王 磊，袁 利，戴居峰

(北京控制工程研究所，北京100190)

0 引 言

時(shí)序是具有時(shí)間約束的實(shí)時(shí)系統(tǒng)工作流，包括為完成實(shí)時(shí)系統(tǒng)的功能和性能要求而設(shè)計(jì)的邏輯執(zhí)行的過程順序以及與時(shí)間的關(guān)系.衛(wèi)星控制系統(tǒng)的時(shí)序是分布于控制分系統(tǒng)與其他分系統(tǒng)之間、控制分系統(tǒng)各單機(jī)產(chǎn)品之間、軟件和硬件之間、各軟件配置項(xiàng)之間以及應(yīng)用軟件中的邏輯要求與時(shí)間要求的集合.時(shí)序不合理將可能導(dǎo)致衛(wèi)星控制系統(tǒng)在軌發(fā)生控制混亂或故障.由于時(shí)序問題具有一定的概率性和隱藏性，因此在設(shè)計(jì)階段進(jìn)行時(shí)序分析，驗(yàn)證時(shí)序設(shè)計(jì)的合理性和正確性是必不可少的工作，時(shí)序分析的結(jié)果同時(shí)還可以指導(dǎo)后續(xù)的系統(tǒng)測試.

國外衛(wèi)星控制系統(tǒng)的時(shí)序設(shè)計(jì)有較為成熟的方法和工具.ESA采用對象方法[1]對時(shí)序進(jìn)行建模、分析和設(shè)計(jì).1987年，ESA采用了HOOD(hierachical object oriented language)設(shè)計(jì)方法，1995年，法國航天局將之升級為HRT-HOOD(hard real time HOOD)，支持對可調(diào)度性的直接分析，廣泛應(yīng)用于ESA的衛(wèi)星控制分系統(tǒng)嵌入式軟件.例如Olympus衛(wèi)星[2]的控制軟件包括周期任務(wù)、非定期任務(wù)、硬實(shí)時(shí)任務(wù)、軟實(shí)時(shí)任務(wù)、后臺任務(wù)和總線通訊任務(wù)，使用HRT-HOOD方法對時(shí)序過程進(jìn)行了四級分解.使用DMSA(deadline monotonic scheduling analysis)方法對每一個(gè)任務(wù)進(jìn)行了分析，確認(rèn)在指定的優(yōu)先級序列的情況下是否可以使得每一個(gè)任務(wù)在指定的時(shí)間點(diǎn)或允許的時(shí)間范圍內(nèi)被運(yùn)行.在分析過程中，遇到的最大問題是總線中斷的處理.最初使用了一個(gè)非周期性的對象和一個(gè)被動(dòng)對象來實(shí)現(xiàn)中斷處理，在中斷的時(shí)候由被動(dòng)對象讀取數(shù)據(jù)，而由非周期對象來處理數(shù)據(jù)，分析表明不能滿足指定的時(shí)間要求，因此通過修改設(shè)計(jì)，讓非周期對象將數(shù)據(jù)存放在緩沖區(qū)內(nèi)，通過一個(gè)周期對象以固定的頻率搬移數(shù)據(jù)來實(shí)現(xiàn).

模型驅(qū)動(dòng)的分析與設(shè)計(jì)方法[3-4]是采用模型作為系統(tǒng)設(shè)計(jì)開發(fā)各個(gè)階段的統(tǒng)一描述，通過自動(dòng)化工具保證各個(gè)設(shè)計(jì)階段的一致性的方法.2003年美國軍方推出了結(jié)合部分UML2.0符號庫的結(jié)構(gòu)描述語言AADL[5-6](avionics architecture design language)，在整個(gè)航天業(yè)界得到了推廣應(yīng)用后，AADL的含義變?yōu)閍rchitecture analysis＆design language，成為模型驅(qū)動(dòng)方法的主流規(guī)范.AADL主要功能是對嵌入式系統(tǒng)的實(shí)時(shí)性、嵌入式容錯(cuò)、安全分區(qū)和動(dòng)態(tài)認(rèn)證等非功能屬性進(jìn)行建模;能夠描述系統(tǒng)的任務(wù)調(diào)度、任務(wù)通訊、分布式多處理器以及嵌入式硬件基本結(jié)構(gòu)等其他性質(zhì).可應(yīng)用在系統(tǒng)的整個(gè)生命周期對其進(jìn)行建模和分析，并針對系統(tǒng)的關(guān)鍵特征，通過一套可擴(kuò)展的符號系統(tǒng)及其工具框架提供各個(gè)開發(fā)時(shí)期的驗(yàn)證.不僅可以用來對已有系統(tǒng)進(jìn)行建模和分析，還可以用來設(shè)計(jì)和整合新的系統(tǒng)，并支持從多種結(jié)構(gòu)觀點(diǎn)進(jìn)行設(shè)計(jì)、建模和分析.目前歐洲發(fā)展的HRT-HOOD體系已開始兼容AADL，最終將轉(zhuǎn)換到模型驅(qū)動(dòng)設(shè)計(jì)方法.

無論是對象方法還是模型驅(qū)動(dòng)方法，其建模的目的主要是為了在動(dòng)態(tài)平臺上運(yùn)行系統(tǒng)模型來對時(shí)序進(jìn)行分析驗(yàn)證.這兩種方法均離不開時(shí)序過程的數(shù)學(xué)描述，因此，必須對時(shí)序過程進(jìn)行數(shù)學(xué)建模，求得時(shí)序參數(shù)，才有可能對時(shí)序模型進(jìn)行驗(yàn)證.

國內(nèi)衛(wèi)星控制系統(tǒng)在時(shí)序設(shè)計(jì)與分析方面還沒有成熟的方法和工具，數(shù)學(xué)建模分析僅限于局部，在實(shí)踐中主要是結(jié)合型號工作經(jīng)驗(yàn)通過試錯(cuò)法(try and error)調(diào)整時(shí)間參數(shù).

本文提出針對時(shí)序設(shè)計(jì)的系統(tǒng)性的數(shù)學(xué)建模分析方法，明確了時(shí)序設(shè)計(jì)的分解分配過程，給出了時(shí)序描述的工作流圖方法.

1 任務(wù)分析與軟硬件協(xié)同設(shè)計(jì)

1.1 任務(wù)分析

任務(wù)分析是開展系統(tǒng)級時(shí)序設(shè)計(jì)的先決條件.通過任務(wù)分析，應(yīng)得到系統(tǒng)級時(shí)序設(shè)計(jì)的目標(biāo)和約束條件集合.目標(biāo)主要包括控制方案對時(shí)序的要求、與其他分系統(tǒng)之間工作分工對時(shí)序的要求.

結(jié)合系統(tǒng)詳細(xì)技術(shù)設(shè)計(jì)，可能的約束條件包括:系統(tǒng)產(chǎn)品配置、計(jì)算機(jī)與各單機(jī)(敏感器和執(zhí)行機(jī)構(gòu))的工作分工與從屬關(guān)系、各單機(jī)(選用的現(xiàn)有產(chǎn)品)工作特性以及軟硬件工作分工、各軟件配置項(xiàng)工作分工、與控制分系統(tǒng)存在軟硬件接口的其他分系統(tǒng)的工作特性(特別是時(shí)間特性)等.約束條件在數(shù)學(xué)模型中一般以已知參數(shù)代入求解.

1.2 軟硬件協(xié)同設(shè)計(jì)

系統(tǒng)級時(shí)序設(shè)計(jì)首先需要對軟硬件功能進(jìn)行劃分，完成軟硬件的協(xié)同設(shè)計(jì).根據(jù)系統(tǒng)體系結(jié)構(gòu)、質(zhì)量體積和功耗約束、電子線路目前的設(shè)計(jì)水平、計(jì)算存儲(chǔ)和通信能力等系統(tǒng)約束條件進(jìn)行綜合分析后，重點(diǎn)在上電與切機(jī)、通信接口傳輸機(jī)制、緩沖配置、中斷、時(shí)鐘等軟硬件密切配合的項(xiàng)目用工作流圖描述軟硬件工作界面，分別給出軟硬件時(shí)序設(shè)計(jì)目標(biāo).

2 時(shí)序過程的數(shù)學(xué)建模

2.1 時(shí)序分解模型

系統(tǒng)時(shí)序設(shè)計(jì)是對系統(tǒng)時(shí)序設(shè)計(jì)目標(biāo)分層分解并逐級分配的過程.在每一層分解過程中，應(yīng)首先建立分解模型，分解出不同的時(shí)序設(shè)計(jì)子項(xiàng)目，并通過對分解模型的求解，得出對應(yīng)子項(xiàng)目的設(shè)計(jì)目標(biāo).每一層的輸出結(jié)果可以使用工作流圖表達(dá).

例如，控制周期T是系統(tǒng)級設(shè)計(jì)目標(biāo).其分解模型可以建立如下:

式中:t1為上下文切換(任務(wù)調(diào)度)時(shí)間;t2為所有所需的敏感器信息采集時(shí)間;t3為控制算法運(yùn)行時(shí)間;t4為所有控制命令發(fā)送時(shí)間;t5為在單個(gè)控制周期內(nèi)所有可能發(fā)生的中斷時(shí)間(此為外部中斷或系統(tǒng)時(shí)鐘中斷，采集敏感器信息而產(chǎn)生的中斷安排在t2中);t6為空閑時(shí)間.

因此，分解出來的時(shí)序項(xiàng)目至少為6項(xiàng)，而每個(gè)子項(xiàng)的設(shè)計(jì)目標(biāo)通過ti(i=1～6)表示;各個(gè)子項(xiàng)目之間的順序關(guān)系可以用工作流圖或任務(wù)時(shí)序圖描述.數(shù)學(xué)模型的求解是要確定模型中所有參數(shù)的數(shù)值或取值范圍，所依據(jù)的首要原則是使得每個(gè)參數(shù)均在可實(shí)現(xiàn)范圍內(nèi)，其次是系統(tǒng)應(yīng)為優(yōu)化的.

每個(gè)子項(xiàng)目的設(shè)計(jì)目標(biāo)可以進(jìn)一步分解.直至分解到最終每個(gè)時(shí)序環(huán)節(jié)的時(shí)間參數(shù)要求.例如t2可以分解如下:

式中:t2i1為AOCC/GNCC向第i個(gè)單機(jī)發(fā)送的信息采集命令的發(fā)送與傳輸時(shí)間;t2i2為該單機(jī)的響應(yīng)時(shí)間;t2i3為該單機(jī)的信息傳送時(shí)間;t2i4為AOCC/GNCC對該信息的接收和解包處理時(shí)間;t2i5為空閑時(shí)間(若故障處理要求當(dāng)前控制周期對該單機(jī)的信息采集在一次傳輸不果后需重傳一次，則重傳時(shí)間計(jì)算在t2i5內(nèi)).若對單個(gè)單機(jī)有多次信息采集，應(yīng)累加時(shí)間.各個(gè)單項(xiàng)之間的順序關(guān)系可以用工作流圖描述.

t3可以根據(jù)用戶需求，分解到控制算法的不同模塊.其不同模塊之間的順序關(guān)系可以用結(jié)構(gòu)化流程圖描述.

t4可以分解如下:

式中:t4i1為AOCC/GNCC向第i個(gè)執(zhí)行機(jī)構(gòu)發(fā)送控制命令的發(fā)送與傳輸時(shí)間;t4i2為空閑時(shí)間(一般設(shè)計(jì)為0，但當(dāng)兩條命令之間存在同步要求時(shí)，同步等待時(shí)間計(jì)算在t4i2內(nèi)).若對單個(gè)單機(jī)有多條控制命令發(fā)送，應(yīng)累加時(shí)間.各個(gè)單項(xiàng)之間的順序關(guān)系可以用工作流圖描述.

t5可以分解如下:

式中:pi是指第i類中斷在一個(gè)周期內(nèi)可能發(fā)生的最大次數(shù);t00為中斷響應(yīng)時(shí)間;t01為中斷上下文切換時(shí)間;tdi是第i類中斷的中斷處理時(shí)間.

t6可以分解如下:

2.2 時(shí)序分配模型

通過時(shí)序分解模型可以分解出時(shí)序設(shè)計(jì)的子項(xiàng)目，子項(xiàng)目一般都直接與硬件產(chǎn)品的特性相關(guān)，此時(shí)，通過進(jìn)一步細(xì)化的數(shù)學(xué)建模，可以將時(shí)序要求分配到具體過程.在時(shí)序分配模型中納入硬件時(shí)間特性參數(shù)，可以進(jìn)行正逆數(shù)值求解，以得到較優(yōu)的結(jié)果.

例如，設(shè)計(jì)一個(gè)需響應(yīng)3個(gè)外部中斷的計(jì)算機(jī)系統(tǒng)，在優(yōu)先級確定的前提下，需分析其中斷嵌套的情況，得到每個(gè)中斷的處理時(shí)間以及中斷發(fā)生的頻率(兩次中斷的時(shí)間間隔)限制.可以建模如下:

設(shè)系統(tǒng)中斷響應(yīng)時(shí)間為t00，任務(wù)調(diào)度的上下文切換時(shí)間為t01;中斷1(最高優(yōu)先級)的中斷處理時(shí)間為t10，產(chǎn)生單次中斷的數(shù)據(jù)包的線上傳輸時(shí)間為t11，兩個(gè)數(shù)據(jù)包的最小間隔為t12;中斷2(次高優(yōu)先級)的中斷處理時(shí)間為t20，產(chǎn)生單次中斷的數(shù)據(jù)包的線上傳輸時(shí)間為t21，兩個(gè)數(shù)據(jù)包的最小間隔為t22;中斷3(最低優(yōu)先級)的中斷處理時(shí)間為t30，產(chǎn)生單次中斷的數(shù)據(jù)包的線上傳輸時(shí)間為t31，兩個(gè)數(shù)據(jù)包的最小間隔為t32.

則為保證中斷1不丟失數(shù)據(jù)，需滿足:

為保證中斷2不丟失數(shù)據(jù)，需滿足:

其中，ceil表示向上取整運(yùn)算.

為保證中斷3不丟失數(shù)據(jù)，需滿足:

由上述模型可以看出，為保證各級中斷不丟失數(shù)據(jù)，應(yīng)采取的措施包括:

1)高優(yōu)先級的中斷處理時(shí)間應(yīng)短于低優(yōu)先級的中斷處理時(shí)間;

2)縮短各級中斷的處理時(shí)間;

3)增大各級中斷的兩次中斷時(shí)間間隔.為此，若數(shù)據(jù)包的線上傳輸時(shí)間較短，則應(yīng)增大兩包數(shù)據(jù)之間的間隔.

2.3 時(shí)序裕度模型

對一段時(shí)序過程進(jìn)行數(shù)學(xué)建模的最終結(jié)果一般表現(xiàn)為一個(gè)表達(dá)式.由于物理硬件的特性，通常對時(shí)間參數(shù)的執(zhí)行結(jié)果存在一定的誤差，為了保證在最壞情況下仍能滿足數(shù)學(xué)模型，需要進(jìn)行裕度設(shè)計(jì).

設(shè)有時(shí)間參數(shù)T，由若干分段時(shí)間參數(shù)組成:T為整數(shù).各時(shí)間參數(shù)用下標(biāo)l表示取值下限，用下標(biāo)h表示取值上限，對于取值上限/下限的選取或限制應(yīng)符合執(zhí)行此時(shí)間參數(shù)的單機(jī)特性.

由數(shù)學(xué)模型的表達(dá)式來確定時(shí)序裕度的模型，即應(yīng)考慮各個(gè)分段時(shí)間的上下限，規(guī)則是:

1)對于小于不等式，不等式左邊的時(shí)間參數(shù)均以其取值上限計(jì)算，不等式右邊的時(shí)間參數(shù)均以其取值下限計(jì)算.即若要求時(shí)間參數(shù)T小于Tl，則有:

2)對于大于不等式，不等式左邊的時(shí)間參數(shù)均以其取值下限計(jì)算，不等式右邊的時(shí)間參數(shù)均以其取值上限計(jì)算.即若要求時(shí)間參數(shù)T大于Th，則有:

3)對于等式，即若要求時(shí)間參數(shù)T在Tl～Th之間.左邊為被分解項(xiàng)，其取值上限應(yīng)不小于右邊各分解項(xiàng)均按取值上限的計(jì)算結(jié)果:

其取值下限應(yīng)不大于右邊各分解項(xiàng)均按取值下限的計(jì)算結(jié)果:

3 時(shí)序過程的描述

由于衛(wèi)星控制分系統(tǒng)工作流的上下文既有瞬時(shí)性(instantaneous)也有持續(xù)性(continuous)特點(diǎn)，因此控制分系統(tǒng)的系統(tǒng)級時(shí)序描述包括兩個(gè)方面:基于時(shí)間點(diǎn)的工作流和基于時(shí)間區(qū)間的工作流.參照區(qū)間代數(shù)[7]，定義基本的時(shí)序關(guān)系為:

工作流圖用于表述控制系統(tǒng)各個(gè)工作主體(計(jì)算機(jī)、敏感器、執(zhí)行機(jī)構(gòu)、外系統(tǒng)、軟件配置項(xiàng))之間的工作流，以及這些工作流之間的同步或異步的交叉關(guān)系.

表1 基本時(shí)序關(guān)系Tab.1 Elementarytimingrelations

用Pij表示第i個(gè)工作主體的第j個(gè)動(dòng)作，同時(shí)加入時(shí)間點(diǎn)(或事件、或條件)或時(shí)間執(zhí)行區(qū)間.時(shí)間點(diǎn)用[tm，)表示，時(shí)間區(qū)間用[tm，tn]表示，條件用[CTp]表示，資源用[Y1，Y2，…]表示;多個(gè)時(shí)間(事件或條件)描述之間用/分隔.

例如:

工作流圖是由表述這些帶有時(shí)間約束的圖形節(jié)點(diǎn)連接而成，如圖1所示.

圖1 工作流圖Fig.1 Working flow chart

連接關(guān)系中，箭頭代表了先后順序關(guān)系;帶有弧線的并列箭頭所指的分支是條件判斷分支;不帶有弧線的并列箭頭所指的分支是并行關(guān)系.前后方框中時(shí)間區(qū)間的差值，代表了所允許的時(shí)間裕量或響應(yīng)時(shí)間或執(zhí)行時(shí)延.

工作流圖中動(dòng)作的執(zhí)行順序是由工作流的執(zhí)行控制結(jié)構(gòu)決定的，這種執(zhí)行時(shí)序約束沒有明確的定義，但在執(zhí)行過程中總要被滿足，因此稱為隱式時(shí)序約束.由各種基本時(shí)序關(guān)系符號所指明的時(shí)間點(diǎn)、時(shí)間區(qū)間、事件、條件、資源是顯式時(shí)序約束.特別是對于時(shí)間要求，時(shí)間點(diǎn)與時(shí)間區(qū)間表達(dá)了動(dòng)作持續(xù)時(shí)間約束、動(dòng)作間的時(shí)間間隔約束以及允許的時(shí)延約束.

4 結(jié) 論

隨著衛(wèi)星控制系統(tǒng)集成度的提高和新功能的不斷增加，系統(tǒng)時(shí)序的復(fù)雜度也越來越高，通過試錯(cuò)法設(shè)計(jì)時(shí)序參數(shù)效率過于低下且容易出錯(cuò).本文提出了針對時(shí)序的數(shù)學(xué)建模分析方法和時(shí)序描述的工作流圖方法，可用于衛(wèi)星控制分系統(tǒng)的時(shí)序設(shè)計(jì)與分析.通過系統(tǒng)性的時(shí)序建模，可求解出時(shí)序過程中的所有時(shí)間參數(shù)，同時(shí)對系統(tǒng)測試具有指導(dǎo)意義.

[1]BURNS A，WEKKUBGSA J.Hard real time HOOD:a design method for hard real-time ada 9X systems[C]//Ada UK International Conference.Amsterdam:Ios Press，1992:201.

[2]BURNSA， WEKKUBGSA J，BAILEY C M，et al.The olympus attitude and orbital control system-a case study in hard real-time system design and implementation[C]//The 12thAda-Europe International Conference.Heidelbery:Springer-Verlag Berlin，1993:353.

[3]ERKKINEN T.Model style guidelines for flight code generation[R].AIAA 2005-6216，2005.

[4]TOTEL E，POLLE B，CHARMEAU M C.Modelling an autonomous spacecraft architecture[C]//DASIA.Nice:ESTEC，2001.

[5]FEILER P H，LEWIS B A，VESTAL S.The SAE architecture，analysis＆DESIGN LANGUAGE(AADL)-a standard for engineering performance critical system[C]//The 2006 IEEE Conference on Computer Aided Control System Design.Washingto:IEEE Computer Society press，2006:1206-11.

[6]RUGINA A E，KANOUN K，KANICHE M.A System dependability modeling framework using AADL and GSPNS[M].Delemos R，Gacek C，Romanovsky A.Architecting Dependable System IV.Heidelberg:Springer-Verlag Berlin，2007:14-38.

[7]ALEFELD G，HERZBERGER J.Introduction to interval computations[M].New York:Academ ic Press，1983.