一种成员和任务综合管理系统

摘要

本申请提供一种成员和任务综合管理系统，所述高安全分布式计算机系统(101)包括N个计算机节点(103)，每个计算机节点(103)均包括总线网络端节点(104)和成员和任务综合管理模块(105)，其中：总线网络端节点(104)均与总线网络系统(102)连接，用于与总线网络系统(102)通讯，采用时间触发协议进行成员和任务综合管理数据包的传输；每个计算机节点(103)的成员和任务综合管理模块(105)均包括：综合管理核心模块(10)、本机状态监测模块(20)、节点任务配置检测模块(30)、信息接收及检验解码模块(40)、信息检验编码及发送模块(50)、节点故障安全模块(60)、他机任务状态监测模块(70)、软件接口模块(80)。

说明书

技术领域

本申请涉及高可靠嵌入式计算机设计领域，具体涉及一种成员和任务综合管理系统。

背景技术

高安全领域计算机系统的高安全性需求通常需要多个冗余的计算机来执行相同的任务形成多余度的计算机系统才能满足，计算机之间必须进行相互的表决并进行故障判定，故障模块即是用于传递计算机间的自身有效信息和故障判定信息，因此其可靠性必须远高于计算机系统本身的可靠性，传统的的通道故障模块设计适用于计算控制等资源集中的基于通道降级的多余度单任务冗余计算机系统。但是随着技术进步，嵌入式领域逐渐应用分布式的计算机系统，不同的计算和控制资源分布在不同的计算机节点，各计算机节点均具有执行任务的能力，但是基于安全性需求并不需要所有计算机节点执行相同的任务，但是允许计算机节点故障时，其他计算机节点感知后进行任务迁移，基于通道的故障模块设计已经不能适用分布式的计算机系统，必须根据各计算机节点的计算机节点状态信息和任务状态信息进行计算机节点成员和任务的综合化管理，主要原因在于：1.基于通道的故障模块的状态传输使用电路简单可靠性较高的离散量，通道数为n的计算机系统，单通道所需故障模块离散量约为2的n次幂，随着通道数的增加，所需资源为指数级增加，因此只能面向集中式的计算机系统，通常基于通道降级的多余度冗余计算机系统通道数通常为2－4个，而分布式计算机系统参与故障模块的计算机节点可能达数十个，采用相同的方式传输状态量，传输线成指数级增长，故障模块系统本身及对应电路的可靠性会远低于计算机系统本身的可靠性，其传达的状态结果已经不能表征输入的状态，因此新的适用于分布式计算机系统的成员管理及任务管理系统，必须采用新的机制，并保证其其确定性和完整性；2.基于通道的故障模块本身仅有一个层级——计算机通道，各计算机的任务相同，只需要考虑一个层级，而分布式计算机系统的多任务和任务间重构反而是重要特征，因此，新的适用于分布式计算机系统的成员管理及任务管理系统，必须采用新的机制，适应计算机成员和任务的多层级综合管理。

发明内容

为了解决上述技术问题，本申请提供一种成员和任务综合管理系统，能够完成计算机节点间计算机节点状态和任务状态的指示及认可信息，同时可根据计算机节点及任务的重构完成动态适应，可支持高安全分布式计算机系统多计算机节点、多任务的成员和任务综合管理需求。

本申请提供一种成员和任务综合管理系统，所述高安全分布式计算机系统(101)包括N个计算机节点(103)，所述N不小于3，每个计算机节点(103)均包括总线网络端节点(104)和成员和任务综合管理模块(105)，其中：

每个计算机节点(103)的总线网络端节点(104)均与总线网络系统(102)连接，用于与总线网络系统(102)通讯，采用时间触发协议进行成员和任务综合管理数据包的传输；

每个计算机节点(103)的成员和任务综合管理模块(105)均包括：综合管理核心模块(10)、本机状态监测模块(20)、BIT测试结果检测模块(21)、电源监控结果检测模块(22)、任务运行状态检测模块(23)、节点任务配置检测模块(30)、节点ID测试模块(31)、任务ID测试模块(32)、节点－任务－周期配置表(33)、信息接收及检验解码模块(40)、信息检验编码及发送模块(50)、节点故障安全模块(60)、他机任务状态监测模块(70)、软件接口模块(80)。

具体的，所述成员和任务综合管理数据包包括含校验位的计算机ID、计算机节点状态信息、各任务的ID、各任务的状态信息、各任务的帧周期计数和数据负载区校验码。

具体的，所述综合管理核心模块(10)，用于接收本机状态监测模块(20)发送的计算机节点自身状态信息和所运行各个任务的状态信息、节点任务配置检测模块(30)发送的计算机节点任务配置检测结果、信息接收及检验解码模块(40)发送的其他计算机节点信息；生成计算机节点状态信息和本计算机节点各任务的状态信息；同时将所述计算机节点状态信息和本计算机节点各任务的状态信息发送至节点故障安全模块(60)；

其中，其他计算机节点信息包括其他计算机节点的计算机节点状态信息、计算机节点所运行任务的状态信息、指示本计算机节点的计算机节点状态信息和指示本计算机节点任务的状态信息该信息。

具体的，本机状态监测模块(20)，用于接收BIT测试结果检测模块(21)发送的计算机节点状态的BIT测试结果和各任务的BIT测试结果、电源监控结果检测模块(22)发送的计算机节点状态的电源监控测试结果和各任务的电源监控测试结果及任务运行状态检测模块(23)发送的计算机节点运行状态监控结果和计算机节点所运行各任务的运行状态监控结果；生成本计算机节点的计算机节点自身状态和任务状态；将所述本计算机节点的计算机节点自身状态和任务状态发送至综合管理核心模块(10)；

电源监控结果检测模块(22)，根据软件和硬件执行的各个电源的电源监控测试项及其影响范围以及对应的监控测试结果，综合得出计算机节点状态的电源监控测试结果和各任务的电源监控测试结果，将所述计算机节点状态的电源监控测试结果和各任务的电源监控测试结果发送至本机状态监测模块(20)；

任务运行状态检测模块(23)，包括所有任务共用功能部分配置帧计数累加判断和超时判断模块，和每个任务独立功能部分分别配置各自的帧计数累加判断和超时判断模块，采用帧计数累加判断方法和超时判断方法，得出计算机节点运行状态监控结果和计算机节点所运行各任务的运行状态监控结果，将所述计算机节点运行状态监控结果和计算机节点所运行各任务的运行状态监控结果发送至本机状态监测模块(20)。

具体的，节点任务配置检测模块(30)，根据节点ID测试模块(31)给出的计算机节点ID和计算机节点ID状态，任务ID测试模块(32)给出的的任务ID和任务ID状态，同时根据任务ID测试模块(32)给出的计算机节点ID从节点－任务－周期配置表(33)中读出该计算机节点ID对应的所有任务ID，再同任务ID测试模块(32)给出的任务ID匹配。匹配不一致、计算机节点ID状态错误、任务ID状态错误均代表任务配置检测故障，配置检测故障结果发送给综合管理核心模块(10)，配置检测故障结果和任务ID发送给信息接收及检验解码模块(40)；节点－任务－周期配置表(33)，存储了分布式计算机系统的各计算机节点的有效计算机节点ID、计算机节点ID所配置的可执行的所有任务的任务ID、不同任务的重构优先级、各任务的执行周期等。

具体的，信息接收及检验解码模块(40)，接收节点任务配置检测模块(30)给出的的配置检测故障结果和任务ID得到有效的任务ID，对总线网络端节点(104)使用时间触发协议收到的成员和任务综合管理数据包的数据负载区进行筛选，仅筛选出与本计算机节点任务ID相同的其他计算机节点的计算机节点状态信息和相同任务ID的任务状态信息，然后对筛选出的信息进行校验解码并按照节点－任务－周期配置表(33)进行匹配检测，仅保留正确信息；根据这些筛选后的正确信息，获得其他计算机节点的计算机节点状态信息、其他计算机节点的计算机节点所运行任务的状态信息、指示本计算机节点的计算机节点状态信息和指示本计算机节点任务的状态信息；将所述获得的信息发送给综合管理核心模块(10)；同时信息接收及检验解码模块(40)根据所述配置检测故障结果和任务ID，筛选出有效的任务ID的任务周期，按所述任务周期进行对应状态信息的超时检测，不按任务周期接收的数据视为无效数据。

具体的，节点故障安全模块(60)，接收信息检验编码及发送模块(50)发送的本计算机节点状态，如果在所述任务周期内收到无效状态或在所述任务周期内未收到信息，则锁存任务故障状态，并向总线网络端节点(104)发送禁止信号，禁止总线网络端节点(104)对外输出信息；

同时根据信息检验编码及发送模块(50)的本计算机任务状态，如果在所述任务周期内收到无效状态，或在所述任务周期内未收到信息，则锁存任务故障状态，并产生任务故障指示，用以禁用本计算机内与该任务相关的输出接口。

具体的，他机任务状态监测模块(70)，具有超时检测模块，如果在规定的时间周期内接收80发送的软件指示其他计算机节点状态和任务状态信息，并发送给50，，如果在规定的时间周期内未收到80发送的软件指示其他计算机节点状态信息，则将指示其他计算机节点状态信息设置为故障发给50，如果在规定的时间周期内未收到80发送的软件指示其他计算机某一任务状态信息，则将指示其他计算机某一任务状态信息设置为故障发给50。

具体的，所述总线网络系统(102)支持时间触发协议进行数据传输，总线网络系统(102)采用总线方式或者交换网络方式实现。

综上所述，通过上述方案，该成员和任务综合管理模块可以完成计算机节点间计算机节点状态和任务状态的指示及认可信息，同时可根据计算机节点的重构完成动态适应，可支持高安全分布式计算机系统多计算机节点、多任务的成员和任务综合管理需求。

附图说明

图1为本发明提供的一种成员和任务综合管理系统的组成示意图。

具体实施方式

高安全领域计算机系统的高安全性需求通常需要多个冗余的计算机来执行相同的任务形成多余度的计算机系统才能满足，计算机之间必须进行相互的表决并进行故障判定，在联合式的高安全计算机架构中，计算控制等资源集中，传统的通道故障模块设计适用于这种基于通道降级的多余度单任务冗余计算机系统。但是随着技术进步，高安全嵌入式领域逐渐应用分布式的计算机系统，不同的计算和控制资源分布在不同的计算机节点，各计算机节点均具有执行多种任务的能力，不同的计算机节点执行相同或不同的任务，基于更高安全性和更高可用性需求下，还要允许计算机节点故障时，其他计算机节点感知后进行任务迁移，基于通道的故障模块设计已经不能适用高安全的分布式计算机系统，主要原因在于：1.基于通道的故障模块的状态传输使用电路简单可靠性较高的离散量，通道数为n的计算机系统，单通道所需故障模块离散量约为2的n次幂，随着通道数的增加，所需资源为指数级增加，而且基于硬件堆叠的资源不可复用，可交换的信息极少，分布式计算机系统参与故障模块的计算机节点可能达数十个，采用相同的方式传输状态量，传输线成指数级增长，不仅代价巨大，而且故障模块系统本身及对应电路的可靠性会远低于计算机系统本身的可靠性，其传达的状态结果已经不能表征输入的状态；2.基于通道的故障模块本身仅有一个层级——计算机通道，各计算机的任务相同，而分布式计算机系统的多任务及任务重构是其重要特征，分布式计算机系统至少分两个层级，计算机节点和计算机节点所运行的任务两级级。针对这些问题，本发明提出一种适用于高安全分布式系统的成员和任务综合管理模块及控制方法，通过高确定性和高完整的信息传输方式，完成计算机节点间计算机节点状态和任务状态的指示及认可信息，同时可根据计算机节点和任务的重构完成动态适应，可实现分布式计算机系统多计算机节点、多任务的成员和任务综合管理。

该成员和任务综合管理模块与计算机节点类型和任务类型强相关，而且使用了高确定、高完整的成员和任务综合管理模块数据包格式和成员和任务综合管理模块数据包传输方式，因此分布式计算机系统也可包含不需要成员和任务综合管理模块的计算机，而这类计算机节点及任务也不会影响其他计算机节点的成员和任务综合管理模块。通过以上分析，该成员和任务综合管理模块不仅适用于高安全的分布式式计算机系统，也适用于包含高安全功能的其他类型分布式计算机系统。

本发明的技术方案

本发明采用分布式计算机系统的总线网络、成员和任务综合管理的信息传输方式、各计算机节点的成员和任务综合管理模块等共同构成适用于高安全分布式计算机系统的成员和任务综合管理模块。

高安全分布式计算机系统的各计算机节点间的连接必须采用总线网络系统，所采用的总线网络系统必须支持时间触发协议传输消息，位于各计算机节点的总线网络端节点也必须与支持总线网络系统的时间触发协议，以支持成员和任务综合管理信息的确定性和完整性传输。高安全分布式计算机系统的各计算机节点从不同的分类角度可分为任务可重构计算机节点和任务不可重构计算机节点，单任务计算机节点和多任务计算机节点。不论何种类型节点，只要参与任务表决、监控的各计算机节点均包含成员和任务综合管理模块，另外参与任务迁移的各计算机节点均包含成员和任务综合管理模块。

分布式计算机系统必须设计包含系统内所有计算机节点的节点－任务－周期配置表，内容包括分布式计算机系统的各计算机节点的有效计算机节点ID、计算机节点ID所配置的可执行的所有任务的任务ID、不同任务的重构优先级、各任务的执行周期，校验信息等，每台计算机可仅存储于自身计算机节点的相关的计算机节点－任务－周期配置部分，也可储存全部细信息。

分布式计算机系统的成员和任务综合管理数据包内容包括：包头，包头检验码，数据长度，数据长度校验码，数据负载区，数据包校验码。数据负载区包括：计算机ID(含校验位)，计算机节点状态信息，各任务的ID，各任务的状态信息，各任务的帧周期计数，数据负载区校验码。数据负载区的帧周期计数必须由软件填写，不允许硬件电路自动生成。数据包在总线网络的传输必须采用时间触发协议进行周期性传输，总线网络端节点对从总线网络上收到的基于时间触发协议成员和任务综合管理数据包进行所采用网络协议的包头、数据长度、数据包检验等校验检查，正确则将数据负载区发送给计算机节点的成员和任务综合管理模块，错误则丢弃并记录；从计算机节点的成员和任务综合管理模块收到的数据负载区增加必要的包头、长度、数据包检验等信息以满足总线协议格式要求，同时根据成员和任务综合管理模块是否使能来进行发送或者丢弃并记录。

成员和任务综合管理数据包在总线网络上传输必须采用时间触发协议，总线网络端节点依据通过总线网络上收到的基于时间触发协议成员和任务综合管理数据包进行网络协议包头、数据长度、数据包检验等校验检查，校验正确则将数据负载区信息接收及检验解码模块，错误则丢弃并记录；将通过信息检验编码及发送模块收到的数据负载区增加必要的包头、长度、数据包检验等信息按照成员和任务综合管理数据包格式组包，如果节点故障安全模块允许发送，则按照时间触发协议发送到总线网络，否则丢弃并记录。总线网络系统将从某一总线网络端节点收到的所有成员和任务综合管理数据包通过时间触发协议发给连接总线网络的其他所有的总线网络端节点。

位于计算机节点的成员和任务综合管理模块从模块功能可划分为综合管理核心模块、本机状态监测模块、BIT测试结果检测模块、电源监控结果检测模块、任务运行状态检测模块、节点任务配置检测模块、节点ID测试模块、任务ID测试模块、节点－任务－周期配置表、信息接收及检验解码模块、信息检验编码及发送模块、节点故障安全模块、他机任务状态监测模块、软件接口模块。

综合管理核心模块依据本机状态监测模块给出的计算机节点自身状态信息和所运行各个任务的状态信息，节点任务配置检测模块给出的计算机节点任务配置检测结果，信息接收及检验解码模块给出的其他计算机节点的计算机节点状态信息、其他计算机节点的计算机节点所运行任务的状态信息、指示本计算机节点的计算机节点状态信息和指示本计算机节点任务的状态信息该信息，综合得出本计算机节点的计算机节点状态信息和本计算机节点各任务的状态信息，同时把如果本计算机节点状态发送至节点故障安全模块。

本机状态监测模块根据BIT测试结果检测模块给出的计算机节点状态的BIT测试结果和各任务的BIT测试结果、电源监控结果检测模块给出的计算机节点状态的电源监控测试结果和各任务的电源监控测试结果及任务运行状态检测模块给出的计算机节点运行状态监控结果和计算机节点所运行各任务的运行状态监控结果，综合得出本计算机节点的计算机节点自身状态和任务状态，这些信息发送给综合管理核心模块。

BIT测试结果检测模块根据软件和硬件执行的BIT测试项及其影响范围(计算机节点、某一个任务、某几个任务)以及对应的测试结果，综合得出计算机节点状态的BIT测试结果和各任务的BIT测试结果。

电源监控结果检测模块根据软件和硬件执行的各个电源的电源监控测试项及其影响范围(计算机节点、某一个任务、某几个任务)以及对应的监控测试结果，综合得出计算机节点状态的电源监控测试结果和各任务的电源监控测试结果。

任务运行状态检测模块为所有任务共用功能部分配置帧计数累加判断和超时判断模块，为每个任务独立功能部分分别配置各自的帧计数累加判断和超时判断模块，综合采用帧计数累加判断方法和超时判断方法，综合得出计算机节点运行状态监控结果和计算机节点所运行各任务的运行状态监控结果。

节点任务配置检测模块根据节点ID测试模块给出的计算机节点ID和计算机节点ID状态，任务ID测试模块给出的的任务ID和任务ID状态，同时根据任务ID测试模块给出的计算机节点ID从节点－任务－周期配置表中读出该计算机节点ID对应的所有任务ID，再同任务ID测试模块给出的任务ID匹配。匹配不一致、计算机节点ID状态错误、任务ID状态错误均代表任务配置检测故障，配置检测故障结果发送给综合管理核心模块，配置检测故障结果和任务ID发送给信息接收及检验解码模块。

节点ID测试模块根据计算机节点ID输入和计算机节点ID校验输入信息，校验计算机节点ID是否正确，将计算机节点ID和计算机节点ID状态发给节点任务配置检测模块。

任务ID测试模块根据任务ID输入和任务ID校验输入信息，校验任务ID是否正确，将任务ID和任务ID状态发给节点任务配置检测模块。

信息接收及检验解码模块依据节点任务配置检测模块给出的的配置检测故障结果和任务ID得到有效的任务ID，对综合管理核心模块使用时间触发协议收到的其他计算机节点的数据负载区进行筛选，仅筛选出与本计算机节点任务ID相同的其他计算机节点的计算机节点状态信息和相同任务ID的任务状态信息，然后对这些信息进行校验解码并按照节点－任务－周期配置表给出的配置表进行匹配检测，仅保留正确信息，对这些筛选后的信息进行综合，综合出其他计算机节点的计算机节点状态信息、其他计算机节点的计算机节点所运行任务的状态信息、指示本计算机节点的计算机节点状态信息和指示本计算机节点任务的状态信息，以上信息发送给综合管理核心模块；同时信息接收及检验解码模块需要检出依据节点任务配置检测模块给出的的配置检测故障结果和任务ID得到有效的任务ID的任务周期，按周期进行对应状态信息的超时检测，不按任务周期接收的数据视为无效数据，为保证系统的可用性，超时模块设置为任务周期的倍数(≥2)；同时信息接收及检验解码模块需要对接收的数据包的小帧计数进行检测，不符合累加规则(见信息检验编码及发送模块)的数据视为无效数据。

信息检验编码及发送模块将他机任务状态监测模块给出的本计算机节点指示其他计算机节点成员状态和指示其他计算机节点任务状态的信息，综合管理核心模块给出的本计算机节点状态和本计算机节点任务状态的信息，进行编码符合91格式，发送到综合管理核心模块4；将本计算机节点状态信息和任务状态信息发送给节点故障安全模块。

节点故障安全模块具有超时检测模块，接收来自信息检验编码及发送模块的本计算机节点状态，如果在规定的时间周期内收到无效状态或在规定的时间周期内未收到信息，则锁存任务故障状态，并发送综合管理核心模块4禁止信号，禁止综合管理核心模块4对外输出信息，否则为使能状态，允许综合管理核心模块4对外输出信息；同时根据来自信息检验编码及发送模块的本计算机任务状态，如果在规定的时间周期内收到无效状态或在规定的时间周期内未收到信息，则锁存任务故障状态，并产生任务故障指示，用以禁用本计算机内与该任务相关的输出接口。

他机任务状态监测模块具有超时检测模块，如果在规定的时间周期内接收软件接口模块发送的软件指示其他计算机节点状态和任务状态信息，并发送给信息检验编码及发送模块，，如果在规定的时间周期内未收到软件接口模块发送的软件指示其他计算机节点状态信息，则将指示其他计算机节点状态信息设置为故障发给信息检验编码及发送模块，如果在规定的时间周期内未收到软件接口模块发送的软件指示其他计算机某一任务状态信息，则将指示其他计算机某一任务状态信息设置为故障发给信息检验编码及发送模块。

软件接口模块设置由与主机总线接口的总线译码模块和若干寄存器，寄存器连接包括综合管理核心模块、本机状态监测模块、BIT测试结果检测模块、电源监控结果检测模块、任务运行状态检测模块、节点任务配置检测模块、节点ID测试模块、任务ID测试模块、节点－任务－周期配置表、信息接收及检验解码模块、信息检验编码及发送模块、节点故障安全模块、他机任务状态监测模块等模块的内部状态和所传递信息，以使软件可以获取综合管理核心模块所有的状态和内部传递信息及错误记录信息。

综上所述，本发明提出一种适用于高安全分布式系统的成员和任务综合管理模块及控制方法，本计算机节点成员和任务综合管理模块在不增加额外资源开销的情况下，完成计算机节点间计算机节点状态和任务状态的指示及认可信息，同时可根据计算机节点和任务的重构完成动态适应，可支持高安全分布式计算机系统多计算机节点、多任务的成员和任务综合管理需求。