CN104461811B - 一种分级、分层次的航天器单粒子软错误防护体系系统 - Google Patents
一种分级、分层次的航天器单粒子软错误防护体系系统 Download PDFInfo
- Publication number
- CN104461811B CN104461811B CN201410710693.3A CN201410710693A CN104461811B CN 104461811 B CN104461811 B CN 104461811B CN 201410710693 A CN201410710693 A CN 201410710693A CN 104461811 B CN104461811 B CN 104461811B
- Authority
- CN
- China
- Prior art keywords
- protection
- particle
- central computer
- soft error
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
本发明公开了一种航天器单粒子软错误防护体系系统,本发明根据我国航天器的设计特点将单粒子软错误防护分为四级,并统一设计,每级防护采用不同的手段策略,形成了分级、分层次的单粒子软错误防护体系结构。整个体系结构利用星载计算资源由中心计算机容错和系统级单粒子防护模块、中心计算机、综合业务单元、各分系统信息处理单元共同完成单粒子软错误防护任务,具备良好的总体和局部控制性能。各级软错误防护的策略充分利用航天器各信息处理单元之间的相关性,使完成单粒子软错误防护的各个功能模块既能相互协作,又保持清晰的任务界面。
Description
技术领域
本发明涉及一种航天器单粒子软错误防护体系系统,属于航天器单粒子软错误防护技术领域。
背景技术
单粒子软错误是航天器在轨运行中常见的空间辐射效应之一,近年来单粒子软错误严重影响了我国多个航天器在轨不间断稳定服务。为满足大容量、高速、复杂信息处理要求,现有航天器的信息处理单元需大量采用DSP、FPGA、单片机、处理器、I/O及总线控制器等器件,但由于国外禁运及国内抗单粒子加固器件生产水平等限制,其中不乏单粒子软错误高敏感器件,因此我国航天器在轨不间断稳定服务面临严峻的单粒子软错误威胁,单粒子软错误成为影响未来航天器稳定运行与效能发挥的重大共性问题。
现阶段,针对单粒子软错误,我国航天器采取了转ASIC、定时刷新、三模冗余等防护措施,但以上措施大多集中在器件、单机层面,缺乏系统级的统一设计和信息的综合利用。为有效提升航天器抗单粒子能力,必须在现有器件水平和器件单机级防护手段的基础上,从系统设计层面入手,构建航天器单粒子软错误防护体系,充分利用航天器分系统、系统的相关信息完成单粒子防护,提升我国航天器在轨不间断稳定运行的能力。
发明内容
有鉴于此,本发明提供了一种航天器单粒子软错误防护体系系统,实现分级、分层次的航天器单粒子软错误防护,从而有效提升航天器抗单粒子能力。
为了解决上述技术问题,本发明是这样实现的:
一种航天器单粒子软错误防护体系系统,所述航天器中具有综合电子分系统和各分系统信息处理单元;综合电子分系统中具有中心计算机和各类业务单元;所述防护体系由四个防护层级组成,其中,第0级为器件和单机级防护,第1级为分系统级防护,第2级为中心计算机防护,第3级为系统级防护;
第0级的器件级防护从材料、工艺、元器件方面进行抗单粒子软错误加固,单机级防护通过单机硬件电路或软件自身设计实现;
第1级的分系统级防护是通过中心计算机与分系统信息处理单元以及综合电子分系统中的业务单元进行信息交互实现,中心计算机根据交互信息进行分系统信息处理单元以及业务单元的故障判断,当确定需要实施故障防护时,向需实施防护的分系统信息处理单元或业务单元发送恢复指令;
第2级的中心计算机防护是通过航天器中新增的中心计算机容错和系统级单粒子防护模块与中心计算机进行信息交互实现的;所述中心计算机容错和系统级单粒子防护模块根据交互信息进行中心计算机的故障判断,当确定需要实施故障防护时,向中心计算机发送恢复指令;
第3级的系统级防护是通过所述中心计算机容错和系统级单粒子防护模块、所述中心计算机和地球敏感器联合实现;当地球敏感器信息丢失且持续一段时间时,由所述中心计算机容错和系统级单粒子防护模块或所述中心计算机控制进入安全模式。
2、如权利要求1所述的航天器单粒子软错误防护体系结构,其特征在于,所述第1级的中心计算机防护分为以下三类:
1-a类是综合电子分系统中控制综合业务单元的防护,是通过在控制综合业务单元设置控制综合业务单元单粒子软错误防护模块和在中心计算机中设置单粒子软错误防护模式控制模块实现的;控制综合业务单元单粒子软错误防护模块采集控制综合业务单元及其控制部件的与控制相关的单粒子软错误状态信息,并通过与单粒子软错误防护模式控制模块交互单粒子软错误状态信息进行与控制相关的故障判断,最终由单粒子软错误防护模式控制模块决定是否实施故障防护,如果确定实施,则向控制综合业务单元发送恢复指令;
1-b类是航天器中通信总线的防护,是通过在中心计算机设置总线通信单粒子防护模块实现的,通过监测通信总线的工作状态进行故障判断和防护;
1-c类是航天器中各分系统信息处理单元和综合电子分系统中除所述控制综合业务单元之外的其他业务单元的防护,是通过在各分系统信息处理单元中设置分系统单粒子软错误防护模块和在中心计算机设置分系统汇总防护模块实现的;分系统单粒子软错误防护模块采集非控制非通信的单粒子软错误状态信息,并通过与分系统汇总防护模块交互单粒子软错误状态信息进行故障判断,最终由分系统汇总防护模块决定是否实施故障防护,如果确定实施,则向需实施防护的分系统或业务单元发送恢复指令。
其中,1-b类的防护包括对1553B总线通信功能和RS422总线通信功能的单粒子错误进行防护;
(1)1553B总线单粒子软错误防护
正常情况下,中心计算机使用1553B总线的A总线与下位机进行通信;
当中心计算机A总线通信出现问题时,总线通信单粒子防护模块对发送或接收的同一个RT子地址的消息块进行重试操作,重试次数不小于两次;重试操作未成功,则总线通信单粒子防护模块自动切换采用B总线进行通信,其通信过程与A总线方式一致;
若A总线和B总线均通信失败,总线通信单粒子防护模块对相应的下位机采取复位措施,然后再次进行总线通信,其通信方式及次序与初始方式一致;
(2)RS422总线单粒子软错误防护
在正常情况下,RS422总线所连接的航天器上载荷信息处理单元使用A端口与中心计算机通信,每N秒向中心计算机发送数据包;
若中心计算机在3N秒内未收到任何来自载荷信息处理单元的数据,则中心计算机认为双方通信失败,自动切换至B端口;
中心计算机切换到B端口后,发送“载荷信息处理单元B端口接收”指令,将载荷信息处理单元切至B端口通信。
优选地,所述地球敏感器为综合电子分系统中控制综合业务单元连接的控制部件之一,在综合电子分系统中增设单粒子外部报警接口模块;当所述控制综合业务单元单粒子软错误防护模块在进行1-a类防护时发现地球敏感器信息丢失,则进一步通过所述单粒子外部报警接口模块将丢失情况通报给所述中心计算机容错和系统级单粒子防护模块;
所述单粒子软错误防护模式控制模块在进行第1级1-a类防护的同时,进一步兼任第3级防护,具体为:当单粒子软错误防护模式控制模块根据所述控制综合业务单元单粒子软错误防护模块上报的信息确定地球敏感器信息丢失且持续一段时间T1时,发送对地定向安全模式序列,进入搜索地球的安全模式,直到地球敏感器信息恢复后,回到原正常模式;
所述中心计算机容错和系统级单粒子防护模块在进行第2级防护的同时,进一步兼任1-c类防护,具体为:当中心计算机容错和系统级单粒子防护模块根据单粒子外部报警接口模块发来的丢失情况确定地球敏感器信息丢失且持续一段时间T2时,T2大于T1,则切换中心计算机到备机,并控制备机发送对日定向安全模式序列,进行太阳捕获,并等待地面处理。
优选地,所述中心计算机由A机、B机和应急计算机组成;第2级防护具体为:
中心计算机容错和系统级单粒子防护模块为中心计算机的A机、B机和应急计算机设置看门狗电路,使用看门狗计数器监视A机、B机和应急计算机中当班机的工作状态;
当中心计算机工作正常时,会周期性发出清狗信号;如果看门狗计数器连续N个周期未收到来自中心计算机的清狗信号,中心计算机容错和系统级单粒子防护模块将对中心计算机的A机进行复位操作;
中心计算机容错和系统级单粒子防护模块在A机复位操作后的连续N个周期仍然未收到中心计算机A机发出的清狗信号,则中心计算机容错和系统级单粒子防护模块检查允许切机标志;如果该允许切机标志为“允许切机”,则中心计算机由A机切换到B机,同时将中心计算机容错和系统级单粒子防护模块中的允许切机标志置为“禁止切机”;允许切机标志初始设定为“允许切机”;
如果中心计算机容错和系统级单粒子防护模块在切换到B机后的连续2N个周期没有收到清狗信号,且允许切机标志为“禁止切机”,则中心计算机容错和系统级单粒子防护模块关闭中心计算机的A机和B机,并开启应急计算机。
有益效果:
(1)本发明根据我国航天器的设计特点将单粒子软错误防护分为四级,并统一设计,每级防护采用不同的手段策略,形成了分级、分层次的单粒子软错误防护体系结构。各级软错误防护的策略充分利用航天器各信息处理单元之间的相关性,使完成单粒子软错误防护的各个功能模块既能相互协作,又保持清晰的任务界面。
(2)本发明中的基于综合电子平台的航天器单粒子软错误防护体系结构采用分级控制方式,该控制方式合理利用星载计算资源由中心计算机容错和系统级单粒子防护模块、中心计算机、综合业务单元、各分系统信息处理单元共同完成单粒子软错误防护任务,具备良好的总体和局部控制性能。
(3)本发明的单粒子软错误防护体系结构基于通用的航天器综合电子平台,具有通用性,可适应不同类型航天器的单粒子防护需求。
(4)对于地球敏感器信息的丢失情况,先进行第1级的恢复,如果无法恢复再进行第3级的恢复,第3级恢复时也先进行对地定向动作,如果无法恢复再重置中心计算机,然后进行对日定向动作。多重防护处理保证防护成功率,自下而上的防护顺序是以先局部恢复再整体恢复为策略,从而保证尽量以影响面最小的方式实现故障防护。
附图说明
图1为本发明系统架构示意图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
本发明根据我国航天器的设计特点将单粒子软错误防护分为四级,并统一设计,每级防护采用不同的手段策略,形成了分级、分层次的单粒子软错误防护体系结构。单粒子软错误防护分级方法如下:
第0级(level 0):器件单机级防护。
器件级防护从材料、工艺、元器件等方面进行抗单粒子软错误加固,无需硬件电路或软件干预;单机级防护通过硬件电路或软件自身的设计实现,无需地面、星载软件对单粒子软错误信息进行综合并采取相关干预措施。器件和单机级防护生效时,对航天器正常工作和业务无影响。
第1级(level 1):分系统级防护。
分系统级防护的对象是分系统信息处理单元以及综合电子分系统中除了控制综合业务单元之外的其他业务单元。它是通过中心计算机与分系统信息处理单元以及进行信息交互并采取相关干预措施实现。具体来说,中心计算机根据交互信息进行分系统信息处理单元以及业务单元的故障判断,当确定需要实施故障防护时,向需实施防护的分系统信息处理单元或业务单元发送恢复指令。该级防护生效时,有可能对航天器正常工作产生影响。
根据单粒子分系统级软错误故障类型的不同,分系统级防护又分为3个子类型:
1-a类防护:针对综合电子分系统中的控制综合业务单元发生单粒子软错误故障的防护;
1-b类防护:针对总线通信功能发生单粒子软错误故障的防护;
1-c类防护:针对综合电子分析系统中除控制综合业务单元之外其它业务单元以及其他分系统的单粒子软错误故障的防护。
第2级(level 2):中心计算机防护。
中心计算机防护的防护对象是综合电子分系统中的中心计算机,它是通过航天器中新增的中心计算机容错和系统级单粒子防护模块与中心计算机进行信息交互实现的。中心计算机容错和系统级单粒子防护模块根据交互信息进行中心计算机的故障判断,当确定需要实施故障防护时,向中心计算机发送恢复指令。
第3级(level 3):系统级防护。
系统级防护是针对航天器上地球敏感器信号丢失故障,此类单粒子软错误故障有可能被0-2级的防护进行恢复,当(0-2级)的防护均失效时,则系统防护将导致航天器进入安全模式,保证卫星姿态和能源的安全,并等待地面的分析与处理。
此类防护是通过新增的中心计算机容错和系统级单粒子防护模块、中心计算机和地球敏感器联合实现;当地球敏感器信息丢失且持续一段时间时,由中心计算机容错和系统级单粒子防护模块或所述中心计算机控制进入安全模式。
以上1~3级单粒子软错误防护在综合电子平台下实现,其采用模块化分级设计的思想,该体系结构能够减少中心计算机的负担,利于适应复杂多变的工作环境,并具有较高的动态响应能力。
2、航天器单粒子软错误防护体系结构和工作流程
下面针对图1示出的航天器结构对本发明防护体积结构进行详细描述。
图1中,航天器具有综合电子分系统、供配电分系统信息处理单元、测控分系统信息处理单元、载荷信息处理单元;综合电子分系统中具体包含平台载荷综合业务单元、控制综合业务单元和中心计算机。载荷信息处理单元通过RS422总线与中心计算机通信,中心计算机、供配电分系统信息处理单元、平台载荷综合业务单元和控制综合业务单元均接入1553B总线进行通信,测控分系统信息处理单元连接平台载荷综合业务单元。
为了实现本发明,按照上述设计新增中心计算机容错和系统级单粒子防护模块;在中心计算机新增分系统汇总防护模块、总线通信单粒子防护模块和单粒子软错误防护模式控制模块,在供配电分系统信息处理单元增设供配电分系统单粒子软错误防护模块,在平台载荷综合业务单元增设平台载荷综合业务单元单粒子软错误防护模块,在控制综合业务单元增设控制综合业务单元单粒子软错误防护模块和单粒子外部报警接口模块。
其中,根据单粒子软错误防护分级,各级软错误防护由不同模块完成:
第1级防护为分系统级防护,其中:1-c级防护通过供配电分系统单粒子软错误防护模块、平台载荷综合业务单元单粒子软错误防护模块、中心计算机中的分系统汇总防护模块共同完成;1-b级防护通过中心计算机中的总线通信单粒子防护模块完成;1-a级防护通过控制综合业务单元单粒子软错误防护模块、中心计算机中的单粒子软错误防护模式控制模块共同完成。
第2级防护为中心计算机防护,通过中心计算机容错和系统级单粒子防护模块完成。
第3级防护为系统级防护,通过单粒子外部报警接口模块、中心计算机中的单粒子软错误防护模式控制模块和所述的中心计算机容错和系统级单粒子防护模块共同完成。
下面各级防护流程和涉及模块的相关功能分别进行介绍。
一、1-c类单粒子防护流程
供配电分系统单粒子软错误防护模块和平台载荷综合业务单元单粒子软错误防护模块根据预设的1-c级单粒子防护规则给出非控制非通信单粒子软错误状态信息,中心计算机根据上述单粒子软错误状态信息的结果实施1-c级单粒子防护。具体工作流程如下:
步骤11、供配电信息处理单元、平台载荷综合业务单元通过通用的遥测采集指令输出模块采集航天器上的非控制非通信的状态信息,并发送给所在处理单元或业务单元的单粒子软错误防护模块;
步骤12、单粒子软错误防护模块通过1553B总线与中心计算机中的分系统汇总防护模块交互单粒子软错误状态信息进行故障判断;
在实际中,可以是单粒子软错误防护模块负责根据预设的1-c级单粒子防护规则进行故障判断,将判断结果发送给分系统汇总防护模块;或者是直接将非控制非通信的状态信息发送给分系统汇总防护模块进行故障判断;又或者是在单粒子软错误防护模块进行部分的状态信息处理获得中间数据,将中间数据发送给分系统汇总防护模块进行另一部分的处理获得故障判断结果。
步骤13、分系统汇总防护模块根据故障判断结果决定是否实施单粒子防护。
步骤14、当需要实施1-c级单粒子防护时,分系统汇总防护模块的恢复指令通过1553B总线发送给供配电信息处理单元或平台载荷综合业务单元,完成1-c级单粒子防护。恢复指令可以是令单元重启或者其他动作序列。
二、1-b级单粒子防护流程
1-b级防护通过中心计算机中的总线通信单粒子防护模块完成,主要针对1553B总线通信功能和RS422总线通信功能,通过监测通信总线的工作状态进行故障判断和防护。具体工作流程如下:
(1)1553B总线单粒子软错误防护
正常情况下,中心计算机使用1553B总线的A总线与下位机进行通信;
当中心计算机A总线通信出现问题时,总线通信单粒子防护模块对发送或接收的同一个RT子地址的消息块进行重试操作,重试次数不小于两次;
重试操作未成功,则总线通信单粒子防护模块自动切换采用B总线进行通信,其通信过程与A总线方式一致;
若A总线和B总线均通信失败,总线通信单粒子防护模块对相应的下位机采取复位措施,然后再次进行总线通信,其通信方式及次序与初始方式一致。
(2)RS422总线单粒子软错误防护
在正常情况下,RS422总线所连接的载荷信息处理单元使用A端口与中心计算机通信,即每N秒向中心计算机发送数据包。
若中心计算机在3N秒内未收到任何来自载荷信息处理单元的数据,则中心计算机认为双方通信失败,自动切换至B端口。
中心计算机切换到B端口后,发送“载荷信息处理单元B端口接收”指令,将载荷信息处理单元切至B端口通信。
三、1-a级单粒子防护流程
控制综合业务单元单粒子防护模块与中心计算机中的单粒子软错误防护模式控制模块共同根据预设的控制单粒子软错误规则给出控制综合业务单元自身及其所连接的控制部件的单粒子软错误判断结果,并根据判断结果实施1-a级单粒子防护。具体工作流程如下:
步骤31、控制综合业务单元通过通用的控制遥测采集模块采集航天器上的控制部件的遥测信息,控制部件中包括地球敏感器,然后发送给控制综合业务单元单粒子软错误防护模块。
步骤32、控制综合业务单元单粒子软错误防护模块通过1553B总线与中心计算机中的单粒子软错误防护模式控制模块交互单粒子软错误状态信息进行故障判断。
在实际中,可以是控制综合业务单元单粒子软错误防护模块负责根据预设的1-a级控制单粒子防护规则判断控制相关的单粒子软错误,将判断结果发送给单粒子软错误防护模式控制模块;或者是直接将控制相关的状态信息发送给单粒子软错误防护模式控制模块进行故障判断;又或者是在控制综合业务单元单粒子软错误防护模块进行部分的状态信息处理获得中间数据,将中间数据发送给单粒子软错误防护模式控制模块进行另一部分的处理获得故障判断结果。
步骤33、当出现地球敏感器信号丢失故障时,控制综合业务单元单粒子软错误防护模块将该情况送给单粒子外部报警接口模块,通过外部报警接口模块将信息发送给中心计算机容错和系统级单粒子防护模块(本步骤属于第3级防护内容)。同时,地球敏感器信号丢失的情况也会被单粒子软错误防护模式控制模块获得。
步骤34、中心计算机中的单粒子软错误防护模式控制模块根据故障判断结果决定是否实施单粒子防护。
步骤35、当需要实施1-a级单粒子防护时,单粒子软错误防护模式控制模块的恢复指令通过1553B总线发送给控制综合业务单元,完成1-a级单粒子防护。
至此,第1-a级单粒子防护流程结束。
四、2级单粒子防护
中心计算机容错和系统级单粒子防护模块负责2级单粒子软错误防护。
中心计算机由A机、B机和应急计算机组成。对于2级防护,即中心管计算机自身的软件、硬件故障,由中心计算机容错和系统级单粒子防护模块完成复位、切机等动作,具体逻辑如下:
(1)中心计算机容错和系统级单粒子防护模块为中心计算机的A机、B机和应急计算机设置“看门狗”电路,使用看门狗计数器监视A机、B机和应急计算机中当班机的工作状态。
(2)当中心计算机工作正常时,会定期发出清狗信号(假设中心计算机每隔M秒发出清狗信号)。如果看门狗计数器连续N个周期(M*N秒)未收到来自中心计算机的清狗信号,中心计算机容错和系统级单粒子防护模块将对中心计算机的A机进行复位操作;
(3)中心计算机A机复位后,中心计算机容错和系统级单粒子防护模块在A机复位操作后的连续N个周期仍然未收到中心计算机A机发出的清狗信号,则专中心计算机容错和系统级单粒子防护模块检查允许切机标志。如果该标志为“允许切机”,则中心计算机由A机切换到B机,同时将允许切机标志置为“禁止切机”;允许切机标志初始设定为“允许切机”;
(4)如果中心计算机容错和系统级单粒子防护模块在切换到B机后的连续2N个周期没有收到清狗信号,且允许切机标志为“禁止切机”,则中心计算机容错和系统级单粒子防护模块关闭中心计算机的A机和B机,并开启应急计算机。
五、3级单粒子防护
第3级防护主要利用地球敏感器信号实现。地球敏感器信号丢失情况不仅作为控制部件的状态信息会发给单粒子软错误防护模式控制模块,还会作为第3级防护的信息,通报给中心计算机容错和系统级单粒子防护模块。
对于3级单粒子防护,其工作流程如下:
当地球敏感器信号丢失,该状态信息首先会在第1级的1-a类防护进行处理,由单粒子软错误防护模式控制模块和控制综合业务单元完成恢复,如果1-a类防护处理无法恢复正常,则单粒子软错误防护模式控制模块会持续接收到地球敏感器信号丢失信息。
那么,当单粒子软错误防护模式控制模块根据控制综合业务单元单粒子软错误防护模块上报的信息确定地球敏感器信息丢失且持续一段时间T1时,则认为单粒子软错误防护模式控制模块的分系统级防护无法完成故障恢复,需要启动第3级防护,此时发送预先设置好的对地定向安全模式序列,进入搜索地球的安全模式,即借助反作用飞轮的加速减速,使航天器绕俯仰轴旋转,进行地球搜索。当地球敏感器信息出现后,可以重新建立三轴姿态稳定,回到正常模式。
上述单粒子软错误防护模式控制模块是处于中心计算机中,如果中心计算机本身故障,则其无法发出对地定向安全模式序列,从而无法搜索到地球,或者由于其他原因无法搜索到地球,有鉴于此,本发明在中心计算机容错和系统级单粒子防护模块中设计了第3级防护的另外一半,由中心计算机容错和系统级单粒子防护模块接收来自单粒子外部报警接口模块发来的地球敏感器信号丢失报警,当根据该报警信息确定地球敏感器信息丢失且持续一段时间T2时,T2大于T1,认为在搜索地球的安全模式下预定的一段时间内没有搜索到地球,则切换中心计算机到备机,并控制备机发送对日定向安全模式序列,进行太阳捕获,转入对日定向安全模式,等待地面处理。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种航天器单粒子软错误防护体系系统,所述航天器中具有综合电子分系统和各分系统信息处理单元;综合电子分系统中具有中心计算机和各类业务单元;其特征在于,所述防护体系由四个防护层级组成,其中,第0级为器件和单机级防护,第1级为分系统级防护,第2级为中心计算机防护,第3级为系统级防护;
第0级的器件级防护从材料、工艺、元器件方面进行抗单粒子软错误加固,单机级防护通过单机硬件电路或软件自身设计实现;
第1级的分系统级防护是通过中心计算机与分系统信息处理单元以及综合电子分系统中的业务单元进行信息交互实现,中心计算机根据交互信息进行分系统信息处理单元以及业务单元的故障判断,当确定需要实施故障防护时,向需实施防护的分系统信息处理单元或业务单元发送恢复指令;所述第1级的分系统级防护分为以下三类:
1-a类是综合电子分系统中控制综合业务单元的防护,是通过在控制综合业务单元设置控制综合业务单元单粒子软错误防护模块和在中心计算机中设置单粒子软错误防护模式控制模块实现的;控制综合业务单元单粒子软错误防护模块采集控制综合业务单元及其控制部件的与控制相关的单粒子软错误状态信息,并通过与单粒子软错误防护模式控制模块交互单粒子软错误状态信息进行与控制相关的故障判断,最终由单粒子软错误防护模式控制模块决定是否实施故障防护,如果确定实施,则向控制综合业务单元发送恢复指令;
1-b类是航天器中通信总线的防护,是通过在中心计算机设置总线通信单粒子防护模块实现的,通过监测通信总线的工作状态进行故障判断和防护;
1-c类是航天器中各分系统信息处理单元和综合电子分系统中除所述控制综合业务单元之外的其他业务单元的防护,是通过在各分系统信息处理单元中设 置分系统单粒子软错误防护模块和在中心计算机设置分系统汇总防护模块实现的;分系统单粒子软错误防护模块采集非控制非通信的单粒子软错误状态信息,并通过与分系统汇总防护模块交互单粒子软错误状态信息进行故障判断,最终由分系统汇总防护模块决定是否实施故障防护,如果确定实施,则向需实施防护的分系统信息处理单元或业务单元发送恢复指令;
第2级的中心计算机防护是通过航天器中新增的中心计算机容错和系统级单粒子防护模块与中心计算机进行信息交互实现的;所述中心计算机容错和系统级单粒子防护模块根据交互信息进行中心计算机的故障判断,当确定需要实施故障防护时,向中心计算机发送恢复指令;
第3级的系统级防护是通过所述中心计算机容错和系统级单粒子防护模块、所述中心计算机和地球敏感器联合实现;当地球敏感器信息丢失且持续一段时间时,由所述中心计算机容错和系统级单粒子防护模块或所述中心计算机控制进入安全模式。
2.如权利要求1所述的一种航天器单粒子软错误防护体系系统,其特征在于,1-b类的防护包括对1553B总线通信功能和RS422总线通信功能的单粒子错误进行防护;
(1)1553B总线单粒子软错误防护
正常情况下,中心计算机使用1553B总线的A总线与下位机进行通信;
当中心计算机A总线通信出现问题时,总线通信单粒子防护模块对发送或接收的同一个RT子地址的消息块进行重试操作,重试次数不小于两次;重试操作未成功,则总线通信单粒子防护模块自动切换采用B总线进行通信,其通信过程与A总线方式一致;
若A总线和B总线均通信失败,总线通信单粒子防护模块对相应的下位机采取复位措施,然后再次进行总线通信,其通信方式及次序与初始方式一致;
(2)RS422总线单粒子软错误防护
在正常情况下,RS422总线所连接的航天器上载荷信息处理单元使用A端口与中心计算机通信,每N秒向中心计算机发送数据包;
若中心计算机在3N秒内未收到任何来自载荷信息处理单元的数据,则中心计算机认为双方通信失败,自动切换至B端口;
中心计算机切换到B端口后,发送“载荷信息处理单元B端口接收”指令,将载荷信息处理单元切至B端口通信。
3.如权利要求1所述的一种航天器单粒子软错误防护体系系统,其特征在于,所述地球敏感器为综合电子分系统中控制综合业务单元连接的控制部件之一,在综合电子分系统中增设单粒子外部报警接口模块;当所述控制综合业务单元单粒子软错误防护模块在进行1-a类防护时发现地球敏感器信息丢失,则进一步通过所述单粒子外部报警接口模块将丢失情况通报给所述中心计算机容错和系统级单粒子防护模块;
所述单粒子软错误防护模式控制模块在进行第1级1-a类防护的同时,进一步兼任第3级防护,具体为:当单粒子软错误防护模式控制模块根据所述控制综合业务单元单粒子软错误防护模块上报的信息确定地球敏感器信息丢失且持续一段时间T1时,发送对地定向安全模式序列,进入搜索地球的安全模式,直到地球敏感器信息恢复后,回到原正常模式;
所述中心计算机容错和系统级单粒子防护模块在进行第2级防护的同时,进一步兼任1-c类防护,具体为:当中心计算机容错和系统级单粒子防护模块根据单粒子外部报警接口模块发来的丢失情况确定地球敏感器信息丢失且持续一段时间T2时,T2大于T1,则切换中心计算机到备机,并控制备机发送对日定向安全模式序列,进行太阳捕获,并等待地面处理。
4.如权利要求1所述的一种航天器单粒子软错误防护体系系统,其特征在 于,所述中心计算机由A机、B机和应急计算机组成;第2级防护具体为:
中心计算机容错和系统级单粒子防护模块为中心计算机的A机、B机和应急计算机设置看门狗电路,使用看门狗计数器监视A机、B机和应急计算机中当班机的工作状态;
当中心计算机工作正常时,会周期性发出清狗信号;如果看门狗计数器连续M个周期未收到来自中心计算机的清狗信号,中心计算机容错和系统级单粒子防护模块将对中心计算机的A机进行复位操作;
中心计算机容错和系统级单粒子防护模块在A机复位操作后的连续M个周期仍然未收到中心计算机A机发出的清狗信号,则中心计算机容错和系统级单粒子防护模块检查允许切机标志;如果该允许切机标志为“允许切机”,则中心计算机由A机切换到B机,同时将中心计算机容错和系统级单粒子防护模块中的允许切机标志置为“禁止切机”;允许切机标志初始设定为“允许切机”;
如果中心计算机容错和系统级单粒子防护模块在切换到B机后的连续2M个周期没有收到清狗信号,且允许切机标志为“禁止切机”,则中心计算机容错和系统级单粒子防护模块关闭中心计算机的A机和B机,并开启应急计算机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410710693.3A CN104461811B (zh) | 2014-11-28 | 2014-11-28 | 一种分级、分层次的航天器单粒子软错误防护体系系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410710693.3A CN104461811B (zh) | 2014-11-28 | 2014-11-28 | 一种分级、分层次的航天器单粒子软错误防护体系系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104461811A CN104461811A (zh) | 2015-03-25 |
| CN104461811B true CN104461811B (zh) | 2017-03-08 |
Family
ID=52907906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410710693.3A Active CN104461811B (zh) | 2014-11-28 | 2014-11-28 | 一种分级、分层次的航天器单粒子软错误防护体系系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104461811B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104820777B (zh) * | 2015-04-20 | 2017-04-19 | 北京空间飞行器总体设计部 | 一种航天器系统单粒子防护薄弱点的识别方法 |
| CN105388384B (zh) * | 2015-12-15 | 2018-08-10 | 北京理工大学 | 一种整星单粒子软错误故障模拟系统 |
| CN106774268B (zh) * | 2016-12-29 | 2019-03-01 | 中国运载火箭技术研究院 | 一种空间飞行器故障处理方法 |
| CN108427394B (zh) * | 2018-02-12 | 2019-02-26 | 北京空间技术研制试验中心 | 航天器安全模式分析方法和分析系统 |
| CN111874268B (zh) * | 2020-07-22 | 2022-02-15 | 中国科学院微小卫星创新研究院 | 卫星集中式自主健康管理系统 |
| CN112748791B (zh) * | 2021-01-19 | 2022-07-01 | 中国科学院微小卫星创新研究院 | 卫星综合电子计算机自主切机方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6910158B2 (en) * | 2001-10-01 | 2005-06-21 | International Business Machines Corporation | Test tool and methods for facilitating testing of duplexed computer functions |
| CN102495783A (zh) * | 2011-12-08 | 2012-06-13 | 天津工业大学 | 一种单粒子误差注入仿真测试系统 |
| CN102650962B (zh) * | 2012-04-10 | 2015-04-08 | 北京航空航天大学 | 一种基于fpga的软核容错星载计算机 |
-
2014
- 2014-11-28 CN CN201410710693.3A patent/CN104461811B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104461811A (zh) | 2015-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104461811B (zh) | 一种分级、分层次的航天器单粒子软错误防护体系系统 | |
| CN103217974B (zh) | 一种基于综合电子平台的航天器自主健康管理体系结构 | |
| CN201698228U (zh) | 飞行器中的设备管理器和该设备管理器中的健康管理器 | |
| CN101788817B (zh) | 一种基于星载总线的故障识别与处理方法 | |
| CN104821894B (zh) | 一种卫星在轨自主管理系统及自主管理方法 | |
| CN110361979B (zh) | 一种铁路信号领域的安全计算机平台 | |
| CN102053882B (zh) | 基于cots器件的异构星载容错计算机 | |
| CN103544092B (zh) | 一种基于arinc653标准机载电子设备健康监控系统 | |
| CN106843038A (zh) | 一种遥感卫星图像处理载荷多任务主控系统 | |
| CN110351174B (zh) | 一种模块冗余的安全计算机平台 | |
| CN103869781B (zh) | 一种非相似三余度机载电气负载管理中心 | |
| CN104360868A (zh) | 一种大型飞机综合处理平台中的多级故障管理方法 | |
| CN102331786A (zh) | 一种姿轨控计算机双机冷备份系统 | |
| CN106774367A (zh) | 一种飞行器的冗余控制方法 | |
| CN106740992B (zh) | 一种基于二乘二取二架构的五线制道岔驱动系统 | |
| CN105955299A (zh) | 一种可重构测控、导航、飞行控制一体化系统及重构方法 | |
| CN102929157A (zh) | 一种三冗余的船舶动力定位控制计算机系统 | |
| CN101807076A (zh) | 基于profibus现场总线的具有协同热备份功能的双模冗余容错高可靠控制系统 | |
| CN105045164A (zh) | 可降级的三冗余同步表决计算机控制系统及方法 | |
| CN104079454B (zh) | 一种设备异常检测方法和设备 | |
| CN103605581B (zh) | 一种分布式计算机系统故障处理流程 | |
| CN103441863A (zh) | 一种空管自动化系统中的双服务器热备系统及控制方法 | |
| CN104570853B (zh) | 高可靠组合智能空间电源系统 | |
| CN106527465A (zh) | 一种多阶冗余系留气球姿态控制系统及其协同控制方法 | |
| CN105005232A (zh) | 可降级的三冗余同步表决计算机控制系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Yu Dengyun Inventor after: Guo Jia Inventor after: Zhang Gong Inventor after: Zheng Jinjun Inventor after: Wu Xiangjun Inventor after: Yang Congwei Inventor after: Hu Wei Inventor after: Liu Anbang Inventor after: Bi Shaojun Inventor after: Si Ruiguo Inventor before: Zhang Gong Inventor before: Zheng Jinjun Inventor before: Wu Xiangjun Inventor before: Yang Congwei Inventor before: Hu Wei Inventor before: Liu Anbang Inventor before: Bi Shaojun Inventor before: Si Duanguo Inventor before: Guo Jia |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |