衛星控制系統時序建模分析方法研究*

王 磊，袁 利，戴居峰

(北京控制工程研究所，北京100190)

0 引 言

時序是具有時間約束的實時系統工作流，包括為完成實時系統的功能和性能要求而設計的邏輯執行的過程順序以及與時間的關系.衛星控制系統的時序是分布于控制分系統與其他分系統之間、控制分系統各單機產品之間、軟件和硬件之間、各軟件配置項之間以及應用軟件中的邏輯要求與時間要求的集合.時序不合理將可能導致衛星控制系統在軌發生控制混亂或故障.由于時序問題具有一定的概率性和隱藏性，因此在設計階段進行時序分析，驗證時序設計的合理性和正確性是必不可少的工作，時序分析的結果同時還可以指導后續的系統測試.

國外衛星控制系統的時序設計有較為成熟的方法和工具.ESA采用對象方法[1]對時序進行建模、分析和設計.1987年，ESA采用了HOOD(hierachical object oriented language)設計方法，1995年，法國航天局將之升級為HRT-HOOD(hard real time HOOD)，支持對可調度性的直接分析，廣泛應用于ESA的衛星控制分系統嵌入式軟件.例如Olympus衛星[2]的控制軟件包括周期任務、非定期任務、硬實時任務、軟實時任務、后臺任務和總線通訊任務，使用HRT-HOOD方法對時序過程進行了四級分解.使用DMSA(deadline monotonic scheduling analysis)方法對每一個任務進行了分析，確認在指定的優先級序列的情況下是否可以使得每一個任務在指定的時間點或允許的時間范圍內被運行.在分析過程中，遇到的最大問題是總線中斷的處理.最初使用了一個非周期性的對象和一個被動對象來實現中斷處理，在中斷的時候由被動對象讀取數據，而由非周期對象來處理數據，分析表明不能滿足指定的時間要求，因此通過修改設計，讓非周期對象將數據存放在緩沖區內，通過一個周期對象以固定的頻率搬移數據來實現.

模型驅動的分析與設計方法[3-4]是采用模型作為系統設計開發各個階段的統一描述，通過自動化工具保證各個設計階段的一致性的方法.2003年美國軍方推出了結合部分UML2.0符號庫的結構描述語言AADL[5-6](avionics architecture design language)，在整個航天業界得到了推廣應用后，AADL的含義變為architecture analysis＆design language，成為模型驅動方法的主流規范.AADL主要功能是對嵌入式系統的實時性、嵌入式容錯、安全分區和動態認證等非功能屬性進行建模;能夠描述系統的任務調度、任務通訊、分布式多處理器以及嵌入式硬件基本結構等其他性質.可應用在系統的整個生命周期對其進行建模和分析，并針對系統的關鍵特征，通過一套可擴展的符號系統及其工具框架提供各個開發時期的驗證.不僅可以用來對已有系統進行建模和分析，還可以用來設計和整合新的系統，并支持從多種結構觀點進行設計、建模和分析.目前歐洲發展的HRT-HOOD體系已開始兼容AADL，最終將轉換到模型驅動設計方法.

無論是對象方法還是模型驅動方法，其建模的目的主要是為了在動態平臺上運行系統模型來對時序進行分析驗證.這兩種方法均離不開時序過程的數學描述，因此，必須對時序過程進行數學建模，求得時序參數，才有可能對時序模型進行驗證.

國內衛星控制系統在時序設計與分析方面還沒有成熟的方法和工具，數學建模分析僅限于局部，在實踐中主要是結合型號工作經驗通過試錯法(try and error)調整時間參數.

本文提出針對時序設計的系統性的數學建模分析方法，明確了時序設計的分解分配過程，給出了時序描述的工作流圖方法.

1 任務分析與軟硬件協同設計

1.1 任務分析

任務分析是開展系統級時序設計的先決條件.通過任務分析，應得到系統級時序設計的目標和約束條件集合.目標主要包括控制方案對時序的要求、與其他分系統之間工作分工對時序的要求.

結合系統詳細技術設計，可能的約束條件包括:系統產品配置、計算機與各單機(敏感器和執行機構)的工作分工與從屬關系、各單機(選用的現有產品)工作特性以及軟硬件工作分工、各軟件配置項工作分工、與控制分系統存在軟硬件接口的其他分系統的工作特性(特別是時間特性)等.約束條件在數學模型中一般以已知參數代入求解.

1.2 軟硬件協同設計

系統級時序設計首先需要對軟硬件功能進行劃分，完成軟硬件的協同設計.根據系統體系結構、質量體積和功耗約束、電子線路目前的設計水平、計算存儲和通信能力等系統約束條件進行綜合分析后，重點在上電與切機、通信接口傳輸機制、緩沖配置、中斷、時鐘等軟硬件密切配合的項目用工作流圖描述軟硬件工作界面，分別給出軟硬件時序設計目標.

2 時序過程的數學建模

2.1 時序分解模型

系統時序設計是對系統時序設計目標分層分解并逐級分配的過程.在每一層分解過程中，應首先建立分解模型，分解出不同的時序設計子項目，并通過對分解模型的求解，得出對應子項目的設計目標.每一層的輸出結果可以使用工作流圖表達.

例如，控制周期T是系統級設計目標.其分解模型可以建立如下:

式中:t1為上下文切換(任務調度)時間;t2為所有所需的敏感器信息采集時間;t3為控制算法運行時間;t4為所有控制命令發送時間;t5為在單個控制周期內所有可能發生的中斷時間(此為外部中斷或系統時鐘中斷，采集敏感器信息而產生的中斷安排在t2中);t6為空閑時間.

因此，分解出來的時序項目至少為6項，而每個子項的設計目標通過ti(i=1～6)表示;各個子項目之間的順序關系可以用工作流圖或任務時序圖描述.數學模型的求解是要確定模型中所有參數的數值或取值范圍，所依據的首要原則是使得每個參數均在可實現范圍內，其次是系統應為優化的.

每個子項目的設計目標可以進一步分解.直至分解到最終每個時序環節的時間參數要求.例如t2可以分解如下:

式中:t2i1為AOCC/GNCC向第i個單機發送的信息采集命令的發送與傳輸時間;t2i2為該單機的響應時間;t2i3為該單機的信息傳送時間;t2i4為AOCC/GNCC對該信息的接收和解包處理時間;t2i5為空閑時間(若故障處理要求當前控制周期對該單機的信息采集在一次傳輸不果后需重傳一次，則重傳時間計算在t2i5內).若對單個單機有多次信息采集，應累加時間.各個單項之間的順序關系可以用工作流圖描述.

t3可以根據用戶需求，分解到控制算法的不同模塊.其不同模塊之間的順序關系可以用結構化流程圖描述.

t4可以分解如下:

式中:t4i1為AOCC/GNCC向第i個執行機構發送控制命令的發送與傳輸時間;t4i2為空閑時間(一般設計為0，但當兩條命令之間存在同步要求時，同步等待時間計算在t4i2內).若對單個單機有多條控制命令發送，應累加時間.各個單項之間的順序關系可以用工作流圖描述.

t5可以分解如下:

式中:pi是指第i類中斷在一個周期內可能發生的最大次數;t00為中斷響應時間;t01為中斷上下文切換時間;tdi是第i類中斷的中斷處理時間.

t6可以分解如下:

2.2 時序分配模型

通過時序分解模型可以分解出時序設計的子項目，子項目一般都直接與硬件產品的特性相關，此時，通過進一步細化的數學建模，可以將時序要求分配到具體過程.在時序分配模型中納入硬件時間特性參數，可以進行正逆數值求解，以得到較優的結果.

例如，設計一個需響應3個外部中斷的計算機系統，在優先級確定的前提下，需分析其中斷嵌套的情況，得到每個中斷的處理時間以及中斷發生的頻率(兩次中斷的時間間隔)限制.可以建模如下:

設系統中斷響應時間為t00，任務調度的上下文切換時間為t01;中斷1(最高優先級)的中斷處理時間為t10，產生單次中斷的數據包的線上傳輸時間為t11，兩個數據包的最小間隔為t12;中斷2(次高優先級)的中斷處理時間為t20，產生單次中斷的數據包的線上傳輸時間為t21，兩個數據包的最小間隔為t22;中斷3(最低優先級)的中斷處理時間為t30，產生單次中斷的數據包的線上傳輸時間為t31，兩個數據包的最小間隔為t32.

則為保證中斷1不丟失數據，需滿足:

為保證中斷2不丟失數據，需滿足:

其中，ceil表示向上取整運算.

為保證中斷3不丟失數據，需滿足:

由上述模型可以看出，為保證各級中斷不丟失數據，應采取的措施包括:

1)高優先級的中斷處理時間應短于低優先級的中斷處理時間;

2)縮短各級中斷的處理時間;

3)增大各級中斷的兩次中斷時間間隔.為此，若數據包的線上傳輸時間較短，則應增大兩包數據之間的間隔.

2.3 時序裕度模型

對一段時序過程進行數學建模的最終結果一般表現為一個表達式.由于物理硬件的特性，通常對時間參數的執行結果存在一定的誤差，為了保證在最壞情況下仍能滿足數學模型，需要進行裕度設計.

設有時間參數T，由若干分段時間參數組成:T為整數.各時間參數用下標l表示取值下限，用下標h表示取值上限，對于取值上限/下限的選取或限制應符合執行此時間參數的單機特性.

由數學模型的表達式來確定時序裕度的模型，即應考慮各個分段時間的上下限，規則是:

1)對于小于不等式，不等式左邊的時間參數均以其取值上限計算，不等式右邊的時間參數均以其取值下限計算.即若要求時間參數T小于Tl，則有:

2)對于大于不等式，不等式左邊的時間參數均以其取值下限計算，不等式右邊的時間參數均以其取值上限計算.即若要求時間參數T大于Th，則有:

3)對于等式，即若要求時間參數T在Tl～Th之間.左邊為被分解項，其取值上限應不小于右邊各分解項均按取值上限的計算結果:

其取值下限應不大于右邊各分解項均按取值下限的計算結果:

3 時序過程的描述

由于衛星控制分系統工作流的上下文既有瞬時性(instantaneous)也有持續性(continuous)特點，因此控制分系統的系統級時序描述包括兩個方面:基于時間點的工作流和基于時間區間的工作流.參照區間代數[7]，定義基本的時序關系為:

工作流圖用于表述控制系統各個工作主體(計算機、敏感器、執行機構、外系統、軟件配置項)之間的工作流，以及這些工作流之間的同步或異步的交叉關系.

表1 基本時序關系Tab.1 Elementarytimingrelations

用Pij表示第i個工作主體的第j個動作，同時加入時間點(或事件、或條件)或時間執行區間.時間點用[tm，)表示，時間區間用[tm，tn]表示，條件用[CTp]表示，資源用[Y1，Y2，…]表示;多個時間(事件或條件)描述之間用/分隔.

例如:

工作流圖是由表述這些帶有時間約束的圖形節點連接而成，如圖1所示.

圖1 工作流圖Fig.1 Working flow chart

連接關系中，箭頭代表了先后順序關系;帶有弧線的并列箭頭所指的分支是條件判斷分支;不帶有弧線的并列箭頭所指的分支是并行關系.前后方框中時間區間的差值，代表了所允許的時間裕量或響應時間或執行時延.

工作流圖中動作的執行順序是由工作流的執行控制結構決定的，這種執行時序約束沒有明確的定義，但在執行過程中總要被滿足，因此稱為隱式時序約束.由各種基本時序關系符號所指明的時間點、時間區間、事件、條件、資源是顯式時序約束.特別是對于時間要求，時間點與時間區間表達了動作持續時間約束、動作間的時間間隔約束以及允許的時延約束.

4 結 論

隨著衛星控制系統集成度的提高和新功能的不斷增加，系統時序的復雜度也越來越高，通過試錯法設計時序參數效率過于低下且容易出錯.本文提出了針對時序的數學建模分析方法和時序描述的工作流圖方法，可用于衛星控制分系統的時序設計與分析.通過系統性的時序建模，可求解出時序過程中的所有時間參數，同時對系統測試具有指導意義.

[1]BURNS A，WEKKUBGSA J.Hard real time HOOD:a design method for hard real-time ada 9X systems[C]//Ada UK International Conference.Amsterdam:Ios Press，1992:201.

[2]BURNSA， WEKKUBGSA J，BAILEY C M，et al.The olympus attitude and orbital control system-a case study in hard real-time system design and implementation[C]//The 12thAda-Europe International Conference.Heidelbery:Springer-Verlag Berlin，1993:353.

[3]ERKKINEN T.Model style guidelines for flight code generation[R].AIAA 2005-6216，2005.

[4]TOTEL E，POLLE B，CHARMEAU M C.Modelling an autonomous spacecraft architecture[C]//DASIA.Nice:ESTEC，2001.

[5]FEILER P H，LEWIS B A，VESTAL S.The SAE architecture，analysis＆DESIGN LANGUAGE(AADL)-a standard for engineering performance critical system[C]//The 2006 IEEE Conference on Computer Aided Control System Design.Washingto:IEEE Computer Society press，2006:1206-11.

[6]RUGINA A E，KANOUN K，KANICHE M.A System dependability modeling framework using AADL and GSPNS[M].Delemos R，Gacek C，Romanovsky A.Architecting Dependable System IV.Heidelberg:Springer-Verlag Berlin，2007:14-38.

[7]ALEFELD G，HERZBERGER J.Introduction to interval computations[M].New York:Academ ic Press，1983.