劉 波，林 宇，彭 飛，謝 瓊，王國良

(北京控制工程研究所，北京100190)

天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的設(shè)計(jì)與驗(yàn)證

劉 波，林 宇，彭 飛，謝 瓊，王國良

(北京控制工程研究所，北京100190)

與載人航天一期“軌道艙”相比，載人航天二期天宮一號(hào)目標(biāo)飛行器對(duì)控制計(jì)算機(jī)的功能、性能和環(huán)境適應(yīng)性都提出了更高的要求.依據(jù)GNC分系統(tǒng)對(duì)控制計(jì)算機(jī)的功能與可靠度需求，介紹天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的容錯(cuò)方案、硬件設(shè)計(jì)、系統(tǒng)軟件設(shè)計(jì)、可靠性分析和試驗(yàn)驗(yàn)證情況，地面驗(yàn)證結(jié)果表明:天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)設(shè)計(jì)滿足GNC分系統(tǒng)的需求.

天宮一號(hào)目標(biāo)飛行器;控制計(jì)算機(jī);冗余;容錯(cuò)

與中國載人航天一期“軌道艙”相比，載人航天二期天宮一號(hào)目標(biāo)飛行器制導(dǎo)導(dǎo)航控制(GNC，guidance，navigation and control)分系統(tǒng)對(duì)控制計(jì)算機(jī)的功能、性能和環(huán)境適應(yīng)性都提出了新的更高需求.

天宮一號(hào)目標(biāo)飛行器自入軌分離后的運(yùn)行過程中，有單獨(dú)飛行和組合體飛行兩種工作狀態(tài).控制計(jì)算機(jī)作為這兩種工作狀態(tài)下控制系統(tǒng)的“大腦”，需實(shí)時(shí)完成的功能包括:

1)采集敏感器姿態(tài)與軌道狀態(tài)，完成控制規(guī)律的計(jì)算，發(fā)出控制指令控制執(zhí)行機(jī)構(gòu)工作，并根據(jù)軌道運(yùn)行情況實(shí)現(xiàn)控制模式轉(zhuǎn)換;

2)從地面遙控指令或注數(shù)中獲得軌道要求、工作狀態(tài)、系統(tǒng)參數(shù)修正等;采集部件和控制器自身信息，存儲(chǔ)并通過遙測通道下發(fā)到地面;

3)支持應(yīng)用軟件進(jìn)行控制系統(tǒng)級(jí)的自檢和診斷，控制各部件進(jìn)行主備份切換，或是進(jìn)行系統(tǒng)重構(gòu).

同時(shí)，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)需滿足如下使用環(huán)境要求[1-3]:

1)體積、重量和功耗的約束;

2)耐火箭發(fā)射時(shí)苛刻的沖擊、振動(dòng)力學(xué)環(huán)境;

3)耐高溫、低溫和輻照環(huán)境;

4)耐交會(huì)對(duì)接時(shí)的力學(xué)與電氣擾動(dòng)環(huán)境.

最后，在整個(gè)設(shè)計(jì)壽命期間，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的可靠度需滿足GNC分系統(tǒng)的要求.

依據(jù)天宮一號(hào)目標(biāo)飛行器GNC分系統(tǒng)對(duì)計(jì)算機(jī)的功能與可靠度需求，載人航天二期新開發(fā)了“姿態(tài)軌道控制器(AOCC，attitude and orbit control computer)”和“備份控制器(BCD，backup control device)”兩臺(tái)控制計(jì)算機(jī)產(chǎn)品.

1 容錯(cuò)方案設(shè)計(jì)

控制計(jì)算機(jī)是GNC分系統(tǒng)信息交互、通信連接和制導(dǎo)導(dǎo)航控制信息流處理的核心，需極高的可靠度，保證并提高可靠度是控制計(jì)算機(jī)容錯(cuò)方案設(shè)計(jì)的核心.

控制計(jì)算機(jī)保證并提高可靠度有“避錯(cuò)”和“容錯(cuò)”兩種途徑.在方案上天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)采用“避錯(cuò)”與“容錯(cuò)”結(jié)合的方法來保證和提高可靠度.在設(shè)計(jì)、選取元器件與原材料、工藝、開發(fā)、制造和驗(yàn)證環(huán)節(jié)，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)都遵循航天產(chǎn)品質(zhì)量管理體系相關(guān)要求進(jìn)行嚴(yán)格控制，避免發(fā)生“錯(cuò)誤”;但在總體方案上，則通過“容錯(cuò)”設(shè)計(jì)，通過配置冗余資源，設(shè)計(jì)為“容錯(cuò)”系統(tǒng)結(jié)構(gòu)，避免偶發(fā)“錯(cuò)誤”或“故障”影響控制計(jì)算機(jī)總體功能.

在天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)“容錯(cuò)”方案上重點(diǎn)進(jìn)行了如下設(shè)計(jì):

1)冗余級(jí)別:采用單機(jī)級(jí)的冗余策略為核心，依據(jù)GNC分系統(tǒng)的可靠度要求，將控制計(jì)算機(jī)劃分為3個(gè)冗余單機(jī):AOCC的A單機(jī)、AOCC的B單機(jī)與BCD.由于控制計(jì)算機(jī)的3個(gè)冗余單機(jī)與敏感器、執(zhí)行機(jī)構(gòu)的接口是公共的，因此，在設(shè)計(jì)公共接口時(shí)，采用了電路級(jí)的冗余設(shè)計(jì)，保證單機(jī)內(nèi)部與接口的任意單故障不會(huì)造成其他兩個(gè)冗余單機(jī)的故障.

2)冗余方式:按照任務(wù)的壽命與可靠度要求，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的3個(gè)冗余單機(jī)被設(shè)計(jì)為非工作儲(chǔ)備硬件冗余方式.AOCC采用冷備份雙模冗余(DMR，dual modular redundancy)，作為GNC分系統(tǒng)主控制器;BCD又作為AOCC的冷備份，采用單模結(jié)構(gòu).AOCC、BCD的機(jī)箱、通信連接和電源供電完全獨(dú)立，形成兩個(gè)獨(dú)立的故障包容區(qū)域，兩個(gè)產(chǎn)品的故障不會(huì)相互傳播.在AOCC內(nèi)，除 A單機(jī)、B單機(jī)之外，還設(shè)計(jì)了獨(dú)立供電的熱備份雙模硬件容錯(cuò)線路，用于 AOCC與BCD的故障監(jiān)測，以及AOCC與BCD的自主冗余切換.地面可以“使能”或“禁止”硬件容錯(cuò)線路的自主冗余切換功能;同時(shí)，地面通過“直接遙控”也可以直接進(jìn)行AOCC和BCD的切換.熱備份雙模硬件容錯(cuò)線路和“地面遙控”共同完成天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的“故障監(jiān)測與切換”功能.

此外，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)還采用了軟件、信息、時(shí)間冗余等多種冗余方式，但軟件、信息、時(shí)間冗余是在單機(jī)內(nèi)部實(shí)施，都建立在核心的單機(jī)硬件冗余基礎(chǔ)上.

對(duì)于控制計(jì)算機(jī)，硬件冗余容錯(cuò)的方案核心是冗余模數(shù)和冗余管理策略的設(shè)計(jì).依據(jù)天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的容錯(cuò)方案，AOCC加上BCD，整個(gè)控制計(jì)算機(jī)的冗余模數(shù)為3，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)采用了如圖1所示的非工作儲(chǔ)備冗余策略，這是由于天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)設(shè)計(jì)在軌工作時(shí)間要求為2～3年，在目前研制的天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)單機(jī)失效率2000FIT水平上，非工作儲(chǔ)備冗余策略[4-7]更適合天宮一號(hào)目標(biāo)飛行器這種長期可靠性要求[4].

圖1 天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)硬件冗余結(jié)構(gòu)圖

圖2是AOCC與BCD的可靠度比較示意圖，可以看出，非工作儲(chǔ)備冗余方式可以大大提高天宮一號(hào)目標(biāo)飛行器AOCC和整個(gè)天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)系統(tǒng)的可靠度，控制計(jì)算機(jī)采用非工作儲(chǔ)備冗余方式是符合天宮一號(hào)目標(biāo)飛行器GNC分系統(tǒng)需求的優(yōu)選容錯(cuò)方案.

圖2 AOCC與BCD可靠度比較示意圖

采用非工作儲(chǔ)備冗余方式，設(shè)計(jì)的關(guān)鍵在于提高故障監(jiān)測與切換裝置——容錯(cuò)線路的可靠度.按照該要求，在設(shè)計(jì)天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)AOCC內(nèi)部容錯(cuò)線路時(shí)，采用了如下兩項(xiàng)新的設(shè)計(jì)方案(如圖3所示):

1)將負(fù)責(zé)AOCC內(nèi)部冗余切換的故障監(jiān)測與切換裝置，與負(fù)責(zé)AOCC至BCD冗余切換的故障監(jiān)測與切換裝置分開獨(dú)立實(shí)現(xiàn)(如圖3a所示)，相比于傳統(tǒng)混合設(shè)計(jì)(如圖3b所示)，提高了整個(gè)故障監(jiān)測與切換裝置的可靠度.

2)將故障監(jiān)測與切換裝置設(shè)計(jì)為完全的熱備份雙模并聯(lián)結(jié)構(gòu)，雙模之一正常工作就可以保證故障監(jiān)測與切換功能正常完成(如圖3c所示)，在控制實(shí)現(xiàn)復(fù)雜度不過度增長的情況下，可獲得較大的系統(tǒng)可靠度收益.

圖3 故障監(jiān)測與切換裝置冗余結(jié)構(gòu)示意圖

2 硬件設(shè)計(jì)

天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的硬件研制嚴(yán)格按照航天產(chǎn)品開發(fā)流程進(jìn)行管理，硬件設(shè)計(jì)通過“方案設(shè)計(jì)”、“參數(shù)設(shè)計(jì)”和“容差設(shè)計(jì)”等3個(gè)設(shè)計(jì)環(huán)節(jié)，以及故障模式影響分析(FMEA，failure modes and effects analysis)等技術(shù)，有效地進(jìn)行了“容錯(cuò)”與“避錯(cuò)”，保障了產(chǎn)品可靠度.

天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)硬件設(shè)計(jì)主要內(nèi)容有:

(1)采用超標(biāo)量指令集體系結(jié)構(gòu)(SPARC，scalable processor architecture)的抗輻照處理器 ERC32作為天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的主處理器.

天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)利用了處理器的檢錯(cuò)糾錯(cuò)編碼(EDAC，error detection and correction)設(shè)計(jì)實(shí)現(xiàn)了全部存儲(chǔ)器件的抗單粒子翻轉(zhuǎn)設(shè)計(jì)，軟件在計(jì)算機(jī)空閑時(shí)刷新靜態(tài)RAM存儲(chǔ)器(SRAM，static random access memory)，克服單粒子翻轉(zhuǎn)對(duì)計(jì)算機(jī)正常工作的影響.

(2)采用高等級(jí)反熔絲型FPGA集成設(shè)計(jì)全部外設(shè)控制器，提高控制計(jì)算機(jī)集成度.

由于微電子技術(shù)的發(fā)展，超大規(guī)模集成電路的成熟度、可靠度已完全可以滿足航天應(yīng)用的需求.因此從單機(jī)硬件方案上，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的外設(shè)控制器與邏輯處理全部都采用FPGA設(shè)計(jì)實(shí)現(xiàn).FPGA單片對(duì)等實(shí)現(xiàn)原大量分立器件的功能，因此相應(yīng)提高了設(shè)計(jì)集成度，F(xiàn)PGA嚴(yán)格按照航天器用FPGA產(chǎn)品研制技術(shù)要求進(jìn)行設(shè)計(jì)、分析與驗(yàn)證，可復(fù)用IP，提高了成熟度與可靠性.

(3)軟硬件協(xié)同設(shè)計(jì)，提高控制計(jì)算機(jī)的任務(wù)吞吐率.

傳統(tǒng)的控制計(jì)算機(jī)設(shè)計(jì)是硬件優(yōu)先的原則，硬件設(shè)計(jì)完成后，再進(jìn)行軟件的開發(fā).在天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)設(shè)計(jì)階段，加強(qiáng)了軟硬件的協(xié)同設(shè)計(jì).譬如，通過軟硬件協(xié)同設(shè)計(jì)，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)實(shí)現(xiàn)了快周期變化GNC遙測數(shù)據(jù)的異步慢遙測，保證每個(gè)遙測幀的數(shù)據(jù)與最近的控制周期的采樣數(shù)據(jù)一一對(duì)應(yīng).GNC分系統(tǒng)實(shí)時(shí)下傳串行遙測數(shù)據(jù)S(周期 T1，樣本數(shù)目N);軟件采集、刷新串行S數(shù)據(jù)緩存周期為T2，采集樣本數(shù)目同樣為N，并滿足條件T2＜T1，系統(tǒng)任務(wù)要求控制計(jì)算機(jī)抽樣輸出，但需確保每一下行周期T1的數(shù)據(jù)對(duì)應(yīng)為某采樣周期T2的數(shù)據(jù).控制計(jì)算機(jī)軟件采集數(shù)據(jù)，刷新PING-PONG(乒乓)內(nèi)存的緩沖區(qū)，搬移數(shù)據(jù)至雙端口RAM;硬件采集雙端口RAM對(duì)應(yīng)數(shù)據(jù)，實(shí)時(shí)輸出，確保每個(gè)下行周期T1的數(shù)據(jù)是軟件在同一個(gè)采集周期T2之內(nèi)采集的.

(4)采用低功耗器件和精巧電路實(shí)現(xiàn)容錯(cuò)線路.

如前所述，提高容錯(cuò)線路的可靠度是保障控制計(jì)算機(jī)可靠度的有效途徑.天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)容錯(cuò)線路在采用雙模并聯(lián)冗余結(jié)構(gòu)，以及將負(fù)責(zé)AOCC內(nèi)部冗余切換的故障監(jiān)測與切換裝置，與負(fù)責(zé)AOCC至BCD冗余切換的故障監(jiān)測與切換裝置分開的方案外，在硬件設(shè)計(jì)上，又采用了非常簡單精巧的電路設(shè)計(jì)實(shí)現(xiàn).容錯(cuò)線路設(shè)計(jì)可容忍電路與器件的常高、常低故障，單個(gè)電路與器件的常高、常低故障最多引起一次故障虛報(bào)或誤切換;單份容錯(cuò)線路故障，不會(huì)影響另一份并聯(lián)工作容錯(cuò)線路的故障監(jiān)測與自主切換功能;雙份容錯(cuò)線路都故障，不會(huì)影響控制計(jì)算機(jī)單機(jī)的正常功能，也不會(huì)影響地面通過“遙控”切換冗余單機(jī)的功能.

此外，雙模熱備份容錯(cuò)線路采用獨(dú)立供電的方案;線路全部基于成熟可靠的中小規(guī)模集成器件實(shí)現(xiàn);容錯(cuò)線路簡單穩(wěn)定，整個(gè)雙份容錯(cuò)線路穩(wěn)態(tài)功耗低于50mW，線路上器件受到的溫度應(yīng)力極低，在硬件設(shè)計(jì)上保證容錯(cuò)線路具有極高可靠性.

3 系統(tǒng)軟件設(shè)計(jì)

如圖4所示，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)軟件包括系統(tǒng)軟件和基于系統(tǒng)軟件運(yùn)行的應(yīng)用軟件，本文僅介紹系統(tǒng)軟件的設(shè)計(jì).

圖4 天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)軟件組成圖

天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的系統(tǒng)軟件采用實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)對(duì)系統(tǒng)資源的管理，系統(tǒng)軟件提供與硬件相關(guān)的底層函數(shù)及與應(yīng)用相關(guān)的各個(gè)系統(tǒng)服務(wù)功能，同時(shí)與硬件配合實(shí)現(xiàn)容錯(cuò)功能，應(yīng)用軟件在系統(tǒng)軟件的基礎(chǔ)上運(yùn)行.系統(tǒng)軟件包括控制計(jì)算機(jī)啟動(dòng)時(shí)對(duì)底層硬件進(jìn)行初始化的板級(jí)支持包、實(shí)時(shí)操作系統(tǒng)內(nèi)核以及與容錯(cuò)應(yīng)用相關(guān)的系統(tǒng)服務(wù).

板級(jí)支持包主要完成系統(tǒng)初始化及初始上電時(shí)的自測試功能.

實(shí)時(shí)操作系統(tǒng)內(nèi)核是整個(gè)系統(tǒng)軟件的核心，天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)采用完全自主知識(shí)產(chǎn)權(quán)的操作系統(tǒng)產(chǎn)品 SpaceOS，穩(wěn)定可靠，SpaceOS完成如下核心功能:

1)負(fù)責(zé)對(duì)任務(wù)進(jìn)行管理.控制計(jì)算機(jī)軟件被劃分為若干個(gè)任務(wù)，同時(shí)根據(jù)其重要性為每個(gè)任務(wù)賦予了一定優(yōu)先級(jí)，操作系統(tǒng)內(nèi)核根據(jù)任務(wù)優(yōu)先級(jí)調(diào)度各個(gè)任務(wù)運(yùn)行;

2)負(fù)責(zé)時(shí)鐘節(jié)拍管理.控制計(jì)算機(jī)的每個(gè)任務(wù)根據(jù)需要被賦予了一定的運(yùn)行時(shí)長，通過時(shí)鐘節(jié)拍來定義，操作系統(tǒng)內(nèi)核根據(jù)任務(wù)的節(jié)拍數(shù)來控制任務(wù)運(yùn)行的時(shí)間，防止一個(gè)任務(wù)運(yùn)行超時(shí)影響其他任務(wù)的運(yùn)行，同時(shí)起到了故障隔離的作用;

3)中斷管理.保證中斷能夠按照設(shè)計(jì)的優(yōu)先級(jí)及時(shí)響應(yīng)的同時(shí)，所有任務(wù)能正常運(yùn)行.

系統(tǒng)服務(wù)與控制計(jì)算機(jī)硬件配合，實(shí)現(xiàn)如下容錯(cuò)和支持功能:

1)完成系統(tǒng)管理任務(wù)和空閑任務(wù).系統(tǒng)管理任務(wù)負(fù)責(zé)實(shí)時(shí)監(jiān)測每個(gè)任務(wù)的運(yùn)行情況，采集每個(gè)任務(wù)的運(yùn)行信息，根據(jù)這些信息設(shè)定系統(tǒng)運(yùn)行情況的健康參數(shù)，同時(shí)將這些信息按預(yù)定格式編碼后通過遙測下傳.空閑任務(wù)則主要利用處理器自帶的EDAC功能，在處理器的空閑時(shí)間，以“讀”方式對(duì)存儲(chǔ)器進(jìn)行“刷新”，防止單粒子錯(cuò)誤累積;

2)對(duì)控制計(jì)算機(jī)的各級(jí)看門狗進(jìn)行管理.系統(tǒng)軟件根據(jù)任務(wù)運(yùn)行情況以及硬件提供的標(biāo)志采取不同的打狗策略，實(shí)現(xiàn)控制器之間的自動(dòng)切換功能，以及實(shí)現(xiàn)BCD運(yùn)行優(yōu)先級(jí)大于 AOCC，同時(shí) AOCC B機(jī)運(yùn)行優(yōu)先級(jí)大于A機(jī)的設(shè)計(jì)功能;

3)異常事件處理.系統(tǒng)軟件通過異常事件中斷或同步陷阱對(duì)異常事件進(jìn)行管理，使系統(tǒng)能夠及時(shí)脫離異常狀態(tài)，同時(shí)異常事件信息能夠遙測下傳到地面.為了提高系統(tǒng)的可用性，最大可能保證關(guān)鍵任務(wù)順利執(zhí)行，系統(tǒng)軟件能夠根據(jù)任務(wù)運(yùn)行情況對(duì)系統(tǒng)管理任務(wù)以及空閑任務(wù)等非關(guān)鍵任務(wù)進(jìn)行任務(wù)功能降級(jí)甚至停止其運(yùn)行;

4)提供在軌編程功能.當(dāng)控制計(jì)算機(jī)在軌運(yùn)行時(shí)發(fā)生非預(yù)期的事件或發(fā)現(xiàn)軟件存在缺陷時(shí)，可以在不中斷系統(tǒng)運(yùn)行的情況下，通過在軌編程實(shí)現(xiàn)程序模塊的在線替換，提高了系統(tǒng)可靠性和安全性.

此外，為進(jìn)一步保證天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)系統(tǒng)軟件的可靠性，還采取了如下方法和手段:

1)對(duì)操作系統(tǒng)內(nèi)核變量等關(guān)鍵參數(shù)進(jìn)行“三取二”多數(shù)表決存取，提高存儲(chǔ)器容忍單粒子反轉(zhuǎn)的能力;

2)對(duì)程序存儲(chǔ)器空白區(qū)填充“陷阱”指令，防止程序“跑飛”導(dǎo)致系統(tǒng)崩潰;

3)針對(duì)該款ERC32處理器，設(shè)計(jì)專用浮點(diǎn)單元測試程序和代碼掃描測試程序，解決了處理器芯片硬件設(shè)計(jì)缺陷，以及處理器浮點(diǎn)單元出廠測試不完備問題給整個(gè)計(jì)算機(jī)系統(tǒng)帶來的隱患.

天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)系統(tǒng)軟件按照相關(guān)航天標(biāo)準(zhǔn)進(jìn)行軟件的研制開發(fā)及管理.采用瀑布模型作為軟件項(xiàng)目生存周期模型，嚴(yán)格執(zhí)行“制訂開發(fā)計(jì)劃→需求分析和說明→軟件設(shè)計(jì)→程序編碼→測試及運(yùn)行維護(hù)”的研制流程，每個(gè)階段進(jìn)行評(píng)審與確認(rèn).天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)系統(tǒng)軟件通過了代碼審查、單元測試、組裝測試、確認(rèn)測試、分系統(tǒng)測試、第三方評(píng)測和整器測試，軟件更改以及配置管理嚴(yán)格受控，研制過程中的問題均得到了及時(shí)解決.

4 可靠性分析驗(yàn)證

在天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的研制過程中，采用如圖5所示的流程，對(duì)控制計(jì)算機(jī)產(chǎn)品進(jìn)行了電、熱、抗力學(xué)、抗輻照、電磁兼容性、降額和FMEA等可靠性分析工作，確保天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)產(chǎn)品可靠性設(shè)計(jì)符合空間環(huán)境使用要求.

圖5 控制計(jì)算機(jī)可靠性分析流程

在控制計(jì)算機(jī)抗力學(xué)環(huán)境分析中，使用有限元分析軟件對(duì)控制計(jì)算機(jī)產(chǎn)品進(jìn)行了力學(xué)分析，包括靜力分析、模態(tài)分析、正弦振動(dòng)響應(yīng)分析以及隨機(jī)振動(dòng)響應(yīng)分析，得到了控制計(jì)算機(jī)在振動(dòng)試驗(yàn)條件下的響應(yīng)值，結(jié)果表明:控制計(jì)算機(jī)印制板組件基頻與整機(jī)基頻錯(cuò)開，控制計(jì)算機(jī)結(jié)構(gòu)整體可靠，剛度和強(qiáng)度都能滿足設(shè)計(jì)要求，安全裕度計(jì)算結(jié)果滿足要求，符合天宮一號(hào)目標(biāo)飛行器GNC分系統(tǒng)可靠性設(shè)計(jì)要求.

在控制計(jì)算機(jī)熱分析中，通過熱分析仿真工具，對(duì)控制計(jì)算機(jī)穩(wěn)態(tài)工作時(shí)的工況進(jìn)行了仿真，模擬各元器件的功耗分配和仿真溫度數(shù)據(jù)，在每個(gè)電路組件上放置監(jiān)測點(diǎn)，計(jì)算得到了整個(gè)控制計(jì)算機(jī)的熱收斂曲線和產(chǎn)品各監(jiān)測點(diǎn)曲線.

在控制計(jì)算機(jī)電磁兼容性分析中，遵循電磁兼容性的設(shè)計(jì)原則，借鑒國內(nèi)外航天電子設(shè)備的設(shè)計(jì)經(jīng)驗(yàn)，利用電子設(shè)計(jì)自動(dòng)化軟件對(duì)控制計(jì)算機(jī)進(jìn)行了機(jī)箱和板級(jí)電磁兼容性分析、信號(hào)完整性分析，及時(shí)發(fā)現(xiàn)和解決了控制計(jì)算機(jī)相關(guān)電磁兼容性問題.

在控制計(jì)算機(jī)抗輻射總劑量分析中，按照近似采用六面體的計(jì)算方法，分別計(jì)算了各個(gè)方向機(jī)箱結(jié)構(gòu)和內(nèi)部器件提供的屏蔽等效鋁厚度，參考吸收輻射總劑量和屏蔽厚度的關(guān)系，用線性插值法得到了控制計(jì)算機(jī)中全部器件每個(gè)方向上的輻射總劑量和空間輻射總劑量，確認(rèn)了經(jīng)過各級(jí)屏蔽后，到達(dá)控制計(jì)算機(jī)各元器件管芯的輻射總劑量在取RDM=3的情況下仍能符合設(shè)計(jì)要求.

在控制計(jì)算機(jī)降額設(shè)計(jì)時(shí)，有意降低了元器件承受的電的、熱的和機(jī)械的應(yīng)力，以降低元器件的工作失效率，提高可靠性.設(shè)計(jì)完成后，按照規(guī)定的元器件降額項(xiàng)目、降額等級(jí)以及降額因子選取方法，并考慮產(chǎn)品實(shí)際工作環(huán)境條件、空間輻射等因素的影響，對(duì)控制計(jì)算機(jī)進(jìn)行了降額分析，確認(rèn)控制計(jì)算機(jī)全部器件均進(jìn)行了一級(jí)降額.

總之，通過對(duì)天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)產(chǎn)品的可靠性設(shè)計(jì)進(jìn)行完備的仿真分析與驗(yàn)證，進(jìn)一步解決了控制計(jì)算機(jī)產(chǎn)品設(shè)計(jì)中潛在的問題，提高了產(chǎn)品的可靠性.

5 試驗(yàn)驗(yàn)證

生產(chǎn)天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)產(chǎn)品后，為了剔除生產(chǎn)加工缺陷和元器件的早期失效，對(duì)產(chǎn)品又進(jìn)行了高低溫、力學(xué)、熱循環(huán)、熱真空、地面溫度循環(huán)、綜合環(huán)境應(yīng)力等試驗(yàn)，通過環(huán)境試驗(yàn)暴露了產(chǎn)品的早期故障，保證了產(chǎn)品在軌工作處于偶然故障階段.

在完成常規(guī)的鑒定、驗(yàn)收試驗(yàn)外，對(duì)AOCC又進(jìn)行了加速壽命試驗(yàn).AOCC的加速壽命試驗(yàn)是通過控制環(huán)境條件，使用溫度作為加速變量，采用恒定應(yīng)力法完成的，測試系統(tǒng)如圖6所示.通過工作環(huán)境因子加速，在地面驗(yàn)證了AOCC以及整個(gè)天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)系統(tǒng)目前的設(shè)計(jì)可以較好滿足在軌工作壽命與可靠度要求.

圖6 控制計(jì)算機(jī)試驗(yàn)測試系統(tǒng)示意圖

總之，通過環(huán)境試驗(yàn)，進(jìn)一步暴露了控制計(jì)算機(jī)的潛在故障，保證了控制計(jì)算機(jī)產(chǎn)品可按照預(yù)期設(shè)計(jì)模式工作.

6 結(jié)束語

本文介紹了天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的設(shè)計(jì)、分析與驗(yàn)證情況.分析與地面試驗(yàn)驗(yàn)證的結(jié)果表明:天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)各項(xiàng)功能和性能指標(biāo)滿足GNC分系統(tǒng)的要求.

在天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的研制過程中，進(jìn)行了如下方面的探索:

1)容錯(cuò)策略:將AOCC和BCD劃分為獨(dú)立的故障包容區(qū)域，通過單機(jī)非工作儲(chǔ)備旁聯(lián)容錯(cuò)策略，防止偶然故障，以及保證控制計(jì)算機(jī)主份工作耗損達(dá)到一定程度后，可以切換到冷備份旁聯(lián)單機(jī)工作.

2)容錯(cuò)線路:將AOCC內(nèi)部冗余切換，與AOCC至BCD冗余切換的故障監(jiān)測與切換裝置分開獨(dú)立實(shí)現(xiàn);采用完全獨(dú)立的熱備份雙模并聯(lián)實(shí)現(xiàn)容錯(cuò)線路.目前該設(shè)計(jì)已推廣應(yīng)用于多個(gè)型號(hào)，均工作正常.

3)FPGA設(shè)計(jì):天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)將控制計(jì)算機(jī)的全部外設(shè)與控制邏輯采用FPGA集成實(shí)現(xiàn)，F(xiàn)PGA硬件分擔(dān)軟件通信功能，較大幅度地提高了控制計(jì)算機(jī)的實(shí)時(shí)吞吐率.同時(shí)天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)的FPGA設(shè)計(jì)還推廣應(yīng)用到神舟八號(hào)飛船等型號(hào)產(chǎn)品，均工作正常.

4)ERC32處理器應(yīng)用:通過天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)研制，發(fā)現(xiàn)并證實(shí)了該款ERC32處理器存在的多個(gè)硬件設(shè)計(jì)缺陷.同時(shí)，針對(duì)該款ERC32處理器，設(shè)計(jì)了專用浮點(diǎn)單元測試程序和代碼掃描測試程序，解決了該處理器芯片硬件設(shè)計(jì)缺陷，以及處理器浮點(diǎn)單元出廠測試不完備問題給整個(gè)計(jì)算機(jī)系統(tǒng)帶來的隱患，為后續(xù)基于該款ERC32處理器控制計(jì)算機(jī)的產(chǎn)品研制打下了良好基礎(chǔ).

5)通用處理器模塊:依托天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)，研制了該款ERC32處理器的標(biāo)準(zhǔn)CPU模塊，目前已應(yīng)用于多個(gè)型號(hào)產(chǎn)品，均在軌工作正常.

6)可靠性一體化分析:在天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)研制中，基于可靠性一體化平臺(tái)，首次基于流程驅(qū)動(dòng)，對(duì)控制計(jì)算機(jī)產(chǎn)品進(jìn)行了抗力學(xué)環(huán)境、熱、降額等可靠性的一體化分析.

7)加速壽命試驗(yàn):進(jìn)行了控制計(jì)算機(jī)產(chǎn)品的首次壽命試驗(yàn)，得到的相關(guān)試驗(yàn)數(shù)據(jù)，為今后探索控制計(jì)算機(jī)故障模式獲得了寶貴數(shù)據(jù).

天宮一號(hào)目標(biāo)飛行器控制計(jì)算機(jī)上述工作為后續(xù)控制計(jì)算機(jī)產(chǎn)品的研制提供了有益參考.

[1] Speer D， Jackson G，Raphael D.Flight computer design for the space technology 5(ST-5)mission[C].2002 IEEE Aerospace Conference， Big Sky， Montana， March 9-16，2002

[2] Yelverton J N.Sustaining state-of-the-art technology in space processor systems[C].AIAA Space Programs and Technologies Conference， Huntsville， AL， March 24-27，1992

[3] Coo D.Advanced flight computer，special study final report[R].NASA CR-198165，1995

[4] 李海泉，李剛.系統(tǒng)可靠性分析與設(shè)計(jì)[M].北京:科學(xué)出版社，2003

[5] 楊孟飛，郭樹玲，孫增沂.航天器控制應(yīng)用的星載計(jì)算機(jī)技術(shù) [J].航天控制，2005，23(2):69-73

[6] Yen I L，Ahmed I， Jagannath R，et al.Implementation of a custom izable fault tolerance framework[C].The First IEEE International Symposium on Object-oriented Real-Time Distributed Computing， Kyoto， Japan， April 20-22，1998

[7] Gomez D，Schonfeld C.Architecture and implementation for a high reliability long-term mission space computer[C].IEEE/AIAA 11th Digital Avionics Systems Conference， Seattle， October 5-8， 1992

Design and Verification of Control Com puter for Tiangong-1 Spacecraft

LIU Bo， LIN Yu， PENG Fei， XIE Qiong， WANG Guoliang(Beijing Institute of Control Engineering， Beijing 100190， China)

Compared with the Shenzhou spaceship’s orbit capsule， the Tiangong-1 spacecraft puts forward higher requirements for control computer in function，performance and environmental suitability.According to these new requirements， fault-tolerant scheme， hardware design， system software design， reliability analysis and test verification of control computer are described in this paper，ground demonstration results validate that the design of control computer for Tiangong-1 spacecraft fulfills the requirements for its GNC subsystem.

Tiangong-1 spacecraft;control computer;redundancy;fault-tolerant

TP39

A

1674-1579(2011)06-0028-06

10.3969/j.issn.1674-1579.2011.06.005

2011-09-16

劉 波(1977—)，男，湖南人，高級(jí)工程師，研究方向?yàn)槿蒎e(cuò)計(jì)算技術(shù)(e-mail:Liub@bice.org.cn).