摘要：為滿足對(duì)安全關(guān)鍵領(lǐng)域日益增長的可靠性需求，提出一種基于松耦合多處理器體系結(jié)構(gòu)的雙機(jī)容錯(cuò)實(shí)時(shí)嵌入式系統(tǒng)設(shè)計(jì)方案。該方案無縫整合了計(jì)算機(jī)硬件級(jí)、操作系統(tǒng)級(jí)、應(yīng)用級(jí)的容錯(cuò)技術(shù)，以達(dá)到從整體上提高系統(tǒng)可靠性的目的。

關(guān)鍵詞：容錯(cuò) 雙機(jī)熱備份 可靠性 實(shí)時(shí)嵌入式系統(tǒng)

引 言
　　實(shí)時(shí)系統(tǒng)的基本特性是任務(wù)響應(yīng)時(shí)間的確定和系統(tǒng)處理任務(wù)的高吞吐量。相對(duì)于其他計(jì)算機(jī)系統(tǒng)而言，實(shí)時(shí)系統(tǒng)對(duì)可靠性和防危要求十分嚴(yán)格。特別是所謂的安全關(guān)鍵系統(tǒng)SCS(Safety Critical Systems)，這類系統(tǒng)失效，將帶來災(zāi)難性的后果。在實(shí)時(shí)嵌入式系統(tǒng)的運(yùn)行過程中，容錯(cuò)是重要的可靠性保障手段。
　　容錯(cuò)實(shí)時(shí)系統(tǒng)的研究主要集中在兩個(gè)方面[1]：① 改進(jìn)實(shí)時(shí)調(diào)度算法，使之確保實(shí)時(shí)任務(wù)在正常運(yùn)行和遇到錯(cuò)誤時(shí)，均能在規(guī)定時(shí)限到來以前獲得正確的輸出。② 將過去應(yīng)用于普通計(jì)算機(jī)系統(tǒng)中的冗余容錯(cuò)策略移植到實(shí)時(shí)系統(tǒng)中。
　　在具有硬件容錯(cuò)能力的計(jì)算機(jī)系統(tǒng)中，其失效65％來自軟件[2]，僅有8％來自于硬件。因此，軟件容錯(cuò)能力成為決定計(jì)算機(jī)系統(tǒng)可靠性的關(guān)鍵。為了在出現(xiàn)硬件或軟件的暫時(shí)或故障的情況下，保證關(guān)鍵任務(wù)仍能在規(guī)定的時(shí)限范圍內(nèi)完成運(yùn)算，并輸出正確的結(jié)果，提出一種雙處理器實(shí)時(shí)嵌入式容錯(cuò)系統(tǒng)體系結(jié)構(gòu)。該系統(tǒng)結(jié)構(gòu)采用多處理器體系結(jié)構(gòu)，實(shí)現(xiàn)計(jì)算機(jī)之間的通信，并無縫整合了計(jì)算機(jī)硬件、操作系統(tǒng)、應(yīng)用軟件級(jí)的軟件容錯(cuò)設(shè)計(jì)，達(dá)到從整體上提高系統(tǒng)可靠性的目的。
1 雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)的體系結(jié)構(gòu)
　　本系統(tǒng)采用所示的雙機(jī)容錯(cuò)系統(tǒng)硬件結(jié)構(gòu)模型。該系統(tǒng)在雙機(jī)比較系統(tǒng)的基礎(chǔ)上，結(jié)合多處理機(jī)的松耦合與緊耦合系統(tǒng)結(jié)構(gòu)，在不同的處理機(jī)間通過通道互連實(shí)現(xiàn)通信，為在硬件容錯(cuò)中結(jié)合軟件容錯(cuò)提供可能。
　　　　　　　　　　　　　　　　 雙機(jī)容錯(cuò)系統(tǒng)結(jié)構(gòu)模型
　　A機(jī)和B機(jī)各有獨(dú)自的外圍控制邏輯和外設(shè)，這樣不會(huì)引起系統(tǒng)資源的競爭，增加整體系統(tǒng)的穩(wěn)定性。當(dāng)然，這樣是以花費(fèi)更多的硬件設(shè)施為代價(jià)的。比較器及不一致檢測用專門設(shè)計(jì)的仲裁檢測電路來實(shí)現(xiàn)，其根據(jù)A機(jī)與B機(jī)周期向其發(fā)送的自檢測信號(hào)來判斷A機(jī)系統(tǒng)和B機(jī)系統(tǒng)運(yùn)行的狀況。
　　雙機(jī)系統(tǒng)的運(yùn)行狀態(tài)如下：
　?、?如果A機(jī)與B機(jī)均正常運(yùn)行，則將計(jì)算機(jī)A作為主系統(tǒng)，計(jì)算機(jī)B作為備份使用，A機(jī)的運(yùn)行結(jié)果作為系統(tǒng)輸出，A機(jī)運(yùn)行到檢測點(diǎn)，向B機(jī)發(fā)送日志，B機(jī)更新日志列表。
　?、?如果A機(jī)正常而B機(jī)故障，亦將A機(jī)的運(yùn)行結(jié)果作為系統(tǒng)輸出，同時(shí)將B機(jī)的運(yùn)行故障狀態(tài)給A機(jī)，并向B機(jī)進(jìn)行復(fù)位控制操作。
　?、?如果A機(jī)故障，B機(jī)正常，則進(jìn)行開關(guān)切換操作，B機(jī)進(jìn)行系統(tǒng)備份任務(wù)重調(diào)度，B機(jī)運(yùn)行結(jié)果作為系統(tǒng)輸出，并向A機(jī)進(jìn)行復(fù)位控制操作，在檢測點(diǎn)更新A機(jī)日志，保持需要備份的任務(wù)狀態(tài)一致。
2 軟件設(shè)計(jì)與實(shí)現(xiàn)
　　所示模型結(jié)合嵌入式實(shí)時(shí)系統(tǒng)的體系結(jié)構(gòu)，采用層次結(jié)構(gòu)和模塊結(jié)構(gòu)相結(jié)合，無縫整合了計(jì)算機(jī)硬件、操作系統(tǒng)、應(yīng)用軟件級(jí)的軟件容錯(cuò)設(shè)計(jì)。在整體上采用分層的結(jié)構(gòu)模型，克服了軟、硬件分離和脫節(jié)的問題，提高系統(tǒng)的靈活性和可移植性。模型的每一層均可以看作是一個(gè)相對(duì)獨(dú)立的系統(tǒng)。在每一層中按照系統(tǒng)功能，劃分不同的功能模塊。
　　　　　　　　　　　　　　　　 雙機(jī)容錯(cuò)系統(tǒng)軟件體系結(jié)構(gòu)
　　該系統(tǒng)采用對(duì)稱結(jié)構(gòu)，為支持容錯(cuò)處理，每個(gè)節(jié)點(diǎn)從下到上分為3個(gè)主要部分，即MCFT（Multiprocessor Communication for FaultTolerance）、RTOS系統(tǒng)級(jí)容錯(cuò)組件、任務(wù)級(jí)動(dòng)態(tài)冗余組件。
　　2.1 多機(jī)容錯(cuò)通信模塊MCFT
　　在操作系統(tǒng)與硬件之間加入MCFT層，MCFT作為BSP（Board Support Package）的一部分，作為硬件平臺(tái)的抽象層，為操作系統(tǒng)提供統(tǒng)一的界面，提高系統(tǒng)的可移植性。有容錯(cuò)需求的任務(wù)，通過MCFT所提供的功能傳遞日志，保持主系統(tǒng)和備份系統(tǒng)的關(guān)鍵任務(wù)的狀態(tài)和數(shù)據(jù)一致。MCFT屏蔽了底層通信的具體實(shí)現(xiàn)細(xì)節(jié)，使系統(tǒng)的實(shí)現(xiàn)與連接介質(zhì)無關(guān)。
　　MPFT管理著一些數(shù)據(jù)包，并且在各個(gè)節(jié)點(diǎn)之間發(fā)送和接收這些數(shù)據(jù)包，數(shù)據(jù)包的結(jié)構(gòu)如下：
　　typedef struct{
　　　　MP_packet_Classes the_class;
　　　　Ob jects_Id id;
　　　　Ob jects_Id source_tid;
　　　　Priority_Control source_priority;
　　　　unsigned32 return_code;
　　　　unsigned32 length;
　　　　unsigned32 to_convert;
　　　　Watchdog_Interval timeout;
　　　　}MP_packet_Prefix;
　　2.2 RTOS系統(tǒng)級(jí)容錯(cuò)組件
　　RTOS系統(tǒng)級(jí)容錯(cuò)組件，包括系統(tǒng)內(nèi)核級(jí)容錯(cuò)支持組件、系統(tǒng)自診斷組件和主/備用機(jī)切換支持組件。
　　(1) 內(nèi)核級(jí)容錯(cuò)支持組件
　　為支持操作系統(tǒng)級(jí)和應(yīng)用級(jí)通信，在該系統(tǒng)中，每個(gè)節(jié)點(diǎn)上保存兩個(gè)對(duì)象表，一個(gè)本地任務(wù)表，一個(gè)容錯(cuò)任務(wù)表。本地任務(wù)表在每個(gè)節(jié)點(diǎn)上都是不同的，它包含在此節(jié)點(diǎn)上創(chuàng)建的所有任務(wù)。容錯(cuò)對(duì)象表包含系統(tǒng)中所有的容錯(cuò)任務(wù)，在所有節(jié)點(diǎn)上是一樣的。為保持在所有節(jié)點(diǎn)上容錯(cuò)任務(wù)表的一致性，每個(gè)節(jié)點(diǎn)對(duì)容錯(cuò)對(duì)象的創(chuàng)建、刪除等都必須通知給備份節(jié)點(diǎn)。利用檢查點(diǎn)技術(shù)和傳遞日志法，保持主系統(tǒng)和備份系統(tǒng)的備份任務(wù)的狀態(tài)和數(shù)據(jù)一致。一旦主機(jī)發(fā)生故障，系統(tǒng)程序自動(dòng)進(jìn)行主/備用機(jī)切換，備用機(jī)系統(tǒng)使備份任務(wù)就緒，利用實(shí)時(shí)任務(wù)的調(diào)度策略，使備份任務(wù)在備份機(jī)上發(fā)生重調(diào)度，成為主機(jī)。
　　(2) 系統(tǒng)自診斷組件
　　如所示，系統(tǒng)中采用自診斷的方法來診斷系統(tǒng)級(jí)的故障，用任務(wù)級(jí)的檢測來診斷應(yīng)用級(jí)的故障。
　　自診斷劃分為幾個(gè)不同的測試階段，系統(tǒng)啟動(dòng)自檢測階段和周期自檢測階段。自動(dòng)啟動(dòng)診斷的因素有：主/備用機(jī)定時(shí)切換和主機(jī)發(fā)生故障。周期自檢測階段根據(jù)系統(tǒng)需求，周期性檢測外設(shè)和通信口。每個(gè)階段對(duì)應(yīng)設(shè)備的幾種功能塊，包括CPU的自診斷、中斷響應(yīng)自診斷、串口自診斷、定時(shí)器自診斷、離散量自診斷、RAM自診斷等。
　　由于結(jié)果比較是實(shí)時(shí)系統(tǒng)中任何事務(wù)處理都需要經(jīng)歷的步驟，因此把任務(wù)級(jí)的故障檢測放到結(jié)果判別部分進(jìn)行。
　　(3) 主/備用機(jī)切換支持組件
　　仲裁檢測電路中對(duì)主/備用機(jī)設(shè)置了“看門狗”監(jiān)視器。當(dāng)主/備用機(jī)處于正常工作狀態(tài)時(shí)，運(yùn)行于CPU上的某一任務(wù)周期性地對(duì)“看門狗”施加復(fù)位信號(hào)，這樣，“看門狗”計(jì)數(shù)器就不可能產(chǎn)生溢出觸發(fā)信號(hào)；當(dāng)CPU出現(xiàn)故障時(shí)，“看門狗”會(huì)輸出一個(gè)離散觸發(fā)信號(hào)并發(fā)出報(bào)警，此時(shí)，系統(tǒng)進(jìn)行自動(dòng)切換，讓備用的系統(tǒng)機(jī)工作。
　　　　　　　　　　　　　　　　　　　　　　 主控流程
　　2.3 任務(wù)級(jí)動(dòng)態(tài)冗余
　　在實(shí)時(shí)多任務(wù)系統(tǒng)中，采用另一種軟件冗余方法——任務(wù)級(jí)動(dòng)態(tài)冗余[3]。任務(wù)級(jí)動(dòng)態(tài)冗余方法是實(shí)時(shí)系統(tǒng)中瞬間故障的恢復(fù)方法之一。
　　在實(shí)時(shí)多任務(wù)的環(huán)境下，充分利用操作系統(tǒng)提供的功能，對(duì)各個(gè)基本任務(wù)建立后備任務(wù)作為冗余，并對(duì)后備任務(wù)進(jìn)行容錯(cuò)調(diào)度，從而起到類似于重試或卷回恢復(fù)的作用。利用檢查點(diǎn)技術(shù)和傳遞日志法保持主系統(tǒng)和備份系統(tǒng)的狀態(tài)的一致性，實(shí)現(xiàn)錯(cuò)誤恢復(fù)，有較高的性價(jià)比。
　　根據(jù)應(yīng)用程序，結(jié)合實(shí)時(shí)性要求，采用以下的措施：
　?、?把應(yīng)用程序分解成多個(gè)任務(wù)，任務(wù)以過程的形式出現(xiàn)，各個(gè)任務(wù)進(jìn)入運(yùn)行的順序是從1到n，并在每個(gè)任務(wù)的設(shè)置檢查點(diǎn)，傳遞日志。
　　② 根據(jù)應(yīng)用程序的要求事先給各個(gè)任務(wù)安排優(yōu)先級(jí)，使得任務(wù)可以根據(jù)要求及時(shí)占有處理器，實(shí)現(xiàn)實(shí)時(shí)處理。
　?、?為各基本任務(wù)準(zhǔn)備一個(gè)后備任務(wù)存放在內(nèi)存中，平時(shí)后備任務(wù)不建立，不占有系統(tǒng)資源，僅在需要時(shí)才激活使用，后備任務(wù)的優(yōu)先級(jí)比相應(yīng)的優(yōu)先級(jí)要高。馬上建立就搶占執(zhí)行，是某種意義上的重試或程序卷回。
　?、?為實(shí)現(xiàn)恢復(fù)功能的后備任務(wù),可以和原有任務(wù)完全一樣，也可以是替換算法。
　　下面的算法能為各個(gè)任務(wù)產(chǎn)生容錯(cuò)調(diào)度，從而實(shí)現(xiàn)任務(wù)冗余：
　　Step1: 建立任務(wù) T1，T2，…，Tn；
　　Step2: while N=1；N<=Nmax；
　　　N=N+1; 
　　　　運(yùn)行任務(wù)Ti； 
　　　　檢測Ti的結(jié)果； 
　　　　IF結(jié)果通過THEN輸出結(jié)果，刪除任務(wù)Ti； 
　　　　ELSE激活任務(wù)Ti
　　　?。籦reak； 
　　　　END
　　Step3:N>Nmax 系統(tǒng)報(bào)警
　　當(dāng)后備任務(wù)執(zhí)行了Nmax次之后還通不過檢測，就認(rèn)為系統(tǒng)出現(xiàn)故障，系統(tǒng)報(bào)警。Nmax是個(gè)閥門值，是由實(shí)時(shí)要求所決定的。
3 可靠性分析
　　在考慮了雙機(jī)的切換問題（包括切入成功率，與此相關(guān)的切入時(shí)間和再次切入的時(shí)間及其故障判別問題）后，完整的雙機(jī)容錯(cuò)系統(tǒng)的穩(wěn)態(tài)可用度為[4]
　　其中:λ為平均失效率，β為故障診斷率，是平均診斷時(shí)間的倒數(shù)；μ為平均維修率，是平均維修時(shí)間的倒數(shù)；α為加入失效率，是平均切入時(shí)間的倒數(shù)；C為故障判別率；α′為再次切入失效率,是再次切入時(shí)間的倒數(shù)（重啟雙工時(shí)間的倒數(shù)）；D為切入成功率。
　　采用對(duì)稱雙機(jī)系統(tǒng)，在典型值的計(jì)算中可以獲得99.999 95％的可用度。
4 結(jié)論
　　隨著實(shí)時(shí)系統(tǒng)在安全領(lǐng)域內(nèi)越來越多的應(yīng)用，可靠性已經(jīng)成為衡量系統(tǒng)優(yōu)劣的重要因素之一。傳統(tǒng)的實(shí)時(shí)系統(tǒng)容錯(cuò)只滿足了系統(tǒng)某一方面的容錯(cuò)需求。為了在出現(xiàn)硬件或軟件的暫時(shí)或故障的情況下，系統(tǒng)仍能在規(guī)定的時(shí)限范圍內(nèi)完成運(yùn)算，并輸出正確的結(jié)果，本文提出一個(gè)軟、硬件結(jié)合的完整的解決方案，能滿足系統(tǒng)的強(qiáng)實(shí)時(shí)性、高可靠性、服務(wù)不斷流的要求。此方案應(yīng)用于RTEMS中，具有很高的可靠性。
　　　　　　　　　　　　　　　　參考文獻(xiàn)
1 陳宇. 高可靠容錯(cuò)實(shí)時(shí)系統(tǒng)的支撐技術(shù)研究：[博士研究生論文]. 成都：電子科技大學(xué)，2003-05
2 Kim K. The Distrubuted Recovery Block Scheme, in Software Fault Tolerance, M.R.Lyu, ed. Wiley,1995：189～2104
3 KrishnaC, Shin K. On Scheduling Tasks with a Quick Recovery from Failure. IEEE Trans. Computer.May,1986, C-35:448～454
4 金士堯，胡華平，李宏亮. 具有容錯(cuò)結(jié)構(gòu)的高可用計(jì)算機(jī)雙系統(tǒng)研究.中國工程科學(xué)，1999，1 (3) : 46~50
陳筠：碩士研究生，主要研究方向?yàn)榍度胧蕉嗵幚砥鞑僮飨到y(tǒng)、嵌入式可靠性技術(shù)。桑楠：副教授，主要研究方向?yàn)榭尚判杂?jì)算理論與應(yīng)用。熊光澤：教授，博士生導(dǎo)師，主要研究方向?yàn)閷?shí)時(shí)計(jì)算系統(tǒng)與應(yīng)用。