航天真空熱試驗(yàn)測控平臺可靠性保障技術(shù)探討

熊葉青，張樹東，韋 冰

（首都師范大學(xué) 信息工程學(xué)院，北京100048）

0 引 言

航天活動中的測控任務(wù)等關(guān)鍵業(yè)務(wù)量的增長和對服務(wù)質(zhì)量要求的提高，高可靠性、高可用性和易維護(hù)性日益成為航天測控系統(tǒng)的設(shè)計(jì)目標(biāo)。而軟件可靠性已變得越來越重要，特別是對于安全關(guān)鍵和任務(wù)關(guān)鍵的系統(tǒng)尤其如此。航天器組件日趨復(fù)雜化，高可靠性和高自動化的真空熱試驗(yàn)是保證航天器組件質(zhì)量的重要環(huán)節(jié)之一。其測控平臺主要承擔(dān)著航天器真空熱試驗(yàn)時的溫度測量、空間外熱流模擬、航天器溫度控制等關(guān)鍵任務(wù)。高可靠的測控平臺，是航天器在地面成功實(shí)現(xiàn)各類空間環(huán)境試驗(yàn)不可或缺的，對掌握航天器的環(huán)境適應(yīng)性，保證航天器質(zhì)量，確保航天活動正確進(jìn)行具有重要作用。從提高軟件的可靠性角度出發(fā)，針對測控平臺的實(shí)時性特點(diǎn)，本文提出了一種分布式四層架構(gòu)模型，該模型遵循高內(nèi)聚低耦合的原則，在測控系統(tǒng)中具有廣泛地適用性。

1 可靠性技術(shù)的研究

目前軟件可靠性技術(shù)主要可以劃分成三類：避錯技術(shù)，排錯技術(shù)和容錯技術(shù)［1］。通常軟件錯誤需要經(jīng)歷軟件錯誤，軟件缺陷，軟件故障和軟件失效這一過程才能最終導(dǎo)致軟件功能的部分或全部失效［2］。因此，在軟件設(shè)計(jì)階段，我們應(yīng)從軟件源頭入手，減少軟件錯誤的產(chǎn)生；同時，一旦錯誤產(chǎn)生，應(yīng)該在演變過程中設(shè)置不同的屏障，防止錯誤的蔓延和擴(kuò)展。

1.1 避錯技術(shù)

避錯技術(shù)是指采用正確的設(shè)計(jì)和質(zhì)量控制方法盡量避免把故障引進(jìn)系統(tǒng)以及盡量減少各模塊的失效率，它主要采用設(shè)計(jì)方法學(xué)來使得軟件盡可能的無錯。因此，避錯技術(shù)通常包括軟件說明書設(shè)計(jì)，軟件結(jié)構(gòu)設(shè)計(jì)，模塊設(shè)計(jì)，健壯性設(shè)計(jì)，編程風(fēng)格等可靠性設(shè)計(jì)。

（1）軟件結(jié)構(gòu)設(shè)計(jì)。軟件結(jié)構(gòu)設(shè)計(jì)分為系統(tǒng)結(jié)構(gòu)設(shè)計(jì)和程序結(jié)構(gòu)設(shè)計(jì)。前者是把大而復(fù)雜的軟件系統(tǒng)分解成子系統(tǒng)，主要有分層抽象法，模式驅(qū)動法，領(lǐng)域驅(qū)動法等；后者的任務(wù)側(cè)重于定義程序的全部模塊、模塊間的優(yōu)先結(jié)構(gòu)及模塊間的接口關(guān)系。

（2）模塊化設(shè)計(jì)。模塊化設(shè)計(jì)中，系統(tǒng)模塊化分解后，各個模塊之間的耦合度是影響模塊獨(dú)立性，即影響避錯設(shè)計(jì)的一個重要因素。在軟件開發(fā)過程中應(yīng)該嚴(yán)格遵守高內(nèi)聚、低耦合的軟件設(shè)計(jì)原則。文中利用模塊化設(shè)計(jì)方案對基于DSP的無人機(jī)導(dǎo)航系統(tǒng)軟件進(jìn)行實(shí)現(xiàn)，提高了系統(tǒng)的實(shí)時性，可繼承性和維護(hù)性［3］。

（3）健壯性設(shè)計(jì)。健壯性設(shè)計(jì)主要是使系統(tǒng)能夠抵御各種外界干擾，防止錯誤輸入和錯誤操作等不確定性因素造成系統(tǒng)錯誤，如.net數(shù)據(jù)驗(yàn)證技術(shù)、正則表達(dá)式等都能夠?qū)Ψ欠ㄝ斎脒M(jìn)行分類處理，阻止錯誤向系統(tǒng)內(nèi)部轉(zhuǎn)移，起到屏蔽軟件錯誤的作用。

避錯技術(shù)是提高系統(tǒng)可靠性的第一道防線，在軟件錯誤演變過程中起著減少軟件錯誤的重要作用。文中提出了一種軟件故障診斷過程框架，將軟件故障檢測、故障定位、故障排除等活動集成在一起，把這種框架設(shè)計(jì)用于實(shí)際的軟件故障診斷，驗(yàn)證了其有效性.避錯設(shè)計(jì)在系統(tǒng)軟件設(shè)計(jì)中合理運(yùn)用對提高系統(tǒng)可靠性具有重要的應(yīng)用［4］。

1.2 排錯技術(shù)

排錯技術(shù)的使用能夠大幅度地提高軟件的可靠性，但當(dāng)軟件系統(tǒng)很復(fù)雜時，很難通過計(jì)算機(jī)語言用形式化的方法把它們合理地表達(dá)出來，因此需要采用查錯，糾錯等手段，排除系統(tǒng)錯誤。

（1）軟件測試技術(shù)：軟件測試的目的在于發(fā)現(xiàn)程序中的錯誤，盡可能提高代碼的正確性和健壯性?？煽啃詼y試過程中搜集到的測試數(shù)據(jù)是評估軟件可靠性水平的重要依據(jù)。常用錯誤密度、出錯率和缺陷指數(shù)等指標(biāo)來確定系統(tǒng)是否進(jìn)行了足夠的測試。設(shè)測試時間周期T 內(nèi)，第i次代碼測試發(fā)現(xiàn)的錯誤數(shù)為ni，則總錯誤數(shù)為NT＝∑ini；錯誤密度 （nd）表示每千行源代碼 （kLOC）的錯誤率，則有nd＝NT／kLOC；出錯率 （nr）表示每單位時間內(nèi)的出錯數(shù)，則nr＝NT／T，缺陷指數(shù) （nq）表示錯誤的嚴(yán)重程度。測試過程中每次發(fā)現(xiàn)的錯誤，我們可以區(qū)分為嚴(yán)重錯誤、中等錯誤和輕度錯誤三類，并分別賦予不同的錯誤權(quán)重w1，w2，w3。設(shè)第i次測試的錯誤數(shù)ni中，發(fā)現(xiàn)的嚴(yán)重錯誤數(shù)是hi，中間錯誤數(shù)是mi，輕度錯誤數(shù)是li，則該次測試的缺陷指數(shù)定義為pi＝（w1×hi＋w2×mi＋w3×li）／ni。若考慮軟件生命周期各個階段的權(quán)重，設(shè)第i次測試的階段權(quán)重為qi，則在測試時間周期T 內(nèi)的缺陷指數(shù)是：Nq＝∑i（qi×pi）／kLOC。

測試過程中對這些可靠性測試指標(biāo)的確定，不僅有利于評估軟件可靠性水平，同時有利于建立軟件可靠性模型對軟件可靠性進(jìn)行預(yù)測。

（2）軟件可靠性模型：通過軟件測試，我們可以獲得系統(tǒng)的錯誤數(shù)據(jù)、失效數(shù)據(jù)、缺陷數(shù)據(jù)等，結(jié)合這些數(shù)據(jù)，有助于軟件可靠性模型的建立。

軟件可靠性模型是軟件可靠性定量評估技術(shù)的核心，能夠幫助我們對軟件可靠性進(jìn)行測試、評價、估測及驗(yàn)證。Martin等提出了基于模型開發(fā)和自動化驗(yàn)證的方法，該方法符合歐洲標(biāo)準(zhǔn)ECSS－E－ST－40C系列，適合航空航天領(lǐng)域中安全性至關(guān)重要的軟件開發(fā)和測試［5］。Long等利用軟件可靠性增長模型跟蹤和預(yù)測軟件可靠性增長用于提高軟件質(zhì)量［6］。

（3）故障檢測技術(shù)：故障檢測是容錯的前提和基礎(chǔ)。我國針對某一號衛(wèi)星的可靠性專門設(shè)計(jì)了智能故障診斷系統(tǒng)，該系統(tǒng)采用XML語言對任務(wù)失效準(zhǔn)則進(jìn)行描述，不僅能準(zhǔn)確地判斷故障，同時能提供故障趨勢警告，幫助故障檢測人員實(shí)施正確的對策［7］。

航天系統(tǒng)依賴于硬件和軟件的組合，許多軟件測試方法專注于源代碼，卻忽略了由硬件故障或異常所引發(fā)的軟件錯誤。Wu J討論了一般性的 “硬件故障—軟件異?！到y(tǒng)故障”的流程，并闡述了有關(guān)軟硬件故障檢測的方法［8］。Yan Zhang等以DFT 理論為背景，對幾種硬件故障算法進(jìn)行了仿真，分析、比較了它們在提高可靠性方面的優(yōu)缺點(diǎn)［9］。

1.3 容錯技術(shù)

借助避錯、排錯技術(shù)不可能使系統(tǒng)完全不存在錯誤或缺陷，因此軟件容錯技術(shù)成為提高系統(tǒng)可靠性的關(guān)鍵所在。軟件容錯技術(shù)是指系統(tǒng)在發(fā)生錯誤的情況下，仍能不中斷系統(tǒng)正確、穩(wěn)定地運(yùn)行。其基本思想是冗余技術(shù)，即在一個部件上并聯(lián)相同的備份部件，當(dāng)該部件發(fā)生故障時，備份部件取代故障部件。目前，主要的容錯技術(shù)有RAID 技術(shù)，全冗余雙機(jī)熱備技術(shù)，容災(zāi)備份技術(shù)，集群技術(shù)等，此外還有一些在特定環(huán)境下使用的USP監(jiān)控系統(tǒng)技術(shù)等。

（1）RAID 技術(shù)。RAID 是一個硬盤組，具有較高的存儲性能和數(shù)據(jù)備份功能。當(dāng)數(shù)據(jù)發(fā)生損壞后，利用備份信息可以使損壞數(shù)據(jù)得以恢復(fù)，從而保障數(shù)據(jù)的安全性。

（2）全冗余雙機(jī)熱備技術(shù)。該方法利用心跳信息在主備服務(wù)器之間相互傳遞狀態(tài)信息的方法，實(shí)現(xiàn)備用服務(wù)器對主服務(wù)器的不斷監(jiān)聽，同時通過同步數(shù)據(jù)備份技術(shù)實(shí)現(xiàn)主備服務(wù)器中數(shù)據(jù)的一致性。

（3）容災(zāi)備份。容災(zāi)備份是在本地和相隔較遠(yuǎn)的異地，建立2套或多套功能相同的系統(tǒng)，互相之間通過健康狀態(tài)監(jiān)視和功能切換，利用地理上的分散性來保證關(guān)鍵業(yè)務(wù)和數(shù)據(jù)對于災(zāi)難性事件的抵御和恢復(fù)能力。

（4）集群。高可靠性集群，當(dāng)集群中其計(jì)算機(jī)出現(xiàn)故障時，在故障機(jī)上運(yùn)行的任務(wù)可以自動由其它運(yùn)行正常的計(jì)算機(jī)接替，使整個集群的服務(wù)仍然可以正常運(yùn)行。章宏?duì)N等人利用基于Markov模型的集群RAID5構(gòu)建可靠性存儲系統(tǒng)，提高了系統(tǒng)重構(gòu)速率和可靠性［10］。

2 分布式系統(tǒng)的可靠性設(shè)計(jì)

2.1 系統(tǒng)模型

在航天、航空、軍事等領(lǐng)域的工業(yè)應(yīng)用中，計(jì)算機(jī)群經(jīng)常需要與各類設(shè)備進(jìn)行通信，實(shí)現(xiàn)控制、測量、管理等功能。在通用的三層結(jié)構(gòu)模型的基礎(chǔ)上，進(jìn)一步融合設(shè)備層，將形成圖1所示的四層分布式系統(tǒng)結(jié)構(gòu)模型。該模型由展現(xiàn)層、業(yè)務(wù)層、數(shù)據(jù)層、設(shè)備控制層構(gòu)成。各層之內(nèi)仍然保持高度內(nèi)聚，層次之間則通過松耦合接口和密集消息交互。

圖1 四層架構(gòu)模型

基于上述抽象的四層分布式系統(tǒng)模型，能夠根據(jù)不同的業(yè)務(wù)需求形成不同的分布式應(yīng)用系統(tǒng)。航天器真空熱試驗(yàn)平臺利用設(shè)備層對溫度的控制、測量、管理實(shí)現(xiàn)對航天器組件的熱流模擬等達(dá)到對航天器組件進(jìn)行真空熱試驗(yàn)的目的，它符合上述的四層分布式系統(tǒng)模型，是一個典型的基于四層模型的分布式應(yīng)用實(shí)例。下面對其各層的詳細(xì)設(shè)計(jì)進(jìn)行展開介紹。

2.2 設(shè)備控制層設(shè)計(jì)

設(shè)備控制層直接與設(shè)備進(jìn)行通信，對設(shè)備進(jìn)行控制和管理。借鑒文獻(xiàn) ［8］中對軟硬件實(shí)時監(jiān)控的思想，補(bǔ)充以智能診斷的功能，在設(shè)備控制層設(shè)計(jì)了智能代理，實(shí)現(xiàn)對設(shè)備的智能診斷、自動檢測等功能。

智能代理主要由能夠完成實(shí)時對設(shè)備的各種狀態(tài)信息的采集、處理的監(jiān)測程序和利用人工智能推理機(jī)制、領(lǐng)域?qū)＜抑R、裝備管理信息等對故障能夠進(jìn)行分析、比較、判斷、反饋的故障診斷程序組成。

監(jiān)測程序通過命令、設(shè)備寄存器等方式完成對實(shí)時信號、狀態(tài)的采集、處理，監(jiān)控人員也可在本地對設(shè)備進(jìn)行監(jiān)測和控制。監(jiān)測程序采集的狀態(tài)信息會在數(shù)據(jù)庫中進(jìn)行存儲，作為運(yùn)行歷史數(shù)據(jù)為以后分析、設(shè)備維護(hù)、可靠性預(yù)測提供依據(jù)；同時根據(jù)代理配置，數(shù)個周期之內(nèi)的狀態(tài)信息會在本地進(jìn)行存儲，有助于故障診斷系統(tǒng)迅速從本地獲取數(shù)據(jù)進(jìn)行分析、處理、診斷，從而減少系統(tǒng)的吞吐量，加快響應(yīng)時間，提高系統(tǒng)的可靠性。

代理根據(jù)診斷結(jié)果生成指令對設(shè)備狀態(tài)進(jìn)行調(diào)控，同時向客戶端反饋狀態(tài)信息及診斷結(jié)果，并將其存入數(shù)據(jù)庫中。若智能診斷系統(tǒng)無法對故障進(jìn)行診斷，診斷系統(tǒng)會通過服務(wù)器向客戶端推送相關(guān)信息，在領(lǐng)域?qū)＜业膮⑴c下，獲得問題的解決方案對設(shè)備進(jìn)行控制。

2.3 高可用數(shù)據(jù)庫設(shè)計(jì)

數(shù)據(jù)層用于存儲各類數(shù)據(jù)，其可靠性與系統(tǒng)的安全性、穩(wěn)定性、持久性密切相關(guān)。測控平臺絕大部分功能在處理各類數(shù)據(jù)，尤其是試驗(yàn)過程中產(chǎn)生的大量數(shù)據(jù)會存儲到數(shù)據(jù)庫中，供專家進(jìn)行分析、評估、預(yù)測等，因此確保數(shù)據(jù)的完整性和可用性十分重要。

通常把集群分為高可用性集群、負(fù)載均衡集群和高性能集群［11］。常用的機(jī)器的穩(wěn)定可用性可定義為A ＝MTTF／（MTTF ＋MTTR），其中MTTF 是機(jī)器的平均無故障時間，MTTR 是錯誤的平均修復(fù)時間。同樣地，軟件的可靠性也可以用錯誤出現(xiàn)和糾正的速率來表示。高可用集群的目的是減少服務(wù)中斷時間，故障轉(zhuǎn)移集群是其中一種。

當(dāng)系統(tǒng)檢測到故障時自動進(jìn)行故障轉(zhuǎn)移。即故障轉(zhuǎn)移集群會停止當(dāng)前的活動節(jié)點(diǎn)，根據(jù)轉(zhuǎn)移策略，選擇新節(jié)點(diǎn)，啟動新的實(shí)例進(jìn)程，對未完成的事務(wù)進(jìn)行回滾。同時由于數(shù)據(jù)是存儲在共享的SAN 上，在故障轉(zhuǎn)移過程中并不需要數(shù)據(jù)復(fù)制，宕機(jī)時間也就只發(fā)生在故障轉(zhuǎn)移時的短暫瞬間，這樣就盡可能地提高了MTTF ，減小了MTTR ，從而使整個系統(tǒng)具有較高的可用性、可靠性。

文獻(xiàn) ［7］中采用數(shù)據(jù)庫集群的高可用設(shè)計(jì)實(shí)現(xiàn)衛(wèi)星控制中心系統(tǒng)平臺，使系統(tǒng)的高可用度提高了1.5 倍。SQL Server解決高可用性問題的方案之一是故障轉(zhuǎn)移集群，故障轉(zhuǎn)移集群具有明顯的快速恢復(fù)，零數(shù)據(jù)丟失、自動故障轉(zhuǎn)移的特性，能有效解決測控平臺對實(shí)時采集、存儲數(shù)據(jù)的功能需求。

2.4 負(fù)載均衡集群設(shè)計(jì)

業(yè)務(wù)服務(wù)層是連接設(shè)備控制層、數(shù)據(jù)層和展現(xiàn)層的橋梁，系統(tǒng)業(yè)務(wù)的復(fù)雜性等將使服務(wù)器面臨服務(wù)超載、網(wǎng)絡(luò)擁塞、數(shù)據(jù)信息量過大的挑戰(zhàn)。提高單個服務(wù)器硬件的性能，并不能從根本上解決問題，因?yàn)閱闻_服務(wù)器的性能是有限的［12］。

負(fù)載均衡集群是把大量的同一類型的并發(fā)訪問，分擔(dān)到多臺節(jié)點(diǎn)設(shè)備上分別處理，提高系統(tǒng)的可靠性。為了應(yīng)對日益復(fù)雜的各類航天空間環(huán)境試驗(yàn)，最大程度地保持最優(yōu)服務(wù)質(zhì)量。服務(wù)端模塊采用負(fù)載均衡技術(shù)，其負(fù)載均衡體系結(jié)構(gòu)如圖2所示。

圖2 服務(wù)端模塊負(fù)載均衡體系結(jié)構(gòu)

當(dāng)服務(wù)器接收到外界的請求，負(fù)載均衡器會根據(jù)監(jiān)控獲取集群里各后臺服務(wù)器的健康狀況和權(quán)重，將客戶端的請求根據(jù)加權(quán)最小連接度算法把請求發(fā)送給處理能力強(qiáng)，任務(wù)少的后臺服務(wù)器。設(shè)計(jì)的主、備負(fù)載均衡器，與集中式負(fù)載均衡相比，能解決其只能集中處理所有的負(fù)載服務(wù)，不能分發(fā)所有客戶請求這個系統(tǒng)瓶頸問題，有效防止產(chǎn)生單點(diǎn)故障，提高系統(tǒng)的可靠性。

設(shè)備控制層的智能代理和數(shù)據(jù)層的高可用數(shù)據(jù)庫都是部署在圖2中的真實(shí)服務(wù)器上，這些都要求系統(tǒng)具有較高的可用性。負(fù)載均衡體技術(shù)能夠?qū)崿F(xiàn)當(dāng)某臺服務(wù)器出現(xiàn)障礙時，負(fù)載均衡器可以立刻分配其它的應(yīng)用服務(wù)器并由該應(yīng)用服務(wù)器繼續(xù)提供服務(wù)，使得服務(wù)器集群具有一定的容錯性、可用性，能從錯誤中恢復(fù)過來。

2.5 展現(xiàn)層設(shè)計(jì)

展現(xiàn)層是人機(jī)交互的接口，它位于系統(tǒng)的最外層，主要接受用戶的請求，用數(shù)據(jù)、圖、表的形式向用戶返回，并為客戶端提供應(yīng)用程序的訪問。

客戶端需要不斷接收服務(wù)端發(fā)送給客戶端以及用戶給服務(wù)端的重要數(shù)據(jù)。在實(shí)際應(yīng)用中，由于系統(tǒng)的復(fù)雜性、人為的誤操作等均可導(dǎo)致客戶端關(guān)閉、停止工作。為了解決因客戶端程序關(guān)閉不能及時接收服務(wù)層數(shù)據(jù)，造成數(shù)據(jù)延時、丟失的不一致性問題，我們在展現(xiàn)層設(shè)計(jì)了基于操作系統(tǒng)服務(wù)的服務(wù)代理模塊。

該模塊的存在可以在客戶端崩潰后，繼續(xù)維持與服務(wù)的會話，接收服務(wù)端的重要數(shù)據(jù)，在一定程度上維持了數(shù)據(jù)的完整性。據(jù)統(tǒng)計(jì)，代理模塊能夠?qū)?shí)時系統(tǒng)的可靠性提高約10%。在服務(wù)代理中，對接收的數(shù)據(jù)進(jìn)行本地化保存，因此加載數(shù)據(jù)無需通過網(wǎng)絡(luò)訪問遠(yuǎn)程數(shù)據(jù)庫，極大提高了數(shù)據(jù)分析模塊在數(shù)據(jù)加載方面的速度。

服務(wù)代理的設(shè)計(jì)可以避免由于系統(tǒng)資源問題和低級操作錯誤帶來的風(fēng)險，在一定程度上保障程序運(yùn)行的可靠性，但也并非絕對安全。當(dāng)計(jì)算機(jī)需要重啟時，服務(wù)代理必須重啟而仍可能會導(dǎo)致數(shù)據(jù)丟失。因此，在客戶端的下層額外設(shè)計(jì)了在服務(wù)重新聯(lián)機(jī)時的數(shù)據(jù)同步機(jī)制。

3 結(jié)束語

測控平臺系統(tǒng)在四層架構(gòu)模型的基礎(chǔ)上，引入智能代理的診斷和檢測、數(shù)據(jù)庫容錯、服務(wù)器集群和基于操作系統(tǒng)服務(wù)的服務(wù)代理等軟件可靠性技術(shù)，使其在軟件錯誤演變過程中對錯誤進(jìn)行規(guī)避、排除、糾正和容錯，加快了系統(tǒng)的響應(yīng)時間，使系統(tǒng)具有伸縮性、可靠性。文獻(xiàn) ［13，14］中著重從測控平臺的功能需求對系統(tǒng)結(jié)構(gòu)進(jìn)行模塊化劃分，使計(jì)算節(jié)點(diǎn)之間具有較高程度的耦合，相鄰兩層之間在對外服務(wù)上具有依賴性。相比而言本文利用基于構(gòu)件技術(shù)的可靠性設(shè)計(jì)方法，其結(jié)構(gòu)是松散分布式的，具有部署靈活、通信方便、擴(kuò)展性強(qiáng)等優(yōu)點(diǎn)。該模型不僅適用于航天測控平臺系統(tǒng)，同時也適用于溫度、分布式等測控系統(tǒng)，適用性廣。

［1］JIN Ping，ZHANG Xiaochun.Airborne software reliability design based on DO－178B ［J］.Software，2012，33 （6）：44－47（in Chinese）.［金平，章曉春.基于DO－178B的機(jī)載軟件可靠性設(shè)計(jì) ［J］.軟件，2012，33 （6）：44－47.］

［2］CHEN Jianwei.Research of four－tier design method of software reliability ［J］.Industry and Mine Automation，2010，36（11）：80－83 （in Chinese）.［陳建偉.四級階梯式軟件可靠性設(shè)計(jì)方法研究 ［J］.工礦自動化，2010，36 （11）：80－83.］

［3］SU Shaoliang，YAN Jianguo，LYongyin.A modularized software design for UAV navigation system based on DSP ［J］.Electronic Design Engineering，2013，21 （16）：79－82 （in Chinese）.［蘇少良，閆建國，呂永銀.某無人機(jī)導(dǎo)航控制系統(tǒng)模塊化設(shè)計(jì) ［J］.電子設(shè)計(jì)工程，2013，21 （16）：79－82.］

［4］SHAN Jinhui，XU Kejun，WANG Ji.A kind of software faults diagnosing framework ［J］.Chinese Journal of Computers，2011，34 （2）：372－373 （in Chinese）. ［單錦輝，徐克俊，王戟.一種軟件故障診斷過程框架 ［J］.計(jì)算機(jī)學(xué)報，2011，34 （2）：372－373.］

［5］Martin L，Schatalov M，Hagner M，et al.A methodology for model－based development and automated verification of software for aerospace systems ［C］／／Aerospace Conference.IEEE，2013：1－19.

［6］Long E A，Gullo L，Nikora A P.Applying software reliability growth models to DOD systems［C］／／IEEE 23rd International Symposium on Software Reliability Engineering Workshops，2012：27－36.

［7］SHANG Huiping，JIA Ying，ZHENG Huiying.Design and implementation of high availability SCC system platform ［J］.Journal of Spacecraft TT＆C Technology，2010，29 （1）：17－21 （in Chinese）.［尚慧萍，賈穎，鄭慧英.衛(wèi)星控制中心系統(tǒng)平臺的高可用設(shè)計(jì)與實(shí)現(xiàn)［J］.飛行器測控學(xué)報，2010，29 （1）：17－21.］

［8］Wu J.Stress testing software to determine fault tolerance for hardware failure and anomalies ［C］／／IEEE Autotestcon，2012：294－298.

［9］Zhang Y，Guan Y，Wang G.Analysis and comparison of fault simulation ［C］／／International Symposium on Intelligent Ubiquitous Computing and Education.IEEE，2009：503－506.

［10］ZHANG Hongcan，XUE Wei.Reliability analysis of cluster RAID5storage system ［J］.Journal of Computer Research and Development，2010，47 （4）：727－735 （in Chinese）.［章宏?duì)N，薛巍.集群RAID5存儲系統(tǒng)可靠性分析 ［J］.計(jì)算機(jī)研究與發(fā)展，2010，47 （4）：727－735.］

［11］WU Dong，GAO Jiaqiong.The research and deployment failover clustering technology ［J］.Information ＆ Communications，2013，27 （5）：25－25 （in Chinese）. ［巫 冬，高加瓊.故障轉(zhuǎn)移群集技術(shù)研究與部署 ［J］.信息通信，2013，27 （5）：25－25.］

［12］LIU Chang，WANG Yirong.The software architecture design of measurement and control system in vacuum thermal tests ［J］.Spacecraft Environment Engineering，2010，27 （3）：324－327（in Chinese）.［劉暢，王奕榮.真空熱試驗(yàn)測控軟件系統(tǒng)架構(gòu)設(shè)計(jì)［J］.航天器環(huán)境工程，2010，27 （3）：324－327.］

［13］XU Yingxue，CHEN Jinming，WANG Yirong.The software platform for analysis，test and evaluation of spacecraft vacuum thermal environment adaptability ［J］.Spacecraft Environment Engineering，2013，30 （4）：370－374 （in Chinese）.［徐英學(xué)，陳金明，王奕榮.航天器真空熱環(huán)境適應(yīng)性試驗(yàn)分析及評價軟件平臺 ［J］.航天器環(huán)境工程，2013，30 （4）：370－374.］