鐘文玲，吳文海，于守淼

（海軍航空工程學(xué)院青島校區(qū),266041）

0 引言

引導(dǎo)計(jì)算機(jī)是引導(dǎo)系統(tǒng)的核心，要對(duì)設(shè)備進(jìn)行管理，還要實(shí)現(xiàn)對(duì)飛行的實(shí)時(shí)控制，其可靠性對(duì)引導(dǎo)起著關(guān)鍵的作用?？煽啃院凸收先菹奘窍到y(tǒng)結(jié)構(gòu)設(shè)計(jì)時(shí)必須關(guān)注的重要因素。為了提高引導(dǎo)系統(tǒng)的性能及安全性，通常進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)采用余度技術(shù)。

為了提高計(jì)算機(jī)系統(tǒng)的可靠性，應(yīng)從軟件和硬件功能上采取措施。通常采用余度技術(shù)來(lái)解決硬件的隨機(jī)故障，即在N個(gè)相同重復(fù)的硬件通道上采用同一個(gè)程序運(yùn)行。這些措施對(duì)于提高系統(tǒng)硬件的可靠性是十分有效的。

但僅簡(jiǎn)單的資源重復(fù)對(duì)于發(fā)生軟、硬件設(shè)計(jì)或規(guī)范等錯(cuò)誤，達(dá)不到容錯(cuò)目的，因?yàn)檫@些錯(cuò)誤會(huì)導(dǎo)致同一操作對(duì)象或工作單元在同一時(shí)刻產(chǎn)生相同的故障結(jié)果；而要檢測(cè)隔離這種錯(cuò)誤，采用各余度之間的交叉通道監(jiān)控的方法來(lái)也是不可能的，因?yàn)橄到y(tǒng)本身會(huì)因?yàn)楦鱾€(gè)結(jié)果相同而認(rèn)為所有的余度都正確，從而可能造成災(zāi)難性后果。

故可采用非相似余度（dissimilar redundancy）設(shè)計(jì)技術(shù)，來(lái)避免共性故障導(dǎo)致的嚴(yán)重后果。該技術(shù)的基礎(chǔ)是由完全獨(dú)立的工作組使用不同的開(kāi)發(fā)語(yǔ)言、不同的開(kāi)發(fā)工具，使用獨(dú)立性的硬件設(shè)計(jì)和獨(dú)立的軟件開(kāi)發(fā)，在不同的處理器上運(yùn)行。這樣各個(gè)余度之間所出現(xiàn)獨(dú)立的故障，從而避免共性故障。

1 引導(dǎo)計(jì)算機(jī)方案設(shè)計(jì)

1.1 引導(dǎo)計(jì)算機(jī)功能需求

引導(dǎo)計(jì)算機(jī)將引導(dǎo)雷達(dá)、綜合導(dǎo)航系統(tǒng)和其它相關(guān)系統(tǒng)傳感器的測(cè)量信息綜合，進(jìn)行運(yùn)動(dòng)穩(wěn)定處理以及偏差、指令的檢測(cè)、解算及決策，將引導(dǎo)信息／指令傳輸給信號(hào)發(fā)射機(jī)、引導(dǎo)臺(tái)及指揮設(shè)備。

依據(jù)GJB飛行安全可靠性要求，由于控制系統(tǒng)故障導(dǎo)致飛機(jī)任務(wù)失效的概率一般不大于10-5，計(jì)算機(jī)故障導(dǎo)致任務(wù)失效的概率應(yīng)小于l0-6/飛行小時(shí)，飛機(jī)損失概率應(yīng)小于10-8/飛行小時(shí)。

1.2 引導(dǎo)計(jì)算機(jī)結(jié)構(gòu)

引導(dǎo)計(jì)算機(jī)系統(tǒng)有3個(gè)完全相同的數(shù)字式主引導(dǎo)控制計(jì)算機(jī)通道（左、中、右），每個(gè)通道有3個(gè)支路。在整個(gè)引導(dǎo)計(jì)算機(jī)系統(tǒng)中，共使用9個(gè)CPU，每個(gè)通道之間采用數(shù)據(jù)總線通訊。各支路包括3個(gè)印刷電路板模塊，分別為處理器模塊、輸入/輸出模塊（I/O接口單元）及電源模塊。每個(gè)支路的處理器型號(hào)、處理器的硬件接口及其外圍電路都不相同。每個(gè)支路的軟件采用的編譯器也不同。輸入輸出模塊包含3個(gè)數(shù)據(jù)總線終端。

1.3 引導(dǎo)計(jì)算機(jī)系統(tǒng)的工作

引導(dǎo)計(jì)算機(jī)的所有通道全部投入工作，每個(gè)處理器都獲得并計(jì)算所有傳感器系統(tǒng)的信息。計(jì)算機(jī)和總線被分為3組（左、中、右），各通道同時(shí)監(jiān)聽(tīng)3組總線，但傳送數(shù)據(jù)只能夠是同組的總線。任意一組的的正常工作都不會(huì)受到另外兩組總線傳送錯(cuò)誤或者故障的影響。

每個(gè)計(jì)算機(jī)通道分為3個(gè)支路，分別被分配為指令支路、備用支路和監(jiān)控支路。指令支路負(fù)責(zé)將全部數(shù)據(jù)傳送到它指定的數(shù)據(jù)總線，備用支路和監(jiān)控支路主要執(zhí)行監(jiān)控功能和支路余度管理任務(wù)。備用支路和監(jiān)控支路取代指令支路執(zhí)行其失效時(shí)的任務(wù)。當(dāng)任意一個(gè)再次發(fā)生故障時(shí)，計(jì)算機(jī)將斷開(kāi)輸出。

左、中、右3個(gè)通道以異步方式工作，通道內(nèi)的各個(gè)支路同步工作，用于控制律計(jì)算處理時(shí)使用完全相同的輸入數(shù)據(jù)，模態(tài)、傳感器狀態(tài)和積分器均衡數(shù)據(jù)可以相互交換，以保證每個(gè)通道工作不產(chǎn)生分歧。每個(gè)指令支路使用自己的數(shù)據(jù)，單獨(dú)計(jì)算關(guān)鍵的輸出參數(shù)，并將其傳送到對(duì)應(yīng)的數(shù)據(jù)總線。

1.4 引導(dǎo)計(jì)算機(jī)系統(tǒng)的非相似余度技術(shù)

為保證安全，引導(dǎo)計(jì)算機(jī)系統(tǒng)引入非相似余度技術(shù)的理念。由完全獨(dú)立的工作組采用獨(dú)立性的硬件設(shè)計(jì)和獨(dú)立的軟件開(kāi)發(fā)，使用的開(kāi)發(fā)語(yǔ)言及開(kāi)發(fā)工具不同，并在不同的處理器上運(yùn)行，避免共性故障的發(fā)生。

引導(dǎo)計(jì)算機(jī)系統(tǒng)的左、中、右3個(gè)通道相互獨(dú)立，分別由三部分組成：數(shù)據(jù)采集、數(shù)椐處理和數(shù)據(jù)輸出部分。由數(shù)據(jù)采集接口單元組成數(shù)據(jù)采集部分，由中央處理單元組成數(shù)據(jù)處理部分， 3個(gè)通信接口單元組成數(shù)據(jù)輸出部分，與3個(gè)數(shù)據(jù)處理部分一起組成數(shù)據(jù)交叉、輸出鏈路。

每個(gè)通道的3個(gè)支路使用了非相似的中央處理單元，選用不同的處理器，對(duì)應(yīng)的接口電路和編譯程序也不同。為了在指令這一級(jí)上避免相同機(jī)器指令的共性故障，可以由3個(gè)指令不同的CPU來(lái)完成；另外，采用非相似性來(lái)保證使硬件系統(tǒng)中的共性故障發(fā)生的概率達(dá)到最小限度。采用的CPU分3組分別進(jìn)行設(shè)計(jì)，因而使用的芯片的結(jié)構(gòu)不同，計(jì)算機(jī)的結(jié)構(gòu)也不盡一樣，。克服了使用相同廠家生產(chǎn)的硬件設(shè)備所帶來(lái)的必然的共性故障。

在功能上，3個(gè)支路的非相似處理器模塊完全相同。在系統(tǒng)運(yùn)行的初始時(shí)刻，指令支路由每臺(tái)計(jì)算機(jī)選擇非相似的支路完成。每臺(tái)計(jì)算機(jī)的輸入數(shù)據(jù)從3余度數(shù)據(jù)總線來(lái)接收，數(shù)據(jù)總線為分時(shí)復(fù)用系統(tǒng)，同一時(shí)刻只允許一個(gè)終端發(fā)送數(shù)據(jù)，可以連接多個(gè)終端。用3種不同的定時(shí)協(xié)議來(lái)保證當(dāng)一個(gè)終端發(fā)送完數(shù)據(jù)后，總線上的其他終端都有機(jī)會(huì)發(fā)送數(shù)據(jù)。其他所有終端發(fā)送完數(shù)據(jù)后，這個(gè)終端才能再次發(fā)送數(shù)據(jù)。

每個(gè)支路的軟件采用的編譯器及軟件都是非相似的，從而避免了使用相同編譯器及軟件而產(chǎn)生的共性故障。

2 引導(dǎo)計(jì)算機(jī)系統(tǒng)可靠性分析

假設(shè)各支路內(nèi)所有硬件模塊之間有相對(duì)獨(dú)立的故障，不考慮軟硬件設(shè)計(jì)錯(cuò)誤；可假設(shè)各支路運(yùn)行相對(duì)獨(dú)立的軟件故障，通道內(nèi)各支路采用軟件非相似(SW1，SW2，SW3)。系統(tǒng)結(jié)構(gòu)為一個(gè)串-并聯(lián)模型。具有電源、中央處理單元、I/O接口單元3個(gè)硬件模塊及軟件共4個(gè)環(huán)節(jié)的串聯(lián)結(jié)構(gòu)，每個(gè)子系統(tǒng)分別由3個(gè)并聯(lián)的非相似冗余單元組成。

由于電子產(chǎn)品的失效一般都服從指數(shù)分布，因此假設(shè)系統(tǒng)所有硬件失效均服從故障率為常數(shù)的指數(shù)分布；軟件投入使用后，失效概率也可假設(shè)服從指數(shù)分布，故障率為常數(shù)。

對(duì)于相似余度系統(tǒng)，有各個(gè)相同的通道，通道內(nèi)有各個(gè)相似的支路，當(dāng)發(fā)生共性故障時(shí)，3個(gè)支路同時(shí)失效，此時(shí)，系統(tǒng)的可靠性會(huì)降低到單個(gè)支路的可靠度級(jí)別（8.2x 10-4/小時(shí)），不能滿足系統(tǒng)的可靠性要求。而采用非相似余度技術(shù)，可以大大的提高主引導(dǎo)計(jì)算機(jī)的可靠性，在規(guī)定的任務(wù)期間，引導(dǎo)計(jì)算機(jī)任務(wù)失效率不大于10-6/小時(shí)，應(yīng)該能夠滿足系統(tǒng)的要求。

3 結(jié)論

該系統(tǒng)采用非相似余度技術(shù)，在并聯(lián)運(yùn)行的每一個(gè)余度通道中，嵌入三個(gè)非相似硬件的子通道，構(gòu)成高容錯(cuò)能力和高生存性的余度結(jié)構(gòu)，能夠滿足引導(dǎo)計(jì)算機(jī)的安全可靠性要求。

系統(tǒng)設(shè)計(jì)有以下幾個(gè)方面的優(yōu)點(diǎn)：

(1)系統(tǒng)的結(jié)構(gòu)簡(jiǎn)單、易于擴(kuò)充。采用規(guī)范的開(kāi)放式、模塊標(biāo)準(zhǔn)化設(shè)計(jì)，能以簡(jiǎn)單的、覆蓋率高的監(jiān)控判定本通道的故障，避免交叉通道數(shù)據(jù)傳輸和通道內(nèi)自監(jiān)控電路的復(fù)雜性，使系統(tǒng)結(jié)構(gòu)規(guī)范、簡(jiǎn)單、擴(kuò)充性好。

(2)系統(tǒng)的安全性好。系統(tǒng)結(jié)構(gòu)采用非相似余度設(shè)計(jì)技術(shù)，余度單元在位置上分離，可以避免同區(qū)域的故障；在功能上分離，同時(shí)采用的硬件、控制/監(jiān)控功能、硬件/軟件設(shè)計(jì)小組、編譯器等均為非相似結(jié)構(gòu)，使得任一單元的故障并不能影響其他單元的工作。

(3)系統(tǒng)的容錯(cuò)性好。采用分布式結(jié)構(gòu)，每個(gè)設(shè)備都具有智能處理能力，使得系統(tǒng)的自檢測(cè)(BIT)能力得到擴(kuò)充，各個(gè)設(shè)備具有局部的故障預(yù)測(cè)能力，因此系統(tǒng)具有較強(qiáng)的容錯(cuò)性。

(4)系統(tǒng)的可靠性高。非相似余度設(shè)計(jì)在不同的處理器硬件上運(yùn)行，使用的工作組、開(kāi)發(fā)語(yǔ)言、開(kāi)發(fā)工具均完全獨(dú)立，這樣可以避免出現(xiàn)硬件、軟件共性故障帶來(lái)的嚴(yán)重后果，提高了引導(dǎo)系統(tǒng)的任務(wù)安全可靠性。

[1]吳文海,飛行綜合控制系統(tǒng)[M].北京:航空工業(yè)出版社 ,2007:218～224.

[2]柯林斯著,吳文海,程傳金譯.飛行綜合駕駛系統(tǒng)導(dǎo)論[M].北京:航空工業(yè)出版社,2009:131～139

[3]車元媛.電子商務(wù)模擬平臺(tái)與設(shè)計(jì)[J].鞍山師范學(xué)院學(xué)報(bào).2011,13(2):53～55

[4]陳宗基等.非相似余度飛控計(jì)算機(jī)[J].航空學(xué)報(bào).2005,26(3):320～327

[5]曾聲奎，可靠性設(shè)計(jì)與分析[M].國(guó)防工業(yè)出版社.2011:20～27

[6]U Dinesh Kumar等編.可靠性、維修與后勤保障-壽命周期方法[M].北京：電子工業(yè)出版社，2010：65～68.