TTE/TTP技术在航天器中的应用分析

冯忠伟 姜 爽 曾 发 陈玉坤

(中国运载火箭技术研究院研究发展中心，北京 100076)

1 引 言

随着航天技术的发展，对航天器的可靠性要求越来越高，总线作为信息传输的主干道是提高整个航天器可靠性的重点环节之一。在以事件触发的总线(网络)架构下，当某一事件发生时即广播该事件，采用先来先服务的方式进行数据的发送和接收，由于事件发生的不确定性，当多个任务同时进行数据传输时，可能发生资源访问冲突的问题，造成通信延时和时间偏移的不确定性，降低了航天器的可靠性。

TTE/TTP技术是为了实现高可靠、延时确定性系统而提出的，最早由维也纳科技大学Hermann Kopetz等人提出，目前商业上的开发机构主要有TTTech等公司[1]。在TTE/TTP系统中，所有节点通过一个全局时钟实现同步，每一个节点只在规定的时间进行数据的收发，因此系统内发生的任何事件具有可预见性，不会发生资源访问冲突的问题，是实现高可靠总线传输的一种有效途径。

TTE/TTP技术在国外的研究较为成熟，并且在一些重大航空、航天项目中取得了实际应用，主要应用包括：1)A380客舱压力控制系统；2)Boeing787电源及环境控制系统；3)NASA“猎户座”飞行器数据管理系统；4)F-16全权数字发动机控制系统。目前，国内相关技术的研究主要处于实验室研究阶段[1,2]。

本文分析了TTE/TTP技术的主要优势，同时分析了TTE/TTP技术在实际应用中面临的关键问题，并对该技术在航天器中的应用前景进行了展望。

2 TTE/TTP基本原理

TTE/TTP技术的基本原理如图1所示，整个时间轴由包含多个时分多址周期(TDMA)的簇周期构成，在一个TDMA周期内，网络中各个同步节点分别占用不同的时间槽，该时间槽在每个TDMA周期内的时间坐标是固定的，每个节点只在定义的时间槽内收发数据，各个节点之间通过全局时钟机制保持同步，由于各个节点分别占用不同的时间片段，所有节点的的通信互相不冲突。

图1 TTE/TTP工作原理示意图Fig.1 Basic principle of the TTE/TTP

基于时间触发原理实现的组织形式称为时间触发架构(TTA)，而在该架构下定义的相关通讯协议称为时间触发协议(TTP)，一种TTP系统的网络拓扑结构如图2所示。

图2 TTP总线系统的硬件组成Fig.2 Hardware composition of the TTP

该系统由节点主机、TTP总线控制器及总线连接电缆等部分组成，主机代表系统中的各个通讯节点，各个节点通过TTP总线控制器访问总线，节点之间通过广播方式工作，即每个节点可以接收到总线中传输的所有数据，系统中两条总线互为备份。该结构同1553B总线系统具有类似的组织架构，不同之处在于1553B总线系统通过一个总线控制器组织全系统的通讯，其他远程终端只有在接收到总线控制器的指令后才执行对应的操作，而TTP总线系统中各个节点是在全局时钟的统一控制下在各自定义的时间槽内完成数据收发的。

TTP协议控制器是整个系统中的核心部件，其基本结构描述如图3所示，主要包括通信网络接口(CNI)、协议处理器、TTP信息描述表(MEDL)及总线开关组成，CNI是主机同TTP总线控制器之间的接口，协议处理器完成时间触发协议的解释执行，TTP信息描述表中存储了当前节点的工作时序，是节点触发工作的依据。

图3 TTP协议控制器内部结构示意图Fig.3 Framework of the TTP protocol controller

每一个协议控制器存储着自己的调度控制数据，这些数据存储在MEDL表中，包括消息的发送和接收及其对应的时刻，这些调度控制数据根据系统的功能需求，在系统设计之初确定，所有节点的MEDL表组成了唯一的一个系统设计方案。不同控制器相应的MEDL表的具体内容也不尽相同，通常MEDL包含如下内容：

调度参数：该参数描述了基本的通信行为和必要的启动、集成参数，例如是否允许本控制器发送冷启动标志、定义时间传输精度等；

标识符：调度方案ID号，应用标识符等；

TDMA参数：包括：节点发送、接收数据的时间槽，发送、接收数据地址和长度。

（1）营27X3井应用排砂采油工艺技术恢复生产是成功的，投产初期取得了日产液15.5t、日产油7.1t、含水率54.5%的效果。

TTP系统开发流程如图 4所示，流程主要包括需求说明、架构设计、函数设计、函数仿真、故障建模、实现及集成、测试及故障注入等几个步骤。在需求说明中主要明确函数需求、时间限制、系统可靠性等内容；在架构设计步骤中定义通讯网络的结构、节点间的通讯关系及应用的调度；函数设计阶段则通过函数设计实现相应的功能，如防抱死系统的控制循环。该环节可以采用MATLAB中的 Simulink等工具进行实现；后续则通过函数仿真及故障建模对函数的设计进行验证；最后则通过实现及集成完成最终的设计，同时通过测试和故障注入对系统进行监测。

图4 时间触发系统实现过程示意图Fig.4 Workflow of the time triggered system

3 时间触发的优势

时间触发总线的全局时间是时间触发网络运行的基础，同基于事件触发的总线系统比较，采用这种机制实现的系统具有故障分区隔离、资源利用率高、精确系统诊断、可组合性好等优点：

分区隔离：每一个应用都基于全局时间，而不是基于外部的事件进行通信，这有利于将一个应用的错误隔离在一定的范围内，而不会传递到系统中的其它应用，这种效果称为分区隔离。分区隔离可用于错误隔离机制，该技术称为时域防火墙，通过时域防火墙，可以避免出错的应用无休止地使用网络资源，同时可以依据出错位置，对出错的组件进行隔离。

提高资源利用率：由于时间触发协议没有通信冲突，可通过时间触发机制来减少网络节点中缓冲区的大小，且节点不需要为突发消息准备大的通信缓冲区，甚至在时间触发节点中可并用发送和接收逻辑，因此，时间触发通信可以减少网络中的缓冲区需求量，从而有利于提高系统资源的利用率。

精确系统诊断：时间触发系统中每个时刻发生的事件及主体是明确的，因此可以精确定位系统的故障来源，从而准确建立全局的系统状态，利于系统的重构过程和系统维护操作。

良好的可组合性：由于网络中各个节点的状态不会影响其他部分的正常运行，系统测试、开发及实际运行中可以采用自由的组合方式，只要保证各个节点的工作时间段是相同的，各种组合方式同完整系统具有相同的效果。这种方式尤其利于设备的开发阶段，只需要确定设备的通讯状态，按要求完成设备开发后即可保证系统集成后稳定工作。

4 关键技术分析

时间触发是一种新的总线技术，在航空、航天领域中的应用仍然处于起步阶段，要实现成熟应用还需要解决相关的关键技术，包括时间调度表设计、时间同步技术、时间调度动态调整技术，同时还需要更多成熟的配套产品及相关的应用验证。

4.1 时间调度表设计

时间触发总线系统中各个节点在全局时钟的统一控制下，各自在规定的时间段内进行数据收发，各个节点的工作互不干扰，通过这种机制使系统具有分区隔离、资源利用率高、精确诊断及容易组合等优点。但是发挥时间触发总线技术优点的前提是制定完整、高效的时间调度表，即在设计阶段确定各个节点的工作时间段及内容，具体满足以下几个方面的内容：

合理分配各个节点的时间段长，对于信息量大的节点可以安排较长的工作时间段，而对于信息量小的节点则可以适当缩短工作时间段。

合理制定各个节点的工作周期，对于变化速率快的节点，可以在一个时分多址周期内安排多个时间槽，而对于变化速率慢的节点可以在多个时分多址周期内安排一个时间槽。

对于有先后时间关系的节点，在安排各个时间段时需要考虑之间的先后顺序。

时间调度表的设计要站在全局的高度，综合考虑节点类型、工作特性、系统资源限制等因素，只有制定了符合实际情况的时间调度表，才能最大程度地利用系统资源，充分发挥时间触发技术的优势。

4.2 时间同步技术

在时间触发总线系统中，一次数据收发的过程可以通过图5表示。

图5 时间触发总线系统数据收发过程示意图Fig.5 T/R date flow of the time triggered system

Δc-2π≤Δp+Δd≤Δc+2π

(1)

从式(1)可见，为了实现时间触发系统的正常通讯，必须建立一个具有容错能力的全局同步时钟。

全局同步时钟是对各个节点本地时钟进行同步的抽象概括，在系统中由一个或几个主时钟定期广播时间指令，各节点的本地时钟根据收到的时间指令进行校时，该过程即为时间同步。时间调度表执行的稳健性同全局时钟的同步性及同步算法密切相关，均值算法和基于事件的算法是两种基本的同步算法：均值算法中各个节点实时比较本地时钟同其他节点时钟之间的差值，例如通过比较一个预定事件的实际发生时间和其设计时间，以若干个周期的差值的均值作为本地时钟的校正值。均值算法需要设定一定的容错机制避免错误时钟对各个系统的影响，不同的容错机制即构成了不同的均值同步算法。基于事件的同步算法则依赖于总线上事件敏感的节点，当达到预设同步时间时，该节点广播“就绪”事件，当该节点接收到若干个其他节点的回复事件时进行时钟校准。不同的算法实现细节及错误假设模型将直接影响系统的同步精度和容错能力。

4.3 时间调度的动态调整

航天器在执行任务的过程中，可能以不同的模式工作，在不同的模式下系统中节点的工作状态也将发生变化，此时就需要系统具有一定的自适应能力以满足不同条件下的需求。虽然时间触发总线提供了一种高可靠、时延确定性系统的解决方案，但是在这类系统中时间调度表是在系统之初设计好，预先存放在MEDL中的，对于调度表的实时更改存在难度和风险，系统的柔性和可扩展性受到限制，对于适应任务变化的能力有限。因此，研究如何在保证时间触发总线技术优势的基础上，提高这类系统适应动态任务变化的能力成为一项迫切需要解决的问题[3]。一种可行的方案可以借鉴卫星上多种工作模式切换的方式，预先设计若干套时间调度策略，在不同的阶段通过硬件或软件的方式实现切换。

5 结束语

时间触发总线技术是相对事件触发总线技术提出的，通过采用时间触发总线技术保证了系统的可靠性、资源利用率、时间确定性以及系统的可组合性等性能，这些性能的提高使时间触发总线技术在航天器中的应用前景广阔。

但是，时间触发总线技术的优势是以牺牲系统的柔性、动态任务适应性为代价换得的，当航天器在不同阶段需要满足不同任务需求时，这类系统的局限性也就显现出来。为实现时间触发技术在航天器中的成熟应用，需要解决全局调度表设计、时间同步、调度动态调整及配套器件设备等关键问题。

[1] 郭丽娟，刘双与，张激. 基于时间触发的高可靠性实时系统架构[J].计算机工程，2006,32(4).

[2] 刘晚春，李峭，何锋等. 时间触发以太网同步及调度机制的研究[J].航空计算技术，2011,41(4).

[3] John M. Rushby. A scalable, reconfigurable, and dependable time triggered architecture. DARPA report, 2003(7).