引言

可靠性是指揮控制信息系統的重要指標。很多需要實時信息處理、使命重大的系統均要求每天24小時、每周7天、每年365天不間斷運行。在進行系統總體設計時,需要把可靠性設計及系統的可維護性、可用度設計放在第一位。其中,在許多海外防空指揮系統項目合同中,提高可靠性指標,提升系統的可維護性,也是降低系統海外維護費用,提高海外售后服務質量的重要措施。

防空指揮系統是一個在硬件設備基礎上利用軟件技術來實現指揮作戰功能的有機整體。隨著指揮控制系統規模擴大,軟硬件日益復雜,指揮控制系統可靠性問題不僅僅取決于硬件設備的可靠性。因此,在系統可靠性設計時,需將硬件可靠性與軟件可靠性綜合考慮。

1 防空指揮系統組成

防空指揮系統采用客戶/服務器\\(C/S\\)架構,包括處理服務器、前端數據處理設備、網絡通信設備、指揮席位以及配套的電源與輔助設備,如圖1所示?！緢D1】

防空指揮系統依靠這些電子信息設備實現接收雷達情報,指揮下屬高炮部隊、導彈部隊、航空兵部隊進行防空作戰。

防空指 揮 系 統 日 常 值 班 狀 態 下 接 收 雷 達 數據,對區域內的空情進行監視,當發現空中威脅,根據空中態勢與威脅等級,發布作戰警報,并組織下屬部隊作戰。通過雷達對空中目標進行搜索、跟蹤,將雷達數據綜合處理,形成綜合空情,并分發至各部隊與上級。防空指揮系統對導彈高炮部隊、航空兵部隊發布作戰命令與作戰方案,由各下級部隊按照命令與方案實現對所屬導彈、航空兵部隊的作戰指揮。

在防空作戰過程中,防空指揮系統居于樞紐位置,其重要性不言而喻。為了保障其穩定工作,需要對系統的可靠性進行綜合設計。

2 防空系統可靠性設計

2.1 可靠性設計原則
為了提高系統的可靠性,在設計中重點考慮了以下設計原則。

\\(1\\)系統采用分布式、模塊化體系結構。分布式有利于充分考慮使用冗余結構,以提高系統的平均無故障時間\\(MTBF\\),模塊化有利于縮短平均故 障 維 修 時 間 \\(MTTR\\),提 高 可 維 護 性 和 可用度。

\\(2\\)高度重視系統關鍵部位,特別是影響全局要害部位的可靠性設計,并要求各關鍵性子系統配置自檢測部件\\(BIT\\),有效支持維修診斷、減少維修時間。

\\(3\\)在重視系統硬件可靠性設計的同時,更加重視系統軟件的可靠性和可維護性設計。

\\(4\\)在系統性能指標和可靠性設計發生矛盾時,優先保證可靠性設計。

可設置全系統工作模式和緊急模式等工作模式。在全系統工作模式下,系統的全部設備和軟件都參加運行,全部設計功能齊備可用,此模式為通常情況下系統正常運用的工作模式。系統可以在服務器同時失效或冗余網同時失效的情況下,自動轉入緊急模式,維持系統的基本功能。

在系統某一非要害功能部位發生故障時,系統通過相應的組態調整,使系統繼續運行,并提示維修。因系統自動屏蔽了故障并取消故障部件所承擔的功能,改用其冗余部件頂替,不影響系統正常功能,即使在這些故障部件維修/更換期間,也不影響系統的正常功能。

軟件可靠性設計在某種意義上講比硬件可靠性設計更重要。這是因為:

①系統中配置的硬件幾乎都是商品化的貨架產品,可靠性有保障。

②隨著系統自動化程度的不斷提高,功能的不斷增強,系統運行的應用軟件越來越龐大,軟件發生故障的概率呈上升趨勢。為此,軟件可靠性設計更為重要。

系統采用了以下軟件可靠性設計技術:

①模塊化設計和模塊間的故障隔離技術。

②結構冗余技術,包括靜態結構冗余、動態結構冗余和混合結構冗余。

③信息冗余技術,包括糾錯信息、誤差校正信息、雙重多重冗余信息等。

④時間冗余技術,如程序滾回\\(Program rollback\\)技術等。

2.2 可靠性設計措施
在該信息系統的可靠性設計中,除了在各個部分、各個環節自始至終重視軟件可靠性設計之外,還著重考慮了以下幾個方面的設計措施。

\\(1\\)主要/關鍵設備冗余設計為保證系統的可靠性,系統的主要和關鍵設備設計成冗余結構。其中有的設備也是復雜度最高和硬/軟件功能規模最大的部分,其本身的可靠性指標也是很難大幅度提高的。將這些部分設計成各種合理的冗余結構如下:a.系統服務器、前端數據處理設備采用雙冗余結構;b.局域網采用雙冗余結構\\(A、B網\\),同時用加大局域網帶寬的辦法降低其數據傳輸負荷率;c.操作工作站采用并聯冗余結構。

在本指揮系統中,服務器是系統的核心部件,承擔了系統內最復雜和最繁重的信息處理任務,含有本系統最核心和規模最大的應用軟件,是本系統各單元中可靠性最難于大幅度提高的單元。為了不致因為這個環節降低整個系統的可靠性,服務器采用雙冗余結構,在線熱備份工作方式。前端數據處理設備負責情報來源,處于極其重要地位,也采用雙冗余在線熱備份工作方式。

網絡設備處在將系統各單元聯接成一個整體的關鍵地位,其運行出錯或故障都有可能導致系統崩潰。本系統設計使用千兆網,將LAN在運行中的實際數據平均傳輸利用率限定在遠低于LAN允許數據傳輸能力以內,同時也設計成雙冗余結構。第三網的存在,更進一步提高了系統的整體可靠性。

作戰席位采用軟件模塊化設計,所有席位軟件安裝一致,根據登錄名啟用不同的模塊加以區分,即某作戰席可以在任一席位上登錄,行使其作戰指揮職能,同時席位功能設計相互覆蓋,設計為n取m并聯使用模式,即n個席位中有m個能工作,系統就能正常工作。這種方式比雙冗余方式可靠性高,理論故障率極低。

\\(2\\)系統單元之間的故障隔離設計分布式系統各單元的故障屏蔽和隔離是提高系統整體可靠性的有效措施。本系統采用了下列設計實現故障屏蔽和隔離:①各軟件單元、各模塊弱耦合聯系,消除一切不必要的信息交換,防止錯誤漫延。②軟件單元/模塊的監控代理實時監視并報告自身的異常狀態。③系統監控分析,屏蔽故障單元,阻止故障漫延。

\\(3\\)信息傳輸的可靠性設計系統各單元的信息交換和數據傳輸是分布式信息處理系統的神經中樞。本系統采用中間件技術進行通信,保證其可靠傳輸和交換。該中間件技術包含以下可靠性措施:

①奇偶校驗。

②循環冗余查錯/糾錯碼校驗。

③數據包格式校驗/語法糾錯。

④關鍵字段冗余保護和控制。

⑤要害信息/報文冗余,互鎖重發機制。

⑥接收/發送緩沖可靠性保護機制。

\\(4\\)內建自檢機制在系統各單元內建硬、軟件自檢機制既是故障隔離的基礎,也是提高系統可維護性的重要手段。

本系統設置了:

①通信接口/網絡硬件狀態自檢。

②數 據信息源接口數據校驗、數據格式、數據內容級自檢。

③處理機平臺軟件和應用軟件內建系統資源占用/運行狀態實時監控。

④應用軟件模塊內建信息處理流程/運行狀態實時監測和報告。

\\(5\\)關鍵任務的最后保障機制系統的情報信息是系統的核心信息。在系統出現嚴重故障,如服務器崩潰、冗余網絡失效,甚至幾臺指揮席位同時失效時,系統仍然可以通過旁路通道將外部情報信息轉至余下的指揮席位,并激活某指揮席位的獨立數據處理軟件,由指揮席位直接進行數據處理,監視情報畫面,進行指揮工作。

該模式下情報處理容量減小,多種指揮輔助功能喪失,僅保留指揮相關的核心業務,最大限度地優化了全系統可靠性、可維護性和可用性保證機制。

3 系統的可靠性評估

系統的可靠性評估應該是基于硬件、軟件的綜合評估,由前期的可靠性預計與后期的可靠性試驗組成。對含有平臺軟件、應用軟件的單元,其可靠性參數預計中同時包括了硬件和平臺軟件/應用軟件的綜合貢獻。因此,純硬件單元MTBF的預算值更大,包含軟件單元MTBF的預算值較小。

自動化信息系統的主要信息設備均為貨架產品,根據廠家提供的數據和多年工程積累的記錄,單個設備的可靠性初步預計結果如表1所示。表中核心部件或設備的數值是相當保守的,而且也是從實際工作場所運行中得到驗證的,小于已經結束的多個項目聯試報告積累中總結出的數值。各單元的分配MTBF和MTTR指標值需要靠各單元自身的硬、軟件可靠性設計來保障?！颈?】


系統可靠性可以用一個很重要的值來衡量:平均無故障工作時間MTBF,表示的是相鄰兩次故障間的平均工作時間,也稱為平均故障間隔,其值越大,系統可靠性越高?！?】


式中,R為系統可靠度,是產品在規定條件和規定時間內完成規定功能的概率。其與失效率\\(故障率\\)λ\\(t\\)的關系如下:【2】


系統可 靠 性 的 最 主 要 預 計 方 法 是 數 學 模 型法\\(RBD\\)。該方法按各單元可靠性與系統可靠性的關系建立精確或半精確的數學模型,通過計算預計系統的可靠性。

RBD是一種簡單表示所有可能的功能結構以及故障單元對系統功能影響的圖形方法?？煽啃钥驁D通常由表示基本系統組成單元的方框組成,方框圖通常都有一個起點和一個終點。其中至少要有一條從起點到終點的路徑是通的,且沒有通過一個故障單元,系統才是正常的。最常見RBD的基本結構包括串聯、并聯。

串聯時,只要有一個單元失效,整個系統就失效。系統可靠度[1]公式為:【3】


并聯時,只要有一個單元工作,系統就工作。系統可靠性公式為:【4】


一般可僅考慮對系統可靠性有影響的主要組成,按可靠性的邏輯關系繪制可靠性框圖,通常非串聯部分均可單獨計算,簡化為一個等效單元,最終端是成為一個串聯模型,如圖2所示?！緢D2】


而可靠性MTBF為:【5】


式中,Ri為第i個設備的可靠度;λi為第i個等效模塊的總失效率。

3.1 可靠性預計
\\(1\\)非冗余設計可靠性計算系統按非冗余設計,每種設備取必需的數量時,其可靠性模型如圖3所示。系統可靠性模型為服務器、前端數據處理設備、網絡設備、6個席位可靠性串聯。此時只要一個單元失效,整個系統就失效。其MTBF值為8 576h。不難看出,可靠性指標的降低,正是由于設備采用單套配置的故障率評估引起的。非冗余設計時的可靠度值對于全面描述和理解系統的可靠性能是有意義的。該狀態時的 系 統MTBF與 可 用 度 無 法 滿 足 系 統 值 班需要?！緢D3】


\\(2\\)冗余設計正常工作模式可靠性計算系統采用冗余設計,能夠完成正常的指揮作業時,其可靠性模型如圖4所示。其MTBF值為12864h。比起非冗余設計時已有較大增長,該值為正常工作模式下的可靠性數值指標,是防空指揮系統最有實際參考意義的關鍵可靠性指標且當單個設備損壞,進行維修時,不影響系統正常工作?！緢D4】


\\(3\\)冗余設計基于關鍵任務的可靠性計算系統按前文中進行冗余設計,主系統面臨重要故障,無法工作時,由席位計算機通過C網直接接收數據,并進行數據處理,完成指揮作業,其可靠性模型如圖5所示。當然,在該工作模式下,系統情報處理容量減小,多種指揮輔助功能喪失,僅保留指揮相關的核心業務。雖然爭取了最大的可靠性值,但帶來了指揮功能缺失,指揮性能下降。

經計算可得出該模式下MTBF值為15 781h,比起非冗余設計時有大幅度增長,完全滿足系統對可靠性的需求;比起冗余設計正常工作模式也有所增長,在硬件成本上只多了旁路網絡交換機,其余的可靠性增長依賴于旁路軟件設計。

當系統發生故障,需要故障診斷、設備替換時,系統依舊能夠實現功能,進行指揮作業,這也是采取該冗余設計的意義所在?！緢D5】


3.2 可靠性試驗
指揮系統的可靠性試驗是基于軟硬件相結合的角度,在 系 統 層 面 上 進 行。試 驗 分 為 兩 個 部 分:①在可靠性仿真試驗環境中,按照系統功能、業務流程、性能指標生成各個測試用例對系統進行連續不間斷72h測試,以及系統聯試過程中的聯試報告累積。②后期在用戶提供的真實應用環境中,進行試用,在試用過程中記錄整個過程。

試驗過程中,記錄系統發生的全部故障,并在試驗后進行數據分析,明確責任與非責任故障;最終根據試驗方案和責任故障總數,可以判斷出指揮控制系統的可靠性試驗是否通過,同時這些資料也會成為后續項目中,對各組成可靠性預計的基礎。

4 結束語

經過可靠性評估與可靠性試驗證明了該可靠性設計的可用性。同時,多個產品采用此設計,其有效性在長期運行中得到了有效檢驗。在多個海外項目實施過程中,也發現了外方提供的通信系統不可靠性對系統運行影響很大,可以在后繼的研究中,將外方提供的系統運行保障條件統一納入可靠性設計。

參 考 文 獻
[1]代緒強,朱駿,朱云飛.指揮控制系統軟件可靠性試驗方法及其應用[J].指揮信息系統與技術,2013\\(04\\):4.
[2]張文育,王家伍,劉燕超,等.載人航天工程地面逃逸安控系統可靠性技術[J].裝備指揮技術學院學報,2006\\(10\\):10-17.
[3]巴海 濤,湯 扣 林,許 銳 鋒.維 修 指 揮 信 息 系 統 可 靠 性 設計[J].指揮信息系統與技術,2010,1\\(4\\):32237
[4]曾聲奎,趙延弟,張建國,等.系統可靠性設計分析教程[M].北京:北京航空航天大學出版社,2006.
[5]王海濤,李敏.戰術通信環境中的網絡規劃和管理[J].數據通信,2010\\(04\\):6-9.