关键计算即在计算机系统出现两个或两个以上故障时仍能正确运行的计算。
定义
关键计算即在计算机系统出现两个或两个以上故障时仍能正确运行的计算,一般来说,关键计算的应用要采用被动冗余或混合冗余。最高的可靠度往往要采用混合冗余才能达到。
对关键计算系统的特殊需求是要求系统在出现两个或两个以上故障时仍能正确运行。此外,有些关键计算系统还被要求失效多全,即系统在不能维持正确运行时应以安全的方式失效。典型的关键计算系统有五种,分别是容错多处理机(
FTMP)、软件实现容错系统(
SIFT)、铁路信号计算机联锁系统(SMILE)、失效安全铁路信号微机控制系统(SIMIS)和计算机辅助
交通控制系统(COMTRAC)。
典型系统
容错多处理机
容错多处理机(FTMP)是用于飞机控制的计算机。要求任务期为10h在任务期内不可靠度不超过 (相应的可靠度为 )。
FTMP的基本系统结构如图1所示。系统由六个基本部件组成:处理机三重组、系统存储器、实时时钟、控制单元、输入/输出单元,系统总线。
每个
处理机三重组由三个处理机模块组成,这三个处理机执行相同的软件,以一个共用的容错时钟同步。三个处理机的处理结果由多数表决器表决产生正确的结果。三重组内失效的处理机可由系统中的备用处理机顶替。若无备用处理机可用,则三重组退出服务,组内未失效的两台处理机做系统中的备用处理机。
软件实现容错系统
软件实现容错系统(SIFT)与容错多处理机的设计目标相同。它们均用于飞机控制,要求在l0h任务期内,不可靠度不超过 。但两者采用了截然不同的技术途径。FTMP采用了硬件冗余的途径,而SIFT采用了软件冗余的途径。
SIFT的主要优点是:可采用现成的硬件,通过修改软件即可满足系统变化的要求,因此灵活性强。其主要缺点是:相当数量的系统处理能力被用于完成容错功能。
铁路信号计算机联锁系统
铁路信号
计算机联锁系统(SMILE)要求能在发生第一个故障后保持正常工作,在发生第二个故障后能做到失效安全。因此系统除了采用硬件冗余外,还使用了许多失效安全电路。
SMILE的系统结构如图2所示。图2中MVR为多数表决恢复器,FSC为失效安全比较器,OVC为输出表决电路,INC为输入电路,WDT为监视器,MCC为模式控制电路,IFC为接口电路。系统工作原理如下:三台处理机由一个冗余时钟同步,并采用总线级表决,数据、地址和控制信号在三模表决的同时送至一个失效安全比较器,以实现故障定位,并将该信息传给模式控制电路。系统一开始工作在三模状态,当某一CPU失效后,模式控制电路就使系统降级为一个双机比较系统。在双机状态下若又检测到某一CPU失效,则整个系统停止工作,输出倒向安全侧,为了确保系统的寄令件。存最后输出控制信号处又加了一个失效安全表决器。
失效安全铁路信号微机控制系统
失效安全铁路信号微机控制系统(SIMIS)也是一个用于铁路信号控制的
微机联锁系统。与SMILE比较,该系统的容错性能较弱,但其失效安全性能极强。系统结构如图3所示。图3中:G为公共
时钟发生器,SPG为控制
脉冲发生器,COMP为比较器,R为继电器。
这是一个双机系统,为确保两台微机不相互影响,应妥善地绝缘和屏蔽,每台机器有各自的电源。为了防止比较装置成为整个系统的弱点,此系统用了两个相同的比较器。这样,只有当两个比较器和两台微机都出故障时,才有可能错误通电,这就使得系统有极高的安全性。机器内部有定期执行的自诊断程序以检测故障。为了实现同步,两台微机都有一个控制脉冲发生器SPG,它可靠地监视公其时钟发毕器G的脉冲并据此而为微机和比较器产生控制脉冲。SPG产生控制脉冲的条件是:前一处理步骤中所用的控制脉冲正确,比较器已宣布两个总线信号一致,微机的5V电源电压在允许范围内,以及G的时钟脉冲在正确时间到达。若有一个条件不满足,SPG就不发出控制脉冲,整个系统安全失效。
计算机辅助交通控制系统
计算机辅助
交通控制系统(COMTRAC)是为控制日本铁路高速列车而设计的。系统由3台对称连接的计算机构成,如图4所示。图4中:BPU为基本处理机,IOP为输入/输出处理机,DSC为双重
系统控制器,STR为用于系统控制的16位寄存器。系统中有两台计算机(BPU加IOP)在程序任务级同步工作,第三台计算机当做备用。