周 虎，段 然 ，凌 震，李文婷，盧 波

(1. 北京航天自動控制研究所,北京 100854; 2.宇航智能控制技術國家級重點實驗室,北京 100854)

0 引言

隨著軍民融合政策逐步上升為國家戰(zhàn)略，航天運輸系統(tǒng)的商業(yè)化競爭日趨激烈，對型號研制進度、研制經費與研制質量等提出更高的要求。我國傳統(tǒng)型號運載器設計采用“系統(tǒng)—分系統(tǒng)—功能單機”的思路，便于集中專業(yè)技術力量開展研發(fā)工作，但客觀上存在集成度低、通用性差等弊端。特別是任務需求、結構組成均類似的型號電氣系統(tǒng)實現(xiàn)方式不統(tǒng)一，需要單獨研制、生產、驗收、試驗，在很大程度上造成了各類資源的浪費和設計反復，制約了運載器的低成本和任務快速響應。

綜合電子系統(tǒng) (Integrated Modular Avionics, IMA)的概念發(fā)端于航空領域[1]。綜合電子系統(tǒng)本質上是一個高度開放的分布式實時計算系統(tǒng)，它以通用綜合處理器為核心，通過高速數(shù)據(jù)總線實現(xiàn)傳感器、子系統(tǒng)等信息互聯(lián)，形成具備“系統(tǒng)結構綜合化”和“使用功能綜合化”特征的統(tǒng)一控制、調度能力[2]。

國外最新衛(wèi)星平臺大多采用了星載綜合電子系統(tǒng)。如法國Thales Alenia Space公司研制的Spacebus 4000平臺基于先進Avionics 4000綜合電子系統(tǒng)，可由中心計算機通過外部數(shù)據(jù)總線與接口單元進行信息交互，具有姿軌控、數(shù)據(jù)管理、供配電等功能[3]。NASA在2010年研制的Orion飛船電子系統(tǒng)同樣完全采用綜合電子架構，通過飛船管理計算機、高速實時以太網和數(shù)據(jù)單元共同構成基本的信息傳輸與處理設備[4]。歐空局下一代運載火箭航電設備演示器計劃也提出了航天運載器綜合電子系統(tǒng)架構，在該架構下所有的電子設備被抽象為一個模塊化信息處理單元(Modular Data Handling Block，MDHB-X)，每個信息處理單元由不同的功能模塊組成。不同功能模塊的組合實現(xiàn)了具有不同功能的信息處理單元，而各處理單元通過通信系統(tǒng)互聯(lián)構成航天運載器中的各分系統(tǒng)。這種系統(tǒng)架構采用模塊化、通用化的設計理念，可以避免針對不同航天器的重復研發(fā)工作，同時有利于實現(xiàn)電子系統(tǒng)的軟硬件資源共享[5]。

借鑒國外綜合電子設計思路，構建資源與信息共享的統(tǒng)一開放式運載器電氣系統(tǒng)體系架構，配合標準化、模塊的貨架產品實現(xiàn)系統(tǒng)基本功能，僅通過更換個別單元即能夠滿足不同型號應用需求，便于原系統(tǒng)升級改造和適應運載器多任務特性。特別是能夠在保證電氣系統(tǒng)可靠性與良好擴展性的前提下，實現(xiàn)系統(tǒng)快速集成，這對于縮短研制周期、降低研制成本、提升裝備全生命周期等綜合競爭力有著十分明顯的作用。

1 電氣系統(tǒng)方案

1.1 功能需求

運載器電氣系統(tǒng)主要完成導航、制導、控制、測量、檢測與診斷、安全自毀、供配電等功能。其本質上是對運載器的各種傳感器測量或接收到的各種運動、環(huán)境信息按要求進行相應的解算處理，并通過執(zhí)行機構實現(xiàn)預期控制功能的過程[6]。

某型三級運載器面向深空探測、載人登月等不同任務模式，總裝后箭體高度近百米。一方面，要求電氣系統(tǒng)采用通用化方案適應運載器各種構型變化的同時，能夠基于合理的冗余容錯架構保證電氣系統(tǒng)的健壯性與長時間在軌可靠飛行能力。另一方面，任務本身對大推力高精度飛行控制、自主彈道規(guī)劃、故障診斷與自適應控制等能力的客觀需求，也對電氣系統(tǒng)通過軟、硬件資源集成管理與優(yōu)化配置實現(xiàn)大容量數(shù)據(jù)傳輸與高性能計算提出了挑戰(zhàn)。

1.2 系統(tǒng)方案

根據(jù)系統(tǒng)功能需求，一種基于綜合電子系統(tǒng)的三級運載器可行電氣系統(tǒng)結構如圖1所示。該方案采用分布式集成控制組合模式，運載器各級共配置4臺基于VPX結構[7]的控制組合，不同功能單元以標準板卡形式分別插入到組合機箱中。機箱設計通用背板實現(xiàn)功能板卡間的控制與信息交互功能。機箱中信息感知單元是用于獲取運載器飛行狀態(tài)以及內部環(huán)境信息等的慣組與測量模塊；執(zhí)行單元主要包括伺服機構控制器、火工品、電磁閥控制器、安控模塊等功率控制設備。機箱內信息感知、信息處理以及執(zhí)行機構驅動單元均采用高可靠的三冗余設計方案。

相比于一、二級，火箭三級電氣系統(tǒng)包含安控、衛(wèi)星導航接收機、慣組、箭機等功能模塊，結構與功能實現(xiàn)相對復雜，故配置2臺組合機箱。其中，各級電氣系統(tǒng)中受安裝位置約束，難以集成在組合機箱內的部分設備，如各類傳感器、速率陀螺等未在圖1中顯示。各功能板卡均采取適當?shù)娜哂嘣O計方案，以滿足系統(tǒng)容錯與故障隔離要求。

圖1 某型三級運載器電氣系統(tǒng)結構Fig.1 Topology of electronic system for launch vehicle with 3 stages

2 系統(tǒng)任務規(guī)劃

2.1 任務分析

根據(jù)功能需求，對電氣系統(tǒng)部分任務屬性、硬件資源需求、預期的處理時間開銷、控制周期等進行分析，如表1所示。其中，周期性信息處理模塊的預期開銷表示在1GHz的CPU主頻下完成該信息處理功能所需要的運行時間。

表1 電氣系統(tǒng)任務分析

由表1可知，電氣系統(tǒng)各任務關鍵程度不同，執(zhí)行周期不同，計算資源開銷也不同。由于各類硬件和軟件故障情況難以避免，如死線超時、內存破壞、硬件失效等，若直接在普通操作系統(tǒng)中運行系統(tǒng)任務，很可能出現(xiàn)因相互耦合導致部分任務功能失效、乃至影響其他任務特別是制導、姿控任務執(zhí)行的情況。因此，面向長時間工作及復雜飛行環(huán)境下系統(tǒng)級容錯控制需求，在傳統(tǒng)三模冗余表決機制的基礎上，采用少量的計算模塊實現(xiàn)同等程度的容錯能力，進一步提高系統(tǒng)容錯能力和資源利用效率，是必須考慮的問題。

2.2 系統(tǒng)任務分區(qū)

以多核處理器為核心，在支持分時分區(qū)的嵌入式操作系統(tǒng)，如VxWorks653等管理下實現(xiàn)電氣系統(tǒng)應用任務運行時間與資源空間的隔離[8]，是故障自動隔離與系統(tǒng)重構的前提和基礎。

以表1中集成組合機箱1為例，采用分區(qū)操作系統(tǒng)后，機箱中共集成3塊信息處理模塊，各信息處理模塊資源可做如下劃分：

1)自適應制導功能用于完成軌跡重規(guī)劃等異常情況下應急處理功能，任務周期為2000ms，其他控制任務周期大多為20ms，為不影響其他飛行控制功能實時性，因此將自適應制導功能運行于信息處理模塊1中。

2)將慣組、速率陀螺以及其他減載敏感裝置數(shù)據(jù)獲取與數(shù)據(jù)處理功能等運行在獨立的信息處理模塊2，以降低對飛行控制功能的影響。

3)其他飛行控制功能在信息處理模塊3中運行，功能總開銷滿足控制周期要求。

4)為減小集成控制單元模塊數(shù)量，每塊信息處理模塊上均設置3個CPU，各CPU分別配置獨立的內存和其他外設，形成硬件三冗余表決方案。

各信息處理模塊實現(xiàn)飛控與遙外測功能的同時，還需要考慮健康管理與故障恢復能力。因此，可對各信息處理模塊做如下分區(qū)規(guī)劃：

1)模塊1設置2個分區(qū)，分別為自適應控制和健康管理分區(qū)。

2)模塊2設置2個分區(qū)，分別為導航信息感知和數(shù)據(jù)處理、健康管理分區(qū)。

3)模塊3實現(xiàn)主要的飛行控制功能，設置4個分區(qū)，分別說明如下：

分區(qū)1：導航及攝動制導分區(qū)。慣性導航、組合導航以及攝動制導等耦合性較高，為其設置獨立分區(qū)。

分區(qū)2：姿控任務分區(qū)。

分區(qū)3：射前功能測試分區(qū)。包括配電控制、能源管理、系統(tǒng)性能測試等功能在內的獨立分區(qū)，起飛后該分區(qū)功能不再運行。

分區(qū)4：健康管理分區(qū)。用于集成控制組合全局仲裁與分布式站點管理，完成三取二表決和健康管理功能，通過記錄其他任務健康狀況，實施故障恢復與容錯控制。

3 總線通信體制

機箱內各功能單元之間、機箱之間、箭地設備之間均通過統(tǒng)一的高速實時總線實現(xiàn)互聯(lián)，以滿足大容量數(shù)據(jù)交互能力并簡化電氣系統(tǒng)總線設計難度。

3.1 總線拓撲結構

通用的網絡拓撲包括星型、線型、環(huán)型及總線型結構等。其中星型拓撲所有站點均與交換模塊連接。該結構下增加交換模塊端口數(shù)量即可實現(xiàn)站點擴容，站點間物理連接關系與信息邏輯鏈路基本一致，組網方便，但考慮交換模塊必須布置在箭體三級，受箭體高度影響，該類結構會存在數(shù)量可觀的長通信線，影響運載器有效載荷能力，且所有數(shù)據(jù)均通過交換模塊轉發(fā)，交換模塊異常會引發(fā)全局性通信故障，難以保證系統(tǒng)可靠性要求。相比星型拓撲，線型拓撲結構站點僅與相鄰兩個站點連接，在節(jié)約交換模塊的同時，極大地壓縮了通信線長度，有利于電纜減重，但串行化通信特點使得除端站點外，其余中間站點均構成單點故障，同樣難以滿足系統(tǒng)可靠性要求。環(huán)型網絡在線型拓撲基礎上進一步實現(xiàn)站點首尾相連，避免了站點或者鏈路一度故障引發(fā)的通信失效問題，可靠性得到了有效的改善，但信息需經鏈路上中間站點順序轉發(fā)，特別是隨著站點規(guī)模的增加，總線時延將逐漸增大，影響通信性能。而總線型拓撲節(jié)點間通信距離受限的劣勢，也使得其難以得到應用。

綜合考慮通信距離、箭上線纜質量、通信可靠性等約束條件，如圖1所示，運載器電氣系統(tǒng)可采用分級混合拓撲結構：箭上各組合機箱內采用雙星交換通信模式，組合間、箭地間基于交換機完成線型互聯(lián)。

該混合拓撲形式有著較為明顯的特點：一方面，線型互聯(lián)模式的應用整體上壓縮了箭上線纜質量和規(guī)模；另一方面，機箱內雙星冗余物理鏈路保證了系統(tǒng)的易擴展性與通信可靠性，而機箱空間約束與背板走線方式又在客觀上進一步優(yōu)化了線纜長度。

時間觸發(fā)以太網(Time Triggered Ethernet， TTE)總線是一種基于時間觸發(fā)機制的以太網總線。TTE基于精確的網絡同步協(xié)議，各個設備可以根據(jù)預先設定的調度表以總線時分復用方式進行時間觸發(fā)業(yè)務的傳輸，保證了時間觸發(fā)業(yè)務的無競爭性、實時性與傳輸確定性[9]。TTE采用千兆以太網通信時信號傳輸延遲<1μs，支持星型和多級網絡級聯(lián)等拓撲結構類型以及通信數(shù)據(jù)冗余傳輸，由于能夠向下兼容普通以太網，以太網技術的任何進步與性能提升成果(如總線帶寬由百兆升級為千兆速率)均可直接應用于電氣系統(tǒng)總線設計中而無需額外的驗證，因而可作為下一代航天綜合電子系統(tǒng)的總線標準，快速構建系統(tǒng)信息交互網絡。

3.2 數(shù)據(jù)流規(guī)劃

由表1列出的任務分析可知，電氣系統(tǒng)信息交互主要分為如下幾類：1)關鍵周期數(shù)據(jù)。主要為與飛行控制相關的各類信息，如信息處理模塊錄取的慣組輸出、信息處理模塊發(fā)送到伺服控制器的控制指令等，該類信息周期數(shù)據(jù)量通常為確定值。2)關鍵非周期數(shù)據(jù)。如安全自毀指令、應急變軌指令等，該類信息數(shù)據(jù)量較小，但通常對任務指令有重要影響，系統(tǒng)必須能夠及時傳輸和響應。3)非關鍵周期數(shù)據(jù)。主要為各類測試信息，如測量模塊周期性采集的電氣系統(tǒng)狀態(tài)信息；4)非關鍵非周期數(shù)據(jù)。如測量模塊下傳的大流量視頻信息等。

由于TTE同時支持TT(Time Triggered,時間觸發(fā))、BE(Best Effort，盡力傳)、RC(Rate Constraint，速率受限)等3類消息[10]，故可對上述數(shù)據(jù)做如下規(guī)定：

1)關鍵數(shù)據(jù)傳輸一律規(guī)劃為基于事件觸發(fā)的TT消息，以保證信息交互的實時性與可靠性。若本周期內無關鍵非實時數(shù)據(jù)發(fā)送，則預先分配的時間槽可以用于BE或者RC消息傳輸。

2)非關鍵周期數(shù)據(jù)規(guī)劃為速率受限的RC消息傳輸，防止其對關鍵數(shù)據(jù)傳輸?shù)挠绊憽?/p>

3)非關鍵非周期數(shù)據(jù)規(guī)劃為盡力傳的BE消息傳輸，優(yōu)先級最低。

4)由于硬件采用三冗余設計，存在信源向多個信宿同時發(fā)送相同消息的情況。為提高系統(tǒng)有效數(shù)據(jù)吞吐量，規(guī)定此情況下采用組播方式通信。

5)若規(guī)劃中不同類型消息信源、信宿、消息內容均一致，則合并為高優(yōu)先級的組播消息傳輸，以進一步壓縮總線上傳輸?shù)臄?shù)據(jù)量。如TT消息中慣組輸出數(shù)據(jù)同時由測量模塊進行采集記錄，則不必另行規(guī)劃RC消息，直接由測量模塊讀取該組播TT消息即可。

同時包含4類數(shù)據(jù)的TTE總線消息傳輸情況如圖2所示。

圖2 總線消息傳輸情況Fig.2 Message transmission on TTE bus

3.3 總線冗余信息預處理

TTE總線通過交換機和物理鏈路的冗余，實現(xiàn)了通信數(shù)據(jù)雙冗余傳輸。同時硬件層面采用三冗余設計，使得信息處理單元需要對一個控制周期內來自3組信源的信息進行分析處理。

設冗余信源1、2、3經冗余物理鏈路A、B發(fā)送的消息分別為F1A、F1B、F2A、F2B、F3A、F3B。規(guī)定幀格式應包含幀序號、信源編碼以及數(shù)據(jù)區(qū)校驗碼，且經冗余鏈路傳輸?shù)膸蛱枒３忠恢隆Ｒ孕畔⑻幚砟K為例，對冗余信息的處理可按如下步驟執(zhí)行：

1)控制周期內，信息處理模塊首先對消息幀序號、信源編碼進行判斷，若對應信源指定序號的幀消息已經接收并確認消息內容校驗正確，則舍棄冗余鏈路相同幀序號的消息。如信息處理單元先接收到幀序號為1000的F1A消息，并判斷幀數(shù)據(jù)正常，則直接將之視為F1消息，不再接收相同幀序號的F1B消息。

2)信息處理模塊在指定時間周期內等待接收來自不同信源的序號為m的消息幀F(xiàn)1、F2、F3；若接收到至少2個以上消息且?guī)瑪?shù)據(jù)校驗無誤，則采用上述正常數(shù)據(jù)幀的平均值作為當前信息處理的輸入；否則沿用序號為m-1幀的處理結果。

上述預處理方法實質上在數(shù)據(jù)有效性檢測的基礎上，實現(xiàn)了信息源的三取二冗余和異常處理，保證了總線傳輸信息的可靠性。

4 容錯處理機制

4.1 冗余容錯層級

容錯任務負責處理系統(tǒng)各類軟硬件故障情況。全局容錯由容錯分析任務實現(xiàn)，在負責收集檢查點的數(shù)據(jù)和數(shù)據(jù)狀態(tài)的基礎上，通過同步數(shù)據(jù)比對、故障定位以及綜合處理等步驟完成對單機、功能單元和任務等不同層級的失效情況進行處理。

1)分區(qū)級：在每個信息處理模塊設置一個系統(tǒng)分區(qū)用于冗余分區(qū)輸出仲裁和本節(jié)點的健康狀態(tài)管理及分區(qū)級容錯控制，各冗余分區(qū)輸出的控制信息通過該系統(tǒng)分區(qū)進行冗余表決，并同時記錄各分區(qū)健康狀態(tài)，在判定分區(qū)故障時實施分區(qū)級故障恢復。

2)功能單元級：為整個電氣系統(tǒng)設置一個系統(tǒng)級管理功能單元，負責管理系統(tǒng)各控制組合內功能單元的健康狀態(tài)和功能單元層級容錯控制，當通過本功能單元內的系統(tǒng)分區(qū)無法故障恢復時，系統(tǒng)級管理功能單元將對該故障功能單元實施重啟或任務遷移。

3)單機級：當集成控制組合內的所有功能單元均發(fā)生故障且無法恢復時，則由系統(tǒng)級管理功能單元實施單機級任務遷移。

4.2 前向冗余機制

由于采用三冗余設計方案，系統(tǒng)啟動時冗余任務組中3個相同功能的任務同步運行，并同時設置系統(tǒng)狀態(tài)的初始檢查點。系統(tǒng)運行至關鍵點則對3個任務的運行狀態(tài)與計算結果進行比較。若結果一致，則將各任務的當前狀態(tài)設置為檢查點并繼續(xù)運行；如果3個任務中有一個任務與其他兩個任務運行結果不一致且超出門限值，則認為該結果不一致的任務出現(xiàn)運行故障，系統(tǒng)利用正確運行的任務結果數(shù)據(jù)恢復運行出現(xiàn)故障的任務結果數(shù)據(jù)，各個任務繼續(xù)向前運行；若3個任務的運行結果均不一致，則認為3個任務在運行中均出現(xiàn)了故障，因此3個任務都回退至最近的檢查點運行。

相比傳統(tǒng)基于硬件的三冗余模型中采用“三取二”策略，在軟件層面上實現(xiàn)具備前向恢復機制的三任務冗余技術，能夠在三任務執(zhí)行都出現(xiàn)故障時回退至最近的檢查點，避免了系統(tǒng)重啟，能夠很大程度上提高恢復效率和系統(tǒng)容錯能力。

5 結論

控制裝備全生命周期成本、實現(xiàn)系統(tǒng)快速集成與資源共享是未來運載器電氣系統(tǒng)設計的主要方向之一。通用貨架產品為電氣系統(tǒng)設計提供了價格低廉、性能多樣、類型豐富的現(xiàn)場可更換標準功能模塊，壓縮了各類設計、生產、調試、試驗成本，而基于綜合電子設計方案又為貨架產品的使用提供了應用基礎條件。二者相互依賴，共同構成了在運載器電氣系統(tǒng)設計采用綜合電子架構模式的內在動力，牽引了運載器電氣系統(tǒng)沿著集成化、模塊化、通用化與標準化的方向快速發(fā)展，也為某型運載器電氣系統(tǒng)的設計提供了可行途徑。