一种高可信赖测控计算机的设计与实现
作者：熊建 熊光泽

摘要  首先，从硬件的角度对计算机容错系统的理论基础、结构模型作简单论述。随后，介绍一种基于实时操作系统CRTOS 2.0、MPC860嵌入式处理器的高可信赖的测控计算机系统硬件平台的设计方案，并着重阐述其中最主要的热备份测控计算机C P U 板电路和仲裁电路等关键模块的设计细节。

关键词  MPC860  硬件容错  1553B  ARNIC429  双机热备份

引  言 

测控设备在信号检测、工业控制、医疗仪器、航空航天等领域应用十分广泛。目前测控系统大多是以工业控制计算机作为控制中心。但是这种方法主要有以下缺点：一是工业控制计算机控制通信功能相对比较弱，要增强控制通信功能就必须外加很多电路，从而使系统设计复杂，系统可靠性难以提高；二是工业控制计算机体积较大，不能满足某些特定行业的需要；三是工业控制计算机不适合于环境恶劣和可靠性要求很高的场合。 

在航空领域中，有众多的测控仪器。这些仪器不仅要求可靠性高、重量轻、体积小，而且要求计算机抗恶劣环境能力强、能够与各种不同的航电设备通信。而机载燃油测控计算机就是一种典型的航空测量仪器，它为航空器驾驶员和其它航空设备提供重要的信息。它的工作是否可靠，直接关系到人民的生命财产安全。 

针对以上情况，我们采用了通信功能强大的芯片MPC860为主要处理器，设计了一种以硬件容错为基础的高可信赖的专用计算机。

1  硬件容错模型 

容错技术主要是依靠资源的冗余和系统重构资源的精心组织来完成的。随着半导体元件体积的缩小及成本的下降，以及超大规模集成电路的发展，在计算机容错系统的设计中采用硬件冗余成为当前比较常用的方法。硬件冗余分为被动硬件冗余、主动硬件冗余和混合硬件冗余。 

被动硬件冗余又称为静态硬件冗余。它应用了故障掩蔽的概念，即是指冗余结构并不随故障情况变化的冗余形式。通常采用的结构是三模冗余TMR(Triple Modular Redundancy)和二模冗余结构。为了进一步提高系统的可靠性，可以采用N模冗余(NMR)。NMR与TMR的原理相同，只是采用N个相同的模块。N一般为奇数，以方便进行多数表决。NMR可以容忍(N一1)/2个故障模块。 

主动硬件冗余又称为动态硬件冗余，主要采用重组技术。它通过故障检测、故障定位及故障恢复来达到容错的一种技术。主动硬件冗余的形式有双机比较、备用替换和成对备用。  带热备份的双机比较系统是在增强型双机比较系统的基础上，增加了一个热备计算机，通常系统中带有进行故障定位的自诊断程序。系统的工作原理是，系统开始以双机运行，当双机比较系统出现故障时，启动自诊断程序进行故障定位，定位故障后，切换开关将故障机器从系统中切除并换上处于正常工作状态的热备计算机。系统继续以双机模式运行。   

根据上述增强型双机比较系统模型及实际课题应用要求，我们去掉了比较器，热备份计算机，提出了图1所示的简化双机热备系统结构模型，并加以实现。   

图1中，系统启动时默认将计算机A作为主系统输出，计算机B作为热备机使用。A机与B机并行执行相同的计算，且A机和B机各有独自的外围控制逻辑和外设，既不会引起系统资源的竞争，又增加了整体系统的稳定性。当然，这样是以花费更多的硬件设施为代价的。主备用机之间的切换用专门设计的仲裁检测电路来实现。仲裁检测电路根据A机与B机周期向它发送的自检信号来判断A机系统与B机系统运行的状况，并控制切换开关K1、K2的操作。①如果A机与B机均正常运行，则将A机的运行结果作为系统输出；②如果A机正常而B机故障，亦将A机的运行结果作为系统输出，同时将B机的运行故障状态报告给A机，并向B机进行复位控制操作；③如果A机故障，B机正常，则进行开关切换操作，将B机的运行结果作为系统输出，同时将A机的运行故障状态报告给B机，并向A机进行复位控制操作(所有的操作过程均作为日志文件保存在系统内，停机后根据日志记录将故障机转入维修)；④如果A机与B机均故障，则由仲裁电路发出报警信号，表明系统不可用。

2  设计方案及系统结构 

本系统的设计目标是实现一个机载燃油测量嵌入式容错管理控制系统，用于机载燃油系统的测量、管理和控制，采用双机热备系统模型。设计内容主要包括热备份双工的硬件设计，数据采样和驱动程序设计，并提供在嵌入式实时多任务操作系统之上的应用编程接口。系统的主要功能包括提供系统基本状态自诊断(自测试)、系统硬件监控、系统总线超时监控、提供系统单点故障容错、系统双机切换等。同时，为了与其它最新的航空设备进行数据交换，系统还要求提供ARNIC429和1553B等高级接口。 

采用的方案系统框图