郭勇 段海軍 馬倩 王亮

[摘要]本文對任務(wù)管理計算機(jī)系統(tǒng)結(jié)構(gòu)進(jìn)行了介紹，根據(jù)系統(tǒng)構(gòu)型，提出了軟件容錯機(jī)制要求，劃分軟件功能形成系統(tǒng)軟件總體設(shè)計方案。對軟件總體設(shè)計進(jìn)行了描述，并對軟件設(shè)計中的關(guān)鍵技術(shù)進(jìn)行研究，重點(diǎn)分析了雙握手同步、交叉?zhèn)鬏斣O(shè)計、數(shù)據(jù)表決與數(shù)據(jù)監(jiān)控四個方面，為實現(xiàn)系統(tǒng)容錯軟件提供了解決方案。

[關(guān)鍵詞]熱備份；容錯；余度技術(shù)；余度管理軟件

Abstract：Based on the discussion on the system architecture of Mission Management Computer，the applicable redundancy scheme was introduced in this paper.The key technologies of redundancy management software was then discussed thoroughly in this paper， the application of these key technologies in engineering practice was also included.

Key Word：Hot backup； Error Tolerances；Redundancy technology； Redundancy managements of tware

引言

1）任務(wù)管理計算機(jī)系統(tǒng)（MMC）的主要功能包括航電分系統(tǒng)狀態(tài)、航電分系統(tǒng)工作模式、系統(tǒng)故障處置、任務(wù)規(guī)劃數(shù)據(jù)加載等功能[1]。受到體積、功耗、重量及基礎(chǔ)研究水平的限制，早期任務(wù)管理計算機(jī)沒有余度概念，其容錯能力較差、故障檢測模式單一、故障檢測率較低，任務(wù)管理計算機(jī)的故障也會直接導(dǎo)致每次飛行任務(wù)的失敗[2]。

2）基于對任務(wù)系統(tǒng)可靠性和容錯性的要求，研究在小低輕、高空、長航時、高安全前提下，仍能保持任務(wù)管理功能的冗余架構(gòu)方法是必要的[3]。本文即針對高空長航時任務(wù)管理計算機(jī)可靠性指標(biāo)要求，運(yùn)用余度技術(shù)研究了雙余度分級余度計算機(jī)，設(shè)計實現(xiàn)了任務(wù)管理計算機(jī)系統(tǒng)余度軟件，提高系統(tǒng)可靠性。

1、系統(tǒng)概述

1.1雙余度任務(wù)管理計算機(jī)系統(tǒng)概述

雙余度任務(wù)管理計算機(jī)采用同構(gòu)型雙通道主備兼容錯結(jié)構(gòu)，每個通道可以獨(dú)立的實現(xiàn)任務(wù)管理功能。任務(wù)管理計算機(jī)作為任務(wù)分系統(tǒng)的核心處理器，主要完成航電分系統(tǒng)的控制與管理，航電系統(tǒng)任務(wù)分配，同時作為GJB289A總線的控制器，完成總線信息調(diào)度與傳輸。

1.2系統(tǒng)軟件概述

1.2.1任務(wù)管理計算機(jī)采用雙余度配置，雙余度通道工作方式為主備工作方式，雙通道同時工作，正常時由主通道輸出，主通道故障時切換到備份通道輸出，滿足系統(tǒng)一次故障工作要求。根據(jù)任務(wù)管理計算機(jī)的結(jié)構(gòu)及功能，將任務(wù)管理軟件分為三部分，見圖2.

1.2.2三部分軟件的對應(yīng)的產(chǎn)品功能為：

a.任務(wù)管理軟件：此部分軟件實現(xiàn)航電分系統(tǒng)的控制與管理功能，包括航電分系統(tǒng)狀態(tài)，航電分系統(tǒng)工作模式、系統(tǒng)故障處置、任務(wù)規(guī)劃數(shù)據(jù)加載等。

b.余度管理軟件：此部分軟件作為航電管理軟件的開發(fā)平臺，選用VxWorks操作系統(tǒng)，主要實現(xiàn)產(chǎn)品的自檢測、余度管理、故障檢測等功能。

c.BIM軟件：此部分軟件實現(xiàn)成品技術(shù)協(xié)議中的接口管理功能包括外部輸入輸出接口管理及內(nèi)部ARINC659總線的收發(fā)功能。

1.3余度管理軟件主要通過ARINC659總線接收BIM模塊的數(shù)據(jù)，對數(shù)據(jù)進(jìn)行表決監(jiān)控，將表決結(jié)果提供給任務(wù)管理軟件，同時接收任務(wù)管理軟件的輸出指令將輸出指令通過ARINC659總線發(fā)送給BIM模塊。本文主要介紹余度管理軟件的設(shè)計。

2、余度管理軟件總體設(shè)計

1）雙通道任務(wù)管理計算機(jī)軟件每通道運(yùn)行相同任務(wù)：初始化、同步、數(shù)據(jù)采集、余度管理、航電任務(wù)處理、故障處理、數(shù)據(jù)輸出和BIT等幾個重要的環(huán)節(jié)。任務(wù)管理計算機(jī)開機(jī)初始化后，進(jìn)入同步程序。同步程序就是讓雙通道計算機(jī)同時開始運(yùn)行，保證通道計算機(jī)采集的是同一任務(wù)周期的數(shù)據(jù)，并且輸出結(jié)果也是同一任務(wù)周期中計算出來的。這是其他任務(wù)的基礎(chǔ)，只有通道機(jī)采集的是同一任務(wù)周期數(shù)據(jù)，才能保證后面的交叉?zhèn)鬏敽蛿?shù)據(jù)比較的正確。在完成了同步程序后，通道計算機(jī)就可以同時進(jìn)行采集數(shù)據(jù)，數(shù)據(jù)交叉?zhèn)鬏敚瑪?shù)據(jù)比較監(jiān)控，再表決出一組航電應(yīng)用軟件需要的數(shù)據(jù)，進(jìn)行應(yīng)用的運(yùn)算；并將輸出的數(shù)據(jù)進(jìn)行比較，輸出。這樣就完成了一個任務(wù)周期的雙余度任務(wù)。

3、余度管理軟件關(guān)鍵技術(shù)實現(xiàn)

3.1余度設(shè)計與余度管理是提高計算機(jī)系統(tǒng)容錯能力、可靠性和安全性的手段

通過在線信號監(jiān)控可以及時發(fā)現(xiàn)系統(tǒng)故障模塊；通過同步技術(shù)可以保證各冗余模塊間保持步調(diào)一致地工作，在“某一時刻”同時完成同一任務(wù)的某個基本動作。通過故障的隔離、切換來實現(xiàn)故障的處理；通過監(jiān)控、表決輸入輸出信號來選擇信號。這些都是實現(xiàn)容錯與高可靠性的手段。

3.2余度管理技術(shù)主要研究的內(nèi)容包括以下方面：

1） 同步、交叉?zhèn)鬏敿夹g(shù)；

2） 數(shù)據(jù)表決和數(shù)據(jù)監(jiān)控；

3） 故障監(jiān)控隔離技術(shù)；

3.3雙通道同步設(shè)計

在任務(wù)管理計算機(jī)系統(tǒng)中，各計算機(jī)運(yùn)行相同的計算任務(wù)，將計算結(jié)果進(jìn)行比較、表決，從而達(dá)到提高整個余度飛行控制計算機(jī)可靠性的目的。為保證各飛行控制計算機(jī)在比較、表決時的數(shù)據(jù)是同一次計算的結(jié)果，以維持計算數(shù)據(jù)的一致性，就必須同步，使各飛行控制計算機(jī)在同一段時間內(nèi)運(yùn)行相同的計算任務(wù)。

本系統(tǒng)中計算機(jī)同步的過程是在系統(tǒng)同步程序的管理下，通過專用同步信號線，完成雙通道之間的同步。包括初始同步和周期同步。初始同步上電進(jìn)行周期任務(wù)之前進(jìn)行；周期同步則在每個任務(wù)周期開始都會進(jìn)行一次。同步算法采用握手方式：任務(wù)計算機(jī)開始同步后，輸出一個邏輯高同步離散量，然后在限定時段內(nèi)查詢另外通道響應(yīng)邏輯高，在握手成功后，再輸出一個邏輯低，讀另外通道是否輸出低，若成功則雙通道均保持同步離散輸出為邏輯低。同步算法流程圖如圖1。

3.4數(shù)據(jù)交叉?zhèn)鬏斣O(shè)計

數(shù)據(jù)交叉?zhèn)鬏斖ǖ朗请p余度任務(wù)管理計算機(jī)互相通訊的通道，本設(shè)計中交叉?zhèn)鬏敼δ苡葾RINC659總線的“窗口”實現(xiàn)，數(shù)據(jù)采集功能由BIM模塊完成，BIM模塊完成數(shù)據(jù)采集后，通過ARINC659總線將采集的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)廣播。CPM模塊通過659窗口可以獲得本通道BIM采集的數(shù)據(jù)和外通道BIM采集的數(shù)據(jù)，根據(jù)刷新標(biāo)來判定該數(shù)據(jù)是否為有效數(shù)據(jù)，以這種方式來實現(xiàn)不同通道數(shù)據(jù)的交叉?zhèn)鬏敗?/p>

3.5數(shù)據(jù)輸入輸出表決設(shè)計

輸入與輸出表決監(jiān)控是對計算機(jī)所采樣的雙通道數(shù)據(jù)進(jìn)行表決與監(jiān)控。計算機(jī)的所有接口信號均是雙余度的，輸入輸出表決監(jiān)控包括離散量輸入比較監(jiān)控、模擬量輸入比較監(jiān)控、數(shù)字量輸入比較監(jiān)控。

a.離散量輸入表決監(jiān)控實現(xiàn)的方法為：對A/B通道輸入的離散量進(jìn)行全同比較，如果比較一致，表決值取A通道；如果比較出現(xiàn)不一致，表決值取上拍歷史值。

b.模擬量輸入表決監(jiān)控實現(xiàn)的方法為：對A/B通道輸入的模擬量兩信號求差，差值的絕對值與門限值0.5V進(jìn)行比較，如果差值在門限內(nèi)，表決值取兩信號均值；如果超限，表決值取上拍歷史值。

c.數(shù)字量輸入表決監(jiān)控實現(xiàn)的方法為：對A/B通道輸入的數(shù)字量RS422輸入信號進(jìn)行還原，對還原后的離散量和模擬量進(jìn)行表決。

3.6故障監(jiān)控設(shè)計

1） 故障綜合是將任務(wù)管理計算機(jī)系統(tǒng)的故障狀態(tài)及飛控計算機(jī)自身的故障進(jìn)行統(tǒng)計綜合，并將故障信息進(jìn)行編碼和存儲。它包括故障記錄和故障申報。

2）當(dāng)任務(wù)管理計算機(jī)系統(tǒng)雙通道采用互監(jiān)控方式對每一拍的采集數(shù)據(jù)進(jìn)行故障判斷，并進(jìn)行故障紀(jì)錄，當(dāng)發(fā)生瞬態(tài)故障時，對該故障類型瞬態(tài)故障計數(shù)加1，并判斷該計數(shù)值是否大于永久故障門限，若該計數(shù)值已經(jīng)大于門限值，就認(rèn)為該路數(shù)據(jù)發(fā)生永久故障，進(jìn)行相應(yīng)的故障處理。同時任務(wù)管理計算機(jī)還需要進(jìn)行自身狀態(tài)的監(jiān)控，若出現(xiàn)錯誤，則仍按照上面描述的方法進(jìn)行故障處理。

4、結(jié)束語

本文以雙余度任務(wù)管理計算機(jī)為背景，研究設(shè)計余度管理軟件，并獲得應(yīng)用。工程實際應(yīng)用結(jié)果表明，MMC實現(xiàn)可靠性指標(biāo)滿足設(shè)計要求，所設(shè)計的余度管理軟件能夠保證任務(wù)管理計算機(jī)間數(shù)據(jù)的可靠傳輸。

參考文獻(xiàn)

[1]牛文生.機(jī)載計算機(jī)發(fā)展的現(xiàn)狀和趨勢[J].計算機(jī)科學(xué)，2006.vol1，33，231-232

[2]潘計輝，張盛兵，張小林，張小靜.三余度機(jī)載計算機(jī)設(shè)計與實現(xiàn)[J].西北工業(yè)大學(xué)學(xué)報，2013.10，798-802

[3]柳孔明，徐宏哲，黃俊.三余度飛控計算機(jī)架構(gòu)及其可靠性研究[J].現(xiàn)代電子技術(shù)，2012.06：103-106

[4]Dominique， Britxe， Pascal Traverse. AIRBUS A320/A330/A340 Electrical Flight Controls， A Family of Fault-Tolerant Systems[R].IEEE 1993，616

[5]Greg Loegering， David Evans.THE EVOLUTION OF THE GLOBAL HAWK & MALD AVIONICS SYSTEMS[R]，IEEE 1999.06

作者簡介

郭勇（1986-11-）男，陜西西安人，工程師，主要研究方向為機(jī)載大規(guī)模嵌入式軟件研究.