航電系統綜合核心處理機容錯設計

何立軍 王夢凡 王生宵 秦琪 周廣飛

摘要：綜合化核心處理機作為綜合模塊化航空電子系統控制和管理的核心，對于實現航空電子系統的功能、性能起著決定性的作用。介紹了一種基于冗余技術的綜合核心處理機容錯設計，從供電容錯、網絡容錯、模塊容錯設計等進行介紹，對產品可靠性進行分析，結果表明冗余設計能夠明顯提高產品任務可靠性。

關鍵詞：綜合核心處理機;容錯;冗余;可靠性

中圖分類號：TP311 ? 文獻標識碼：A

文章編號：1009-3044（2021）35-0115-03

Fault-Tolerant Design of Integrated Core Processor for the Avionics Systems

HE Li-jun， WANG Meng-fan， WANG Sheng-xiao， QIN Qi， ZHOU Guang-fei

（Xi’an Aeronautics Computing Technique Research Institute of AVIC， Xi'an 710065， China）

Abstract： Integrated Core Processor is the control and management center of Integrated Modular Avionics System. It is crucial for the implementation of Avionics System functions and performances. A fault-tolerant ICP design， based on redundant technology， is presented as in Power Supply Fault-tolerant， Network Fault-tolerant and Module Fault-tolerant， as well as its reliability analysis， Thus Mission Reliability has been improved remarkably after a redundant product design.

Key words： integrated core processor; fault-tolerant; redundant; reliability

新一代航空電子系統是一種綜合化、模塊化的機載分布式系統，綜合核心處理機是新一代航空電子系統的核心，它承擔著大量飛行任務的執行、控制和飛機安全性保障等工作，核心處理平臺的可靠運行對于實現航空電子系統的功能、性能起著決定性的作用。容錯技術是提高可靠性的有效方法，機載系統常采用余度設計，利用多余資源來換取系統可靠性的提高。該方法可有效提高機載產品的可靠性和安全性，實現產品一次故障工作，二次故障安全等要求。

本文首先介紹了某綜合核心處理機系統組成，接著分析了該核心處理機供電、網絡、系統管理、數據處理等方面所采用的余度容錯技術，為機載電子設備容錯設計提供可參考的依據。

1 系統設計

綜合核心處理機ICP作為航空電子系統的管理和處理中心，承擔了系統管理、傳感器管理和數據融合、雷達數字功能處理、電子戰數字脈沖功能處理、通信導航識別數字功能處理、紅外搜索跟蹤、分布式孔徑、數字地圖處理、戰場態勢處理、圖像處理、顯示控制和管理處理、音頻處理、數據管理、健康管理等多個任務。某綜合核心處理機采用符合ASAAC標準的LRM模塊，基于高性能數據處理和統一高速網絡技術，設計了一種FC交換網絡的綜合核心處理機系統，如圖1所示。

ICP內部包括5種標準LRM：通用處理模塊（GPP）、通用處理及IO模塊（GPIO）、大容量存儲模塊（MMM）、網絡交換模塊（NSM）、電源模塊（PSM）。GPP、MMM、GPIO的FC接口連接到NSM上，從而實現各LRM間通過FC交換網絡完成數據通信。

2 容錯設計

綜合核心處理機具有綜合化、模塊化、軟件化、網絡化等多種特征，在結構上進行了高密度集成的一個實時的容錯的分布式的機群。核心處理機在綜合化航空電子系統中居于核心位置，是整個綜合航電的“大腦”和“神經”。在系統設計過程中采用熱備份、溫備份、冷備份等技術，使系統具有完備的容錯、重構和冗余控制能力，能夠承擔安全級別為生存關鍵和任務關鍵的相關航電任務功能。

2.1 電源容錯

電源容錯設計如圖2所示。ICP內部配置2塊PSM，按照并聯方式為其他所有用電LRM進行供電。

飛機通過2根270VDC電源匯流條向ICP提供270VDC電源，2路270VDC輸入電源并聯后，經過同一套濾波電路后分別向2塊PSM模塊提供270VDC。當飛機供電系統出現1路270VDC供電故障時，另一路供電輸入可以支持ICP保持全狀態工作;當出現2路270VDC供電故障時，由APU為ICP提供輸入電源，此時ICP按照系統配置為部分LRM提供電源，ICP降級工作。

2塊PSM模塊采用1+1余度供電設計，一旦某一電源發生故障，另一電源能獨立承擔對所有LRM模塊供電的能力。用電LRM模塊設計為2路并聯輸入，無論是由于某路外部供電故障或是LRM供電輸入端故障，均可確保模塊正常工作。

PSM模塊除了完成功率轉換外，還具有智能管理和開關矩陣控制處理能力，能夠對供電輸入、輸出等進行檢測診斷，能夠基于監控到的信息控制電源開關矩陣，及時對由于用電模塊發生類似短路故障造成輸出監測異常的接口進行關閉，提高故障隔離性，以確保系統在任何情況下的正常工作。

2.2 網絡容錯

對于FC交換網絡，應用中網絡可能出現的故障有NSM模塊故障、NSM模塊某交換端口故障、LRM模塊FC節點故障等幾種主要故障模式。ICP中FC網絡架構在應用層提供一定的余度容錯能力，能夠有效地避免出現某種故障時，ICP不降級或完成關鍵任務。網絡架構詳見圖1。

ICP中共設計2個NSM，級聯后組成更大規模交換網絡。FC網絡架構中，ICP與外部雷達、電子戰、CNI等子系統之間的數據通道均在應用級提供備份FC接口;在ICP內部，所有LRM模塊對外均包含2路FC節點接口，同時連接到2個NSM模塊。當網絡出現某種故障（或網絡接口或交換機或通信電纜）時，網絡數據可通過另一路FC接口進行通信。當鏈路中2個網絡接口設計為備份工作模式，故障時ICP可正常工作;當鏈路中2個網絡接口設計為同時使用，故障時ICP可使用1路接口降級工作，完成關鍵任務執行。

2.3 模塊容錯

模塊級容錯主要通過各個主要功能模塊的冗余備份及系統容錯重構管理軟件來實現。

ICP中的通用處理模塊（GPP）主要承擔ICP中的數據處理與部分信號處理功能，用于完成ICP中雷達數據處理、電子戰信號處理與數據處理、光電控制與目標解算等任務。GPP模塊設計為n+1備份工作模式，提供熱備份、溫備份、冷備份方式，GPP模塊可預先駐留所有功能模塊程序，當某一功能模塊失效，通過系統配置預案方式用備份的GPP模塊代替故障失效模塊或動態地在處理器資源使用率較低的模塊上分配執行。

ICP中的通用處理及輸入輸出模塊（GPIO）主要承擔PHM、火控解算等任務，以及ICP的系統控制與管理功能。ICP是一個多處理機、多任務系統，所有任務將在系統控制器的統一控制與管理下協同工作。系統控制器任務由GPIO承擔。ICP中一共有2塊GPIO，它們工作在1+1熱備份方式下。在初始化時競爭控制權，沒有競爭上的GPIO模塊作為主控制器的熱備份，在運行過程中系統的主控制器發生故障時，系統自動切換到備份模塊。2塊GPIO模塊之間設計2路用于控制器搶權的離散量接口，1路為輸出離散量，1路為輸入離散量，如圖3所示，輸出離散量用來表示自己是否取得系統控制權，當輸出為1時表示取得控制權，輸出為0時表示未取得。系統控制器搶權過程如下：

1）系統識別到該模塊為GPIO1時，設置為系統控制器，輸出離散量設置為“1”;

2） GPIO2模塊檢測到輸入為“1”時，設置自身輸出離散量為“0”，作為備份模塊;

3） 如系統控制器GPIO1發生故障，輸出離散量狀態由“1”變為“0”;

4） GPIO2監測到輸入為“0”時，判斷系統控制器故障，設置自身輸出離散量為“1”，GPIO2負責實現ICP主控制器相關功能。

GPIO模塊除完成相應的計算處理功能外，還負責對外IO接口，互為備份的2塊GPIO模塊，它們都能訪問外部I/O接口，但系統控制器在數據處理、接收控制指令、系統控制等方面起著決定性的作用;備份模塊執行診斷和監視系統控制器工作狀態的好壞，通過查詢運行中的系統控制器的工作狀態，可接收外部輸入進行處理，同系統控制器執行同樣的處理、操作，但不執行輸出控制，不進行系統控制。備控模塊能夠實時保存最新的系統控制數據，以便在主/備模式切換時保證系統工作的無縫連接。IO功能接口設計如圖4所示，對于外部輸入信號，同時輸入到2塊GPIO模塊中，進行同樣的處理，對于輸出信號，2塊GPIO模塊輸出接口并聯后輸出到外部接口，但使用搶權輸出離散量作為使能控制信號，僅作為系統控制器的GPIO模塊可以輸出，備份模塊禁止輸出，這樣控制邏輯保證一個時刻只有一個通道對外打開，提高系統工作的穩定性，避免兩個處理器競爭搶占外部接口共同控制的情形。

3 可靠性分析

綜合核心處理機按照系統架構設計，主要由特定的LRM模塊完成相應的計算處理功能，來實現整個系統任務的運行，為了便于分析通過容錯設計后的架構對整個系統任務可靠性的提高，這里簡化相應模型進行計算，假設系統共需要GPP模塊5塊，所有模塊失效率都相同為λ。

在沒有冗余備份，按照綜合核心處理機功能設計需要完成系統功能任務的情況下，需要NSM模塊1塊，GPIO模塊1塊，GPP模塊5塊，MMM模塊1塊，綜合核心處理機任務可靠性模型如圖5所示。

在進行容錯設計后，綜合核心處理機任務可靠性模型如圖6所示。

對于串聯系統，其對應的系統可靠性數學模型和平均無故障時間見公式（1）和（2）。

[RS=e-i=1nλit] ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（1）

MTBF ?= [0∞tf（t）dt] =[1i-1Nλi] ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? （2）

對于并聯系統，其對應系統可靠性數學模型見公式（3），當所有模塊失效率相同時，系統的平均無故障時間見公式（4）。

[RS=1-i=1N1-Rit] ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（3）

MTBF = [1λi=1N1i] ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（4）

由公式可知，無容錯設計的綜合核心處理機其平均無故障時間為：

MTBF = [19λ] = 0.11[1λ]

增加容錯設計后，對于雙余度設計，其余度失效率為[23λ]，對于GPP模塊5+1備份設計，其余度失效率為[1130λ]，所以綜合核心處理機平均無故障時間為：

MTBF = [123λ+23λ+23λ+1130λ+λ] = [30101λ] = 0.297[1λ]

由此可見，綜合核心處理機在采用余度容錯設計后，產品可靠性得到了較大提高。

4 結論

基于冗余技術，設計了一種具有一定容錯設計的綜合核心處理機方案，大幅度地提高了系統任務可靠性，該方法可廣泛應用于機載電子設備，使機載電子設備適應高可靠性的作戰要求。但是，現代化戰斗機的發展背景下，機載電子設備越來越朝著集成化、小型化方向發展，冗余設計必然帶來設備的結構尺寸、重量、費效比等方面的壓力;因此毫無節制的設計冗余顯然是現代化機載電子設備所不能承受的。綜合考慮結構尺寸、重量、經費、功耗、軟硬件配制，考慮各種約束條件，綜合多層次冗余方式的權衡是現代化機載電子設備的重要容錯設計思路。

參考文獻：

[1] 周濤.航空電子系統的可靠性分析[J].科技創新導報，2016，13（7）：19-22，80.

[2] 王永國，鄧道杰，於二軍，等.機載機電系統雙余度管理技術研究[J].航空計算技術，2019，49（3）：95-98，102.

[3] 趙剛，譚偉.以冗余為中心的航電設備可靠性設計[J].電子技術，2018，47（6）：81-83.

【通聯編輯：梁書】