孫海峰，劉俊陽(yáng)，程 勝，宋征宇

(1. 北京航天自動(dòng)控制研究所，北京 100854；2. 北京神舟航天軟件技術(shù)有限公司，北京 100094;3.中國(guó)運(yùn)載火箭技術(shù)研究院，北京 100076)

0 引 言

電氣系統(tǒng)高度綜合化、標(biāo)準(zhǔn)化、模塊化、組合化、通用化是目前國(guó)際、國(guó)內(nèi)航天領(lǐng)域發(fā)展的趨勢(shì)。傳統(tǒng)火箭電氣系統(tǒng)設(shè)計(jì)思路下，電氣系統(tǒng)被人為的分割成若干子系統(tǒng)，使得系統(tǒng)功能劃分不夠合理，資源不夠優(yōu)化。以重型運(yùn)載火箭為代表的下一代運(yùn)載火箭電氣系統(tǒng)功能愈發(fā)復(fù)雜，對(duì)整個(gè)電氣系統(tǒng)進(jìn)行資源優(yōu)化設(shè)計(jì)的需求越來(lái)越迫切。

國(guó)內(nèi)新一代運(yùn)載火箭的體系架構(gòu)仍然是聯(lián)邦式的。文獻(xiàn)[1-6]對(duì)傳統(tǒng)運(yùn)載火箭和新一代運(yùn)載火箭控制系統(tǒng)和電氣系統(tǒng)架構(gòu)進(jìn)行了研究，其中，文獻(xiàn)[2,6]提出采用系統(tǒng)集成和一體化設(shè)計(jì)降低運(yùn)載火箭成本的方法，提出“充分發(fā)揮每個(gè)單機(jī)的功能，減少單一功能的設(shè)備，也可以降低成本”，“但我國(guó)目前的長(zhǎng)征系列火箭還未能實(shí)現(xiàn)跨系統(tǒng)集成設(shè)計(jì)”。文獻(xiàn)[3]提出了”控制與測(cè)量系統(tǒng)一體化設(shè)計(jì)”的基本思路，“獨(dú)立的系統(tǒng)設(shè)計(jì)方案顯得過(guò)于復(fù)雜”，并指出“在綜合分析可靠性、成本雙重因素下，測(cè)量分系統(tǒng)中的相關(guān)功能，尤其是用于對(duì)控制系統(tǒng)信號(hào)進(jìn)行采樣、編碼、傳輸?shù)母鞣N數(shù)據(jù)采集單元具備了與控制分系統(tǒng)一體化設(shè)計(jì)的條件?！蔽墨I(xiàn)[4-5]在綜合分析傳統(tǒng)運(yùn)載火箭和新一代運(yùn)載火箭的電氣系統(tǒng)架構(gòu)后，提出了未來(lái)重型運(yùn)載火箭電氣系統(tǒng)架構(gòu)的展望。

國(guó)際上以美國(guó)為代表的航天大國(guó)已由單純追求更大運(yùn)載能力向“快速、經(jīng)濟(jì)、可靠、安全”轉(zhuǎn)變，法爾肯9系列火箭、火神系列、安加拉系列和阿里安6系列火箭均將模塊化組合化的綜合電子設(shè)計(jì)思路作為后續(xù)降低發(fā)射服務(wù)費(fèi)用、提升運(yùn)載能力的有力手段。阿里安6運(yùn)載火箭[7]采用綜合電子架構(gòu)，將電源管理、線(xiàn)路檢測(cè)與時(shí)序控制、電磁閥驅(qū)動(dòng)、遙測(cè)計(jì)算機(jī)、箭載計(jì)算機(jī)、總線(xiàn)交換功能按照功能板卡形式進(jìn)行了集成，稱(chēng)為中心多功能單元設(shè)備。NASA在“深空之門(mén)”月球軌道空間站項(xiàng)目中提出了開(kāi)放式的綜合電子架構(gòu)[8]，采用了分布式的軟硬件資源配置，通過(guò)TTE總線(xiàn)進(jìn)行互聯(lián)，分時(shí)分區(qū)的設(shè)計(jì)使不同關(guān)鍵等級(jí)的任務(wù)運(yùn)行在隔離的高集成度分區(qū)。TTE總線(xiàn)的應(yīng)用使得分布式的航電系統(tǒng)集成變得簡(jiǎn)單化[9]。此外，國(guó)際上也在研究基于DIMA架構(gòu)的系統(tǒng)級(jí)容錯(cuò)架構(gòu)[10]，利用分布式架構(gòu)的特點(diǎn)，將容錯(cuò)規(guī)模從單機(jī)內(nèi)部擴(kuò)展到全系統(tǒng)的級(jí)別，提高系統(tǒng)故障容限度。

綜合化集成化是當(dāng)前國(guó)內(nèi)國(guó)際航天運(yùn)輸領(lǐng)域的發(fā)展趨勢(shì)。本文以下一代運(yùn)載火箭為背景，通過(guò)對(duì)系統(tǒng)集成基礎(chǔ)理論、系統(tǒng)設(shè)計(jì)方法學(xué)、系統(tǒng)工程理論的研究，提出了復(fù)雜電氣系統(tǒng)的集成設(shè)計(jì)技術(shù)路線(xiàn)，在此基礎(chǔ)上，對(duì)下一代運(yùn)載火箭一體化綜合電氣系統(tǒng)的分布式架構(gòu)、層次化容錯(cuò)機(jī)制、分時(shí)分區(qū)的軟硬件框架以及交換式的信息交互架構(gòu)進(jìn)行了定義，對(duì)下一代運(yùn)載火箭電氣系統(tǒng)的集成設(shè)計(jì)進(jìn)行了探索和實(shí)踐，同時(shí)也為其他運(yùn)載火箭電氣系統(tǒng)集成提供了理論支持。

1 系統(tǒng)設(shè)計(jì)目標(biāo)

明確系統(tǒng)的設(shè)計(jì)目標(biāo)是整個(gè)綜合電子系統(tǒng)集成的首要內(nèi)容。下一代運(yùn)載火箭綜合電氣系統(tǒng)將是采用資源分布式設(shè)計(jì)的集成模塊化綜合電氣系統(tǒng)，基于標(biāo)準(zhǔn)模塊的軟硬件資源，通過(guò)統(tǒng)一的分布式通信網(wǎng)絡(luò)構(gòu)成的分布式綜合模塊化平臺(tái)，其設(shè)計(jì)目標(biāo)主要包括[11]：

1)小的模塊集合及寬的應(yīng)用范圍；

2)模塊具備強(qiáng)的維護(hù)能力；

3)最大化的互操作能力和模塊互換能力；

4)開(kāi)放式的體系結(jié)構(gòu)；

5)最大化使用商用成熟技術(shù)；

6)最大化軟件和硬件組件的技術(shù)透明性；

7)最小化硬件及操作系統(tǒng)升級(jí)的影響；

8)最大化軟件重用及可移植能力；

9)寬泛的自檢及故障容忍能力；

10)提供高自由度的功能和物理集成能力。

2 系統(tǒng)功能需求分析

系統(tǒng)功能需求分析是綜合電氣系統(tǒng)集成的基礎(chǔ)。通過(guò)系統(tǒng)功能需求分析，明確系統(tǒng)實(shí)現(xiàn)的功能需求，在此基礎(chǔ)上進(jìn)行功能抽象和功能提取。下一代運(yùn)載火箭電氣系統(tǒng)功能將更多的體現(xiàn)出自主控制的特點(diǎn)，其系統(tǒng)功能需求一般包括：1)自主導(dǎo)航功能；2)自適應(yīng)制導(dǎo)功能；3)自適應(yīng)姿態(tài)控制(含減載控制)功能；4)推進(jìn)控制功能(包括時(shí)序控制、推力調(diào)節(jié)控制、閉環(huán)增壓控制、推進(jìn)劑利用控制)；5)能源管理功能；6)健康管理及容錯(cuò)控制功能；7)遙測(cè)功能等。

3 系統(tǒng)抽象

3.1 復(fù)雜系統(tǒng)的抽象

系統(tǒng)抽象是復(fù)雜電氣系統(tǒng)分析與設(shè)計(jì)的方法之一[12]。下一代運(yùn)載火箭電氣系統(tǒng)屬于大規(guī)模復(fù)雜電氣系統(tǒng)，具有要素和層次眾多、結(jié)構(gòu)復(fù)雜的特點(diǎn)，為實(shí)現(xiàn)對(duì)電氣系統(tǒng)全面和本質(zhì)的認(rèn)識(shí)，需要對(duì)系統(tǒng)進(jìn)行歸納和抽象，提取出系統(tǒng)的主要因素，降低系統(tǒng)的復(fù)雜度，便于系統(tǒng)設(shè)計(jì)的開(kāi)展。

3.2 系統(tǒng)功能抽象

系統(tǒng)功能抽象是系統(tǒng)優(yōu)化分析和設(shè)計(jì)的基礎(chǔ)。解決復(fù)雜電氣系統(tǒng)復(fù)雜性問(wèn)題的有效方法在于將物理上高度耦合的系統(tǒng)劃分為邏輯上松散的系統(tǒng)，提高系統(tǒng)各功能實(shí)體的內(nèi)聚性，降低耦合性，模塊內(nèi)部高度內(nèi)聚，模塊之間松散耦合。當(dāng)模塊進(jìn)行修改、升級(jí)時(shí)，對(duì)系統(tǒng)的影響應(yīng)僅限制在模塊內(nèi)部，而不影響其他模塊，確保模塊與模塊之間的獨(dú)立性。同時(shí)還應(yīng)考慮模塊的標(biāo)準(zhǔn)化，通用性等設(shè)計(jì)要素。

以運(yùn)載火箭部分功能為例，系統(tǒng)功能抽象的結(jié)果見(jiàn)表1所示。

在功能抽象的基礎(chǔ)上，對(duì)各功能模塊的資源需求進(jìn)行定義，明確每個(gè)功能模塊的屬性、硬件資源需求、物理位置分布、預(yù)期開(kāi)銷(xiāo)。

針對(duì)表1定義的功能需求，表2對(duì)功能實(shí)體的資源需求做了說(shuō)明。

表2 功能資源需求Table 2 Resource requirements of functions

3.3 系統(tǒng)層次抽象

采用分層結(jié)構(gòu)處理是解決電子信息系統(tǒng)領(lǐng)域復(fù)雜性問(wèn)題的有效方法[13]。通過(guò)系統(tǒng)層次架構(gòu)對(duì)復(fù)雜電氣系統(tǒng)結(jié)構(gòu)進(jìn)行分層表征，將復(fù)雜系統(tǒng)劃分為若干層次，各層次由抽象出來(lái)的若干功能實(shí)體組成。

系統(tǒng)層次架構(gòu)設(shè)計(jì)的目標(biāo)是使組成系統(tǒng)的基本功能實(shí)體只與本層和相鄰層次之間發(fā)生關(guān)聯(lián)，而與其它層無(wú)關(guān)聯(lián)，確保層與層之間的獨(dú)立性。良好的系統(tǒng)分層設(shè)計(jì)，良好的功能實(shí)體劃分，確保功能實(shí)體之間獨(dú)立是綜合電氣系統(tǒng)設(shè)計(jì)的重點(diǎn)。

一種典型的運(yùn)載火箭模塊化綜合電子系統(tǒng)的層次抽象模型見(jiàn)圖1所示，系統(tǒng)分為輸入層、信息處理層、決策層、輸出控制層、驅(qū)動(dòng)層共5個(gè)層次。

3.4 系統(tǒng)的可視化表征

對(duì)系統(tǒng)進(jìn)行可視化表征是研究復(fù)雜系統(tǒng)的重要方法之一，通過(guò)對(duì)所抽象的功能進(jìn)行可視化表征，可以達(dá)到對(duì)系統(tǒng)的深度認(rèn)識(shí)[12]。

多視角的連通網(wǎng)絡(luò)描述，通過(guò)多個(gè)連通網(wǎng)絡(luò)來(lái)描述系統(tǒng)，從不同的視角描述系統(tǒng)的不同關(guān)聯(lián)關(guān)系。圖2以制導(dǎo)功能和推進(jìn)控制功能(含時(shí)序控制、閉環(huán)增壓控制、推力調(diào)節(jié)控制)為例對(duì)多視角的連通網(wǎng)絡(luò)進(jìn)行了說(shuō)明，描述語(yǔ)言采用了UML。通過(guò)可視化表征，各功能之間的交互關(guān)系變得更加清晰。

圖2 系統(tǒng)可視化表征

4 系統(tǒng)綜合

4.1 功能映射

綜合化的首要任務(wù)是進(jìn)行功能映射[14]。功能映射是指將系統(tǒng)中的功能與DIMA架構(gòu)中的某一個(gè)硬件設(shè)備進(jìn)行一一綁定，該硬件設(shè)備必須能夠?yàn)榇塑浖K提供所需的各類(lèi)資源。

集成控制單元(Integrated Control Unit, ICU)為電氣系統(tǒng)基本控制設(shè)備，采用IMA架構(gòu)，由兩種基本的硬件模塊組成：信息處理模塊和I/O模塊，見(jiàn)圖3。將IMA設(shè)備提供的資源分層設(shè)計(jì)，并與系統(tǒng)層次模型相映射，實(shí)現(xiàn)系統(tǒng)功能到軟硬件資源的綁定。

4.2 系統(tǒng)綜合

綜合化系統(tǒng)與非綜合化系統(tǒng)相比最大的特點(diǎn)是在系統(tǒng)中引入了綜合技術(shù)[14]。綜合化設(shè)計(jì)需要對(duì)軟硬件資源進(jìn)行整體優(yōu)化配置，力求資源最大化共享，功能最大化復(fù)用，縮減功能模塊和電氣設(shè)備種類(lèi)，提高模塊和設(shè)備的通用化、標(biāo)準(zhǔn)化程度。在系統(tǒng)功能抽象和層次化建模過(guò)程中，將上層的系統(tǒng)功能分解成一系列高內(nèi)聚低耦合的功能模塊，為實(shí)現(xiàn)資源綜合和功能綜合打下了良好的基礎(chǔ)。

如圖4所示，下一代運(yùn)載火箭通過(guò)綜合化設(shè)計(jì)，全箭電氣設(shè)備類(lèi)型減少至兩種，信息處理模塊減少至一種，I/O模塊在綜合考慮板卡體積、資源綜合等因素，也可以梳理出幾種通用I/O模塊，最大化的實(shí)現(xiàn)I/O功能模塊級(jí)共用。信息處理模塊采用3CPU/SOC集成化設(shè)計(jì)，不僅可以提高模塊集成度，同時(shí)，單模塊三冗余的設(shè)計(jì)本身就是一種簡(jiǎn)單的三模冗余(TMR)結(jié)構(gòu)。

圖3 層次映射及集成控制單元IMA架構(gòu)

圖4 集成控制模塊化組合化設(shè)計(jì)

通過(guò)通用模塊的組合，形成具有不同功能的電氣設(shè)備，配置在不同的艙段位置，通過(guò)交換式的網(wǎng)絡(luò)連接形成綜合電氣系統(tǒng)，如圖5所示。

從圖5可以看出，相比傳統(tǒng)運(yùn)載火箭電氣系統(tǒng)，采用了DIMA架構(gòu)的電氣系統(tǒng)架構(gòu)更為簡(jiǎn)潔。

5 系統(tǒng)軟硬件架構(gòu)設(shè)計(jì)

5.1 空間及時(shí)間分區(qū)

下一代運(yùn)載火箭綜合模塊化的電子系統(tǒng)通過(guò)在一個(gè)計(jì)算資源中運(yùn)行多個(gè)子系統(tǒng)任務(wù)來(lái)實(shí)現(xiàn)計(jì)算資源的高度共享，比如控制任務(wù)和遙測(cè)任務(wù)可能會(huì)共享同一計(jì)算資源，不同關(guān)鍵類(lèi)型的任務(wù)間不能彼此干擾，特別是重要性級(jí)別高的任務(wù)不能受到重要性級(jí)別低的任務(wù)的干擾。所以在共享計(jì)算資源時(shí)為了保證各不同關(guān)鍵級(jí)別的任務(wù)彼此之間不會(huì)相互干擾，提出分區(qū)的概念，分區(qū)是調(diào)度、資源分配及隔離的單位，分區(qū)占有的所有系統(tǒng)資源由其內(nèi)的所有進(jìn)程共享，但分區(qū)之間完全實(shí)現(xiàn)隔離。

分區(qū)級(jí)調(diào)度的主要特征是：(1)以分區(qū)作為調(diào)度單元；(2)分區(qū)沒(méi)有優(yōu)先級(jí)；(3)調(diào)度算法是預(yù)先確定的，按照固定的周期重復(fù)，并且只能由系統(tǒng)集成者進(jìn)行配置。在每個(gè)循環(huán)中，至少要為分區(qū)分配一個(gè)分區(qū)窗口。

圖5 分布式模塊化綜合電氣系統(tǒng)架構(gòu)

設(shè)IMA系統(tǒng)包含n個(gè)分區(qū)，P={p0,p1,p2,…,pn}，k個(gè)處理單元(核或者模塊)M={m1,m2,…,mk}。設(shè)整個(gè)時(shí)間軸可以被劃分為基本的時(shí)間單位tu，是CPU的分配的最小單位，時(shí)間可以被描述為一個(gè)無(wú)限集合T=N×tu，N為自然數(shù)。因此，分區(qū)系統(tǒng)的調(diào)度基本問(wèn)題就可以被描述為函數(shù)s:M×T→P，即在給定的時(shí)刻t=ktu，系統(tǒng)中某一模塊m∈M上運(yùn)行分區(qū)pt=s(m,t)∈P。對(duì)于任意一個(gè)分區(qū)p∈P，它具有如下的屬性：

1)TP∈T是分區(qū)的執(zhí)行周期；

2)bp是分區(qū)的時(shí)間預(yù)算，也就是該分區(qū)的最壞執(zhí)行時(shí)間；

3)mp表示分區(qū)的內(nèi)存預(yù)算，它是分區(qū)運(yùn)行過(guò)程中需要的最大內(nèi)存需求；

4)tp表示分區(qū)第一次被執(zhí)行的開(kāi)始時(shí)間。

從DIMA架構(gòu)的時(shí)空隔離性角度看，每個(gè)分區(qū)只能在一個(gè)處理單元上執(zhí)行，并且分區(qū)執(zhí)行具有嚴(yán)格周期性。一個(gè)處理單元上不同的分區(qū)可以有不同的執(zhí)行周期。一個(gè)處理單元上的所有的分區(qū)的執(zhí)行周期的最小公倍數(shù)構(gòu)成整個(gè)處理單元的一個(gè)大的周期，這個(gè)周期被稱(chēng)為分區(qū)系統(tǒng)的主時(shí)間幀，整個(gè)系統(tǒng)以此為周期進(jìn)行調(diào)度。

1)分區(qū)分配約束分析

分區(qū)分配問(wèn)題可以簡(jiǎn)單地歸結(jié)為找到一個(gè)恰當(dāng)?shù)暮瘮?shù)，將一個(gè)處理單元分配給每個(gè)分區(qū)，并且確保分區(qū)總是在一個(gè)處理單元上執(zhí)行。這個(gè)分配函數(shù)不考慮時(shí)間屬性問(wèn)題，僅考慮一個(gè)分區(qū)應(yīng)當(dāng)被分配哪個(gè)處理單元執(zhí)行。因此，這個(gè)分配問(wèn)題可以表示為n×k的矩陣A=P×M，A的每個(gè)元素的值域?yàn)閧0,1}，使得

?t∈T,s(pi,t)=mj=>ai,j=1

否則ai,j=0。

考慮到系統(tǒng)的使用效率以及可能存在的隱蔽通信信道帶對(duì)時(shí)間隔離和空間隔離的破壞，限制每個(gè)分區(qū)僅在一個(gè)處理單元上執(zhí)行，這構(gòu)成一個(gè)新的約束。該約束可以形式化地被描述為：

2)分區(qū)調(diào)度約束分析

對(duì)于任意分區(qū)p∈P，第k次被調(diào)度執(zhí)行的時(shí)間間隔：

Ik(tp)=[tp+(k-1)Tp,tp+(k-1)TP+bp]

為了確保可調(diào)度性，任意時(shí)刻一個(gè)處理單元僅可以執(zhí)行一個(gè)分區(qū)。因此，對(duì)于在一個(gè)處理單元上執(zhí)行的兩個(gè)分區(qū)，調(diào)度執(zhí)行間隔之間不應(yīng)存在交集。調(diào)度約束為：

?pi,pk∈P,?m,n∈M,

aij=akj=1=>Im(tpi)∩In(tpk)

對(duì)于同一處理單元上運(yùn)行的兩個(gè)分區(qū)pi,pk∈P，滿(mǎn)足調(diào)度約束的充分必要條件是當(dāng)且僅當(dāng)：

bpi≤(tpi-tpk)modgi,k≤gi,k-bk

式中，gi,k是兩個(gè)分區(qū)的運(yùn)行周期TPi和TPk的最大公約數(shù)。

3)內(nèi)存資源約束分析

此外，在分區(qū)架構(gòu)上，為了提供空間上的嚴(yán)格隔離，內(nèi)存資源采用靜態(tài)分配的機(jī)制。作為調(diào)度的一個(gè)重要約束，必須考慮處理單元上的內(nèi)存資源是否滿(mǎn)足分區(qū)調(diào)度的需求。內(nèi)存資源約束可以形式化地表示為：

5.2 分區(qū)劃分

分區(qū)劃分如圖6所示。

1)同一計(jì)算節(jié)點(diǎn)上同時(shí)包含控制分區(qū)和遙測(cè)分區(qū)，不同關(guān)鍵等級(jí)的任務(wù)被分配至隔離的分區(qū)中，從而共享同一計(jì)算資源，每個(gè)設(shè)備在完成控制任務(wù)的同時(shí)，還兼顧了附近的遙測(cè)功能，減少功能單一的設(shè)備，體現(xiàn)了集成化的設(shè)計(jì)思路。

2) 傳統(tǒng)的GNC控制功能和智能控制功能并行，滿(mǎn)足智能控制大運(yùn)算量需求的同時(shí)，保證了控制任務(wù)的實(shí)時(shí)性，為運(yùn)載火箭智能控制的實(shí)現(xiàn)提供了計(jì)算條件。

3)系統(tǒng)中三模冗余和雙模冗余結(jié)構(gòu)并存，發(fā)揮分布式系統(tǒng)的優(yōu)勢(shì)，當(dāng)雙冗余節(jié)點(diǎn)的輸出結(jié)果不一致時(shí)，利用系統(tǒng)中其他計(jì)算節(jié)點(diǎn)的計(jì)算資源(圖6 GNC節(jié)點(diǎn)中預(yù)留的仲裁分區(qū))進(jìn)行輸出結(jié)果表決仲裁，雖然減少了一路計(jì)算資源，卻達(dá)到了三模冗余的容錯(cuò)效果。

5.3 分布式層次化容錯(cuò)架構(gòu)

分布式模塊化的綜合電子系統(tǒng)架構(gòu)提供了一個(gè)更加靈活的架構(gòu)，在必要時(shí)，通過(guò)將系統(tǒng)中空閑的計(jì)算資源分配給故障應(yīng)用實(shí)現(xiàn)系統(tǒng)重構(gòu)，進(jìn)而提升容錯(cuò)能力[9]。

圖6 節(jié)點(diǎn)分區(qū)和分布式容錯(cuò)架構(gòu)

下一代運(yùn)載火箭充分利用了DIMA的架構(gòu)特點(diǎn)，采用面向分區(qū)級(jí)、節(jié)點(diǎn)級(jí)和單機(jī)級(jí)的多級(jí)別、層次化的容錯(cuò)體系架構(gòu)。與傳統(tǒng)的以三模冗余(TMR)為代表的機(jī)械式故障吸收硬件容錯(cuò)架構(gòu)不同，分布式的容錯(cuò)架構(gòu)充分利用分時(shí)分區(qū)的特點(diǎn)和處理器的處理能力，在分時(shí)分區(qū)操作系統(tǒng)支持下，可實(shí)現(xiàn)基于遷移機(jī)制的系統(tǒng)級(jí)容錯(cuò)控制，理論上只要系統(tǒng)中存在處理能力尚有剩余的處理器(或節(jié)點(diǎn))，通過(guò)遷移機(jī)制均可以實(shí)現(xiàn)故障分區(qū)或節(jié)點(diǎn)的故障恢復(fù)。系統(tǒng)的每個(gè)節(jié)點(diǎn)均可用來(lái)輔助其他節(jié)點(diǎn)或分區(qū)的故障診斷，故障診斷和容錯(cuò)控制首先是分區(qū)級(jí)，然后節(jié)點(diǎn)級(jí)，甚至整個(gè)節(jié)點(diǎn)的信息處理模塊故障了，還能由其他節(jié)點(diǎn)來(lái)完成功能。基于多級(jí)的故障診斷機(jī)制，軟件故障可以被定位到分區(qū)級(jí)，硬件故障可以被定位到模塊級(jí)。

遷移機(jī)制指的是分區(qū)運(yùn)行環(huán)境的遷移、克隆。分區(qū)運(yùn)行環(huán)境是分時(shí)分區(qū)操作系統(tǒng)為各任務(wù)建立的運(yùn)行時(shí)環(huán)境。分區(qū)內(nèi)核是分布式任務(wù)重構(gòu)方法的基礎(chǔ)，其主要功能既包括根據(jù)系統(tǒng)功能分配和具體資源分配策略配置要求完成分區(qū)的創(chuàng)建、啟動(dòng)、恢復(fù)、遷移、克隆等工作，也包括完成資源配置策略的更新、同步等。

如圖6所示，通過(guò)分布式網(wǎng)絡(luò)連接的多個(gè)節(jié)點(diǎn)，被分別配置為系統(tǒng)級(jí)節(jié)點(diǎn)和單機(jī)級(jí)節(jié)點(diǎn)，單機(jī)級(jí)節(jié)點(diǎn)完成分區(qū)級(jí)容錯(cuò)，系統(tǒng)級(jí)節(jié)點(diǎn)完成節(jié)點(diǎn)級(jí)和系統(tǒng)級(jí)容錯(cuò)。各余度節(jié)點(diǎn)劃分為系統(tǒng)分區(qū)和若干用戶(hù)分區(qū)，其中系統(tǒng)分區(qū)用于完成冗余用戶(hù)分區(qū)輸出仲裁及故障診斷，由運(yùn)行其中的容錯(cuò)管理任務(wù)負(fù)責(zé)，故障發(fā)生時(shí)由分布式的分時(shí)分區(qū)操作系統(tǒng)通過(guò)遷移機(jī)制輔助實(shí)現(xiàn)故障恢復(fù)。當(dāng)一個(gè)功能分區(qū)的輸出數(shù)據(jù)到來(lái)時(shí)，容錯(cuò)管理任務(wù)負(fù)責(zé)搜集其它冗余分區(qū)(比如三冗余分區(qū)的另外兩個(gè)冗余分區(qū))的數(shù)據(jù)，按照相關(guān)原則進(jìn)行數(shù)據(jù)值選取，數(shù)據(jù)判別的同時(shí)故障診斷同步開(kāi)展，以三冗余分區(qū)為例，若三個(gè)分區(qū)中有一個(gè)分區(qū)的結(jié)果與其他兩個(gè)不同，超出門(mén)限時(shí)認(rèn)為分區(qū)異常，容錯(cuò)管理任務(wù)首先向本節(jié)點(diǎn)操作系統(tǒng)發(fā)送冗余域調(diào)度信息和重構(gòu)數(shù)據(jù)，以后每拍均發(fā)送，操作系統(tǒng)首先進(jìn)行分區(qū)重啟，并根據(jù)重構(gòu)數(shù)據(jù)進(jìn)行分區(qū)克隆，失敗后搜尋分布式系統(tǒng)中其他可用的計(jì)算資源，并發(fā)送冗余域調(diào)度信息和重構(gòu)數(shù)據(jù)，直到目標(biāo)節(jié)點(diǎn)的操作系統(tǒng)返回分區(qū)/節(jié)點(diǎn)重構(gòu)正常為止，被恢復(fù)的分區(qū)/節(jié)點(diǎn)下拍開(kāi)始正常運(yùn)行。

5.4 軟件架構(gòu)

面向下一代運(yùn)載火箭的軟件架構(gòu)是分區(qū)操作系統(tǒng)支持下的分層軟件架構(gòu)。綜合電子系統(tǒng)將分散的功能綜合到少量的高性能處理單元上，這在運(yùn)行環(huán)境上較傳統(tǒng)嵌入式實(shí)時(shí)操作系統(tǒng)支持下的軟件發(fā)生了重大的變化，傳統(tǒng)嵌入式實(shí)時(shí)操作系統(tǒng)[15]支持下，各類(lèi)軟件任務(wù)在同一內(nèi)存空間下運(yùn)行，一個(gè)任務(wù)的實(shí)效會(huì)將導(dǎo)致整個(gè)系統(tǒng)的崩潰。分時(shí)分區(qū)操作系統(tǒng)支持下，各分區(qū)之間完全隔離，具有更高的可靠性和安全性，軟件架構(gòu)見(jiàn)圖7所示。

5.5 信息交互架構(gòu)

面向下一代運(yùn)載火箭的通信總線(xiàn)是一種實(shí)時(shí)、高速、容錯(cuò)的交換式以太網(wǎng)網(wǎng)絡(luò)，能夠?qū)崿F(xiàn)冗余的高精度分布式網(wǎng)絡(luò)時(shí)鐘同步，并在全局同步時(shí)基之上通過(guò)“時(shí)間觸發(fā)通信”實(shí)現(xiàn)安全關(guān)鍵數(shù)據(jù)的實(shí)時(shí)、可靠傳輸。支持基于時(shí)間觸發(fā)的關(guān)鍵報(bào)文和基于事件觸發(fā)的非關(guān)鍵報(bào)文共享總線(xiàn)、混合通信。

圖7 分區(qū)操作系統(tǒng)支持下的軟件架構(gòu)

1)網(wǎng)絡(luò)體系架構(gòu)

總線(xiàn)通信網(wǎng)絡(luò)體系結(jié)構(gòu)如圖8所示，協(xié)議層次結(jié)構(gòu)與標(biāo)準(zhǔn)以太網(wǎng)的層次結(jié)構(gòu)類(lèi)似，內(nèi)部分為非實(shí)時(shí)通信和實(shí)時(shí)通信兩部分，其中非實(shí)時(shí)通信實(shí)現(xiàn)標(biāo)準(zhǔn)以太網(wǎng)(IEEE 802.3)數(shù)據(jù)通信，實(shí)時(shí)通信實(shí)現(xiàn)確定性、強(qiáng)實(shí)時(shí)通信。

圖8 網(wǎng)絡(luò)體系結(jié)構(gòu)

2)時(shí)鐘同步

采用硬件方式實(shí)現(xiàn)了高精度時(shí)鐘同步、網(wǎng)絡(luò)通信調(diào)度管理及網(wǎng)絡(luò)可靠性設(shè)計(jì)，同步精度達(dá)到亞微秒級(jí)，滿(mǎn)足運(yùn)載火箭飛行控制實(shí)時(shí)性要求。

由于系統(tǒng)各節(jié)點(diǎn)上電時(shí)刻不一致，導(dǎo)致本地時(shí)鐘處于離散狀態(tài)，通過(guò)時(shí)鐘同步使離散狀態(tài)的本地時(shí)鐘趨同，實(shí)現(xiàn)各節(jié)點(diǎn)的本地時(shí)鐘同步，并在通信過(guò)程中修正晶振偏差導(dǎo)致的時(shí)鐘偏差，維持任意兩個(gè)節(jié)點(diǎn)的本地時(shí)鐘偏差在精度范圍內(nèi)，滿(mǎn)足時(shí)間觸發(fā)通信的需求。采用分布式時(shí)鐘同步的方式，通過(guò)同步幀在節(jié)點(diǎn)間的交互傳遞時(shí)鐘信息，并根據(jù)節(jié)點(diǎn)中運(yùn)行的時(shí)鐘同步策略，全網(wǎng)節(jié)點(diǎn)的本地時(shí)鐘維持高精度同步。

3)通信調(diào)度

對(duì)于關(guān)鍵指令的傳輸，采用了時(shí)間觸發(fā)(TT)機(jī)制，以保證關(guān)鍵指令的實(shí)時(shí)傳輸。時(shí)槽是用來(lái)傳輸TT的時(shí)間片，時(shí)槽的長(zhǎng)度應(yīng)不小于完成對(duì)應(yīng)TT傳輸所需要的最長(zhǎng)時(shí)間。

如圖9所示，節(jié)點(diǎn)的每一個(gè)TT數(shù)據(jù)在通信時(shí)均對(duì)應(yīng)唯一的時(shí)槽，在網(wǎng)絡(luò)時(shí)鐘同步的基礎(chǔ)上，通訊周期被劃分為若干個(gè)有間隔、不重疊的時(shí)槽，當(dāng)時(shí)槽的間隔不小于時(shí)鐘同步精度時(shí)，網(wǎng)絡(luò)能夠?qū)崿F(xiàn)TT的無(wú)沖突通信。

圖9 時(shí)槽劃分

通信鏈路定義了一個(gè)邏輯上的單向連接，從一個(gè)源節(jié)點(diǎn)到一個(gè)或多個(gè)目標(biāo)節(jié)點(diǎn)。如圖10所示，在TT通信時(shí)，將信道按時(shí)間分成若干片段輪換地給多個(gè)通信鏈路使用。每個(gè)時(shí)間片由一個(gè)通信鏈路單獨(dú)占用，在規(guī)定的時(shí)間內(nèi)，所有通信鏈路都可通過(guò)時(shí)間觸發(fā)通信實(shí)現(xiàn)確定性可靠傳輸。

5.6 面向下一代運(yùn)載火箭電氣系統(tǒng)架構(gòu)特點(diǎn)

下一代運(yùn)載火箭電氣系統(tǒng)基本架構(gòu)特征包括：

1)兼顧經(jīng)濟(jì)性的冗余架構(gòu)。

圖10 總線(xiàn)通信調(diào)度

基于分時(shí)分區(qū)技術(shù)和高速的數(shù)據(jù)交換網(wǎng)絡(luò)，采用較少的冗余資源實(shí)現(xiàn)了同等的容錯(cuò)控制能力，比如集成控制單元2的雙余度計(jì)算資源，通過(guò)在集成控制單元1的GNC節(jié)點(diǎn)上預(yù)留的雙冗余仲裁備份分區(qū)實(shí)現(xiàn)結(jié)果不一致時(shí)的仲裁表決，從而使得兩余度計(jì)算資源達(dá)到三余度的表決效果。這種設(shè)計(jì)完全得力于實(shí)時(shí)交換總線(xiàn)高傳輸能力的支持。

2)綜合化的系統(tǒng)設(shè)計(jì)。

通過(guò)綜合化的設(shè)計(jì)，全箭電氣系統(tǒng)設(shè)備由標(biāo)準(zhǔn)化通用化的功能模塊組合而成，并最終被濃縮至兩種集成控制單元基本型。不同的集成控制單元通過(guò)通訊系統(tǒng)互聯(lián)構(gòu)成航天運(yùn)載器的電氣系統(tǒng)。每個(gè)計(jì)算節(jié)點(diǎn)同時(shí)包括控制分區(qū)和遙測(cè)分區(qū)，除完成控制以及自身的自檢測(cè)功能外，還可以兼顧“周邊”相關(guān)非智能設(shè)備信號(hào)的檢測(cè)，如各種傳感器信號(hào)、配電信號(hào)等，其思想是盡可能多地發(fā)揮處理器的“富?！蹦芰Γ瑴p少單一功能的單機(jī)[4]。

3)更加智能的系統(tǒng)級(jí)容錯(cuò)架構(gòu)。

采用了分布式層次化容錯(cuò)，發(fā)揮分布式系統(tǒng)的優(yōu)勢(shì)，采用分區(qū)級(jí)、節(jié)點(diǎn)級(jí)和系統(tǒng)級(jí)的層次化容錯(cuò)控制。充分利用全系統(tǒng)的計(jì)算資源，通過(guò)任務(wù)遷移和系統(tǒng)重構(gòu)，提升系統(tǒng)對(duì)于二度及其以上故障模式的容限度。

4)分布式的系統(tǒng)設(shè)計(jì)。

各級(jí)獨(dú)立的分布式控制減輕了飛行控制軟件的負(fù)擔(dān)，使其更專(zhuān)注于制導(dǎo)與姿態(tài)穩(wěn)定控制；簡(jiǎn)化了艙段間的電氣接口，使得各個(gè)艙段之間僅保留總線(xiàn)通信和有限數(shù)量的供電等信號(hào)[4]，簡(jiǎn)化了電纜網(wǎng)規(guī)模，同時(shí)也便于實(shí)現(xiàn)部段級(jí)獨(dú)立測(cè)試和總裝。

5)基于時(shí)間觸發(fā)機(jī)制的交換式通信網(wǎng)絡(luò)

在網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)以及微電子技術(shù)飛速發(fā)展的今天，航天飛行器箭載設(shè)備功能復(fù)雜程度以及信息綜合化程度有了極大的變化。對(duì)于下一代運(yùn)載火箭而言，目前航天運(yùn)輸領(lǐng)域普遍采用的以1553B總線(xiàn)為代表的主從式總線(xiàn)已經(jīng)不能滿(mǎn)足電氣系統(tǒng)更大規(guī)模的數(shù)據(jù)通信需求和更加智能化的控制及容錯(cuò)需求。基于時(shí)間觸發(fā)機(jī)制的交換式數(shù)據(jù)網(wǎng)絡(luò)，為解決箭上一體化電氣系統(tǒng)高可靠性的數(shù)據(jù)高速率傳輸、自主的飛行控制、智能化的容錯(cuò)控制提供了一條新的解決途徑。

6 結(jié) 論

在面對(duì)主流發(fā)射市場(chǎng)激烈競(jìng)爭(zhēng)的局面下，世界各國(guó)的火箭研制均采用了模塊化組合化的設(shè)計(jì)思路，采用更少種類(lèi)的模塊組合形成滿(mǎn)足不同運(yùn)載能力需求的構(gòu)型，最大程度的降低火箭研制費(fèi)用，減少產(chǎn)品數(shù)量和規(guī)模，提高產(chǎn)品配套能力、縮短任務(wù)準(zhǔn)備周期，簡(jiǎn)化發(fā)射場(chǎng)的使用操作流程，并最終提高運(yùn)載火箭的市場(chǎng)競(jìng)爭(zhēng)力，符合當(dāng)前主流航天發(fā)射市場(chǎng)的發(fā)展趨勢(shì)和潮流。本文從系統(tǒng)工程的角度出發(fā)，對(duì)先進(jìn)的系統(tǒng)分析方法、設(shè)計(jì)方法和系統(tǒng)集成方法進(jìn)行了研究，通過(guò)一系列復(fù)雜電子系統(tǒng)領(lǐng)域的先進(jìn)系統(tǒng)分析和設(shè)計(jì)方法，解決了以重型運(yùn)載火箭為代表的下一代運(yùn)載火箭電氣系統(tǒng)集成路線(xiàn)和系統(tǒng)架構(gòu)問(wèn)題，提出了一個(gè)資源配置更加優(yōu)化、功能分配更加合理的電氣系統(tǒng)架構(gòu)，并據(jù)此開(kāi)展了具體的工程實(shí)踐。信息技術(shù)的發(fā)展，提供重新審視控制技術(shù)應(yīng)用現(xiàn)狀以及發(fā)展方向的機(jī)會(huì)，在這個(gè)背景下，本文的研究?jī)?nèi)容對(duì)于運(yùn)載火箭的電氣系統(tǒng)集成化設(shè)計(jì)，具有普遍的參考價(jià)值。