东南大学 实时系统与控制研讨课 容错技术演讲

1、实时系统之1随着实时计算技术的飞速发展，越来越多的安全关键应用依赖实时系统作为核心控制部件，实时系统成为影响安全关键应用性能和可靠性的决定性因素。容错，作为保障实时系统可靠性的重要技术，已经成为实时系统研究的热点问题。2容错技术主要用于保证系统在出现错误的情况下仍然能够继续运行。容错的基础是冗余，数据差异性可以对冗余技术起到辅助作用3硬件冗余软件冗余 时间冗余 冗余技术4硬件冗余是采用附加的硬件来弥补所发生的故障硬件冗余的结构有很多种，比较典型的是N模冗余（NMR）结构例：冯诺依曼提出了三重模块冗余机制(TMR)。TMR 包括三个完全一致的运算电路，三者的输出与一个比较电路相连，采用少数服从多

2、数的比较原则决定最终的输出。比较电路进行错误检测，并保证无错模块的运行不受出错模块干扰，是 TMR 实现的关键。硬件冗余56是后向错误恢复的实现。最简单的就是在错误的地方重试，其他的方法还包括使计算回到前一个检查点，在那点继续时间冗余7随着软件功能和性能的飞速提升，软件变得越来越复杂，由于软件设计缺陷或误操作而引发的错误也不断提高。统计表明，大型实时系统中，由于软件缺陷造成的系统失效是硬件缺陷的 10 倍。软件容错8软件冗余不是简单把软件复制N份，因为对于相同的输入，这N份软件都会产生错误。所以这N个版本软件必须是不同的。运行多版本软件有两种方法。一种叫N-版本程序，一种叫块恢复方法软件冗余9

3、程序体按照执行顺序分为主模块和N-1 个备份模块，通常 RB 的备份模块数不超过三个。主模块的运算结果由验收测试检验，若结果通过测试，则输出，否则运行备份模块。块恢复（RB）10按 NMR 的基本原理，NVP 由多个具有相同功能的程序版本和比较(或投票)算法构成。比较算法根据少数服从多数的原则选择 NVP 的有效输出。多版本技术(NVP)11电气系统状态显示 此模块实时地显示连接到列车通信网络中的各个电气系统的状态轨道车辆人机界面软件冗余设计12电气系统控制13为保证服务的逻辑正确性和时间正确性，实时系统要求实时任务在无错和出错时均能在时限到来前获得正确的运算结果。显然，实现这一目标必须获得实

4、时调度算法的支持。我们将支持实时系统容错的实时调度算法称为容错实时调度算法。时间冗余为实时系统容错提供了物质基础，若不能正确管理这些资源，则时间冗余难以达到预期效果。容错调度算法14实时任务必须满足以下限制条件：1所有实时任务均为周期任务，且周期等于时限；2所有实时任务必须在其时限到来前结束；3所有实时任务相互独立；4所有实时任务均具有恒定的运行时间；静态容错实时调度15若当前任务运行出错，则 FTRM 调用恢复算法实现容错，算法如下所示：Queue ReadyQ; /*就绪任务队列*/Queue BlockQ; /*阻塞任务队列*/*系统处于容错状态，lr正在进行容错操作*/Event: New instance of task lj arrivesIf(DjDr) then Add lj to BlockQ;elseAdd lj to ReadyQ;EndifEvent: An instance of task lj terminatesIf(lj = lr) /