Отказоустойчивость микропроцессорных систем Основные принципы и мероприятия

Отказоустойчивость и надежность микропроцессорных систем обеспечиваются комплексным применением технических средств и организационных мероприятий.

К техническим средствам следует отнести комплектующие изделия с соответствующими техническими характеристиками: температурной и электрической устойчивостью.

К организационным мероприятиям следует отнести комплекс мероприятий, осуществляемых на стадии проектирования структурных схемных решений и алгоритмов функционирования.

Основными принципами повышения надежности систем являются: разбиение на части, резервирование и их сочетание. Каждый из используемых принципов обладает как достоинствами, так и недостатками, которые постоянно переоцениваются в соответствии с текущим положением в развитии науки и техники.

Первым принципом повышения надежности является разбиение системы на отдельные узлы, по возможности, функционирующие самостоятельно (независимо друг от друга). Это позволяет избежать отказа всей системы в целом при частичном отказе одного или нескольких узлов. Особенно наглядно это проявляется в больших и сложных системах, где при правильном проектировании удается ликвидировать негативное влияние отказавшей части системы на остальные и продолжать работу с пониженными ресурсами (снижение производительности или числа каналов контроля параметров, управления и регулирования).

Разбиение системы может рассматриваться как на аппаратном, так и на программном уровне. Однако при этом следует особое внимание уделять взаимодействию частей для обеспечения общих функций системы.

На аппаратном уровне дополнительно к разбиению на части используют принцип резервирования: дублирование и даже утроение (для наиболее ответственных систем).

На программном уровне настоятельно рекомендуется (а для большинства применений регламентируется) использование принципа многозадачности. В наибольшей степени этому отвечают так называемые операционные системы реального времени, ставшие стандартом для промышленного применения.

Пример бортовой вычислительной системы

Рассмотрим в качестве примера бортовую вычислительную систему [9] (рис. 31), разработанную на основе унифицированных устройств промышленной автоматики (процессоров MicroPC) с использованием следующих основных принципов:

• архитектура вычислительной системы является распределенной с резервированием аппаратными средствами;

• отказоустойчивый бортовой компьютер реализуется на основе MicroPC;

• встраиваемый в систему контроллер выполнен на СБИС микроконтроллера;

• объединение систем осуществляется через локальную сеть на базе интерфейса RS-485;

• используются индивидуальная конструктивная защита и стойкие комплектующие;

• вычисления автоматически возобновляются после сбоев;

• модифицированное программное обеспечение синхронизирует работу компьютера и встроенных контроллеров в рамках единого временного цикла.

Отказоустойчивый бортовой компьютер (рис. 32) компонуется из трех одинаковых комплектов, объединенных внутренней кабельной сетью, использующей встроенные каналы LPT. Каждый комплект состоит из процессорной платы, системного узла и узла питания.

В системном узле реализованы:

• мультиплексор каналов LPT для обеспечения обмена между комплектами;

• устройство поддержки отказоустойчивости;

• мультиплексор требований прерываний;

• устройство приема/выдачи сигналов системной синхронизации.

Узел питания включает:

• модули и преобразователи питания;

• фильтры и устройства защиты от короткого замыкания в нагрузке;

• датчики («питание в норме»).

Всеми комплектами, как пра­вило, выполняется одинаковая про­грамма, синхронизируемая по внешним синхросигналам, однако выдавать информацию в сеть або­нентам может только один из ком­плектов – ведущий. Остальные блокируются аппаратно. Выбор комплекта ведущим осуществля­ется системным программным обеспечением в результате:

• самотестирования;

• взаимного тестирования;

• обработки текущей информации;

• сохранности информации в ЗУ;

• оценки другими комплектами выдаваемой ведущим информации при «под­слушивании»;

• сравнения информации, принятой разными комплектами;

• повторного просчета или просчета по другой программе.

Все перечисленные факторы влияют на формирование слова состояния отказоустойчивого компьютера и анализируются устройствами поддержки отказоустойчивости в каждом комплекте.

В случае обнаружения сбоев или отказов «ведущим» назначается дру­гой комплект, а для отказавшего начинает выполняться программа реабили­тации: восстановление хода вычислений, восстановление искажений в сис­темных или целевых программах, перезагрузка программ.

При обнаружении аварийной ситуации по питанию соответствующая схема защиты отключает его на несколько секунд, после чего автоматически делается попытка восстановления.

Целевые системы общаются с отказоустойчивым бортовым компьюте­ром (ОБК) и другими абонентами с помощью встраиваемых контроллеров и дублированных каналов (RS-485) обмена информацией. Каждый комплект может принимать информацию с двух других каналов, обеспечивая режим «подслушивания» для оценки достоверности. Выдавать информацию может только один – ведущий.

В процессе работы системы обеспечивается постоянное выполнение фоновых и технологических тестов.

Встраиваемый контроллер (рис. 33), в отличие от компьютера, не имеет развитой аппаратной поддержки отказоустойчивости, но устанавливается в полукомплект абонента сети, имеющего «холод­ный резерв». Вычисли­тельные возможности контроллера ориентиро­ваны на непо­средствен­ное управление аппара­турой абонента и рутин­ную первичную об­ра­ботку данных, т. е. ре­шают проблему согласо­вания с системами и раз­гружают ОБК от про­грамм жесткого реаль­ного вре­мени. Про­грамма записана в ПЗУ. Системное ПО контроллера включает только многозадачный мо­нитор, про­грамму межпро­цессорного обмена через канал RS-485, программы под­держки сети и тесты.