馮忠偉 姜 爽 曾 發(fā) 陳玉坤

(中國運載火箭技術(shù)研究院研究發(fā)展中心，北京 100076)

1 引 言

隨著航天技術(shù)的發(fā)展，對航天器的可靠性要求越來越高，總線作為信息傳輸?shù)闹鞲傻朗翘岣哒麄€航天器可靠性的重點環(huán)節(jié)之一。在以事件觸發(fā)的總線(網(wǎng)絡(luò))架構(gòu)下，當(dāng)某一事件發(fā)生時即廣播該事件，采用先來先服務(wù)的方式進(jìn)行數(shù)據(jù)的發(fā)送和接收，由于事件發(fā)生的不確定性，當(dāng)多個任務(wù)同時進(jìn)行數(shù)據(jù)傳輸時，可能發(fā)生資源訪問沖突的問題，造成通信延時和時間偏移的不確定性，降低了航天器的可靠性。

TTE/TTP技術(shù)是為了實現(xiàn)高可靠、延時確定性系統(tǒng)而提出的，最早由維也納科技大學(xué)Hermann Kopetz等人提出，目前商業(yè)上的開發(fā)機(jī)構(gòu)主要有TTTech等公司[1]。在TTE/TTP系統(tǒng)中，所有節(jié)點通過一個全局時鐘實現(xiàn)同步，每一個節(jié)點只在規(guī)定的時間進(jìn)行數(shù)據(jù)的收發(fā)，因此系統(tǒng)內(nèi)發(fā)生的任何事件具有可預(yù)見性，不會發(fā)生資源訪問沖突的問題，是實現(xiàn)高可靠總線傳輸?shù)囊环N有效途徑。

TTE/TTP技術(shù)在國外的研究較為成熟，并且在一些重大航空、航天項目中取得了實際應(yīng)用，主要應(yīng)用包括：1)A380客艙壓力控制系統(tǒng)；2)Boeing787電源及環(huán)境控制系統(tǒng)；3)NASA“獵戶座”飛行器數(shù)據(jù)管理系統(tǒng)；4)F-16全權(quán)數(shù)字發(fā)動機(jī)控制系統(tǒng)。目前，國內(nèi)相關(guān)技術(shù)的研究主要處于實驗室研究階段[1,2]。

本文分析了TTE/TTP技術(shù)的主要優(yōu)勢，同時分析了TTE/TTP技術(shù)在實際應(yīng)用中面臨的關(guān)鍵問題，并對該技術(shù)在航天器中的應(yīng)用前景進(jìn)行了展望。

2 TTE/TTP基本原理

TTE/TTP技術(shù)的基本原理如圖1所示，整個時間軸由包含多個時分多址周期(TDMA)的簇周期構(gòu)成，在一個TDMA周期內(nèi)，網(wǎng)絡(luò)中各個同步節(jié)點分別占用不同的時間槽，該時間槽在每個TDMA周期內(nèi)的時間坐標(biāo)是固定的，每個節(jié)點只在定義的時間槽內(nèi)收發(fā)數(shù)據(jù)，各個節(jié)點之間通過全局時鐘機(jī)制保持同步，由于各個節(jié)點分別占用不同的時間片段，所有節(jié)點的的通信互相不沖突。

圖1 TTE/TTP工作原理示意圖Fig.1 Basic principle of the TTE/TTP

基于時間觸發(fā)原理實現(xiàn)的組織形式稱為時間觸發(fā)架構(gòu)(TTA)，而在該架構(gòu)下定義的相關(guān)通訊協(xié)議稱為時間觸發(fā)協(xié)議(TTP)，一種TTP系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 TTP總線系統(tǒng)的硬件組成Fig.2 Hardware composition of the TTP

該系統(tǒng)由節(jié)點主機(jī)、TTP總線控制器及總線連接電纜等部分組成，主機(jī)代表系統(tǒng)中的各個通訊節(jié)點，各個節(jié)點通過TTP總線控制器訪問總線，節(jié)點之間通過廣播方式工作，即每個節(jié)點可以接收到總線中傳輸?shù)乃袛?shù)據(jù)，系統(tǒng)中兩條總線互為備份。該結(jié)構(gòu)同1553B總線系統(tǒng)具有類似的組織架構(gòu)，不同之處在于1553B總線系統(tǒng)通過一個總線控制器組織全系統(tǒng)的通訊，其他遠(yuǎn)程終端只有在接收到總線控制器的指令后才執(zhí)行對應(yīng)的操作，而TTP總線系統(tǒng)中各個節(jié)點是在全局時鐘的統(tǒng)一控制下在各自定義的時間槽內(nèi)完成數(shù)據(jù)收發(fā)的。

TTP協(xié)議控制器是整個系統(tǒng)中的核心部件，其基本結(jié)構(gòu)描述如圖3所示，主要包括通信網(wǎng)絡(luò)接口(CNI)、協(xié)議處理器、TTP信息描述表(MEDL)及總線開關(guān)組成，CNI是主機(jī)同TTP總線控制器之間的接口，協(xié)議處理器完成時間觸發(fā)協(xié)議的解釋執(zhí)行，TTP信息描述表中存儲了當(dāng)前節(jié)點的工作時序，是節(jié)點觸發(fā)工作的依據(jù)。

圖3 TTP協(xié)議控制器內(nèi)部結(jié)構(gòu)示意圖Fig.3 Framework of the TTP protocol controller

每一個協(xié)議控制器存儲著自己的調(diào)度控制數(shù)據(jù)，這些數(shù)據(jù)存儲在MEDL表中，包括消息的發(fā)送和接收及其對應(yīng)的時刻，這些調(diào)度控制數(shù)據(jù)根據(jù)系統(tǒng)的功能需求，在系統(tǒng)設(shè)計之初確定，所有節(jié)點的MEDL表組成了唯一的一個系統(tǒng)設(shè)計方案。不同控制器相應(yīng)的MEDL表的具體內(nèi)容也不盡相同，通常MEDL包含如下內(nèi)容：

調(diào)度參數(shù)：該參數(shù)描述了基本的通信行為和必要的啟動、集成參數(shù)，例如是否允許本控制器發(fā)送冷啟動標(biāo)志、定義時間傳輸精度等；

標(biāo)識符：調(diào)度方案ID號，應(yīng)用標(biāo)識符等；

TDMA參數(shù)：包括：節(jié)點發(fā)送、接收數(shù)據(jù)的時間槽，發(fā)送、接收數(shù)據(jù)地址和長度。

（1）營27X3井應(yīng)用排砂采油工藝技術(shù)恢復(fù)生產(chǎn)是成功的，投產(chǎn)初期取得了日產(chǎn)液15.5t、日產(chǎn)油7.1t、含水率54.5%的效果。

TTP系統(tǒng)開發(fā)流程如圖 4所示，流程主要包括需求說明、架構(gòu)設(shè)計、函數(shù)設(shè)計、函數(shù)仿真、故障建模、實現(xiàn)及集成、測試及故障注入等幾個步驟。在需求說明中主要明確函數(shù)需求、時間限制、系統(tǒng)可靠性等內(nèi)容；在架構(gòu)設(shè)計步驟中定義通訊網(wǎng)絡(luò)的結(jié)構(gòu)、節(jié)點間的通訊關(guān)系及應(yīng)用的調(diào)度；函數(shù)設(shè)計階段則通過函數(shù)設(shè)計實現(xiàn)相應(yīng)的功能，如防抱死系統(tǒng)的控制循環(huán)。該環(huán)節(jié)可以采用MATLAB中的 Simulink等工具進(jìn)行實現(xiàn)；后續(xù)則通過函數(shù)仿真及故障建模對函數(shù)的設(shè)計進(jìn)行驗證；最后則通過實現(xiàn)及集成完成最終的設(shè)計，同時通過測試和故障注入對系統(tǒng)進(jìn)行監(jiān)測。

圖4 時間觸發(fā)系統(tǒng)實現(xiàn)過程示意圖Fig.4 Workflow of the time triggered system

3 時間觸發(fā)的優(yōu)勢

時間觸發(fā)總線的全局時間是時間觸發(fā)網(wǎng)絡(luò)運行的基礎(chǔ)，同基于事件觸發(fā)的總線系統(tǒng)比較，采用這種機(jī)制實現(xiàn)的系統(tǒng)具有故障分區(qū)隔離、資源利用率高、精確系統(tǒng)診斷、可組合性好等優(yōu)點：

分區(qū)隔離：每一個應(yīng)用都基于全局時間，而不是基于外部的事件進(jìn)行通信，這有利于將一個應(yīng)用的錯誤隔離在一定的范圍內(nèi)，而不會傳遞到系統(tǒng)中的其它應(yīng)用，這種效果稱為分區(qū)隔離。分區(qū)隔離可用于錯誤隔離機(jī)制，該技術(shù)稱為時域防火墻，通過時域防火墻，可以避免出錯的應(yīng)用無休止地使用網(wǎng)絡(luò)資源，同時可以依據(jù)出錯位置，對出錯的組件進(jìn)行隔離。

提高資源利用率：由于時間觸發(fā)協(xié)議沒有通信沖突，可通過時間觸發(fā)機(jī)制來減少網(wǎng)絡(luò)節(jié)點中緩沖區(qū)的大小，且節(jié)點不需要為突發(fā)消息準(zhǔn)備大的通信緩沖區(qū)，甚至在時間觸發(fā)節(jié)點中可并用發(fā)送和接收邏輯，因此，時間觸發(fā)通信可以減少網(wǎng)絡(luò)中的緩沖區(qū)需求量，從而有利于提高系統(tǒng)資源的利用率。

精確系統(tǒng)診斷：時間觸發(fā)系統(tǒng)中每個時刻發(fā)生的事件及主體是明確的，因此可以精確定位系統(tǒng)的故障來源，從而準(zhǔn)確建立全局的系統(tǒng)狀態(tài)，利于系統(tǒng)的重構(gòu)過程和系統(tǒng)維護(hù)操作。

良好的可組合性：由于網(wǎng)絡(luò)中各個節(jié)點的狀態(tài)不會影響其他部分的正常運行，系統(tǒng)測試、開發(fā)及實際運行中可以采用自由的組合方式，只要保證各個節(jié)點的工作時間段是相同的，各種組合方式同完整系統(tǒng)具有相同的效果。這種方式尤其利于設(shè)備的開發(fā)階段，只需要確定設(shè)備的通訊狀態(tài)，按要求完成設(shè)備開發(fā)后即可保證系統(tǒng)集成后穩(wěn)定工作。

4 關(guān)鍵技術(shù)分析

時間觸發(fā)是一種新的總線技術(shù)，在航空、航天領(lǐng)域中的應(yīng)用仍然處于起步階段，要實現(xiàn)成熟應(yīng)用還需要解決相關(guān)的關(guān)鍵技術(shù)，包括時間調(diào)度表設(shè)計、時間同步技術(shù)、時間調(diào)度動態(tài)調(diào)整技術(shù)，同時還需要更多成熟的配套產(chǎn)品及相關(guān)的應(yīng)用驗證。

4.1 時間調(diào)度表設(shè)計

時間觸發(fā)總線系統(tǒng)中各個節(jié)點在全局時鐘的統(tǒng)一控制下，各自在規(guī)定的時間段內(nèi)進(jìn)行數(shù)據(jù)收發(fā)，各個節(jié)點的工作互不干擾，通過這種機(jī)制使系統(tǒng)具有分區(qū)隔離、資源利用率高、精確診斷及容易組合等優(yōu)點。但是發(fā)揮時間觸發(fā)總線技術(shù)優(yōu)點的前提是制定完整、高效的時間調(diào)度表，即在設(shè)計階段確定各個節(jié)點的工作時間段及內(nèi)容，具體滿足以下幾個方面的內(nèi)容：

合理分配各個節(jié)點的時間段長，對于信息量大的節(jié)點可以安排較長的工作時間段，而對于信息量小的節(jié)點則可以適當(dāng)縮短工作時間段。

合理制定各個節(jié)點的工作周期，對于變化速率快的節(jié)點，可以在一個時分多址周期內(nèi)安排多個時間槽，而對于變化速率慢的節(jié)點可以在多個時分多址周期內(nèi)安排一個時間槽。

對于有先后時間關(guān)系的節(jié)點，在安排各個時間段時需要考慮之間的先后順序。

時間調(diào)度表的設(shè)計要站在全局的高度，綜合考慮節(jié)點類型、工作特性、系統(tǒng)資源限制等因素，只有制定了符合實際情況的時間調(diào)度表，才能最大程度地利用系統(tǒng)資源，充分發(fā)揮時間觸發(fā)技術(shù)的優(yōu)勢。

4.2 時間同步技術(shù)

在時間觸發(fā)總線系統(tǒng)中，一次數(shù)據(jù)收發(fā)的過程可以通過圖5表示。

圖5 時間觸發(fā)總線系統(tǒng)數(shù)據(jù)收發(fā)過程示意圖Fig.5 T/R date flow of the time triggered system

Δc-2π≤Δp+Δd≤Δc+2π

(1)

從式(1)可見，為了實現(xiàn)時間觸發(fā)系統(tǒng)的正常通訊，必須建立一個具有容錯能力的全局同步時鐘。

全局同步時鐘是對各個節(jié)點本地時鐘進(jìn)行同步的抽象概括，在系統(tǒng)中由一個或幾個主時鐘定期廣播時間指令，各節(jié)點的本地時鐘根據(jù)收到的時間指令進(jìn)行校時，該過程即為時間同步。時間調(diào)度表執(zhí)行的穩(wěn)健性同全局時鐘的同步性及同步算法密切相關(guān)，均值算法和基于事件的算法是兩種基本的同步算法：均值算法中各個節(jié)點實時比較本地時鐘同其他節(jié)點時鐘之間的差值，例如通過比較一個預(yù)定事件的實際發(fā)生時間和其設(shè)計時間，以若干個周期的差值的均值作為本地時鐘的校正值。均值算法需要設(shè)定一定的容錯機(jī)制避免錯誤時鐘對各個系統(tǒng)的影響，不同的容錯機(jī)制即構(gòu)成了不同的均值同步算法?；谑录耐剿惴▌t依賴于總線上事件敏感的節(jié)點，當(dāng)達(dá)到預(yù)設(shè)同步時間時，該節(jié)點廣播“就緒”事件，當(dāng)該節(jié)點接收到若干個其他節(jié)點的回復(fù)事件時進(jìn)行時鐘校準(zhǔn)。不同的算法實現(xiàn)細(xì)節(jié)及錯誤假設(shè)模型將直接影響系統(tǒng)的同步精度和容錯能力。

4.3 時間調(diào)度的動態(tài)調(diào)整

航天器在執(zhí)行任務(wù)的過程中，可能以不同的模式工作，在不同的模式下系統(tǒng)中節(jié)點的工作狀態(tài)也將發(fā)生變化，此時就需要系統(tǒng)具有一定的自適應(yīng)能力以滿足不同條件下的需求。雖然時間觸發(fā)總線提供了一種高可靠、時延確定性系統(tǒng)的解決方案，但是在這類系統(tǒng)中時間調(diào)度表是在系統(tǒng)之初設(shè)計好，預(yù)先存放在MEDL中的，對于調(diào)度表的實時更改存在難度和風(fēng)險，系統(tǒng)的柔性和可擴(kuò)展性受到限制，對于適應(yīng)任務(wù)變化的能力有限。因此，研究如何在保證時間觸發(fā)總線技術(shù)優(yōu)勢的基礎(chǔ)上，提高這類系統(tǒng)適應(yīng)動態(tài)任務(wù)變化的能力成為一項迫切需要解決的問題[3]。一種可行的方案可以借鑒衛(wèi)星上多種工作模式切換的方式，預(yù)先設(shè)計若干套時間調(diào)度策略，在不同的階段通過硬件或軟件的方式實現(xiàn)切換。

5 結(jié)束語

時間觸發(fā)總線技術(shù)是相對事件觸發(fā)總線技術(shù)提出的，通過采用時間觸發(fā)總線技術(shù)保證了系統(tǒng)的可靠性、資源利用率、時間確定性以及系統(tǒng)的可組合性等性能，這些性能的提高使時間觸發(fā)總線技術(shù)在航天器中的應(yīng)用前景廣闊。

但是，時間觸發(fā)總線技術(shù)的優(yōu)勢是以犧牲系統(tǒng)的柔性、動態(tài)任務(wù)適應(yīng)性為代價換得的，當(dāng)航天器在不同階段需要滿足不同任務(wù)需求時，這類系統(tǒng)的局限性也就顯現(xiàn)出來。為實現(xiàn)時間觸發(fā)技術(shù)在航天器中的成熟應(yīng)用，需要解決全局調(diào)度表設(shè)計、時間同步、調(diào)度動態(tài)調(diào)整及配套器件設(shè)備等關(guān)鍵問題。

[1] 郭麗娟，劉雙與，張激. 基于時間觸發(fā)的高可靠性實時系統(tǒng)架構(gòu)[J].計算機(jī)工程，2006,32(4).

[2] 劉晚春，李峭，何鋒等. 時間觸發(fā)以太網(wǎng)同步及調(diào)度機(jī)制的研究[J].航空計算技術(shù)，2011,41(4).

[3] John M. Rushby. A scalable, reconfigurable, and dependable time triggered architecture. DARPA report, 2003(7).