獵戶座飛船電子系統設計特點分析與啟示

程博文 劉偉偉 何熊文 閻冬

(北京空間飛行器總體設計部，北京 100094)

獵戶座飛船電子系統設計特點分析與啟示

程博文 劉偉偉 何熊文 閻冬

(北京空間飛行器總體設計部，北京 100094)

2014年12月5日獵戶座飛船成功完成“探測飛行試驗”任務，標志著美國NASA為實現載人火星探測邁出了關鍵一步。文章從分析獵戶座飛船電子系統入手，總結了其高度靈活、可擴展、高可靠的設計目標，介紹了系統采用的分布式系統架構的設計特點及最終的實現方案；梳理了容錯計算機系統、時間觸發以太網和分時分區操作系統等關鍵技術的工作原理，并通過與傳統實現方式的對比，分析了上述技術在系統中的應用優勢。最后提出了發展建議，可為我國后續開展火星探測任務提供參考。

獵戶座飛船；電子系統；容錯計算機；時間觸發以太網；分時分區操作系統

1 引言

2014年12月5日，美國獵戶座載人飛船在經過4.5 h的飛行過程后，濺落太平洋，成功完成了首次無人探索飛行試驗(ETF-1)任務。NASA局長將此次任務的順利完成稱作“火星時代的第一天”。按計劃，獵戶座飛船將在2025年前將宇航員送往月球軌道的一顆小行星，并最終在2035年前后實現載人登陸火星任務[1-2]。

獵戶座飛船原本是NASA“星座”計劃中用于接替退役的航天飛機、承擔“國際空間站”人員往返運輸任務的航天器。2010年奧巴馬政府中止了“星座”計劃，但獵戶座飛船項目因仍能支持實現其載人深空探測目標而得以繼續。美國國會也將“航天發射系統”(SLS)與“獵戶座”飛船作為NASA載人航天和技術開發計劃的最高優先級項目予以保證。

獵戶座飛船作為目前唯一可實現載人火星探測任務的飛行器，雖然外形類似于“阿波羅”飛船，但其電子系統的設計卻充分借鑒了近10年來電子系統技術的最新成果，尤其是航空領域綜合電子系統的研發成果。系統采用“故障靜默”的工作模式，而非傳統的拜占庭容錯架構，并輔助以自檢處理器結構、容錯通信網絡以及分時分區操作系統技術，使得系統的可靠性和安全性達到航天飛機的10倍以上，為構建未來宇航探索項目的電子系統奠定了基礎。

本文針對獵戶座飛船電子系統體系結構的設計特點，重點分析了容錯計算機系統結構、總線網絡和操作系統等關鍵技術，并提出發展建議，可為我國后續開展載人火星探測任務提供參考。

2 獵戶座飛船電子系統概況

受制于美國國會大幅削減太空探索項目經費的影響，作為承研方的霍尼韋爾公司認為早期宇航項目對軟件和硬件修改和重新認證的費用是造成項目成本較高的主要因素。尤其是近10年來，地面商用電子系統技術的迅猛發展，使得早期選擇的電子器件在航天器服役時便已過時。因此，在系統設計時不應基于特定的電子部件構建，而是通過合理的體系結構設計，提供一個低成本、可擴展并支持項目全生命周期改進和升級的系統，從而簡化設計、開發、測試、集成、維護和升級的代價。下面將從整個系統設計目標、體系結構設計和具體實現方案3個方面進行介紹。

2.1 設計目標

從系統抽象的角度理解，獵戶座飛船的電子系統既包含對各類指令和遙測的處理，同時也包括多艙段對接控制、自動駕駛飛行、系統級的健康管理等一系列復雜的任務。因此，一個可滿足多種任務靈活擴展，并支持在故障情況下系統資源靈活重構的處理平臺是電子系統設計的主要目標。與此同時，平臺設計需要綜合權衡低成本與高可靠之間的矛盾。為此，電子系統的研發提出了如下的設計目標[3]：

(1)基于開放式的系統架構，構成系統核心的處理、通信和計算資源可根據系統需求靈活擴展、重新配置；

(2)基于已有的商業標準或成熟產品，允許第三方參與星載電子系統的軟硬件研發，降低研制成本；

(3)通過時空隔離技術，支持系統局部修改和升級，降低系統更新和重新認證的代價。同時將故障封鎖在局部，提升系統整體的可靠性。

2.2 體系結構設計

為滿足上述目標，一種簡單的實現方案是采用集中式的系統架構設計，如圖1所示。系統通過一臺中心計算機完成健康管理、自主控制、能源管理等核心功能，這種架構雖然簡單，但難以滿足系統重構、可擴展以及復雜任務解耦等多方面要求。

與集中式對應的是分布式體系結構，如圖2所示。在這種體系架構下，原先集中式計算機的功能被分解到若干個分布式的計算節點中，這些計算節點通過交換式網絡連接，相互之間沒有耦合關系，任務處理所需要的I/O數據或計算結果可通過交換式網絡被系統任意一個計算節點獲取，而網絡中數據的傳輸路徑則通過設計階段的規劃安排，具備鏈路冗余，故障情況下自主切換的能力[4]。

圖1 集中式系統架構Fig.1 Integrated process structure

圖2 分布式系統架構Fig.2 Distribute process structure

2.3 實現方案

基于分布式系統的設計思路，最終完成的“獵戶座”電子系統結構如圖3所示。系統選用時間觸發以太網(TTE)作為骨干網絡，系統各設備與網絡交換機進行連接，共包含18塊時間觸發以太網交換卡及46個終端節點。采用這種交換式的網絡結構，使得系統結構擴展靈活，如當有新設備需要接入系統時，只需要將新設備連入交換機即可，其他已連接設備不受任何影響[5]。

TTE網絡采用光纖作為傳輸介質，提供高達12.75 Gbit/s的帶寬。通信采用時間觸發方式，各節點的占用帶寬以及傳輸路徑通過預先規劃實現通信資源的靜態配置。當系統發生故障時，故障設備只影響自身所分配的帶寬，而對系統中其它節點沒有影響，形成天然的“防火墻”，避免故障擴散而對系統整體造成的災難性影響，系統可靠性顯著增強。與此同時，通過預先分配帶寬的方式，實現對系統資源使用情況的提前預估，從而降低了系統集成節點的復雜度。

圖3 基于時間觸發以太網的獵戶座飛船電子系統組成示意圖Fig.3 Architecture of Orion’s C&DH based on time-trigger Ethernet

星載計算機(VMC)作為獵戶座飛船的處理核心，完成整器控制、人機交互、系統通信等主要功能。在設計上，上述功能分別由飛行控制模塊(FCM)、顯示控制模塊(DCM)和通信控制模塊(CCM)完成，如圖4所示。FCM主要完成導航、推進控制、時間管理、整器資源配置管理、必要的子系統管理(如電源、生命保障等)功能。DCM作為飛行器狀態顯示及人機交互的接口，以圖形界面的方式向宇航員報告當前的飛行狀態和告警信息。此外DCM還可接受宇航員的輸入命令和數據，轉譯成可供執行的指令，分發到各分系統執行。CCM執行與外部系統的通信和協議轉換功能，通信協議采用以太網標準。此外CCM模塊提供大容量的數據存儲器用于存儲設備內部信息，如用于存儲飛行器停靠或分離時的圖像數據。星載計算機選用IBM PowerPC 750FX單核處理器，處理頻率最高可達900 MHz。

在組成方式上，上述處理模塊均與時間觸發以太網交換機進行連接，實現各處理器“上網”并完成網絡化的處理。在實現上，FCM、DCM和CCM并沒有采用傳統的三模冗余結構，而是采用具備自鎖功能的處理器結構及分時分區操作系統，操作系統包含6個分區(即系統分區、網絡通信輸入分區、網絡通信輸出分區、自測試分區、監控分區和其他功能分區)，可避免計算機在執行過程中，任意指令存取錯誤或軟件任務執行錯誤而對系統造成的災難性影響。

圖4 獵戶座飛船計算機(VMC)組成結構Fig.4 Structure of vehicle management computer

3 關鍵技術

通過對獵戶座飛船電子系統設計方案的介紹可以看出，作為一種既滿足高度靈活、可擴展同時兼顧高可靠需求的體系結構，基于自檢處理器結構的容錯計算機、時間觸發以太網和分時分區操作系統是支持體系結構實現的核心。下面將針對這些關鍵技術的設計特點以及應用情況進行詳細介紹。

3.1 基于自檢處理器的容錯計算機

在單個處理器模塊設計上，針對運行安全關鍵等級高任務(如飛行器控制、指令、資源管理、勢態感知等)的處理器模塊采用自檢處理器結構(Self-checking Processors，SCP)，如圖5所示。這種結構包含兩個處理器對，每個處理器都使用獨立的資源(包括處理器、晶振、Flash、RAM、輸入數據接口和供電接口)，比較邏輯分別對兩個處理器執行指令進行比較，若出現取址錯誤或軟件跑飛的情況，則關斷數據輸出，達到 “正常工作輸出，故障情況沉默”的效果。

圖5 自檢處理器組成結構Fig.5 Structure of self-checking processors

傳統的容錯計算機通常采用三模冗余的設計，軟硬件耦合程度較高，很難對系統中的硬件電路和軟件算法進行獨立測試和驗證，且表決器實現較為復雜，容易成為系統單點。而這種處理器自檢結構盡管無法區分硬件的瞬態或永久故障，但卻提供了接近100%的故障檢測率，并且此結構不依賴于特定的軟件算法和表決機制，簡單易于實現。

在具體應用時，獵戶座飛船中的兩個中心計算機(VMC1和VMC2)采用備份設計，所有模塊均與時間觸發以太網連接。以飛行控制模塊為例，兩個飛行控制模塊采用熱備份設計，占用時間觸發以太網中相同的通信時隙。利用時間觸發以太網提供的仲裁機制，在主份飛行控制模塊出現故障的情況下，系統功能通過時間觸發以太網連接的備份模塊接替運行，實現系統級容錯[6]。

3.2 時間觸發以太網

在計算機網絡發展歷程中，以太網作為眾多網絡技術中最具影響力的一種，具備低成本的應用優勢。但傳統以太網所采用的載波偵聽多路訪問(CSMA/CD)的介質訪問機制，是一種基于競爭的傳輸機制，無法保證網絡上數據傳輸的確定性，難以滿足獵戶座飛船高實時性要求的安全關鍵數據(如控制指令、平臺狀態遙測、異常告警信息等)的傳輸需求。

為解決以太網在傳輸過程中的時間不確定問題，同時發揮以太網低成本、易維護的應用優勢。時間觸發以太網在交換式以太網的基礎上引入了時間觸發機制，利用時間同步技術實現各節點按照統一的時間規劃完成各類信息的交互。時間觸發以太網提供的通信業務類型如圖6所示[7]。

(1)時間觸發(TT)通信：采用預留帶寬形式，保證確定的通信時延，通常用于具備嚴格實時性要求的應用場景。

(2)速率限制(RC)通信：采用流量整型技術，保證消息傳輸延遲有預定的最大值限制，數據可預防丟失，通常用于時間確定性和實時性較低的應用場景。

(3) 最大努力(BE)通信：遵循標準以太網通信，占用未分配的帶寬；優先級最低，傳輸延遲不確定。

圖6 時間觸發以太網支持的通信類型Fig.6 Time-trigger Ethernet supporting communication types

在獵戶座飛船的研制過程中，NASA在調研了1553B、SpaceWire、1394B、FlexRay、Arinc659、TTP等多種總線后，最終選用時間觸發以太網(TTE)作為系統的骨干網絡，改變了原先多種數據總線并存的格局。通過時間觸發以太網提供的不同業務等級的數據傳輸機制，可在一條總線上同時兼容實時性和可靠性要求較高的安全關鍵數據傳輸(如指令、遙測、傳感器數據等)以及高速率的普通數據傳輸(如話音、視頻、圖像等)，極大地簡化了器內總線網絡的復雜度，也降低了系統研制成本。此外，網絡帶寬的使用情況通過離線的方式進行預先規劃和驗證，不僅使得系統在設計之初就對帶寬的使用有了預先估計，避免潛在沖突。同時新節點加入只需要占用其他未分配帶寬，而對已占用帶寬不產生影響，使系統具備良好的升級、擴展能力[8]。

3.3 分時分區操作系統技術

為實現系統中大量復雜軟件的集成，同時避免不同軟件運行導致的系統可靠性降低的問題，獵戶座飛船采用航空領域廣泛使用的分時分區操作系統，通過時間分區(Temporal Partitioning)、空間分區(Spatial Partitioning)的思想，使一個處理器模塊中可以同時運行多個虛擬分區，分區的運行時間以及使用的存儲空間事先進行約定，運行時分區互不干擾。通過分時分區的隔離保護機制，使得不同分系統的、不同安全等級的軟件可以集成在同一個處理器中運行。這樣設計的好處在于：各分系統的軟件可以單獨修改、更新和重新認證而不影響其他分系統，這將有助于提高系統的可測試性，同時降低開發和維護的成本，也為未來的升級提供便利。

在操作系統選型上，獵戶座飛船使用了Green Hills公司提供的Integrity操作系統。該操作系統通過了RTCA DO-178B Level A級認證，符合綜合化、模塊化航空電子(IMA)應用軟件標準接口(Avionics Application Software Standard Interface)(即ARINC653-1)，如圖7所示。ARINC653標準主要包括分區管理、分區內線程管理、時間管理、分區間通信、分區內線程通信、健康監控技術、XML文件藍圖配置技術等。其中，分區是ARINC653的一個核心概念，是一種功能劃分。將運行在硬件模塊上的多個應用程序按功能獨立地進行劃分，劃分的單元即分區。分區內每一個執行單位稱為線程。每一個分區都有獨立的數據、上下文關系和運行環境，通過這種設計能夠防止一個分區的故障影響到其他分區，并使得整個系統易于驗證和認證[9-10]。

圖7 ARINC653分時分區操作系統結構圖Fig.7 Architecture of ARINC653 operating system

4 啟示

以獵戶座飛船為代表的先進航天器系統的成功研制及系統的設計思路，對我國航天器電子系統的設計而言，具有如下借鑒意義：

1)重視分布式電子系統體系結構的研究

應該來說，分布式相對于地面系統而言并不是一個新的概念。基于分布式概念構建的星載電子系統，可在星上處理和存儲能力有限的情況下，由多個處理單元構成星載分布式計算系統，大幅提升系統的處理能力，為未來深空探測任務中實現智能化的自主管理提供必須的計算能力的保障。與此同時，各處理單元執行的任務可在分布式系統中的各個處理單元中動態遷移和重構，使得系統整體的可靠性和容錯性都有了大幅提高，體系結構的開放性大大增強。目前，國外航天機構將這種分布式平臺應用在航天器上，已取得很大的進步。本文所調研的獵戶座飛船即是一個典型例子。

2)重視跨領域標準和產品的航天應用

獵戶座飛船作為一類深空探測類型的載人航天器，其系統平均無故障時間要求在109h。為滿足這種近乎嚴苛的可靠性要求，在飛船設計過程中大量借鑒了航空標準和成熟產品(如時間觸發以太網和分時分區操作系統等)，并通過適應性改進使其適合航天應用。這種通過跨領域借鑒的方式，有助于突破傳統航天領域的技術局限性，并且基于其他領域已有成熟的產品和標準設計的系統，在研制成本、研制風險和標準化等方面都具有明顯優勢，這也是滿足未來低成本、高可靠航天任務的有效途徑。

3)重視時間觸發以太網、分時分區操作系統等新技術研究

以總線網絡為例，雖然NASA在設計之初，選用了低速TTP總線和高速1394B總線的混合方案，但到最終實現的卻是基于時間觸發以太網單總線方案。通過時間觸發以太網良好的兼容性和高帶寬特點，一方面，優化了系統架構，使得各分系統可以基于統一的標準接口和通信協議進行設計，系統集成代價大大降低；另一方面，基于以太網技術使得器(星)內網絡與地面測試系統可以無縫銜接，地面測試系統的復雜度均可有效降低，系統研制效率大為提升。基于上述分析，時間觸發以太網在支持航天器擴展能力、通信業務能力等方面相對于傳統的總線技術(如1553B、SpaceWire等)有較大優勢，值得在后續的研究過程中加以重點關注。

References)

[1] Scott D Norris. Orion project statusn[C]// AIAA Space 2013 Conference and Expositio. Washington D.C.: AIAA,2013: 24-34

[2]Nick Heath. NASA’s Orion: the next generation of spacecraft computing,CBS Interactive Limited-39746665[R]. Washington D.C.: NASA,2010

[3]George W Eger. Orion’s command and data handling architecture[C]// AIAA SPACE 2008 Conference and Exposition. Washington D.C.:AIAA,2008: 57-64

[4]Randy Black,Mitch Fletcher. Next generation space avionics: layered system implementation[J]. IEEE A&E Systems Magazine,2005，9(5): 9-14

[5]Clint Baggerman,Mary McCabe. Avionics system architecture for the NASA Orion vehicle,SAE International-09ATC-0118 [R]. New York: IEEE,2009

[6]Ricky W Butler. A primer on architectural level fault tolerance,NASA/TM-2008-215108[R]. Washington D.C.: NASA,2008

[7]W Steiner. TTE Ethernet specification,TTTech Computertechnik AG 2008[EB/OL]. [2015-11-25]. http://www.tttech.com

[8]George Eger. Time Triggered Gigabit Ethernet on NASA’s Crewed Exploration Vehicle[C]// ADCSS Workshop. Washington D.C.: NASA,2013:112-124

[9]Electronic Engineering Committee. Avionics application software standard interface: ARINC specification 653[S]. Maryland: Aeronautical Radio Inc,2005

[10] John Rushby. Partitioning in avionics architectures: requirements,mechanisms,and assurance. NASA CR-1999-209347[R]. Washington D.C.: NASA,2000

(編輯：張小琳)

Research on Orion Electronic System

CHENG Bowen LIU Weiwei HE Xiongwen YAN Dong

(Beijing Institute of Spacecraft System Engineering，Beijing 100094，China)

On Dec 5th2014,Orion successful accomplished the ETF-1 experiment. It is a key symbol for America to make a step to Mars. Based on the design method of Orion’s electronic system,the paper summarizes the high flexible,easily expandable and strong reliable requirements and introduces the design characteristics of distributed architecture and the practical scheme which the system adopts. Key techniques of the design including fault-tolerant computer system,time-trigger Ethernet and time space partitioning operating system are introduced. Compared to the traditional implementation,the application benefits of these key technique are analysied. The research and development of Orion electronics system can offer reference for Chinese deep space manned spacecraft design.

Orion; electronic system; fault-tolerance computer; time-trigger Ethernet; time space partitioning operating system

2016-06-12；

2016-07-12

程博文，男，碩士，工程師，從事航天器綜合電子系統研究工作。Email:shanshui_66@163.com。

V443

A

10.3969/j.issn.1673-8748.2016.04.016