一种适用于核工业机器人的双机冗余嵌入式控制系统

摘要

本发明公开了一种适用于核工业机器人控制的双机冗余嵌入式控制系统，该双机冗余控制系统包括有以PC 104为主控制器的主机(100)和以ARM9E为控制器的备份机(200)，主机(100)和备份机(200)安装在核工业机器人上，并通过485总线与机器人驱动控制模块(400)实现电信号联接；核工业机器人通过光纤与上位机(300)实现指令信息传输。本发明设计的双机冗余控制系统中每一个模块都设置状态检测命令，在程序运行过程中不断向上位机发送状态信息，这样可以通过每个模块返回的不同的状态信息判断各模块运行状态，一旦发生故障则可以准确判断故障位置。由于可以更加精确的定位故障位置，可以为故障后机器人决策提供更优方法，同时对于机器人之后的返回检修提供了重要参考信息，以避免以后发生同样的故障。

说明书

技术领域

本发明涉及一种核工业机器人的启用控制系统，更特别地说，是指一种具有双机冗余嵌入式控制系统的、用于启用控制核工业机器人的控制系统。

背景技术

我国核工业是国家的战略行业，由于核工业涉及的核辐射与放射性物质具有很大的危险性，因此又是一个非常特殊的行业。我国核工业和核事件应急处理中的大量操作需要对辐射现场进行定量测量和确定污染源范围，甚至需要直接和核放射物质进行接触作业。核设施污染现场往往辐射场较强，常规防护措施难以实施或者实施后的防护效果极其有限，人员难以靠近，给调查现场测量和放射性污染处理工作造成极大困难，迫切需要采用移动机器人系统携带有关装置替代工作人员在辐射场所近距离完成相关的辐射检测和操作，以保障工作人员的健康和安全。

在这种情况下，针对核工业的特点，研制开发专用的核辐射检测和应急处理机器人实用系统就显得尤为必要和迫切。由于核工业场所的特殊性，对于核工业机器人的可靠性与稳定性也提出了更高的要求。一方面由于核工业场所涉及的核辐射与放射性物质具有很大的危险性，机器人一旦出现故障，工作人员难以取回机器人；另一方面，核工业机器人在核辐射环境下工作，属于苛刻的工业环境，核辐射对机器人控制系统及所带导航传感装置具有很强的干扰性与破坏性，易于出现难以预料的意外。

发明内容

由于核工业涉及的核辐射与放射性物质具有很大的危险性，核工业机器人可以替代工作人员在辐射场所近距离完成相关的检测和操作。为了保证核工业机器人较高可靠性与稳定性，本发明设计出一种以PC 104为主控制器和以ARM9E为备份控制器的适用于核工业机器人的双机冗余嵌入式控制系统(下述简称双机冗余控制系统)。该双机冗余控制系统不但能够对主机和备份机出现故障时的控制权的移交，而且还能检测出出现故障的位置，保证了核工业机器人的正常工作，提高了核工业机器人的可靠性与稳定性。

本发明的一种适用于核工业机器人的双机冗余嵌入式控制系统，该双机冗余控制系统包括有以PC 104为主控制器的主机(100)和以ARM9E为控制器的备份机(200)，主机(100)和备份机(200)安装在核工业机器人上，并通过485总线与机器人驱动控制模块(400)实现电信号联接；核工业机器人通过光纤与上位机(300)实现指令信息传输；备份机(200)是在主机(100)出现故障时，才启动进入工作状态的；

主机(100)按照实现的功能或以分为网络模块(11)、图像传输模块(12)、导航模块(13)、行动驱动模块(14)和探测传感模块(15)；

备份机(200)按照实现的功能或以分为网络模块(21)、图像传输模块(22)、导航模块(23)、行动驱动模块(24)和探测传感模块(25)。

本发明设计的双机冗余控制系统的优点在于：

一、以往设计都是通过系统自检测判断CPU状态。一旦CPU出现故障，自检测系统也可能失效，自身状态输出不准确，导致错误漏报。本发明双机冗余控制系统正常工作时，主机100(以PC104为主控制器)获得对外上位机300的控制权，完成相应的控制任务后，并且与备份机200(以ARM9E为控制器)和上位机300定时交换信息，以判断主机100的工作状态是否正常。

二、以往设计只能判断CPU是否正常工作，无法判断具体故障的位置。本发明双机冗余控制系统按功能细分为不同模块，每一个模块都设置状态检测命令，在系统运行过程中不断向上位机300发送状态信息，这样可以通过每个模块返回的不同的状态信息判断各模块运行状态，一旦发生故障则可以准确判断故障位置。

三、本发明双机冗余控制系统设计了一种模块化组合的思想完成故障处理，通过PC104主控制器和ARM9E备份控制器之间不同模块的有效组合来完成控制任务，以实现更好的资源分配以及更高的可靠性。

四、以往设计一旦检测出CPU故障，则放弃该控制器的所有模块功能且永久失效，导致资源浪费。本发明双机冗余控制系统对于故障的控制器设计了自我恢复的功能，并且在恢复状态的同时还具备了自我学习的能力，记忆上次故障位置，以避免控制器恢复时再犯同样的错误。使整个双机冗余控制系统更加完善和全面，有效了保障系统的可靠性与安全性。

附图说明

图1是本发明机器人控制系统的结构框图。

图2是本发明双机冗余控制系统内部模块的结构框图。

图3是本发明主机模块化组合处理故障的结构框图。

图4是本发明备份机模块化组合处理故障的结构框图。

具体实施方式

下面将结合附图对本发明做进一步的详细说明。

参见图1所示，本发明的一种适用于核工业机器人控制的双机冗余嵌入式控制系统(下述简称双机冗余控制系统)，该双机冗余控制系统包括有以PC 104为主控制器的主机100和以ARM9E为控制器的备份机200，主机100和备份机200安装在核工业机器人上，并通过485总线与机器人驱动控制模块400实现电信号联接；核工业机器人通过光纤与上位机300实现指令信息传输。

参见图2所示，主机100按照实现的功能或以分为网络模块11、图像传输模块12、导航模块13、行动驱动模块14和探测传感模块15。

备份机200按照实现的功能或以分为网络模块21、图像传输模块22、导航模块23、行动驱动模块24和探测传感模块25。

在本发明中，为了要保证双系统(主机100和备份机200)的可靠性和稳定性，在不同的主控芯片(PC 104控制器、ARM9E控制器)上设计相同的功能模块。

参见图3所示，主机100中的网络模块11每次从远程终端(核工业机器人上的一部分)接收到一组命令数据时会向上位机300发送网络模块工作正常的回复指令DA_主机，简称为网络正常指令DA_主机。

主机100中的图像传输模块12每次接收到一帧视频数据时会向上位机300发送图像传输模块工作正常的回复指令DB_主机，简称为图像正常指令DB_主机。

主机100中的导航模块13每次接收到一组导航状态数据时会向上位机300发送导航模块工作正常的回复指令DC_主机，简称为导航正常指令DC_主机。

主机100中的行动驱动模块14每次向驱动板(即机器人驱动控制模块400)发送一组命令频数据时会向上位机300发送行动驱动模块工作正常的回复指令DD_主机，简称为驱动正常指令DD_主机。

主机100中的探测传感模块15每次接收到一组从探测端传来的数据时会向上位机300发送探测传感模块工作正常的回复指令DE_主机，简称为传感正常指令DE_主机。

在本发明中，主机100向上位机300上传的主机-数据信息MD_100-300采用集合形式表达为MD_100-300＝{DA_主机，DB_主机，DC_主机，DD_主机，DE_主机}。当在接收时间T(一般设为1秒、5秒或10秒等上传一次数据)内，若上位机300没有收到主机-数据信息MD_100-300中的任意一个或多个时，则下发相应的启动备份机200指令FF_备份机＝{FDA_主机，FDB_主机，FDC_主机，FDD_主机，FDE_主机}给备份机200。由于主机100和备份机200中设置的功能模块结构是相同，故可以根据上位机300未能在设定时间T内收到的如网络正常指令DA_主机、图像正常指令DB_主机、导航正常指令DC_主机、驱动正常指令DD_主机和/或者传感正常指令DE_主机进行相应的启动备份机200中的各个模块。

参见图4所示，备份机200中的网络模块21每次从远程终端(核工业机器人上的一部分)接收到一组命令数据时会向上位机300发送备份-网络模块工作正常的回复指令DA_备机，简称为备份-网络正常指令DA_备机。

备份机200中的图像传输模块22每次接收到一帧视频数据时会向上位机300发送备份-图像传输模块工作正常的回复指令DB_备机，简称为备份-图像正常指令DB_备机。

备份机200中的导航模块23每次接收到一组导航状态数据时会向上位机300发送备份-导航模块工作正常的回复指令DC_备机，简称为备份-导航正常指令DC_备机。

备份机200中的行动驱动模块24每次向驱动板(即机器人驱动控制模块400)发送一组命令频数据时会向上位机300发送备份-行动驱动模块工作正常的回复指令DD_备机，简称为备份-驱动正常指令DD_备机。

备份机200中的探测传感模块25每次接收到一组从探测端传来的数据时会向上位机300发送备份-探测传感模块工作正常的回复指令DE_备机，简称为备份-传感正常指令DE_备机。

本发明设计的双机冗余控制系统的工作方式为：正常工作时，主机100(以PC104为主控制器)获得对核工业机器人外设的控制权，备份机200(以ARM9E为控制器)处于待命状态。此时主机100和备份机200都运行自检测程序。当主机100发生故障时，上位机300放弃主机100对核工业机器人外设的控制权，同时将控制权移交给备份机200，从而保证在单机失效的情况下，不会引起核工业机器人系统失效。

在本发明中，上位机300是一工控机，该工控机选用研华公司生产的PCM-9380工控机。

在本发明中，网络模块11和网络模块21都是用于实现对核工业机器人采集到的数据信息进行上传，以及指令的下发。网络模块21是在主机100中任意一(图像传输模块12、导航模块13、行动驱动模块14和传感器模块15)模块出现故障时，并通过上位机300下发备份机网络启动指令FDA_主机时才执行的。

在本发明中，图像传输模块12和图像传输模块22都是用于实现对核工业机器人所在环境的景物进行实时采集，并将获取的图像信息上传给上位机300。图像传输模块22是在图像传输模块12出现故障时，并通过上位机300下发备份机图像启动指令FDB_主机时才执行的。

在本发明中，导航模块13和导航模块23用于实现自身位置的定位，并将自身位置信息上传给上位机300。导航模块23是在导航模块13出现故障时，通过上位机300下发的备份机导航启动指令FDC_主机时才执行。导航模块13和导航模块23可以选用GPS、陀螺仪等。

在本发明中，行动驱动模块14和行动驱动模块24用于实现对核工业机器人的行动进行控制。行动驱动模块24是在行动驱动模块14出现故障时，通过上位机300下发的备份机行动启动指令FDD_主机时才执行。

在本发明中，传感器模块15和传感器模块25用于实现对核工业机器人所在环境中核泄漏的相关信息进行采集，并将采集的信息上传给上位机300。传感器模块25是在主机100中的图像传输模块12、导航模块13、行动驱动模块14、传感器模块15中任意一个出现故障时，通过上位机300下发的备份机传感启动指令FDE_主机时才执行。

上位机300为了实时接收到主控制器100上传的多个信息MD_100-300＝{DA_主机，DB_主机，DC_主机，DD_主机，DE_主机}来判断主控制器处于正常的工作状态下，若在接收时间T内，上位机300未收到主控制器100中某一模块上传的信息，则认为主控制器中的该模块出现了故障，此时，上位机300需要向备份控制器200发出相应的启用信息来启用与主控制器相同结构的模块。

在本发明中，接收时间T可以定为1秒、5秒或10秒等。

在本发明中，主控制器采用PC104标准工业计算机。

在本发明中，备份控制器采用ARM9E为内核的嵌入式控制器。

在本发明中，机器人驱动控制模块通过RS485总线分别与主控制器和备份控制器通讯，用于实现对核工业机器人的行为控制。

本发明设计的双机冗余控制系统中每一个模块都设置状态检测命令，在程序运行过程中不断向上位机发送状态信息，这样可以通过每个模块返回的不同的状态信息判断各模块运行状态，一旦发生故障则可以准确判断故障位置。由于可以更加精确的定位故障位置，可以为故障后机器人决策提供更优方法，同时对于机器人之后的返回检修提供了重要参考信息，以避免以后发生同样的故障。

以往的双机冗余故障检测只能单纯的判断CPU是否工作正常，并没有判断故障的具体位置。实际中虽然有些功能模块出现故障但并不影响CPU工作，因此容易出现两种问题：状态信息显示CPU工作正常而实际上某些功能模块已经失效，导致故障漏报；某功能模块出现故障但不影响正常工作，但由于该功能模块故障，状态信息报告CPU错误，以至于放弃整个控制器的其它所有功能模块，导致资源浪费。

基于以上考虑本发明设计将整个控制器功能分为不同功能模块，包括有如图2所示的多个模块，根据功能模块的重要性采用不同的处理方法。

①关键模块为网络通讯模块。网络通讯模块是连接上位机与机器人的纽带，一旦网络断开，上位机将无法发送命令至机器人，整个机器人将失去控制。

处理方法：在PC104主机控制软件中，PC104每接受到一组命令数据，一方面向上位机发送状态信息以报告网络连接状态，另一方面也向ARM备份机发送网络连接状态信息。一旦ARM备份控制器查询到PC104主控制器网络通讯功能模块出现故障，则ARM控制器直接切换为主机，连接上位机，并接管控制权。而PC 104则进入自我恢复状态，并切换为从机待命。

②非关键模块为控制底层驱动模块、图像传输模块、导航模块、探测传感器模块。以上模块失效时虽然也会影响机器人正常工作，但不会导致机器人彻底失控。

处理方法：当PC104主机中某非关键模块出现故障时，上位机接受到该模块的故障状态信息，并进行决策：一方面，向PC104发送中断执行条件，使故障模块停止工作。以避免故障模块继续执行以导致内存冲突、死机、程序跑飞而造成整个CPU崩溃。另一方面，向ARM发送启动执行条件，以启动PC104发生故障模块在ARM中相同的功能模块，将该功能切换到ARM中执行，上位机从ARM控制器中接受相关的数据、图像等信息。

一旦PC104与ARM两相同模块均失效，表明该功能模块设计上存在问题，则返回检修。

优点：可以使机器人发生失效概率大大减小。

证明：假设网络通讯模块、控制底层模块、图像传输模块、导航模块、探测传感器模块这五个模块的故障概率均为20％，正常工作概率为80％。

以往双机冗余系统：如果单纯只判断CPU是否故障状态，五个模块均正常工作时CPU无故障，一个CPU正常工作概率为P₁＝(0.8)⁵＝0.32768，则机器人失效概率为两个CPU均故障概率为P＝(1-P₁)²＝0.45201

本发明设计的双机冗余系统：如果采用模块化组合方法，假设网络通讯模块、控制底层模块、图像传输模块、导航模块、探测传感器模块这五个模块的故障概率均为20％，某模块失效概率为PC104与ARM该模块均失效概率P₁＝(0.2)²＝0.04，机器人正常工作概率为五个模块均正常工作概率P₂＝(1-P₁)⁵＝0.81537，机器人失效概率P＝1-P₁＝0.18463。

本发明设计将机器人故障分为功能模块故障与CPU故障，功能模块故障处理方法前文已经介绍，而CPU一旦出现故障属于重大错误，自我恢复与自我学习功能的设计主要是针对CPU故障。本发明设计定义机器人失效并返回检修条件：PC104与ARM两相同模块均失效或者PC104与ARM各发生过一次CPU故障。

当PC104发生CPU故障时，一方面将控制权切换到ARM控制器，然后PC104重新上电，恢复网络通讯功能模块，保持与上位机连通状态，且切换为从机，处于待命状态。另一方面定位引起CPU故障的功能模块，储存记忆故障位置，并且当PC104再次恢复时该故障功能模块将强制永久失效，不再启用。

当ARM再出现故障时有三种情况：情况一、ARM出现CPU故障，切换到PC104控制权，且满足失效条件2，报告上位机，返回检修；情况二、ARM控制器出现与PC104相同的功能模块故障，由于PC104该模块已经强制永久失效，满足失效条件1，报告上位机，返回检修；情况三、ARM控制器出现与PC104不同的功能模块故障，由前文模块化组合方法所述，PC 104将接管过该模块功能，机器人依然正常运行。

这样设计方法的优点是：以往设计方法一旦两CPU均故障，机器人则彻底失效。而采用自我恢复与自我学习思想，储存记忆故障位置，并且当PC104再次恢复时强制该故障功能模块永久失效，不再启用的方法，一旦达到机器人失效条件，如上文情况一和二，虽然机器人某模块失效，但机器人CPU依然可以正常运转，不至于彻底失控，上位机可以控制机器人返回检修。

网络通讯模块：由于网络通讯是连接上位机与机器人的纽带，一旦网络断开，上位机将无法发送命令至机器人，整个机器人将彻底失去控制，因此该功能至关重要。基于以上考虑在机器人设计中除了采用光纤通讯外，另外还备份了无线网络通讯模块，一旦光纤通讯失效，无线网络通讯模块将接管过连接上位机与机器人的任务，保障机器人的安全。

控制底层模块：当机器人满足失效条件时，上位机将控制机器人返回检修。底层驱动模块是控制机器人前进、转弯等运动的模块，是机器人返回检修的基本保证，因此也属于十分重要的部分。基于以上考虑在机器人每个关节电机上装有编码器，编码器将反馈各执行电机的状态到控制器，再返回到上位机，一旦控制底层驱动模块出现故障，上位机可以更好的判断故障原因与位置，从而做出最优决策。