[发明专利]双机冗余容错系统及其冗余切换方法

说明书

技术领域

本发明涉及一种冗余容错系统及其切换方法，具体地说，是涉及一种双机冗余容错系统以及对该双机冗余容错系统中的双机进行冗余切换的方法。

背景技术

对于以计算机作为核心的系统而言，很重要的一点是该系统的某个计算机出现故障后，系统仍能继续工作。为了解决这个问题，目前普遍采取的措施是为该系统设计冗余系统，以支持容错操作。考虑到成本和使用面积等因素，一般情况下，对该系统进行动态双模冗余设计。动态双模冗余系统包括一个工作机和一个备份机，它们的职能可以互换。在这种双机冗余设计中，需要确定一种机制，以使在各阶段内具有作为主控制器的控制器和作为备份而处于空闲状态的控制器，同时，还需要确定当单个控制器产生故障时，正常的控制器应作出怎样的反应，以保证系统的正常运行。这种机制需要在工作机与备份机之间有大量的电路连接，以进行信号交互，是一套复杂的机制。

传统的动态双模冗余系统的设计较为单一，一般只考虑双机同时工作状态，以及单机发生不可恢复故障时的状态，而没有考虑到控制器工作的复杂环境和对功耗的特殊要求。同时，为了降低设计的复杂度，传统动态双模冗余系统的故障检测切换方法比较单一，一般为：一套监视电路观察工作机的状态，在工作机故障时进行切换。这种故障检测切换方法一方面忽视了备份机的工作状态，当工作机故障时，可能备份机处于更糟的故障状态，另一方面，该方法不能防止单一的监视电路出错，会造成切换逻辑的误操作。在这种传统的切换方法设计中，冗余设备间加入了专门的切换部件，由这个切换部件接收并监视双机的状态信号，根据接收状态信号来决定主从机的选择，同时，给出互斥的信号来选择工作机输出。但是，当这个切换部件发生错误时，便会引起单点故障，导致系统无法工作。后来，冗余设备之间开始采用了一种状态信号线直连的方法，各冗余设备根据这些状态信号来确定系统的工作状态。这种方法防止了切换部件故障带来的隐患，但是，这种状态信号线直连方式会导致冗余信号较多，电路连接很复杂。另外，传统的容错冗余系统设计对故障检测关注不高。但是，故障检测信号是是否进行切换的重要依据，如果故障检测发生了问题，系统可能会处于死锁或“乒乓切换”，从而故障将难以判断。

发明内容

本发明的目的在于提供一种双机冗余容错系统及其冗余切换方法，该冗余容错系统结构简单，信号传输可靠，该冗余切换方法控制简单，可极大降低系统故障率，可起到很好的容错效果。

为了达到上述目的，本发明采用以下技术方案：

一种双机冗余容错系统，其特征在于：它包括A机、B机、冗余切换选择单元和被控单元，A机和B机内均设有一冗余切换控制单元，A机和B机内的冗余切换控制单元分别将各自产生的切换信号传输至冗余切换选择单元，冗余切换选择单元通过两冗余切换控制单元传输的切换信号对A机和B机分别输出的控制信号进行选择后产生一最终控制信号，并将该最终控制信号传输至被控单元，其中：该冗余切换控制单元包括仲裁切换单元、心跳收发单元、加断电单元和监视器单元，A机的仲裁切换单元分别与A机的心跳收发单元、加断电单元和监视器单元相连，该A机的心跳收发单元与B机的心跳收发单元相连，该A机的加断电单元与B机的电源单元相连，该A机的监视器单元与A机的CPU相连，该A机的CPU与A机的仲裁切换单元相连，该A机的仲裁切换单元与B机的仲裁切换单元相连，该A机的仲裁切换单元输出一切换信号；B机的仲裁切换单元分别与B机的心跳收发单元、加断电单元和监视器单元相连，该B机的加断电单元与A机的电源单元相连，该B机的监视器单元与B机的CPU相连，该B机的CPU与B机的仲裁切换单元相连，该B机的仲裁切换单元输出一切换信号。

一种双机冗余容错系统的冗余切换方法，其特征在于它包括步骤：

步骤A：双机同时上电，通过上电策略确定工作机、备份机；

步骤B：判断双机状态：若双机无故障，则跳至步骤C；若工作机或备份机故障，则跳至步骤D；

步骤C：判断系统所处任务段：若系统工作在一般任务段，则工作机通过自身的加断电单元对备份机断电，系统实行冷备策略，并返回步骤B；若系统工作在关键任务段，则工作机通过自身的加断电单元对备份机上电，系统实行热备策略，并返回步骤B；

步骤D：判断故障是否可恢复：若故障可恢复，则进行故障恢复，并返回步骤B；若故障不可恢复，则系统进入单机状态。

本发明具有如下优点：

本发明双机冗余容错系统可在一般任务段和关键任务段两种状态下工作，且在各状态下发生不同故障时，系统通过本发明冗余切换方法进行及时故障处理，以保证系统正常工作或工作在故障安全侧，防止引起毁灭性故障。