第３１卷第１期　２０１６年２月　光电技术应用　ＥＬＥＣＴＲ０一ＯＰＴＩＣ　ＴＥＣＨＮＯＬＯＧＹ　ＡＰＰＬＩＣＡＴ１０Ｎ　ＶＯ１．３１．Ｎｏ．１　Ｆｅｂｒｕａｒｙ，２０１６　

·测试、试验与仿真·　

电子系统冗余设计及可靠性分析　

蔡敬海，张振权　

（中国电子科技集团公司光电研究院，天津３０００００）　

摘要：提出了一种双冗余结构的电子系统设计方案，详细介绍了系统的架构和冗余管理策略，并分别对单通道系统和双冗　余系统结构进行了可靠性分析。本系统具有实时故障检测、自动切换控制的能力，可以保证系统稳定、连续的工作。最后，通过　试验验证了冗余设计方案的可行性和可靠性。　关键词：双冗余；管理策略；故障检测；自动切换；可行性；可靠性　中图分类号：ＴＮ４０６　文献标识码：Ａ　文章编号：１６７３．１２５５（２０１６）．０１　００６４．０４　

Ｒｅｄｕｎｄａｎｃｙ　Ｄｅｓｉｇｎ　ａｎｄ　Ｒｅｌｉａｂｉｌｉｔｙ　Ａｎａｌｙｓｉｓ　ｏｆ　Ｅｌｅｃｔｒｏｎｉｃ　Ｓｙｓｔｅｍ　

ＣＡＩ　Ｊｉｎｇ－ｈａｉ，ＺＨＡＮＧ　Ｚｈｅｎ－ｑｕａｎ　

ＩＡｃａｄｅｍｙ　ｏｆＯｐｔｏ—Ｅｌｅｃｔｒｏｎｉｃｓ，Ｃｈｉｎａ　Ｅｌｅｃｔｒｏｎｉｃｓ　Ｔｅｃｈｎｏｌｏｇｙ　Ｇｒｏｕｐ　Ｃｏｒｐｏｒａｔｉｏｎ（ＡＯＥ　ＣＥＴＣ）．Ｔｉａｎｊｉｎ　３０００００，Ｃｈｉｎａ）　

Ａｂｓｔｒａｃｔ：Ａ　ｄｕａｊ　ｒｅｄｕｎｄａｎｔ　ｓｔｒｕｃｔｕｒｅ　ｅｌｅｃｔｒｏｎｉｃ　ｓｙｓｔｅｍ　ｄｅｓｉｇｎ　ｉｓ　ｐｒｏｐｏｓｅｄ．Ａｔ　ｆｉｒｓｔ。ｔｈｅ　ｓｔｒｕｃｔｕｒｅ　ａｎｄ　ｔｈｅ　ｒｅ。　

ｄｕｎｄａｎｅｙ　ｍａｎａｇｅｍｅｎｔ　ｓｔｒａｔｅｇｙ　ｏｆ　ｔｈｅ　ｓｙｓｔｅｍ　ａｒｅ　ｉｎｔｒｏｄｕｃｅｄ　ｉｎ　ｄｅｔａｉｌ．Ａｎｄ　ｔｈｅｎ，ｔｈｅ　ｒｅｌｉａｂｉｌｉｔｙ　ａｎａｌｙｓｉｓ　ｉｓ　ｃａｒｒｉｅｄ　ｏｕｔ　ｒｅｓｐｅｃｔｉｖｅｌｙ　ｏｎ　ｔｈｅ　ｓｙｓｔｅｍ　ｗｉｔｈ　ｓｉｎｇｌｅ　ｃｉｒｃｕｉｔ　ａｎｄ　ｄｕａｌ　ｒｅｄｕｎｄａｎｃｙ．Ｔｈｅ　ｓｙｓｔｅｍ　ｈａｓ　ｔｈｅ　ｃａｐａｂｉｌｉｔｉｅｓ　ｏｆ　ｆａｉｌｕｒｅ　ｄｅ—　

ｔｅｅｔｉｏｎ　ａｎｄ　ａｕｔｏ－ｓｗｉｔｃｈｉｎｇ　ｃｏｎｔｒｏｌ　ｔｏ　ｅｎｓｕｒｅ　ｔｈｅ　ｓｔａｂｌｅ　ａｎｄ　ｃｏｎｔｉｎｕｏｕｓ　ｗｏｒｋ　ｏｆ　ｔｈｅ　ｓｙｓｔｅｍ．Ｆｉｎａｌｌｙ，ｔｈｅ　ｆｅａｓｉｂｉｌｉｔｙ　ａｎｄ　ｒｅｌｉａｂｉｌｉｔｙ　ｏｆ　ｔｈｅ　ｒｅｄｕｎｄａｎｃｙ　ｄｅｓｉｇｎ　ａｒｅ　ｖｅｒｉｆｉｅｄ　ｔｈｒｏｕｇｈ　ｔｈｅ　ｉｎｄｕｓｔｒｙ　ｔｅｓｔｓ．　Ｋｅｙ　ｗｏｒｄｓ：ｄｕａｌ　ｒｅｄｕｎｄａｎｔ；ｍａｎａｇｅｍｅｎｔ　ｓｔｒａｔｅｇｙ；ｆａｉｌｕｒｅ　ｄｅｔｅｃｔｉｏｎ；ａｕｔｏ—ｓｗｉｔｃｈ；ｆｅａｓｉｂｉｌｉｔｙ；ｒｅｌｉａｂｉｌｉｔｙ　

电子系统主要功能是完成数据通讯、数据处　理、系统控制、任务管理分配、驱动输出和任务的执　

行。因此，要求电子系统工作具有连续、稳定、可　靠等特点。为了提高电子系统的任务可靠性，基　

于冗余技术ｕ　，提出了一种双冗余结构的设计方案　来提高系统的可靠性、连续性和稳定性，并对系统　设计方案进行了可靠性分析。　

１　冗余理论　

冗余理论来源于自动控制系统可靠性研究，其　核心内容是如何最大限度地提高系统可靠性。自　

动控制系统是由许多元部件组成的，其元部件的组　合方式与系统可靠性有十分密切的关系。冗余设　计就是在控制系统中增加备用的关键元部件，当系　统发生故障时，控制系统通过故障控制策略启动备　

用部件，来保证系统正常运行，避免了单点故障造　成的系统部分或全部功能的失效　。　。　

但冗余设计也不是一味地增加备份部件，备份　部件的增加一方面增加了系统的复杂度、控制的复　

杂度和设计的难度；另一方面增加了系统成本、功　耗、质量，而且冗余设计的不合理，也可能降低系统　

的可靠性　１。　

２系统设计方案　

２．１　系统构成　

电子系统的主要功能是完成数据通讯、数据处　理、系统控制、任务管理分配、驱动输出和任务的执　

收稿日期：２０１５．１２－０４　作者简介：蔡敬海（１９８２一），男，河北省滦南县人，工学硕士，工程师，研究方向为光电一

ｒ程　第１期　蔡敬海等：电子系统冗余设计及可靠性分析　６５　

行。系统构成包括电源模块、Ｉ／Ｏ模块、控制模块、　任务管理模块和执行机构。系统各模块的主要功　

能：电源模块主要完成系统工作电源电压的转换及　驱动电源的控制功能；Ｉ／Ｏ模块主要完成数据的通　

信功能；控制模块是系统的控制中心，主要完成与　Ｉ／Ｏ模块数据通讯、完成数据处理、接收控制指令、　

系统控制以及对模块自身和任务管理模块的状态　检测；任务管理模块主要完成接收控制模块指令，　

并进行任务管理分配和驱动输出的功能；执行机构　主要用来完成接收任务模块的驱动输出信号，并完　成相应的动作。　

２．２冗余设计原则　

冗余设计具有多种不同的方式：并联冗余、表　决冗余、串并组合冗余和非工作冗余　。在进行冗　

余设计时，既可以采用相同单元进行冗余设计，也　可采用不同单元进行冗余设计　。需要注意的是，　

虽然冗余设计能提高系统的任务可靠性，但也降低　了系统的基本可靠性，同时导致质量、体积、复杂度　

和成本等成倍地增加，以及设计、制造、装配和试验　

时间的延长。因此，在进行冗余设计前，不仅需要　对将获得的效益与所付出的代价进行仔细地分析、　

比较，而且需要收集大量的相关试验数据进行详细　分析，并进行必要的可靠性分析，以便评估采用什　

么样的冗余方式是最有效的。通常情况下，有效的　冗余设计不仅能够提高系统的任务可靠性，而且能　

够降低费用，是一种用来弥补低任务可靠性的效费　比较高的途径。　

２．３双冗余设计　

依据冗余理论，对电子系统进行了详细的分　析。由于电源模块和Ｉ／０模块工作任务单一，交联　

关系简单，同时综合考虑系统的功耗、质量以及成　本等因素，因此采用单通道设计。控制模块与Ｉ／Ｏ　

模块和任务管理模块都有交联关系，是系统的数据　处理中心和控制中心；任务管理模块与控制模块和　

执行机构都有交联关系，是系统任务实施的具体控　制机构，二者均属于系统的关键部件。因此，决定　对控制模块和任务管理模块进行冗余设计。在设　

计中，控制模块和任务管理模块均采用相同单元的　形式，以便保证系统的可靠性。　

从如图１所示，系统冗余单元数与系统可靠度　之间的关系中，可以直观地看出，当从ｎ＝ｌ增加到　

ｎ＝２的时候，也就是使用双冗余度的时候，系统可靠　度的提升是最快的，但是随着凡的数值不断增大，系　统可靠度的提升变得比较缓慢　。因此，在电子系　

统的设计中，决定采用双冗余的方案进行设计。　

一１·Ｏ　

砉０．８　

ｏ．　

０．　

Ｏ．２　

时间／ｔ　ｎ是冗余单元个数　图１系统冗余单元数与系统可靠度的关系　

通过对电子系统的具体功能实现情况进行详　细分析，同时综合考虑系统的功耗、质量以及成本　

等因素，最终，决定采用串并组合冗余方式对控制　模块和任务管理模块进行双冗余设计。双冗余电　

子系统的硬件架构如图２所示。　

『：　：　．　．ｆｊ　硐．．ｆｊ　

遭　一　ｌ　｛　

一　

图２双冗余电子系统硬件构架图　

控制模块是整个电子系统的核心单元，所有的　数据处理任务和绝大多数的控制任务都是由它来　完成的。在设计中，控制模块Ａ和控制模块Ｂ不仅　

具有相同的硬件配置，而且运行同样的软件程序嘲。　

另外，两个控制模块既可以进行冗余配置，也可以　进行单模块配置。如果是冗余配置，一个控制模块　作为主控模块，其对应的通道作为主控通道；另一　

个控制模块作为备控模块，其对应的通道作为备控　

通道。如果是单模块配置，不管配置哪一个通道的　控制模块作为主控模块都可以。　冗余配置的两块控制模块，一个运行在主控模　

式，另外一个运行在备控模式，它们是一个热备份　

的关系。它们都能访问Ｉ

／０模块和自身所在通道的　光电技术应用　第３１卷　

任务管理模块，但主控模式下的控制模块在数据处　

理、接收控制指令、系统控制等方面起着决定性的　作用；备控模式下的控制模块执行诊断和监视主控　

通道工作状态的好坏，通过周期查询运行中的主控　通道的工作状态，并且实时接收主控模块发送的全　

部运行信息，但是它不进行数据处理、不接收控制　指令、不进行系统控制。备控模块能够实时保存最　新的系统控制数据，以便在主／备模式切换时保证系　

统工作的无缝连接　。　

２．３。１优先权设置　

冗余系统的优先权设置通常采用三种方法：软　

件设置、通道竞争和外部硬件设置。由于软件的决　策周期长、实时性较差、可靠性较低，而且通道之间　

的互换性较差，因此在电子系统双冗余设计中不采　

用此方法进行优先权设置；第二种方法是通过通道　竞争电路来获取通道的优先权，由于设置竞争电路　可能会带来无法预知的风险，因此，在电子系统双　

冗余设计中不采用此方法进行优先权设置；第三种　方法是直接采片ｊ外部硬件设置的方法决定优先　

权，此方法既简单，又可靠。因此，在电子系统双　

冗余设计中采用外部硬件设置的方法进行优先权　设置，将通道Ａ设置为主控通道，通道Ｂ设置为热　备份通道　】。　

２．３．２故障检测　

（１）在位状态检测　

系统加电并正常工作后，冗余配置的两个控制　

模块会通过硬连线互相报告所属通道模块的在位　状态。如果主控通道模块中存在不在位的，或者主　

控通道模块中存在不能正常工作的，则备控模块可　以检测到主控通道模块故障，并自动切换成主控模　块，行使主控模块的角色，并将故障状态通过Ｉ／Ｏ模　

块上报。如果是备控通道模块中存在不在位的，或　者备控通道模块中存在不能正常工作的，则主控模　

块上电正常工作后可以检测到备控通道模块故障，　并将故障状态通过Ｉ／０模块上报。　

（２）硬件故障检测　两个控制模块正常工作后都周期性地运行检　测程序，对所在通道模块的硬件资源、外围接口等　

状态进行周期性检测。一旦发现故障，就将故障信　息上报给主／备模式切换控制逻辑，由主／备模式切　换控制逻辑来决策是否进行主／备模式切换。　

（３）软件故障检测　两个控制模块正常工作后都通过看门狗来监　控自身软件的运行状态。软件会周期性地执行喂　

狗操作，如果软件运行过程中出现了故障，则会触　发看门狗报警。一旦主控模块发生看门狗报警，则　立即切换到备控模块工作。　

２．３．３主／备模式切换　

主／备模式切换是通过设置硬件逻辑来完成的，　

具有反应速度快、稳定性好、可靠性高等特点。两　个控制模块之间通过硬件连线互报状态信息，当主　控通道模块发生故障时，主／备模式切换由硬件逻辑　

控制自动完成切换，并且通过硬件连线把状态信息　上报给当前的主控模块。　

３可靠性分析　

下面仅对单通道模块以及双冗余模块的可靠　性进行定量分析和比较。　

假设系统所包含单元的故障时间服从指数分　布，则有　故障密度函数：Ｆ（　：Ａｅ　（１）　

不可靠度：ｒ（ｔ１＝１一ｅ　（２）　

可靠度：Ｒ（ｔ）＝１一Ｆ（ｔ）＝ｅ。　（３）　

故障率：Ａ（ｚ）＝ｌ厂　）　＝　（４）　

平均故障间隔时间：ＭＴＢＦ＝ｌ／ｈ　（５）　根据并联系统的定义及可靠性逻辑框图，其可　靠性数学模型为　

Ｆｓ　）：Ｈ　）　（６）　

式中，Ｆ　）为系统的不可靠度；Ｆ　（ｆ）为第　个单元的　不可靠度。　

设两个通道模块的故障率分别为　和　：，可得　其不可靠度分别为　Ｆ　（￡）：１一ｅ““　

：１一ｅ。　

由式（６）可知，这两个通道模块组成的双冗余　模块的不可靠度为　

Ｆ　（　＝Ｆ。　×Ｆ：（　（１一－ＡＩｔ）（１一ｅ　）＝　，　、　１一ｅ－Ａｌｔ—ｅ－Ａ２ｔ＋ｅ－（ＡＩ＋Ａ　２Ｊｆ　由式（３）可知，双冗余模块的可靠度为　Ｒ　（ｆ）＝１一Ｆｓ（　＝ｅ一　＋ｅ　一ｅ　“　（８）