空天飛行器多余度GNC系統(tǒng)并行處理和故障容錯(cuò)技術(shù)*

劉智勇，衣學(xué)慧，何英姿，高亞楠，史少龍

(北京控制工程研究所，北京100190)

空天飛行器多余度GNC系統(tǒng)并行處理和故障容錯(cuò)技術(shù)*

劉智勇，衣學(xué)慧，何英姿，高亞楠，史少龍

(北京控制工程研究所，北京100190)

提出空天飛行器多余度GNC系統(tǒng)并行處理和故障容錯(cuò)設(shè)計(jì)方法:通過(guò)系統(tǒng)輸入信息并行采集設(shè)計(jì)和GNC控制器核心模塊并行處理設(shè)計(jì)提高系統(tǒng)信息采集和處理能力，保證GNC系統(tǒng)的實(shí)時(shí)性;通過(guò)系統(tǒng)輸入和輸出容錯(cuò)設(shè)計(jì)，使整個(gè)多余度GNC系統(tǒng)在處理周期內(nèi)具有完備的故障容錯(cuò)能力.該方法具有廣闊的應(yīng)用前景.

空天飛行器;多余度;并行處理;容錯(cuò)

0 引言

盡管航天飛機(jī)運(yùn)營(yíng)很成功，但是其發(fā)射成本太高，遠(yuǎn)沒(méi)有達(dá)到人們對(duì)它的期望.隨后，NASA及其他組織對(duì)空間運(yùn)輸方案進(jìn)行大量研究，其中較為典型的飛行器代表有X-33、X-34、X-38等.進(jìn)入21世紀(jì)以后，空天飛行器成為世界各航空航天技術(shù)強(qiáng)國(guó)的研究熱點(diǎn)，美、俄以及歐洲等不斷開(kāi)展關(guān)鍵技術(shù)攻關(guān)，相繼進(jìn)行了飛行試驗(yàn)，如X-37B、IXV等.這表明空天飛行器技術(shù)已經(jīng)從概念和原理探索的基礎(chǔ)研究，進(jìn)入了先期技術(shù)開(kāi)發(fā)階段.

在關(guān)鍵任務(wù)段，空天飛行器GNC系統(tǒng)故障將導(dǎo)致災(zāi)難性的后果［1］.航天飛機(jī)GNC系統(tǒng)采用四余度容錯(cuò)體系架構(gòu)，并采用了一系列的自主容錯(cuò)設(shè)計(jì)，實(shí)現(xiàn)了:任意一個(gè)故障發(fā)生的情況下，系統(tǒng)能夠正常工作;任意兩度故障發(fā)生的情況下(不同時(shí)發(fā)生)，能夠安全返回著陸［1］.在航天飛機(jī)GNC系統(tǒng)設(shè)計(jì)的基礎(chǔ)上，返回試驗(yàn)飛行器ERV［2］、可重復(fù)使用載人返回飛行器X-38［3-5］等進(jìn)一步提高系統(tǒng)集成度、可靠性、實(shí)時(shí)性和容錯(cuò)能力.

空天飛行器GNC系統(tǒng)是一個(gè)對(duì)信息的采集、處理和分配執(zhí)行的閉環(huán)系統(tǒng)，可靠性和實(shí)時(shí)性要求高.空天飛行器GNC系統(tǒng)可靠性要求高，必定要求系統(tǒng)采用多余度設(shè)計(jì).多余度GNC系統(tǒng)復(fù)雜度高，需進(jìn)行大數(shù)據(jù)量通信和大量計(jì)算處理，并且需要在短時(shí)間內(nèi)完成，這給GNC系統(tǒng)處理能力提出了挑戰(zhàn).此外，GNC系統(tǒng)采用多余度設(shè)計(jì)后，只是冗余部分具備替代故障部分繼續(xù)工作的條件，系統(tǒng)出現(xiàn)故障后，如何實(shí)現(xiàn)冗余部分平穩(wěn)可靠替代故障部分繼續(xù)工作，從而確保系統(tǒng)可靠運(yùn)行，是系統(tǒng)設(shè)計(jì)的關(guān)鍵.

1 多余度GNC系統(tǒng)并行信息采集架構(gòu)與工作方式

與航天飛機(jī)以及X-38等飛行器的GNC系統(tǒng)類(lèi)似，本文研究的空天飛行器GNC系統(tǒng)采用多余度設(shè)計(jì)，以滿(mǎn)足系統(tǒng)的可靠性和容錯(cuò)性能要求，具體為:慣性測(cè)量單元(inertial measurement unit，IMU)、全球?qū)Ш叫l(wèi)星系統(tǒng)(global navigation satellite system，GNSS)接收機(jī)、大氣數(shù)據(jù)系統(tǒng)、空氣舵伺服、反作用控制系統(tǒng)(reaction control system，RCS)、著陸滑跑系統(tǒng)等均采用三余度設(shè)計(jì)，高度表、星敏感器采用雙余度設(shè)計(jì)［1-2］.飛行器再入返回實(shí)時(shí)性要求高，在此期間GNC系統(tǒng)的控制周期為非常小，如X-38為20 ms［4］.

空天飛行器返回再入期間，GNC系統(tǒng)使用的敏感器和執(zhí)行機(jī)構(gòu)包括:IMU、GNSS接收機(jī)、大氣數(shù)據(jù)系統(tǒng)、高度表、空氣舵伺服、RCS、著陸滑跑系統(tǒng)等，系統(tǒng)需要采集的數(shù)據(jù)量達(dá)到500個(gè)字，采用成熟的波特率為1 Mbps的1553B總線(xiàn)通信所需的時(shí)間超過(guò)10 ms，無(wú)法滿(mǎn)足系統(tǒng)需求.一種解決思路為:采用新技術(shù)，使用高波特率的通信總線(xiàn)，但是技術(shù)風(fēng)險(xiǎn)大.另外一種解決思路為:設(shè)計(jì)輸入數(shù)據(jù)并行采集的GNC系統(tǒng)，即GNC控制器通過(guò)3條1553B總線(xiàn)并行采集系統(tǒng)信息，將采集時(shí)間將減少為原有的1/3左右，從而極大的提高系統(tǒng)的數(shù)據(jù)吞吐能力和數(shù)據(jù)采集的實(shí)時(shí)性，本文采用的就是這種解決方案.并行數(shù)據(jù)采集的多余度GNC系統(tǒng)架構(gòu)如圖1所示.

圖1 多余度GNC系統(tǒng)架構(gòu)Fig.1 The architecture of multiple redundancy GNC system

GNC控制器A/B/C/D各機(jī)均具有:1)1553B總線(xiàn)通信管理功能;2)導(dǎo)航、制導(dǎo)與控制運(yùn)算處理功能;3)GNC控制器多機(jī)間同步、數(shù)據(jù)傳遞和數(shù)據(jù)表決等功能.E機(jī)僅具有GNC控制器多機(jī)間同步、數(shù)據(jù)通信和數(shù)據(jù)表決等容錯(cuò)相關(guān)功能.GNC控制器各機(jī)具體功能和容錯(cuò)設(shè)計(jì)將在后文詳細(xì)介紹.

正常情況下，GNC控制器的A/B/C各機(jī)分別作為GNC系統(tǒng)各條1553B總線(xiàn)的BC，其他部件作為RT掛在1553B總線(xiàn)上.具體工作過(guò)程為:GNC控制器通過(guò)A機(jī)、B機(jī)和C機(jī)分別采集GNC系統(tǒng)1553B總線(xiàn)1、總線(xiàn)2和總線(xiàn)3上的部件信息;利用GNC控制器的A/B/C/E機(jī)構(gòu)成的1-拜占庭恢復(fù)容錯(cuò)結(jié)構(gòu)實(shí)現(xiàn)輸入容錯(cuò)處理，確保輸入一致性，具體設(shè)計(jì)將在第2節(jié)中介紹;GNC控制器的A/B/C各機(jī)均調(diào)用相同的導(dǎo)航、制導(dǎo)與控制算法形成控制指令，并將指令數(shù)據(jù)及關(guān)鍵變量進(jìn)行輸出容錯(cuò)處理，確保各機(jī)發(fā)送給執(zhí)行機(jī)構(gòu)指令具有一致性，具體設(shè)計(jì)將在第3節(jié)中介紹.

GNC控制器的D機(jī)作為備份使用，當(dāng)A/B/C/ E各機(jī)中任意一機(jī)故障情況下，D機(jī)接替該故障機(jī)工作，從而進(jìn)一步提高系統(tǒng)的容錯(cuò)能力.

2 多余度GNC系統(tǒng)輸入容錯(cuò)設(shè)計(jì)

GNC控制器通過(guò)A機(jī)、B機(jī)和C機(jī)分別采集GNC系統(tǒng)1553B總線(xiàn)1、總線(xiàn)2和總線(xiàn)3上的部件信息，造成GNC控制器的A/B/C各機(jī)采集的信息不同(分別為V1、V2、V3)，帶來(lái)了多余度GNC系統(tǒng)的輸入一致性問(wèn)題.本文采用圖2所示的輸入一致性問(wèn)題的解決方法，達(dá)到GNC控制器A/B/C各機(jī)都能得到相同的系統(tǒng)輸入信息(V).通過(guò)拜占庭容錯(cuò)設(shè)計(jì)，使得GNC控制器的A/B/C各機(jī)有相同的向量值(V1、V2、V3);GNC控制器的A/B/C各機(jī)依據(jù)一致的向量值(V1、V2、V3)，通過(guò)多數(shù)值容錯(cuò)設(shè)計(jì)，最終各機(jī)具有相同的值(V).所以，系統(tǒng)實(shí)現(xiàn)輸入一致，需要解決拜占庭容錯(cuò)問(wèn)題和多數(shù)值容錯(cuò)問(wèn)題.

理論上，可論證的容忍f個(gè)拜占庭故障必須滿(mǎn)足的先決條件為［6］:

1)至少存在3f+1個(gè)故障容錯(cuò)區(qū);

2)每個(gè)故障容錯(cuò)區(qū)與其它至少2f+1個(gè)故障容錯(cuò)區(qū)維持獨(dú)立的通信鏈路;

3)故障容錯(cuò)區(qū)之間必須至少維持f+1輪通信及數(shù)據(jù)交互;

4)所有故障容錯(cuò)區(qū)必須同步到一定的時(shí)域內(nèi).

符合以上條件的體系結(jié)構(gòu)，稱(chēng)為f-拜占庭恢復(fù)容錯(cuò)結(jié)構(gòu).對(duì)應(yīng)上述定義，本文設(shè)計(jì)的GNC系統(tǒng)中GNC控制器A/B/C/E構(gòu)成4個(gè)容錯(cuò)區(qū)域，架構(gòu)為1-拜占庭恢復(fù)容錯(cuò)結(jié)構(gòu).

圖2 輸入一致性解決途徑Fig.2 Solution of input data consistency

可以看出，成為實(shí)現(xiàn)拜占庭容錯(cuò)，GNC控制器還需要具備:1)各機(jī)必須同步到一定的時(shí)間域內(nèi); 2)各機(jī)之間有高速數(shù)據(jù)通信鏈路，且各機(jī)之間必須進(jìn)行兩輪數(shù)據(jù)交換.下面介紹各機(jī)間同步和高效通信的設(shè)計(jì)方法.

(1)各機(jī)同步設(shè)計(jì)方法

這里采用的同步為軟同步和硬同步結(jié)合的時(shí)間同步方法，通過(guò)GNC控制器各機(jī)之間的信息交互完成.GNC控制器各機(jī)之間通過(guò)初始化建立初始同步狀態(tài)，然后進(jìn)入同步保持狀態(tài).當(dāng)GNC控制器某單機(jī)由于臨時(shí)故障失去同步后，可通過(guò)同步搜索算法自恢復(fù)與其它單機(jī)的同步.具體設(shè)計(jì)詳見(jiàn)文獻(xiàn)［7］.

(2)高效通信機(jī)制設(shè)計(jì)方法

采用額外硬件來(lái)連接多機(jī)，實(shí)現(xiàn)多機(jī)間同步、數(shù)據(jù)通信和數(shù)據(jù)表決等容錯(cuò)相關(guān)功能，而處理器只負(fù)責(zé)執(zhí)行應(yīng)用程序、調(diào)度和重構(gòu)等復(fù)雜任務(wù)，具體設(shè)計(jì)見(jiàn)第4節(jié)。

在解決了同步設(shè)計(jì)和高效通信機(jī)制后，分析拜占庭容錯(cuò)算法和多數(shù)值容錯(cuò)算法問(wèn)題.

1)拜占庭容錯(cuò)算法設(shè)計(jì)

各機(jī)完成輸入信息采集后，GNC控制器經(jīng)過(guò)2輪通信來(lái)保證各機(jī)獲取相同的輸入(V1、V2、V3)，具體如圖3所示.

圖3 GNC控制器輸入交換Fig.3 Input data exchange of GNCC

以GNC控制器B機(jī)獲取A機(jī)數(shù)據(jù)為例，A機(jī)獲取的輸入數(shù)據(jù)為V1，并將V1轉(zhuǎn)發(fā)給B、C以及E機(jī)，然后四機(jī)相互將此數(shù)據(jù)轉(zhuǎn)發(fā).轉(zhuǎn)發(fā)完成后，各機(jī)進(jìn)行數(shù)據(jù)比對(duì)，對(duì)于B機(jī)而言，收到的4個(gè)數(shù)據(jù)為第一次從A機(jī)接收的數(shù)據(jù)V1_A1、第二次從A機(jī)接收的數(shù)據(jù)V1_A2、C機(jī)轉(zhuǎn)發(fā)的A機(jī)數(shù)據(jù)V1_AC、E機(jī)轉(zhuǎn)發(fā)的A機(jī)數(shù)據(jù)V1_AE.由于V1_A1和V1_A2來(lái)源相同，只取其中的一個(gè).所以數(shù)據(jù)比對(duì)成為V1_ A、V1_AC、V1_AE的3個(gè)數(shù)據(jù)進(jìn)行三模冗余(triple module redundancv，TMR)判斷.當(dāng)一個(gè)數(shù)據(jù)出現(xiàn)偶發(fā)錯(cuò)誤時(shí)，可以將其校正.當(dāng)一個(gè)數(shù)據(jù)長(zhǎng)期出錯(cuò)后(例如，c-＞b線(xiàn)路故障導(dǎo)致V1_AC長(zhǎng)期無(wú)數(shù)據(jù))，可將其屏蔽.

2)多數(shù)值容錯(cuò)算法設(shè)計(jì)

各機(jī)獲取相同的輸入(V1、V2、V3)，如何保證各機(jī)最終使用一致的數(shù)據(jù)(V).需要說(shuō)明的是，不同類(lèi)型的多余度敏感器的多數(shù)值容錯(cuò)處理方式不同，本文僅以3套IMU的一種數(shù)值容錯(cuò)處理方法為例說(shuō)明.GNC控制器經(jīng)過(guò)拜占庭容錯(cuò)處理后，GNC控制器A/B/C各機(jī)均有3個(gè)IMU的測(cè)量信息.各機(jī)實(shí)時(shí)對(duì)9個(gè)陀螺/加計(jì)按不同組合進(jìn)行等價(jià)空間故障檢測(cè)處理［8］，從而優(yōu)選3個(gè)陀螺/加計(jì)測(cè)量信息用于飛行器姿態(tài)角速度和加速度的解算.

3 多余度GNC系統(tǒng)輸出容錯(cuò)設(shè)計(jì)

多余度GNC系統(tǒng)經(jīng)過(guò)輸入容錯(cuò)處理后，控制器各機(jī)獲取了相同的信息用于導(dǎo)航制導(dǎo)與控制解算.導(dǎo)航、制導(dǎo)與控制處理算法是GNC系統(tǒng)核心算法，其故障將導(dǎo)致災(zāi)難性后果.設(shè)計(jì)容錯(cuò)并行算法的目的是在應(yīng)用級(jí)出現(xiàn)單一節(jié)點(diǎn)故障，并行程序能實(shí)現(xiàn)自動(dòng)恢復(fù)以提高GNC控制器并行計(jì)算的可靠性.

容錯(cuò)并行算法是由容錯(cuò)程序段構(gòu)成的并行算法.容錯(cuò)程序段是容錯(cuò)并行算法的基礎(chǔ)，包括數(shù)據(jù)保存段、程序段以及故障檢測(cè)糾錯(cuò)段.數(shù)據(jù)保存段是為了支持正確的復(fù)算，保存的并行算法執(zhí)行過(guò)程中的變量值.程序段以導(dǎo)航制導(dǎo)與控制語(yǔ)句為核心，將含有導(dǎo)航制導(dǎo)與控制語(yǔ)句相關(guān)的部分作為一個(gè)整體，作為一個(gè)程序段.故障檢測(cè)糾錯(cuò)段是通過(guò)查詢(xún)系統(tǒng)故障狀態(tài)變量，在線(xiàn)感知故障，并將錯(cuò)誤狀態(tài)糾回到正確狀態(tài).

GNC控制器運(yùn)行相同的導(dǎo)航、制導(dǎo)與控制算法后，通過(guò)輸出數(shù)據(jù)交換保證執(zhí)行結(jié)果和重要中間變量的每機(jī)均能拿到，然后在故障檢測(cè)糾錯(cuò)段進(jìn)行容錯(cuò)比對(duì)確保數(shù)據(jù)一致.具體過(guò)程如圖4所示.

圖4 GNC控制器輸出容錯(cuò)處理Fig.4 Output fault tolerant of GNCC

通過(guò)GNC系統(tǒng)輸入容錯(cuò)設(shè)計(jì)證提供給導(dǎo)航制導(dǎo)與控制解算的輸入一致，并且能夠診斷出數(shù)據(jù)交換鏈路的故障.所以，正常情況下GNC控制器各機(jī)利用輸入V經(jīng)過(guò)導(dǎo)航、制導(dǎo)與控制解算的結(jié)果應(yīng)該是一致的，即R_A=R_B=R_C.假如GNC控制器某一機(jī)計(jì)算錯(cuò)誤，最后各機(jī)通過(guò)將獲得的三機(jī)解算結(jié)果進(jìn)行比對(duì)和糾錯(cuò)處理，從而保證GNC控制器各機(jī)最終結(jié)果的一致性，并診斷出解算錯(cuò)誤的單機(jī).

本文以空氣舵伺服系統(tǒng)的容錯(cuò)設(shè)計(jì)為例，研究執(zhí)行機(jī)構(gòu)如何保證最終執(zhí)行結(jié)果的可靠性.空氣舵伺服驅(qū)動(dòng)控制系統(tǒng)與GNC總線(xiàn)1、2、3相連，連接示意圖如圖5所示.

空氣舵伺服驅(qū)動(dòng)控制系統(tǒng)的容錯(cuò)控制設(shè)計(jì)如下:

1)GNC控制器A機(jī)通過(guò)所管理的GNC總線(xiàn)1將6個(gè)舵面控制指令發(fā)送至伺服控制器1，GNC控制器B機(jī)通過(guò)所管理的GNC總線(xiàn)2將6個(gè)舵面控制指令發(fā)送至伺服控制器3，GNC控制器C機(jī)通過(guò)所管理的GNC總線(xiàn)3將6個(gè)舵面控制指令發(fā)送至伺服控制器3;

圖5 空氣舵伺服系統(tǒng)架構(gòu)Fig.5 The architecture of air rudder servo system

2)伺服控制器1/2/3分別利用CCDL(交叉通道數(shù)據(jù)鏈路)將本機(jī)數(shù)據(jù)發(fā)送給其他機(jī);

3)伺服控制器1/2/3各機(jī)均獲取了3份控制指令數(shù)據(jù)，伺服控制器各機(jī)對(duì)收到的3份命令進(jìn)行TMR容錯(cuò)判斷;

4)伺服控制器各機(jī)通過(guò)伺服驅(qū)動(dòng)通道驅(qū)動(dòng)舵面，舵面驅(qū)動(dòng)通道是備份的，并且與伺服控制器各機(jī)交叉連接的，因此任意一個(gè)伺服控制器和驅(qū)動(dòng)通道故障，6個(gè)舵面仍能正常工作.

4 GNC控制器各機(jī)內(nèi)部并行處理設(shè)計(jì)

一方面，GNC控制器各機(jī)間數(shù)據(jù)交換量大，需要進(jìn)行兩輪輸入數(shù)據(jù)交換確保輸入一致性，進(jìn)行一輪輸出數(shù)據(jù)交換確保輸出一致性，同時(shí)GNC控制器同步也需要數(shù)據(jù)交換.另一方面，GNC系統(tǒng)控制周期特別短的約束，要求GNC控制器各機(jī)間數(shù)據(jù)交換和容錯(cuò)處理所占的時(shí)間盡可能短.

從上述設(shè)計(jì)分析可以看出:在GNC控制器各機(jī)間通信與容錯(cuò)處理是實(shí)現(xiàn)多余度GNC系統(tǒng)正?？煽窟\(yùn)行的瓶頸，為盡可能減少開(kāi)銷(xiāo)，采用專(zhuān)門(mén)硬件實(shí)現(xiàn)多機(jī)間的通信和容錯(cuò)處理.參考文獻(xiàn)［9］設(shè)計(jì)思路，采用額外硬件網(wǎng)絡(luò)單元(NE)來(lái)連接多機(jī)，NE實(shí)現(xiàn)多機(jī)間同步、數(shù)據(jù)通信和數(shù)據(jù)表決等容錯(cuò)相關(guān)功能，而處理器(PE)負(fù)責(zé)執(zhí)行應(yīng)用程序調(diào)度和重構(gòu)等復(fù)雜任務(wù).通過(guò)獨(dú)立的硬件實(shí)現(xiàn)并維持多機(jī)間的數(shù)據(jù)一致性，避免主處理器頻繁的數(shù)據(jù)通信和數(shù)據(jù)表決等任務(wù)，減輕主處理器的開(kāi)銷(xiāo).

基于上述想法，本文GNC控制器的結(jié)構(gòu)方案為:GNC控制器A/B/C/D這4機(jī)每機(jī)包含:1個(gè)接口處理單元(ICP)、1個(gè)運(yùn)算處理單元(PE)和1個(gè)網(wǎng)絡(luò)單元(NE)，其中ICP是實(shí)現(xiàn)通信處理的1553B接口，PE是執(zhí)行應(yīng)用程序的單板計(jì)算機(jī)，NE是實(shí)現(xiàn)同步、數(shù)據(jù)傳遞和數(shù)據(jù)表決等容錯(cuò)相關(guān)功能的硬件; GNC控制器E機(jī)僅包含1個(gè)網(wǎng)絡(luò)單元(NE).GNC控制器A/B/C/D這4機(jī)中任意3機(jī)的NE與GNC控制器E機(jī)通過(guò)完全連接形成1－拜占庭容錯(cuò)架構(gòu)，具體如圖6所示.

圖6 GNC控制器架構(gòu)Fig.6 The architecture of GNCC

GNC控制器A/B/C/D各機(jī)通過(guò)PE、ICP和NE并行處理，以提高系統(tǒng)的處理能力和實(shí)時(shí)性，如圖7所示.

系統(tǒng)使用時(shí)需注意保證 T1＞T0，T3＞T2，T5＞T4，T7＞T6，而這些約束往往是容易滿(mǎn)足的.例如，由于各個(gè)總線(xiàn)最大輸入數(shù)據(jù)采集量是固定的，所以T0的最大值是固定的，據(jù)此來(lái)設(shè)定輸入數(shù)據(jù)交換時(shí)間點(diǎn)T1，從而保證T1＞T0.其他類(lèi)同.

5 結(jié)論

圖7 PE、ICP和NE并行處理Fig.7 PE、ICP and NE parallel process

針對(duì)空天飛行器多余度GNC系統(tǒng)高可靠和強(qiáng)實(shí)時(shí)性要求，本文提出了一種多余度GNC系統(tǒng)的并行處理和故障容錯(cuò)設(shè)計(jì)方法.在并行處理方面，首先，GNC控制器各機(jī)并行采集系統(tǒng)信息，提高系統(tǒng)信息吞吐能力;然后，在GNC控制器各機(jī)內(nèi)部PE、ICP和NE并行處理，提高各機(jī)的處理能力.在容錯(cuò)設(shè)計(jì)方面，首先，通過(guò)拜占庭容錯(cuò)和多數(shù)值容錯(cuò)，確保系統(tǒng)輸入一致性;然后，通過(guò)輸出容錯(cuò)比對(duì)，確保輸出一致性;最后，介紹了執(zhí)行機(jī)構(gòu)的容錯(cuò)控制設(shè)計(jì).本體提出的多余度GNC系統(tǒng)容錯(cuò)和并行處理設(shè)計(jì)方法，還可應(yīng)用于載人航天器、客運(yùn)飛機(jī)、高鐵列車(chē)等可靠性、實(shí)時(shí)性要求高的控制系統(tǒng)中，具有廣泛的應(yīng)用前景.

［1］ HANAWAY J F，MOOREHEAD R W.Space shuttle avionics system［R］.Johnson Space Center，NASA Report 19900015844，1989.

［2］ DZWONCZYK M J，MCKINNEY M F，ADAMS S J，et al.Avionics architecture studies for the entry research vehicle［R］.Johnson Space Center，NASA Report 19890014711，1989.

［3］ YHIERRY B，ANDERSON B L.X-38 V201 avionics architecture［R］.Johnson Space Center，NASA Report 20000086667，2000.

［4］RICE L E P，CHENG A M K.Timing analysis of the X-38 space station crew return vehicle avionics［C］//Real-Time Technology and Applications Symposium，Proceedings of the Fifth IEEE.New York:IEEE，1999:255-264.

［5］ KOUBA C，BUSCHER D，BUSA J.The X-38 spacecraft fault tolerant avionics system［R］.Johnson Space Center，NASA Report 20100033681，2003.

［6］ PEASE M，LAMPNR L，SHOSTAK S.The Byzantine generals problem［J］.ACM Transactions on Programming Languages and Systems，1982，4(3):382-401.

［7］馮丹，江耿豐，劉波，衣學(xué)慧，劉超偉.一種星載計(jì)算機(jī)自穩(wěn)定容錯(cuò)時(shí)間同步算法［J］.空間控制技術(shù)與應(yīng)用，2015，41(6):58-62.

FENG D，JIANG G F，LIU B，YI X H，LIU C W.A self-stabilization fault tolerant time synchronization algorithm for an on-board computer［J］.Aerospace Control and Application，2015，41(6):58-62.

［8］何英姿，張兵，吳宏鑫.斜裝陀螺系統(tǒng)及其故障檢測(cè)［J］.航天控制，1999，18(1):19-23.

HE Y Z，ZHANG B，WU H X.The skew gyro system and its fault detection［J］.Aerospace Control，1999，18 (1):19-23.

［9］肖愛(ài)斌，楊孟飛，劉波.星載計(jì)算機(jī)拜占庭容錯(cuò)設(shè)計(jì)與驗(yàn)證［J］.空間控制技術(shù)與應(yīng)用，2008，34(4):17-22.

XIAO A B，YANG M F，LIU B.Design and validation of Byzantine fault tolerance for on-board computer［J］.Aerospace Control and Application，2008，34(4):17-22.

Parallel Process and Fault-Tolerance Method for Multiple Redundancy GNC System of Aerospace Vehicle

LIU Zhiyong，YI Xuehui，HE Yingzi，GAO Yanan，SHI Shaolong
(Beijing Institute of Control Engineering，Beijing 100190，China)

A parallel process and fault-tolerance method is presented for the multiple redundancy GNC system of aerospace vehicle.Via parallel design，the input information acquisition ability is improved.The processing ability can be improved by parallel processing of GNC controller core module.Based on the fault tolerant design of system input and output，the redundant GNC system has complete fault tolerance ability.The presented method can be applied widely.

aerospace vehicle;multiple redundancy;parallel process;fault-tolerance

V448.12

A

1674-1579(2016)04-0036-06

10.3969/j.issn.1674-1579.2016.04.007

劉智勇(1984—)，男，工程師，研究方向?yàn)楹教炱鲗?dǎo)航制導(dǎo)與控制;衣學(xué)慧(1979—)，男，高工，研究方向?yàn)樾禽d計(jì)算機(jī)體系結(jié)構(gòu);何英姿(1970—)，女，研究員，研究方向?yàn)楹教炱鲗?dǎo)航制導(dǎo)與控制;高亞楠(1977—)，男，研究員，研究方向?yàn)镚NC系統(tǒng)體系結(jié)構(gòu)研究;史少龍(1985—)，男，工程師，研究方向?yàn)樾禽d計(jì)算機(jī)體系結(jié)構(gòu).

*國(guó)家高技術(shù)研究發(fā)展計(jì)劃(863)資助項(xiàng)目(2012SQ7060502).

2016-02-10