CN113778737A - 基于冗余与降级的星载计算机运行方法及系统 - Google Patents

基于冗余与降级的星载计算机运行方法及系统 Download PDF

Info

Publication number
CN113778737A
CN113778737A CN202111082180.9A CN202111082180A CN113778737A CN 113778737 A CN113778737 A CN 113778737A CN 202111082180 A CN202111082180 A CN 202111082180A CN 113778737 A CN113778737 A CN 113778737A
Authority
CN
China
Prior art keywords
software
computer
normal
board computer
degradation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111082180.9A
Other languages
English (en)
Inventor
陈占胜
张泽浩
项杰
杨牧
周军
张海
解加华
潘瑞雪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Institute of Satellite Engineering
Original Assignee
Shanghai Institute of Satellite Engineering
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Institute of Satellite Engineering filed Critical Shanghai Institute of Satellite Engineering
Priority to CN202111082180.9A priority Critical patent/CN113778737A/zh
Publication of CN113778737A publication Critical patent/CN113778737A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0715Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种基于冗余与降级的星载计算机运行方法及系统,包括如下步骤:配置步骤:采用多台星载计算机,且对星载计算机进行配置;使用步骤:星载计算机出现故障时根据配置进行运行操作。本发明在星载计算机出现故障时,连续降级运行安全软件,确保系统基础业务正常执行,触发整个系统的故障应急响应处理;具备部分修复功能。

Description

基于冗余与降级的星载计算机运行方法及系统
技术领域
本发明涉及星载计算机运行的技术领域,具体地,涉及一种基于冗余与降级的星载计算机运行方法及系统。尤其是,优选的涉及一种基于冗余与降级的星载计算机连续自主运行方法。
背景技术
处于复杂空间环境中的计算机系统,极易受到太阳风、空间电磁风暴、空间高能粒子和宇宙射线的威胁,发生单粒子翻转故障。运行于其上的嵌入式软件,诸如星载管理软件、星务软件等,是卫星的控制核心,对可靠性、安全性、可维护性以及使用寿命都有着较高的要求,特别是在发生单粒子故障后系统的降级运行以及备机切换时的容错能力要求很高。容错能力是指在出现一个或者几个硬件或软件方面的故障或错误的情况下,系统检测出故障的存在并采取措施容忍故障,不影响系统正常工作,或者在能够完成规定的任务的情况下降级运行。容错最基本的的方法是冗余技术,所谓冗余技术是指是通过为系统增加多重资源(硬件和软件重复配置),实现对多重资源的合理管理,从而提高产品和系统可靠性的设计方法。降级技术是指减少系统功能,在故障模式下保障系统最小能力运行,维持修复功能,待故障修复后恢复正常功能。现有的双机备份系统无法达到降级时启动备份系统达到连续运行。
经过检索,公开号为CN102724083A的中国专利文献公开了基于软件同步可降级三模冗余计算机系统,涉及三模冗余计算机控制系统,解决了现有的三模冗余系统需要额外的仲裁模块,系统比较复杂的问题。不需要额外的仲裁模块。以解决现有的三模冗余系统既要完成三取二表决的工作,又要保持三台计算机的同步和处理故障计算机恢复的工作,往往需要增加硬件设置,系统比较复杂的问题。它由三台相同的控制计算机、通信总线、高速通信总线和电源管理模块组成;三台控制计算机通过通信总线两两互联,完成控制计算机之间的同步信息传递和数据交换;每台控制计算机采用三取二表决算法对三台控制计算机的传感器数据和控制运算结果进行表决;三台控制计算机之间通过高速通信总线两两互联完成高频心跳监测信号的传递,实现控制计算机之间的状态实时相互监测;三台控制计算机通过运行降级程序实现冗余系统的降级运行,通过运行重构程序实现冗余系统的重构操作。
公开号为CN111538263A的专利文献公开了一种星载计算机模块运行系统、方法以及航天设备,包括:处理单元、控制单元、存储单元、以及通信单元;所述处理单元与控制单元相连;所述控制单元与存储单元相连;所述处理单元、控制单元、存储单元与所述通信单元相连;处理单元采用Freescale的高性能、低功耗能处理器P2020。
针对上述中的现有技术,发明人认为星载计算机在出现故障时,系统基础业务容易执行异常,无法进行整个系统的应急处理。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于冗余与降级的星载计算机运行方法及系统。
根据本发明提供的一种基于冗余与降级的星载计算机运行方法,包括如下步骤:
配置步骤:采用多台星载计算机,且对星载计算机进行配置;
使用步骤:星载计算机出现故障时根据配置进行运行操作。
优选的,在配置步骤中,星载计算机为两台,每台星载计算机烧录有监控程序,正常软件,安全软件;监控软件烧录在PROM芯片中;正常软件和安全软件烧录在EEPROM芯片中,星载计算机双机进行心跳信号的判断和发送,星载计算机双机配置外围看门狗芯片进行看门狗监控;监控看门狗咬狗信息进行星载计算机冷机加电。
优选的,所述使用步骤包括如下步骤:
步骤S1:星载计算机运行正常软件时因故障导致软件复位;
步骤S2:软件复位后,监控软件从EEPROM区加载正常软件,正常软件不能正常加载运行,此时监控程序将不再引导正常程序加载;
步骤S3:监控程序开始引导安全软件运行;
步骤S4:安全软件正常运行后,首先判断当前的复位计数,在复位次数小于预定值时,程序不做任何操作,等待看门狗咬狗复位进入步骤S3;安全软件包括降级软件,复位次数大于预定值后执行降级软件功能,进入步骤S5;
步骤S5:降级软件执行功能,接收遥控和下传遥测,并且停止发送心跳信号,等待修复指令;
步骤S6:看门狗预定值次复位后,星载计算机冷机加电后由监控引导正常程序运行;
步骤S7:星载计算机冷机检测心跳信号发现无心跳开始夺权,星载计算机冷机夺权成功,执行系统正常功能,若星载计算机冷机出现故障后星载计算机冷机重复上述步骤S1至步骤S5;
步骤S8:通过降级软件判断故障遥测,发送遥控指令修复故障。
优选的,所述故障包括导致软件复位发生的故障,并且无法进入正常流程。
优选的,所述星载计算机双机冷备时,星载计算机主机发生未触发星载计算机冷机加电故障时,降级软件通过操作主动触发星载计算机冷机加电运行,保障星载计算机系统连续自主运行。
优选的,在所述降级软件运行过程中,主动放权,等待星载计算机冷机夺权,保障故障模式下将权状态转让给正常星载计算机,确保系统功能正常运行。
根据本发明提供的一种基于冗余与降级的星载计算机运行系统,包括如下模块:
配置模块:包括多台星载计算机,且对星载计算机进行配置;
使用模块:星载计算机出现故障时根据配置进行运行操作。
优选的,在配置模块中,星载计算机为两台,每台星载计算机烧录有监控程序,正常软件,安全软件;监控软件烧录在PROM芯片中;正常软件和安全软件烧录在EEPROM芯片中,星载计算机双机进行心跳信号的判断和发送,星载计算机双机配置外围看门狗芯片进行看门狗监控;监控看门狗咬狗信息进行星载计算机冷机加电。
优选的,所述使用模块包括如下模块:
模块M1:星载计算机运行正常软件时因故障导致软件复位;
模块M2:软件复位后,监控软件从EEPROM区加载正常软件,正常软件不能正常加载运行,此时监控程序将不再引导正常程序加载;
模块M3:监控程序开始引导安全软件运行;
模块M4:安全软件正常运行后,首先判断当前的复位计数,在复位次数小于预定值时,程序不做任何操作,等待看门狗咬狗复位进入模块M3;安全软件包括降级软件,复位次数大于预定值后执行降级软件功能,进入模块M5;
模块M5:降级软件执行功能,接收遥控和下传遥测,并且停止发送心跳信号,等待修复指令;
模块M6:看门狗预定值次复位后,星载计算机冷机加电后由监控引导正常程序运行;
模块M7:星载计算机冷机检测心跳信号发现无心跳开始夺权,星载计算机冷机夺权成功,执行系统正常功能,若星载计算机冷机出现故障后星载计算机冷机重复上述模块M1至模块M5;
模块M8:通过降级软件判断故障遥测,发送遥控指令修复故障。
优选的,所述故障包括导致软件复位发生的故障,并且无法进入正常流程。
与现有技术相比,本发明具有如下的有益效果:
1、本发明在星载计算机出现故障时,连续降级运行安全软件,确保系统基础业务正常执行,触发整个系统的故障应急响应处理,具备部分修复功能;
2、本发明中在主机故障时,不限于使用主动触发看门狗,触发冷备机加电运行正常功能软件,可以在短时间内运行备机软件到达故障模式下快速启动备机正常功能,执行系统正常程序,降低故障模式下带来的业务能力损失;
3、本发明采用连续降级运行完全软件,在短时间内运行正常业务流程,提高软件的可靠性和容错性。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明提供的基于冗余与降级的星载计算机连续自主运行技术的双机冷备份系统的示意框图;
图2为本发明提供的基于冗余与降级的星载计算机连续自主运行技术的降级软件结构图;
图3为本发明提供的基于冗余与降级的星载计算机连续自主运行技术的降级软件工作流程图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
本发明实施例公开了一种基于冗余与降级的星载计算机连续自主运行方法,如图1和图2所示,包括如下步骤:配置步骤:采用多台星载计算机,且对星载计算机进行配置。在配置步骤中,星载计算机为两台,每台星载计算机烧录有监控程序,正常软件,安全软件;监控软件烧录在PROM芯片中。正常软件和安全软件烧录在EEPROM芯片中,星载计算机双机进行心跳信号的判断和发送,星载计算机双机配置外围看门狗芯片进行看门狗监控;监控看门狗咬狗信息进行星载计算机冷机(备机)加电。PROM英文译文为Programmable read-onlymemory,中文译文为可编程只读存储器。EEPROM英文译文为Electrically ErasableProgrammable read only memory,中文译文为带电可擦可编程只读存储器。
系统环境:包括两台相同配置的星载计算机,每台计算机烧录有监控程序,正常软件,安全软件(降级软件);监控软件烧录在PROM芯片中,这里认为监控软件出现故障的情况较低,不做监控软件出现故障考虑;正常软件和安全软件烧录在EEPROM芯片中,双机通过读写串口通信板的寄存器数值实现心跳信号的判断和发送,双机独立配置外围看门狗芯片实现看门狗监控功能;具备监控看门狗咬狗信息实现星载计算机冷机加电。主份和备份计算机都烧录有监控程序,正常软件,安全软件(降级软件),计算机运行在正常模式下,双机会相互发送心跳信号以此来检测对方是否正常;计算机初始运行都是通过监控软件进行引导加载,判断是否出现故障来决定引导不同的程序。
降级软件包含了基础的驱动模块、遥测、遥控处理模块、程控管理、健康、能源、管理模块,确保系统基础功能完善,修复故障。整体设计分为3层,分别为驱动层,服务层和应用层。驱动层负责完成和硬件交互的相关接口封装,为服务层和应用层提供统一的接口。服务层主要提供遥测、遥控、指令队列、数据备份、故障修复等相关的数据结构设计和遥测调度等服务性功能设计。应用层主要由2个任务和1个背景任务组成,负责根据不同的触发条件,完成相应的功能任务(遥测任务、遥控任务)。背景任务不处理任何动作,仅作为所有任务挂起时的空任务。多任务的调度管理,由Ada内核完成。Ada是一种计算机程序设计语言。
以上是本发明基于的系统配置条件,在此条件下发明技术步骤如下:使用步骤:星载计算机出现故障时根据配置进行运行操作。使用步骤包括如下步骤:步骤S1:星载计算机运行正常软件时因故障导致软件复位。故障包括导致软件复位发生,并且无法进入正常流程的故障。星载计算机运行正常软件时因为某种故障导致软件复位。故障是指导致软件复位发生的故障,并且无法进入正常流程。
步骤S2:软件复位后,监控软件从EEPROM区加载正常软件,正常软件不能正常加载运行,此时监控程序将不再引导正常程序加载。软件复位后,监控软件从EEPROM区加载正常软件,在复杂的空间环境中,程序区出现故障,正常软件不能正常加载运行,此时监控程序将不再引导正常程序加载。
步骤S3:监控程序开始引导安全软件运行。
步骤S4:安全软件正常运行后,首先判断当前的复位计数,在复位次数小于等于预定值时,程序不做任何操作,等待看门狗咬狗复位进入步骤S3;安全软件包括降级软件,复位次数大于预定值后执行降级软件功能,进入步骤S5。预定值包括3。即安全软件正常运行后,首先判断当前的复位计数,在复位次数小于3时,程序不做任何操作,等待看门狗咬狗复位进入步骤3;复位次数大于3后执行降级软件功能,进入步骤5。
步骤S5:降级软件执行功能,接收遥控和下传遥测,并且停止发送心跳信号,等待修复指令。降级软件执行最小项功能,具备接收遥控和下传遥测功能,并且停止发送心跳信号,等待修复指令。
步骤S6:看门狗预定值次(3次)复位后,星载计算机冷机(备机)加电后由监控引导正常程序运行。
步骤S7:星载计算机冷机(备机)检测心跳信号发现无心跳开始夺权,星载计算机冷机夺权成功,执行系统正常功能,若星载计算机冷机出现故障后星载计算机冷机重复上述步骤S1至步骤S5。
步骤S8:通过降级软件判断故障遥测,发送遥控指令修复故障。
星载计算机双机冷备系统中,,星载计算机主机发生未触发星载计算机冷机加电故障时,降级软件通过操作主动触发星载计算机冷机加电运行,保障星载计算机系统连续自主运行。该操作不限于软件操作等手段。在降级软件运行过程中,主动放权,等待星载计算机冷机夺权,保障故障模式下将权状态转让给正常星载计算机,确保系统功能正常运行。
本发明能够通过冗余与降级方式达到在故障模式下计算机连续运行。本发明涉及航天、航空和海洋工程等领域中的双机备份计算机控制系统。在冗余与降级的星载计算连续自主运行技术方向没有发现同本发明类似技术的说明或报道,也尚未收集到国内外类似的资料。本发明适用于星载软件故障切换时确保软件降级正常运行,解决了现有的双机备份系统降级运行时的复杂切换问题。系统由两台相同的计算机组成,备机冷备状态,双机通过心跳信号检测对方,主机软件在正常运行过程中出现硬件性故障必须切换到安全模式,如程序存储区发生故障,无法加载运行正常星载软件,在确保主机能够切换到安全模式下运行的同时触发备机正常加电同时放权给备机运行常规程序,保证故障时将常规任务顺利交接备机进行,对于高重要级星载计算机能够减轻故障模式造成的损失,提高软件的可靠性和容错性。
本发明实现故障模式下计算机降级连续运行,提高星载软件可靠性和容错性。概述地描述,在双机备份系统中,配置监控软件,正常软件,安全软件,同时处于冷备状态;正常软件发生故障后由监控软件引导进入安全软件(降级软件),安全软件通过触发备机加电条件,停止发送心跳信号,备机运行后夺权,代替主机完成系统任务,主机运行降级软件,修复故障后恢复正常程序,达到故障模式下计算机连续运行。
本发明实施例还提供了一种基于冗余与降级的星载计算机运行系统,如图1所示,包括如下模块:配置模块:包括多台星载计算机,且对星载计算机进行配置。星载计算机为两台,每台星载计算机烧录有监控程序,正常软件,安全软件;监控软件烧录在PROM芯片中;正常软件和安全软件烧录在EEPROM芯片中,星载计算机双机进行心跳信号的判断和发送,星载计算机双机配置外围看门狗芯片进行看门狗监控;监控看门狗咬狗信息进行星载计算机冷机加电。
使用模块:星载计算机出现故障时根据配置进行运行操作。使用模块包括如下模块:模块M1:星载计算机运行正常软件时因故障导致软件复位。故障包括导致软件复位发生的故障,并且无法进入正常流程。模块M2:软件复位后,监控软件从EEPROM区加载正常软件,正常软件不能正常加载运行,此时监控程序将不再引导正常程序加载。模块M3:监控程序开始引导安全软件运行。模块M4:安全软件正常运行后,首先判断当前的复位计数,在复位次数小于预定值时,程序不做任何操作,等待看门狗咬狗复位进入模块M3;安全软件包括降级软件,复位次数大于预定值后执行降级软件功能,进入模块M5。模块M5:降级软件执行功能,接收遥控和下传遥测,并且停止发送心跳信号,等待修复指令。模块M6:看门狗预定值次复位后,星载计算机冷机加电后由监控引导正常程序运行。模块M7:星载计算机冷机检测心跳信号发现无心跳开始夺权,星载计算机冷机夺权成功,执行系统正常功能,若星载计算机冷机出现故障后星载计算机冷机重复上述模块M1至模块M5。模块M8:通过降级软件判断故障遥测,发送遥控指令修复故障。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置、模块、单元以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置、模块、单元以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以,本发明提供的系统及其各项装置、模块、单元可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置、模块、单元也可以视为硬件部件内的结构;也可以将用于实现各种功能的装置、模块、单元视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种基于冗余与降级的星载计算机运行方法,其特征在于,包括如下步骤:
配置步骤:采用多台星载计算机,且对星载计算机进行配置;
使用步骤:星载计算机出现故障时根据配置进行运行操作。
2.根据权利要求1所述的基于冗余与降级的星载计算机运行方法,其特征在于,在配置步骤中,星载计算机为两台,每台星载计算机烧录有监控程序,正常软件,安全软件;监控软件烧录在PROM芯片中;正常软件和安全软件烧录在EEPROM芯片中,星载计算机双机进行心跳信号的判断和发送,星载计算机双机配置外围看门狗芯片进行看门狗监控;监控看门狗咬狗信息进行星载计算机冷机加电。
3.根据权利要求2所述的基于冗余与降级的星载计算机运行方法,其特征在于,所述使用步骤包括如下步骤:
步骤S1:星载计算机运行正常软件时因故障导致软件复位;
步骤S2:软件复位后,监控软件从EEPROM区加载正常软件,正常软件不能正常加载运行,此时监控程序将不再引导正常程序加载;
步骤S3:监控程序开始引导安全软件运行;
步骤S4:安全软件正常运行后,首先判断当前的复位计数,在复位次数小于预定值时,程序不做任何操作,等待看门狗咬狗复位进入步骤S3;安全软件包括降级软件,复位次数大于预定值后执行降级软件功能,进入步骤S5;
步骤S5:降级软件执行功能,接收遥控和下传遥测,并且停止发送心跳信号,等待修复指令;
步骤S6:看门狗预定值次复位后,星载计算机冷机加电后由监控引导正常程序运行;
步骤S7:星载计算机冷机检测心跳信号发现无心跳开始夺权,星载计算机冷机夺权成功,执行系统正常功能,若星载计算机冷机出现故障后星载计算机冷机重复上述步骤S1至步骤S5;
步骤S8:通过降级软件判断故障遥测,发送遥控指令修复故障。
4.根据权利要求3所述的基于冗余与降级的星载计算机运行方法,其特征在于,所述故障包括导致软件复位发生的故障,并且无法进入正常流程。
5.根据权利要求3所述的基于冗余与降级的星载计算机运行方法,其特征在于,所述星载计算机双机冷备时,星载计算机主机发生未触发星载计算机冷机加电故障时,降级软件通过操作主动触发星载计算机冷机加电运行,保障星载计算机系统连续自主运行。
6.根据权利要求3所述的基于冗余与降级的星载计算机运行方法,其特征在于,在所述降级软件运行过程中,主动放权,等待星载计算机冷机夺权,保障故障模式下将权状态转让给正常星载计算机,确保系统功能正常运行。
7.一种基于冗余与降级的星载计算机运行系统,其特征在于,包括如下模块:
配置模块:包括多台星载计算机,且对星载计算机进行配置;
使用模块:星载计算机出现故障时根据配置进行运行操作。
8.根据权利要求7所述的基于冗余与降级的星载计算机运行系统,其特征在于,在配置模块中,星载计算机为两台,每台星载计算机烧录有监控程序,正常软件,安全软件;监控软件烧录在PROM芯片中;正常软件和安全软件烧录在EEPROM芯片中,星载计算机双机进行心跳信号的判断和发送,星载计算机双机配置外围看门狗芯片进行看门狗监控;监控看门狗咬狗信息进行星载计算机冷机加电。
9.根据权利要求8所述的基于冗余与降级的星载计算机运行系统,其特征在于,所述使用模块包括如下模块:
模块M1:星载计算机运行正常软件时因故障导致软件复位;
模块M2:软件复位后,监控软件从EEPROM区加载正常软件,正常软件不能正常加载运行,此时监控程序将不再引导正常程序加载;
模块M3:监控程序开始引导安全软件运行;
模块M4:安全软件正常运行后,首先判断当前的复位计数,在复位次数小于预定值时,程序不做任何操作,等待看门狗咬狗复位进入模块M3;安全软件包括降级软件,复位次数大于预定值后执行降级软件功能,进入模块M5;
模块M5:降级软件执行功能,接收遥控和下传遥测,并且停止发送心跳信号,等待修复指令;
模块M6:看门狗预定值次复位后,星载计算机冷机加电后由监控引导正常程序运行;
模块M7:星载计算机冷机检测心跳信号发现无心跳开始夺权,星载计算机冷机夺权成功,执行系统正常功能,若星载计算机冷机出现故障后星载计算机冷机重复上述模块M1至模块M5;
模块M8:通过降级软件判断故障遥测,发送遥控指令修复故障。
10.根据权利要求9所述的基于冗余与降级的星载计算机运行系统,其特征在于,所述故障包括导致软件复位发生的故障,并且无法进入正常流程。
CN202111082180.9A 2021-09-15 2021-09-15 基于冗余与降级的星载计算机运行方法及系统 Pending CN113778737A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111082180.9A CN113778737A (zh) 2021-09-15 2021-09-15 基于冗余与降级的星载计算机运行方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111082180.9A CN113778737A (zh) 2021-09-15 2021-09-15 基于冗余与降级的星载计算机运行方法及系统

Publications (1)

Publication Number Publication Date
CN113778737A true CN113778737A (zh) 2021-12-10

Family

ID=78844068

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111082180.9A Pending CN113778737A (zh) 2021-09-15 2021-09-15 基于冗余与降级的星载计算机运行方法及系统

Country Status (1)

Country Link
CN (1) CN113778737A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101281483A (zh) * 2008-05-12 2008-10-08 北京邮电大学 双机冗余容错系统及其冗余切换方法
CN101833536A (zh) * 2010-04-16 2010-09-15 北京航空航天大学 一种冗余仲裁机制的可重构星载计算机
CN101968756A (zh) * 2010-09-29 2011-02-09 航天东方红卫星有限公司 一种基于fpga的星载计算机自主切机系统
WO2016159996A1 (en) * 2015-03-31 2016-10-06 Hewlett Packard Enterprise Development Lp Preventing data corruption and single point of failure in fault-tolerant memory fabrics
CN106980557A (zh) * 2017-03-30 2017-07-25 上海航天控制技术研究所 一种基于存储分区的星载软件异构备份方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101281483A (zh) * 2008-05-12 2008-10-08 北京邮电大学 双机冗余容错系统及其冗余切换方法
CN101833536A (zh) * 2010-04-16 2010-09-15 北京航空航天大学 一种冗余仲裁机制的可重构星载计算机
CN101968756A (zh) * 2010-09-29 2011-02-09 航天东方红卫星有限公司 一种基于fpga的星载计算机自主切机系统
WO2016159996A1 (en) * 2015-03-31 2016-10-06 Hewlett Packard Enterprise Development Lp Preventing data corruption and single point of failure in fault-tolerant memory fabrics
CN106980557A (zh) * 2017-03-30 2017-07-25 上海航天控制技术研究所 一种基于存储分区的星载软件异构备份方法

Similar Documents

Publication Publication Date Title
CN101833536B (zh) 一种冗余仲裁机制的可重构星载计算机
CN103853622A (zh) 一种互为备份的双余度控制方法
CN103544092B (zh) 一种基于arinc653标准机载电子设备健康监控系统
US7877627B1 (en) Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology
CN110351174B (zh) 一种模块冗余的安全计算机平台
CN111352338B (zh) 一种双余度飞控计算机及余度管理方法
EP3427151B1 (en) Memory backup management in computing systems
CN101281483A (zh) 双机冗余容错系统及其冗余切换方法
CN102331786A (zh) 一种姿轨控计算机双机冷备份系统
CN108958987B (zh) 一种低轨小卫星容错系统及方法
CN108228391B (zh) 一种LockStep处理机及管理方法
US9952579B2 (en) Control device
US11099961B2 (en) Systems and methods for prevention of data loss in a power-compromised persistent memory equipped host information handling system during a power loss event
CN102708012B (zh) 一种并行处理的双机容错星上处理系统
CN103365267B (zh) 一种具有自恢复功能的变电站间隔层设备及其实现方法
CN102508746A (zh) 一种用于三机变结构容错计算机系统管理方法
CN115826393A (zh) 一种飞控系统的双余度管理方法及装置
CN101794241A (zh) 基于可编程逻辑器件三冗余容错计算机上电复位的电路
Avizienis A fault tolerance infrastructure for dependable computing with high-performance COTS components
JP2022088346A (ja) コア同期のためのデバッグトレースストリーム
CN101788940A (zh) 基于可编程逻辑器件2x2冗余容错计算机上电复位的电路
CN113778737A (zh) 基于冗余与降级的星载计算机运行方法及系统
CN116257342A (zh) 基于多核处理器的可配置容错星务软件任务调度系统
CN115328706A (zh) 双cpu冗余架构综合控制方法及系统
CN105589768A (zh) 一种可自愈的容错计算机系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination