620-0054

更新时间: 2023-07-11

如果在一些控制系统的应用中，根本不允许失效模式的出现，那么三选二系统是一种**牢靠的选择。当要防止两种失效模式的出现时，系统的结构变的非常复杂。一种既可以容忍“安全”失效，又可以容忍“危险”失效的结构设计就是三选二结构（三个单元中选择两个相同的结果用于安全功能，图4）。这种带有三个控制器单元的结构提供了即有安全性又有高可用性的系统 。这种系统被称为TMR（三重模块冗余）系统。
         每个控制器单元的输出通道带有两个输出点。把三个控制器各自的两个输出点连接成“表决”电路，用表决的结果来决定真正的输出信号。输出的结果取决于“多数”的意见。当一条电路中有两个输出点接通时，输出负载将被激活。当一条电路中有两个输出点断开时，输出负载将被断电。

在输出接线中，没有直接把三个输出的接点简单地串联后，接到执行器。 如果这样接的话，那就是纯粹的安全接法，而不考虑容错问题了。图中采用的是：两两输出接点先进行串联－安全接法，然后把三种可能的串联组合再并联起来－冗余接法。所以把这种系统称为：兼顾了安全性和高可用性的系统。

        一个 TMR 系统通常由三个同样的 CPU 组成，通常运行同一个应用程序（特殊情况下，有些系统故意要运行不同的应用程序，这里暂且不讨论）。每个CPU连接到同样的输入和输出子系统。每个 CPU 接受所有的输出并执行表决，决定开关量输入和选择中间量的模拟量输入。

每个输入可以是一个传感器、两个传感器或者三个传感器，这取决于应用的要求。每个扫描周期，每个输入设备往CPU 传送一次数据，因为传感器是广播方式传送输入数据， 所以同样的输入传给所有的 CPU。每个CPU 接收了表决输入数据以后，再执行应用程序。

        每个CPU 是各自独立地、非同步地运行，并且不共享它们的输入/ 输出数据，从而避免了一个 CPU 的错误数据影响其他 CPU 的数据存储器。每个 CPU 执行相同的应用程序，处理输入数据，然后建立新的输出数据。通过输出模块和现场表决接线，把输出数据传送至输出设备。