程博文 刘伟伟 何熊文 阎冬

(北京空间飞行器总体设计部，北京 100094)

猎户座飞船电子系统设计特点分析与启示

程博文 刘伟伟 何熊文 阎冬

(北京空间飞行器总体设计部，北京 100094)

2014年12月5日猎户座飞船成功完成“探测飞行试验”任务，标志着美国NASA为实现载人火星探测迈出了关键一步。文章从分析猎户座飞船电子系统入手，总结了其高度灵活、可扩展、高可靠的设计目标，介绍了系统采用的分布式系统架构的设计特点及最终的实现方案；梳理了容错计算机系统、时间触发以太网和分时分区操作系统等关键技术的工作原理，并通过与传统实现方式的对比，分析了上述技术在系统中的应用优势。最后提出了发展建议，可为我国后续开展火星探测任务提供参考。

猎户座飞船；电子系统；容错计算机；时间触发以太网；分时分区操作系统

1 引言

2014年12月5日，美国猎户座载人飞船在经过4.5 h的飞行过程后，溅落太平洋，成功完成了首次无人探索飞行试验(ETF-1)任务。NASA局长将此次任务的顺利完成称作“火星时代的第一天”。按计划，猎户座飞船将在2025年前将宇航员送往月球轨道的一颗小行星，并最终在2035年前后实现载人登陆火星任务[1-2]。

猎户座飞船原本是NASA“星座”计划中用于接替退役的航天飞机、承担“国际空间站”人员往返运输任务的航天器。2010年奥巴马政府中止了“星座”计划，但猎户座飞船项目因仍能支持实现其载人深空探测目标而得以继续。美国国会也将“航天发射系统”(SLS)与“猎户座”飞船作为NASA载人航天和技术开发计划的最高优先级项目予以保证。

猎户座飞船作为目前唯一可实现载人火星探测任务的飞行器，虽然外形类似于“阿波罗”飞船，但其电子系统的设计却充分借鉴了近10年来电子系统技术的最新成果，尤其是航空领域综合电子系统的研发成果。系统采用“故障静默”的工作模式，而非传统的拜占庭容错架构，并辅助以自检处理器结构、容错通信网络以及分时分区操作系统技术，使得系统的可靠性和安全性达到航天飞机的10倍以上，为构建未来宇航探索项目的电子系统奠定了基础。

本文针对猎户座飞船电子系统体系结构的设计特点，重点分析了容错计算机系统结构、总线网络和操作系统等关键技术，并提出发展建议，可为我国后续开展载人火星探测任务提供参考。

2 猎户座飞船电子系统概况

受制于美国国会大幅削减太空探索项目经费的影响，作为承研方的霍尼韦尔公司认为早期宇航项目对软件和硬件修改和重新认证的费用是造成项目成本较高的主要因素。尤其是近10年来，地面商用电子系统技术的迅猛发展，使得早期选择的电子器件在航天器服役时便已过时。因此，在系统设计时不应基于特定的电子部件构建，而是通过合理的体系结构设计，提供一个低成本、可扩展并支持项目全生命周期改进和升级的系统，从而简化设计、开发、测试、集成、维护和升级的代价。下面将从整个系统设计目标、体系结构设计和具体实现方案3个方面进行介绍。

2.1 设计目标

从系统抽象的角度理解，猎户座飞船的电子系统既包含对各类指令和遥测的处理，同时也包括多舱段对接控制、自动驾驶飞行、系统级的健康管理等一系列复杂的任务。因此，一个可满足多种任务灵活扩展，并支持在故障情况下系统资源灵活重构的处理平台是电子系统设计的主要目标。与此同时，平台设计需要综合权衡低成本与高可靠之间的矛盾。为此，电子系统的研发提出了如下的设计目标[3]：

(1)基于开放式的系统架构，构成系统核心的处理、通信和计算资源可根据系统需求灵活扩展、重新配置；

(2)基于已有的商业标准或成熟产品，允许第三方参与星载电子系统的软硬件研发，降低研制成本；

(3)通过时空隔离技术，支持系统局部修改和升级，降低系统更新和重新认证的代价。同时将故障封锁在局部，提升系统整体的可靠性。

2.2 体系结构设计

为满足上述目标，一种简单的实现方案是采用集中式的系统架构设计，如图1所示。系统通过一台中心计算机完成健康管理、自主控制、能源管理等核心功能，这种架构虽然简单，但难以满足系统重构、可扩展以及复杂任务解耦等多方面要求。

与集中式对应的是分布式体系结构，如图2所示。在这种体系架构下，原先集中式计算机的功能被分解到若干个分布式的计算节点中，这些计算节点通过交换式网络连接，相互之间没有耦合关系，任务处理所需要的I/O数据或计算结果可通过交换式网络被系统任意一个计算节点获取，而网络中数据的传输路径则通过设计阶段的规划安排，具备链路冗余，故障情况下自主切换的能力[4]。

图1 集中式系统架构Fig.1 Integrated process structure

图2 分布式系统架构Fig.2 Distribute process structure

2.3 实现方案

基于分布式系统的设计思路，最终完成的“猎户座”电子系统结构如图3所示。系统选用时间触发以太网(TTE)作为骨干网络，系统各设备与网络交换机进行连接，共包含18块时间触发以太网交换卡及46个终端节点。采用这种交换式的网络结构，使得系统结构扩展灵活，如当有新设备需要接入系统时，只需要将新设备连入交换机即可，其他已连接设备不受任何影响[5]。

TTE网络采用光纤作为传输介质，提供高达12.75 Gbit/s的带宽。通信采用时间触发方式，各节点的占用带宽以及传输路径通过预先规划实现通信资源的静态配置。当系统发生故障时，故障设备只影响自身所分配的带宽，而对系统中其它节点没有影响，形成天然的“防火墙”，避免故障扩散而对系统整体造成的灾难性影响，系统可靠性显著增强。与此同时，通过预先分配带宽的方式，实现对系统资源使用情况的提前预估，从而降低了系统集成节点的复杂度。

图3 基于时间触发以太网的猎户座飞船电子系统组成示意图Fig.3 Architecture of Orion’s C&DH based on time-trigger Ethernet

星载计算机(VMC)作为猎户座飞船的处理核心，完成整器控制、人机交互、系统通信等主要功能。在设计上，上述功能分别由飞行控制模块(FCM)、显示控制模块(DCM)和通信控制模块(CCM)完成，如图4所示。FCM主要完成导航、推进控制、时间管理、整器资源配置管理、必要的子系统管理(如电源、生命保障等)功能。DCM作为飞行器状态显示及人机交互的接口，以图形界面的方式向宇航员报告当前的飞行状态和告警信息。此外DCM还可接受宇航员的输入命令和数据，转译成可供执行的指令，分发到各分系统执行。CCM执行与外部系统的通信和协议转换功能，通信协议采用以太网标准。此外CCM模块提供大容量的数据存储器用于存储设备内部信息，如用于存储飞行器停靠或分离时的图像数据。星载计算机选用IBM PowerPC 750FX单核处理器，处理频率最高可达900 MHz。

在组成方式上，上述处理模块均与时间触发以太网交换机进行连接，实现各处理器“上网”并完成网络化的处理。在实现上，FCM、DCM和CCM并没有采用传统的三模冗余结构，而是采用具备自锁功能的处理器结构及分时分区操作系统，操作系统包含6个分区(即系统分区、网络通信输入分区、网络通信输出分区、自测试分区、监控分区和其他功能分区)，可避免计算机在执行过程中，任意指令存取错误或软件任务执行错误而对系统造成的灾难性影响。

图4 猎户座飞船计算机(VMC)组成结构Fig.4 Structure of vehicle management computer

3 关键技术

通过对猎户座飞船电子系统设计方案的介绍可以看出，作为一种既满足高度灵活、可扩展同时兼顾高可靠需求的体系结构，基于自检处理器结构的容错计算机、时间触发以太网和分时分区操作系统是支持体系结构实现的核心。下面将针对这些关键技术的设计特点以及应用情况进行详细介绍。

3.1 基于自检处理器的容错计算机

在单个处理器模块设计上，针对运行安全关键等级高任务(如飞行器控制、指令、资源管理、势态感知等)的处理器模块采用自检处理器结构(Self-checking Processors，SCP)，如图5所示。这种结构包含两个处理器对，每个处理器都使用独立的资源(包括处理器、晶振、Flash、RAM、输入数据接口和供电接口)，比较逻辑分别对两个处理器执行指令进行比较，若出现取址错误或软件跑飞的情况，则关断数据输出，达到 “正常工作输出，故障情况沉默”的效果。

图5 自检处理器组成结构Fig.5 Structure of self-checking processors

传统的容错计算机通常采用三模冗余的设计，软硬件耦合程度较高，很难对系统中的硬件电路和软件算法进行独立测试和验证，且表决器实现较为复杂，容易成为系统单点。而这种处理器自检结构尽管无法区分硬件的瞬态或永久故障，但却提供了接近100%的故障检测率，并且此结构不依赖于特定的软件算法和表决机制，简单易于实现。

在具体应用时，猎户座飞船中的两个中心计算机(VMC1和VMC2)采用备份设计，所有模块均与时间触发以太网连接。以飞行控制模块为例，两个飞行控制模块采用热备份设计，占用时间触发以太网中相同的通信时隙。利用时间触发以太网提供的仲裁机制，在主份飞行控制模块出现故障的情况下，系统功能通过时间触发以太网连接的备份模块接替运行，实现系统级容错[6]。

3.2 时间触发以太网

在计算机网络发展历程中，以太网作为众多网络技术中最具影响力的一种，具备低成本的应用优势。但传统以太网所采用的载波侦听多路访问(CSMA/CD)的介质访问机制，是一种基于竞争的传输机制，无法保证网络上数据传输的确定性，难以满足猎户座飞船高实时性要求的安全关键数据(如控制指令、平台状态遥测、异常告警信息等)的传输需求。

为解决以太网在传输过程中的时间不确定问题，同时发挥以太网低成本、易维护的应用优势。时间触发以太网在交换式以太网的基础上引入了时间触发机制，利用时间同步技术实现各节点按照统一的时间规划完成各类信息的交互。时间触发以太网提供的通信业务类型如图6所示[7]。

(1)时间触发(TT)通信：采用预留带宽形式，保证确定的通信时延，通常用于具备严格实时性要求的应用场景。

(2)速率限制(RC)通信：采用流量整型技术，保证消息传输延迟有预定的最大值限制，数据可预防丢失，通常用于时间确定性和实时性较低的应用场景。

(3) 最大努力(BE)通信：遵循标准以太网通信，占用未分配的带宽；优先级最低，传输延迟不确定。

图6 时间触发以太网支持的通信类型Fig.6 Time-trigger Ethernet supporting communication types

在猎户座飞船的研制过程中，NASA在调研了1553B、SpaceWire、1394B、FlexRay、Arinc659、TTP等多种总线后，最终选用时间触发以太网(TTE)作为系统的骨干网络，改变了原先多种数据总线并存的格局。通过时间触发以太网提供的不同业务等级的数据传输机制，可在一条总线上同时兼容实时性和可靠性要求较高的安全关键数据传输(如指令、遥测、传感器数据等)以及高速率的普通数据传输(如话音、视频、图像等)，极大地简化了器内总线网络的复杂度，也降低了系统研制成本。此外，网络带宽的使用情况通过离线的方式进行预先规划和验证，不仅使得系统在设计之初就对带宽的使用有了预先估计，避免潜在冲突。同时新节点加入只需要占用其他未分配带宽，而对已占用带宽不产生影响，使系统具备良好的升级、扩展能力[8]。

3.3 分时分区操作系统技术

为实现系统中大量复杂软件的集成，同时避免不同软件运行导致的系统可靠性降低的问题，猎户座飞船采用航空领域广泛使用的分时分区操作系统，通过时间分区(Temporal Partitioning)、空间分区(Spatial Partitioning)的思想，使一个处理器模块中可以同时运行多个虚拟分区，分区的运行时间以及使用的存储空间事先进行约定，运行时分区互不干扰。通过分时分区的隔离保护机制，使得不同分系统的、不同安全等级的软件可以集成在同一个处理器中运行。这样设计的好处在于：各分系统的软件可以单独修改、更新和重新认证而不影响其他分系统，这将有助于提高系统的可测试性，同时降低开发和维护的成本，也为未来的升级提供便利。

在操作系统选型上，猎户座飞船使用了Green Hills公司提供的Integrity操作系统。该操作系统通过了RTCA DO-178B Level A级认证，符合综合化、模块化航空电子(IMA)应用软件标准接口(Avionics Application Software Standard Interface)(即ARINC653-1)，如图7所示。ARINC653标准主要包括分区管理、分区内线程管理、时间管理、分区间通信、分区内线程通信、健康监控技术、XML文件蓝图配置技术等。其中，分区是ARINC653的一个核心概念，是一种功能划分。将运行在硬件模块上的多个应用程序按功能独立地进行划分，划分的单元即分区。分区内每一个执行单位称为线程。每一个分区都有独立的数据、上下文关系和运行环境，通过这种设计能够防止一个分区的故障影响到其他分区，并使得整个系统易于验证和认证[9-10]。

图7 ARINC653分时分区操作系统结构图Fig.7 Architecture of ARINC653 operating system

4 启示

以猎户座飞船为代表的先进航天器系统的成功研制及系统的设计思路，对我国航天器电子系统的设计而言，具有如下借鉴意义：

1)重视分布式电子系统体系结构的研究

应该来说，分布式相对于地面系统而言并不是一个新的概念。基于分布式概念构建的星载电子系统，可在星上处理和存储能力有限的情况下，由多个处理单元构成星载分布式计算系统，大幅提升系统的处理能力，为未来深空探测任务中实现智能化的自主管理提供必须的计算能力的保障。与此同时，各处理单元执行的任务可在分布式系统中的各个处理单元中动态迁移和重构，使得系统整体的可靠性和容错性都有了大幅提高，体系结构的开放性大大增强。目前，国外航天机构将这种分布式平台应用在航天器上，已取得很大的进步。本文所调研的猎户座飞船即是一个典型例子。

2)重视跨领域标准和产品的航天应用

猎户座飞船作为一类深空探测类型的载人航天器，其系统平均无故障时间要求在109h。为满足这种近乎严苛的可靠性要求，在飞船设计过程中大量借鉴了航空标准和成熟产品(如时间触发以太网和分时分区操作系统等)，并通过适应性改进使其适合航天应用。这种通过跨领域借鉴的方式，有助于突破传统航天领域的技术局限性，并且基于其他领域已有成熟的产品和标准设计的系统，在研制成本、研制风险和标准化等方面都具有明显优势，这也是满足未来低成本、高可靠航天任务的有效途径。

3)重视时间触发以太网、分时分区操作系统等新技术研究

以总线网络为例，虽然NASA在设计之初，选用了低速TTP总线和高速1394B总线的混合方案，但到最终实现的却是基于时间触发以太网单总线方案。通过时间触发以太网良好的兼容性和高带宽特点，一方面，优化了系统架构，使得各分系统可以基于统一的标准接口和通信协议进行设计，系统集成代价大大降低；另一方面，基于以太网技术使得器(星)内网络与地面测试系统可以无缝衔接，地面测试系统的复杂度均可有效降低，系统研制效率大为提升。基于上述分析，时间触发以太网在支持航天器扩展能力、通信业务能力等方面相对于传统的总线技术(如1553B、SpaceWire等)有较大优势，值得在后续的研究过程中加以重点关注。

References)

[1] Scott D Norris. Orion project statusn[C]// AIAA Space 2013 Conference and Expositio. Washington D.C.: AIAA,2013: 24-34

[2]Nick Heath. NASA’s Orion: the next generation of spacecraft computing,CBS Interactive Limited-39746665[R]. Washington D.C.: NASA,2010

[3]George W Eger. Orion’s command and data handling architecture[C]// AIAA SPACE 2008 Conference and Exposition. Washington D.C.:AIAA,2008: 57-64

[4]Randy Black,Mitch Fletcher. Next generation space avionics: layered system implementation[J]. IEEE A&E Systems Magazine,2005，9(5): 9-14

[5]Clint Baggerman,Mary McCabe. Avionics system architecture for the NASA Orion vehicle,SAE International-09ATC-0118 [R]. New York: IEEE,2009

[6]Ricky W Butler. A primer on architectural level fault tolerance,NASA/TM-2008-215108[R]. Washington D.C.: NASA,2008

[7]W Steiner. TTE Ethernet specification,TTTech Computertechnik AG 2008[EB/OL]. [2015-11-25]. http://www.tttech.com

[8]George Eger. Time Triggered Gigabit Ethernet on NASA’s Crewed Exploration Vehicle[C]// ADCSS Workshop. Washington D.C.: NASA,2013:112-124

[9]Electronic Engineering Committee. Avionics application software standard interface: ARINC specification 653[S]. Maryland: Aeronautical Radio Inc,2005

[10] John Rushby. Partitioning in avionics architectures: requirements,mechanisms,and assurance. NASA CR-1999-209347[R]. Washington D.C.: NASA,2000

(编辑：张小琳)

Research on Orion Electronic System

CHENG Bowen LIU Weiwei HE Xiongwen YAN Dong

(Beijing Institute of Spacecraft System Engineering，Beijing 100094，China)

On Dec 5th2014,Orion successful accomplished the ETF-1 experiment. It is a key symbol for America to make a step to Mars. Based on the design method of Orion’s electronic system,the paper summarizes the high flexible,easily expandable and strong reliable requirements and introduces the design characteristics of distributed architecture and the practical scheme which the system adopts. Key techniques of the design including fault-tolerant computer system,time-trigger Ethernet and time space partitioning operating system are introduced. Compared to the traditional implementation,the application benefits of these key technique are analysied. The research and development of Orion electronics system can offer reference for Chinese deep space manned spacecraft design.

Orion; electronic system; fault-tolerance computer; time-trigger Ethernet; time space partitioning operating system

2016-06-12；

2016-07-12

程博文，男，硕士，工程师，从事航天器综合电子系统研究工作。Email:shanshui_66@163.com。

V443

A

10.3969/j.issn.1673-8748.2016.04.016