双余度嵌入式系统容错的设计

来源：职称阁分类：电子论文时间：2018-10-15 11:28热度：

　　这篇论文主要介绍的是双余度嵌入式系统容错的设计的相关内容，本文作者就是通过对容错技术研究的内容做出详细的阐述与介绍，特推荐这篇优秀的文章供相关人士参考。

双余度嵌入式系统容错的设计

　　随着机载系统的功能日益复杂，对机载系统的可靠性要求也逐步提高。同时，由于大部分机载设备均为实时嵌入式系统，因此，如何提高系统可靠性，同时不影响其实时性，成为机载嵌入式系统设计中面临的重要问题。容错技术是提高可靠性的有效方法，机载系统常采用多余度设计，利用多余资源来换取系统可靠性的提高。考虑到提高可靠性与增加系统体积、重量、功耗的平衡，机载系统中最常用的是双余度设计。在双余度嵌入式系统设计中，如何合理地运用容错方法、有效选择故障处理策略，是提高系统可靠性并保证实时性的关键。

　　1容错技术

　　容错(fault-tolerance)是指容忍故障。容错技术是指系统对故障的容忍技术，也就是指处于工作状态的系统中一个或多个关键部分发生故障或出错时，能自动检测与诊断，并能采取相应措施保证系统维持其规定功能或保持其功能在可接受的范围内的技术。容错技术包含系统容错技术、硬件容错技术和软件容错技术[1]。系统容错技术是从系统结构方面来提高计算机系统的可靠性，主要通过故障检测、系统冗余、故障屏蔽、重组技术和系统恢复来实现。故障检测提供对已发生故障的警告，当系统内发生故障时能自动发现，并确定出故障部位、类型和大小。故障屏蔽是通过隔离和校正来消除故障效应对输出的影响，常与故障检测及动态冗余结合运用，常用方法有N模表决冗余、纠错码和屏蔽逻辑。重组技术是在故障存在时降低系统性能来隔离故障，或隔离故障部分并重组系统结构，以保证系统功能;常用方法是通过冗余资源置换故障单元，使系统继续正常工作。系统恢复是通过复原足够的系统状态，重新开始执行故障发生前的某一进程，常用软件实现，包括正向恢复、重试及检验点技术。冗余技术是依靠外加资源换取可靠性，是容错技术的关键。硬件容错技术主要是采用硬件冗余来实现容错，包括静态冗余、动态冗余和混合冗余方式。静态冗余的冗余结构不随故障情况变化，工作时全部模块都执行相同功能，通过多数表决产生输出结果、屏蔽故障。动态冗余的冗余结构随故障情况变化，通过故障检测、故障定位及系统恢复来达到容错，典型结构包括“热备份”和“冷备份”。混合冗余是利用动态冗余的备份模块和切换机构保证静态的三模冗余核心的完整性，从而延长其无故障运行时间。软件冗余主要是为了改善软件可靠性而采取的容忍措施，是为了防止软件自身缺陷所造成的故障。软件冗余功能与类型主要有以下几种:信息冗余(如纠错码检验和校正信息传输、存储差错)、时间冗余(通过指令重复执行和程序后向恢复等方式消除瞬时故障影响)、多版本设计(降低软件错误造成的影响)、故障隔离/切换/重组以及恢复块。

　　2系统设计

　　对双余度系统而言，系统设计有同构型的2个控制模块和1个输出选择机构。控制模块完成系统管理以及数据处理等功能;输出选择机构实现双余度数据的输出选择功能。控制模块由CPU、输入接口、输出接口、电源以及看门狗组成，其中，CPU上运行软件，外部交联设备的数据通过输入接口进入控制模块，控制模块通过输出接口将数据输出给输出选择机构。2个控制模块间设计交叉通信数据链路(CCDL)进行数据交互。每个控制模块均设计了看门狗(Watchdog)监控CPU状态。双余度系统设计结构如图1所示。图1双余度系;同构型双余度系统有3种工作方式:冷备份、热备份和双工。冷备份工作方式下，备份机处于静止待命状态，直至需要它接替主机工作时才上电并初始化，优点是备份机平时不消耗功率，缺点是主备切换耗时较长。热备份工作方式下，备份机与工作部分同时参与工作，但备份机不进行实际输出操作，一旦主机故障则自动切断故障部分，由备份机接替工作，优点是主备切换迅速。双工方式下，双机同时协调工作，进行结果比较后输出，优点是结果可信度高，但由于双机之间需要进行周期同步、互传结果，导致系统性能降低[2]。基于实时性和复杂度的综合考虑，选择采用双余度热备份工作方式。双余度系统的2个控制模块一个为主控模块，负责完成系统功能;另一个为备份模块，与主控模块同时工作，但不控制系统输出;当主控模块发生影响系统安全的故障时，备份模块替换主控模块接管系统。

　　3容错设计

　　选择双余度热备份工作方式后，根据系统和硬件结构，对系统进行容错设计，选择采用故障检测、故障屏蔽以及重组技术，通过软件设计来实现容错。下面分别对容错设计中的故障检测、故障屏蔽以及系统重组设计进行论述。

　　3.1故障检测设计

　　为了达到容错目的，首先必须保证系统发生故障时，能快速发现、定位故障。基于此目的，对系统进行故障检测设计，运用自诊断程序检测和Watchdog监控2种故障检测技术。设计了自诊断程序，对硬件故障和软件运行故障进行检测，检测涵盖了关键器件及数据输入输出回路的完好性检查，以及系统运行关键数据和交联通讯状态的监控。为监视CPU工作情况，启用了外置的看门狗芯片。系统上电后，软件周期性向Watchdog发送喂狗信号。当发生CPU异常或软件跑飞后，Watchdog超过设定时间未收到喂狗信号，便会发出报警信号。此外，由于部分完好性检测需要输入或输出测试激励，为了避免故障检测影响交联设备工作，按照检测时机将自诊断程序分为上电自检测、启动自检测、周期自检测和维护自检测。周期自检测是在正常工作状态中执行的自诊断程序，不允许向外部交联设备输出接口定义之外的测试数据，因此，周期自检测中禁止进行有测试激励的检测项目。启动自检测和维护自检测是在地面检测或维护过程中执行的自诊断程序，满足地面连锁条件方可启动。交联设备通过地面连锁条件可知当前处于地面检测或维护状态，忽略该系统的输出数据。因此，将有测试激励的检测项目放在启动自检测和维护自检测中进行。同时，检测过程中实时监控地面连锁条件，不满足条件时退出检测。

　　3.2故障屏蔽设计

　　通过故障检测设计，能检测出的故障多种多样。由于各种故障性质不同，对系统造成的影响范围和程度也千差万别，有的故障对系统影响甚微，有的故障可能导致系统功能丧失，有的故障瞬时出现和永久存在时对系统的影响亦不相同。若是不加区别，出现任一故障就将该余度置为故障而弃之不用，将大大降低系统的可用性。因此，在容错设计中，为保证系统的可用性，需要对不同故障进行不同方式的处理。通过系统故障模式、危害性和影响分析，识别出影响系统安全的故障，在对系统进行故障屏蔽设计时，对不影响系统安全的故障，通过隔离和校正来消除其故障效应。本文设计了采用纠错码及指令重复执行的故障屏蔽方法。由于来自外部交联设备的总线数据存在数据传输错误的可能，通过故障危害分析可知，该故障瞬态出现时对系统安全不造成影响。因此，通过对外部总线数据进行校验码分析，检验数据在传输过程中是否发生错误。对于瞬时出现的总线数据校验故障，通过丢弃校验错误的数据包，来屏蔽其故障影响。对于瞬时出现不影响系统安全、永久存在时却影响系统安全的这类型故障，根据系统安全分析，设置系统可容忍的故障持续存在时间门限。通过指令重复执行的方式，对在重复执行中未超过故障持续时间门限便消失的故障进行屏蔽，将超过故障持续时间门限的故障置为永久故障，进行相应的故障处理。

　　3.3系统重组设计

　　系统重组是通过隔离故障部分并重新组织系统结构的方式，保持系统继续正常工作[3]。对于双余度系统，当主控模块发生影响系统安全的故障时，需要隔离主控模块，由备份模块替代主控模块完成系统功能。3.3.1重组方法双余度系统设计采用热备份工作方式，2个控制模块并行工作，运行相同代码，执行相同任务，均输出数据到输出选择机构。为了让输出选择机构只向外部交联设备输出主控通道的数据，需要让输出选择机构能够识别主控和备份通道。因此，设计了从控制模块DSP向输出选择机构输出主控/备份指令的方法，该方法包括故障综合、产生输出控制信号以及故障逻辑3个步骤。系统软件运行期间，双余度各自完成故障检测，通过故障综合，将影响系统安全的故障综合成余度健康状况。双余度根据自身模块编号及仲裁策略确定主控/备份模块，并根据此结果发出输出控制信号。由于进行主/备仲裁时，各余度需要知悉彼此的健康状况，因此，设计在双余度间实时交互余度健康状况。由于发生CPU异常或软件跑飞故障时，软件无法正常工作，因此，由软件检测和综合出的余度健康状况中并不包含Watchdog监控结果，但Watchdog监控故障会导致系统功能丧失。为解决这个问题，设计了硬件故障逻辑，将软件产生的输出控制信号和Watchdog监控结果综合在一起，产生主控/备份指令，发送给输出选择机构。输出选择机构根据双余度发送的主控/备份指令，输出主控模块的数据。通过这种方式，保证只有主控模块的数据能够通过输出选择机构发送给外部交联设备，并且当主控模块发生严重故障时，能够进行主/备切换，实现系统的重组。热备份双余度系统的重组方式如图2所示。3.3.2平滑切换尽管系统的双余度是同构型、输入相同且运行相同代码，但由于硬件上的细微差异和其他随机因素，双余度的输出结果仍然可能不一致。在这种情况下，若发生系统重组，可能会导致系统输出数据突变，造成交联设备的误判断。为避免此种情形，应保证双余度的输出数据一致。为消除双余度输出数据的差异，设计了一种备份模块拷贝主控模块输出的数据同步方法:主控模块每周期将要输出的数据通过CCDL发送给备份模块;备份模块通过CCDL实时获取主控通道当前运算结果，并将接收到的CCDL数据输出，以保持双余度向输出选择机构发送的数据一致。由于其中一个余度对另一个余度是全盘接受，不需要进行数据比较，因此，双余度间不必等待同步。当系统重组时，新的主控模块与原主控模块输出数据一致，保证系统输出不发生跳变。在切换后的下一周期，新主控模块在原主控模块的输出数据基础上进行运算，保证了主/备切换的平滑过渡。这种数据同步的方法借鉴了双工工作方式的思想，但又舍弃了双工中周期同步等待和数据比较这些影响系统性能的操作，利用交叉通信数据链路这个数据交换渠道，达到双余度输出一致的目的。通过这种数据同步的方法，保证了在系统重组时，主/备模块能够快速、平稳地切换。

　　4结论

　　本文在对容错技术进行研究和对双余度系统架构进行分析的基础上，基于热备份工作方式，对机载嵌入式系统进行了容错设计，包括故障检测设计、故障屏蔽设计和系统重组设计，着重对系统重组设计中的重组方法和平滑切换技术进行了论述。本文采用的容错设计方法解决了双余度机载嵌入式系统的高可靠性问题，保证了系统的实时性。

　　作者：张雅妮单位：中航工业北京青云航空仪表有限公司

文章名称：双余度嵌入式系统容错的设计

文章地址：http://www.zhichengg.com/dzlw/10227.html

上一篇：机械控制系统中机电一体化的作用
下一篇：软件开发工程伦理问题及相关对策