1553B總線的航天器故障注入系統設計

時 光，幺 飛

(中國空間技術研究院總體部，北京 100094)

1553B總線的航天器故障注入系統設計

時 光，幺 飛

(中國空間技術研究院總體部，北京 100094)

傳統的故障模擬系統在衛星測試中設備通用性差、模擬信號類型單一等多方面不足，已不能滿足航天器批產化測試模式的需求。針對現有平臺存在的不足，結合1553B總線協議和通信特點，對總線故障注入關鍵技術進行深入研究，提出一種利用星載1553B總線為故障注入介質，以數據仿真替代真實模擬故障輸入激勵的1553B總線故障注入系統。應用結果表明，故障注入測試方法可以實現預期的故障目標，提高了設備的通用性及航天器測試效率，降低了地面設備研制成本。

1553B總線；故障注入技術；總線數據交互；故障仿真；激勵條件；采集終端

0 引言

隨著衛星功能復雜度的提高，星載軟件故障模式日益繁多，對自主故障處理能力的地面驗證提出了更高要求。星載軟件故障注入方法是指通過地面干預，將故障條件注入到目標系統中，加速系統失效的方法。故障注入技術是評測容錯機制的一種有效方法，通過對注入故障后系統的反應信息進行監測和分析，可獲得對目標系統可靠性和容錯特性的評測結果[1]。

為了全面、有效地測試衛星的自主故障管理功能，需要針對各個測試功能、性能項設計測試場景?？偩€測試平臺Condor公司的BusTools-1553測試系統有部分故障注入功能，但無法進行真實模擬設備間的故障進行測試[2]。而在實際應用中大部分自主故障管理的測試場景需要模擬衛星軟、硬件的失效或錯誤狀態，采用實物單機很難全面、客觀地創造出測試所需的場景和數據[3]。因此，有必要研制一套自主故障管理功能模擬測試系統，用于模擬衛星CTU和各RT終端的失效或錯誤狀態數據[4]，創造自主故障管理測試所需的激勵條件，實現對衛星自主故障管理策略的有效性和軟件實現邏輯的正確性做全面、客觀的有效性測試。

1 系統設計改進分析

1.1 傳統故障模擬系統

傳統的整星級故障注入測試模式為利用地面測試終端模擬發生故障情況下的輸入激勵[5]，通過星上遙測采集設備將故障激勵送給星務軟件進行處理。

傳統的故障模擬系統主要存在以下不足[6]：

① 故障模擬系統多為專用測試設備，CPCI主板插接多塊專用測試板卡，輸出故障激勵信號類型單一，通用性差。

② 由于技術限制，星載系統極值的故障難以模擬。

③ 傳統的故障模擬系統輸出激勵信號與星上遙測采集設備連接，故障信號激勵輸入往往需要連接多個接插件，導致測試電纜連接復雜[7]。不同衛星遙測采集設備(RTUISU)接插件型號大多不相同，型號間復用測試設備需要重新投產測試電纜，費時費料。

④ 故障模擬系統多為大體積機柜或者工控機，設備研制周期長，用昂貴。

傳統故障模擬系統示意圖如圖1所示(以熱控、能源等效器為例)。

圖1 傳統故障模擬系統

1.2 總線故障注入系統

1553B總線故障注入系統與傳統的故障模擬系統不同，將故障測試的輸入激勵由遙測采集設備下端轉移到星載數據總線，將真實輸入激勵的模擬轉移為總線傳輸數據的仿真，來實現滿足星載軟件故障觸發條件，驗證星載軟件故障處理的能力[8]。該系統故障注入類型豐富，配套測試電纜連接簡單、通用，具有多種靈活可變的注入方式，具備通用性、高效性和經濟性等特點。

總線故障注入系統主要改進以下方面：

① 故障注入媒介由RT遙測采集終端變為1553B星載總線。故障注入媒介的改變直接影響星載軟件故障測試的電纜連接情況[9]。本系統測試電纜及接插件均為1553B總線標準配套，無需考慮多種輸入激勵所屬的多種接插件類型及電纜類型，多套測試電纜合為一套，節約測試電纜研制成本的同時提高測試電纜通用性，簡化測試操作。

② 真實模擬多種類型故障數據變為實時仿真總線數據。仿真數據源的由繁至簡，降低了研制設備的成本[10]。星載軟件往往要求故障條件苛刻，整星測試難以實現對輸入故障激勵的真實模擬，該系統能夠真實模擬故障激勵總線數據，提高測試覆蓋性。

③ 多型號多領域通用。由于該系統設計的測試方法基于1553B總線，而該總線現階段為航天器較常用數據總線，所以此系統適用于使用1553B總線作為星載數據總線的所有航天器測試使用。

④ 具備多種故障注入方式。設計多種故障注入方式包括阻塞式、非阻塞式和延時阻塞式[11]；故障注入數據可以是工程值或者是總線傳輸的十六進制源碼。測試方法可適用于多種故障邏輯，提高了測試方法的易用性，可實現自動化測試。

⑤ 具備故障注入數據正確性校驗[12]。本系統通過故障注入總線信息位允許使能禁止控制及傳輸數據正確性校驗機制保證故障注入數據的正確性。

⑥ 故障注入節點由遙測采集設備后端優化到星載數據總線，同時帶來測試覆蓋性方面的疑慮[13]。遙測采集設備到星載數據總線這段通路在故障注入測試中并沒有覆蓋，但是在正常模式測試中[14]，遙測采集設備到星載總線這段通路已經得到驗證，所以滿足測試覆蓋性的要求[6]。

⑦ 該套系統體積為3U的CPCI機箱，滿足上架及便攜要求，降低設備研制成本及周期。

1553B總線故障注入系統示意圖如圖2所示。

圖2 1553B總線故障注入系統

3 總線故障注入系統設計

3.1 硬件及信息流設計

1553B總線故障注入系統硬件主要由2塊型號為QCP-1553-1MW的Condor單通道多功能總線仿真卡及凌華(AD Link)生產的cPCI-3620D/E3845/M4工控機主板配套cPCIS-2501/AC系列3U CPCI機箱構成。

1553B總線故障注入系統結構圖及信息流如圖3所示。

圖3 1553B總線故障注入系統結構圖及信息流

系統工作過程中有上行遙控指令信息流和下行遙測數據信息流2個通道實現信息的流轉，遙控指令信息流采取透明轉發形式，遙測數據信息流采取截斷替換形式[15]，具體如下：

① 上行遙控信息流：星載總線BC端發出指令→故障注入仿RT端接收指令→透明轉發→故障注入仿BC端發出指令→星載總線RT端接收指令。

② 下行遙測信息流：星載總線RT端將采集的原始遙測數據送出→故障注入仿BC端接收遙測數據→按照通信協議用故障仿真數據替換原始遙測數據完成故障注入→故障注入仿RT端將帶有故障數據的整幀數據發出→星載總線BC端接收帶有故障的遙測數據，完成故障注入過程。

3.2 軟件設計

3.2.1 1553B總線仿真軟件

1553B總線仿真軟件，進行總線仿真及故障注入，并收集1553B總線上的消息數據，打包通過DATEP協議發送給主控軟件[16]，主控軟件再進行相應的處理?？偩€仿真軟件模塊組成框圖如圖4所示。

系統參數配置模塊：完成配置的修改、存儲與讀取，用于其他邏輯模塊的輸入。同時該模塊具備導入導出設置的功能[17]。

BM數據監視模塊：監視總線上的消息，獲得總線消息的大小和個數，并負責將每個消息輸出到下一級處理模塊，同時計算每條消息的時間統計信息。模塊工作流程如圖5所示，虛線框內部為本模塊處理流程。通過API函數獲取當前總線上發生的消息數據塊大小和內容，將其讀入本地數據空間，分別對每個總線消息進行時統信息處理[18]，包括消息發生的總線時間、本地時間和本地時間與總線時間的時間偏差。最后將總線消息輸出到其他模塊進行處理。該模塊每10 ms讀取一次數據，處理完畢后通過網絡進行發送，可以滿足100 ms接收顯示，并在完成處理后100 ms內進行組網發送。

圖4 總線仿真軟件模塊組成

圖5 BM數據監視模塊流程

RT仿真邏輯模塊：完成對總線上某個RT的仿真，模擬該RT的數據行為，響應BC控制。利用1553B仿真卡提供的API函數、模擬數據配置、模擬狀態控制共同配合完成[19]。

BC仿真邏輯模塊：BC的仿真邏輯為通過一個循環執行列表，設定BC在運行的過程中的執行邏輯。執行列表的每一項都是一條指令，指令可能的類型有：① BC_CONTROL_NOP:空消息，用于時間延時；② BC_CONTROL_MESSAGE:傳輸數據；③ BC_CONTROL_CONDITION:根據“比較消息”中消息內容，條件跳轉到“跳轉消息”。

對每條指令的詳細內容可以在定制的對話框中進行配置，通過這些給定的指令類型，可以組合出需要的BC仿真邏輯。對BC的仿真邏輯進行更加復雜的處理，BC的邏輯流程不再是簡單的循環執行寫好的指令，而是可以根據總線的狀態進行判斷和分支處理[20]。目的在于實現對接模擬的功能，仿真貼近于星上真實情況的BC。

故障注入模塊：實現仿真故障注入的功能，根據測試的需要，提供一個可供用戶配置的數據故障注入界面，并在界面上提供相應的配置選項。在設備運行時，通過判斷配置是否需要故障注入[21]，對需要故障注入的地方進行相應處理，并在2塊仿真卡之間進行數據轉發。

歷史數據查詢模塊：通過選擇時間和數據過濾類型來顯示查詢到的總線數據。

歷史數據回放模塊：一種是直接將總線歷史數據內容發送到主控軟件；另一種是將總線歷史數據寫入總線仿真卡，通過總線監視模塊將總線數據發送到主控軟件。

總控邏輯處理模塊：具備與總控連接的接口，且符合總控的通訊協議，具備總控校時功能，可響應總控工作模式設置指令、模擬RT/BC設置指令、選擇故障注入配置文件設置指令以及是否進行故障注入設置等指令。同時，向總控發送設備運行狀態(包括開機自檢)信息，收發比對正確信息以及重點監視的遙測參數信息。

3.2.2 1553B主控軟件

主控軟件是監視總線故障注入軟件發出的總線數據的軟件，通過該軟件用戶可以實時監視1553B總線消息，也可對1553B總線歷史消息進行查詢與回放，通過軟件的故障注入界面也可完成1553B總線故障注入的操作。

4 總線故障注入系統測試實例結果與分析

下面以軟件故障測試中的一類——熱敏電阻故障切換為例介紹具體實施方式。

① 通過軟件用戶需求分析得出：熱敏電阻1溫度遙測源碼為小于等于03或者大于等于FE則認為該熱敏電阻故障，軟件邏輯切換至熱敏電阻2進行回路控溫。熱敏電阻1溫度遙測由設備A采集并通過1553B總線送至設備B進行封裝組包下傳。

② 故障注入設備連接如圖2所示，設備B為總線BC端，設備A為總線RT端，總線故障注入設備串接在1553B總線支線靠近設備A處。上行遙控指令由設備B經總線過故障注入設備透明轉發至設備A，下行遙測數據由設備A采集真實熱敏電阻溫度遙測，發送至故障注入設備，設備內通過主控軟件將故障仿真數據放入遙測數據流中經過總線送至設備B，設備B完成各RT采集數據匯總及打包等后續工作。

③ 通過1553B總線通信協議確定熱敏電阻1溫度遙測所在的具體RT、SA(子地址)、字節數、字節位置，主控軟件配置中標注如上信息以便故障注入數據位置準確。

④ 測試前進行星上狀態設置，熱控軟件使能、該回路熱敏電阻自主切換使能、該回路自主控溫禁止。

⑤ 測試開始，通過地面設置指令設置故障注入設備將RT=2(設備A)、SA=10(常規遙測參數)、字節數=1、字節位置=122的遙測參數數據修改為源碼=03(滿足熱敏電阻故障條件),故障注入方式采用阻塞式(將該故障仿真數據一直保持注入狀態)。

⑥ 下行遙測信息流如下：假設設備A采集真實熱敏電阻溫度源碼為62，設備A將采集數據送至故障注入設備后，主控軟件根據步驟⑤中設置指令，將真實溫度源碼62替換為仿真故障源碼03，重新組合數據流由1553B總線送至設備B(BC端)，設備B的軟件故障處理邏輯認為熱敏電阻1的溫度源碼是03，滿足故障切換邏輯，開始自主發送切換控溫熱敏電阻動作。

⑦ 通過遙測判讀，該回路控溫熱敏電阻由熱敏電阻1變為熱敏電阻2。

⑧ 將步驟⑤、⑥中源碼03換為FE，再次進行故障注入測試，結果同步驟⑦，熱敏電阻故障邏輯驗證結束，星載軟件該功能正常。

該系統在導航衛星型號測試過程中得到驗證。對于總線RT數據，從數據類型上又分為遙測數據、重要數據等；從總線上分則分為循環緩存數據和非循環緩存數據。對于非循環緩存數據，直接進行轉發即可，但對于循環緩存數據，為了保證數據轉發的完整性，不能單獨對每條消息數據進行轉發。因此，采用報告幀的方式，對遙測等循環緩存數據進行轉發。報告幀即是對數據進行組包，然后對數據包進行轉發，組包的依據則是收到該RT字地址對應的勤務指令，收到勤務指令后，可認為是一個完整的包，將該包數據寫入仿RT端對應的子地址的緩存中，確保遙測等數據的完整性。

5 結束語

1553B總線故障注入系統已在實際衛星測試中投入使用。在實際使用中，對總線故障注入功能、總線數據仿真功能、總線數據監視及回放功能、總線數據查詢功能進行了重點測試，結果正確，滿足測試需求。

該系統故障注入類型豐富，配套測試電纜連接簡單、通用，具有多種靈活可變的注入方式，具備通用性、高效性、經濟性等特點?，F階段研究成果故障注入模型較單一，僅能滿足靜態的故障注入模型，后期應投入對動態故障注入模型的研究。

[1] 連盟，李學鋒.1553B總線故障注入測試方法研究[J].航天控制，2012,32(2):84-88

[2] 王蓮，徐萍，劉斌.BIT驗證中1553B總線故障注入設備的設計與實現[J].計算機測量與控制，2011(12):2942-2944.

[3] 戴虹.1553b數據總線協議分析[J].科學技術與工程，2008(13):3536-3538.

[4] 孫峻朝，王建瑩，楊孝宗.故障注入方法與工具的研究現狀[J].宇航學報，2001(1)：99-104.

[5] 仉俊峰， 洪炳镕，喬永強.基于軟件方法故障注入系統[J].哈爾濱工業大學學報，2006，38(6)：873-876.

[6] 劉桂山，胡軍程.1553B總線信息流設計[J].北京理工大學學報,2003,3(23):301-304.

[7] 王志宏.基于1553B總線的航空電子綜合系統總線通訊研究[D].南京:南京理工大學碩士學位論文，2004：1-4.

[8] 黃海林，唐志敏，許彤.龍芯一號處理器的故障注入方法與軟錯誤敏感性分析[J].計算機研究與發展,2006,43(10)：1820-1827.

[9] 賴鑫，戴葵，劉芳.高可靠8051微處理器的設計與實現[J].計算機工程與科學，2009，31(1)：117-120.

[10] 朱鵬.星載SAR控制軟件故障注入技術研究[D].北京：中國科學院研究生院(電子學研究所)碩士學位論文，2004:5-30.

[11] 林金永，孫濤，董劍.容錯箭載計算機的硬件故障注入方法研究[J].航天控制，2008，26(4)：73-77.

[12] 石晶，洪炳镕，蔡則蘇.分布式星載系統故障注入研究[J].微計算機信息，2009，25(4)：140-142.

[13] 仉俊峰，洪炳镕，喬永強.基于軟件方法故障注入系統[J].哈爾濱工業大學學報，2006，38(6)：873-876.

[14] 彭俊杰，黃慶成，洪炳熔.一種用于星載系統可靠性評測的軟件故障注入工具[J].宇航學報，2005，26(6)：823-826.

[15] 劉丹丹，王曉峰.驗證BIT測試性指標的總線級故障注入系統及其設計[J].航天器環境工程，2008，25(5)：479-484.

[16] 李迎霞，龍翔，高小鵬.串行總線故障注入系統的設計與研究[C].北京:北京地區高校研究生學術交流會通信與信息技術會議論文集(上冊)，2008：234-238.

[17] 董劍.嵌入式故障注入器HFI-4的研究與實現[D].哈爾濱:哈爾濱工業大學碩士論文，2002：3-17.

[18] CARTER W C,ABRAHAM J.Design and Evaluation Tools for Fault Tolerant System.Proc.[C]∥AIAA Comp.In Aerosp.Conf.1987:70-71.

[19] ARLAT J,CROUZET Y,LAPRIE J C.Fault Injection for Dependability Validation of Fault-Tolerant Computing Systems.Proc.[C]∥19th IEEE Int.Symp.on Fault Tolerant Computing(FTCS-19).Chicago,IL,1989:348-355.

[20] ARLAT J,COSTES A,CROUZET Y.et al.Fault Injection and Dependability Evaluation of Fault-Tolerant Systems[J].IEEE Trans.on Computers,1993,42(8):913-923.

[21] ARLAT J,AGUERA M,CROUZET Y,et al.Experimental Evaluation of the Fault Tolerance of an Atomic Multicast System[J].IEEE Trans.on Reliability.1990,39(4):455-467.

DesignofSpacecraftFaultInjectionSystemBasedon1553BBus

SHI Guang,YAO Fei

(BeijingInstituteofSpacecraftSystemsEngineering，Beijing100094，China)

Such situation has higher requirements for independent fault processing ability of ground verification.In satellite tests,traditional fault simulation system cannot meet the requirement of testing the whole spacecraft in batch due to the weakness such as lacking in equipment universality,monotonous type of analog signals,etc.Targeting at the weakness of existing platform,a 1553B bus fault injection system is proposed,which takes satellite-borne 1553B bus as fault injection medium and replaces real simulation failure input excitation with data simulation.The system improves equipment universality and testing efficiency,and reduces the costs for developing ground equipment.

1553B Bus;fault injection technique;bus data interaction;fault simulation;incentive condition;acquisition terminal

10.3969/j.issn.1003-3106.2017.10.14

時光，幺飛.1553B總線的航天器故障注入系統設計[J].無線電工程,2017,47(10):63-67.[SHI Guang,YAO Fei.Design of Spacecraft Fault Injection System Based on 1553B Bus[J].Radio Engineering,2017,47(10):63-67.]

V556.1

A

1003-3106(2017)10-0063-05

2017-06-28

國家部委基金資助項目。

時光女,(1984—)，碩士,工程師。主要研究方向：計算機系統結構、航天器綜合測試。幺飛男，(1983—)，碩士,工程師。主要研究方向：信號與信息處理、航天器綜合測試。