以可靠性為中心的引導計算機結構設計

鐘文玲，吳文海，于守淼

（海軍航空工程學院青島校區,266041）

0 引言

引導計算機是引導系統的核心，要對設備進行管理，還要實現對飛行的實時控制，其可靠性對引導起著關鍵的作用。可靠性和故障容限是系統結構設計時必須關注的重要因素。為了提高引導系統的性能及安全性，通常進行系統設計時采用余度技術。

為了提高計算機系統的可靠性，應從軟件和硬件功能上采取措施。通常采用余度技術來解決硬件的隨機故障，即在N個相同重復的硬件通道上采用同一個程序運行。這些措施對于提高系統硬件的可靠性是十分有效的。

但僅簡單的資源重復對于發生軟、硬件設計或規范等錯誤，達不到容錯目的，因為這些錯誤會導致同一操作對象或工作單元在同一時刻產生相同的故障結果；而要檢測隔離這種錯誤，采用各余度之間的交叉通道監控的方法來也是不可能的，因為系統本身會因為各個結果相同而認為所有的余度都正確，從而可能造成災難性后果。

故可采用非相似余度（dissimilar redundancy）設計技術，來避免共性故障導致的嚴重后果。該技術的基礎是由完全獨立的工作組使用不同的開發語言、不同的開發工具，使用獨立性的硬件設計和獨立的軟件開發，在不同的處理器上運行。這樣各個余度之間所出現獨立的故障，從而避免共性故障。

1 引導計算機方案設計

1.1 引導計算機功能需求

引導計算機將引導雷達、綜合導航系統和其它相關系統傳感器的測量信息綜合，進行運動穩定處理以及偏差、指令的檢測、解算及決策，將引導信息／指令傳輸給信號發射機、引導臺及指揮設備。

依據GJB飛行安全可靠性要求，由于控制系統故障導致飛機任務失效的概率一般不大于10-5，計算機故障導致任務失效的概率應小于l0-6/飛行小時，飛機損失概率應小于10-8/飛行小時。

1.2 引導計算機結構

引導計算機系統有3個完全相同的數字式主引導控制計算機通道（左、中、右），每個通道有3個支路。在整個引導計算機系統中，共使用9個CPU，每個通道之間采用數據總線通訊。各支路包括3個印刷電路板模塊，分別為處理器模塊、輸入/輸出模塊（I/O接口單元）及電源模塊。每個支路的處理器型號、處理器的硬件接口及其外圍電路都不相同。每個支路的軟件采用的編譯器也不同。輸入輸出模塊包含3個數據總線終端。

1.3 引導計算機系統的工作

引導計算機的所有通道全部投入工作，每個處理器都獲得并計算所有傳感器系統的信息。計算機和總線被分為3組（左、中、右），各通道同時監聽3組總線，但傳送數據只能夠是同組的總線。任意一組的的正常工作都不會受到另外兩組總線傳送錯誤或者故障的影響。

每個計算機通道分為3個支路，分別被分配為指令支路、備用支路和監控支路。指令支路負責將全部數據傳送到它指定的數據總線，備用支路和監控支路主要執行監控功能和支路余度管理任務。備用支路和監控支路取代指令支路執行其失效時的任務。當任意一個再次發生故障時，計算機將斷開輸出。

左、中、右3個通道以異步方式工作，通道內的各個支路同步工作，用于控制律計算處理時使用完全相同的輸入數據，模態、傳感器狀態和積分器均衡數據可以相互交換，以保證每個通道工作不產生分歧。每個指令支路使用自己的數據，單獨計算關鍵的輸出參數，并將其傳送到對應的數據總線。

1.4 引導計算機系統的非相似余度技術

為保證安全，引導計算機系統引入非相似余度技術的理念。由完全獨立的工作組采用獨立性的硬件設計和獨立的軟件開發，使用的開發語言及開發工具不同，并在不同的處理器上運行，避免共性故障的發生。

引導計算機系統的左、中、右3個通道相互獨立，分別由三部分組成：數據采集、數椐處理和數據輸出部分。由數據采集接口單元組成數據采集部分，由中央處理單元組成數據處理部分， 3個通信接口單元組成數據輸出部分，與3個數據處理部分一起組成數據交叉、輸出鏈路。

每個通道的3個支路使用了非相似的中央處理單元，選用不同的處理器，對應的接口電路和編譯程序也不同。為了在指令這一級上避免相同機器指令的共性故障，可以由3個指令不同的CPU來完成；另外，采用非相似性來保證使硬件系統中的共性故障發生的概率達到最小限度。采用的CPU分3組分別進行設計，因而使用的芯片的結構不同，計算機的結構也不盡一樣，。克服了使用相同廠家生產的硬件設備所帶來的必然的共性故障。

在功能上，3個支路的非相似處理器模塊完全相同。在系統運行的初始時刻，指令支路由每臺計算機選擇非相似的支路完成。每臺計算機的輸入數據從3余度數據總線來接收，數據總線為分時復用系統，同一時刻只允許一個終端發送數據，可以連接多個終端。用3種不同的定時協議來保證當一個終端發送完數據后，總線上的其他終端都有機會發送數據。其他所有終端發送完數據后，這個終端才能再次發送數據。

每個支路的軟件采用的編譯器及軟件都是非相似的，從而避免了使用相同編譯器及軟件而產生的共性故障。

2 引導計算機系統可靠性分析

假設各支路內所有硬件模塊之間有相對獨立的故障，不考慮軟硬件設計錯誤；可假設各支路運行相對獨立的軟件故障，通道內各支路采用軟件非相似(SW1，SW2，SW3)。系統結構為一個串-并聯模型。具有電源、中央處理單元、I/O接口單元3個硬件模塊及軟件共4個環節的串聯結構，每個子系統分別由3個并聯的非相似冗余單元組成。

由于電子產品的失效一般都服從指數分布，因此假設系統所有硬件失效均服從故障率為常數的指數分布；軟件投入使用后，失效概率也可假設服從指數分布，故障率為常數。

對于相似余度系統，有各個相同的通道，通道內有各個相似的支路，當發生共性故障時，3個支路同時失效，此時，系統的可靠性會降低到單個支路的可靠度級別（8.2x 10-4/小時），不能滿足系統的可靠性要求。而采用非相似余度技術，可以大大的提高主引導計算機的可靠性，在規定的任務期間，引導計算機任務失效率不大于10-6/小時，應該能夠滿足系統的要求。

3 結論

該系統采用非相似余度技術，在并聯運行的每一個余度通道中，嵌入三個非相似硬件的子通道，構成高容錯能力和高生存性的余度結構，能夠滿足引導計算機的安全可靠性要求。

系統設計有以下幾個方面的優點：

(1)系統的結構簡單、易于擴充。采用規范的開放式、模塊標準化設計，能以簡單的、覆蓋率高的監控判定本通道的故障，避免交叉通道數據傳輸和通道內自監控電路的復雜性，使系統結構規范、簡單、擴充性好。

(2)系統的安全性好。系統結構采用非相似余度設計技術，余度單元在位置上分離，可以避免同區域的故障；在功能上分離，同時采用的硬件、控制/監控功能、硬件/軟件設計小組、編譯器等均為非相似結構，使得任一單元的故障并不能影響其他單元的工作。

(3)系統的容錯性好。采用分布式結構，每個設備都具有智能處理能力，使得系統的自檢測(BIT)能力得到擴充，各個設備具有局部的故障預測能力，因此系統具有較強的容錯性。

(4)系統的可靠性高。非相似余度設計在不同的處理器硬件上運行，使用的工作組、開發語言、開發工具均完全獨立，這樣可以避免出現硬件、軟件共性故障帶來的嚴重后果，提高了引導系統的任務安全可靠性。

[1]吳文海,飛行綜合控制系統[M].北京:航空工業出版社 ,2007:218～224.

[2]柯林斯著,吳文海,程傳金譯.飛行綜合駕駛系統導論[M].北京:航空工業出版社,2009:131～139

[3]車元媛.電子商務模擬平臺與設計[J].鞍山師范學院學報.2011,13(2):53～55

[4]陳宗基等.非相似余度飛控計算機[J].航空學報.2005,26(3):320～327

[5]曾聲奎，可靠性設計與分析[M].國防工業出版社.2011:20～27

[6]U Dinesh Kumar等編.可靠性、維修與后勤保障-壽命周期方法[M].北京：電子工業出版社，2010：65～68.