CN106154824B - 一种星载时钟冗余系统及方法 - Google Patents

一种星载时钟冗余系统及方法 Download PDF

Info

Publication number
CN106154824B
CN106154824B CN201610698209.9A CN201610698209A CN106154824B CN 106154824 B CN106154824 B CN 106154824B CN 201610698209 A CN201610698209 A CN 201610698209A CN 106154824 B CN106154824 B CN 106154824B
Authority
CN
China
Prior art keywords
clock
timer
interruption
backup
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610698209.9A
Other languages
English (en)
Other versions
CN106154824A (zh
Inventor
彭夏鹏
高晓颖
纪刚
赵玉梅
宋铂
宋一铂
陈柯
章虹虹
何勇
吴平
黄星
韩旭
肖龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Launch Vehicle Technology CALT
Beijing Aerospace Automatic Control Research Institute
Original Assignee
China Academy of Launch Vehicle Technology CALT
Beijing Aerospace Automatic Control Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Launch Vehicle Technology CALT, Beijing Aerospace Automatic Control Research Institute filed Critical China Academy of Launch Vehicle Technology CALT
Priority to CN201610698209.9A priority Critical patent/CN106154824B/zh
Publication of CN106154824A publication Critical patent/CN106154824A/zh
Application granted granted Critical
Publication of CN106154824B publication Critical patent/CN106154824B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Abstract

本发明提供了一种星载时钟冗余系统及方法,用于为航天控制系统提供系统时钟。该系统和方法把非同源的外部高精度时钟和两个内部时钟分别作为主时钟、备份时钟和第三方时钟,只有当主备时钟不一致时才采用第三方时钟仲裁,能容忍时钟发生单余度故障,达到了“三冗余”的目的,实现简单且代价小。本发明利用惯性单元高精度时钟以及飞行控制计算机内配置的两个时钟,实现了控制系统的时钟冗余功能,即充分利用了惯性单元的高精度时钟,又避免了该时钟故障对控制系统运行的影响,有助于提高控制系统的可靠性和安全性,而且具有实现成本低、易于工程实现的特点。

Description

一种星载时钟冗余系统及方法
技术领域
本发明涉及航天器控制技术,特别涉及一种星载时钟冗余系统,以及实现星载时钟冗余的方法。
背景技术
航天器的控制系统负责导航制导姿态控制计算和任务规划管理等关键功能,这些功能的实现对实时性要求极高,计算周期达到毫秒的量级,因此飞行软件必须要由高精度的时钟来驱动运行。
由于航天器的运行环境特别恶劣,强辐射、极端温度使部件容易老化失效,单粒子翻转更可能会使状态瞬间发生不可预期的变化,一旦时钟发生故障,轻则导致控制系统时序发生漂移或紊乱,重则使得飞行软件跑飞或停止运行,后果严重。为了避免上述后果,一般通过多余度控制系统来解决。但是,对于微小卫星这类航天器,由于受空间、经费等因素影响,不适于采用多余度控制系统来避免时钟故障造成的问题。因此,需要针对无冗余控制系统的航天器,研究其时钟失效问题。
在航天控制系统中,飞行控制计算机和惯性测量单元(IMU)是基本配置。其中,惯性测量单元用于测量航天器在惯性空间的加速度、角加速度信息,并发送给飞行控制计算机进行导航计算;为了确保惯性导航精度,一般惯性测量单元的时钟精度都会比较高。飞行控制计算机内标配有两个定时器Timer0和Timer1,可作为计时用。由于惯性测量单元和飞行控制计算机的时钟不同源,且晶振精度不一致,存在相对漂移的现象,如果设计硬件表决电路来实现惯性测量单元时钟、Timer0和Timer1的“三取二”冗余,难度大,效果不好,因此现有单余度控制系统中,均无时钟冗余,实现方案概括起来有两种:
1、飞行控制计算机采用惯性测量单元时钟作为整个控制系统时钟;
2、飞行控制计算机采用内部时钟(Timer0或Timer1)作为控制系统时钟。
方案1能保证控制系统各单机同步运行,时统性更好,但一旦惯性测量单元时钟发生故障,将使得整个控制系统瘫痪,“一损俱损”;方案2实现简单,但会使得飞行控制计算机与惯性测量单元产生时钟差,影响控制精度;另外,上述两个方案都有一个共同的缺点:飞行控制计算机所使用的时钟一旦出现故障,飞行控制系统将崩溃,影响航天器任务的顺利完成。
发明内容
本发明需要解决的技术问题是:针对单余度控制系统的特点,提供了一种星载时钟冗余及其实现方法,充分利用航天器现有的资源,实现了飞行控制计算机的时钟冗余功能,提高了控制系统的可靠性和安全性,而且具有实现成本低、易于工程实现的特点。
本发明的上述目的通过以下方案实现:
一种星载时钟冗余系统,用于为航天控制系统提供系统时钟,所述航天控制系统包括惯性测量单元和飞行控制计算机,且所述飞行控制计算机的CPU自带有两个定时器,分别为第一定时器和第二定时器;
上述星载时钟冗余系统包括主时钟单元、备用时钟单元、第三方时钟单元和时钟冗余控制单元,其中:主时钟单元利用惯性测量单元的惯导时钟为CPU提供外部定时中断;备用时钟单元采用第一定时器为CPU提供内部定时中断,且设置第一定时器的周期Tbackup=T+ΔTth,T为惯导时钟周期,ΔTth为设定的时钟误差门限;第三方时钟单元利用第二定时器进行计时,且第二定时器的周期Tthird满足条件:Tthird>T+ΔTth;时钟冗余控制单元包括主时钟误触发检测模块、主时钟失效检测模块和时钟切换模块;
在CPU产生外部定时中断时,启用主时钟误触发检测模块;所述主时钟误触发检测模块利用备用时钟单元和第三方时钟单元对外部定时中断发生时刻进行计时,并对外部定时中断发生次数进行计数,然后检测惯导时钟是否发生故障而误触发了外部定时中断,并将检测结果发送给时钟切换模块;时钟切换模块接收主时钟误触发检测模块发送的检测结果,并根据所述检测结果选择主时钟单元或备用时钟单元输出系统时钟;
在CPU产生内部定时中断时,启用主时钟失效检测模块;所述主时钟失效检测模块利用第三方时钟单元对内部定时中断发生时刻进行计时,并获取外部定时中断发生次数,然后检测第二定时器是否发生故障而误触发了内部定时中断,并将检测结果发送给时钟切换模块;时钟切换模块接收主时钟失效检测模块发送的检测结果,并根据所述检测结果选择主时钟单元或备用时钟单元输出系统时钟。
上述的星载时钟冗余系统,在CPU产生外部定时中断时,启用主时钟误触发检测模块,检测惯导时钟是否发生故障而误触发了外部定时中断,并发送检测结果给时钟切换模块,然后由时钟切换模选择主时钟单元或备用时钟单元输出系统时钟,具体实现过程如下:
(aa)、在外部定时中断产生时,记录外部定时中断次数n,以及第一定时器的时间tbackup(n)和第二定时器的时间tthird(n);如果第一次产生外部定时中断,即n=1,则时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);如果n>1,则进入步骤(ab);
(ab)、根据步骤(aa)记录的第一定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTbackup,并进行如下判断:
如果ΔTbackup≥T-ΔTth,则判断惯导时钟正常,时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);如果ΔTbackup<T-ΔTth,则进入步骤(ac);
(ac)、根据步骤(aa)记录的第二定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTthird_ex,并进行如下判断:
如果ΔTthird_ex≥T-ΔTth,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);
如果ΔTthird_ex<T-ΔTth,则将第二定时器的周期Tbackup设置为T,即Tbackup=T;时钟切换模块选择备用时钟单元为航天控制系统提供系统时钟,然后进入步骤(ad);
(ad)、结束。
上述的星载时钟冗余系统,在CPU产生内部定时中断时,启用主时钟失效检测模块,检测第二定时器是否发生故障而误触发了内部定时中断,并将检测结果发送给时钟切换模块,然后由时钟切换模确定选择主时钟单元或备用时钟单元输出系统时钟,具体实现过程如下:
(ba)、在内部定时中断产生时,获取发生外部定时中断的次数n,并记录第二定时器的时间tthird(m),其中,m为产生内部定时中断的次数;如果第一次产生内部定时中断,即m=1,则时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);如果m>1,则进入步骤(bb);
(bb)、将上一次产生内部定时中断时获取的外部定时中断次数,与当前获取的外部定时中断次数进行比较,并进行如下判断:
如果两次获取的外部定时中断次数不相等,则判断惯导时钟正常,时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);如果两次获取的外部定时中断次数相等,则进入步骤(bc);
(bc)、根据步骤(ba)记录的第二定时器时间,计算上一次内部定时中断与当前内部定时中断之间的时间间隔ΔTthird_in,并进行如下判断:
如果ΔTthird_in≤T,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);
如果ΔTthird_in>T,则设置第二定时器的周期Tbackup=T;时钟切换模块选择备用时钟单元为航天控制系统提供系统时钟,然后进入步骤(bd);
(bd)、结束。
一种星载时钟冗余方法,用于为航天控制系统提供系统时钟,所述航天控制系统包括惯性测量单元和飞行控制计算机,且所述飞行控制计算机的CPU自带有两个定时器,分别为第一定时器和第二定时器;
上述星载时钟冗余方法包括以下步骤:
(1)、将惯性测量单元的惯导时钟引入到飞行控制计算机,作为CPU的外部定时中断时钟;并采用第一定时器为CPU提供内部定时中断时钟,且设置第一定时器周期Tbackup=T+ΔTth,其中,T为惯导时钟周期,ΔTth为设定的时钟误差门限;另外,设置第二定时器的周期Tthird满足条件:Tthird>T+ΔTth
(2)、检测是否产生外部定时中断或内部定时中断:如果产生外部定时中断,则进入步骤(3);如果产生内部定时中断,则进入步骤(4);
(3)、进行惯导时钟误触发检测,具体检测过程如下:
(3a)、在外部定时中断产生时,记录第一定时器的时间tbackup(n),以及第二定时器的时间tthird(n),其中,n为产生外部定时中断的次数;如果第一次产生外部定时中断,即n=1,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果n>1,则进入步骤(3b);
(3b)、根据步骤(3a)记录的第一定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTbackup,并进行如下判断:
如果ΔTbackup≥T-ΔTth,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果ΔTbackup<T-ΔTth,则进入步骤(3c);
(3c)、根据步骤(3a)记录的第二定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTthird_ex,并进行如下判断:
如果ΔTthird_ex≥T-ΔTth,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);
如果ΔTthird_ex<T-ΔTth,则将第二定时器的周期Tbackup设置为T,即Tbackup=T;然后选择第二定时器为航天控制系统提供系统时钟,并返回步骤(2);
(4)、进行第一定时器误触发检测,具体检测过程如下:
(4a)、在内部定时中断产生时,获取发生外部定时中断的次数n,并记录第二定时器的时间tthird(m),其中,m为产生内部定时中断的次数;如果第一次产生内部定时中断,即m=1,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果m>1,则进入步骤(4b);
(4b)、将上一次产生内部定时中断时获取的外部定时中断次数,与当前获取的外部定时中断次数进行比较,并进行如下判断:
如果两次获取的外部定时中断次数不相等,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果两次获取的外部定时中断次数相等,则进入步骤(4c);
(4c)、根据步骤(4a)记录的第二定时器时间,计算上一次内部定时中断与当前内部定时中断之间的时间间隔ΔTthird_in,并进行如下判断:
如果ΔTthird_in≤T,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);
如果ΔTthird_in>T,则设置第二定时器的周期Tbackup=T;然后选择第二定时器为航天控制系统提供系统时钟,并返回步骤(2)。
上述的星载时钟冗余方法,在步骤(3b)中,根据步骤(3a)记录的第一定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTbackup,具体计算公式如下:
ΔTbackup=[tbackup(n)-tbackup(n-1)+Tbackup]%Tbackup
其中,%为求余计算符号。
上述的星载时钟冗余方法,在步骤(3c)中,根据步骤(3a)记录的第二定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTthird_ex,具体计算公式如下:
ΔTthird_ex=[tthird(n)-tthird(n-1)+Tthird]%Tthird
其中,%为求余计算符号。
上述的星载时钟冗余方法,在步骤(4c)中,根据步骤(4a)记录的第二定时器时间,计算上一次内部定时中断与当前内部定时中断之间的时间间隔ΔTthird_in,具体计算公式如下:
ΔTthird_in=[tthird(m)-tthird(m-1)+Tthird]%Tthird
其中,%为求余计算符号。
上述的星载时钟冗余方法,设定时钟误差门限ΔTth=0.1T。
本发明与现有技术相比,具有以下优点:
(1)、本发明在单余度控制系统中,利用惯性单元高精度时钟以及飞行控制计算机内配置的两个时钟,实现了控制系统的时钟冗余功能,即充分利用了惯性单元的高精度时钟,又避免了该时钟故障对控制系统运行的影响,有助于提高控制系统的可靠性和安全性,而且具有实现成本低、易于工程实现的特点;
(2)、本发明把非同源的外部高精度时钟和两个内部时钟分别作为主时钟、备份时钟和第三方时钟,只有当主备时钟不一致时才采用第三方时钟仲裁,能容忍时钟发生单余度故障,达到了“三冗余”的目的,实现简单且代价小;
(3)、本发明把惯性测量单元的高精度时钟作为正常情况下冗余输出时钟,给飞行控制软件使用,相比现有技术,可以统一惯性测量单元与飞行控制计算机之间的时标,提高控制系统的计算精度;
(4)、本发明的时钟冗余系统中各时钟间的误差可控,相比现有技术,既能满足故障判别的要求,又不会因误差范围过于苛刻导致误判,还使得在非同源时钟之间实现冗余成为可能;
(5)、本发明在时钟故障检测过程中,只使用到了当前拍和上一拍的时钟信息,相比现有技术,可以过滤掉不同源时钟之间频标缓慢漂移的问题;
(6)、本发明采用主时钟误触发检测和主时钟失效检测方法,解决了惯性测量单元的时钟产生的外部定时中断被误触发(提前发生)的故障,以及惯性测量单元的时钟失效(未在规定的时间内产生)的故障。
附图说明
图1为飞行器控制系统基本组成框图;
图2为本发明的星载时钟冗余系统的组成框图。
具体实施方式
下面结合附图和具体实例对本发明作进一步详细的描述:
如图1所示,航天控制系统一般均会配置惯性测量单元(IMU)和飞行控制计算机。其中,惯性测量单元具有较高精度的惯导时钟,而飞行控制计算机内含嵌入式CPU,并标配有两个定时器Timer0和Timer1。
本发明提供的星载时钟冗余系统可以为上述的航天控制系统提供系统时钟。如图2所示的系统框图,本发明的星载时钟冗余系统主时钟单元、备用时钟单元、第三方时钟单元和时钟冗余控制单元。其中,时钟冗余控制单元包括主时钟误触发检测模块、主时钟失效检测模块和时钟切换模块。
在主时钟模块中,将惯性测量单元的高精度惯导时钟引入飞行控制计算机,并将其设为飞行控制计算机CPU的外部定时中断。
备用时钟单元在飞行控制计算机的两个定时器Timer0和Timer1中选择一个作为第一定时器,并采用该定时器为CPU提供内部定时中断。为了便于对主时钟单元和备用时钟单元的时钟进行比较,本发明设置第一定时器的周期Tbackup=T+ΔTth,其中,T为惯导时钟周期,ΔTth为设定的时钟误差门限。为了满足时钟故障判别的要求,又不会因误差范围过于苛刻导致误判,可以将该时钟误差门限ΔTth设为惯导时钟周期的10%,例如:在惯导周期T=10ms,设定时钟误差门限ΔTth=1ms,可以确保主时钟单元和备用时钟单元之间的时标误差在±1ms之间。
第三方时钟单元采用另一个飞行控制计算机定时器作为第二定时器,在故障判断中进行计时。为了确保在计时过程中主时钟单元和备用时钟单元的时钟不发生翻转,应该设置第二定时器的周期Tthird尽量大,必须满足条件:Tthird>T+ΔTth;在本实施例中,设定Tthird为1s。
时钟冗余控制单元用于对主时钟单元和备用时钟进行误差判断,主要包括主时钟误触发检测模块、主时钟失效检测模块和时钟切换模块。
在CPU产生外部定时中断时,时钟误差判断和时钟切换的流程如下:
(aa)、在外部定时中断产生时,启用主时钟误触发检测模块,记录外部定时中断次数n,以及第一定时器的时间tbackup(n)和第二定时器的时间tthird(n);如果第一次产生外部定时中断,即n=1,则时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);如果n>1,则进入步骤(ab);
(ab)、根据步骤(aa)记录的第一定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTbackup,并进行如下判断:
如果ΔTbackup≥T-ΔTth,则判断惯导时钟正常,时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);如果ΔTbackup<T-ΔTth,则表示主时钟单元和备用时钟单元之间的时钟误差超出了允许误差范围(ΔTth),此时需根据第三方时钟单元作进一步判断,即则进入步骤(ac);其中,时间间隔ΔTbackup的具体计算公式如下:
ΔTbackup=[tbackup(n)-tbackup(n-1)+Tbackup]%Tbackup
其中,%为求余计算符号。
(ac)、根据步骤(aa)记录的第二定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTthird_ex,并进行如下判断:
如果ΔTthird_ex≥T-ΔTth,则判断备用时钟单元出现故障,需要对第二定时器进行初始化,将其周期仍然设置为Tbackup=T+ΔTth,时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);
如果ΔTthird_ex<T-ΔTth,则判断主时钟单元出现故障,应该将第二定时器的周期Tbackup设置为T,即Tbackup=T;时钟切换模块选择备用时钟单元为航天控制系统提供系统时钟,然后进入步骤(ad);其中,时间间隔ΔTthird_ex的具体计算公式如下:ΔTthird_ex=[tthird(n)-tthird(n-1)+Tthird]%Tthird
(ad)、结束。
在CPU产生内部定时中断时,时钟误差判断和时钟切换的流程如下:
(ba)、在内部定时中断产生时,启用主时钟失效检测模块,获取发生外部定时中断的次数n,并记录第二定时器的时间tthird(m),其中,m为产生内部定时中断的次数;如果第一次产生内部定时中断,即m=1,则时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);如果m>1,则进入步骤(bb);
(bb)、将上一次产生内部定时中断时获取的外部定时中断次数,与当前获取的外部定时中断次数进行比较,并进行如下判断:
如果两次获取的外部定时中断次数不相等,则表示在两次内部定时中断之间正常产生了外部定时中断,因此判断主时钟单元工作正常,即惯导时钟正常,因此时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);
如果两次获取的外部定时中断次数相等,则表示主时钟单元和备用时钟单元的时钟误差超出了允许误差范围(ΔTth),此时需根据第三方时钟单元作进一步判断,因此进入步骤(bc);
(bc)、根据步骤(ba)记录的第二定时器时间,计算上一次内部定时中断与当前内部定时中断之间的时间间隔ΔTthird_in,并进行如下判断:
如果ΔTthird_in≤T,则判断备用时钟单元误触发而提前产生中断,因此对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);
如果ΔTthird_in>T,则表示外部定时中断未在规定的时间内产生,判断是主时钟单元失效,设置第二定时器的周期Tbackup=T;时钟切换模块选择备用时钟单元为航天控制系统提供系统时钟,然后进入步骤(bd);其中,时间间隔ΔTthird_in的计算公式如下:ΔTthird_in=[tthird(m)-tthird(m-1)+Tthird]%Tthird
(bd)、结束。
根据上述的星载时钟冗余系统的处理流程,本发明提供了一种星载时钟冗余方法,具体包括以下步骤:
(1)、将惯性测量单元的惯导时钟引入到飞行控制计算机,作为CPU的外部定时中断时钟;并采用第一定时器为CPU提供内部定时中断时钟,且设置第一定时器周期Tbackup=T+ΔTth,其中,T为惯导时钟周期,ΔTth为设定的时钟误差门限;另外,设置第二定时器的周期Tthird满足如下条件:Tthird>T+ΔTth
(2)、检测是否产生外部定时中断或内部定时中断:如果产生外部定时中断,则进入步骤(3);如果产生内部定时中断,则进入步骤(4);
(3)、进行惯导时钟误触发检测,具体检测过程如下:
(3a)、在外部定时中断产生时,记录第一定时器的时间tbackup(n),以及第二定时器的时间tthird(n),其中,n为产生外部定时中断的次数;如果第一次产生外部定时中断,即n=1,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果n>1,则进入步骤(3b);
(3b)、根据步骤(3a)记录的第一定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTbackup,并进行如下判断:如果ΔTbackup≥T-ΔTth,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果ΔTbackup<T-ΔTth,则进入步骤(3c)。
其中,时间间隔ΔTbackup的具体计算公式如下:
ΔTbackup=[tbackup(n)-tbackup(n-1)+Tbackup]%Tbackup
其中,%为求余计算符号。
(3c)、根据步骤(3a)记录的第二定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTthird_ex,并进行如下判断:
如果ΔTthird_ex≥T-ΔTth,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);
如果ΔTthird_ex<T-ΔTth,则将第二定时器的周期Tbackup设置为T,即Tbackup=T;然后选择第二定时器为航天控制系统提供系统时钟,并返回步骤(2).
其中,时间间隔ΔTthird_ex的具体计算公式如下:
ΔTthird_ex=[tthird(n)-tthird(n-1)+Tthird]%Tthird
(4)、进行第一定时器误触发检测,具体检测过程如下:
(4a)、在内部定时中断产生时,获取发生外部定时中断的次数n,并记录第二定时器的时间tthird(m),其中,m为产生内部定时中断的次数;如果第一次产生内部定时中断,即m=1,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果m>1,则进入步骤(4b);
(4b)、将上一次产生内部定时中断时获取的外部定时中断次数,与当前获取的外部定时中断次数进行比较,并进行如下判断:
如果两次获取的外部定时中断次数不相等,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果两次获取的外部定时中断次数相等,则进入步骤(4c);
(4c)、根据步骤(4a)记录的第二定时器时间,计算上一次内部定时中断与当前内部定时中断之间的时间间隔ΔTthird_in,并进行如下判断:
如果ΔTthird_in≤T,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);
如果ΔTthird_in>T,则设置第二定时器的周期Tbackup=T;然后选择第二定时器为航天控制系统提供系统时钟,并返回步骤(2)。
其中,时间间隔ΔTthird_in的计算公式如下:
ΔTthird_in=[tthird(m)-tthird(m-1)+Tthird]%Tthird
以上所述,仅为本发明一个具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
本发明说明书中未作详细描述的内容属于本领域专业技术人员的公知技术。

Claims (8)

1.一种星载时钟冗余系统,用于为航天控制系统提供系统时钟,所述航天控制系统包括惯性测量单元和飞行控制计算机,且所述飞行控制计算机的CPU自带有两个定时器,分别为第一定时器和第二定时器;其特征在于:
所述星载时钟冗余系统包括主时钟单元、备用时钟单元、第三方时钟单元和时钟冗余控制单元,其中:主时钟单元利用惯性测量单元的惯导时钟为CPU提供外部定时中断;备用时钟单元采用第一定时器为CPU提供内部定时中断,且设置第一定时器的周期Tbackup=T+ΔTth,T为惯导时钟周期,ΔTth为设定的时钟误差门限;第三方时钟单元利用第二定时器进行计时,且第二定时器的周期Tthird满足条件:Tthird>T+ΔTth;时钟冗余控制单元包括主时钟误触发检测模块、主时钟失效检测模块和时钟切换模块;
在CPU产生外部定时中断时,启用主时钟误触发检测模块;所述主时钟误触发检测模块利用备用时钟单元和第三方时钟单元对外部定时中断发生时刻进行计时,并对外部定时中断发生次数进行计数,然后检测惯导时钟是否发生故障而误触发了外部定时中断,并将检测结果发送给时钟切换模块;时钟切换模块接收主时钟误触发检测模块发送的检测结果,并根据所述检测结果选择主时钟单元或备用时钟单元输出系统时钟;
在CPU产生内部定时中断时,启用主时钟失效检测模块;所述主时钟失效检测模块利用第三方时钟单元对内部定时中断发生时刻进行计时,并获取外部定时中断发生次数,然后检测第二定时器是否发生故障而误触发了内部定时中断,并将检测结果发送给时钟切换模块;时钟切换模块接收主时钟失效检测模块发送的检测结果,并根据所述检测结果选择主时钟单元或备用时钟单元输出系统时钟。
2.根据权利要求1所述的一种星载时钟冗余系统,其特征在于:在CPU产生外部定时中断时,启用主时钟误触发检测模块,检测惯导时钟是否发生故障而误触发了外部定时中断,并发送检测结果给时钟切换模块,然后由时钟切换模块选择主时钟单元或备用时钟单元输出系统时钟,具体实现过程如下:
(aa)、在外部定时中断产生时,记录外部定时中断次数n,以及第一定时器的时间tbackup(n)和第二定时器的时间tthird(n);如果第一次产生外部定时中断,即n=1,则时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);如果n>1,则进入步骤(ab);
(ab)、根据步骤(aa)记录的第一定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTbackup,并进行如下判断:
如果ΔTbackup≥T-ΔTth,则判断惯导时钟正常,时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);如果ΔTbackup<T-ΔTth,则进入步骤(ac);
(ac)、根据步骤(aa)记录的第二定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTthird_ex,并进行如下判断:
如果ΔTthird_ex≥T-ΔTth,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(ad);
如果ΔTthird_ex<T-ΔTth,则将第二定时器的周期Tbackup设置为T,即Tbackup=T;时钟切换模块选择备用时钟单元为航天控制系统提供系统时钟,然后进入步骤(ad);
(ad)、结束。
3.根据权利要求1所述的一种星载时钟冗余系统,其特征在于:在CPU产生内部定时中断时,启用主时钟失效检测模块,检测第二定时器是否发生故障而误触发了内部定时中断,并将检测结果发送给时钟切换模块,然后由时钟切换模块确定选择主时钟单元或备用时钟单元输出系统时钟,具体实现过程如下:
(ba)、在内部定时中断产生时,获取发生外部定时中断的次数n,并记录第二定时器的时间t′third(m),其中,m为产生内部定时中断的次数;如果第一次产生内部定时中断,即m=1,则时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);如果m>1,则进入步骤(bb);
(bb)、将上一次产生内部定时中断时获取的外部定时中断次数,与当前获取的外部定时中断次数进行比较,并进行如下判断:
如果两次获取的外部定时中断次数不相等,则判断惯导时钟正常,时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);如果两次获取的外部定时中断次数相等,则进入步骤(bc);
(bc)、根据步骤(ba)记录的第二定时器时间,计算上一次内部定时中断与当前内部定时中断之间的时间间隔ΔTthird_in,并进行如下判断:
如果ΔTthird_in≤T,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后时钟切换模块选择主时钟单元输出惯导时钟作为航天控制系统的系统时钟,然后进入步骤(bd);
如果ΔTthird_in>T,则设置第二定时器的周期Tbackup=T;时钟切换模块选择备用时钟单元为航天控制系统提供系统时钟,然后进入步骤(bd);
(bd)、结束。
4.一种星载时钟冗余方法,用于为航天控制系统提供系统时钟,所述航天控制系统包括惯性测量单元和飞行控制计算机,且所述飞行控制计算机的CPU自带有两个定时器,分别为第一定时器和第二定时器;其特征在于:所述星载时钟冗余方法包括以下步骤:
(1)、将惯性测量单元的惯导时钟引入到飞行控制计算机,作为CPU的外部定时中断时钟;并采用第一定时器为CPU提供内部定时中断时钟,且设置第一定时器周期Tbackup=T+ΔTth,其中,T为惯导时钟周期,ΔTth为设定的时钟误差门限;另外,设置第二定时器的周期Tthird满足条件:Tthird>T+ΔTth
(2)、检测是否产生外部定时中断或内部定时中断:如果产生外部定时中断,则进入步骤(3);如果产生内部定时中断,则进入步骤(4);
(3)、进行惯导时钟误触发检测,具体检测过程如下:
(3a)、在外部定时中断产生时,记录第一定时器的时间tbackup(n),以及第二定时器的时间tthird(n),其中,n为产生外部定时中断的次数;如果第一次产生外部定时中断,即n=1,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果n>1,则进入步骤(3b);
(3b)、根据步骤(3a)记录的第一定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTbackup,并进行如下判断:
如果ΔTbackup≥T-ΔTth,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果ΔTbackup<T-ΔTth,则进入步骤(3c);
(3c)、根据步骤(3a)记录的第二定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTthird_ex,并进行如下判断:
如果ΔTthird_ex≥T-ΔTth,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);
如果ΔTthird_ex<T-ΔTth,则将第二定时器的周期Tbackup设置为T,即Tbackup=T;然后选择第二定时器为航天控制系统提供系统时钟,并返回步骤(2);
(4)、进行第一定时器误触发检测,具体检测过程如下:
(4a)、在内部定时中断产生时,获取发生外部定时中断的次数n,并记录第二定时器的时间t′third(m),其中,m为产生内部定时中断的次数;如果第一次产生内部定时中断,即m=1,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果m>1,则进入步骤(4b);
(4b)、将上一次产生内部定时中断时获取的外部定时中断次数,与当前获取的外部定时中断次数进行比较,并进行如下判断:
如果两次获取的外部定时中断次数不相等,则选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);如果两次获取的外部定时中断次数相等,则进入步骤(4c);
(4c)、根据步骤(4a)记录的第二定时器时间,计算上一次内部定时中断与当前内部定时中断之间的时间间隔ΔTthird_in,并进行如下判断:
如果ΔTthird_in≤T,则对第二定时器进行初始化且设置周期Tbackup=T+ΔTth,然后选择惯导时钟作为航天控制系统的系统时钟输出,并返回步骤(2);
如果ΔTthird_in>T,则设置第二定时器的周期Tbackup=T;然后选择第二定时器为航天控制系统提供系统时钟,并返回步骤(2)。
5.根据权利要求4所述的一种星载时钟冗余方法,其特征在于:在步骤(3b)中,根据步骤(3a)记录的第一定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTbackup,具体计算公式如下:
ΔTbackup=[tbackup(n)-tbackup(n-1)+Tbackup]%Tbackup
其中,%为求余计算符号。
6.根据权利要求4所述的一种星载时钟冗余方法,其特征在于:在步骤(3c)中,根据步骤(3a)记录的第二定时器的时间,计算当前外部定时中断和前一次外部定时中断之间的时间间隔ΔTthird_ex,具体计算公式如下:
ΔTthird_ex=[tthird(n)-tthird(n-1)+Tthird]%Tthird
其中,%为求余计算符号。
7.根据权利要求4所述的一种星载时钟冗余方法,其特征在于:在步骤(4c)中,根据步骤(4a)记录的第二定时器时间,计算上一次内部定时中断与当前内部定时中断之间的时间间隔ΔTthird_in,具体计算公式如下:
ΔTthird_in=[t′third(m)-t′third(m-1)+Tthird]%Tthird
其中,%为求余计算符号。
8.根据权利要求4所述的一种星载时钟冗余方法,其特征在于:设定时钟误差门限ΔTth=0.1T。
CN201610698209.9A 2016-08-19 2016-08-19 一种星载时钟冗余系统及方法 Active CN106154824B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610698209.9A CN106154824B (zh) 2016-08-19 2016-08-19 一种星载时钟冗余系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610698209.9A CN106154824B (zh) 2016-08-19 2016-08-19 一种星载时钟冗余系统及方法

Publications (2)

Publication Number Publication Date
CN106154824A CN106154824A (zh) 2016-11-23
CN106154824B true CN106154824B (zh) 2019-04-09

Family

ID=57342238

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610698209.9A Active CN106154824B (zh) 2016-08-19 2016-08-19 一种星载时钟冗余系统及方法

Country Status (1)

Country Link
CN (1) CN106154824B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107544620B (zh) * 2017-09-08 2019-11-15 北京交通大学 安全苛求系统时间确定性实现方法
CN108337035B (zh) * 2018-02-05 2020-12-01 北京电子工程总体研究所 一种遥测下行热备份且无缝衔接的星务遥测中断处理方法
CN112114616B (zh) * 2020-08-04 2022-10-25 深圳市宏电技术股份有限公司 一种实时时钟的切换方法、电子设备及计算机存储介质
CN112052119B (zh) * 2020-08-26 2022-09-23 国电南瑞科技股份有限公司 一种fpga芯片的时钟状态单粒子效应检错装置及方法
CN113406992B (zh) * 2021-05-25 2022-11-11 威胜集团有限公司 系统时钟的控制方法、处理装置和可读存储介质
CN114488770A (zh) * 2022-01-13 2022-05-13 北京临近空间飞行器系统工程研究所 一种实现飞行器设备间动态时间同步的双冗余控制系统
CN114647540B (zh) * 2022-05-23 2022-08-19 四川傲势科技有限公司 嵌入式调度器故障恢复方法、嵌入式系统及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101521565A (zh) * 2008-02-26 2009-09-02 华为技术有限公司 主/备系统时钟无缝切换的方法、装置及通信设备
CN103107798A (zh) * 2012-12-26 2013-05-15 北京遥测技术研究所 时钟无缝切换系统
CN103116175A (zh) * 2013-01-18 2013-05-22 东南大学 基于dsp和fpga的嵌入式导航信息处理器
CN104238435A (zh) * 2014-05-27 2014-12-24 北京航天自动控制研究所 一种三冗余控制计算机及容错控制系统
CN104556039A (zh) * 2014-12-26 2015-04-29 北京神雾环境能源科技集团股份有限公司 制备固态电石的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8875576B2 (en) * 2012-03-21 2014-11-04 The United States Of America As Represented By The Secretary Of The Navy Apparatus and method for providing an in-plane inertial device with integrated clock

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101521565A (zh) * 2008-02-26 2009-09-02 华为技术有限公司 主/备系统时钟无缝切换的方法、装置及通信设备
CN103107798A (zh) * 2012-12-26 2013-05-15 北京遥测技术研究所 时钟无缝切换系统
CN103116175A (zh) * 2013-01-18 2013-05-22 东南大学 基于dsp和fpga的嵌入式导航信息处理器
CN104238435A (zh) * 2014-05-27 2014-12-24 北京航天自动控制研究所 一种三冗余控制计算机及容错控制系统
CN104556039A (zh) * 2014-12-26 2015-04-29 北京神雾环境能源科技集团股份有限公司 制备固态电石的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
冗余式时钟源电路;杨开雄;《控制工程》;20001231(第4期);第18-23页

Also Published As

Publication number Publication date
CN106154824A (zh) 2016-11-23

Similar Documents

Publication Publication Date Title
CN106154824B (zh) 一种星载时钟冗余系统及方法
CN100487481C (zh) 一种位置姿态系统的硬件时间同步方法
US11136044B2 (en) Vehicle control device
RU2668077C1 (ru) Резервированное пилотажное устройство с датчиками для винтокрылого летательного аппарата
CN106774635A (zh) 一种三冗余计算机同步方法
CN109976141A (zh) Uav传感器信号余度表决系统
CN109725572A (zh) 一种多传感器精准时钟同步系统及方法
CN105698788B (zh) 产生两个独立不同的姿态解、惯性解或两者的系统和方法
CN110690894A (zh) 一种时钟失效安全保护方法及电路
CN102927995B (zh) 一种在五个陀螺仪配置下的一致性故障诊断方法
EP3355313A1 (en) Abnormality diagnosis system
ES2864210T3 (es) Procedimiento de monitorización de un dispositivo equipado con un microprocesador
CN109005002B (zh) 传感器数据处理装置、传感器系统和在使用传感器系统的情况下确定换算参数的方法
KR102204120B1 (ko) 광학식 안전 센서
CN106774397A (zh) 一种四余度飞行控制计算机同步方法
CN107239433A (zh) 一种三冗余计算机同步方法
JP2001280193A (ja) エンジン制御装置
KR20230116011A (ko) 클록 동기화 모니터링에 기반한 전압 글리치 검출 기능의 시스템 온 칩
US20080155544A1 (en) Device and method for managing process task failures
CN104407927B (zh) 一种处理器同步运行状态监测电路及监测方法
CA2694198A1 (en) High integrity and high availability computer processing module
CN106227196B (zh) 一种火力发电机组soe系统的性能测试装置及其方法
MX2015001900A (es) Metodos y aparatos para reducir las fallas de modo comun en los sistemas de control de software relacionados con la seguridad nuclear.
US7284142B2 (en) Real time interrupt module for operating systems and time triggered applications
CN104679639A (zh) 一种时钟晶振频率监测方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant