黃 波 曹幫林 張福鑫 陳 偉

北京航天自動控制研究所，北京100854

冗余設計技術(shù)在提高系統(tǒng)任務可靠性的同時，不可避免地提升了系統(tǒng)的復雜度。冗余系統(tǒng)可靠度、容錯度與容錯效率反映了容錯結(jié)構(gòu)對系統(tǒng)資源的利用率［1］。與基于故障檢測與重構(gòu)的動態(tài)冗余容錯技術(shù)相比，基于硬件冗余的靜態(tài)冗余技術(shù)具有原理簡單、易于實現(xiàn)的優(yōu)點，但需要投入更多的冗余硬件資源［2］。雙模熱備與三模冗余(TMR)為這2種冗余技術(shù)的典型代表［3］。文獻［4-6］論述了一類三模冗余計算機，其結(jié)構(gòu)示意圖及工作流程分別如圖1和2所示，其工作原理為:三機在實現(xiàn)同步的前提下，通過三機交叉通道數(shù)據(jù)鏈(例如雙口RAM、高速總線等)實現(xiàn)信息交換，使每個冗余模塊均獲得相同輸入信息，通過“三取二”表決實現(xiàn)對一度故障的自動吸收。文獻［7-8］所論述的雙機容錯計算機通過數(shù)據(jù)交換實現(xiàn)故障檢測、通過自檢實現(xiàn)故障機隔離。顯然，相對非余度系統(tǒng)，信息交換、比對與表決增加了軟硬件設計的復雜度，并產(chǎn)生了額外的時間開銷。

為了吸收動態(tài)冗余和靜態(tài)冗余技術(shù)各自優(yōu)點，文獻［2］提出了一種“N模塊冗余+備份冗余”的混合容錯設計思路，文獻［9］提出了一種具體的混合冗余三模容錯系統(tǒng)，其工作原理仍然以信息交換為基礎。

圖1 TMR結(jié)構(gòu)示意圖

在多總線(為便于描述，本文指1553B總線，簡稱總線，本文提出的設計思路也適用于類似總線系統(tǒng))冗余控制系統(tǒng)中，總線控制器失效影響不僅僅局限于其本身，而是形成一種故障耦合關(guān)系。例如，對于采用一個余度總線控制器管理一條總線的多余度總線控制系統(tǒng)容錯結(jié)構(gòu)中，當其中一個余度總線控制器失效時，將導致其所管理的總線上掛接的所有節(jié)點失去作用，從而降低了冗余資源的利用率。

本文針對多總線冗余控制系統(tǒng)特點，提出了一種三模混合容錯結(jié)構(gòu)，通過一種自檢、互檢與表決機制相結(jié)合的軟硬件協(xié)同混合冗余管理機制，既降低了軟硬件實現(xiàn)的復雜度，又提高了系統(tǒng)容錯效率，可在飛行器控制、工業(yè)控制等高可靠控制場合推廣應用。

1 容錯系統(tǒng)總體結(jié)構(gòu)

本文以完全對稱或非對稱三余度總線控制系統(tǒng)作為對象，其中非對稱三余度系統(tǒng)結(jié)構(gòu)如圖3所示，系統(tǒng)配套設備可分為傳感器、控制計算機和執(zhí)行器3大類。其中控制計算機作為總線控制器完成控制律計算，三余度傳感器與雙余度傳感器可能是測量同一物理量或不同物理量的相同或不同類型的余度傳感器，余度配置數(shù)量根據(jù)其提供信息的自診斷性、與其他設備的互診斷性以及失效后的危害嚴酷度綜合確定。由于傳感器故障診斷和執(zhí)行器余度管理與具體控制對象相關(guān)，本文不展開論述，只重點論述以控制計算機為核心的多總線控制系統(tǒng)冗余管理設計。

控制計算機采用三?；旌先哂嘟Y(jié)構(gòu)，由獨立的A機、B機與C機三機組成，其工作原理示意圖如圖4所示(圖示為A機為當班機、B機與C機為熱備機的情形)。控制計算機三機采取當班機主控、備機跟隨的工作方式，當班機執(zhí)行“采樣-運算-輸出”的控制流程，備機跟隨當班機運行，系統(tǒng)基本冗余管理流程如下:

1)控制計算機三機上電自檢后，通過競爭確定當班機或備機角色;

2)當班機作為三總線控制器完成各傳感器信息采樣;備機作為總線監(jiān)視器同步獲得傳感器測量信息;

3)當班機、備機并行開展傳感器信息處理與控制運算;

4)當班機通過三總線向執(zhí)行器輸出控制指令;如果備機通過監(jiān)視當班機通過總線發(fā)出的控制指令與本機不一致或超出一定的容差范圍，則向當班機發(fā)出當班機不允許當班信號;

圖3 三余度總線控制系統(tǒng)

圖4 控制計算機冗余結(jié)構(gòu)示意圖

5)在三機模式下，如果雙備機均發(fā)出當班機故障指示信號，則當班控制電路強制當班機釋放當班控制權(quán)，雙備機再次競爭當班控制權(quán)，在下一個控制周期，取得當班權(quán)的備機接管三總線，系統(tǒng)轉(zhuǎn)入雙機運行模式;如果只有一個備機持續(xù)一定時間發(fā)出當班機故障指示信號，而沒有出現(xiàn)當班機切換事件，則表明該備機故障，從而終止其程序，系統(tǒng)轉(zhuǎn)入雙機運行模式;

6)在雙機運行模式下，當班機發(fā)生故障時，主動釋放當班控制權(quán)，備機在下一個控制周期接管三總線，轉(zhuǎn)入單機運行模式。

由上述工作流程可以看出，混合冗余控制計算機綜合了自檢、互檢與間接的三取二表決冗余管理機制，實現(xiàn)了三機表決、雙機熱備與單機運行3種工作模式故障條件下自動切換。該設計方案取消了三機之間專門交叉數(shù)據(jù)鏈，簡化了軟硬件設計，由于當班機軟件不直接進行冗余管理，提高了系統(tǒng)實時性。此外，控制計算機任何余度故障均不會導致一條總線失去控制，使系統(tǒng)可以容忍任何配套設備任何余度模塊任意一度故障及其組合故障和典型二度故障，提高了系統(tǒng)的容錯效率。

2 系統(tǒng)容錯設計

系統(tǒng)容錯主要由控制計算機通過軟硬件協(xié)同的方式實現(xiàn)，本文論述軟硬件容錯設計邏輯，對其實現(xiàn)不展開描述，其中硬件設計邏輯一般可由CPLD/FPGA可編程器件實現(xiàn)。

2.1 整機結(jié)構(gòu)

控制計算機由3個設計原理相同的獨立計算機模塊組成，按照信號連接關(guān)系每機均可定義其左/右機。在產(chǎn)品實現(xiàn)上，三機可以采取相似設計或非相似設計［10］。三機之間交互的信號主要包括心跳信號、當班控制信號與不允許當班信號等少量離散量控制信號以及控制周期信號。從任意一機視角，基本硬件設計原理與左/右機信號接口以及軟硬件接口關(guān)系示意圖如圖5所示，后文針對該圖詳細描述其設計原理。

2.2 三機同步

三機同步為容錯基礎。三機采用實時響應同步控制周期中斷信號的方式實現(xiàn)三機任務級同步。三機控制周期中斷信號采用一種帶反饋機制的自檢與表決相結(jié)合的硬件同步方案，其設計原理示意圖如圖6所示，其邏輯設計如下:

1)本機時鐘通過分頻器產(chǎn)生本機控制周期信號，該周期信號的計時起點為控制周期信號表決器給出控制周期信號起點;

2)左機與右機周期信號檢測模塊利用本機時鐘對接收到的左機與右機控制周期信號進行故障檢測，如果其周期在設定的偏差范圍外則判定其故障，否則判定其正常;

3)如果左機與右機控制周期信號不全故障，則控制周期信號表決器對三機控制周期信號通過三取二表決后得到表決后的控制周期信號;否則利用本機控制周期信號作為表決后的控制周期信號;周期信號表決器將經(jīng)表決后的控制周期信號發(fā)送至本機、左機與右機。

圖5 單機工作原理及接口關(guān)系示意圖

圖6 三機同步設計原理示意圖

該同步機制使得系統(tǒng)上電一個控制周期后即可實現(xiàn)三機控制周期信號同步，在任意一機、雙機時鐘信號出現(xiàn)故障時，非故障機控制周期信號相位、周期不會發(fā)生突變，從而不影響故障后的控制運算，使得三?？刂朴嬎銠C可以在時鐘信號兩度故障情況下還具備工作的基礎。

2.3 單機自檢

單機自檢硬件電路采用一種改進的“看門狗”電路，該電路如果在規(guī)定的時間內(nèi)(例如1.5個控制周期)接收到本機軟件“喂狗”操作，則向左/右機發(fā)出本機心跳信號，否則停止輸出本機心跳信號并復位本機硬件。

正常情況下，單機軟件在每個控制周期開始時對本機自檢硬件電路進行“喂狗”操作。此外，當班機、備機通過總線通信實現(xiàn)進一步的自檢。例如，如果當班機軟件在本控制周期規(guī)定時間內(nèi)總線消息通信失敗次數(shù)超出設定值，或者備機軟件在本控制周期規(guī)定時間內(nèi)監(jiān)視到的總線消息少于設定值，則認為自檢失敗。自檢失敗后，軟件停止“喂狗”操作，配合上述硬件設計，使得本機主動離線。

2.4 互檢

本機對左/右機的硬件檢測電路采用另一種改進的“看門狗”檢測電路。該檢測電路將左/右機心跳信號作為“喂狗”信號，在本機自檢正常、左機與右機發(fā)送的不允許當班信號不全有效條件下，如果在設定的時間內(nèi)沒有檢測到左/右機心跳信號，則判定其故障，向其發(fā)出左/右機不允許當班信號。

備機軟件監(jiān)測當班機通過三總線輸出的控制指令，在下述條件下，判定當班機故障，發(fā)出不允許當班指令:

1)在本控制周期規(guī)定時間內(nèi)監(jiān)視到的總線消息少于設定值;

2)備機監(jiān)視到當班機發(fā)送連續(xù)數(shù)字控制指令(如伺服指令)，以下任意條件成立:

①與本機控制指令進行比較，差值大于某個設定較大偏差。與之相配合，執(zhí)行機構(gòu)對不連續(xù)(即出現(xiàn)跳變)控制指令進行屏蔽操作，或者利用執(zhí)行機構(gòu)的慣性特性直接吸收;

②與本機控制指令進行比較，連續(xù)若干個控制周期差值大于某個設定的較小偏差;

③連續(xù)若干個控制周期沒有監(jiān)視到對應的控制指令;

④如果設定的控制周期內(nèi)連續(xù)監(jiān)視到當班機發(fā)送離散量控制指令與本機指令不一致。與之相配合，執(zhí)行機構(gòu)可采取多拍比對、一致后再執(zhí)行的冗余管理措施。

2.5 三機表決

2.5.1 當班競爭

三機上電后或當班機發(fā)生故障切換時，通過競爭的方式確定當班機。單機軟件查詢不到左/右機當班信號時，向當班控制電路發(fā)出請求當班信號。當班控制電路在單機自檢正常、左機與右機發(fā)送的不允許當班信號不全有效條件下將本機當班信號置為有效狀態(tài)，并向左/右機發(fā)送，本機軟件在查詢到本機當班信號有效、左機/右機當班信號均無效時，設置本機為當班機;否則如果查詢到本機當班信號無效、左機或右機當班信號有效時，設置本機為備機。

2.5.2 當班機故障表決

在運行過程中，如果雙備機根據(jù)2.4節(jié)所述策略均判定當班機故障時而均給出不允許當班信號時，滿足了三取二表決原則，則上述當班控制電路釋放本機當班信號;同時，硬件電路檢測到當班信號由有效狀態(tài)變?yōu)闊o效狀態(tài)時，將總線發(fā)送器使能端置無效，禁止三總線通信，進行硬件復位操作，將故障機強制下線。

2.5.3 備機故障表決

三機模式下，備機軟件根據(jù)2.4節(jié)互檢策略持續(xù)若干個控制周期發(fā)出不允許當班機當班指令且未出現(xiàn)當班機變更，則表明該備機判定當班機故障沒有得到其它兩機確認，則停止向本機自檢電路的“喂狗”操作，自檢電路觸發(fā)復位信號，故障備機離線。

2.6 雙機熱備

當系統(tǒng)轉(zhuǎn)入雙機運行模式后，多數(shù)表決條件不再可能得到滿足，當雙機模式下當班機出現(xiàn)故障時，當班機通過自檢機制釋放當班權(quán)，使得最后一個正常備機可以獲得當班權(quán)繼續(xù)完成系統(tǒng)控制功能。

3 結(jié)束語

針對完全對稱或非對稱三余度總線容錯控制系統(tǒng)結(jié)構(gòu)，設計了一種新的三取二實現(xiàn)形式，形成了一種基于自檢、互檢與表決機制相結(jié)合的冗余管理機制，實現(xiàn)了三機表決、雙機熱備與單機運行3種工作模式自動切換，簡化了軟硬件設計，提高了系統(tǒng)實時性與系統(tǒng)容錯效率。該研究成果在某飛行器控制系統(tǒng)中得到了應用，試驗表明該系統(tǒng)可以容忍任何配套設備任何余度模塊任意組合的一度故障和典型二度故障;在控制計算機余度模塊不同的故障發(fā)生時機時，經(jīng)過0～2個控制周期可以完成系統(tǒng)重構(gòu)。

［1］ 孫俊恩，宋文好，張六韜.容錯計算機技術(shù)中的幾個新概念［J］.現(xiàn)代計算機，2001，(1):6-8.(Sun Junen，Song Wenhao，Zhang Liutao.Several new conceptions in fault-tolerant computer technology［J］.Modern Comuper，2001，(1):6-8.)

［2］ 胡紹林，黃劉生.計算機控制系統(tǒng)容錯設計技術(shù)及應用［M］.北京:科學出版社，2010.

［3］ WC Carter and W G Bouricius.A survey of fault-tolerant computer architecture and its evaluation［J］.Computer，1971，4(1):9-16.

［4］ 黃濤，陳祥獻，黃海.基于三取二冗余結(jié)構(gòu)的安全計算機系統(tǒng)［J］.計算機工程 2011，37(18):254-257.(Huang Tao，Chen Xiangxian，Huang Hai.Safety computer system based on 2 out of 3 redundant structure［J］.Compter Engineering，2011，37(18):254-257.)

［5］ 郭碧洲.基于軟件表決的三模冗余星載計算機體系結(jié)構(gòu)研究與設計［D］.上海:上海交通大學，2011.(Guo Bizhou.Research and design on TMR on-board computer based on software-voting mechanism［D］.Shanghai:Shanghai Jiao Tong University，2011.)

［6］ 陳江渝.基于三模冗余綜合電子系統(tǒng)的研究［D］.杭州:浙江大學，2013.(Chen jiangyu.Research on composite electronic system based on triple modular redundancy［D］.Hangzhou:Zhejiang University，2013.)

［7］ 朱朝暉，張崇峰，陳衛(wèi)東.空間雙機容錯計算機系統(tǒng)研究［J］.上海航天，2004，(6):18-23.(Zhu Zhao hui，Zhang Chongffeng，Chen Weidong.Research on aerospace dual-computer fault-tolerant system［J］.Aerospace Shanghai，2004，(6):18-23.)

［8］ 劉小雄，陳懷民，等.自監(jiān)控二余度飛控計算機系統(tǒng)設計［J］.測控技術(shù)，2005，24(7):72-75.(Liu Xiao xiong，Chen Huaimin，et al.Design of self-monitoring dual redundancy flight control computer systems［J］.Measurement＆ Control Technology，2005，24(7):72-75.)

［9］ 李朝暉，王澤龍，宮栗，郭紀金.三微機混合冗余容錯模式及其在水輪機調(diào)速器中的應用［J］.大電機技術(shù)，1998，(1):60-64.(Li Zhaohui，Wang Zelong，Gong Li，Guo Jijin.A hybrid triplex fault-tolerant system configuration and it's application in hydroturbine governor［J］.Large Electric Machine And Hydraulic Turbine，1998，(1):60-64.)

［10］ 陳宗基，秦旭東，高金源.非相似余度飛控計算機［J］. 航空學報，2005，26(3):320-327.(Chen Zongji，Qin Xudong，Gao Jinyuan.Dissimilar redundancy flight control computer［J］.Acta Aeronautica et Astronautica Sinica，2005，26(3):320-327.)