CN113541672B - 风险降级装置和风险降级方法 - Google Patents

Abstract

本申请涉及一种风险降级装置和风险降级方法，风险降级装置包括：控制模块、互为冗余的第一输出模块和第二输出模块，第一输出模块包括第一处理单元和第一总开关，第二输出模块包括第二处理单元和第二总开关；控制模块分别与第一处理单元和第二处理单元连接；第一处理单元与第二总开关的受控端连接，第二处理单元与第一总开关的受控端连接；控制模块用于根据各输出模块的回检信号检测是否存在故障输出模块，并在检测到存在故障输出模块的情况下，发送第一降级控制指令至相应冗余输出模块，以指示冗余输出模块断开故障输出模块的总开关。本申请解决了因输出通道无法检测故障或风险降级逻辑执行异常导致***风险无法降级的问题，实现了风险降级。

Description

风险降级装置和风险降级方法

技术领域

本申请涉及风险控制领域，特别是涉及风险降级装置和风险降级方法。

背景技术

自动化安全仪表***用于对生产装置和设备的潜在危险或措施不当行为进行及时响应和保护，使生产装置和设备进入一个预定义的安全停车工况(例如切断开关)，从而使风险降低到可以接受的程度，保障生产装置、设备和周边环境的安全。出于***安全和可靠性等方面的考虑，会人为地对一些关键部件或功能进行冗余配置。当***发生故障时，冗余配置的部件可以作为备援，及时介入并承担故障部件的工作，由此降低***停车的概率，减少***的故障时间，提高***可用性。

在已有的多重化冗余输出架构中，每个通道通过自检对自身进行降级，例如，断开输出开关以切断和负载的连接。通道的自检能力的完整性是其正确执行降级策略的前提，当通道出现无法检测的故障或降级逻辑执行异常时，会导致***输出错误值从而使得现场工况处于危险的状态。

针对相关技术中存在的因输出通道出现无法检测的故障或风险降级逻辑执行异常导致***风险无法降级的问题，目前还没有提出有效的解决方案。

发明内容

在本实施例中提供了一种风险降级装置和风险降级方法，以解决相关技术中存在的因输出通道出现无法检测的故障或风险降级逻辑执行异常导致***风险无法降级的问题。

第一个方面，在本实施例中提供了一种风险降级装置，包括：控制模块、互为冗余的第一输出模块和第二输出模块，所述第一输出模块包括第一处理单元和第一总开关，所述第二输出模块包括第二处理单元和第二总开关；其中，

所述控制模块分别与所述第一处理单元和所述第二处理单元连接；

所述第一总开关和所述第二总开关的一连接端均用于和激励源连接，所述第一总开关和所述第二总开关的另一连接端均用于和负载连接；

所述第一处理单元与所述第二总开关的受控端连接，所述第二处理单元与所述第一总开关的受控端连接；

所述控制模块用于根据各输出模块上传的回检信号检测是否存在故障输出模块，并在检测到存在故障输出模块的情况下，所述控制模块发送第一降级控制指令至相应冗余输出模块的处理单元，以指示所述冗余输出模块的处理单元断开所述故障输出模块的总开关。

在其中一些实施例中，所述第一输出模块包括第一输出开关，所述第一输出开关的受控端与所述第一处理单元连接，所述第一输出开关的一连接端与所述第一总开关连接，所述第一输出开关的另一连接端用于和所述负载连接；所述第二输出模块包括第二输出开关，所述第二输出开关的受控端与所述第二处理单元连接，所述第二输出开关的一连接端与所述第二总开关连接，所述第二输出开关的另一连接端用于和所述负载连接；其中，

所述第一处理单元用于根据回检信号检测自身是否存在故障，若是，则所述第一处理单元控制所述第一输出开关断开以切断所述第一总开关与所述负载之间的电通路；

所述第二处理单元用于根据回检信号检测自身是否存在故障，若是，则所述第二处理单元控制所述第二输出开关断开以切断所述第二总开关与所述负载之间的电通路。

在其中一些实施例中，所述第一输出模块的回检信号包括流经所述第一输出开关的回路的电信号和驱动所述负载的电信号，所述第二输出模块的回检信号包括流经所述第二输出开关的回路的电信号和驱动所述负载的电信号。

在其中一些实施例中，所述第一处理单元包括第一处理器和第二处理器，所述第一处理器与所述第二处理器通信连接，所述第一处理器与所述第二总开关的受控端连接，所述第二处理器与所述第一输出开关的受控端连接；所述第二处理单元包括第三处理器和第四处理器，所述第三处理器与所述第四处理器通信连接，所述第三处理器与所述第一总开关的受控端连接，所述第四处理器与所述第二输出开关的受控端连接；所述第一处理器与所述第三处理器通信连接；其中，

所述第二处理器用于采集回检信号并发送至所述第一处理器，所述第一处理器用于根据该回检信号生成第二降级控制指令并发送至所述第二处理器，以指示所述第二处理器根据所述第二降级控制指令控制所述第一输出开关的状态，所述第一处理器还用于在所述控制模块的控制下控制所述第二总开关的状态；

所述第四处理器用于采集回检信号并发送至所述第三处理器，所述第三处理器用于根据该回检信号生成第二降级控制指令并发送至所述第四处理器，以指示所述第四处理器根据所述第二降级控制指令控制所述第二输出开关的状态，所述第三处理器还用于在所述控制模块的控制下控制所述第一总开关的状态。

在其中一些实施例中，所述第一处理器与所述第二处理器在电气上相互隔离；所述第三处理器与所述第四处理器在电气上相互隔离。

第二个方面，在本实施例中提供了一种风险降级方法，应用于上述第一个方面所述的风险降级装置，所述方法包括：

获取第一输出模块和第二输出模块上传的回检信号；

根据所述回检信号检测是否存在故障输出模块；

在检测到存在故障输出模块的情况下，发送第一降级控制指令至不存在故障的冗余输出模块，以指示所述冗余输出模块断开所述故障输出模块的总开关。

在其中一些实施例中，检测是否存在故障输出模块包括：

将各输出模块的回检信号和输出指令进行比对，将比对结果不一致的输出模块确定为所述故障输出模块，将比对结果一致的输出模块确定为所述冗余输出模块。

在其中一些实施例中，所述方法还包括：

获取所述第一输出模块在检测到所述第二输出模块的在位状态后生成的冗余配对状态标记，以及获取所述第二输出模块在检测到所述第一输出模块的在位状态后生成的冗余配对状态标记；

根据各输出模块生成的冗余配对状态标记判断配对输出模块是否处于在位状态，若存在处于非在位状态的输出模块，则发出报警提示。

在其中一些实施例中，在接收到指示配对输出模块处于非在位状态的第一冗余配对状态标记之后，所述方法还包括：

对上报冗余配对故障的目标输出模块启动超时计时；

在所述超时计时长度达到预设条件时，确定所述目标输出模块未被维护，并发送第二降级控制指令至所述目标输出模块以指示所述目标输出模块断开自身输出开关。

在其中一些实施例中，在所述目标输出模块检测到所述配对输出模块处于在位状态的情况下，所述方法还包括：

获取所述目标输出模块生成的第二冗余配对状态标记，所述第二冗余配对状态标记用于指示所述配对输出模块处于在位状态；

根据所述第二冗余配对状态标记停止对所述目标输出模块的超时计时，并对超时计数器进行递减处理。

与相关技术相比，在本实施例中提供的风险降级装置和风险降级方法，解决了因输出通道出现无法检测的故障或风险降级逻辑执行异常导致***风险无法降级的问题，实现了***风险的有效降级。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本实施例的风险降级装置的结构示意图一；

图2是本实施例的点动测试信号的波形示意图；

图3是本实施例的控制模块检测故障输出模块的流程图；

图4是本实施例的风险降级装置的结构示意图二；

图5是本优选实施例的风险降级装置的结构示意图；

图6是本优选实施例的处理单元控制输出开关的流程图；

图7是本实施例的风险降级方法的流程图。

附图标记：100、控制模块；

10、第一输出模块；11、第一处理单元；12、第一总开关；13、第一输出开关；14、第一二极管；15、第一处理器；16、第二处理器；

20、第二输出模块；21、第二处理单元；22、第二总开关；23、第二输出开关；24、第二二极管；25、第三处理器；26、第四处理器；

31、激励源；32、负载。

具体实施方式

为更清楚地理解本申请的目的、技术方案和优点，下面结合附图和实施例，对本申请进行了描述和说明。

除另作定义外，本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和***、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。

在本实施例中提供了一种风险降级装置，图1是本实施例的风险降级装置的结构示意图一，如图1所示，该风险降级装置包括：

控制模块100、互为冗余的第一输出模块10和第二输出模块20，第一输出模块10包括第一处理单元11和第一总开关12，第二输出模块20包括第二处理单元21和第二总开关22；其中，控制模块100分别与第一处理单元11和第二处理单元21连接；第一总开关12和第二总开关22的一连接端均用于和激励源31连接，另一连接端均用于和负载32连接；第一处理单元11与第二总开关22的受控端连接，第二处理单元21与第一总开关12的受控端连接。

在本实施例中，第一输出模块10和第二输出模块20用于接收来自控制模块100的输出指令，根据输出指令输出驱动信号，以导通激励源31与负载32之间的电通路。

控制模块100用于根据各输出模块上传的回检信号检测是否存在故障输出模块，并作出风险降级决策，风险降级决策包括以下三种情况：

(1)第一输出模块10和第二输出模块20均无故障，则不对第一输出模块10和第二输出模块20进行风险降级。

(2)第一输出模块10故障，第二输出模块20无故障，则控制第二输出模块20断开第一输出模块10的第一总开关12。

(3)第二输出模块20故障，第一输出模块10无故障，则控制第一输出模块10断开第二输出模块20的第二总开关22。

在本实施例中，各输出模块的总开关受到冗余输出模块的操控，正常工作状态下，各输出模块的总开关处于闭合状态，发生故障时，由冗余输出模块关断故障输出模块的总开关。在一些情况中，输出模块可能出现无法检测的故障，或者风险降级逻辑执行异常，导致该输出模块无法自行进行风险降级(切断自身与负载32的连接关系)。此时，控制模块100将生成第一降级控制指令，并发送给冗余输出模块，通过冗余输出模块关断故障输出模块的总开关，保证故障输出模块的风险能够被有效地降级。

另外，由于在正常工况下，总开关是常闭开关，各输出模块的总开关受冗余输出模块的独立操控，即控制模块100仅通过冗余输出模块控制其执行关断(降级)的操作，即使总开关控制电路存在故障导致总开关被错误地断开，***也将保持在安全的关断状态(关断状态就是预设安全状态)。

通过本实施例，解决了因输出通道出现无法检测的故障或风险降级逻辑执行异常导致***风险无法降级的问题，实现了***风险的有效降级。

在一些实施例中，在控制模块100检测是否存在故障输出模块时，控制模块100可以周期性地对单个输出模块的总开关进行功能性测试，控制模块100通过冗余输出模块对目标输出模块执行总开关的点动测试(pulse test)，图2是本实施例的点动测试信号的波形示意图，如图2所示，点动测试信号的脉宽为2ms，每隔15分钟针对总开关执行一次点动测试。图3是本实施例的控制模块检测故障输出模块的流程图，如图3所示，该流程包括如下步骤：

步骤S31，判断***是否输出ON信号；若是，则执行步骤S32；若否，则返回步骤S31。

步骤S32，启动对目标输出模块的总开关的测试模式，屏蔽输出模块上送的输出信号回检故障检测功能。

步骤S33，接收目标输出模块上送的回检信号。

步骤S34，判断回检信号与预期的测试逻辑是否一致；若一致，则执行步骤S35；若不一致，则执行步骤S36。

步骤S35，确定目标输出模块的总开关功能正常；执行步骤S37。

步骤S36，确定目标输出模块的总开关功能存在故障；执行步骤S38。

步骤S37，退出当前输出模块的总开关测试模式，并准备进行对冗余输出模块总开关的测试。

步骤S38，发出报警，启动故障超时计数，计数器超时后输出第二降级控制指令给所有的输出模块。

在本实施例中，两个输出模块的总开关诊断相互独立，不同时进行。

本申请的风险降级装置包括两级风险降级决策：

第一级：输出模块将回检信号上传至控制模块100，由控制模块100统一检测，并制定风险降级决策。

第二级：输出模块自检，自行生成风险降级决策。

其中，第一级风险降级决策已在上述实施例作过介绍，以下将基于第二级风险降级决策给出风险降级装置的实施例。

图4是本实施例的风险降级装置的结构示意图二，如图4所示，第一输出模块10包括第一输出开关13，第一输出开关13的受控端与第一处理单元11连接，第一输出开关13的一连接端与第一总开关12连接，第一输出开关13的另一连接端用于和负载32连接；第二输出模块20包括第二输出开关23，第二输出开关23的受控端与第二处理单元21连接，第二输出开关23的一连接端与第二总开关22连接，第二输出开关23的另一连接端用于和负载32连接。

在本实施例中，输出模块根据自身读取的回检信号检测自身是否存在故障，若检测到自身存在故障，则控制输出开关断开以切断自身与负载32之间的电通路，从而断开激励源31从自身流向负载32的电通路。

例如，各输出模块将回检信号和从控制模块100获取的输出指令进行比对，若比对不一致，则确定自身输出模块存在故障。

其中，输出模块的回检信号包括流经输出开关的回路的电信号和驱动负载32的电信号。例如，在输出开关和负载32之间设置二极管(第一二极管14、第二二极管24)，各输出模块的输出信号通过二极管并联输出，采集二极管输入端的驱动负载32的信号(LB1和RB1)，以及采集二极管输出端的输出状态信号(LB2和RB2)，将采集到两个自检回读值作为回检信号。

在本实施例中，第一级风险决策和第二级风险决策相互独立，互不干扰，故障输出模块总能够通过主动断开输出开关或者被动断开总开关的方式，达到风险降级目的。并且，通过“输出模块自检+控制模块100诊断”统一诊断策略，提高了输出端诊断的准确性。

在一些实施例中，控制模块100存储有输出指令，第一输出模块10和第二输出模块20在接收到来自控制模块100的输出指令后，将生成回检信号，并将回检信号上传至控制模块100，控制模块100将各输出模块的回检信号和输出指令进行比对，将比对结果不一致的输出模块确定为故障输出模块，将比对结果一致的输出模块确定为冗余输出模块。

参考图5，LB1和LB2为第一输出模块10的自检回读信号，RB1和RB2为第二输出模块20的自检回读信号，各输出模块将自检回读信号实时上传给控制模块100进行统一处理，并由控制模块100制定风险降级决策，具体如表1所示：

表1二级风险降级决策表

图5是本优选实施例的风险降级装置的结构示意图，如图5所示，在一些实施例中，第一处理单元11包括第一处理器15和第二处理器16，第一处理器15与第二处理器16通信连接，第一处理器15与第二总开关22的受控端连接，第二处理器16与第一输出开关13的受控端连接；第二处理单元21包括第三处理器25和第四处理器26，第三处理器25与第四处理器26通信连接，第三处理器25与第一总开关12的受控端连接，第四处理器26与第二输出开关23的受控端连接。

在本实施例中，第一处理器15接收来自控制模块100的输出指令，并将输出指令传递给第二处理器16以控制第一输出开关13。第二处理器16采集回检信号并传递给第一处理器15，第一处理器15将回检信号与控制模块100的输出指令进行比对，若比对不一致，则发送第二降级控制指令给第二处理器16以关断第一输出开关13。

第三处理器25接收来自控制模块100的输出指令，并将输出指令传递给第四处理器26以控制第二输出开关23。第四处理器26采集回检信号并传递给第三处理器25，第三处理器25将回检信号与控制模块100的输出指令进行比对，若比对不一致，则发送第二降级控制指令给第四处理器26以关断第二输出开关23。

此外，第一处理器15和第三处理器25还将自身回检信号上传至控制模块100，由控制模块100分别将各输出模块的回检信号与输出指令进行比对，若第一输出模块10的回检信号和输出指令不一致，则控制模块100发送第一降级控制指令至第二输出模块20，以指示第三处理器25断开第一总开关12，若第二输出模块20的回检信号和输出指令不一致，则控制模块100发送第一降级控制指令至第一输出模块10，以指示第一处理器15断开第二总开关22。

在实际应用中，负载32侧的电路容易发生故障，尤其是第二处理器16和第四处理器26。在本实施例中，若第二处理器16发生故障，则第一处理器15还可以正常执行业务逻辑，若第四处理器26发生故障，则第三处理器25还可以正常执行业务逻辑。通过在处理单元设置多个处理器，能够增强风险降级装置的可靠性。

在一些实施例中，第一处理器15与第二处理器16在电气上相互隔离；第三处理器25与第四处理器26在电气上相互隔离。如此设置，实现风险降级装置和负载32之间的电气隔离，从而增强风险降级装置的安全性。

在一些优选实施例中，第一处理单元11中的第一处理器15和第二处理器16之间走板内通信，并采用数据帧校验来保证传递数据的正确性、完整性和时效性。当第一输出模块10发生故障导致第一处理器15与第二处理器16之间的通信故障时，则第一处理单元11检测到通信故障后开始通信超时计数器的维护，当超时计数器超过预设值，则第一处理单元11控制第一输出开关13导向关断的状态。处理单元控制输出开关的流程具体如图6所示，图6是本优选实施例的处理单元控制输出开关的流程图，该流程包括如下步骤：

步骤S51，第一处理单元建立与控制模块的通信连接，接收控制模块的输出指令。

步骤S52，判断是否通信超时；若是，则执行步骤S60；若否，则执行步骤S52。

步骤S53，第一处理器接收数据帧并校验。

步骤S54，判断是否通信错误；若是，则执行步骤S64；若否，则执行步骤S55。

步骤S55，第一处理器和第二处理器建立通信连接，并转发输出指令至第二处理器。

步骤S56，判断是否通信超时；若是，则执行步骤S69；若否，则执行步骤S57。

步骤S57，第二处理器接收数据帧并校验。

步骤S58，判断是否通信错误；若是，则执行步骤S73；若否，则执行步骤S59。

步骤S59，第二处理器根据输出指令控制第一输出开关的状态。

步骤S60，通信超时计数器计数。

步骤S61，判断计数器是否为0；若是，则返回步骤S51；若否，则执行步骤S62。

步骤S62，判断计数器是否超过预设值；若是，则执行步骤S68；若否，则执行步骤S63。

步骤S63，维护计数器，并返回步骤S61。

步骤S64，通信错误计数器计数。

步骤S65，断计数器是否为0；若是，则返回步骤S53；若否，则执行步骤S66。

步骤S66，判断计数器是否超过预设值；若是，则执行步骤S68；若否，则执行步骤S67。

步骤S67，维护计数器，并返回步骤S65。

步骤S68，第一处理器控制第一输出开关断开。

步骤S69，通信超时计数器计数。

步骤S70，判断计数器是否为0；若是，则返回步骤S55；若否，则执行步骤S71。

步骤S71，判断计数器是否超过预设值；若是，则执行步骤S77；若否，则执行步骤S72。

步骤S72，维护计数器，并返回步骤S70。

步骤S73，通信错误计数器计数。

步骤S74，判断计数器是否为0；若是，则返回步骤S57；若否，则执行步骤S75。

步骤S75，判断计数器是否超过预设值；若是，则执行步骤S77；若否，则执行步骤S76。

步骤S76，维护计数器，并返回步骤S74。

步骤S77，第二处理器控制第一输出开关断开。

同理，第二处理单元21和上述第一处理单元11有着相近的设置，此处不再赘述。

在一些实施例中，第一输出模块10和第二输出模块20通过通信链路交互彼此的在位状态；其中，第一输出模块10用于检测第二输出模块20的在位状态，根据该在位状态维护冗余配对状态标记，并将冗余配对状态标记上传至控制模块100；第二输出模块20用于检测第一输出模块10的在位状态，根据该在位状态维护冗余配对状态标记，并将冗余配对状态标记上传至控制模块100。例如，冗余配对状态标记为0代表配对输出模块处于非在位状态，冗余配对状态标记为1代表配对输出模块处于在位状态，控制模块100可以根据冗余配对状态标记来判断是否存在故障输出模块，如果存在故障输出模块，则控制模块100发出报警提示，以提示工作人员维修故障输出模块。

在一些实施例中，控制模块100用于在接收到指示配对输出模块处于非在位状态的冗余配对状态标记之后，对上报冗余配对故障的目标输出模块启动超时计时，并在该计时长度达到预设条件时，确定目标输出模块未被维护，并发送第二降级控制指令至目标输出模块以指示目标输出模块断开自身输出开关。

例如，控制模块100中设置有对应于各输出模块的超时计数器(TimeoutCounter)，控制模块100根据各输出模块上报的冗余配对状态标记，维护各输出模块的超时计数器，其中，各输出模块的超时计数器初始值为0。

控制模块100针对超时计数器维护超时时间，超时时间可配置为预定的维护时间MTTR。

若第一输出模块10检测到对方不在位(冗余通信故障或失联)，则开始置位自身的冗余配对状态标记PairLst_flag＝1，控制模块100启动超时计数器进行计时，若超时计数器>0且超过预定的维护时间MTTR，则控制模块100下发第二降级控制指令给第一输出模块10，以指示第一输出模块10关断自身输出开关。

如此设置，是因为在一对互为冗余的输出模块中，若有其中一个输出模块处于非在位状态(冗余通信故障或失联)，即使另一输出模块在当下处于正常运行状态，也不能保证在后续的工作中，该输出模块仍旧处于正常运行状态，若该输出模块也出现异常，则可能出现无法自行关断输出开关的情况。为避免出现该问题，本实施例通过对上报冗余配对故障的目标输出模块启动超时计时，若该目标输出模块超时未维护，则下发第二降级控制指令给该目标输出模块，以及时关断该目标输出模块的输出开关，保证***导向预设安全状态。

在一些实施例中，第一输出模块10用于在检测到第二输出模块20处于在位状态的情况下，更新冗余配对状态标记并将更新后的冗余配对状态标记上传至控制模块100；第二输出模块20用于在检测到第一输出模块10处于在位状态时，更新冗余配对状态标记并将更新后的冗余配对状态标记上传至控制模块100；控制模块100用于根据更新的冗余配对状态标记，停止对相应输出模块处于非在位状态的计时并对超时计数器进行递减处理。

例如，若在超时计数期间，第二输出模块20恢复在位状态，则第一输出模块10解除配对丢失故障，置PairLst_flag＝0，控制模块100按照“+2，-1”的故障恢复确认原则处理超时计数器，即若故障存在100个通信周期后，超时计数器累加到200，则需要经历200个通信周期，第一输出模块10连续上送PairLst_flag＝0，超时计数器才会被减到0。

通过本实施例，能够解决多个故障影响***正确输出的问题，即当发生单个故障时，通过配对丢失报警提示用户维修，若用户没有在设定的维修时间内对报警的故障进行处理，则***认为再发生后续故障将导致***错误输出的危险情况，因此在计数超时时将主动关断上报冗余配对故障的目标输出模块的输出开关。

在一些实施例中，多个风险降级装置可以依次并联，以构建2oo4d的安全***表决降级架构，其中，数字2代表需要执行安全功能的通道数，数字4代表可用的通道总数。

结合上述实施例的风险降级装置，本实施例还提供了一种风险降级方法，应用于上述任一实施例的风险降级装置，图7是本申请实施例的风险降级方法的流程图，如图7所示，该流程包括如下步骤：

步骤S701，获取第一输出模块和第二输出模块上传的回检信号。

参考图1-6，控制模块100获取第一输出模块10和第二输出模块20上传的回检信号。

步骤S702，根据回检信号检测是否存在故障输出模块。

控制模块100根据第一输出模块10的回检信号检测第一输出模块100是否存在故障，以及根据第二输出模块20的回检信号检测第二输出模块20是否存在故障。

在一些实施例中，控制模块100存储有输出指令，在检测是否存在故障输出模块之前，控制模块100会下发输出指令给各输出模块，在接收到各输出模块反馈的回检信号之后，将回检信号和输出指令进行比对，将比对结果不一致的输出模块确定为故障输出模块，将比对结果一致的输出模块确定为冗余输出模块。

步骤S703，在检测到存在故障输出模块的情况下，发送第一降级控制指令至不存在故障的冗余输出模块，以指示冗余输出模块断开故障输出模块的总开关。

例如，在检测到第一输出模块10故障，第二输出模块20无故障时，则发送第一降级控制指令至第二输出模块20，以指示第二输出模块20断开第一输出模块10的第一总开关12。在第二输出模块20故障，第一输出模块10无故障时，则发送第一降级控制指令至第一输出模块10，以指示第一输出模块10断开第二输出模块20的第二总开关22。

通过本实施例，解决了因输出通道出现无法检测的故障或风险降级逻辑执行异常导致***风险无法降级的问题，实现了***风险的有效降级。

在其中一些实施例中，控制模块100获取第一输出模块10的冗余配对状态标记，以及获取第二输出模块20的冗余配对状态标记，控制模块100根据各输出模块生成的冗余配对状态标记判断配对输出模块(第一输出模块10和第二输出模块20互为配对输出模块)是否处于在位状态，若存在处于非在位状态的输出模块，则发出报警提示。

在其中一些实施例中，控制模块100在接收到指示配对输出模块处于非在位状态的第一冗余配对状态标记之后，控制模块100对上报冗余配对故障的目标输出模块启动超时计时；在超时计时长度达到预设条件时，控制模块100确定目标输出模块未被维护，并发送第二降级控制指令至目标输出模块以指示目标输出模块断开自身输出开关。

在其中一些实施例中，在目标输出模块检测到配对输出模块处于在位状态的情况下，控制模块100获取目标输出模块生成的第二冗余配对状态标记，第二冗余配对状态标记用于指示配对输出模块处于在位状态；控制模块100根据第二冗余配对状态标记停止对目标输出模块的超时计时，并对超时计数器进行递减处理。

应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本申请提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本申请保护范围。

显然，附图只是本申请的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本申请适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本申请公开的内容不足。

“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本申请中描述的实施例在没有冲突的情况下，可以与其它实施例结合。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种风险降级装置，其特征在于，包括：控制模块、互为冗余的第一输出模块和第二输出模块，所述第一输出模块包括第一处理单元和第一总开关，所述第二输出模块包括第二处理单元和第二总开关；其中，

所述控制模块分别与所述第一处理单元和所述第二处理单元连接；

所述第一总开关和所述第二总开关的一连接端均用于和激励源连接，所述第一总开关和所述第二总开关的另一连接端均用于和负载连接；

所述第一处理单元与所述第二总开关的受控端连接，所述第二处理单元与所述第一总开关的受控端连接；

所述控制模块用于根据各输出模块上传的回检信号检测是否存在故障输出模块，并在检测到存在故障输出模块的情况下，所述控制模块发送第一降级控制指令至相应冗余输出模块的处理单元，以指示所述冗余输出模块的处理单元断开所述故障输出模块的总开关。

2.根据权利要求1所述的风险降级装置，其特征在于，所述第一输出模块包括第一输出开关，所述第一输出开关的受控端与所述第一处理单元连接，所述第一输出开关的一连接端与所述第一总开关连接，所述第一输出开关的另一连接端用于和所述负载连接；所述第二输出模块包括第二输出开关，所述第二输出开关的受控端与所述第二处理单元连接，所述第二输出开关的一连接端与所述第二总开关连接，所述第二输出开关的另一连接端用于和所述负载连接；其中，

所述第一处理单元用于根据回检信号检测自身是否存在故障，若是，则所述第一处理单元控制所述第一输出开关断开以切断所述第一总开关与所述负载之间的电通路；

所述第二处理单元用于根据回检信号检测自身是否存在故障，若是，则所述第二处理单元控制所述第二输出开关断开以切断所述第二总开关与所述负载之间的电通路。

3.根据权利要求2所述的风险降级装置，其特征在于，所述第一输出模块的回检信号包括流经所述第一输出开关的回路的电信号和驱动所述负载的电信号，所述第二输出模块的回检信号包括流经所述第二输出开关的回路的电信号和驱动所述负载的电信号。

4.根据权利要求2所述的风险降级装置，其特征在于，所述第一处理单元包括第一处理器和第二处理器，所述第一处理器与所述第二处理器通信连接，所述第一处理器与所述第二总开关的受控端连接，所述第二处理器与所述第一输出开关的受控端连接；所述第二处理单元包括第三处理器和第四处理器，所述第三处理器与所述第四处理器通信连接，所述第三处理器与所述第一总开关的受控端连接，所述第四处理器与所述第二输出开关的受控端连接；所述第一处理器与所述第三处理器通信连接；其中，

所述第二处理器用于采集回检信号并发送至所述第一处理器，所述第一处理器用于根据该回检信号生成第二降级控制指令并发送至所述第二处理器，以指示所述第二处理器根据所述第二降级控制指令控制所述第一输出开关的状态，所述第一处理器还用于在所述控制模块的控制下控制所述第二总开关的状态；

所述第四处理器用于采集回检信号并发送至所述第三处理器，所述第三处理器用于根据该回检信号生成第二降级控制指令并发送至所述第四处理器，以指示所述第四处理器根据所述第二降级控制指令控制所述第二输出开关的状态，所述第三处理器还用于在所述控制模块的控制下控制所述第一总开关的状态。

5.根据权利要求4所述的风险降级装置，其特征在于，所述第一处理器与所述第二处理器在电气上相互隔离；所述第三处理器与所述第四处理器在电气上相互隔离。

6.一种风险降级方法，应用于权利要求1至5中任一项所述的风险降级装置，其特征在于，所述方法包括：

获取第一输出模块和第二输出模块上传的回检信号；

根据所述回检信号检测是否存在故障输出模块；

在检测到存在故障输出模块的情况下，发送第一降级控制指令至不存在故障的冗余输出模块，以指示所述冗余输出模块断开所述故障输出模块的总开关。

7.根据权利要求6所述的风险降级方法，其特征在于，检测是否存在故障输出模块包括：

将各输出模块的回检信号和输出指令进行比对，将比对结果不一致的输出模块确定为所述故障输出模块，将比对结果一致的输出模块确定为所述冗余输出模块。

8.根据权利要求6所述的风险降级方法，其特征在于，所述方法还包括：

获取所述第一输出模块在检测到所述第二输出模块的在位状态后生成的冗余配对状态标记，以及获取所述第二输出模块在检测到所述第一输出模块的在位状态后生成的冗余配对状态标记；

根据各输出模块生成的冗余配对状态标记判断配对输出模块是否处于在位状态，若存在处于非在位状态的输出模块，则发出报警提示。

9.根据权利要求8所述的风险降级方法，其特征在于，在接收到指示配对输出模块处于非在位状态的第一冗余配对状态标记之后，所述方法还包括：

对上报冗余配对故障的目标输出模块启动超时计时；

在所述超时计时长度达到预设条件时，确定所述目标输出模块未被维护，并发送第二降级控制指令至所述目标输出模块以指示所述目标输出模块断开自身输出开关。

10.根据权利要求9所述的风险降级方法，其特征在于，在所述目标输出模块检测到所述配对输出模块处于在位状态的情况下，所述方法还包括：

获取所述目标输出模块生成的第二冗余配对状态标记，所述第二冗余配对状态标记用于指示所述配对输出模块处于在位状态；

根据所述第二冗余配对状态标记停止对所述目标输出模块的超时计时，并对超时计数器进行递减处理。