孙海峰，刘俊阳，程 胜，宋征宇

(1. 北京航天自动控制研究所，北京 100854；2. 北京神舟航天软件技术有限公司，北京 100094;3.中国运载火箭技术研究院，北京 100076)

0 引 言

电气系统高度综合化、标准化、模块化、组合化、通用化是目前国际、国内航天领域发展的趋势。传统火箭电气系统设计思路下，电气系统被人为的分割成若干子系统，使得系统功能划分不够合理，资源不够优化。以重型运载火箭为代表的下一代运载火箭电气系统功能愈发复杂，对整个电气系统进行资源优化设计的需求越来越迫切。

国内新一代运载火箭的体系架构仍然是联邦式的。文献[1-6]对传统运载火箭和新一代运载火箭控制系统和电气系统架构进行了研究，其中，文献[2,6]提出采用系统集成和一体化设计降低运载火箭成本的方法，提出“充分发挥每个单机的功能，减少单一功能的设备，也可以降低成本”，“但我国目前的长征系列火箭还未能实现跨系统集成设计”。文献[3]提出了”控制与测量系统一体化设计”的基本思路，“独立的系统设计方案显得过于复杂”，并指出“在综合分析可靠性、成本双重因素下，测量分系统中的相关功能，尤其是用于对控制系统信号进行采样、编码、传输的各种数据采集单元具备了与控制分系统一体化设计的条件。”文献[4-5]在综合分析传统运载火箭和新一代运载火箭的电气系统架构后，提出了未来重型运载火箭电气系统架构的展望。

国际上以美国为代表的航天大国已由单纯追求更大运载能力向“快速、经济、可靠、安全”转变，法尔肯9系列火箭、火神系列、安加拉系列和阿里安6系列火箭均将模块化组合化的综合电子设计思路作为后续降低发射服务费用、提升运载能力的有力手段。阿里安6运载火箭[7]采用综合电子架构，将电源管理、线路检测与时序控制、电磁阀驱动、遥测计算机、箭载计算机、总线交换功能按照功能板卡形式进行了集成，称为中心多功能单元设备。NASA在“深空之门”月球轨道空间站项目中提出了开放式的综合电子架构[8]，采用了分布式的软硬件资源配置，通过TTE总线进行互联，分时分区的设计使不同关键等级的任务运行在隔离的高集成度分区。TTE总线的应用使得分布式的航电系统集成变得简单化[9]。此外，国际上也在研究基于DIMA架构的系统级容错架构[10]，利用分布式架构的特点，将容错规模从单机内部扩展到全系统的级别，提高系统故障容限度。

综合化集成化是当前国内国际航天运输领域的发展趋势。本文以下一代运载火箭为背景，通过对系统集成基础理论、系统设计方法学、系统工程理论的研究，提出了复杂电气系统的集成设计技术路线，在此基础上，对下一代运载火箭一体化综合电气系统的分布式架构、层次化容错机制、分时分区的软硬件框架以及交换式的信息交互架构进行了定义，对下一代运载火箭电气系统的集成设计进行了探索和实践，同时也为其他运载火箭电气系统集成提供了理论支持。

1 系统设计目标

明确系统的设计目标是整个综合电子系统集成的首要内容。下一代运载火箭综合电气系统将是采用资源分布式设计的集成模块化综合电气系统，基于标准模块的软硬件资源，通过统一的分布式通信网络构成的分布式综合模块化平台，其设计目标主要包括[11]：

1)小的模块集合及宽的应用范围；

2)模块具备强的维护能力；

3)最大化的互操作能力和模块互换能力；

4)开放式的体系结构；

5)最大化使用商用成熟技术；

6)最大化软件和硬件组件的技术透明性；

7)最小化硬件及操作系统升级的影响；

8)最大化软件重用及可移植能力；

9)宽泛的自检及故障容忍能力；

10)提供高自由度的功能和物理集成能力。

2 系统功能需求分析

系统功能需求分析是综合电气系统集成的基础。通过系统功能需求分析，明确系统实现的功能需求，在此基础上进行功能抽象和功能提取。下一代运载火箭电气系统功能将更多的体现出自主控制的特点，其系统功能需求一般包括：1)自主导航功能；2)自适应制导功能；3)自适应姿态控制(含减载控制)功能；4)推进控制功能(包括时序控制、推力调节控制、闭环增压控制、推进剂利用控制)；5)能源管理功能；6)健康管理及容错控制功能；7)遥测功能等。

3 系统抽象

3.1 复杂系统的抽象

系统抽象是复杂电气系统分析与设计的方法之一[12]。下一代运载火箭电气系统属于大规模复杂电气系统，具有要素和层次众多、结构复杂的特点，为实现对电气系统全面和本质的认识，需要对系统进行归纳和抽象，提取出系统的主要因素，降低系统的复杂度，便于系统设计的开展。

3.2 系统功能抽象

系统功能抽象是系统优化分析和设计的基础。解决复杂电气系统复杂性问题的有效方法在于将物理上高度耦合的系统划分为逻辑上松散的系统，提高系统各功能实体的内聚性，降低耦合性，模块内部高度内聚，模块之间松散耦合。当模块进行修改、升级时，对系统的影响应仅限制在模块内部，而不影响其他模块，确保模块与模块之间的独立性。同时还应考虑模块的标准化，通用性等设计要素。

以运载火箭部分功能为例，系统功能抽象的结果见表1所示。

在功能抽象的基础上，对各功能模块的资源需求进行定义，明确每个功能模块的属性、硬件资源需求、物理位置分布、预期开销。

针对表1定义的功能需求，表2对功能实体的资源需求做了说明。

表2 功能资源需求Table 2 Resource requirements of functions

3.3 系统层次抽象

采用分层结构处理是解决电子信息系统领域复杂性问题的有效方法[13]。通过系统层次架构对复杂电气系统结构进行分层表征，将复杂系统划分为若干层次，各层次由抽象出来的若干功能实体组成。

系统层次架构设计的目标是使组成系统的基本功能实体只与本层和相邻层次之间发生关联，而与其它层无关联，确保层与层之间的独立性。良好的系统分层设计，良好的功能实体划分，确保功能实体之间独立是综合电气系统设计的重点。

一种典型的运载火箭模块化综合电子系统的层次抽象模型见图1所示，系统分为输入层、信息处理层、决策层、输出控制层、驱动层共5个层次。

3.4 系统的可视化表征

对系统进行可视化表征是研究复杂系统的重要方法之一，通过对所抽象的功能进行可视化表征，可以达到对系统的深度认识[12]。

多视角的连通网络描述，通过多个连通网络来描述系统，从不同的视角描述系统的不同关联关系。图2以制导功能和推进控制功能(含时序控制、闭环增压控制、推力调节控制)为例对多视角的连通网络进行了说明，描述语言采用了UML。通过可视化表征，各功能之间的交互关系变得更加清晰。

图2 系统可视化表征

4 系统综合

4.1 功能映射

综合化的首要任务是进行功能映射[14]。功能映射是指将系统中的功能与DIMA架构中的某一个硬件设备进行一一绑定，该硬件设备必须能够为此软件模块提供所需的各类资源。

集成控制单元(Integrated Control Unit, ICU)为电气系统基本控制设备，采用IMA架构，由两种基本的硬件模块组成：信息处理模块和I/O模块，见图3。将IMA设备提供的资源分层设计，并与系统层次模型相映射，实现系统功能到软硬件资源的绑定。

4.2 系统综合

综合化系统与非综合化系统相比最大的特点是在系统中引入了综合技术[14]。综合化设计需要对软硬件资源进行整体优化配置，力求资源最大化共享，功能最大化复用，缩减功能模块和电气设备种类，提高模块和设备的通用化、标准化程度。在系统功能抽象和层次化建模过程中，将上层的系统功能分解成一系列高内聚低耦合的功能模块，为实现资源综合和功能综合打下了良好的基础。

如图4所示，下一代运载火箭通过综合化设计，全箭电气设备类型减少至两种，信息处理模块减少至一种，I/O模块在综合考虑板卡体积、资源综合等因素，也可以梳理出几种通用I/O模块，最大化的实现I/O功能模块级共用。信息处理模块采用3CPU/SOC集成化设计，不仅可以提高模块集成度，同时，单模块三冗余的设计本身就是一种简单的三模冗余(TMR)结构。

图3 层次映射及集成控制单元IMA架构

图4 集成控制模块化组合化设计

通过通用模块的组合，形成具有不同功能的电气设备，配置在不同的舱段位置，通过交换式的网络连接形成综合电气系统，如图5所示。

从图5可以看出，相比传统运载火箭电气系统，采用了DIMA架构的电气系统架构更为简洁。

5 系统软硬件架构设计

5.1 空间及时间分区

下一代运载火箭综合模块化的电子系统通过在一个计算资源中运行多个子系统任务来实现计算资源的高度共享，比如控制任务和遥测任务可能会共享同一计算资源，不同关键类型的任务间不能彼此干扰，特别是重要性级别高的任务不能受到重要性级别低的任务的干扰。所以在共享计算资源时为了保证各不同关键级别的任务彼此之间不会相互干扰，提出分区的概念，分区是调度、资源分配及隔离的单位，分区占有的所有系统资源由其内的所有进程共享，但分区之间完全实现隔离。

分区级调度的主要特征是：(1)以分区作为调度单元；(2)分区没有优先级；(3)调度算法是预先确定的，按照固定的周期重复，并且只能由系统集成者进行配置。在每个循环中，至少要为分区分配一个分区窗口。

图5 分布式模块化综合电气系统架构

设IMA系统包含n个分区，P={p0,p1,p2,…,pn}，k个处理单元(核或者模块)M={m1,m2,…,mk}。设整个时间轴可以被划分为基本的时间单位tu，是CPU的分配的最小单位，时间可以被描述为一个无限集合T=N×tu，N为自然数。因此，分区系统的调度基本问题就可以被描述为函数s:M×T→P，即在给定的时刻t=ktu，系统中某一模块m∈M上运行分区pt=s(m,t)∈P。对于任意一个分区p∈P，它具有如下的属性：

1)TP∈T是分区的执行周期；

2)bp是分区的时间预算，也就是该分区的最坏执行时间；

3)mp表示分区的内存预算，它是分区运行过程中需要的最大内存需求；

4)tp表示分区第一次被执行的开始时间。

从DIMA架构的时空隔离性角度看，每个分区只能在一个处理单元上执行，并且分区执行具有严格周期性。一个处理单元上不同的分区可以有不同的执行周期。一个处理单元上的所有的分区的执行周期的最小公倍数构成整个处理单元的一个大的周期，这个周期被称为分区系统的主时间帧，整个系统以此为周期进行调度。

1)分区分配约束分析

分区分配问题可以简单地归结为找到一个恰当的函数，将一个处理单元分配给每个分区，并且确保分区总是在一个处理单元上执行。这个分配函数不考虑时间属性问题，仅考虑一个分区应当被分配哪个处理单元执行。因此，这个分配问题可以表示为n×k的矩阵A=P×M，A的每个元素的值域为{0,1}，使得

∃t∈T,s(pi,t)=mj=>ai,j=1

否则ai,j=0。

考虑到系统的使用效率以及可能存在的隐蔽通信信道带对时间隔离和空间隔离的破坏，限制每个分区仅在一个处理单元上执行，这构成一个新的约束。该约束可以形式化地被描述为：

2)分区调度约束分析

对于任意分区p∈P，第k次被调度执行的时间间隔：

Ik(tp)=[tp+(k-1)Tp,tp+(k-1)TP+bp]

为了确保可调度性，任意时刻一个处理单元仅可以执行一个分区。因此，对于在一个处理单元上执行的两个分区，调度执行间隔之间不应存在交集。调度约束为：

∀pi,pk∈P,∀m,n∈M,

aij=akj=1=>Im(tpi)∩In(tpk)

对于同一处理单元上运行的两个分区pi,pk∈P，满足调度约束的充分必要条件是当且仅当：

bpi≤(tpi-tpk)modgi,k≤gi,k-bk

式中，gi,k是两个分区的运行周期TPi和TPk的最大公约数。

3)内存资源约束分析

此外，在分区架构上，为了提供空间上的严格隔离，内存资源采用静态分配的机制。作为调度的一个重要约束，必须考虑处理单元上的内存资源是否满足分区调度的需求。内存资源约束可以形式化地表示为：

5.2 分区划分

分区划分如图6所示。

1)同一计算节点上同时包含控制分区和遥测分区，不同关键等级的任务被分配至隔离的分区中，从而共享同一计算资源，每个设备在完成控制任务的同时，还兼顾了附近的遥测功能，减少功能单一的设备，体现了集成化的设计思路。

2) 传统的GNC控制功能和智能控制功能并行，满足智能控制大运算量需求的同时，保证了控制任务的实时性，为运载火箭智能控制的实现提供了计算条件。

3)系统中三模冗余和双模冗余结构并存，发挥分布式系统的优势，当双冗余节点的输出结果不一致时，利用系统中其他计算节点的计算资源(图6 GNC节点中预留的仲裁分区)进行输出结果表决仲裁，虽然减少了一路计算资源，却达到了三模冗余的容错效果。

5.3 分布式层次化容错架构

分布式模块化的综合电子系统架构提供了一个更加灵活的架构，在必要时，通过将系统中空闲的计算资源分配给故障应用实现系统重构，进而提升容错能力[9]。

图6 节点分区和分布式容错架构

下一代运载火箭充分利用了DIMA的架构特点，采用面向分区级、节点级和单机级的多级别、层次化的容错体系架构。与传统的以三模冗余(TMR)为代表的机械式故障吸收硬件容错架构不同，分布式的容错架构充分利用分时分区的特点和处理器的处理能力，在分时分区操作系统支持下，可实现基于迁移机制的系统级容错控制，理论上只要系统中存在处理能力尚有剩余的处理器(或节点)，通过迁移机制均可以实现故障分区或节点的故障恢复。系统的每个节点均可用来辅助其他节点或分区的故障诊断，故障诊断和容错控制首先是分区级，然后节点级，甚至整个节点的信息处理模块故障了，还能由其他节点来完成功能。基于多级的故障诊断机制，软件故障可以被定位到分区级，硬件故障可以被定位到模块级。

迁移机制指的是分区运行环境的迁移、克隆。分区运行环境是分时分区操作系统为各任务建立的运行时环境。分区内核是分布式任务重构方法的基础，其主要功能既包括根据系统功能分配和具体资源分配策略配置要求完成分区的创建、启动、恢复、迁移、克隆等工作，也包括完成资源配置策略的更新、同步等。

如图6所示，通过分布式网络连接的多个节点，被分别配置为系统级节点和单机级节点，单机级节点完成分区级容错，系统级节点完成节点级和系统级容错。各余度节点划分为系统分区和若干用户分区，其中系统分区用于完成冗余用户分区输出仲裁及故障诊断，由运行其中的容错管理任务负责，故障发生时由分布式的分时分区操作系统通过迁移机制辅助实现故障恢复。当一个功能分区的输出数据到来时，容错管理任务负责搜集其它冗余分区(比如三冗余分区的另外两个冗余分区)的数据，按照相关原则进行数据值选取，数据判别的同时故障诊断同步开展，以三冗余分区为例，若三个分区中有一个分区的结果与其他两个不同，超出门限时认为分区异常，容错管理任务首先向本节点操作系统发送冗余域调度信息和重构数据，以后每拍均发送，操作系统首先进行分区重启，并根据重构数据进行分区克隆，失败后搜寻分布式系统中其他可用的计算资源，并发送冗余域调度信息和重构数据，直到目标节点的操作系统返回分区/节点重构正常为止，被恢复的分区/节点下拍开始正常运行。

5.4 软件架构

面向下一代运载火箭的软件架构是分区操作系统支持下的分层软件架构。综合电子系统将分散的功能综合到少量的高性能处理单元上，这在运行环境上较传统嵌入式实时操作系统支持下的软件发生了重大的变化，传统嵌入式实时操作系统[15]支持下，各类软件任务在同一内存空间下运行，一个任务的实效会将导致整个系统的崩溃。分时分区操作系统支持下，各分区之间完全隔离，具有更高的可靠性和安全性，软件架构见图7所示。

5.5 信息交互架构

面向下一代运载火箭的通信总线是一种实时、高速、容错的交换式以太网网络，能够实现冗余的高精度分布式网络时钟同步，并在全局同步时基之上通过“时间触发通信”实现安全关键数据的实时、可靠传输。支持基于时间触发的关键报文和基于事件触发的非关键报文共享总线、混合通信。

图7 分区操作系统支持下的软件架构

1)网络体系架构

总线通信网络体系结构如图8所示，协议层次结构与标准以太网的层次结构类似，内部分为非实时通信和实时通信两部分，其中非实时通信实现标准以太网(IEEE 802.3)数据通信，实时通信实现确定性、强实时通信。

图8 网络体系结构

2)时钟同步

采用硬件方式实现了高精度时钟同步、网络通信调度管理及网络可靠性设计，同步精度达到亚微秒级，满足运载火箭飞行控制实时性要求。

由于系统各节点上电时刻不一致，导致本地时钟处于离散状态，通过时钟同步使离散状态的本地时钟趋同，实现各节点的本地时钟同步，并在通信过程中修正晶振偏差导致的时钟偏差，维持任意两个节点的本地时钟偏差在精度范围内，满足时间触发通信的需求。采用分布式时钟同步的方式，通过同步帧在节点间的交互传递时钟信息，并根据节点中运行的时钟同步策略，全网节点的本地时钟维持高精度同步。

3)通信调度

对于关键指令的传输，采用了时间触发(TT)机制，以保证关键指令的实时传输。时槽是用来传输TT的时间片，时槽的长度应不小于完成对应TT传输所需要的最长时间。

如图9所示，节点的每一个TT数据在通信时均对应唯一的时槽，在网络时钟同步的基础上，通讯周期被划分为若干个有间隔、不重叠的时槽，当时槽的间隔不小于时钟同步精度时，网络能够实现TT的无冲突通信。

图9 时槽划分

通信链路定义了一个逻辑上的单向连接，从一个源节点到一个或多个目标节点。如图10所示，在TT通信时，将信道按时间分成若干片段轮换地给多个通信链路使用。每个时间片由一个通信链路单独占用，在规定的时间内，所有通信链路都可通过时间触发通信实现确定性可靠传输。

5.6 面向下一代运载火箭电气系统架构特点

下一代运载火箭电气系统基本架构特征包括：

1)兼顾经济性的冗余架构。

图10 总线通信调度

基于分时分区技术和高速的数据交换网络，采用较少的冗余资源实现了同等的容错控制能力，比如集成控制单元2的双余度计算资源，通过在集成控制单元1的GNC节点上预留的双冗余仲裁备份分区实现结果不一致时的仲裁表决，从而使得两余度计算资源达到三余度的表决效果。这种设计完全得力于实时交换总线高传输能力的支持。

2)综合化的系统设计。

通过综合化的设计，全箭电气系统设备由标准化通用化的功能模块组合而成，并最终被浓缩至两种集成控制单元基本型。不同的集成控制单元通过通讯系统互联构成航天运载器的电气系统。每个计算节点同时包括控制分区和遥测分区，除完成控制以及自身的自检测功能外，还可以兼顾“周边”相关非智能设备信号的检测，如各种传感器信号、配电信号等，其思想是尽可能多地发挥处理器的“富裕”能力，减少单一功能的单机[4]。

3)更加智能的系统级容错架构。

采用了分布式层次化容错，发挥分布式系统的优势，采用分区级、节点级和系统级的层次化容错控制。充分利用全系统的计算资源，通过任务迁移和系统重构，提升系统对于二度及其以上故障模式的容限度。

4)分布式的系统设计。

各级独立的分布式控制减轻了飞行控制软件的负担，使其更专注于制导与姿态稳定控制；简化了舱段间的电气接口，使得各个舱段之间仅保留总线通信和有限数量的供电等信号[4]，简化了电缆网规模，同时也便于实现部段级独立测试和总装。

5)基于时间触发机制的交换式通信网络

在网络技术、计算机技术以及微电子技术飞速发展的今天，航天飞行器箭载设备功能复杂程度以及信息综合化程度有了极大的变化。对于下一代运载火箭而言，目前航天运输领域普遍采用的以1553B总线为代表的主从式总线已经不能满足电气系统更大规模的数据通信需求和更加智能化的控制及容错需求。基于时间触发机制的交换式数据网络，为解决箭上一体化电气系统高可靠性的数据高速率传输、自主的飞行控制、智能化的容错控制提供了一条新的解决途径。

6 结 论

在面对主流发射市场激烈竞争的局面下，世界各国的火箭研制均采用了模块化组合化的设计思路，采用更少种类的模块组合形成满足不同运载能力需求的构型，最大程度的降低火箭研制费用，减少产品数量和规模，提高产品配套能力、缩短任务准备周期，简化发射场的使用操作流程，并最终提高运载火箭的市场竞争力，符合当前主流航天发射市场的发展趋势和潮流。本文从系统工程的角度出发，对先进的系统分析方法、设计方法和系统集成方法进行了研究，通过一系列复杂电子系统领域的先进系统分析和设计方法，解决了以重型运载火箭为代表的下一代运载火箭电气系统集成路线和系统架构问题，提出了一个资源配置更加优化、功能分配更加合理的电气系统架构，并据此开展了具体的工程实践。信息技术的发展，提供重新审视控制技术应用现状以及发展方向的机会，在这个背景下，本文的研究内容对于运载火箭的电气系统集成化设计，具有普遍的参考价值。