国际空间站上使用的两种计算机周　林(中国空间技术研究院总体设计部　北京　100086)文　摘　欧空局为国际空间站研制了两个新型的计算机:容错计算机(FT C)和标准有效载荷计算机(SPL C),它们可以满足空间站对计算机的需要,可以方便地构成各分种布式数据管理结构。

文中介绍这两种不同类型的计算机设计。

主题词　国际空间站　容错计算机　有效载荷计算机前　言在过去10年期间,商用电子设备和专用微处理器、存储器芯片以及随后的硬件设备的寿命变得越来越短了。

事实上,每隔半年,计算机的性能就翻一倍。

在使用新技术方面,地面与太空应用新技术的间隙变得越来越宽了。

在将商业产品应用在空间领域时,特殊的空间环境约束不允许将新技术集成在具有安全性、关键性、高可靠性要求的系统功能中。

其主要原因是太空环境对专用处理器和存储器芯片具有高可靠的、抗辐射EEE性能。

于是,只好采取为每一项特殊的空间任务专门设计一种解决方案的方法,这种方法就成了制定研制计划、增加费用的主要驱动力。

因此,软件工程也成了特有的、专用的产品,并且需要专门研制地面支持设备和软件设计的开发环境。

为了避免这种情况,欧空局从加快研制进度和标准化的角度出发,大胆改进了以往传统的设计方法,使地面系统和飞行器上的软件都可使用商业上的产品,将飞行器上的硬件结构制作成标准组件并具有可重构性,使它既能够完成多种太空任务,又能够与商用硬件和软件接口。

对于安全性、关键性任务,最好的设计思想是要求设备容忍故障而不是避免故障。

1　新的设计概念在空间电子学和地面电子学之间(特别是在计算机应用领域)的技术鸿沟将长期存在,这是因为空间电子设备必须经受辐射的考验,因此,某些对辐射敏感的技术就不能用在空间设备上。

从而引起一种新的脱离先前的专门设计的理念,欧空局提出了研制通用型标准计算机的思想。

这种计算机可以普遍应用在空间飞行器上,达到了减少工程费用,缩短设计、开发周期的目的。

这种计算机首先在国际空间站计算机设计中得到了验证。

这种新的设计理念具有下列关键特性:¹在两级水平上积木化:即首先在EU RO标准尺寸的基板上集成基本功能;然后,用钩将第二层板固定在基板的上部,该板称为夹层板;º开放式计算机结构;»可以选择寄存在一个主板上的功能,便于改变各板的连接方式;¼精密的设备接口标准:VEM(工业内部计算机总线标准),MIL-STD-1553B接口,以太网接口,RS-422接口,视频接口。

½选用商用宽温型处理器(SPARC),使其具有抗辐射的能力。

但是,在设计CPU计板结构时,应考虑使其将来能够适应小型化设计的变化。

¾使用标准商用实时操作系统,确保与商用软件产品、地面设备和软件开发环境兼容。

　收稿日期:2004-03-22¿将输入/输出功能与中央处理单元(CPU )分离,这就意味着使用具有智能化的外围接口,减少CPU 的负担,可以随着任务的需要,增加数据流量。

À将软件进行分层,定义各层之间的接口。

典型的软件层次如下:板级支持软件包(硬件到软件接口);操作系统与硬件驱动;对外通信用接口协议软件。

由于这些新的设计理念,出现了安全性、关键性任务要求的容错计算机设计和国际空间站实验设备用标准有效载荷处理器两种计算机设计方案。

2　容错计算机为了满足空间任务的要求——高可靠性、高效率和抗辐射,欧空局设计了容错计算机(FTC)。

它是一个按照标准规格设计的计算机,可以向用户提供极强的处理能力,可以容忍两个不同时出现的故障。

为了进行通信,FTC 装备了六套MIL -STD -1553B 总线接口,支持同步包传输(SPT )协议。

2.1　拜占庭故障算法一台FT C 由多台相同的计算机(含硬件和软件)组成,每台都占有一个单独的外壳,称为故障保留区(FCR )。

它们同步操作、执行相同的用户任务软件。

依靠所设计的容错策略,四个FCR (如果要求容忍两个故障)可以连接成一个FTC 。

这种设计的基础称为拜占庭故障算法。

按照这个理论,如果满足下述条件,一台计算机就可以隔离F 个任意故障。

这些条件是:¹计算机必须有3F+1个故障保留区(FCR);º这些故障保留区(FCR)必须通过2F +1个不相交的路径相连;»数据必须在FCR 区和按照拜占庭故障算法设计的表决器之间交换F +1次;¼所有FCR 的同步必须限制在一个有限的偏差内。

在FT C 的硬件、软件设计中,已经严格地、一致地证明了这一理论的正确性。

例如当F=1时,FT C 由四个FCR 组成,该FTC 可以处理一个任意的故障。

如果一个故障具有暂时性的特点,即由一个单一事件的干扰产生的,那么在检测到这个故障时,就将这个故障屏蔽起来,FT C 继续运行。

如果在100m s 时间帧内相同的故障发生n 次,可以认定为固定故障,就自动地隔离(或使之无效)有故障的FCR,FT C 继续在三个FCR 结构上运行。

在这种结构中,通过多数表决检测并隔离故障。

在这个意义上,这种设计能够满足容忍两个故障的要求。

2.2　容错计算机系统使用一个供电母线和开关,就可以支持具有一个、二个、三个或者四个FCR 的FT C 。

每个FCR 机箱都可以互换,在运行期间可以重新集成。

一个FT C 上的所有的FCR 通过一个交叉捷连互相连接,其功能是:¹需要表决的数据交换;º由一个容错时钟完成软件处理和数据分配的同步;»由剩余的FCR(4-FCR 结构)对故障的FCR 进行容错表决、隔离(Reset)。

图1　FTC 交叉连接为了避免故障在FCR 之间扩散,采用电性能隔离的点对点连接实现交叉捷连。

图1表示一个完整的、具有四个FCR 的FT C 结构,并且描述了交叉捷连的互连方式及连接到M IL -ST D -1553B 总线的接口原理。

每个FCR 都是一个独立的处理器,该处理器运行用户应用软件(U AS)。

为了减轻用户的故障管理功能,该处理器同时负责故障管理和M IL-ST D-1553B 总线接口的管理。

如图2所示,FCR 具有三层结构。

VM E 工业标准总线将故障管理层和应用层严格地分开。

该应用层电路板(ALB)设计基于抗辐射、与SPARC兼容的ERC32芯片,并使用标准实时操作系统Vx w orks,构成用户应用软件平台。

故障管理层(FM L)电路板和航空电子学接口(AV I)的电路板设计在T805/20M Hz的基板上。

FM L PCB提供故障管理功能,为FCR交叉捷连提供电性去耦接口。

AVI电路板提供用户M IL-STD-1553B总线的物理接口。

为了便于测试,需要装载监控程序(Debug)和故障注入软件,ALB和AVI电路板提供双向串行测试接口。

3　通用型标准有效载荷计算机在空间技术中,标准有效载荷计算机(SPLC)代表一种新颖的设计思想,可以完全满足有效载荷的需求。

如图3所示,SPLC驻留在有效载荷和国际空间站(ISS)数据管理系统之间,它结束了以前费用高、耗时多的传统的设计方法,结束了为每个新的有效载荷项目单独地、专门地开发一个计算机的历史。

3.1　SPLC的关键性能SPLC的关键性能包括下列4项,即¹根据有效载荷任务的需要,利用符合空间环境要求的标准计算机芯片构成一个标准的计算机系统。

º为了兼顾有效载荷和ISS之间的通信,基于M IL-ST D-1553B总线、以太网接口,或是CCSDS数据包协议,使用已经鉴定的接口软件。

»具有一个标准化、一致性的软件开发环境和地面支持设备。

¼基于开放式VME总线标准的商用操作系统VxWo rks。

该操作系统具有成熟的能力,特别是在研制非标准设备时也可以集成VxWo rks,并在其上开发应用软件。

这种理念允许在有效载荷设计开发中使用一个全新的方法,显著地减少了开发周期、费用和风险,为ISS使用有效载荷标准计算机打下了良好的基础。

3.2　SPLC方案如图4所示,SPLC基于宽范围的工业标准VM E总线,包括VME板和几个可选择的多层板,其外壳与FCR相同。

多层板方案允许对输入和输出板进行高密度的封装,从而减少了质量和设备的体积。

3.3　标准计算机配套板除了计算机主板外,根据任务需要,可以选择下列配套板。

为了与ISS数据管理系统通信,可以选用MIL-STD-1553B总线接口板和以太网接口板。

在1553B总线多层板上还提供一个冗余总线I/F。

为了减轻主CPU对低级I/O控制的负担,该卡具有智能控制功能。

在软件研制期间,为了实现空间和地面的快速数据通信,提供一个以太网接口板,与网络的接口可以用AUI信号接口或者采用10Base-T集线器。

以太网多层卡采用商用设备改装,为了检查在轨辐射影响下的失效特性,设备必须经受耐辐射测试,从而推算出在低地球轨道上的耐受失效率。

为了防止电流剧烈增加时锁定效应破坏控制器和驱动器设备,特地设计一个防锁定电路保护板。

同时,为了防止设备产生过热,还安装了专用的热电偶或热管。

为了让航天员观察数据,并向航天员提供一个命令I/F,将搭接控制台连到一个以太网I/F上。

可以同时使用两个以太网接口。

为了直接控制有效载荷硬件,应插入两个多层板。

一个用于模拟量输入,读取从0到5V范围内的电压输入。

另一个用于数据输入和输出。

控制实验并读取状态信息。

用户根据需要选择I/O通道,可以预先设定数据采集速率。

为了采集高速数据,专门研制了一个高速多路选择板,它能够直接与ISS高速多路选择器相连。

为了将视频数据传送到舱内高速多路选择器,专门设置了一个模拟视频接口。

为了用热敏电阻采集温度参数,使用一个扩展模拟输入板。

为了进行数据存储和回放,在SPLC中使用了VM E板。

海量存储器提供85M字的存储能力,使用冗余闪存PCM CIA卡。

由于可能发生锁定效应,设计时采取了防护措施。

闪存对于单粒子翻转是很敏感的,这些翻转事件可以用PCM CIA卡控制器检测出来。

如果在一个字内出现2bit的错误,也可以纠正过来。

SPLC标准外壳有5槽的铝箱和8槽的铝箱两种结构。

其上部有盖板,内置VM E底板和电源,内部采用传导致冷的VM E板。

为了进行SPLC软件研制、调整和测试,设置一个基于经典测试方法的SDE/EGSE板。

该板安装在具有VM E总线的机箱内的空槽上,利用板上的激励源和测试功能,进行SPLC功能性测试和运行检查。

3.4　SPLC的状态根据最恶劣的发射和操作环境(阿里安运载火箭、航天飞机、SPLC计算机已用在美国实验室、哥伦比亚舱)的要求制定实验条件。

SPLC中选用的I/O卡、CPU、VM E扩展接口、海量存储器和外壳都已作过环境实验(振动、热真空和电磁兼容性实验)。