基于雙主機冗余的顯示控制系統(tǒng)設計

0 引言

隨著航空電子設備的不斷發(fā)展，對可靠性的要求越來越高。顯示控制系統(tǒng)應用在航空電子控制系統(tǒng)中，主要完成數據通信、數據處理、圖形顯示和系統(tǒng)控制等功能，是人機交互的窗口，是重要的系統(tǒng)控制部件之一。由于顯示控制系統(tǒng)的特殊功能地位，要求顯示控制系統(tǒng)具有連續(xù)、穩(wěn)定、可靠的工作特性。為了提高顯示控制系統(tǒng)的可靠性，本文采用余度技術，即對系統(tǒng)進行雙冗余設計來提高系統(tǒng)的可靠性、穩(wěn)定性。

1 冗余理論

冗余理論來源于自動控制系統(tǒng)可靠性研究，其核心內容是如何最大限度地提高系統(tǒng)的可靠性。自動控制系統(tǒng)是由許多元部件組成的，元部件的組合方式與系統(tǒng)可靠性有十分密切的關系，冗余設計就是在控制系統(tǒng)中增加備用的關鍵元部件，當系統(tǒng)發(fā)生故障時，控制系統(tǒng)通過故障控制策略啟動備用部件，來保證系統(tǒng)的正常運行，避免了單點故障造成的系統(tǒng)部分或全部功能的失效。

但冗余設計也不是一味地增加備份部件，備份部件的增加一方面增加了系統(tǒng)的復雜度、控制的復雜度，另一方面也增加了系統(tǒng)成本、功耗、重量，而且冗余設計的不合理，也可能降低系統(tǒng)的可靠性。

2 顯示控制系統(tǒng)

2.1 系統(tǒng)構成

顯示控制系統(tǒng)的主要功能是完成數據通信、數據處理、圖形顯示和系統(tǒng)控制。系統(tǒng)構成包括：控制模塊、I/O模塊、A/D模塊、電源模塊、液晶顯示器以及鍵盤。系統(tǒng)各模塊的主要功能：控制模塊是系統(tǒng)的控制中心，和I/O模塊，A/D模塊進行通信，并且完成數據的處理和系統(tǒng)控制，同時負責數據的顯示和接收鍵盤指令完成相應的動作;I/O模塊主要完成數據的處理和數據的通信功能;A/D模塊主要完成數據的裝換和數據的采集功能;電源模塊主要完成電壓的轉換功能;液晶顯示主要完成圖形的顯示功能;鍵盤主要完成用戶按鍵指令的接收功能。

2.2 雙主機冗余設計

依據冗余理論，對顯示控制系統(tǒng)進行了詳細的分析，控制模塊和I/O模塊，A/D模塊和顯示器以及鍵盤都有交聯關系，是系統(tǒng)的控制中心，屬于系統(tǒng)的關鍵部件，因此控制模塊也采用雙余度設計來保證系統(tǒng)的可靠性。同時綜合考慮系統(tǒng)的功耗、重量以及成本等因素，I/O模塊、A/D模塊、電源模塊由于工作任務單一，交聯關系簡單，因此采用單余度設計。雙主機冗余顯示控制系統(tǒng)硬件架構如圖1所示。

控制模塊是整個顯示控制系統(tǒng)的核心單元，絕大多數的控制任務都由它來完成。控制模塊可以冗余配置，也可單模塊工作。如果是冗余配置，一個模塊作為主控模塊，另一個作為備控模塊;如果是單模塊配置，不管是配置那一個通道的模塊都作為主控模塊工作。兩個控制模塊具有相同的硬件配置和運行同樣的軟件程序。

冗余配置的兩塊控制模塊，一個運行在主控模式，另外一個運行在備控模式，它們是一個熱備份的關系。它們都能訪問I/O模塊和A/D模塊，但主控模式下的控制模塊起著控制系統(tǒng)、圖形顯示、接收鍵盤指令等決定性的作用;備控模式下的控制模塊執(zhí)行診斷和監(jiān)視主控模塊狀態(tài)的好壞，通過周期查詢運行中的主控模塊的狀態(tài)并且實時接收主控模塊發(fā)送的全部運行信息，但是它不輸出圖形信息，不接收鍵盤指令。備控模塊實時保存最新的系統(tǒng)控制數據，以保證主/備切換的無縫連接。

3 冗余管理

3.1 優(yōu)先權確定

冗余系統(tǒng)優(yōu)先權設置通常采用三種方法：軟件設置、通道競爭和外部硬件設置。在設計中一般不采用軟件設置，因為軟件的決策周期長、實時性差、可靠性較低，并且通道之間的互換性降低;第二種方法是通過通道競爭電路獲取通道優(yōu)先權，但是雙余度系統(tǒng)沒有必要設置此競爭邏輯;第三種方法直接采用外部硬件設置決定優(yōu)先權，此方法簡單可靠。本設計中控制器采用外部硬件設置優(yōu)先權的方法，機箱中通道A設置為主控通道，通道B設置為熱備份通道。

3.2 故障檢測

3.2.1 在位狀態(tài)檢測

冗余配置的兩個控制模塊，插入機箱通電正常工作后，會通過硬連線互相報告在位狀態(tài)。如果主控模塊未在位或者未正常工作，則備控模塊上電正常工作后可以檢測到主控模塊故障，自動切換成主控模塊，行使主控模塊的角色。如果是備控模塊未在位或者未正常工作，則主控模塊上電正常工作后可以檢測到備控模塊故障，并且將故障狀態(tài)顯示到顯示器上，上報用戶。

3.2.2 硬件狀態(tài)檢測

兩個控制模塊，正常工作后都周期性地運行檢測程序，對模塊的硬件資源、外圍接口等狀態(tài)周期性地檢測，一旦發(fā)現故障，就將故障信息上報給主備切換控制邏輯，由主備切換控制邏輯來決策是否進行主備切換。

3.2.3 軟件狀態(tài)檢測

通過看門狗來檢測主備模塊的軟件運行狀態(tài)，軟件任務周期性地進行喂狗操作，如果軟件運行出現故障，則會觸發(fā)看門狗狗叫，一旦主控模塊發(fā)生狗叫，則立即切換到備控模塊工作。

3.3 主備切換

主備模塊的切換是由硬件邏輯來控制完成的，具有快速性和穩(wěn)定性。兩個控制模塊之間通過硬件連線互通狀態(tài)信息，當主控模塊發(fā)生故障時，由硬件邏輯控制自動完成切換，并且通過硬件連線把狀態(tài)信息上報給當前的主控模塊。切換方式包括自動切換和強制切換。自動切換是由模塊內部的邏輯控制，根據模塊運行的狀態(tài)信息來判斷，自動完成切換，不需要外部干預。強制切換是由操作人員根據自身對當前系統(tǒng)運行狀態(tài)的判斷，通過離散量開關的方式強制執(zhí)行切換。主備切換狀態(tài)轉換圖如圖2所示。

4 總結

采用雙主機冗余的顯示控制系統(tǒng)，具有故障檢測、自動故障切換控制的能力，提高了系統(tǒng)的可靠性。雙主機冗余設計在一定程度上增加了系統(tǒng)的復雜度、功耗、重量以及成本，但是能夠換來相對較高的可靠性，系統(tǒng)工作的連續(xù)性，能夠滿足航空電子設備的高可靠性要求。