王海博，袁 利

(北京控制工程研究所，北京 100190)

O 引言

随着中国航天器控制系统部件产品的集成化、数字化和智能化水平不断提升，原来应用于航天器控制系统的测试手段和方法已经渐渐不能满足新的测试需求，必须构想新的测试手段和方法.在系统性能设计的同时开展可测试性的设计将能极大的提升系统的测试品质，这对于迅速提高中国航天器测试和诊断技术水平，提高研制效率，满足系统的任务可靠性和安全性具有重要意义.目前国外已经有可测试性技术应用的工程实例，美国摩托罗拉公司的铱星计划在星上大量采用带有边界扫描机制的数字部件，卫星系统采用背板可编址的扫描链结构，把边界扫描从芯片级提升至系统级，提高了地面测试的效率，缩短了测试周期［1］.Hughes HS 601卫星也利用了类似的策略把芯片级边界扫描可测试性设计扩展到系统级，提升了卫星的测试水平，并在地面测试中取得了良好的效果，显著提高了测试的效率，节省了测试的成本［2］.但是可测试性设计在中国航天领域的研究与应用较为缓慢和落后，参考文献［3］仅指出中国航天器可测试性设计的现状和与国外先进水平的差距.

随着中国航天任务的不断细分，基于内部总线的体系结构将逐步取代国内航天器目前普遍采用的基于串口和集中供电方式的体系结构［4］.本文在分析基于内部1553B总线的航天器控制系统特点的基础上，给出了控制系统可测试性设计分层递阶结构，建立了可测试性设计的模型框架，并分析了系统可测试性设计的技术实现相关问题.最后利用TEAMS软件，结合具体实例建立数字化模型，进行了可测试性设计仿真评估.

1 系统级可测试性设计方法

可测试性又称测试性，是指系统和设备能及时、准确地确定其状态(可工作、不可工作，或性能下降)并隔离其内部故障的一种设计特性［5］.可测试性设计方法自产生以来发展经历了四个阶段［6］.目前最新的可测试性设计方法是递阶集成BIT(buildin test)技术.

系统级的可测试性设计的基本原则是:1)通过将系统划分为模块来解决系统测试的复杂性;2)在系统中插入测试功能，先测试单个模块，再测试模块间的相互作用，进而完成整体系统的测试［7］.目前系统级的可测试性设计基本遵循这两个原则，但在具体的可测试性设计实现方法上略有不同，有的将IEEE1149.1边界扫描可测试性设计标准按照层次化的结构扩展至子系统级［8］，有的提出利用MTM(module test and maintenance)总线来实现系统级的测试［9］.

目前，中国航天器控制系统基于系统的测试大部分只能检测到整机级的故障，故障定位一般到整机级别.基于部件产品整机的测试一般偏重于检测整机的功能和主要接口的故障，不能再往下延伸获取更深层次的部件产品的信息从而检测整机部件的模块级、芯片级的故障.即控制系统测试的延伸性不够，可测试性处于较低的水平.

2 基于1553B总线的控制系统体系结构

基于内部1553B总线的航天器控制系统体系结构如图1所示.系统的基本组成如下，两条外部1553B总线(其中一条是备份)连接控制计算机与星上数据管理系统(OBDH，on board data handling).两条内部1553B总线(其中一条为备份)，连接控制计算机与控制系统各组成部件，包括各敏感器、各执行机构.控制计算机由应急控制器、AOCC(attitude and orbit control computer)、电源模块和容错模块组成.AOCC为内1553B总线的总线控制器(BC，bus controller)，控制系统其它部件是内总线的远程单元(RT，remote terminal)，当AOCC发生故障时，容错模块通过切机信号将应急计算机作为当班机，将同AOCC一样完成系统正常功能所要求的操作.

图1 基于内部1553B总线航天器控制系统体系结构图Fig.1 Inner 1553B bus-structured AOCS configuration sketch

对比基于串口的控制系统体系结构，基于内部总线的航天器控制系统体系结构特点如下:1)为连接在总线上的控制系统各部件提供了统一、标准的接口.2)控制器接口设计简单化.3)系统支持足够的带宽和较高的数据传输速率.

基于1553B总线的控制系统与原有的基于串口的控制系统在可测试性方面的主要区别有:1)在对系统时序影响方面，由于可测试性设计要求系统在功能数据传递之余还要传输测试有关的数据，基于串口的体系结构由于数据传输能力有限，这将给系统的时序设计带来很大的压力，甚至超出系统的承受范围.而对于基于内部1553B总线的系统，数据传输能力能够满足要求，所需要关心的是设计符合应用的系统协议，满足协议时序的逻辑合理性和时间合理性.2)基于串口的系统主要通过数据遥测的方式来获取和记录系统内部的通信数据，星地连接的成本较大.而1553B总线系统本身具备总线监视器，它为监视总线本身的健康状况和记录总线上的通信数据提供了便利.

3 基于1553B总线的控制系统可测试性设计建模

前一部分介绍了基于1553B总线的航天器控制系统的体系结构和系统组成.控制系统具有明确的层次化结构，自顶向下可划分为系统级，子系统级(单机级)和模块级、芯片级四个层次.基于1553B总线的控制系统可测试性设计建模从顶层设计的角度来组织和利用系统内部的资源，将控制系统的层次化结构转化为系统可测试性设计的层次化结构，如图2所示.

图2 系统级可测试性递阶集成结构Fig.2 Hierarchical and integrated structure of system DFT

该结构是倒立的树形结构，自顶向下共分为四个层次，分别是系统级测试控制器，子系统级(单机)测试控制器，各功能模块和带边界扫描机制的芯片.这与控制系统的层次化结构是一致的.位于结构顶端的是系统级的测试控制器，它设置在总线系统BC内，是总线BC划分出的一部分资源，负责控制整个系统的测试命令、数据的传递和测试信息的处理.结构中再向下一层是子系统级(单机级)测试控制器，它通过内部1553B总线与系统级测试控制器连接，接受并传递系统级的测试命令.结构中自顶向下的第三层是单机的各功能模块.单机测试控制器与各功能模块之间以及各功能模块相互之间的连接和通信是通过MTM-Bus(module test and maintenancei bus)来实现的.上述结构的最后一层是各功能模块中的芯片，各芯片可支持边界扫描.本文的可测试性设计结构模型采用总线复用的方式简化了系统的测试性设计，充分的利用了系统内部的资源，使得可测试性设计的实现有一定的系统内部基础.因此具较强的实用性.

4 可测试性设计技术实现分析

本节从系统的角度分析结构中的各层之间总线和相关协议是如何实现测试命令和信息的传递通信，以及为了支持信息的传递，结构中的单机及其部件应该具备怎样的功能设计.

根据图2中的结构，各层次之间的连接是通过总线来实现的.在系统1553B总线中融入可测试性标准，使得BC在系统空闲任务中按照协议的要求，收集各单机自测试和自诊断的完整信息.同时，还可以通过系统内总线通信内容复用的方式，在总线的正常的通信内容包含各单机的测试信息，实时监视各单机的状况.

模块级的连接总线是MTM-Bus.MTM-Bus单机测试控制器是MTM-Bus的主模块，它在接受1553B总线的测试数据后，进行解包并发送到指定的从模块，同时从指定的从模块返回测试结果数据，按照1553B协议要求组帧通过系统级总线发回给系统的测试控制器系统.各功能模块是MTM-Bus的从模块，从模块收到主模块测试命令后，执行相关的测试操作，然后返回测试结果数据给主模块.

上面提出的可测试性设计结构模型要求单机实现自身的可测试性设计，同时还具备模型框架中规定的相关接口.结合目前航天器控制系统产品现状，单机产品的可测试性设计的实现可以分两个阶段.第一阶段，结合单机典型的故障模式和单机的功能结构特点，梳理单机目前的测试项目和测试方法，开展单机测试性建模分析，按照分析结果要求单机额外提供表征其健康状况和功能性能的重要信号，将这些信息以整机输出信号的方式通过1553B总线按照设计好的系统协议时序传递给系统测试控制器进行处理.相当于是可测试性设计结构模型的顶层到第二层的实现.第二阶段，单机产品内部将普遍具备边界扫描装置.这时要求单机产品层次划分到芯片级，并将芯片级的边界扫描通过MTM总线扩展到子系统级和系统级.即就是系统可测试设计结构模型的完全实现.

5 可测试性设计仿真、评估

测试性工程与维修系统(TEAMS，testability engineering and maintenance system)是由美国QSI公司开发的一套提供测试性、维护性、系统健康监视等解决方案的商用软件产品.它提供了多信号模型建模方法和智能推理算法，能够定量描述故障的传播关系、故障与测试之间的依赖关系，评估系统所能达到的可测试性指标.

下面以某航天器控制系统控制器为例，利用TEAMS软件基于多信号流图方法对分层递阶可测试性进行仿真评估.

该航天器控制系统控制器主要由中心控制单元、信息采集单元和驱动控制单元组成.其中中心控制单元作为核心控制器，通过内部1553B总线与信息采集单元与驱动控制单元交互，因此器组成了一个小的1553B总线系统，根据本文中提出的可测试性设计框架将该系统划分为系统级，子系统级，模块级，其中CCU(central control unit)相当于是系统级的测试控制器，也是系统中的 BC，ACU(actuator control unit)与 ICU(information collection unit)为系统中的单机，也是系统的RT.利用软件基于多信号流图方法将系统的测试性递阶层次化结构转化为分层多信号流图模型，如图3～5所示.其中图3是LRU(line replaceable unit)层多信号流图模型，LRU层共分为四个模块.图4以ICU为例，展示LRU内部模块级多信号流图模型.图5以ICU中二次电源模块为例，展示故障模式层多信号流图.如图5所示二次电源的主要故障模式有4种:这些故障可以通过电源遥测的方式来检测，故添加电源遥测测试点.得到了系统分层递阶的多信号流图模型，添加了故障模式和相关测点后运行软件，即可生成系统测试性指标的评价报告.需要说明的是，本实例建模仿真是为了验证可测试性框架设计的合理性，注重实例中系统正常情况下，结构组成以及信号流的完整性.并没有考虑系统中的冗余切换等因素，这些在今后更精细、全面的建模分析工作中会加以考虑.

图3 LRU级多信号流图模型示意图Fig.3 Graph of multi-flow model of LRUs

图4 ICU内部模块多信号流图模型示意图Fig.4 Graph of multi-flow model of modules in ICU

根据本文中提出的控制系统可测试性设计结构改进系统设计利用软件进行仿真分析，故障检测率为95.45%，故障隔离率为71.43%.软件的仿真结果证明了本文中提出的可测试性设计框架是合理有效的.不足之处在于系统中具体的测试信息通信过程无法精确模拟，以信号流的方式进行了仿真，将在后续的技术实现中进行进一步的分析和研究.

图5 ICU二次电源模块故障模式层Fig.5 Failure module layer of second power module in CCU

6 结论

随着航天器控制系统自身特点的变化，一方面对新的测试方法提出了需求，另一方面有给系统新的测试方法提供了条件支持.本文给出了基于内部1553B总线的航天器控制系统可测试性设计结构模型，建立了可测试性设计整体框架，并对技术实现进行了初步分析，通过软件对递阶集成可测试性进行仿真评估，评估结果证明了这种系统可测试性机制的有效性.

［1］ CHAMPLIN C.Iridium satellite:a large system application of design for testability［C］//IEEE International Test Conference.NJ，USA:IEEE service center，1993:392-398.

［2］ LARRY L，JHON A.Satellite hierarchical system test using IEEE 1149.1［1］-Based COTS test tools a case history with results and lessons［C］//IEEE Systems Readiness Technology Conference.USA:IEEE service center，1999:193-201.

［3］ 张强，李彬.航天器控制系统可测试性设计现状与发展［C］//第二届国防科技工业试验与测试技术高层论坛论文集.北京:中国计算机自动测量与控制技术学会，2008:83-87.ZHANG Q，LI B.Current status and development of test design for spacecraft［C］.The 2thHigh Level Forum of Experiment and Test Technique for Defence Technology and Industry.Beijing:China association of computor measurement and control technique，2008:83-87.

［4］ 姚宁，朱琦，曹荣向，等.基于内部总线的控制系统体系结构［J］.空间控制技术与应用，2012，38(2);30-34.YAO N，ZHU Q，CAO R X，et al.Internal bus-based AOCS configuration［J］.Areospace Control and Application，2012，38(2):30-34.

［5］ 田仲，石君友.系统测试性设计分析与验证［M］.北京:北京航空航天出版社，2003:17-21.

［6］ 温熙森，胡政.可测试性技术的现状与未来［J］.测控技术，2000，19(1):9-12.WEN X S，HU Z.Current status and future of testability［J］.Measurement ＆ Control Technology，2000，19(1):9-12.

［7］ 申宇皓，马春雷.系统级可测试性设计［J］.华北工学院学报，2004，25(5):349-351.SHEN Y H，MA C L.Research on the system level design for measurability［J］.Journal of North China Institute of Technology，2004，25(5):349-351.

［8］ BHAVSAR D.An architecture for extending the IEEE standard 1149.1 test access port to system backplanes［C］ //IEEE International Test Conference.NJ，USA:IEEE Service Conter，1991:768-776.

［9］ IEEE Std.1149.5-1995 standard for module test and maintenace bus(MTM-Bus)ptotocol［S］.IEEE Standard Committee，1995.