择模块的3取1逻辑实现原理的示意图，当AO1无故障时，选取AO1作为输出；当AO1故障，AO2无故障时，选取AO2作为输出；当AO1、AO2同时故障时，选取AO3作为输出；当AO1、AO2和AO3同时故障时，输出故障安全值。

本发明实施例通过表决模块和选择模块，能够在所有控制站都发生故障的极端情况下，保证系统仍然能够输出故障安全值，从而确保系统在故障状态下采取最安全的操作，确保了系统的安全性和可靠性。

在实际应用中，不同的控制信号的安全重要程度可能不同，因此可以根据控制信号的安全重要程度，在并行冗余控制系统中选择单IO配置、冗余IO配置或混合IO配置。为了便于理解，下列提供几种可选的常用配置方式进行说明：

配置方式一、双并行冗余控制站配置。

图5所示为本发明实施例提供的并行冗余控制系统的另一种配置结构示意图，该并行冗余控制系统采用双并行冗余控制站配置，在两个控制站异步运行的配置中，系统采用了公用IO(输入/输出)模块的设计，以实现高效的冗余信号处理和信号分配。两个控制站共享一组公用输出模块(DO/AO)，包括数字输出(DO)和模拟输出(AO)模块。这些模块被配置为执行自动的冗余信号处理逻辑，例如“2取1”表决机制，从而确保了即使在单个控制站发生故障的情况下，系统仍能维持输出功能，从而提高了系统的可靠性和连续性。同样，两个控制站也共享一组公用输入模块(AI/DI)，包括模拟输入(AI)和数字输入(DI)模块。这些模块负责将外部信号自动分配至两个并行冗余的控制站。这意味着，无论哪个控制站处于活动状态，都能够接收到相同的输入信号，确保了控制决策的一致性和准确性。这种信号分配机制增强了系统的容错能力，因为即使一个控制站无法处理输入信号，另一个控制站仍能继续正常工作。通过这种公用IO模块的设计，系统能够在两个异步运行的控制站之间实现高效的信号处理和分配，不仅提高了系统的可靠性和容错能力，还简化了硬件配置，减少了所需的IO模块数量，从而降低了系统的总体成本和复杂性。这种配置方式特别适用于需要高可靠性和连续运行的工业自动化系统。

配置方式二、双并行冗余控制站冗余IO配置。

图6所示为本发明实施例提供的并行冗余控制系统的另一种配置结构示意图，该并行冗余控制系统采用双并行冗余控制站冗余IO配置，在这种配置下，两个控制站以异步方式运行，且每个控制站都配有自己的独立输入/输出(IO)接口。每个控制站通过其独立的冗余数字输出(DO)进行数字输出信号的生成。这些信号进入输出处理设备，该设备使用表决逻辑(如2取1，即两个信号中选择一个有效信号进行输出)来决定最终的输出信号。这样确保了输出的可靠性，即使其中一个控制站发生故障，另一个控制站仍能保证输出信号的持续。类似地，模拟输出同样采用独立冗余模拟输出(AO)和输出处理设备，后者负责实施信号选择机制(如2选1，即在两个信号中选择合适的一个)。这提供了对模拟输出信号的双重保障，增强了系统输出的稳定性。对于冗余输入模块(AI/DI)，冗余配置允许每个控制站独立采集外部信号，无论是模拟输入(AI)还是数字输入(DI)。这意味着每个控制站都有一个完整的外部环境视图，可以独立处理输入数据。这种独立的信号采集增加了系统的冗余性和对单点故障的抵抗能力。

在总体上，此种配置提供了高度的系统冗余和可靠性，每个控制站都能独立地进行信号处理和决策，同时，输出处理设备的表决和选择机制确保了即使在部分系统故障时，也能保持稳定和正确的输出。这种设计特别适合对安全和可靠性有着极高要求的关键应用。

配置方式三、双并行冗余控制站混合IO配置。

图1所示即为一种典型的双并行冗余控制站混合IO配置，两个控制站异步运行，根据需要分别配置单IO和冗余IO，混合IO配置中的单IO配置的说明可参考“双并行冗余控制站配置”处的说明，混合IO配置中的冗余IO配置可参考“双并行冗余控制站冗余IO配置”处的说明，此处不再赘述。

配置方式四、三并行冗余控制站单IO配置。

图7所示为本发明实施例提供的并行冗余控制系统的另一种配置结构示意图，该并行冗余控制系统采用三并行冗余控制站单IO配置，三并行冗余控制站单IO配置的配置原理与双并行冗余控制站配置的配置原理相同，此处不再赘述。

配置方式五、三并行冗余控制站冗余IO配置。

图8所示为本发明实施例提供的并行冗余控制系统的另一种配置结构示意图，该并行冗余控制系统采用三并行冗余控制站冗余IO配置，三并行冗余控制站冗余IO配置的配置原理与双并行冗余控制站冗余IO配置的配置原理相同，此处不再赘述。

配置方式六、三并行冗余控制站混合IO配置。

图9所示为本发明实施例提供的并行冗余控制系统的另一种配置结构示意图，该并行冗余控制系统采用三并行冗余控制站混合IO配置，三并行冗余控制站混合IO配置的配置原理与双并行冗余控制站混合IO配置的配置原理相同，此处不再赘述。

本发明提供的一种并行冗余控制系统，该系统包括并行冗余的至少两个控制站，每个控制站通过公用IO模块和/或冗余IO模块进行通信和数据交换，提供决策逻辑对各控制站输出的控制信号进行处理后输出，能够实现两个以上的控制站的冗余运行，同时提供信号同步方法，避免主控制站出现故障或IO设备出现故障时导致的误动或拒动的问题，从而保障系统的稳定运行。

对于异步运行的控制站，需要避免控制器同步时产生的扰动问题。基于此，本发明实施例提供了一种信号同步方法，该信号同步方法应用于上述的并行冗余控制系统。

如图10所示，本发明实施例提供的信号同步方法的一种实施方式的流程示意图，该方法可以包括：

S100、在并行冗余控制系统的运行过程中，对各控制站的输出信号进行一致性校验，在各控制站均处于非故障状态的情况下，若各控制站的输出信号不一致，则输出预设不一致报警信息。

具体的，在并行冗余控制系统的运行过程中，各控制站会自动进行输出信号的一致性校验，以确保所有控制站的输出信号保持一致。如果控制站状态正常但输出信号不一致，系统将产生不一致报警，由运维人员判断是否需要进行同步操作。

S200、获得与预设不一致报警信息对应的同步指令，其中，同步指令指示有待同步控制器和目标同步控制器。

运维人员可以手动选择任一控制器对待同步的控制站进行手动同步，或者通过重启待同步的控制器，选择默认的已运行控制器进行自动同步。

S300、响应于同步指令，控制待同步控制器通过同步信号接口同步目标同步控制器的信号。

本发明实施例提供的信号同步方法，在并行冗余控制系统中，实施控制站的输出信号的一致性校验，并在发现不一致时发出报警，接着执行同步指令进行信号同步，能够确保所有控制站的输出信号保持同步，从而显著减少因信号不一致导致的系统故障，提高整个控制系统的可靠性，有利于加快故障控制站的恢复速度，减少了运维人员手动检查和调整的需要，缩短了系统的停机时间，保障系统的工业过程控制的连续性。

可选的，在上述图10对应的一个或多个实施例的基础上，本发明实施例提供的另一个可选实施例中，还可以包括：

在任一控制站启动的情况下，判定是否存在正在运行且处于非故障状态的其他控制站，如果存在，则通过同步信号接口同步其他控制站的信号。

当一个新的控制站启动时，该控制站可以自动从已运行的控制站获取同步信号，包括时序相关的数据、记忆功能或累计运算的中间计算值。从而确保新启动的控制站能够迅速与现有系统保持一致。如果系统中已有多个控制器在运行，新启动的控制器可以选择与默认的已运行控制器进行自动同步，以确保整个系统的一致性。

当任一控制站发生故障并修复后重启时，该控制站会自动从正常运行的控制站获取同步信号，并进行自动同步，以恢复系统的冗余状态。如果系统中已有多个控制器在运行，故障控制器重启后可以选择与默认的已运行控制器进行自动同步，以确保系统的整体一致性。

本发明实施例提供的信号同步方法，并行冗余的控制站能够在启动、运行和故障恢复过程中保持数据和状态的一致性，从而提高系统的可靠性和稳定性。

可选的，在上述图10对应的一个或多个实施例的基础上，本发明实施例提供的另一个可选实施例中，对各控制站的输出信号进行一致性校验，具体可以包括：

在输出信号为数字控制信号的情况下，判定各数字控制信号是否相同，如果不同，则判定各控制站的输出信号不一致。

具体的，本发明实施例对于数字控制信号，可以直接校验数字控制信号的状态(0或1)。如果不同控制站之间的状态出现差异，则判定各控制站的输出信号不一致。

在输出信号为模拟控制信号的情况下，判定各模拟控制信号之间的误差是否超过预设允许偏差阈值，如果是，则判定各控制站的输出信号不一致。

具体的，本发明实施例可以对模拟控制信号设置一定的允许偏差，即预设允许偏差阈值(例如：1％)。预设允许偏差阈值可以基于数据采集和数据运算的精度来设定。如果各模拟控制信号之间的实际偏差超过预设允许偏差阈值，则判定各控制站的输出信号不一致。

本发明实施例在并行冗余控制系统中，对输出信号进行一致性判定，通过检测数字控制信号的一致性和模拟控制信号的误差，确保所有控制站的输出信号保持一致，从而减少因信号不一致导致的系统故障，提高系统的可靠性。

虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。

应当理解，本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。

在本发明中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (10)

1.一种并行冗余控制系统，其特征在于，包括：并行冗余的至少两个控制站，所述控制站配置有同步信号接口，各所述控制站通过所述同步信号接口进行信号同步，不同的所述控制站之间配置有公用IO模块和/或冗余IO模块，所述公用IO模块与各所述控制站的IO总线连接，所述冗余IO模块包括分配模块、决策输出模块、分别与各所述控制站的IO总线对应连接的冗余输入模块和冗余输出模块，各所述冗余输入模块与所述分配模块连接，各所述冗余输出模块与所述决策输出模块连接；

所述公用IO模块，用于通过各所述控制站的IO总线，将接收到的第一输入信号同时发送至各所述控制站，并采集各所述控制站输出的第一控制信号，按照预先配置好的第一决策逻辑处理各所述控制器输出的所述第一控制信号后输出；

所述分配模块，用于将接收到的第二输入信号分发至各所述冗余输入模块；

所述冗余输入模块，用于通过对应连接的所述控制站的IO总线，将所述第二输入信号发送至相应的所述控制站；

所述冗余输出模块，用于通过对应连接的所述控制站的IO总线，采集相应的所述控制站输出的第二控制信号，并将所述第二控制信号发送至所述决策输出模块；

所述决策输出模块，用于按照预先配置好的第二决策逻辑处理各所述控制器输出的所述第二控制信号后输出。

2.根据权利要求1所述的系统，其特征在于，所述公用IO模块包括公用输入模块和公用输出模块，所述公用输入模块包括公用数字输入模块和公用模拟输入模块，所述公用输出模块包括公用数字输出模块和公用模拟输出模块，

所述公用数字输入模块，用于通过各所述控制站的IO总线，将接收到的第一数字输入信号同时发送至各所述控制站；

所述公用数字输出模块，用于通过各所述控制站的IO总线，采集各所述控制站输出的第一数字控制信号，在各所述控制站均处于非故障状态的情况下，按照第一表决逻辑对各所述第一数字控制信号处理后输出；

所述公用模拟输入模块，用于通过各所述控制站的IO总线，将接收到的第一模拟输入信号同时发送至各所述控制站；

所述公用模拟输出模块，用于通过各所述控制站的IO总线，采集各所述控制站输出的第一模拟控制信号，在各所述控制站均处于非故障状态的情况下，按照第一选择逻辑对各所述第一模拟控制信号处理后输出。

3.根据权利要求2所述的系统，其特征在于，所述公用数字输出模块，还用于在任一所述控制站处于故障状态的情况下，筛除处于故障状态的所述控制站对应的所述第一数字控制信号，按照所述第一表决逻辑对其他控制站对应的所述第一数字控制信号处理后输出；

和/或，所述公用模拟输出模块，还用于在任一所述控制站处于故障状态的情况下，筛除处于故障状态的所述控制站对应的所述第一模拟控制信号，按照所述第一选择逻辑对其他控制站对应的所述第一模拟控制信号处理后输出。

4.根据权利要求2或3所述的系统，其特征在于，所述公用数字输出模块，还用于在各所述控制站均处于故障状态的情况下，输出第一故障安全值；

和/或，所述公用模拟输出模块，还用于在各所述控制站均处于故障状态的情况下，输出第二故障安全值。

5.根据权利要求1所述的系统，其特征在于，所述冗余输入模块包括冗余数字输入模块和冗余模拟输入模块，所述冗余输出模块包括冗余数字输出模块和冗余模拟输出模块，所述决策输出模块包括表决模块和选择模块，各所述冗余数字输出模块与所述表决模块连接，各所述冗余模拟输出模块与所述选择模块连接，

所述冗余数字输入模块，用于通过对应连接的所述控制站的IO总线，将从所述分配模块接收到的第二数字输入信号发送至相应的所述控制站；

所述冗余数字输出模块，用于通过对应连接的所述控制站的IO总线，采集相应的所述控制站输出的第二数字控制信号，并将所述第二数字控制信号发送至所述表决模块；

所述表决模块，用于在各所述控制站均处于非故障状态的情况下，按照第二表决逻辑对各所述第二数字控制信号处理后输出；

所述冗余模拟输入模块，用于通过对应连接的所述控制站的IO总线，将从所述分配模块接收到的第二模拟输入信号发送至相应的所述控制站；

所述冗余模拟输出模块，用于通过对应连接的所述控制站的IO总线，采集相应的所述控制站输出的第二模拟控制信号，并将所述第二模拟控制信号发送至所述选择模块；

所述选择模块，用于在各所述控制站均处于非故障状态的情况下，选择默认的所述控制器对应的所述第二模拟控制信号输出。

6.根据权利要求5所述的系统，其特征在于，所述表决模块，还用于在任一所述控制站处于故障状态的情况下，按照第三表决逻辑对各所述第二数字控制信号处理后输出，其中，所述第三表决逻辑的表决等级低于所述第二表决逻辑；

和/或，所述选择模块，还用于在任一所述控制站处于故障状态的情况下，输出第三故障安全值，并按照预设控制器优先级选择优先级高且处于非故障状态的所述控制站对应的所述第二模拟控制信号输出。

7.根据权利要求5或6所述的系统，其特征在于，所述表决模块，还用于在各所述控制站均处于故障状态的情况下，按照第三表决逻辑对各所述冗余数字输出模块输出的故障安全值进行处理后输出；

和/或，所述选择模块，还用于在各所述控制站均处于故障状态的情况下，输出最后故障的所述控制器的所述冗余模拟输出模块的故障安全值。

8.一种信号同步方法，其特征在于，应用于权利要求1至7中任一项所述的并行冗余控制系统，所述方法包括：

在所述并行冗余控制系统的运行过程中，对各所述控制站的输出信号进行一致性校验，在各所述控制站均处于非故障状态的情况下，若各所述控制站的输出信号不一致，则输出预设不一致报警信息；

获得与所述预设不一致报警信息对应的同步指令，其中，所述同步指令指示有待同步控制器和目标同步控制器；

响应于所述同步指令，控制所述待同步控制器通过所述同步信号接口同步所述目标同步控制器的信号。

9.根据权利要求8所述的方法，其特征在于，还包括：

在任一所述控制站启动的情况下，判定是否存在正在运行且处于非故障状态的其他控制站，如果存在，则通过所述同步信号接口同步所述其他控制站的信号。

10.根据权利要求8所述的方法，其特征在于，所述对各所述控制站的输出信号进行一致性校验，包括：

在所述输出信号为数字控制信号的情况下，判定各所述数字控制信号是否相同，如果不同，则判定各所述控制站的所述输出信号不一致；

在所述输出信号为模拟控制信号的情况下，判定各所述模拟控制信号之间的误差是否超过预设允许偏差阈值，如果是，则判定各所述控制站的所述输出信号不一致。