高小安，皮 操，于丹丹，吳 康

(上海航天控制技術(shù)研究所·上?！?01109)

0 引 言

箭載計算機(簡稱箭機)是運載火箭的核心部件之一，其可靠性設(shè)計的優(yōu)劣直接影響著運載火箭的飛行安全。飛行控制軟件(簡稱飛控軟件)在箭機中運行，完成火箭飛行過程中的制導(dǎo)、導(dǎo)航、姿控、時序控制、故障診斷、遙測信息組織等飛行控制功能，引導(dǎo)火箭按照預(yù)定的彈道穩(wěn)定飛行，將載荷送入預(yù)定軌道。余度技術(shù)可以有效地提高系統(tǒng)的可靠性和容錯能力，因而必須從箭機的體系結(jié)構(gòu)設(shè)計入手，采用余度技術(shù)，從根本上提高系統(tǒng)的容錯性與殘存能力，實現(xiàn)故障軟化，以消除故障對系統(tǒng)正常工作的影響[1-2]。

全數(shù)字仿真設(shè)計是一種解決方案，可綜合解決軟硬件一體化系統(tǒng)中軟件依賴硬件環(huán)境的耦合難題[3]。它能去掉軟硬件的耦合性，雖然與真實的軟件運行環(huán)境有所偏差，但有助于系統(tǒng)算法的設(shè)計驗證、故障模擬與快速排除。本文針對飛控軟件對高可靠性的要求，研究了三冗余飛控軟件數(shù)字仿真平臺的設(shè)計思路，通過三通道表決技術(shù)提高了故障檢測率，重點論述了冗余配置、數(shù)字仿真平臺架構(gòu)、同步算法、交叉?zhèn)鬏數(shù)汝P(guān)鍵技術(shù)。

1 冗余系統(tǒng)的配置

余度系統(tǒng)是指通過對重復(fù)資源的合理管理和調(diào)度，使其執(zhí)行同一指令，完成同一任務(wù)而布局的系統(tǒng)。其目標(biāo)是實現(xiàn)在異常情況下的故障適應(yīng)能力，是提高系統(tǒng)任務(wù)可靠性與安全性的一種主要和常用的手段[4]。

合理的余度構(gòu)型是余度設(shè)計最早也是最為關(guān)鍵的環(huán)節(jié)之一。冗余結(jié)構(gòu)可分為4種模式：①被動冗余結(jié)構(gòu)，其中的冗余模塊在待命狀態(tài)下是“冷備件”冗余；②主動冗余結(jié)構(gòu)，其中的冗余模塊在待命狀態(tài)下是“熱備件”冗余；③半主動冗余結(jié)構(gòu)，其中的冗余模塊在待命狀態(tài)下是“溫備件”冗余；④混合冗余結(jié)構(gòu)是混合的復(fù)雜系統(tǒng)，其中部分冗余模塊為被動結(jié)構(gòu)，部分冗余模塊是主動結(jié)構(gòu)[5]。為保證運載火箭在通道切換瞬間的穩(wěn)定性，通道間的控制量需做到無縫切換，結(jié)合系統(tǒng)對體積、質(zhì)量、可靠性的要求，以及系統(tǒng)復(fù)雜度、成本等因素，箭機冗余系統(tǒng)采用了同構(gòu)型熱備份的三余度工作模式，如圖1所示。

3個CPU的飛行控制軟件均運行于箭機中，輸入數(shù)據(jù)通過三路獨立的通道進入箭機CPU，供飛控軟件使用。3套飛控軟件通過內(nèi)部總線實現(xiàn)時間同步與數(shù)據(jù)交互，并將表決后的運算結(jié)果通過獨立的三路傳輸通道發(fā)送給輸出控制器終端。

圖1 三冗余箭機冗余結(jié)構(gòu)示意圖Fig.1 The sketch diagram of triple-redundant rocket computer redundancy structure

2 三冗余飛控軟件數(shù)字仿真平臺設(shè)計

2.1 軟件系統(tǒng)的總體設(shè)計

三冗余飛控數(shù)字仿真平臺運行于Windows系統(tǒng)平臺，采用從3份外部數(shù)據(jù)文件中獲取測試輸入數(shù)據(jù)的方式，模擬飛控軟件的輸入數(shù)據(jù)來源。采用模擬箭機硬件接口的方法解決飛控軟件在運行時所依賴的硬件資源，并通過數(shù)據(jù)記錄保存飛控軟件的輸出結(jié)果，系統(tǒng)的總體設(shè)計如圖2所示。

圖2 三冗余飛控軟件數(shù)字仿真平臺的總體設(shè)計示意圖Fig.2 The sketch diagram of overall design of triple-redundant fly control software digital emulation platform

飛行控制軟件仿真平臺主要包括了計算機接口模擬模塊、箭地接口模擬模塊、測試裝訂數(shù)據(jù)模擬模塊、流程控制功能模塊等模塊。外部輸入數(shù)據(jù)文件在經(jīng)過數(shù)據(jù)編碼、解算、轉(zhuǎn)換等處理后，與箭機硬件模擬接口模塊進行數(shù)據(jù)交互，將數(shù)據(jù)傳遞給三冗余飛控軟件。飛行控制軟件的數(shù)字仿真平臺對飛控軟件的外部各單機功能進行模擬，并保存計算結(jié)果。

2.2 箭機硬件接口模擬設(shè)計

飛控軟件數(shù)字仿真平臺創(chuàng)建出了一塊芯片內(nèi)存空間和寄存器空間，作為處理器的操作空間。當(dāng)飛控軟件的操作執(zhí)行完后，對內(nèi)存和寄存器進行分析，模擬寄存器的數(shù)據(jù)讀寫功能。同時，對飛控軟件、硬件相關(guān)的處理和操作進行模擬和等效，使用接口虛擬化技術(shù)完成替代。對于飛控軟件的運行環(huán)境(包括外圍硬件接口、處理器等資源)進行等效，例如對A/D芯片接口、D/A芯片接口、RS422接口、雙口RAM訪問接口的數(shù)據(jù)地址進行等效，對處理器的操作、寄存器、中斷、數(shù)據(jù)類型等進行軟件功能等效。

2.3 外部單機功能模擬設(shè)計

外部單機為飛控軟件的運行提供輸入數(shù)據(jù)來源、輸出數(shù)據(jù)通道及反饋來源。慣性測量單元模擬模塊模擬由陀螺儀測量的角增量累加和信息、由加速度計測量的視速度增量累加和輸出信息。速率陀螺模塊模擬姿態(tài)角速率陀螺輸入信號。舵反饋接口模塊模擬執(zhí)行部件、發(fā)送伺服舵擺反饋消息。GPS接口模擬獲取GPS數(shù)據(jù)、發(fā)送PPS秒脈沖的功能。箭地通信模塊模擬箭機與地面測試計算機的通信內(nèi)容及數(shù)據(jù)交互應(yīng)答機制。測試裝訂數(shù)據(jù)模塊模擬需要輸入的GPS數(shù)據(jù)、測量采集的數(shù)據(jù)、箭機裝訂數(shù)據(jù)。

2.4 流程控制模擬設(shè)計

流程控制功能模塊控制數(shù)字仿真平臺軟件的啟動/停止，控制箭機飛控軟件的程序數(shù)據(jù)裝訂、調(diào)零測試等流程，使飛控軟件定時轉(zhuǎn)換其在飛行階段中的功能，以及發(fā)送起飛、耗關(guān)信號。

3 余度冗余管理

3.1 同步算法設(shè)計

在飛行過程中，為滿足故障無縫切換的需求，3個CPU必須同步進行工作。同步是指3個CPU的周期任務(wù)在同一周期內(nèi)進行，相同任務(wù)在三通道內(nèi)盡可能在同一時刻執(zhí)行。若不能采用同步方式工作，則3個CPU間的周期任務(wù)則不能保證在同一拍完成，這意味著3個CPU的采樣與控制不能夠同時進行，無法實現(xiàn)3個CPU之間的無縫切換，將可能導(dǎo)致運載火箭在飛行瞬間的不穩(wěn)定。

導(dǎo)致飛控軟件3個CPU不能同步的原因主要包括：(1)通道啟動耗時差異；(2)晶振誤差的累積。通道啟動耗時差異是指由3個CPU操作系統(tǒng)啟動耗時的不同而產(chǎn)生的差異，這種差異將導(dǎo)致三通道不能同時進入飛控程序。晶振誤差的累積是導(dǎo)致3個CPU不能同步的另外一個原因。

在軟件設(shè)計過程中，針對啟動耗時的差異性，可采用開機同步技術(shù)；針對晶振誤差累積導(dǎo)致的差異，可采用毫秒周期同步技術(shù)，同時可結(jié)合任務(wù)特點提出飛行階段的轉(zhuǎn)化同步要求。時間同步穿插在整個飛行控制程序中，飛控程序的流程圖如圖3所示。

圖3 飛控軟件時間同步處理的過程示意圖Fig.3 The sketch diagram of fly control software time synchronization disposal process

毫秒中斷是飛控軟件運行的基礎(chǔ)，飛控軟件的事件及10ms軟中斷均由毫秒中斷觸發(fā)。在2個CPU計數(shù)計滿1ms時，毫秒中斷會被立刻觸發(fā)，進而保證了3個CPU毫秒中斷的同時觸發(fā)。

針對周期性的工作任務(wù)，如10ms工作任務(wù)，需進行時間同步，確保3個CPU的工作不錯拍、漏拍。對涉及到階段轉(zhuǎn)換的指令，需通過表決進行時間同步，以確保各CPU同時進行階段轉(zhuǎn)換。

3.2 故障注入設(shè)計

三余度飛控計算機的故障主要包括以下4類：

a)鏈路故障：在傳輸過程中，交叉?zhèn)鬏敵霈F(xiàn)鏈路故障，進而無法正常發(fā)送和接收數(shù)據(jù)；

b)余度計算機故障：計算機本身出現(xiàn)故障；

c)軟件故障：算法出現(xiàn)故障，可通過在計算結(jié)果中加入白噪聲來進行模擬；

d)通道內(nèi)故障：當(dāng)一個通道內(nèi)有2個以上CPU被同時使用時，出現(xiàn)CPU計算結(jié)果不一致的現(xiàn)象。

上述的幾類故障，可通過軟件模擬得以實現(xiàn)，軟件模擬策略如表1所示。

表1 故障輸入設(shè)計表Tab.1 Fault input designTable

根據(jù)前面提到的幾類故障，需在軟件中通過裝訂數(shù)據(jù)模塊進行故障注入。根據(jù)裝訂參數(shù)的不同，表決模塊會選擇不同的輸出，如用白噪聲模擬干擾，用無輸出模擬鏈路模擬故障或計算機故障。

3.3 冗余表決設(shè)計

3.3.1 輸入輸出監(jiān)控表決

三余度飛控計算機系統(tǒng)必須配有故障檢測環(huán)節(jié)，以監(jiān)控軟件的運行狀態(tài)。故障檢測主要的作用在于檢測系統(tǒng)是否出現(xiàn)了故障，還要針對出現(xiàn)故障的通道采取相應(yīng)的措施，以進行隔離。三余度飛控軟件使用比較監(jiān)控法進行輸入輸出表決。

輸入表決監(jiān)控對計算機所采樣的3個通道的數(shù)據(jù)進行表決與監(jiān)控。在應(yīng)用比較監(jiān)控算法之前，必須要確定比較門限的閾值。監(jiān)控門限值十分重要，其大小直接影響著監(jiān)控器的報警性能，進而影響了系統(tǒng)的故障檢測能力。過大的門限值將導(dǎo)致故障的漏檢率大，過小的門限值則導(dǎo)致虛警率大。

輸入數(shù)據(jù)采用門限比較法。假設(shè)門限ε為硬件的誤差值，數(shù)字量輸入的表決監(jiān)控周期為20ms。若用A、B、C分別表示A、B、C 3通道采樣的模擬量數(shù)據(jù)，每個通道都將收到的3個數(shù)據(jù)按大小順序進行排列。假定A為小值，B為中值，C為大值，故障安全值為限幅值M。輸入輸出監(jiān)控表決采用取中間值的算法，算法的流程如圖4所示。

圖4 輸入輸出表決算法的過程示意圖Fig.4 The sketch diagram of input and output vote arithmetic process

為驗證算法的可靠性，飛控軟件仿真平臺設(shè)計了算例，對輸入輸出監(jiān)控表決算法進行測試，測試的結(jié)果如表2所示。

表2 輸入輸出監(jiān)控表決算例Tab.2 Examples of input and output monitoring voting

如表2所示，3路輸入數(shù)據(jù)通過3路外部輸入文件的數(shù)據(jù)體現(xiàn)，安全限幅值M和安全門限ε為軟件固定設(shè)計參數(shù)，根據(jù)不同飛行階段和飛行時間裝訂不同的數(shù)值。比較軟件輸出結(jié)果與預(yù)期結(jié)果可知，軟件表決的實際輸出與期望輸出一致。

3.3.2 三冗余飛控軟件的交叉通信診斷

3個CPU通過數(shù)據(jù)鏈交換獲取數(shù)據(jù)，并根據(jù)3個計算機的采集數(shù)據(jù)進行自監(jiān)控和互監(jiān)控。每個CPU都給出針對3個飛控計算機的一組監(jiān)控結(jié)果，然后進行表決。表決模塊根據(jù)多數(shù)原則判斷哪個CPU出現(xiàn)了故障，并根據(jù)故障信息進行故障通道切換和顯示。為避免瞬時故障和來回切機的影響，可設(shè)置故障容忍門限，以排除瞬時故障，實現(xiàn)抗兩度故障的能力。

在圖1所示的交叉通信鏈路結(jié)構(gòu)中，輸入信號通過單獨3路線路進行數(shù)據(jù)傳輸，3個CPU具有獨立的處理能力，并具有三機交互能力。3個輸出接收模塊也具備數(shù)據(jù)交互能力。三冗余通信線路具有一度故障適應(yīng)能力，即當(dāng)其中任何1個通信節(jié)點出現(xiàn)故障時，系統(tǒng)均能夠正常通信；同時，三冗余飛控軟件具有非同源二度故障的容忍能力。

三冗余飛控軟件對通信線路進行故障診斷，若在約定時間內(nèi)無數(shù)據(jù)接收/發(fā)送，則判定該條通路故障，并對故障通路進行隔離，同時將其他通道的數(shù)據(jù)轉(zhuǎn)發(fā)給故障通道的CPU。3個CPU之間通過心跳進行檢測，若1個CPU在連續(xù)時間內(nèi)失去心跳，則判定其為故障，三冗余飛控軟件即降級為主從雙冗余系統(tǒng)實現(xiàn)運行。

4 結(jié) 論

本文提出了一種運載火箭三冗余飛控軟件數(shù)字仿真平臺設(shè)計方案，通過選擇合適的冗余模式，建立了三冗余飛控軟件數(shù)字仿真平臺的軟件總體架構(gòu)，給出了實現(xiàn)余度冗余策略、同步算法、冗余表決等關(guān)鍵技術(shù)工程的軟件流程。測試結(jié)果表明，該方案設(shè)計合理，不僅較好地完成了飛控計算機的余度管理任務(wù)，而且有效地保證了系統(tǒng)的可靠性與容錯能力。