（控制理论与控制工程专业论文）负荷分担式容错飞行控制软件设计.pdf

f ： ， l p t h eg r a d u a t es c h o o l c o l l e g eo f a u t o m a t i o ne n g i n e e r i n g f a u l t - - t o l e r a n c ef l i g h tc o n t r o ls o f t w a r e d e s i g n f o rl o a d - s h a r i n gs y s t e m a t h e s i si n c o n t r o lt h e o r ya n dc o n t r o le n g i n e e r i n g b y f uy u a n y u a n a d v i s e db y l ic h u n t a o s u b m i t t e di np a a i a lf u l f i l l m e n t o ft h er e q u i r e m e n t s f o r t h ed e g r e eo f m a s t e ro f e n g i n e e r i n g j a n u a r y , 2 0 1 0 i ii ii lll ll u i 8110 6 7 f 4 ， ， 是本人在导师指导下，独立进 文中已经注明引用的内容外， 本学位论文的研究成果不包含任何他人享有著作权的内容。对本论文所 涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标 明。 本人授权南京航空航天大学可以有权保留送交论文的复印件，允许 论文被查阅和借阅，可以将学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的学位论文在解密后适用本承诺书) 作者签名： i 鸯建壁 e l 期：塑! ! ：! ：! ! j ， 一 q 文 随着无人机在军事氏h j 上席刚越米越多，其实用性已经得剑了广泛地认可，对无人机的可 靠性要求也变得日益变高。飞行控制计算机是l s 行控制系统的核心，对其容错的研究成为提高 无人机可靠性的重要途径之一。本文以无人机能够在受到非致命故障时仍能可靠匕行为目标， 在具有松耦合嵌入式双处理器的飞行控制计算机基础上，研究负荷分担式双机容错技术，设计 开发容错飞行控制软件。 首先，分析了常见提高系统可靠性的可靠性保证技术，并将容错技术引入飞行控制计算机。 对双机系统中不同上作方式优劣进行比较，最终选择负荷分担作为飞行控制计算机中双处理器 的上作方式。 其次，根据软件飞行控制功能、容错功能、内存管理需求，综合考虑软件功能和性能，提 出了飞行控制软件总体设计方案。采取模块化设计思想，将飞行控制软件划分为1 0 个任务，从 总体上保证整个软件框架清晰。 然后，完成飞行控制计算机舣处理器任务调度分配。在飞行控制软件的任务中设置看门狗、 任务运行频率判断、双口洲数据定时更新判断、处理机上作状态判断等四个检查点的基础 上，设计故障诊断与处理、系统重构的策略。 最后，在半物理仿真条件下，对自动驾驶仪总线性能进行了测试，对容错飞行控制软件的 功能进行验证。结果表明飞行控制软件设计满足软件容错功能要求，负荷分担式双机容错方案 可行。 关键词：飞行控制，双处理机，负荷分担，容错，故障检测，内存管理 负荷分担式容错匕行控制软件设计 a b s t r a c t a su a vi su s e dm o r ea n dm o r ei nm i l i t a r ya n dc i v i lf i e l d ，i tr e c e i v e dc o n s i d e r a b l er e c o g n i t i o n m e a n w h i l er e l i a b i l i t yo fu a vi si n c r e a s i n g l yr e q u i r e d f l i g h tc o n t r o lc o m p u t e ri st h ec o r eo ff l i g h t c o n t r o ls y s t e m ，s or e s e a r c ho nf a u l t t o l e r a n c eo fi ti sa ni m p o r t a n ta p p r o a c ht oi m p r o v er e l i a b i l i t yo f u a v t h i sp a p e ra i mt ou a vs t i l lf l ys a f e l yw h i l ei ts u f f e r e dan o n f a m lb r e a k d o w n ，c a r r yo u ts t u d yo n l o a d s h a r i n gf a u l t t o l e r a n c ei nd u a ls y s t e mu n d e rf l i g h tc o n t r o lc o m p u t e rw i t hd u a lc p u ，a n dd e v e l o p f a u l t t o l e r a n c ef l i g h tc o n t r o ls o f t w a r e f i r s t l y , c o m m o nr e l i a b i l i t yt e c h n i q u ew a sa n a l y z e da n df a u l t - t o l e r a n c ew a sa p p l i e dt of l i g h t c o n t r o lc o m p u t e r c o m p a r i n gd i f f e r e n tw a yo fw o r k i n gb e t w e e nd u a lc p u ，l o a ds h a r i n gw a su s e da s w o r km o d e s e c o n d l y , a c c o r d i n gt ot h er e q u i r e m e n t so ff l i g h tc o n t r o l ，f a u l t - t o l e r a n c e ，m e m o r ym a n a g e m e n t ， f u n c t i o na n dp e r f o r m a n c eo fs o f t w a r e ，g e n e r a la r r a n g e m e n to ff l i g h tc o n t r o ls o f t w a r ew a sp r e s e n t e d a d o p t e dm o d u l a rp r o g r a m m i n g ，s o r w a r ew a sd i v i d e di n t o 1 0t a s k sb a s e do ni r t c o s i it oi n s u r e f r a m e w o r ko fi tc l e a r l y t h i r d l y , t a s ka l l o c a t i o nt od u a l - c p uw a sf i n i s h e d a tt h eb a s eo fs e t t i n gf o u rc h e c k i n gp o i n t i n c l u d i n gw d t , f r e q u e n c yo ft a s k ，d a t au p d a t ei nt w o - p o r tr a m ，w o r k i n gc o n d i t i o n ，f a u l td e t e c tw a s r e a l i z e dr e l yo ns o f t w a r e 。a n dw a yo fd i s p o s i n gf a u l ta n ds y s t e mr e c o n f i g u r a t i o n 硼p r o v i d e di n d e t a i l f i n a l l y , e x p e r i m e n t sa l el a u n c h e dt o t e s tp e r f o r m a n c eo fa u t o p i l o ta n dv 舐匆f u n c t i o n so f s o f t w a r eo n eb yo n e t h er e s u l t ss h o wp e r f o r m a n c eo fs o f t w a r em e e tr e q u i r e m e n to fr e a l - t i m ec o n t r o l ， f e a s i b i l i t yo fl o a d - s h a r i n gf a u l t - t o l e r a n c es t r a t e g yi nd u a ls y s t e m k e yw o r d s ：f l i g h tc o n t r o l ，d u a lc p u ，l o a ds h a r i n g ，f a u l tt o l e r a n c e ，f a u l t - d e t e c t ，m e m o r ym a n a g e m e n t ， 南京航空航大人学硕十学何论文 第一章 1 1 1 2 1 3 1 4 第二章 2 1 2 2 2 3 2 4 第三章 3 1 3 2 3 4 目录 绪论1 i ；i 言1 可靠性保障技术。l 1 2 1 避错技术1 1 2 2 容错技术2 容错计算机的现状。4 本文的主要研究内容及安排。7 飞行控制软件总体设计9 容错飞行控制软件功能概述9 2 1 1 飞行控制功能：9 2 1 2 软件容错功能9 2 1 3嵌入式系统内存管理10 飞行控制软件开发平台1 l 2 2 1自动驾驶仪硬件平台1 l 2 2 2 软件开发调试环境1 3 2 2 3 嵌入式实时操作系统p c o s i i 1 3 飞行控制任务划分1 4 ，j 、l ；苦15 容错策略设计。1 6 双机任务分配1 6 双机通信方式l7 3 2 1 双口r a m 方式17 3 2 2c a n 总线方式2 0 双机同步机制2 0 3 3 1 任务同步2 l 3 3 2 状态同步。2l 故障检测与诊断2 2 3 4 1 白检测技术2 2 负荷分担式容错飞行控制软什设计 3 5 3 6 第四章 4 1 4 2 4 3 4 4 第五章 5 1 5 2 5 3 5 4 5 5 第六章 6 1 6 2 3 4 2 互检测技术2 3 3 4 3 故障诊断与处理一2 3 系统重构2 9 ，j 、l ! - 上：i l 嵌入式系统内存管理研究3 2 嵌入式系统内存空间3 2 4 1 1 内存空间分区3 2 4 1 2 堆和栈的比较3 2 4 1 3 内存分配方式3 4 飞行控制软件内存分配3 4 4 2 1全局变量3 5 4 2 2 消息邮箱、消息队列3 5 4 2 3 内存块3 6 任务间通信实现。3 7 4 3 1消息队列实现通信3 7 4 3 2内存块实现通信3 9 j 、结4 0 基于l , tc o s i i 的容错飞行控制软件设计4 l 飞行控制软件的任务分析4 l 调度管理任务设计4 4 故障管理任务设计4 4 飞行控制功能任务设计4 7 5 4 1 数据采集任务4 7 5 4 2 遥控遥测任务4 8 5 4 3 航线管理任务4 8 5 4 4 导航制导任务4 8 5 4 5 控制律任务4 9 d 、结! ；：! 仿真与测试5 3 c a n 总线负荷测试5 3 无人机实时仿真系统5 4 6 2 1 仿真系统硬件平台5 4 南京航空航大人学硕十学位论文 6 2 2 实时仿真软 ；，i ：结构5 5 6 3j 卜物理仿真试验5 6 6 3 1 仿真验证平台连接方式5 6 6 3 2 飞行控制功能仿真验证5 6 6 3 3 软件弈错功能仿真验证6 0 6 4 ，j 、结一6 3 第七章总结与展望“ 7 1 本文的主要：l ：作和贡献6 4 7 2 本文的不足之处6 5 7 3j 厅续j i ：作展望6 5 参考文献6 6 致谢6 9 在学期间的研究成果及发表的学术论文7 0 v 负荷分担式容错l s 行控制软件设计 图清单 图1 1 三模冗余结构2 图1 2n 份程序结构3 图1 3 恢复块结构4 图1 4 典型飞行控制系统组成一5 图1 5 飞行控制计算机舣机热备份系统结构7 图2 1 自动驾驶仪模块结构1 l 图2 2 主控制模块结构1 2 图2 3 硬件调试平台1 3 图2 4 嵌入式系统体系结构图1 4 图3 1 双口r a m 与各处理机问的连接1 8 图3 2 双口r a m 数据传递方式1 9 图3 3 双机配合中具体的数据传递1 9 图3 4 任务同步流程2 l 图3 5 舣口r a m 初始化j ：作流程2 4 图3 6 主c p u 开机同步j i ：作流程2 5 图3 7 从c p u 开机同步上作流程2 5 图3 8 土c p u 双机配合j ：作流程2 6 图3 9 从c p u 双机配合j ：作流程2 7 图3 10 主c p u 单机j i ：作流程2 8 图3 1l 从c p u 单机一i ：作流程2 9 图3 1 2 主c p u 的j ：作状态切换关系3 0 图3 1 3 从c p u 的工作状态切换关系3 0 图4 1 内存空间数据分区。3 3 图4 2 消息队列环形缓冲区3 5 图4 3 多个内存分区3 6 图4 4 消息队列实现方式下任务数据流3 8 图4 5 消息队列方式下任务典型工作流程3 9 图4 6 内存块实现方式下任务数据流3 9 南京航空航天人学硕f ：学f 7 ：论文 图4 7 内存块方式卜- 任务典型l ：作流科4 0 图5 1 飞行控制软件任务结构4 l 图5 2 飞行控制软1 i ，| ：多任务启动4 2 图5 3 飞行控制软件任务运行时序示例4 3 图5 4 凋度管理任务i ：作流程4 5 图5 5 故障管理任务j i ：作流程4 6 图5 6 火气机通信链路4 7 图5 7 航线管理任务1 ：作流程4 9 图5 8 导航任务j ：作流程5 0 图5 9 控制律任务：l 作流程51 图6 1c a n 总线负荷运行波形5 4 图6 2 仿真软件结构图5 5 图6 3 实时仿真系统连接图5 6 图6 4 仿真验证平台结构图5 7 图6 5j f 物理仿真实物连接图5 7 图6 6 指令导航纵向仿真曲线5 8 图6 7 自主导航仿真航迹。5 9 图6 8 自主导航横侧向滚转角历史曲线5 9 图6 9 任务导航仿真航迹6 0 图6 1 0 任务导航横侧向向历史曲线6 0 图6 1 l 从c p u 单机：【：作监控界面6 l 图6 1 2 从c p u 单机工作实时仿真航迹6 2 图6 1 3 主c p u 单机：i ：作实时仿真航迹6 2 负荷分担式容错匕行控制软什没计 表清单 表3 1处理机任务调度表1 7 表3 2故障检测所需的信息表2 0 表3 3舣处理器一l ：作状态关系表2 2 十 表3 4故障检查方法使用表2 4 表5 1任务优先级分配表4 2 表5 2飞行阶段与模态对应表5 l 表6 1c a n 总线数据帧统计表5 4 表6 2匕行控制功能测试表5 7 表6 3容错功能测试表6 l ， 南京航空航大人学硕十学何论文 注释表 略写 英文全称中文名称 a d c a n a l o g - t o - d i g i t a lc o n v e r t e r 模数转换器 a i 洲a d v a n c e dr i s cm a c h i n e 先进数字处理器 a d sa r md e v e l o p e rs u i t ea r m 集成开发i ：具 a n s ia m 甜c a nn a t i o n a ls t a n d a r d si n s t i t u t e 美国国家标准化组织 b s sb l o c ks t a r t e db ys y m b o l 以符号为开端的区块 c a nc o n t r o l l e ra r e an e t w o r k 控制器局域网络 c p u c e n t r a lp r o c e s s i n gu n i t中央处理器 f l a s hf l a s hm e m o r y 闪存存储器 f i f of i r s ti nf i r s to u t先进先出 g p s g l o b a lp o s i t i o ns y s t e m全球定位系统 i n t e r n a t i o n a lo r g a n i z a t i o nf o r i s o 国际标准化组织 s t a n d a r d i z a t i o n i m ui n e r t i a lm e a s u r eu n i t 惯性测鼙单元 j t a g j o i n tt e s ta c t i o ng r o u p边界扫描测试接口 n m rnm o d u l er e d u n d a n c y n 模冗余 o s o p e r a t i o ns y s t e m 操作系统 p x i p c ie x t e n s i o n sf o ri n s t r u m e n t a t i o n用丁仪器的扩展型p c i p w mp u l s e 、矾d mm o d u l a t i o n 脉宽调制 r a mr a n d o ma c c e s sm e m o r y 随机访问存储器 s p is e r i a lp e r i p h e r a li n t e r f a c e 串行总线 u n i v e r s a la s y n c h r o n o u sr e c e i v e ra n d u a i u 通用异步收发器 t r a n s m i t t e r u a vu n m a n n e da e r i a lv 曲i c l e 无人机 w d tw a t c hd o gt i m e r 看门狗 0 ， 无人机( u n m a n n e da e r i a lv e h i c l e ，缩写u a v ) 是一种可自主飞行或由无线电遥控操纵、 可重复使川的航空器。近儿十年，无人机不断往战争中体现其优势。1 9 8 2 年，以色列成功地往 贝譬谷地以“猛犬”( b a n d o g ) 无人机为诱饵成功摧毁了敌方的导弹基地。到了1 9 9 1 年的海湾 战争，无人机人量参战，这使它的发展开始进入一个崭新的局面。特别是在2 l 世纪初，美国研 制的无人机在阿富汗战争中人展身手，在伊拉克战场更是突显神威。这掀起了无人机在世界范 围内研究和发展的热潮。无人机也逐渐在高风险和长时间任务中显现了其独特的优势，军h j 方 面它通过实施监视与侦查、干扰、欺骗甚至实现直接精准打击来形成信息战和无人化非接触远 程作战，在民用领域已广泛用于航空摄影、气象探测、勘探测绘、环境研究、核辐射探测、通 信中继、水灾监视、森林火灾防救、电力线路检查等l l 】。 无人机的各项性能包括起飞着陆性能、飞行性能、飞行安全可靠性能、系统的自动化性和 可维护性等，它们的优劣在很人程度上都取决于其飞行控制系统的设计。由于现代飞行控制系 统结构日益复杂和庞犬，飞行环境相对恶劣，飞机性能要求严格，所以对安全可靠性研究已成 为l s 行控制系统设计中非常重要的问题【2 1 。高可靠的飞行控制系统是乜行安全的保证，当无人 机出现故障或者遭剑1 扛致命意外损伤时，如果飞行控制系统能依据故障特性迅速改变控制策略， 通过控制系统的重构或者重组实现飞机最低安全性要求，这对于保证飞机飞行任务的继续执行 或者安全返航具有重要意义【4 1 。 1 2 可靠性保障技术 目前解决飞行控制系统可靠性的技术主要包括避错技术和容错技术。其中容错技术是构造 高可靠系统的有力手段【4 】o 1 2 1 避错技术 避错技术的目的是尽量减小故障出现的概率，即降低火效率。避错可从环境保护技术、质 量控制技术、提高元件集成度等方面着手。其中，环境保护技术是指依据l s 行控制系统受环境 因素，如温度、湿度、冲击、振动、电磁场笛不同，有针对性地采取适当的环境保护措施，使 得系统能够承受其应用场合的环境影响。实践证明，由于故障的不可避免性，避错技术只能在 一定程度上提高系统的可靠性，超过一定限度将使系统成本急剧上升【4 1 。所以要想进一步提高 l 负荷分担式容错飞行控制软什设计 可靠性，必须采川容错技术，它的关键是使 线性增加的冗余资源米换取指数增k 的可靠性。 1 2 2 容错技术 所谓容错( f a u l t t o l e r a n c e ) 是指系统对故障的容忍能力，是利用外加的冗余资源，使处丁 一l ：作状态的系统中一个或多个关键部分发生故障或出错时，通过自动检测与诊断米掩盖故障的 影响，并能采取相应措施保证系统维持其规定功能或保持其功能在可接受的范围内【5 1 。冗余是 提高系统和设备可靠性的一种有效措施，特别是对人中型设备，用其它方法难以达剑可靠性指 标要求时，冗余设计往往能够达到目的。同时，由丁冗余设计会增加设备的体积、重量、功耗 和费用，冈而其多用于火效后果非常严重的场合，如飞行控制系统、空中交通管制系统、潜艇 导航系统等。一般冗余包括硬什冗余、软件冗余、信息冗余、时间冗余等。 硬件冗余，以检测或屏蔽故障为目的而增加一定硬件设备的方法，它在关键元器件、模块、 系统附加额外硬件。如处理器、i 0 设备等。这些硬件不是系统实现其控制功能所必须的，但 ， 是，它们可以保证系统在发生故障的情况f ，利川故障屏蔽、处理技术来隔离或校止故障的影 响，使系统能继续j r ：作。硬件冗余技术的实现上可采刚元器件冗余方式，也可以是在模块级、 系统级上增加套数的方式。硬件冗余的级别越低，故障屏敞的效果越好，但同时也给故障检测 和电路设计带来的凼难也越人，所以实际应朋中模块级、系统级冗余模式用的最多。硬件冗余 技术中，常见的有静态冗余、动态冗余和混合冗余等模式。 静态冗余义称为屏敞冗余( m a s k i n gr e d u n d a n c y ) ，它不改变系统的结构，其冗余结构也不 随故障情况变化而变化。它应用了故障屏蔽的概念，考虑附加的元器件或模块米屏蔽故障元器 件或模块，防止故障造成差错【9 1 。三模冗余( t r i p l em o d u l a rr e d u n d a n c y ，简称t m r ) 是静态冗 余实现故障屏敝最常用的方法。t m r 的概念最初是由v o nn e u m a n n 提出的。其基本思想如图 1 1 ，这里带m 标记的框为完全相同的“模块”，模块可以是一个处理器，也可以是一个不太复 杂的单元。模块的输出接至一个表决器v 。表决器接收模块的输出，并将多数表决的结果作为 一 最终的输出。 输 粤、器输出 厂丁l 一一夕v 卜孕m l j ，一t 一， 蔓 动态冗余是一种结合了故障检测、诊断、重组和恢复等多种手段的容错技术1 6 1 。所谓“动 态”是指作为系统正常资源的冗余模块随着检测到的故障而变化。系统以标准模块配置进行工 2 南京航空航大人学硕十学位论文 作，一口检测出故障，紧接着进行重组和恢复从而消除故障的影响，达剑容错的目的。动态冗 余技术的基本步骤依次为检测故障、处理故障、系统恢复。动态冗余系统的典型结构是系统中 有n 个相同的模块，其中一个或多个模块处丁运行状态，其余均处丁备份状态，称为备份模块。 若正在运行的模块发生故障，则被切除，它的：i ：作由其它止在运行的模块接替或者直接被备份 模块替代。动态冗余技术与静态冗余技术相比有以下优点【5 】：( 1 ) 隔离火难性故障的能力，这 对密集的微电子电路特别重要；( 2 ) 直到所有的备份资源都耗尽了，系统才火效；( 3 ) 利川程 序卷同能够消除有瞬时故障引起的错误：( 4 ) 易于调1 了后备单元的数鼙与类型：( 5 ) 可利刚后 备单元的不加电元件的漪在低效率特点；( 6 ) 避免了静态冗余的电路相关问题；( 7 ) 利删标准 诊断程序检查后备单元：( 8 ) 系统平均寿命增益可人人增加。 混合冗余把静态冗余和动态冗余结合在一起，两者配合使h j 【9 】。它包括一个三模冗余系统 和一组备用模块。当t m r 模块中有一个失效时，该火效模块由一个备用模块取代，从而使基 本t m r 系统继续运行。 软件冗余，为了检测或屏蔽软件中的差错而增加一些在正常运行时所不需要的软件方法， 或者将一些关键软件复制多份存于内存中，实现多重软件管理【8 】。软件容错研究对象涉及各个 领域，如虑用程序、操作系统、数据库和分布式系统软件等。软件冗余技术很人程度上都以硬 件冗余技术为参考对象，如n 份程序设计技术、软件动态冗余技术： n 份程序设计技术是一种静态的故障屏敝技术，其设计思想是用n 个具有相同功能的程序 同时执行一项计算，结果通过多数表决米选择，如图1 2 所示。其设计思想直接米源丁硬件冗 余技术的n 模冗余，表决程序的设计是n 份程序结构的关键。由于表决程序规模不大，程序结 构也不复杂，可以用正确性证明技术来保证它的正确性。 嘲确出 图1 2n 份程序结构 软件动态冗余技术，与硬件容错设计的动态冗余技术类似，用一个n 份程序结构为核心， 再用s 份程序作为后备( 后备程序随时准备替换n 份程序中出现差错的料序) ，构成一个混合 动态冗余系统。但是这种系统由于时间和空间开销太大，很少能够得到实际应用。如果n 份程 序结构退化到一个极端的情况：n = i ，则可以得剑一个特别有意义的动态冗余结构恢复快 ( r b ) 结构。r b 结构一般形式如图1 3 ，主块首先投入运行，如果检测山故障，经过现场恢复 3 豪麟 一一 一 负荷分担式容错匕行控制软什设计 后由一个后备块接替继续运行，这一过程可以重复剑耗尽所有后备块为i ：，即某一个程序块的 故障行为超出预料，从而导致了不可恢复的后果。 _ & 茹、，旦、，7 r 鬻一膏嶂 、曩 l p 篓：r j1 j 纛，、：上yj 燃 l 一j 、 ：i j 有错? ：。 百蕃嗣 系统输出 图1 3 恢复块结构 信息冗余是在实现止常功能所需要的信息外，再加入一些校验码，以保证运行结果正确性 的方法。如奇偶码、海明码、循环码、校验码等冗余码检测或纠正信息在运算、传输中产生的 错误。时间冗余，是指附加一定时间的方法来完成系统功能，系统以牺牲软件运行时间的方法 来换取可靠性，主要方法有降低运行速度、指令重复执行、程序向后恢复、程序同卷技术等， 附加的时间主要用在故障检测、重复执行或故障屏蔽上【6 1 。 1 3 容错计算机的现状 典型无人机飞行控制系统有以下三个组成部分【i o l ，如1 4 所示：( 1 ) 传感器，飞行控制系 统的信息来源，片j 来采集飞行控制所需要的飞机运动参数。常见的有垂直陀螺仪、航向陀螺仪、 三轴角速率陀螺以及两轴直线加速度计等。( 2 ) 飞行控制计算机，主要负责对传感器采集的数 据加以处理，解算控制律，最后输出控制信号。( 3 ) 伺服动作器，根据l s 行控制计算机输出的 控制指令驱动舵机，常用的有电动伺服舵机和液压伺服舵机等。 由图1 4 可以看出，飞行控制计算机是飞行控制系统的核心组成部分，因此提高飞行控制 计算机的可靠性是提高飞行控制系统可靠性的有效途径。从飞行控制计算机故障的引发原因来 看，主要有三方面：设计错误、元器件失效和环境冈烈1 6 1 。 ( 1 ) 设计错误，无论软件还是硬件，由丁使用不正确概念作为设计原理来实现系统结构而 造成的故障。从需求分析、系统设计到后期系统维护，每一个步骤都必须最人限度地保证设计 的合理性和应用的正确性，发现并解决可能存在的错误设计。 ( 2 ) 元器件失效，处理器、存储器失效是飞行控制计算机常见的故障，它们将直接引起飞 行控制计算机的失效，从而使飞行控制系统的不可靠。通过质量控制技术，对元器件进行严格 4 南京航空航犬人学硕十学何论文 的质蛩控制，即通过全面检测平i i 产品火效形式分析等米降低元器1 i ，| ：火效率。 ( 3 ) 环境冈素对数字系统的可靠性有着极人影响【5 】。当匕行控制计算机受不同的环境冈素 ( 温度、湿度、振动、电磁场、核辐射、盐雾、霉菌等) 作川时，其可靠性都会不同程度地降 低。例如：在高温条件下，元器什的参数会发生变化，氧化和其它化学反应加剧，使元器1 j ，l ：严 重老化；低温时，元器什参数性能降低，引脚接触不良，结构强度降低；在潮湿、盐雾、霉菌 环境中会使绝缘电阻降低，氧化腐蚀加剧，产生短路现象：在电磁干扰核辐射环境中，改变材 料的化学、物理及电性能，会使计算机产生假信号和错误信号，甚至完全中断j ：作。采用合适 的环境保护技术，如热设计、机械应力防护、化学防护、电磁兼容性设计，减少环境冈素对系 统的影响。 图1 4 典型飞行控制系统组成 虽然各种避错技术在一定程度上提高计算机系统的可靠性，但容错技术能在花费较少成本 的基础上进一步提高它的可靠性。自从1 9 5 2 年j v o nn e u m a n n 发表了利川欠可靠元件设计可 靠系统理论始，容错技术的研究已经持续了5 0 多年，其中在故障限制、故障检测、故障屏蔽、 诊断、重组等方面形成了一整套可靠性理论。容错计算机一直是容错技术研究的重点，从传统 的航空航天、电话交换等控制应用领域到金融业务等联机事务处理领域，都涉及容错计算机的 应用。 目前，容错计算机系统人多采用多处理机实现【i2 1 。冈为多处理机系统有着单机系统无可比 拟的优点i l2 j ：( 1 ) 处理速度高。单纯依靠提高器件运行速度来提高计算机速度的难度越来越人， 潜力也越来越小，故在单机系统上改进计算机系统结构，效果甚微。实践证明，依靠多处理机 系统的并行处理能力是提高处理速度的有效途径。( 2 ) 可靠性高。多处理机系统包含多个同类 型的处理机，当某个或某几个处理机发生故障时，整个系统仍有能力可以重新组合，切除有故 障的处理机，由其它处理机分担它的1 ：作，整个系统可以继续正常j i ：作。( 3 ) 性能价格比高。 单处理机在性能达到一定水平后，再要提高性能，它的性价比将随其规模的增人而迅速下降。 多处理机系统是由多台性能较低的单处理机构成，如果聿1 5 5 个系统设计得当，其并行处理能力将 远远大于昂贵的性能较高的单处理机系统。 容错计算机有紧密耦合和松散耦合两种体系结构 l i 】。紧密耦合m p s ，通过高速总线或高速 5 负荷分担式容错飞行控制软什设计 交义开关实现多个处理机之间的相互连接。它们共享主存储系统和i 0 设备，并要求将土存储 器划分为若干个能独立访问的存储器模块，以便多个处理器能同时对土存进行访问。系统中的 所有资源和进程，都由操作系统实时统一控制和管理。松散耦合m p s ，通常是通过通道或通信 总线来实现多台计算机之间的相互连接。每台计算机都有自己的存储器和i o 设备，并配置了 o s 米管理本机资源和在本机运行的进程。因此，每一台计算机都能独立一j ：作，必要时可通过通 信总线与其他计算机交换信息，来协调计算机之间的上作。 紧密耦合多处理机构成的容错计算机，若系统共享的存储器发生故障不能i ：作，将使整个 系统瘫痪。故目前采用较多的是松散耦合系统结构【1 2 】，根据多处理机系统中各个处理器运行任 务是否相同义可将这类计算机分为两类。 ( 1 ) 各处理机运行相同的任务 该系统中的多处理机同时接收相同的输入信息，执行相同的程序，交换并比较中间运算结 果或最终结果，最后只用其中某个处理机输出作为系统最终输出。当系统由两个处理机构成时， 通常称之为热备份式双机系统。系统交换比较中间运算量以及计算结果，再由输出开关决定哪 一个作为系统的最终输出。如果发生故障，立即切换剑备份处理机并采用其输出。热备份系统 容错功能主要靠硬件实现，切换时间延时短。 南京航空航大大学飞行控制研究所开发的基丁流行的p c 1 0 4 体系结构的无人飞行控制计 算机，就是利用热备份式双机容错技术来提高飞行控制系统的可靠性【1 4 1 。该热备份系统结构如 图1 5 ，系统在两套单飞行控制计算机基础上加入硬件资源( 切换电路、双机通信电路) 和双机 通讯软件模块构成。其中一个飞行控制计算机作为主机，另一个飞行控制计算机作为备份机， 双机各自独自承担完整的飞行控制功能。当主机无故障时，备份机与主机为同步随动状态，但 是系统以主机的计算结果作为输出；当主机发生故障，备份机通过故障检测，根据检测数据诊 断出土机故障，此时备份机的计算结果自动接替成为系统输出，实现实时无缝切换。 热备份式双机容错设计切实提高了系统的可靠性。与热备份相对应的系统可称为冷备份系 统，两者唯一的区别是主处理机正常时，热备份系统的备份机也运行并参与故障检测，而冷备 份系统的从机则处在断电状态，只有在主处理机发生故障时从处理机才启动接替主机工作。 ( 2 ) 各处理机运行不同的任务 这种类型的容错计算机中的多处理机，应用程序中相对独立的进程任务被分配给不同处理 机，交换中间运算结果，其中只有一个处理机有能力输出最终计算结果。当系统由双处理机构 成时，可称这类系统为负荷分担式双机系统。通过在应h j 程序的进程任务中设置故障检查点来 判断处理机是否故障或程序跑飞，不需要额外硬件支持。若发生故障，故障处理机的- t 作被其 它正常的处理机接替。负荷分担式双机系统，需定义双处理机为主从结构，从而解决双机故障 检测时，同时判定对方故障的矛盾问题。 6 南京航空航大人学硕十学位论文 设置故障检查点的方式有很多，常见的有：故障检布点处传送处理机状态信号的方法来检 测处理机是否有故障处理机存在。系统中的各个处理机按照一定的周期通过公共总线向所有其