基于网络通信的设备互操和数据热备份的设计方法

杨晨，邓茹凤，张宏，石邦凯

(中国船舶集团有限公司第七一三研究所 郑州市特种场所火灾防护技术重点实验室，郑州 450015)

该安全系统采用典型的树状架构，即“中心-区域-现场”3层式架构，见图1。

图1 某型安全系统网络结构示意

从图1中可以看出，区域监控箱是底层信息采集设备上传监测数据的唯一通路，一旦发生故障或网络中断，则对应的整个区域很可能就形成了监控盲区。各个区域监控箱的任务基本相同，因此区域监控箱的软件和硬件是具有较大程度的通用性和互换性，考虑充分利用这一特性解决复杂系统关键设备互操互备与数据热备份的问题。

1 现状和需求分析

该系统具有监控区域多、区域间设备及监测数据相互隔离等特点，在系统架构上限制了实现系统重构的功能。由图1可见，各区域监控箱及相应区域内的信息采集设备、消防处置设备拥有独立的CAN网络通信子网和控制信号电缆，各区域的功能相近，但工作互不交叉，且数据无法互通。虽然可以通过顶层网络互相监测工作状态，但这样的网络结构的缺陷是显而易见的，一旦区域层中任意一台区域监控箱发生故障或通信网络中断，则该区域所有设备的信息均无法获悉，导致陷入监控盲区，发生较为严重的故障时无维修保障手段，需长时间等待直至设备修复，区域监控箱成为了本区域所有数据的“独木桥”。这种工况极其危险且不应发生。

解决该问题的最简单且有效的方法就是采用双机系统，即为每个区域配置两台区域监控箱，从而实现热备份。但这种方法存在弊端。

为了在不增加资源消耗的前提下提高系统的任务可靠性，需要依靠现有的系统配置，通过优化改进设计系统的通信网络架构和关键设备的软硬件来实现区域层设备互操互备。

结合系统实际需求，总结出区域监控箱应具备以下功能。

根据Lakoff（1987）、Lakoff&Turner（1989）、Radden&Kövecses（1999）等人的观点，ICM 是指我们组织百科知识所依托的结构，它是我们通过自然、社会和文化活动从其一个特定领域的各种体验中抽象出来的心理表征。Radden&Kövecses（1999：21）认为，一切事物经过概念化后都有ICM，从这个意义上说，ICM涉及现实、概念和语言这三个不同的维度；而且，只要有ICM就会出现转喻，因此，转喻可谓无处不在。

1)各区域监控箱在正常工作时，本机的状态能够被顶层监控设备和其他区域监控箱实时监测到，若其中任一区域监控箱(称为主机)发生故障或网络中断时，即失去了本区域信息的采集、处理、上传能力和消防处置措施的控制能力，此时应能够通过相临近区域监控箱(称为备机)的切换开关将主机的监测及控制权限全权接管，且不影响备机继续对本区域的监控和执行设备的遥控操作功能。

2)发生故障的主机经修复恢复正常后，能够立即执行对本区域防护对象的监测信息的采集、显示和上传，但为了避免发生控制权限或信息冲突，应当在备机的互操互备切换开关复位后，控制权限才切换回主机。

3)用于互操互备切换开关应采用强制切换设计，并相应地设置在备机上，在备机能够正常工作时，任何状态下操作备机上的切换开关都能够将主机的监测及控制权限切换至备机或取消切换，包括主机未发生故障状态也同样可以切换，即主机始终为被动切换。

2 改进设计方法

以图1所示的安全系统为对象，按照上述功能需求为目标开展系统升级和软硬件设计，在不增加系统配置的前提下，给出一种能够实现3个区域监控箱的互操和数据热备份的设计方法。

2.1 控制策略

区域监控箱的主要功能是在发生险情时能够及时准确的发送控制信号来投入对应区域的防护对象的消防处置，而增加互操互备功能，可能会因控制权限不确定导致控制逻辑上混乱或冲突。因此，需要通过设置合理可行的控制策略解决上述问题。以控制权限唯一性为原则，设置下列控制策略。

1)在任意时刻，控制输出的有效权限有且仅有一个。

2)当控制权限不在区域监控箱(在顶层监控设备)上时，无法完成互备互操切换功能。

3)当某一区域监控箱发生故障时，需要人工确认后，在备机上手动操作，互操互备切换无法自动切换。

4)为了使系统网络最优及备份全覆盖，采用2#区域监控箱可备份1#和3#区域监控箱，3#区域监控可备份2#区域监控箱的方式。

2.2 网络通信架构

改进设计中继续采用3层通信网络架构，区域监控箱位于第二层监控网络，对上位机采用以太网进行通信，对底层信息采集设备通过CAN总线进行通信。

通过网络通信实现互操互备，关键要解决以下问题：①需备份区域的数据采集问题；②需备份区域的控制信号输出问题。

通过对专用内部通信网络改进设计能够很好的解决问题①。每个区域监控箱与本区域内信息采集设备形成一个独立的环形CAN通信网络，包括区域监控箱在内的所有设备均可看作网络上的通信节点。将用于备份的区域监控箱作为一个通信节点加入到对应备份区域的CAN通信网络中，则可以实现主机和备机同步接收信息采集设备上传的数据，即使主机工作正常，备机也实时处于监听状态。这是一种简单而有效的网络拓扑结构，达到了数据热备份的目的。

针对问题②，区域监控箱发送的控制信号，是通过独立的控制线发送到控制信号转接箱，然后再对应送到相应的执行设备。将作为备机的区域监控箱和主机的I/O输出接口同时并入主机区域的控制信号转接箱，在设定的第1条控制策略的限定下，即可实现互操作的目的。控制信号输出应由区域监控箱操作面板上的按钮动作来实现，为了不增加或不占用区域监控箱硬件资源，备机在监控软件上设置软按键用于发送主机对应区域的控制信号。

综合上述两种设计方法，规划出3个区域监控箱的通信网络与控制网络连接示意于图2。

在图2中，区域监控箱的CAN1和CAN2接口用于接收本区域数据，2#区域监控箱的CAN3接口接入1#区域的CAN总线，实时接收1#区域的数据，CAN4接口接入3#区域CAN总线，实时接收3#区域的数据。同时，2#区域监控箱的IO输出接口分与1#和3#区域监控箱的IO输出接口并入控制信号转接箱。

图2 区域监控箱通信网络与控制网络连接示意

区域监控箱互操互备工作流程见图3。

图3 区域监控箱互操互备工作流程

3 工程化应用实例

区域监控箱采用壁挂式高性能一体机，主要由箱体、一体化计算机、触摸显示屏和操控面板等组成。

一体化计算机采用CPCI总线形式，具备良好的机械特性及散热性能，模块化设计，互换性、兼容性较好，设计时充分考虑了环境适应性和电磁兼容性。内部功能模块包括双核CPU模块、CAN通讯模块、继电器模块、以太网通讯模块和存储模块等，全部采用模块化设计，具有良好的维修性、互换性和扩展性。

操控面板是人机交互的主要部分之一，由指示灯、按钮、旋钮开关、蜂鸣器等组成，按照功能区域进行划分为综合报警功能区域(主要为指示灯)、遥控操作功能区域(主要为按钮或旋钮开关)和综合控制功能区域。互备互操的切换开关安装于操控面板的综合控制区域上。对于2#区域监控箱，因需要完成1#和3#区域监控箱的备份功能，增加备份区域的选择按钮，配合互备互操切换开关完成区域，见图4。

图4 2#区域监控箱互备互操切换开关和区域选择按钮

监控软件作为硬件的补充，是区域监控箱的重要组成部分。监控软件也采用模块化设计，主要包括网路通信模块、控制输出模块、显示模块和互操互备模块。监控软件组成见图5。

图5 区域监控箱监控软件组成

区域监控箱互操作和数据热备份就是由互操互备模块来完成，其主要功能是在互操互备状态下完全替代被备份区域监控箱的监控、报警和控制输出功能。软件界面设计上保持与主机界面一致，并增加了软控制按钮界面。备机对本区域的监控功能完全不受影响。

在监控软件设计中，需要着重考虑安全性问题，系统的控制策略通过监控软件实现。为了有效避免主备机控制权限冲突的问题，仅当监控软件采集到互操互备切换开关信号时，才能将互操作界面使能。此时，备机通过通信网络将切换状态发送至主机，如果主机发生故障无法正常工作，则不会有控制信号的输出；如果主机未发生故障，在接收到备份信号后，可以继续接收本区域的监测信息，但需要主动断开控制信号的输出，直至备机上互备状态取消。互操互备状态下控制权限设置流程图如图所示。

4 结论

1)系统通信网络架构进行优化设计，采用区域互联，可从根本上消除数据“孤岛”和通信“独木桥”的问题，仅需在区域监控层设备上增加一路通信接口和通信电缆为代价，可简单而有效地实现区域监控数据热备份。

2)结合系统设计经验，在综合信息监控软件中增加控制策略加以限制，可有效规避互操作过程中主备机在执行同一对象的控制信号输出的冲突问题，实现系统关键设备的互操作。

3)可实现全域覆盖的系统智能重构，能够在区域监控层的部分设备发生较为严重故障或短时间内不具备维修条件的时候，在不影响任务执行效率的情况下，充分保障任务的继续执行，大幅提升系统任务可靠性。

4)摒弃了采用双机系统实现备份的设计方法，方法突出以不增加硬件设备和系统资源消耗等特点，具有较高的效费比，可有效降低系统制造成本。

所述设计方法已实现工程化应用并实装，应用效果和用户反馈均达到了预期目标，该设计方法充分解决了对象舰船系泊或航行时检修手段不完备而导致的系统任务可靠性不足的问题，该设计方法对于可采用分区域控制的大型复杂系统的设计具有参考意义。