（电路与系统专业论文）嵌入式容错实时计算机系统的可靠性研究.pdf

燕京邮电大学颧士研究生学位论文 摘要 摘要 随着科学的进步及人类社会的发展，人们对复杂的软硬件系统的需求急剧增加。它的发 展速度远远超过了软硬件的设计、实现、测试及维护的能力。所以我们常听说各种各样的 问题( b u g ) ，正是这些问题导致系统有可能出现故障。嵌入式系统将操作系统与功能软件集 成起来，换句话说是指系统的应用软件与系统的硬件一体化，类似于计算机b i o s 的工作 方式。它具有软件代码小、响应速度快等特点，特别适合于对功能、可靠性、成本和体积 有严格要求的实时及多任务的体系。 本文分别阐述了实时系统、嵌入式系统以及容错计算机系统的基本概念，介绍系统可 靠性的基本理论并分析影响系统可靠性的各种因素，其中永久性故障与暂时性故障是嵌入 式容错系统的主要危害。提出了引入在线测试与离线测试方法来提高系统的可靠度，分别 分析了在线测试与离线测试对t m r 、4 m r 、5 m r 系统可靠度的影晌，并以基于时间触发 结构( t t a ) 的汽车嵌入式导航系统为例，运用马尔可夫模型为其建模来研究永久性故障与 暂时性故障对系统失效前平均时间( m t t f ) 的影响。深入研究了一些可能的补救措施，并运 用在线测试与离线测试的手段来排除潜在故障，分析了测试速率对各状态失效率的影响。 其中开放的在线测试是有效的方法之一，丽采用运行期阀的离线测试则更为可靠尽管 对测试时间有严格的限制。 关键词：永久性故障，暂时性故障，马尔可夫模型，在线测试与离线测试， 时间触发结构，容错 赢京郏电大学硕士研究生学位论文a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to ft h es c i e n c ea n dh u m a ns o c i e t y , t h er e q u i r e m e n to fc o m p l e x s o f t w a r ea n dh a r d w a r es y s t e m sr a c e du pt oa nu n p r e c e d e n t e dl e v e l 。i t ss p e e do fd e v e l o p m e n t o u t s t r i p st h ec a p a b l eo fd e s i g n , r e a l i z a t i o n ，t r i a la n dm a i n t a i no fs o f t w a r ea n dh a r d w a r e w eo f t e n h e a ro fa l lk i n d so fb u g s ，j u s tt h o s eb u g sr e s u l t i n gi ns y s t e mf a u l t t h ee m b e d d e ds y s t e m i n c l u d e so p e r a t i o ns y s t e ma n df u n c t i o n a ls o f t w a r ei n t e g r a t e dt oc o m p u t e rs y s t e m 。i no t h e rw o r d s ， s y s t e m i ca p p l i e ds o f t w a r ea n dh a r d w a r ei n t e g r a t e d ，j l a s ti ss i m i l a rt oo p e r a t i o nm o d eo fc o m p u t e r b i o s 。i t sc h a r a c t e r i s t i ch a ss o f t w a r ec o d ef e wa n dr e s p o n s es p e e df a s t 。i ti ss u i t a b l ef o rr e a l t i m e a n dm u l t i - t a s ks y s t e mw h i c hr e q u i r e st i g h tr e s t r i c t i o n so ff u n c t i o n 、r e l i a b i l i t y 、c o s ta n d m a g n i t u d ei np a r t i c u l a r t h ep a p e ri n t r o d u c e st h eb a s i cc o n c e p t i o n so fr e a l t i m es y s t e m ，e m b e d d e ds y s t e ma n d f a u l t - t o l e r a n ts y s t e m t h ep a p e ra l s oi n t r o d u c e st h ec o n c e p t i o no ft h es y s t e mr e l i a b i l i t ya n d a n a l y z e st h ef a c t o r st h a ti n f l u e n c es y s t e mr e l i a b i l i t y p e r m a n e n ta n dt r a n s i e n tf a u l t sa r ep o t e n t i a l t h r e a t si naf a u l t t o l e r a n ts y s t e m 。o n l i n ea n do f f - l i n et e s ta r ep u tf o r w a r dt oi m p r o v er e l i a b i l i t y o fs y s t e ma n dt h ee f f e c t so fo n l i n ea n do f f - l i n et e s ta r ea n a l y z e do nt h er e l i a b i l i t i e so ft m r 、 4 m ra n d5 m r s y s t e m s 纽t h ep a p e r a c c o r d i n gt ot h o s er e s e a r c h e s ，t h ea r t i c l ei n v e s t i g a t e st h i s d o r m a n tt h r e a tb yt h ee x a m p l eo fa na u t o m o t i v ee m b e d d e ds t e e r - b y - w i r ea p p l i c a t i o nb a s e do n t h et i m e t r i g g e r e da r c h i t e c t u r e ( t t a ) b ym e a n so fam a r k o vm o d e lw ei l l u s t r a t et h a tt h e e f f e c to fd o r m a n c yc a nd e g r a d et h em t t fo fas y s t e mb ys e v e r a lo r d e r so fm a g n i t u d e 。w es t u d y p o t e n t i a lr e m e d i e s ，o fw h i c ht r a n s p a r e n to n l i n et e s t i n gp r o v e st ob et h em o r ep o w e r f u lo n e ， w h i l et a k i n go f f i i n et e s td u r i n go p e r a t i o ni sam o r er e l i a b l ew a y _ t h o u g hw i t ht i g h tc o n s t r a i n t s o nt e s td u r a t i o n k e y w o r d s ：p e r m a n e n t f a u l t ，t r a n s i e n tf a u l t ，m a r k o vm o d e l i n g ，o n - l i n ea n do f f - l i n et e s t ， t i m e t r i g g e r e da r c h i t e c t u r e ，f a u l t - t o l e r a n t l l 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名： 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 击究生签名：迪导师签名：必目期：三：! 兰! 露裘豁逮夫学矮壬磷究袅攀豫论文 冀一肇蘩谂 1 1 概述 第一章绪论 随着计算机技术豹霉盏戚熬，硬件成本的迅速潜低，番种结构复杂、功髓强大舱实时 诗冀辘愿统被越来越广泛缝鲻来釜裰耩控制与人类萋活福美翡一些物理过糕。这鎏计算税 系统监视其外部物理过程的燮纯，并根摄变优产生控制指令，号| 导物理过程接照燕确戆方 式运转。典型的应用包括飞行器和航天器的控制系统、汽车电子系统、工业过程控制系统、 毫鏊控裁系统、囊重病太籍叠禽维持系统、逶燕系统疆及鏊蒋歪在太攥貘兴莛熬漓费类毫 子产熬。 凑予磊栽社会中餐麓设器增多，两支持这释设备翡棱心大都燕这群滤嵌豹载矮律蒸 统，嵌入式系统的可靠性分拼馁显褥曼先重襄。铡鲻；t h e r a e - 2 5 放射治疗仪赣鞋安全牲著 称于毽，僵菜天翻予系统蹴锚而使熟控制系统失灵，导致多名病人失去生命。毋腐置疑， 备释袭统霹冀牲戆硬巍基袭兔社会爨广泛美注懿瓣题 珏。 嵌入式熨时系统是一个埘密时矬要求严格的系缆，其实鼢系统的正确性依赖子逯行继 粱羲逻瓣正确链囊运行结栗产生嚣辩阕正魂链，鬻嵌入式实潴系统必须在筑定蓊彝荦溺范黧 蠹正确地响成外部物理过程的变化f 2 j 。随着嵌入式实瓣系统的功熊鼷盏强大，应用成本酶 逐渐簿羝，嵌入式实时系统在蒸应鞘领域中掰处地位邋速提高。目前，大量的嵌入贰实时 系统嚣舞安全关篷系统麓菝心在运行麓。量然舞暴实辩系笺蠢法瀵是设诗要求赝鬟装蕊运 算结果的逻辑藏确性和时间正确性，糨造成燮大的财产损失，甚至人身伤害，导致灾难性 酌惹暴。霆诧，袈蔼糅涯实对系蓑翼蠢一定鹣可靠麓叛避免灾难注瑟采靛发生，是黧前实 对系统个十分重要的研究领域。为满足基懿增长的慰实时祭统可靠性酶要求，遗嚣采熊 避免蒲谖、消滁错误、容错耩颓溺错误等四种方法f 3 焖。这鲻种方法贯穿子实时系统的整 个生愈餍鬟，腱系统设计篓系统夔运程饔维护。在赛辩系统垒螽嚣黧楚不嚣豁段采嬲不簿 的可靠性保障撼施，以达到用户提出黝系统埘靠性慝标。 避错菝术疆硅实封系统投入运行翁，透过大巍搂辩黧试，我虱并置 豫爵麓导皴系统 失效的可靠性阏题。鞠此，实孵系统f 5 】熊避镂需要大鳖的资塞相时黼酶投入以及十分熟悉 该系统殿其运行环境的技术久爨。僵怒，亩于对系统认识的粥限性和技术水平的限制，避 镂不哥韪完全瀵除错误发生翁隐患。攒熟，人类黠靛天溪懿王嫠莓境熬之蓉少，在搂接嚣 壁壅憋皇丕堂堡圭壁黧兰兰丝鎏塞 一 。 。 一 墼二童缕建 辘下对其进行麴测试是不完备斡。姿系统遇到未被灞试覆盏懿错误时，系统的状态将不酉 控。容错技术正怒因为这一问题丽广泛地研究和使用。航空航天器、武器装备系统、核电 监控装置耩医疗设备等安垒关毽系统( ( s a f e t y - c r i t i c a ls y s t e m ) 串。这些系统之所以称之为 安全关键系统，是因为其一旦失效，将导致人类生命、财产的黉大损失，或者对嬲圈臻壤 造成灾难性的破坏。因而，如何确保这些计算机系统的可靠性( r e l i a b i l i t y ) ，已成为人们网 盏关注鹣瓣惹。 文中掰述嵌入忒实时容错系统包含了三种系统的特点箝1 ，即嵌入式系统的灵活性和针 对性，容锩系统魏键鞋牲瓣特点，实霹系统熬毵务谪囊，又具有离可靠健，安垒牲，稳定 性并且易移撼的优点，系统可以耀予需要离可靠性的特殊环境下，例如汽车、航空、舷天、 船舶航行、豳防军事项目、精密正业控制等。 随着现代辩学技术煞不蘸发曩，大型复杂系统骛褥裁迸整增多，对蔟可靠链及有效性 的分析与谱定己成为系统研制过程串不可缺少的墼要缀成部分。在容锩实时计算机系统的 设计过程孛，通常是逶过建立系统搂型翡方式来努撬耪评定系统的哥靠性，个理想熬可 靠性模型应尽可能地将众多因素包括进去，实际上这是不可能做到的。搴l 用m a r k o v 分析 方法，是根据系统散障发生的历史，预测系统将来故障发生的行为，利用马尔可夫过程理 论怼系统进行可靠性建摸麓够怼较囊实遣撼述系统熬实际工作孝盎况l 堪l 。对一个系统进霉亍可 靠性建模和分析并求撂系统可靠性参数是项鼍# 鬻重要的工作f 7 l 。一方蕊要知道各基本元 释或部释在相应使用条 孛下静失效率，雯一方萄要翘道系统蔷元髂与整个系统之阕熬可靠 性逻辑关系和数量关系。系统可靠性模型是进行w 靠性预测的基础，可靠性模型不芷确， 预计就失去了应有的价值。因此，必须清楚了解系统功能，根据敷体情况建立磁确的可靠 性壤型，并受之确定合逶蕊模型参数。本文采鬟舄尔霹夫模型寒分撬不褥参数对系统可靠 性的影响，并探讨严格实瞅环境下可能的解决方案。 重2 国斑外动态 在计算机容错技术领域，国外的研究工作开展较早，可以说在第一代计算机c 9 ( 1 9 4 6 年 重9 5 7 年) 期闻，入稍就己将容错技术应用至i j 计算视中。离于当时构成计算枫的元件主 要是逢子管、继毫嚣及筵迟线存储器。这些元件的失效攀耀当寓，并且易受鬓露赦障的影 响，故系统浆平均纛故障潴间极短，为此需采用赦障检测与恢复技术以撼高系统麓使用对 藏。 到了7 0 年代纠，随着计算机的更新换代，容镄技术进入蓬勃发展的时期。该时期容锩 2 查室整塞盔茎要圭銎塞篷兰垄鎏銮篓二整鳖鎏 技术的应用和研究范围迅速从宇航领域扩大到交通管制、工厂自动化、电话交换、战略防 卫的控制和数据处理等领域。主要成果有电话开关系统e s s 系列处理器机、软件实现容错 的s i f t 计算机、容错多处里机f t m 等等。 到8 0 年代至今【9 l 随着超大规模集成电路( v l s i ) 和计算机的迅速发展和广泛应用，容 错技术的研究也随着计算机的普及而深入到整个工业界，许多公司生产的容错系统已商品 化并进入市场。计算机网络的容错、数据库的容错。软件的容错以及神经网络的容错等领 域不断涌现。但这一领域还有许多问题有待入们去进一步研究和解决。 隧着电子技术的飞速发震，嵌入式计算机得到越来越广泛的应用。嵌入式计算机系 统【6 l 由于其应用环境的特殊性，它对系统的机械结构、工艺及可靠性设计指标都有严格的 要求；除此之外，嵌入式系统对体积，重量及功耗等方面的也有限制，嵌入式计算机系统 要求只配备必须的功能部件，尽量减少不必要的冗余。不同的嵌入式系统的由于其应用任 务不同，对处理能力和外设要求上有较大的差异，为嵌入式计算机通用化设计带来很大的 困难。因此早期的嵌入式计算机大都是针对具体任务丽设计的专用计算机。但是这种专机 专用的设计方法在应用中逐渐暴露出许多问题【z 1 。首先由于这种专用计算机的数量一般都 不会很多，它的设计成本很高；其二，在不同专用计算机的设计中有许多低水平的重复性 的劳动；第三，要为每种计算机配备专用的维护人员，增加了维修维护费用等等。而嵌入 式系统的通焉纯设计恰袷可以弥事 这些不足。 国内的嵌入式计算机通用化的发展的时间较短，和国外相比有较大的差距。在囡外缀 多计算机公司预见到嵌入式计算机的臣大市场，把嵌入式计算机设计成商用货架产品，不 少厂家因此而取得了相当的成功【9 】。国内也有很多企业设计生产嵌入式计算机，但由于设 计水平不高，多数产品只应用在某一领域，通用化程度有待进一步提高。 1 3 本文的安排 本文第二章，分鄹介绍了实时系统、嵌入式系统与容错系统的基本橛念、系统特点及 分类。第三章中，叙述了系统的可靠性模型并着重介绍马尔可夫模型的基本概念及可靠性 数学指标。在本文的第四章中先介绍了故障的概念，接着引入在线测试与离线测试，并分 别对暂时性故障与永久性故障运用在线测试和离线测试，分析其对系统可靠性的影响。在 第五章中，阐述了时间触发结构与可靠性的基本概念。详细介绍了在线测试与离线测试， 并通过测试改进系统的可靠性。最后，第六章对全文进行了总结。 3 鸯衰郏窀太学硪醑究燮学谴论文第二章嵌入式容错实时谛算撬系统魏基本概念 第二章嵌入式容错实时计算机系统的基本概念 2 1 实时系统 实时系统【1 韬矧是指这样的系统：在某个持续的过程中( 包括连续的或离散的) ，对子 系统的一组特定的输入数值，在它钠尚未发生有意义的变化时就做出恰当的反应的系统。 这时的“恰当的反应 不仅依赖于计算结果的逻辑的正确性，而且还依赖于产生这结果 的时间。也就是说，用户要求实时系统在规定的时间范围内得出正确的运算结果。本节将 介绍实时系统的基本特点、分类和结构，以及分布式实时系统的特点。 2 1 1 实时系统的基本特点】【1 2 】 l 。实时性( r e a l t i m e ) 顾名思义，实时系统的本质属性在于它的实时性。用框图来表示系统，如图2 。l 所示。 系统具有若干个输入u ( 至少一个) 和若干个输出v ( 至少一个) 。对于一组特定的输入 值，系统就产生一组对应的输出值。若把前者称为激励( 或驱动) ，后者称为响应( 或 效果) ，则对于一组特定的激励，在满足对于系统提出的一定时间要求和准则下，系统就 得是了裰应的响应，这种操作就称为实时操作，这种系统便称为实时系统。 实时性的基本指标是响应时间，对于不同的过程有不同的响应时间要求，对于慢变化 过程具有几分钟时间甚至更长的响应时间都可认为是实时的，而对于快速过程其响应时间 可能要求达到毫秒、微秒、毫微秒级甚至更短。因此，实时性不能单纯从绝对的响应时间 长短上来衡量，应当根据不同的对象在相对意义上进行评价。 2 。遍在性( u b i q u i t o u s ) 所谓遍在性就是无处不在的特性。实时系统广泛应用于从工业制造、交通运输到普通 4 南京繇魄大学瞬士臻燮生学整谂文第二章嵌入式客镶实靖谤冀枣l 系笺弱萋率壤念 的消费类电子产品等与人类生活息息相关的各个领域。这些领域包括：过程控制、核动力 装置、敏捷制造、智能高速公路系统、信息高速公路、多媒体、实时仿真、虚拟现实、远 程医疗和远程特别护理，以及国防防御系统中的命令、控制和通信等。 3 。重要性( i m p o r t a n t ) 实酎系统的重要性表现失一旦一个实时系统在运行过程中出现差错，将会产生鼍# 常严 重的后果。实时系统运行的正确性不仅在于逻辑的正确，其正确结果的产生时间也同样重 要。 4 多任务与并发性( m u l t i t a s k & p a r a l l e l ) 霹莪，绝大多数大型或较大型遗耀操作系统都支持多任务处理。联谓多任务技术就是 在个作业内支持若于个任务并发地执行的技术。多任务处理技术支持了多用户作业的并 发执行，每个作业可以由若干个顺序执行的任务所组成。并发性则分为两种情况：种是 在攀楚理枫系统中，多个饪务蠢宏观上看是并发瓣，餐在徽蕊上看是颞序执葶亍豹；另一种 是嶷多处理枧系统或分布戏系统中，多个任务可以分别在不网的处理枫上执行，宏观上着 是并发昀，徽鼹上看也是并发鲶。魏者称走伪并发性，恁者称为寞并发牲。实时系统中多 任务并发所引起的任务间的同步、互斥、通信以及资源拭享与保护等问题比较复杂。 5 随机性( s t o c h a s t i c ) 实对系统需嫡应的事释是在难以甓计翡潆闻戮难鼓预料翁颞序惠现，并置备秘攀 孛有 时阐上的紧迫性。即使在激“忙时r 也不允许壤处理不当两推迟处理酎间，为此，系统 各部分的处理能力必须按照忙时的负祷来计算和处理。对于随机同时到达的信息，应 酬设置优先级，对优先级离的优先处理。 2 1 。2 实时系统的分类 根据应孀对象麴不同，可以将实时系统分菇实时信息处理系统和实时过程控制系统骖】。 l 。实时信患处理系统 利用电子计算梳对蔷患进行采集、处理、存德、管理、检索糯传输，必要时能离有关 人员提供有用信息输出的系统，即称为信息处理系统。个信息处理系统都配有大型的文 件和数据库，预先存有己知数据，能及时响应自身终端的服务请求，进行信息检索、修改、 更赫、加工、删除等功能，并在缀短的时阀内对耀户徽正确的隧答。 2 。实时过程控制系统 计算机过程控制系统是指计冀桃根据人镅事先给定麴指令序列( 程序) ，不新囊羹、番 s 鬻京郄邀大学矮骚究篷学建论文繁二辜墩入式餮罐实赡谤算凝聚笺熬基本摄念 序地加以执行，不断地、有序地给出控制信息，以实现对被控对象的控制。过程控制系统 实时的采集被控制对象工作过程中产生的动态参数，并以数字形式输入计算机，计算机对 收集的信息进行处理，根据处理结果，再输出相应的信息调节被控制的有关机构，以控制 生产过程平稳、均匀地进行。本文磺究的系统属予实时过程控制系统。 根据实时性的强弱，可以将实时系统分为硬实时系统( h a r dr e a l t i m es y s t e m s ) 和软实 时系统( s o f tr e a l t i m es y s t e m s ) i j 。 1 硬实时系统要求计算机必须在用户给定的时限内处理完毕，所以对系统的响应时间 有严格的要求，如果赡应时阉不能满足，就会弓| 起系统失效或导致严重的错误。 2 。软实时系统允许计算机在用户绘定的时限左右处理完毕，即对系统的响应时间虽然 有要求，但如果响应时间不能满足要求，也不会产生严重的后果，只是性能下降到般可 以接受的水平以下。 根据系统结构的不同，可以将实时系统分为集中式系统和分布式系统啕。 l 。在集中式系统中，系统的所有组成部分( 包括单个或多个处理机 集中在一起，处 理机之间、处理机与外设之间的通信通过并行总线或共享存储器进行，这种系统因通信带 来的时间开销小。 2 在分布式系统中，处理机之间相对独立而又互相联系，它们之间的通信通过计算机 隧络。因力各个处理机的物理佼置可能很分散，所以这种系统因逶信带来的时闻开镶大， 但是人们普遍认为分布式系统比集中式系统更可靠。 根据系统所用的硬件结构不同，可以将实时系统分为专用系统和开放式系统【1 4 】。 1 专用系统是针对特定的硬件结构进行开发的，软件编程后的源码只能适用于专用的 硬件结构和指令集。 2 。开放式实时系统采雳现成的标准计算机硬件结构、标准实时操作系统、标准通信协 议和标准接口总线。由于采用了工业标准，使系统的开发费用降低了，开发时间缩短了， 应用软件便于移植了，而且，也使系统便于集成。 6 南京邮电大学硕士研究生学位论文第二章嵌入式容错实时计算机系统的基本概念 2 1 3 实时系统的结构 图2 2 实时系统方框图 图2 2 】显示了一个实时系统的工作原理图。其中传感器是用来获得被控制的进程和 操作环境的状态( 例如，速度、压力和高度) ，并作为输入提供给实时计算机；工作菜单 用来载入系统的工作任务；触发生成器用来触发每个任务的执行，它不是一个单独的硬件 单元，而是执行软件的一部分：实时计算机的输出提供给执行机构和显示器，容错技术确 保即使计算机的输出有一些错误，执行机构也能正确的执行。 2 2 嵌入式系统 。嵌入式系统是以应用为中心，以计算机技术为基础，并且软硬件可裁剪，适用于应用 系统对功能、可靠性、成本、体积、功耗有严格要求的专用计算机系统。它一般由嵌入式 微处理器、外围硬件设备、嵌入式操作系统以及用户的应用程序等四个部分组成，用于实 现对其他设备的控l j ( c o n t r 0 1 ) 、监视( m o n i t o r ) 或管n ( m a n a g e m e m ) 等功能。 2 2 1 嵌入式系统的特点 嵌入式系统与通用计算机系统相比，具有一些自己的特点，下面分别列出其中的主要 方面。 1 面向特定应用( s p e c i a la p p l i c a t i o no r i e n t e d ) 嵌入式系统与通用型计算机系统的最大不同点在于嵌入式系统大多工作在为特定用 户群设计的系统中，通常都具有低功耗、体积小、集成度高等特点，能够把通用c p u 中许 多由板卡完成的任务集成在芯片内部，从而有利于嵌入式系统设计趋于小型化，移动能力 掰京邮电大学硕士研究生学位论文第篡荜嵌入式容错实时计算机系统的基本概念 大大增强。 2 高度密集( h i g h l yc o m p a c t ) 嵌入式系统是将先进的计算机技术、半导体技术和微电子技术以及各个行业的具体应 篇糨结合盾的产物。这就决定了它必然是一个技术密集、经验密集、资金密集、高度分散 但管理集中、不断创新的知识集成系统。 3 。生愈周期长( l o n gl i f e c y c l e ) 嵌入式系统和具体应用有机地结合在一起，它的升级换代也是和具体产品同步进行， 因此嵌入式系统产品一旦进入市场，具有较长的生命周期。 4 程序可固化( r o m a b l e ) 为了提高执行速度，增强系统的可靠性，嵌入式系统的软件一般都固化在存储器芯片 或单片枧本身中，丽不是存贮于磁盘等载体中，这点就与通用计算枧系有本质的区别。 2 2 。2 嵌入式系统的分类1 翻 按照不同的标准对嵌入式系统分类，可以有不同的分类方式，这里根据嵌入式系统的 复杂程度以及所实现的功能的复杂程度将嵌入式系统分成以下几类： 1 功能单一型 这类系统可以在小型设备如数字化的传感器、烟雾和气体探测器以及一些比较篱单的 应用中找到。这类设备一般根据设备的某个特定的用途来设计。因为所要实现的功能往往 比较单一，所以一般只由一颗单独的嵌入式微处理器帮一些相应的终盈设备组成，并且外 围设备也不是很复杂，具有体积小、造价低、易于实现等特点。 2 多种功能型 这类系统一般并不局限于实现某个特定功能，往往具有两种或两种以上的功能。该类 系统虽然可能只由一颗嵌入式微处理器和外围设备共同组成，但外围设备往往比较复杂而 且种类较多，如激光打印机、光驱、数码相机等，该类系统一般具有数字化、智能化的特 点。 3 复杂多功能型 相对上瑟两种类型的嵌入式系统来说，这类系统的复杂程度和功能的多样性要嵩得 多，计算机与仪器、机械及设备相连来控制这些装置的工作，这类系统包括自动仓储系统 和爨动发货系统等。在这些系统中，计算机焉于总体控制和监视，丽不是对单个设备壹接 控制。过程控制系统可与业务系统连接( 如根据销售额和库存量来决定定单或产品量) ，在 南京邮电大学硕士研究生学位论文第二章嵌入式容错实时计算机系统的基本概念 许多情况下，两个功能独立的子系统可在一个主系统操作下同运行。如控制系统和安全 系统，控制子系统控制处理过程以使系统中的不同设备能正确地操作和相互作用以生产产 品，而安全子系统则用来降低那些会影响人身安全或危害环境的误操作风险。 2 2 3 嵌入式系统的构成【1 7 】 嵌入式系统通常包括构成软件的基本运行环境的硬件和操作系统两部分。嵌入式系 统的运行环境和应用场合决定了嵌入式系统具有区别于其它操作系统的一些特点。 1 嵌入式处理器 嵌入式处理器可以分为三类：嵌入式微处理器、嵌入式微控制器、嵌入式d s p ( d i g i t a l s i g n a lp r o c e s s o r ) 。嵌入式微处理器就是和通用计算机的微处理器对应的c p u 。在应用中， 一般是将微处理器装配在专门设计的电路板上，在母板上只保留和嵌入式相关的功能即 可，这样可以满足嵌入式系统体积小和功耗低的要求。 嵌入式微控制器又称为单片机，它将c p u 、存储器( 少量的r a m ，r o m 或两者都有) 和其它外设封装在同一片集成电路里。 嵌入式d s p 专门用来对离散时间信号进行极快的处理计算，提高编译效率和执行速 度。在数字滤波、f f i 、谱分析和图像处理等分析领域d s p 正在大量进入嵌入式市场。 2 微内核结构 大多数嵌入式操作系统采用了微内核结构，内核只提供基本的功能，比如：任务的调 度、任务之间的通信与同步、内存管理、时钟管理等。其它的应用组件，比如网络功能、 文件系统、g u i 系统等均工作在用户态，以系统进程或函数调用的方式工作。因而系统都 是可裁减的，用户可以根据自己的需要选用相应的组件。 3 任务调度 任务的调度有三种方式：可抢占式调度、不可抢占式调度和时间片轮转调度。不可抢 占式调度是指，一个任务一旦获得c p u 就独占c p u 运行，除非由于某种原因，它决定放 弃c p u 的使用权；可抢占式调度是基于任务优先级的，当前正在运行的任务可以随时让位 给优先级更高的处于就绪态的其它任务；当两个或两个以上任务有同样的优先级，不同任 务轮转地使用c p u ，直到系统分配的c p u 时间片用完，这就是时间片轮转调度。 目前，大多数嵌入式操作系统对不同优先级的任务采用基于优先级的抢占式调度法， 对相同优先级的任务则采用时间片轮转调度法。 4 内存管理 9 南京邮电大学硕士研究生学位论文第二章嵌入式容错实时计算机系统的基本概念 大多数嵌入式系统不能使用处理器的虚拟内存管理技术，采用的是实存储器管理策 略，即对于内存的访问是直接的，直接送到地址线上输出，所有程序中访问的地址都是实 际的物理地址；而且，大多数嵌入式操作系统对内存空间没有保护，各个进程实际上共享 一个运行空间。一个进程在执行前，系统必须为它分配足够的连续地址空间，然后全部载 入主存储器的连续空间。 5 内核加载方式 嵌入式操作系统内核可以在f l a s h 上直接运行，也可以加载到内存中运行。f l a s h 的运行方式，是把内核的可执行映像烧写到f l a s h 上，系统启动时从f l a s h 的某个地 址开始执行。这种方法实际上是很多嵌入式系统所采用的方法。内核加载方式是把内核的 压缩文件存放在f l a s h 上，系统启动时读取压缩文件在内存里解压，然后开始执行。这 种方式相对复杂一些，但是运行速度可能更快，因为r a m 的存取速率要比f l a s h 高。 由于嵌入式系统的内存管理机制，嵌入式操作系统对用户程序采用静态链接的形式。 在嵌入式系统中，应用程序和操作系统内核代码编译、链接生成一个二进制影像文件来运 行【3 6 】。 2 3 容错系统 容错系统【3 1 是具有冗余能力的系统，即使在某些部件发生故障的情况下，系统仍能按 原定性能指标或性能指标略有降低( 但可接受) 安全地完成控制任务。现代的大型复杂系统 通常是容错性能很强的系统，故障诊断技术是实现控制系统容错性能的重要保证。 2 3 1 容错技术 所谓容错 4 1 是指当发生电源不足或硬件故障以及其他灾难性事件或故障时，计算机或 操作系统能够以无数据丢失并且当前工作不会损坏的方式响应的能力，它可以通过诸如电 池供电的后备电源、备用硬件和软件中的预防措施等方法实现。 通过容错技术能达到对故障的“容忍”，它首先要能自动地适时地检测并诊断出系统 的故障，然后采取对故障的控制或处理的策略，因此容错技术由以下两部分组成【3 】： 1 系统故障检测与诊断 故障检测：系统中某些关键部位一旦发生故障，应能自动地适时地检测出系统故障， 并给出报警信号； 1 0 雨京邮电大学硕士研究生学位论文第二章嵌入式容错实时计算机系统的基本概念 故障诊断：根据检测到的系统故障信息寻找故障源，确定故障的类型和大小，即进 行故障分离。 2 系统故障控制或决策 在检测与诊断出系统的故障后立即决策出处理故障的方案并付诸实现，比如在故障存 在的情况下采用降低系统性能，保证系统可靠性在所允许的一定范围内；或隔离故障部分 并重新组织系统的结构，使之能完成系统的功能。 2 3 2 系统的容错设计 系统的容错设计【5 】就是指针对这些灾难性故障的专门设计方法，它主要包括系统故障 的监测和诊断、硬件的可靠性设计、软件的可靠性设计等。容错设计主要是采用冗余设计 方法提供抵消失效效应所需的信息。所谓冗余也就是当计算机系统不需要容错时就没有必 要添加的组成部分。冗余是设计和实现可靠计算机系统最主要的技术和要求。 一冗余系统的十个阶段h o j 根据失效的不同情况，一个容错冗余系统可以经过多达1 0 个阶段，即故障限制、故 障检测、故障屏蔽、重试、诊断、重组、恢复、重启动、修复和重构。设计一个冗余系统 需要选择一个协调的解决失效的方法，这些方法可以有上述某些或全部阶段。 1 故障限制。当故障出现之时，希望限制其影响范围，故障限制是把故障的传播限制 在系统的一定区域之内，防止影响到其他部分，利用故障检测线路，执行一个操作前的一 致性校验和多重询问确认等就可以达到限制故障的目的。 2 故障检测。故障检测有两种主要方式：在线检测和离线检测，在离线检测条件下， 进行检测时系统不能继续工作，对于不可停机的实时控制系统而言( 如卫星控制、银行等) ， 当处于运行过程中时，只能采用在线检测的方式进行故障检测。 3 故障屏蔽。故障屏蔽技术的目的是掩盖失效，使失效体现不出来，即使有一定范围 的失效状况发生，系统仍然能够进行正常工作，n 模冗余的多数表决就采用了故障屏蔽。 4 重试。在有些场合，由于瞬间故障可能引起系统的暂时失效而产生错误输出，这时 对一个操作的再次尝试有可能产生正常的结果，重试对于不引起物理破坏的瞬时故障尤其 有效。 5 诊断。如果故障检测技术没有提供有关故障部位和性质的信息，就需要进行故障的 诊断。 6 重组。当检测出一个故障并判明它是一个永久故障时，在可能的前提下，就需要重 南京邮电大学硕士研究生学位论文第二章嵌入式容错实时计算机系统的基本概念 组系统的组件以便替代失效的器件或把失效器件与其他功能单元隔离开来，也可用备份器 件来替换失效的器件。此外，还可以将故障器件切除掉，但这可能导致系统的能力降低， 这种处理方式称为缓慢降级。 7 恢复。检测和重组之后，必须消除错误的影响，通常，系统的操作回到故障检测前 处理过程的某一点，并从这一点重新开始运行，这种恢复方式( 一般称为卷回) 通常需要采 用备份数据、校验点等来完成。 8 重启动。如果一个错误破坏的信息太多，或者系统没有设计恢复功能，那么可能系 统就需要重启动来恢复运行，重启动有热重启和冷重启两种方式，只有当系统未受破坏时， 才能进行热重启( 从故障检测点回复所有操作) 。 9 修复。修复可以在线或离线进行。离线修复时，或者损坏的器件对于系统操作来说 不是必需的，因而可以卸下故障部件进行修复或者整个系统停机以进行诊断和修复。在线 修复时，一般是失效的部件可以立即用备份部件替换掉，或者采用屏蔽冗余和缓慢降级手 段，可以不使用已损坏的器件系统依然能够继续运行。在线修复可以使得损坏的器件都可 以物理地替换或修复而不中断系统的运行，因而对于卫星等不可停机系统来说十分重要。 1 0 重构。对元件进行物理替换之后，必须把修复的模块重新加入到该系统中，对于 在线修复来说，实现系统重构必须不中断系统的运行。 二容错技术的分类3 】【4 】 1 按照冗余系统按对故障处理的方式可以分为故障检测、静态冗余( 故障屏蔽) 、和 动态冗余三种。对特定的系统应该选用适当的方法。这些方法的关键是冗余技术。 故障检测技术 故障检测不提供对故障的容忍，而是当发生故障时给出一个警告。故障检测广泛应用 于微型机和小型机之类的许多小系统中，其中一些已体现了简单的联机检测机理。严格来 说，故障检测不是容错，因为故障检测只能对已发生的故障提出警告而不能对故障容忍( 对 瞬时故障的静态重试除外) 。它提供了查找故障的一种方法，从而提高了系统的可靠性。它 通常采用检错码、校验码、故障保险、安全失效等方法。 静态冗余 静态冗余可以屏蔽、容忍故障，但不给出故障警告，它在故障到达模块输出之前，通 过隔离或校正来消除故障的影响。静态冗余采用故障屏蔽技术，通过多数表决电路来隐蔽 发生的故障。广泛应用的静态冗余是三模冗余技术【4 1 1 ，即用三个相同的模块或三重传输来 执行同一任务，在输出点进行三取二表决，这一技术能屏蔽任一模块中的故障。 动态冗余 1 2 南京邮电大学硕士研究生学位论文第二章嵌入式容错实时计算机系统的基本概念 动态冗余使系统配置能动态改变，以消除故障的影响，并补充系统的冗余资源。当系 统发生故障时，通过系统内部的重组来切除或替换故障单元。如果系统具有屏蔽能力，重 组可以推迟到耗尽屏蔽冗余时再进行。重组通常有两种，一种是混合冗余，另一种是自适 应表决、后援备份、缓慢降级、重组、恢复、故障限制、故障屏蔽、故障诊断和重试级数 等。动态冗余是- - 1 3 综合的容错技术，它包含容错处理的十项技术，通常采用可重组的双 重化( r e c o n f i g u r a b l ed u p l i c a t i o n ) 、可重组的n 模冗余( r e c o n f i g u r a b l en m r ) 。 动态冗余增加了系统的可靠性，也提高了可维性。动态冗余用于纠错码存储器或具有 固定配置( 即线路器件之间的逻辑连接保持不变) 的多数表决冗余计算机之类的系统中。它 主要应用于可靠性要求高或工作环境恶劣的系统中，例如，航天航空、汽车控制、金融证 券等领域。在本文讨论的汽车控制系统中也运用了动态冗余技术。 2 根据容错系统所采用的冗余方式的不同，可将容错技术分为：硬件冗余容错，信息 冗余容错，时间冗余容错及软件冗余容错四种形式。 硬件冗余 硬件冗余通常由几个功能相同的模块组成，其中一个模块运行，其余模块是用增加硬件 设备( 例如，多机系统、多重结构、双份系统、表决系统) 的方法，掩盖故障造成的影响， 使得系统在发生局部故障时，系统仍然能正常工作，并将备份硬件替换上去。在接入冗余 结构时要考虑并联冗余、备份冗余和多数表决系统之分。其中，备份冗余又分为热备份、 暖备份和冷备份冗余。硬件冗余结构主要用在高可靠性的场合。本文研究的系统采用硬件 冗余。 软件冗余 软件冗余的基本方法是将若干个根据同一需求说明编写的不同程序( 或程序块) ，在不 同空间同时运行或在同一空间依次运行，然后在每一个预定的点通过表决或接受测试进行 裁决。在判明其正确或一致后接受这个结果，否则便加以拒绝，并给出报警信息。软件冗 余的方式很多，主要有： 采用编码、译码技术，检测和校正信息在存储、传输中产生的差错。 采用软件保护技术、减少软件出错。 采用多版本设计，降低软件出错造成的影响。 采用故障隔离技术和逻辑切换、重组合，减少故障造成的影响。 信息冗余 信息冗余主要是利用增加冗余信息位数和复杂的检错与纠错技术来检测和纠正信息 传输、存储中产生的差错达到故障检测、故障掩蔽或容错的目的。例如，海明校检、奇偶 1 3 南京邮电大学硕士研究生学位论文第二章嵌入式容错实时计算机系统的基本概念 校检、c r c 码校检等。 时间冗余 时间冗余的基本思想是重复进行计算以检测故障，主要采用指令复执、i 0 复执和程 序卷回重试等方法，来渡过暂时性故障对系统的影响，以恢复系统的功能。 3 根据计算机系统采用冗余技术的部位不同，又可将容错技术分为：系统级容错、部 件级容错和元器件级容错。 三容错系统的基本模型简介【1 9 】【2 0 】 容错技术主要是依靠资源的冗余和资源的精心组织来完成，随着半导体元件体积的缩 小及成本的下降，以及超大规模集成电路的发展，在计算机容错系统的设计中采用硬件冗 余成为当前比较常用的方法。 实时系统中应用最广泛的冗余形式是硬件的物理重复。随着半导体元件体积的缩小及 成本的下降，硬件冗余成为更实用的一种冗余方法。硬件冗余分为被动硬件冗余、主动硬 件冗余和混合硬件冗余。 1 被动硬件冗余 被动硬件冗余又称为静态硬件冗余，是指冗余结构并不随故障情况变化的冗余形式。 它应用了故障掩蔽的概念，将发生的故障隐蔽起来，防止故障造成差错。被动硬件冗余的 基本机理是通过多数表决隐蔽发生的故障。通常采用是冯诺依曼提出了三重模块冗余机 制( t r i p l em o d u l a rr e d u n d a n c y ，简称t m r ) 1 9 1 。 图2 3t m r 三模冗余结构 如图2 3 所示，t m r 包括三个完全一致的运算电路，将三个模块产生的结果送到表决 器上，表决器的输出取决于它的三个输入的多数，若其中一个模块有故障，则另两个正常 模块的输出可将故障模块的输出掩蔽，从而不会在表决器的输出中产生差错，这样就达到 了容错的目的。采用比较电路进行错误检测，并保证无错模块的运行不受出错模块干扰， 是t m r 实现的关键。t m r 4 l 】仅对暂态缺陷引发的单模块错误有效，若出错模块无法恢复 正常，则比较电路无法进行错误检测。为了进一步提高系统的可靠性，可以采用多重模块 冗余结构( n m r ) 。多重模块冗余结构( n m r ) 对暂态和永久缺陷引发的错误均有效，最多能 1 4 南京邮电大学硕士研究生学位论文第二章嵌入式容错实时计算机系统的基本概念 应对j ( n 一1 ) 21 个错误的同时发生。永久缺陷引发的错误将降低n m r 的容错能力。 l 、 一 静态硬件冗余系统虽然能容忍部分模块的故障，但它要求大部分模块正常工作。当工 作模块数不大于故障模块数时，系统将无法正常工作，这就造成系统资源的浪费。