用于计算机控制系统的冗余电源、计算机控制系统

摘要

本公开涉及一种用于计算机控制系统的冗余电源、计算机控制系统。所述冗余电源包括具有共同输出端的第一电源部分和第二电源部分，第一电源部分和第二电源部分互为冗余，第一电源部分包括：第一电源；第一电流检测控制模块，用于检测第一电源输出的电流，并根据所检测到的电流，向第一电压转换模块输出电压；第一分压模块，用于将第一电源部分输出端的电压进行分压后输入第一电压转换模块；第一电压转换模块，用于根据来自第一电流检测控制模块的电压和来自第一分压模块的电压构成的或电路的输出，将第一电源输出的电压转换后作为第一电源部分的输出。这样，使第一电源部分进入稳定工作状态，第一电源部分能够均衡地输出，线路简单，可靠性高。

说明书

技术领域

本公开涉及计算机控制系统领域，具体地，涉及一种用于计算机控制系统的冗余电源、计算机控制系统。

背景技术

在一些与安全相关的计算机控制系统领域中，与安全相关的设备或系统的状态必须受到控制设备的严密监控，即使在控制设备发生故障时，也必须使被控制设备导向安全侧，满足“故障-安全”原理。“故障-安全”原则是铁路设计的最根本的安全原则，指当信号设备发生故障时，应以特殊的方式做出反应并导向安全，由此确保行车安全。“故障-安全”原则也被应用到铁路信号以外的领域中。

在一些计算机控制系统中，常常用到冗余电源。冗余电源是用于服务器中的一种电源，是由两个电源组成，由芯片控制电源进行负载均衡，当一个电源出现故障时，另一个电源可以马上接管工作。设计冗余电源能够实现服务器系统的高可用性。

发明内容

本公开的目的是提供一种安全性较高的用于计算机控制系统的冗余电源、计算机控制系统。

为了实现上述目的，本公开提供一种用于计算机控制系统的冗余电源，所述冗余电源包括具有共同输出端的第一电源部分和第二电源部分，所述第一电源部分和所述第二电源部分互为冗余，所述第一电源部分包括：

第一电源；

第一电流检测控制模块，用于检测所述第一电源输出的电流，并根据所检测到的电流，向第一电压转换模块输出电压；

第一分压模块，用于将所述第一电源部分输出端的电压进行分压后输入所述第一电压转换模块；

所述第一电压转换模块，用于根据来自所述第一电流检测控制模块的电压和来自所述第一分压模块的电压构成的或电路的输出，将所述第一电源输出的电压转换后作为所述第一电源部分的输出。

可选地，所述第二电源部分包括：

第二电源；

第二电流检测控制模块，用于检测所述第二电源输出的电流，并根据所检测到的电流，向第二电压转换模块输出电压；

第二分压模块，用于将所述第二电源部分输出端的电压进行分压后输入所述第二电压转换模块；

所述第二电压转换模块，用于根据来自所述第二电流检测控制模块的电压和来自所述第二分压模块的电压构成的或电路的输出，将所述第二电源输出的电压转换后作为所述第二电源部分的输出。

可选地，所述第一电源部分还包括第一热插拔模块，连接在所述第一电流检测控制模块和所述第一电压转换模块之间，用于控制所述第一电源部分在插入和拔出母线时的电压；

所述第二电源部分还包括第二热插拔模块，连接在所述电流检测控制模块和所述第二电压转换模块之间，用于控制所述第二电源部分在插入和拔出母线时的电压。

可选地，所述第一电源部分还包括第一二极管，连接在所述第一电压转换模块和所述第一电源部分的输出端之间，用于阻止从所述第一电源部分输出端流向所述第一电压转换模块的电流；

所述第二电源部分还包括第二二极管，连接在所述第二电压转换模块和所述第二电源部分的输出端之间，用于阻止从所述第二电源部分输出端流向所述第二电压转换模块的电流。

可选地，所述第一电源部分还包括第一理想二极管控制模块，连接在所述第一电压转换模块和所述第一电源部分的输出端之间，用于消除所述第一二极管的正向导通压降；

所述第二电源部分还包括第二理想二极管控制模块，连接在所述第二电压转换模块和所述第二电源部分的输出端之间，用于消除所述第二二极管的正向导通压降。

本公开还提供一种计算机控制系统，包括本公开提供的上述冗余电源。

可选地，所述计算机控制系统还包括第一控制系统、第一安全继电器和第一输入输出部分，所述第一控制系统包括第一处理器和第二处理器，

所述第一安全继电器用于若所述第一处理器和所述第二处理器的输入输出信号表决不一致，则将所述冗余电源和所述第一输入输出部分断开。

可选地，所述第一安全继电器还用于若所述冗余电源和所述第一输入输出部分被断开，则向所述第一处理器和所述第二处理器发送反馈信号。

可选地，所述计算机控制系统还包括第二控制系统、第二安全继电器和第二输入输出部分，所述第二控制系统包括第三处理器和第四处理器，

所述第二安全继电器用于若所述第三处理器和所述第四处理器的输入输出信号表决不一致，则将所述冗余电源和所述第二输入输出部分断开。

可选地，所述第二安全继电器还用于若所述冗余电源和所述第二输入输出部分被断开，则向所述第三处理器和所述第四处理器发送反馈信号。

通过上述技术方案，第一电流检测控制模块检测第一电源输出的电流，并生成一个电压，第一分压模块生成另一个电压，这两个电压构成或电路，其输出用于控制第一电压转换模块的工作状态，最终控制第一电源部分的输出电压，从而使第一电源部分进入稳定工作状态。并且，第一分压模块根据第一电源部分输出电压的变化，来调整第一电压转换模块的工作状态，使第一电源部分能够均衡地输出，线路简单，可靠性高。

本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1是一示例性实施例提供的冗余电源的结构示意图；

图2是一示例性实施例提供的第一电流检测控制模块的结构示意图；

图3是又一示例性实施例提供的冗余电源的结构示意图；

图4是一示例性实施例示出的第一热插拔模块的电路示意图；

图5是一示例性实施例提供的冗余电源插入电源母线的时序图；

图6是又一示例性实施例提供的冗余电源的结构示意图；

图7是一示例性实施例提供的第一理想二极管控制模块的结构示意图；

图8是一示例性实施例提供的计算机控制系统的结构示意图。

具体实施方式

以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本公开，并不用于限制本公开。

图1是一示例性实施例提供的冗余电源的结构示意图。如图1所示，冗余电源可以包括具有共同输出端A的第一电源部分和第二电源部分。第一电源部分和第二电源部分互为冗余。第一电源部分可以包括第一电源、第一电流检测控制模块、第一分压模块和第一电压转换模块。

第一电流检测控制模块用于检测第一电源输出的电流，并根据所检测到的电流，向第一电压转换模块输出电压。第一分压模块用于将第一电源部分输出端的电压进行分压后输入第一电压转换模块。第一电压转换模块用于根据来自第一电流检测控制模块的电压和来自第一分压模块的电压构成的或电路的输出，将第一电源输出的电压转换后作为第一电源部分的输出。

第一电源部分和第二电源部分由于具有共同输出端，可以互为冗余。当其中一者出现故障时，另一者能够马上接管工作，使计算机控制系统可靠性增强。

本公开的冗余电源可以为安全计算机平台提供看门狗电源。第一电源部分和第二电源部分两路同时供电，或两路至少有一路供电才能保证看门狗正常工作。

第一电流检测控制模块检测并产生一个与所检测电流成正比的电压，与第一分压模块输出的电压一起作为或电路的两个输入，该或电路的输出用于控制第一电压转换模块的工作状态，最终控制第一电源部分的输出电压，从而使第一电源部分进入稳定工作状态。

具体地，第一电流检测控制模块例如可以采用MAX472芯片。图2是一示例性实施例提供的第一电流检测控制模块的结构示意图。图2中，第一电流检测控制模块包括MAX472芯片及其外围结构。其中，R

第一分压模块可以包括分压电阻。简单地，可以将分压电阻之间节点出的电压引出，输入第一电压转换模块。第一电压转换模块可以为Vicor DC_DC芯片。

通过上述技术方案，第一电流检测控制模块检测第一电源输出的电流，并生成一个电压，第一分压模块生成另一个电压，这两个电压构成或电路，其输出用于控制第一电压转换模块的工作状态，最终控制第一电源部分的输出电压，从而使第一电源部分进入稳定工作状态。并且，第一分压模块根据第一电源部分输出电压的变化，来调整第一电压转换模块的工作状态，使第一电源部分能够均衡地输出，线路简单，可靠性高。

第二电源部分的内部结构可以和第一电源部分相同，也可以不同。在图1的实施例中，第二电源部分的内部结构和第一电源部分相同。其中，第二电源部分可以包括第二电源、第二电流检测控制模块、第二分压模块和第二电压转换模块。

第二电流检测控制模块用于检测第二电源输出的电流，并根据所检测到的电流，向第二电压转换模块输出电压。第二分压模块用于将第二电源部分输出端的电压进行分压后输入第二电压转换模块。第二电压转换模块用于根据来自第二电流检测控制模块的电压和来自第二分压模块的电压构成的或电路的输出，将第二电源输出的电压转换后作为第二电源部分的输出。

相似地，第二电流检测控制模块也可以采用MAX472芯片。第二分压模块也可以包括分压电阻。第二电压转换模块也可以为Vicor DC_DC芯片。

在又一实施例中，第一电源部分还可以包括第一热插拔模块。第一热插拔模块可以连接在第一电流检测控制模块和第一电压转换模块之间，用于控制第一电源部分在插入和拔出母线时的电压。

第二电源部分还可以包括第二热插拔模块，第二热插拔模块连接在电流检测控制模块和第二电压转换模块之间，用于控制第二电源部分在插入和拔出母线时的电压。

图3是又一示例性实施例提供的冗余电源的结构示意图。如图3所示，第一电流检测控制模块和第二电流检测控制模块采用MAX472芯片，电阻R10和电阻R20可以看作图2中的电阻R

对于第一电源部分，第一电流检测控制模块(MAX472)检测并产生一个与输入该模块的电流成正比的电压Uc1，Uc1控制Uref1电压，Uref1电压控制第一电压转换模块的工作状态，最终控制第一电源部分的输出电压U0，从而使第一电源部分进入稳定工作状态。

串联电阻R1a和R1b用于通过分压来反馈输出电压U0的变化，用于调整第一电压转换模块的工作状态，达到均衡输出的目的。

如果没有电流流过R10，则第一电流检测控制模块接近于地(零)电位，使R1b、R11和R1a三者的电阻并联，从而使Uref1位置与地之间的等效电阻更小，U0更高。U0的变化只需补偿第一电源部分和第二电源部分之间切换供电时，单独供电输出电压U0的差异，这种差异只有几个百分点。可以选择第一电源部分和第二电源部分具有相同的电路结构，差别较小，只有1％。如果流入负载的电流增大，则Uc1也会增加，从而减小流过D12的电流，使U0下降。当第一电流检测控制模块的输出电压Uc1上升并与电压Uref1之差小于D12两端的电压降时，则D12中就没有电流流过(二极管反向不导通)。因此，即使第一电源输出较大的电流，U0都能够保持预定的值，相当于D12断开，此时不影响输出电压U0的反馈电路R1a和R1b对第一电压转换模块输出电压的调节。

对于第二电源部分，第二电流检测控制模块(MAX472)检测并产生一个与输入该模块的电流成正比的电压Uc2，Uc2控制Uref2电压，Uref2电压控制第二电压转换模块的工作状态，最终控制第二电源部分的输出电压U0，从而使第二电源部分进入稳定工作状态。

串联电阻R2a和R2b用于通过分压来反馈输出电压U0的变化，用于调整第二电压转换模块的工作状态，达到均衡输出的目的。

其中，Uref1＝U0*R1b/(R1a+R1b)，Uref2＝U0*R2b/(R2a+R2b)。

图4是一示例性实施例示出的第一热插拔模块的电路示意图。如图4所示，第一热插拔模块包括第一电流检测控制模块和第一电压转换模块二者之间的电路部分，其具体内容本领域技术人员可以理解，此处不再赘述。

第一热插拔模块和第二热插拔模块都可以采用MAX4370型号的集成芯片。

热插拔是靠模块物理接触面上的电源和地线的插针的长短不一样，接触受电面主次接触面之间有一个时间差，给控制信号一个提前量，控制电源缓启动和缓关闭，达到消除开机瞬间大电流造成的浪涌电流。图5是一示例性实施例提供的冗余电源插入电源母线的时序图。根据图5，电源的开启和关闭的热插拔软启动过程如下：

从t0开始，到t1时，主接触面vin+(1)和vin-之间有电压，开关管Q1、Q2、Q3的栅极或基极没有加电，t1-t2时开关不导通。t2时，次接触面vin+(2)有电。t2-t3时，开关管Q1和Q3控制电压Vinp开始上升。t3-t4时，输出上升。t4时，电源拔出，Vin+(2)首先断电。在电源拔出过程中，电源先关断，输入电压Vinp和输出电压U0下降到0，t5时结束。

通过设置第一热插拔模块和第二热插拔模块，使得冗余电源支持热插拔，有缓启动电路。

在又一实施例中，第一电源部分还包括第一二极管，连接在第一电压转换模块和第一电源部分的输出端之间，用于阻止从第一电源部分输出端流向第一电压转换模块的电流。也就是，通过设置第一二极管，阻止第一电源部分中电流的逆流。

第二电源部分还包括第二二极管，连接在第二电压转换模块和第二电源部分的输出端之间，用于阻止从第二电源部分输出端流向第二电压转换模块的电流。也就是，通过设置第二二极管，阻止第一电源部分中电流的逆流。

由于第一电源部分和第二电源部分有共同的输出端，这样的话，就有可能会发生其中一个为另一个充电的情况。该实施例中，通过设置第一二极管，避免了第二电源部分向第一电源部分充电，通过设置第二二极管，避免了第一电源部分向第二电源部分充电。这样，就避免了在故障情况下，发生相互充电的情况，避免了不必要的浪费。

在上述实施例中，如果是用普通的二极管，则在二极管上会有一定的压降，也可以用理想二极管控制模块来控制二极管成为理想的、没有压降的二极管。图6是又一示例性实施例示出的冗余电源的结构示意图。如图6所示，第一电源部分还包括第一理想二极管控制模块，连接在第一电压转换模块和第一电源部分的输出端A之间，用于消除第一二极管的正向导通压降。

第二电源部分还包括第二理想二极管控制模块，连接在第二电压转换模块和第二电源部分的输出端A之间，用于消除第二二极管的正向导通压降。

其中，第一理想二极管控制模块和第二理想二极管控制模块中包括了二极管。第一理想二极管控制模块和第二理想二极管控制模块例如可以用集成的芯片LT43151来实现。

图7是一示例性实施例提供的第一理想二极管控制模块的结构示意图。如图7所示，采用芯片外部两个背对背N沟道MOSFET产生一个接近理想的二极管。该理想二极管部件实现了多种电源的低损耗型“或”处理。可以容易地将电源以“或”的关系连接在一起，以增加总系统功率并提升可靠性，同时对电源电压或效率的影响则极小，并且能够有效地将不同类型的电源“或”连接在一起。

该第一理想二极管控制模块用于监视相对于负载的输入电源电压，并在输入电源电压较高时接通MOSFET。如果MOSFET的接通电阻足够地小，则LT4351将把MOSFET两端的电压调节至例如15mV。例如，一个STATUS引脚用于指示MOSFET导通状态。

一个内部升压型稳压器可以用于产生MOSFET栅极驱动电压。低工作电压允许对低至1.2V的电源进行“或”处理。

在欠压或过压条件下，LT4351将停用电源通路。这些电压由UV和OV引脚上的阻性分压器来设定。欠压门限具有可由用户来设置的迟滞。对过压检测电路进行了滤波处理，旨在抑制误触发现象。

背靠背的二极管和MOSFET的作用是保证电流从电源流向负载，而不能从负载流向电源。正向电流通路一旦建立，电流就从电源经过内阻小的MOSFET流向负载，而不经过内阻大的二极管。

利用第一理想二极管控制模块和第二理想二极管控制模块，使得系统中串接的二极管上没有消耗电压、功耗小，并具有过压、欠压保护功能。

本公开还提供一种计算机控制系统，包括本公开提供的上述冗余电源。

图8是一示例性实施例提供的计算机控制系统的结构示意图。如图8所示，在该实施例中，除冗余电源之外，计算机控制系统还包括第一控制系统、第一安全继电器和第一输入输出部分。第一控制系统包括第一处理器和第二处理器。

第一安全继电器用于若第一处理器和第二处理器的输入输出信号表决不一致，则将冗余电源和第一输入输出部分断开。

其中，本领域技术人员可以理解的是，上述的输入输出，是指输入或输出。若为输入，则全部都是输入，若为输出，则全部都是输出。

以输入为例，计算机控制系统还包括第一控制系统、第一安全继电器和第一输入部分。第一控制系统包括第一处理器和第二处理器。第一安全继电器用于若第一处理器和第二处理器的输入信号表决不一致，则将冗余电源和第一输入部分断开。

如图8所示，第一处理器的输入(或输出)和第二处理器的输入(或输出)经过安全与门。如果安全与门表决这两个输入一致，则控制第一安全继电器将第一输入部分和冗余电源连接。如果安全与门表决这两个输入不一致，则控制第一安全继电器将第一输入部分和冗余电源断开。

本公开采用二取二双处理器表觉结果构来喂狗，看门狗的输出是控制看门狗电源的输出。如果二取二双处理器没有按时清除看门狗计数器，计数器溢出是就会出切断看门狗电源的控制信号。输入、输出信号就会被切断。

多数看门狗是由硬件组成的一个定时器，也有软件控制的定时器作看门狗的。看门狗的功能就是当程序跑飞后，程序是无法给看门狗清零的，所以程序跑飞后看门狗很快会溢出，产生复位信号，使程序重新回到起点。本公开通过上述的切断输入输出部分与冗余电源的连接，避免了复位以后，由于故障仍然存在而导致的输出错误，从而导向安全侧，实现故障安全模式。

安全计算机每一处理器的安全输出都通过安全与门输出，安全与门只有接在收到两个控制器输出的相同的控制命令时，才输出电压信号驱动安全继电器，其余情况，安全与门不输出信号，其对应的安全继电器不动作。

安全与门的电源由安全看门狗电源供给，当看门狗动作时，所有安全输出关断，导向安全侧，采用安全看门狗切断输入输出接口的继电器。即，冗余电源作为看门狗电源，当系统中有故障时，切断输入和输出接口的电源，导向安全侧，实现故障安全模式。该实施例中，只切断输入输出信号的通路，不干涉信号系统的工作电源。

第一控制系统的数字量输入接口通过安全继电器采集外部的数字量输入，第一控制系统和第二控制系统可以均独立采集安全继电器的触点，对于采集继电器触点的方式使用动态采集电路实现，在采集DI(数字量输入)值时，固件使能动态采集电路，并连续读取DI值，多次采集的值一样时，判断该值为当前的DI输入值。对于动态采集电路的故障检测，固件可以使用动态采集的方式进行检测，即输出动态脉冲，控制动态采集电路，通过采集的DI值与输出的动态脉冲进行比较以判断电路是否有故障。对于动态采集电路的故障检测，固件进行周期性的检测。因此，继电器触点采集的安全防御措施为周期性动态检测，以对采集电路进行故障检查，实现DI信号的安全输入。

可选地，第一安全继电器还用于若冗余电源和第一输入输出部分被断开，则向第一处理器和第二处理器发送反馈信号。如图8所示，第一安全继电器是双键开关，在其中一键接通和断开第一输入输出部分的同时，另外一键也给第一处理器和第二处理器相应的电平信号CH1_WD-RD和CH2_WD-RD。安全采集板对内部安全继电器的接点状态进行回采，以判断继电器接点的输出状态。

在通常的二取二乘二系统中，计算机控制系统包括两个控制系统。可选地，计算机控制系统还可以包括第二控制系统、第二安全继电器和第二输入输出部分，第二控制系统包括第三处理器和第四处理器。

第二安全继电器用于若第三处理器和第四处理器的输入输出信号表决不一致，则将冗余电源和第二输入输出部分断开，还可以用于若冗余电源和第二输入输出部分被断开，则向第三处理器和第四处理器发送反馈信号。

通过上述冗余电源结合安全看门狗电路，实现了二乘二取二和故障安全的模式。

以上结合附图详细描述了本公开的优选实施方式，但是，本公开并不限于上述实施方式中的具体细节，在本公开的技术构思范围内，可以对本公开的技术方案进行多种简单变型，这些简单变型均属于本公开的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本公开对各种可能的组合方式不再另行说明。

此外，本公开的各种不同的实施方式之间也可以进行任意组合，只要其不违背本公开的思想，其同样应当视为本公开所公开的内容。