浅谈嵌入式系统的高可用性

　　设计人员正在调整各种高可用体系结构，以满足客户对用于下一代超级可靠嵌入式系统应用的持久数据接口的需求。嵌入式系统是“控制、监视或者辅助装置、机器和设备运行的装置”（devices used to control, monitor, or assist the operation of equipment, machinery or plants）。从中可以看出嵌入式系统是软件和硬件的综合体，还可以涵盖机械等附属装置。目前国内一个普遍被认同的定义是：以应用为中心、以计算机技术为基础、软件硬件可裁剪、适应应用系统对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。嵌入式系统是以应用为中心，以计算机技术为基础，软硬件可裁剪，适用于应用系统，对功能、对可靠性、成本、体积、功耗有严格要求的专用计算机系统。

　　要点

　　高速串行数据链路和交换结构技术实现动态路径，人们能围绕不可操作的子系统重新设定信息路由。

　　管理软件自动监视系统工作，并在发生故障或性能降低时用冗余元件来替换。

　　热插拔特性实现无中断的修理和升级，并为发展容错自愈系统铺平了道路。

　　刀片计算机集群以更低的采购和运营成本支持可扩展、高密度、高可用的服务器系统。

　　随着普适计算时代的到来，嵌入式系统设计人员在提高服务器、远程设备、数据传输基础设施的可用性方面承受着日益增大的压力。终止或重启其中一些关键应用系统需要承担人身财产或重要信息损失的风险。在满足这些要求的过程中，嵌入式系统设计者运用各种智能硬件和软件冗余技巧在日常运行中实现高达 99.999% 的可用性，嵌入式系统必须根据应用需求对软硬件进行裁剪，满足应用系统的功能、可靠性、成本、体积等要求。所以，如果能建立相对通用的软硬件基础，然后在其上开发出适应各种需要的系统，是一个比较好的发展模式。目前的嵌入式系统的往往是一个只有几K到几十K微内核，需要根据实际的使用进行功能扩展或者裁减，但是由于微内核的存在，使得这种扩展能够非常顺利的进行。

　　“高可用性”描述系统特性，它们使系统在发生硬件或软件故障时能够保持连续工作。高可用系统具有内置监视和复制数据路径，透明地取代可选硬件或软件组件复制正常功能，在出现故障时也能照常工作。一般而言，高可用性系统还支持在不中断运行的前提下替换故障组件或升级。随着通用连接的问世，数据安全也成了可用性的一个要素，这是因为未授权的黑客、恶意软件或外部“拒绝服务”攻击会导致预期功能中断。

　　高可用性对于越来越多的嵌入式系统应用都变得十分必要，而不断提高的技术趋势使系统设计任务日益困难。例如，可以预见，随着客户需要嵌入式设备中有更多功能，增加的硬件和软件组件带来了新的故障模式。显然，增加的的组件不利于达到更高的可用性，甚至产生其它冗余性，从而不断加剧系统复杂性。当前向普遍连接发展的趋势也给高可用嵌入式系统设计者带来了许多数据安全与通信可靠性问题。实际上，嵌入式系统本身是一个外延极广的名词，凡是与产品结合在一起的具有嵌入式特点的控制系统都可以叫嵌入式系统，而且有时很难以给它下一个准确的定义。现在人们讲嵌入式系统时，某种程度上指近些年比较热的具有操作系统的嵌入式系统，本文在进行分析和展望时，也沿用这一观点。

　　不间断运行

　　当前多数用于提高服务可用性的诀窍和技巧均源自电信行业。多年来，电信设备制造商设计了多种方案，以便提供不间断的服务，即使发生硬件和软件故障也是如此。遗憾的是，多数方案都是专有的，维护费用高，并且难以在要求演变时进行更新。它们还需要很长的开发周期。设备设计者无法利用 COTS（商用现货）构件，这是因为没有通用内置设备提高服务可用性。

　　智能平台管理接口 （IPMI） 是一种开放标准的硬件管理接口规格，定义了嵌入式管理子系统进行通信的特定方法。IPMI 信息通过基板管理控制器 （BMC）（位于 IPMI 规格的硬件组件上）进行交流。使用低级硬件智能管理而不使用操作系统进行管理，具有两个主要优点： 首先，此配置允许进行带外服务器管理；其次，操作系统不必负担传输系统状态数据的任务。IPMI是智能型平台管理接口（Intelligent Platform Management Interface）的缩写，是管理基于 Intel结构的企业系统中所使用的外围设备采用的一种工业标准，该标准由英特尔、惠普、NEC、美国戴尔电脑和SuperMicro等公司制定。用户可以利用IPMI监视服务器的物理健康特征，如温度、电压、风扇工作状态、电源状态等。而且更为重要的是IPMI是一个开放的标准，用户无需为使用该标准而支付额外的费用。

　　为了限度发挥 IPMI 的优势，设备客户需要具备热插拔功能，以便在不关闭系统的情况下替换出故障的系统板。热插拔系统要求硬件和软件能够在等待修理的同时，动态设定信号路由，使其绕过出故障的组件。必备热插拔技术之一是系统板和背板之间的物理连接。如果不控制电源涌流和背板信号连接，简单直连可能会干扰总线上的其它板。例如，CompactPCI 利用不同长度的分级引脚来控制通向背板的物理连接。卡片导向器确保板的插入垂直于背板。较长的引脚首先对接、供电并接地，以便对 PCI 总线信号预充电。

　　防故障交换结构

　　串行交换结构技术是另一种设计创新，对于高可用性系统有多种好处。这些体系结构允许在计算节点之间设立动态数据路径，并支持多路并发数据传输。交换结构的一个主要好处是，每条连接均为直接的点到点数据路径，并带来更好的电特性，允许的频率和带宽高于总线体系结构。典型的交换结构使用多级开关在源和目标之间建立路由。这些动态路径对于高可用性设计也很有价值，使人们能围绕不可操作的子系统设定数据路由。多数主要电路板标准现在都规定交换结构，尽管它们并未提出具体的交换结构技术实现数据传输。与此相反，一系列附属规范为以太网、InfiniBand、StaRFabric、PCI Express、RapidIO 等各种交换结构对背板进行详细定义。

　　VITA（VMEbus International Trade Association）41 VXS 为广泛应用的 VMEbus （Versa-module eurocard bus）增添了一些交换结构技术高可用性优势。VXS 规范定义了一种有效载荷卡、一种交换卡、一种新型高带宽背板连接器，并保留标准的并行 VMEbus 连接器。每个新型交换结构端口均包含两组四联串行位通道——一组用于输入数据，另一组用于输出数据，对于每条串行通道均支持 10 Gbps 数据速率。交换卡包含必要的结构交换功能，以便在有效负荷卡之间或围绕故障设定串行数据路由，或使其绕过故障。

　　PICMG（PCI Industrial Computer Manufacturers Group）针对电信设备的独特要求，发布了 ATCA 规范，提供 VME 和 CompactPCI 等开放体系结构的替代结构。ATCA 重点强调高可用性特性，采用高速串行数据链路和交换结构技术。超大板面积支持复杂的电信电路，并提供输入电源和冷却功能，实现每插槽高达 200 W 的功率。ATCA 规范具有适用于所有板和有源模块的热插拔功能，因此限度减少系统中断。一个机架管理元件（其规范基于IPMI）监视各插入模块的健康、功率、冷却甚至键控情况，以确保各子系统在高效率工作。