于古勝 朱 會 王鵬宇

（91550部隊 大連 116023）

1 引言

實時測控軟件系統(tǒng)在航天發(fā)射試驗任務中承擔實時數據處理、試驗航區(qū)安全控制、測量裝備數字引導、試驗指揮顯示和場際間信息傳輸等重要使命任務。實時測控軟件是測控系統(tǒng)的核心，其可靠性直接關系著飛行試驗任務的成敗。1981年美國哥倫比亞號航天飛機的第一次發(fā)射就是因為軟件開發(fā)過程中的一個影響軟件實時性效率的BUG而造成發(fā)射失敗［1］。問題是由一個程序員錯誤地將延遲因子從50ms重新設置為80ms，錯誤引起同步問題，導致發(fā)射失敗，造成了重大損失。事實證明，航天發(fā)射過程中大部分事故都是由軟件引起的。由于馮·諾依曼模型在程序與數據的區(qū)分上沒有確定性原則、人性的弱點和程序設計方法學的不完善，實時測控軟件的上百萬條指令完全由程序員設計、編寫，軟件中的BUG難以避免。適應國防和軍隊建設需要，靶場正在并將長期處于持續(xù)高密度試驗狀態(tài)，隨著試驗任務的日益繁重，對靶場測控軟件的質量提出了更高的要求。測控軟件質量和可靠性已經成為制約測控系統(tǒng)質量和可靠性的“瓶頸”。加強靶場測控軟件質量管理是提高測控軟件可靠性和未來高質量地完成新型試驗任務的必然要求。因此，研究提高實時測控軟件系統(tǒng)可靠性方法，最大限度地保證實時測控軟件可靠運行對保證航天試驗任務的順利完成意義重大。

2 實時測控軟件系統(tǒng)的特點

2.1 強實時性

所謂實時，是指在一個確定的時間里，對外部產生的事件做出響應，并在確定的時間里，完成這種響應及處理［2］。在航天測控系統(tǒng)中，這個確定的時間一般是ms級。實時處理的特性意味著如果在一個截止時間的最終期限內沒有完成規(guī)定的工作，就會引起數據丟失、數據非法、甚至產生致命性的災難［3］。因此，實時測控軟件系統(tǒng)必須在規(guī)定的時間周期內完成數據采集、處理，解算出被測目標的空間位置，顯示各種測量參數和曲線及采取相應的航區(qū)安全控制措施等任務，這就是測控軟件的強實時性特點。

2.2 高可靠性

靶場試驗“零缺陷”為目標的特點［4］決定了對實時測控軟件系統(tǒng)具有高可靠性要求。軟件的可靠性是指“軟件系統(tǒng)在規(guī)定的時間內及規(guī)定的環(huán)境下，完成規(guī)定功能的能力”［5］。軟件的可靠性和硬件的可靠性有著顯著的差別，其可靠性比硬件可靠性更難保證。主要表現在：

1）成熟軟件的可靠性不會因為使用而發(fā)生變化，而硬件會隨著時間和使用而老化，其可靠性具有浴盆曲線現像；

2）軟件可靠性取決于設計質量，硬件可靠性受設計、生產、使用所有過程影響；

3）軟件不會產生物理失效，對軟件的修復需要重新設計，并往往要考慮對整個軟件系統(tǒng)的影響，硬件的維護要通過修復或更換損壞部件來重新恢復其功能，影響往往是局部的。

需要指出的是：為提高硬件可靠性可采用冗余技術，而基于同一軟件的冗余不提高可靠性。

2.3 信息流量大、接口關系復雜

實時測控軟件系統(tǒng)是一個規(guī)模龐大的分布式實時處理系統(tǒng)，一般由運行于不同平臺的實時數據處理、航區(qū)安全控制、試驗指揮顯示和信息仿真等分系統(tǒng)組成，通常是由幾十個進程、線程通過復雜的接口關系組成的龐大的應用軟件系統(tǒng)。被測目標高速飛行，距離、速度、高度急劇變化的特性要求實時測控軟件系統(tǒng)在極短的時間內處理大量的數據信息。分布在不同地域的數十臺測控裝備在實時測控軟件系統(tǒng)的集中控制下協(xié)調運行完成航天測控任務。大射程飛行試驗需要多個指控中心接力完成實時測控任務，要求對不同體制測控信息接口協(xié)議進行實時轉換。測控信息流量大，測控系統(tǒng)接口關系復雜都會對實時測控的可靠性帶來一定影響。

3 實時測控軟件系統(tǒng)可靠性風險分析

3.1 開發(fā)周期長、軟件測試難度大的風險

開發(fā)實時測控軟件系統(tǒng)涉及到計算機硬件、網絡通信、時間統(tǒng)一、無線電外測、遙測遙控、光學測量、大地測量、水文氣象、彈道學、空氣動力學、應用數學等多領域知識，開發(fā)周期一般需要2年以上。航天測控領域的特殊性決定了實時測控軟件系統(tǒng)很難借助外部力量開發(fā)，只能由具備上述領域知識的航天指控中心的軟件研制人員根據試驗任務要求提出軟件需求，自行設計開發(fā)。他們集軟件交辦方、開發(fā)方、最終用戶于一身。不可能建立一般軟件開發(fā)的甲、乙方相互監(jiān)督制約的軟件開發(fā)機制。因此，實時測控軟件的測試難度較大，測試計劃、標準的制定，測試用例、邊界條件的選擇只能靠軟件開發(fā)人員憑經驗進行把握，很難有一個定量的依據和標準。開發(fā)周期長、測試難度大對保證實時測控軟件系統(tǒng)的可靠性提出了挑戰(zhàn)。

3.2 異構平臺實時數據可靠傳輸風險

在飛行試驗時，由于受地理條件和測量裝備作用范圍的限制，需布設多臺測量裝備，才能保證飛行器在整個飛行過程中的測量控制。各測量裝備以規(guī)定的周期向中心計算機系統(tǒng)傳送一點測量數據，各裝備向計算機系統(tǒng)傳輸測量數據采用了異構通信方式，即分別采用同步、異步和IP三種通信方式中的一種或多種。由于各裝備向計算機系統(tǒng)傳輸測量數據所采用的通信方式不同，以及受信道質量和傳輸時延不同的影響，計算機系統(tǒng)對每一點測量數據的接收可能存在通過某個信道傳輸的測量數據丟失或因時延較大而收到的不是同一時間點數據的現象。因此，對計算機系統(tǒng)而言，接收單一通信方式傳輸的測量信息，存在獲取的測量數據不完整、不齊全的問題；接收所有通信方式傳輸的測量信息，又存在獲取的測量數據冗余或不一致的問題。這些問題必然對實時處理可靠性帶來一定影響。

3.3 集中式數據處理方式面臨的風險

當前靶場實時測控軟件系統(tǒng)采用的是中心機集中處理方式下的硬件雙工機制，實時測控軟件系統(tǒng)在基于相同的操作系統(tǒng)平臺和相同的數據接口標準的中心機上運行，這種集中式處理方式在可靠性方面存在一定的風險。在飛行試驗過程中各種突發(fā)事件、異常事件隨機發(fā)生，某些非法的、異常輸入數據難以預測，由于中心機雙機軟件完全一致，異常處理方法也完全一致，如果對異常數據引起的錯誤處理不當可能會引起中心機雙機同時崩潰，給飛行試驗造成不可預料的風險代價和災難性的后果。

4 提高實時測控軟件系統(tǒng)可靠性途徑

4.1 樹立質量意識，把好軟件研制關

樹立軟件質量意識是搞好軟件質量管理的“第一道工序”。靶場測控軟件和靶場其它專用裝備一樣有其生存周期。軟件的生存周期是指從提出軟件產品的任務開始到軟件產品不能使用為止的時間叫軟件的生存周期［6］。包括：項目規(guī)劃、需求分析、概要設計、詳細設計、編碼及測試、系統(tǒng)運行維護等不同階段［7］。在項目規(guī)劃階段，要建立軟件質量標準和制定軟件開發(fā)質量保證計劃并成立軟件質量保證組。在需求分析階段，軟件質量保證組要和軟件研制人員共同探討數學模型的合理性、準確性等問題，并對需求分析階段產生的文檔進行審查。在概要設計階段，質量保證組要重點監(jiān)督審查以下幾個方面：設計文檔的編制標準，規(guī)定編碼的信息形式，與硬件操作系統(tǒng)的接口規(guī)約、命名規(guī)則；模塊的層次結構、功能、對應關系、調用關系和接口關系設計；為實現系統(tǒng)的功能需求所必需的算法和模塊間的控制方式；輸入/出文件的詳細的數據結構；數據的保護性和一致性設計；冗余設計及概要設計階段的文檔。在詳細設計階段，質量檢查的重點是對軟件研制進度進行控制。在編碼及測試階段，重點是依據測試原則對軟件測試進行監(jiān)督，檢查模塊測試及系統(tǒng)集成測試的關鍵環(huán)節(jié)。在系統(tǒng)運行維護階段，軟件管理者要對軟件的修改維護進行全程監(jiān)督，嚴格軟件的出入庫登記制度和簽字審批手續(xù)。

4.2 以“零缺陷”為目標，完善測試手段

為了保證實時測控軟件系統(tǒng)的可靠性，一般采用開發(fā)仿真測試軟件并用飛機模擬被測目標進行聯(lián)試、校飛。根據試驗任務的具體功能指標要求，結合實時測控軟件的特性，開發(fā)仿真系統(tǒng)進行測試［8］。仿真系統(tǒng)要盡最大可能模仿飛行器的實際飛行過程和測量設備的工作狀態(tài)。設計各種故障彈道和測量數據包進行仿真測試，檢驗實時測控軟件數據處理的正確性。仿真系統(tǒng)主要是模擬外部測控設備、故障飛行器、故障設備的信息，邊界條件數據和干擾數據，用于檢測實時測控軟件系統(tǒng)可靠性、實時性和穩(wěn)定性。從總體上檢測系統(tǒng)功能、數據處理是否滿足精度要求，以及用戶顯示界面是否滿足研制任務書的要求和任務的需求。從而考驗實時測控軟件系統(tǒng)各主要功能。校飛是指利用飛機模仿被測目標，整個測控系統(tǒng)開機對實際飛行的目標進行測量。這種方法對功能測試直觀、有效，可檢驗實時測控軟件整體功能的正確性，外部測控設備與指控系統(tǒng)軟、硬接口的準確性，輸入、輸出信息格式，數學模型中的數字濾波、數據檢擇、彈道解算、實時處理精度是否符合設計要求，安全故障判斷準則，穿越安全管道、必炸線報警等功能的正確性。

4.3 基于靶場公共體系統(tǒng)結構的多路IP數據的實時應用

當前靶場聯(lián)網裝備與通信裝備互聯(lián)采用DDN和IP體制并存下互聯(lián)方式，它是指聯(lián)網裝備與通信裝備之間主要通過DDN節(jié)點機和IP交換機實現試驗信息傳輸的通信方式。由于通信時延等因素必然產生異構的通信方式下實時數據不一致的問題。DDN體制傳輸容量小，固定連接無法解決用戶接入靈活性，無法解決通信質量穩(wěn)定性等問題，主要設備價格高，面臨市場淘汰。IP技術已成為通信業(yè)務承載層的主流技術。IP設備生產廠家多，性價比高，且有以下技術優(yōu)勢：網絡自動尋址且不面向連接，用戶可以自己確定通信對象，并可不經網絡允許就向網內發(fā)送信息；線路的統(tǒng)計（隨機）時分復用即排隊轉發(fā)，使用戶可以用一個物理接口同時和多個對象通信；開放的網絡協(xié)議，互聯(lián)互通性好；統(tǒng)一化的用戶網絡接口即以太網接口，便于用戶接入。因此，為了實現測控資源的互聯(lián)、互通、互操作的要求，提高實時數據處理的可靠性，實時測控軟件系統(tǒng)采用靶場公共體系結構標準進行設計，并逐漸采用多路IP網絡數據互為備份的方式進行網絡傳輸，這樣可以有效保證實時數據處理的實時性和完整性，從而提高系統(tǒng)可靠性。

4.4 研究探索新機制，設計高可靠性實時軟件架構

當前國內靶場一般采用中心機雙工熱備份的方式進行實時數據處理，從硬件上進行雙工設計，軟件上還是基于同一操作系統(tǒng)平臺的“單工模式”，異常事件造成中心機雙機死機的風險依然存在，有必要研究建立中心計算機軟件雙工系統(tǒng)的方法。軟件雙工是在不改變中心機雙工熱備份和集中式處理模式的前提下，遵從相同的用戶需求和接口約定，基于異構的操作系統(tǒng)平臺、不同的數學模型和數據處理方法，特別是異常數據處理方法，不同的數據驅動模式，研制兩套不同的實時測控軟件系統(tǒng)，在保證兩套軟件同步運行和I/O信息一致前提下，實現軟件雙工控制，并保證兩套軟件處理結果的一致性，從軟件架構設計上提高測控可靠性。另一種方式是改變中心機集中式處理模式，把集群技術引入實時測控軟件系統(tǒng)，采用高可用性集群技術，將中心機承擔的外測處理、遙測處理、數字引導、落點計算和場際通信等功能分布在不同的集群節(jié)點上［9］。集群內部按功能分為控制節(jié)點和計算節(jié)點，控制節(jié)點采用雙工熱備份方式工作［10］，主要功能是對集群節(jié)點運行狀態(tài)進行實時監(jiān)控、故障判斷、任務調度，對控制節(jié)點進行主備切換，把外測處理、遙測、落點計算等功能分布在各計算節(jié)點上，一旦某一計算節(jié)點出現故障，由控制節(jié)點把任務遷移到正常工作節(jié)點上，只要集群系統(tǒng)有一個計算節(jié)點正常工作，就能保證實時數據處理任務的完成，因此，集群系統(tǒng)有效提高了實時數據處理的可靠性［11］。上述兩種模式都可有效提高實時測控軟件系統(tǒng)可靠性。軟件雙工模式由于耗時多、投入大，目前還處于研究階段。集群模式工程適用性強，是實時數據處理技術的重點發(fā)展方向，有著良好的應用前景。

5 結語

測控是飛行試驗必不可少的基本條件，也是飛行試驗成敗的關鍵。航天飛行試驗是一個不過逆的過程，代價昂貴，如果不能保證試驗安全，會造成不可挽回的損失［12］。要求測控系統(tǒng)的核心實時測控軟件系統(tǒng)必須性能優(yōu)良、工作可靠［13］。把好軟件研制質量關、加強軟件測試、建立多路IP數據傳輸模式、設計高可靠性軟件架構是提高實時測控軟件系統(tǒng)的有效手段。應該指出的是：對實時測控軟件系統(tǒng)這樣規(guī)模龐大的應用軟件系統(tǒng)，無論采用何種方法都無法一勞永逸解決可靠性問題，還需要測控軟件的研制和使用人員在應用過程中不斷探索新的提高實時測控軟件系統(tǒng)可靠性方法，盡最大可能找出系統(tǒng)的缺陷，以確保航天試驗任務的順利完成。

［1］B.Bruegge，A.H.Dutoit.面向對象的軟件工程［M］.吳丹，唐憶，等譯.北京：清華大學出版社，2002：281-183.

［2］鄭宗漢.實時系統(tǒng)軟件基礎［M］.北京：清華大學出版社，2003：2-5.

［3］翟麗麗.Digital UNIX實時應用指南［M］.大連：大連理工大學出版社，2000：2-3.

［4］張瑞國，郝云勝，靶場試驗作息化戰(zhàn)略規(guī)劃方法研究.導彈試驗技術［J］.2008，87（3）：1-3.

［5］章暉，陳洪鈞，孫赤全.軟件可靠性設計與評估方法研究.海軍裝備［J］.2005，366（6）：10-12.

［6］郭高峰.淺析海軍電子裝備軟件可靠性.海軍裝備［J］.2005，366（6）：22-24.

［7］許聚常，王占武，呂波等.總裝備部軟件工程規(guī)范［S］.北京：中國人民解放軍總裝備部司令部，2008：3-5.

［8］楊榜林，岳全發(fā)等.軍事裝備試驗學［M］.北京：國防工業(yè)出版社，2002：235-237.

［9］白欣，宋博，左繼章，向建軍.測控系統(tǒng)中高性能實時集群的研究與實現.微電子學與計算機［J］.2003，20（4）：35-38.

［10］向建軍，左繼章，白欣.基于多任務并行處理的實時集群計算機系統(tǒng).系統(tǒng)工程與電子技術［J］.2003，25（9）：1144-1146.

［11］于古勝，李連登.實時測控集群數據分發(fā)方法研究.導彈與航天運載技術［J］.2014，332（3）：71-73.

［12］黃學德，成求青.導彈測控系統(tǒng)［M］.北京：國防工業(yè)出版社，2000：3-6.

［13］金振中，李曉斌.戰(zhàn)術導彈試驗設計［M］.北京：國防工業(yè)出版社，2013：224-225.