獵戶座飛船電子系統(tǒng)設(shè)計(jì)特點(diǎn)分析與啟示

程博文 劉偉偉 何熊文 閻冬

(北京空間飛行器總體設(shè)計(jì)部，北京 100094)

獵戶座飛船電子系統(tǒng)設(shè)計(jì)特點(diǎn)分析與啟示

程博文 劉偉偉 何熊文 閻冬

(北京空間飛行器總體設(shè)計(jì)部，北京 100094)

2014年12月5日獵戶座飛船成功完成“探測(cè)飛行試驗(yàn)”任務(wù)，標(biāo)志著美國(guó)NASA為實(shí)現(xiàn)載人火星探測(cè)邁出了關(guān)鍵一步。文章從分析獵戶座飛船電子系統(tǒng)入手，總結(jié)了其高度靈活、可擴(kuò)展、高可靠的設(shè)計(jì)目標(biāo)，介紹了系統(tǒng)采用的分布式系統(tǒng)架構(gòu)的設(shè)計(jì)特點(diǎn)及最終的實(shí)現(xiàn)方案；梳理了容錯(cuò)計(jì)算機(jī)系統(tǒng)、時(shí)間觸發(fā)以太網(wǎng)和分時(shí)分區(qū)操作系統(tǒng)等關(guān)鍵技術(shù)的工作原理，并通過與傳統(tǒng)實(shí)現(xiàn)方式的對(duì)比，分析了上述技術(shù)在系統(tǒng)中的應(yīng)用優(yōu)勢(shì)。最后提出了發(fā)展建議，可為我國(guó)后續(xù)開展火星探測(cè)任務(wù)提供參考。

獵戶座飛船；電子系統(tǒng)；容錯(cuò)計(jì)算機(jī)；時(shí)間觸發(fā)以太網(wǎng)；分時(shí)分區(qū)操作系統(tǒng)

1 引言

2014年12月5日，美國(guó)獵戶座載人飛船在經(jīng)過4.5 h的飛行過程后，濺落太平洋，成功完成了首次無人探索飛行試驗(yàn)(ETF-1)任務(wù)。NASA局長(zhǎng)將此次任務(wù)的順利完成稱作“火星時(shí)代的第一天”。按計(jì)劃，獵戶座飛船將在2025年前將宇航員送往月球軌道的一顆小行星，并最終在2035年前后實(shí)現(xiàn)載人登陸火星任務(wù)[1-2]。

獵戶座飛船原本是NASA“星座”計(jì)劃中用于接替退役的航天飛機(jī)、承擔(dān)“國(guó)際空間站”人員往返運(yùn)輸任務(wù)的航天器。2010年奧巴馬政府中止了“星座”計(jì)劃，但獵戶座飛船項(xiàng)目因仍能支持實(shí)現(xiàn)其載人深空探測(cè)目標(biāo)而得以繼續(xù)。美國(guó)國(guó)會(huì)也將“航天發(fā)射系統(tǒng)”(SLS)與“獵戶座”飛船作為NASA載人航天和技術(shù)開發(fā)計(jì)劃的最高優(yōu)先級(jí)項(xiàng)目予以保證。

獵戶座飛船作為目前唯一可實(shí)現(xiàn)載人火星探測(cè)任務(wù)的飛行器，雖然外形類似于“阿波羅”飛船，但其電子系統(tǒng)的設(shè)計(jì)卻充分借鑒了近10年來電子系統(tǒng)技術(shù)的最新成果，尤其是航空領(lǐng)域綜合電子系統(tǒng)的研發(fā)成果。系統(tǒng)采用“故障靜默”的工作模式，而非傳統(tǒng)的拜占庭容錯(cuò)架構(gòu)，并輔助以自檢處理器結(jié)構(gòu)、容錯(cuò)通信網(wǎng)絡(luò)以及分時(shí)分區(qū)操作系統(tǒng)技術(shù)，使得系統(tǒng)的可靠性和安全性達(dá)到航天飛機(jī)的10倍以上，為構(gòu)建未來宇航探索項(xiàng)目的電子系統(tǒng)奠定了基礎(chǔ)。

本文針對(duì)獵戶座飛船電子系統(tǒng)體系結(jié)構(gòu)的設(shè)計(jì)特點(diǎn)，重點(diǎn)分析了容錯(cuò)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)、總線網(wǎng)絡(luò)和操作系統(tǒng)等關(guān)鍵技術(shù)，并提出發(fā)展建議，可為我國(guó)后續(xù)開展載人火星探測(cè)任務(wù)提供參考。

2 獵戶座飛船電子系統(tǒng)概況

受制于美國(guó)國(guó)會(huì)大幅削減太空探索項(xiàng)目經(jīng)費(fèi)的影響，作為承研方的霍尼韋爾公司認(rèn)為早期宇航項(xiàng)目對(duì)軟件和硬件修改和重新認(rèn)證的費(fèi)用是造成項(xiàng)目成本較高的主要因素。尤其是近10年來，地面商用電子系統(tǒng)技術(shù)的迅猛發(fā)展，使得早期選擇的電子器件在航天器服役時(shí)便已過時(shí)。因此，在系統(tǒng)設(shè)計(jì)時(shí)不應(yīng)基于特定的電子部件構(gòu)建，而是通過合理的體系結(jié)構(gòu)設(shè)計(jì)，提供一個(gè)低成本、可擴(kuò)展并支持項(xiàng)目全生命周期改進(jìn)和升級(jí)的系統(tǒng)，從而簡(jiǎn)化設(shè)計(jì)、開發(fā)、測(cè)試、集成、維護(hù)和升級(jí)的代價(jià)。下面將從整個(gè)系統(tǒng)設(shè)計(jì)目標(biāo)、體系結(jié)構(gòu)設(shè)計(jì)和具體實(shí)現(xiàn)方案3個(gè)方面進(jìn)行介紹。

2.1 設(shè)計(jì)目標(biāo)

從系統(tǒng)抽象的角度理解，獵戶座飛船的電子系統(tǒng)既包含對(duì)各類指令和遙測(cè)的處理，同時(shí)也包括多艙段對(duì)接控制、自動(dòng)駕駛飛行、系統(tǒng)級(jí)的健康管理等一系列復(fù)雜的任務(wù)。因此，一個(gè)可滿足多種任務(wù)靈活擴(kuò)展，并支持在故障情況下系統(tǒng)資源靈活重構(gòu)的處理平臺(tái)是電子系統(tǒng)設(shè)計(jì)的主要目標(biāo)。與此同時(shí)，平臺(tái)設(shè)計(jì)需要綜合權(quán)衡低成本與高可靠之間的矛盾。為此，電子系統(tǒng)的研發(fā)提出了如下的設(shè)計(jì)目標(biāo)[3]：

(1)基于開放式的系統(tǒng)架構(gòu)，構(gòu)成系統(tǒng)核心的處理、通信和計(jì)算資源可根據(jù)系統(tǒng)需求靈活擴(kuò)展、重新配置；

(2)基于已有的商業(yè)標(biāo)準(zhǔn)或成熟產(chǎn)品，允許第三方參與星載電子系統(tǒng)的軟硬件研發(fā)，降低研制成本；

(3)通過時(shí)空隔離技術(shù)，支持系統(tǒng)局部修改和升級(jí)，降低系統(tǒng)更新和重新認(rèn)證的代價(jià)。同時(shí)將故障封鎖在局部，提升系統(tǒng)整體的可靠性。

2.2 體系結(jié)構(gòu)設(shè)計(jì)

為滿足上述目標(biāo)，一種簡(jiǎn)單的實(shí)現(xiàn)方案是采用集中式的系統(tǒng)架構(gòu)設(shè)計(jì)，如圖1所示。系統(tǒng)通過一臺(tái)中心計(jì)算機(jī)完成健康管理、自主控制、能源管理等核心功能，這種架構(gòu)雖然簡(jiǎn)單，但難以滿足系統(tǒng)重構(gòu)、可擴(kuò)展以及復(fù)雜任務(wù)解耦等多方面要求。

與集中式對(duì)應(yīng)的是分布式體系結(jié)構(gòu)，如圖2所示。在這種體系架構(gòu)下，原先集中式計(jì)算機(jī)的功能被分解到若干個(gè)分布式的計(jì)算節(jié)點(diǎn)中，這些計(jì)算節(jié)點(diǎn)通過交換式網(wǎng)絡(luò)連接，相互之間沒有耦合關(guān)系，任務(wù)處理所需要的I/O數(shù)據(jù)或計(jì)算結(jié)果可通過交換式網(wǎng)絡(luò)被系統(tǒng)任意一個(gè)計(jì)算節(jié)點(diǎn)獲取，而網(wǎng)絡(luò)中數(shù)據(jù)的傳輸路徑則通過設(shè)計(jì)階段的規(guī)劃安排，具備鏈路冗余，故障情況下自主切換的能力[4]。

圖1 集中式系統(tǒng)架構(gòu)Fig.1 Integrated process structure

圖2 分布式系統(tǒng)架構(gòu)Fig.2 Distribute process structure

2.3 實(shí)現(xiàn)方案

基于分布式系統(tǒng)的設(shè)計(jì)思路，最終完成的“獵戶座”電子系統(tǒng)結(jié)構(gòu)如圖3所示。系統(tǒng)選用時(shí)間觸發(fā)以太網(wǎng)(TTE)作為骨干網(wǎng)絡(luò)，系統(tǒng)各設(shè)備與網(wǎng)絡(luò)交換機(jī)進(jìn)行連接，共包含18塊時(shí)間觸發(fā)以太網(wǎng)交換卡及46個(gè)終端節(jié)點(diǎn)。采用這種交換式的網(wǎng)絡(luò)結(jié)構(gòu)，使得系統(tǒng)結(jié)構(gòu)擴(kuò)展靈活，如當(dāng)有新設(shè)備需要接入系統(tǒng)時(shí)，只需要將新設(shè)備連入交換機(jī)即可，其他已連接設(shè)備不受任何影響[5]。

TTE網(wǎng)絡(luò)采用光纖作為傳輸介質(zhì)，提供高達(dá)12.75 Gbit/s的帶寬。通信采用時(shí)間觸發(fā)方式，各節(jié)點(diǎn)的占用帶寬以及傳輸路徑通過預(yù)先規(guī)劃實(shí)現(xiàn)通信資源的靜態(tài)配置。當(dāng)系統(tǒng)發(fā)生故障時(shí)，故障設(shè)備只影響自身所分配的帶寬，而對(duì)系統(tǒng)中其它節(jié)點(diǎn)沒有影響，形成天然的“防火墻”，避免故障擴(kuò)散而對(duì)系統(tǒng)整體造成的災(zāi)難性影響，系統(tǒng)可靠性顯著增強(qiáng)。與此同時(shí)，通過預(yù)先分配帶寬的方式，實(shí)現(xiàn)對(duì)系統(tǒng)資源使用情況的提前預(yù)估，從而降低了系統(tǒng)集成節(jié)點(diǎn)的復(fù)雜度。

圖3 基于時(shí)間觸發(fā)以太網(wǎng)的獵戶座飛船電子系統(tǒng)組成示意圖Fig.3 Architecture of Orion’s C&DH based on time-trigger Ethernet

星載計(jì)算機(jī)(VMC)作為獵戶座飛船的處理核心，完成整器控制、人機(jī)交互、系統(tǒng)通信等主要功能。在設(shè)計(jì)上，上述功能分別由飛行控制模塊(FCM)、顯示控制模塊(DCM)和通信控制模塊(CCM)完成，如圖4所示。FCM主要完成導(dǎo)航、推進(jìn)控制、時(shí)間管理、整器資源配置管理、必要的子系統(tǒng)管理(如電源、生命保障等)功能。DCM作為飛行器狀態(tài)顯示及人機(jī)交互的接口，以圖形界面的方式向宇航員報(bào)告當(dāng)前的飛行狀態(tài)和告警信息。此外DCM還可接受宇航員的輸入命令和數(shù)據(jù)，轉(zhuǎn)譯成可供執(zhí)行的指令，分發(fā)到各分系統(tǒng)執(zhí)行。CCM執(zhí)行與外部系統(tǒng)的通信和協(xié)議轉(zhuǎn)換功能，通信協(xié)議采用以太網(wǎng)標(biāo)準(zhǔn)。此外CCM模塊提供大容量的數(shù)據(jù)存儲(chǔ)器用于存儲(chǔ)設(shè)備內(nèi)部信息，如用于存儲(chǔ)飛行器?？炕蚍蛛x時(shí)的圖像數(shù)據(jù)。星載計(jì)算機(jī)選用IBM PowerPC 750FX單核處理器，處理頻率最高可達(dá)900 MHz。

在組成方式上，上述處理模塊均與時(shí)間觸發(fā)以太網(wǎng)交換機(jī)進(jìn)行連接，實(shí)現(xiàn)各處理器“上網(wǎng)”并完成網(wǎng)絡(luò)化的處理。在實(shí)現(xiàn)上，F(xiàn)CM、DCM和CCM并沒有采用傳統(tǒng)的三模冗余結(jié)構(gòu)，而是采用具備自鎖功能的處理器結(jié)構(gòu)及分時(shí)分區(qū)操作系統(tǒng)，操作系統(tǒng)包含6個(gè)分區(qū)(即系統(tǒng)分區(qū)、網(wǎng)絡(luò)通信輸入分區(qū)、網(wǎng)絡(luò)通信輸出分區(qū)、自測(cè)試分區(qū)、監(jiān)控分區(qū)和其他功能分區(qū))，可避免計(jì)算機(jī)在執(zhí)行過程中，任意指令存取錯(cuò)誤或軟件任務(wù)執(zhí)行錯(cuò)誤而對(duì)系統(tǒng)造成的災(zāi)難性影響。

圖4 獵戶座飛船計(jì)算機(jī)(VMC)組成結(jié)構(gòu)Fig.4 Structure of vehicle management computer

3 關(guān)鍵技術(shù)

通過對(duì)獵戶座飛船電子系統(tǒng)設(shè)計(jì)方案的介紹可以看出，作為一種既滿足高度靈活、可擴(kuò)展同時(shí)兼顧高可靠需求的體系結(jié)構(gòu)，基于自檢處理器結(jié)構(gòu)的容錯(cuò)計(jì)算機(jī)、時(shí)間觸發(fā)以太網(wǎng)和分時(shí)分區(qū)操作系統(tǒng)是支持體系結(jié)構(gòu)實(shí)現(xiàn)的核心。下面將針對(duì)這些關(guān)鍵技術(shù)的設(shè)計(jì)特點(diǎn)以及應(yīng)用情況進(jìn)行詳細(xì)介紹。

3.1 基于自檢處理器的容錯(cuò)計(jì)算機(jī)

在單個(gè)處理器模塊設(shè)計(jì)上，針對(duì)運(yùn)行安全關(guān)鍵等級(jí)高任務(wù)(如飛行器控制、指令、資源管理、勢(shì)態(tài)感知等)的處理器模塊采用自檢處理器結(jié)構(gòu)(Self-checking Processors，SCP)，如圖5所示。這種結(jié)構(gòu)包含兩個(gè)處理器對(duì)，每個(gè)處理器都使用獨(dú)立的資源(包括處理器、晶振、Flash、RAM、輸入數(shù)據(jù)接口和供電接口)，比較邏輯分別對(duì)兩個(gè)處理器執(zhí)行指令進(jìn)行比較，若出現(xiàn)取址錯(cuò)誤或軟件跑飛的情況，則關(guān)斷數(shù)據(jù)輸出，達(dá)到 “正常工作輸出，故障情況沉默”的效果。

圖5 自檢處理器組成結(jié)構(gòu)Fig.5 Structure of self-checking processors

傳統(tǒng)的容錯(cuò)計(jì)算機(jī)通常采用三模冗余的設(shè)計(jì)，軟硬件耦合程度較高，很難對(duì)系統(tǒng)中的硬件電路和軟件算法進(jìn)行獨(dú)立測(cè)試和驗(yàn)證，且表決器實(shí)現(xiàn)較為復(fù)雜，容易成為系統(tǒng)單點(diǎn)。而這種處理器自檢結(jié)構(gòu)盡管無法區(qū)分硬件的瞬態(tài)或永久故障，但卻提供了接近100%的故障檢測(cè)率，并且此結(jié)構(gòu)不依賴于特定的軟件算法和表決機(jī)制，簡(jiǎn)單易于實(shí)現(xiàn)。

在具體應(yīng)用時(shí)，獵戶座飛船中的兩個(gè)中心計(jì)算機(jī)(VMC1和VMC2)采用備份設(shè)計(jì)，所有模塊均與時(shí)間觸發(fā)以太網(wǎng)連接。以飛行控制模塊為例，兩個(gè)飛行控制模塊采用熱備份設(shè)計(jì)，占用時(shí)間觸發(fā)以太網(wǎng)中相同的通信時(shí)隙。利用時(shí)間觸發(fā)以太網(wǎng)提供的仲裁機(jī)制，在主份飛行控制模塊出現(xiàn)故障的情況下，系統(tǒng)功能通過時(shí)間觸發(fā)以太網(wǎng)連接的備份模塊接替運(yùn)行，實(shí)現(xiàn)系統(tǒng)級(jí)容錯(cuò)[6]。

3.2 時(shí)間觸發(fā)以太網(wǎng)

在計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展歷程中，以太網(wǎng)作為眾多網(wǎng)絡(luò)技術(shù)中最具影響力的一種，具備低成本的應(yīng)用優(yōu)勢(shì)。但傳統(tǒng)以太網(wǎng)所采用的載波偵聽多路訪問(CSMA/CD)的介質(zhì)訪問機(jī)制，是一種基于競(jìng)爭(zhēng)的傳輸機(jī)制，無法保證網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)拇_定性，難以滿足獵戶座飛船高實(shí)時(shí)性要求的安全關(guān)鍵數(shù)據(jù)(如控制指令、平臺(tái)狀態(tài)遙測(cè)、異常告警信息等)的傳輸需求。

為解決以太網(wǎng)在傳輸過程中的時(shí)間不確定問題，同時(shí)發(fā)揮以太網(wǎng)低成本、易維護(hù)的應(yīng)用優(yōu)勢(shì)。時(shí)間觸發(fā)以太網(wǎng)在交換式以太網(wǎng)的基礎(chǔ)上引入了時(shí)間觸發(fā)機(jī)制，利用時(shí)間同步技術(shù)實(shí)現(xiàn)各節(jié)點(diǎn)按照統(tǒng)一的時(shí)間規(guī)劃完成各類信息的交互。時(shí)間觸發(fā)以太網(wǎng)提供的通信業(yè)務(wù)類型如圖6所示[7]。

(1)時(shí)間觸發(fā)(TT)通信：采用預(yù)留帶寬形式，保證確定的通信時(shí)延，通常用于具備嚴(yán)格實(shí)時(shí)性要求的應(yīng)用場(chǎng)景。

(2)速率限制(RC)通信：采用流量整型技術(shù)，保證消息傳輸延遲有預(yù)定的最大值限制，數(shù)據(jù)可預(yù)防丟失，通常用于時(shí)間確定性和實(shí)時(shí)性較低的應(yīng)用場(chǎng)景。

(3) 最大努力(BE)通信：遵循標(biāo)準(zhǔn)以太網(wǎng)通信，占用未分配的帶寬；優(yōu)先級(jí)最低，傳輸延遲不確定。

圖6 時(shí)間觸發(fā)以太網(wǎng)支持的通信類型Fig.6 Time-trigger Ethernet supporting communication types

在獵戶座飛船的研制過程中，NASA在調(diào)研了1553B、SpaceWire、1394B、FlexRay、Arinc659、TTP等多種總線后，最終選用時(shí)間觸發(fā)以太網(wǎng)(TTE)作為系統(tǒng)的骨干網(wǎng)絡(luò)，改變了原先多種數(shù)據(jù)總線并存的格局。通過時(shí)間觸發(fā)以太網(wǎng)提供的不同業(yè)務(wù)等級(jí)的數(shù)據(jù)傳輸機(jī)制，可在一條總線上同時(shí)兼容實(shí)時(shí)性和可靠性要求較高的安全關(guān)鍵數(shù)據(jù)傳輸(如指令、遙測(cè)、傳感器數(shù)據(jù)等)以及高速率的普通數(shù)據(jù)傳輸(如話音、視頻、圖像等)，極大地簡(jiǎn)化了器內(nèi)總線網(wǎng)絡(luò)的復(fù)雜度，也降低了系統(tǒng)研制成本。此外，網(wǎng)絡(luò)帶寬的使用情況通過離線的方式進(jìn)行預(yù)先規(guī)劃和驗(yàn)證，不僅使得系統(tǒng)在設(shè)計(jì)之初就對(duì)帶寬的使用有了預(yù)先估計(jì)，避免潛在沖突。同時(shí)新節(jié)點(diǎn)加入只需要占用其他未分配帶寬，而對(duì)已占用帶寬不產(chǎn)生影響，使系統(tǒng)具備良好的升級(jí)、擴(kuò)展能力[8]。

3.3 分時(shí)分區(qū)操作系統(tǒng)技術(shù)

為實(shí)現(xiàn)系統(tǒng)中大量復(fù)雜軟件的集成，同時(shí)避免不同軟件運(yùn)行導(dǎo)致的系統(tǒng)可靠性降低的問題，獵戶座飛船采用航空領(lǐng)域廣泛使用的分時(shí)分區(qū)操作系統(tǒng)，通過時(shí)間分區(qū)(Temporal Partitioning)、空間分區(qū)(Spatial Partitioning)的思想，使一個(gè)處理器模塊中可以同時(shí)運(yùn)行多個(gè)虛擬分區(qū)，分區(qū)的運(yùn)行時(shí)間以及使用的存儲(chǔ)空間事先進(jìn)行約定，運(yùn)行時(shí)分區(qū)互不干擾。通過分時(shí)分區(qū)的隔離保護(hù)機(jī)制，使得不同分系統(tǒng)的、不同安全等級(jí)的軟件可以集成在同一個(gè)處理器中運(yùn)行。這樣設(shè)計(jì)的好處在于：各分系統(tǒng)的軟件可以單獨(dú)修改、更新和重新認(rèn)證而不影響其他分系統(tǒng)，這將有助于提高系統(tǒng)的可測(cè)試性，同時(shí)降低開發(fā)和維護(hù)的成本，也為未來的升級(jí)提供便利。

在操作系統(tǒng)選型上，獵戶座飛船使用了Green Hills公司提供的Integrity操作系統(tǒng)。該操作系統(tǒng)通過了RTCA DO-178B Level A級(jí)認(rèn)證，符合綜合化、模塊化航空電子(IMA)應(yīng)用軟件標(biāo)準(zhǔn)接口(Avionics Application Software Standard Interface)(即ARINC653-1)，如圖7所示。ARINC653標(biāo)準(zhǔn)主要包括分區(qū)管理、分區(qū)內(nèi)線程管理、時(shí)間管理、分區(qū)間通信、分區(qū)內(nèi)線程通信、健康監(jiān)控技術(shù)、XML文件藍(lán)圖配置技術(shù)等。其中，分區(qū)是ARINC653的一個(gè)核心概念，是一種功能劃分。將運(yùn)行在硬件模塊上的多個(gè)應(yīng)用程序按功能獨(dú)立地進(jìn)行劃分，劃分的單元即分區(qū)。分區(qū)內(nèi)每一個(gè)執(zhí)行單位稱為線程。每一個(gè)分區(qū)都有獨(dú)立的數(shù)據(jù)、上下文關(guān)系和運(yùn)行環(huán)境，通過這種設(shè)計(jì)能夠防止一個(gè)分區(qū)的故障影響到其他分區(qū)，并使得整個(gè)系統(tǒng)易于驗(yàn)證和認(rèn)證[9-10]。

圖7 ARINC653分時(shí)分區(qū)操作系統(tǒng)結(jié)構(gòu)圖Fig.7 Architecture of ARINC653 operating system

4 啟示

以獵戶座飛船為代表的先進(jìn)航天器系統(tǒng)的成功研制及系統(tǒng)的設(shè)計(jì)思路，對(duì)我國(guó)航天器電子系統(tǒng)的設(shè)計(jì)而言，具有如下借鑒意義：

1)重視分布式電子系統(tǒng)體系結(jié)構(gòu)的研究

應(yīng)該來說，分布式相對(duì)于地面系統(tǒng)而言并不是一個(gè)新的概念?；诜植际礁拍顦?gòu)建的星載電子系統(tǒng)，可在星上處理和存儲(chǔ)能力有限的情況下，由多個(gè)處理單元構(gòu)成星載分布式計(jì)算系統(tǒng)，大幅提升系統(tǒng)的處理能力，為未來深空探測(cè)任務(wù)中實(shí)現(xiàn)智能化的自主管理提供必須的計(jì)算能力的保障。與此同時(shí)，各處理單元執(zhí)行的任務(wù)可在分布式系統(tǒng)中的各個(gè)處理單元中動(dòng)態(tài)遷移和重構(gòu)，使得系統(tǒng)整體的可靠性和容錯(cuò)性都有了大幅提高，體系結(jié)構(gòu)的開放性大大增強(qiáng)。目前，國(guó)外航天機(jī)構(gòu)將這種分布式平臺(tái)應(yīng)用在航天器上，已取得很大的進(jìn)步。本文所調(diào)研的獵戶座飛船即是一個(gè)典型例子。

2)重視跨領(lǐng)域標(biāo)準(zhǔn)和產(chǎn)品的航天應(yīng)用

獵戶座飛船作為一類深空探測(cè)類型的載人航天器，其系統(tǒng)平均無故障時(shí)間要求在109h。為滿足這種近乎嚴(yán)苛的可靠性要求，在飛船設(shè)計(jì)過程中大量借鑒了航空標(biāo)準(zhǔn)和成熟產(chǎn)品(如時(shí)間觸發(fā)以太網(wǎng)和分時(shí)分區(qū)操作系統(tǒng)等)，并通過適應(yīng)性改進(jìn)使其適合航天應(yīng)用。這種通過跨領(lǐng)域借鑒的方式，有助于突破傳統(tǒng)航天領(lǐng)域的技術(shù)局限性，并且基于其他領(lǐng)域已有成熟的產(chǎn)品和標(biāo)準(zhǔn)設(shè)計(jì)的系統(tǒng)，在研制成本、研制風(fēng)險(xiǎn)和標(biāo)準(zhǔn)化等方面都具有明顯優(yōu)勢(shì)，這也是滿足未來低成本、高可靠航天任務(wù)的有效途徑。

3)重視時(shí)間觸發(fā)以太網(wǎng)、分時(shí)分區(qū)操作系統(tǒng)等新技術(shù)研究

以總線網(wǎng)絡(luò)為例，雖然NASA在設(shè)計(jì)之初，選用了低速TTP總線和高速1394B總線的混合方案，但到最終實(shí)現(xiàn)的卻是基于時(shí)間觸發(fā)以太網(wǎng)單總線方案。通過時(shí)間觸發(fā)以太網(wǎng)良好的兼容性和高帶寬特點(diǎn)，一方面，優(yōu)化了系統(tǒng)架構(gòu)，使得各分系統(tǒng)可以基于統(tǒng)一的標(biāo)準(zhǔn)接口和通信協(xié)議進(jìn)行設(shè)計(jì)，系統(tǒng)集成代價(jià)大大降低；另一方面，基于以太網(wǎng)技術(shù)使得器(星)內(nèi)網(wǎng)絡(luò)與地面測(cè)試系統(tǒng)可以無縫銜接，地面測(cè)試系統(tǒng)的復(fù)雜度均可有效降低，系統(tǒng)研制效率大為提升?；谏鲜龇治觯瑫r(shí)間觸發(fā)以太網(wǎng)在支持航天器擴(kuò)展能力、通信業(yè)務(wù)能力等方面相對(duì)于傳統(tǒng)的總線技術(shù)(如1553B、SpaceWire等)有較大優(yōu)勢(shì)，值得在后續(xù)的研究過程中加以重點(diǎn)關(guān)注。

References)

[1] Scott D Norris. Orion project statusn[C]// AIAA Space 2013 Conference and Expositio. Washington D.C.: AIAA,2013: 24-34

[2]Nick Heath. NASA’s Orion: the next generation of spacecraft computing,CBS Interactive Limited-39746665[R]. Washington D.C.: NASA,2010

[3]George W Eger. Orion’s command and data handling architecture[C]// AIAA SPACE 2008 Conference and Exposition. Washington D.C.:AIAA,2008: 57-64

[4]Randy Black,Mitch Fletcher. Next generation space avionics: layered system implementation[J]. IEEE A&E Systems Magazine,2005，9(5): 9-14

[5]Clint Baggerman,Mary McCabe. Avionics system architecture for the NASA Orion vehicle,SAE International-09ATC-0118 [R]. New York: IEEE,2009

[6]Ricky W Butler. A primer on architectural level fault tolerance,NASA/TM-2008-215108[R]. Washington D.C.: NASA,2008

[7]W Steiner. TTE Ethernet specification,TTTech Computertechnik AG 2008[EB/OL]. [2015-11-25]. http://www.tttech.com

[8]George Eger. Time Triggered Gigabit Ethernet on NASA’s Crewed Exploration Vehicle[C]// ADCSS Workshop. Washington D.C.: NASA,2013:112-124

[9]Electronic Engineering Committee. Avionics application software standard interface: ARINC specification 653[S]. Maryland: Aeronautical Radio Inc,2005

[10] John Rushby. Partitioning in avionics architectures: requirements,mechanisms,and assurance. NASA CR-1999-209347[R]. Washington D.C.: NASA,2000

(編輯：張小琳)

Research on Orion Electronic System

CHENG Bowen LIU Weiwei HE Xiongwen YAN Dong

(Beijing Institute of Spacecraft System Engineering，Beijing 100094，China)

On Dec 5th2014,Orion successful accomplished the ETF-1 experiment. It is a key symbol for America to make a step to Mars. Based on the design method of Orion’s electronic system,the paper summarizes the high flexible,easily expandable and strong reliable requirements and introduces the design characteristics of distributed architecture and the practical scheme which the system adopts. Key techniques of the design including fault-tolerant computer system,time-trigger Ethernet and time space partitioning operating system are introduced. Compared to the traditional implementation,the application benefits of these key technique are analysied. The research and development of Orion electronics system can offer reference for Chinese deep space manned spacecraft design.

Orion; electronic system; fault-tolerance computer; time-trigger Ethernet; time space partitioning operating system

2016-06-12；

2016-07-12

程博文，男，碩士，工程師，從事航天器綜合電子系統(tǒng)研究工作。Email:shanshui_66@163.com。

V443

A

10.3969/j.issn.1673-8748.2016.04.016