CN108983682B - 一种基于双总线的冗余表决控制方法 - Google Patents
一种基于双总线的冗余表决控制方法 Download PDFInfo
- Publication number
- CN108983682B CN108983682B CN201811065161.3A CN201811065161A CN108983682B CN 108983682 B CN108983682 B CN 108983682B CN 201811065161 A CN201811065161 A CN 201811065161A CN 108983682 B CN108983682 B CN 108983682B
- Authority
- CN
- China
- Prior art keywords
- bus
- control unit
- received
- std
- mil
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0421—Multiprocessor system
Abstract
本发明公开了一种基于双总线的冗余表决控制方法,包括以下步骤:S1:航天器控制单元A、B、C中的任一控制单元作为RT终端,接收MIL‑STD‑1553B总线发送的总线消息,校验数据有效后,通过CAN总线分别向另两个控制单元转发总线消息;S2:航天器控制单元A、B、C中的任一控制单元接收CAN总线上另两个控制单元所转发的总线消息,并校验指令数据的有效性;S3:航天器控制单元A、B、C中的任一控制单元对收到的MIL‑STD‑1553B总线消息和CAN总线上另两个控制单元转发的总线消息,结合本控制单元所回采的心跳信号,进行三取二表决输出,以应对已知的一度、二度故障。该方法采用MIL‑STD‑1553B和CAN两种成熟总线技术相结合,有效保证了总线消息的实时、高可靠传输;有效解决硬件单点故障,提高系统可靠性和安全性;兼顾可靠性和经济性,且具有较好的通用性和可扩展性。
Description
技术领域
本发明涉及航天器控制单元软件,尤其属于航天器控制单元软件三冗余表决控制技术的一种基于双总线的冗余表决控制方法。
背景技术
随着我国新一代运载领域的发展,对火箭系统的安全、可靠性要求越来越高,其中控制系统因其直接决定了火箭发射任务的成败,可靠性安全性设计要求越来越高,常规的可靠性设计方法和措施已经很难满足将现役运载火箭可靠性再提高1%的目标要求。
以飞行任务可靠性为配置首要原则对航天器控制单元进行系统可靠性分析和设计,认为总线通信的可靠性直接关系到飞行任务的成败,必须做到有效解决各类总线异常问题,提高总线控制指令传输的可靠性,防止丢指令或误触发,确保硬件单点故障时整个系统能继续正确有效的运行。
但现有的航天器控制单元发生单点故障失效时往往难以兼顾可靠性和经济性。
发明内容
为解决航天器控制单元单点故障失效等航天器控制总线异常问题,本发明提供了一种基于双总线的冗余表决控制方法,它通过采取冗余设计和设置补偿措施双管齐下的方法,提高总线指令传输的可靠性,防止丢指令或误触发,确保硬件单点故障时整个系统能继续正确有效的运行。
为解决上述技术问题,本发明提供了一种基于双总线的冗余表决控制方法,包括以下步骤:
S1:航天器控制单元A、B、C中的任一控制单元作为RT终端,接收MIL-STD-1553B总线的BC控制器发送的总线消息,对接收的总线消息校验数据有效后,通过CAN总线分别向另两个控制单元转发所述总线消息;
S2:航天器控制单元A、B、C中的任一控制单元接收所述CAN总线上另两个控制单元所转发的总线消息,并校验指令数据的有效性;
S3:航天器控制单元A、B、C中的任一控制单元对接收到的MIL-STD-1553B的总线消息和CAN总线上接收到的另两个控制单元转发的总线消息,结合本控制单元所回采的心跳信号,进行三取二表决输出,以应对已知的一度、二度故障。
较佳地,所述步骤S1包括如下步骤:
S11:航天器控制单元A、B、C分别各自接收其对应的BC控制器发送的总线消息;
S12:采用CRC校验判断所接收的来自MIL-STD-1553B总线的总线消息的有效性;
S13:将校验后有效的总线消息通过所述CAN总线分别向另两个控制单元转发。
较佳地,所述步骤S2包括如下步骤:
S21:航天器控制单元A、B、C分别接收所述CAN总线上另两个控制单元转发的总线消息;
S22:采用CRC校验判断所接收的来自CAN总线上的总线消息的有效性;
较佳地,上述S3包括如下步骤:
S31:航天器控制单元A、B、C通过回采各控制单元输出的心跳信号,判断各控制单元的工作状态,其中,MIL-STD-1553B总线BC控制器定时发送心跳信号,当连续三个采样周期未采集到BC控制器发送的心跳信号,则判定本控制单元的MIL-STD-1553B总线链路故障,其发送的总线消息将不被置信,该故障状态可恢复;航天器控制单元A、B、C相互发送CAN心跳消息,当连续三个采样周期未采集到其中一个控制单元发送的CAN心跳消息,则判断该控制单元的CAN总线链路故障,其转发的CAN总线消息将不被置信,该故障状态可恢复;
S32:通过监控MIL-STD-1553B总线的工作状态和CAN总线的工作状态,航天器控制单元A、B、C分别判断接收到的总线消息是否有效。
S33:对接收到的MIL-STD-1553B总线消息和CAN总线上另两个控制单元转发的总线消息进行三取二表决输出。
较佳地,总线消息包括控制指令和时间指令两类,由于双总线的传输延迟,从接收到的第一条指令开始计时,延迟预设时间后统计接收的指令个数;
对于时间指令,接收的指令个数小于2条时,直接执行该条指令,反之按接收先后顺序的第2条指令执行;
对于控制指令,接收的指令个数大于等于2条时,按接收先后顺序的第2条指令执行;反之则必须结合步骤S31和S32取得的工作状态信息,判定接收到指令的该条链路传输正常,且未接收到指令的两条链路或单元均已监测到故障,执行该指令,否则放弃,以防止控制指令的漏发或误触发。
本发明方法通过采用MIL-STD-1553B和CAN两种成熟总线技术相结合,有效保证了总线消息的实时、高可靠传输。采用软件表决的三冗余方式有效解决硬件单点故障,与现有技术相比,其有益效果是:(一)采用MIL-STD-1553B和CAN两种成熟总线技术相结合的方法,有效保证了总线消息的实时、高可靠传输;(二)采用软件三冗余表决的方式有效解决硬件单点故障,提高系统可靠性和安全性;(三)在原有的成熟系统平台上增加适度冗余技术,兼顾可靠性和经济性,且该设计方法具有较好的通用性和可扩展性。
附图说明
以下将结合附图和实施例对本发明作进一步详细说明。
图1是本发明的航天器控制单元基于双总线的三机热备冗余拓扑关系图;
图2、3是本发明的航天器控制单元软件三取二处理流程图;
图4是本发明的航天器控制单元软件三取二控制时序图(以单元A为例)。
具体实施方式
本发明适用的航天器控制单元系统需要有下面几个条件:
1、总线通讯交互条件
由于本发明是基于双总线通讯的方式进行的,所以航天器控制单元必须有途径接收到总线上发送的总线消息,无论是直接从MIL-STD-1553B总线上接收对应BC控制器发送的总线消息,还是从其他控制单元通过CAN总线转发过来的的总线消息。而一般航天器控制单元根据其总体架构设计都可以从控制系统的MIL-STD-1553B总线或者内部CAN总线上接收到控制指令。
2、硬件冗余条件
航天器控制单元在原有的成熟系统平台上支持对心跳信号、CAN总线接入的扩展,同时通过对改进后的控制单元进行硬件冗余组合,即可实现三机热备冗余,软件三取二表决,消除了MIL-STD-1553B总线和控制单元对于整个控制系统的硬件单点失效风险。因此本发明提出的软件三冗余表决方案也适用于具有通讯接口扩充余量的高可靠性系统。
鉴于上述两个条件一般的航天器控制单元都容易满足,故本发明可以应用到大多数的航天器控制单元以进行冗余方式设计,解决硬件单点故障。
本实例采用MIL-STD-1553B和CAN两种总线,结合三机热备冗余以及软件三取二表决,有效保证了总线消息的实时、高可靠传输,防止丢指令或误触发,确保硬件单点故障时整个系统能继续正确有效的运行。其方法的具体步骤如下:
如图1所示,航天器控制单元A、B、C基于MIL-STD-1553B总线和CAN总线三机热备冗余拓扑关系图。
步骤S1:航天器控制单元A、B、C中的任一控制单元作为RT终端,接收MIL-STD-1553B总线的BC控制器发送的总线消息,对接收的总线消息校验数据有效后,通过CAN总线分别向另两个控制单元转发所述总线消息。
具体地,参考步骤S11~S13:
步骤S11:航天器控制单元A、B、C分别各自接收其对应的BC控制器发送的总线消息;
其中,航天器控制单元A、B、C分别以相同的RT地址接入三条物理上隔离的MIL-STD-1553B总线,BC控制器BC1\2\3在相同的时间基准范围内同步向航天器控制单元A、B、C发送总线消息。
步骤S12:采用CRC校验判断所接收的来自MIL-STD-1553B总线的总线消息的有效性。
其中,航天器控制单元A、B、C软件在接收到总线消息后对其进行CRC校验,如果校验结果正确表明接收消息有效,反之则将该消息舍弃,同时记录下有效消息接收的时标。
步骤S13:将校验后有效的总线消息通过CAN总线分别向另两个控制单元转发。
任一航天器控制单元接收到MIL-STD-1553B总线的有效总线消息后,均需将该总线消息通过CAN总线转发给另两个控制单元。
步骤S2:航天器控制单元A、B、C中的任一控制单元接收所述CAN总线上另两个控制单元所转发的总线消息,并校验指令数据的有效性。具体地,参考步骤S21~S22:
步骤S21:航天器控制单元A、B、C分别接收CAN总线上另两个控制单元转发的总线消息;
这里的步骤S21与步骤S13对应,任一航天器控制单元均可以通过CAN总线接收另两个控制单元转发的总线消息。
步骤S22:采用CRC校验判断所接收的来自CAN总线上的总线消息的有效性。
这一步骤完成CAN总线接收到的总线消息的CRC校验,报文格式见表1,校验未通过的总线消息将被舍弃,同时记录下接收到有效CAN总线消息的时标。
表1CAN总线交互帧报文
步骤S3:航天器控制单元A、B、C中的任一控制单元对接收到的MIL-STD-1553B的总线消息和CAN总线上接收到的另两个控制单元转发的总线消息,结合本控制单元所回采的心跳信号,进行三取二表决输出,以应对已知的一度、二度故障。具体地,参见步骤S31~步骤S33:
步骤S31:航天器控制单元A、B、C中的任一航天器控制单元通过回采各控制单元输出的心跳信号,判断各控制单元工作状态。
即对于MIL-STD-1553B总线,BC控制器会定时发送心跳信号,当连续三个采样周期未采集到BC控制器发送的心跳信号,则判定本控制单元的MIL-STD-1553B总线链路故障,其发送的总线消息将不被置信。该故障状态可恢复;
类似的,三个航天器控制单元相互发送CAN心跳消息,当连续三个采样周期未采集到某控制单元发送的CAN心跳消息,则可以判断该控制单元的CAN总线链路故障,其转发的CAN总线消息将不被置信。该故障状态可恢复;
步骤S32:通过监控MIL-STD-1553B总线工作状态和CAN总线工作状态,航天器控制单元A、B、C分别判断接收到的总线消息是否有效。
步骤S33:对接收到的MIL-STD-1553B总线消息和CAN总线上另两个控制单元转发的总线消息进行三取二表决输出。
上述的总线消息分为控制指令和时间指令两类,综合考虑实时性和可靠性要求,其三取二表决策略有较大差异。
考虑到双总线的传输延迟,从接收到的第一条指令开始计时,延迟一定的预设时间(如1ms)后统计接收的指令个数。
对于时间指令,接收的指令个数小于2条时,直接执行该条指令,反之按接收先后顺序的第2条指令执行;
对于控制指令,接收的指令个数大于等于2条时,按接收先后顺序的第2条指令执行;反之则必须结合步骤S31和S32取得的工作状态信息,判定接收到指令的该条链路传输正常,且未接收到指令的两条链路或单元均已监测到故障,执行该指令,否则放弃,以防止控制指令的漏发或误触发。
对本控制单元的CAN总线状态、本控制单元的MIL-STD-1553B总线状态、本控制单元接收到的MIL-STD-1553B消息和本控制单元接收到的另两个控制单元的CAN总线消息共计5个状态量的所有可能性(12个状态),航天器控制单元软件分别采取不同的处理方法来实现三取二表决输出总线消息(详见表2)。
表2总线消息故障模式列表
注:表中×为故障(未收到消息或消息错误、总线故障等),√为正常消息或总线正常。
注1:该状态下,MIL-STD-1553B总线正常,但未下发总线消息或RT未收到总线消息。
注2:该状态下,MIL-STD-1553B无总线心跳,BC端故障。
以某型号为例,该型号的单机CPU为TMS320F2812,源程序代码使用C语言进行编写,通过采取冗余设计和设置补偿措施双管齐下的方法解决总线单点故障时单机无法正常工作的问题,提高总线消息传输的可靠性,防止丢指令或误触发,确保硬件单点故障时整个系统可以继续正确有效的运行,提高整个系统的可靠性和安全性。
本发明方法解决了航天器控制单元单点故障失效的难题,在原有的成熟系统平台上增加适度冗余技术,兼顾可靠性和经济性,提出了分步消除单点故障的补偿措施。即通过基于MIL-STD-1553B总线和CAN总线双总线拓扑架构,采用三机热备冗余,软件三取二表决等一系列可靠性措施解决航天器控制单元单点故障问题。
由上可知,采用本发明的方法对航天器控制单元控制进行可靠性再设计,以飞行任务保成功为首要原则,借助成熟的总线通讯技术,兼顾可靠性和经济性,具有较好的通用性和可扩展性。
Claims (4)
1.一种基于双总线的冗余表决控制方法,其特征在于,包括以下步骤:
S1:航天器控制单元A、B、C中的任一控制单元作为RT终端,接收MIL-STD-1553B总线的BC控制器发送的总线消息,对接收的总线消息校验数据有效后,通过CAN总线分别向另两个控制单元转发所述总线消息;
S2:航天器控制单元A、B、C中的任一控制单元接收所述CAN总线上另两个控制单元所转发的总线消息,并校验指令数据的有效性;
S3:航天器控制单元A、B、C中的任一控制单元对接收到的MIL-STD-1553B的总线消息和CAN总线上接收到的另两个控制单元转发的总线消息,结合本控制单元所回采的心跳信号,进行三取二表决输出,以应对已知的一度、二度故障;
所述S3包括如下步骤:
S31:航天器控制单元A、B、C通过回采各控制单元输出的心跳信号,判断各控制单元的工作状态,其中,MIL-STD-1553B总线BC控制器定时发送心跳信号,当连续三个采样周期未采集到BC控制器发送的心跳信号,则判定本控制单元的MIL-STD-1553B总线链路故障,其发送的总线消息将不被置信,该故障状态可恢复;航天器控制单元A、B、C相互发送CAN心跳消息,当连续三个采样周期未采集到其中一个控制单元发送的CAN心跳消息,则判断该控制单元的CAN总线链路故障,其转发的CAN总线消息将不被置信,该故障状态可恢复;
S32:通过监控MIL-STD-1553B总线的工作状态和CAN总线的工作状态,航天器控制单元A、B、C分别判断接收到的总线消息是否有效;
S33:对接收到的MIL-STD-1553B总线消息和CAN总线上另两个控制单元转发的总线消息进行三取二表决输出。
2.根据权利要求1所述的基于双总线的冗余表决控制方法,其特征在于,所述步骤S1包括如下步骤:
S11:航天器控制单元A、B、C分别各自接收其对应的BC控制器发送的总线消息;
S12:采用CRC校验判断所接收的来自MIL-STD-1553B总线的总线消息的有效性;
S13:将校验后有效的总线消息通过所述CAN总线分别向另两个控制单元转发。
3.根据权利要求1所述的基于双总线的冗余表决控制方法,其特征在于,所述步骤S2包括如下步骤:
S21:航天器控制单元A、B、C分别接收所述CAN总线上另两个控制单元转发的总线消息;
S22:采用CRC校验判断所接收的来自CAN总线上的总线消息的有效性。
4.根据权利要求1所述的基于双总线的冗余表决控制方法,其特征在于,
总线消息包括控制指令和时间指令两类,由于双总线的传输延迟,从接收到的第一条指令开始计时,延迟预设时间后统计接收的指令个数;
对于时间指令,接收的指令个数小于2条时,直接执行该条指令,反之按接收先后顺序的第2条指令执行;
对于控制指令,接收的指令个数大于等于2条时,按接收先后顺序的第2条指令执行;反之则必须结合步骤S31和S32取得的工作状态信息,判定接收到指令的该条链路传输正常,且未接收到指令的两条链路或单元均已监测到故障,执行该指令,否则放弃,以防止控制指令的漏发或误触发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811065161.3A CN108983682B (zh) | 2018-09-12 | 2018-09-12 | 一种基于双总线的冗余表决控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811065161.3A CN108983682B (zh) | 2018-09-12 | 2018-09-12 | 一种基于双总线的冗余表决控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108983682A CN108983682A (zh) | 2018-12-11 |
| CN108983682B true CN108983682B (zh) | 2020-04-21 |
Family
ID=64545596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811065161.3A Active CN108983682B (zh) | 2018-09-12 | 2018-09-12 | 一种基于双总线的冗余表决控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108983682B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109752950A (zh) * | 2018-12-26 | 2019-05-14 | 浙江中控技术股份有限公司 | 一种冗余控制系统的快速响应方法及装置 |
| CN110824988B (zh) * | 2019-11-06 | 2021-02-09 | 上海航天控制技术研究所 | 一种基于1553b总线冗余的姿控输出信号表决方法 |
| CN112506830B (zh) * | 2020-11-27 | 2023-03-24 | 山东航天电子技术研究所 | 一种多路传输数据总线冗余同步通信方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103699003B (zh) * | 2013-11-27 | 2017-03-15 | 北京机械设备研究所 | 一种面向双余度电机的分布式冗余通用控制器 |
| KR101913784B1 (ko) * | 2016-06-01 | 2018-11-02 | 주식회사 스토리지안 | 에스에스디 멀티플러 및 이에 기반한 스토리지 시스템 |
| CN107347018B (zh) * | 2017-04-14 | 2019-12-20 | 上海航天控制技术研究所 | 一种三冗余1553b总线动态切换方法 |
| CN108345254B (zh) * | 2018-04-08 | 2020-10-23 | 上海航天计算机技术研究所 | 三冗余控制方法和系统 |
-
2018
- 2018-09-12 CN CN201811065161.3A patent/CN108983682B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108983682A (zh) | 2018-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108983682B (zh) | 一种基于双总线的冗余表决控制方法 | |
| EP2490124B1 (en) | Dual redundant process controller | |
| CN102521059B (zh) | 一种星载数据管理系统自主容错方法 | |
| US8745467B2 (en) | System and method for fault tolerant computing using generic hardware | |
| CN106648997A (zh) | 一种基于非实时操作系统的主从双机切换方法 | |
| CN109634171B (zh) | 双核双锁步二取二架构及其安全平台 | |
| US20120066545A1 (en) | Fault-tolerant system and fault-tolerant control method | |
| CN102724083A (zh) | 基于软件同步的可降级三模冗余计算机系统 | |
| US20100241909A1 (en) | Fault-tolerant system | |
| CN107453913B (zh) | 具备处理器间高速通信的网关冗余方法 | |
| CN102521066A (zh) | 星载计算机空间环境事件容错方法 | |
| CN110958073B (zh) | 一种基于三套1553b总线冗余的时间同步表决方法 | |
| CN108551397A (zh) | 网桥装置及应用以及多plc主站与多plc从站的通信控制方法 | |
| US20080313426A1 (en) | Information Processing Apparatus and Information Processing Method | |
| JP5772911B2 (ja) | フォールトトレラントシステム | |
| CN108259227A (zh) | 一种双机热备联锁系统的数据同步方法 | |
| JPH04364562A (ja) | プロセス制御システムにおいて一次データベース及び二次データベースに格納されているデータを保証する方法 | |
| CN113791937B (zh) | 一种数据同步冗余系统及其控制方法 | |
| CN112740121A (zh) | 用于车辆的控制架构 | |
| CN111200524B (zh) | 一种交换机配置方法、服务器 | |
| CN116699964A (zh) | 一种工业过程控制器冗余运行方法和系统 | |
| CN112052113B (zh) | 一种通信链路层报文单粒子效应容错方法及装置 | |
| CN113973025A (zh) | 基于can总线的星载计算机通讯可靠性与容错设计方法 | |
| JP2007293678A (ja) | 共用バス接続診断装置 | |
| US9311212B2 (en) | Task based voting for fault-tolerant fail safe computer systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 201109 Minhang District, Shanghai Road, No. 1777 spring Applicant after: SHANGHAI AEROSPACE COMPUTER TECHNOLOGY Research Institute Address before: 200050 Anhua Road, Shanghai, No. 492, No. Applicant before: SHANGHAI AEROSPACE COMPUTER TECHNOLOGY Research Institute |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |