三模冗余DSP系統(tǒng)的容錯(cuò)能力測(cè)試方法研究

1、本 科 生 畢 業(yè) 論 文三模冗余dsp系統(tǒng)的容錯(cuò)能力測(cè)試方法研究姓名與學(xué)號(hào) 指導(dǎo)教師 年級(jí)與專業(yè) 信息與通信工程 所在系 信息與電子工程學(xué)系 一、題目： 三模冗余dsp系統(tǒng)的容錯(cuò)能力測(cè)試方法研究 二、指導(dǎo)教師對(duì)文獻(xiàn)綜述和開(kāi)題報(bào)告的具體內(nèi)容要求：1、任務(wù)要求。a.了解、熟悉綜合電子系統(tǒng)體系結(jié)構(gòu)，以及系統(tǒng)所采用的多模式處理器協(xié)同工作方案。b.調(diào)研現(xiàn)有各種多模式處理器協(xié)同工作方案，以及各方案下處理器及系統(tǒng)工作的容錯(cuò)方法。c.分析各容錯(cuò)方法的利弊與現(xiàn)實(shí)工程的需求，并據(jù)此有針對(duì)性地選擇二至三種適用的方法。d.按工程化方法設(shè)計(jì)容錯(cuò)方法的軟、固件，在開(kāi)發(fā)板或綜合電子系統(tǒng)板上實(shí)現(xiàn)，并調(diào)試通過(guò)。e.提交模塊的

2、設(shè)計(jì)文件、源代碼、及仿真、測(cè)試的方案與結(jié)果。f.完成文獻(xiàn)翻譯、文獻(xiàn)綜述、開(kāi)題報(bào)告與畢業(yè)論文。 起訖日期 2011 年 11 月14 日 至 2012 年 5 月20 日2、進(jìn)度安排。工作階段實(shí)施起止時(shí)間實(shí)施天數(shù)文獻(xiàn)調(diào)研與理論研究11月14日12月4日20開(kāi)題報(bào)告撰寫(xiě)12月5日12月14日10方案設(shè)計(jì) 12月15日12月31日17詳細(xì)設(shè)計(jì)、實(shí)現(xiàn)與仿真1月1日1月20日20詳細(xì)設(shè)計(jì)、實(shí)現(xiàn)與仿真（續(xù)）2月21日3月20日28模塊與系統(tǒng)調(diào)試3月21日4月10日21模塊與系統(tǒng)測(cè)試4月11日4月30日20總結(jié)與論文撰寫(xiě)5月1日5月20日 20指導(dǎo)教師（簽名） 年 月 日目 錄文獻(xiàn)綜述4一、背景介紹4二、國(guó)

3、內(nèi)外研究現(xiàn)狀52.1研究方向及進(jìn)展72.2存在問(wèn)題12三、研究展望12開(kāi)題報(bào)告14一、問(wèn)題提出的背景141.背景介紹142.本研究的意義和目的15二、論文的主要內(nèi)容和技術(shù)路線151.主要研究?jī)?nèi)容152.技術(shù)路線163.可行性分析18三、研究計(jì)劃進(jìn)度安排及預(yù)期目標(biāo)181.進(jìn)度安排18預(yù)期目標(biāo)18文獻(xiàn)翻譯和原稿20文獻(xiàn)綜述指導(dǎo)老師：金仲和 信息與電子工程學(xué)系 信息與通信工程0805班 王嬋 3080103639一、背景介紹1.1 容錯(cuò)控制技術(shù)的概念產(chǎn)生和發(fā)展容錯(cuò)技術(shù)的思想是伴隨著第一臺(tái)計(jì)算機(jī)的設(shè)計(jì)出現(xiàn)的1, 隨著計(jì)算機(jī)技術(shù)的發(fā)展, 四十年來(lái)已形成一門(mén)融計(jì)算機(jī)科學(xué)、可靠性理論、bit技術(shù)2等多種學(xué)科

4、的邊緣學(xué)科, 在可信性理論及可信性系統(tǒng)設(shè)計(jì)方面都取得了大量成果。特別是早期的容錯(cuò)技術(shù)現(xiàn)在已成為通用技術(shù)運(yùn)用于計(jì)算機(jī)中, 如復(fù)執(zhí)、編碼技術(shù)等2, 為提高控制過(guò)程的安全性起到了不可忽視的作用。容錯(cuò)帶來(lái)的便利使其成為計(jì)算機(jī)世界一直熱衷不衰的追求目標(biāo)。容錯(cuò)作為提高計(jì)算系統(tǒng)可靠性的重要方法，在運(yùn)算中允許故障發(fā)生，但這些故障的影響借助冗余技術(shù)而自動(dòng)抵消，因此即使存在故障仍能維持正確的計(jì)算。計(jì)算系統(tǒng)容錯(cuò)能力是指“在一些特定故障存在的情況下，該系統(tǒng)具備繼續(xù)正確執(zhí)行其程序和輸入/輸出功能的內(nèi)在能力（無(wú)外界幫助）” 2。這里的特定故障指的是系統(tǒng)硬件邏輯電平偏離正確值或者軟件設(shè)計(jì)中的錯(cuò)誤。傳統(tǒng)的容錯(cuò)方法主要是利用依

5、靠外加資源的方法(資源冗余)來(lái)?yè)Q取可靠性的。主要的容錯(cuò)方法有硬件冗余、時(shí)間冗余、信息冗余和軟件冗余2。1.2 三模冗余的概念產(chǎn)生和發(fā)展靜態(tài)冗余又叫屏蔽冗余，靠附加的元器件來(lái)屏蔽掉故障元器件的作用。三模冗余(tmr，triple module redundancy)是最常見(jiàn)的硬件冗余方法。tmr的概念最初是由馮 諾曼提出的2，其基本思想如圖1所示：1 tmr模型2帶m標(biāo)記的框?yàn)橥耆嗤哪K，表決器v接受3個(gè)源的輸出，并將多數(shù)表決結(jié)果作為它的輸出。tmr的主要優(yōu)點(diǎn)是：（1）能立即實(shí)現(xiàn)故障屏蔽，且無(wú)論永久性故障還是瞬時(shí)性故障，均能得到屏蔽。（2）在屏蔽之前無(wú)需進(jìn)行單獨(dú)的故障檢出。（3）可直接由無(wú)冗

6、余系統(tǒng)構(gòu)成tmr系統(tǒng)。三模冗余又發(fā)展出帶備件的三模冗余、三模-雙機(jī)系統(tǒng)等其他冗余方式。二、國(guó)內(nèi)外研究現(xiàn)狀在計(jì)算機(jī)容錯(cuò)技術(shù)領(lǐng)域，國(guó)外的研究工作開(kāi)展較早?？梢哉f(shuō)在第一代計(jì)算機(jī)(1946年1957年)期間，人們就已將容錯(cuò)技術(shù)應(yīng)用到計(jì)算機(jī)中。由于當(dāng)時(shí)構(gòu)成計(jì)算機(jī)的元件主要是電子管、繼電器及延遲線存儲(chǔ)器3。這些元件的失效率相當(dāng)高，并且易受瞬時(shí)故障的影響，故系統(tǒng)的平均無(wú)故障時(shí)間極短，為此需采用故障檢測(cè)與恢復(fù)技術(shù)以提高系統(tǒng)的使用時(shí)間。例如，ibm650，univac，whirlwind i等計(jì)算機(jī)采用了奇偶校驗(yàn)以檢查數(shù)據(jù)傳送的結(jié)果是否正確4。還有，1949年設(shè)計(jì)的edvac計(jì)算機(jī)采用了雙份運(yùn)算部件，每次運(yùn)行后

7、兩個(gè)部件的結(jié)果進(jìn)行比較，用以檢測(cè)故障34。這個(gè)時(shí)期已出現(xiàn)了早期的容錯(cuò)系統(tǒng)。1952年馮諾依曼(john 1on neumann)在加利福尼亞技術(shù)學(xué)院作了關(guān)于容錯(cuò)技術(shù)研究的五個(gè)報(bào)告，他所提出的精辟的論斷成了以后容錯(cuò)技術(shù)研究的基礎(chǔ)3。1956年他發(fā)表了題為概率邏輯及用不可靠的元件設(shè)計(jì)可靠的結(jié)構(gòu)的論文，文中提出了多數(shù)表決的概念，并分析了這種結(jié)構(gòu)對(duì)系統(tǒng)產(chǎn)生錯(cuò)誤結(jié)果的概率可能產(chǎn)生的影響。這預(yù)示著容錯(cuò)計(jì)算方面的理論工作的開(kāi)始。到了70年代，隨著計(jì)算機(jī)的更新?lián)Q代，容錯(cuò)技術(shù)進(jìn)入蓬勃發(fā)展的時(shí)期。該時(shí)期容錯(cuò)技術(shù)的應(yīng)用和研究范圍迅速?gòu)挠詈筋I(lǐng)域擴(kuò)大到交通管制、工廠自動(dòng)化、電話開(kāi)關(guān)、戰(zhàn)略防衛(wèi)的控制和數(shù)據(jù)處理等領(lǐng)域。主要

8、成果有電話開(kāi)關(guān)系統(tǒng)ess系列處理機(jī)、軟件實(shí)現(xiàn)容錯(cuò)的sift計(jì)算機(jī)、容錯(cuò)多處理機(jī)ftmp等等3。到80年代，隨著超大規(guī)模集成電路vlsi和計(jì)算機(jī)的迅速發(fā)展和廣泛應(yīng)用，容錯(cuò)技術(shù)的研究也隨著計(jì)算機(jī)的普及而深入到整個(gè)工業(yè)界，許多公司生產(chǎn)的容錯(cuò)系統(tǒng)已商品化并進(jìn)入市場(chǎng)。在國(guó)際上人們非常關(guān)注容錯(cuò)技術(shù)的發(fā)展，1971年，ieee計(jì)算機(jī)學(xué)會(huì)成立了容錯(cuò)計(jì)算技術(shù)委員會(huì)并且每年召開(kāi)一次國(guó)際容錯(cuò)計(jì)算學(xué)術(shù)會(huì)議(ftcs)a在該組織發(fā)展了30年之際，2000年ieee國(guó)際容錯(cuò)計(jì)算會(huì)議與國(guó)際信息處理聯(lián)合會(huì)(ifip)的104工作組主持的關(guān)鍵應(yīng)用可信計(jì)算工作會(huì)議合并，從此改名為ieee可信系統(tǒng)與網(wǎng)絡(luò)國(guó)際會(huì)議(icdsn)。ic

9、dsn2000于紐約召開(kāi)，它標(biāo)志著本領(lǐng)域的研究，無(wú)論從內(nèi)容、方法和組織方面都有重大調(diào)整，也充分說(shuō)明了國(guó)際上對(duì)容錯(cuò)計(jì)算技術(shù)與可信計(jì)算技術(shù)的重視程度。我國(guó)研究容錯(cuò)系統(tǒng)起步較晚。從學(xué)術(shù)角度來(lái)講，在80年代我國(guó)派遣了一批學(xué)者出國(guó)，他們?cè)诿绹?guó)和日本從事容錯(cuò)方面的研究，回國(guó)后紛紛成為這一領(lǐng)域的學(xué)術(shù)帶頭人。二十多年來(lái)，他們的優(yōu)異工作得到了該領(lǐng)域的廣泛關(guān)注，現(xiàn)在我國(guó)在容錯(cuò)研究領(lǐng)域的某些方面已經(jīng)居于國(guó)際前沿。1987年1月我國(guó)計(jì)算機(jī)學(xué)會(huì)也成立了自己的容錯(cuò)計(jì)算專業(yè)委員會(huì)，召開(kāi)了多次全國(guó)性的容錯(cuò)計(jì)算學(xué)術(shù)會(huì)議。這充分說(shuō)明了我國(guó)對(duì)容錯(cuò)計(jì)算技術(shù)的重視程度。在應(yīng)用方面，我國(guó)容錯(cuò)系統(tǒng)的應(yīng)用領(lǐng)域非常廣泛，ibm、stratus

10、、天騰、dec等公司的容錯(cuò)產(chǎn)品大量傳入我國(guó)3，在銀行、證券、航天及核技術(shù)領(lǐng)域得到了普遍的應(yīng)用。在產(chǎn)品研發(fā)上，雖然我國(guó)目前還沒(méi)有形成通用的計(jì)算機(jī)容錯(cuò)產(chǎn)品，但各行各業(yè)在各自的領(lǐng)域中自行開(kāi)發(fā)研制了一些高可用系統(tǒng)，如用于鐵路運(yùn)輸中的鐵路微機(jī)聯(lián)鎖系統(tǒng)。更令人高興的是，我國(guó)的曙光機(jī)和我們自行開(kāi)發(fā)研制的交換機(jī)系統(tǒng)中提供了容錯(cuò)性能。并且在軟件測(cè)試方面也引起了人們的重視，鐵道、航空和航天等部門(mén)紛紛成立了自己的軟件測(cè)試中心，由此可見(jiàn)人們已經(jīng)充分意識(shí)到了容錯(cuò)的重要性。2.1研究方向及進(jìn)展容錯(cuò)技術(shù)的高速發(fā)展很大程度上源自于航空航天的需要，特別是為滿足長(zhǎng)周期且無(wú)人照管計(jì)算機(jī)的運(yùn)行要求。三模冗余技術(shù)作為主要的硬件冗余容錯(cuò)

11、技術(shù)擬應(yīng)用于下一皮衛(wèi)星星載計(jì)算機(jī)上。2.1.1容錯(cuò)技術(shù)理論研究開(kāi)展情況容錯(cuò)控制作為一門(mén)新興的交叉學(xué)科，其科學(xué)意義就是要盡量保證動(dòng)態(tài)系統(tǒng)在發(fā)生故障時(shí)仍然可以穩(wěn)定運(yùn)行。并具有可以接受的性能指標(biāo)。因此，容錯(cuò)控制作為提高復(fù)雜動(dòng)態(tài)系統(tǒng)的可靠性開(kāi)辟了一條新的途徑。由于任何系統(tǒng)都不可避免地會(huì)發(fā)生故障，因此，容錯(cuò)控制可以看成是保證系統(tǒng)安全運(yùn)行的最后一道屏障。避錯(cuò)和容錯(cuò)兩種技術(shù)可以提高計(jì)算機(jī)系統(tǒng)和數(shù)字系統(tǒng)的可靠性。性能、價(jià)格和可靠性是評(píng)價(jià)一個(gè)系統(tǒng)的地三大要素。避錯(cuò)：采用正確的設(shè)計(jì)和質(zhì)量控制方法盡量避免把故障引進(jìn)系統(tǒng)，但要絕對(duì)做到這一點(diǎn)實(shí)際上是不可能的。1容錯(cuò)：當(dāng)出現(xiàn)某些指定的硬件故障或軟件錯(cuò)誤時(shí)，系統(tǒng)仍能執(zhí)行規(guī)

12、定的程序或算法，或者程序不會(huì)因系統(tǒng)中的故障而終止或被修改，而且執(zhí)行結(jié)果也不包含系統(tǒng)中故障所引起的錯(cuò)。1容錯(cuò)的基本思想是在系統(tǒng)體系結(jié)構(gòu)上精心設(shè)計(jì)，利用外加資源的冗余技術(shù)來(lái)達(dá)到掩蔽故障的影響，從而自動(dòng)地恢復(fù)系統(tǒng)或達(dá)到安全停機(jī)的目的，容錯(cuò)是皮衛(wèi)星設(shè)計(jì)中主要倚重的方法，但要達(dá)到高可靠性目標(biāo)必須綜合應(yīng)用避錯(cuò)和容錯(cuò)兩種方法。對(duì)于計(jì)算機(jī)控制系統(tǒng)，如果沒(méi)有任何附件信息、措施或技術(shù)手段，要實(shí)現(xiàn)對(duì)故障的檢測(cè)、診斷和處理是困難的。冗余（redundancy）為故障檢測(cè)、診斷和處理提供了可能性，它是計(jì)算機(jī)控制系統(tǒng)實(shí)現(xiàn)容錯(cuò)設(shè)計(jì)和具備容錯(cuò)能力的技術(shù)基礎(chǔ)。2.1.1.1容錯(cuò)計(jì)算中故障的分類系統(tǒng)可按照物力的、邏輯的、信息的（

13、統(tǒng)稱內(nèi)部的）、用戶的（或稱外部的）這樣一個(gè)遞增順序構(gòu)造一個(gè)層次結(jié)構(gòu)模型來(lái)描述一個(gè)信息處理系統(tǒng)。系統(tǒng)的正常功能可由一個(gè)不希望事件ue（unexpectant event）（失效，故障，錯(cuò)誤，失?。┒黄茐?。發(fā)生在物力域的ue成為失效；從邏輯域到外部域我們依次把它們的不希望事件叫做故障，差錯(cuò)或錯(cuò)誤，以及失敗，其因果關(guān)系為失效故障錯(cuò)誤失敗。討論邏輯域中ue（故障）的分類3：（1）按時(shí)間間隔分為“永久故障”和“瞬時(shí)故障”；（2）按值分為“確定值故障”和“非確定值故障”；（3）按范圍分為“局部故障”和“非確定性故障”。2不希望事件ue及其原因2.1.1.2冗余的分類容錯(cuò)是依靠外加資源的方法（又稱資源的冗

14、余）來(lái)?yè)Q取可靠性的。容錯(cuò)系統(tǒng)可以采用一種或多種冗余方式，只有合理使用這些冗余方法才能達(dá)到提高可靠性的目標(biāo)。按照系統(tǒng)的失效響應(yīng)階段，可以把各種容錯(cuò)技術(shù)分成三種：故障檢測(cè)、靜態(tài)冗余、動(dòng)態(tài)冗余。4故障檢測(cè)不提供對(duì)故障的容忍，而是當(dāng)發(fā)生故障時(shí)給出一個(gè)警告。故障檢測(cè)廣泛應(yīng)用于微型機(jī)和小型機(jī)之類的許多小系統(tǒng)中，其中一些已體現(xiàn)了簡(jiǎn)單的聯(lián)機(jī)檢測(cè)機(jī)理。嚴(yán)格來(lái)說(shuō)，故障檢測(cè)不是容錯(cuò)，因?yàn)楸M管檢測(cè)了故障，但不能容忍這些故障(對(duì)瞬時(shí)故障的靜態(tài)重試除外)。靜態(tài)冗余能容忍故障，但不給出故障警告。動(dòng)態(tài)冗余用于糾錯(cuò)碼存儲(chǔ)器或具有固定配置(即線路器件之間的邏輯連接保持不變)的多數(shù)表決冗余計(jì)算機(jī)之類的系統(tǒng)中。根據(jù)容錯(cuò)系統(tǒng)所采用的冗

15、余方式的不同，可將容錯(cuò)技術(shù)分為：硬件冗余容錯(cuò)，信息冗余容錯(cuò)，時(shí)間冗余容錯(cuò)及軟件冗余容錯(cuò)四種形式。4（1）直接冗余與硬件冗余直接冗余，狹義地又稱為物理冗余或硬件冗余，是指出于系統(tǒng)可靠性或安全性目的，在系統(tǒng)關(guān)鍵環(huán)節(jié)并聯(lián)若干個(gè)同型號(hào)的備件，形成所謂三?；蚨嗄＝Y(jié)構(gòu)的一種直接為診斷故障和排除故障服務(wù)的簡(jiǎn)單模式；廣義地，直接冗余既可以使部件冗余也可以是功能冗余。物質(zhì)部件生產(chǎn)和使用過(guò)程中總是不可避免地會(huì)出現(xiàn)各種類型制造缺陷、磨損、老化、失效等問(wèn)題。因此，部件冗余方法是行之有效的阻止隨機(jī)故障發(fā)生及降低設(shè)計(jì)錯(cuò)誤帶來(lái)風(fēng)險(xiǎn)的方法。（2）軟件冗余與解析冗余控制系統(tǒng)軟件冗余是指控制程序可變的冗余，通常包括n版本冗余和同

16、功能不同設(shè)計(jì)軟件模塊冗余等多種形式，在計(jì)算機(jī)控制過(guò)程中主要采用基于故障在線檢測(cè)與專家系統(tǒng)診斷的方式實(shí)現(xiàn)自組織調(diào)整。解析冗余是指系統(tǒng)輸入信息和輸出信息之間瞬態(tài)關(guān)系的集合。對(duì)于連續(xù)時(shí)間系統(tǒng)，描述這種關(guān)系常用的模型是微分方程、偏微分方程、隨機(jī)微分方程模型或連續(xù)時(shí)間狀態(tài)空間模型；對(duì)于離散時(shí)間系統(tǒng)，描述這種關(guān)系常用的模型則是差分方程時(shí)間序列分析領(lǐng)域的ar模型、arma模型、arxma模型、離散時(shí)間狀態(tài)空間模型和多層神經(jīng)網(wǎng)絡(luò)模型等。（3）數(shù)據(jù)冗余和信息冗余數(shù)據(jù)冗余是指通過(guò)不同源信息的加工轉(zhuǎn)換比對(duì)等處理過(guò)程，既可以通過(guò)算法容錯(cuò)設(shè)計(jì)規(guī)避測(cè)量設(shè)備故障，還可以檢測(cè)被控對(duì)象的狀態(tài)、診斷系統(tǒng)故障。信息冗余通常是利用在

17、數(shù)據(jù)中外加的一部分信息位來(lái)檢測(cè)或糾正信息在運(yùn)算或傳輸中的錯(cuò)誤而達(dá)到容錯(cuò)。常用的有奇偶校驗(yàn)碼、循環(huán)冗余碼crc、hamming碼等可靠性編碼方法。（4）時(shí)間冗余與通信鏈路冗余時(shí)間冗余的基本思想是重復(fù)運(yùn)算以檢測(cè)故障。按照重復(fù)運(yùn)算是在指令級(jí)還是程序級(jí)分為指令復(fù)執(zhí)與程序復(fù)算。其中，指令復(fù)執(zhí)是將指令執(zhí)行的結(jié)果送到目的地址中，如果這是由錯(cuò)誤恢復(fù)請(qǐng)求信號(hào)，則重新執(zhí)行該指令；程序復(fù)算常用程序卷回技術(shù)。通信鏈路冗余是多個(gè)數(shù)據(jù)處理單元與多條通信鏈路構(gòu)成局部的多分支結(jié)構(gòu)或網(wǎng)狀結(jié)構(gòu)，不同的處理單元完成相同的處理功能，信號(hào)經(jīng)過(guò)不同a/d、d/a轉(zhuǎn)換及傳送路徑。設(shè)計(jì)實(shí)現(xiàn)一個(gè)高可靠的數(shù)據(jù)采集、存儲(chǔ)與處理的綜合系統(tǒng)，必須根據(jù)

18、系統(tǒng)特性、可靠性指標(biāo)、成本等諸多因素選擇適當(dāng)?shù)娜哂喾绞?，將這些冗余方式綜合應(yīng)用?？傊哂嘁馁Y源，因此在滿足所需可靠性的前提下，應(yīng)盡量減少資源的消耗，在可靠性與資源消耗間權(quán)衡。2.1.2三模冗余技術(shù)理論研究開(kāi)展情況2.1.2.1三模冗余的模型計(jì)算三模冗余模型如圖1-1所示。nmr系統(tǒng)的可靠度計(jì)算式為rnmr=i=0nni1-rmirm(n-i)2對(duì)于tmr情況，n=3，而n=1。假定表決電路不會(huì)發(fā)生故障，則tmr方案的可靠度可由單模塊的可靠度rm算出。只要有兩個(gè)模塊能正常工作，此冗余系統(tǒng)便能正常工作。若假設(shè)3個(gè)模塊發(fā)生故障的事件是相互獨(dú)立的，則tmr方案的可靠度計(jì)算式為rnmr=全部3個(gè)模

19、塊均正常工作的可靠度+任意2個(gè)模塊正常工作的可靠度 =rm3+3rm2(1-rm) =3rm2-2rm3實(shí)際上，tmr的可靠度通常優(yōu)于上式的計(jì)算值，原因是即使在兩個(gè)模塊發(fā)生故障的情況下，該系統(tǒng)仍可能工作正常，例如可抵消的模塊故障。另外，當(dāng)rm=0.5時(shí)，tmr系統(tǒng)的可靠度得不到任何改善。此例說(shuō)明這樣一個(gè)道理，即當(dāng)單個(gè)模塊的可靠度很低時(shí)，用它們實(shí)現(xiàn)冗余不可能提高整個(gè)系統(tǒng)的可靠度。若假設(shè)tmr系統(tǒng)中的每個(gè)模塊都經(jīng)過(guò)充分老化，則可認(rèn)為rm是時(shí)間的指數(shù)函數(shù)，其失效率常數(shù)為，即rm=e-t。將此rm值代入上式可得：rtmr=3e-2t-2e-3ttmr系統(tǒng)的平均無(wú)故障時(shí)間mtbf0rtmrdt=56此值

20、比單個(gè)模塊的mtbf還小一些。由此可見(jiàn)，雖然mtbf常常用來(lái)衡量系統(tǒng)可靠度的高低，但此參數(shù)并不能提供容錯(cuò)系統(tǒng)改善可靠度的詳細(xì)情況，其原因在于mtbf對(duì)可靠度函數(shù)的計(jì)算是在0t區(qū)間進(jìn)行的。但用冗余來(lái)改善一個(gè)系統(tǒng)的可靠度時(shí)，感興趣的區(qū)間只有0tt，這里t為要求最高可靠度的一段規(guī)定的任務(wù)時(shí)間，而在tt以后的那段時(shí)間，系統(tǒng)是否可靠并不重要。在tmr的可靠度表達(dá)式中，未曾考慮表決器的可靠度5。若令表決器的可靠度為e-1t，則rtmr=e-1t（3e-2t-2e-3t）由此可見(jiàn)，無(wú)論各模塊是否有故障，只要表決器發(fā)生故障，系統(tǒng)便失效。若1，則系統(tǒng)的可靠度低于任何t值下的無(wú)冗余系統(tǒng)的可靠度。2.1.2.2三模

21、冗余模型的一些擴(kuò)展stateful tmr（狀態(tài)三模冗余）7狀態(tài)三模冗余通過(guò)增加狀態(tài)評(píng)估單元提升三模冗余的可靠性。狀態(tài)評(píng)估單元用來(lái)檢測(cè)各模塊的狀態(tài)，包括正常和失效狀態(tài)。3狀態(tài)三模冗余模型7三?；旌先哂嗄Ｐ?系統(tǒng)由3個(gè)能完成相同功能的計(jì)算機(jī)模塊，一個(gè)進(jìn)行多數(shù)表決及完成比較功能的多數(shù)表決比較恢復(fù)器(mvr)，一個(gè)用于產(chǎn)生單一輸出結(jié)果的磁通和，一個(gè)進(jìn)行失效比較與模式控制的失效安全比較器及模式控制系統(tǒng)(fsc-mcc)以及用于顯示系統(tǒng)工作模式及工作狀態(tài)的監(jiān)視器構(gòu)成。4三?；旌先哂嗄Ｐ?2.2存在問(wèn)題三模冗余的弊端在于如果系統(tǒng)只具有屏蔽能力，當(dāng)故障的積累是系統(tǒng)的屏蔽能力耗盡時(shí)，整個(gè)系統(tǒng)就失敗了。動(dòng)態(tài)冗余

22、是一種結(jié)合了故障檢測(cè)、診斷、重組和恢復(fù)等多種容錯(cuò)手段的綜合性容錯(cuò)技術(shù)，若與靜態(tài)冗余配合使用，可以使系統(tǒng)的容錯(cuò)能力大大提高810。所謂“動(dòng)態(tài)”是指作為系統(tǒng)正常資源的冗余模塊隨著檢測(cè)到的故障而變化。系統(tǒng)以標(biāo)準(zhǔn)模塊配置進(jìn)行工作，一旦檢測(cè)出故障，緊接著進(jìn)行重組與恢復(fù)從而消除故障的影響。但硬件的冗余必然造成較大的資源浪費(fèi)，因此對(duì)三模冗余容錯(cuò)能力的測(cè)試將給予全面評(píng)價(jià)三?？尚行缘目赡苄?，在此基礎(chǔ)上，我們才能平衡系統(tǒng)可靠度與資源合理利用。三、研究展望本畢業(yè)設(shè)計(jì)題目，其主要應(yīng)用于下一代皮衛(wèi)星容錯(cuò)技術(shù)。由于皮衛(wèi)星采用工業(yè)級(jí)器件，其壽命要求則更大程度上倚賴于合理的軟硬件容錯(cuò)。容錯(cuò)控制為提高復(fù)雜動(dòng)態(tài)系統(tǒng)可靠性開(kāi)辟了

23、一條新的途徑。6容錯(cuò)控制作為一門(mén)新興的交叉學(xué)科，其科學(xué)意義就是盡量保證動(dòng)態(tài)系統(tǒng)在發(fā)生故障時(shí)仍然可以穩(wěn)定運(yùn)行，并具有可以接受的性能指標(biāo)，是保證系統(tǒng)安全運(yùn)行的最后一道防線。目前，這門(mén)學(xué)科研究熱點(diǎn)和難點(diǎn)主要集中在：魯棒容錯(cuò)控制，快速fdi方法的研究，魯棒故障檢測(cè)與魯棒控制的集成設(shè)計(jì)問(wèn)題，控制律的在線重組與重構(gòu)方法，主動(dòng)容錯(cuò)控制中的魯棒性分析與綜合方法，非線性系統(tǒng)的容錯(cuò)控制，時(shí)滯動(dòng)態(tài)系統(tǒng)的容錯(cuò)控制，高維、時(shí)變多變量系統(tǒng)的完整性控制1。參考文獻(xiàn)1 周東華, 葉銀忠, 王鳳哲編. 現(xiàn)代故障診斷與容錯(cuò)控制. 清華大學(xué)出版社, 20002 美p. k 拉拉著.容錯(cuò)與故障可測(cè)性系統(tǒng)設(shè)計(jì). 孟永炎等譯. 中國(guó)鐵道

24、出版社, 19893 王麗華. 計(jì)算機(jī)容錯(cuò)系統(tǒng)的體系結(jié)構(gòu)與安全性研究：學(xué)位論文 . 西南交通大學(xué), 20024 胡謀. 計(jì)算機(jī)容錯(cuò)技術(shù). 中國(guó)鐵道出版社, 19955 伊小素,鄧燕,潘雄等. 表決器對(duì)分層三模冗余系統(tǒng)可靠性影響分析. 中國(guó)慣性技術(shù)學(xué)報(bào), 2011, 19（7）：4944986 張鈺,郁發(fā)新,鄭陽(yáng)明等.皮衛(wèi)星星務(wù)管理系統(tǒng)容錯(cuò)設(shè)計(jì). 宇航學(xué)報(bào),2007,28（6）：175317577 matsumoto k, uehara m, mori, h.stateful tmr for transient faults. world automation congress (wac), 2

25、010,168 stepanek j,coe e,sims r. fault-tolerant routing for satellite command and control. aerospace conference, 2004. proceedings. 2004 ieee9 zahid s,ayyaz n, suparco. an economical on-board computer for low-earth-orbit satellites. students conference, iscon 02. proceedings. ieee10 isermann r and b

26、alle p, trends in the application of model based fault detection and diagnosis of technical process, control eng. practice, 1997, 5（5）：709719開(kāi)題報(bào)告一、問(wèn)題提出的背景1.背景介紹容錯(cuò)技術(shù)的高速發(fā)展很大程度上源自于航空航天的需要，特別是為滿足長(zhǎng)周期且無(wú)人照管計(jì)算機(jī)的運(yùn)行要求。1三模冗余技術(shù)作為主要的硬件冗余容錯(cuò)技術(shù)擬應(yīng)用于下一皮衛(wèi)星星載計(jì)算機(jī)上。皮衛(wèi)星是指重量為公斤級(jí)的超微小衛(wèi)星，它一般以微電子、微機(jī)電系統(tǒng)(mems)、多芯片封裝組裝等微小型化技術(shù)為基礎(chǔ)，

27、具有自主控制程度高、重量輕、研制周期短、機(jī)動(dòng)性強(qiáng)、造價(jià)和發(fā)射成本低等特點(diǎn)。皮衛(wèi)星是現(xiàn)代航天技術(shù)中的重要研究領(lǐng)域，它能以更低的成本完成衛(wèi)星搭載試驗(yàn)等空間科學(xué)實(shí)驗(yàn)，已成為國(guó)際上的研究熱點(diǎn)。2隨著小型化技術(shù)的飛速發(fā)展和應(yīng)用，傳統(tǒng)的衛(wèi)星研制出現(xiàn)了革命性的飛躍，電子、微機(jī)械等高新技術(shù)的利用使相同功能的衛(wèi)星重量和體積大幅度減小，同時(shí)還出現(xiàn)了單一功能的微納衛(wèi)星甚至皮衛(wèi)星。這使得航天與空間科學(xué)應(yīng)用領(lǐng)域出現(xiàn)了新的生機(jī)?，F(xiàn)代的微小衛(wèi)星，以高新技術(shù)的發(fā)展為基礎(chǔ)，而微電子技術(shù)、計(jì)算機(jī)、微型光學(xué)和機(jī)械、輕型復(fù)合材料及精密機(jī)械加工等技術(shù)的發(fā)展則是小衛(wèi)星技術(shù)與應(yīng)用發(fā)展的重要前提56。與傳統(tǒng)大衛(wèi)星相比，現(xiàn)代小衛(wèi)星有以下優(yōu)勢(shì)2

28、：研制周期短、風(fēng)險(xiǎn)小且所需成本低；小衛(wèi)星組成星座可產(chǎn)生全新應(yīng)用領(lǐng)域，滿足通信、遙感、科學(xué)技術(shù)試驗(yàn)及軍事的要求；發(fā)射方式靈活，可一箭多星發(fā)射。所以其最大的特點(diǎn)是集成化、模塊化。其基本目標(biāo)是選用高新技術(shù)，增加容量和性能，減小體積和重量，使成本和風(fēng)險(xiǎn)降為最低，促進(jìn)衛(wèi)星功能密度的不斷提高。皮衛(wèi)星是以星務(wù)管理系統(tǒng)為核心，結(jié)合了星上測(cè)控系統(tǒng)和姿態(tài)與軌道控制系統(tǒng)的功能，以星上數(shù)據(jù)網(wǎng)為紐帶連接各類星上電子設(shè)備，為皮衛(wèi)星上其它平臺(tái)和有效載荷提供信息管理、數(shù)據(jù)調(diào)制解調(diào)收發(fā)、姿態(tài)軌道大量計(jì)算服務(wù)的數(shù)據(jù)處理和傳輸系統(tǒng)。星載計(jì)算機(jī)是皮衛(wèi)星重要分系統(tǒng)，是衛(wèi)星的總體級(jí)系統(tǒng)和信息中樞，對(duì)皮衛(wèi)星的正常運(yùn)行起到重要的支柱作用，因

29、此研制一種適合于皮衛(wèi)星應(yīng)用的新一代星載計(jì)算機(jī)將具有重要而現(xiàn)實(shí)的意義。衛(wèi)星星務(wù)管理系統(tǒng)設(shè)計(jì)的目標(biāo)是：在考慮衛(wèi)星運(yùn)行環(huán)境和壽命及可靠性要求的基礎(chǔ)上，選擇適當(dāng)?shù)目刂葡到y(tǒng)構(gòu)型，以性能功耗比最高的可靠性手段滿足飛行任務(wù)對(duì)衛(wèi)星星務(wù)管理系統(tǒng)的要求2。2.本研究的意義和目的在衛(wèi)星復(fù)雜的工作環(huán)境下，發(fā)射段的沖擊振動(dòng)和在軌段高低溫、輻射、單粒子事件等都會(huì)導(dǎo)致星務(wù)計(jì)算機(jī)出錯(cuò)概率增大和可靠性降低。雖然目前小衛(wèi)星發(fā)展很快，但由于質(zhì)量、體積、功耗等方面的限制使得皮衛(wèi)星星載計(jì)算機(jī)的設(shè)計(jì)很難依靠高等級(jí)器件，因高可靠器件的性能通常比前沿發(fā)展的滯后，這樣就難免成為皮衛(wèi)星星載計(jì)算機(jī)發(fā)展的重要瓶頸。根據(jù)皮衛(wèi)星星務(wù)管理功能特點(diǎn)，務(wù)必采

30、取一定的容錯(cuò)手段以達(dá)到衛(wèi)星生存能力提升的最佳結(jié)果。星載計(jì)算機(jī)是皮衛(wèi)星整星的核心，它關(guān)系著整星運(yùn)行的成功與失敗，因此星載計(jì)算機(jī)必須有足夠高的可靠性2。硬件冗余是容錯(cuò)設(shè)計(jì)的基礎(chǔ)。容錯(cuò)計(jì)算機(jī)系統(tǒng)是可靠性、性能和成本折中的產(chǎn)物3。目前基于功耗和策略切換的復(fù)雜程度等因素考慮我們星載計(jì)算機(jī)采用了三模冗余的系統(tǒng)構(gòu)架。三模冗余作為重要的硬件容錯(cuò)手段，其容錯(cuò)能力的測(cè)試和研究是對(duì)星載計(jì)算機(jī)系統(tǒng)可靠性進(jìn)行提高和進(jìn)一步優(yōu)化的前提。本研究的目的在提高目前皮衛(wèi)星星載計(jì)算機(jī)容錯(cuò)能力。星載計(jì)算機(jī)的高可靠性來(lái)在于合理的容錯(cuò)設(shè)計(jì)，而其最終來(lái)源于對(duì)容錯(cuò)能力的掌握程度。本研究即從理論出發(fā)，在仿真的基礎(chǔ)上，通過(guò)實(shí)驗(yàn)形成對(duì)三模冗余dsp

31、容錯(cuò)方案的確認(rèn)。這對(duì)于從性能、成本和可靠性三者折中形成下一代皮衛(wèi)星星載計(jì)算機(jī)硬件軟件設(shè)計(jì)有重大意義。二、論文的主要內(nèi)容和技術(shù)路線1.主要研究?jī)?nèi)容根據(jù)畢業(yè)設(shè)計(jì)任務(wù)書(shū)要求，論文主要研究?jī)?nèi)容如下：l 了解、熟悉綜合電子系統(tǒng)體系結(jié)構(gòu)，以及系統(tǒng)所采用的多模式處理協(xié)同工作方案。主要進(jìn)行的是關(guān)于三模冗余相關(guān)內(nèi)容的調(diào)研。熟悉并進(jìn)一步理解容錯(cuò)概念，詳細(xì)研讀三模冗余系統(tǒng)的模型方案，對(duì)后續(xù)工作加強(qiáng)認(rèn)識(shí)并掌握基本能力。l 調(diào)研現(xiàn)有各種多模式處理器協(xié)同工作方案，以及各方案下處理器及系統(tǒng)工作的容錯(cuò)方法。廣泛調(diào)研多模式處理器當(dāng)前在各領(lǐng)域應(yīng)用的方案，對(duì)三模冗余相關(guān)的方向進(jìn)行提煉。針對(duì)調(diào)研結(jié)果，關(guān)注多模式處理器同步工作方案，對(duì)

32、包括硬件冗余、時(shí)間冗余、信息冗余和軟件冗余在內(nèi)的各種容錯(cuò)方法進(jìn)行選取，應(yīng)用于實(shí)現(xiàn)下一代皮衛(wèi)星利用高性能、低功耗的工業(yè)級(jí)器件完成系統(tǒng)的高可靠度要求。l 分析各容錯(cuò)方案的利弊與現(xiàn)實(shí)工程的需求，并據(jù)此有針對(duì)性的選擇二至三種適用的方法。三模冗余dsp系統(tǒng)將用于下一代皮衛(wèi)星星載計(jì)算機(jī)中，權(quán)衡性能與功耗，工業(yè)級(jí)器件與空間應(yīng)用環(huán)境，對(duì)前面工作所挑選出的若干多模式處理器工作方案及容錯(cuò)方法進(jìn)行詳細(xì)的分析，使其滿足皮衛(wèi)星最關(guān)鍵的可靠性需求，提高其可靠性及抗單粒子效應(yīng)。此二至三種方法將至少在理論上能夠很好地達(dá)到最終要求。l 按工程化方法設(shè)計(jì)容錯(cuò)方法的軟、固件，在開(kāi)發(fā)板或綜合電子系統(tǒng)板上實(shí)現(xiàn)，并調(diào)試通過(guò)。綜合電子系統(tǒng)

33、板目前已實(shí)現(xiàn)，在此基礎(chǔ)上，調(diào)試適合三模冗余dsp的工作方案，通過(guò)實(shí)驗(yàn)，完成其驗(yàn)證過(guò)程。2.技術(shù)路線參考綜合電子系統(tǒng)三模冗余時(shí)鐘同步工作模式試驗(yàn)大綱，初步設(shè)計(jì)三模冗余dsp容錯(cuò)能力測(cè)試方法實(shí)驗(yàn)。三模冗余dsp系統(tǒng)出現(xiàn)錯(cuò)誤的來(lái)源有多種77，目前考慮其外部環(huán)境導(dǎo)致錯(cuò)誤的來(lái)源有時(shí)鐘偏差和芯片供電電壓偏差，其內(nèi)部環(huán)境包括運(yùn)行程序的不同導(dǎo)致的三模dsp不同步，另外還有芯片自身的故障問(wèn)題。考慮到上述問(wèn)題對(duì)系統(tǒng)可靠度的影響，初步設(shè)計(jì)以下實(shí)驗(yàn)?zāi)繕?biāo)過(guò)程。2.1三模冗余dsp協(xié)同工作方案一：時(shí)鐘同步4時(shí)鐘同步是一種以時(shí)鐘級(jí)為基礎(chǔ)的緊密同步，要求模塊在時(shí)鐘周期內(nèi)嚴(yán)格同步，冗余部件也都在時(shí)鐘級(jí)進(jìn)行比較表決，但需要專門(mén)的

34、硬件支持，并且總線上的瞬時(shí)故障極易產(chǎn)生共模差錯(cuò)并且無(wú)法檢測(cè)。常用的時(shí)鐘同步方法有三種：獨(dú)立的精確時(shí)鐘、公共的外部時(shí)鐘、互相反饋的時(shí)鐘。l 三片dsp同源時(shí)鐘驅(qū)動(dòng)，供電電壓均在5v的條件下，分別執(zhí)行單進(jìn)程、雙進(jìn)程、多進(jìn)程程序。測(cè)試小時(shí)量級(jí)的同步工作。通過(guò)試驗(yàn)，明確同步建立與維持的條件，及導(dǎo)致失步的因素。通過(guò)分析，解決失步問(wèn)題。l 三片dsp在非同步時(shí)鐘，供電電壓5v的條件下，執(zhí)行相同程序時(shí)，檢測(cè)芯片對(duì)時(shí)鐘非同步敏感程度。l 三片dsp在同源時(shí)鐘驅(qū)動(dòng)，供電電壓非5v條件下，執(zhí)行相同程序時(shí)，檢測(cè)芯片對(duì)供電電壓偏差敏感程度。l 三片dsp在同源時(shí)鐘驅(qū)動(dòng)，供電電壓均在5v的條件下，對(duì)其中某一dsp進(jìn)行故

35、障注入8，觀察三取二表決結(jié)果。2.2三模冗余dsp協(xié)同工作方案二：任務(wù)級(jí)同步任務(wù)級(jí)同步是一種以一個(gè)獨(dú)立運(yùn)行的、具有一定邏輯任務(wù)的一次運(yùn)作作為同步的基礎(chǔ)。系統(tǒng)在任務(wù)中設(shè)立一個(gè)或多個(gè)比較、表決點(diǎn)，對(duì)其中間結(jié)果和最后輸出進(jìn)行一致性判斷，并在此過(guò)程中協(xié)調(diào)各模塊間的工作步調(diào)。因?yàn)楦髂K無(wú)時(shí)鐘同步，任務(wù)執(zhí)行松散，因而對(duì)共模差錯(cuò)具有很高的抑制能力。任務(wù)級(jí)同步的特點(diǎn)：一個(gè)任務(wù)的冗余計(jì)算可以安排在稍有不同的時(shí)間上由不同的模塊執(zhí)行，避免了相關(guān)故障的發(fā)生；允許異步中斷打擾，提高對(duì)外部命令的實(shí)時(shí)響應(yīng)能力，增強(qiáng)了系統(tǒng)的實(shí)時(shí)性與靈活性。三模冗余dsp任務(wù)級(jí)協(xié)同工作方案設(shè)計(jì)，分為停止并修復(fù)（stop&repair）、空閑（

36、idle）、起始和重啟（start&restart）、運(yùn)行（run）四個(gè)狀態(tài)，如圖：圖 1 軟件流程圖2比較上述兩個(gè)協(xié)同工作方案，選擇合適的方案應(yīng)用于實(shí)際。3.可行性分析目前，實(shí)驗(yàn)室已基本完成綜合電子系統(tǒng)板的開(kāi)發(fā)，因此對(duì)于三模冗余dsp容錯(cuò)能力測(cè)試方法研究來(lái)說(shuō)，硬件條件已完整具備。根據(jù)實(shí)驗(yàn)室早先進(jìn)行的試驗(yàn)可知，完成仿真所需要的seed xds560 plus仿真器、pc機(jī)、穩(wěn)壓電源、示波器等也已經(jīng)配置。軟件方面，所需要的dsp開(kāi)發(fā)工具為code composer studio。在軟固件都完備的情況下，只要有合理的方案設(shè)計(jì)與dsp開(kāi)發(fā)測(cè)試能力即可完成畢業(yè)設(shè)計(jì)題目所要求的內(nèi)容。目前，初步方案設(shè)計(jì)已

37、完成。三、 研究計(jì)劃進(jìn)度安排及預(yù)期目標(biāo)1.進(jìn)度安排表 1進(jìn)度安排表工作階段實(shí)施起止時(shí)間實(shí)施天數(shù)文獻(xiàn)調(diào)研3月1日3月10日10方案設(shè)計(jì)2月11日3月20日10詳細(xì)設(shè)計(jì)3月21日3月25日5方案實(shí)現(xiàn)與仿真3月26日4月10日16模塊與系統(tǒng)測(cè)試4月11日4月30日20總結(jié)與論文撰寫(xiě)5月1日5月20日20預(yù)期目標(biāo)l 熟悉綜合電子系統(tǒng)體系結(jié)構(gòu)，調(diào)研得到適合星載計(jì)算機(jī)多模式處理器協(xié)同工作方案和容錯(cuò)方案。l 試驗(yàn)與驗(yàn)證三片ti dsp 6747在同源時(shí)鐘驅(qū)動(dòng)下并執(zhí)行多進(jìn)程程序時(shí)同步工作的特性與影響因素。l 試驗(yàn)三模冗余dsp多種容錯(cuò)方案，仿真，進(jìn)行對(duì)比。l 形成對(duì)三模冗余dsp容錯(cuò)方案的選擇。l 完成模塊的

38、設(shè)計(jì)文件，源代碼，仿真測(cè)試結(jié)果分析。l 完成畢業(yè)論文。參考文獻(xiàn)1 美p. k 拉拉著. 容錯(cuò)與故障可測(cè)性系統(tǒng)設(shè)計(jì). 孟永炎等譯. 北京：中國(guó)鐵道出版社, 19892 張鈺. 皮衛(wèi)星星載計(jì)算機(jī)及其可靠性研究：學(xué)位論文. 杭州：浙江大學(xué)信息與電子工程學(xué)系微小衛(wèi)星研究中心, 20113 周東華, 葉銀忠, 王鳳哲編. 現(xiàn)代故障診斷與容錯(cuò)控制. 北京：清華大學(xué)出版社, 20004 楊牧. 綜合電子系統(tǒng)三模冗余時(shí)鐘同步工作模式試驗(yàn)大綱. 杭州：浙江大學(xué)微小衛(wèi)星研究中心, 20115 higbee terry a. darpasat: smart space systemj. proc spie, 199

39、3, (1): 1940-1945.6 張鈺,郁發(fā)新,鄭陽(yáng)明等.皮衛(wèi)星星務(wù)管理系統(tǒng)容錯(cuò)設(shè)計(jì).宇航學(xué)報(bào),2007,28（6）：175317577 袁由光. 實(shí)時(shí)系統(tǒng)中的可靠性技術(shù). 北京：清華大學(xué)出版社, 廣西科學(xué)計(jì)數(shù)出版社. 1995： 6-10, 106-1288 彭俊杰, 袁成軍. 軟件實(shí)現(xiàn)的星載系統(tǒng)故障注入技術(shù)研究j. 哈爾濱：哈爾濱工業(yè)大學(xué)學(xué)報(bào), 2004, 36(7)：934-936文獻(xiàn)翻譯和原稿用于瞬時(shí)故障的狀態(tài)三模冗余摘要：模塊冗余是一種用于建設(shè)可靠系統(tǒng)的常見(jiàn)方法。三模冗余(tmr)作為提升可靠性的模塊冗余方法經(jīng)常使用。但是，當(dāng)三個(gè)模塊中的其中兩個(gè)失效后，三模冗余系統(tǒng)便不能從中選

40、出正確的結(jié)果。因此，我們提出了一種新的表決機(jī)制叫做狀態(tài)三模冗余。通過(guò)仿真，我們?cè)u(píng)估了三模冗余方式和狀態(tài)三模冗余方式，后者在兩模失效的情況下取得了更高的可靠性。關(guān)鍵詞：tmr(三模冗余) 狀態(tài)三模冗余 可靠性 表決 表決器 瞬時(shí)故障1. 引言近年來(lái)，系統(tǒng)構(gòu)建得越來(lái)越復(fù)雜，其扮演的角色也趨于廣泛。如果這樣一個(gè)系統(tǒng)發(fā)生了故障，風(fēng)險(xiǎn)一定非常巨大。為了避免這樣的風(fēng)險(xiǎn)出現(xiàn)，系統(tǒng)的穩(wěn)定性必須得到提升。冗余是構(gòu)建穩(wěn)定系統(tǒng)的一種常見(jiàn)方法。三模冗余的應(yīng)用尤其頻繁。但是，在其中兩個(gè)模塊發(fā)生故障的情況下，整個(gè)三模冗余系統(tǒng)會(huì)失效。所以考慮到各模塊的狀態(tài)，我們提出了狀態(tài)三模冗余，用于提升三模冗余的可靠性33,4。本文中，

41、我們討論了狀態(tài)三模冗余在瞬時(shí)故障下的可靠性。本文是這樣組織的。第二部分描述若干相關(guān)工作，第三部分描述我們提出的狀態(tài)三模冗余，第四部分評(píng)估這個(gè)系統(tǒng)在瞬時(shí)故障下的可靠性，最后是總結(jié)。2. 相關(guān)工作這里，我們?cè)敿?xì)描述冗余技術(shù)。冗余技術(shù)可按以下分類：被動(dòng)冗余、主動(dòng)冗余和混合冗余1,2。被動(dòng)冗余方式旨在隱藏錯(cuò)誤，用于提高容錯(cuò)能力。一種典型的被動(dòng)冗余方式是n模冗余（nmr）。在n模冗余系統(tǒng)中，需要使用n個(gè)相同模塊并行運(yùn)行。用表決得到最終結(jié)果以便屏蔽錯(cuò)誤。主動(dòng)冗余方式旨在檢測(cè)錯(cuò)誤，分離錯(cuò)誤然后修復(fù)系統(tǒng)。因此也可以提高系統(tǒng)的容錯(cuò)能力。當(dāng)這兩種方法都應(yīng)用于一個(gè)系統(tǒng)時(shí)，即可稱為混合冗余方式。在混合冗余方式中，屏蔽

42、錯(cuò)誤減少了錯(cuò)誤的出現(xiàn)，然后系統(tǒng)通過(guò)檢測(cè)、分離錯(cuò)誤和替換備用模塊來(lái)修復(fù)。接下來(lái)，我們?cè)敿?xì)描述一種被動(dòng)冗余方式三模冗余（tmr）。tmr作為一種錯(cuò)誤屏蔽方式廣為人知。在tmr系統(tǒng)中，使用了三個(gè)模塊并行連接。輸出由這些模塊的結(jié)果經(jīng)表決得出。在那樣的情況下，即使其中一個(gè)模塊出現(xiàn)錯(cuò)誤，也就是說(shuō)如果另外兩個(gè)模塊仍然運(yùn)行，表決結(jié)果將屏蔽這個(gè)錯(cuò)誤。tmr的結(jié)構(gòu)如圖.1所示。然而，tmr不能屏蔽超過(guò)一個(gè)錯(cuò)誤。圖. 1tmr結(jié)構(gòu)最后，描述適應(yīng)性多數(shù)表決器（amv, adaptive majority voter）。amv是一種用于物理模塊的容錯(cuò)系統(tǒng)5。在amv中，每個(gè)模塊都有其狀態(tài)的歷史記錄。這個(gè)記錄取決于基礎(chǔ)門(mén)

43、限。3. 狀態(tài)三模冗余這里，我們描述狀態(tài)三模冗余。狀態(tài)三模冗余通過(guò)增加狀態(tài)評(píng)估單元提升三模冗余的可靠性。狀態(tài)評(píng)估單元用來(lái)檢測(cè)各模塊的狀態(tài)，包括正常和失效狀態(tài)。狀態(tài)三模冗余結(jié)構(gòu)如圖.2所示。 圖. 2狀態(tài)三模冗余結(jié)構(gòu)圖中所示，選擇器通過(guò)使用表決結(jié)果和先前狀態(tài)判斷決定輸出。狀態(tài)評(píng)估單元擁有每個(gè)模塊的狀態(tài)。as、bs和cs分別是a、b和c的狀態(tài)評(píng)估寄存器。as, bs 和cs分別是a、b和c的先前狀態(tài)。每個(gè)寄存器保存正常狀態(tài)或者失效狀態(tài)?，F(xiàn)在我們來(lái)解釋如何決定狀態(tài)評(píng)估和輸出。把mas 和 mao作為多數(shù)的表決狀態(tài)和結(jié)果，mis 和 mio作為少數(shù)的表決狀態(tài)和結(jié)果，nof作為模塊失效數(shù)。則最終輸出由以

44、下決定：l 如果所有輸出相同，則以多數(shù)結(jié)果為最終輸出。l 如果所有模塊正常（nof），則以多數(shù)結(jié)果為最終輸出。l 如果mis正常并且至少一個(gè)模塊失效（nof），則以少數(shù)結(jié)果為最終輸出。l 如果mis失效并且至少一個(gè)模塊失效（nof），則以多數(shù)結(jié)果為最終輸出。算法歸結(jié)為圖。圖. 3輸出決定接下來(lái)，我們解釋怎么評(píng)估失效狀態(tài)。狀態(tài)評(píng)估按如下操作：l 在沒(méi)有錯(cuò)誤的情況下，狀態(tài)由表決決定。l 存在一個(gè)錯(cuò)誤：如果所有輸出一致，狀態(tài)設(shè)定至正常。如果mis不包含失效狀態(tài)，mis設(shè)定為失效，mas設(shè)定為正常。如果mis包含失效狀態(tài)，mis設(shè)定為正常，mas設(shè)定為失效。l 如果存在兩個(gè)錯(cuò)誤：如果所有輸出一致，狀態(tài)

45、設(shè)定不變。如果mis包含失效狀態(tài)，mis設(shè)定為失效，mas設(shè)定為正常。如果mis不包含失效狀態(tài)，mis設(shè)定為正常， mas設(shè)定為失效。 圖. 4狀態(tài)決定4. 仿真在此，我們描述仿真方法和它的結(jié)果。4.1 仿真方法本文中，我們采用仿真評(píng)估狀態(tài)三模冗余的可靠性。在此我們描述這個(gè)仿真方法的實(shí)現(xiàn)過(guò)程。首先，我們給出失效率p（0p1）和恢復(fù)率q（0q1）的定義。失效率p被定義為一個(gè)正常模塊在單位時(shí)間內(nèi)失效的可能性?；謴?fù)率為一個(gè)失效模塊在單位時(shí)間內(nèi)被修復(fù)而成為正常模塊的可能性。兩者都可用于構(gòu)建各種失效的模型。例如，永久性故障可以被表示成q=0。間歇性故障可以被表示成q=1。瞬時(shí)故障可以標(biāo)示為0p1。本文中

46、，我們關(guān)注瞬時(shí)故障。圖5為瞬時(shí)故障的狀態(tài)轉(zhuǎn)換圖。我們?cè)u(píng)估了三個(gè)方法，sm（單模），tmr（三模冗余）和狀態(tài)tmr（狀態(tài)三模冗余）在我們的仿真中。sm即沒(méi)有冗余模塊的情況，也就是說(shuō)只有一個(gè)模塊存在。另外，我們?cè)谧疃?000個(gè)單位時(shí)間中完成仿真。 圖. 5瞬時(shí)故障的狀態(tài)轉(zhuǎn)換圖4.2 仿真結(jié)果仿真結(jié)果如圖6-8，取p常數(shù)0.01，q在0.001到0.1之間呈log規(guī)律變化。圖顯示了取q=0.001的仿真結(jié)果，在qp的情況下，系統(tǒng)在實(shí)際應(yīng)用中穩(wěn)定，tmr和狀態(tài)tmr都比sm優(yōu)。而狀態(tài)tmr比tmr更加可靠，雖然區(qū)別比較小。圖. 8 p=0.01,q=0.1在p=0.01的情況下，狀態(tài)tmr和tmr的區(qū)

47、別表現(xiàn)得更加清楚。在較低修復(fù)率的情況下，狀態(tài)tmr明顯優(yōu)于tmr；在較高修復(fù)率的情況下，狀態(tài)tmr與tmr并無(wú)明顯差別。5討論表. 1tmr對(duì)比狀態(tài)tmr表.1總結(jié)了tmr和狀態(tài)tmr與單模系統(tǒng)的比較趨勢(shì)。tmr在故障率低的情況下可靠性明顯高于單模系統(tǒng)。當(dāng)故障率高時(shí)，tmr只有在修復(fù)率也高時(shí)才更加可靠。另一方面，不論修復(fù)率和故障率如何，狀態(tài)tmr可靠性維持較高水平。表. 2失敗率對(duì)比恢復(fù)率表.2總結(jié)了p和q的關(guān)系對(duì)結(jié)果的影響。當(dāng)故障率高于修復(fù)率時(shí)，tmr的可靠性降低，有時(shí)甚至低于單模系統(tǒng)。然而狀態(tài)tmr在最嚴(yán)峻的情況下能保持可靠性。當(dāng)p和q幾乎相等時(shí)，tmr和狀態(tài)tmr都優(yōu)于單模系統(tǒng)，而狀態(tài)t

48、mr可靠性更佳。當(dāng)p小于q時(shí)，tmr和狀態(tài)tmr都明顯優(yōu)于單模，兩者差別不大。通過(guò)比較狀態(tài)tmr和tmr，狀態(tài)tmr明顯比tmr更加可靠，然而，當(dāng)修復(fù)率高于故障率時(shí)，兩者之間的差別甚微。我們可以通過(guò)選擇不同的方式找到最合適的結(jié)果用于降低花費(fèi)。tmr的可靠性在短時(shí)間內(nèi)高于sm。而最終其可靠性反而不如sm。這并不表示tmr毫無(wú)用處，事實(shí)上，tmr常常用于屏蔽最初的錯(cuò)誤。但是，最終可靠性區(qū)別于暫時(shí)可靠性?？傊?，狀態(tài)tmr并不適合于獲得最終可靠性。現(xiàn)在我們展示sm和tmr的簡(jiǎn)單可靠性分析。分別取rsm(t) 和rtmr(t)作為sm和tmr的可靠性值。rsm(t)=prsm(t-1)+q(1-rsm(

49、t-1) (1)rtmr(t)= 3rsm(t)2 -2rsm(t)3 (2)tmr的可靠性計(jì)算需要用到sm的可靠性。如果rsm(t)小于0.5，rtmr(t)小于rsm(t)。因此，tmr的可靠性有時(shí)低于sm。狀態(tài)tmr同樣有時(shí)低于sm。最終我們討論關(guān)于狀態(tài)tmr的問(wèn)題。狀態(tài)tmr并不總優(yōu)于tmr。如果兩個(gè)狀態(tài)交換即時(shí)出現(xiàn)，狀態(tài)tmr不能檢測(cè)。例如，取當(dāng)前狀態(tài)為（n,n,f），下一個(gè)狀態(tài)為（n,f,n）。在這種情況下，tmr能檢測(cè)到當(dāng)前應(yīng)答但是狀態(tài)tmr采用不正確應(yīng)答。如果修復(fù)率非常高，這樣的情況會(huì)常常發(fā)生。6. 結(jié)論本文中，我們?cè)u(píng)估了用于瞬時(shí)故障的狀態(tài)tmr。在大多數(shù)情況下，狀態(tài)tmr是非

50、?？煽坎⑶页３Ｊ亲罴芽煽康摹Ｈ欢?，當(dāng)修復(fù)率相對(duì)低于故障率時(shí)，狀態(tài)tmr的可靠性降低并且最終低于單模。然而，在這樣的情況下，tmr較狀態(tài)tmr更低?？偠灾?，狀態(tài)tmr優(yōu)于tmr當(dāng)且僅當(dāng)修復(fù)率較低。作為將來(lái)的工作，我們應(yīng)用狀態(tài)tmr于raid。它能提升大容量存儲(chǔ)的可靠性例如云存儲(chǔ)。參考文獻(xiàn)1 d. k. pradhan, “fault-tolerant computer system design,” prentice hall, new jersey, 19962 m. abd-el-barr, “design analysis of reliable and fault-tolerant c

51、omputer system,” imperial college press, london, 20073 k. matsumoto, m. uehara, and h. mori, “proposal of stateful reliability counter in small-world cellular neural networks,” in proc. of 3rd international conference on complex, intelligent, and software intensive systems, 2009, pp.154-1614 k. mats

52、umoto, m. uehara, and h. mori, “evaluation of stateful reliability counter in small-world cellular neural networks,” in proc. of 2009 international conference on network-based information systems, 2009, pp.417-4235 g. latif-shabgahi, and s. bennet, “adaptive majority voter: a novel voting algorithm

53、for real-time fault-tolerant control systems,” 25th euromicro conference volume 2, 1999, pp. 2113-2120stateful tmr for transient faults katsuyoshi matsumoto, minoru uehara and hideki mori 2100, kujirai, kawagoe, saitama, 350-8585, japan abstractmodule redundancy is often used as a method of construc

54、tion a reliable system. tmr is used as the method of improving reliability by module redundancy. however, tmr does not decide correct result when two of three modules fail. therefore, we proposed a new architecture of voting termed as stateful tmr. it uses the result of tmr and state of the history,

55、 to select the most reliable module. by the simulation, we evaluate reliability of module with tmr and stateful tmr in case of tmr obtained higher reliability than tmr for both failures. key words: tmr, stateful tmr, reliability, voting, voter, transient faults 1. introduction the recent systems are going to be very complex. and the roles of the systems are extended widely. if such a system is failed, the risk is very large. in order to avoid such a risk, the reliability of the system must be increased. redundancy is wel