一种静态方式下三取二安全输出的表决结构及其表决方法.pdf

上传人：1***

文档编号：4574220

上传时间：2018-10-21

格式：PDF

页数：12

大小：444.63KB

《一种静态方式下三取二安全输出的表决结构及其表决方法.pdf》由会员分享，可在线阅读，更多相关《一种静态方式下三取二安全输出的表决结构及其表决方法.pdf（12页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102306116 A (43)申请公布日 2012.01.04 CN 102306116 A *CN102306116A* (21)申请号 201110188783.7 (22)申请日 2011.07.06 G06F 11/16(2006.01) (71)申请人浙江大学地址 310027 浙江省杭州市西湖区浙大路 38 号 (72)发明人黄海陈祥献汪政 (74)专利代理机构杭州天勤知识产权代理有限公司 33224 代理人胡红娟 (54) 发明名称一种静态方式下三取二安全输出的表决结构及其表决方法 (57) 摘要本发明公开了一种静态方式下三取二安。

2、全输出的表决结构，包括两个二极管和四个可控开关；可控开关两两串联后并联，利用三组静态控制信号分别控制三个可控开关，并利用其中两组静态控制信号或逻辑运算后控制另一个可控开关，实现了静态方式下三取二安全输出。本发明通过合理的串并联结构设计，简化的电路结构，进一步提升了结构的可靠性和安全性，成本较低。本发明还公开了该表决结构的表决方法，满足了故障 - 安全计算机系统对输出的可靠性和安全性要求的同时，使得整个结构工作起来更加简单高效。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 5 页附图。

3、5 页 CN 102306123 A1/1 页 2 1. 一种静态方式下三取二安全输出的表决结构，其特征在于：包括两个二极管和四个可控开关；其中，第一二极管的阳极与第一可控开关的控制端相连并接收外部设备提供的第一静态控制信号，第一可控开关的输入端与第二可控开关的输入端相连并接收外部设备提供电源电压信号，第二可控开关的控制端接收外部设备提供的第二静态控制信号，第一可控开关的输出端与第三可控开关的输入端相连，第二可控开关的输出端与第四可控开关的输入端相连，第一二极管的阴极与第二二极管的阴极和第四可控开关的控制端相连，第三可控开关的控制端与第二二极管的阳极相连并接。

4、收外部设备提供的第三静态控制信号，第三可控开关的输出端与第四可控开关的输出端相连并输出表决电压信号。 2. 根据权利要求 1 所述的静态方式下三取二安全输出的表决结构，其特征在于：所述的可控开关为固态继电器。 3. 根据权利要求 1 所述的静态方式下三取二安全输出的表决结构，其特征在于：还包括三个光电耦合器，所述的光电耦合器接收所述的表决电压信号并输出回检信号。 4. 一种静态方式下三取二安全输出的表决方法，包括如下步骤： (1) 获取第一静态控制信号、第二静态控制信号、第三静态控制信号和电源电压信号；对第一静态控制信号和第三静态控制信号进行或逻辑运算，得到静。

5、态逻辑控制信号； (2) 利用所述的第一静态控制信号和第二静态控制信号分别控制第一可控开关和第二可控开关的通断；若第一静态控制信号和第二静态控制信号均为高电平，第一可控开关和第二可控开关均导通接收所述的电源电压信号，并输出电源电压信号；若第一静态控制信号和第二静态控制信号均为零电平，第一可控开关和第二可控开关均关断并输出零电平信号；若第一静态控制信号为零电平，第二静态控制信号为高电平，第一可控开关关断并输出零电平信号，第二可控开关导通接收所述的电源电压信号，并输出电源电压信号；若第一静态控制信号为高电平，第二静态控制信号为零电平，第一可控开关导通接收。

6、所述的电源电压信号，并输出电源电压信号，第二可控开关关断并输出零电平信号； (3) 利用所述的第三静态控制信号和静态逻辑控制信号分别控制第三可控开关和第四可控开关的通断；若第三静态控制信号和静态逻辑控制信号均为高电平，第三可控开关和第四可控开关均导通分别接收第一可控开关和第二可控开关输出的信号，并分别输出第一可控开关和第二可控开关输出的信号；若第三静态控制信号和静态逻辑控制信号均为零电平，第三可控开关和第四可控开关均关断并输出零电平信号；若第三静态控制信号为零电平，静态逻辑控制信号为高电平，第三可控开关关断并输出零电平信号，第四可控开关导通接收第二可控。

7、开关输出的信号，并输出第二可控开关输出的信号；若第三静态控制信号为高电平，静态逻辑控制信号为零电平，第三可控开关导通接收第一可控开关输出的信号，并输出第一可控开关输出的信号，第四可控开关关断并输出零电平信号； (4) 对第三可控开关和第四可控开关输出的信号进行或逻辑运算，得到表决电压信号。权利要求书 CN 102306116 A CN 102306123 A1/5 页 3 一种静态方式下三取二安全输出的表决结构及其表决方法技术领域 0001 本发明属于计算机系统故障保护技术领域，具体涉及一种静态方式下三取二安全输出的表决结构及其表决方法。背景技术 00。

8、02 可靠性和安全性是计算机系统在轨道交通、航空以及石化电力等领域关键监控系统的应用中最基本和最重要的性能要求。可靠性要求保证计算机系统能够长期无故障运行；但由于任何计算机系统不可能不出现故障，安全性要求则保证了系统在任何部分出现故障情况下都能导向安全，亦即系统故障产生的后果不会导致人员和财产的重大损失。故障 - 安全计算机系统就是针对这种应用而设计的；故障 - 安全计算机系统中保证其可靠性和安全性的关键部分之一是系统的安全输出模块。 0003 故障 - 安全计算机系统的安全输出模块在硬件结构上分有热备模式、二乘二取二表决模式和三取二表决模式。单独的热备模式难以满足。

9、高可靠性和高安全性指标要求；二乘二取二表决模式和三取二表决模式各有特点，应用于不同要求的场合，二乘二取二表决模式在结构上和切换控制方面相对要复杂一些；三取二表决模式通过两两相互比较表决输出从而保证系统的安全性，同时由于采用的是容错方式，可以降级为二取二表决模式，使安全输出模块更加可靠。 0004 安全输出模块在输出控制信号形式上分有静态和动态两种方式，动态方式输出的信号为动态脉冲，经动态 / 静态硬件转换电路转换为直流电压输出。 0005 动态方式下的三取二表决模式结构具有自身的故障 - 安全特点，但电路结构复杂，器件多，制约了其可靠性，作为产品成本也。

10、相对较高。发明内容 0006 本发明提供了一种静态方式下三取二安全输出的表决结构及其表决方法，克服了现有技术的安全输出表决结构所存在的上述技术缺陷，在满足相同等级的安全性能外，具有更高的可靠性，电路结构简单，成本较低。 0007 一种静态方式下三取二安全输出的表决结构，包括两个二极管和四个可控开关；其中，第一二极管的阳极与第一可控开关的控制端相连并接收外部设备提供的第一静态控制信号，第一可控开关的输入端与第二可控开关的输入端相连并接收外部设备提供电源电压信号，第二可控开关的控制端接收外部设备提供的第二静态控制信号，第一可控开关的输出端与第三可控开关的输入端相。

11、连，第二可控开关的输出端与第四可控开关的输入端相连，第一二极管的阴极与第二二极管的阴极和第四可控开关的控制端相连，第三可控开关的控制端与第二二极管的阳极相连并接收外部设备提供的第三静态控制信号，第三可控开关的输出端与第四可控开关的输出端相连并输出表决电压信号。 0008 优选的技术方案中，所述的可控开关为固态继电器；其控制端与输入输出端分离，安全可靠性高。说明书 CN 102306116 A CN 102306123 A2/5 页 4 0009 优选的技术方案中，本发明的表决结构还包括三个光电耦合器，所述的光电耦合器接收所述的表决电压信号并输出回检信号；供。

12、三组静态控制信号回检，从而检测表决结构是否存在故障，以及时作出相应的安全举措。 0010 一种静态方式下三取二安全输出的表决方法，包括如下步骤： 0011 (1) 获取第一静态控制信号、第二静态控制信号、第三静态控制信号和电源电压信号；对第一静态控制信号和第三静态控制信号进行或逻辑运算，得到静态逻辑控制信号； 0012 (2) 利用所述的第一静态控制信号和第二静态控制信号分别控制第一可控开关和第二可控开关的通断； 0013 若第一静态控制信号和第二静态控制信号均为高电平，第一可控开关和第二可控开关均导通接收所述的电源电压信号，并输出电源电压信号； 0014 。

13、若第一静态控制信号和第二静态控制信号均为零电平，第一可控开关和第二可控开关均关断并输出零电平信号； 0015 若第一静态控制信号为零电平，第二静态控制信号为高电平，第一可控开关关断并输出零电平信号，第二可控开关导通接收所述的电源电压信号，并输出电源电压信号； 0016 若第一静态控制信号为高电平，第二静态控制信号为零电平，第一可控开关导通接收所述的电源电压信号，并输出电源电压信号，第二可控开关关断并输出零电平信号； 0017 (3) 利用所述的第三静态控制信号和静态逻辑控制信号分别控制第三可控开关和第四可控开关的通断； 0018 若第三静态控制信号和静态逻辑控。

14、制信号均为高电平，第三可控开关和第四可控开关均导通分别接收第一可控开关和第二可控开关输出的信号，并分别输出第一可控开关和第二可控开关输出的信号； 0019 若第三静态控制信号和静态逻辑控制信号均为零电平，第三可控开关和第四可控开关均关断并输出零电平信号； 0020 若第三静态控制信号为零电平，静态逻辑控制信号为高电平，第三可控开关关断并输出零电平信号，第四可控开关导通接收第二可控开关输出的信号，并输出第二可控开关输出的信号； 0021 若第三静态控制信号为高电平，静态逻辑控制信号为零电平，第三可控开关导通接收第一可控开关输出的信号，并输出第一可控开关输出的。

15、信号，第四可控开关关断并输出零电平信号； 0022 (4) 对第三可控开关和第四可控开关输出的信号进行或逻辑运算，得到表决电压信号。 0023 本发明的有益技术效果为： 0024 (1) 本发明静态方式下三取二安全输出的表决结构，在满足故障 - 安全计算机系统对输出的可靠性和安全性要求的同时，简化的电路结构，进一步提升了结构的可靠性，成本较低。 0025 (2) 本发明静态方式下三取二安全输出的表决结构，其合理的串并联结构设计，能够使电路在任一器件出现故障情况下 ( 短路或开路 )，不会产生相应的危险侧输出，提升了结构的安全性能。 0026 (3) 本发明静。

16、态方式下三取二安全输出的表决结构，通过回检电路能够检测出电说明书 CN 102306116 A CN 102306123 A3/5 页 5 路结构存在故障，为及时切断电源电压提供了可靠依据，使得整个结构的安全性更高。 0027 (4) 本发明静态方式下三取二安全输出的表决方法，满足了故障 - 安全计算机系统对输出的可靠性和安全性要求的同时，使得整个表决结构工作起来更加简单高效。附图说明 0028 图 1 为本发明表决结构的电路结构示意图。 0029 图 2 为本发明表决结构在 Markov 模型下的状态转移图。 0030 图 3 为传统动态方式下表决结构在 Markov 模。

17、型下的状态转移图。 0031 图 4 为本发明表决结构在 Markov 模型下的可靠性曲线示意图。 0032 图 5 为本发明表决结构在 Markov 模型下的安全度和危险侧曲线示意图。 0033 图 6 为传统动态方式下表决结构在 Markov 模型下的可靠性曲线示意图。具体实施方式 0034 为了更为具体地描述本发明，下面结合附图及具体实施方式对本发明的表决结构及其表决方法进行详细说明。 0035 如图 1 所示，一种静态方式下三取二安全输出的表决结构，包括两个二极管、四个固态继电器和三个光电耦合器；其中，第一二极管 D1的阳极与第一固态继电器 SSR1的控制端相连并。

18、接收外部设备提供的第一静态控制信号 A，第一固态继电器 SSR1的输入端与第二固态继电器 SSR2的输入端相连并接收外部设备提供电源电压信号 VDD，第二固态继电器 SSR2的控制端接收外部设备提供的第二静态控制信号 B，第一固态继电器 SSR1的输出端与第三固态继电器SSR3的输入端相连，第二固态继电器SSR2的输出端与第四固态继电器SSR4 的输入端相连，第一二极管 D1的阴极与第二二极管 D2的阴极和第四固态继电器 SSR4的控制端相连，第三固态继电器SSR3的控制端与第二二极管D2的阳极相连并接收外部设备提供的第三静态控制信号 C，第三固态继电器 SSR3的输出端。

19、与第四固态继电器 SSR4的输出端、第一光电耦合器 O1的输入端、第二光电耦合器 O2的输入端和第三光电耦合器 O3的输入端相连并输出表决电压信号 V，第一光电耦合器 O1的输出端、第二光电耦合器 O2的输出端和第三光电耦合器 O3的输出端分别输出三组回检信号 a、 b、 c。 0036 本实施方式的表决结构的表决方法，包括如下步骤： 0037 (1)获取第一静态控制信号A、第二静态控制信号B、第三静态控制信号C和电源电压信号 VDD ；对第一静态控制信号 A 和第三静态控制信号 C 进行或逻辑运算，得到静态逻辑控制信号 E ； 0038 (2) 利用第一静态控制信。

20、号 A 和第二静态控制信号 B 分别控制第一固态继电器 SSR1和第二固态继电器 SSR2的通断； 0039 若第一静态控制信号A和第二静态控制信号B均为高电平1，第一固态继电器SSR1 和第二固态继电器SSR2均导通接收电源电压信号VDD，并输出电源电压信号V1V2VDD ； 0040 若第一静态控制信号A和第二静态控制信号B均为零电平0，第一固态继电器SSR1 和第二固态继电器 SSR2均关断并输出零电平信号 V1 V2 0 ； 0041 若第一静态控制信号 A 为零电平 0，第二静态控制信号 B 为高电平 1，第一固态继电器SSR1关断并输出零电平信号V10，第二固态继电。

21、器SSR2导通接收电源电压信号VDD，说明书 CN 102306116 A CN 102306123 A4/5 页 6 并输出电源电压信号 V2 VDD ； 0042 若第一静态控制信号 A 为高电平 1，第二静态控制信号 B 为零电平 0，第一固态继电器SSR1导通接收电源电压信号VDD，并输出电源电压信号V1VDD，第二固态继电器SSR2 关断并输出零电平信号 V2 0 ； 0043 (3) 利用第三静态控制信号 C 和静态逻辑控制信号 E 分别控制第三固态继电器 SSR3和第四固态继电器 SSR4的通断； 0044 若第三静态控制信号C和静态逻辑控制信号E均为高电平1，。

22、第三固态继电器SSR3 和第四固态继电器 SSR4均导通分别接收第一固态继电器 SSR1和第二固态继电器 SSR2输出的信号V1、 V2，并分别输出第一固态继电器SSR1和第二固态继电器SSR2输出的信号V3V1、 V4 V2； 0045 若第三静态控制信号C和静态逻辑控制信号E均为零电平0，第三固态继电器SSR3 和第四固态继电器 SSR4均关断并输出零电平信号 V3 V4 0 ； 0046 若第三静态控制信号 C 为零电平 0，静态逻辑控制信号 E 为高电平 1，第三固态继电器 SSR3关断并输出零电平信号 V3 0，第四固态继电器 SSR4导通接收第二固态继电器 SSR2。

23、输出的信号 V2，并输出第二可控开关输出的信号 V4 V2； 0047 若第三静态控制信号 C 为高电平 1，静态逻辑控制信号 E 为零电平 0，第三固态继电器 SSR3导通接收第一固态继电器 SSR1输出的信号 V1，并输出第一固态继电器 SSR1输出的信号 V3 V1，第四固态继电器 SSR4关断并输出零电平信号 V4 0 ； 0048 (4) 对第三固态继电器 SSR3和第四固态继电器 SSR4输出的信号 V3、 V4进行或逻辑运算，得到表决电压信号 V。 0049 本实施方式与传统动态方式下的表决结构相比，在满足安全性要求条件下大大提高了相关可靠性指标，同时也大。

24、大降低三取二硬件表决结构的复杂性，减少成本。Markov 模型法是一种主要针对系统或模块的可靠性、安全性等性能分析计算的方法，下面采用 Markov 模型对本实施方式和传统动态方式下的表决结构进行比较分析。首先假设：故障模型为指数模型 e-t；故障检测率为 c，不考虑修复；输出 A B C 1，不考虑输出本身错误。 0050 本实施方式根据固态继电器厂方提供的技术参数，令 b s 3.410-8，其中 b表示断路故障概率， s表示短路故障概率，回检模块发生故障的概率 o 6.810-8，本实施方式的 Markov 模型的状态转移图如图 2 所示。 0051 根据。

25、状态转移图，建立每个状态的常微分方程，进而根据每个状态的常微分方程求出： 0052 可靠度 R(t) P1+P2+P3+P5+P6+P7+P8+P9+P10+P11+P12+P13+P14+P15+P16 0053 安全度 S(t) R(t)+P17+P18 0054 危险侧概率 D(t) P19 0055 上述三个参数的变化曲线如图 4、 5 所示；对可靠性曲线进行积分可求得本实施方式平均故障间隔时间小时；对危险侧随时间变化曲线求定积分之后再除以时间，得到可容忍危险侧故障率THR1.710-11/小时，满足标准EN50129规定的 SIL4( 最高等级 ) 为小于。

26、10-8/ 小时 10-9/ 小时。 0056 传统动态方式下的表决结构，根据动态方式模块的技术参数，令其中 “与” 模块的说明书 CN 102306116 A CN 102306123 A5/5 页 7 失效率 A 4.9510-7，“或” 模块的失效率 O 5.4010-7。传统动态方式的 Markov 模型状态转移图如图 3 所示。 0057 根据状态转移图，建立每个状态的常微分方程，进而根据每个状态的常微分方程求出： 0058 可靠度 R(t) P1+P2+P3+P7 0059 安全度 S(t) 1 0060 危险侧概率 D(t) 0 0061 其中可靠度的变化曲线如。

27、图 6 所示，对可靠性曲线进行积分求得动态方式的平均故障间隔时间小时。 0062 比较两个方式，本实施方式和传统动态方式的安全度都达到 SIL4，而本实施方式的可靠度是传统动态方式的 17.5 倍。说明书 CN 102306116 A CN 102306123 A1/5 页 8 图 1 说明书附图 CN 102306116 A CN 102306123 A2/5 页 9 图 2 说明书附图 CN 102306116 A CN 102306123 A3/5 页 10 图 3 说明书附图 CN 102306116 A CN 102306123 A4/5 页 11 图 4 图 5 说明书附图 CN 102306116 A CN 102306123 A5/5 页 12 图 6 说明书附图 CN 102306116 A 。

摘要
申请专利号：	CN201110188783.7	申请日：	2011.07.06
公开号：	CN102306116A	公开日：	2012.01.04
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 11/16申请日:20110706\|\|\|公开
IPC分类号：	G06F11/16	主分类号：	G06F11/16
申请人：	浙江大学
发明人：	黄海; 陈祥献; 汪政
地址：	310027 浙江省杭州市西湖区浙大路38号
优先权：
专利代理机构：	杭州天勤知识产权代理有限公司 33224	代理人：	胡红娟
PDF完整版下载：	PDF下载

内容摘要

本发明公开了一种静态方式下三取二安全输出的表决结构，包括两个二极管和四个可控开关；可控开关两两串联后并联，利用三组静态控制信号分别控制三个可控开关，并利用其中两组静态控制信号或逻辑运算后控制另一个可控开关，实现了静态方式下三取二安全输出。本发明通过合理的串并联结构设计，简化的电路结构，进一步提升了结构的可靠性和安全性，成本较低。本发明还公开了该表决结构的表决方法，满足了故障-安全计算机系统对输出的可靠性和安全性要求的同时，使得整个结构工作起来更加简单高效。

权利要求书

1：一种静态方式下三取二安全输出的表决结构，其特征在于：包括两个二极管和四个可控开关；其中，第一二极管的阳极与第一可控开关的控制端相连并接收外部设备提供的第一静态控制信号，第一可控开关的输入端与第二可控开关的输入端相连并接收外部设备提供电源电压信号，第二可控开关的控制端接收外部设备提供的第二静态控制信号，第一可控开关的输出端与第三可控开关的输入端相连，第二可控开关的输出端与第四可控开关的输入端相连，第一二极管的阴极与第二二极管的阴极和第四可控开关的控制端相连，第三可控开关的控制端与第二二极管的阳极相连并接收外部设备提供的第三静态控制信号，第三可控开关的输出端与第四可控开关的输出端相连并输出表决电压信号。
2：根据权利要求 1 所述的静态方式下三取二安全输出的表决结构，其特征在于：所述的可控开关为固态继电器。
3：根据权利要求 1 所述的静态方式下三取二安全输出的表决结构，其特征在于：还包括三个光电耦合器，所述的光电耦合器接收所述的表决电压信号并输出回检信号。
4：一种静态方式下三取二安全输出的表决方法，包括如下步骤： (1) 获取第一静态控制信号、第二静态控制信号、第三静态控制信号和电源电压信号；对第一静态控制信号和第三静态控制信号进行或逻辑运算，得到静态逻辑控制信号； (2) 利用所述的第一静态控制信号和第二静态控制信号分别控制第一可控开关和第二可控开关的通断；若第一静态控制信号和第二静态控制信号均为高电平，第一可控开关和第二可控开关均导通接收所述的电源电压信号，并输出电源电压信号；若第一静态控制信号和第二静态控制信号均为零电平，第一可控开关和第二可控开关均关断并输出零电平信号；若第一静态控制信号为零电平，第二静态控制信号为高电平，第一可控开关关断并输出零电平信号，第二可控开关导通接收所述的电源电压信号，并输出电源电压信号；若第一静态控制信号为高电平，第二静态控制信号为零电平，第一可控开关导通接收所述的电源电压信号，并输出电源电压信号，第二可控开关关断并输出零电平信号； (3) 利用所述的第三静态控制信号和静态逻辑控制信号分别控制第三可控开关和第四可控开关的通断；若第三静态控制信号和静态逻辑控制信号均为高电平，第三可控开关和第四可控开关均导通分别接收第一可控开关和第二可控开关输出的信号，并分别输出第一可控开关和第二可控开关输出的信号；若第三静态控制信号和静态逻辑控制信号均为零电平，第三可控开关和第四可控开关均关断并输出零电平信号；若第三静态控制信号为零电平，静态逻辑控制信号为高电平，第三可控开关关断并输出零电平信号，第四可控开关导通接收第二可控开关输出的信号，并输出第二可控开关输出的信号；若第三静态控制信号为高电平，静态逻辑控制信号为零电平，第三可控开关导通接收第一可控开关输出的信号，并输出第一可控开关输出的信号，第四可控开关关断并输出零电平信号； (4) 对第三可控开关和第四可控开关输出的信号进行或逻辑运算，得到表决电压信号。

说明书

一种静态方式下三取二安全输出的表决结构及其表决方法
    技术领域本发明属于计算机系统故障保护技术领域，具体涉及一种静态方式下三取二安全输出的表决结构及其表决方法。
     背景技术可靠性和安全性是计算机系统在轨道交通、航空以及石化电力等领域关键监控系统的应用中最基本和最重要的性能要求。可靠性要求保证计算机系统能够长期无故障运行；但由于任何计算机系统不可能不出现故障，安全性要求则保证了系统在任何部分出现故障情况下都能导向安全，亦即系统故障产生的后果不会导致人员和财产的重大损失。故障 - 安全计算机系统就是针对这种应用而设计的；故障 - 安全计算机系统中保证其可靠性和安全性的关键部分之一是系统的安全输出模块。
     故障 - 安全计算机系统的安全输出模块在硬件结构上分有热备模式、二乘二取二表决模式和三取二表决模式。单独的热备模式难以满足高可靠性和高安全性指标要求；二乘二取二表决模式和三取二表决模式各有特点，应用于不同要求的场合，二乘二取二表决模式在结构上和切换控制方面相对要复杂一些；三取二表决模式通过两两相互比较表决输出从而保证系统的安全性，同时由于采用的是容错方式，可以降级为二取二表决模式，使安全输出模块更加可靠。
     安全输出模块在输出控制信号形式上分有静态和动态两种方式，动态方式输出的信号为动态脉冲，经动态 / 静态硬件转换电路转换为直流电压输出。
     动态方式下的三取二表决模式结构具有自身的故障 - 安全特点，但电路结构复杂，器件多，制约了其可靠性，作为产品成本也相对较高。
     发明内容
     本发明提供了一种静态方式下三取二安全输出的表决结构及其表决方法，克服了现有技术的安全输出表决结构所存在的上述技术缺陷，在满足相同等级的安全性能外，具有更高的可靠性，电路结构简单，成本较低。
     一种静态方式下三取二安全输出的表决结构，包括两个二极管和四个可控开关；其中，第一二极管的阳极与第一可控开关的控制端相连并接收外部设备提供的第一静态控制信号，第一可控开关的输入端与第二可控开关的输入端相连并接收外部设备提供电源电压信号，第二可控开关的控制端接收外部设备提供的第二静态控制信号，第一可控开关的输出端与第三可控开关的输入端相连，第二可控开关的输出端与第四可控开关的输入端相连，第一二极管的阴极与第二二极管的阴极和第四可控开关的控制端相连，第三可控开关的控制端与第二二极管的阳极相连并接收外部设备提供的第三静态控制信号，第三可控开关的输出端与第四可控开关的输出端相连并输出表决电压信号。
     优选的技术方案中，所述的可控开关为固态继电器；其控制端与输入输出端分离，安全可靠性高。优选的技术方案中，本发明的表决结构还包括三个光电耦合器，所述的光电耦合器接收所述的表决电压信号并输出回检信号；供三组静态控制信号回检，从而检测表决结构是否存在故障，以及时作出相应的安全举措。
     一种静态方式下三取二安全输出的表决方法，包括如下步骤：
     (1) 获取第一静态控制信号、第二静态控制信号、第三静态控制信号和电源电压信号；对第一静态控制信号和第三静态控制信号进行或逻辑运算，得到静态逻辑控制信号；
     (2) 利用所述的第一静态控制信号和第二静态控制信号分别控制第一可控开关和第二可控开关的通断；
     若第一静态控制信号和第二静态控制信号均为高电平，第一可控开关和第二可控开关均导通接收所述的电源电压信号，并输出电源电压信号；
     若第一静态控制信号和第二静态控制信号均为零电平，第一可控开关和第二可控开关均关断并输出零电平信号；
     若第一静态控制信号为零电平，第二静态控制信号为高电平，第一可控开关关断并输出零电平信号，第二可控开关导通接收所述的电源电压信号，并输出电源电压信号；
     若第一静态控制信号为高电平，第二静态控制信号为零电平，第一可控开关导通接收所述的电源电压信号，并输出电源电压信号，第二可控开关关断并输出零电平信号； (3) 利用所述的第三静态控制信号和静态逻辑控制信号分别控制第三可控开关和第四可控开关的通断；
     若第三静态控制信号和静态逻辑控制信号均为高电平，第三可控开关和第四可控开关均导通分别接收第一可控开关和第二可控开关输出的信号，并分别输出第一可控开关和第二可控开关输出的信号；
     若第三静态控制信号和静态逻辑控制信号均为零电平，第三可控开关和第四可控开关均关断并输出零电平信号；
     若第三静态控制信号为零电平，静态逻辑控制信号为高电平，第三可控开关关断并输出零电平信号，第四可控开关导通接收第二可控开关输出的信号，并输出第二可控开关输出的信号；
     若第三静态控制信号为高电平，静态逻辑控制信号为零电平，第三可控开关导通接收第一可控开关输出的信号，并输出第一可控开关输出的信号，第四可控开关关断并输出零电平信号；
     (4) 对第三可控开关和第四可控开关输出的信号进行或逻辑运算，得到表决电压信号。
     本发明的有益技术效果为：
     (1) 本发明静态方式下三取二安全输出的表决结构，在满足故障 - 安全计算机系统对输出的可靠性和安全性要求的同时，简化的电路结构，进一步提升了结构的可靠性，成本较低。
     (2) 本发明静态方式下三取二安全输出的表决结构，其合理的串并联结构设计，能够使电路在任一器件出现故障情况下 ( 短路或开路 )，不会产生相应的危险侧输出，提升了结构的安全性能。
     (3) 本发明静态方式下三取二安全输出的表决结构，通过回检电路能够检测出电
     路结构存在故障，为及时切断电源电压提供了可靠依据，使得整个结构的安全性更高。
     (4) 本发明静态方式下三取二安全输出的表决方法，满足了故障 - 安全计算机系统对输出的可靠性和安全性要求的同时，使得整个表决结构工作起来更加简单高效。附图说明
     图 1 为本发明表决结构的电路结构示意图。图 2 为本发明表决结构在 Markov 模型下的状态转移图。图 3 为传统动态方式下表决结构在 Markov 模型下的状态转移图。图 4 为本发明表决结构在 Markov 模型下的可靠性曲线示意图。图 5 为本发明表决结构在 Markov 模型下的安全度和危险侧曲线示意图。图 6 为传统动态方式下表决结构在 Markov 模型下的可靠性曲线示意图。具体实施方式
     为了更为具体地描述本发明，下面结合附图及具体实施方式对本发明的表决结构及其表决方法进行详细说明。
     如图 1 所示，一种静态方式下三取二安全输出的表决结构，包括两个二极管、四个固态继电器和三个光电耦合器；其中，第一二极管 D1 的阳极与第一固态继电器 SSR1 的控制端相连并接收外部设备提供的第一静态控制信号 A，第一固态继电器 SSR1 的输入端与第二固态继电器 SSR2 的输入端相连并接收外部设备提供电源电压信号 VDD，第二固态继电器 SSR2 的控制端接收外部设备提供的第二静态控制信号 B，第一固态继电器 SSR1 的输出端与第三固态继电器 SSR3 的输入端相连，第二固态继电器 SSR2 的输出端与第四固态继电器 SSR4 的输入端相连，第一二极管 D1 的阴极与第二二极管 D2 的阴极和第四固态继电器 SSR4 的控制端相连，第三固态继电器 SSR3 的控制端与第二二极管 D2 的阳极相连并接收外部设备提供的第三静态控制信号 C，第三固态继电器 SSR3 的输出端与第四固态继电器 SSR4 的输出端、第一光电耦合器 O1 的输入端、第二光电耦合器 O2 的输入端和第三光电耦合器 O3 的输入端相连并输出表决电压信号 V，第一光电耦合器 O1 的输出端、第二光电耦合器 O2 的输出端和第三光电耦合器 O3 的输出端分别输出三组回检信号 a、 b、 c。
     本实施方式的表决结构的表决方法，包括如下步骤：
     (1) 获取第一静态控制信号 A、第二静态控制信号 B、第三静态控制信号 C 和电源电压信号 VDD ；对第一静态控制信号 A 和第三静态控制信号 C 进行或逻辑运算，得到静态逻辑控制信号 E ；
     (2) 利用第一静态控制信号 A 和第二静态控制信号 B 分别控制第一固态继电器 SSR1 和第二固态继电器 SSR2 的通断；
     若第一静态控制信号 A 和第二静态控制信号 B 均为高电平 1，第一固态继电器 SSR1 和第二固态继电器 SSR2 均导通接收电源电压信号 VDD，并输出电源电压信号 V1 ＝ V2 ＝ VDD ；
     若第一静态控制信号 A 和第二静态控制信号 B 均为零电平 0，第一固态继电器 SSR1 和第二固态继电器 SSR2 均关断并输出零电平信号 V1 ＝ V2 ＝ 0 ；
     若第一静态控制信号 A 为零电平 0，第二静态控制信号 B 为高电平 1，第一固态继电器 SSR1 关断并输出零电平信号 V1 ＝ 0，第二固态继电器 SSR2 导通接收电源电压信号 VDD，并输出电源电压信号 V2 ＝ VDD ；
     若第一静态控制信号 A 为高电平 1，第二静态控制信号 B 为零电平 0，第一固态继电器 SSR1 导通接收电源电压信号 VDD，并输出电源电压信号 V1 ＝ VDD，第二固态继电器 SSR2 关断并输出零电平信号 V2 ＝ 0 ；
     (3) 利用第三静态控制信号 C 和静态逻辑控制信号 E 分别控制第三固态继电器 SSR3 和第四固态继电器 SSR4 的通断；
     若第三静态控制信号 C 和静态逻辑控制信号 E 均为高电平 1，第三固态继电器 SSR3 和第四固态继电器 SSR4 均导通分别接收第一固态继电器 SSR1 和第二固态继电器 SSR2 输出的信号 V1、 V2，并分别输出第一固态继电器 SSR1 和第二固态继电器 SSR2 输出的信号 V3 ＝ V1、 V4 ＝ V2 ；
     若第三静态控制信号 C 和静态逻辑控制信号 E 均为零电平 0，第三固态继电器 SSR3 和第四固态继电器 SSR4 均关断并输出零电平信号 V3 ＝ V4 ＝ 0 ；
     若第三静态控制信号 C 为零电平 0，静态逻辑控制信号 E 为高电平 1，第三固态继电器 SSR3 关断并输出零电平信号 V3 ＝ 0，第四固态继电器 SSR4 导通接收第二固态继电器 SSR2 输出的信号 V2，并输出第二可控开关输出的信号 V4 ＝ V2 ；若第三静态控制信号 C 为高电平 1，静态逻辑控制信号 E 为零电平 0，第三固态继电器 SSR3 导通接收第一固态继电器 SSR1 输出的信号 V1，并输出第一固态继电器 SSR1 输出的信号 V3 ＝ V1，第四固态继电器 SSR4 关断并输出零电平信号 V4 ＝ 0 ；
     (4) 对第三固态继电器 SSR3 和第四固态继电器 SSR4 输出的信号 V3、 V4 进行或逻辑运算，得到表决电压信号 V。
     本实施方式与传统动态方式下的表决结构相比，在满足安全性要求条件下大大提高了相关可靠性指标，同时也大大降低三取二硬件表决结构的复杂性，减少成本。Markov 模型法是一种主要针对系统或模块的可靠性、安全性等性能分析计算的方法，下面采用 Markov 模型对本实施方式和传统动态方式下的表决结构进行比较分析。首先假设：故障模 -λt 型为指数模型 e ；故障检测率为 c，不考虑修复；输出 A ＝ B ＝ C ＝ 1，不考虑输出本身错误。
     本实施方式根据固态继电器厂方提供的技术参数，令 λb ＝ λs ＝ 3.4×10-8，其中 λb 表示断路故障概率， λs 表示短路故障概率，回检模块发生故障的概率 λo ＝ 6.8×10-8，本实施方式的 Markov 模型的状态转移图如图 2 所示。
     根据状态转移图，建立每个状态的常微分方程，进而根据每个状态的常微分方程求出：
     可靠度 R(t) ＝ P1+P2+P3+P5+P6+P7+P8+P9+P10+P11+P12+P13+P14+P15+P16
     安全度 S(t) ＝ R(t)+P17+P18
     危险侧概率 D(t) ＝ P19
     上述三个参数的变化曲线如图 4、 5 所示；对可靠性曲线进行积分可求得本实施方
     式平均故障间隔时间小时；对危险侧随时间变化曲线求定积分之后再除以时间，得到可容忍危险侧故障率 THR ＝ 1.7×10-11/ 小时，满足标准 EN50129 规 -8 -9 定的 SIL4( 最高等级 ) 为小于 10 / 小时～ 10 / 小时。
     传统动态方式下的表决结构，根据动态方式模块的技术参数，令其中 “与” 模块的失效率 λA ＝ 4.95×10-7， “或” 模块的失效率 λO ＝ 5.40×10-7。传统动态方式的 Markov 模型状态转移图如图 3 所示。
     根据状态转移图，建立每个状态的常微分方程，进而根据每个状态的常微分方程求出：
     可靠度 R(t) ＝ P1+P2+P3+P7
     安全度 S(t) ＝ 1
     危险侧概率 D(t) ＝ 0
     其中可靠度的变化曲线如图 6 所示，对可靠性曲线进行积分求得动态方式的平均故障间隔时间
     小时。比较两个方式，本实施方式和传统动态方式的安全度都达到 SIL4，而本实施方式的可靠度是传统动态方式的 17.5 倍。