計(jì)算機(jī)體系結(jié)構(gòu)論文

計(jì)算機(jī)體系結(jié)構(gòu)計(jì)算機(jī)體系結(jié)構(gòu) 期末考試論文期末考試論文 題 目 一種容錯(cuò)實(shí)時(shí)計(jì)算機(jī)體系結(jié)構(gòu)的研究與實(shí)現(xiàn) 信息工程學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)級(jí) 147 班 學(xué) 號(hào) 姓 名 指導(dǎo)教師 成 績(jī) 完成時(shí)間 2015 年 12 月 一種容錯(cuò)實(shí)時(shí)計(jì)算機(jī)體系結(jié)構(gòu)的研究與實(shí)現(xiàn) 摘 要 為滿足對(duì)安全關(guān)鍵領(lǐng)域日益增長(zhǎng)的可靠性需求 通過(guò)對(duì)容錯(cuò)關(guān)鍵技術(shù)和 多處理器系統(tǒng)的深入研究 提出了一種基于松耦合多處理器體系結(jié)構(gòu)的雙機(jī)容錯(cuò)實(shí) 時(shí)嵌入式系統(tǒng)設(shè)計(jì)方案 該方案無(wú)縫整合了計(jì)算機(jī)硬件級(jí) 操作系統(tǒng)級(jí) 應(yīng)用級(jí)的 容錯(cuò)技術(shù) 以達(dá)到從整體上提高系統(tǒng)可靠性的目的 然后 利用馬爾科夫狀態(tài)圖法 對(duì)該系統(tǒng)進(jìn)行了可靠性分析和數(shù)值模擬 結(jié)果表明該設(shè)計(jì)方案能顯著地從整體上提 高系統(tǒng)的可靠性水平 關(guān)鍵詞 雙機(jī)熱備份 容錯(cuò) 實(shí)時(shí)嵌入式系統(tǒng) 可靠性 Design and Implementation of a Fault Tolerance Real Time Computer Architecture Abstract Based on fault tolerance technique and multi processors system a fault tolerance real time embedded dual system solusion is put forward in this paper The proposed solusion is based upon the loosely coupled multiprocessors architecture this architecture seamlessly integrates the fault tolerance design techniques of hardware level operating system level and application level The system reliability is analyzed by the Markov state diagram The results show that the design scheme can enhance the system reliability remarkably Key words duplicated hot backup fault tolerant real time embedded system reliability 隨著計(jì)算機(jī)技術(shù)的日益成熟 以及計(jì)算機(jī)硬件成本的迅速降低 各種結(jié)構(gòu)復(fù)雜 功能強(qiáng)大 的實(shí)時(shí)計(jì)算機(jī)系統(tǒng)被廣泛應(yīng)用于航空航天器 武器裝備 核電監(jiān)控裝置和醫(yī)療設(shè)備等安全關(guān)鍵 系統(tǒng)中 確保這些計(jì)算機(jī)系統(tǒng)的可靠成為人們?nèi)找骊P(guān)注的問(wèn)題 雙機(jī)熱備份設(shè)計(jì)方案可切實(shí)提高系統(tǒng)的可靠性 但它主要針對(duì)硬件錯(cuò)誤 對(duì)于軟件錯(cuò)誤卻 無(wú)能為力 目前 由于硬件制造技術(shù)水平的提高和硬件容錯(cuò)技術(shù)的成熟 軟件錯(cuò)誤成為導(dǎo)致系 統(tǒng)失效的主要原因 據(jù)調(diào)查 在具有硬件容錯(cuò)能力的計(jì)算機(jī)系統(tǒng)中 其失效 65 來(lái)自軟件 早期的實(shí)時(shí)計(jì)算機(jī)系統(tǒng)為特定的應(yīng)用設(shè)計(jì)專用的硬件和軟件 其最大的缺點(diǎn)是軟硬件的耦 合度大 不利于系統(tǒng)可靠性設(shè)計(jì) 特別是軟件錯(cuò)誤容忍設(shè)計(jì) 隨著實(shí)時(shí)操作系統(tǒng)技術(shù)的日益發(fā) 展成熟 實(shí)時(shí)軟件被分離成為實(shí)時(shí)操作系統(tǒng)和實(shí)時(shí)多任務(wù)軟件兩部分 實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)對(duì)硬 件的管理 使得實(shí)時(shí)多任務(wù)應(yīng)用軟件與底層硬件無(wú)關(guān) 這種分層的實(shí)時(shí)計(jì)算機(jī)體系結(jié)構(gòu)為提出 新的實(shí)時(shí)計(jì)算機(jī)容錯(cuò)體系結(jié)構(gòu)提供了契機(jī) 一 雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)的體系結(jié)構(gòu) 雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)體系結(jié)構(gòu)是在考慮雙機(jī)比較系統(tǒng)的基礎(chǔ)上 結(jié)合松耦合多處理機(jī)體系結(jié) 構(gòu) 在實(shí)現(xiàn)系統(tǒng)隔離的同時(shí) 在不同的處理機(jī)間通過(guò)通道互連實(shí)現(xiàn)通信 為在硬件容錯(cuò)中結(jié)合 軟件容錯(cuò)提供可能 雙機(jī)系統(tǒng)的運(yùn)行狀態(tài)定義為 1 如果 A 機(jī)與 B 機(jī)均正常運(yùn)行 則將 A 機(jī)作為主系統(tǒng) B 機(jī) 作為備份使用 A 機(jī)的運(yùn)行結(jié)果作為系統(tǒng)輸出 A 機(jī)運(yùn)行到檢測(cè)點(diǎn) 向 B 機(jī)發(fā)送日志 B 機(jī)更新 日志列表 2 如果 A 機(jī)正常而 B 機(jī)故障 亦將 A 機(jī)的運(yùn)行結(jié)果作為系統(tǒng)輸出 同時(shí)將 B 機(jī)的運(yùn) 行故障狀態(tài)報(bào)告 A 機(jī) 并向 B 機(jī)進(jìn)行復(fù)位控制操作 3 如果 A 機(jī)故障 B 機(jī)正常 則進(jìn)行開 關(guān)切換操作 B 機(jī)進(jìn)行系統(tǒng)備份任務(wù)重調(diào)度 B 機(jī)運(yùn)行結(jié)果作為系統(tǒng)輸出 向 A 機(jī)進(jìn)行復(fù)位控制 操作 并在檢測(cè)點(diǎn)更新 A 機(jī)日志 保持需要備份的任務(wù)的狀態(tài)一致 雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)體系結(jié)構(gòu)結(jié)合嵌入式實(shí)時(shí)系統(tǒng)的體系結(jié)構(gòu) 采用層次結(jié)構(gòu)和模塊結(jié)構(gòu)相 結(jié)合的思想 無(wú)縫整合計(jì)算機(jī)硬件 操作系統(tǒng) 應(yīng)用軟件等三級(jí)容錯(cuò)設(shè)計(jì) 克服了軟 硬件分 離和脫節(jié)的問(wèn)題 可提高系統(tǒng)的靈活性和可移植性 二 雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)的設(shè)計(jì) 雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)體系結(jié)構(gòu)的每一層均可看作是一個(gè)相對(duì)獨(dú)立的子系統(tǒng) 層中包含不同的 功能模塊 結(jié)構(gòu)如圖 1 所示 圖中分別加入了容錯(cuò)通信模塊 Multiprocessor Communication for Fault Tolerance MCFT 實(shí)時(shí)系統(tǒng) Real Time Operating System RTOS 系統(tǒng)級(jí)容錯(cuò)組 件 任務(wù)級(jí)大動(dòng)態(tài)冗余組件 圖 1 雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)體系結(jié)構(gòu) 第一層中加入 MCFT 模塊 作為板級(jí)支持包 Board Support Package BSP 的一部分 也是 硬平臺(tái)的抽象層 可為操作系統(tǒng)提供統(tǒng)一的界面 提高系統(tǒng)的可移植性 有容錯(cuò)需求的任務(wù) 通過(guò) MCFT 所提供的功能傳遞日志 保持主系統(tǒng)和備份系統(tǒng)關(guān)鍵任務(wù)的狀態(tài)和數(shù)據(jù)一致 MCFT 屏蔽了底層通信的具體實(shí)現(xiàn)細(xì)節(jié) 使系統(tǒng)的實(shí)現(xiàn)與連接介質(zhì)無(wú)關(guān) 為保證實(shí)時(shí)系統(tǒng)從硬件故障和永久軟件故障恢復(fù) 采用系統(tǒng)切換方法 在第二層中加入 RTOS 系統(tǒng)級(jí)容錯(cuò)組件 包括系統(tǒng)內(nèi)核級(jí)容錯(cuò)支持組件 主 備用機(jī)切換支持組件和系統(tǒng)自診斷 組件 任務(wù)級(jí)動(dòng)態(tài)冗余模塊被用于嵌入式實(shí)時(shí)系統(tǒng) 可使實(shí)時(shí)系統(tǒng)從暫時(shí)軟件故障恢復(fù) 這也是 軟件發(fā)生錯(cuò)誤時(shí)保證系統(tǒng)實(shí)時(shí)性的重要措施 一 故障檢測(cè) 系統(tǒng)容錯(cuò)以故障檢測(cè)技術(shù)為基礎(chǔ) 以各種冗余技術(shù)為手段 對(duì)于實(shí)時(shí)系統(tǒng)來(lái)說(shuō) 為提高故 障判別的成功率 故障檢測(cè)應(yīng)該及時(shí)準(zhǔn)確地定位故障并盡量減小系統(tǒng)開銷 在系統(tǒng)中 故障檢測(cè)按層次模型進(jìn)行 其目的是實(shí)現(xiàn)信息隱藏 避免故障跨層次傳播 采 用自診斷的方法診斷系統(tǒng)級(jí)的故障 用任務(wù)級(jí)的檢測(cè)診斷應(yīng)用級(jí)的故障 1 系統(tǒng)自診斷 系統(tǒng)自診斷劃分為系統(tǒng)啟動(dòng)自檢測(cè)階段和周期自檢測(cè)階段 自動(dòng)啟動(dòng)診斷的因素有主 備用 機(jī)定時(shí)切換和主用機(jī)發(fā)生故障 周期自檢測(cè)階段根據(jù)系統(tǒng)需求 周期性檢測(cè)外設(shè)和通信口 每 個(gè)階段對(duì)應(yīng)設(shè)備的幾種功能塊 包括 CPU 的自診斷 中斷響應(yīng)自診斷 串口自診斷 定時(shí)器自 診斷 離散量自診斷和 RAM 自診斷等 由于結(jié)果比較是實(shí)時(shí)系統(tǒng)中任何事務(wù)處理都需要經(jīng)歷的步驟 因此把任務(wù)級(jí)的故障檢測(cè)放 到結(jié)果判別部分進(jìn)行 2 任務(wù)級(jí)動(dòng)態(tài)冗余 任務(wù)級(jí)動(dòng)態(tài)冗余方法是實(shí)時(shí)系統(tǒng)中瞬間故障的恢復(fù)方法之一 在實(shí)時(shí)多任務(wù)的環(huán)境下 充 分利用操作系統(tǒng)提供的功能 為各個(gè)基本任務(wù)建立后備任務(wù)作為冗余 對(duì)后備任務(wù)進(jìn)行容錯(cuò)調(diào) 度 從而起到類似于重試或回溯的作用 并利用檢查點(diǎn)技術(shù)和傳遞日志法保持主系統(tǒng)和備份系 統(tǒng)狀態(tài)的一致性 實(shí)現(xiàn)錯(cuò)誤恢復(fù) 根據(jù)應(yīng)用程序的要求 結(jié)合任務(wù)實(shí)時(shí)性 采用以下的模型定 義 1 把應(yīng)用程序 P 分解成多個(gè)任務(wù) T P T1 T2 Tn 任務(wù)以過(guò)程的形式出現(xiàn) 2 當(dāng) i j 時(shí) 任務(wù)優(yōu)先級(jí) PTi PTj 任務(wù)可以根據(jù)要求及時(shí)占有處理器 實(shí)現(xiàn)實(shí)時(shí)處 理 在每個(gè)任務(wù)的最后設(shè)置檢查點(diǎn) 傳遞日志 3 為各基本任務(wù)準(zhǔn)備一個(gè)后備任務(wù) P T1 T2 Tn 存放在內(nèi)存中 一般情 況下 后備任務(wù)不建立 不占有系統(tǒng)資源 僅在需要時(shí)才激活使用 后備任務(wù)的優(yōu)先級(jí)比相應(yīng) 的優(yōu)先級(jí)要高 一旦建立就搶占執(zhí)行 是某種意義上的重試或程序卷回 4 為實(shí)現(xiàn)恢復(fù)功能的后備任務(wù) 可以與原有任務(wù)完全一樣 也可以是替換算法 以下任 務(wù)級(jí)動(dòng)態(tài)冗余替換算法 能為各個(gè)任務(wù)產(chǎn)生容錯(cuò)調(diào)度 從而實(shí)現(xiàn)任務(wù)冗余 Step1 建立任務(wù) T1 T2 Tn Step2 while N 1 N Nmax 系統(tǒng)報(bào)警 當(dāng)后備任務(wù)執(zhí)行了 Nmax 次之后還通不過(guò)檢測(cè) 就認(rèn)為系統(tǒng)出現(xiàn)永久故障 系統(tǒng)報(bào)警 Nmax 是個(gè)閥門值 是由實(shí)時(shí)要求所決定的 二 主 備份切換 仲裁檢測(cè)電路中為主 備用機(jī)設(shè)置了 看門狗 監(jiān)視器 當(dāng)主 備用機(jī)處于正常工作狀態(tài) 運(yùn)行于 CPU 上的某一任務(wù)周期性地對(duì) 看門狗 施加復(fù)位信號(hào) 看門狗 計(jì)數(shù)器就不可能產(chǎn)生 溢出觸發(fā)信號(hào) 當(dāng) CPU 出現(xiàn)故障時(shí) 看門狗 會(huì)輸出一個(gè)離散觸發(fā)信號(hào)并發(fā)出報(bào)警 此時(shí)系統(tǒng) 進(jìn)行自動(dòng)切換 讓備用系統(tǒng)機(jī)工作 三 利用馬爾科夫狀態(tài)圖進(jìn)行的可靠性分析 一 錯(cuò)誤模型 雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)的錯(cuò)誤模型定義如下 1 系統(tǒng)錯(cuò)誤的到達(dá)過(guò)程是一個(gè)泊松流 Poisson Process 相繼錯(cuò)誤到達(dá)時(shí)間間隔服從負(fù) 指數(shù)分布 Tf e t 根據(jù)泊松分布的平穩(wěn)增量性質(zhì) 可知 P N t 2 0 t 即在間隔時(shí) 間 t 充分小時(shí) 系統(tǒng)連續(xù)發(fā)生多次錯(cuò)誤的可能性為 t 的高階無(wú)窮小 2 錯(cuò)誤可分為硬件錯(cuò)誤和軟件錯(cuò)誤 軟件錯(cuò)誤包括操作系統(tǒng)和任務(wù)發(fā)生的錯(cuò)誤 另外 硬件錯(cuò)誤可分為暫態(tài)硬件錯(cuò)誤和永久硬件錯(cuò)誤 軟件錯(cuò)誤可分為本機(jī)可恢復(fù)的錯(cuò)誤和需要備份 系統(tǒng)恢復(fù)塊恢復(fù)的錯(cuò)誤 3 故障的發(fā)生是不相關(guān)的 部件的失效率 和維修率 是常數(shù) 4 故障不傳播 二 利用馬爾科夫狀態(tài)圖法評(píng)估可靠性 可靠性是指一個(gè)系統(tǒng)在一定的環(huán)境下和給定的時(shí)間內(nèi)能按預(yù)定的要求完成一定功能的概率 圖 2 采用雙機(jī)容錯(cuò)方式下的馬爾科夫狀態(tài)轉(zhuǎn)移圖 圖 2 是利用上述假設(shè)構(gòu)造出的雙機(jī)容錯(cuò)實(shí)時(shí)嵌入式系統(tǒng)的馬爾科夫狀態(tài) 系統(tǒng)運(yùn)行過(guò)程中 的 6 個(gè)狀態(tài)定義為 狀態(tài) P0 雙機(jī)都正常 狀態(tài) P1 系統(tǒng)處于軟件容錯(cuò)狀態(tài) 狀態(tài) P2 系統(tǒng)處于硬件容錯(cuò)狀態(tài) 狀態(tài) P3 硬件系統(tǒng)發(fā)生永久失效 系統(tǒng)運(yùn)行在單機(jī)系統(tǒng)中 狀態(tài) P4 系統(tǒng)處于單機(jī)軟件容錯(cuò)狀態(tài) 狀態(tài) P5 整個(gè)系統(tǒng)失效 由圖 2 可以得到馬爾科夫狀態(tài)微分方程 式中 P 為狀態(tài)轉(zhuǎn)移概率矩陣 矩陣方程 方程組 稱為查普曼 柯爾莫戈羅夫 Chapman Kolmoqorov 方程 由此可以解出系統(tǒng)處于任意狀態(tài)的概率 狀態(tài) P66 表示系統(tǒng)失效 所以系統(tǒng)的可靠度為 R t 1 P66 t 3 在計(jì)算該系統(tǒng)的可靠度時(shí) 將狀態(tài) 5 作為吸收狀態(tài) 對(duì)式 3 求該微分方程的數(shù)值解 不同 參數(shù)下 系統(tǒng)的可靠度值 精度為 10 10 如表 1 所示 三 可靠性對(duì)比 用馬爾科夫狀態(tài)圖法對(duì)采用雙機(jī)熱備份方式和采用恢復(fù)塊方式的單機(jī)容錯(cuò)系統(tǒng)進(jìn)行可靠性 分析 在系統(tǒng)軟件失效率 s 0 005 以及硬件失效率 h 0 001 和維修率 0 9 的相同條 件下 在區(qū)間 0 1 000 上進(jìn)行可靠性對(duì)比 結(jié)果如圖 3 所示 圖 3 三種容錯(cuò)方式下可靠度隨時(shí)間變化曲線 雙機(jī)熱備份系統(tǒng)由兩個(gè)能完成相同功能的計(jì)算機(jī)模塊并行執(zhí)行相同的計(jì)算 雙機(jī)不能通信 根據(jù) A 機(jī)和 B 機(jī)周期向仲裁檢測(cè)電路發(fā)送的自檢信號(hào)判斷 A 機(jī)系統(tǒng)和 B 機(jī)系統(tǒng)的運(yùn)行狀況 單機(jī)備份塊容錯(cuò)系統(tǒng)中主模塊的運(yùn)行結(jié)構(gòu)由驗(yàn)收測(cè)試檢驗(yàn) 若結(jié)果通過(guò)測(cè)試結(jié)果 則輸出 否則運(yùn)行備份模塊 恢復(fù)塊在無(wú)錯(cuò)和出錯(cuò)情況下的響應(yīng)時(shí)間差異很大 應(yīng)用于實(shí)時(shí)系統(tǒng)時(shí) 恢 復(fù)塊必須與時(shí)間冗余相結(jié)合 結(jié)果顯示 本文提出的雙機(jī)容錯(cuò)實(shí)時(shí)系統(tǒng)比采用單純硬件容錯(cuò)的 雙機(jī)熱備份系統(tǒng)和采用單純軟件容錯(cuò)的單機(jī)備份塊容錯(cuò)系統(tǒng)的可靠性都有很大的提高 而且隨 著時(shí)間的增長(zhǎng) 可靠性更為明顯 四 小 結(jié) 隨著實(shí)時(shí)系統(tǒng)在安全領(lǐng)域內(nèi)越來(lái)越多的應(yīng)用 可靠性已經(jīng)成為衡量系統(tǒng)優(yōu)劣的關(guān)鍵因素之 一 傳統(tǒng)的雙機(jī)熱備份容錯(cuò)系統(tǒng)只能滿足系統(tǒng)某一方面的容錯(cuò)需求 為了在硬件 或軟件 出現(xiàn)暫 時(shí)或 永久 故障的情況下 系統(tǒng)仍能在規(guī)定的時(shí)限范圍內(nèi)完成運(yùn)算 并輸出正確的結(jié)果 本文提 出了一個(gè)軟 硬件結(jié)合的完整的解決方案 該方案在滿足系統(tǒng)實(shí)時(shí)性的同時(shí) 從整體上提高系 統(tǒng)的可靠性 數(shù)值模擬結(jié)果表明該系統(tǒng)具有極高的可靠性 參 考 文 獻(xiàn) 1 TAL O MOCOLLIN C BENDELL A Reliability demonstration for safety critical systems J IEEE Trans on Reliability 2001 50 2 194 203 2 陳 宇 實(shí)時(shí)異常處理技術(shù)的探討 J 計(jì)算機(jī)工程 2004 30 21 61 63 3 呂 勇 謝長(zhǎng)生 高三紅 實(shí)時(shí)測(cè)控計(jì)算機(jī)應(yīng)用謝的可靠 性保障技術(shù) J 計(jì)算機(jī)應(yīng)用 2003 23 6 101 106 4 韓建軍 李慶華 基于軟件容錯(cuò)的動(dòng)態(tài)實(shí)時(shí)調(diào)度算法 J 計(jì)算機(jī)研究與發(fā)展 2005 42 2 315 321 5 KIM K The distrubuted recovery block scheme in software fault tolerance M S l Wiley 1995 6 陳 宇 高可靠容錯(cuò)實(shí)時(shí)系統(tǒng)的支撐技術(shù)研究 D 成都 電子科技大學(xué) 2004 7 金士堯