分布式嵌入系统的交互一致理论.doc

分布式嵌入系统的交互一致理论许多应用与人身安全或设备安全有密切联系,随着安全性要求的提高,希望设备或系统在其构成的部件与控制装置发生故障时仍能保证安全,即故障-安全(failsafe)的特性。系统是由子系统组成的,子系统有故障时有控制地停止工作(failsilent,故障-静默模式),对系统而言仍是故障,因为它不再提供原定的服务了,这有可能引起全系统功能的失效。所以,安全是要从最高层的全局来分析的。例如对一辆汽车,刹车系统整体不能用故障-静默来达到许多应用与人身安全或设备安全有密切联系,随着安全性要求的提高,希望设备或系统在其构成的部件与控制装置发生故障时仍能保证安全,即故障-安全(failsafe)的特性。系统是由子系统组成的,子系统有故障时有控制地停止工作(failsilent,故障-静默模式),对系统而言仍是故障,因为它不再提供原定的服务了,这有可能引起全系统功能的失效。所以,安全是要从最高层的全局来分析的。例如对一辆汽车,刹车系统整体不能用故障-静默来达到安全,而应该是故障后仍能工作(failoperatiONal,故障-仍工作模式),或至少是性能下降一点仍能工作(faildegraded,故障-降格工作模式)。单一部件的架构(包括硬件与软件)有故障而失效时就无法继续提供服务了,它不能满足故障-仍工作模式或故障-降格工作模式的要求。这就必须采用有备份的冗余架构,每一个备份都能完成出故障的原来部件的大部分或全部服务工作,维持系统正常运行。备份工作的交替就要求它们对工作状态(系统的输入、应该的输出和谁不该输出)有相同的看法。这种相同的看法要通过信息交换并通过协议才能建立,并称为交互一致性(interactiveconsiSTency)。有一部分控制对象存在功能上互为冗余的可能性,例如汽车的4个轮子的刹车,当一个轮子的子刹车系统(设备或控制装置)有故障时,修正其他轮子的刹车力便可以实现总体刹车系统的故障-仍工作模式或故障-降格工作模式。此时对单个轮子而言,它只要能实现故障-静默即可。显然,单个轮子的可信赖性要求被降低,会造成成本的大大降低。在这种情况下,轮子的控制器之间就存在交互一致性问题。来自汽车电子大佬Infineon和Delphi的研究报告[1]比较了基于这种互为冗余的分布式冗余刹车系统与集中式仅控制器冗余的硬件成本,指出成本可大为下降,并称集中式有控制器冗余的刹车系统将会废止,这对我国汽车电子业者有警示意义。不过,该文并未提到用硬件集中方案也可实现对象互为冗余的刹车系统(这二种方案成本差别将不会太大)。此时由于通信有较大不同,交互一致性问题会不一样,加上其他因素,它们的优劣有待研究。但至少分布式互为冗余刹车系统是一个备选方案。参考文献[1]非常概述地提及了控制方案,并未谈及技术细节以及采用的协议。本文将根据交互一致性的理论,对实施这类应用中可能遇到的问题进行分析。1SM算法对交互一致性的研究已经有30年了,它被称为拜占庭将军问题算法(ByzentineGeneralsProblem)。原始文献有2个版本[23],1980年的文章引用很多,但是公认很难读懂[4]。原来的讨论是针对点对点通信进行的,本文根据对参考文献[3]的理解,针对总线方式通信加以展开,这会引入作者的看法。参考文献[3]提出:一个冗余系统的“所有无错节点应该采用同样的输入(这