王 萌 陈 益 林 坚

（西安航空计算技术研究所，陕西 西安 710065）

JSSG-2008中对VMC设计的考虑

王 萌 陈 益 林 坚

（西安航空计算技术研究所，陕西 西安 710065）

介绍了 JSSG-2008作为美国联合军用规范指南中的重要组成部分，通过正文和附录对机载VCMS系统进行了全面的指导性描述，结合JSSG规范的特点对其中关于VMC计算机设计技术方面的指导内容进行提炼，包括了处理器资源、系统结构、硬件设计、通讯与同步、扩展性设计、软件设计、配置项划分、软件维护与认证等方面，可以对国内VMC技术领域的发展以及相关标准规范的制订提供参考。

JSSG；标准；VMC；VCMS；飞行器管理计算机

JSSG-2008《飞行器（或航空器）控制与管理系统》（Vehicle Control and Management System，VCMS）是美国联合军种规范指南（Joint Service Specification Guide， JSSG）中的一部分。JSSG-2008的封面明确指出“这份规范指南仅用于指导，不能作为需求所引用”体现出其严谨之处。不能作为需求应当是指不能直接作为产品研制的需求进行引用，因为需求的各项内容必须是可准确验证的。这份文件其实是从使用者的角度向飞行器控制与管理系统的研制提出的指导性描述，文中以填空的形式就研制飞行器控制与管理系统应当考虑到的内容进行了系统性的列述（见图1），涉及到安全关键性、可靠性、生存性、稳定性、功能综合性、系统结构、余度及综合管理、可扩充性、可维护性、物理安装特性、人机工程、工艺、可替换性、环境适应、保障支持内容都融入在正文需求部分的各章节中，这些面向系统提出的要求正是系统核心部件—计算机在设计中应贯彻的设计因素。VCMS系统中的飞行器管理计算机（Vehicle Management Computer，VMC）应当是同系统特性密切结合的一台满足机载功能综合化应用要求的专用计算机平台，JSSG-2008具体在3.3节中（见图1中需求下列加重标识的“处理资源”部分）对关于VMC的特性需求进行了描述。

图1 JSSG-2008内容组织框架

1 VMC设计的考虑

1.1 概述

JSSG-2008中3.3节将VMC称为系统的处理器资源，同全文其它部分类似也是以填空的方式全局性的提出了对处理器资源设计应考虑的方面，主要包括：

a）从VCMS功能出发，计算机的资源、软件、硬件配置上应如何考虑；

b）处理结构（或可理解为计算机的系统结构）；

c）处理硬件的运行特性与物理构成；

d）通讯方式；

e）同步，与功能相结合的周期/采样速率；f）可扩展性设计及备份设计；

g）VCMS的运行程序、语言及数据库软件编程语言；

h）被定义的一个或更多个计算机软件配置项将提供哪些软件功能；

i）VCMS软件应在可维护性设计方面做哪些工作；

j）如何开发软件；

k）软件认证。

JSSG这套规范的最大特点就是正文以填空方式提出问题，通过附录给出相应的解决方法和思路，显然在附录部分的内容更具价值。JSSG-2008的附录A（见图1第4列加重标识的图框）就是针对正文中所列出的填空项目所展开的更进一步的阐述，目的在于对编制飞行器控制和管理系统规范提供指导，其中涵盖了对VMC计算机资源多个方面的考虑。

1.2 资源划分

JSSG-2008中VMC的资源划分为硬件处理资源和软件处理资源2类。硬件处理资源包括：传感器信号采集（数据输入）、数据输出、模拟和数字通讯（串行并行数据总线）、数据处理元件（通用或专用的CPU）、程序存储器件；软件处理资源包括：高级指令语言、低级语言/汇编语言、软件开发环境、测试工具、软件开发过程。

这些软硬件资源的设计应当与飞行器的维护相适应。在软件方面不论选择了什么样的高级语言，为了利于系统综合，全部软件开发人员必须遵循相同的开发过程、使用相同的软件工具和配置管理工具。考虑到VCMS的安全关键特性，开发者应使用成熟、稳定、经测试过的软件平台/环境，必须提交计划以阐明对维护的支持，并通过检查、分析、测试来验证处理器资源是否满足飞行器及VCMS飞行关键应用的需求。

1.3 系统结构

VMC作为VCMS中的核心计算机，JSSG-2008对VMC的系统结构提出了分区化、开放式、容错性3个方面的考虑。文中指出应通过选择设计方法（分布/集中式处理、余度等级、资源分配、优先级、时序、控制等）来确定VMC的体系结构。建议采用分区设计的结构以便于系统的集成，要综合接口特性、扩展性、可靠性、测试性、维护性、可支持性、安全性、生存性等等因素，同时体系结构应当与VCMS系统内部的通讯相协调，具备抑制故障蔓延、存储器保护、阻止产生任何引起50ms以内停机的瞬态条件。计算机的软件、硬件应当设计成具有可扩展、可升级的开放式结构，并与飞行器和武器系统内其他的处理器资源相兼容，同时要满足系统的安全性需求。在容错体系结构下对余度数据的管理应当至少包括：输入数据表决监控、输出数据表决监控、数据有效性检测、基于投票表决/监控功能的I/O数据重构功能、检测故障LRM并具切电功能、接口的在板自诊断功能、设计告警/故障申报功能的接口等。

1.4 硬件设计

VMC的硬件处理资源在提供计算、控制、数据存储能力的基础上，能够支持单/多计算机系统获取所需数据的接口或控制处理。硬件应基于VCMS的安全关键特性进行设计，采用多余度以满足安全性需求并应避免失效在系统内的传播。可靠性、可维护性、可支持性、单纯性、生存性、环境适应性都是计算机硬件设计主要的考虑因素。硬件详细设计中应注意不允许在无用输入或电路上出现“浮置”引脚。对于复杂的硬件设计推荐进行独立设计评审。余度通道在物理和电器方面应贯彻隔离性原则以提高系统的生存性。硬件设计需求中还应包括对核、生物化学、闪电、EMI防护等方面的内容。

硬件资源中的微处理器应尽可能选取通用处理器，如果使用特殊的处理器则必须有明确的需求说明，尽可能使用具有相同指令集结构的微处理器并支持商用的开发工具。

VMC的箱体应提供备份插槽以满足功能扩展的需求；处理器模块提供总线输入/输出控制，背板总线控制，功能处理，能够测试所使用到的所用功能模块；I/O模块提供离散量、数字量、模拟量、通讯接口，使用到通用背板接口和交叉通道数据链路，并可以被主处理器控制复位；电源模块给箱体内模块分配供电，其负载能力应满足功能可扩充的需要，具备短路/开路、过压保护的功能；其他一些为提供逻辑功能而使用到的门阵列、集成电阻/电容/电感/二级管等组件应完全可以测试，并固有具备不传播故障的特性。关于这些部件涉及到的需求指标有：存储器容量（使用降额应大于50%）、字长、处理速度、字符集标准（通常是ASCII）、指令集结构、中断能力、冗余需求、辅助存储需求、可编程性、测试能力等等。

1.5 通讯与同步

VMC在通讯方面，从获得易用性和可支持性、减低开发风险、减少成本、构建开放式计算机体系结构等方面考虑（与其他硬件资源的取用原则一致）应选择标准的商用或军用通讯方式。

考虑到同步和周期速率都可能是造成VCMS系统失控的失效源，因此要求VMC必须具备安全控制功能。同步不应当是单点失效源，VMC的各余度通道应有能力异步运行以不导致系统停机，如果VMC的某通道判断出其它通道有错误，应有能力忽略掉交叉传输所输入的数据并且能够避免被其他通道所“切断”，这种机制并不意味存在多通道可能会放过某一个故障通道的隐患，因为如果故障的通道发现自身不能与其他通道进行数据比较，通道内的“硬线”逻辑应具有能够切断其自身的输出的能力，同时要注意：应阻止所剩最后一个通道切断自己的输出。典型的“帧同步”技术可以实现VCMS同步。应用运行速率分为周期速率和采样速率，贯彻鲁棒性设计原则：采样速率至少是周期速率的4倍。周期速率也必须足够快，以满足控制律对控制面执行的实时性（典型值80Hz）要求。输入数据的更新率要求与周期速率协调一致。

1.6 扩展性设计

可扩展及备份设计是VMC一项基本设计原则，涉及物理容量、计算容量、吞吐率、I/O资源等参数。这项设计原则不仅对扩展功能提供可能，并且对保证系统安全性也有贡献，如处理器的吞吐率必须有足够的余量，确保能够承受住最极端情况下的处理负载。JSSG-2008建议的备份指标如下：100%的物理备份、50%的ROM预留空间、60%的NVRAM（非易失存储器）预留空间、预留50%吞吐率、对于每一帧周期预留60%的前台处理时间以及50%的I/O资源备份。

1.7 软件设计

在软件设计方面JSSG-2008指出开发软件应遵从当前工业界及政府官方惯例，要保证可重用软件（如COTS软件）符合VCMS系统需求，通过设计确保软件故障不会传播导致关键或灾难性失效。开发过程中应将复杂的软件功能分解成可管理的子部件以降低管理软件的难度。软件结构组织应采用分区设计，分区后的软件子部件易实现故障隔离和功能的结构化，使软件更易维护，减少了开发过程生命周期的成本，当然分区软件的规模应满足分区尺寸并要具备可测试性。开发VMC软件应选用通用编程语言，同时编程语言应当是经过确认和证明的，并要求对引用现成军用软件的更改不应超过10%，当高级语言不能有效实现时间关键（强实时）功能时不可避免会使用汇编语言，采用汇编语言的代码规模不应超过总代码量的10%。对数据库的组织结构设计应当与所实现编程语言的种类无关。如果基于不同VCMS系统功能采用了不同种类的编程语言，应建立对照表以反映功能与所用语言的对应关系。

1.8 软件配置项

VMC作为实现机载功能综合化控制与管理的平台，具体综合了哪些功能，软件实现功能时该如何进行配置项划分，这是设计开发VMC必须要考虑的2个问题。JSSG-2008在关于软件配置项的描述中列出了VMC实现综合的功能包括：VCMS管理功能、I/O管理功能、飞行控制功能、惯性导航功能、燃油管理功能、状态告警功能、液压管理功能、环境控制功能、起降设备控制功能、机载综合数据监控功能、座舱安全功能、电源管理功能、机载火警与消防功能、存储器管理功能等等，并建议依据功能最小细化的原则对应建立VMC软件配置项（Computer Software Configuration Items ，CSCI），每个配置项与功能相对应软件配置项列表见表1，结合VMC多余度的容错体系结构每个配置项的基本特性应包括：

a）余度数据的输入表决和监控；

b）余度分支计算结果的表决和监控；

c）数据有效性确认及合理的测试；

d）基于表决和监控功能I/O重构；

e）对接口的故障自检测、诊断；

f）故障的VCMS部件的检测和断电；

g）故障告警、申报功能。

1.9 软件维护与认证

1.9.1 软件可维护性

软件可维护性方面JSSG-2008要求VMC计算机的软件应当易维护和更新，便于故障检测和隔离升级，在设计中应贯彻以下的原则以保障软件易于实现维护的特性。

a）模块化设计；

表1 VMC软件配置项列表

续表1（完）

b）在通用工程环境下使用结构化的编程技术；

c）对变量使用标准的名称定义；

d）在高级语言中使用标准的助记符号；

e）提供编辑器、调试器用于软件的更改和升级；

f）实现BIT设计以发现系统故障。

1.9.2 软件开发

要求VMC计算机软件在开发方面应建立并严格的按照结构化的过程执行：

a) 执行VCMS系统级的需求和设计分析，软件需求分析；

b) 依据top-down设计开发层次；

c) 开发测试包括：评审测试计划、bottom-up测试、综合测试；

d) 提供软件工程环境、计算机软件配置项完整文档；

e) 软件从需求、设计到测试应可追溯；

f) 确认安全关键性的软件需求；

g) 采用标准的编程流程、配置管理流程、质量保证流程。

由于VCMS属飞行安全关键系统，JSSG-2008要求承载系统功能的VMC计算机软件的可靠性必须以最高的可能进行定义，软件认证不仅包括软件文档、软件结构、全部计算机软件配置项进行测试，同时需要依据软件开发计划（Software Development Plan ，SDP）对软件开发寿命周期的过程进行认证确认。

2 结束语

VMC是现代飞机航空电子系统应综合化发展需求而牵引出的新一代机载计算机平台，用以实现对飞行器的综合管理与控制，这里的综合包括了功能综合和物理综合。JSSG-2008作为飞行器控制与管理系统的规范指南，从设计要求、过程保证、验证确认等多方面结合系统的综合性要求对开发系统内VMC的硬件、软件资源进行了全面阐述，其内容与当前国内对VMC技术领域的研究方向一致，值得进一步更深入地分析研究，相信会对提高国内VMC设计技术水平以及相关标准规范的制订起到积极的作用。

[1] AGARD AR 343 Integrated Vehicle Management Systems[S]. 1996.

[2] JOINT SERVICE SPECIFICATION GUIDE JSSG-2008∶ Vehicle Control and Management System[S]. 1998.

[3] 梁德芳. 飞行控制系统规范发展刍议[J]. 航空标准化与质量，2006，4.

[4] 王萌. 关于VMC技术标准研究的探索[J]. 航空标准化与质量，2009，3.

[5] 李旭东. JSSG系列规范飞机生存力要求介绍[J].航空标准化与质量，2010，5.

（编辑：劳边）

V241

C

1003-6660（2015）01-0052-05

10.13237/j.cnki.asq.2015.01.014

[收修订稿日期] 2014-11-24