TTP總線在分布式飛控計(jì)算機(jī)系統(tǒng)中的應(yīng)用

劉帥 馬小博 程俊強(qiáng)

摘? ?要：TTP總線具有高確定性、低時(shí)延、容錯(cuò)支持等優(yōu)點(diǎn)，在構(gòu)建有硬實(shí)時(shí)需求的安全關(guān)鍵分布式容錯(cuò)系統(tǒng)中有較大優(yōu)勢。文章簡要總結(jié)了飛控計(jì)算機(jī)系統(tǒng)對(duì)系統(tǒng)總線的需求，介紹了TTP總線分布式時(shí)鐘同步與確定性通信技術(shù)，分析了TTP總線容錯(cuò)特性與安全性，設(shè)計(jì)了基于TTP總線的三余度分布式飛控計(jì)算機(jī)系統(tǒng)，測試驗(yàn)證了系統(tǒng)中的TTP總線同步精度、通信延遲與抖動(dòng)、TTP總線對(duì)飛控功能的支持等，能夠滿足飛控計(jì)算機(jī)系統(tǒng)的通信需求。

關(guān)鍵詞：時(shí)間觸發(fā)協(xié)議;分布式;飛控計(jì)算機(jī);容錯(cuò)

時(shí)間觸發(fā)協(xié)議（Time-Triggered Protocol，TTP）是一種用于分布式容錯(cuò)實(shí)時(shí)系統(tǒng)實(shí)時(shí)通信的總線協(xié)議[1]。TTP總線采用時(shí)分多路訪問的方式進(jìn)行總線訪問與數(shù)據(jù)傳輸。時(shí)鐘同步機(jī)制是實(shí)現(xiàn)時(shí)間觸發(fā)通信的基礎(chǔ)，TTP總線控制器通過周期性運(yùn)行時(shí)間同步算法，使TTP總線上所有節(jié)點(diǎn)的時(shí)間統(tǒng)一在全局時(shí)間同步精度基準(zhǔn)內(nèi)，亞微秒級(jí)的時(shí)鐘同步精度可為實(shí)時(shí)控制系統(tǒng)中的數(shù)據(jù)傳輸提供實(shí)時(shí)性和確定性支持。

TTP總線在構(gòu)建有硬實(shí)時(shí)需求的安全關(guān)鍵分布式容錯(cuò)系統(tǒng)中有較大優(yōu)勢，同時(shí)，其低成本特性也極具競爭性。目前，TTP總線已應(yīng)用于波音787環(huán)控系統(tǒng)、空客A380艙壓控制系統(tǒng)、龐巴迪C系列支線客機(jī)電傳飛控系統(tǒng)等先進(jìn)飛機(jī)的實(shí)時(shí)控制系統(tǒng)[2]，并在其他先進(jìn)飛機(jī)實(shí)時(shí)控制系統(tǒng)、汽車、工業(yè)控制領(lǐng)域也得到了廣泛應(yīng)用。

1? ? 飛控計(jì)算機(jī)系統(tǒng)總線需求概述

飛控系統(tǒng)作為高安全性的強(qiáng)實(shí)時(shí)系統(tǒng)，對(duì)系統(tǒng)總線通信實(shí)時(shí)性、可靠性與故障隔離性等方面均有特定需求。主要如下：

（1）強(qiáng)實(shí)時(shí)性。飛控系統(tǒng)要求系統(tǒng)總線通信延遲低、抖動(dòng)小，具有實(shí)時(shí)確定性通信能力，以保證飛控系統(tǒng)的緊閉環(huán)控制。

（2）高可靠性。飛控系統(tǒng)要求系統(tǒng)總線能夠支持多余度容錯(cuò)配置和管理，以滿足系統(tǒng)余度設(shè)計(jì)要求，并提供故障容錯(cuò)能力，具有高可靠性。同時(shí)，要求系統(tǒng)總線傳輸誤碼率不大于10～12。

（3）高故障隔離性。飛控系統(tǒng)要求系統(tǒng)總線的故障檢測能力強(qiáng)，能夠在系統(tǒng)總線層進(jìn)行一定程度上的故障隔離，以簡化系統(tǒng)故障模式，降低系統(tǒng)設(shè)計(jì)和集成復(fù)雜性。

（4）通信帶寬需求。飛控系統(tǒng)在周期控制過程中相對(duì)通信數(shù)據(jù)量較小，但基本上要求系統(tǒng)總線的帶寬不低于1 MB，以避免在通信規(guī)劃設(shè)計(jì)過程中出現(xiàn)通信的沖突。同時(shí)，通信帶寬越高，對(duì)系統(tǒng)總線通信規(guī)劃越有利。

2? ? TTP總線時(shí)鐘同步與確定性通信

2.1? 基于TTP總線的分布式時(shí)鐘同步

基于TTP總線的分布式時(shí)鐘同步是指系統(tǒng)中主機(jī)子系統(tǒng)利用TTP總線提供的同步全局時(shí)間基準(zhǔn)，實(shí)現(xiàn)主機(jī)子系統(tǒng)之間的分布式時(shí)鐘同步功能。在此基礎(chǔ)上，實(shí)現(xiàn)主機(jī)和TTP控制器之間以一致的時(shí)間進(jìn)行數(shù)據(jù)的傳輸，避免在數(shù)據(jù)通信過程中產(chǎn)生沖突。

TTP總線層時(shí)鐘同步采用以下方式進(jìn)行：為總線設(shè)定同步精度值并在該同步精度范圍內(nèi)將所有TTP總線節(jié)點(diǎn)的本地時(shí)鐘整合到統(tǒng)一時(shí)鐘內(nèi)，主要流程如下：（1）TTP總線控制器記錄接收TTP數(shù)據(jù)幀的實(shí)際到達(dá)時(shí)間并計(jì)算實(shí)際到達(dá)時(shí)間與期望時(shí)間的偏差。（2）TTP控制器根據(jù)偏差值，采用容錯(cuò)平均算法計(jì)算需要修正的時(shí)鐘值。（3）TTP控制器依據(jù)修正策略，結(jié)合需要修正的時(shí)鐘值對(duì)本地局部時(shí)鐘進(jìn)行修正。該同步方法利用總線上的數(shù)據(jù)幀進(jìn)行，不需要額外的總線流量，總線利用效率更高。

主機(jī)子系統(tǒng)層分布式時(shí)鐘同步是在TTP總線層時(shí)鐘同步的基礎(chǔ)上，利用TTP控制器提供同步時(shí)鐘中斷的方式告知主機(jī)子系統(tǒng)層需要發(fā)送和需要接收數(shù)據(jù)的時(shí)刻，使系統(tǒng)調(diào)度與總線通信系統(tǒng)均以同步的方式工作，從而滿足整個(gè)系統(tǒng)同步運(yùn)行的需要。

2.2? 基于TTP總線的確定性通信

TTP總線支持總線型拓?fù)浼軜?gòu)和星型交換架構(gòu)，并在總線中定義了通信簇周期和基于時(shí)分多址（Time Division Multiple Access，TDMA）的通信調(diào)度策略，將每個(gè)TDMA周期劃分為多個(gè)槽（slot），每個(gè)節(jié)點(diǎn)可在TDMA周期中占據(jù)一個(gè)槽用于數(shù)據(jù)發(fā)送，為各個(gè)總線節(jié)點(diǎn)提供無沖突的發(fā)送槽位置?？偩€上所有節(jié)點(diǎn)均按照預(yù)先定義的MEDL表，在全局時(shí)間基準(zhǔn)下進(jìn)行統(tǒng)一數(shù)據(jù)傳輸?shù)恼{(diào)度[3]。

在SAE AS6003規(guī)范[4]中，將TTP總線中每個(gè)通信slot又劃分為4個(gè)時(shí)間片，分別為：（1）傳輸前準(zhǔn)備階段。（2）數(shù)據(jù)傳輸階段。（3）數(shù)據(jù)傳輸后協(xié)議控制器處理階段。（4）空閑階段。其中，中斷處理函數(shù)可在空閑階段進(jìn)行，用于主機(jī)應(yīng)用數(shù)據(jù)收發(fā)的處理。

在基于TTP總線的確定性通信調(diào)度設(shè)計(jì)中，在上一個(gè)slot的數(shù)據(jù)傳輸后協(xié)議控制器處理階段，由TTP控制器向主機(jī)發(fā)送通信中斷，主機(jī)接收到中斷后準(zhǔn)備數(shù)據(jù)并將數(shù)據(jù)存入發(fā)送消息緩沖區(qū)。TTP控制器則在本slot的數(shù)據(jù)傳輸階段將數(shù)據(jù)發(fā)送至總線，接收節(jié)點(diǎn)的控制器亦在該階段完成數(shù)據(jù)接收。接收端的控制器在數(shù)據(jù)傳輸后協(xié)議控制器處理階段向主機(jī)發(fā)送數(shù)據(jù)接收中斷，主機(jī)接收到中斷信號(hào)后在接收緩沖區(qū)中讀取數(shù)據(jù)，完成整個(gè)數(shù)據(jù)的傳輸過程。

由上述可知，利用TTP總線進(jìn)行數(shù)據(jù)通信，端到端的數(shù)據(jù)傳輸時(shí)延為前一個(gè)slot的發(fā)送中斷請(qǐng)求到本slot的接收中斷請(qǐng)求接收后的時(shí)間差。多次請(qǐng)求時(shí)間差的最大值與最小值的差值則為數(shù)據(jù)傳輸過程中的抖動(dòng)。

3? ? 基于TTP總線的飛控計(jì)算機(jī)系統(tǒng)設(shè)計(jì)

3.1? 飛控計(jì)算機(jī)系統(tǒng)架構(gòu)設(shè)計(jì)

基于TTP總線的分布式飛控計(jì)算機(jī)系統(tǒng)架構(gòu)如圖1所示。系統(tǒng)包括三余度的分布式飛控計(jì)算機(jī)（Flight control module，F(xiàn)CM）和三余度的作動(dòng)器控制電子（Actuator Control Electronics，ACE）;系統(tǒng)采用三余度TTP通信總線，每個(gè)余度的總線系統(tǒng)通過A/B雙線進(jìn)行數(shù)據(jù)傳輸，TTP總線通信速率為5 Mbps，采用短樁方式連接各計(jì)算機(jī)節(jié)點(diǎn)，以避免計(jì)算機(jī)單點(diǎn)故障時(shí)導(dǎo)致系統(tǒng)總線失效的情況發(fā)生。

FCM之間通過傳統(tǒng)同步硬線進(jìn)行主幀周期同步，F(xiàn)CM主幀周期與TTP總線通信周期采用松耦合工作方式，TTP總線通信周期配置為短周期通信，通過TTP總線分級(jí)向計(jì)算機(jī)提供的中斷信號(hào)實(shí)現(xiàn)數(shù)據(jù)的緊耦合通信，降低通信不確定性。

飛控計(jì)算機(jī)系統(tǒng)通過外圍硬線與外部模擬仿真設(shè)備交聯(lián)，外部模擬仿真設(shè)備利用工控機(jī)等實(shí)現(xiàn)指令信號(hào)輸入、作動(dòng)與信號(hào)反饋功能的模擬仿真，如圖1所示。

FCM計(jì)算機(jī)的核心由一塊基于Lockstep處理架構(gòu)的處理模塊[5]來實(shí)現(xiàn)計(jì)算的高完整性，處理器采用PowerPC架構(gòu)處理器，通過PCI接口實(shí)現(xiàn)同TTP總線的數(shù)據(jù)交互。

ACE計(jì)算機(jī)核心處理器采用德州儀器（Texas Instruments，TI）的DSP 6415，通過PCI接口與TTP總線進(jìn)行數(shù)據(jù)交互，并提供多路離散量輸入輸出、交流模擬量采集與直流模擬量輸出，同時(shí)，還提供RS485總線、ARINC429總線接口等，實(shí)現(xiàn)與外圍模擬仿真設(shè)備的數(shù)據(jù)通信。

3.2 系統(tǒng)軟件架構(gòu)與TTP總線通信規(guī)劃

飛控計(jì)算機(jī)系統(tǒng)軟件主要包含運(yùn)行在FCM計(jì)算機(jī)上的軟件和運(yùn)行在ACE上的軟件。二者共同實(shí)現(xiàn)模擬飛行控制所需的系統(tǒng)軟件功能。

FCM計(jì)算機(jī)上的系統(tǒng)軟件設(shè)計(jì)包括4個(gè)部分：系統(tǒng)支持層、操作系統(tǒng)層、余度管理功能包和應(yīng)用軟件。系統(tǒng)采用符合ARINC653標(biāo)準(zhǔn)的分區(qū)操作系統(tǒng)。并在容錯(cuò)中間件層提供系統(tǒng)節(jié)點(diǎn)計(jì)算機(jī)的同步與余度管理及系統(tǒng)中斷通信服務(wù)等功能。ACE上的系統(tǒng)軟件包括3個(gè)部分：系統(tǒng)支持層、服務(wù)層和應(yīng)用軟件。

飛控計(jì)算機(jī)系統(tǒng)TTP簇周期配置為3 ms，每個(gè)簇周期包含2個(gè)TDMA周期，每個(gè)TDMA周期內(nèi)又劃分為6個(gè)slot，分別由3臺(tái)FCM和3臺(tái)ACE通信占用。

4? ? 測試驗(yàn)證

為了進(jìn)一步驗(yàn)證TTP總線對(duì)強(qiáng)實(shí)時(shí)高安全飛控計(jì)算機(jī)系統(tǒng)的支持情況，在上述系統(tǒng)架構(gòu)設(shè)計(jì)基礎(chǔ)上，配置了同步精度測試、總線延遲與抖動(dòng)測試、功能測試等場景?？傮w測量結(jié)果表明：TTP總線的實(shí)時(shí)確定通信能力能夠符合系統(tǒng)設(shè)計(jì)的功能性能要求。

在同步精度測試中，在同一個(gè)通道的系統(tǒng)總線上選取多個(gè)TTP控制節(jié)點(diǎn)，分別為其設(shè)置同步脈沖信號(hào)輸出。大量測量數(shù)據(jù)顯示，其同步精度在μs級(jí)，各節(jié)點(diǎn)時(shí)鐘最大偏差均不超過總線配置所允許的同步精度（本測試場景設(shè)置為20 μs）。

在端到端通信延遲和抖動(dòng)測試中，選取FCM之間、FCM到ACE，ACE到FCM的通信數(shù)據(jù)進(jìn)行測量，統(tǒng)計(jì)10 000個(gè)飛控主幀周期內(nèi)上述節(jié)點(diǎn)的通信延遲，并計(jì)算其通信抖動(dòng)結(jié)果，如表1所示，F(xiàn)CM之間數(shù)據(jù)傳輸（Cross Channel Data Link，CCDL）延遲抖動(dòng)較大主要是由兩次操作系統(tǒng)開銷所造成的不確定性引起的。

在系統(tǒng)功能測試中，通過加載模擬器設(shè)備功能和視景仿真功能，驗(yàn)證了該架構(gòu)下飛行控制對(duì)飛機(jī)的實(shí)時(shí)響應(yīng)能力以及計(jì)算機(jī)系統(tǒng)故障工作能力。

5? ? 結(jié)語

本文簡要介紹了飛控計(jì)算機(jī)系統(tǒng)對(duì)系統(tǒng)總線的需求，結(jié)合TTP總線特點(diǎn)，總結(jié)了TTP總線時(shí)鐘同步、確定性通信能力;結(jié)合飛控計(jì)算機(jī)系統(tǒng)高可靠高安全特性，分析了TTP總線的容錯(cuò)特性與安全性。在此基礎(chǔ)上，設(shè)計(jì)了基于TTP總線的分布式飛控計(jì)算機(jī)系統(tǒng)，并對(duì)系統(tǒng)中TTP總線的同步、通信延遲和抖動(dòng)以及對(duì)飛控功能的支持進(jìn)行了測量驗(yàn)證，滿足預(yù)期要求。TTP總線作為低成本、高可靠容錯(cuò)的實(shí)時(shí)總線，預(yù)計(jì)在機(jī)載、車載等高可靠、高安全控制系統(tǒng)領(lǐng)域具有廣泛應(yīng)用前景。

[參考文獻(xiàn)]

[1]劉冬冬，張?zhí)旌?，陳建，?TTP/C協(xié)議的關(guān)鍵特性研究[J].計(jì)算機(jī)測量與控制，2012（10）：2769-2772.

[2]陳長勝，劉智武，李曉慶，等.時(shí)間觸發(fā)總線時(shí)鐘同步技術(shù)研究[J].電光與控制，2017（6）：74-78.

[3]HERMANN K，GUNTER G.TTP：a protocol for fault-tolerant real-time systems[J].IEEE Computer，1994（1）：14-23.

[4]世界資料網(wǎng).AS6003 TTP Communication Protocol[EB/OL].（2011-02-06）[2020-04-10].http：//www2.infoeach.com/item-89024.html.

[5]周嘯，李鵬，韓強(qiáng).基于60X總線的Lockstep處理器架構(gòu)[J].航空計(jì)算技術(shù)，2015（1）：127-130.

Application of TTP in distributed flight control computer system

Liu Shuai， Ma Xiaobo， Cheng Junqiang

（Xian Aeronautics Computing Technique Research Institute， AVIC， Xian 710065， China）

Abstract：The TTP has the advantages of high certainty， low time delay， fault-tolerant support， etc， which has great advantages in building a safety-critical distributed fault-tolerant system with hard real-time requirements. This paper briefly summarized the flight control computer system for the demand of the system bus， introduced distributed clock synchronization and deterministic communication technology of the TTP， and analyzed the safety and fault tolerance features of TTP， then designed a distributed flight control computer system based on TTP. Lastly we tested and verified synchronous precision， communication delay and jitter， support for flight control by TTP in the system， which can meet the demand of flight control computer system of communication.

Key words：time-triggered protocol; distributed; flight control computer; fault tolerance