面向交會(huì)對(duì)接任務(wù)的高可靠應(yīng)用軟件設(shè)計(jì)方法

張維瑾 王 青 陳朝暉

1.北京控制工程研究所,北京 100190 2.北京航空航天大學(xué),北京 100191

嵌入式軟件已成為航天型號(hào)產(chǎn)品的重要部分，航天型號(hào)的許多關(guān)鍵、復(fù)雜的功能都由軟件來實(shí)現(xiàn)。在載人航天工程、探月工程、大運(yùn)載火箭和深空探測(cè)等重大航天型號(hào)工程中，軟件發(fā)揮的作用越來越大。航天嵌入式軟件運(yùn)行環(huán)境苛刻，其正確性、可靠性、安全性和容錯(cuò)性尤其重要[1]。

軟件可靠性是在規(guī)定的條件和時(shí)間內(nèi)，軟件不引起系統(tǒng)故障的能力，是軟件工程和可靠性工程相結(jié)合所產(chǎn)生的一個(gè)新分支。在軟件開發(fā)過程中軟件可靠性受到各種不確定因素的影響。另外，軟件可靠性不僅與軟件本身存在的設(shè)計(jì)缺陷有關(guān)，而且與系統(tǒng)輸人和系統(tǒng)使用有關(guān)。軟件可靠性是軟件質(zhì)量特性中的重要特性和關(guān)鍵因素[2]。

1 制約交會(huì)對(duì)接軟件不可靠因素

空間的交會(huì)對(duì)接是指2個(gè)航天器于同一時(shí)間在軌道同一位置以相同速度會(huì)合并在結(jié)構(gòu)上連成一個(gè)整體的過程。從距離上講是一個(gè)由遠(yuǎn)及近的過程，從精度上講是一個(gè)由粗到精的過程，包括兩部分相互銜接的空間操作：空間交會(huì)和空間對(duì)接。

空間交會(huì)對(duì)接控制算法復(fù)雜、控制精度較高、制約性較強(qiáng)，由于存在導(dǎo)航、制導(dǎo)過程，控制對(duì)象多、算法復(fù)雜且受制于時(shí)間和位置的約束，過程不可重復(fù)，使得系統(tǒng)存在多種不可預(yù)計(jì)的控制效果，就需求系統(tǒng)具有更高的可靠性和魯棒性。因此，控制系統(tǒng)嵌入式應(yīng)用軟件對(duì)高可靠性的需求格外迫切[3]。

而交會(huì)對(duì)接系統(tǒng)方案主要通過嵌入式應(yīng)用軟件來實(shí)現(xiàn)，可以說它是系統(tǒng)的靈魂所在，其環(huán)境和任務(wù)需求對(duì)控制軟件提出了較高的可靠性需求，直接關(guān)系到交會(huì)對(duì)接任務(wù)的成敗。

交會(huì)對(duì)接嵌入式應(yīng)用軟件屬于計(jì)算密集型，其算法復(fù)雜，代碼量巨大，約十幾萬行。接口和任務(wù)功能繁多，邏輯關(guān)系復(fù)雜。這給研究其工作過程的軟硬件失效模式和失效機(jī)理帶來了困難。進(jìn)一步歸納可知，軟件具有如下特點(diǎn)：

1)實(shí)時(shí)性要求：由于控制系統(tǒng)存在較高的實(shí)時(shí)性要求，這就要求程序必須在約定的控制周期內(nèi)完成所規(guī)定的任務(wù)。推理和計(jì)算的正確不僅依賴于邏輯的正確，而且依賴于結(jié)果產(chǎn)生的時(shí)間及其順序；

2)高可靠性要求：系統(tǒng)發(fā)生異常情況下，要及時(shí)正確地處理錯(cuò)誤故障；

3)運(yùn)行環(huán)境惡劣：空間環(huán)境導(dǎo)致程序內(nèi)存被異常修改，程序無法正確執(zhí)行；

4)資源受限：嵌入式計(jì)算機(jī)的處理器和內(nèi)存都受到嚴(yán)格的限制，在資源受限的前提下，軟件既要保證功能的完整性和正確性，又要保證系統(tǒng)的安全性和可靠性；

5)結(jié)構(gòu)復(fù)雜：嵌入式軟件必須具有及時(shí)處理隨機(jī)故障事件的能力，同時(shí)，所有運(yùn)行程序與外部設(shè)備聯(lián)機(jī)運(yùn)行。控制系統(tǒng)輸入輸出的設(shè)備數(shù)量多、類型各異，通信方式不同，協(xié)議復(fù)雜、實(shí)時(shí)性要求高。這些都使嵌入式軟件系統(tǒng)結(jié)構(gòu)復(fù)雜，安全性和可靠性問題突出。

2 軟件可靠性設(shè)計(jì)方法

2.1 避錯(cuò)方法

在軟件設(shè)計(jì)過程中，為實(shí)現(xiàn)避錯(cuò)設(shè)計(jì)采取了一系列措施。這些措施圍繞著避錯(cuò)設(shè)計(jì)，以預(yù)防為主，重點(diǎn)關(guān)注變換過程。

(1)控制和減少程序復(fù)雜性

在設(shè)計(jì)時(shí)，應(yīng)采用結(jié)構(gòu)化設(shè)計(jì)方法，通過提高內(nèi)聚度和降低耦合度，使系統(tǒng)程序盡量層次化，模塊化，減少模塊間的耦合。

(2)輸入或輸出異?？刂?/p>

1)合理的值域控制。

應(yīng)預(yù)先規(guī)定變量的定義域，在運(yùn)行時(shí)要予以核查。同時(shí)必須對(duì)參數(shù)、數(shù)組下標(biāo)和循環(huán)變量進(jìn)行值域檢查。

2)數(shù)值運(yùn)算范圍控制

數(shù)學(xué)公式用計(jì)算機(jī)程序?qū)崿F(xiàn)時(shí)，一定要保證輸入、輸出及中間運(yùn)算結(jié)果不超出機(jī)器的數(shù)值運(yùn)算范圍。

3)精度控制

精度控制是指要保證運(yùn)算所要求的精度。這就要考慮計(jì)算誤差和舍入誤差，選定數(shù)據(jù)足夠的有效位數(shù)。

(3)迅速查找和改正變換錯(cuò)誤

程序設(shè)計(jì)時(shí)要滿足條件簡(jiǎn)單、邏輯清晰、層次分明等要求，盡量將一些可能發(fā)生變化或需要經(jīng)常修改的部分放在少數(shù)幾個(gè)模塊中。這樣，在改正時(shí)才不至于擴(kuò)大影響域。

2.2 查錯(cuò)方法

查錯(cuò)是以隔離為主，為了盡可能把非法輸入隔離在控制流程之外，在軟件設(shè)計(jì)過程中應(yīng)采取有效措施。

(1)數(shù)據(jù)檢查

1)數(shù)據(jù)傳輸正確性檢查

從外部取得的數(shù)據(jù)，接收到這些數(shù)據(jù)后，要先判斷接收數(shù)據(jù)正確性，確認(rèn)其正確性后再使用。

2)數(shù)據(jù)有效性檢查

任何數(shù)據(jù)都必須規(guī)定其合理的范圍,如果數(shù)據(jù)超出了規(guī)定的范圍，就必須進(jìn)行錯(cuò)誤處理。

(2)故障診斷

對(duì)敏感器和執(zhí)行機(jī)構(gòu)等進(jìn)行失效判斷，判斷出故障后，軟件自主進(jìn)行部件級(jí)或系統(tǒng)級(jí)的切換，防止故障導(dǎo)致災(zāi)難性后果。

(3)記錄故障數(shù)據(jù)

為了使地面能夠得到引發(fā)系統(tǒng)故障的相關(guān)信息，正確分析故障,采取對(duì)策，及時(shí)查錯(cuò)排錯(cuò)，程序可以根據(jù)任務(wù)要求存儲(chǔ)異常事件發(fā)生前后的關(guān)鍵數(shù)據(jù)并傳輸?shù)降孛妗?/p>

2.3 糾錯(cuò)方法

糾錯(cuò)主要針對(duì)系統(tǒng)中運(yùn)行時(shí)可能發(fā)生的問題，以在軌改正、對(duì)其根治為目的，在軟件設(shè)計(jì)過程中采取措施。實(shí)施糾錯(cuò)措施的前提必須是已經(jīng)準(zhǔn)確地找出軟件錯(cuò)誤的起因和部位，程序又有能力修改、剔除有錯(cuò)誤的語句。

(1)在軌修改程序

如果在軌飛行期間，發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)、軟件設(shè)計(jì)缺陷，則需要在軌修改程序，達(dá)到修復(fù)缺陷繼續(xù)運(yùn)行的目的。軟件要為可能修改的模塊留有修改入口，需要時(shí)將替換程序注入RAM區(qū)，軟件運(yùn)行到該處時(shí)進(jìn)入到相應(yīng)的RAM區(qū)的程序段運(yùn)行。啟用替換程序前，需要驗(yàn)證RAM區(qū)的替換程序與地面注入的替換程序是否一致，可通過內(nèi)存下卸或計(jì)算累加和等方法來驗(yàn)證。

(2)在軌修改參數(shù)

對(duì)于重要的控制參數(shù),通過地面遙控注入進(jìn)行參數(shù)修正。如果系統(tǒng)具有在軌注入修改內(nèi)存的功能，也可將部分參數(shù)定義為變量，通過在軌注入修改內(nèi)存的方式修改。

2.4 容錯(cuò)方法

容錯(cuò)主要針對(duì)軟件運(yùn)行環(huán)境發(fā)生的問題，以不影響系統(tǒng)正常運(yùn)行為目的，在軟件設(shè)計(jì)過程中依靠系統(tǒng)資源的冗余采取必要措施。

(1)信息冗余容錯(cuò)處理

1)單粒子翻轉(zhuǎn)

RAM中的重要程序和數(shù)據(jù)存儲(chǔ)在3個(gè)互相間隔的區(qū)域，運(yùn)行這些程序或使用這些數(shù)據(jù)前，都要通過三取二來裁決。

2)信號(hào)干擾

程序工作狀態(tài)進(jìn)行重要變換之前，如果變換的依據(jù)信號(hào)來源是唯一的，那么要對(duì)該信號(hào)進(jìn)行多次判斷，在其持續(xù)有效后才能進(jìn)行變換，防止誤判誤轉(zhuǎn)。

3)接口故障

軟件應(yīng)充分估計(jì)接口的各種可能故障，并采取相應(yīng)的措施。應(yīng)特別加入合理的通信最大等待時(shí)間，防止程序運(yùn)行超時(shí)，使應(yīng)用軟件運(yùn)行更穩(wěn)定。

4)錯(cuò)誤操作

軟件應(yīng)能判別重要注入指令的正確性，在遇到非法指令時(shí)拒絕執(zhí)行該操作。

5)計(jì)算機(jī)復(fù)位

軟件復(fù)位后，重要的是如何盡可能的使系統(tǒng)恢復(fù)到復(fù)位前的狀態(tài)。部分?jǐn)?shù)據(jù)對(duì)于恢復(fù)系統(tǒng)狀態(tài)十分重要，將這些重要數(shù)據(jù)異地存儲(chǔ)，在軟件復(fù)位后取回。

6)計(jì)算數(shù)據(jù)異常

軟件在運(yùn)行過程中，對(duì)于重要的積分變量，應(yīng)保護(hù)其歷史數(shù)據(jù)，以備數(shù)據(jù)異常時(shí)使用。對(duì)于關(guān)鍵部件計(jì)算結(jié)果，應(yīng)剔除超出閥值的數(shù)據(jù)，或?qū)⑵湎拗圃陂y值范圍內(nèi)，保證程序運(yùn)行的正確性。

(2)N版本冗余容錯(cuò)處理

如圖1所示，N版本程序設(shè)計(jì)由N個(gè)實(shí)現(xiàn)相同功能的相異程序和1個(gè)管理程序組成，各版本先后運(yùn)算出來的結(jié)果相互比較表決，輸出決策。同時(shí)應(yīng)選用各種不同的實(shí)現(xiàn)手段和方法來保證版本的強(qiáng)制相異，以減少共因故障[4]。

圖1 N版本程序設(shè)計(jì)結(jié)構(gòu)

3 交會(huì)對(duì)接軟件可靠性設(shè)計(jì)

3.1 避錯(cuò)設(shè)計(jì)

(1) 系統(tǒng)模式管理的安全性設(shè)計(jì)

為避免遙控、程控等指令誤操作而使程序進(jìn)入異常模式，軟件設(shè)計(jì)三級(jí)段標(biāo)，采用樹形結(jié)構(gòu)，以段標(biāo)區(qū)分模式，在不同模式下分別管理。在進(jìn)行模式初始化時(shí)，將那些能夠結(jié)束該模式的外部端口信息和軟件標(biāo)志清除，并在該模式的管理模塊中只檢查此模式下允許接收的相關(guān)信息。這樣，既保證按照各種指令和預(yù)定程序進(jìn)行各個(gè)模式之間的靈活切換，又能防止誤操作給系統(tǒng)帶來負(fù)面影響，模塊功能穩(wěn)定可靠，同時(shí)，軟件容易擴(kuò)展，可維護(hù)性好。

如圖2所示，在相對(duì)位置保持子模式下，對(duì)所查詢的對(duì)接允許和對(duì)接禁止兩種互斥指令，查詢到一種指令有效后隨即清除另一種指令，避免產(chǎn)生兩種互斥指令同時(shí)有效的情況。

(2)避免死循環(huán)

為避免系統(tǒng)或外部硬件故障而使程序中使用數(shù)據(jù)異常，造成程序死循環(huán)或運(yùn)行超時(shí)而跑飛。具體設(shè)計(jì)過程中，除主循環(huán)外，避免其它程序運(yùn)行死循環(huán)，設(shè)定預(yù)先可知的循環(huán)次數(shù)，或設(shè)定最大的循環(huán)次數(shù)。

(3)默認(rèn)分支設(shè)計(jì)

為避免SEU、電磁干擾等，程序執(zhí)行異常分支。分支設(shè)計(jì)時(shí)保證異常分支默認(rèn)執(zhí)行最安全或最大可能路徑。條件判斷時(shí)，合理選擇判“真”還是“非假”，判“假”還是“非真”。盡量不出現(xiàn)“非真”也“非假”的冗余分支，各程序分支均應(yīng)有出口。

(4)標(biāo)志量的表示和判斷

為避免SEU、電磁干擾等引起的標(biāo)志量數(shù)據(jù)錯(cuò)誤，尤其是重要標(biāo)志量的改變會(huì)造成程序的重大運(yùn)行狀態(tài)的改變。具體設(shè)計(jì)時(shí)增大標(biāo)志量表示的碼距，用一個(gè)字節(jié)作標(biāo)志。如：用“CCH”作“1”標(biāo)志，用“33H”作“0”標(biāo)志，對(duì)于部分重要標(biāo)志，用“10H”和“EFH”分別表示“0”和“1”兩種狀態(tài)，這樣可以允許有2位誤碼。

(5)8087內(nèi)部棧的保護(hù)

為避免8087棧溢出，低級(jí)中斷使用8087前，對(duì)8087現(xiàn)場(chǎng)進(jìn)行保護(hù)，重新初始化8087。8087協(xié)處理器中包含8個(gè)循環(huán)使用的棧，設(shè)計(jì)和實(shí)現(xiàn)時(shí)要保證使用棧數(shù)目不超過8個(gè)。

(6)通信前空讀串口緩沖區(qū)

為避免接口通信干擾，防止接收緩沖區(qū)因干擾等原因存在多余數(shù)據(jù)，控制器與串口緩沖區(qū)通信之前要先空讀一下接收緩沖區(qū)，以使8252的DR(Data Ready)復(fù)位，再進(jìn)行通信。

(7)“看門狗”程序

為避免程序走死走飛，軟件復(fù)位、狗咬計(jì)數(shù)、切機(jī)對(duì)控制系統(tǒng)產(chǎn)生的影響，設(shè)計(jì)狗咬邏輯?！翱撮T狗”時(shí)間長(zhǎng)度設(shè)計(jì)：T=2～3“主程序”循環(huán)時(shí)間或T=2～2.5 時(shí)間片。

3.2 查錯(cuò)設(shè)計(jì)

(1)數(shù)據(jù)剔野

為避免瞬間干擾引起的數(shù)據(jù)錯(cuò)誤。若本周期數(shù)據(jù)與上一周期相比大于規(guī)定閥值，且連續(xù)出現(xiàn)次數(shù)小于N次時(shí)，則本周期數(shù)據(jù)采用上一周期的數(shù)據(jù)，剔除本周期的野值。N取值不宜過大，否則容易掩蓋超差故障，通常N取3,5,10等。

(2)數(shù)據(jù)限幅

為避免瞬間干擾引起的數(shù)據(jù)錯(cuò)誤，應(yīng)檢查數(shù)據(jù)的取值范圍，若超出規(guī)定的合理范圍，則在限幅后繼續(xù)使用。數(shù)據(jù)若在規(guī)定的取值范圍之內(nèi)，不對(duì)數(shù)據(jù)進(jìn)行處理。限幅數(shù)據(jù)的選取主要為系統(tǒng)的輸入、輸出數(shù)據(jù)及姿態(tài)數(shù)據(jù)。

(3)數(shù)據(jù)校驗(yàn)保護(hù)

為避免非法訪問、電磁干擾造成重要數(shù)據(jù)改變，及通信中接收到錯(cuò)誤數(shù)據(jù)。程序設(shè)計(jì)時(shí)采用校驗(yàn)編碼存儲(chǔ)、更改、傳送、使用等必須校驗(yàn)操作。

(4)數(shù)據(jù)異常的判別

為避免參與FLOAT運(yùn)算數(shù)據(jù)異常，導(dǎo)致程序浮點(diǎn)運(yùn)算異常，在該量參與計(jì)算前先判數(shù)據(jù)有效性或?qū)εc其共同運(yùn)算的變量進(jìn)行處理，防止直接參與FLOAT運(yùn)算錯(cuò)誤。

(5)標(biāo)準(zhǔn)值比較

為避免運(yùn)算出錯(cuò)，控制計(jì)算異常，通過將關(guān)鍵部件計(jì)算結(jié)果與標(biāo)準(zhǔn)值比較，將標(biāo)準(zhǔn)值閾值范圍之外的計(jì)算結(jié)果屏蔽于系統(tǒng)之外，防止將錯(cuò)誤結(jié)果引入系統(tǒng)。

(6)避免通信過程被打斷的處理

為避免數(shù)據(jù)通信過程被高優(yōu)先級(jí)中斷打斷，針對(duì)不同的通信時(shí)長(zhǎng)設(shè)計(jì)2種數(shù)據(jù)通信方式。對(duì)于通信速率較高、通信時(shí)間較短的數(shù)據(jù)接口，可在通信過程中采用關(guān)中斷方式；對(duì)于通信速率較低的數(shù)據(jù)接口，可進(jìn)行通信檢查，若通信失敗則進(jìn)行二次通信。

3.3 糾錯(cuò)設(shè)計(jì)

(1)在軌參數(shù)修改

軟件設(shè)計(jì)過程中對(duì)于重要的控制參數(shù)，例如，軌道參數(shù)、相平面控制參數(shù)、陀螺、紅外、太陽修正系數(shù)、發(fā)動(dòng)機(jī)參數(shù)、相對(duì)導(dǎo)航敏感器參數(shù)等，可以通過地面遙控注入，靈活進(jìn)行參數(shù)修正。

(2)容錯(cuò)系統(tǒng)糾錯(cuò)

充分利用三機(jī)熱冗余結(jié)構(gòu)，設(shè)計(jì)多態(tài)變量，保證容錯(cuò)數(shù)據(jù)幀的識(shí)別能力，使系統(tǒng)具備多機(jī)熱冗余相互糾錯(cuò)的能力。

(3)數(shù)據(jù)備份及恢復(fù)

對(duì)于交會(huì)對(duì)接過程中使用的相對(duì)位置導(dǎo)航數(shù)據(jù)等重要數(shù)據(jù)，要求具有數(shù)據(jù)備份及恢復(fù)的能力，對(duì)檢測(cè)到的錯(cuò)誤數(shù)據(jù)，使用備份數(shù)據(jù)進(jìn)行恢復(fù)。

3.4 容錯(cuò)設(shè)計(jì)

(1)數(shù)據(jù)防抖動(dòng)處理

為避免硬件開關(guān)觸點(diǎn)瞬間抖動(dòng)，具體程序設(shè)計(jì)過程中，連續(xù)N次取值全為真。

(2)通信超時(shí)限制

為避免信息交換、接口握手失敗，進(jìn)行限時(shí)檢測(cè)，超時(shí)處理，加入合理的通信最大等待時(shí)間。

(3)重要數(shù)據(jù)互備

為避免系統(tǒng)復(fù)位造成重要數(shù)據(jù)丟失，前后臺(tái)計(jì)算機(jī)之間的重要數(shù)據(jù)相互備份，維持系統(tǒng)運(yùn)行數(shù)據(jù)和系統(tǒng)配置狀態(tài)的數(shù)據(jù)。

(4)數(shù)據(jù)三取二容錯(cuò)處理

為避免SEU、電磁干擾造成RAM錯(cuò)誤。關(guān)鍵數(shù)據(jù)存儲(chǔ)于3個(gè)相同結(jié)構(gòu)的數(shù)據(jù)區(qū)中，程序在使用前，采用三取二表決方法，并刷新三區(qū)數(shù)據(jù)。

(5)空余RAM陷阱設(shè)計(jì)

為避免程序指針I(yè)P誤入引起走死走飛。填充HULT或關(guān)中斷指令(如8086單字節(jié)指令FAH，F(xiàn)4H)，強(qiáng)迫引起“狗咬”(操作系統(tǒng)+進(jìn)程 結(jié)構(gòu))，填充NOP和跳轉(zhuǎn)到程序開始(順序編程結(jié)構(gòu))。

(6)上電、復(fù)位處理

為避免上電、復(fù)位、切機(jī)過程中系統(tǒng)運(yùn)行異常。應(yīng)用軟件采取相應(yīng)的初始化和安全措施，確保系統(tǒng)正常運(yùn)行。

(7)改進(jìn)的N版本容錯(cuò)處理

交會(huì)對(duì)接嵌入式應(yīng)用軟件采用三機(jī)熱備份容錯(cuò)結(jié)構(gòu)，為保證容錯(cuò)系統(tǒng)的可靠性和完備性，著重對(duì)容錯(cuò)策略、交換數(shù)據(jù)類型和時(shí)序、三機(jī)運(yùn)行同步等方面進(jìn)行了改進(jìn)設(shè)計(jì)，相比于傳統(tǒng)的N版本方法，不僅降低了軟硬件的開發(fā)成本，而且還縮短了軟件的研制周期。

1)設(shè)計(jì)合理的交換時(shí)序

根據(jù)硬件環(huán)境特點(diǎn)，設(shè)計(jì)合理的交換數(shù)據(jù)發(fā)送、接收時(shí)序，保證各機(jī)時(shí)序的同步性及交換數(shù)據(jù)的完整性。如圖3所示，選擇的數(shù)據(jù)在交換時(shí)即保證控制信息的及時(shí)輸出，又能使本周期的容錯(cuò)結(jié)果在當(dāng)拍就起作用。

2)根據(jù)不同飛行階段的任務(wù)需求，設(shè)計(jì)選擇交換數(shù)據(jù)及容差

根據(jù)各種飛行模式，特別針對(duì)交會(huì)對(duì)接的各個(gè)階段的任務(wù)需求，選取不同的關(guān)鍵導(dǎo)航數(shù)據(jù)和涉及安全的狀態(tài)變量，共設(shè)計(jì)了9類交換數(shù)據(jù)，分別對(duì)應(yīng)不同的容差階段標(biāo)志，在不同的飛行階段進(jìn)行交替比對(duì)。

為保證所設(shè)計(jì)的容限合理，魯棒性及準(zhǔn)確性強(qiáng)，具體設(shè)計(jì)過程中綜合分析控制精度要求和實(shí)際敏感器采樣誤差及計(jì)算誤差，避免系統(tǒng)不必要的頻繁切機(jī)。

圖4即為導(dǎo)航計(jì)算相對(duì)位置三機(jī)容限后的曲線。

圖4 相對(duì)導(dǎo)航數(shù)據(jù)容限曲線

3)設(shè)計(jì)數(shù)據(jù)容錯(cuò)策略

對(duì)容差數(shù)據(jù)實(shí)行分類制度，根據(jù)系統(tǒng)實(shí)際運(yùn)行過程中可能出現(xiàn)的各種情況，給出不同的容錯(cuò)策略，予以區(qū)別對(duì)待。

表1 交會(huì)對(duì)接數(shù)據(jù)容錯(cuò)策略

4)交會(huì)對(duì)接模式下的關(guān)聯(lián)邏輯設(shè)計(jì)

在交會(huì)對(duì)接模式下，系統(tǒng)需進(jìn)行容錯(cuò)處理的數(shù)據(jù)類型較多，受限于每周期交換數(shù)據(jù)量及運(yùn)行時(shí)間約束，將各類數(shù)據(jù)分3個(gè)控制周期進(jìn)行比對(duì)，同時(shí)為保證容錯(cuò)策略的連貫性，對(duì)多周期交換數(shù)據(jù)進(jìn)行關(guān)聯(lián)，防止由于錯(cuò)拍數(shù)據(jù)故障而引發(fā)的漏判。

關(guān)聯(lián)邏輯流程如圖5所示。

圖5 關(guān)聯(lián)邏輯流程

4 結(jié)論

針對(duì)航天控制系統(tǒng)軟件實(shí)時(shí)性要求高、可靠性要求高、運(yùn)行環(huán)境惡劣、資源受限和結(jié)構(gòu)復(fù)雜的特點(diǎn)，深入開展了面向交會(huì)對(duì)接任務(wù)的高可靠嵌入式系統(tǒng)軟件可靠性方面的分析與研究工作。

在交會(huì)對(duì)接嵌入式應(yīng)用軟件研制過程中，在嚴(yán)格遵循軟件工程化的基礎(chǔ)上，結(jié)合軟件避錯(cuò)、容錯(cuò)、檢錯(cuò)和糾錯(cuò)技術(shù)進(jìn)行軟件設(shè)計(jì)，將其運(yùn)用到實(shí)際研制過程中，從而有效提高了系統(tǒng)的可靠性。

[1] 龔慶祥．型號(hào)可靠性工程手冊(cè)[M]．北京：國(guó)防工業(yè)出版社，2007.

[2] 賈慶忠，劉永善，劉藻珍．彈載嵌入式系統(tǒng)軟件可靠性設(shè)計(jì)[J]．微計(jì)算機(jī)信息，2007，23(26):12-14.(JIA Qingzhong，LIU Yongshan，LIU Zaozhen.Implementation of the Dependability for Embedded Software Used in Missile[J].Micro-computer Information,2007，23(26): 12-14.)

[3] 阮廉，陸民燕，韓峰巖．裝備軟件質(zhì)量和可靠性管理[M]．北京：國(guó)防工業(yè)出版社，2006.

[4] Wrence J D. Software Safety Hazard Analysis[M].Lawrence Livermore National Laboratory,1995.