周 虎，段 然 ，凌 震，李文婷，卢 波

(1. 北京航天自动控制研究所,北京 100854; 2.宇航智能控制技术国家级重点实验室,北京 100854)

0 引言

随着军民融合政策逐步上升为国家战略，航天运输系统的商业化竞争日趋激烈，对型号研制进度、研制经费与研制质量等提出更高的要求。我国传统型号运载器设计采用“系统—分系统—功能单机”的思路，便于集中专业技术力量开展研发工作，但客观上存在集成度低、通用性差等弊端。特别是任务需求、结构组成均类似的型号电气系统实现方式不统一，需要单独研制、生产、验收、试验，在很大程度上造成了各类资源的浪费和设计反复，制约了运载器的低成本和任务快速响应。

综合电子系统 (Integrated Modular Avionics, IMA)的概念发端于航空领域[1]。综合电子系统本质上是一个高度开放的分布式实时计算系统，它以通用综合处理器为核心，通过高速数据总线实现传感器、子系统等信息互联，形成具备“系统结构综合化”和“使用功能综合化”特征的统一控制、调度能力[2]。

国外最新卫星平台大多采用了星载综合电子系统。如法国Thales Alenia Space公司研制的Spacebus 4000平台基于先进Avionics 4000综合电子系统，可由中心计算机通过外部数据总线与接口单元进行信息交互，具有姿轨控、数据管理、供配电等功能[3]。NASA在2010年研制的Orion飞船电子系统同样完全采用综合电子架构，通过飞船管理计算机、高速实时以太网和数据单元共同构成基本的信息传输与处理设备[4]。欧空局下一代运载火箭航电设备演示器计划也提出了航天运载器综合电子系统架构，在该架构下所有的电子设备被抽象为一个模块化信息处理单元(Modular Data Handling Block，MDHB-X)，每个信息处理单元由不同的功能模块组成。不同功能模块的组合实现了具有不同功能的信息处理单元，而各处理单元通过通信系统互联构成航天运载器中的各分系统。这种系统架构采用模块化、通用化的设计理念，可以避免针对不同航天器的重复研发工作，同时有利于实现电子系统的软硬件资源共享[5]。

借鉴国外综合电子设计思路，构建资源与信息共享的统一开放式运载器电气系统体系架构，配合标准化、模块的货架产品实现系统基本功能，仅通过更换个别单元即能够满足不同型号应用需求，便于原系统升级改造和适应运载器多任务特性。特别是能够在保证电气系统可靠性与良好扩展性的前提下，实现系统快速集成，这对于缩短研制周期、降低研制成本、提升装备全生命周期等综合竞争力有着十分明显的作用。

1 电气系统方案

1.1 功能需求

运载器电气系统主要完成导航、制导、控制、测量、检测与诊断、安全自毁、供配电等功能。其本质上是对运载器的各种传感器测量或接收到的各种运动、环境信息按要求进行相应的解算处理，并通过执行机构实现预期控制功能的过程[6]。

某型三级运载器面向深空探测、载人登月等不同任务模式，总装后箭体高度近百米。一方面，要求电气系统采用通用化方案适应运载器各种构型变化的同时，能够基于合理的冗余容错架构保证电气系统的健壮性与长时间在轨可靠飞行能力。另一方面，任务本身对大推力高精度飞行控制、自主弹道规划、故障诊断与自适应控制等能力的客观需求，也对电气系统通过软、硬件资源集成管理与优化配置实现大容量数据传输与高性能计算提出了挑战。

1.2 系统方案

根据系统功能需求，一种基于综合电子系统的三级运载器可行电气系统结构如图1所示。该方案采用分布式集成控制组合模式，运载器各级共配置4台基于VPX结构[7]的控制组合，不同功能单元以标准板卡形式分别插入到组合机箱中。机箱设计通用背板实现功能板卡间的控制与信息交互功能。机箱中信息感知单元是用于获取运载器飞行状态以及内部环境信息等的惯组与测量模块；执行单元主要包括伺服机构控制器、火工品、电磁阀控制器、安控模块等功率控制设备。机箱内信息感知、信息处理以及执行机构驱动单元均采用高可靠的三冗余设计方案。

相比于一、二级，火箭三级电气系统包含安控、卫星导航接收机、惯组、箭机等功能模块，结构与功能实现相对复杂，故配置2台组合机箱。其中，各级电气系统中受安装位置约束，难以集成在组合机箱内的部分设备，如各类传感器、速率陀螺等未在图1中显示。各功能板卡均采取适当的冗余设计方案，以满足系统容错与故障隔离要求。

图1 某型三级运载器电气系统结构Fig.1 Topology of electronic system for launch vehicle with 3 stages

2 系统任务规划

2.1 任务分析

根据功能需求，对电气系统部分任务属性、硬件资源需求、预期的处理时间开销、控制周期等进行分析，如表1所示。其中，周期性信息处理模块的预期开销表示在1GHz的CPU主频下完成该信息处理功能所需要的运行时间。

表1 电气系统任务分析

由表1可知，电气系统各任务关键程度不同，执行周期不同，计算资源开销也不同。由于各类硬件和软件故障情况难以避免，如死线超时、内存破坏、硬件失效等，若直接在普通操作系统中运行系统任务，很可能出现因相互耦合导致部分任务功能失效、乃至影响其他任务特别是制导、姿控任务执行的情况。因此，面向长时间工作及复杂飞行环境下系统级容错控制需求，在传统三模冗余表决机制的基础上，采用少量的计算模块实现同等程度的容错能力，进一步提高系统容错能力和资源利用效率，是必须考虑的问题。

2.2 系统任务分区

以多核处理器为核心，在支持分时分区的嵌入式操作系统，如VxWorks653等管理下实现电气系统应用任务运行时间与资源空间的隔离[8]，是故障自动隔离与系统重构的前提和基础。

以表1中集成组合机箱1为例，采用分区操作系统后，机箱中共集成3块信息处理模块，各信息处理模块资源可做如下划分：

1)自适应制导功能用于完成轨迹重规划等异常情况下应急处理功能，任务周期为2000ms，其他控制任务周期大多为20ms，为不影响其他飞行控制功能实时性，因此将自适应制导功能运行于信息处理模块1中。

2)将惯组、速率陀螺以及其他减载敏感装置数据获取与数据处理功能等运行在独立的信息处理模块2，以降低对飞行控制功能的影响。

3)其他飞行控制功能在信息处理模块3中运行，功能总开销满足控制周期要求。

4)为减小集成控制单元模块数量，每块信息处理模块上均设置3个CPU，各CPU分别配置独立的内存和其他外设，形成硬件三冗余表决方案。

各信息处理模块实现飞控与遥外测功能的同时，还需要考虑健康管理与故障恢复能力。因此，可对各信息处理模块做如下分区规划：

1)模块1设置2个分区，分别为自适应控制和健康管理分区。

2)模块2设置2个分区，分别为导航信息感知和数据处理、健康管理分区。

3)模块3实现主要的飞行控制功能，设置4个分区，分别说明如下：

分区1：导航及摄动制导分区。惯性导航、组合导航以及摄动制导等耦合性较高，为其设置独立分区。

分区2：姿控任务分区。

分区3：射前功能测试分区。包括配电控制、能源管理、系统性能测试等功能在内的独立分区，起飞后该分区功能不再运行。

分区4：健康管理分区。用于集成控制组合全局仲裁与分布式站点管理，完成三取二表决和健康管理功能，通过记录其他任务健康状况，实施故障恢复与容错控制。

3 总线通信体制

机箱内各功能单元之间、机箱之间、箭地设备之间均通过统一的高速实时总线实现互联，以满足大容量数据交互能力并简化电气系统总线设计难度。

3.1 总线拓扑结构

通用的网络拓扑包括星型、线型、环型及总线型结构等。其中星型拓扑所有站点均与交换模块连接。该结构下增加交换模块端口数量即可实现站点扩容，站点间物理连接关系与信息逻辑链路基本一致，组网方便，但考虑交换模块必须布置在箭体三级，受箭体高度影响，该类结构会存在数量可观的长通信线，影响运载器有效载荷能力，且所有数据均通过交换模块转发，交换模块异常会引发全局性通信故障，难以保证系统可靠性要求。相比星型拓扑，线型拓扑结构站点仅与相邻两个站点连接，在节约交换模块的同时，极大地压缩了通信线长度，有利于电缆减重，但串行化通信特点使得除端站点外，其余中间站点均构成单点故障，同样难以满足系统可靠性要求。环型网络在线型拓扑基础上进一步实现站点首尾相连，避免了站点或者链路一度故障引发的通信失效问题，可靠性得到了有效的改善，但信息需经链路上中间站点顺序转发，特别是随着站点规模的增加，总线时延将逐渐增大，影响通信性能。而总线型拓扑节点间通信距离受限的劣势，也使得其难以得到应用。

综合考虑通信距离、箭上线缆质量、通信可靠性等约束条件，如图1所示，运载器电气系统可采用分级混合拓扑结构：箭上各组合机箱内采用双星交换通信模式，组合间、箭地间基于交换机完成线型互联。

该混合拓扑形式有着较为明显的特点：一方面，线型互联模式的应用整体上压缩了箭上线缆质量和规模；另一方面，机箱内双星冗余物理链路保证了系统的易扩展性与通信可靠性，而机箱空间约束与背板走线方式又在客观上进一步优化了线缆长度。

时间触发以太网(Time Triggered Ethernet， TTE)总线是一种基于时间触发机制的以太网总线。TTE基于精确的网络同步协议，各个设备可以根据预先设定的调度表以总线时分复用方式进行时间触发业务的传输，保证了时间触发业务的无竞争性、实时性与传输确定性[9]。TTE采用千兆以太网通信时信号传输延迟<1μs，支持星型和多级网络级联等拓扑结构类型以及通信数据冗余传输，由于能够向下兼容普通以太网，以太网技术的任何进步与性能提升成果(如总线带宽由百兆升级为千兆速率)均可直接应用于电气系统总线设计中而无需额外的验证，因而可作为下一代航天综合电子系统的总线标准，快速构建系统信息交互网络。

3.2 数据流规划

由表1列出的任务分析可知，电气系统信息交互主要分为如下几类：1)关键周期数据。主要为与飞行控制相关的各类信息，如信息处理模块录取的惯组输出、信息处理模块发送到伺服控制器的控制指令等，该类信息周期数据量通常为确定值。2)关键非周期数据。如安全自毁指令、应急变轨指令等，该类信息数据量较小，但通常对任务指令有重要影响，系统必须能够及时传输和响应。3)非关键周期数据。主要为各类测试信息，如测量模块周期性采集的电气系统状态信息；4)非关键非周期数据。如测量模块下传的大流量视频信息等。

由于TTE同时支持TT(Time Triggered,时间触发)、BE(Best Effort，尽力传)、RC(Rate Constraint，速率受限)等3类消息[10]，故可对上述数据做如下规定：

1)关键数据传输一律规划为基于事件触发的TT消息，以保证信息交互的实时性与可靠性。若本周期内无关键非实时数据发送，则预先分配的时间槽可以用于BE或者RC消息传输。

2)非关键周期数据规划为速率受限的RC消息传输，防止其对关键数据传输的影响。

3)非关键非周期数据规划为尽力传的BE消息传输，优先级最低。

4)由于硬件采用三冗余设计，存在信源向多个信宿同时发送相同消息的情况。为提高系统有效数据吞吐量，规定此情况下采用组播方式通信。

5)若规划中不同类型消息信源、信宿、消息内容均一致，则合并为高优先级的组播消息传输，以进一步压缩总线上传输的数据量。如TT消息中惯组输出数据同时由测量模块进行采集记录，则不必另行规划RC消息，直接由测量模块读取该组播TT消息即可。

同时包含4类数据的TTE总线消息传输情况如图2所示。

图2 总线消息传输情况Fig.2 Message transmission on TTE bus

3.3 总线冗余信息预处理

TTE总线通过交换机和物理链路的冗余，实现了通信数据双冗余传输。同时硬件层面采用三冗余设计，使得信息处理单元需要对一个控制周期内来自3组信源的信息进行分析处理。

设冗余信源1、2、3经冗余物理链路A、B发送的消息分别为F1A、F1B、F2A、F2B、F3A、F3B。规定帧格式应包含帧序号、信源编码以及数据区校验码，且经冗余链路传输的帧序号应保持一致。以信息处理模块为例，对冗余信息的处理可按如下步骤执行：

1)控制周期内，信息处理模块首先对消息帧序号、信源编码进行判断，若对应信源指定序号的帧消息已经接收并确认消息内容校验正确，则舍弃冗余链路相同帧序号的消息。如信息处理单元先接收到帧序号为1000的F1A消息，并判断帧数据正常，则直接将之视为F1消息，不再接收相同帧序号的F1B消息。

2)信息处理模块在指定时间周期内等待接收来自不同信源的序号为m的消息帧F1、F2、F3；若接收到至少2个以上消息且帧数据校验无误，则采用上述正常数据帧的平均值作为当前信息处理的输入；否则沿用序号为m-1帧的处理结果。

上述预处理方法实质上在数据有效性检测的基础上，实现了信息源的三取二冗余和异常处理，保证了总线传输信息的可靠性。

4 容错处理机制

4.1 冗余容错层级

容错任务负责处理系统各类软硬件故障情况。全局容错由容错分析任务实现，在负责收集检查点的数据和数据状态的基础上，通过同步数据比对、故障定位以及综合处理等步骤完成对单机、功能单元和任务等不同层级的失效情况进行处理。

1)分区级：在每个信息处理模块设置一个系统分区用于冗余分区输出仲裁和本节点的健康状态管理及分区级容错控制，各冗余分区输出的控制信息通过该系统分区进行冗余表决，并同时记录各分区健康状态，在判定分区故障时实施分区级故障恢复。

2)功能单元级：为整个电气系统设置一个系统级管理功能单元，负责管理系统各控制组合内功能单元的健康状态和功能单元层级容错控制，当通过本功能单元内的系统分区无法故障恢复时，系统级管理功能单元将对该故障功能单元实施重启或任务迁移。

3)单机级：当集成控制组合内的所有功能单元均发生故障且无法恢复时，则由系统级管理功能单元实施单机级任务迁移。

4.2 前向冗余机制

由于采用三冗余设计方案，系统启动时冗余任务组中3个相同功能的任务同步运行，并同时设置系统状态的初始检查点。系统运行至关键点则对3个任务的运行状态与计算结果进行比较。若结果一致，则将各任务的当前状态设置为检查点并继续运行；如果3个任务中有一个任务与其他两个任务运行结果不一致且超出门限值，则认为该结果不一致的任务出现运行故障，系统利用正确运行的任务结果数据恢复运行出现故障的任务结果数据，各个任务继续向前运行；若3个任务的运行结果均不一致，则认为3个任务在运行中均出现了故障，因此3个任务都回退至最近的检查点运行。

相比传统基于硬件的三冗余模型中采用“三取二”策略，在软件层面上实现具备前向恢复机制的三任务冗余技术，能够在三任务执行都出现故障时回退至最近的检查点，避免了系统重启，能够很大程度上提高恢复效率和系统容错能力。

5 结论

控制装备全生命周期成本、实现系统快速集成与资源共享是未来运载器电气系统设计的主要方向之一。通用货架产品为电气系统设计提供了价格低廉、性能多样、类型丰富的现场可更换标准功能模块，压缩了各类设计、生产、调试、试验成本，而基于综合电子设计方案又为货架产品的使用提供了应用基础条件。二者相互依赖，共同构成了在运载器电气系统设计采用综合电子架构模式的内在动力，牵引了运载器电气系统沿着集成化、模块化、通用化与标准化的方向快速发展，也为某型运载器电气系统的设计提供了可行途径。