1553B总线的航天器故障注入系统设计

时 光，幺 飞

(中国空间技术研究院总体部，北京 100094)

1553B总线的航天器故障注入系统设计

时 光，幺 飞

(中国空间技术研究院总体部，北京 100094)

传统的故障模拟系统在卫星测试中设备通用性差、模拟信号类型单一等多方面不足，已不能满足航天器批产化测试模式的需求。针对现有平台存在的不足，结合1553B总线协议和通信特点，对总线故障注入关键技术进行深入研究，提出一种利用星载1553B总线为故障注入介质，以数据仿真替代真实模拟故障输入激励的1553B总线故障注入系统。应用结果表明，故障注入测试方法可以实现预期的故障目标，提高了设备的通用性及航天器测试效率，降低了地面设备研制成本。

1553B总线；故障注入技术；总线数据交互；故障仿真；激励条件；采集终端

0 引言

随着卫星功能复杂度的提高，星载软件故障模式日益繁多，对自主故障处理能力的地面验证提出了更高要求。星载软件故障注入方法是指通过地面干预，将故障条件注入到目标系统中，加速系统失效的方法。故障注入技术是评测容错机制的一种有效方法，通过对注入故障后系统的反应信息进行监测和分析，可获得对目标系统可靠性和容错特性的评测结果[1]。

为了全面、有效地测试卫星的自主故障管理功能，需要针对各个测试功能、性能项设计测试场景。总线测试平台Condor公司的BusTools-1553测试系统有部分故障注入功能，但无法进行真实模拟设备间的故障进行测试[2]。而在实际应用中大部分自主故障管理的测试场景需要模拟卫星软、硬件的失效或错误状态，采用实物单机很难全面、客观地创造出测试所需的场景和数据[3]。因此，有必要研制一套自主故障管理功能模拟测试系统，用于模拟卫星CTU和各RT终端的失效或错误状态数据[4]，创造自主故障管理测试所需的激励条件，实现对卫星自主故障管理策略的有效性和软件实现逻辑的正确性做全面、客观的有效性测试。

1 系统设计改进分析

1.1 传统故障模拟系统

传统的整星级故障注入测试模式为利用地面测试终端模拟发生故障情况下的输入激励[5]，通过星上遥测采集设备将故障激励送给星务软件进行处理。

传统的故障模拟系统主要存在以下不足[6]：

① 故障模拟系统多为专用测试设备，CPCI主板插接多块专用测试板卡，输出故障激励信号类型单一，通用性差。

② 由于技术限制，星载系统极值的故障难以模拟。

③ 传统的故障模拟系统输出激励信号与星上遥测采集设备连接，故障信号激励输入往往需要连接多个接插件，导致测试电缆连接复杂[7]。不同卫星遥测采集设备(RTUISU)接插件型号大多不相同，型号间复用测试设备需要重新投产测试电缆，费时费料。

④ 故障模拟系统多为大体积机柜或者工控机，设备研制周期长，用昂贵。

传统故障模拟系统示意图如图1所示(以热控、能源等效器为例)。

图1 传统故障模拟系统

1.2 总线故障注入系统

1553B总线故障注入系统与传统的故障模拟系统不同，将故障测试的输入激励由遥测采集设备下端转移到星载数据总线，将真实输入激励的模拟转移为总线传输数据的仿真，来实现满足星载软件故障触发条件，验证星载软件故障处理的能力[8]。该系统故障注入类型丰富，配套测试电缆连接简单、通用，具有多种灵活可变的注入方式，具备通用性、高效性和经济性等特点。

总线故障注入系统主要改进以下方面：

① 故障注入媒介由RT遥测采集终端变为1553B星载总线。故障注入媒介的改变直接影响星载软件故障测试的电缆连接情况[9]。本系统测试电缆及接插件均为1553B总线标准配套，无需考虑多种输入激励所属的多种接插件类型及电缆类型，多套测试电缆合为一套，节约测试电缆研制成本的同时提高测试电缆通用性，简化测试操作。

② 真实模拟多种类型故障数据变为实时仿真总线数据。仿真数据源的由繁至简，降低了研制设备的成本[10]。星载软件往往要求故障条件苛刻，整星测试难以实现对输入故障激励的真实模拟，该系统能够真实模拟故障激励总线数据，提高测试覆盖性。

③ 多型号多领域通用。由于该系统设计的测试方法基于1553B总线，而该总线现阶段为航天器较常用数据总线，所以此系统适用于使用1553B总线作为星载数据总线的所有航天器测试使用。

④ 具备多种故障注入方式。设计多种故障注入方式包括阻塞式、非阻塞式和延时阻塞式[11]；故障注入数据可以是工程值或者是总线传输的十六进制源码。测试方法可适用于多种故障逻辑，提高了测试方法的易用性，可实现自动化测试。

⑤ 具备故障注入数据正确性校验[12]。本系统通过故障注入总线信息位允许使能禁止控制及传输数据正确性校验机制保证故障注入数据的正确性。

⑥ 故障注入节点由遥测采集设备后端优化到星载数据总线，同时带来测试覆盖性方面的疑虑[13]。遥测采集设备到星载数据总线这段通路在故障注入测试中并没有覆盖，但是在正常模式测试中[14]，遥测采集设备到星载总线这段通路已经得到验证，所以满足测试覆盖性的要求[6]。

⑦ 该套系统体积为3U的CPCI机箱，满足上架及便携要求，降低设备研制成本及周期。

1553B总线故障注入系统示意图如图2所示。

图2 1553B总线故障注入系统

3 总线故障注入系统设计

3.1 硬件及信息流设计

1553B总线故障注入系统硬件主要由2块型号为QCP-1553-1MW的Condor单通道多功能总线仿真卡及凌华(AD Link)生产的cPCI-3620D/E3845/M4工控机主板配套cPCIS-2501/AC系列3U CPCI机箱构成。

1553B总线故障注入系统结构图及信息流如图3所示。

图3 1553B总线故障注入系统结构图及信息流

系统工作过程中有上行遥控指令信息流和下行遥测数据信息流2个通道实现信息的流转，遥控指令信息流采取透明转发形式，遥测数据信息流采取截断替换形式[15]，具体如下：

① 上行遥控信息流：星载总线BC端发出指令→故障注入仿RT端接收指令→透明转发→故障注入仿BC端发出指令→星载总线RT端接收指令。

② 下行遥测信息流：星载总线RT端将采集的原始遥测数据送出→故障注入仿BC端接收遥测数据→按照通信协议用故障仿真数据替换原始遥测数据完成故障注入→故障注入仿RT端将带有故障数据的整帧数据发出→星载总线BC端接收带有故障的遥测数据，完成故障注入过程。

3.2 软件设计

3.2.1 1553B总线仿真软件

1553B总线仿真软件，进行总线仿真及故障注入，并收集1553B总线上的消息数据，打包通过DATEP协议发送给主控软件[16]，主控软件再进行相应的处理。总线仿真软件模块组成框图如图4所示。

系统参数配置模块：完成配置的修改、存储与读取，用于其他逻辑模块的输入。同时该模块具备导入导出设置的功能[17]。

BM数据监视模块：监视总线上的消息，获得总线消息的大小和个数，并负责将每个消息输出到下一级处理模块，同时计算每条消息的时间统计信息。模块工作流程如图5所示，虚线框内部为本模块处理流程。通过API函数获取当前总线上发生的消息数据块大小和内容，将其读入本地数据空间，分别对每个总线消息进行时统信息处理[18]，包括消息发生的总线时间、本地时间和本地时间与总线时间的时间偏差。最后将总线消息输出到其他模块进行处理。该模块每10 ms读取一次数据，处理完毕后通过网络进行发送，可以满足100 ms接收显示，并在完成处理后100 ms内进行组网发送。

图4 总线仿真软件模块组成

图5 BM数据监视模块流程

RT仿真逻辑模块：完成对总线上某个RT的仿真，模拟该RT的数据行为，响应BC控制。利用1553B仿真卡提供的API函数、模拟数据配置、模拟状态控制共同配合完成[19]。

BC仿真逻辑模块：BC的仿真逻辑为通过一个循环执行列表，设定BC在运行的过程中的执行逻辑。执行列表的每一项都是一条指令，指令可能的类型有：① BC_CONTROL_NOP:空消息，用于时间延时；② BC_CONTROL_MESSAGE:传输数据；③ BC_CONTROL_CONDITION:根据“比较消息”中消息内容，条件跳转到“跳转消息”。

对每条指令的详细内容可以在定制的对话框中进行配置，通过这些给定的指令类型，可以组合出需要的BC仿真逻辑。对BC的仿真逻辑进行更加复杂的处理，BC的逻辑流程不再是简单的循环执行写好的指令，而是可以根据总线的状态进行判断和分支处理[20]。目的在于实现对接模拟的功能，仿真贴近于星上真实情况的BC。

故障注入模块：实现仿真故障注入的功能，根据测试的需要，提供一个可供用户配置的数据故障注入界面，并在界面上提供相应的配置选项。在设备运行时，通过判断配置是否需要故障注入[21]，对需要故障注入的地方进行相应处理，并在2块仿真卡之间进行数据转发。

历史数据查询模块：通过选择时间和数据过滤类型来显示查询到的总线数据。

历史数据回放模块：一种是直接将总线历史数据内容发送到主控软件；另一种是将总线历史数据写入总线仿真卡，通过总线监视模块将总线数据发送到主控软件。

总控逻辑处理模块：具备与总控连接的接口，且符合总控的通讯协议，具备总控校时功能，可响应总控工作模式设置指令、模拟RT/BC设置指令、选择故障注入配置文件设置指令以及是否进行故障注入设置等指令。同时，向总控发送设备运行状态(包括开机自检)信息，收发比对正确信息以及重点监视的遥测参数信息。

3.2.2 1553B主控软件

主控软件是监视总线故障注入软件发出的总线数据的软件，通过该软件用户可以实时监视1553B总线消息，也可对1553B总线历史消息进行查询与回放，通过软件的故障注入界面也可完成1553B总线故障注入的操作。

4 总线故障注入系统测试实例结果与分析

下面以软件故障测试中的一类——热敏电阻故障切换为例介绍具体实施方式。

① 通过软件用户需求分析得出：热敏电阻1温度遥测源码为小于等于03或者大于等于FE则认为该热敏电阻故障，软件逻辑切换至热敏电阻2进行回路控温。热敏电阻1温度遥测由设备A采集并通过1553B总线送至设备B进行封装组包下传。

② 故障注入设备连接如图2所示，设备B为总线BC端，设备A为总线RT端，总线故障注入设备串接在1553B总线支线靠近设备A处。上行遥控指令由设备B经总线过故障注入设备透明转发至设备A，下行遥测数据由设备A采集真实热敏电阻温度遥测，发送至故障注入设备，设备内通过主控软件将故障仿真数据放入遥测数据流中经过总线送至设备B，设备B完成各RT采集数据汇总及打包等后续工作。

③ 通过1553B总线通信协议确定热敏电阻1温度遥测所在的具体RT、SA(子地址)、字节数、字节位置，主控软件配置中标注如上信息以便故障注入数据位置准确。

④ 测试前进行星上状态设置，热控软件使能、该回路热敏电阻自主切换使能、该回路自主控温禁止。

⑤ 测试开始，通过地面设置指令设置故障注入设备将RT=2(设备A)、SA=10(常规遥测参数)、字节数=1、字节位置=122的遥测参数数据修改为源码=03(满足热敏电阻故障条件),故障注入方式采用阻塞式(将该故障仿真数据一直保持注入状态)。

⑥ 下行遥测信息流如下：假设设备A采集真实热敏电阻温度源码为62，设备A将采集数据送至故障注入设备后，主控软件根据步骤⑤中设置指令，将真实温度源码62替换为仿真故障源码03，重新组合数据流由1553B总线送至设备B(BC端)，设备B的软件故障处理逻辑认为热敏电阻1的温度源码是03，满足故障切换逻辑，开始自主发送切换控温热敏电阻动作。

⑦ 通过遥测判读，该回路控温热敏电阻由热敏电阻1变为热敏电阻2。

⑧ 将步骤⑤、⑥中源码03换为FE，再次进行故障注入测试，结果同步骤⑦，热敏电阻故障逻辑验证结束，星载软件该功能正常。

该系统在导航卫星型号测试过程中得到验证。对于总线RT数据，从数据类型上又分为遥测数据、重要数据等；从总线上分则分为循环缓存数据和非循环缓存数据。对于非循环缓存数据，直接进行转发即可，但对于循环缓存数据，为了保证数据转发的完整性，不能单独对每条消息数据进行转发。因此，采用报告帧的方式，对遥测等循环缓存数据进行转发。报告帧即是对数据进行组包，然后对数据包进行转发，组包的依据则是收到该RT字地址对应的勤务指令，收到勤务指令后，可认为是一个完整的包，将该包数据写入仿RT端对应的子地址的缓存中，确保遥测等数据的完整性。

5 结束语

1553B总线故障注入系统已在实际卫星测试中投入使用。在实际使用中，对总线故障注入功能、总线数据仿真功能、总线数据监视及回放功能、总线数据查询功能进行了重点测试，结果正确，满足测试需求。

该系统故障注入类型丰富，配套测试电缆连接简单、通用，具有多种灵活可变的注入方式，具备通用性、高效性、经济性等特点。现阶段研究成果故障注入模型较单一，仅能满足静态的故障注入模型，后期应投入对动态故障注入模型的研究。

[1] 连盟，李学锋.1553B总线故障注入测试方法研究[J].航天控制，2012,32(2):84-88

[2] 王莲，徐萍，刘斌.BIT验证中1553B总线故障注入设备的设计与实现[J].计算机测量与控制，2011(12):2942-2944.

[3] 戴虹.1553b数据总线协议分析[J].科学技术与工程，2008(13):3536-3538.

[4] 孙峻朝，王建莹，杨孝宗.故障注入方法与工具的研究现状[J].宇航学报，2001(1)：99-104.

[5] 仉俊峰， 洪炳镕，乔永强.基于软件方法故障注入系统[J].哈尔滨工业大学学报，2006，38(6)：873-876.

[6] 刘桂山，胡军程.1553B总线信息流设计[J].北京理工大学学报,2003,3(23):301-304.

[7] 王志宏.基于1553B总线的航空电子综合系统总线通讯研究[D].南京:南京理工大学硕士学位论文，2004：1-4.

[8] 黄海林，唐志敏，许彤.龙芯一号处理器的故障注入方法与软错误敏感性分析[J].计算机研究与发展,2006,43(10)：1820-1827.

[9] 赖鑫，戴葵，刘芳.高可靠8051微处理器的设计与实现[J].计算机工程与科学，2009，31(1)：117-120.

[10] 朱鹏.星载SAR控制软件故障注入技术研究[D].北京：中国科学院研究生院(电子学研究所)硕士学位论文，2004:5-30.

[11] 林金永，孙涛，董剑.容错箭载计算机的硬件故障注入方法研究[J].航天控制，2008，26(4)：73-77.

[12] 石晶，洪炳镕，蔡则苏.分布式星载系统故障注入研究[J].微计算机信息，2009，25(4)：140-142.

[13] 仉俊峰，洪炳镕，乔永强.基于软件方法故障注入系统[J].哈尔滨工业大学学报，2006，38(6)：873-876.

[14] 彭俊杰，黄庆成，洪炳熔.一种用于星载系统可靠性评测的软件故障注入工具[J].宇航学报，2005，26(6)：823-826.

[15] 刘丹丹，王晓峰.验证BIT测试性指标的总线级故障注入系统及其设计[J].航天器环境工程，2008，25(5)：479-484.

[16] 李迎霞，龙翔，高小鹏.串行总线故障注入系统的设计与研究[C].北京:北京地区高校研究生学术交流会通信与信息技术会议论文集(上册)，2008：234-238.

[17] 董剑.嵌入式故障注入器HFI-4的研究与实现[D].哈尔滨:哈尔滨工业大学硕士论文，2002：3-17.

[18] CARTER W C,ABRAHAM J.Design and Evaluation Tools for Fault Tolerant System.Proc.[C]∥AIAA Comp.In Aerosp.Conf.1987:70-71.

[19] ARLAT J,CROUZET Y,LAPRIE J C.Fault Injection for Dependability Validation of Fault-Tolerant Computing Systems.Proc.[C]∥19th IEEE Int.Symp.on Fault Tolerant Computing(FTCS-19).Chicago,IL,1989:348-355.

[20] ARLAT J,COSTES A,CROUZET Y.et al.Fault Injection and Dependability Evaluation of Fault-Tolerant Systems[J].IEEE Trans.on Computers,1993,42(8):913-923.

[21] ARLAT J,AGUERA M,CROUZET Y,et al.Experimental Evaluation of the Fault Tolerance of an Atomic Multicast System[J].IEEE Trans.on Reliability.1990,39(4):455-467.

DesignofSpacecraftFaultInjectionSystemBasedon1553BBus

SHI Guang,YAO Fei

(BeijingInstituteofSpacecraftSystemsEngineering，Beijing100094，China)

Such situation has higher requirements for independent fault processing ability of ground verification.In satellite tests,traditional fault simulation system cannot meet the requirement of testing the whole spacecraft in batch due to the weakness such as lacking in equipment universality,monotonous type of analog signals,etc.Targeting at the weakness of existing platform,a 1553B bus fault injection system is proposed,which takes satellite-borne 1553B bus as fault injection medium and replaces real simulation failure input excitation with data simulation.The system improves equipment universality and testing efficiency,and reduces the costs for developing ground equipment.

1553B Bus;fault injection technique;bus data interaction;fault simulation;incentive condition;acquisition terminal

10.3969/j.issn.1003-3106.2017.10.14

时光，幺飞.1553B总线的航天器故障注入系统设计[J].无线电工程,2017,47(10):63-67.[SHI Guang,YAO Fei.Design of Spacecraft Fault Injection System Based on 1553B Bus[J].Radio Engineering,2017,47(10):63-67.]

V556.1

A

1003-3106(2017)10-0063-05

2017-06-28

国家部委基金资助项目。

时光女,(1984—)，硕士,工程师。主要研究方向：计算机系统结构、航天器综合测试。幺飞男，(1983—)，硕士,工程师。主要研究方向：信号与信息处理、航天器综合测试。