一種高可信賴測控計算機的設計與實現
作者：熊建 熊光澤

摘要  首先，從硬件的角度對計算機容錯系統的理論基礎、結構模型作簡單論述。隨后，介紹一種基于實時操作系統CRTOS 2.0、MPC860嵌入式處理器的高可信賴的測控計算機系統硬件平臺的設計方案，并著重闡述其中最主要的熱備份測控計算機C P U 板電路和仲裁電路等關鍵模塊的設計細節。

關鍵詞  MPC860  硬件容錯  1553B  ARNIC429  雙機熱備份

引  言 

測控設備在信號檢測、工業控制、醫療儀器、航空航天等領域應用十分廣泛。目前測控系統大多是以工業控制計算機作為控制中心。但是這種方法主要有以下缺點：一是工業控制計算機控制通信功能相對比較弱，要增強控制通信功能就必須外加很多電路，從而使系統設計復雜，系統可靠性難以提高；二是工業控制計算機體積較大，不能滿足某些特定行業的需要；三是工業控制計算機不適合于環境惡劣和可靠性要求很高的場合。 

在航空領域中，有眾多的測控儀器。這些儀器不僅要求可靠性高、重量輕、體積小，而且要求計算機抗惡劣環境能力強、能夠與各種不同的航電設備通信。而機載燃油測控計算機就是一種典型的航空測量儀器，它為航空器駕駛員和其它航空設備提供重要的信息。它的工作是否可靠，直接關系到人民的生命財產安全。 

針對以上情況，我們采用了通信功能強大的芯片MPC860為主要處理器，設計了一種以硬件容錯為基礎的高可信賴的專用計算機。

1  硬件容錯模型 

容錯技術主要是依靠資源的冗余和系統重構資源的精心組織來完成的。隨著半導體元件體積的縮小及成本的下降，以及超大規模集成電路的發展，在計算機容錯系統的設計中采用硬件冗余成為當前比較常用的方法。硬件冗余分為被動硬件冗余、主動硬件冗余和混合硬件冗余。 

被動硬件冗余又稱為靜態硬件冗余。它應用了故障掩蔽的概念，即是指冗余結構并不隨故障情況變化的冗余形式。通常采用的結構是三模冗余TMR(Triple Modular Redundancy)和二模冗余結構。為了進一步提高系統的可靠性，可以采用N模冗余(NMR)。NMR與TMR的原理相同，只是采用N個相同的模塊。N一般為奇數，以方便進行多數表決。NMR可以容忍(N一1)/2個故障模塊。 

主動硬件冗余又稱為動態硬件冗余，主要采用重組技術。它通過故障檢測、故障定位及故障恢復來達到容錯的一種技術。主動硬件冗余的形式有雙機比較、備用替換和成對備用。  帶熱備份的雙機比較系統是在增強型雙機比較系統的基礎上，增加了一個熱備計算機，通常系統中帶有進行故障定位的自診斷程序。系統的工作原理是，系統開始以雙機運行，當雙機比較系統出現故障時，啟動自診斷程序進行故障定位，定位故障后，切換開關將故障機器從系統中切除并換上處于正常工作狀態的熱備計算機。系統繼續以雙機模式運行。   

根據上述增強型雙機比較系統模型及實際課題應用要求，我們去掉了比較器，熱備份計算機，提出了圖1所示的簡化雙機熱備系統結構模型，并加以實現。   

圖1中，系統啟動時默認將計算機A作為主系統輸出，計算機B作為熱備機使用。A機與B機并行執行相同的計算，且A機和B機各有獨自的外圍控制邏輯和外設，既不會引起系統資源的競爭，又增加了整體系統的穩定性。當然，這樣是以花費更多的硬件設施為代價的。主備用機之間的切換用專門設計的仲裁檢測電路來實現。仲裁檢測電路根據A機與B機周期向它發送的自檢信號來判斷A機系統與B機系統運行的狀況，并控制切換開關K1、K2的操作。①如果A機與B機均正常運行，則將A機的運行結果作為系統輸出；②如果A機正常而B機故障，亦將A機的運行結果作為系統輸出，同時將B機的運行故障狀態報告給A機，并向B機進行復位控制操作；③如果A機故障，B機正常，則進行開關切換操作，將B機的運行結果作為系統輸出，同時將A機的運行故障狀態報告給B機，并向A機進行復位控制操作(所有的操作過程均作為日志文件保存在系統內，停機后根據日志記錄將故障機轉入維修)；④如果A機與B機均故障，則由仲裁電路發出報警信號，表明系統不可用。

2  設計方案及系統結構 

本系統的設計目標是實現一個機載燃油測量嵌入式容錯管理控制系統，用于機載燃油系統的測量、管理和控制，采用雙機熱備系統模型。設計內容主要包括熱備份雙工的硬件設計，數據采樣和驅動程序設計，并提供在嵌入式實時多任務操作系統之上的應用編程接口。系統的主要功能包括提供系統基本狀態自診斷(自測試)、系統硬件監控、系統總線超時監控、提供系統單點故障容錯、系統雙機切換等。同時，為了與其它最新的航空設備進行數據交換，系統還要求提供ARNIC429和1553B等高級接口。 

采用的方案系統框圖