（交通信息工程及控制专业论文）计算机测控系统自测试技术的研究.pdf

摘要3 9 3 5 0 2fi 目前计算机测控系统正在逐渐应用于铁路的车站信号控制领域，对于控制铁路车站信号的计算机联锁系统来说，如何保证其可靠性、安全性，是使其真正应用于铁路的关键问题。i 本文从增强系统的自测试功能方面阐述了保证计算机测控系统可靠性等全寿命周期指标的理论依据和方法。本文详细论述了自测试技术对计算机测控系统的重要性，分析了单机系统到双机热各系统中自测试技术对系统性能的影响。本文介绍了现代可测性技术发展的前沿，阐述了什么是边界扫描技术及i e e e l l 4 9 j 标准关于边界扫描技术的规定。介绍了具有边界扫描功能的器件结构，及如何应用边界扫描技术进行系统级、板级、芯片级测试。系统的自测试功能是系统可测性设计的重要组成部分，但还没有被单独列出来研究，所以本文以控制铁路车站信号系统的计算机联锁系统为例，利用现有的先进技术，研究了如何进行计算机测控系统的自测试设计，包括系统级、板级的硬件设计，系统级、板级和芯片级的自测试建模。并从理论上对系统性能进行了估算，证明自测试技术对系统的性能具有巨大的提高。关键词：计算机测控系统自测试边界扫描计算机联锁建模a b s t r a c ta tp r e s e n t ，c o m p u t e r - b a s e do b s e r v ea n dc o n t r o ls y s t e mi sg r a d u a l l ya p p l y i n gi nt h ef i e l d so fr a i l w a ys i g n a lc o n t r 0 1 i ti sk e yq u e s t i o nh o wt og u a r a n t e et h er e l i a b i l i t ya n ds e c u r i t yo fc o m p u t e ri n t e r l o c k i n gs y s t e mw h i c hc o n t r o l st h er a i l w a ys i g n a l o nt h ea s p e c to fs e l f - t e s t i n gf u n c t i o n ，t h i sp a p e re x p a t i a t eo ng u a r a n t e e i n gc o m p u t e r - b a s e do b s e r v ea n dc o n t r o ls y s t e m ，a n da l s oe x p a t i a t eo nt h e o r yb a s i sa n dm e t h o d t h i sp a p e rd i s s e r t a t et h ei m p o r t a n c eo fs e l f - t e s t i n gt e c h n o l o g yi nt h ef i e l do fc o m p u t e r - b a s e do b s e r v ea n dc o n t r o l ，a n da n a l y z et h a th o wt h es e l f - t e s t i n gt e c h n o l o g ye f f e c ts y s t e mc a p a b i l i t i e si ns t a n d - a l o n ea n dd u a lb a c k u ps y s t e m 1 1 l i sp a p e ri n t r o d u c et h ea d v a n c e dt e c h n o l o g yi nm o d e mm e n s u r a b i l i t yf i e l d ，d i s s e r t a t ew h a tt h eb o l l l l d a r ys c a n n i n gi sa n dt e c h n i c a lr e g u l a t i o n sa b o u tb o u n d a r ys c a n n i n gt e c h n o l o g ya ti e e e l l 4 9 1s t a n d a r d id e s c r i b et h ea r c h i t e c t u r eo fe l tw i t hf u n c t i o no fb o u n d a r ys c a n n i n g ，h o wt ot e s ts y s t e m ，b o a r da n dc h i pa p p l y i n gb o u n d a r ys c a n n i n gi sd e s c r i b et o oi nm yp a p e r f u n c t i o no fs y s t e ms e l f - t e s t i n gw h i c hi sn o tt ob er e s e a r c ha l o n e ，i sa ni m p o r t a n tp a r ti nd e s i g n i n go fs y s t e mm e a s u r a b i l i t y t oi l l u s t r a t et h ec o m p u t e ri n t e r l o c k i n gs y s t e mw h i c hc o n t r o lr a i l w a ys i g n a ls y s t e m ，ir e s e a r c hh o wt od e s i g ns e l f - t e s t i n gi nc o m p u t e r - b a s e do b s e r v ea n dc o n t r o ls y s t e m ，w h i c hi n c l u d et h eh a r d w a r eo fs y s t e ml e v e la n db o a r dl e v e lu t i l i z i n ga d v a n c e dt e c h n o l o g yi ne x i s t e n c e ，a n ds e l f - t e s t i n gm o d e l i n go f s y s t e ml e v e l ，b o a r dl e v e la n dc h i pl e v e li sr e s e a r c h e dt o oi nt h i sp a p e r 硒ee s t i m a t i o ni nt h e o r ya b o u ts y s t e mc a p a b i l i t yp r o v et h a ts e l f - t e s t i n gt e c h n o l o g yh a v eg r e a t l yi m p r o v e dt h ec a p a b i l i t y k e y w o r d s ：c o m p u t e r - b a s e do b s e r v ea n dc o n t r o ls y s t e ms e l f - t e s t i n gb o u n d a r ys c a n n i n gc o m p u t e ri n t e r l o c k i n gm o d e l i n g第一章绪论1 1前言目前，以计算机为控制核心的现代测控系统已逐渐应用于铁路的各个部门，在现代铁路运输生产中起着重要作用。因此铁路科技人员对计算机测控系统的开发与研究也变得越来越重要，热情也更加高涨。指导自动控制系统的分析和设计的控制理论在不断地发展。4 0 年代和5 0 年代中发展起来的经典控制理论，被成功地应用于单输入一单输出定常系统的分析和设计。在5 0 年代未、6 0 年代初，首先由空间技术需要而发展起来的现代控制理论具有更广泛的适应性，它可用于多输入一多输出、定常或时变系统的分析和设计，所讨论的问题也更复杂和深入。自7 0 年代后，随着计算机应用的普及，用来解决多层次分散结构的复杂大系统的分析和综合的第三代控制理论也得到了迅速发展。对于计算机测控系统，要完成复杂的控制任务，固然需要以控制理论为基础，但首先要保证其自身能够可靠工作，这一目标单单依靠计算机技术的发展是达不到的，现代计算机测控系统还需要以两种技术为基础：容错设计技术和可测性设计技术。容错是指系统某一部分出现故障时，仍能够正常工作，既能够容忍错误。而可测性设计的目的有两个，一方面是能够及时且容易的对测控系统进行测试，包括在产品生产制造期间、运用维护期间的测试；另方面是要测控系统能够掌握其在运行过程中自身的工作状态，既系统的自测试( s e 矿t e s t )能力，这也是现代智能控制系统必须具有的能力。系统的故障检测和诊断与过程控制密切相关，一个高级的过程控制系统应当具有故障自动检测和自诊断能力，以保证系统工作的高度可靠性。自从电子电路出现以来，人们一直研究如何对电路进行测试。最早的故障定位测试研究是从埃尔德( e l d e r d ) 开始的，他提出了一维通路敏化法，罗斯( r o t h ) 在其基础上提出了多维通路敏化法即d算法，罗思库博( k u b o ) 将其推广到对同、异步时序电路的测试分析上，取得了较好的效果。后来塞勒( s e l l e r ) 提出了布尔差分法，而泰斯( t h a y s e ) 在前人的基础上提出了布尔微分法，博森( b o s s e n ) 和洪( h o n g ) 从另一个角度来思考，提出了因果关系法。我国学者经过多年的研究，得出的多扇出分支计算的主通路敏化法和直观图法在实1 际应用中也取得了较好的效果。普雷帕纳塔( p r e p a r a t a ) 利用图论工具研究系统诊断问题，实现了多故障一步诊断。近年来随着电子电路的复杂化还出现了微诊断法和随机测试法。随机测试法是由计算机自动生成随机数，并作为测试码，然后进行故障模拟，再根据其响应输出来判断故障。如此循环反复，直到所有故障都被检测出来，或达到一定的故障覆盖率为止。这些方法只是对电路的故障进行诊断，并不能直接用于对系统的状态分析。为了能够方便地了解系统的内部状态，人们提出了系统的可测性设计问题。系统的可测性设计考虑的是如何容易的对产品进行测试。可测性设计技术从最初的特定目标可测性设计发展到目前的边界扫描可测性设计。虽然可测性设计中包含了系统的自测试问题，但并未将自测试做为一种独立的技术提出来，也就是说，自测试技术还未形成理论。人们在设计测控系统时，总是要或多或少的考虑到系统的自测试问题，但所检测的性能都较片面，检测技术也不够先进，目前还没有一种较完善的自测试解决方案，而系统的复杂化又要求系统具有自测试能力。所以寻找出一种完善的自测试方案就成了必须解决的问题。这里需要指出的一点是：在本文中所讲的系统自测试包含两层含义：自检钡t j ( s e l f c h e c k ) 与自诊断( s e l f d i a g n o s i s ) 。自检测是指系统能够检测自身的工作状态，包括硬件和软件；自诊断是指当系统在自检测发现故障后能够诊断出其自身故障的部位，对系统正常工作影响大小等。1 2 选题依据本文之所以选择这一课题，不仅因为计算机测控系统需要自测试技术，更主要的是目前铁路信号测控系统一计算机联锁系统需要自测试技术。铁路信号控制系统最初是以机械联锁完成的，这一时期也可称为机械信号时代，以重力式臂板信号机的重力使能状态为信号开放状态，其控制系统的安全性由重力式臂板信号机的重力落下作为安全侧的约定、机械锁闭和人工来保证，所以其保证效果较差，且工作效率也低。当然这一时期的设备比较简单，检测也比较容易，可由人工来完成。后来发展为继电联锁，这一时期也可称为机电信号时代。其控制逻辑由继电器来完成，对现场设备的控制由电机和控制室内继电器的接点动作完成。采用的继电器为铁路专用的重力式继电器，控制逻辑2 -采取了大量的故障安全措施，再加上一些约束操作人员的规定，其故障安全性很高，较机械联锁可说是进步了一大步，而且也相当完善。但没有自测试能力，系统出现故障后不会出现危险输出，但维修检测则完全由人工来完成，所以其工作效率还不高。技术是在不断进步的，随着人类进入网络时代，及铁路运输的发展，继电联锁式铁路信号控制系统渐渐表现出其不足之处，也越来越需要以计算机为基础的控制系统来代替，即要发展用计算机控制铁路车站信号的联锁系统，使铁路信号控制系统进入了电子信号时代。然而用计算机控制铁路信号却存在着可靠性与安全性的问题。通用的计算机由通用电子器件和通用逻辑组成，不能保证系统的可靠性与故障安全，因为：1 电子逻辑电路的“0 ”、“1 ”两种逻辑是非故障安全逻辑，而继电器逻辑为故障安全逻辑，只有对继电器使能它才会处于吸起状态，不使能或故障时它都会处于落下状态，落下状态被定义为安全侧状态。而且继电器逻辑的故障安全的概率与非故障安全的概率比值大于1 0 3 。2 电子电路无论是正常工作状态还是故障状态都会有输出信号，正常工作状态输出正确信号，故障状态输出错误信号，但系统如果不知道是正常还是故障，一旦输出的是故障信号，就会给铁路运输造成危险。3 计算机系统由大量的电子元件组成，如果不能控制这些电子元件正常工作，系统的控制逻辑就会出现错误，也因此会导致行车事故。4 计算机单机系统的失效率一般在1 0 。4 数量级，不能满足铁路车站信号控制的需要。5 计算机系统不存在磨损问题，因此不能象对待继电器那样以状态修( 预防性维修) 方式来提高系统的可靠性和安全性。6 通用计算机在运行过程中不去关心系统运行正确与否，所以不能直接用于控制铁路信号系统。所以在设计过程中就要将提高系统的可靠性与安全性作为重要指标来考虑。为了达到以至超过继电联锁系统的可靠性与安全性，人们开始深入研究，发现利用容错技术和自测试技术可以做到这一点。容错使系统出现错误时仍能得到正确的输出。而自测试技术可检测出系统的工作是否正常，其输出是否正确。容错技术可提高系统的可靠性，增加系统的平均故障间隔时间。自测试技术即可提高系统的可靠性又可提高系统的安全性。可以说没有自测试，就不能保证系统的安全性。同时对于双机热备等系统，如果没有系统的自测试功能，也不能作到系统的冗余。如果系统的错误都能被检测出来，进而采取正确的行动，1 那么即使系统出现故障，也能保证系统输出安全的控制信号，即故障倒向安全。这正是铁路信号控制系统的需要。也就是说如果没有容错技术和自测试技术，计算机联锁系统就不能用于控制铁路车站信号，也就没有铁路信号的电子信号时代。所以如何能使系统具有完善的自测试能力，就成了目前需要解决的迫在眉睫的问题。正因为如此，本文确立了这课题，目的就是要探索出一种较完善的自测试系统，来完善计算机连锁控制系统，使其真正地更好地为铁路运输生产服务。1 3 本论文研究的范围本文以计算机测控系统的自测试技术为核心，探讨了系统可测性设计技术，及其与自测试的关系，研究了计算机测控系统自测试的建模，及其在计算机测控系统中的作用。本文分四章对现代测控系统的自测试技术进行分析、研究。在第二章，着重分析了自测试的作用及衡量标准。在第三章中，探讨了可测性设计问题及其与系统自测试技术的关系。介绍了i e e e l l 4 9 j 标准，阐述了边界扫描技术，分析了基于边界扫描技术的系统级、模块级、板极以及元器件级的自测试方法。在第四章中，以现有的铁路信号测控系统一计算机联锁系统为例，进行系统自测试设计分析，重点放在板级电路的自测试设计。分析了测控系统自测试的建模，自测试方法。其中包括模拟电路的测试，数字电路的测试。含盖了系统运行过程中的检测与诊断、系统故障时的故障诊断及系统复位的自测试等各个方面。在第五章中，分析了自测试对系统可靠性、安全性的作用，系统增强了自测试功能，其工作性能得到了很大的提高。最后一章，对全文做了一个总结。4 第二章计算机测控系统自测试设计的重要性2 1计算机测控系统自测试的衡量指标早期的计算机测控系统由于结构较简单，其自检测、自诊断功能并没有引起人们很大的注意，但随着系统的日益复杂，对系统内部状态的掌握渐渐变得非常重要。因为，计算机测控系统的作用是对被控对象进行控制，要保证实施正确的控制，首先要保证控制系统本身工作的正确性，如果测控系统本身出了故障，就不能对被控对象施加正确的作用。系统自测试包括自检测与自诊断，自检测的目的是确定系统有无故障，自诊断的目的是确定故障地点，故障的性质。自检测的有效程度用故障检测覆盖率来衡量。定义1 ：故障检测覆盖率故障检测覆盖率是指系统在存在一个故障的条件下能检测该故障的概率，记为c d = p实际应用中常用能够被检测到的故障类型的百分比来说明。故障检测覆盖率的计算是相当困难的。目前最常用的故障检测覆盖率估算方法是列表法。首先要确定故障模型。然后在该故障模型下将系统中可能发生的所有故障列成表。然后再列出能被检测的故障。设系统中在某一个故障模型下可能发生的所有故障总数为，其中能被检测到的故障数为地，则故障检测覆盖率可用下式求出：c d = 等自诊断的有效程度用故障诊断分辨率与故障诊断时间来衡量。定义2 ：故障诊断分辨率故障诊断分辨率系指可被诊断出故障的部件的大小，即故障诊断级别，分为元件级、芯片级、功能模块级、板极、系统级。定义3 ：故障诊断时间故障诊断时间系指从系统出现故障到此故障被定位所需的时间。5 它直接影响到系统的维修性。2 2 计算机测控系统自测试设计的重要性。2 2 i 自测试技术的重要性1 现代计算机测控系统在如铁路、化工、钢铁等行业应用中要求具有高的可靠性、安全性及连续工作的能力，特别是在铁路、航空、航天等应用中还要求系统具有自治能力，这就需要有完善的自检测、自诊断功能。象用于铁路车站信号控制的计算机联锁系统，如果没有自测试能力，就根本不能在现场应用。2 设系统是一个冗余系统。系统故障时冗余部件是否被有效利用。在很大程度上依靠于故障检测覆盖率。如果故障检测覆盖率接近于l ，系统能及时检测并诊断出所出现的故障且正确处理，从而系统能够有效地利用冗余部件，完成系统的重组与重构，提高了系统的可靠性；反之，如果故障检测是极不完善的，故障检测覆盖率远小于1 ，系统将无法有效利用冗余部件，因为这对系统无法辨别是否故障，就无法进行故障部件的切除与替换，采用冗余提高系统可靠性效果将降低。3 在自动控制和许多技术系统中，为实现故障安全原则，除使用某些特殊的技术措施外，还经常采用容错技术来构成故障安全系统，容错系统能够容忍和屏蔽一定数量的故障，因而可以提高系统的可靠性和安全性。故障安全系统中的故障，根据它是否可以被检测出来，分为可检测故障和不可检测故障两种。如果故障可以被检测出来，我们总可以采取相应的措施来加以防范，以免因故障而导致系统给出危险侧输出。因此系统内部出现故障时能被及时检测出来并处理的情况下，系统不会给出危险侧输出。也就是说，可以提高系统的故障安全性。现有的故障检测技术，一般对单故障都有很高的检测覆盖率。只是对双重或多重故障的检测覆盖率较低。由于多重故障发生概率很低，因此影响系统安全性的故障主要是双重故障。4 随着系统的日益复杂，在系统的维修上所用掉的费用越来越大，如果系统具有较高的自测试能力，则将极大的提供系统的可维性，节省大量的人力物力。同时也会大大的缩短维修时间，从而提高了系统的可用性。举例具体分析一下其中的关系。2 2 2自测试技术对单机系统的影响单机系统的状态转移图如图2 1 所示。马尔可夫模型中有两个基6 本概念：系统状态和状态转换。系统状态表示了在任何一给定时刻用以描述该系统的事实。对于可靠度的分析，马尔可夫模型的每一个状态表示了系统中有故障与无故障模块的一个唯一的组合。图2 1 单机系统的状态转移图状态的转换表示系统中可能发生的状态变化。状态转换都是以一个概率为特征，例如失效率、故障覆盖率、修复率等。在系统的状态图中用圆表示状态，用带箭头的弧表示状态转换。每个状态的自回路弧表示维持在该状态的情况。根据状态转移图，可列出微分方程组如下：只( ，) = 一t i p只( f ) = 2 c d e o ( f )最( f ) = 2 ( 1 一c d ) p o ( f )将以上方程组进行拉普拉斯变换，并代入初始条件尸o ( o ) = 1 ，鼻( 0 ) = 只( 0 ) = 0得( s + 旯) 只( s ) = 1肥。r ( s ) 一配( s ) = 0旯( 1 一c 。) e o ( s ) 一5 i p 2 ( s ) = 0求解可得r ( s ) 2 南即，= 急寺一南即，= 勰= 竽一器将以上三式进行拉式反变换，就可解出p o ( t ) 、只( f ) 和只( f ) ，最后得出一7 -r ( ，) = e “只( f ) = c a ( 1 一e - a t ) = c a c d e “只( ，) = ( 1 一c d ) ( 1 一e - u ) = ( 1 - c 。) 一( 1 一c d ) p 一“单机系统的可靠度r ( t ) = e = p o ( f )无冗余的单机系统不论可测故障还是不可测故障，系统都会失效，故其可靠度与故障检测覆盖率无关。单机系统的安全度s l ( ，) = e o ( t ) + 鼻( f ) = e 一“+ c d - c d e 一“= c d + ( 1 一c d ) p 一“所以，单机的故障检测覆盖率越大，单机系统的安全度就越大。单机系统的稳态安全度s l = c a单机系统的稳态安全度为c d 的物理意义是十分明显的。长期工作时，系统出现的故障概率趋近于1 ，故障被检测出来的概率为o ，所以系统处于故障安全状态的概率为c d 。单机系统的不安全度u ( f ) = 1 一s i ( f ) = 1 一p 一“+ ( 1 一p 一“) c d = 1 一e 一“一c a + c d e 一“= ( 1 一c d ) ( 1 一e “)稳态时，单机系统的稳态不安全度u l = 1 一c d当考虑到维修性时，设无自测试系统的修复率为，有自测试功能后系统的修复率增加为原来的k 倍，且1 k !则状态转移图为图2 2 所示。系统的稳态方程为：x o = ( 1 一五) z o + ，2 + k z x lx 1 = c a 2 x o + ( 1 一x a ) x lx 2 = 2 ( 1 一c ) o + ( 1 一) 28 图2 2 单机系统的状态转移图计算z ，x o印x l + x 2( q4 - k c d k ) 丑可得系统的稳态可用度为：4 ：旦1 + 片当仔l 时，a ：k j l ，五十k , u即此时a 随增大而增大。由此可见：单机系统的安全度与其故障检测覆盖率成正比。提高系统的自测试能力可增加单机系统的稳态可用度。提高故障检测覆盖率是提高单机系统安全度的有效措施，单机系统采用软件冗余和信息冗余技术及自测试技术都是提高故障检测覆盖率的有效方法。2 2 3自测试技术对双机热备系统的影响双机热备系统是指由两个独立的模块组成的系统。两个模块均能够独立完成规定的同样功能。在双机热备系统中，每一个模块相当于一个单机。正常工作时，两个模块均加电工作，但是只有其中一个模块的输出能够经过切换装置去控制被控对象，即其输出是有效的，另一模块的输出则是无效的。每一个模块均有自检测和自诊断功能，当模块发现自身出现故障时，就会给出控制信号，驱动切换开关进行适当切换并给出故障报警和提示。双机热备系统工作时有如下几种工作模式。1 一个模块工作，另一个模块热各，两个模块都无故障。o 2 一个模块工作，另一个模块故障待修，系统可以完成规定3 两个模块都故障，系统失效。当系统出现不可测故障时系统可能会给出危险输出。我们认为双机热备系统工作模块出现不可测故障时一定会给出危险侧输出。系统处于非故障安全状态。为了便于分析，我们对系统作如下假定：1 双机热备系统由两个独立的完全相同的模块( 单机) 构成，切换开关是完全可靠的且不考虑系统维修。2 只考虑永久性故障，瞬间故障由模块的程序卷回和时间冗余等技术来屏蔽。3 非常保守地认为，模块一旦出现不可测故障就不可逆转，工作模块出现不可测故障一定会引起危险输出4 单机的故障检测覆盖率为o ，模块常数失效率为 ，且大于零。5 系统满足马尔可夫过程的条件，可以当作马尔可夫过程来处理。设用s ( t ) 来表示双机热备系统的状态，则有：s ( f ) = s 。时刻t ，系统无故障：s ( ，) = s ，时刻t ，一模块故障，且故障可测；s ( t ) = s ，时刻t ，两模块都出现可测故障；s d ) = s 时刻t ，工作模块正常，热备模块出现不可测故障；s ( f ) = s 。时刻t ，工作模块出现不可测故障；根据以上所述，可得到双机热备系统的状态转移图如图2 3 所示。图2 3 双机热备系统的状态转移图- 1 0 一对图2 3 所示的状态转移图解释如下：1 系统从状态岛变到状态s ，说明系统工作模块或热备模块出现可测故障，系统变为一个模块工作，另一模块出现可测故障的单机工作方式；2 系统从状态s ，变为状态，表示单一工作的模块出现故障，且故障被检测出来，系统处于故障安全状态。3 系统从状态s f 变为状态& ，表明单机工作的模块出现不可测故障，系统处于非故障安全状态。4 系统从状态岛变为状态甄，表明热备模块工作正常，但工作模块出现不可测故障，无法进行切换，系统处于非故障安全状态。5 系统从状态岛变为状态毋，这是影响双机热备系统安全性的关键所在，它表明当热备模块已出现了不可测故障时，只要工作模块一旦出现可测或不可测故障都将会使系统进入非故障安全状态。根据双机热备系统的状态转移图，可以列出以下微分方程组：最( f ) = - 2 弛( ，)鼻( r ) = 2 肥：e o ( f ) 一五e ( f )最( f ) = 2 c d 只( f )只( f ) = a ( 1 一c 。) p o ( r ) 一a 只( r )只( f ) = 兄( 1 一c d ) p o ( f ) + 只( f ) 】+ t b ( t )对上列各式进行拉式变换，并代入初始条件：r ( r ) = 1 ，片( r ) = 县( f ) = b ( f ) = 只( ，) = 0则得( s + 2 旯) r ( s ) = 1( s + 五) 只( s ) = 2 2 c d p o ( s )娶b ( s ) = 旯c d 鼻( s )( s + 五) b ( s ) = 五( 1 一c 。) r ( s )s p , ( s ) = 旯( 1 一c d ) p o ( s ) + 鼻( s ) + z 己( s )解以上方程组，然后进行拉式反变换，可得出双机热备系统处于各状态时的概率；p o ( t 、= e 一2 “只( f ) = 2 c d ( e 一一g - 2 2 t )p 2 ( t ) = c u 2 ( 1 + p 一”一2 e 一“)b ( f ) = ( 1 一c d ) ( 8 一一e 4 “)只( t ) = ( 1 一巳) ( 1 一g 一“) 1 十( 1 一e 一“) c u 】双机热备系统的可靠度与安全度：可靠度r 2 ( f ) = p o ( t ) + 只( f ) + 只( f ) = e _ 2 m + 2 c a ( e _ 2 m e - 2 1 ) + ( 1 一c d ) ( p m 一2 e - 2 山)整理后得r 2 ( f ) = e m + c 0 p 一甜( 1 一e m )安全度s 2 ( f ) = l 一只0 ) = 1 一( 1 一c d ) ( 1 一g 一) 1 + ( 1 一e 一“) g 1不安全度u ：o ) = ( 1 一c d ) ( 1 一e - a ) 1 + ( 1 一e - a t ) q 稳态安全度s 2 = c d 2稳态不安全度u 2 = 1 一c d 2故障检测覆盖率对可靠性安全性的影响：由上列各式可见，如果故障检测是理想的，即弘l ，则r ，“) = 2 e 一“一e 一2 “这时双机热备系统的可靠度等于两模块并联系统的可靠度。如果无法进行故障检测，即c a = o ，这时r 2 ( f ) = e “上式表明由于工作模块故障就会导致系统失效，所以双机热备系统的可靠度等于一个模块的可靠度。当o c d 1 时，双机热备系统的可靠度大于单机的可靠度，但小于两模块并联系统的可靠度。为了方便研究，可采用不安全度来讨论系统的安全性与故障检测覆盖率的关系，我们知道，单机系统的不安全度为：u ( f ) = ( 1 一c a ) ( 1 一e “)双机热备系统的不安全度为：u 2 0 ) = ( 1 一c d ) ( 1 一e 一“) 1 + ( 1 一e 一。) c a 】二者相比较，显然双机系统的不安全度大于单机系统，其比值为：日：黑：1 1 1 一r ( f ) c au “)”式中置( f ) 为单机系统的可靠度，可见，当单机的可靠度接近于1 时，双机热备系统不安全度接近于单机系统的不安全度，由于0 g 1 ，故1 塍2 ，所以双机热备的不安全度大于单机的但不超过单机的两倍，可以说两者在同一数量级上，上式也说明了故障检测覆盖率对双机热备的不安全度的影响，故障检测覆盖率愈大，则双机热备的不安- 1 2 全度就接近于单机的不安全度的2 一r 。( f ) 倍。可见故障检测覆盖率对双机热备系统的影响很大。在稳态的情况下，当故障检测覆盖率等于0 5 时，双机热备系统的稳态安全度下降最大约为o 2 5 。故障诊断分辨率和故障诊断时间对双机热备系统的影响也很大，可大大缩短系统的维修时间，使故障单机很快修复而使系统进入双机工作状态。为分析方便，设故障检测覆盖率弘l ，双机热备系统的状态转移图如图2 4 所示。图2 4 双机热备系统的状态转移图其稳态方程为x o = ( 1 2 2 ) x o + x , u x lx 】= ( 1 一旯一k 0 ) z l + k p x 2 + 2 a x ox 2 = ( 1 一k , u ) x 2 + 肼l解上述方程得系统稳态可用度为：4 ：墨垄：茎z ! 坐x o + x l + x 2k2 2 + 2 a k p + 2 矛可见，系统的稳态可用度随k 的增大而增大。综上所述，可以得出以下结论。1 双机热备系统的可靠度受故障检测覆盖率的影响，大于单机系统的可靠度但小于两模块并联的可靠度：2 双机热备系统的安全度略低于单机系统的安全度，当故障检测比较完善，且检测时间又较少时，故障能及时被检测出，双机热备系统的安全度接近于单机系统的安全度，它的不安全度接近于单机系统的不安全度，它们的不安全度在同一数量级上；3 热备模块出现不可测故障时，工作机出现可测故障时就会使系统进入故障安全状态，这是双机热备系统安全度下降的主要原因。由于热备模块出现不可测故障后，也有再次出现故障向可测性故障转移的可能性，另外当考虑维修性时，双机系统的可用度提高了，这些都有利于提高双机热备系统的安全度。双机热备系统的安全度还可以采用以下技术措施来提高。1 减少故障间隔检测时间，及时检测出故障。2 尽可能采用较完善的故障检测算法，提高检测覆盖率。3 提高单机系统的可靠度也是提高双机热备系统安全度的有效措施。4 改进系统的硬件结构，使其由不可测故障引起的危险侧输出的可能性尽可能减少。1 4 第三章自测试、可测性与边界扫描技术系统自测试是可测性设计技术的重要组成部分，所以，要研究自测试就要先了解何谓可测试技术。3 1可测试技术可测试性的概念最早产生于航空电子领域。较早的航空电子设备的测试过程通常采用以分析输入输出端口为主的“黑箱”方式进行。随着电子设备功能和结构日益复杂，可靠性、维修性要求日益增高，“黑箱”方法已越来越难以满足需求。为此，要求测试人员以更积极的方式介人测试过程，不仅要承担传统测试中激励生成者和响应分析者的角色，而且要成为整个测试过程的主导者和设计者，通过改善被测试对象的设计使其更便于测试，即提高被测对象的可测试性。这种可测试性的思想和概念最早由f l i o u r 等人于1 9 7 6 年提出。随后，美国国防部相继颁布了m l s m 4 7 1 a 通告1 1 - 设备或系统的机内测试、外部测试。故障隔离和可测试性特性要求的验证及评价。埘一s 丁d 一4 7 0 4 一系统及设备维修性管理大纲、埘三一s z d 一2 酊一电子系统及设备的可测试性大纲等一系列与可测试性相关的标准规范。其中，m 三s z d 一2 1 6 5 可测试性大纲将可测试性作为与可靠性及维修性等同的设计要求，并规定可测试性分析、设计及验证的要求及实施方法，该标准的颁布标志着可测试性作为一门独立学科的确立。可测试性概念提出后，相继用于电子产品诊断电路设计及研究等各个领域。可测试性技术不仅对维修性设计特性产生重大的影响，而且影响到系统的效能及全寿命周期费用。3 1 1 计算机测控系统可测性设计技术的发展可测试性技术自出现以来，得到了迅速的发展，按可测试性机制的特点及出现时间，大体可以分为三个发展阶段，即特定目标可测试性设计阶段、结构化可测试住设计阶段和标准化可测试性设计阶殷。1 第一代胛r ( d f t ? d e s i g nf o rt e s t a b i l i t y ) 技术：特定目标可测试性设计。第一代可测试性设计技术以外部测试和特定目标可测试性设计方法为基础。特定目标可测试性设计( d f t ) 是指：针对特定功能和结构的电路板进行可测试性预计，判断其是否符合可测试性要求，若不满足，通过改善电路的设计方案来提高其可测试性，直至满足要求，特定目标可测试性设计主要采用外部测试方法，测试向量的输入和测试响应的输出均通过被测设备的输入、输出端口进行操作，对被测对象内部节点的控制和观测则采用以测试针床为基础的在线测试技术。其主要缺点如下：设计同系统的具体功能和结构紧密相关，对较复杂的系统进行设计的难度大、周期长。难以实现时序电路的测试。需要专用针床和测试仪器，成本高，测试时有可能会损坏电路中的元件。随着芯片管脚间距的减小以及s m t 技术的发展，采用物理接触的针床测试方法的适用范围日益减小。难以实现自动自测试。目前，特定目标可测试性设计已逐渐被其他的可测试性技术所代替。尽管如此，对于分离元件较多、复杂程度较低的电路而言，特定目标可测试性设计方法仍然是一种不可或缺的方法。2 第二代d f t ：基于扫描设计的结构化没计。我们知道，要完成某种系统功能可以采用不同的电路结构实现。传统的设计思想是尽量选用较为紧凑和简化的结构。然而，由于电路的可测试性同电路的结构密切相关，上述方法在设计中没有充分考虑结构对电路可测试性的影响，所设计出的电路的可测试性往往较差，将极大地增加可测试性改善设计的难度，这正是特定目标可测试性设计方法的根本缺陷。结构化可测试性设计是一种新的可测试性设计策略，其主要思想是：从可测试性的观点出发，对电路结构提出一定的设计规则，使得所设计的电路更容易测试。结构化可测试性设计通常采用扫描设计的方法进行，有多种具体的实施方法，包括：电平敏感扫描设计、扫描通路、扫描置位，等等，它依然存在如下的缺点：可测试性设计的过程仍较复杂，设计周期较长，成本较高：主要采用外部测试的方法，自动化程度不够，成本仍然较高；不同的产品设计厂家采用不同的设计方法，相互之间不兼容，产品的维修性较差。3 第三代d f t ：基于边界扫描机制的标准化设计。鉴于结构化可测试性设计方法的上述缺点，有必要开发一种更为简单的、标准化的可测试性设计方法。为此，从1 9 8 6 - 1 9 8 8 年，以欧洲和北美会员为主的联合测试行动组织( j t a g ：j o i n tt e s ta c t i o n1 6 g r o u p ) 率先开展了边界扫描技术的研究，提出了一系列j t a g 边界扫描标准草案。1 9 9 0 年，1 e e e 组织和j t a g 组织共同推出了i e e e1 1 4 9 边界扫描标准。i e e e1 1 4 9 j 定义了一种标准的边界扫描结构及其测试接口，其主要思想是：通过在芯片管脚和芯片内部逻辑电路之间，即芯片的边界上增加边界扫描单元。实现对芯片管脚状态的串行设定和读取，从而提供芯片级、板级、系统级的标准测试框架。边界扫描机制可以实现下列目标：测试电路板上不同芯片之间的连接；测试芯片及电路板的功能；应用边界扫描寄存器完成其他测试功能，如伪随机测试、特征分析、低速静态测试等；边界扫描机制提供了一种完燕的、标准化的可测试性没计方法。自从边界扫描标准出现以来，市场上支持边界扫描机制的芯片及设计开发软件与日俱增，其应用越来越广泛。3 1 2 可测试性技术的内涵可测试性大纲将可测试性( t e s t a b i l i t y ) 定义为：产品能及时准确地确定其状态( 可工作、不可工作、性能下降) ，隔离其内部故障的设计特性。以提高可测试性为目的进行的设计被称为可测试性设计。对于可测试性的内涵，需从如下几个方面进行理解。1 可测试性描述了测试信息获取的难易程度。可测试性包括两方面的含义：一方面，便于对产品的内部状态进行控制，即所谓的可控性；另一方面，能够对产品的内部状态进行观测，即可观测性。实际上，可控性和可观测性所描述的就是对产品进行测试时信息获取的难易程度。传统的“黑箱”功能测试方法的根本缺陷就在于它难以获取有效表征被测对象内部状态的信息。2 可测试性是设备本身的一种设计特性。同可靠性( r e l i a b i l i t y ) 一样，可测试性也是设备本身所固有的一种设计特性。设备的可测试性并不是可测试性设计所赋予的，产品一旦设计生产出，本身就具备了一定的可测试性。正如可靠性可以通过m t b f 等可靠性指标度量一样，可测试性也可以通过可控性、可观测性指标来度量。要改善产品的可测试性指标，必须在产品设计阶段就进行良好的可测试性设计。3 可测试性技术的最终目标是提高产品的质量和可靠性，降低全寿命周期费用。、1 7 -降低产品的费用，追求产品的高质量是工业界的永恒主题。目前，单纯合格与否的传统质量标准已转变为综合了性能指标、可靠性及可用性( a v a i l a b i l i t y ) 指标要求的“完整质量”概念，而传统的仅考虑产品设计和生产费用的产品费用则被“全寿命周期费用”的概念所替代。全寿命周期费用包括产品整个生命周期中从概念形成到报废处理全过程的费用。可测试性技术的应用可以极大地提高产品的“完整质量”，降低其全寿命周期费用。一方面，在产品设计阶段，可以对产品设计原型进行虚拟测试，验证设计方案，排除可能的设计缺陷；在生产阶段，可以对产品进行全面的测试，排除产品的潜在故障，从而降低使用过程中的故障率，提高其质量和可靠性：另一方面，可测试性技术可以缩短产品研制、试验和评价的周期，降低产品的研制费用，提高产品的可用性指标，减少产品的维护和保障费用，从而降低产品的全寿命周期费用。3 2 边界扫描可测性设计技术边界扫描是为开发易于通用印刷电路板( p c b ) 结构测试( 例如黏结、开路、短路等) 测试技术而设计的。1 1 4 9 j 边界扫描标准的采用使各公司生产出具有边界扫描结构的集成芯片( 弼) ，测试硬件及a t p g ( a u t o m a t i ct e s tp r o g r a mt og e n e r a t i o n ) 软件工具。由于与i e e e l l 4 9 j 标准兼容，多厂家的边界扫描硬件和软件可有效地兼容。自从i e e e 公布了i e e e l l 4 9 j 有关边界扫描的标准以后，边界扫描技术得到了迅速发展和应用。利用这种技术，可以检查大规模数字集成电路芯片、多芯片模块和由数字集成电路芯片或多芯片模块组成的印制电路板。边界扫描从板极测试技术发展到系统级测试及串行通信总线，现在硬件和软件都能提供系统级结构测试和诊断的系统级边界扫描操作。借助1 1 4 9 j 测试端口，许多工具可支持包括“j d 仿真和系统内脱口例编程的非测试功能。象s c a n e a s e 和国家半导体公司的嵌入式边界扫描控制器等工具使嵌入式1 1 4 9 1 能力成为可能，这对于系统级测试及自测试是必须的。边界扫描测试是将测试电路设置在集成电路芯片内，因此它也为产品在制造、使用、维护中的内建测试( 盯m u j ti nt e s t ) 提供了基础。内建测试是一些安全性、可靠性要求高的关键设备的必然发展趋势，因而边界扫描技术具有很好的发展与应用前景。铁路信号控制系统不仅要求有高的可靠性，还要求有高的安全性与可维性。将边界扫描技术应用于控制铁路信号的微机连锁系统可大大提高系统的智能化。3 2 1 边界扫描技术的含义边界扫描技术是一种应用于数字集成电路器件的结构可测试性设计方法。所谓“边界”是指测试电路被设置在集成电路器件功能逻辑电路的四周，位于靠近器件输入、输出引脚的边界处。所谓“扫描”是指连接器件各输入、输出引脚的测试电路实际上是一个串行移位寄存器，这种串行移位寄存器被叫做“扫描路径”，沿着这条路径可输入由“l ”和“0 ”组成的各种编码，对电路进行“扫描”式检测，从其输出结果判断其是否正确。3 2 2 边界扫描器件实现边界扫描技术的基础是边界扫描器件( 如图3 1 所示) 。这种器件除了它应有的逻辑功能电路以外，还增加了测试电路。在“正常模式”下，器件执行它的内部逻辑功能：在“测试模式”下，测试系统可通过器件的测试电路访问和控制它，观察其输入和输出，检查与其连接的电路的正确性。典型的边界扫描i c 由内部逻辑电路和输入输出缓冲区组成，在内部逻辑电路和输入输出缓冲区之间靠近每一个引脚处有一个移位寄存图3 1 边界扫描器件- 1 9 -器区。每一个移位寄存器区由一个边界扫描单元( b s c ) 组成。这些b s c 能够控制和观察在一片伦中的每一个输入输出引脚上发生的事情。器件引脚上的这些b s c 在内部互相连接，组成一个移位寄存器链，统称边界扫描寄存器。边界扫描寄存器提供了一个环绕主逻辑电路的串行通路。这一通路由一个测试数据输入端( t d i ) 和一个测试数据输出端( t d o ) 连接，再加以适当的时钟和控制信号。在这样组织下，在i c 正常操作期间，b s c 对于内部逻辑电路是透明的。当伦处于测试模式时，b s c 可被设置成允许激活测试状态，可以串行移入数据或从b s c 输出口输出数据。测试响应数据被捕获到每一b s c 输入端，再移位输出以便观察。在控制信号的控制下，每一b s c 可以在其输入1 ：3 捕获数据，或更新其输出1 ：3 的数据，或者串行移位数据到其下一个b s c 。测试数据可通过边界