解文濤，王 銳

(中國(guó)航空計(jì)算技術(shù)研究所，西安 710119)

一種新型飛行器管理計(jì)算機(jī)的設(shè)計(jì)和實(shí)現(xiàn)

解文濤，王 銳

(中國(guó)航空計(jì)算技術(shù)研究所，西安 710119)

圍繞新一代先進(jìn)航空飛行器，對(duì)高度綜合化飛行器管理計(jì)算機(jī)的需求，國(guó)內(nèi)外爭(zhēng)相開(kāi)展新型容錯(cuò)計(jì)算機(jī)的相關(guān)技術(shù)研究；ARINC659背板總線因其強(qiáng)實(shí)時(shí)性、高帶寬、抗干擾和容錯(cuò)能力強(qiáng)而著稱，現(xiàn)已成為航空電子設(shè)備標(biāo)準(zhǔn)背板總線，也已成為模塊化、綜合化架構(gòu)航電系統(tǒng)的關(guān)鍵技術(shù);因此，基于ARINC659總線容錯(cuò)計(jì)算機(jī)的研制已逐漸成為高可靠航空電子系統(tǒng)研究的熱點(diǎn)和重點(diǎn);提出了基于ARINC659總線的新型容錯(cuò)計(jì)算機(jī)構(gòu)架設(shè)計(jì)方案、余度管理以及故障實(shí)時(shí)診斷與隔離等關(guān)鍵技術(shù)。

容錯(cuò)計(jì)算機(jī);飛行控制;余度管理

0 引言

在航空領(lǐng)域，容錯(cuò)計(jì)算機(jī)最主要的應(yīng)用背景是飛行控制系統(tǒng)，無(wú)論是在商用飛機(jī)還是軍用飛機(jī)上都得到了廣泛的應(yīng)用[1]。多余度就是一種能夠提高飛機(jī)安全、可靠性的技術(shù)，其引入后可對(duì)系統(tǒng)的各個(gè)部件進(jìn)行故障監(jiān)控，當(dāng)某個(gè)部件發(fā)生故障，系統(tǒng)可以進(jìn)行故障隔離并重構(gòu)剩余完好資源繼續(xù)承擔(dān)功能任務(wù)。但是，冗余技術(shù)的實(shí)施需要成倍的硬件資源[2]，隨著元器件數(shù)量的激增維修難度和費(fèi)用會(huì)大大提高。為了解決這一問(wèn)題，傳統(tǒng)的飛控系統(tǒng)必須向飛機(jī)管理系統(tǒng)發(fā)展[3]，使多種功能綜合起來(lái)，并置于整個(gè)系統(tǒng)的管理之下以節(jié)約硬件資源，提高系統(tǒng)可靠性。

未來(lái)新型航空飛行器的飛行器管理系統(tǒng)的綜合化水平將進(jìn)一步提高，這對(duì)計(jì)算機(jī)系統(tǒng)的性能、可靠性、故障檢測(cè)隔離能力、容錯(cuò)能力、可擴(kuò)展性、靈活性提出更高要求，下一代航空電子體系結(jié)構(gòu)不是基于傳統(tǒng)的拜占庭余度結(jié)構(gòu)[4]，而是基于監(jiān)控對(duì)實(shí)現(xiàn)的故障靜默策略，每個(gè)組件都必須有自檢測(cè)機(jī)制，即當(dāng)內(nèi)部故障發(fā)生時(shí)保持故障靜默，作為背板總線的ARINC 659總線也具有這種故障靜默功能。因此，基于ARINC 659總線的容錯(cuò)計(jì)算機(jī)可以提供的可靠性、完整性和余度等級(jí)是相當(dāng)高的[5]，它已用于商用飛機(jī)的安全關(guān)鍵系統(tǒng)中。另外，ARINC 659總線在機(jī)架式綜合化系統(tǒng)結(jié)構(gòu)中有著很大的優(yōu)勢(shì)，它將在航空電子系統(tǒng)中繼續(xù)推廣，并在新一代飛行器系統(tǒng)等高安全領(lǐng)域中有廣闊的發(fā)展前景。

1 ARINC 659總線概述

背板總線是飛管計(jì)算機(jī)系統(tǒng)中的關(guān)鍵組件之一，用于節(jié)點(diǎn)內(nèi)各部件之間的通信傳輸。綜合化功能的實(shí)現(xiàn)要求背板總線安全可靠，并具有完整性特點(diǎn)及容錯(cuò)能力。ARINC 659總線的時(shí)間確定性和空間確定性為實(shí)現(xiàn)系統(tǒng)健壯分區(qū)提供了基本保證。ARINC 659總線的空間確定性保證了已分配的程序/數(shù)據(jù)存儲(chǔ)空間、寄存器、專用I/O的完整性；時(shí)間確定性保證了在正確的時(shí)間去訪問(wèn)已分配的處理和通信帶寬；物理完全隔離的“自檢測(cè)對(duì)”(self-checking pairs)和專有的糾錯(cuò)編碼技術(shù)提高了故障檢測(cè)覆蓋率，具有高度的完整性。雙-雙配置的4路冗余總線可以容忍一路總線故障或者某些模式下的兩路總線故障，主/后備通信機(jī)制還支持系統(tǒng)級(jí)4余度容錯(cuò)配置[6]。ARINC 659總線采用的硬件機(jī)制很好地滿足了航空電子綜合化的要求[7]。

ARINC 659總線接口和總線連接方式如圖1，總線上的每個(gè)節(jié)點(diǎn)內(nèi)的接口采用雙余度接口配置，包含總線網(wǎng)絡(luò)接口單元(BIU)、數(shù)據(jù)存儲(chǔ)器(IMM)、命令表存儲(chǔ)器、脈沖時(shí)鐘和脈沖收發(fā)器。

圖1 ARINC 659總線連接示意圖

2 飛管計(jì)算機(jī)架構(gòu)設(shè)計(jì)

系統(tǒng)為了降低成本以及體積重量[8]，目前流行的方式是將VMS定義為三余度綜合化系統(tǒng)。相對(duì)四余度FBW而言，系統(tǒng)的變化不僅是減少了一個(gè)余度，而且融合了推力控制、機(jī)電管理等功能。這樣設(shè)計(jì)的原因是信號(hào)源以及伺服回路采用了智能化設(shè)計(jì)，計(jì)算機(jī)通過(guò)總線就可以進(jìn)行采集以及控制，信息高度融合，因此使得建立一個(gè)綜合化硬件平臺(tái)實(shí)現(xiàn)系統(tǒng)大綜合成為可能。但是系統(tǒng)的可靠性以及安全性需要保證，要實(shí)現(xiàn)兩次故障工作的任務(wù)安全等級(jí)，計(jì)算機(jī)必須采用3×2的系統(tǒng)構(gòu)型，這也是應(yīng)對(duì)大型軟件運(yùn)行故障概率增大的一個(gè)措施。三余度的表決監(jiān)控策略可以定位并隔離故障，為了實(shí)現(xiàn)兩次故障工作的需求，節(jié)點(diǎn)機(jī)內(nèi)的必須配置兩個(gè)可以工作的通道，這就使得系統(tǒng)在三余度多數(shù)表決策略的基礎(chǔ)上又具備了一個(gè)兩余度熱備份構(gòu)型，也可以定義為監(jiān)控對(duì)構(gòu)型。這樣的構(gòu)型方式在民機(jī)上也頻繁使用，并且建立在硬件非相似的基礎(chǔ)上。AIRBUS公司的A330/340系列的余度飛行控制計(jì)算機(jī)由5個(gè)計(jì)算機(jī)組成：3個(gè)余度組成的主計(jì)算機(jī)PRIM (Primary Computers)和兩個(gè)余度組成的次計(jì)算機(jī)SEC (Secondary Computers)，主計(jì)算機(jī)和次計(jì)算機(jī)采用不同的硬件和軟件實(shí)現(xiàn)[9]。任何時(shí)候只有一個(gè)“HOT”計(jì)算機(jī)和一個(gè)“STANDBY”計(jì)算機(jī)。

基于以上原因本文提出了一種增強(qiáng)型的3×2架構(gòu)容錯(cuò)計(jì)算機(jī)的系統(tǒng)架構(gòu)，包括3個(gè)節(jié)點(diǎn)計(jì)算機(jī)，節(jié)點(diǎn)計(jì)算機(jī)內(nèi)部的功能模塊通過(guò)ARINC659總線互連，節(jié)點(diǎn)計(jì)算機(jī)之間采用同步工作方式，系統(tǒng)任務(wù)分配在各個(gè)節(jié)點(diǎn)計(jì)算機(jī)上執(zhí)行，節(jié)點(diǎn)內(nèi)的核心處理模塊通過(guò)CCDL進(jìn)行信息交換，系統(tǒng)通過(guò)容錯(cuò)高速串行網(wǎng)絡(luò)管理系統(tǒng)各部件之間的信息交換。節(jié)點(diǎn)機(jī)內(nèi)的一次故障，不會(huì)導(dǎo)致該節(jié)點(diǎn)機(jī)的失效。每個(gè)節(jié)點(diǎn)機(jī)的配置形式見(jiàn)圖2所示，包含兩個(gè)核心處理模塊CPM、一個(gè)專用接口模塊IOM、一個(gè)電源模塊PSM和一個(gè)總線處理模塊NSM組成，其中CPM1為命令支路、CPM2為監(jiān)控支路，節(jié)點(diǎn)機(jī)內(nèi)設(shè)有同步電路、CCDL電路，通道故障邏輯電路和電源監(jiān)控電路，這些資源電路是余度系統(tǒng)運(yùn)行的基本配置，電源模塊按照雙余度供電的方式設(shè)計(jì)，總線上各核心處理模塊、接口模塊和總線處理模塊之間的數(shù)據(jù)交叉?zhèn)鬏敳捎肁RINC 659背板總線，接入總線的所有模塊之間的數(shù)據(jù)傳輸可通過(guò)總線命令表進(jìn)行靈活的配置，也可根據(jù)系統(tǒng)的容錯(cuò)要求對(duì)節(jié)點(diǎn)進(jìn)行備份配置。在每個(gè)核心處理器模塊上，運(yùn)行著不同安全級(jí)別的系統(tǒng)功能，高可靠強(qiáng)實(shí)時(shí)機(jī)載操作系統(tǒng)保證了不同軟件功能塊之間的時(shí)間隔離和空間隔離，使任意軟件任務(wù)的故障，不會(huì)影響到其它的任務(wù)。

圖2 VMC設(shè)計(jì)方案

為了構(gòu)建更健壯的節(jié)點(diǎn)機(jī)硬件，借鑒民機(jī)非相似設(shè)計(jì)理念，本文提出采用局部非相似設(shè)計(jì)的思路，即使用多種不同的處理器芯片。系統(tǒng)的核心由三對(duì)處理器組成，每對(duì)處理器與其它對(duì)有通訊聯(lián)絡(luò)，如圖3所示框圖中的200、201、202代表三臺(tái)節(jié)點(diǎn)家計(jì)算機(jī)，210、214、218為核心處理模塊CPM(Core Processing Modules)，230、234、238為命令通路(Command Lane)，232、236、240為監(jiān)控通路(Monitor Lane)。

圖3 系統(tǒng)構(gòu)型示意圖

節(jié)點(diǎn)計(jì)算機(jī)采用相似性設(shè)計(jì)，但是系統(tǒng)構(gòu)型中選擇的處理器不盡相同，在每個(gè)節(jié)點(diǎn)計(jì)算機(jī)的核心處理由CPM(210、214、218)實(shí)現(xiàn)，CPM由兩個(gè)通路組成，一個(gè)為命令通路，一個(gè)為監(jiān)控通路，為了進(jìn)一步提高系統(tǒng)的健壯性以及可靠性，命令通路與監(jiān)控通路選擇不同的處理器，μA、μB、μC為3種處理器，210中的命令通路230選用μA處理器，監(jiān)控通道232選用μB，214中的命令通路234選用μB處理器，監(jiān)控通道236選用μC，218中的命令通路238選用μC處理器，監(jiān)控通道240選用μA，按照以上方法實(shí)現(xiàn)了計(jì)算機(jī)內(nèi)的處理器的不同，又實(shí)現(xiàn)了計(jì)算機(jī)間處理器對(duì)的不同組合，系統(tǒng)健壯性的提升是無(wú)用質(zhì)疑的，處理器的選用上設(shè)計(jì)使用相同類(lèi)型不同型號(hào)的處理器，例如POWERPC750、POWERPC755、POWERPC7410，這3種芯片的管腳完全兼容但核心電壓不同、處理速度也不同(可調(diào)為一樣)，這就使的在一種電路設(shè)計(jì)的基礎(chǔ)上進(jìn)行微小的調(diào)整就可以形成3種不同的核心處理器模塊，按照以上的配置方式可以獲得部分非相似余度設(shè)計(jì)的優(yōu)勢(shì)，同時(shí)成本在同構(gòu)型設(shè)計(jì)的基礎(chǔ)上增加不多。

處理器有時(shí)會(huì)因?yàn)樵O(shè)計(jì)或工藝等存在缺陷出現(xiàn)共性故障，這種故障會(huì)導(dǎo)致所有裝有此種處理器的模塊出現(xiàn)共性故障，上述設(shè)計(jì)思路可以保證發(fā)生共性故障時(shí)系統(tǒng)不會(huì)崩潰，例如圖3所示，當(dāng)μA處理器發(fā)生此類(lèi)故障時(shí)，節(jié)點(diǎn)機(jī)FCC1中的命令通路和FCC3中的監(jiān)控通路失效，進(jìn)而致使FCC1和FCC3節(jié)點(diǎn)機(jī)故障，但是節(jié)點(diǎn)機(jī)FCC2的運(yùn)行將不受影響。

3 系統(tǒng)容錯(cuò)機(jī)制設(shè)計(jì)

飛行器管理計(jì)算機(jī)系統(tǒng)構(gòu)型中的三余度節(jié)點(diǎn)機(jī)，接收控制命令或任務(wù)指令，控制作動(dòng)器或其它設(shè)備。節(jié)點(diǎn)和節(jié)點(diǎn)內(nèi)的模塊形成系統(tǒng)級(jí)余度容錯(cuò)和故障保護(hù)。3×2余度的VMC分別置于3個(gè)LRC內(nèi)，以防止一次性的損毀和故障蔓延。每個(gè)節(jié)點(diǎn)計(jì)算機(jī)作為一個(gè)完整的控制核心，可以獨(dú)立完成系統(tǒng)的飛行控制[10]，正常時(shí)節(jié)點(diǎn)內(nèi)部的核心處理模塊形成一個(gè)自檢對(duì)，共同完成對(duì)一套系統(tǒng)總線的管理。3個(gè)節(jié)點(diǎn)機(jī)的內(nèi)部之間具有通訊，每一個(gè)節(jié)點(diǎn)機(jī)都具有獨(dú)立完成系統(tǒng)任務(wù)處理的能力，每個(gè)節(jié)點(diǎn)機(jī)實(shí)際上是由兩個(gè)通道組成，一個(gè)是命令通路，一個(gè)是監(jiān)控通路；命令通路保證分配計(jì)算機(jī)的功能實(shí)現(xiàn)，監(jiān)控通路保證命令通路工作的正確性，每個(gè)節(jié)點(diǎn)機(jī)的運(yùn)行是建立在各自命令通路和監(jiān)控通路的比較監(jiān)控的基礎(chǔ)上，每個(gè)節(jié)點(diǎn)機(jī)是相對(duì)獨(dú)立的不同的計(jì)算機(jī)，節(jié)點(diǎn)機(jī)工作時(shí)，命令通道和監(jiān)控通道同時(shí)從STANDBY狀態(tài)到ACTIVE狀態(tài)。當(dāng)一個(gè)核心處理模塊故障時(shí)，通過(guò)CCDL完成對(duì)故障模塊的隔離和判斷，使故障抑制在模塊內(nèi)部，正常處理模塊通過(guò)CCDL進(jìn)行認(rèn)定，繼續(xù)節(jié)點(diǎn)的工作，不會(huì)導(dǎo)致節(jié)點(diǎn)的喪失。

ARINC 659容錯(cuò)串行背板總線的使用保證節(jié)點(diǎn)內(nèi)的容錯(cuò)通訊。采用容錯(cuò)串行背板總線完成節(jié)點(diǎn)內(nèi)模塊之間信息共享，背板總線是由雙總線對(duì)組成的雙/雙配置，因此它的容錯(cuò)特性比傳統(tǒng)的雙余度好，而復(fù)雜性小于傳統(tǒng)的四余度。串行背板總線包含兩級(jí)保護(hù)機(jī)制：第一級(jí)保護(hù)是故障糾正與指示，單個(gè)差錯(cuò)可以通過(guò)非故障信號(hào)對(duì)的組合而被糾正。如果同時(shí)發(fā)生2個(gè)差錯(cuò)，則被接收數(shù)據(jù)被標(biāo)記為錯(cuò)誤。第二級(jí)保護(hù)機(jī)制是發(fā)送故障檢測(cè)與停止，每一個(gè)正在發(fā)送的節(jié)點(diǎn)模塊檢測(cè)它實(shí)際放到總線上去的內(nèi)容，如果檢測(cè)到一個(gè)不能糾正的差錯(cuò)，發(fā)送就被終止。

表決界面和表決節(jié)點(diǎn)[11]是決定多數(shù)表決系統(tǒng)容錯(cuò)能力的重要因素。表決面的設(shè)置主要采用多數(shù)表決分級(jí)監(jiān)控的機(jī)制，確定故障發(fā)生源，抑制故障的蔓延，消除故障的影響，進(jìn)而提高系統(tǒng)任務(wù)可靠性和安全性。表決節(jié)點(diǎn)是在多數(shù)表決面中，依據(jù)表決面內(nèi)產(chǎn)生的特征信息，生成對(duì)應(yīng)的表決節(jié)點(diǎn)數(shù)據(jù)。表決節(jié)點(diǎn)數(shù)據(jù)的多少對(duì)系統(tǒng)運(yùn)行效率、資源開(kāi)銷(xiāo)和輸出響應(yīng)時(shí)間會(huì)產(chǎn)生比較大的影響。VMC的表決界面設(shè)置為兩級(jí)，信息輸入界面和計(jì)算機(jī)指令輸出界面。信息輸入界面的作用是判定VMC輸入信息的有效性；計(jì)算機(jī)指令輸出界面的作用是判定VMC處理結(jié)果的有效性。兩個(gè)表決界面內(nèi)的表決設(shè)定在一個(gè)表決節(jié)點(diǎn)實(shí)現(xiàn)。即該表決節(jié)點(diǎn)實(shí)現(xiàn)本周期傳感器輸入信號(hào)和上周期飛控計(jì)算機(jī)輸出指令表決。

系統(tǒng)監(jiān)控對(duì)容錯(cuò)：針對(duì)VMC余度通道內(nèi)的自監(jiān)控的需求，由VMC各通道內(nèi)的命令通路和監(jiān)控通路實(shí)施互比監(jiān)控機(jī)制。這種監(jiān)控機(jī)制針對(duì)系統(tǒng)實(shí)時(shí)處理需求，通過(guò)對(duì)系統(tǒng)處理過(guò)程的狀態(tài)變化的識(shí)別，對(duì)命令通路的運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控。即通過(guò)建立傳感器狀態(tài)監(jiān)控器，實(shí)現(xiàn)對(duì)輸入信號(hào)和數(shù)據(jù)有效性監(jiān)控；通過(guò)建立軟件狀態(tài)監(jiān)控器，實(shí)現(xiàn)計(jì)算機(jī)運(yùn)行過(guò)程有效性監(jiān)控；通過(guò)建立周期BIT測(cè)試[12]，實(shí)現(xiàn)計(jì)算機(jī)資源有效性監(jiān)控。

故障動(dòng)態(tài)重構(gòu)，基于對(duì)系統(tǒng)各故障狀態(tài)的分析，通過(guò)對(duì)非故障資源的有效組織，進(jìn)而實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)容錯(cuò)重構(gòu)。根據(jù)當(dāng)前運(yùn)行狀態(tài)的監(jiān)控，依據(jù)通道的多數(shù)表決結(jié)果，實(shí)施動(dòng)態(tài)系統(tǒng)容錯(cuò)結(jié)構(gòu)的重構(gòu)。通過(guò)采用動(dòng)態(tài)重構(gòu)容錯(cuò)機(jī)制，實(shí)時(shí)確定系統(tǒng)運(yùn)行故障狀態(tài)，排除故障源的影響，明確系統(tǒng)有效資源，形成新的面向多數(shù)表決的容錯(cuò)結(jié)構(gòu)，保證系統(tǒng)容錯(cuò)能力。

4 系統(tǒng)余度管理

3個(gè)節(jié)點(diǎn)機(jī)相互獨(dú)立，采用同步工作方式，通過(guò)專用CCDL交換節(jié)點(diǎn)機(jī)間的數(shù)據(jù)，采用軟件方式進(jìn)行表決。系統(tǒng)工作時(shí)3個(gè)節(jié)點(diǎn)機(jī)同時(shí)工作，采用節(jié)點(diǎn)機(jī)間采用三余度多數(shù)表決原則，圖4為工作方式示意圖，每個(gè)節(jié)點(diǎn)機(jī)內(nèi)部包含一個(gè)命令支路，一個(gè)監(jiān)控支路，圖中S1、S2、S3代表信號(hào)源采集數(shù)據(jù)，兩條處理支路分別對(duì)信號(hào)源數(shù)據(jù)進(jìn)行采集，3個(gè)節(jié)點(diǎn)機(jī)中的命令支路，將采集值進(jìn)行CCDL實(shí)現(xiàn)信號(hào)源的數(shù)據(jù)表決，表決值送入控制律進(jìn)行計(jì)算，最終輸出控制指令。監(jiān)控部分由信號(hào)源監(jiān)控器、計(jì)算機(jī)監(jiān)控器、伺服回路監(jiān)控器組成，其中計(jì)算機(jī)監(jiān)控由節(jié)點(diǎn)機(jī)內(nèi)的命令和監(jiān)控支路進(jìn)行互比實(shí)現(xiàn)，監(jiān)控結(jié)果在下一拍影響表決。

圖4 余度工作模型

在工作方式一中，系統(tǒng)采用節(jié)點(diǎn)機(jī)內(nèi)先表決，節(jié)點(diǎn)機(jī)間后表決的方式，首先對(duì)節(jié)點(diǎn)機(jī)內(nèi)的兩個(gè)處理器的采集值取均值C1、C2、C3，然后進(jìn)行交叉表決形成表決值，經(jīng)過(guò)控制律計(jì)算形成控制指令，在智能接口模塊中進(jìn)行輸出指令表決。

在工作方式二中，系統(tǒng)采用節(jié)點(diǎn)機(jī)間先表決，節(jié)點(diǎn)機(jī)內(nèi)后表決的方式，每個(gè)節(jié)點(diǎn)機(jī)內(nèi)CPU1進(jìn)行交叉互比，取中間值作為表決值C1，所有CPU2進(jìn)行多數(shù)表決形成表決值C2，節(jié)點(diǎn)機(jī)內(nèi)的兩個(gè)處理器取均值，形成輸入最終表決值參加控制律計(jì)算，控制指令在智能接口模塊中進(jìn)行輸出指令表決。

監(jiān)控管理對(duì)系統(tǒng)輸入、輸出、工作狀態(tài)以及主要資源均進(jìn)行監(jiān)控，監(jiān)控管理的主要職責(zé)是監(jiān)控的合理配置和調(diào)度。運(yùn)行狀態(tài)監(jiān)控是分解系統(tǒng)運(yùn)行狀態(tài)，并對(duì)各狀態(tài)進(jìn)行監(jiān)控的一種有效方法。建立系統(tǒng)有效狀態(tài)字，建立資源運(yùn)行狀態(tài)字，建立硬件模塊有效狀態(tài)字。

容錯(cuò)機(jī)制如下：

1)單通道內(nèi)部任何模塊(包括2個(gè)核心處理模塊)發(fā)生任何故障，會(huì)導(dǎo)致本通道的失效。

2)系統(tǒng)采用3×2余度工作模式，即：無(wú)故障時(shí)，系統(tǒng)采用多數(shù)表決方式工作；單節(jié)點(diǎn)機(jī)故障時(shí)，系統(tǒng)降級(jí)為雙余度節(jié)點(diǎn)機(jī)工作模式；兩個(gè)節(jié)點(diǎn)機(jī)接連故障時(shí)，系統(tǒng)進(jìn)入單節(jié)點(diǎn)機(jī)監(jiān)控支路對(duì)(命令支路與監(jiān)控支路)的工作模式；3個(gè)節(jié)點(diǎn)機(jī)均故障時(shí)，系統(tǒng)進(jìn)入單模塊安全保護(hù)工作模式。

3)系統(tǒng)能容忍2次連續(xù)發(fā)生的惡意故障的影響。

5 系統(tǒng)構(gòu)架的可靠性分析

為了對(duì)上述容錯(cuò)計(jì)算機(jī)構(gòu)架的可靠性進(jìn)行定量分析，采用了基于模型的分析手段，為此建立了基于simics的容錯(cuò)計(jì)算機(jī)數(shù)字模型，通過(guò)數(shù)字模型的分析以及硬件的假設(shè)條件，實(shí)現(xiàn)對(duì)系統(tǒng)構(gòu)架地可靠性能力的描述。

“3×2”余度系統(tǒng)容錯(cuò)策略模型如圖5所示，容錯(cuò)機(jī)制如下：

1)單通道內(nèi)部任何模塊(包括2個(gè)CPU模塊)發(fā)生任何故障，會(huì)導(dǎo)致本通道的失效。

2)系統(tǒng)采用3×2余度工作模式，即：無(wú)故障時(shí)，系統(tǒng)采用多數(shù)表決方式工作；單通道故障，系統(tǒng)采用雙通道互監(jiān)控工作模式；兩通道故障，系統(tǒng)轉(zhuǎn)入單通道工作模式。

圖5 系統(tǒng)容錯(cuò)策略模型

系統(tǒng)的失效率F計(jì)算公式如下：

(1)

“3×2”余度容錯(cuò)系統(tǒng)中，出現(xiàn)第1次故障時(shí)可以通過(guò)自監(jiān)測(cè)對(duì)或表決策略隔離通道，可以認(rèn)為第1次故障的測(cè)試覆蓋率C=1。若再次出現(xiàn)故障，則通過(guò)自監(jiān)測(cè)對(duì)互比隔離通道。若再次出現(xiàn)故障，僅剩的一個(gè)通道將無(wú)法實(shí)施表決，只能依靠機(jī)內(nèi)自測(cè)試來(lái)隔離故障通道。若單機(jī)的故障覆蓋C=0，“3×2”余度系統(tǒng)僅具有FO/FO/容錯(cuò)等級(jí)，如果單通道C=1時(shí)，三余度系可實(shí)現(xiàn)FO/FO/FO的容錯(cuò)等級(jí)?！?×2”余度構(gòu)型可靠性模型如圖6所示。表1為系統(tǒng)構(gòu)型的可靠性計(jì)算結(jié)果。

圖6 “3×2”余度構(gòu)型可靠性模型

屬性“3×2”余度任務(wù)時(shí)間2小時(shí)失效率λCPM60.3285/106小時(shí);失效率λIOM24.011/106小時(shí);失效率ΛNSM22.2455失效數(shù)/106小時(shí);失效率λPSM28.946失效數(shù)/106小時(shí);容錯(cuò)策略第1次故障表決檢測(cè)和隔離第2次故障2次互比較檢測(cè)、自測(cè)試隔離第3次故障互比較檢測(cè)、自測(cè)試隔離,系統(tǒng)重構(gòu)容錯(cuò)模式FO/FO/FSλT195.86cT98.614%c1100%c299.981%c398.614%F7.78027E-11

“3×2”余度構(gòu)型既可實(shí)現(xiàn)很高的故障檢測(cè)率，占用較少的硬件資源可以實(shí)現(xiàn)極高的任務(wù)可靠性，雙處理器的構(gòu)型降低了軟件的復(fù)雜度，并在計(jì)算吞吐量也有較大的優(yōu)勢(shì)，在安全性方面能滿足兩次故障工作(FO/FO/FS)的要求。

6 測(cè)試與驗(yàn)證

為了進(jìn)一步驗(yàn)證該構(gòu)型飛管計(jì)算機(jī)的容錯(cuò)能力，建立了一個(gè)集開(kāi)發(fā)、系統(tǒng)仿真、測(cè)試及綜合為一體的容錯(cuò)計(jì)算機(jī)綜合測(cè)試、驗(yàn)證及演示平臺(tái)(以下簡(jiǎn)稱為平臺(tái))。平臺(tái)支持余度容錯(cuò)計(jì)算機(jī)的設(shè)計(jì)與分析、軟件開(kāi)發(fā)、系統(tǒng)綜合和測(cè)試、以及演示驗(yàn)證的功能，實(shí)現(xiàn)對(duì)容錯(cuò)計(jì)算機(jī)系統(tǒng)的研究，包括軟/硬件測(cè)試方法、故障檢測(cè)方法、故障隔離方法、故障恢復(fù)方法等方面的研究。同時(shí)，可對(duì)容錯(cuò)計(jì)算機(jī)系統(tǒng)提出定量的分析，包括在采用不同的處理器系列、不同的余度結(jié)構(gòu)的容錯(cuò)計(jì)算機(jī)下，系統(tǒng)的可靠性分析、可用性分析、維護(hù)性分析。

測(cè)試驗(yàn)證環(huán)境采用模擬飛行控制與管理系統(tǒng)(VCMS)，包括：飛行仿真環(huán)境、視景演示環(huán)境、故障注入與監(jiān)控環(huán)境、調(diào)試環(huán)境四部分組成。

飛行仿真環(huán)境：對(duì)飛機(jī)空氣動(dòng)力學(xué)特性進(jìn)行仿真；解算飛機(jī)的非線性全量運(yùn)動(dòng)方程；仿真飛機(jī)從起飛到著陸的飛行全過(guò)程運(yùn)動(dòng)參數(shù)；為飛行控制與管理計(jì)算機(jī)提供主要飛行參數(shù)及大氣數(shù)據(jù)模擬；仿真飛機(jī)舵機(jī)控制系統(tǒng)響應(yīng)飛行控制命令，通過(guò)模型解算出飛機(jī)運(yùn)動(dòng)響應(yīng)，并反饋到飛控軟件構(gòu)成閉環(huán)控制回路；接收故障注入信息發(fā)送給目標(biāo)機(jī)。

視景演示環(huán)境：建立三維地景模型數(shù)據(jù)庫(kù)、三維飛機(jī)實(shí)體模型數(shù)據(jù)庫(kù)和平顯模型庫(kù)，接收飛行參數(shù)并進(jìn)行必要的坐標(biāo)轉(zhuǎn)換，從而實(shí)時(shí)生成并驅(qū)動(dòng)左、中、右3個(gè)通道的三維場(chǎng)景畫(huà)面，同時(shí)對(duì)氣象、特效等進(jìn)行模擬。

故障注入與監(jiān)控環(huán)境：包括對(duì)飛機(jī)飛行姿態(tài)的監(jiān)控、目標(biāo)機(jī)運(yùn)行狀態(tài)監(jiān)控和故障告警，另外實(shí)現(xiàn)對(duì)容錯(cuò)關(guān)鍵技術(shù)的故障注入，通過(guò)故障注入監(jiān)控目標(biāo)機(jī)對(duì)故障的處理與重構(gòu)；

調(diào)試環(huán)境：包括檢測(cè)臺(tái)和調(diào)試開(kāi)發(fā)平臺(tái)兩部分，實(shí)現(xiàn)對(duì)節(jié)點(diǎn)機(jī)操作系統(tǒng)的配置和應(yīng)用軟件、飛行控制軟件的開(kāi)發(fā)，以及對(duì)ARINC 659總線的檢測(cè)，結(jié)合檢測(cè)臺(tái)實(shí)現(xiàn)對(duì)目標(biāo)機(jī)硬件環(huán)境的檢測(cè)。

原型系統(tǒng)包含3臺(tái)容錯(cuò)節(jié)點(diǎn)計(jì)算機(jī)、系統(tǒng)總線仿真卡、電纜等。

在上述測(cè)試驗(yàn)證平臺(tái)下，完成了對(duì)ARINC659總線關(guān)鍵技術(shù)的測(cè)試和驗(yàn)證。對(duì)三節(jié)點(diǎn)飛管功能的測(cè)試，驗(yàn)證了三節(jié)點(diǎn)系統(tǒng)架構(gòu)滿足飛機(jī)的飛行控制與管理基本功能，對(duì)接口故障、處理器故障的容錯(cuò)功能測(cè)試，證明系統(tǒng)具備至少2次故障工作的能力，對(duì)故障靜默等能力的測(cè)試，證明系統(tǒng)可用性等性能指標(biāo)滿足要求，解決了當(dāng)系統(tǒng)發(fā)生故障時(shí)，在系統(tǒng)現(xiàn)有資源狀況下，在保證系統(tǒng)關(guān)鍵任務(wù)的條件下，系統(tǒng)功能的緩慢降級(jí)，達(dá)到系統(tǒng)當(dāng)前資源與系統(tǒng)工作模式的最佳匹配，從提高重構(gòu)決策速度及提高關(guān)鍵數(shù)據(jù)管理水平兩方面著手提高故障恢復(fù)速度及完整。

7 結(jié)論

新型基于ARINC 659總線的容錯(cuò)計(jì)算機(jī)的設(shè)計(jì)有別于傳統(tǒng)容錯(cuò)計(jì)算機(jī)基于通道的容錯(cuò)方式，采用了多數(shù)表決分級(jí)監(jiān)控的監(jiān)控對(duì)容錯(cuò)架構(gòu)，提出的局部非相似容錯(cuò)設(shè)計(jì)思路，進(jìn)一步提升了系統(tǒng)的任務(wù)可靠性，可滿足我國(guó)新一代航空飛行器對(duì)飛行器管理計(jì)算平臺(tái)的需求，對(duì)于提升我國(guó)航空電子設(shè)備水平，打破國(guó)外封鎖和技術(shù)壟斷具有非常重要的意義。

[1] 牛文生.機(jī)載計(jì)算機(jī)技術(shù)[M].北京：航空工業(yè)出版社,2013.

[2] 羅志強(qiáng).航空電子綜合化系統(tǒng)[M].北京：北京航空航天大學(xué)出版社,1990.

[3] Moir I, Seabridde A. Military Avionics Systems[M]. UK: John Wiley and Sons Ltd,2006.

[4] 沈功璋,高金源,張 津.飛機(jī)綜合控制與飛行管理[M].北京：北京航空航天大學(xué)出版社,2008.

[5] 石改輝,張 原.下一代航空數(shù)據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)研究[J].電子工程,2006(4).

[6] ARINC 659背板數(shù)據(jù)總線規(guī)范(ARINC -659-1993)[Z]. 美國(guó)航空電子工程師協(xié)會(huì), 1993.

[7] 張喜民,魏 婷. ARINC 659 背板數(shù)據(jù)總線應(yīng)用研究[J]. 航空計(jì)算技術(shù), 2011,41(5):105-109.

[8] 王樹(shù)義,南建國(guó),趙松云.綜合化航電核心處理系統(tǒng)容錯(cuò)設(shè)計(jì)[J]. 計(jì)算機(jī)測(cè)量與控制, 2012,20(8):2248-2250.

[9] B Triquet, “Mixed Criticality in Avionics, Memorandum”[Z]. Airbus, RefX42ME1201821, 2012.

[10] 周耀榮.用于綜合化模塊化航電系統(tǒng)的高安全性虛擬分布式計(jì)算機(jī)系統(tǒng)[R]. 中國(guó)航空工業(yè)第631研究所,2008.

[11] Distler T, Kapitza R. Increasing performance in Byzantine fault-tolerant systems with on-demand replica consistency[A].In Proceedings of the 6th EuroSys Conference[C]. 2011.

[12] 徐拾義.可信計(jì)算系統(tǒng)設(shè)計(jì)和分析[M].北京：清華大學(xué)出版社, 2006.

Design and Implementation of a New Vehicle Management Computer

Xie Wentao，Wang Rui

(Aeronautical Computing Technique Research Institute， Xi’an 710119，China)

For integrated requirement of the vehicle management computer about new generation fighter plane, at home and abroad, the researching of technology for the Innovative fault-tolerant computers system is developing.The ARINC659 backplane bus is famous as a key shared resource in the integrated avionics system, and it has remarkable advantages such as real time, throughput, immunity and tolerance from various upsets in a harsh environment. It is slated to become the standard backplane bus for commercial avionics, and the backplane bus is one of the key technologies in integrated modular avionics system. Lately years, consequently the research of fault tolerant computers based on ARINC659 is key point and hot point in the high dependable avionics system. The paper indicates the new fault tolerant computer architecture based on ARINC659, redundant management, fault diagnosis and seclusion.

integration; fault tolerance; redundancy management; backplane bus; ARINC659

2016-01-08；

2016-02-15。

解文濤(1977-)，男，陜西西安人，高級(jí)工程師，主要從事計(jì)算機(jī)應(yīng)用方向的研究。

1671-4598(2016)07-0190-05

：10.16526/j.cnki.11-4762/tp

TP391 文獻(xiàn)標(biāo)識(shí)碼：A