失速告警系統(tǒng)應(yīng)用異構(gòu)雙核處理器的安全性分析研究

宣曉剛，魏璐達(dá)，賈少龍，楊 飛，張美仙

（太原航空儀表有限公司，太原 030006）

0 引言

飛機(jī)失速會(huì)導(dǎo)致飛機(jī)失控，引發(fā)飛行事故。為保證飛行安全，民航局規(guī)定需要在民用飛機(jī)上加裝失速告警系統(tǒng)（SWS，stall warning system）［1-2］。飛行員通過(guò)失速告警系統(tǒng)獲得飛機(jī)運(yùn)行時(shí)的失速告警、保護(hù)信息，以及相應(yīng)的控制指令，執(zhí)行相應(yīng)的操作，確保飛機(jī)不進(jìn)入失速危險(xiǎn)狀態(tài)。失速告警系統(tǒng)中的核心控制部件，即失速告警計(jì)算機(jī)的設(shè)計(jì)就顯得尤為重要。

傳統(tǒng)的失速告警計(jì)算機(jī)基本上都是采用單核處理器，如歐美、俄羅斯等國(guó)家的軍用和民用飛機(jī)上加裝的失速告警計(jì)算機(jī)，或者會(huì)采用多處理器同步時(shí)鐘的方法構(gòu)建余度告警計(jì)算機(jī)，并采用雙余度失速告警計(jì)算機(jī)的方法來(lái)滿足適航法規(guī)對(duì)安全性的要求。

如今，僅通過(guò)提高單核處理器時(shí)鐘頻率的手段來(lái)提升計(jì)算速度與安全性能已無(wú)法滿足目前的需求。而將兩個(gè)處理器內(nèi)核整合在同一個(gè)芯片上，可大大提升計(jì)算處理性能。相比于單核處理器，多核處理器無(wú)論在結(jié)構(gòu)設(shè)計(jì)、能耗以及安全性設(shè)計(jì)等方面都有著巨大優(yōu)勢(shì)。出于對(duì)失速告警計(jì)算機(jī)安全性、滿足適航性及輸出數(shù)據(jù)可信度的考慮，需將多種飛行參數(shù)引入失速告警計(jì)算機(jī)用于對(duì)失速的判斷，提出了一種基于異構(gòu)雙核處理器的失速告警計(jì)算機(jī)的設(shè)計(jì)方案。

在航空電子產(chǎn)品設(shè)計(jì)中一般會(huì)應(yīng)用到SAE ARP4761進(jìn)行安全性分析，但其某些分析方法具有復(fù)雜性和難以模擬仿真。但隨著IEC 61508功能安全國(guó)際標(biāo)準(zhǔn)的正式發(fā)布，使得人們?cè)絹?lái)越關(guān)注功能安全要求。這些標(biāo)準(zhǔn)可以對(duì)安全關(guān)鍵系統(tǒng)的非功能屬性進(jìn)行有效分析和評(píng)估，分析所得結(jié)果能給設(shè)計(jì)者提供所需的信息和設(shè)計(jì)指導(dǎo)，使得設(shè)計(jì)者在系統(tǒng)設(shè)計(jì)階段可以盡早對(duì)系統(tǒng)安全性進(jìn)行分析與評(píng)估［3-4］。

因此，應(yīng)用IEC 61508標(biāo)準(zhǔn)作為失速告警計(jì)算機(jī)設(shè)計(jì)的依據(jù)，為其安全性分析研究提供了有力保證。

1 失速告警計(jì)算機(jī)功能及設(shè)計(jì)

失速告警系統(tǒng)通過(guò)在飛機(jī)接近失速時(shí)向飛行員發(fā)送告警和控制信息，確保飛行員及時(shí)操縱飛機(jī)，使飛機(jī)迅速恢復(fù)到正常狀態(tài)來(lái)保證飛行安全［2］。失速告警系統(tǒng)一般由迎角傳感器、失速告警計(jì)算機(jī)、告警裝置等組成［1］。其中，迎角傳感器用于采集飛機(jī)迎角信號(hào)并發(fā)送給失速告警計(jì)算機(jī)。振桿器作為告警裝置根據(jù)失速告警指令進(jìn)行抖振來(lái)提醒駕駛員進(jìn)行操作，避免飛機(jī)進(jìn)入失速狀態(tài)。

失速告警計(jì)算機(jī)作為失速告警系統(tǒng)中的核心控制部件，通過(guò)迎角傳感器采集飛機(jī)迎角信息修正得出真迎角，并接收機(jī)上其他系統(tǒng)發(fā)送的馬赫數(shù)、高度、襟縫翼構(gòu)型、結(jié)冰等信息，判斷飛機(jī)真迎角是否接近氣動(dòng)失速，并在接近氣動(dòng)失速時(shí)發(fā)出失速告警、自動(dòng)點(diǎn)火和失速保護(hù)指令，為飛行員提供告警指示，保護(hù)飛機(jī)不進(jìn)入失速危險(xiǎn)狀態(tài)。

失速告警計(jì)算機(jī)設(shè)計(jì)具有以下功能：

1）為迎角傳感器提供激勵(lì)信號(hào)，接收迎角傳感器輸出的兩路迎角信號(hào)，根據(jù)采集的信號(hào)數(shù)據(jù)計(jì)算飛機(jī)局部迎角，同時(shí)對(duì)迎角傳感器的加溫狀態(tài)進(jìn)行監(jiān)控；

2）通過(guò)數(shù)據(jù)總線接收外部輸入數(shù)據(jù)；根據(jù)接收的數(shù)據(jù)信息解算真實(shí)迎角、臨界迎角和失速速度；

3）當(dāng)真實(shí)迎角接近臨界迎角或空速接近失速速度時(shí)，輸出告警驅(qū)動(dòng)信號(hào)給同側(cè)振桿器和燈光、音響系統(tǒng)，提醒飛行員采取措施；同時(shí)輸出告警狀態(tài)給機(jī)組告警系統(tǒng)；

4）當(dāng)真實(shí)迎角繼續(xù)增大到失速保護(hù)控制迎角，發(fā)出保護(hù)指令給推桿器，同時(shí)發(fā)出保護(hù)狀態(tài)給機(jī)組告警系統(tǒng)；當(dāng)真實(shí)迎角小于失速保護(hù)控制迎角一定數(shù)值時(shí)，停止發(fā)出保護(hù)指令和保護(hù)狀態(tài)；

5）當(dāng)真實(shí)迎角繼續(xù)增大至點(diǎn)火迎角，持續(xù)發(fā)出點(diǎn)火指令給左和右發(fā)動(dòng)機(jī)；同時(shí)發(fā)出點(diǎn)火狀態(tài)給機(jī)組告警系統(tǒng)；若真實(shí)迎角小于點(diǎn)火迎角一定數(shù)值時(shí)，停止發(fā)出點(diǎn)火指令和點(diǎn)火狀態(tài)。

2 功能安全標(biāo)準(zhǔn)介紹及其發(fā)展

2.1 SAEARP 4761相關(guān)介紹及其發(fā)展

美國(guó)汽車(chē)工程師學(xué)會(huì)（SAE，society of automotive engineers）于1996年發(fā)布了SAEARP 4761 《民用機(jī)載系統(tǒng)與設(shè)備的安全評(píng)價(jià)過(guò)程實(shí)施指南方法》，ARP 4761引入了飛機(jī)級(jí)安全評(píng)估的概念，提出了對(duì)民用飛機(jī)認(rèn)證進(jìn)行安全評(píng)估的指南和方法，以及確定了表明適航性的系統(tǒng)方法［5］。它主要用于表明系統(tǒng)符合FAR／JAR 25.1309有關(guān)的條款。

ARP 4761 文件提供了進(jìn)行行業(yè)公認(rèn)的安全評(píng)估的指南，包括功能危害評(píng)估FHA、初步系統(tǒng)安全評(píng)估PSSA 和系統(tǒng)安全評(píng)估SSA。本標(biāo)準(zhǔn)還提供了有關(guān)進(jìn)行安全評(píng)估所需的安全分析方法的信息。這些方法包括故障樹(shù)分析FTA、因果關(guān)系圖DD、馬爾可夫分析MA、失效模式和影響分析FMEA、失效模式和影響總結(jié)FMES 和共因分析CCA（CCA 由區(qū)域安全分析ZSA、特定風(fēng)險(xiǎn)分析PRA 和共模分析CMA 組成）［5］。ARP 4761文件中提供的指南和方法旨在與其他適用的指南一起使用，包括ARP 4754A，RTCA／DO-178，RTCA／DO-254，以及與FAR／JAR 25.1309相關(guān)的咨詢(xún)文件。自ARP 4761發(fā)布以來(lái)，在全球航空業(yè)得到了廣泛應(yīng)用，并成為獲取適航批準(zhǔn)過(guò)程中的事實(shí)標(biāo)準(zhǔn)。經(jīng)過(guò)20多年的工業(yè)實(shí)踐，目前已經(jīng)發(fā)布了ARP 4761A。

為了在工業(yè)領(lǐng)域更好地使用ARP 4761，SAE 于1997年將SAEARP926《故障／失效分析方法》更新到B 版，明確使用ARP 4761作為飛機(jī)安全性評(píng)估的方法。ARP 926B中明確提出了諸如共模分析CMA 的分析方法等某些分析方法的復(fù)雜性和難以模擬仿真的問(wèn)題，因此該標(biāo)準(zhǔn)對(duì)新技術(shù)的使用也是開(kāi)放式的，在其附錄C 中申明了在未來(lái)使用更加適用的新分析技術(shù)。

2.2 IEC 61508相關(guān)介紹及其發(fā)展

國(guó)際電工委員會(huì)（IEC，international electrolechnicai commission）于1998年發(fā)布了第一版IEC61508標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)針對(duì)電氣／電子／可編程電子部件（E／E／PE）和系統(tǒng)，并于2010年更新至第二版［6-7］。IEC61508標(biāo)準(zhǔn)基于系統(tǒng)和隨機(jī)故障的性能目標(biāo)，涵蓋了安全管理、系統(tǒng)／硬件設(shè)計(jì)，軟件設(shè)計(jì)、生產(chǎn)和安全關(guān)鍵E／E／PE 系統(tǒng)的操作。因其廣泛的適用性使得大到整個(gè)系統(tǒng)小到零部件，都可以參考該標(biāo)準(zhǔn)來(lái)提升系統(tǒng)或零部件的安全性能［8］。

IEC61508對(duì)E／E／PE系統(tǒng)和軟件有特定的要求。在第一版中，沒(méi)有識(shí)別除硬件以外的系統(tǒng)，而在第二版中，引入了“ASIC”的硬件組件要求。但I(xiàn)EC 61508對(duì)ASIC的定義并不是百分之百準(zhǔn)確，它可以解釋為包括許多產(chǎn)品：例如為特定安全系統(tǒng)設(shè)計(jì)的定制IC，為安全系統(tǒng)類(lèi)型設(shè)計(jì)的半定制IC和FPGA、PLD和CPLD器件。

IEC61508標(biāo)準(zhǔn)共分為8個(gè)部分：第0部分為技術(shù)報(bào)告，介紹了功能安全和IEC 61508；第1部分為一般要求；第2部分為E／E／PE 系統(tǒng)要求；第三部分為軟件要求，第4部分為定義和縮寫(xiě)；第5部分為安全完整性等級(jí)測(cè)定方法示例；第6部分為IEC 61508-2和IEC 61508-3應(yīng)用指南；第7部分為技術(shù)措施概述［7，9］。

2.3 ARP 4761和IEC 61508在安全性分析方法上的差異

ARP 4761描述了民用飛機(jī)適航合格審定的安全性評(píng)估指南和方法［9］。該標(biāo)準(zhǔn)安全性評(píng)估的對(duì)象是機(jī)載系統(tǒng)及其失效問(wèn)題，適用于支持機(jī)載系統(tǒng)的安全性設(shè)計(jì)和適航審定。該標(biāo)準(zhǔn)所提出的民機(jī)系統(tǒng)安全性評(píng)估過(guò)程是一個(gè)自上而下的分析過(guò)程：以飛機(jī)級(jí)功能危險(xiǎn)分析為起始，再到系統(tǒng)級(jí)功能危險(xiǎn)分析，并在故障樹(shù)分析中把系統(tǒng)級(jí)功能危險(xiǎn)分析的結(jié)果作為頂事件，最后進(jìn)入PSSA 的過(guò)程［10］。但ARP 4761中安全性分析方法有以下不足：1）僅考慮組件之間直接的功能交互；2）欠缺危險(xiǎn)因素與人為因素之間相互影響的安全性分析；3）各種安全性分析仍偏重于概念、實(shí)施原則的頂層描述，缺少分析程序，難以細(xì)化和應(yīng)用到具體的案例中［9，11］。

而IEC61508標(biāo)準(zhǔn)對(duì)安全完整性進(jìn)行了定義，表明安全完整性是在規(guī)定條件下、規(guī)定時(shí)間內(nèi)，安全相關(guān)系統(tǒng)成功實(shí)現(xiàn)所要求的安全功能的概率［12］。為量化安全完整性，IEC61508定義了安全完整性等級(jí)的概念。安全完整性等級(jí)是一個(gè)重要指標(biāo)，它用于規(guī)定電氣／電子／可編程電子部件（E／E／PE）和系統(tǒng)的安全功能的安全完整性要求，并作為一個(gè)必要措施，規(guī)定了安全系統(tǒng)在安全性上必要風(fēng)險(xiǎn)降低的概率。IEC 61508作為國(guó)際安全標(biāo)準(zhǔn)，將安全完整性等級(jí)分為4個(gè)等級(jí)，分別為SIL4、SIL3、SIL2、SIL1等級(jí)劃分表明：SIL等級(jí)越高，系統(tǒng)的安全性能就越高［7-8，13-14］。并 且IEC61508中描述了計(jì)算PFD（probability of dangerous failure on demand）和PFH（average frequency of a dangerous failure per hour）的基本原理，解釋了公式的導(dǎo)出過(guò)程。

在低要求模式下需使用PFDavg（average probability of dangerous failure on demand）評(píng)價(jià)安全完整性等級(jí)，而高要求和連續(xù)模式使用PFH 來(lái)評(píng)價(jià)評(píng)價(jià)安全完整性等級(jí)。因此能夠根據(jù)實(shí)際需求進(jìn)行精確的計(jì)算，且能符合實(shí)際應(yīng)用中各種假設(shè)和應(yīng)用條件，對(duì)安全性設(shè)計(jì)分析給出了相關(guān)依據(jù)。

因此，本文在對(duì)失速告警系統(tǒng)的安全性分析上選擇依據(jù)IEC 61508標(biāo)準(zhǔn)。

3 處理器技術(shù)發(fā)展

3.1 單核處理器

單核處理器將一個(gè)芯片集成在一個(gè)處理器中。通常，傳統(tǒng)方法提升單核處理器的主頻性能是通過(guò)增大數(shù)據(jù)寬度來(lái)實(shí)現(xiàn)［15］。但隨著技術(shù)的發(fā)展，單核處理器主頻的提升已達(dá)到工藝加工的極限。除此之外，單核處理器的局限性還有以下幾點(diǎn)：1）單核處理器的單一線程不能提高系統(tǒng)的并行能力，并且處理速度比雙核或多核處理器慢；2）處理器主頻的提升也增加了功耗，加大了散熱量，并且目前沒(méi)有適配的散熱系統(tǒng)處理散熱，來(lái)確保處理器工作正常穩(wěn)定；3）在計(jì)算或功能處理要求較高的情況下，單核處理器有很多缺陷和不足［16］。

總之，頻率、功耗和設(shè)計(jì)各方面均限制了單核處理器的性能的提升和發(fā)展［16］。而多核處理器把任務(wù)合理分配后利用多個(gè)內(nèi)核協(xié)同處理，解決了以上問(wèn)題［17］。

3.2 多核處理器

多核處理器（CMP，chip multiprocessor）將多個(gè)處理器集成在一個(gè)芯片中。并根據(jù)芯片中集成內(nèi)核的結(jié)構(gòu)是否相同，可將多核處理器分為同構(gòu)多核處理（homogeneous multi-core processor）和異構(gòu)多核處理器（heterogeneous multi-core processor）。同構(gòu)多核處理器將兩個(gè)或多個(gè)結(jié)構(gòu)、地位對(duì)等的內(nèi)核集成在一個(gè)芯片中［18］。而異構(gòu)多核處理器則將不同架構(gòu)或特性的內(nèi)核集成在一塊處理器上，并且可根據(jù)不同的計(jì)算任務(wù)，將其分配給不同的內(nèi)核進(jìn)行計(jì)算、處理，雙核并行處理方式使得處理器執(zhí)行復(fù)雜任務(wù)效率更高，資源配置更加合理［19-20］。雙核CPU 基本架構(gòu)如圖1所示。

圖1 雙核CPU 基本架構(gòu)

在航空產(chǎn)品中，失速告警計(jì)算機(jī)對(duì)于可靠性和安全性的要求較高。文中失速告警計(jì)算機(jī)的設(shè)計(jì)采用異構(gòu)雙核處理器，該處理器可通過(guò)異構(gòu)雙核處理器中的數(shù)據(jù)共享內(nèi)存機(jī)制進(jìn)行數(shù)據(jù)共享和交互，從而任務(wù)的處理和執(zhí)行更加高效。

4 失速告警計(jì)算機(jī)安全性分析與研究

4.1 處理器安全性分析

為保證硬件故障容錯(cuò)能力，IEC 61508標(biāo)準(zhǔn)提出了一系列技術(shù)手段。其中，提高系統(tǒng)可靠性和可用性的一個(gè)重要手段就是采用冗余結(jié)構(gòu)，冗余結(jié)構(gòu)包括N取M冗余架構(gòu)、冗余校驗(yàn)等［8，13］。下面著重介紹N取M冗余架構(gòu)。

N取M冗余架構(gòu)也被稱(chēng)作冗余表決結(jié)構(gòu)，一般記作“MooN”，表示“Mout ofN”，即從N中取M，冗余數(shù)K＝N-M。N中取M冗余架構(gòu)要求架構(gòu)中共有N個(gè)單元，但至少有M個(gè)單元正常工作時(shí)，系統(tǒng)才能正常工作［14］。MooN 結(jié)構(gòu)系統(tǒng)可靠性如圖2所示。圖中λD代表子系統(tǒng)中通道的危險(xiǎn)失效率（每小時(shí)）。

圖2 Moo N結(jié)構(gòu)系統(tǒng)可靠性框圖

常見(jiàn)的冗余表決結(jié)構(gòu)有 “1oo1”、“2oo2”、“1oo2D”等。冗余通道的存在使得有故障出現(xiàn)時(shí)，還有備用設(shè)備可以暫時(shí)維持系統(tǒng)的正常運(yùn)轉(zhuǎn)，這樣的做法提高了系統(tǒng)安全性和可用性。但是冗余通道越多，系統(tǒng)就越復(fù)雜，并且不同通道之間是否存在相互影響的關(guān)系也會(huì)很難分析，增加了系統(tǒng)的誤操作率，即會(huì)增加系統(tǒng)的安全失效率，同時(shí)還會(huì)引入共因失效的問(wèn)題。因此，并不是冗余通道越多越好，還需根據(jù)實(shí)際情況分析系統(tǒng)的可靠性和可用性之后再選擇不同的冗余架構(gòu)［8］。

共因失效（CCF，common cause failure）是指由于某種相同的原因?qū)е孪到y(tǒng)中兩個(gè)或多個(gè)部件失效或故障。雖然冗余架構(gòu)可以有效提高系統(tǒng)的可靠性［4，7］，但是在產(chǎn)品的設(shè)計(jì)、運(yùn)行和維護(hù)各階段，由于內(nèi)因或者外因均可能引起共因失效，共因失效率與系統(tǒng)結(jié)構(gòu)有關(guān)，即與冗余架構(gòu)的通道數(shù)有關(guān)［21-22］。

4.1.1 基于單核處理器的失速告警系統(tǒng)的安全性分析

對(duì)于失速告警系統(tǒng)，不允許單點(diǎn)故障，因此通常采用2臺(tái)失速告警計(jì)算機(jī)構(gòu)成 “1oo2”系統(tǒng)，但出于對(duì)運(yùn)營(yíng)成本等約束條件的考慮，系統(tǒng)一般會(huì)采用2臺(tái)相同的失速告警計(jì)算機(jī)進(jìn)行設(shè)計(jì)，故而對(duì)于單臺(tái)失速告警計(jì)算機(jī)就可以等效為“1oo1”結(jié)構(gòu)。該結(jié)構(gòu)只由一個(gè)通道構(gòu)成，通道的任何危險(xiǎn)失效都將引起降低失速告警系統(tǒng)的安全功能［8］?！?oo1”物理框圖如圖3所示，“1oo1”可靠性塊圖如圖4所示。

圖3 “1oo1”物理框圖

圖4 “1oo1”可靠性塊圖

圖4表明，單個(gè)通道可以被認(rèn)為由兩部分組成：一部分具有由未被檢測(cè)到的失效導(dǎo)致的失效率λDU，另一部分具有由已被檢測(cè)到的失效導(dǎo)致的失效率λDD，λD表示為整體失效率，整體失效率λD與個(gè)體失效率λDU和λDD的關(guān)系是：

通道的等效平均停止工作時(shí)間為tCE，等于兩部分各自的停止工作時(shí)間tc1和tc2相加，它與各部分對(duì)通道失效概率的貢獻(xiàn)直接成比例：

式中，T1表示手動(dòng)檢查測(cè)試的時(shí)間間隔。對(duì)于一個(gè)具有由危險(xiǎn)失效而導(dǎo)致關(guān)閉時(shí)間為tCE的通道：

PFD是指安全相關(guān)系統(tǒng)被要求時(shí)執(zhí)行安全功能的失效概率，即安全功能的不可用性。上式中，PFDavg是PFD在給定時(shí)間段內(nèi)的平均值。

因此，對(duì)于 “1oo1”結(jié)構(gòu)，在要求時(shí)的平均失效概率為：

考慮到MTTR與T1相比，數(shù)量級(jí)差別較大，公式可以進(jìn)一步簡(jiǎn)化為：

PFH的含義是給定時(shí)間內(nèi)安全相關(guān)系統(tǒng)執(zhí)行安全功能的平均危險(xiǎn)失效頻率。假設(shè)在高要求或連續(xù)模式下，需計(jì)算PFH，當(dāng)診斷模塊檢測(cè)出危險(xiǎn)故障時(shí)，立即驅(qū)使受控設(shè)備（EUC，equipment under control）進(jìn)入安全狀態(tài)。因此得出“1oo1”結(jié)構(gòu)的PFH為：

此外，失速告警系統(tǒng)中還需對(duì)振桿器進(jìn)行操縱，對(duì)于單核處理器，其控制電路如圖5所示。

圖5 單核處理器下振桿器硬件控制電路

由于采用單核處理器，在需要導(dǎo)通MOSFET 時(shí)，單核處理器將同時(shí)導(dǎo)通高邊／低邊MOSFET。如果處理器存在故障，則有相應(yīng)的概率會(huì)同時(shí)導(dǎo)通或截止高邊／低邊MOSFET，即使有相應(yīng)的檢測(cè)短路接地故障向MCU 發(fā)送信號(hào)，也無(wú)法阻止錯(cuò)誤的導(dǎo)通或截止高邊／低邊MOSFET。因此，該設(shè)計(jì)缺乏處理器對(duì)這個(gè)單點(diǎn)故障的診斷覆蓋。雖然在系統(tǒng)級(jí)采用了 “1oo2”的架構(gòu)，但是對(duì)于成本約束而采用的相似失速告警計(jì)算機(jī)的設(shè)計(jì)上，在系統(tǒng)架構(gòu)設(shè)計(jì)中仍無(wú)法避免共模故障的存在。

4.1.2 基于異構(gòu)雙核處理器的失速告警系統(tǒng)的安全性分析

而對(duì)于采用異構(gòu)雙核處理器設(shè)計(jì)的單臺(tái)失速告警計(jì)算機(jī)，可等效于兩種非相似計(jì)算機(jī)，其共模失效可簡(jiǎn)化為“與”的架構(gòu)，其等效于 “1oo2D”架構(gòu)?！?oo2D”架構(gòu)的輸出與其它架構(gòu)不同，該架構(gòu)是在 “1oo2”架構(gòu)的基礎(chǔ)上增加了診斷功能。當(dāng)診斷到兩個(gè)通道中的任一通道出現(xiàn)故障，則輸出切換到另一通道采用備用通道進(jìn)行正常輸出控制信號(hào)。當(dāng)診斷到兩個(gè)通道同時(shí)出現(xiàn)故障，或者檢測(cè)到兩個(gè)通道的信號(hào)存在差異并且不確定是哪個(gè)通道故障時(shí)，輸出將會(huì)進(jìn)入安全狀態(tài)。該結(jié)構(gòu)模式下，任何一個(gè)通道都能夠通過(guò)一種獨(dú)立于另一個(gè)通道的方式獲取另一個(gè)通道的狀態(tài)［23］。此架構(gòu)能夠有效保證系統(tǒng)設(shè)計(jì)的高安全性和高可靠性。“1oo2D”物理框圖如圖6所示，“1oo2D”可靠性塊圖如圖7所示。

圖6 “1oo2 D”物理框圖

圖7 “1oo2 D”可靠性塊圖

λSD表示為可診斷安全失效率，每個(gè)通道中被檢測(cè)的安全失效概率如下：

本架構(gòu)等效平均停止工作時(shí)間的值與其他架構(gòu)給出的數(shù)值不同，因此他們被表示為t′CE與t′GE。

“1oo2D”架構(gòu)在要求時(shí)的平均失效概率如下：

與“1oo1”架構(gòu)相似，在計(jì)算PFH 時(shí)，假設(shè)在高要求或連續(xù)模式下，當(dāng)診斷模塊檢測(cè)出任一危險(xiǎn)故障時(shí)，立即驅(qū)使EUC進(jìn)入安全狀態(tài)。因此最后失效通道不應(yīng)包含λDD的成分，因此得出“1oo2D”架構(gòu)的PFH 為：

“1oo1”架構(gòu)與“1oo2D”架構(gòu)在設(shè)計(jì)上各有利弊，如“1oo1”結(jié)構(gòu)相對(duì)簡(jiǎn)單，開(kāi)發(fā)成本和硬件復(fù)雜度較低，但在功能設(shè)計(jì)上要求比較高，SIL2要求達(dá)到不低于90%的診斷覆蓋率；“1oo2D”架構(gòu)引入了診斷模式，且由于異構(gòu)處理器雙通道架構(gòu)將共因失效概率大大降低，雖然在架構(gòu)設(shè)計(jì)上增加了一定的復(fù)雜性，但可以獲得高安全性［24］。

對(duì)于失速告警系統(tǒng)，2臺(tái)基于單核處理器的失速告警計(jì)算機(jī)可以構(gòu)成 “1oo2”結(jié)構(gòu)，但對(duì)于單臺(tái)失速告警計(jì)算機(jī)來(lái)說(shuō)就是 “1oo1”架構(gòu)，這個(gè)架構(gòu)雖具有診斷功能，但診斷覆蓋率DC是有限的。而基于異構(gòu)雙核處理器的失速告警計(jì)算機(jī)除本身就是“1oo2D”結(jié)構(gòu)外，在整個(gè)系統(tǒng)的構(gòu)成上也是“1oo2”結(jié)構(gòu)，且DC對(duì)比單核要高很多。異構(gòu)雙核處理器因其有兩個(gè)架構(gòu)或特性不一樣的內(nèi)核，所帶來(lái)的非相似性可以避免基于單核處理器所構(gòu)成的失速告警系統(tǒng)自身“1oo2”結(jié)構(gòu)產(chǎn)生的共因問(wèn)題。

對(duì)于異構(gòu)雙核處理器操縱振桿器的方式，其控制電路如圖8所示。

圖8 異構(gòu)雙核處理器下振桿器硬件控制電路

如圖8所示，高邊MOSFET 與低邊MOSFET 分別由異構(gòu)處理器的兩個(gè)核控制作為一種安全機(jī)制。

4.1.3 安全性分析結(jié)果的對(duì)比

基于上述對(duì)單核處理器的失速告警系統(tǒng)和異構(gòu)雙核處理器的失速告警系統(tǒng)的安全性分析，通過(guò)前面所列公式可以得出：將所要求的平均失效概率PFDavg作比較，“1oo2D”結(jié)構(gòu)的PFDavg遠(yuǎn)小于 “1oo1”結(jié)構(gòu)。并且在抖桿器控制電路一樣的情況下，異構(gòu)雙核處理器分別控制高邊MOSFET 與低邊MOSFET，使得有更低的概率導(dǎo)致誤操作，安全機(jī)制更為可靠。

從以上定性分析可以看出，異構(gòu)雙核處理器相比于單核處理器有更高的安全性和可靠性，并且 “1oo2D”結(jié)構(gòu)可以進(jìn)行更加完整的故障診斷，從另一維度提升了系統(tǒng)的性能。

5 結(jié)束語(yǔ)

本文從處理器、IEC 61508和ARP 4761標(biāo)準(zhǔn)的介紹和發(fā)展為背景，先是對(duì)兩個(gè)標(biāo)準(zhǔn)進(jìn)行了簡(jiǎn)單介紹，隨后簡(jiǎn)要描述了從單核處理器到多核處理器的發(fā)展。從處理器入手，在設(shè)計(jì)時(shí)充分考慮失速告警計(jì)算機(jī)功能設(shè)計(jì)需求及安全性、可靠性等多方面要求，選擇采用異構(gòu)雙核處理器對(duì)失速告警計(jì)算機(jī)的任務(wù)進(jìn)行合理分配，并應(yīng)用雙核處理器特有的核間共享內(nèi)存通信機(jī)制進(jìn)行數(shù)據(jù)的交互，還同時(shí)增加了在同一處理器上對(duì)解算結(jié)果監(jiān)控和數(shù)據(jù)一致性判斷這一功能。通過(guò)IEC 61508標(biāo)準(zhǔn)中對(duì)于不同冗余架構(gòu)的安全性進(jìn)行分析，確認(rèn)采用異構(gòu)雙核處理器進(jìn)行失速告警計(jì)算機(jī)的設(shè)計(jì)有助于產(chǎn)品安全性能的提升，并且滿足整個(gè)系統(tǒng)對(duì)于安全性的設(shè)計(jì)要求，該安全性研究方法可為今后其他對(duì)安全性能要求較高的設(shè)計(jì)提供了參照和依據(jù)。