ЗАО НТКЦ «ПЕТРОФАРМ» г. Санкт-Петербург Высокопроизводительный отказоустойчивый вычислительный комплекс с управляемой структурнофункциональной избыточностью (Вычислитель-2) 1 ЦЕЛЬ СОЗДАНИЯ ВЫЧИСЛИТЕЛЯ: Целью настоящей работы является реализация концепции синтеза оптимально интегрированного необслуживаемого в межрегламентные периоды комплекса бортового оборудования летательного аппарата (ЛА) транспортной категории построенной по идеологии ИМА, а также её экспериментальная проверка. 2 ПРЕДПОСЫЛКИ СОЗДАНИЯ Типы структур Система 1 Система 2 А) Взаимно не связанная и независимая Система 1 Система 2 Б) Взаимно связанные и зависимая Вход Система 1 Выход Вход Система 2 Выход В) Взаимно связанные но независимые 3 ПРЕДПОСЫЛКИ (ПРОДОЛЖЕНИЕ) ИЗМЕРИТЕЛИ, ДАТЧИКИ ДАТЧИКИ ВМ ДАТЧИКИ ДАТЧИКИ ВМ ВМ ВЫЧИСЛИТЕЛИ ОТОБРАЖЕНИЕ, ПРИНЯТИЕ РЕШЕНИЙ УВМ ИНДИКАТОРЫ 4 Конструктивны е требования ОСНОВНЫЕ ТРЕБОВАНИЯ ПО СОЗДАНИЮ ВЫЧИСЛИТЕЛЯ Требования норм лётной годности Вычислитель Функциональные требования ПАРАЛЛЛЕЛЬНАЯ АРХИТЕКТУРА С УПРАВЛЯЕМОЙ ФУНКЦИОНАЛЬНОЙ ИЗБЫТОЧНОСТЬЮ 5 ТРЕБОВАНИЯ НОРМ ЛЁТНОЙ ГОДНОСТИ • • • Вероятность отказа КБО на час полета, приводящая к – катастрофической ситуации не должна превышать 10-9; – аварийной ситуации не должна превышать 10-7; – сложной ситуации не должна превышать 10-6; Время парирования отказа, приводящего к катастрофической ситуации при вероятности отказа более 10-9 не должно превышать одной секунды. Примечания: Отказы, приводящие к катастрофической ситуации должны обязательно парироваться. Однако, в нормах летной годности, к сожалению, нет требований к времени парирования этих отказов, хотя в американской нормативной документации эта норма присутствует. В частности, в стандарте MIL-STD-2165 [2] Testability Program for Electronic Systems Equipments, 26 January 1985. есть следующая норма «… 95% всех возможных критических отказов должны быть оборудованием BITE (BITE - встроенное контрольное оборудование, АТЕ – оборудование автоматического контроля, CFDC – централизованная система индикации отказов, ATLAS – аббревиатурный контрольный язык для систем авионики) в течение 1 сек., а 100% должны быть обнаружены в течение 1 мин. 85% прочих отказов должны быть обнаружены в течение 1 мин». Величина этой нормы определена из анализа летных происшествий, который показывает, что периоды развития процессов катастроф имеют порядок секунды. 6 ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ Вычислитель должен обладать открытостью и гибкостью внутренней архитектуры, настраиваемой на аппаратном уровне на специфику функциональной задачи, масштабируемостью вычислительных ресурсов для выполнения приложений, включая потоковые вычисления (в т.ч. быстрые преобразования Фурье, 3D-графика и др.). Производительность вычислительного узла на специализированных приложениях должна быть сравнимой с производительностью современных процессоров общего назначения и 6 специализированных процессоров (должна составлять порядка (500-800)∙10 операций с фиксированной запятой). Вычислитель должен обладать отказоустойчивостью и степенью безотказности, характеризуемой вероятностью отказа в условиях эксплуатации не более: -для нерезервированного комплекта (oдин вычислительный узел на МВУ + один интерфейсный узел на МИМ + один МОВ): 10-5 за час работы, -для резервированного комплекта с 2 сдвоенными МВУ и 2 МОВ: 10-10 за час работы, -для полного кластера (3 нерезервированных вычислительных узла на + один вычислительный узел резерва + 2 сдвоенных МИМ + 2 МОВ) - 10-6 за час работы. Взаимодействие вычислительных модулей кластера между собой должно осуществляться по последовательным высокоскоростным (~0,8-1,0 Гб/с) каналам связи по принципу «каждый с каждым» (рисунок 1) без каких-либо центральных элементов коммутации, создающих общую точку отказа. Взаимодействие вычислительных модулей с интерфейсными модулями кластера должно осуществляться по последовательным высокоскоростным (~0,1-0,3 Гб/с) каналам связи по принципу «каждый с каждым». Сетевое взаимодействие вычислителя с другими вычислителями ИУС должно осуществляться через модули МВУ по последовательным высокоскоростным (~100 МБ/с÷1 Гб/с) каналам связи (топология «точка-точка»). 7 КОНСТРУКТИВНЫЕ ТРЕБОВАНИЯ Вычислитель должен быть спроектирован на основе базовой несущей конструкции Заказчика, соответствующей согласованному типоразмеру по ARINC 600-14 (глубина 318 мм, высота 194 мм, ширина уточняется). Основу конструкции составляет силовое металлическое основание, на котором должна размещаться несущая кросс-плата, соединённая с внешним (тыльным, врубным) разъёмом вычислителя. Максимально допустимая высота компонентов - 4 мм (поверхностный монтаж). Должны быть предусмотрены меры, исключающие установку модуля не на своё место. Масса вычислителя не должна превышать 4÷5 кг. Ремонтопригодность вычислительного и интерфейсного модулей должна обеспечиваться: -возможностью замены съемного модуля в условиях АТБ 600–часовых плановых работ; -возможностью замены элементов модуля (платы) в условиях заводаизготовителя. 8 ТРЕБОВАНИЯ ПО НАДЁЖНОСТИ 1.Интенсивность неконтролируемых отказов вычислителя в течение полета ЛА должна поддерживаться на уровне λ<10-10 отказов в час. 2.Интенсивность отказов отдельного вычислительного или интерфейсного узла модулей МВУ, МИМ в течение полета ЛА должна поддерживаться на уровне λ<10-5 отказов в час. 3.Время парирования контролируемого отказа не более 0,1 с от момента возникновения отказа. 4.Интенсивность отказов вычислителя в течение пяти лет эксплуатации ЛА (15000 часов наработки) должна поддерживаться на уровне λ<10-7 отказов в час. 5.Ресурс изделия должен быть не менее 100 000 часов при сроке службы не менее 20 лет. 9 СТРУКТУРА ВЫЧИСЛИТЕЛЯ Вход в систему Входная часть МИМ1 Входная часть МИМ2 часть МИМ 2 Входная часть МИМ3 3 Входная часть МИМ4 МВУ1 1 МВУ 2 МВУ 3 МВУ 4 Выходная часть МИМ11 Выходная часть МИМ2 Выходная часть МИМ3 Выходная часть МИМ3 ИМ 1 МОВ22 МОВ1 Выход из системы 10 Характеристики вычислителя Базовый высокопроизводительный унифицированный отказоустойчивый вычислитель ВУИ представляет собой избыточный интерфейсно-вычислительный ресурс с четырехкратным резервированием трактов и системой управления избыточностью, встроенной в каждый тракт, что позволяет обеспечить: • интенсивность отказов в полете не хуже 10-10 отказов в час (десять миллиардов часов между отказами), • интенсивность отказов в межрегламентный период 600 часов налета не хуже 10-7 отказов в час (десять миллионов часов между отказами), • низкие затраты на техническую эксплуатацию, за счет отсутствия обменных фондов на аэродромах (пунктах временного базирования) и технологии ремонта. Характеристики базового варианта вычислителя: • высокая производительность за счет наличия в вычислительном модуле (МВУ) процессора «Intel Atom» c частотой 1,2-1,6 ГГц, оперативной памяти 1024 Мбайт, суммарной производительностью до 800-900 миллионов операций в секунду (MIPS), • энергонезависимая память типа NAND-Flash емкостью 4 Гбайт, • наличие быстрых каналов обмена, как внутри каждого тракта, так и между трактами, • операционной системы реального времени (Real Time), • наличие внешнего интерфейса, состоящего из 64-х входных и 16 выходных каналов низкочастотного интерфейса ARINC 429, высокочастотного сетевого интерфейса AFDX, оптического интерфейса «Fibre Channel», видеоинтерфейса DVI-I, технологического интерфейса Ethernet. 11 АЛГОРИТМЫ УПРАВЛЕНИЯ ФУНКЦИОНАЛЬНОЙ ИЗБЫТОЧНОСТЬЮ 12 Принципы управляемой избыточности Двухуровневый мажоритарный контроль контура входные каналы интерфейса ARINC429 (модули МИМ), модули вычислительного узла (МВУ), выходные каналы интерфейса ARINC429 модули объединения выходов (МОВ). Эхо контроль контура МОБ, выходные каналы интерфейса ARINC429. Вход. каналы ARINC429 Вход. каналы ARINC429 МВУ 2 МВУ 1 Вых. каналы ARINC429 Вход. каналы ARINC429 Вых. каналы ARINC429 МОВ 2 МОВ 1 Выход Система анализа состояния и реконфигурации с целью выделения исправного контура МИМ i, МВУ j, МОВ k. Система решения функциональн ых задач на исправном контуре МИМ i, МВУ j, МОВ k. МВУ 4 МВУ 3 Вых. каналы ARINC429 Вход. каналы ARINC429 Независимые системы вычислителя Вых. каналы ARINC429 Независимое функционирование систем в Real Time Тк - Период работы системы анализа состояния и реконфигурации с целью выделения исправного контура МИМ i, МВУ j, МОВ Тф –Период работы системы решения функциональных задач на исправном контуре МИМ i, МВУ j, МОВ k. КОНФИГУРАЦИЯ ПЕРСПЕКТИВНОГО ИКБО КПИ-1 КИНО-1 ЖКИ МФИ ЖКИ КПИ-2 ЖКИ КИНО-2 ЖКИ ЖКИ Отдельный ВУИ - вычислительная платформа ИМА Распределенный интегрированный вычислительный ресурс ВУОВ ВУОВИ ВУОВИ Функции БВС-1 и индикации Цифровые системы левого борта ВУОВИ Функции ВСС ВУОВ ВУОВ Функции БКС Аналоговые датчики ВУОВ ВУОВ ВУОВ Функции БВС-2 индикации Цифровые системы правого борта Группы функциональных приложений (в терминах существующего ИКБО) Итого: вычислительных блоков всего 9, типов 1 14 РЕАЛИЗАЦИЯ Макет является пригодным к проведению испытаний на соответствие основным требованиям по ТТХ и функциональным возможностям, но, в то же время нуждается в дальнейшей проработке, заключающейся в доработке и отладке комплекта программного обеспечения до полного соответствия ТТЗ. 15 РЕАЛИЗАЦИЯ 16 ПРОБЛЕМНЫЕ ВОПРОСЫ 1.ПОРТАЦИЯ ОС VxWorks, QNX, МСВС (поставка ОС и средств разработки Заказчиком) 2.ТРЕБУЕМАЯ ПРОИЗВОДИТЕЛЬНОСТЬ (применение в МВУ процессора Intel Atom) 3.КОНСТРУКЦИЯ (выбор объема корпуса, решение проблем теплоотвода, решение проблем площади контактирующих устройств) 17