于古胜 朱 会 王鹏宇

（91550部队 大连 116023）

1 引言

实时测控软件系统在航天发射试验任务中承担实时数据处理、试验航区安全控制、测量装备数字引导、试验指挥显示和场际间信息传输等重要使命任务。实时测控软件是测控系统的核心，其可靠性直接关系着飞行试验任务的成败。1981年美国哥伦比亚号航天飞机的第一次发射就是因为软件开发过程中的一个影响软件实时性效率的BUG而造成发射失败［1］。问题是由一个程序员错误地将延迟因子从50ms重新设置为80ms，错误引起同步问题，导致发射失败，造成了重大损失。事实证明，航天发射过程中大部分事故都是由软件引起的。由于冯·诺依曼模型在程序与数据的区分上没有确定性原则、人性的弱点和程序设计方法学的不完善，实时测控软件的上百万条指令完全由程序员设计、编写，软件中的BUG难以避免。适应国防和军队建设需要，靶场正在并将长期处于持续高密度试验状态，随着试验任务的日益繁重，对靶场测控软件的质量提出了更高的要求。测控软件质量和可靠性已经成为制约测控系统质量和可靠性的“瓶颈”。加强靶场测控软件质量管理是提高测控软件可靠性和未来高质量地完成新型试验任务的必然要求。因此，研究提高实时测控软件系统可靠性方法，最大限度地保证实时测控软件可靠运行对保证航天试验任务的顺利完成意义重大。

2 实时测控软件系统的特点

2.1 强实时性

所谓实时，是指在一个确定的时间里，对外部产生的事件做出响应，并在确定的时间里，完成这种响应及处理［2］。在航天测控系统中，这个确定的时间一般是ms级。实时处理的特性意味着如果在一个截止时间的最终期限内没有完成规定的工作，就会引起数据丢失、数据非法、甚至产生致命性的灾难［3］。因此，实时测控软件系统必须在规定的时间周期内完成数据采集、处理，解算出被测目标的空间位置，显示各种测量参数和曲线及采取相应的航区安全控制措施等任务，这就是测控软件的强实时性特点。

2.2 高可靠性

靶场试验“零缺陷”为目标的特点［4］决定了对实时测控软件系统具有高可靠性要求。软件的可靠性是指“软件系统在规定的时间内及规定的环境下，完成规定功能的能力”［5］。软件的可靠性和硬件的可靠性有着显著的差别，其可靠性比硬件可靠性更难保证。主要表现在：

1）成熟软件的可靠性不会因为使用而发生变化，而硬件会随着时间和使用而老化，其可靠性具有浴盆曲线现像；

2）软件可靠性取决于设计质量，硬件可靠性受设计、生产、使用所有过程影响；

3）软件不会产生物理失效，对软件的修复需要重新设计，并往往要考虑对整个软件系统的影响，硬件的维护要通过修复或更换损坏部件来重新恢复其功能，影响往往是局部的。

需要指出的是：为提高硬件可靠性可采用冗余技术，而基于同一软件的冗余不提高可靠性。

2.3 信息流量大、接口关系复杂

实时测控软件系统是一个规模庞大的分布式实时处理系统，一般由运行于不同平台的实时数据处理、航区安全控制、试验指挥显示和信息仿真等分系统组成，通常是由几十个进程、线程通过复杂的接口关系组成的庞大的应用软件系统。被测目标高速飞行，距离、速度、高度急剧变化的特性要求实时测控软件系统在极短的时间内处理大量的数据信息。分布在不同地域的数十台测控装备在实时测控软件系统的集中控制下协调运行完成航天测控任务。大射程飞行试验需要多个指控中心接力完成实时测控任务，要求对不同体制测控信息接口协议进行实时转换。测控信息流量大，测控系统接口关系复杂都会对实时测控的可靠性带来一定影响。

3 实时测控软件系统可靠性风险分析

3.1 开发周期长、软件测试难度大的风险

开发实时测控软件系统涉及到计算机硬件、网络通信、时间统一、无线电外测、遥测遥控、光学测量、大地测量、水文气象、弹道学、空气动力学、应用数学等多领域知识，开发周期一般需要2年以上。航天测控领域的特殊性决定了实时测控软件系统很难借助外部力量开发，只能由具备上述领域知识的航天指控中心的软件研制人员根据试验任务要求提出软件需求，自行设计开发。他们集软件交办方、开发方、最终用户于一身。不可能建立一般软件开发的甲、乙方相互监督制约的软件开发机制。因此，实时测控软件的测试难度较大，测试计划、标准的制定，测试用例、边界条件的选择只能靠软件开发人员凭经验进行把握，很难有一个定量的依据和标准。开发周期长、测试难度大对保证实时测控软件系统的可靠性提出了挑战。

3.2 异构平台实时数据可靠传输风险

在飞行试验时，由于受地理条件和测量装备作用范围的限制，需布设多台测量装备，才能保证飞行器在整个飞行过程中的测量控制。各测量装备以规定的周期向中心计算机系统传送一点测量数据，各装备向计算机系统传输测量数据采用了异构通信方式，即分别采用同步、异步和IP三种通信方式中的一种或多种。由于各装备向计算机系统传输测量数据所采用的通信方式不同，以及受信道质量和传输时延不同的影响，计算机系统对每一点测量数据的接收可能存在通过某个信道传输的测量数据丢失或因时延较大而收到的不是同一时间点数据的现象。因此，对计算机系统而言，接收单一通信方式传输的测量信息，存在获取的测量数据不完整、不齐全的问题；接收所有通信方式传输的测量信息，又存在获取的测量数据冗余或不一致的问题。这些问题必然对实时处理可靠性带来一定影响。

3.3 集中式数据处理方式面临的风险

当前靶场实时测控软件系统采用的是中心机集中处理方式下的硬件双工机制，实时测控软件系统在基于相同的操作系统平台和相同的数据接口标准的中心机上运行，这种集中式处理方式在可靠性方面存在一定的风险。在飞行试验过程中各种突发事件、异常事件随机发生，某些非法的、异常输入数据难以预测，由于中心机双机软件完全一致，异常处理方法也完全一致，如果对异常数据引起的错误处理不当可能会引起中心机双机同时崩溃，给飞行试验造成不可预料的风险代价和灾难性的后果。

4 提高实时测控软件系统可靠性途径

4.1 树立质量意识，把好软件研制关

树立软件质量意识是搞好软件质量管理的“第一道工序”。靶场测控软件和靶场其它专用装备一样有其生存周期。软件的生存周期是指从提出软件产品的任务开始到软件产品不能使用为止的时间叫软件的生存周期［6］。包括：项目规划、需求分析、概要设计、详细设计、编码及测试、系统运行维护等不同阶段［7］。在项目规划阶段，要建立软件质量标准和制定软件开发质量保证计划并成立软件质量保证组。在需求分析阶段，软件质量保证组要和软件研制人员共同探讨数学模型的合理性、准确性等问题，并对需求分析阶段产生的文档进行审查。在概要设计阶段，质量保证组要重点监督审查以下几个方面：设计文档的编制标准，规定编码的信息形式，与硬件操作系统的接口规约、命名规则；模块的层次结构、功能、对应关系、调用关系和接口关系设计；为实现系统的功能需求所必需的算法和模块间的控制方式；输入/出文件的详细的数据结构；数据的保护性和一致性设计；冗余设计及概要设计阶段的文档。在详细设计阶段，质量检查的重点是对软件研制进度进行控制。在编码及测试阶段，重点是依据测试原则对软件测试进行监督，检查模块测试及系统集成测试的关键环节。在系统运行维护阶段，软件管理者要对软件的修改维护进行全程监督，严格软件的出入库登记制度和签字审批手续。

4.2 以“零缺陷”为目标，完善测试手段

为了保证实时测控软件系统的可靠性，一般采用开发仿真测试软件并用飞机模拟被测目标进行联试、校飞。根据试验任务的具体功能指标要求，结合实时测控软件的特性，开发仿真系统进行测试［8］。仿真系统要尽最大可能模仿飞行器的实际飞行过程和测量设备的工作状态。设计各种故障弹道和测量数据包进行仿真测试，检验实时测控软件数据处理的正确性。仿真系统主要是模拟外部测控设备、故障飞行器、故障设备的信息，边界条件数据和干扰数据，用于检测实时测控软件系统可靠性、实时性和稳定性。从总体上检测系统功能、数据处理是否满足精度要求，以及用户显示界面是否满足研制任务书的要求和任务的需求。从而考验实时测控软件系统各主要功能。校飞是指利用飞机模仿被测目标，整个测控系统开机对实际飞行的目标进行测量。这种方法对功能测试直观、有效，可检验实时测控软件整体功能的正确性，外部测控设备与指控系统软、硬接口的准确性，输入、输出信息格式，数学模型中的数字滤波、数据检择、弹道解算、实时处理精度是否符合设计要求，安全故障判断准则，穿越安全管道、必炸线报警等功能的正确性。

4.3 基于靶场公共体系统结构的多路IP数据的实时应用

当前靶场联网装备与通信装备互联采用DDN和IP体制并存下互联方式，它是指联网装备与通信装备之间主要通过DDN节点机和IP交换机实现试验信息传输的通信方式。由于通信时延等因素必然产生异构的通信方式下实时数据不一致的问题。DDN体制传输容量小，固定连接无法解决用户接入灵活性，无法解决通信质量稳定性等问题，主要设备价格高，面临市场淘汰。IP技术已成为通信业务承载层的主流技术。IP设备生产厂家多，性价比高，且有以下技术优势：网络自动寻址且不面向连接，用户可以自己确定通信对象，并可不经网络允许就向网内发送信息；线路的统计（随机）时分复用即排队转发，使用户可以用一个物理接口同时和多个对象通信；开放的网络协议，互联互通性好；统一化的用户网络接口即以太网接口，便于用户接入。因此，为了实现测控资源的互联、互通、互操作的要求，提高实时数据处理的可靠性，实时测控软件系统采用靶场公共体系结构标准进行设计，并逐渐采用多路IP网络数据互为备份的方式进行网络传输，这样可以有效保证实时数据处理的实时性和完整性，从而提高系统可靠性。

4.4 研究探索新机制，设计高可靠性实时软件架构

当前国内靶场一般采用中心机双工热备份的方式进行实时数据处理，从硬件上进行双工设计，软件上还是基于同一操作系统平台的“单工模式”，异常事件造成中心机双机死机的风险依然存在，有必要研究建立中心计算机软件双工系统的方法。软件双工是在不改变中心机双工热备份和集中式处理模式的前提下，遵从相同的用户需求和接口约定，基于异构的操作系统平台、不同的数学模型和数据处理方法，特别是异常数据处理方法，不同的数据驱动模式，研制两套不同的实时测控软件系统，在保证两套软件同步运行和I/O信息一致前提下，实现软件双工控制，并保证两套软件处理结果的一致性，从软件架构设计上提高测控可靠性。另一种方式是改变中心机集中式处理模式，把集群技术引入实时测控软件系统，采用高可用性集群技术，将中心机承担的外测处理、遥测处理、数字引导、落点计算和场际通信等功能分布在不同的集群节点上［9］。集群内部按功能分为控制节点和计算节点，控制节点采用双工热备份方式工作［10］，主要功能是对集群节点运行状态进行实时监控、故障判断、任务调度，对控制节点进行主备切换，把外测处理、遥测、落点计算等功能分布在各计算节点上，一旦某一计算节点出现故障，由控制节点把任务迁移到正常工作节点上，只要集群系统有一个计算节点正常工作，就能保证实时数据处理任务的完成，因此，集群系统有效提高了实时数据处理的可靠性［11］。上述两种模式都可有效提高实时测控软件系统可靠性。软件双工模式由于耗时多、投入大，目前还处于研究阶段。集群模式工程适用性强，是实时数据处理技术的重点发展方向，有着良好的应用前景。

5 结语

测控是飞行试验必不可少的基本条件，也是飞行试验成败的关键。航天飞行试验是一个不过逆的过程，代价昂贵，如果不能保证试验安全，会造成不可挽回的损失［12］。要求测控系统的核心实时测控软件系统必须性能优良、工作可靠［13］。把好软件研制质量关、加强软件测试、建立多路IP数据传输模式、设计高可靠性软件架构是提高实时测控软件系统的有效手段。应该指出的是：对实时测控软件系统这样规模庞大的应用软件系统，无论采用何种方法都无法一劳永逸解决可靠性问题，还需要测控软件的研制和使用人员在应用过程中不断探索新的提高实时测控软件系统可靠性方法，尽最大可能找出系统的缺陷，以确保航天试验任务的顺利完成。

［1］B.Bruegge，A.H.Dutoit.面向对象的软件工程［M］.吴丹，唐忆，等译.北京：清华大学出版社，2002：281-183.

［2］郑宗汉.实时系统软件基础［M］.北京：清华大学出版社，2003：2-5.

［3］翟丽丽.Digital UNIX实时应用指南［M］.大连：大连理工大学出版社，2000：2-3.

［4］张瑞国，郝云胜，靶场试验作息化战略规划方法研究.导弹试验技术［J］.2008，87（3）：1-3.

［5］章晖，陈洪钧，孙赤全.软件可靠性设计与评估方法研究.海军装备［J］.2005，366（6）：10-12.

［6］郭高峰.浅析海军电子装备软件可靠性.海军装备［J］.2005，366（6）：22-24.

［7］许聚常，王占武，吕波等.总装备部软件工程规范［S］.北京：中国人民解放军总装备部司令部，2008：3-5.

［8］杨榜林，岳全发等.军事装备试验学［M］.北京：国防工业出版社，2002：235-237.

［9］白欣，宋博，左继章，向建军.测控系统中高性能实时集群的研究与实现.微电子学与计算机［J］.2003，20（4）：35-38.

［10］向建军，左继章，白欣.基于多任务并行处理的实时集群计算机系统.系统工程与电子技术［J］.2003，25（9）：1144-1146.

［11］于古胜，李连登.实时测控集群数据分发方法研究.导弹与航天运载技术［J］.2014，332（3）：71-73.

［12］黄学德，成求青.导弹测控系统［M］.北京：国防工业出版社，2000：3-6.

［13］金振中，李晓斌.战术导弹试验设计［M］.北京：国防工业出版社，2013：224-225.