钟文玲,吴文海,于守淼
(海军航空工程学院青岛校区,266041)
引导计算机是引导系统的核心,要对设备进行管理,还要实现对飞行的实时控制,其可靠性对引导起着关键的作用。可靠性和故障容限是系统结构设计时必须关注的重要因素。为了提高引导系统的性能及安全性,通常进行系统设计时采用余度技术。
为了提高计算机系统的可靠性,应从软件和硬件功能上采取措施。通常采用余度技术来解决硬件的随机故障,即在N个相同重复的硬件通道上采用同一个程序运行。这些措施对于提高系统硬件的可靠性是十分有效的。
但仅简单的资源重复对于发生软、硬件设计或规范等错误,达不到容错目的,因为这些错误会导致同一操作对象或工作单元在同一时刻产生相同的故障结果;而要检测隔离这种错误,采用各余度之间的交叉通道监控的方法来也是不可能的,因为系统本身会因为各个结果相同而认为所有的余度都正确,从而可能造成灾难性后果。
故可采用非相似余度(dissimilar redundancy)设计技术,来避免共性故障导致的严重后果。该技术的基础是由完全独立的工作组使用不同的开发语言、不同的开发工具,使用独立性的硬件设计和独立的软件开发,在不同的处理器上运行。这样各个余度之间所出现独立的故障,从而避免共性故障。
引导计算机将引导雷达、综合导航系统和其它相关系统传感器的测量信息综合,进行运动稳定处理以及偏差、指令的检测、解算及决策,将引导信息/指令传输给信号发射机、引导台及指挥设备。
依据GJB飞行安全可靠性要求,由于控制系统故障导致飞机任务失效的概率一般不大于10-5,计算机故障导致任务失效的概率应小于l0-6/飞行小时,飞机损失概率应小于10-8/飞行小时。
引导计算机系统有3个完全相同的数字式主引导控制计算机通道(左、中、右),每个通道有3个支路。在整个引导计算机系统中,共使用9个CPU,每个通道之间采用数据总线通讯。各支路包括3个印刷电路板模块,分别为处理器模块、输入/输出模块(I/O接口单元)及电源模块。每个支路的处理器型号、处理器的硬件接口及其外围电路都不相同。每个支路的软件采用的编译器也不同。输入输出模块包含3个数据总线终端。
引导计算机的所有通道全部投入工作,每个处理器都获得并计算所有传感器系统的信息。计算机和总线被分为3组(左、中、右),各通道同时监听3组总线,但传送数据只能够是同组的总线。任意一组的的正常工作都不会受到另外两组总线传送错误或者故障的影响。
每个计算机通道分为3个支路,分别被分配为指令支路、备用支路和监控支路。指令支路负责将全部数据传送到它指定的数据总线,备用支路和监控支路主要执行监控功能和支路余度管理任务。备用支路和监控支路取代指令支路执行其失效时的任务。当任意一个再次发生故障时,计算机将断开输出。
左、中、右3个通道以异步方式工作,通道内的各个支路同步工作,用于控制律计算处理时使用完全相同的输入数据,模态、传感器状态和积分器均衡数据可以相互交换,以保证每个通道工作不产生分歧。每个指令支路使用自己的数据,单独计算关键的输出参数,并将其传送到对应的数据总线。
为保证安全,引导计算机系统引入非相似余度技术的理念。由完全独立的工作组采用独立性的硬件设计和独立的软件开发,使用的开发语言及开发工具不同,并在不同的处理器上运行,避免共性故障的发生。
引导计算机系统的左、中、右3个通道相互独立,分别由三部分组成:数据采集、数椐处理和数据输出部分。由数据采集接口单元组成数据采集部分,由中央处理单元组成数据处理部分, 3个通信接口单元组成数据输出部分,与3个数据处理部分一起组成数据交叉、输出链路。
每个通道的3个支路使用了非相似的中央处理单元,选用不同的处理器,对应的接口电路和编译程序也不同。为了在指令这一级上避免相同机器指令的共性故障,可以由3个指令不同的CPU来完成;另外,采用非相似性来保证使硬件系统中的共性故障发生的概率达到最小限度。采用的CPU分3组分别进行设计,因而使用的芯片的结构不同,计算机的结构也不尽一样,。克服了使用相同厂家生产的硬件设备所带来的必然的共性故障。
在功能上,3个支路的非相似处理器模块完全相同。在系统运行的初始时刻,指令支路由每台计算机选择非相似的支路完成。每台计算机的输入数据从3余度数据总线来接收,数据总线为分时复用系统,同一时刻只允许一个终端发送数据,可以连接多个终端。用3种不同的定时协议来保证当一个终端发送完数据后,总线上的其他终端都有机会发送数据。其他所有终端发送完数据后,这个终端才能再次发送数据。
每个支路的软件采用的编译器及软件都是非相似的,从而避免了使用相同编译器及软件而产生的共性故障。
假设各支路内所有硬件模块之间有相对独立的故障,不考虑软硬件设计错误;可假设各支路运行相对独立的软件故障,通道内各支路采用软件非相似(SW1,SW2,SW3)。系统结构为一个串-并联模型。具有电源、中央处理单元、I/O接口单元3个硬件模块及软件共4个环节的串联结构,每个子系统分别由3个并联的非相似冗余单元组成。
由于电子产品的失效一般都服从指数分布,因此假设系统所有硬件失效均服从故障率为常数的指数分布;软件投入使用后,失效概率也可假设服从指数分布,故障率为常数。
对于相似余度系统,有各个相同的通道,通道内有各个相似的支路,当发生共性故障时,3个支路同时失效,此时,系统的可靠性会降低到单个支路的可靠度级别(8.2x 10-4/小时),不能满足系统的可靠性要求。而采用非相似余度技术,可以大大的提高主引导计算机的可靠性,在规定的任务期间,引导计算机任务失效率不大于10-6/小时,应该能够满足系统的要求。
该系统采用非相似余度技术,在并联运行的每一个余度通道中,嵌入三个非相似硬件的子通道,构成高容错能力和高生存性的余度结构,能够满足引导计算机的安全可靠性要求。
系统设计有以下几个方面的优点:
(1)系统的结构简单、易于扩充。采用规范的开放式、模块标准化设计,能以简单的、覆盖率高的监控判定本通道的故障,避免交叉通道数据传输和通道内自监控电路的复杂性,使系统结构规范、简单、扩充性好。
(2)系统的安全性好。系统结构采用非相似余度设计技术,余度单元在位置上分离,可以避免同区域的故障;在功能上分离,同时采用的硬件、控制/监控功能、硬件/软件设计小组、编译器等均为非相似结构,使得任一单元的故障并不能影响其他单元的工作。
(3)系统的容错性好。采用分布式结构,每个设备都具有智能处理能力,使得系统的自检测(BIT)能力得到扩充,各个设备具有局部的故障预测能力,因此系统具有较强的容错性。
(4)系统的可靠性高。非相似余度设计在不同的处理器硬件上运行,使用的工作组、开发语言、开发工具均完全独立,这样可以避免出现硬件、软件共性故障带来的严重后果,提高了引导系统的任务安全可靠性。
[1]吴文海,飞行综合控制系统[M].北京:航空工业出版社 ,2007:218~224.
[2]柯林斯著,吴文海,程传金译.飞行综合驾驶系统导论[M].北京:航空工业出版社,2009:131~139
[3]车元媛.电子商务模拟平台与设计[J].鞍山师范学院学报.2011,13(2):53~55
[4]陈宗基等.非相似余度飞控计算机[J].航空学报.2005,26(3):320~327
[5]曾声奎,可靠性设计与分析[M].国防工业出版社.2011:20~27
[6]U Dinesh Kumar等编.可靠性、维修与后勤保障-寿命周期方法[M].北京:电子工业出版社,2010:65~68.