时间触发网络在分布式架构中的应用分析

赵永库， 黄中华

(1.中国航空工业集团公司第一飞机设计研究院，西安 710000； 2.中国人民解放军93129部队，北京 100000)

0 引言

航电系统架构是航空电子系统的组织结构，是航电系统划代的重要标志之一。目前，航电系统架构正逐步从集中综合式向分布式综合模块化方向发展。将嵌入式系统工程领域提出的时间触发架构经过适应性改造后应用于分布式航电系统，形成时间触发航电系统架构(Time-Triggered Avionics System Architecture，TTASA)，可以有效避免传统事件触发机制下通过大量时间预留来解决多个事件同时发生所导致的资源共享冲突问题，从而进一步提高系统的实时性，并保证系统的确定性和可靠性[1-2]。

目前航电系统架构研究大多集中在对分布式综合模块化航空电子(Distributed Integrated Modular Avionics，DIMA)系统设计优化[3-5]以及实时性能分析[6-7]等方面，或者只针对时间触发通信技术进行研究[8-9]。时间触发航电系统架构的研究仍处于起步阶段，并且大多单一地从分区调度处理出发。从工程化角度研究时间触发网络和分布式系统架构综合应用的文献并不多见，无法解决工程总体技术方案论证阶段架构选型的问题。

为此，本文在分析综合化航电系统架构发展趋势的基础上，重点研究了分布式系统架构的模型和特点，以及分布式系统架构给网络通信带来的挑战，提出了基于时间触发网络的分布式架构模型，研究了时间触发架构在分布式系统中的应用方法，有效地解决了工程总体技术方案论证阶段所关注的架构选型问题。

1 综合化架构的发展

1.1 联合式架构

联合式航电系统架构是20世纪70年代发展起来的，在联合式架构中，每个功能由专用的硬件和软件实现，且由独立的供应商提供，如图1所示。联合式架构提出了子系统的概念，导航系统、雷达系统、火控系统等通过1553B总线互连，在总线上传输各子系统的状态信息和控制命令，并在驾驶舱显示器上将各子系统的状态信息集中显示给飞行员。联合式架构的各子系统采用专用计算机进行信息处理，功能耦合程度低，系统集成简单；总线采用物理共享、分时专用机制，故障不会通过总线在不同子系统之间传播，或者独立子系统的失效不会影响其他子系统独立工作。

图1 联合式架构模型

联合式架构专用资源与专用功能紧密耦合，一个资源只能实现一种功能，资源使用模式固定，设备与线缆类型众多、接口复杂，信息综合化水平不高，导致设备专用性强。随着系统功能的增多，设备数量和种类剧增，且各设备的大小不同，采用的技术也不相同，增加了系统的复杂性。系统功能的改变或升级都可能使飞机大部分的功能需重新开发和验证，维护性低。系统各个功能之间采用的硬件会存在不必要的重复，致使系统成本、占用空间和重量等增加，所以联合式架构已无法满足先进飞机航空电子系统功能持续增长的要求。

1.2 综合模块化航空电子(IMA)架构

20世纪80年代中期，以空客公司为主的欧洲研发团队率先对综合模块化航空电子系统概念做出了定义，称为第一代IMA(IMA 1G)，如图2所示。

图2 IMA 1G模型

IMA提供基于外场可更换模块(LRM)的标准的执行环境，LRM上可驻留多个不同功能，采用航空电子平台分区、资源共享的方法，模块和功能的供应商不同，两者之间采用标准的接口定义。

IMA架构针对航空电子系统所有功能和所有安全等级提供公共计算服务，基于共享网络完成信息与功能的综合，机载网络需要传输大量的中间结果。

IMA架构解决了联合式架构的弊病，设备与线缆类型减少、接口标准统一、信息综合化程度高、模块通用性强、种类少，可支持多个系统的功能分配与综合，提高了系统的维护性。IMA架构以LRM为基础，实现资源模块化、通用化、标准化设计，通过加载各种应用软件实现航空电子系统的各种功能。因此，这种系统结构的优点是采用了标准通用的硬件模块，易于系统升级和重新配置；利用共享的可配置的计算、通信和输入输出(I/O)资源，减少了对备用资源的需求。

IMA架构为了确保某一应用(功能)的故障不会影响其他应用，或者对某一应用的更改进行验证时，无须重新确认其他应用，就需附加的硬件、软件开销以及相关的监控和配置管理措施来弥补共享处理器的失效风险，因此增大了系统的复杂性和集成的技术风险。欧洲研究机构提出了SCARLETT 项目，即可变规模和可重新配置的电子平台和工具(IMA 2G，亦称DIMA)，避免了IMA架构的弊病。

2 DIMA架构

DIMA架构是在IMA架构基础上演变而来的，IMA架构利用硬件资源共享并将多个飞机功能布置在一个硬件单元的思想，来减小重量、体积、机上布线、功耗和成本，而DIMA架构为所使用的硬件提供了更大的灵活性，并不一定要将所有硬件都放在一个机箱中，而是可能分解为多个较小的硬件单元，由一个安全关键的通信系统连接，并广泛地分布在整个飞机上，把联合式架构和IMA架构的优势结合起来。DIMA架构将为系统提供如下能力：1)可变规模性、可移植性和可适应性；2)容错和重新配置的能力；3)最少种类的标准电子模块。

DIMA架构中，将I/O与计算资源分离，如图3所示。一方面，使计算处理资源通用化，提高系统灵活可组、可重构的能力；另一方面，通过分布式智能I/O(DCR)或远程数据集中单元(RDC)将传感器数据传输给通用处理资源(CCR)，DCR/RDC 可就近布置在传感器附近，使离散量、模拟量、射频信号等转化成总线信号进行传输，缩短电缆长度并减轻电缆质量。

图3 分布式架构模型

分布式综合模块化架构将以前集中综合模块化架构划分为多个子IMA架构，形成不同的功能域，在功能域内进行系统综合，将综合后的结果在不同功能域之间共享，再进行功能域之间的综合，最后形成统一的态势、防御策略。根据航电系统功能需求分析，按照功能分类，将功能相近、交换关系紧密的设备划分到同一功能区，形成的8个逻辑功能域分别为显示控制、通信、导航、探测、防御、攻击、数据管理和任务处理等，各功能域内部及功能域之间采用统一网络互连。

分布式航电任务系统应具备资源共享、服务按需提供、网络组合的典型特征，飞机不再是独立的节点，而是信息和资源平台，可包含若干具有开放性特征的设备资源，传感器探测、武器打击、信息处理等能力通过分布式管理和聚合实现能力合成，具有去中心化、资源离散化、能力聚合化等特征[10]。

这就需要用软件的方式为整个系统的应用功能提供一套标准、通用的运行环境和通信服务，使应用功能研制只需聚焦于具体的业务逻辑和交互数据，保证应用功能与底层硬件环境和网络的无关性，为节点间的互联互通构建面向功能层的分布式交互环境。通过硬件标准化、数据标准化、接口标准化、服务标准化、软件架构标准化，实现应用APP即插即用，根据任务需求对资源进行重新分配与有序组合，实现能力聚合，如图4所示。

图4 资源虚拟化

3 DIMA与时间触发网络

3.1 DIMA带来的挑战

DIMA相当于物理分离的多个子网(功能域)，为有效协调各个处理单元/模块之间有序协同工作，避免分布式综合过程中关键信息和核心处理的时序错位与失配，各处理单元/模块之间就需要时间同步。在统一网络上运行各种混合关键任务(安全关键、任务关键、时间关键)，会对分布式处理实体任务之间的处理时间、调度抖动、数据传输延时及同步精度提出不同的技术要求，为提供混合关键任务处理、多业务流传输支持，需要为系统引入“时间触发”机制，并基于全局时间来统一规划和协调系统的任务需求及资源管理，使系统高效安全运行。

DIMA系统资源共享，一个功能失效，不能影响其他功能，或引起资源“饥荒”和“死锁”，需要详细规划各资源的运行时间和周期，提供资源访问及故障隔离技术。DIMA系统采用ARINC653标准定义的分区操作系统，将时间、空间等资源隔离，避免故障从一个分区传输到另一个分区，但分布式计算系统能够通过从故障节点到环境的一条错误消息，使故障从原来的故障封闭区域向外传播。因此，必须将DIMA系统的“时-空”处理隔离保障机制向互联网络层次延伸。

DIMA架构取代IMA架构将所有计算资源集中在一个功能区的做法，系统的处理、接入、网络、转换资源按照飞机任务区域进行分布部署，使得数据就近接入、信息就近处理、功能应用就近执行。为了适应DIMA中分布式的资源部署与任务处理，其采用的网络互连方案不仅应满足综合区域交换互连、实时同步的要求，还需依赖精准的全局时钟同步基准，匹配合理的时间触发调度窗口以保证各项功能正确、有效实现。另外，DIMA架构对全局网络通信的正确性、可靠性和容错能力等提出了更高的要求，更加强调混合关键性技术、增量升级和认证等，时间触发技术是DIMA架构的最佳选择。

3.2 时间触发网络

时间触发网络采用时分复用传输机制确保数据传输的确定性，将一个传输周期的时间划分成若干个时间片(简称时隙)，并分配给各节点使用，每个节点在各自的时隙内独占信道进行数据传输。基于整个系统的精确时钟同步，采用时间触发技术，网络中的所有节点都在所分配的时隙内进行数据传输，可有效避免各节点抢占物理链路，确保传输延迟的确定性。

TTE (SAE AS6802)是基于以太网的时间触发通信技术，可以有效避免传统事件触发机制下通过大量时间预留来解决多个事件同时发生所导致的资源共享冲突问题。TTE是在AFDX网络基础上实现的时间触发网络协议，综合了AFDX和时间触发机制的技术优势，从根本上解决了传统以太网的载波侦听多路访问/冲突检测(CSMA/CD)协议信道访问机制弊病，使以太网的实时通信应用成为现实。TTE网络支持3种不同类型的数据通信：1) 时间触发(Time-Triggered，TT)消息，具有确定的延迟和抖动，用于安全关键和任务关键数据传输；2) 速率受限(Rate-Constraint，RC)消息，规定了最大延迟和抖动，适用于事件触发消息传输；3) 尽力发送(Best-Effort，BE)消息，没有延迟保障，兼容标准的商用网络传输。

TTE在各种航空航天领域得到了应用，如NASA把TTE网络应用于火星探测项目，美国西科斯基飞机公司将基于TTE协议的IMA系统用于新一代航电系统架构中，其时间触发特性简化了应用开发，使综合工作减到最少，以较低的全寿命周期费用获得新的安全性水平。TTE不仅可作为新一代飞机航电互连网络主干网，而且可直接连接安全关键子系统，在飞机中真正实现统一网络。基于时间触发的TTE网络可同时满足实时(控制系统)和非实时(传统的因特网)应用的需要。

3.3 DIMA与时间触发网络

为了适应DIMA架构中分布式的部署与处理，保证各项功能的正确、有效完成，需要依赖精准的全局时间同步基准，匹配合理的时间触发调度窗口，也即应采用时间触发技术。时间触发技术提供基于服务质量(QoS)和内存隔离的分区技术、提供分布式模块之间的同步技术，时间触发网络是一个分布、容错、硬实时系统，满足分布式架构的要求。时间触发网络在分布式架构中的优势主要体现在以下几个方面。

1) 支持混合安全关键业务传输，能为安全关键、任务关键、时间关键提供有保障的服务，提供最小化的调度抖动和固定传输延迟。

2) 有利于功能融合，时间触发可为系统提供一种高精度时间同步机制，确保系统功能间的时间同步及同一时间内的数据一致性。

3) 降低系统全生命周期研发成本，时间触发可简化航电任务系统综合、验证及维护的复杂度，从而可降低航电任务系统全生命周期研发成本。

4) 有助于系统增量式开发，由于系统任务和通信是基于全局时间统一规划和管理的，在系统资源分配时可全局考虑并留有余量，当系统功能增加或扩展时，新增加任务、通信可设计在能力余量槽中，由于时间触发机制保证任务、通信的独立性，因此新增任务和通信不会影响其他的已规划任务和通信执行，因此是一种增量式开发。

5) 提高资源利用率：时间触发通信中各节点都在所分配的时隙内进行数据传输，避免了事件触发需要开辟大量的缓冲区来化解通信冲突的问题，在全局时钟的精确同步下，时间触发机制不存在通信冲突，减少了对节点缓冲区的需求，提高了资源的利用率。

6) 良好的可组合性：时间触发通信机制事先规划好了各设备的传输特性，各设备独立验证完成后，可以很容易地集成为一个大系统，不会存在数据传输的冲突，具有良好的可组合性。

7) 容错性好：每个节点都基于全局时间进行数据传输，而不是基于外部事件触发通信，这有利于将一个节点的故障隔离在所分配的时隙内，不会传播到其他节点。

4 时间触发架构在DIMA架构中的应用

4.1 时间触发架构

DIMA架构和时间触发网络相互配合使用，能为系统带来诸多好处，但要真正实现数据传输的确定性，降低延迟和抖动，还需实现网络、操作系统和任务调度之间的相互同步，也就是要定义系统的计算和通信模型(Models of Computation and Communication，MoCC)。

MoCC主要描述系统组件的操作和对齐方式，支持不同(关键和非关键)分布式功能的综合，实质上是描述任务、分区和网络之间的同步关系，三者之间同步的系统也被称为时间触发架构(Time-Triggered Architecture，TTA)，如图5所示，TTA能确保数据传输具有固定的延迟和抖动。

图5 时间触发架构

网络同步是实现TTA的基础和前提条件，提供系统统一的时间同步基准及时间域的隔离能力。操作系统分区与网络时间同步，可以进一步增加系统调度的确定性。分区调度和网络时钟未同步时，网络与操作系统之间的时间偏差是动态的，导致消息传输延迟不确定。在分区调度与网络时钟同步后，分区调度周期和网络调度周期是同步进行的，随着系统运行过程的持续进行，周期消息传输延迟固定。任务级同步能够为系统的整体行为建立统一调度机制，使得系统能够以最优化的调度方式进行分布式任务协作，最合理地调度系统资源，提升系统性能。

网络同步过程分为两个步骤：

1) 同步控制器(Synchronization Master，SM)向压缩控制器(Compression Master，CM)发送协议控制帧(Protocol Control Frame，PCF)，CM收到与之相连的各链路上的不同PCF后，采用时序保持算法使PCF的接收顺序与其发送顺序保持一致，然后根据PCF携带的信息、到达时间及全局时钟同步协议，执行同步算法；

2) 将1)的计算结果写入一个新的PCF中，并发送给各节点，各节点收到CM发送的PCF后，根据PCF携带的时钟信息修正本地时钟。

操作系统调度与网络时间同步可以使各设备操作系统调度的起始时间保持一致，有效提高操作系统上的应用数据收发介入网络的确定性，减少应用数据传输的抖动开销。将网络的时钟同步设置为周期执行，每个整合周期内发送一次网络时钟同步协议控制帧PCF，将所有时间触发帧周期的最小公倍数设置为集群周期(Cluster Cycle,CC)，每个集群周期内每个时间触发帧至少发送一次。同时，操作系统基于主时间框架调制传递函数(MTF)进行应用的调度。将操作系统的主时间框架MTF与网络的集群周期起始时间修正一致，就可实现操作系统MTF与网络时间同步[11-12]，具体实现方法如下。在操作系统MTF内加入同步分区Sync，并由同步分区完成时间补偿。在每个MTF结束后计算操作系统MTF与网络集群周期的时间差Δt，如果Δt大于允许的最大偏差,则修改操作系统的Tick值，得到当前同步分区的执行时间与以前同步分区的执行时间的差值Δts,则经过Δt/Δts个周期后，操作系统与网络同步。同步分区结束后，再将Tick值复原，保证不影响正常应用分区的调度，这样，经过几个周期修正之后，就可使操作系统时间与网络时间保持同步。

MTF与CC同步如图6所示，假如操作系统MTF时间为20 ms，包括同步分区2 ms、发送分区9 ms、接收分区9 ms，操作系统Tick值为500 μs，同步分区执行时间为4倍Tick值，即2 ms。假如MTF与CC相差100 μs，可以更改Tick值为475 μs，同步周期的执行时间为4倍Tick值，即1.9 ms，比原来减少了100 μs。这样，经过一个周期就可实现MTF与CC同步。

图6 MTF与CC同步

4.2 TTA在DIMA架构中的应用

DIMA架构从横向上描述了整个航电系统的物理架构，为了适应DIMA架构中分布式的部署与处理，保证各项功能的正确有效完成，需要依赖精准的全局时间同步基准，匹配合理的时间触发调度窗口，否则会造成各处理环节时序错位与失配，以致无法按照预期完成使命任务。

TTA从纵向上描述了每个节点的计算和通信模型，实现了任务、分区和网络之间的时间同步，确保数据传输具有固定的延迟和抖动。

TTA是实现DIMA架构的关键技术途径之一，可使安全关键任务安全、确定、可靠地传输，提高了系统的容错重构和故障隔离能力。

TTA采用全局时间统一和周期性任务调度表全局编排的方式，避免流量冲突，网络调度方案与任务调度方案不匹配会造成消息传输的更大延迟和不确定性，因此，调度表的建立方式和建立规则是TTA设计的关键，必须事先设计每个任务的开始时间、数据在各个环节的传输时间、结束时间，在强有力的设计验证工具保障下才能规划好调度表，如图7所示。

图7 TTA在DIMA架构中的应用

时间触发下的高度耦合关系使得系统设计者在进行系统设计时不仅要考虑各分布式处理的任务分配与资源映射等关系，还需要兼顾互连网络中时间触发通信消息的调度实现。这实际上是把分布式综合验证的复杂性转换成系统设计的复杂性，会带来系统设计者责任和难度的增加。

可以考虑在接入交换和骨干交换中采用不同的调度机制。

1) 接入交换采用时间触发调度+骨干交换采用事件触发调度：将DIMA看作是多域的IMA，从系统集成耦合度降低的角度出发，可以在各域内采用时间触发，中间核心连接应用事件触发，既保持了域内紧关联任务之间的协同耦合关系(同步)，又照顾到系统的增量式开发(异步)。

2) 接入交换采用事件触发调度+骨干交换采用时间触发调度：将DIMA看作是多域的IMA，从任务调度耦合度降低的角度出发，可以在各域内采用事件触发，中间核心连接应用时间触发，既保持了域内应用与消息之间的松耦合设计(异步)，又照顾到子系统之间关键流量的实时性传输需求(同步)。

5 结束语

DIMA架构系统物理布局分布、逻辑处理分区、系统功能综合，实现了分布式架构下混合业务的安全可靠传输，减轻了系统质量，简化了系统集成的难度，系统灵活可组。时间触发网络实现了全局时钟精确同步，为TTA的应用奠定了基础，可使安全关键任务安全、确定、可靠传输，提高了系统的容错重构和故障隔离能力。同时，DIMA架构也为系统设计带来了一定的变革，需实现网络、操作系统、应用任务之间的同步，系统设计人员必须清楚任务之间的时序关系、执行周期，也必须清楚数据、中间件、操作系统、通信等各个环节的延迟，必须在设计前期进行建模仿真、多轮次迭代，因此，在进行DIMA系统设计时，应权衡考虑系统的同步层级，针对不同安全等级的任务采用不同的同步方式。