APP下载

天宫一号目标飞行器控制计算机的设计与验证

2011-11-25王国良

空间控制技术与应用 2011年6期
关键词:单机天宫飞行器

刘 波,林 宇,彭 飞,谢 琼,王国良

(北京控制工程研究所,北京100190)

天宫一号目标飞行器控制计算机的设计与验证

刘 波,林 宇,彭 飞,谢 琼,王国良

(北京控制工程研究所,北京100190)

与载人航天一期“轨道舱”相比,载人航天二期天宫一号目标飞行器对控制计算机的功能、性能和环境适应性都提出了更高的要求.依据GNC分系统对控制计算机的功能与可靠度需求,介绍天宫一号目标飞行器控制计算机的容错方案、硬件设计、系统软件设计、可靠性分析和试验验证情况,地面验证结果表明:天宫一号目标飞行器控制计算机设计满足GNC分系统的需求.

天宫一号目标飞行器;控制计算机;冗余;容错

与中国载人航天一期“轨道舱”相比,载人航天二期天宫一号目标飞行器制导导航控制(GNC,guidance,navigation and control)分系统对控制计算机的功能、性能和环境适应性都提出了新的更高需求.

天宫一号目标飞行器自入轨分离后的运行过程中,有单独飞行和组合体飞行两种工作状态.控制计算机作为这两种工作状态下控制系统的“大脑”,需实时完成的功能包括:

1)采集敏感器姿态与轨道状态,完成控制规律的计算,发出控制指令控制执行机构工作,并根据轨道运行情况实现控制模式转换;

2)从地面遥控指令或注数中获得轨道要求、工作状态、系统参数修正等;采集部件和控制器自身信息,存储并通过遥测通道下发到地面;

3)支持应用软件进行控制系统级的自检和诊断,控制各部件进行主备份切换,或是进行系统重构.

同时,天宫一号目标飞行器控制计算机需满足如下使用环境要求[1-3]:

1)体积、重量和功耗的约束;

2)耐火箭发射时苛刻的冲击、振动力学环境;

3)耐高温、低温和辐照环境;

4)耐交会对接时的力学与电气扰动环境.

最后,在整个设计寿命期间,天宫一号目标飞行器控制计算机的可靠度需满足GNC分系统的要求.

依据天宫一号目标飞行器GNC分系统对计算机的功能与可靠度需求,载人航天二期新开发了“姿态轨道控制器(AOCC,attitude and orbit control computer)”和“备份控制器(BCD,backup control device)”两台控制计算机产品.

1 容错方案设计

控制计算机是GNC分系统信息交互、通信连接和制导导航控制信息流处理的核心,需极高的可靠度,保证并提高可靠度是控制计算机容错方案设计的核心.

控制计算机保证并提高可靠度有“避错”和“容错”两种途径.在方案上天宫一号目标飞行器控制计算机采用“避错”与“容错”结合的方法来保证和提高可靠度.在设计、选取元器件与原材料、工艺、开发、制造和验证环节,天宫一号目标飞行器控制计算机都遵循航天产品质量管理体系相关要求进行严格控制,避免发生“错误”;但在总体方案上,则通过“容错”设计,通过配置冗余资源,设计为“容错”系统结构,避免偶发“错误”或“故障”影响控制计算机总体功能.

在天宫一号目标飞行器控制计算机“容错”方案上重点进行了如下设计:

1)冗余级别:采用单机级的冗余策略为核心,依据GNC分系统的可靠度要求,将控制计算机划分为3个冗余单机:AOCC的A单机、AOCC的B单机与BCD.由于控制计算机的3个冗余单机与敏感器、执行机构的接口是公共的,因此,在设计公共接口时,采用了电路级的冗余设计,保证单机内部与接口的任意单故障不会造成其他两个冗余单机的故障.

2)冗余方式:按照任务的寿命与可靠度要求,天宫一号目标飞行器控制计算机的3个冗余单机被设计为非工作储备硬件冗余方式.AOCC采用冷备份双模冗余(DMR,dual modular redundancy),作为GNC分系统主控制器;BCD又作为AOCC的冷备份,采用单模结构.AOCC、BCD的机箱、通信连接和电源供电完全独立,形成两个独立的故障包容区域,两个产品的故障不会相互传播.在AOCC内,除 A单机、B单机之外,还设计了独立供电的热备份双模硬件容错线路,用于 AOCC与BCD的故障监测,以及AOCC与BCD的自主冗余切换.地面可以“使能”或“禁止”硬件容错线路的自主冗余切换功能;同时,地面通过“直接遥控”也可以直接进行AOCC和BCD的切换.热备份双模硬件容错线路和“地面遥控”共同完成天宫一号目标飞行器控制计算机的“故障监测与切换”功能.

此外,天宫一号目标飞行器控制计算机还采用了软件、信息、时间冗余等多种冗余方式,但软件、信息、时间冗余是在单机内部实施,都建立在核心的单机硬件冗余基础上.

对于控制计算机,硬件冗余容错的方案核心是冗余模数和冗余管理策略的设计.依据天宫一号目标飞行器控制计算机的容错方案,AOCC加上BCD,整个控制计算机的冗余模数为3,天宫一号目标飞行器控制计算机采用了如图1所示的非工作储备冗余策略,这是由于天宫一号目标飞行器控制计算机设计在轨工作时间要求为2~3年,在目前研制的天宫一号目标飞行器控制计算机单机失效率2000FIT水平上,非工作储备冗余策略[4-7]更适合天宫一号目标飞行器这种长期可靠性要求[4].

图1 天宫一号目标飞行器控制计算机硬件冗余结构图

图2是AOCC与BCD的可靠度比较示意图,可以看出,非工作储备冗余方式可以大大提高天宫一号目标飞行器AOCC和整个天宫一号目标飞行器控制计算机系统的可靠度,控制计算机采用非工作储备冗余方式是符合天宫一号目标飞行器GNC分系统需求的优选容错方案.

图2 AOCC与BCD可靠度比较示意图

采用非工作储备冗余方式,设计的关键在于提高故障监测与切换装置——容错线路的可靠度.按照该要求,在设计天宫一号目标飞行器控制计算机AOCC内部容错线路时,采用了如下两项新的设计方案(如图3所示):

1)将负责AOCC内部冗余切换的故障监测与切换装置,与负责AOCC至BCD冗余切换的故障监测与切换装置分开独立实现(如图3a所示),相比于传统混合设计(如图3b所示),提高了整个故障监测与切换装置的可靠度.

2)将故障监测与切换装置设计为完全的热备份双模并联结构,双模之一正常工作就可以保证故障监测与切换功能正常完成(如图3c所示),在控制实现复杂度不过度增长的情况下,可获得较大的系统可靠度收益.

图3 故障监测与切换装置冗余结构示意图

2 硬件设计

天宫一号目标飞行器控制计算机的硬件研制严格按照航天产品开发流程进行管理,硬件设计通过“方案设计”、“参数设计”和“容差设计”等3个设计环节,以及故障模式影响分析(FMEA,failure modes and effects analysis)等技术,有效地进行了“容错”与“避错”,保障了产品可靠度.

天宫一号目标飞行器控制计算机硬件设计主要内容有:

(1)采用超标量指令集体系结构(SPARC,scalable processor architecture)的抗辐照处理器 ERC32作为天宫一号目标飞行器控制计算机的主处理器.

天宫一号目标飞行器控制计算机利用了处理器的检错纠错编码(EDAC,error detection and correction)设计实现了全部存储器件的抗单粒子翻转设计,软件在计算机空闲时刷新静态RAM存储器(SRAM,static random access memory),克服单粒子翻转对计算机正常工作的影响.

(2)采用高等级反熔丝型FPGA集成设计全部外设控制器,提高控制计算机集成度.

由于微电子技术的发展,超大规模集成电路的成熟度、可靠度已完全可以满足航天应用的需求.因此从单机硬件方案上,天宫一号目标飞行器控制计算机的外设控制器与逻辑处理全部都采用FPGA设计实现.FPGA单片对等实现原大量分立器件的功能,因此相应提高了设计集成度,FPGA严格按照航天器用FPGA产品研制技术要求进行设计、分析与验证,可复用IP,提高了成熟度与可靠性.

(3)软硬件协同设计,提高控制计算机的任务吞吐率.

传统的控制计算机设计是硬件优先的原则,硬件设计完成后,再进行软件的开发.在天宫一号目标飞行器控制计算机设计阶段,加强了软硬件的协同设计.譬如,通过软硬件协同设计,天宫一号目标飞行器控制计算机实现了快周期变化GNC遥测数据的异步慢遥测,保证每个遥测帧的数据与最近的控制周期的采样数据一一对应.GNC分系统实时下传串行遥测数据S(周期 T1,样本数目N);软件采集、刷新串行S数据缓存周期为T2,采集样本数目同样为N,并满足条件T2<T1,系统任务要求控制计算机抽样输出,但需确保每一下行周期T1的数据对应为某采样周期T2的数据.控制计算机软件采集数据,刷新PING-PONG(乒乓)内存的缓冲区,搬移数据至双端口RAM;硬件采集双端口RAM对应数据,实时输出,确保每个下行周期T1的数据是软件在同一个采集周期T2之内采集的.

(4)采用低功耗器件和精巧电路实现容错线路.

如前所述,提高容错线路的可靠度是保障控制计算机可靠度的有效途径.天宫一号目标飞行器控制计算机容错线路在采用双模并联冗余结构,以及将负责AOCC内部冗余切换的故障监测与切换装置,与负责AOCC至BCD冗余切换的故障监测与切换装置分开的方案外,在硬件设计上,又采用了非常简单精巧的电路设计实现.容错线路设计可容忍电路与器件的常高、常低故障,单个电路与器件的常高、常低故障最多引起一次故障虚报或误切换;单份容错线路故障,不会影响另一份并联工作容错线路的故障监测与自主切换功能;双份容错线路都故障,不会影响控制计算机单机的正常功能,也不会影响地面通过“遥控”切换冗余单机的功能.

此外,双模热备份容错线路采用独立供电的方案;线路全部基于成熟可靠的中小规模集成器件实现;容错线路简单稳定,整个双份容错线路稳态功耗低于50mW,线路上器件受到的温度应力极低,在硬件设计上保证容错线路具有极高可靠性.

3 系统软件设计

如图4所示,天宫一号目标飞行器控制计算机软件包括系统软件和基于系统软件运行的应用软件,本文仅介绍系统软件的设计.

图4 天宫一号目标飞行器控制计算机软件组成图

天宫一号目标飞行器控制计算机的系统软件采用实时操作系统实现对系统资源的管理,系统软件提供与硬件相关的底层函数及与应用相关的各个系统服务功能,同时与硬件配合实现容错功能,应用软件在系统软件的基础上运行.系统软件包括控制计算机启动时对底层硬件进行初始化的板级支持包、实时操作系统内核以及与容错应用相关的系统服务.

板级支持包主要完成系统初始化及初始上电时的自测试功能.

实时操作系统内核是整个系统软件的核心,天宫一号目标飞行器控制计算机采用完全自主知识产权的操作系统产品 SpaceOS,稳定可靠,SpaceOS完成如下核心功能:

1)负责对任务进行管理.控制计算机软件被划分为若干个任务,同时根据其重要性为每个任务赋予了一定优先级,操作系统内核根据任务优先级调度各个任务运行;

2)负责时钟节拍管理.控制计算机的每个任务根据需要被赋予了一定的运行时长,通过时钟节拍来定义,操作系统内核根据任务的节拍数来控制任务运行的时间,防止一个任务运行超时影响其他任务的运行,同时起到了故障隔离的作用;

3)中断管理.保证中断能够按照设计的优先级及时响应的同时,所有任务能正常运行.

系统服务与控制计算机硬件配合,实现如下容错和支持功能:

1)完成系统管理任务和空闲任务.系统管理任务负责实时监测每个任务的运行情况,采集每个任务的运行信息,根据这些信息设定系统运行情况的健康参数,同时将这些信息按预定格式编码后通过遥测下传.空闲任务则主要利用处理器自带的EDAC功能,在处理器的空闲时间,以“读”方式对存储器进行“刷新”,防止单粒子错误累积;

2)对控制计算机的各级看门狗进行管理.系统软件根据任务运行情况以及硬件提供的标志采取不同的打狗策略,实现控制器之间的自动切换功能,以及实现BCD运行优先级大于 AOCC,同时 AOCC B机运行优先级大于A机的设计功能;

3)异常事件处理.系统软件通过异常事件中断或同步陷阱对异常事件进行管理,使系统能够及时脱离异常状态,同时异常事件信息能够遥测下传到地面.为了提高系统的可用性,最大可能保证关键任务顺利执行,系统软件能够根据任务运行情况对系统管理任务以及空闲任务等非关键任务进行任务功能降级甚至停止其运行;

4)提供在轨编程功能.当控制计算机在轨运行时发生非预期的事件或发现软件存在缺陷时,可以在不中断系统运行的情况下,通过在轨编程实现程序模块的在线替换,提高了系统可靠性和安全性.

此外,为进一步保证天宫一号目标飞行器控制计算机系统软件的可靠性,还采取了如下方法和手段:

1)对操作系统内核变量等关键参数进行“三取二”多数表决存取,提高存储器容忍单粒子反转的能力;

2)对程序存储器空白区填充“陷阱”指令,防止程序“跑飞”导致系统崩溃;

3)针对该款ERC32处理器,设计专用浮点单元测试程序和代码扫描测试程序,解决了处理器芯片硬件设计缺陷,以及处理器浮点单元出厂测试不完备问题给整个计算机系统带来的隐患.

天宫一号目标飞行器控制计算机系统软件按照相关航天标准进行软件的研制开发及管理.采用瀑布模型作为软件项目生存周期模型,严格执行“制订开发计划→需求分析和说明→软件设计→程序编码→测试及运行维护”的研制流程,每个阶段进行评审与确认.天宫一号目标飞行器控制计算机系统软件通过了代码审查、单元测试、组装测试、确认测试、分系统测试、第三方评测和整器测试,软件更改以及配置管理严格受控,研制过程中的问题均得到了及时解决.

4 可靠性分析验证

在天宫一号目标飞行器控制计算机的研制过程中,采用如图5所示的流程,对控制计算机产品进行了电、热、抗力学、抗辐照、电磁兼容性、降额和FMEA等可靠性分析工作,确保天宫一号目标飞行器控制计算机产品可靠性设计符合空间环境使用要求.

图5 控制计算机可靠性分析流程

在控制计算机抗力学环境分析中,使用有限元分析软件对控制计算机产品进行了力学分析,包括静力分析、模态分析、正弦振动响应分析以及随机振动响应分析,得到了控制计算机在振动试验条件下的响应值,结果表明:控制计算机印制板组件基频与整机基频错开,控制计算机结构整体可靠,刚度和强度都能满足设计要求,安全裕度计算结果满足要求,符合天宫一号目标飞行器GNC分系统可靠性设计要求.

在控制计算机热分析中,通过热分析仿真工具,对控制计算机稳态工作时的工况进行了仿真,模拟各元器件的功耗分配和仿真温度数据,在每个电路组件上放置监测点,计算得到了整个控制计算机的热收敛曲线和产品各监测点曲线.

在控制计算机电磁兼容性分析中,遵循电磁兼容性的设计原则,借鉴国内外航天电子设备的设计经验,利用电子设计自动化软件对控制计算机进行了机箱和板级电磁兼容性分析、信号完整性分析,及时发现和解决了控制计算机相关电磁兼容性问题.

在控制计算机抗辐射总剂量分析中,按照近似采用六面体的计算方法,分别计算了各个方向机箱结构和内部器件提供的屏蔽等效铝厚度,参考吸收辐射总剂量和屏蔽厚度的关系,用线性插值法得到了控制计算机中全部器件每个方向上的辐射总剂量和空间辐射总剂量,确认了经过各级屏蔽后,到达控制计算机各元器件管芯的辐射总剂量在取RDM=3的情况下仍能符合设计要求.

在控制计算机降额设计时,有意降低了元器件承受的电的、热的和机械的应力,以降低元器件的工作失效率,提高可靠性.设计完成后,按照规定的元器件降额项目、降额等级以及降额因子选取方法,并考虑产品实际工作环境条件、空间辐射等因素的影响,对控制计算机进行了降额分析,确认控制计算机全部器件均进行了一级降额.

总之,通过对天宫一号目标飞行器控制计算机产品的可靠性设计进行完备的仿真分析与验证,进一步解决了控制计算机产品设计中潜在的问题,提高了产品的可靠性.

5 试验验证

生产天宫一号目标飞行器控制计算机产品后,为了剔除生产加工缺陷和元器件的早期失效,对产品又进行了高低温、力学、热循环、热真空、地面温度循环、综合环境应力等试验,通过环境试验暴露了产品的早期故障,保证了产品在轨工作处于偶然故障阶段.

在完成常规的鉴定、验收试验外,对AOCC又进行了加速寿命试验.AOCC的加速寿命试验是通过控制环境条件,使用温度作为加速变量,采用恒定应力法完成的,测试系统如图6所示.通过工作环境因子加速,在地面验证了AOCC以及整个天宫一号目标飞行器控制计算机系统目前的设计可以较好满足在轨工作寿命与可靠度要求.

图6 控制计算机试验测试系统示意图

总之,通过环境试验,进一步暴露了控制计算机的潜在故障,保证了控制计算机产品可按照预期设计模式工作.

6 结束语

本文介绍了天宫一号目标飞行器控制计算机的设计、分析与验证情况.分析与地面试验验证的结果表明:天宫一号目标飞行器控制计算机各项功能和性能指标满足GNC分系统的要求.

在天宫一号目标飞行器控制计算机的研制过程中,进行了如下方面的探索:

1)容错策略:将AOCC和BCD划分为独立的故障包容区域,通过单机非工作储备旁联容错策略,防止偶然故障,以及保证控制计算机主份工作耗损达到一定程度后,可以切换到冷备份旁联单机工作.

2)容错线路:将AOCC内部冗余切换,与AOCC至BCD冗余切换的故障监测与切换装置分开独立实现;采用完全独立的热备份双模并联实现容错线路.目前该设计已推广应用于多个型号,均工作正常.

3)FPGA设计:天宫一号目标飞行器控制计算机将控制计算机的全部外设与控制逻辑采用FPGA集成实现,FPGA硬件分担软件通信功能,较大幅度地提高了控制计算机的实时吞吐率.同时天宫一号目标飞行器控制计算机的FPGA设计还推广应用到神舟八号飞船等型号产品,均工作正常.

4)ERC32处理器应用:通过天宫一号目标飞行器控制计算机研制,发现并证实了该款ERC32处理器存在的多个硬件设计缺陷.同时,针对该款ERC32处理器,设计了专用浮点单元测试程序和代码扫描测试程序,解决了该处理器芯片硬件设计缺陷,以及处理器浮点单元出厂测试不完备问题给整个计算机系统带来的隐患,为后续基于该款ERC32处理器控制计算机的产品研制打下了良好基础.

5)通用处理器模块:依托天宫一号目标飞行器控制计算机,研制了该款ERC32处理器的标准CPU模块,目前已应用于多个型号产品,均在轨工作正常.

6)可靠性一体化分析:在天宫一号目标飞行器控制计算机研制中,基于可靠性一体化平台,首次基于流程驱动,对控制计算机产品进行了抗力学环境、热、降额等可靠性的一体化分析.

7)加速寿命试验:进行了控制计算机产品的首次寿命试验,得到的相关试验数据,为今后探索控制计算机故障模式获得了宝贵数据.

天宫一号目标飞行器控制计算机上述工作为后续控制计算机产品的研制提供了有益参考.

[1] Speer D, Jackson G,Raphael D.Flight computer design for the space technology 5(ST-5)mission[C].2002 IEEE Aerospace Conference, Big Sky, Montana, March 9-16,2002

[2] Yelverton J N.Sustaining state-of-the-art technology in space processor systems[C].AIAA Space Programs and Technologies Conference, Huntsville, AL, March 24-27,1992

[3] Coo D.Advanced flight computer,special study final report[R].NASA CR-198165,1995

[4] 李海泉,李刚.系统可靠性分析与设计[M].北京:科学出版社,2003

[5] 杨孟飞,郭树玲,孙增沂.航天器控制应用的星载计算机技术 [J].航天控制,2005,23(2):69-73

[6] Yen I L,Ahmed I, Jagannath R,et al.Implementation of a custom izable fault tolerance framework[C].The First IEEE International Symposium on Object-oriented Real-Time Distributed Computing, Kyoto, Japan, April 20-22,1998

[7] Gomez D,Schonfeld C.Architecture and implementation for a high reliability long-term mission space computer[C].IEEE/AIAA 11th Digital Avionics Systems Conference, Seattle, October 5-8, 1992

Design and Verification of Control Com puter for Tiangong-1 Spacecraft

LIU Bo, LIN Yu, PENG Fei, XIE Qiong, WANG Guoliang(Beijing Institute of Control Engineering, Beijing 100190, China)

Compared with the Shenzhou spaceship’s orbit capsule, the Tiangong-1 spacecraft puts forward higher requirements for control computer in function,performance and environmental suitability.According to these new requirements, fault-tolerant scheme, hardware design, system software design, reliability analysis and test verification of control computer are described in this paper,ground demonstration results validate that the design of control computer for Tiangong-1 spacecraft fulfills the requirements for its GNC subsystem.

Tiangong-1 spacecraft;control computer;redundancy;fault-tolerant

TP39

A

1674-1579(2011)06-0028-06

10.3969/j.issn.1674-1579.2011.06.005

2011-09-16

刘 波(1977—),男,湖南人,高级工程师,研究方向为容错计算技术(e-mail:Liub@bice.org.cn).

猜你喜欢

单机天宫飞行器
天宫出差乐趣多
天宫之眼
高超声速飞行器
热连轧单机架粗轧机中间坯侧弯废钢成因及对策
一种单机式涡流探伤仪电性能校准装置
宇航通用单机订单式管理模式构建与实践
复杂飞行器的容错控制
天宫二号蓄势待发
天宫二号发射成功
神秘的飞行器