国际空间站上使用的两种计算机

国际空间站上使用的两种计算机

周　林

(中国空间技术研究院总体设计部　北京　100086)

文　摘　欧空局为国际空间站研制了两个新型的计算机:容错计算机(FT C)和标准有效载荷计算机(SPL C),它们

可以满足空间站对计算机的需要,可以方便地构成各分种布式数据管理结构。文中介绍这两种不同类型的计算机设计。

主题词　国际空间站　容错计算机　有效载荷计算机

前　言

在过去10年期间,商用电子设备和专用微处理器、存储器芯片以及随后的硬件设备的寿命变得越来越短了。事实上,每隔半年,计算机的性能就翻一倍。在使用新技术方面,地面与太空应用新技术的间隙变得越来越宽了。

在将商业产品应用在空间领域时,特殊的空间环境约束不允许将新技术集成在具有安全性、关键性、高可靠性要求的系统功能中。其主要原因是太空环境对专用处理器和存储器芯片具有高可靠的、抗辐射EEE性能。于是,只好采取为每一项特殊的空间任务专门设计一种解决方案的方法,这种方法就成了制定研制计划、增加费用的主要驱动力。因此,软件工程也成了特有的、专用的产品,并且需要专门研制地面支持设备和软件设计的开发环境。

为了避免这种情况,欧空局从加快研制进度和标准化的角度出发,大胆改进了以往传统的设计方法,使地面系统和飞行器上的软件都可使用商业上的产品,将飞行器上的硬件结构制作成标准组件并具有可重构性,使它既能够完成多种太空任务,又能够与商用硬件和软件接口。对于安全性、关键性任务,最好的设计思想是要求设备容忍故障而不是避免故障。

1　新的设计概念

在空间电子学和地面电子学之间(特别是在计算机应用领域)的技术鸿沟将长期存在,这是因为空间电子设备必须经受辐射的考验,因此,某些对辐射敏感的技术就不能用在空间设备上。从而引起一种新的脱离先前的专门设计的理念,欧空局提出了研制通用型标准计算机的思想。这种计算机可以普遍应用在空间飞行器上,达到了减少工程费用,缩短设计、开发周期的目的。这种计算机首先在国际空间站计算机设计中得到了验证。这种新的设计理念具有下列关键特性:

¹在两级水平上积木化:即首先在EU RO标准尺寸的基板上集成基本功能;然后,用钩将第二层板固定在基板的上部,该板称为夹层板;

º开放式计算机结构;

»可以选择寄存在一个主板上的功能,便于改变各板的连接方式;

¼精密的设备接口标准:VEM(工业内部计算机总线标准),MIL-STD-1553B接口,以太网接口,RS-422接口,视频接口。

½选用商用宽温型处理器(SPARC),使其具有抗辐射的能力。但是,在设计CPU计板结构时,应考虑使其将来能够适应小型化设计的变化。

¾使用标准商用实时操作系统,确保与商用软件产品、地面设备和软件开发环境兼容。

　收稿日期:2004-03-22

¿将输入/输出功能与中央处理单元(CPU )分离,这就意味着使用具有智能化的外围接口,减少CPU 的负担,可以随着任务的需要,增加数据流量。

À将软件进行分层,定义各层之间的接口。典型的软件层次如下:板级支持软件包(硬件到软件接口);操作系统与硬件驱动;对外通信用接口协议软件。

由于这些新的设计理念,出现了安全性、关键性任务要求的容错计算机设计和国际空间站实验设备用标准有效载荷处理器两种计算机设计方案。

2　容错计算机

为了满足空间任务的要求——高可靠性、高效率和抗辐射,欧空局设计了容错计算机(FTC)。它是一个按照标准规格设计的计算机,可以向用户提供极强的处理能力,可以容忍两个不同时出现的故障。为了进行通信,FTC 装备了六套MIL -STD -1553B 总线接口,支持同步包传输(SPT )协议。

2.1　拜占庭故障算法

一台FT C 由多台相同的计算机(含硬件和软件)组成,每台都占有一个单独的外壳,称为故障保留区(FCR )。它们同步操作、执行相同的用户任务软件。依靠所设计的容错策略,四个FCR (如果要求容忍两个故障)可以连接成一个FTC 。

这种设计的基础称为拜占庭故障算法。按照这个理论,如果满足下述条件,一台计算机就可以隔离F 个任意故障。这些条件是:¹计算机必须有3F+1个故障保留区(FCR);º这些故障保留区(FCR)必须通过2F +1个不相交的路径相连;»数据必须在FCR 区和按照拜占庭故障算法设计的表决器之间交换F +1次;¼所有FCR 的同步必须限制在一个有限的偏差内。

在FT C 的硬件、软件设计中,已经严格地、一致地证明了这一理论的正确性。例如当F=1时,FT C 由四个FCR 组成,该FTC 可以处理一个任意的故障。如果一个故障具有暂时性的特点,即由一个单一事件的干扰产生的,那么在检测到这个故障时,就将这个故障屏蔽起来,FT C 继续运行。如果在100m s 时间帧内相同的故障发生n 次,可以认定为固定故障,就自动地隔离(或使之无效)有故障的FCR,FT C 继续在三个FCR 结构上运行。在这种结构中,通过多数表决检测并隔离故障。在这个意义上,这种设计能够满足容忍两个故障的要求。

2.2　容错计算机系统

使用一个供电母线和开关,就可以支持具有一个、二个、三个或者四个FCR 的FT C 。每个FCR 机箱都可以互换,在运行期间可以重新集成。

一个FT C 上的所有的FCR 通过一个交叉捷连互相连接,其功能是:¹需要表决的数据交换;º由一个容错时钟完成软件处理和数据分配的同步;»由剩余的FCR(4-FCR 结构)对故障的FCR 进行容错表决、隔离(Reset)

。图1　FTC 交叉连接

为了避免故障在FCR 之间扩散,采用电性

能隔离的点对点连接实现交叉捷连。

图1表示一个完整的、具有四个FCR 的

FT C 结构,并且描述了交叉捷连的互连方式及

连接到M IL -ST D -1553B 总线的接口原理。

每个FCR 都是一个独立的处理器,该处理

器运行用户应用软件(U AS)。为了减轻用户的

故障管理功能,该处理器同时负责故障管理和

M IL-ST D-1553B 总线接口的管理。

如图2所示,FCR 具有三层结构。VM E 工

业标准总线将故障管理层和应用层严格地分