鐘文玲，吳文海，于守淼

（海軍航空工程學(xué)院青島校區(qū),266041）

0 引言

引導(dǎo)計算機是引導(dǎo)系統(tǒng)的核心，要對設(shè)備進(jìn)行管理，還要實現(xiàn)對飛行的實時控制，其可靠性對引導(dǎo)起著關(guān)鍵的作用?？煽啃院凸收先菹奘窍到y(tǒng)結(jié)構(gòu)設(shè)計時必須關(guān)注的重要因素。為了提高引導(dǎo)系統(tǒng)的性能及安全性，通常進(jìn)行系統(tǒng)設(shè)計時采用余度技術(shù)。

為了提高計算機系統(tǒng)的可靠性，應(yīng)從軟件和硬件功能上采取措施。通常采用余度技術(shù)來解決硬件的隨機故障，即在N個相同重復(fù)的硬件通道上采用同一個程序運行。這些措施對于提高系統(tǒng)硬件的可靠性是十分有效的。

但僅簡單的資源重復(fù)對于發(fā)生軟、硬件設(shè)計或規(guī)范等錯誤，達(dá)不到容錯目的，因為這些錯誤會導(dǎo)致同一操作對象或工作單元在同一時刻產(chǎn)生相同的故障結(jié)果；而要檢測隔離這種錯誤，采用各余度之間的交叉通道監(jiān)控的方法來也是不可能的，因為系統(tǒng)本身會因為各個結(jié)果相同而認(rèn)為所有的余度都正確，從而可能造成災(zāi)難性后果。

故可采用非相似余度（dissimilar redundancy）設(shè)計技術(shù)，來避免共性故障導(dǎo)致的嚴(yán)重后果。該技術(shù)的基礎(chǔ)是由完全獨立的工作組使用不同的開發(fā)語言、不同的開發(fā)工具，使用獨立性的硬件設(shè)計和獨立的軟件開發(fā)，在不同的處理器上運行。這樣各個余度之間所出現(xiàn)獨立的故障，從而避免共性故障。

1 引導(dǎo)計算機方案設(shè)計

1.1 引導(dǎo)計算機功能需求

引導(dǎo)計算機將引導(dǎo)雷達(dá)、綜合導(dǎo)航系統(tǒng)和其它相關(guān)系統(tǒng)傳感器的測量信息綜合，進(jìn)行運動穩(wěn)定處理以及偏差、指令的檢測、解算及決策，將引導(dǎo)信息／指令傳輸給信號發(fā)射機、引導(dǎo)臺及指揮設(shè)備。

依據(jù)GJB飛行安全可靠性要求，由于控制系統(tǒng)故障導(dǎo)致飛機任務(wù)失效的概率一般不大于10-5，計算機故障導(dǎo)致任務(wù)失效的概率應(yīng)小于l0-6/飛行小時，飛機損失概率應(yīng)小于10-8/飛行小時。

1.2 引導(dǎo)計算機結(jié)構(gòu)

引導(dǎo)計算機系統(tǒng)有3個完全相同的數(shù)字式主引導(dǎo)控制計算機通道（左、中、右），每個通道有3個支路。在整個引導(dǎo)計算機系統(tǒng)中，共使用9個CPU，每個通道之間采用數(shù)據(jù)總線通訊。各支路包括3個印刷電路板模塊，分別為處理器模塊、輸入/輸出模塊（I/O接口單元）及電源模塊。每個支路的處理器型號、處理器的硬件接口及其外圍電路都不相同。每個支路的軟件采用的編譯器也不同。輸入輸出模塊包含3個數(shù)據(jù)總線終端。

1.3 引導(dǎo)計算機系統(tǒng)的工作

引導(dǎo)計算機的所有通道全部投入工作，每個處理器都獲得并計算所有傳感器系統(tǒng)的信息。計算機和總線被分為3組（左、中、右），各通道同時監(jiān)聽3組總線，但傳送數(shù)據(jù)只能夠是同組的總線。任意一組的的正常工作都不會受到另外兩組總線傳送錯誤或者故障的影響。

每個計算機通道分為3個支路，分別被分配為指令支路、備用支路和監(jiān)控支路。指令支路負(fù)責(zé)將全部數(shù)據(jù)傳送到它指定的數(shù)據(jù)總線，備用支路和監(jiān)控支路主要執(zhí)行監(jiān)控功能和支路余度管理任務(wù)。備用支路和監(jiān)控支路取代指令支路執(zhí)行其失效時的任務(wù)。當(dāng)任意一個再次發(fā)生故障時，計算機將斷開輸出。

左、中、右3個通道以異步方式工作，通道內(nèi)的各個支路同步工作，用于控制律計算處理時使用完全相同的輸入數(shù)據(jù)，模態(tài)、傳感器狀態(tài)和積分器均衡數(shù)據(jù)可以相互交換，以保證每個通道工作不產(chǎn)生分歧。每個指令支路使用自己的數(shù)據(jù)，單獨計算關(guān)鍵的輸出參數(shù)，并將其傳送到對應(yīng)的數(shù)據(jù)總線。

1.4 引導(dǎo)計算機系統(tǒng)的非相似余度技術(shù)

為保證安全，引導(dǎo)計算機系統(tǒng)引入非相似余度技術(shù)的理念。由完全獨立的工作組采用獨立性的硬件設(shè)計和獨立的軟件開發(fā)，使用的開發(fā)語言及開發(fā)工具不同，并在不同的處理器上運行，避免共性故障的發(fā)生。

引導(dǎo)計算機系統(tǒng)的左、中、右3個通道相互獨立，分別由三部分組成：數(shù)據(jù)采集、數(shù)椐處理和數(shù)據(jù)輸出部分。由數(shù)據(jù)采集接口單元組成數(shù)據(jù)采集部分，由中央處理單元組成數(shù)據(jù)處理部分， 3個通信接口單元組成數(shù)據(jù)輸出部分，與3個數(shù)據(jù)處理部分一起組成數(shù)據(jù)交叉、輸出鏈路。

每個通道的3個支路使用了非相似的中央處理單元，選用不同的處理器，對應(yīng)的接口電路和編譯程序也不同。為了在指令這一級上避免相同機器指令的共性故障，可以由3個指令不同的CPU來完成；另外，采用非相似性來保證使硬件系統(tǒng)中的共性故障發(fā)生的概率達(dá)到最小限度。采用的CPU分3組分別進(jìn)行設(shè)計，因而使用的芯片的結(jié)構(gòu)不同，計算機的結(jié)構(gòu)也不盡一樣，?？朔耸褂孟嗤瑥S家生產(chǎn)的硬件設(shè)備所帶來的必然的共性故障。

在功能上，3個支路的非相似處理器模塊完全相同。在系統(tǒng)運行的初始時刻，指令支路由每臺計算機選擇非相似的支路完成。每臺計算機的輸入數(shù)據(jù)從3余度數(shù)據(jù)總線來接收，數(shù)據(jù)總線為分時復(fù)用系統(tǒng)，同一時刻只允許一個終端發(fā)送數(shù)據(jù)，可以連接多個終端。用3種不同的定時協(xié)議來保證當(dāng)一個終端發(fā)送完數(shù)據(jù)后，總線上的其他終端都有機會發(fā)送數(shù)據(jù)。其他所有終端發(fā)送完數(shù)據(jù)后，這個終端才能再次發(fā)送數(shù)據(jù)。

每個支路的軟件采用的編譯器及軟件都是非相似的，從而避免了使用相同編譯器及軟件而產(chǎn)生的共性故障。

2 引導(dǎo)計算機系統(tǒng)可靠性分析

假設(shè)各支路內(nèi)所有硬件模塊之間有相對獨立的故障，不考慮軟硬件設(shè)計錯誤；可假設(shè)各支路運行相對獨立的軟件故障，通道內(nèi)各支路采用軟件非相似(SW1，SW2，SW3)。系統(tǒng)結(jié)構(gòu)為一個串-并聯(lián)模型。具有電源、中央處理單元、I/O接口單元3個硬件模塊及軟件共4個環(huán)節(jié)的串聯(lián)結(jié)構(gòu)，每個子系統(tǒng)分別由3個并聯(lián)的非相似冗余單元組成。

由于電子產(chǎn)品的失效一般都服從指數(shù)分布，因此假設(shè)系統(tǒng)所有硬件失效均服從故障率為常數(shù)的指數(shù)分布；軟件投入使用后，失效概率也可假設(shè)服從指數(shù)分布，故障率為常數(shù)。

對于相似余度系統(tǒng)，有各個相同的通道，通道內(nèi)有各個相似的支路，當(dāng)發(fā)生共性故障時，3個支路同時失效，此時，系統(tǒng)的可靠性會降低到單個支路的可靠度級別（8.2x 10-4/小時），不能滿足系統(tǒng)的可靠性要求。而采用非相似余度技術(shù)，可以大大的提高主引導(dǎo)計算機的可靠性，在規(guī)定的任務(wù)期間，引導(dǎo)計算機任務(wù)失效率不大于10-6/小時，應(yīng)該能夠滿足系統(tǒng)的要求。

3 結(jié)論

該系統(tǒng)采用非相似余度技術(shù)，在并聯(lián)運行的每一個余度通道中，嵌入三個非相似硬件的子通道，構(gòu)成高容錯能力和高生存性的余度結(jié)構(gòu)，能夠滿足引導(dǎo)計算機的安全可靠性要求。

系統(tǒng)設(shè)計有以下幾個方面的優(yōu)點：

(1)系統(tǒng)的結(jié)構(gòu)簡單、易于擴充。采用規(guī)范的開放式、模塊標(biāo)準(zhǔn)化設(shè)計，能以簡單的、覆蓋率高的監(jiān)控判定本通道的故障，避免交叉通道數(shù)據(jù)傳輸和通道內(nèi)自監(jiān)控電路的復(fù)雜性，使系統(tǒng)結(jié)構(gòu)規(guī)范、簡單、擴充性好。

(2)系統(tǒng)的安全性好。系統(tǒng)結(jié)構(gòu)采用非相似余度設(shè)計技術(shù)，余度單元在位置上分離，可以避免同區(qū)域的故障；在功能上分離，同時采用的硬件、控制/監(jiān)控功能、硬件/軟件設(shè)計小組、編譯器等均為非相似結(jié)構(gòu)，使得任一單元的故障并不能影響其他單元的工作。

(3)系統(tǒng)的容錯性好。采用分布式結(jié)構(gòu)，每個設(shè)備都具有智能處理能力，使得系統(tǒng)的自檢測(BIT)能力得到擴充，各個設(shè)備具有局部的故障預(yù)測能力，因此系統(tǒng)具有較強的容錯性。

(4)系統(tǒng)的可靠性高。非相似余度設(shè)計在不同的處理器硬件上運行，使用的工作組、開發(fā)語言、開發(fā)工具均完全獨立，這樣可以避免出現(xiàn)硬件、軟件共性故障帶來的嚴(yán)重后果，提高了引導(dǎo)系統(tǒng)的任務(wù)安全可靠性。

[1]吳文海,飛行綜合控制系統(tǒng)[M].北京:航空工業(yè)出版社 ,2007:218～224.

[2]柯林斯著,吳文海,程傳金譯.飛行綜合駕駛系統(tǒng)導(dǎo)論[M].北京:航空工業(yè)出版社,2009:131～139

[3]車元媛.電子商務(wù)模擬平臺與設(shè)計[J].鞍山師范學(xué)院學(xué)報.2011,13(2):53～55

[4]陳宗基等.非相似余度飛控計算機[J].航空學(xué)報.2005,26(3):320～327

[5]曾聲奎，可靠性設(shè)計與分析[M].國防工業(yè)出版社.2011:20～27

[6]U Dinesh Kumar等編.可靠性、維修與后勤保障-壽命周期方法[M].北京：電子工業(yè)出版社，2010：65～68.