基于綜合電子的某型運載器電氣系統(tǒng)方案設(shè)計

周 虎，段 然 ，凌 震，李文婷，盧 波

(1. 北京航天自動控制研究所,北京 100854; 2.宇航智能控制技術(shù)國家級重點實驗室,北京 100854)

0 引言

隨著軍民融合政策逐步上升為國家戰(zhàn)略，航天運輸系統(tǒng)的商業(yè)化競爭日趨激烈，對型號研制進(jìn)度、研制經(jīng)費與研制質(zhì)量等提出更高的要求。我國傳統(tǒng)型號運載器設(shè)計采用“系統(tǒng)—分系統(tǒng)—功能單機”的思路，便于集中專業(yè)技術(shù)力量開展研發(fā)工作，但客觀上存在集成度低、通用性差等弊端。特別是任務(wù)需求、結(jié)構(gòu)組成均類似的型號電氣系統(tǒng)實現(xiàn)方式不統(tǒng)一，需要單獨研制、生產(chǎn)、驗收、試驗，在很大程度上造成了各類資源的浪費和設(shè)計反復(fù)，制約了運載器的低成本和任務(wù)快速響應(yīng)。

綜合電子系統(tǒng) (Integrated Modular Avionics, IMA)的概念發(fā)端于航空領(lǐng)域[1]。綜合電子系統(tǒng)本質(zhì)上是一個高度開放的分布式實時計算系統(tǒng)，它以通用綜合處理器為核心，通過高速數(shù)據(jù)總線實現(xiàn)傳感器、子系統(tǒng)等信息互聯(lián)，形成具備“系統(tǒng)結(jié)構(gòu)綜合化”和“使用功能綜合化”特征的統(tǒng)一控制、調(diào)度能力[2]。

國外最新衛(wèi)星平臺大多采用了星載綜合電子系統(tǒng)。如法國Thales Alenia Space公司研制的Spacebus 4000平臺基于先進(jìn)Avionics 4000綜合電子系統(tǒng)，可由中心計算機通過外部數(shù)據(jù)總線與接口單元進(jìn)行信息交互，具有姿軌控、數(shù)據(jù)管理、供配電等功能[3]。NASA在2010年研制的Orion飛船電子系統(tǒng)同樣完全采用綜合電子架構(gòu)，通過飛船管理計算機、高速實時以太網(wǎng)和數(shù)據(jù)單元共同構(gòu)成基本的信息傳輸與處理設(shè)備[4]。歐空局下一代運載火箭航電設(shè)備演示器計劃也提出了航天運載器綜合電子系統(tǒng)架構(gòu)，在該架構(gòu)下所有的電子設(shè)備被抽象為一個模塊化信息處理單元(Modular Data Handling Block，MDHB-X)，每個信息處理單元由不同的功能模塊組成。不同功能模塊的組合實現(xiàn)了具有不同功能的信息處理單元，而各處理單元通過通信系統(tǒng)互聯(lián)構(gòu)成航天運載器中的各分系統(tǒng)。這種系統(tǒng)架構(gòu)采用模塊化、通用化的設(shè)計理念，可以避免針對不同航天器的重復(fù)研發(fā)工作，同時有利于實現(xiàn)電子系統(tǒng)的軟硬件資源共享[5]。

借鑒國外綜合電子設(shè)計思路，構(gòu)建資源與信息共享的統(tǒng)一開放式運載器電氣系統(tǒng)體系架構(gòu)，配合標(biāo)準(zhǔn)化、模塊的貨架產(chǎn)品實現(xiàn)系統(tǒng)基本功能，僅通過更換個別單元即能夠滿足不同型號應(yīng)用需求，便于原系統(tǒng)升級改造和適應(yīng)運載器多任務(wù)特性。特別是能夠在保證電氣系統(tǒng)可靠性與良好擴展性的前提下，實現(xiàn)系統(tǒng)快速集成，這對于縮短研制周期、降低研制成本、提升裝備全生命周期等綜合競爭力有著十分明顯的作用。

1 電氣系統(tǒng)方案

1.1 功能需求

運載器電氣系統(tǒng)主要完成導(dǎo)航、制導(dǎo)、控制、測量、檢測與診斷、安全自毀、供配電等功能。其本質(zhì)上是對運載器的各種傳感器測量或接收到的各種運動、環(huán)境信息按要求進(jìn)行相應(yīng)的解算處理，并通過執(zhí)行機構(gòu)實現(xiàn)預(yù)期控制功能的過程[6]。

某型三級運載器面向深空探測、載人登月等不同任務(wù)模式，總裝后箭體高度近百米。一方面，要求電氣系統(tǒng)采用通用化方案適應(yīng)運載器各種構(gòu)型變化的同時，能夠基于合理的冗余容錯架構(gòu)保證電氣系統(tǒng)的健壯性與長時間在軌可靠飛行能力。另一方面，任務(wù)本身對大推力高精度飛行控制、自主彈道規(guī)劃、故障診斷與自適應(yīng)控制等能力的客觀需求，也對電氣系統(tǒng)通過軟、硬件資源集成管理與優(yōu)化配置實現(xiàn)大容量數(shù)據(jù)傳輸與高性能計算提出了挑戰(zhàn)。

1.2 系統(tǒng)方案

根據(jù)系統(tǒng)功能需求，一種基于綜合電子系統(tǒng)的三級運載器可行電氣系統(tǒng)結(jié)構(gòu)如圖1所示。該方案采用分布式集成控制組合模式，運載器各級共配置4臺基于VPX結(jié)構(gòu)[7]的控制組合，不同功能單元以標(biāo)準(zhǔn)板卡形式分別插入到組合機箱中。機箱設(shè)計通用背板實現(xiàn)功能板卡間的控制與信息交互功能。機箱中信息感知單元是用于獲取運載器飛行狀態(tài)以及內(nèi)部環(huán)境信息等的慣組與測量模塊；執(zhí)行單元主要包括伺服機構(gòu)控制器、火工品、電磁閥控制器、安控模塊等功率控制設(shè)備。機箱內(nèi)信息感知、信息處理以及執(zhí)行機構(gòu)驅(qū)動單元均采用高可靠的三冗余設(shè)計方案。

相比于一、二級，火箭三級電氣系統(tǒng)包含安控、衛(wèi)星導(dǎo)航接收機、慣組、箭機等功能模塊，結(jié)構(gòu)與功能實現(xiàn)相對復(fù)雜，故配置2臺組合機箱。其中，各級電氣系統(tǒng)中受安裝位置約束，難以集成在組合機箱內(nèi)的部分設(shè)備，如各類傳感器、速率陀螺等未在圖1中顯示。各功能板卡均采取適當(dāng)?shù)娜哂嘣O(shè)計方案，以滿足系統(tǒng)容錯與故障隔離要求。

圖1 某型三級運載器電氣系統(tǒng)結(jié)構(gòu)Fig.1 Topology of electronic system for launch vehicle with 3 stages

2 系統(tǒng)任務(wù)規(guī)劃

2.1 任務(wù)分析

根據(jù)功能需求，對電氣系統(tǒng)部分任務(wù)屬性、硬件資源需求、預(yù)期的處理時間開銷、控制周期等進(jìn)行分析，如表1所示。其中，周期性信息處理模塊的預(yù)期開銷表示在1GHz的CPU主頻下完成該信息處理功能所需要的運行時間。

表1 電氣系統(tǒng)任務(wù)分析

由表1可知，電氣系統(tǒng)各任務(wù)關(guān)鍵程度不同，執(zhí)行周期不同，計算資源開銷也不同。由于各類硬件和軟件故障情況難以避免，如死線超時、內(nèi)存破壞、硬件失效等，若直接在普通操作系統(tǒng)中運行系統(tǒng)任務(wù)，很可能出現(xiàn)因相互耦合導(dǎo)致部分任務(wù)功能失效、乃至影響其他任務(wù)特別是制導(dǎo)、姿控任務(wù)執(zhí)行的情況。因此，面向長時間工作及復(fù)雜飛行環(huán)境下系統(tǒng)級容錯控制需求，在傳統(tǒng)三模冗余表決機制的基礎(chǔ)上，采用少量的計算模塊實現(xiàn)同等程度的容錯能力，進(jìn)一步提高系統(tǒng)容錯能力和資源利用效率，是必須考慮的問題。

2.2 系統(tǒng)任務(wù)分區(qū)

以多核處理器為核心，在支持分時分區(qū)的嵌入式操作系統(tǒng)，如VxWorks653等管理下實現(xiàn)電氣系統(tǒng)應(yīng)用任務(wù)運行時間與資源空間的隔離[8]，是故障自動隔離與系統(tǒng)重構(gòu)的前提和基礎(chǔ)。

以表1中集成組合機箱1為例，采用分區(qū)操作系統(tǒng)后，機箱中共集成3塊信息處理模塊，各信息處理模塊資源可做如下劃分：

1)自適應(yīng)制導(dǎo)功能用于完成軌跡重規(guī)劃等異常情況下應(yīng)急處理功能，任務(wù)周期為2000ms，其他控制任務(wù)周期大多為20ms，為不影響其他飛行控制功能實時性，因此將自適應(yīng)制導(dǎo)功能運行于信息處理模塊1中。

2)將慣組、速率陀螺以及其他減載敏感裝置數(shù)據(jù)獲取與數(shù)據(jù)處理功能等運行在獨立的信息處理模塊2，以降低對飛行控制功能的影響。

3)其他飛行控制功能在信息處理模塊3中運行，功能總開銷滿足控制周期要求。

4)為減小集成控制單元模塊數(shù)量，每塊信息處理模塊上均設(shè)置3個CPU，各CPU分別配置獨立的內(nèi)存和其他外設(shè)，形成硬件三冗余表決方案。

各信息處理模塊實現(xiàn)飛控與遙外測功能的同時，還需要考慮健康管理與故障恢復(fù)能力。因此，可對各信息處理模塊做如下分區(qū)規(guī)劃：

1)模塊1設(shè)置2個分區(qū)，分別為自適應(yīng)控制和健康管理分區(qū)。

2)模塊2設(shè)置2個分區(qū)，分別為導(dǎo)航信息感知和數(shù)據(jù)處理、健康管理分區(qū)。

3)模塊3實現(xiàn)主要的飛行控制功能，設(shè)置4個分區(qū)，分別說明如下：

分區(qū)1：導(dǎo)航及攝動制導(dǎo)分區(qū)。慣性導(dǎo)航、組合導(dǎo)航以及攝動制導(dǎo)等耦合性較高，為其設(shè)置獨立分區(qū)。

分區(qū)2：姿控任務(wù)分區(qū)。

分區(qū)3：射前功能測試分區(qū)。包括配電控制、能源管理、系統(tǒng)性能測試等功能在內(nèi)的獨立分區(qū)，起飛后該分區(qū)功能不再運行。

分區(qū)4：健康管理分區(qū)。用于集成控制組合全局仲裁與分布式站點管理，完成三取二表決和健康管理功能，通過記錄其他任務(wù)健康狀況，實施故障恢復(fù)與容錯控制。

3 總線通信體制

機箱內(nèi)各功能單元之間、機箱之間、箭地設(shè)備之間均通過統(tǒng)一的高速實時總線實現(xiàn)互聯(lián)，以滿足大容量數(shù)據(jù)交互能力并簡化電氣系統(tǒng)總線設(shè)計難度。

3.1 總線拓?fù)浣Y(jié)構(gòu)

通用的網(wǎng)絡(luò)拓?fù)浒ㄐ切?、線型、環(huán)型及總線型結(jié)構(gòu)等。其中星型拓?fù)渌姓军c均與交換模塊連接。該結(jié)構(gòu)下增加交換模塊端口數(shù)量即可實現(xiàn)站點擴容，站點間物理連接關(guān)系與信息邏輯鏈路基本一致，組網(wǎng)方便，但考慮交換模塊必須布置在箭體三級，受箭體高度影響，該類結(jié)構(gòu)會存在數(shù)量可觀的長通信線，影響運載器有效載荷能力，且所有數(shù)據(jù)均通過交換模塊轉(zhuǎn)發(fā)，交換模塊異常會引發(fā)全局性通信故障，難以保證系統(tǒng)可靠性要求。相比星型拓?fù)?，線型拓?fù)浣Y(jié)構(gòu)站點僅與相鄰兩個站點連接，在節(jié)約交換模塊的同時，極大地壓縮了通信線長度，有利于電纜減重，但串行化通信特點使得除端站點外，其余中間站點均構(gòu)成單點故障，同樣難以滿足系統(tǒng)可靠性要求。環(huán)型網(wǎng)絡(luò)在線型拓?fù)浠A(chǔ)上進(jìn)一步實現(xiàn)站點首尾相連，避免了站點或者鏈路一度故障引發(fā)的通信失效問題，可靠性得到了有效的改善，但信息需經(jīng)鏈路上中間站點順序轉(zhuǎn)發(fā)，特別是隨著站點規(guī)模的增加，總線時延將逐漸增大，影響通信性能。而總線型拓?fù)涔?jié)點間通信距離受限的劣勢，也使得其難以得到應(yīng)用。

綜合考慮通信距離、箭上線纜質(zhì)量、通信可靠性等約束條件，如圖1所示，運載器電氣系統(tǒng)可采用分級混合拓?fù)浣Y(jié)構(gòu)：箭上各組合機箱內(nèi)采用雙星交換通信模式，組合間、箭地間基于交換機完成線型互聯(lián)。

該混合拓?fù)湫问接兄^為明顯的特點：一方面，線型互聯(lián)模式的應(yīng)用整體上壓縮了箭上線纜質(zhì)量和規(guī)模；另一方面，機箱內(nèi)雙星冗余物理鏈路保證了系統(tǒng)的易擴展性與通信可靠性，而機箱空間約束與背板走線方式又在客觀上進(jìn)一步優(yōu)化了線纜長度。

時間觸發(fā)以太網(wǎng)(Time Triggered Ethernet， TTE)總線是一種基于時間觸發(fā)機制的以太網(wǎng)總線。TTE基于精確的網(wǎng)絡(luò)同步協(xié)議，各個設(shè)備可以根據(jù)預(yù)先設(shè)定的調(diào)度表以總線時分復(fù)用方式進(jìn)行時間觸發(fā)業(yè)務(wù)的傳輸，保證了時間觸發(fā)業(yè)務(wù)的無競爭性、實時性與傳輸確定性[9]。TTE采用千兆以太網(wǎng)通信時信號傳輸延遲<1μs，支持星型和多級網(wǎng)絡(luò)級聯(lián)等拓?fù)浣Y(jié)構(gòu)類型以及通信數(shù)據(jù)冗余傳輸，由于能夠向下兼容普通以太網(wǎng)，以太網(wǎng)技術(shù)的任何進(jìn)步與性能提升成果(如總線帶寬由百兆升級為千兆速率)均可直接應(yīng)用于電氣系統(tǒng)總線設(shè)計中而無需額外的驗證，因而可作為下一代航天綜合電子系統(tǒng)的總線標(biāo)準(zhǔn)，快速構(gòu)建系統(tǒng)信息交互網(wǎng)絡(luò)。

3.2 數(shù)據(jù)流規(guī)劃

由表1列出的任務(wù)分析可知，電氣系統(tǒng)信息交互主要分為如下幾類：1)關(guān)鍵周期數(shù)據(jù)。主要為與飛行控制相關(guān)的各類信息，如信息處理模塊錄取的慣組輸出、信息處理模塊發(fā)送到伺服控制器的控制指令等，該類信息周期數(shù)據(jù)量通常為確定值。2)關(guān)鍵非周期數(shù)據(jù)。如安全自毀指令、應(yīng)急變軌指令等，該類信息數(shù)據(jù)量較小，但通常對任務(wù)指令有重要影響，系統(tǒng)必須能夠及時傳輸和響應(yīng)。3)非關(guān)鍵周期數(shù)據(jù)。主要為各類測試信息，如測量模塊周期性采集的電氣系統(tǒng)狀態(tài)信息；4)非關(guān)鍵非周期數(shù)據(jù)。如測量模塊下傳的大流量視頻信息等。

由于TTE同時支持TT(Time Triggered,時間觸發(fā))、BE(Best Effort，盡力傳)、RC(Rate Constraint，速率受限)等3類消息[10]，故可對上述數(shù)據(jù)做如下規(guī)定：

1)關(guān)鍵數(shù)據(jù)傳輸一律規(guī)劃為基于事件觸發(fā)的TT消息，以保證信息交互的實時性與可靠性。若本周期內(nèi)無關(guān)鍵非實時數(shù)據(jù)發(fā)送，則預(yù)先分配的時間槽可以用于BE或者RC消息傳輸。

2)非關(guān)鍵周期數(shù)據(jù)規(guī)劃為速率受限的RC消息傳輸，防止其對關(guān)鍵數(shù)據(jù)傳輸?shù)挠绊憽?/p>

3)非關(guān)鍵非周期數(shù)據(jù)規(guī)劃為盡力傳的BE消息傳輸，優(yōu)先級最低。

4)由于硬件采用三冗余設(shè)計，存在信源向多個信宿同時發(fā)送相同消息的情況。為提高系統(tǒng)有效數(shù)據(jù)吞吐量，規(guī)定此情況下采用組播方式通信。

5)若規(guī)劃中不同類型消息信源、信宿、消息內(nèi)容均一致，則合并為高優(yōu)先級的組播消息傳輸，以進(jìn)一步壓縮總線上傳輸?shù)臄?shù)據(jù)量。如TT消息中慣組輸出數(shù)據(jù)同時由測量模塊進(jìn)行采集記錄，則不必另行規(guī)劃RC消息，直接由測量模塊讀取該組播TT消息即可。

同時包含4類數(shù)據(jù)的TTE總線消息傳輸情況如圖2所示。

圖2 總線消息傳輸情況Fig.2 Message transmission on TTE bus

3.3 總線冗余信息預(yù)處理

TTE總線通過交換機和物理鏈路的冗余，實現(xiàn)了通信數(shù)據(jù)雙冗余傳輸。同時硬件層面采用三冗余設(shè)計，使得信息處理單元需要對一個控制周期內(nèi)來自3組信源的信息進(jìn)行分析處理。

設(shè)冗余信源1、2、3經(jīng)冗余物理鏈路A、B發(fā)送的消息分別為F1A、F1B、F2A、F2B、F3A、F3B。規(guī)定幀格式應(yīng)包含幀序號、信源編碼以及數(shù)據(jù)區(qū)校驗碼，且經(jīng)冗余鏈路傳輸?shù)膸蛱枒?yīng)保持一致。以信息處理模塊為例，對冗余信息的處理可按如下步驟執(zhí)行：

1)控制周期內(nèi)，信息處理模塊首先對消息幀序號、信源編碼進(jìn)行判斷，若對應(yīng)信源指定序號的幀消息已經(jīng)接收并確認(rèn)消息內(nèi)容校驗正確，則舍棄冗余鏈路相同幀序號的消息。如信息處理單元先接收到幀序號為1000的F1A消息，并判斷幀數(shù)據(jù)正常，則直接將之視為F1消息，不再接收相同幀序號的F1B消息。

2)信息處理模塊在指定時間周期內(nèi)等待接收來自不同信源的序號為m的消息幀F(xiàn)1、F2、F3；若接收到至少2個以上消息且?guī)瑪?shù)據(jù)校驗無誤，則采用上述正常數(shù)據(jù)幀的平均值作為當(dāng)前信息處理的輸入；否則沿用序號為m-1幀的處理結(jié)果。

上述預(yù)處理方法實質(zhì)上在數(shù)據(jù)有效性檢測的基礎(chǔ)上，實現(xiàn)了信息源的三取二冗余和異常處理，保證了總線傳輸信息的可靠性。

4 容錯處理機制

4.1 冗余容錯層級

容錯任務(wù)負(fù)責(zé)處理系統(tǒng)各類軟硬件故障情況。全局容錯由容錯分析任務(wù)實現(xiàn)，在負(fù)責(zé)收集檢查點的數(shù)據(jù)和數(shù)據(jù)狀態(tài)的基礎(chǔ)上，通過同步數(shù)據(jù)比對、故障定位以及綜合處理等步驟完成對單機、功能單元和任務(wù)等不同層級的失效情況進(jìn)行處理。

1)分區(qū)級：在每個信息處理模塊設(shè)置一個系統(tǒng)分區(qū)用于冗余分區(qū)輸出仲裁和本節(jié)點的健康狀態(tài)管理及分區(qū)級容錯控制，各冗余分區(qū)輸出的控制信息通過該系統(tǒng)分區(qū)進(jìn)行冗余表決，并同時記錄各分區(qū)健康狀態(tài)，在判定分區(qū)故障時實施分區(qū)級故障恢復(fù)。

2)功能單元級：為整個電氣系統(tǒng)設(shè)置一個系統(tǒng)級管理功能單元，負(fù)責(zé)管理系統(tǒng)各控制組合內(nèi)功能單元的健康狀態(tài)和功能單元層級容錯控制，當(dāng)通過本功能單元內(nèi)的系統(tǒng)分區(qū)無法故障恢復(fù)時，系統(tǒng)級管理功能單元將對該故障功能單元實施重啟或任務(wù)遷移。

3)單機級：當(dāng)集成控制組合內(nèi)的所有功能單元均發(fā)生故障且無法恢復(fù)時，則由系統(tǒng)級管理功能單元實施單機級任務(wù)遷移。

4.2 前向冗余機制

由于采用三冗余設(shè)計方案，系統(tǒng)啟動時冗余任務(wù)組中3個相同功能的任務(wù)同步運行，并同時設(shè)置系統(tǒng)狀態(tài)的初始檢查點。系統(tǒng)運行至關(guān)鍵點則對3個任務(wù)的運行狀態(tài)與計算結(jié)果進(jìn)行比較。若結(jié)果一致，則將各任務(wù)的當(dāng)前狀態(tài)設(shè)置為檢查點并繼續(xù)運行；如果3個任務(wù)中有一個任務(wù)與其他兩個任務(wù)運行結(jié)果不一致且超出門限值，則認(rèn)為該結(jié)果不一致的任務(wù)出現(xiàn)運行故障，系統(tǒng)利用正確運行的任務(wù)結(jié)果數(shù)據(jù)恢復(fù)運行出現(xiàn)故障的任務(wù)結(jié)果數(shù)據(jù)，各個任務(wù)繼續(xù)向前運行；若3個任務(wù)的運行結(jié)果均不一致，則認(rèn)為3個任務(wù)在運行中均出現(xiàn)了故障，因此3個任務(wù)都回退至最近的檢查點運行。

相比傳統(tǒng)基于硬件的三冗余模型中采用“三取二”策略，在軟件層面上實現(xiàn)具備前向恢復(fù)機制的三任務(wù)冗余技術(shù)，能夠在三任務(wù)執(zhí)行都出現(xiàn)故障時回退至最近的檢查點，避免了系統(tǒng)重啟，能夠很大程度上提高恢復(fù)效率和系統(tǒng)容錯能力。

5 結(jié)論

控制裝備全生命周期成本、實現(xiàn)系統(tǒng)快速集成與資源共享是未來運載器電氣系統(tǒng)設(shè)計的主要方向之一。通用貨架產(chǎn)品為電氣系統(tǒng)設(shè)計提供了價格低廉、性能多樣、類型豐富的現(xiàn)場可更換標(biāo)準(zhǔn)功能模塊，壓縮了各類設(shè)計、生產(chǎn)、調(diào)試、試驗成本，而基于綜合電子設(shè)計方案又為貨架產(chǎn)品的使用提供了應(yīng)用基礎(chǔ)條件。二者相互依賴，共同構(gòu)成了在運載器電氣系統(tǒng)設(shè)計采用綜合電子架構(gòu)模式的內(nèi)在動力，牽引了運載器電氣系統(tǒng)沿著集成化、模塊化、通用化與標(biāo)準(zhǔn)化的方向快速發(fā)展，也為某型運載器電氣系統(tǒng)的設(shè)計提供了可行途徑。