JSSG-2008中對VMC設計的考慮

王 萌 陳 益 林 堅

（西安航空計算技術研究所，陜西 西安 710065）

JSSG-2008中對VMC設計的考慮

王 萌 陳 益 林 堅

（西安航空計算技術研究所，陜西 西安 710065）

介紹了 JSSG-2008作為美國聯合軍用規范指南中的重要組成部分，通過正文和附錄對機載VCMS系統進行了全面的指導性描述，結合JSSG規范的特點對其中關于VMC計算機設計技術方面的指導內容進行提煉，包括了處理器資源、系統結構、硬件設計、通訊與同步、擴展性設計、軟件設計、配置項劃分、軟件維護與認證等方面，可以對國內VMC技術領域的發展以及相關標準規范的制訂提供參考。

JSSG；標準；VMC；VCMS；飛行器管理計算機

JSSG-2008《飛行器（或航空器）控制與管理系統》（Vehicle Control and Management System，VCMS）是美國聯合軍種規范指南（Joint Service Specification Guide， JSSG）中的一部分。JSSG-2008的封面明確指出“這份規范指南僅用于指導，不能作為需求所引用”體現出其嚴謹之處。不能作為需求應當是指不能直接作為產品研制的需求進行引用，因為需求的各項內容必須是可準確驗證的。這份文件其實是從使用者的角度向飛行器控制與管理系統的研制提出的指導性描述，文中以填空的形式就研制飛行器控制與管理系統應當考慮到的內容進行了系統性的列述（見圖1），涉及到安全關鍵性、可靠性、生存性、穩定性、功能綜合性、系統結構、余度及綜合管理、可擴充性、可維護性、物理安裝特性、人機工程、工藝、可替換性、環境適應、保障支持內容都融入在正文需求部分的各章節中，這些面向系統提出的要求正是系統核心部件—計算機在設計中應貫徹的設計因素。VCMS系統中的飛行器管理計算機（Vehicle Management Computer，VMC）應當是同系統特性密切結合的一臺滿足機載功能綜合化應用要求的專用計算機平臺，JSSG-2008具體在3.3節中（見圖1中需求下列加重標識的“處理資源”部分）對關于VMC的特性需求進行了描述。

圖1 JSSG-2008內容組織框架

1 VMC設計的考慮

1.1 概述

JSSG-2008中3.3節將VMC稱為系統的處理器資源，同全文其它部分類似也是以填空的方式全局性的提出了對處理器資源設計應考慮的方面，主要包括：

a）從VCMS功能出發，計算機的資源、軟件、硬件配置上應如何考慮；

b）處理結構（或可理解為計算機的系統結構）；

c）處理硬件的運行特性與物理構成；

d）通訊方式；

e）同步，與功能相結合的周期/采樣速率；f）可擴展性設計及備份設計；

g）VCMS的運行程序、語言及數據庫軟件編程語言；

h）被定義的一個或更多個計算機軟件配置項將提供哪些軟件功能；

i）VCMS軟件應在可維護性設計方面做哪些工作；

j）如何開發軟件；

k）軟件認證。

JSSG這套規范的最大特點就是正文以填空方式提出問題，通過附錄給出相應的解決方法和思路，顯然在附錄部分的內容更具價值。JSSG-2008的附錄A（見圖1第4列加重標識的圖框）就是針對正文中所列出的填空項目所展開的更進一步的闡述，目的在于對編制飛行器控制和管理系統規范提供指導，其中涵蓋了對VMC計算機資源多個方面的考慮。

1.2 資源劃分

JSSG-2008中VMC的資源劃分為硬件處理資源和軟件處理資源2類。硬件處理資源包括：傳感器信號采集（數據輸入）、數據輸出、模擬和數字通訊（串行并行數據總線）、數據處理元件（通用或專用的CPU）、程序存儲器件；軟件處理資源包括：高級指令語言、低級語言/匯編語言、軟件開發環境、測試工具、軟件開發過程。

這些軟硬件資源的設計應當與飛行器的維護相適應。在軟件方面不論選擇了什么樣的高級語言，為了利于系統綜合，全部軟件開發人員必須遵循相同的開發過程、使用相同的軟件工具和配置管理工具?？紤]到VCMS的安全關鍵特性，開發者應使用成熟、穩定、經測試過的軟件平臺/環境，必須提交計劃以闡明對維護的支持，并通過檢查、分析、測試來驗證處理器資源是否滿足飛行器及VCMS飛行關鍵應用的需求。

1.3 系統結構

VMC作為VCMS中的核心計算機，JSSG-2008對VMC的系統結構提出了分區化、開放式、容錯性3個方面的考慮。文中指出應通過選擇設計方法（分布/集中式處理、余度等級、資源分配、優先級、時序、控制等）來確定VMC的體系結構。建議采用分區設計的結構以便于系統的集成，要綜合接口特性、擴展性、可靠性、測試性、維護性、可支持性、安全性、生存性等等因素，同時體系結構應當與VCMS系統內部的通訊相協調，具備抑制故障蔓延、存儲器保護、阻止產生任何引起50ms以內停機的瞬態條件。計算機的軟件、硬件應當設計成具有可擴展、可升級的開放式結構，并與飛行器和武器系統內其他的處理器資源相兼容，同時要滿足系統的安全性需求。在容錯體系結構下對余度數據的管理應當至少包括：輸入數據表決監控、輸出數據表決監控、數據有效性檢測、基于投票表決/監控功能的I/O數據重構功能、檢測故障LRM并具切電功能、接口的在板自診斷功能、設計告警/故障申報功能的接口等。

1.4 硬件設計

VMC的硬件處理資源在提供計算、控制、數據存儲能力的基礎上，能夠支持單/多計算機系統獲取所需數據的接口或控制處理。硬件應基于VCMS的安全關鍵特性進行設計，采用多余度以滿足安全性需求并應避免失效在系統內的傳播?？煽啃?、可維護性、可支持性、單純性、生存性、環境適應性都是計算機硬件設計主要的考慮因素。硬件詳細設計中應注意不允許在無用輸入或電路上出現“浮置”引腳。對于復雜的硬件設計推薦進行獨立設計評審。余度通道在物理和電器方面應貫徹隔離性原則以提高系統的生存性。硬件設計需求中還應包括對核、生物化學、閃電、EMI防護等方面的內容。

硬件資源中的微處理器應盡可能選取通用處理器，如果使用特殊的處理器則必須有明確的需求說明，盡可能使用具有相同指令集結構的微處理器并支持商用的開發工具。

VMC的箱體應提供備份插槽以滿足功能擴展的需求；處理器模塊提供總線輸入/輸出控制，背板總線控制，功能處理，能夠測試所使用到的所用功能模塊；I/O模塊提供離散量、數字量、模擬量、通訊接口，使用到通用背板接口和交叉通道數據鏈路，并可以被主處理器控制復位；電源模塊給箱體內模塊分配供電，其負載能力應滿足功能可擴充的需要，具備短路/開路、過壓保護的功能；其他一些為提供邏輯功能而使用到的門陣列、集成電阻/電容/電感/二級管等組件應完全可以測試，并固有具備不傳播故障的特性。關于這些部件涉及到的需求指標有：存儲器容量（使用降額應大于50%）、字長、處理速度、字符集標準（通常是ASCII）、指令集結構、中斷能力、冗余需求、輔助存儲需求、可編程性、測試能力等等。

1.5 通訊與同步

VMC在通訊方面，從獲得易用性和可支持性、減低開發風險、減少成本、構建開放式計算機體系結構等方面考慮（與其他硬件資源的取用原則一致）應選擇標準的商用或軍用通訊方式。

考慮到同步和周期速率都可能是造成VCMS系統失控的失效源，因此要求VMC必須具備安全控制功能。同步不應當是單點失效源，VMC的各余度通道應有能力異步運行以不導致系統停機，如果VMC的某通道判斷出其它通道有錯誤，應有能力忽略掉交叉傳輸所輸入的數據并且能夠避免被其他通道所“切斷”，這種機制并不意味存在多通道可能會放過某一個故障通道的隱患，因為如果故障的通道發現自身不能與其他通道進行數據比較，通道內的“硬線”邏輯應具有能夠切斷其自身的輸出的能力，同時要注意：應阻止所剩最后一個通道切斷自己的輸出。典型的“幀同步”技術可以實現VCMS同步。應用運行速率分為周期速率和采樣速率，貫徹魯棒性設計原則：采樣速率至少是周期速率的4倍。周期速率也必須足夠快，以滿足控制律對控制面執行的實時性（典型值80Hz）要求。輸入數據的更新率要求與周期速率協調一致。

1.6 擴展性設計

可擴展及備份設計是VMC一項基本設計原則，涉及物理容量、計算容量、吞吐率、I/O資源等參數。這項設計原則不僅對擴展功能提供可能，并且對保證系統安全性也有貢獻，如處理器的吞吐率必須有足夠的余量，確保能夠承受住最極端情況下的處理負載。JSSG-2008建議的備份指標如下：100%的物理備份、50%的ROM預留空間、60%的NVRAM（非易失存儲器）預留空間、預留50%吞吐率、對于每一幀周期預留60%的前臺處理時間以及50%的I/O資源備份。

1.7 軟件設計

在軟件設計方面JSSG-2008指出開發軟件應遵從當前工業界及政府官方慣例，要保證可重用軟件（如COTS軟件）符合VCMS系統需求，通過設計確保軟件故障不會傳播導致關鍵或災難性失效。開發過程中應將復雜的軟件功能分解成可管理的子部件以降低管理軟件的難度。軟件結構組織應采用分區設計，分區后的軟件子部件易實現故障隔離和功能的結構化，使軟件更易維護，減少了開發過程生命周期的成本，當然分區軟件的規模應滿足分區尺寸并要具備可測試性。開發VMC軟件應選用通用編程語言，同時編程語言應當是經過確認和證明的，并要求對引用現成軍用軟件的更改不應超過10%，當高級語言不能有效實現時間關鍵（強實時）功能時不可避免會使用匯編語言，采用匯編語言的代碼規模不應超過總代碼量的10%。對數據庫的組織結構設計應當與所實現編程語言的種類無關。如果基于不同VCMS系統功能采用了不同種類的編程語言，應建立對照表以反映功能與所用語言的對應關系。

1.8 軟件配置項

VMC作為實現機載功能綜合化控制與管理的平臺，具體綜合了哪些功能，軟件實現功能時該如何進行配置項劃分，這是設計開發VMC必須要考慮的2個問題。JSSG-2008在關于軟件配置項的描述中列出了VMC實現綜合的功能包括：VCMS管理功能、I/O管理功能、飛行控制功能、慣性導航功能、燃油管理功能、狀態告警功能、液壓管理功能、環境控制功能、起降設備控制功能、機載綜合數據監控功能、座艙安全功能、電源管理功能、機載火警與消防功能、存儲器管理功能等等，并建議依據功能最小細化的原則對應建立VMC軟件配置項（Computer Software Configuration Items ，CSCI），每個配置項與功能相對應軟件配置項列表見表1，結合VMC多余度的容錯體系結構每個配置項的基本特性應包括：

a）余度數據的輸入表決和監控；

b）余度分支計算結果的表決和監控；

c）數據有效性確認及合理的測試；

d）基于表決和監控功能I/O重構；

e）對接口的故障自檢測、診斷；

f）故障的VCMS部件的檢測和斷電；

g）故障告警、申報功能。

1.9 軟件維護與認證

1.9.1 軟件可維護性

軟件可維護性方面JSSG-2008要求VMC計算機的軟件應當易維護和更新，便于故障檢測和隔離升級，在設計中應貫徹以下的原則以保障軟件易于實現維護的特性。

a）模塊化設計；

表1 VMC軟件配置項列表

續表1（完）

b）在通用工程環境下使用結構化的編程技術；

c）對變量使用標準的名稱定義；

d）在高級語言中使用標準的助記符號；

e）提供編輯器、調試器用于軟件的更改和升級；

f）實現BIT設計以發現系統故障。

1.9.2 軟件開發

要求VMC計算機軟件在開發方面應建立并嚴格的按照結構化的過程執行：

a) 執行VCMS系統級的需求和設計分析，軟件需求分析；

b) 依據top-down設計開發層次；

c) 開發測試包括：評審測試計劃、bottom-up測試、綜合測試；

d) 提供軟件工程環境、計算機軟件配置項完整文檔；

e) 軟件從需求、設計到測試應可追溯；

f) 確認安全關鍵性的軟件需求；

g) 采用標準的編程流程、配置管理流程、質量保證流程。

由于VCMS屬飛行安全關鍵系統，JSSG-2008要求承載系統功能的VMC計算機軟件的可靠性必須以最高的可能進行定義，軟件認證不僅包括軟件文檔、軟件結構、全部計算機軟件配置項進行測試，同時需要依據軟件開發計劃（Software Development Plan ，SDP）對軟件開發壽命周期的過程進行認證確認。

2 結束語

VMC是現代飛機航空電子系統應綜合化發展需求而牽引出的新一代機載計算機平臺，用以實現對飛行器的綜合管理與控制，這里的綜合包括了功能綜合和物理綜合。JSSG-2008作為飛行器控制與管理系統的規范指南，從設計要求、過程保證、驗證確認等多方面結合系統的綜合性要求對開發系統內VMC的硬件、軟件資源進行了全面闡述，其內容與當前國內對VMC技術領域的研究方向一致，值得進一步更深入地分析研究，相信會對提高國內VMC設計技術水平以及相關標準規范的制訂起到積極的作用。

[1] AGARD AR 343 Integrated Vehicle Management Systems[S]. 1996.

[2] JOINT SERVICE SPECIFICATION GUIDE JSSG-2008∶ Vehicle Control and Management System[S]. 1998.

[3] 梁德芳. 飛行控制系統規范發展芻議[J]. 航空標準化與質量，2006，4.

[4] 王萌. 關于VMC技術標準研究的探索[J]. 航空標準化與質量，2009，3.

[5] 李旭東. JSSG系列規范飛機生存力要求介紹[J].航空標準化與質量，2010，5.

（編輯：勞邊）

V241

C

1003-6660（2015）01-0052-05

10.13237/j.cnki.asq.2015.01.014

[收修訂稿日期] 2014-11-24