一種高可信賴測控計算機的設計與實現(xiàn)

圖1中，系統(tǒng)啟動時默認將計算機A作為主系統(tǒng)輸出，計算機B作為熱備機使用。A機與B機并行執(zhí)行相同的計算，且A機和B機各有獨自的外圍控制邏輯和外設，既不會引起系統(tǒng)資源的競爭，又增加了整體系統(tǒng)的穩(wěn)定性。當然，這樣是以花費更多的硬件設施為代價的。主備用機之間的切換用專門設計的仲裁檢測電路來實現(xiàn)。仲裁檢測電路根據(jù)A機與B機周期向它發(fā)送的自檢信號來判斷A機系統(tǒng)與B機系統(tǒng)運行的狀況，并控制切換開關K1、K2的操作。①如果A機與B機均正常運行，則將A機的運行結果作為系統(tǒng)輸出；②如果A機正常而B機故障，亦將A機的運行結果作為系統(tǒng)輸出，同時將B機的運行故障狀態(tài)報告給A機，并向B機進行復位控制操作；③如果A機故障，B機正常，則進行開關切換操作，將B機的運行結果作為系統(tǒng)輸出，同時將A機的運行故障狀態(tài)報告給B機，并向A機進行復位控制操作(所有的操作過程均作為日志文件保存在系統(tǒng)內(nèi)，停機后根據(jù)日志記錄將故障機轉入維修)；④如果A機與B機均故障，則由仲裁電路發(fā)出報警信號，表明系統(tǒng)不可用。

2 設計方案及系統(tǒng)結構
本系統(tǒng)的設計目標是實現(xiàn)一個機載燃油測量嵌入式容錯管理控制系統(tǒng)，用于機載燃油系統(tǒng)的測量、管理和控制，采用雙機熱備系統(tǒng)模型。設計內(nèi)容主要包括熱備份雙工的硬件設計，數(shù)據(jù)采樣和驅動程序設計，并提供在嵌入式實時多任務操作系統(tǒng)之上的應用編程接口。系統(tǒng)的主要功能包括提供系統(tǒng)基本狀態(tài)自診斷(自測試)、系統(tǒng)硬件監(jiān)控、系統(tǒng)總線超時監(jiān)控、提供系統(tǒng)單點故障容錯、系統(tǒng)雙機切換等。同時，為了與其它最新的航空設備進行數(shù)據(jù)交換，系統(tǒng)還要求提供ARNIC429和1553B等高級接口。
采用的方案系統(tǒng)框圖如圖2所示。在圖2中，數(shù)據(jù)采集到A/D轉換后，A、B兩機同時對采集到的數(shù)據(jù)進行處理。當某一通道發(fā)生故障時，系統(tǒng)自動切換到另一通道進行工作。仲裁電路自動使故障通道的數(shù)據(jù)輸出設置為高阻態(tài)，將其它接口的使能端設置為無效。

2.1 主控機系統(tǒng)
主控機系統(tǒng)采用的系統(tǒng)時鐘為50MHz的MPC860P。它的總線接口的工作電壓是 3.3V，兼容5V TTL電平。
MPC860 PowerQLJlCC微處理器是一個多用途的通用芯片，內(nèi)部集成了微處理器和常用外圍組件，可用于各種控制領域，特別適用于通信產(chǎn)品。MPC860集成了嵌入式PowerPC核和一個為通信使用的專門的RISC的通信處理器模塊(CPM)。MPC860的CPM支持6個串行通道(4個串行通信控制器SCC、2個串行管理控制器SMC、1個I2C(Inter-Integrated Circuit)接口和1個串行外圍接口電路(SPI)。MPC860還提供1個快速以太網(wǎng)控制器，可以支持10Mbps到100Mbps的以太網(wǎng)。由于CPM分擔了嵌入式PowerPC核的外圍工作任務，這種雙處理器體系結構比傳統(tǒng)體系結構的處理器具有更高的效率和更高的可靠性。圖3為主控系統(tǒng)結構。

圖3中，MPC860P內(nèi)部的串行管理控制器SMCl和SMC2分別用來作為R$232和RS485的UART接口，4個串行通信控制器(SCc1、SCC2、SCC3、SCC4)用于控制Rs-422接口。所有的存儲器及外部存儲設備均通過存儲器控制器與MPC860P接口。
MlPC860P通過內(nèi)存控制器GPCM與SRAM建立接口。這里選用的是三星公司的K6X8008C2B，用4片8位組成32位SRAM數(shù)據(jù)總線供系統(tǒng)使用。 對于Flash閃存配置的設計方案，將其分成兩塊：一塊用來裝載引導系統(tǒng)啟動的PPcB00T及裁減后的CRTOS 2.0操作系統(tǒng)；一塊用來放置上層應用程序，作為用戶數(shù)據(jù)區(qū)域，保存每次飛機起飛降落中的燃油數(shù)據(jù)。Flash選擇Intel公司的28F640J3A，BGA封裝。這塊芯片有23根地址線，16根數(shù)據(jù)線，容量為8MB，128KB的可擦除塊；擦除塊之間相互獨立，每一塊的擦除操作可在1s內(nèi)完成，并可單獨被擦寫100 000次；支持8位及16位兩種數(shù)據(jù)寬度工作模式，通過其上的麗位的高低電平來選擇。在采用8位數(shù)據(jù)寬度模式時，BRTE位置低位，有效地址線為A0～A22；采用16位數(shù)據(jù)寬度模式時，BYTE位置高位，此時A0位懸空無效，有效地址線為A1～A22。在此我們采用16位數(shù)據(jù)寬度模式。
由此看到MPC860的強大通信功能。我們將SCC1到SCC4四個通信口作為4個RS422通信口，選用TI公司的AM26LS32(接收器)和AM26LS31(發(fā)送器)。其均遵從ANSIEIA/TLA-422-B規(guī)范，采用十5V工作電源，兼容TTL電平，16引腳DIP封裝。AM26LS32在通用模式下輸入電平范圍可達7V，靈敏度可達200mV，三態(tài)輸出。用仲裁電路的仲裁控制輸出TS1GATE和TSIGATE來控制AM26LS32和AM26LS31的工作使能端，以達到控制雙機競爭通信信道的目的。
將SMCl配置成一個RS232C口，器件選用引腳完全及功能完全與之兼容的MAx232芯片。
將SMC2配置成一個RS485，以便與其它航空設備通信。器件選用MAx485，8引腳SO封裝。由于采用二線制方式，半雙工通道，設計上用經(jīng)過16244驅動的CPU讀寫信號BRD/WR來連接MAX485的面和DE端，以此達到控制MAx485的發(fā)送和接收狀態(tài)。
為了使系統(tǒng)具有更強的兼容能力，還提供了目前兩個航空通信標準接口一ARNIC429和1553B。
為實現(xiàn)1路ARINC429通信接口，選用Intersil公司的HS-3282及HS-3181芯片。HS-3282是429總線通道控制器，主要控制429接口與CPU端的接收與發(fā)送，40引腳DIP封裝。因為外圍控制邏輯及片選比較復雜，因此設計在FPGA內(nèi)部來實現(xiàn)。HA-3281是429總線的電平控制驅動器，其實現(xiàn)429與通信信道的電平轉換與物理連接。429通道的接收分別占用CPU的IRQ5和Q6中斷源。
為實現(xiàn)1路1553B總線接口，選用DDC公司的BU-61580總線控制芯片，+5V工作電壓，完全集成MIL-STD-1553接口及終端，靈活的處理器及內(nèi)存配置接口，內(nèi)配標準4K16RAM。由于在設計中給其分配的地址空間范圍內(nèi)有多個外設，所以在FPGA用CS7加上一定的地址經(jīng)譯碼后產(chǎn)生的信號BU SEIECT作為Bu-61580的片選信號。由于此芯片工作需要獨立的16MHz時鐘信號源，因此采用一個有源的16MHz石英振蕩器。
2.2 仲裁電路
仲裁電路是為保證雙機熱備系統(tǒng)的正常工作及出錯板極切換而設計的，所以尤為重要。
(1)設計思路
用兩個可編程計數(shù)器不斷對時鐘脈沖進行計數(shù)，當?shù)竭_預定計數(shù)值而未收到CPU端ACtive信號時，則在計數(shù)輸出端產(chǎn)生從低電平到高電平的躍變。該變化通過門電路決定是否觸發(fā)用于切換輸出信號的觸發(fā)器，同時給出故障警示脈沖信號。
(2)電路邏輯說明
如圖4所示，晶振和兩個非門組成的自激多諧振蕩器產(chǎn)生的時鐘脈沖(32.768kHz)，分別送到兩個可編程計數(shù)/分頻器54LS292的時鐘輸入端。兩者的計數(shù)分頻值均被設為，因此定時周期為2s，則計數(shù)器Q端在半個周期即1s時翻轉。如超過該時間而CLRN未收到從CPU板送來的Active信號(下降沿有效)，則會在Q輸出上升沿。兩個Q端輸出分別送到兩個與非門用于判斷是否輸出觸發(fā)J-K觸發(fā)器的下降沿信號。當有超時信號輸出的這一邊正好是其輸出有效的一邊時，其送往的與非門的另一輸入必為高。這時觸發(fā)信號產(chǎn)生，觸發(fā)器被觸發(fā)而產(chǎn)生切換。反之，當有超時信號輸出的這一邊不是其輸出有效的一邊，則其送往的與非門的另一輸入必為低，這時不產(chǎn)生觸發(fā)信號，不發(fā)生切換。在兩種情況下產(chǎn)生的超時信號都被送往兩個與非門組成的組合邏輯電路，用于輸出故障警示脈沖到當前正常工作的CPU板的A1arm端，同時這個信號也作為發(fā)生故障的CPU板的復位信號送往對應的CPU復位端。

2.3 其它硬件部分的設計
本系統(tǒng)的硬件設計部分還包括A/D和D/A轉換、頻率計數(shù)輸入端口、開關量轉換電路、掉電保護電路、測試診斷電路等。由于測試診斷電路涉及的內(nèi)容較多，故在此未贅述，僅對前四部分作簡要介紹。
為實現(xiàn)A、B通道的64路A/D采集模擬開關控制電路(其中四路用作器件工作狀態(tài)測試)，選用ADl674作為A/D轉換器件。AD1674是美國模擬器件公司(Analog Devices)生產(chǎn)的12位精度逐次逼近型快速A/D轉換器，為其公司經(jīng)典轉換器AD574A的升級產(chǎn)品。轉換速度僅為10 u s，轉換精度≤005％，片內(nèi)配有三態(tài)輸出緩沖電路，因而可直接與各種典型的微處理器相連接，而無須附加邏輯接口電路，且能與CM0S及TTL電平兼容。另外其片內(nèi)自帶采樣保持電路，保證了A/D采樣的準確性和穩(wěn)定性，可直接與被轉換的模擬信號相連。由于ADl674片內(nèi)包含高精度的參考電壓源和時鐘電路，這使它在不需要任何外部電路和時鐘信號的情況下能完成一切A/D轉換功能。
本系統(tǒng)中的4路頻率端口信號量(FQ0～FQ3)經(jīng)4路差分比較器整形成4路標準TTL方波信號(FQINO～FQIN3，門限以TTL電平為準)，后送入CPU計數(shù)器計數(shù)。差分比較器選用TI公司的LMl39芯片。其支持單極和雙極輸入，寬電源輸入(+2V～+36V)，差分輸入電壓范圍可達36V，輸出電平兼容TTL、MOS、CMOS，內(nèi)部集成4通道比較器，采用14引腳DIP封裝。
根據(jù)系統(tǒng)工作環(huán)境，32路離散量的輸入采集信號及輸出控制信號均為+28V；而MPC860的工作電壓為3.3V輸入電平兼容+5V，涉及到高低電平的隔離控制，因此設計中采用光耦器件來實現(xiàn)。我們選用Toshiba公司的TLP521-4，片內(nèi)集成4路耦合通道，整個系統(tǒng)輸入輸出共需16片，集電極至發(fā)射極最高電壓+55V，片內(nèi)二極管正向電流最大50mA，功耗150mW，16引腳DIP封裝。
根據(jù)方案要求，系統(tǒng)在掉電時需要提供短時間的電 源以作系統(tǒng)數(shù)據(jù)保存工作。這里選用Maxim公司的 MAx79l電路監(jiān)控芯片，采用IRQ1中斷源，配合大容量 的電解電容作為后備電源。
2.4系統(tǒng)自診斷輔助電路
為了配合系統(tǒng)自診斷程序的工作，設計了以下四個 方面的輔助電路測試電路。
(1)模擬量輸入測試模塊
通過提供一個檢測用模擬信號，作為多路模擬開關的一路輸入信號。經(jīng)A/D轉換后，將數(shù)據(jù)送入CPU進行比較檢測，便可得知模擬信號輸入模塊是否正常工作。
(2)A/D本身的故障定位
各種典型的A/D轉換器，都有兩個重要的信號引腳START和EOC(以常用的AD0809為例)，前者為輸入信號，高電平有效。此信號上升沿清除ADC內(nèi)部寄存器，在下降沿時啟動內(nèi)部控制信號，開始A/D轉換工作。另一信號EOC是轉換結束信號，高電平有效，為輸出信號。當一次A/D結束時，此引腳輸出高電平。在A/D轉換過程中為低。我們可以利用它來測試A/D是不是正常工作。具體到我們系統(tǒng)所選用的芯片AD574而言，它的EOC信號引腳稱為STS。不同的是，A/D轉換過程中為高電平，轉換結束為低電平。
(3)頻率輸入測試模塊
本模塊主要由頻率輸入調(diào)整及MPU構成。MPC860發(fā)出基準頻率后輸入調(diào)整模塊后再送入MPC860內(nèi)部頻率計數(shù)器進行計數(shù)及比較。
開關量輸入測試模塊。本模塊通過MPU主動發(fā)出一個數(shù)據(jù)信號，經(jīng)由開關量輸入模塊通道后再返回CPU內(nèi)部進行比較。如果與原來發(fā)出的開關量相符，為正常工作狀態(tài)。
(4)通信端口測試模塊
主要思想是通過引入一個類似于雙刀雙擲的電子開關，然后讓系統(tǒng)發(fā)信息給自己。能正常接收為正常工作，反之表明系統(tǒng)有錯。

3 總 結
本文所設計的機載燃油雙機熱備份測控計算機系統(tǒng)，已實現(xiàn)預期容錯功能，具有通用性強，系統(tǒng)可靠性高、功耗低等諸多特性。目前，該系統(tǒng)在嵌入式安全實時操作系統(tǒng)CRT0S2.0的支持下，正在開發(fā)燃油測控和管理等更多的上層應用軟件。