（交通信息工程及控制专业论文）三模冗余系统中的同步研究.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 我国的铁路信号控制系统都是安全关键系统，系统一旦发生故障，不仅 会造成经济损失，而且还可能危及人身安全。因此，对系统的安全性和可靠 性就提出了很高的要求。三模冗余系统很好的满足了这种高可靠性、安全性 的要求。 三模冗余系统中，由于三台计算机要进行频繁的比较，所以多机之间的 同步是关键的技术，解决得好坏直接影响到三模冗余系统的功能及运行操作 的正确性。三模冗余系统主要有硬件和软件两种同步方式，硬件同步由于对 硬件的要求比较高，一般采用软件同步方式。本文采用任务级同步的软件同 步方法，在同一任务中设立表决点，对进程状态数据和应用数据进行比较和 表决。从而很好的解决了同步过程中对表决数据状态，进程状态的处理难点。 论文首先介绍了容错计算机发展状况和论文研究的主要内容。接下来介 绍了基于硬件和软件同步的三模冗余系统，并以采用软件冗余的计算机联锁 为研究的对象讨论本文采用的任务同步方式。在第三章里用p e t r i 网对系统的 同步方式进行建模，并分析了其性能。最后，详细描述了同步过程的具体实 现，介绍了同步过程中涉及各个关键点。三模冗余系统的可靠性的高低和系 统采用的同步策略有很大的关系。本文提出的一种同步方式使得各个冗余模 块间能进行很好的同步，从而保证了三模冗余系统能可靠、实时的不间断的 安全运行。 关键词容错；三模冗余；p e t r i 网；任务同步 西南交通大学硕士研究生学位论文第1 i 页 a b s tr a c t r a i l w a ys i g n a lc o n t r o ls y s t e m sa p p l i e di nc h i n aa r es a f e t y c r i t i c a lo n e o n c e s u f f e r i n gf a i l u r e ，n o to n l ye c o n o m i cl o s sw i l lb er e s u l t e d ，b u ta l s ot h e i rp e r s o n a l s a f e t yo fp e o p l em a yb ee n d a n g e r e d t h i sc a l l sf o re x t r a o r d i n a r i l yh i g l ir e q u e s to n s a f e t ya n dt h er e l i a b i l i t yo ft h e s es y s t e m s t r i p l em o d u l a rr e d u n d a n c y ( t m r ) s y s t e mm a yp e r f e c t l ys a t i s f ys u c hr e q u i r e m e n to nh i g hr e l i a b i l i t ya n ds a f e t y i nat m r s y s t e m ，a st h r e ec o m p u t e r sa r ei n v o l v e di nt h ef r e q u e n tc o m p a r i s o n ， t h es y n c h r o n i z a t i o nb e t w e e nt h e s ec o m p u t e r sb e c o m e st h ek e yt e c h n o l o g y , a st h e i m p l e m e n t a t i o no fw h i c hw i l ld i r e c ti n f l u e n c et h ec o r r e c t n e s so ff u n c t i o n sa n d e f f e c t i v e n e s so fo p e r a t i o n s g e n e r a l l y , at m rs y s t e mc a nb ea c h i e v e dw i t hf r o m s y n c h r o n i z a t i o nm e t h o d s ：w i t hh a r d w a r e ，o rv i as o f t w a r e t h es o f t w a r eb a s e d a p p r o a c hi sw i d e l ya d o p t e db e c a u s eo ft h eh i g hr e q u i r e m e n t so ft h eh a r d w a r ei n t h ef o r m e rs y n c h r o n i z a t i o nm e t h o d t h i sd i s s e r t a t i o nu s e st h es o f t w a r eb a s e dt a s k s y n c h r o n i z a t i o na n da c h i e v e st h ec o m p a r i n ga n dv o t i n go fd a t ai np r o c e s ss t a t e s a n da p p l i c a t i o n ，b ys e t t i n gm u l t i p l ev o t i n gp o i n t si no n et a s k ，t h u ss u c c e s s f u l l y s o l v e s t h ep i v o t a ld i f f i c u l t i e si n p r o c e s s i n gt h ev o t i n g o fd a t as t a t e sa n d p r o c e d u r es t a t e si nt h es y n c h r o n i z a t i o n f i r s to fa l l ，t h i sd i s s e r t a t i o ni n t r o d u c e st h ed e v e l o p m e n ts i t u a t i o no f f a u l t t o l e r a n tc o m p u t e r sa n dt h em a i nc o n t e n t so fr e s e a r c ha c t i v i t i e si n v o l v e d a f t e rt h a t ，t m rs y s t e m sb a s e do i lh a r d w a r ea n ds o f t w a r es y n c h r o n i z a t i o na r e i n t r o d u c e d ，a n dt h et a s ks y n c h r o n i z a t i o na p p r o a c ha p p l i e di nt h i sd i s s e r t a t i o ni s d i s c u s s e db yu s i n gc o m p u t e r - b a s e di n t e r l o c k i n gw i t hs o r w a r er e d u n d a n c y , a st h e s o l u t i o nu n d e rr e s e a r c h i nt h et h i r d c h a p t e r , t h ep a t t e r n o ft h e s y s t e m s y n c h r o n i z a t i o na p p r o a c h i sc o n s t r u c t e dw i t hp e t r in e t ，a n da n a l y s i st oi t s p e r f o r m a n c ei sa l s op r o v i d e d m o r e o v e r , t h ed e t a i l e di m p l e m e n t a t i o no ft h i s s y n c h r o n i z a t i o np r o c e s si se x p a t i a t e d ，w i t hi n t r o d u c t i o nt ok e yp o i n t so ft h e s y n c h r o n i z a t i o np r o c e s s t h er e l i a b i l i t yo fat m rs y s t e mi sh i g h l yr e l a t e dt ot h e s y n c h r o n i z a t i o ns t r a t e g ya p p l i e d t h es y n c h r o n i z a t i o na p p r o a c hi n t r o d u c e di n t h i sd i s s e r t a t i o nm a k e sp o s s i b i l i t yt ot h ee f f e c t i v es y n c h r o n i z a t i o na m o n g r e d u n d a n tm o d u l e sa n dt h u sa s c e r t a i n st h er e l i a b l e ，r e a l t i m ea n du n i n t e r r u p t e d 西南交通大学硕士研究生学位论文第l ii 页 o p e r a t i o nw i t hs e c u r i t y ，o fa t m r s y s t e m k e y w o r d s ：f a u l t - t o l e r a n t ；t r i p l em o d u l a rr e d u n d a n c y ；p e t r in e t s ；t a s k s y n c h r o n i z a t i o n 西南交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权西南交通大学可以将本论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或扫描等复印手段保存和汇编本学位 论文。 本学位论文属于 1 保密口，在一年解密后适用本授权书； 2 不保密彰使用本授权书。 ( 请在以上方框内打“) 掌位敝储躲勰 日期：妒秀年7 月l e l 指导老师签名：韧昀 矾滩7 月尹日 西南交通大学学位论文创新性声明 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工作 所得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中作了明确的说明。本人完全意识到本声明的法律结果由本人承担。 本学位论文的主要创新点如下： 目前，在各种容错系统中，对满足实时性要求的三模冗余软件同步过程 的模型化和验证的研究还不是很多。利用p e t r i 网，把三模冗余软件同步过程 的研究提高到模型化和验证的程度，在深入同步过程的同时，对同步方式做 进一步的设计和改进。 西南交通大学硕士研究生学位论文第1 页 1 1 概述 第1 章绪论 信息时代，信息科学技术的快速发展和广泛渗透已经成为现今社会的一 个重要的时代特征。计算机已经渗透到了社会生活的各个领域，如交通控制、 银行存款、工业控制等。它已经成为人类生活的一部分，影响人们的生活， 甚至改变着人类的生活和思维方式。计算机系统的安全性和可靠性是保证在 各个领域成功应用计算机的关键问题。一台缺乏可靠性与安全性的计算机系 统投入运行将会给社会造成无法估量的损失，甚至会带来巨大的灾难。2 0 0 6 年4 月2 0 日上午1 0 时5 6 分，中国银联系统通信网络和系统主机出现故障， 造成辖内跨行交易全部中断8 个多小时。2 0 0 6 年1 0 月1 0 日，由于中国民航 信息网络有限公司离港系统的主机出现技术故障，导致包括北京首都国际机 场等多个机场离港系统瘫痪，严重影响了北京、上海、广州等多个大型机场 的航班进出港，造成大量旅客滞留，造成了巨额的经济损失，严重影响了交 通运输秩序。可见，随着计算机应用的普及和深入，人们除了追求计算机的 处理能力外，还应将提高计算机的可靠性与安全性视为另一个重要目标。 在提高系统可靠性与安全性方面，避错与容错技术是常用的两种关键性 技术。避错即避免出错，即采用正确的设计和质量控制方法尽量避免将错误 引进系统。一般采用的技术措施有：从工艺上提高构成计算机的元器件的可 靠性；对元器件进行严格的筛选：认真地核实设计；仔细地装配；认真地测 试每个部件；对系统进行屏蔽以减少外部干扰等等。但众所周知，无论采用 何种技术，如何控制制造工艺都不可完全避免故障的发生。并且实践证明， 利用避错技术来提高系统的可靠性有一定的限度( 例如最多可使系统的平均 无故障时间增加一个数量级) ，超过这个限度将使系统的成本急剧上升。要想 进一步提高系统的可靠性则必须采用容错技术。容错技术，即容忍故障，允 许系统的某些部件出现错误，但通过系统的方法，把这些错误屏蔽掉，使得 错误没有最终表达出来，系统照样能够正常工作。容错技术在提高系统的可 信性方面具有更大的潜力。我国铁路正在向高速、重载、高密度方向发展， 大量的新技术、新系统在铁路信号系统中得到广泛的应用。这些系统的自动 西南交通大学硕士研究生学位论文第2 页 化水平不断提高，系统一旦发生故障，不仅会造成经济损失，而且还可能危 及人身安全，产生严重的社会影响。因此，研究计算机容错系统就显得尤为 重要。三模冗余系统很好的满足了这种高可靠性、安全性的要求。它是以多 数计算机信道的运行是正确的为基础，实行少数服从多数的纠错原理，即只 要三个计算机信道中有两个信道的结果一致时，系统就将它作为系统正确的 输出，这样它具有对实时任务的容错计算功能。 1 2 国内外发展状况 1 2 1 国外发展状况 世界上第一台容错计算机s a p o 是5 0 年代在捷克斯洛伐克研制的，采 用三余度表决方式，在内存中使用了奇偶检验技术。 6 0 年代开始，美国n a s a 开始支持容错计算机的研制。1 9 6 1 1 9 6 5 年研 制出第一台星载计算机，采用三余度表决，关键部件采用四余度。1 9 6 2 1 9 6 9 年研制出用于a p o l l o 登月飞船的容错计算机。性能指针为连续2 5 0 小时可 靠性达9 9 。 7 0 年代在n a s a 支持下，s r t 和m i t 分别研制出f t m p ( 容错多处理 器系统) 和s i f t ( 软件方法实现容错) 。它们主要用于大型商务机的飞行控 制。f t m p 所有处理器实现时钟同步，表决器硬件实现；s i f t 各个处理器时 钟独立，使用软件进行同步和表决。 8 0 年代以来，容错计算的研究更是欣欣向荣，容错技术的应用范围不断 扩大。计算机网络的容错、数据库的容错、软件的容错以及人工神经网络的 容错等新研究领域不断涌现。但另一方面，超大规模集成电路技术也为容错 系统的设计带来一些新的技术问题。因此，容错计算这一领域还有许多问题 有待人们去进一步研究及解决。这是一个既有光明前景又充满挑战性课题的 研究领域。 在国际上人们非常关注容错技术的发展，1 9 7 1 年，i e e e 计算机学会成 立了容错计算技术委员会并且每年召开一次国际容错计算学术会议( f t c s ) 。 在该组织发展了3 0 年之际，2 0 0 0 年i e e e 国际容错计算会议与国际信息处理 联合会( i f i p ) 的1 0 4 工作组主持的关键应用可信计算工作会议合并，从此 改名为i e e e 可信系统与网络国际会议( i c d s n ) 。i c d s n 2 0 0 0 于纽约召开， 它标志着本领域的研究，无论从内容、方法和组织方面都有重大调整，也充 西南交通大学硕士研究生学位论文第3 页 分说明了国际上对容错计算技术与可信计算技术的重视程度。 1 2 2 国内发展状况 我国的容错计算机研究基本上走“模仿一独立研制 的道路。例如，铁 路用的联锁计算机，最开始都是与国外合作，引进国外的硬件和系统软件， 然后在上面开发应用软件。9 0 年代，中国铁道科学研究院通信信号技术公司 己经研制出t y 儿t r 9 型容错计算机联锁系统。该系统是铁路车站( 包括编 组站的到达场、出发场、编尾) 进路的自动化控制系统，为车站的各种作业 ( 列、调车作业，单溜和连溜作业等) 提供安全保障。硬件上采用三取二的 冗余结构，以国际上著名的t r i c o n e x 公司的三冗余控制器为硬件基础， 输入电路、输出电路、c p u 均采用三取二的冗余措施。并且在上面设计了高 可靠的软件体系，系统采用双软件比较。 目前t y j l t r 2 0 0 0 容错计算机联锁系统是参考国内外众多的容错计算 机系统，并结合我国铁路信号的具体特点研制出来的一种新型的高可靠性、 高安全性的国产化容错计算机联锁系统。该系统已在东部环行铁道车站投入 使用，并通过了铁道部的技术审查。t y j l t r 2 0 0 0 是三余度容错计算机系统， 在硬件层上划分成操作表示、逻辑控制、采集驱动三层。车站控制局域网采 用以太网作为物理层，采用标准的n e t b i o s 协议作为通讯协议，并且实现 二余度。连锁控制总线采用c a n 总线，并且实现三余度。软件则实现任务 级松散同步。 1 3 论文研究意义和主要内容 我国的铁路信号控制系统都是安全关键系统，系统一旦发生故障，不仅 会造成经济损失，而且还可能危及人身安全。因此，对系统的安全性和可靠 性就提出了很高的要求。三模冗余系统很好的满足了这种高可靠性、安全性 的要求。 三模冗余系统中，由于三台计算机要进行频繁的比较，所以多机之间的 同步是关键的技术，解决得好坏直接影响到三模冗余系统的功能及运行操作 的正确性。三模冗余系统主要有硬件和软件两种同步方式，硬件同步由于对 硬件的要求比较高，一般采用软件同步方式。 一个典型的三模冗余实时控制系统，包括命令接收、采集、控制、驱动 4 个部分。采用任务级软件同步的方式对系统进行同步，能有有效的把这四 西南交通大学硕士研究生擘位论文第4 页 个部分有机的集合在一起。我国铁路信号设备中，计算机联锁设备是最常见 的实时控制系统，因此，研究任务级同步的三模冗余计算机联锁系统，对研 究任务级同步的三模冗余系统有很大的帮助。 p e t r i 网自提出以来，经过多年的发展，已经具有严密的数学基础。作为 一种重要的形式化方法，通过对三模冗余计算机联锁的同步过程进行建模分 析，利用模型进行同步过程的设计，在我国高速铁路发展的今天，对研究可 靠、实时的铁路信号控制系统有一定的意义。 论文总共分为4 章，具体安排如下： 第1 章为绪论，首先介绍了容错计算机的重要性和其发展现状。 第2 章分别对基于硬件和软件同步的三模冗余系统做了描述，介绍了本 文所采用的任务级同步方式。 第3 章里用p e t r i 网对三模冗余系统的同步过程进行建模，分析了它们性 能。 第4 章详细描述了同步过程的具体实现，指出了同步过程中需解决的一 系列关键问题，给出了基于此同步过程的仿真。 西南交通大学硕士研究生学位论文第5 页 第2 章三模冗余系统及其同步方式 2 1 冗余技术的基本概念 防止故障造成系统失效的两种基本容错技术：故障掩蔽技术和系统重组 技术。故障掩蔽技术是指防止故障造成差错的各种技术。该技术不要求在容 忍故障前检测故障，但要求做到故障包容。所谓故障包容是指使故障的影响 局部化，不希望一个故障全局地影响整个系统的性能。故障包容技术防止故 障的影响在系统中扩散。而故障掩蔽技术通常是达到故障包容的最有效方法。 系统重组是防止差错导致系统失效的各种技术。系统重组技术要求首先做到 故障检测，然后做到故障定位，最后做到系统恢复。故障掩蔽技术及系统重 组技术是达到容错的两种基本途径。而它们又是建立在资源冗余的基础上。 容错是依靠外加资源方法( 又称资源的冗余) 来换取可靠性的。资源冗余包 括一硬件冗余、信息冗余、时间冗余和软件冗余。 ( 1 ) 硬件冗余 在各种冗余技术中，最早使用的就是硬件冗余。硬件冗余是用增加硬设 备的方法掩盖故障造成的影响，使得计算机系统在发生局部故障时，系统仍 能正常工作，而将备份硬件接替上去。这是系统可靠性的重要内容。在考虑 硬件冗余结构时，组件级、电路级、功能单元级、部件级、系统级都可以采 用冗余结构。但在计算机系统可靠性设计时，一般很少采用组件级冗余结构， 而多在电路级、功能单元级和部件级采用冗余结构，并有并联冗余、备份冗 余结构和多数表决系统之分。其中，备份冗余又可以分为热备份、温备份和 冷备份冗余。硬件冗余结构主要用在高可靠性的场合。 硬件常用的容错方法有：四倍级冗余、三模块表决系统、待命储备系统、 混合冗余系统、硬件二模冗余系统和多处理器系统及网络的冗余结构。 ( 2 ) 信息冗余 信息冗余是指通过在数据中附加冗余的信息以达到故障检测、故障掩蔽 或容错的目的。信息冗余的例子有检错码和纠错码，它们是通过在数据中附 加冗余的信息或通过把数据字映像至含有冗余信息的新的表示而形成的编 码。目前所采用的方法主要集中在编码技术上，把代码编成定的合格码， 西南交通大学硕士研究生学位论文第6 页 然后这些码字参加计算机运行，再对运行后的合格码进行编码校验。即要经 过“编码 和“译码”两个步骤。现在常用的编码技术主要有：奇偶编码技 术、海明编码技术、剩余码编码技术、循环码技术和n 中取m 码等编码技 术。 ( 3 ) 时间冗余 硬件冗余和信息冗余均需要大量冗余硬件在许多应用中时间资源比较充 分，而硬件资源由于受重量、体积、功耗及成本的限制而相对短缺。这时， 时间冗余就有吸引力了。时间冗余的基本思想是重复进行计算以检测故障。 按照重复计算是在指令级还是在程序段级，可以分为指令复执及程序卷回。 ( 4 ) 软件冗余 软件容错主要为了纠正软件本身及硬件偶然失效所产生的错误，软件的 容错也主要是靠软件冗余来实现的。冗余可分为静态冗余和动态冗余两种。 静态冗余用来屏蔽故障的影响，使系统或部件环境看不到故障的影响：动态 冗余指运行中指示系统或部件输出有错，并对错误进行处理。软件常用的容 错方法有：软件n 版本设计技术、软件恢复技术和软件三模表决系统。 2 2 三模冗余系统结构 三模冗余简称t m r ( t r i p l em o d u l a rr e d u n d a n c y ) ，如图所示为三模冗余系 统的原理结构。m 1 ，m 2 ，m 2 是三个相同的模块，可以是三台相同的计算机， 也可以是三个相同的部件。三个模块同时执行一样的操作，其输出送到表决 器的输入瑞，然后把表决器的输出作为系统输出。 图2 1 三模冗余原理图 三模冗余的基本原理是：首先以承认“多数模块的输出是正确的 为基 本出发点，实行“少数服从多数 的纠错原理，用三取二的多数判决作为系 西南交通大学硕士研究生学位论文第7 页 统的正确输出。在一般的使用中，只注意正确的输出而并不关心各个模块的 谁对谁错。在正常情况下，三个模块同时给出三个相同的输出，表决器输出 一个结果作为三个模块的正确输出。如果任一模块出错，其输出不同于其它 两个模块，表决器仍然输出正确结果。若两个模块同时错成相同的状态，表 决器的输出被误认为是正确的；若两个模块同时错成不同的状态，则此系统 无法工作。这些情况的出现虽然是可能的，但概率非常低。 2 3 三模冗余的同步技术 三模冗余系统虽然通过冗余技术提高了系统的可靠性，但是系统将面临 如何实现各个计算机之间的协调工作。在协调完成多模块容错系统的表决、 故障模块的隔离、降级等控制过程中，三机之间的同步是冗余管理的关键技 术，解决得好坏直接影响到容错计算机系统的功能及运行操作的正确性。多 少年来，同步一直是人们致力于研究和探讨的难题。同步技术是整个容错系 统的核心。它保证了各冗余模块间保持步调一致地工作，在“某一时刻同 时完成同一任务的某个基本动作。这样，容错系统的表决过程才有意义，才 能保证系统中冗余模块的多数一致的原则，屏蔽系统中的少数故障；也才能准 确地切换故障模块，实现结构上的重构，达到容错系统的持续、正确、可靠 地运行。若冗余模块之间不能很好地同步，表决机制将处于紊乱状况，系统 无法保证正常的、可靠的工作。对以往的同步方法按同步执行的地点来区分， 一般有以下两类方式。 ( 1 ) 任务级同步 其方法为：以一个独立运行的、具有一定逻辑任务的一次运行作为同步 的基础，用这种方式，系统在任务中设立一个或多个比较、表决点。在相同 比较表决点位置，运行具有一致的任务进程状态数据和应用数据。因此可认 为在相同比较表决点位置，仿作任务即处于任务同步状态。此时可对仿作任 务中间结果和最后输出进行一致性判断，即对任务进程状态数据和应用数据 进行一致性的比较表决判断。如果不一致，则进行相应的故障处理。 ( 2 ) 利用时钟进行同步 利用时钟进行同步根据其实现机制可分为用软件实现的时钟同步法和用 硬件实现的时钟同步法。即通常所说的松散同步与硬件时钟同步。 1 ) 松散同步 松散同步允许处理机的时钟间存在一定的异步度，根据具体的运行任务 西南交通大学硕士研究生学位论文第8 页 取定一个适合的同步周期和失步阀值，各冗余模块共同并发完成同一项任务。 严格在同步周期内完成它们之间的容错表决等等的处理。 松散同步是以松散的算法替代硬件时钟同步的实现方法。系统中各冗余 模块都采用自己的时钟，它们之间工作在接近同步的方式下，这类算法所获 得的冗余模块的同步程度取决于模块之间的通讯能力、时钟之间的精确程度 和同步的频率。 为了实现松散的同步时序配合，保证n 模冗余系统的容错能力，在每个 模块中设置一个同步信箱，共含n 个窗口，每个窗口分配给一个模块，在执 行任务前后以广播方式分别填入。时间效率高的这类算法是“交互收敛”算 法，其原理是：系统中的每一冗余模块都相对其它模块的时钟计算自己的时 钟偏差。如果时钟的偏差超出了预先确定的界值，则将其清零，再用所有外 部模块的时钟偏差的平均值来调整它。 2 ) 时钟同步 硬件时钟同步方法又可分为：精确独立时钟同步、公共外时钟同步、多 级同步与锁相时钟同步等。 硬件同步方法的最初尝试是采用精确的独立时钟来获得冗余模块间时钟 同步的方法。各模块间完全隔离，依靠各模块之间时钟频率的一致性来达到 模块间的同步。采用这种同步法的关键是各模块的时钟频率必须精确一致。 可是由于时钟模块相互独立，各冗余时钟之间的相位差将是随机的，难以实 现逐字节或是逐字的硬件表决。另外，实践证明，即使是很精确的时钟也只 能使冗余模块获得很短的同步周期。由于同步周期太短，使这种方法几乎没 有什么使用价值。 在早期的硬件同步技术发展过程中，被广泛采用过的硬件同步方法是公 共外时钟同步法。这种方法很容易获得具有完全相同频率和相位的多路时钟 源，可以给冗余模块提供理想的同步时钟，因而，公共外时钟同步法在一早 期的硬件同步技术中占主导地位。但是由于外部时钟是一个公共时钟，因而 存在共点故障问题，系统不能容忍公共时钟的故障。目前，不采用这种方法 来实现时钟同步。 多级同步属于互回馈同步法。它不需要公共的外部参照时钟，而是模块 间互相回馈信息，各模块根据这种信息调节本模块不可避免的时钟漂移。多 级同步技术经过发展与改进，现已得出以下结论：若系统要容忍f 个模块同 步器的失败，系统就要有f + 1 级同步器，这就保证了至少有一级同步器是完 好的，下一级同步器就能保证系统正常同步。每一级同步器中至少有2 f + 1 西南交通大学硕士研究生学位论文第9 页 个同步器才能容忍f 个故障模块同时出现在某一级同步器。 锁相时钟同步法是采用互回馈技术的硬件时钟同步方法。这种同步方法 的特点是：不存在共模故障问题：可靠性高：硬件结构简洁：所需要的技术也 都已经比较成熟。时钟系统中的各个模块接收系统中所有其它模块的时钟脉 冲信号，并以此为据生成一个基准信号，用这个基准信号来校正各模块本身 的时钟漂移，以达到系统中各时钟模块所产生的时钟信号是同步的。 对于任务同步和利用时钟进行同步这两类同步方法，任务同步开销较大。 利用时钟进行同步则对系统的表决机构、故障检测机构、系统的状态控制机 构和系统的整体硬件参数一致性等方面都提出了更高层次的要求，实现起来 难度较大。特别是在当前高速处理器时钟频率和芯片集成度不断提高情况下， 利用时钟同步进行容错计算机开发难度越来越大，机器升级成本越来越高。 即使是松散同步，在现有高速的时钟频率下进行软件时钟同步，实现难度也 较大。相反，在有效的任务同步机制下，优化同步开销，再加上目前高速的 处理器、高速的通信总线和高带宽的系统总线，往往也可得到满意的容错计 算效果。特别是l i n u x 的出现，其内核源码的开放性为我们开发具有透明 容错功能的任务同步容错计算机提供了契机。 2 4 时钟同步的三模冗余系统 当前容错计算机技术已经进入实用化和工程化阶段。各种主要的、关键 的容错技术都已经得到了应用。于是出现了一批研制容错计算机的专业公司， s t r a t u s 、t a n d e m 等公司，他们对时钟同步的三模冗余系统也有一定的 研究和成果。 2 4 1日本联锁i 型联锁主机 联锁i 型的容错联锁主机系统，适合安装在线路等级高、测控规模大的 车站。在日本铁路的主要运营线路上，已经有相当数量的联锁i 型设备在使 用。它担负着联锁运算以及输入、输出等需要高安全性的工作，所以他是特 意考虑安全性而开发的三重化高安全性的计算机系统。容错联锁主机系统的 结构图如2 2 所示。 西南交通大学硕士研究生学位论文第1 0 页 图2 2 联锁i 型三模冗余系统硬件结构图 在上图中，c p u ( i n t e l 8 0 8 5 ) 由同一时钟来同步，而在他们的内部总线 上设置多数判决电路。由于内部总线上的信息( 地址信号、数据信号以及控 制信号) 以c p u 的机械周期进行比较照查，从而能够检查出瞬时错误，并能 够通过多数判决电路使其得到修正。 如上所述，某一个系的瞬间错误能够得到修正，但是当连续呈现该种状 态时，如果恰恰另一个系也出现了故障，则将转移为二重故障状态。这将是 非常危险的。所以，当呈现连续故障的状态时，立即将故障从系统中分离开 来，使系统处于二重系运行状态。实际上是这样设计的：对于瞬时故障，采 取修正措施：对于固定型故障，采取分离开来的措施。 当系统处于二重系运行状态时，如果比较结果发现不一致，则立即停止 系统的运行，并将输出固定地控制在安全方面，从而保障实现故障一安全。 比较电路自身也应当是故障一安全的，不应当因比较电路自身的故障而 使系间的不一致漏检。比较电路是这样设计的；当比较电路自身发生故障时， 西南交通大学硕士研究生学位论文第1 1 页 其结果与发现系问不一致的结果等同。 2 4 2t a n d e m ( c o m p a 0 ) ln t e g rit ys 2 容错计算机 r n t e g r i t ys 2 容错计算机由美国t a n d e m 公司研制。其硬件结构见图 2 3 所示。该容错计算机有三个同构的c p u 模块，每个都有自己的c a c h e 、 局部内存等，它们执行相同的指令流。两个全局内存存放完全相同的数据。 四个i 0 处理器构成两组对称的i 0 子系统。 其同步机制如下：其一是对全局内存的访问操作同步，即c p u 访问自己 的局部内存时不进行同步，但是访问全局内存时，必须实现三个c p u 的同步， 运行得快的c p u 等待运行得慢的c p u ，达到共同的同步点，并且对写操作 要进行数据表决，取一致或者多数一致的结果写入全局内存；对读操作则只 同步，不表决。其二是对中断请求等异步事件进行同步。这是为了避免c p u 对中断请求等异步事件的不同响应，走不同的分支，从而造成c p u 失步。 局部内存 c p u a 局部内存 c p u b 局部内存 c p u c 全局内存1 ii全局内存2 i o 处理器ll i 的处理器2l li ，o 处理器3i ii o 处理器4 图2 - 3i n t e g r i t ys 2 系统结构图 2 5 任务级同步的三模冗余系统 一个典型的三模冗余实时控制系统，包括命令接收、采集、控制、驱动 4 个部分。采用任务级同步的方式对系统进行同步，能有有效的把这4 个部 西南交通大学硕士研究生学位论文第12 页 分有机的集合在一起。我国铁路信号设备中，计算机联锁设备是最常见的实 时控制系统，因此，研究任务级同步的三模冗余计算机联锁系统，对研究任 务级同步的三模冗余系统有很大的帮助。 计算机联锁是车站信号的基础，它是一个有着高可靠性、安全性、实时 性的安全系统，安全性在系统中起着至关重要的作用。保证系统安全性的一 个重要方法就是在系统中采用容错技术。容错就是当系统中某些指定的硬件 发生故障或软件出现错误时，系统仍能正确地执行规定的一组程序或算法。 三模冗余系统很好的满足了这种高可靠性、安全性、实时性的要求，它是以 多数计算机信道的运行是正确的为基础，实行少数服从多数的纠错原理，即 只要三个计算机信道中有两个信道的结果一致时，系统就将它作为系统正确 的输出，这样它具有对实时任务的容错计算功能，同时实现了系统故障的检 测、屏蔽、恢复及重构等功能。计算机联锁系统的结构分为3 层：操作表示 层、逻辑控制层、采集驱动层。其中操作表示层和逻辑控制层之间通过车站 控制局域网进行通信，逻辑控制层和采集驱动层之间通过联锁安全总线进行 通信。 操作表示层 人机界人机界人机界 il ， t车站控制j 逻辑控制层 上 联锁逻辑控制单元 上 j t联锁安全 采集驱动层 ， 上 智能采集模智能驱动模 l 上 外围信号设备 图2 - 4 计算机联锁系统结构 西南交通大学硕士研究生学位论文第13 页 2 5 1 操作表示层 操作表示层由人机接口、维修终端和通讯终端3 部分组成，负责系统的 操作、显示、维护及与车站其它系统间的通信。人机接口部分由两套完全相 同的设备( 微机、站场显示屏、鼠标等) a 、b 组成，两套设备同时工作、 物理上相互独立，但同一时刻只有一台设备具有人工操作( 如办理进路) 功 能，它通过车站控制局域网向逻辑控制层中的联锁逻辑控制单元发送操作命 令，并接收来自联锁逻辑控制单元的命令执行情况以及站场中各信号设备的 表示信息，以完成值班员的各种执行任务，并把联锁逻辑控制单元的执行结 果实时显示在控制台上。维修终端它不向逻辑控制层发送任何信息，仅通过 车站控制局域网从逻辑控制层中的逻辑控制单元接收上位机的操作命令、逻 辑控制单元的命令执行情况以及站场中各信号设备的表示信息，以便记录值 班员操作命令、站场变化信息、系统错误、与微机监测接口，同时实现记录 的存储、打印、再现等功能，为电务维修提供方便。通信终端提供与车站综 合局域网、广域网的通信接口，连接c t c 系统、d m i s 系统、车次号输入系统、 旅客向导系统等辅助行车系统。此外，还包括联锁测试及其它与联锁相关功 能的通信接口。 2 5 2 逻辑控制层 逻辑控制层由3 个逻辑控制单元组成，每个逻辑控制单元由处理器及双 口r a m ，总线接口单元和与其它逻辑控制单元的数据或控制接口等具有独立 功能的硬件部件构成，满足系统独立故障模式要求。每个逻辑单元具有独立 的电源和时钟源，逻辑控制单元间接口是电路隔离的，且能够容忍最大可用 电压短路故障。局域网连接操作表示层和逻辑控制层，将表示层传递过来的 联锁操作命令传送到逻辑控制层，并将逻辑控制层命令执行情况以及采集驱 动层传来的表示信息发送到操作表示层。连接逻辑控制层和采集驱动层之间 的总线，采用可靠性高、稳定性好、抗干扰能力强、通信速度快的c a n 总 线，将采集驱动层中采集单元采集到的现场信息实时，准确地传送到联锁逻 辑控制单元，同时将联锁逻辑控制单元发送出的控制命令送到驱动单元。 西南交通大学硕士研究生学位论文第14 页 局域网 图2 5 逻辑层的三模冗余结构逻辑图 2 5 3 采集驱动层 采集驱动层，负责执行逻辑控制层下发的控制命令，同时向逻辑控制层传 送现场信号设备的实时状态。采集驱动层由智能采集模块和智能驱动模块组 成，完成对现场信号设备数据的数据采集和驱动功能。智能采集模块和智能驱 动模块均采用“二取二”带备份的容错结构，具有完善的自检功能、容错功 能、动态冗余功能，当处于工作状态的模板发生故障时，能自动切换到备用板 上，提高了系统的可靠性。设计时考虑到防雷需要，电路上采用大功率的瞬间 放电管，提高模块的安全性能。 2 5 4 任务同步方式 根据逻辑控制层结构，我们可以得出以下的处理流程。 由于三个逻辑控制单元执行的是相同的程序，现以c p l i a 逻辑单元分析 三模冗余系统的处理流程。 系统上电后，开始系统初始化。系统初始化成功后将进入系统运行阶段， 系统运行阶段循环执行一系列操作：读、存数据一分布数据、表决数据一联 锁运算一分布结果、表决结果一输出结果。 读、存数据：负责从操作表示层接收命令数据包、判定数据是否正确、 保存数据；从采集驱动层接收采集驱动信息、判定数据是否正确、保存数据。 西南交通大学硕士研究生学位论文第15 页 分布数据、表决数据：通过内部总线将接收到的数据传输到c p u b 和 c p u - c ，同时接收从c p u b 和c p u - c 传输过来的数据，当c p u - b 和c p u - c 的数 据到达后进行“三取二表决，表决通过后继续向下执行。 联锁运算：针对已表决通过的数据( 包括来自操作表示层和采集驱动层 的数据) ，进行联锁运算。 分布结果、表决结果t 将联锁运算的结果传输到c p u b 和c p u - c ，并对来 自c p u b 和c p u c 的结果数据进行“三取二”表决。 输出结果：将表决一致后的联锁结果分别发送到操作表示层和采集驱动 层，以便驱动室外信号设备动作，同时接收驱动模块的回馈信息以便判断驱 动模块是否正确接收到信息。 结果数据在进行表决时，数据所处的状态非常重要，可能会表现出以下 几种不同的情况： ( 1 ) 模块的数据到齐，所有模块的数据都在同一个表决周期( 最理想的 情况) ( 2 ) 所有模块的数据到齐，大多数模块的数据在同一表决周期，只有个 别模块的数据偏离本次表决周期 ( 3 ) 大多数模块的数据到达，并且数据在同一表决周期 ( 4 ) 大多数模块的数据到达，在这些数据中有个别模块的数据偏离本次 表决 ( 5 ) 有模块的数据到达，并且这些数据的表决周期凌乱( 最差的情况) 从实际功能出发，我们只考虑1 和3 组合时的情况设计任务同步。任务 同步过程需要完成的步骤如下： ( 1 ) 任务同步开始，创建定时器，时间的最大限制为任务同步周期。 ( 2 ) 本地模块将数据放入本地缓冲区：与此同时等待来自其它模块的输 出数据，并放入本地的数据缓冲区。 ( 3 ) 对收到的数据进行逻辑运算，并将结果发送到其它模块。 ( 4 ) 在各个检测点检测各个模块的数据是否收集完全。如果数据收集完 全，则提前进行表决；否则如果资料未收集完全，继续等待。 ( 5 ) 当最大时间限制到达，如果数据收集完全，进行正常的表决；如果 数据未收集完全，则标记任务同步异常信息。 西南交通大学硕士研究生学位论文第1 6 页 图2 - 6 任务同步示意图 从整体来看，3 个处理模块在时间上来说是依次达到同步的，如图2 - 7 。 每个模块不是立即就进行表决。它必须等待其它模块的数据到来，才能进行 表决，从而使三个模块同步，达到容错的目的。 西南交通大学硕士研究生学位论文第17 页 l仉仃周期1 1 7 l a 7 b ， 异步度 0 c 图2 7 任务同步时间分布示意图 时间t 西南交通大学硕士研究生学位论文第18 页 第3 章三模冗余系统同步过程的p e tri 网模型 3 1p e t rj 网概述 p e t r i 网的概念最早由c a r la p e t r i 博士于1 9 6 2 年在他的博士论文用自 动机理论通信中首次提出，文中提出一种自动机网状结构模型它是一 种有坚实的数学基础，能恰当处理并发现象( 因果上的不依赖性) 和非确定 性( 选择) 现象，用网状图形表示系统模型的方法。经过4 0 多年的发展， p e t r i 网的理论获得了巨大的发展，己经成为具有严密的数学基础，多种抽象 层次的通用网论。p e t r i 网的应用也随之日渐广泛，己应用于线路设计、计算 机软件、人工智能、形式语义、数据管理、柔性制造、系统优化、生产调度、 智能交通等等各个领域，尤其在信息系统的建模中，有着广泛的应用。 p e t r i 网作为一种重要的形式化方法，它不仅能分析系统软、硬件众多方 面的特性( 如功能性、安全性、可靠性、死锁、实时性等) ，而且采用了控制 流式的结构，简洁直观，使系统设计者、开发者更易于对实际问题的分析和 模型化，因而得到了广泛的应用。 p e t r i 网是一种系统的数学和图形描述工具，是以事件及其发生的概念为 基础进行建模。事件相当于状态的变化，事件( e v e n t s ) 与变迁( t r a n s i t i o n s ) 相联系，p e t r i 网的执行则与变迁的发生和库所( p l a c e s ) 的标识( m a r k i n g ) 相关。对于具有并法、异步、并行、不确定性和随机性的信息系统都可以利 用这种工具来构造出要开发的p e t r i 网模型，然后对其进行分析，得到有关系 统结构和动态行为方面的信息，根据这些信息就可以对要开发的系统进行评 价和改进。 p e t r i 网具有很强的仿真功能，可以在不同的技术概念级别来表明