周 虎，段 然 ，凌 震，李文婷，盧 波

(1. 北京航天自動(dòng)控制研究所,北京 100854; 2.宇航智能控制技術(shù)國(guó)家級(jí)重點(diǎn)實(shí)驗(yàn)室,北京 100854)

0 引言

隨著軍民融合政策逐步上升為國(guó)家戰(zhàn)略，航天運(yùn)輸系統(tǒng)的商業(yè)化競(jìng)爭(zhēng)日趨激烈，對(duì)型號(hào)研制進(jìn)度、研制經(jīng)費(fèi)與研制質(zhì)量等提出更高的要求。我國(guó)傳統(tǒng)型號(hào)運(yùn)載器設(shè)計(jì)采用“系統(tǒng)—分系統(tǒng)—功能單機(jī)”的思路，便于集中專業(yè)技術(shù)力量開(kāi)展研發(fā)工作，但客觀上存在集成度低、通用性差等弊端。特別是任務(wù)需求、結(jié)構(gòu)組成均類似的型號(hào)電氣系統(tǒng)實(shí)現(xiàn)方式不統(tǒng)一，需要單獨(dú)研制、生產(chǎn)、驗(yàn)收、試驗(yàn)，在很大程度上造成了各類資源的浪費(fèi)和設(shè)計(jì)反復(fù)，制約了運(yùn)載器的低成本和任務(wù)快速響應(yīng)。

綜合電子系統(tǒng) (Integrated Modular Avionics, IMA)的概念發(fā)端于航空領(lǐng)域[1]。綜合電子系統(tǒng)本質(zhì)上是一個(gè)高度開(kāi)放的分布式實(shí)時(shí)計(jì)算系統(tǒng)，它以通用綜合處理器為核心，通過(guò)高速數(shù)據(jù)總線實(shí)現(xiàn)傳感器、子系統(tǒng)等信息互聯(lián)，形成具備“系統(tǒng)結(jié)構(gòu)綜合化”和“使用功能綜合化”特征的統(tǒng)一控制、調(diào)度能力[2]。

國(guó)外最新衛(wèi)星平臺(tái)大多采用了星載綜合電子系統(tǒng)。如法國(guó)Thales Alenia Space公司研制的Spacebus 4000平臺(tái)基于先進(jìn)Avionics 4000綜合電子系統(tǒng)，可由中心計(jì)算機(jī)通過(guò)外部數(shù)據(jù)總線與接口單元進(jìn)行信息交互，具有姿軌控、數(shù)據(jù)管理、供配電等功能[3]。NASA在2010年研制的Orion飛船電子系統(tǒng)同樣完全采用綜合電子架構(gòu)，通過(guò)飛船管理計(jì)算機(jī)、高速實(shí)時(shí)以太網(wǎng)和數(shù)據(jù)單元共同構(gòu)成基本的信息傳輸與處理設(shè)備[4]。歐空局下一代運(yùn)載火箭航電設(shè)備演示器計(jì)劃也提出了航天運(yùn)載器綜合電子系統(tǒng)架構(gòu)，在該架構(gòu)下所有的電子設(shè)備被抽象為一個(gè)模塊化信息處理單元(Modular Data Handling Block，MDHB-X)，每個(gè)信息處理單元由不同的功能模塊組成。不同功能模塊的組合實(shí)現(xiàn)了具有不同功能的信息處理單元，而各處理單元通過(guò)通信系統(tǒng)互聯(lián)構(gòu)成航天運(yùn)載器中的各分系統(tǒng)。這種系統(tǒng)架構(gòu)采用模塊化、通用化的設(shè)計(jì)理念，可以避免針對(duì)不同航天器的重復(fù)研發(fā)工作，同時(shí)有利于實(shí)現(xiàn)電子系統(tǒng)的軟硬件資源共享[5]。

借鑒國(guó)外綜合電子設(shè)計(jì)思路，構(gòu)建資源與信息共享的統(tǒng)一開(kāi)放式運(yùn)載器電氣系統(tǒng)體系架構(gòu)，配合標(biāo)準(zhǔn)化、模塊的貨架產(chǎn)品實(shí)現(xiàn)系統(tǒng)基本功能，僅通過(guò)更換個(gè)別單元即能夠滿足不同型號(hào)應(yīng)用需求，便于原系統(tǒng)升級(jí)改造和適應(yīng)運(yùn)載器多任務(wù)特性。特別是能夠在保證電氣系統(tǒng)可靠性與良好擴(kuò)展性的前提下，實(shí)現(xiàn)系統(tǒng)快速集成，這對(duì)于縮短研制周期、降低研制成本、提升裝備全生命周期等綜合競(jìng)爭(zhēng)力有著十分明顯的作用。

1 電氣系統(tǒng)方案

1.1 功能需求

運(yùn)載器電氣系統(tǒng)主要完成導(dǎo)航、制導(dǎo)、控制、測(cè)量、檢測(cè)與診斷、安全自毀、供配電等功能。其本質(zhì)上是對(duì)運(yùn)載器的各種傳感器測(cè)量或接收到的各種運(yùn)動(dòng)、環(huán)境信息按要求進(jìn)行相應(yīng)的解算處理，并通過(guò)執(zhí)行機(jī)構(gòu)實(shí)現(xiàn)預(yù)期控制功能的過(guò)程[6]。

某型三級(jí)運(yùn)載器面向深空探測(cè)、載人登月等不同任務(wù)模式，總裝后箭體高度近百米。一方面，要求電氣系統(tǒng)采用通用化方案適應(yīng)運(yùn)載器各種構(gòu)型變化的同時(shí)，能夠基于合理的冗余容錯(cuò)架構(gòu)保證電氣系統(tǒng)的健壯性與長(zhǎng)時(shí)間在軌可靠飛行能力。另一方面，任務(wù)本身對(duì)大推力高精度飛行控制、自主彈道規(guī)劃、故障診斷與自適應(yīng)控制等能力的客觀需求，也對(duì)電氣系統(tǒng)通過(guò)軟、硬件資源集成管理與優(yōu)化配置實(shí)現(xiàn)大容量數(shù)據(jù)傳輸與高性能計(jì)算提出了挑戰(zhàn)。

1.2 系統(tǒng)方案

根據(jù)系統(tǒng)功能需求，一種基于綜合電子系統(tǒng)的三級(jí)運(yùn)載器可行電氣系統(tǒng)結(jié)構(gòu)如圖1所示。該方案采用分布式集成控制組合模式，運(yùn)載器各級(jí)共配置4臺(tái)基于VPX結(jié)構(gòu)[7]的控制組合，不同功能單元以標(biāo)準(zhǔn)板卡形式分別插入到組合機(jī)箱中。機(jī)箱設(shè)計(jì)通用背板實(shí)現(xiàn)功能板卡間的控制與信息交互功能。機(jī)箱中信息感知單元是用于獲取運(yùn)載器飛行狀態(tài)以及內(nèi)部環(huán)境信息等的慣組與測(cè)量模塊；執(zhí)行單元主要包括伺服機(jī)構(gòu)控制器、火工品、電磁閥控制器、安控模塊等功率控制設(shè)備。機(jī)箱內(nèi)信息感知、信息處理以及執(zhí)行機(jī)構(gòu)驅(qū)動(dòng)單元均采用高可靠的三冗余設(shè)計(jì)方案。

相比于一、二級(jí)，火箭三級(jí)電氣系統(tǒng)包含安控、衛(wèi)星導(dǎo)航接收機(jī)、慣組、箭機(jī)等功能模塊，結(jié)構(gòu)與功能實(shí)現(xiàn)相對(duì)復(fù)雜，故配置2臺(tái)組合機(jī)箱。其中，各級(jí)電氣系統(tǒng)中受安裝位置約束，難以集成在組合機(jī)箱內(nèi)的部分設(shè)備，如各類傳感器、速率陀螺等未在圖1中顯示。各功能板卡均采取適當(dāng)?shù)娜哂嘣O(shè)計(jì)方案，以滿足系統(tǒng)容錯(cuò)與故障隔離要求。

圖1 某型三級(jí)運(yùn)載器電氣系統(tǒng)結(jié)構(gòu)Fig.1 Topology of electronic system for launch vehicle with 3 stages

2 系統(tǒng)任務(wù)規(guī)劃

2.1 任務(wù)分析

根據(jù)功能需求，對(duì)電氣系統(tǒng)部分任務(wù)屬性、硬件資源需求、預(yù)期的處理時(shí)間開(kāi)銷(xiāo)、控制周期等進(jìn)行分析，如表1所示。其中，周期性信息處理模塊的預(yù)期開(kāi)銷(xiāo)表示在1GHz的CPU主頻下完成該信息處理功能所需要的運(yùn)行時(shí)間。

表1 電氣系統(tǒng)任務(wù)分析

由表1可知，電氣系統(tǒng)各任務(wù)關(guān)鍵程度不同，執(zhí)行周期不同，計(jì)算資源開(kāi)銷(xiāo)也不同。由于各類硬件和軟件故障情況難以避免，如死線超時(shí)、內(nèi)存破壞、硬件失效等，若直接在普通操作系統(tǒng)中運(yùn)行系統(tǒng)任務(wù)，很可能出現(xiàn)因相互耦合導(dǎo)致部分任務(wù)功能失效、乃至影響其他任務(wù)特別是制導(dǎo)、姿控任務(wù)執(zhí)行的情況。因此，面向長(zhǎng)時(shí)間工作及復(fù)雜飛行環(huán)境下系統(tǒng)級(jí)容錯(cuò)控制需求，在傳統(tǒng)三模冗余表決機(jī)制的基礎(chǔ)上，采用少量的計(jì)算模塊實(shí)現(xiàn)同等程度的容錯(cuò)能力，進(jìn)一步提高系統(tǒng)容錯(cuò)能力和資源利用效率，是必須考慮的問(wèn)題。

2.2 系統(tǒng)任務(wù)分區(qū)

以多核處理器為核心，在支持分時(shí)分區(qū)的嵌入式操作系統(tǒng)，如VxWorks653等管理下實(shí)現(xiàn)電氣系統(tǒng)應(yīng)用任務(wù)運(yùn)行時(shí)間與資源空間的隔離[8]，是故障自動(dòng)隔離與系統(tǒng)重構(gòu)的前提和基礎(chǔ)。

以表1中集成組合機(jī)箱1為例，采用分區(qū)操作系統(tǒng)后，機(jī)箱中共集成3塊信息處理模塊，各信息處理模塊資源可做如下劃分：

1)自適應(yīng)制導(dǎo)功能用于完成軌跡重規(guī)劃等異常情況下應(yīng)急處理功能，任務(wù)周期為2000ms，其他控制任務(wù)周期大多為20ms，為不影響其他飛行控制功能實(shí)時(shí)性，因此將自適應(yīng)制導(dǎo)功能運(yùn)行于信息處理模塊1中。

2)將慣組、速率陀螺以及其他減載敏感裝置數(shù)據(jù)獲取與數(shù)據(jù)處理功能等運(yùn)行在獨(dú)立的信息處理模塊2，以降低對(duì)飛行控制功能的影響。

3)其他飛行控制功能在信息處理模塊3中運(yùn)行，功能總開(kāi)銷(xiāo)滿足控制周期要求。

4)為減小集成控制單元模塊數(shù)量，每塊信息處理模塊上均設(shè)置3個(gè)CPU，各CPU分別配置獨(dú)立的內(nèi)存和其他外設(shè)，形成硬件三冗余表決方案。

各信息處理模塊實(shí)現(xiàn)飛控與遙外測(cè)功能的同時(shí)，還需要考慮健康管理與故障恢復(fù)能力。因此，可對(duì)各信息處理模塊做如下分區(qū)規(guī)劃：

1)模塊1設(shè)置2個(gè)分區(qū)，分別為自適應(yīng)控制和健康管理分區(qū)。

2)模塊2設(shè)置2個(gè)分區(qū)，分別為導(dǎo)航信息感知和數(shù)據(jù)處理、健康管理分區(qū)。

3)模塊3實(shí)現(xiàn)主要的飛行控制功能，設(shè)置4個(gè)分區(qū)，分別說(shuō)明如下：

分區(qū)1：導(dǎo)航及攝動(dòng)制導(dǎo)分區(qū)。慣性導(dǎo)航、組合導(dǎo)航以及攝動(dòng)制導(dǎo)等耦合性較高，為其設(shè)置獨(dú)立分區(qū)。

分區(qū)2：姿控任務(wù)分區(qū)。

分區(qū)3：射前功能測(cè)試分區(qū)。包括配電控制、能源管理、系統(tǒng)性能測(cè)試等功能在內(nèi)的獨(dú)立分區(qū)，起飛后該分區(qū)功能不再運(yùn)行。

分區(qū)4：健康管理分區(qū)。用于集成控制組合全局仲裁與分布式站點(diǎn)管理，完成三取二表決和健康管理功能，通過(guò)記錄其他任務(wù)健康狀況，實(shí)施故障恢復(fù)與容錯(cuò)控制。

3 總線通信體制

機(jī)箱內(nèi)各功能單元之間、機(jī)箱之間、箭地設(shè)備之間均通過(guò)統(tǒng)一的高速實(shí)時(shí)總線實(shí)現(xiàn)互聯(lián)，以滿足大容量數(shù)據(jù)交互能力并簡(jiǎn)化電氣系統(tǒng)總線設(shè)計(jì)難度。

3.1 總線拓?fù)浣Y(jié)構(gòu)

通用的網(wǎng)絡(luò)拓?fù)浒ㄐ切?、線型、環(huán)型及總線型結(jié)構(gòu)等。其中星型拓?fù)渌姓军c(diǎn)均與交換模塊連接。該結(jié)構(gòu)下增加交換模塊端口數(shù)量即可實(shí)現(xiàn)站點(diǎn)擴(kuò)容，站點(diǎn)間物理連接關(guān)系與信息邏輯鏈路基本一致，組網(wǎng)方便，但考慮交換模塊必須布置在箭體三級(jí)，受箭體高度影響，該類結(jié)構(gòu)會(huì)存在數(shù)量可觀的長(zhǎng)通信線，影響運(yùn)載器有效載荷能力，且所有數(shù)據(jù)均通過(guò)交換模塊轉(zhuǎn)發(fā)，交換模塊異常會(huì)引發(fā)全局性通信故障，難以保證系統(tǒng)可靠性要求。相比星型拓?fù)?，線型拓?fù)浣Y(jié)構(gòu)站點(diǎn)僅與相鄰兩個(gè)站點(diǎn)連接，在節(jié)約交換模塊的同時(shí)，極大地壓縮了通信線長(zhǎng)度，有利于電纜減重，但串行化通信特點(diǎn)使得除端站點(diǎn)外，其余中間站點(diǎn)均構(gòu)成單點(diǎn)故障，同樣難以滿足系統(tǒng)可靠性要求。環(huán)型網(wǎng)絡(luò)在線型拓?fù)浠A(chǔ)上進(jìn)一步實(shí)現(xiàn)站點(diǎn)首尾相連，避免了站點(diǎn)或者鏈路一度故障引發(fā)的通信失效問(wèn)題，可靠性得到了有效的改善，但信息需經(jīng)鏈路上中間站點(diǎn)順序轉(zhuǎn)發(fā)，特別是隨著站點(diǎn)規(guī)模的增加，總線時(shí)延將逐漸增大，影響通信性能。而總線型拓?fù)涔?jié)點(diǎn)間通信距離受限的劣勢(shì)，也使得其難以得到應(yīng)用。

綜合考慮通信距離、箭上線纜質(zhì)量、通信可靠性等約束條件，如圖1所示，運(yùn)載器電氣系統(tǒng)可采用分級(jí)混合拓?fù)浣Y(jié)構(gòu)：箭上各組合機(jī)箱內(nèi)采用雙星交換通信模式，組合間、箭地間基于交換機(jī)完成線型互聯(lián)。

該混合拓?fù)湫问接兄^為明顯的特點(diǎn)：一方面，線型互聯(lián)模式的應(yīng)用整體上壓縮了箭上線纜質(zhì)量和規(guī)模；另一方面，機(jī)箱內(nèi)雙星冗余物理鏈路保證了系統(tǒng)的易擴(kuò)展性與通信可靠性，而機(jī)箱空間約束與背板走線方式又在客觀上進(jìn)一步優(yōu)化了線纜長(zhǎng)度。

時(shí)間觸發(fā)以太網(wǎng)(Time Triggered Ethernet， TTE)總線是一種基于時(shí)間觸發(fā)機(jī)制的以太網(wǎng)總線。TTE基于精確的網(wǎng)絡(luò)同步協(xié)議，各個(gè)設(shè)備可以根據(jù)預(yù)先設(shè)定的調(diào)度表以總線時(shí)分復(fù)用方式進(jìn)行時(shí)間觸發(fā)業(yè)務(wù)的傳輸，保證了時(shí)間觸發(fā)業(yè)務(wù)的無(wú)競(jìng)爭(zhēng)性、實(shí)時(shí)性與傳輸確定性[9]。TTE采用千兆以太網(wǎng)通信時(shí)信號(hào)傳輸延遲<1μs，支持星型和多級(jí)網(wǎng)絡(luò)級(jí)聯(lián)等拓?fù)浣Y(jié)構(gòu)類型以及通信數(shù)據(jù)冗余傳輸，由于能夠向下兼容普通以太網(wǎng)，以太網(wǎng)技術(shù)的任何進(jìn)步與性能提升成果(如總線帶寬由百兆升級(jí)為千兆速率)均可直接應(yīng)用于電氣系統(tǒng)總線設(shè)計(jì)中而無(wú)需額外的驗(yàn)證，因而可作為下一代航天綜合電子系統(tǒng)的總線標(biāo)準(zhǔn)，快速構(gòu)建系統(tǒng)信息交互網(wǎng)絡(luò)。

3.2 數(shù)據(jù)流規(guī)劃

由表1列出的任務(wù)分析可知，電氣系統(tǒng)信息交互主要分為如下幾類：1)關(guān)鍵周期數(shù)據(jù)。主要為與飛行控制相關(guān)的各類信息，如信息處理模塊錄取的慣組輸出、信息處理模塊發(fā)送到伺服控制器的控制指令等，該類信息周期數(shù)據(jù)量通常為確定值。2)關(guān)鍵非周期數(shù)據(jù)。如安全自毀指令、應(yīng)急變軌指令等，該類信息數(shù)據(jù)量較小，但通常對(duì)任務(wù)指令有重要影響，系統(tǒng)必須能夠及時(shí)傳輸和響應(yīng)。3)非關(guān)鍵周期數(shù)據(jù)。主要為各類測(cè)試信息，如測(cè)量模塊周期性采集的電氣系統(tǒng)狀態(tài)信息；4)非關(guān)鍵非周期數(shù)據(jù)。如測(cè)量模塊下傳的大流量視頻信息等。

由于TTE同時(shí)支持TT(Time Triggered,時(shí)間觸發(fā))、BE(Best Effort，盡力傳)、RC(Rate Constraint，速率受限)等3類消息[10]，故可對(duì)上述數(shù)據(jù)做如下規(guī)定：

1)關(guān)鍵數(shù)據(jù)傳輸一律規(guī)劃為基于事件觸發(fā)的TT消息，以保證信息交互的實(shí)時(shí)性與可靠性。若本周期內(nèi)無(wú)關(guān)鍵非實(shí)時(shí)數(shù)據(jù)發(fā)送，則預(yù)先分配的時(shí)間槽可以用于BE或者RC消息傳輸。

2)非關(guān)鍵周期數(shù)據(jù)規(guī)劃為速率受限的RC消息傳輸，防止其對(duì)關(guān)鍵數(shù)據(jù)傳輸?shù)挠绊憽?/p>

3)非關(guān)鍵非周期數(shù)據(jù)規(guī)劃為盡力傳的BE消息傳輸，優(yōu)先級(jí)最低。

4)由于硬件采用三冗余設(shè)計(jì)，存在信源向多個(gè)信宿同時(shí)發(fā)送相同消息的情況。為提高系統(tǒng)有效數(shù)據(jù)吞吐量，規(guī)定此情況下采用組播方式通信。

5)若規(guī)劃中不同類型消息信源、信宿、消息內(nèi)容均一致，則合并為高優(yōu)先級(jí)的組播消息傳輸，以進(jìn)一步壓縮總線上傳輸?shù)臄?shù)據(jù)量。如TT消息中慣組輸出數(shù)據(jù)同時(shí)由測(cè)量模塊進(jìn)行采集記錄，則不必另行規(guī)劃RC消息，直接由測(cè)量模塊讀取該組播TT消息即可。

同時(shí)包含4類數(shù)據(jù)的TTE總線消息傳輸情況如圖2所示。

圖2 總線消息傳輸情況Fig.2 Message transmission on TTE bus

3.3 總線冗余信息預(yù)處理

TTE總線通過(guò)交換機(jī)和物理鏈路的冗余，實(shí)現(xiàn)了通信數(shù)據(jù)雙冗余傳輸。同時(shí)硬件層面采用三冗余設(shè)計(jì)，使得信息處理單元需要對(duì)一個(gè)控制周期內(nèi)來(lái)自3組信源的信息進(jìn)行分析處理。

設(shè)冗余信源1、2、3經(jīng)冗余物理鏈路A、B發(fā)送的消息分別為F1A、F1B、F2A、F2B、F3A、F3B。規(guī)定幀格式應(yīng)包含幀序號(hào)、信源編碼以及數(shù)據(jù)區(qū)校驗(yàn)碼，且經(jīng)冗余鏈路傳輸?shù)膸蛱?hào)應(yīng)保持一致。以信息處理模塊為例，對(duì)冗余信息的處理可按如下步驟執(zhí)行：

1)控制周期內(nèi)，信息處理模塊首先對(duì)消息幀序號(hào)、信源編碼進(jìn)行判斷，若對(duì)應(yīng)信源指定序號(hào)的幀消息已經(jīng)接收并確認(rèn)消息內(nèi)容校驗(yàn)正確，則舍棄冗余鏈路相同幀序號(hào)的消息。如信息處理單元先接收到幀序號(hào)為1000的F1A消息，并判斷幀數(shù)據(jù)正常，則直接將之視為F1消息，不再接收相同幀序號(hào)的F1B消息。

2)信息處理模塊在指定時(shí)間周期內(nèi)等待接收來(lái)自不同信源的序號(hào)為m的消息幀F(xiàn)1、F2、F3；若接收到至少2個(gè)以上消息且?guī)瑪?shù)據(jù)校驗(yàn)無(wú)誤，則采用上述正常數(shù)據(jù)幀的平均值作為當(dāng)前信息處理的輸入；否則沿用序號(hào)為m-1幀的處理結(jié)果。

上述預(yù)處理方法實(shí)質(zhì)上在數(shù)據(jù)有效性檢測(cè)的基礎(chǔ)上，實(shí)現(xiàn)了信息源的三取二冗余和異常處理，保證了總線傳輸信息的可靠性。

4 容錯(cuò)處理機(jī)制

4.1 冗余容錯(cuò)層級(jí)

容錯(cuò)任務(wù)負(fù)責(zé)處理系統(tǒng)各類軟硬件故障情況。全局容錯(cuò)由容錯(cuò)分析任務(wù)實(shí)現(xiàn)，在負(fù)責(zé)收集檢查點(diǎn)的數(shù)據(jù)和數(shù)據(jù)狀態(tài)的基礎(chǔ)上，通過(guò)同步數(shù)據(jù)比對(duì)、故障定位以及綜合處理等步驟完成對(duì)單機(jī)、功能單元和任務(wù)等不同層級(jí)的失效情況進(jìn)行處理。

1)分區(qū)級(jí)：在每個(gè)信息處理模塊設(shè)置一個(gè)系統(tǒng)分區(qū)用于冗余分區(qū)輸出仲裁和本節(jié)點(diǎn)的健康狀態(tài)管理及分區(qū)級(jí)容錯(cuò)控制，各冗余分區(qū)輸出的控制信息通過(guò)該系統(tǒng)分區(qū)進(jìn)行冗余表決，并同時(shí)記錄各分區(qū)健康狀態(tài)，在判定分區(qū)故障時(shí)實(shí)施分區(qū)級(jí)故障恢復(fù)。

2)功能單元級(jí)：為整個(gè)電氣系統(tǒng)設(shè)置一個(gè)系統(tǒng)級(jí)管理功能單元，負(fù)責(zé)管理系統(tǒng)各控制組合內(nèi)功能單元的健康狀態(tài)和功能單元層級(jí)容錯(cuò)控制，當(dāng)通過(guò)本功能單元內(nèi)的系統(tǒng)分區(qū)無(wú)法故障恢復(fù)時(shí)，系統(tǒng)級(jí)管理功能單元將對(duì)該故障功能單元實(shí)施重啟或任務(wù)遷移。

3)單機(jī)級(jí)：當(dāng)集成控制組合內(nèi)的所有功能單元均發(fā)生故障且無(wú)法恢復(fù)時(shí)，則由系統(tǒng)級(jí)管理功能單元實(shí)施單機(jī)級(jí)任務(wù)遷移。

4.2 前向冗余機(jī)制

由于采用三冗余設(shè)計(jì)方案，系統(tǒng)啟動(dòng)時(shí)冗余任務(wù)組中3個(gè)相同功能的任務(wù)同步運(yùn)行，并同時(shí)設(shè)置系統(tǒng)狀態(tài)的初始檢查點(diǎn)。系統(tǒng)運(yùn)行至關(guān)鍵點(diǎn)則對(duì)3個(gè)任務(wù)的運(yùn)行狀態(tài)與計(jì)算結(jié)果進(jìn)行比較。若結(jié)果一致，則將各任務(wù)的當(dāng)前狀態(tài)設(shè)置為檢查點(diǎn)并繼續(xù)運(yùn)行；如果3個(gè)任務(wù)中有一個(gè)任務(wù)與其他兩個(gè)任務(wù)運(yùn)行結(jié)果不一致且超出門(mén)限值，則認(rèn)為該結(jié)果不一致的任務(wù)出現(xiàn)運(yùn)行故障，系統(tǒng)利用正確運(yùn)行的任務(wù)結(jié)果數(shù)據(jù)恢復(fù)運(yùn)行出現(xiàn)故障的任務(wù)結(jié)果數(shù)據(jù)，各個(gè)任務(wù)繼續(xù)向前運(yùn)行；若3個(gè)任務(wù)的運(yùn)行結(jié)果均不一致，則認(rèn)為3個(gè)任務(wù)在運(yùn)行中均出現(xiàn)了故障，因此3個(gè)任務(wù)都回退至最近的檢查點(diǎn)運(yùn)行。

相比傳統(tǒng)基于硬件的三冗余模型中采用“三取二”策略，在軟件層面上實(shí)現(xiàn)具備前向恢復(fù)機(jī)制的三任務(wù)冗余技術(shù)，能夠在三任務(wù)執(zhí)行都出現(xiàn)故障時(shí)回退至最近的檢查點(diǎn)，避免了系統(tǒng)重啟，能夠很大程度上提高恢復(fù)效率和系統(tǒng)容錯(cuò)能力。

5 結(jié)論

控制裝備全生命周期成本、實(shí)現(xiàn)系統(tǒng)快速集成與資源共享是未來(lái)運(yùn)載器電氣系統(tǒng)設(shè)計(jì)的主要方向之一。通用貨架產(chǎn)品為電氣系統(tǒng)設(shè)計(jì)提供了價(jià)格低廉、性能多樣、類型豐富的現(xiàn)場(chǎng)可更換標(biāo)準(zhǔn)功能模塊，壓縮了各類設(shè)計(jì)、生產(chǎn)、調(diào)試、試驗(yàn)成本，而基于綜合電子設(shè)計(jì)方案又為貨架產(chǎn)品的使用提供了應(yīng)用基礎(chǔ)條件。二者相互依賴，共同構(gòu)成了在運(yùn)載器電氣系統(tǒng)設(shè)計(jì)采用綜合電子架構(gòu)模式的內(nèi)在動(dòng)力，牽引了運(yùn)載器電氣系統(tǒng)沿著集成化、模塊化、通用化與標(biāo)準(zhǔn)化的方向快速發(fā)展，也為某型運(yùn)載器電氣系統(tǒng)的設(shè)計(jì)提供了可行途徑。