摘要 提出一种基于at91rm9200处理器的高可靠双机温备解决方案。利用eplc6、max6374设计两个冗余的外部watchdog监控处理器系统的工作状态，利用at91rm9200自带的watchdog作为内部监测机制监控处理器本身的故障；设计并给出了以at91rm9200为核心的监控机制的具体实现，包括心跳信号的发送和中断服务程序的设计。

　　关键词 at91rm9200 watchdog双机客错系统 温备 高可靠系统

　　本文设计了一种以at91rm9200处理器为核心的高可靠嵌入式系统。系统具有两台机组，当一台机组发生故障后，另一台机组接管工作并继续运行。系统提供外部和内部watchdog(看门狗)监控机制构成一级冗余、两级监控的可靠性设计方案。其中外部watchdog分别采用max6374和以eplc6 fpga构建的监控电路，而内部watchdog则利用at91rm9200自带的watchdog模块实现。本文分别从硬件和软件两个角度阐述系统的实现。

　　1 系统总体结构设计

　　1．1 at91rm9200处理器

　　at91rm9200是atrnel公司生产的一款工业级arm9处理器，内嵌arm920t arm thumb处理器核，主频为180 mhz时性能可达200 mips，并内置16 kb sram和128 kb rom。外部总线接口(ebi)支持sdram等存储器，带有7个外部巾断源，1个快速中断源和4个32位pio控制器，最多支持122个可编程i／o端口。同时该芯片还内嵌ethemet maclo／100m接口，并提供usb 2．0全速主机端口与设备接口，以及其他常用的外部接口。

　　1.2 系统结构设计

　　为了提高可靠性，本系统采用基于温备的系统级可靠性设计方案。温备是在热备和冷备的基础上发展起来的一种双机容错技术，它是指两台机组同时加电，但只有主机处于工作状态，备机处于“温态”(空转等待接管主机工作的状态)。当主机发生故障时，由备机接替主机继续工作。故障机修复完毕后成为新的备机。与热备相比，温备方案具有实现简单、性能稳定等优点；相对于冷备方案，温备方案中的备机能够在主机故障后快速重启系统，从而最小化系统短时故障造成的损失。

　　系统具有两个处理器模块，每个处理器模块都以at9lrm9200作为计算核心，称为“机组”。每台机组可以单独成为一个独立的子系统完成各项任务。系统还具有一块仲裁板，用于仲裁数据信号以及控制双机的工作方式。系统结构框图如图1所示。

　　利用at91rm9200自带的多种外设接口，每台机组中除了具备处理器模块之外，还带有以太网接口、usb接口(用于连接usb接口无线网卡)和rs232串行接口。利用网络通信的特有工作方式，每台机组上的有线网络接口连接到一个集线器，usb接几无线网卡工作于managed模式，因此网络接口信号不需要集中的仲裁输入／输出，系统只需仲裁板提供对串口输入／输出信号的仲裁。这种方式也为双机之间传递同步信息提供一种有效途径：运行于双机中的应用程序可以利用有线网络或无线网络传递同步信息，当主机发生故障后，备机中的用户程序可以从最近的同步点开始工作，从而最小化主机故障造成的损失。

　　仲裁板上的控制逻辑通过两台机组的控制信号接口获取各机组当前工作状态，从而判断当前系统的工作模式，并据此控制机组与外部设备的连接。控制逻辑还负责向两台机组提供当前系统的工作状况，以便为运行于机组中的应用程序提供决策参考。

　　1.3 系统可靠性方案设计

　　为了提高整个系统的可靠性，须根据温备的特点设计各种监控机制。本系统针对每一台机组均设有watchdog电路用于监控机组运行。一旦某台机组发牛故障，经过一定时间后，故障机相应的watchdog会检测到故障的出现，并通过向故障机组发送nreset信号复位故障机组，同时向另一台机组发送irq信号以通知接管工作。控制逻辑保持主机与外部设备的连接，一旦主机发生故障，控制逻辑将更改工作状态，接通新主机与外部设备的连接。

　　在系统中，采用内部和外部两级监控策略。内部监控方案利用at91rm9200处理器内部watchdog模块实现；外部监控方案则利用仲裁板中的eplc6 fpga和专用watchdog芯片max6374实现。其中，max6374芯片是实现外部监控功能的主体。当max6374损坏时，则采用位于ep1c6内部利用硬件描述语言实现的watchdog接管外部监控工作，从而构成冗余的外部监控机制。内部监控机制的优先级低于仲裁板上外部监控机制的优先级。如果仲裁板上的两个watchdog均发生失效，因而不能重启cpu板时，at9lrm9200的内部watchdog将会发生作用，重启cpu。这是通过控制内外两种watchdog计数时间的长短来实现的。将max6374的定时时间设置为3s，eplc6的定时时间设置为4s，而at9lrm9200内部watchdog定时时间设置为5 s。因此at91rm9200内部软件watchdog和仲裁板上的硬件watchdog构成了系统中的两级监控、一级冗余的监控机制。系统的可靠性设计方案示意图如图2所示。

　　摘要 提出一种基于at91rm9200处理器的高可靠双机温备解决方案。利用eplc6、max6374设计两个冗余的外部watchdog监控处理器系统的工作状态，利用at91rm9200自带的watchdog作为内部监测机制监控处理器本身的故障；设计并给出了以at91rm9200为核心的监控机制的具体实现，包括心跳信号的发送和中断服务程序的设计。

　　关键词 at91rm9200 watchdog双机客错系统 温备 高可靠系统

　　本文设计了一种以at91rm9200处理器为核心的高可靠嵌入式系统。系统具有两台机组，当一台机组发生故障后，另一台机组接管工作并继续运行。系统提供外部和内部watchdog(看门狗)监控机制构成一级冗余、两级监控的可靠性设计方案。其中外部watchdog分别采用max6374和以eplc6 fpga构建的监控电路，而内部watchdog则利用at91rm9200自带的watchdog模块实现。本文分别从硬件和软件两个角度阐述系统的实现。

　　1 系统总体结构设计

　　1．1 at91rm9200处理器

　　at91rm9200是atrnel公司生产的一款工业级arm9处理器，内嵌arm920t arm thumb处理器核，主频为180 mhz时性能可达200 mips，并内置16 kb sram和128 kb rom。外部总线接口(ebi)支持sdram等存储器，带有7个外部巾断源，1个快速中断源和4个32位pio控制器，最多支持122个可编程i／o端口。同时该芯片还内嵌ethemet maclo／100m接口，并提供usb 2．0全速主机端口与设备接口，以及其他常用的外部接口。

　　1.2 系统结构设计

　　为了提高可靠性，本系统采用基于温备的系统级可靠性设计方案。温备是在热备和冷备的基础上发展起来的一种双机容错技术，它是指两台机组同时加电，但只有主机处于工作状态，备机处于“温态”(空转等待接管主机工作的状态)。当主机发生故障时，由备机接替主机继续工作。故障机修复完毕后成为新的备机。与热备相比，温备方案具有实现简单、性能稳定等优点；相对于冷备方案，温备方案中的备机能够在主机故障后快速重启系统，从而最小化系统短时故障造成的损失。

　　系统具有两个处理器模块，每个处理器模块都以at9lrm9200作为计算核心，称为“机组”。每台机组可以单独成为一个独立的子系统完成各项任务。系统还具有一块仲裁板，用于仲裁数据信号以及控制双机的工作方式。系统结构框图如图1所示。

　　利用at91rm9200自带的多种外设接口，每台机组中除了具备处理器模块之外，还带有以太网接口、usb接口(用于连接usb接口无线网卡)和rs232串行接口。利用网络通信的特有工作方式，每台机组上的有线网络接口连接到一个集线器，usb接几无线网卡工作于managed模式，因此网络接口信号不需要集中的仲裁输入／输出，系统只需仲裁板提供对串口输入／输出信号的仲裁。这种方式也为双机之间传递同步信息提供一种有效途径：运行于双机中的应用程序可以利用有线网络或无线网络传递同步信息，当主机发生故障后，备机中的用户程序可以从最近的同步点开始工作，从而最小化主机故障造成的损失。

　　仲裁板上的控制逻辑通过两台机组的控制信号接口获取各机组当前工作状态，从而判断当前系统的工作模式，并据此控制机组与外部设备的连接。控制逻辑还负责向两台机组提供当前系统的工作状况，以便为运行于机组中的应用程序提供决策参考。

　　1.3 系统可靠性方案设计

　　为了提高整个系统的可靠性，须根据温备的特点设计各种监控机制。本系统针对每一台机组均设有watchdog电路用于监控机组运行。一旦某台机组发牛故障，经过一定时间后，故障机相应的watchdog会检测到故障的出现，并通过向故障机组发送nreset信号复位故障机组，同时向另一台机组发送irq信号以通知接管工作。控制逻辑保持主机与外部设备的连接，一旦主机发生故障，控制逻辑将更改工作状态，接通新主机与外部设备的连接。

　　在系统中，采用内部和外部两级监控策略。内部监控方案利用at91rm9200处理器内部watchdog模块实现；外部监控方案则利用仲裁板中的eplc6 fpga和专用watchdog芯片max6374实现。其中，max6374芯片是实现外部监控功能的主体。当max6374损坏时，则采用位于ep1c6内部利用硬件描述语言实现的watchdog接管外部监控工作，从而构成冗余的外部监控机制。内部监控机制的优先级低于仲裁板上外部监控机制的优先级。如果仲裁板上的两个watchdog均发生失效，因而不能重启cpu板时，at9lrm9200的内部watchdog将会发生作用，重启cpu。这是通过控制内外两种watchdog计数时间的长短来实现的。将max6374的定时时间设置为3s，eplc6的定时时间设置为4s，而at9lrm9200内部watchdog定时时间设置为5 s。因此at91rm9200内部软件watchdog和仲裁板上的硬件watchdog构成了系统中的两级监控、一级冗余的监控机制。系统的可靠性设计方案示意图如图2所示。