蘇羅輝，牛 萌，劉 坤

(1.飛行器控制一體化技術(shù)國防科技重點(diǎn)實(shí)驗(yàn)室，陜西西安710065;2.中航工業(yè)西安飛行自動(dòng)控制研究所，陜西西安710065)

0 引言

計(jì)算機(jī)系統(tǒng)按操作被調(diào)度執(zhí)行的方式分為以下2種方式，即事件觸發(fā)方式和時(shí)間觸發(fā)方式。所謂“事件觸發(fā)”是指一個(gè)系統(tǒng)的某項(xiàng)任務(wù) (數(shù)據(jù)傳輸、進(jìn)程調(diào)用等)可以在任何可能的時(shí)刻觸發(fā)執(zhí)行，觸發(fā)的條件完全取決于控制器“認(rèn)為”此項(xiàng)任務(wù)應(yīng)該得到執(zhí)行，觸發(fā)的時(shí)刻點(diǎn)可能是隨機(jī)的;而“時(shí)間觸發(fā)”系統(tǒng)行為與之相反，系統(tǒng)任務(wù)的觸發(fā)執(zhí)行完全在系統(tǒng)設(shè)計(jì)階段已經(jīng)預(yù)定義好的時(shí)刻進(jìn)行［1］。

事件觸發(fā)系統(tǒng)的弊端是將寶貴的時(shí)間用來解決資源共享沖突或者恢復(fù)操作，這樣增加了系統(tǒng)的復(fù)雜性，導(dǎo)致龐大的代碼結(jié)構(gòu)。作為飛行安全關(guān)鍵系統(tǒng)，這樣的代碼長度及復(fù)雜性難于進(jìn)行測試驗(yàn)證，勢必會帶來在安全性和可靠性上的損失。而時(shí)間觸發(fā)方式的出現(xiàn)為這些問題提供很好的解決方法。本文以時(shí)間觸發(fā)協(xié)議的特點(diǎn)為基礎(chǔ)，主要研究了以ARINC 659時(shí)間觸發(fā)串行背板數(shù)據(jù)總線為基礎(chǔ)的計(jì)算機(jī)系統(tǒng)的體系架構(gòu)。

1 事件觸發(fā)與時(shí)間觸發(fā)系統(tǒng)比較

事件觸發(fā)和時(shí)間觸發(fā)各自具有最佳適用領(lǐng)域，事件觸發(fā)系統(tǒng)的特點(diǎn)是具有較強(qiáng)的靈活性、適應(yīng)性較強(qiáng)，響應(yīng)也較為快速，但其主要的缺點(diǎn)在于以下幾個(gè)方面:

不確定性:當(dāng)多個(gè)外部事件同時(shí)發(fā)生時(shí)，需要通過仲裁等方式確定系統(tǒng)任務(wù)的執(zhí)行順行，因此在某個(gè)時(shí)間點(diǎn)上其可靠性和實(shí)時(shí)性設(shè)計(jì)就難以保證，由此引申出的缺點(diǎn)是在系統(tǒng)開發(fā)和測試的過程中很難充分驗(yàn)證實(shí)際系統(tǒng)運(yùn)行當(dāng)中的各種可能情況的組合，可能出現(xiàn)由于資源競爭等因?yàn)轵?yàn)證不完備帶來的系統(tǒng)崩潰的情況發(fā)生。

容易故障蔓延:事件觸發(fā)總線一般都屬于有主類系統(tǒng)，總線上某個(gè)節(jié)點(diǎn)的失效 (例如，持續(xù)占用總線或地址錯(cuò)誤造成誤寫入)很容易造成整個(gè)系統(tǒng)的失效。

不利于系統(tǒng)資源重構(gòu):事件觸發(fā)系統(tǒng)一般都是有主的系統(tǒng)，即如果總線的主控器失效，掛接在總線上的所有資源都不可用。

事件觸發(fā)系統(tǒng)以上的種種缺點(diǎn)有時(shí)在要求有極高安全等級的系統(tǒng)中是不能被接受的。而時(shí)間觸發(fā)系統(tǒng)的特點(diǎn)是具有嚴(yán)格的系統(tǒng)行為確定性與穩(wěn)定性，由此帶來的優(yōu)點(diǎn)在于:

確定性:時(shí)間觸發(fā)系統(tǒng)在設(shè)計(jì)階段就將總線資源使用與任務(wù)進(jìn)程調(diào)度計(jì)劃制定完畢，每個(gè)節(jié)點(diǎn)都在系統(tǒng)預(yù)定義的時(shí)間段使用資源，除此之外沒有第二種可能情況，使得系統(tǒng)設(shè)計(jì)與驗(yàn)證變得簡單與充分。

健壯的分時(shí)分區(qū)特征:在總線節(jié)點(diǎn)與總線間具有可靠的FCR(故障隔離邊界)，系統(tǒng)中某個(gè)節(jié)點(diǎn)的失效從時(shí)間上和空間上都極難影響到系統(tǒng)中的其它節(jié)點(diǎn)正常運(yùn)行。

利于系統(tǒng)資源重構(gòu):時(shí)間觸發(fā)系統(tǒng)中每個(gè)功能節(jié)點(diǎn)都作為資源節(jié)點(diǎn)的方式掛接在時(shí)間觸發(fā)總線上，并且時(shí)間觸發(fā)總線的運(yùn)行與維護(hù)具有無主的特征，因此任何一個(gè)功能節(jié)點(diǎn)的失效都不會對總線造成影響，并且通過余度配置，正常的功能節(jié)點(diǎn)可以較為容易地頂替失效節(jié)點(diǎn)的功能。

由于時(shí)間觸發(fā)系統(tǒng)以上種種優(yōu)點(diǎn)，使它非常適合應(yīng)用于要求具有極高安全等級的系統(tǒng)。

2 時(shí)間觸發(fā)總線介紹

安全關(guān)鍵系統(tǒng)普遍采用串行和時(shí)間觸發(fā)相結(jié)合的方式，串行時(shí)間觸發(fā)總線提供了總線上各節(jié)點(diǎn)間容錯(cuò)的時(shí)間同步和數(shù)據(jù)傳輸?shù)裙δ堋５湫偷拇袝r(shí)間觸發(fā)總線包括ARINC-659(SAFE-Bus)［2］、TTP［3］和 FlexRay［4］等。下面對其分別進(jìn)行簡要介紹:

ARINC-659:由Honeywell提出，并成功應(yīng)用于波音777的AIMS(綜合航電管理系統(tǒng))，波音717N、MD-10、KC-130等飛機(jī)的VIA(通用集成航電系統(tǒng))和NASA下一代空間探索的Highly Reliable Layered Systems系統(tǒng)［5］等多個(gè)領(lǐng)域中。

TTP/C:由奧地利TT-Tech公司提出技術(shù)標(biāo)準(zhǔn)，其最初主要是應(yīng)用于汽車控制領(lǐng)域，近年來也被航空領(lǐng)域的某些項(xiàng)目所采用。

FlexRay:近年來剛出現(xiàn)的低成本時(shí)間觸發(fā)解決方案，主要應(yīng)用于汽車領(lǐng)域。

有關(guān)這幾種時(shí)間觸發(fā)總線之間的比較，已經(jīng)有多個(gè)研究機(jī)構(gòu)對此做過詳細(xì)的分析對比［6］。在分析比較ARINC-659、TTP和FlexRay等時(shí)間觸發(fā)總線各方面的特征后，其認(rèn)為ARINC-659總線是最為成熟的時(shí)間觸發(fā)總線，對影響安全性的方面做了最少的妥協(xié);從安全性和容錯(cuò)性角度考慮，其認(rèn)為ARINC-659總線是最為可靠的。

ARINC-659總線的結(jié)構(gòu)如圖1所示，其特點(diǎn)是:

(1)四余度串行總線配置;

(2)60Mbps高數(shù)據(jù)帶寬;

(3)時(shí)間觸發(fā)驅(qū)動(dòng)的總線傳輸行為;

(4)魯棒的分時(shí)分區(qū)特性;

(5)總線二次故障工作三次故障檢測;

(6)完善的故障封鎖機(jī)制、節(jié)點(diǎn)間完全的故障隔離。

圖1 ARINC-659總線結(jié)構(gòu)框架

同傳統(tǒng)的并行背板總線相比，ARINC-659串行背板總線，不但提供了高數(shù)據(jù)傳輸帶寬，還大幅提高系統(tǒng)的可靠性和安全性要求，簡化了總線監(jiān)控方式。

為了最大化減小單點(diǎn)故障帶來對整個(gè)總線的影響，特別是為了防止BIU(總線接口單元)異常使其故障蔓延到整個(gè)總線從而導(dǎo)致的總線上其余節(jié)點(diǎn)無法正常工作，一個(gè)BIU控制器中包含了2個(gè)完全相同的獨(dú)立封裝的BIU芯片，分別標(biāo)識為BIUx和BIUy，BIUx和BIUy各自擁有獨(dú)立的晶振和存儲表程序的EEPROM，2個(gè)BIU在工作時(shí)處于互監(jiān)控的工作模式，并控制對方的發(fā)送使能，一旦發(fā)現(xiàn)異常，則會切斷對方的輸出，因此2個(gè)BIU互監(jiān)控這種方式構(gòu)成了背板上每個(gè)總線節(jié)點(diǎn)和背板之間的嚴(yán)格的故障封鎖邊界(fault containment region)，保證總線節(jié)點(diǎn)內(nèi)部的故障不會蔓延到整個(gè)背板上。

3 基于ARINC-659的時(shí)間觸發(fā)總線

隨著計(jì)算機(jī)技術(shù)的發(fā)展，航空電子系統(tǒng)結(jié)構(gòu)發(fā)生了極大的變革，IMA(綜合模塊化航空電子系統(tǒng))被廣泛的應(yīng)用于飛機(jī)控制系統(tǒng)中［7，8］。采用IMA的系統(tǒng)具有高可靠性、維修性，減小了重量和體積，降低了系統(tǒng)的維修和全壽命周期費(fèi)用等。

ARINC-659總線規(guī)范是為綜合的模塊化航空電子設(shè)備、機(jī)柜內(nèi)現(xiàn)場可更換模塊間數(shù)字?jǐn)?shù)據(jù)信息傳輸制訂的規(guī)范標(biāo)準(zhǔn)，是針對外場可更換模塊 (line replacemodule，LRM)的要求制定的規(guī)范，描述了綜合的模塊化航空電子設(shè)備背板總線所需的電特性和總線特性，規(guī)范詳細(xì)規(guī)定了總線的協(xié)議、時(shí)序、速率和物理特性。

ARINC-659總線規(guī)范應(yīng)用于機(jī)柜內(nèi)部通訊，補(bǔ)充了ARINC-429、ARINC-629，ARINC-636，ARINC-646等機(jī)柜外部部件間通訊的協(xié)議。

綜合的模塊化航空電子設(shè)備的背板總線必須具有很高的可靠性和故障容錯(cuò)性，故障容錯(cuò)性指提供需要功能的能力和發(fā)生一個(gè)或多個(gè)故障后通過某種方式繼續(xù)工作的能力。ARINC-659總線通過最小的邏輯和最小的總線數(shù)來提高可靠性，通過極高的故障檢測覆蓋率和故障冗余來提高故障容錯(cuò)性。ARINC-659總線是一種高度完備的背板總線，具有以下幾個(gè)主要特點(diǎn):

(1)總線具有故障容忍和健壯的時(shí)間 (總線信息傳輸?shù)臅r(shí)間)與空間 (存儲空間)分區(qū)功能;

(2)總線是串行背板總線，從而減少了硬件資源，簡化了使用和總線監(jiān)控，較大的提高了可靠性。它支持雙余度，具有自監(jiān)控能力，通過交叉檢測進(jìn)一步提高了數(shù)據(jù)的可靠性;

(3)總線是半雙工的串行數(shù)據(jù)總線，是對-對配置的總線，即A、B總線，每對總線含有x和y這2套總線，共有Ax、Ay、Bx、By這4套總線，每套總線含有一個(gè)獨(dú)立的時(shí)鐘和2條數(shù)據(jù)線，同時(shí)傳輸2位數(shù)據(jù)，因此完整的總線包含12條信號線。總線主要是通過選舉輸入的方法進(jìn)行故障檢測的，具有故障冗余和故障隔離的能力。余度總線支持延期維護(hù)、擴(kuò)展維護(hù)、告警期功能;

(4)總線采用同步串行方式，時(shí)鐘速率30MHz，數(shù)據(jù)線同時(shí)傳輸2位?？偩€使用BTL總線驅(qū)動(dòng)器，BTL驅(qū)動(dòng)器是集電極開路器件，具有線或能力。

ARINC-659時(shí)間觸發(fā)協(xié)議保證了系統(tǒng)的確定性，極大提高了系統(tǒng)的穩(wěn)定性、可測試性和功能驗(yàn)證?；贏RINC-659時(shí)間觸發(fā)協(xié)議的系統(tǒng)非常適合對安全性有極嚴(yán)格要求的工程項(xiàng)目，例如:航空與航天領(lǐng)域。

4 時(shí)間觸發(fā)架構(gòu)

實(shí)時(shí)分布式高可靠系統(tǒng)的最適合的方式是使用支持容錯(cuò)的特殊硬件和在硬件之上實(shí)現(xiàn)的操作系統(tǒng)。時(shí)間觸發(fā)架構(gòu) (time-triggered architecture，TTA)也不例外，時(shí)間觸發(fā)架構(gòu)等于時(shí)間觸發(fā)總線加上時(shí)間觸發(fā)操作系統(tǒng)。

在每一個(gè)節(jié)點(diǎn)中，主計(jì)算機(jī)和通信控制器是完全獨(dú)立的自主運(yùn)行 (有時(shí)并不一定)，時(shí)間觸發(fā)總線僅描述了時(shí)間觸發(fā)的通信方式，并沒有對主機(jī)有任何約束。所以，主機(jī)可以在任何時(shí)間取得CNI的數(shù)據(jù)，也可以在任何時(shí)間處理任務(wù)，并將數(shù)據(jù)在任何時(shí)間 (需要保持互斥機(jī)制)放在CNI中。時(shí)間觸發(fā)架構(gòu) (TTA)將時(shí)間觸發(fā)方式從通信層次擴(kuò)展到了主機(jī)應(yīng)用上。在TTA中，任務(wù)的執(zhí)行由時(shí)間觸發(fā)操作系統(tǒng)管理，每個(gè)節(jié)點(diǎn)中另一個(gè)調(diào)度 (任務(wù)描述列表TADL)控制任務(wù)的執(zhí)行。消息描述列表 (MEDL)是全局的，而TADL是節(jié)點(diǎn)級的。也就是說，消息被接收后，使用該消息的任務(wù)開始運(yùn)行，任務(wù)完成后，輸出結(jié)果，如圖2所示。

時(shí)間觸發(fā)架構(gòu)具有以下特點(diǎn):

(1)具有全局時(shí)鐘，整個(gè)分布式系統(tǒng)可以構(gòu)建以全局時(shí)鐘為基礎(chǔ)的應(yīng)用調(diào)度框架;

(2)完全分布式，應(yīng)用任務(wù)可以靈活地分布于任何一個(gè)計(jì)算單元之中，應(yīng)用分配的粒度可以更小;應(yīng)用任務(wù)的分配可以做到對用戶的完全透明。用戶如果沒有看到配置表，可能并不知道應(yīng)用任務(wù)在哪個(gè)節(jié)點(diǎn)上運(yùn)行;

(3)支持任意余度配置、支持異構(gòu)的硬件和軟件，任務(wù)間通信或者不同節(jié)點(diǎn)之間的通信均是時(shí)間觸發(fā)的消息;

(4)任務(wù)的啟動(dòng)都是采用時(shí)間激活，每個(gè)任務(wù)都有一定的任務(wù)運(yùn)行時(shí)間，任務(wù)從來不等待;

(5)基于分布式，可以由多個(gè) (節(jié)點(diǎn))合作并行完成一個(gè)復(fù)雜應(yīng)用，可有效降低節(jié)點(diǎn)處理能力需求。

以下是一個(gè)簡單的時(shí)間觸發(fā)結(jié)構(gòu)圖，如圖3所示。

5 時(shí)間觸發(fā)操作系統(tǒng)

時(shí)間觸發(fā)系統(tǒng)是一個(gè)嚴(yán)格的硬實(shí)時(shí)系統(tǒng)，它要求，系統(tǒng)運(yùn)行過程嚴(yán)格的按照預(yù)先設(shè)計(jì)的時(shí)間表運(yùn)行，任何違背時(shí)間域出現(xiàn)的值都認(rèn)為是錯(cuò)誤的，因而時(shí)間觸發(fā)系統(tǒng)是實(shí)現(xiàn)高可靠計(jì)算機(jī)控制系統(tǒng)一個(gè)很好的選擇。

圖2 時(shí)間觸發(fā)架構(gòu)下的收發(fā)時(shí)序

圖3 時(shí)間觸發(fā)架構(gòu)

隨著可靠性的提高，目前國際上對一些安全關(guān)鍵的電傳系統(tǒng)，都在研究采用時(shí)間觸發(fā)的架構(gòu)來設(shè)計(jì)實(shí)現(xiàn)，從而保證在值域和時(shí)域都是正確。同時(shí)對操作系統(tǒng)也提出了更高的可靠性需求。高可靠操作系統(tǒng)的需求包括以下幾點(diǎn):

(1)確保任務(wù)的時(shí)間約束;

(2)支持高可靠應(yīng)用領(lǐng)域的需要 (支持錯(cuò)誤偵測、死線監(jiān)視等);

(3)運(yùn)行時(shí)的計(jì)算最小化，以便更安全;

(4)提供一個(gè)簡單的可預(yù)測的環(huán)境。

時(shí)間觸發(fā)操作系統(tǒng)確保分布式系統(tǒng)的節(jié)點(diǎn)以同步的方式來執(zhí)行其活動(dòng)，而且這些活動(dòng)必須在分配的時(shí)間窗口內(nèi)完成。為了滿足這些需求，操作系統(tǒng)提供同步時(shí)基，并且增加對每個(gè)程序進(jìn)行執(zhí)行時(shí)間上的限制。系統(tǒng)的行為在設(shè)計(jì)階段就已經(jīng)確定，在設(shè)計(jì)階段就可以對系統(tǒng)進(jìn)行驗(yàn)證。支持2層的容錯(cuò)機(jī)制，底層 (節(jié)點(diǎn)層次)負(fù)責(zé)錯(cuò)誤診斷和錯(cuò)誤的約束，并且阻止錯(cuò)誤的蔓延。頂層 (系統(tǒng)層)，不需要關(guān)心錯(cuò)誤的數(shù)據(jù)，僅僅提供充足的冗余機(jī)制來容忍系統(tǒng)失效的部件。頂層的主要功能是處理冗余數(shù)據(jù)，并且在系統(tǒng)上一個(gè)節(jié)點(diǎn)失效的情況下重構(gòu)系統(tǒng)。為了保證增加可靠性和可預(yù)測性，內(nèi)核保持盡可能的小。

如果要更有效地使用時(shí)間觸發(fā)總線，就必須改變傳統(tǒng)的基于事件觸發(fā)的軟件設(shè)計(jì)模型到基于時(shí)間觸發(fā)的設(shè)計(jì)模式。在歐洲的汽車電子組織已經(jīng)發(fā)布了時(shí)間觸發(fā)操作系統(tǒng)規(guī)范 OSEKTime1.0［9］。

時(shí)間觸發(fā)操作系統(tǒng)是一個(gè)微內(nèi)核的操作系統(tǒng)，該系統(tǒng)的開發(fā)思想主要體現(xiàn)在以下幾個(gè)方面:

(1)可預(yù)測 (確定性，即是在已定義的峰值負(fù)載和故障條件下有預(yù)先確定的行為);

(2)清晰，模塊化的結(jié)構(gòu)成為驗(yàn)證的基礎(chǔ);

(3)可靠性 (采用故障檢測與容錯(cuò)處理，能夠可靠的運(yùn)行);

(4)支持模塊化的開發(fā)和沒有任何負(fù)效應(yīng)的綜合 (組合性);

(5)兼容 OSEK/VDX［10］。

時(shí)間觸發(fā)操作系統(tǒng)支持靜態(tài)調(diào)度，能夠?yàn)閷?shí)時(shí)應(yīng)用提供所有的基本服務(wù)，例如中斷處理，調(diào)度，系統(tǒng)時(shí)間和時(shí)鐘同步，本地消息處理，以及故障偵測機(jī)制。時(shí)間觸發(fā)操作系統(tǒng)的主要功能包括:任務(wù)管理 (任務(wù)狀態(tài)管理、任務(wù)切換、調(diào)度策略、死線監(jiān)控)、中斷管理、系統(tǒng)時(shí)間同步和啟動(dòng)服務(wù)、處理器內(nèi)部消息處理和錯(cuò)誤處理。

6 基于ARINC-659時(shí)間觸發(fā)的計(jì)算機(jī)體系結(jié)構(gòu)

一個(gè)典型的時(shí)間觸發(fā)計(jì)算機(jī)系統(tǒng)采用ARINC-659串行背板總線為核心，各功能板以資源節(jié)點(diǎn)的方式掛接在總線上。ARINC-659總線以“無主”的方式運(yùn)行，即每個(gè)節(jié)點(diǎn)都參與到總線的運(yùn)行與維護(hù)中，但總線的運(yùn)行與維護(hù)又不唯一依賴于任何單一的總線節(jié)點(diǎn)，這種結(jié)構(gòu)避免了傳統(tǒng)余度計(jì)算機(jī)結(jié)構(gòu)中各通道以處理器為核心，從而帶來系統(tǒng)余度降級的速度過快的缺點(diǎn)。掛接在總線上的每個(gè)功能板的總線接口單元 (BIU)均依據(jù)在設(shè)計(jì)階段就已確定的某個(gè)特定的總線時(shí)間片進(jìn)行總線數(shù)據(jù)的發(fā)送或接收操作。

ARINC-659總線中“時(shí)間觸發(fā)”的含義為在確定的時(shí)間開始執(zhí)行確定的任務(wù)，并在確定的時(shí)間段內(nèi)完成該任務(wù)，其中不但包括總線在規(guī)定的時(shí)間傳輸指定的數(shù)據(jù)，也包括各個(gè)功能模塊在規(guī)定的時(shí)間啟動(dòng)指定的任務(wù)。通過時(shí)間觸發(fā)機(jī)制，保證了系統(tǒng)運(yùn)行的確定性，降低了計(jì)算機(jī)的傳輸延遲并且減少了傳輸抖動(dòng)，提高了系統(tǒng)運(yùn)行的可靠性。ARINC-659總線可以通過由每個(gè)BIU在指定的時(shí)刻發(fā)出特定中斷信號的方式觸發(fā)功能節(jié)點(diǎn)對應(yīng)任務(wù)的執(zhí)行，依靠此機(jī)制可以使得系統(tǒng)級任務(wù)的調(diào)度執(zhí)行與ARINC-659總線的運(yùn)行保持同步，為全系統(tǒng)實(shí)現(xiàn)時(shí)間觸發(fā)提供了可能。ARINC-659總線的時(shí)間規(guī)劃與總線活動(dòng)之間的關(guān)系如圖4所示。

圖4 ARINC-659時(shí)間規(guī)劃原理

通過引入ARINC-659串行背板總線技術(shù)，實(shí)現(xiàn)了系統(tǒng)基于功能模塊級的資源管理和資源重構(gòu)，使得余度管理的顆粒度變細(xì)、重構(gòu)能力增強(qiáng)。與傳統(tǒng)以事件觸發(fā)系統(tǒng) (處理器為核心)采用的余度管理策略相比較，克服了其以單個(gè)通道為余度管理基本單位的缺點(diǎn)，大大降低了余度降級的速度，使得在同等余度等級配置下系統(tǒng)的任務(wù)可靠性和安全可靠性顯著提高。傳統(tǒng)計(jì)算機(jī)可靠模型和串行背板的計(jì)算機(jī)可靠模型分別如圖5、圖6所示。

時(shí)間觸發(fā)的計(jì)算機(jī)系統(tǒng)以網(wǎng)絡(luò)化總線為核心，而不以CPU為核心，各種類型的處理器僅以運(yùn)算資源節(jié)點(diǎn)的方式掛接總線，計(jì)算機(jī)的各I/O功能模塊均為智能節(jié)點(diǎn)，含有微控制器，對I/O功能板上的信號進(jìn)行調(diào)理、監(jiān)控和管理，全部以數(shù)字量的方式通過背板總線進(jìn)行數(shù)據(jù)傳輸，系統(tǒng)綜合構(gòu)成模塊化、多余度、高可靠的計(jì)算機(jī)。

圖5 傳統(tǒng)計(jì)算機(jī)可靠性模型

圖6 串行背板計(jì)算機(jī)可靠性模型

其系統(tǒng)的主要特點(diǎn):

(1)時(shí)間觸發(fā)協(xié)議保證了系統(tǒng)的確定性、穩(wěn)定性、可測試性和功能驗(yàn)證，構(gòu)成高可靠的數(shù)據(jù)通訊總線;

(2)功能模塊 (LRM)構(gòu)成系統(tǒng)余度管理和資源管理的單元，余度降級緩慢，充分利用系統(tǒng)資源;

(3)智能節(jié)點(diǎn)具有完備的自檢測能力;

(4)支持系統(tǒng)全壽命周期內(nèi)的節(jié)點(diǎn)維護(hù)升級，而不影響系統(tǒng)的結(jié)構(gòu)。

以下是一種基于ARINC-659總線的計(jì)算機(jī)系統(tǒng)方案，如圖7所示。

圖7 基于ARINC-659總線的串行背板計(jì)算機(jī)系統(tǒng)

7 結(jié)束語

大量研究和工程實(shí)踐表明:對高可靠性系統(tǒng)而言，時(shí)間觸發(fā)在系統(tǒng)的確定性、容錯(cuò)及故障隔離能力、設(shè)計(jì)驗(yàn)證的難易程度上都比之前的方案有更大優(yōu)勢。

采用時(shí)間觸發(fā)架構(gòu)的計(jì)算機(jī)系統(tǒng)已經(jīng)成為設(shè)計(jì)具有高安全等級要求系統(tǒng)的發(fā)展趨勢，例如航空航天和汽車領(lǐng)域的全權(quán)限系統(tǒng)。

由于確定性和良好的分時(shí)分區(qū)特征，基于時(shí)間觸發(fā)架構(gòu)的系統(tǒng)方便將不同供應(yīng)商或者團(tuán)隊(duì)提供的子系統(tǒng)直接進(jìn)行綜合，從而大大簡化了集成驗(yàn)證的工作量。

［1］GUO Lijuan，LIU Shuangyu，ZHANG Ji.Architecture of a timetriggered real-time system with high-reliability［J］.Computer Engineering，2006，32(4):272-274(in Chinese).［郭麗娟，劉雙與，張激.基于時(shí)間觸發(fā)的高可靠性實(shí)時(shí)系統(tǒng)架構(gòu)［J］.計(jì)算機(jī)工程，2006，32(4):272-274.］

［2］Arinc.Arinc specification 659 backplane data bus［S］.1993.

［3］SAE Aerospace.TTP communication protocol［S］.2011.

［4］FlexRay Consortium.FlexRay communications system protocol specification(Version 2.1 Revision A)［S］.2005.

［5］Black R，F(xiàn)letcher M.Nextgeneration space avionics:A highly reliable layered system implementation［J］.IEEE AESSystems Magazine，2005，20(12):9-14.

［6］NASA.Comparison of communication architectures for spacecraft modular avionics systems［R］.USA:NASA 2006.

［7］Ramaker R，Krug W，Phebus W.Application of a civil integrated modular architecture to military transport aircraft［C］//The 26th Digital Avionics Systems Conference，2007.

［8］ZHANG Ximin，WEI Ting.Development of ARINC659 fault-tolerant data bus testand verification system［J］.Journal of Xidian University，2011，38(6):140-145(in Chinese).［張喜民，魏婷.ARINC659容錯(cuò)數(shù)據(jù)總線測試驗(yàn)證系統(tǒng)研制［J］.西安電子科技大學(xué)學(xué)報(bào)，2011，38(6):140-145.］

［9］XIE Haofei，CHEN Jiajia，SHU Qiang.Improvement and implementation of coexistencemodel based on OSEKTIME［J］.Journal of Chongqing University of Posts and Telecommunications(Natural Science Edition)，2009，21(5):658-661(in Chinese).［謝昊飛，陳家佳，舒強(qiáng).基于OSEKTime的共存模型的改進(jìn)與實(shí)現(xiàn)［J］.重慶郵電大學(xué)學(xué)報(bào) (自然科學(xué)版)，2009，21(5):658-661.］

［10］ZHANG Liangfei，LIYinguo.Design of embedded real-time operating system AutoOSEK ［J］.Computer Engineering，2007，33(16):53-55(in Chinese).［章亮飛，李銀國.嵌入式實(shí)時(shí)操作系統(tǒng)AutoOSEK的設(shè)計(jì)［J］.計(jì)算機(jī)工程，2007，33(16):53-55.］