CN115934208A - 一种卫星操作系统的同功能多版本软件在轨同步运行方法 - Google Patents
一种卫星操作系统的同功能多版本软件在轨同步运行方法 Download PDFInfo
- Publication number
- CN115934208A CN115934208A CN202310024375.0A CN202310024375A CN115934208A CN 115934208 A CN115934208 A CN 115934208A CN 202310024375 A CN202310024375 A CN 202310024375A CN 115934208 A CN115934208 A CN 115934208A
- Authority
- CN
- China
- Prior art keywords
- software
- satellite
- operating system
- function
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开了一种卫星操作系统的同功能多版本软件在轨同步运行方法,包括步骤S1:针对卫星操作的某个功能,采用多种方法设计出多个版本的软件,软件分多个步骤执行,每个步骤均会输出数据或运行状态参数;步骤S2:卫星在轨运行期间,针对该功能,至少同时运行两个版本的软件;步骤S3:卫星操作系统对这个功能软件的每一步输出结果进行比对,并记录比对次数;步骤S4:如果比对结果不一致,卫星操作系统设置重新执行标志,要求这个功能的所有软件重新执行;如果比对结果一致,卫星操作系统运行这个功能的所有软件继续执行;步骤S5:如果比对次数超过阈值,卫星操作系统将重新启动这个功能的所有软件。
Description
技术领域
本发明涉及卫星星载电子系统领域,特别涉及一种卫星操作系统的同功能多版本软件在轨同步运行方法。
背景技术
卫星工作的空间环境恶劣,在轨运行期间星载电子系统会因为单粒子效应导致星载软件发生改变,导致卫星操作异常。因此,卫星作业流程中需要保证卫星操作指令和数据的正确性。
当前卫星作业流程设计中,通常采取提高星载计算机抗辐射性能的方法,来保证卫星操作指令和数据的正确性。例如,提高星载计算机选用元器件等级,确保遭遇空间高能粒子轰击时,星载计算机的运行状态不会发生改变;还有采取增加校验码等方法,对卫星操作指令和数据进行校验,及时发现卫星操作指令和数据的异常并进行纠正。
同时,现代卫星已经采用嵌入式操作系统来对各种资源进行管理,星载软件系统越来越庞大,星载软件的测试难以做到覆盖所有语场景,可能存在某种没有的发现的缺陷。如果卫星在轨期间,该缺陷的触发可能对卫星操作造成风险。
研究表明,空间单粒子效应无可避免,现有技术难以保证绝对不发生单粒子效应,卫星操作指令和数据存在被改变的可能。因此,找到一种能够及时发现卫星操作指令和数据异常的方法,成为了现今亟需解决的问题。
发明内容
为了克服现有技术中的不足,本发明提供一种卫星操作系统的同功能多版本软件在轨同步运行方法,以发现空间单粒子效应或者软件缺陷对卫星操作指令和数据的影响。
为了达到上述发明目的,解决其技术问题所采用的技术方案如下:
一种卫星操作系统的同功能多版本软件在轨同步运行方法,包括以下步骤:
步骤S1:针对卫星操作的某个功能,采用多种方法设计出多个版本的软件,软件分多个步骤执行,每个步骤均会输出数据或运行状态参数;
步骤S2:卫星在轨运行期间,针对该功能,至少同时运行两个版本的软件;
步骤S3:卫星操作系统对这个功能软件的每一步输出结果进行比对,并记录比对次数;
步骤S4:如果比对结果不一致,卫星操作系统设置重新执行标志,要求这个功能的所有软件重新执行;如果比对结果一致,卫星操作系统运行这个功能的所有软件继续执行;
步骤S5:如果比对次数超过阈值,卫星操作系统将重新启动这个功能的所有软件。
进一步的,所述步骤S1包括如下步骤:
步骤S11:所述卫星操作的某个功能是由星载软件输出一系列的指令和数据控制星载电子设备完成;
步骤S12:所述星载软件采用CPU软件实现或采用FPGA实现;
步骤S13:所述实现卫星操作某个功能的星载软件可采用多种方法设计实现,包括不同的设计师来设计;
步骤S14:所述卫星操作系统具备对星载软件进行管理功能和输出结果比对功能,能够中止、启动星载软件的执行;
步骤S15:所述星载软件的输出包括指令、数据和运行状态参数。
进一步的,所述步骤S2包括至少同时运行两个版本的软件,其中这两个版本的软件功能一样,设计方法包括架构、算法不同。
进一步的,所述步骤S3中输出结果包括寄存器值、计算结果以及系统状态。
进一步的,所述步骤S3中记录比对次数包括不同软件版本输出结果都不一致,重新执行比对的次数;还包括针对某一版本执行结果和其它软件版本执行结果都不一致,判定该软件执行结果异常次数。
进一步的,所述步骤S4中比对结果不一致包括对于多版本软件运行时,如果有超过三分之二的软件执行的结果都一致,认为结果比对一致,只记录余下结果不一致的软件的执行异常计数;如果没有达到三分之二的软件执行结果一致,卫星操作系统设置重新执行标志,要求这个功能的所有软件重新执行。
进一步的,所述步骤S5中比对次数超过阈值包括对某一步骤执行结果不一致重新执行次数超过阈值,还包括卫星操作系统重新启动该功能所有软件时,判断每个软件的执行异常次数,如执行异常次数超过阈值时,该软件不再重启,退出执行结果比对。
本发明由于采用以上技术方案,使之与现有技术相比,具有以下的优点和积极效果:
1、本发明一种卫星操作系统的同功能多版本软件在轨同步运行方法,可以发现空间高能粒子轰击改变了的卫星操作指令和数据,避免卫星误操作;
2、本发明一种卫星操作系统的同功能多版本软件在轨同步运行方法,可以发现星载软件缺陷导致输出的卫星操作指令和数据中的错误,避免卫星误操作;
3、本发明一种卫星操作系统的同功能多版本软件在轨同步运行方法,适用于多种技术开发的卫星操作功能模块,包括但不限于基于CPU软件实现的星载软件系统、基于FPGA实现的卫星操作控制系统,具有广泛的适用性;
4、本发明在不改变星载软件原设计流程情况下,利用多个版本软件运行过程中比对,提高了卫星操作系统的可靠性,保证了卫星关键操作的安全性;相对于现有卫星操控方法,本发明大大降低了卫星操作作业风险。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图中:
图1是本发明一种卫星操作系统的同功能多版本软件在轨同步运行方法的流程示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本实施例公开了一种卫星操作系统的同功能多版本软件在轨同步运行方法,包括以下步骤:
步骤S1:针对卫星操作的某个功能,采用多种方法设计出多个版本的软件,软件分多个步骤执行,每个步骤均会输出数据或运行状态参数;
步骤S2:卫星在轨运行期间,针对该功能,至少同时运行两个版本的软件;
步骤S3:卫星操作系统对这个功能软件的每一步输出结果进行比对,并记录比对次数;
步骤S4:如果比对结果不一致,卫星操作系统设置重新执行标志,要求这个功能的所有软件重新执行;如果比对结果一致,卫星操作系统运行这个功能的所有软件继续执行;
步骤S5:如果比对次数超过阈值,卫星操作系统将重新启动这个功能的所有软件。
进一步的,所述步骤S1包括如下步骤:
步骤S11:所述卫星操作的某个功能是由星载软件输出一系列的指令和数据控制星载电子设备完成;
步骤S12:所述星载软件采用CPU软件实现或采用FPGA实现;
步骤S13:所述实现卫星操作某个功能的星载软件可采用多种方法设计实现,包括不同的设计师来设计;
步骤S14:所述卫星操作系统具备对星载软件进行管理功能和输出结果比对功能,能够中止、启动星载软件的执行;
步骤S15:所述星载软件的输出包括指令、数据和运行状态参数。
进一步的,所述步骤S2包括至少同时运行两个版本的软件,其中这两个版本的软件功能一样,设计方法包括架构、算法不同。
进一步的,所述步骤S3中输出结果包括寄存器值、计算结果以及系统状态。
进一步的,所述步骤S3中记录比对次数包括不同软件版本输出结果都不一致,重新执行比对的次数;还包括针对某一版本执行结果和其它软件版本执行结果都不一致,判定该软件执行结果异常次数。
进一步的,所述步骤S4中比对结果不一致包括对于多版本软件运行时,如果有超过三分之二的软件执行的结果都一致,认为结果比对一致,只记录余下结果不一致的软件的执行异常计数;如果没有达到三分之二的软件执行结果一致,卫星操作系统设置重新执行标志,要求这个功能的所有软件重新执行。
进一步的,所述步骤S5中比对次数超过阈值包括对某一步骤执行结果不一致重新执行次数超过阈值,还包括卫星操作系统重新启动该功能所有软件时,判断每个软件的执行异常次数,如执行异常次数超过阈值时,该软件不再重启,退出执行结果比对。
实施例1
请参考图1,本发明实施例提供了一种卫星操作系统的同功能多版本软件在轨同步运行方法,提供了对基于CPU软件实现的任务规划功能在轨同步运行方法,作为该方法包括如下步骤:
S11:所述任务规划功能的输出给有效载荷、数传、姿轨控执行机构等星载电子设备作业执行;
S12:所述任务规划功能采用CPU软件实现;
S13:所述任务规划功能由两个设计师独立设计;
S14:所述星载操作系统能够对任务规划软件A和B的输出进行比对,能够中止和启动任务规划软件A和B的执行;
S15:所述任务规划软件A和B的输出为一系列星载电子设备作业指令、数据和时间间隔;
S2:所述任务规划软件A和B的功能相同,由不同设计师独立设计,即版本不同;
S3:卫星操作系统对任务规划软件A和B的每一步输出结果进行比对,设置比对结果标识,并记录每一步的比对次数;
S4:依据比对结果标识:
如果比对结果不一致,卫星操作系统设置重新执行标志,要求这个功能的所有软件重新执行;如果比对结果一致,卫星操作系统运行这个功能的所有软件继续执行;
S5:依据比对次数:
如果比对次数没有达到阈值,卫星操作系统设置重新执行标志;如果比对次数超过到阈值,卫星操作系统中止任务规划软件A和B,然后重新启动任务规划软件A和B。
本实施例中,比对次数阈值为3。如果任务规划软件A和B的输出连续3次比对不一致,说明任务规划软件A或B的执行代码已损坏,需要重新导入任务规划软件A和B的执行代码,然后启动任务规划软件A和B。
本发明实施例与现有卫星操作技术相比,通过由两个不同设计师设计任务规划软件,执行相同的任务规划功能。由于都是CPU软件,如果在相同的CPU上执行,这两个软件需要串行执行。空间高能粒子轰击触发的单粒子效应,会改变任务规划软件输出的指令和数据。对于串行执行的软件而已,两个高能粒子对任务规划软件的影响不可能相同,即改变后的任务规划软件输出的指令和数据不可能相同,从而实现了克服空间恶劣环境对卫星操作的影响,确保了卫星操作的正确性。
同时,这两个任务规划软件由两个不同的设计师实现,任务规划软件算法中可能存在缺陷也不肯能相同。在特定条件下,设计缺陷导致任务规划软件输出的指令和数据也不可能相同,从而避免了星载软件复杂导致的测试难以覆盖所有应用场景的不足,确保了卫星操作的正确性,大大降低了卫星操作的风险。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.一种卫星操作系统的同功能多版本软件在轨同步运行方法,其特征在于,包括以下步骤:
步骤S1:针对卫星操作的某个功能,采用多种方法设计出多个版本的软件,软件分多个步骤执行,每个步骤均会输出数据或运行状态参数;
步骤S2:卫星在轨运行期间,针对该功能,至少同时运行两个版本的软件;
步骤S3:卫星操作系统对这个功能软件的每一步输出结果进行比对,并记录比对次数;
步骤S4:如果比对结果不一致,卫星操作系统设置重新执行标志,要求这个功能的所有软件重新执行;如果比对结果一致,卫星操作系统运行这个功能的所有软件继续执行;
步骤S5:如果比对次数超过阈值,卫星操作系统将重新启动这个功能的所有软件。
2.根据权利要求1所述的一种卫星操作系统的同功能多版本软件在轨同步运行方法,其特征在于,所述步骤S1包括如下步骤:
步骤S11:所述卫星操作的某个功能是由星载软件输出一系列的指令和数据控制星载电子设备完成;
步骤S12:所述星载软件采用CPU软件实现或采用FPGA实现;
步骤S13:所述实现卫星操作某个功能的星载软件可采用多种方法设计实现,包括不同的设计师来设计;
步骤S14:所述卫星操作系统具备对星载软件进行管理功能和输出结果比对功能,能够中止、启动星载软件的执行;
步骤S15:所述星载软件的输出包括指令、数据和运行状态参数。
3.根据权利要求1所述的一种卫星操作系统的同功能多版本软件在轨同步运行方法,其特征在于,所述步骤S2包括至少同时运行两个版本的软件,其中这两个版本的软件功能一样,设计方法包括架构、算法不同。
4.根据权利要求1所述的一种卫星操作系统的同功能多版本软件在轨同步运行方法,其特征在于,所述步骤S3中输出结果包括寄存器值、计算结果以及系统状态。
5.根据权利要求1所述的一种卫星操作系统的同功能多版本软件在轨同步运行方法,其特征在于,所述步骤S3中记录比对次数包括不同软件版本输出结果都不一致,重新执行比对的次数;还包括针对某一版本执行结果和其它软件版本执行结果都不一致,判定该软件执行结果异常次数。
6.根据权利要求1所述的一种卫星操作系统的同功能多版本软件在轨同步运行方法,其特征在于,所述步骤S4中比对结果不一致包括对于多版本软件运行时,如果有超过三分之二的软件执行的结果都一致,认为结果比对一致,只记录余下结果不一致的软件的执行异常计数;如果没有达到三分之二的软件执行结果一致,卫星操作系统设置重新执行标志,要求这个功能的所有软件重新执行。
7.根据权利要求1所述的一种卫星操作系统的同功能多版本软件在轨同步运行方法,其特征在于,所述步骤S5中比对次数超过阈值包括对某一步骤执行结果不一致重新执行次数超过阈值,还包括卫星操作系统重新启动该功能所有软件时,判断每个软件的执行异常次数,如执行异常次数超过阈值时,该软件不再重启,退出执行结果比对。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310024375.0A CN115934208A (zh) | 2023-01-07 | 2023-01-07 | 一种卫星操作系统的同功能多版本软件在轨同步运行方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310024375.0A CN115934208A (zh) | 2023-01-07 | 2023-01-07 | 一种卫星操作系统的同功能多版本软件在轨同步运行方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115934208A true CN115934208A (zh) | 2023-04-07 |
Family
ID=86556016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310024375.0A Pending CN115934208A (zh) | 2023-01-07 | 2023-01-07 | 一种卫星操作系统的同功能多版本软件在轨同步运行方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115934208A (zh) |
-
2023
- 2023-01-07 CN CN202310024375.0A patent/CN115934208A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Dubrova | Fault-tolerant design | |
| US9063906B2 (en) | Thread sparing between cores in a multi-threaded processor | |
| US10929262B2 (en) | Programmable electronic computer in an avionics environment for implementing at least one critical function and associated electronic device, method and computer program | |
| Dubrova | Fault tolerant design: An introduction | |
| KR101331935B1 (ko) | 추적점 기반의 고장 진단/복구 시스템 및 그 방법 | |
| US20080022151A1 (en) | Methods and systems for providing reconfigurable and recoverable computing resources | |
| US20190138671A1 (en) | Simulation device and program | |
| JP2002527820A (ja) | 過渡エラー制約を受ける電子システムのための処理手順およびメモリアクセス監視装置 | |
| KR20030082983A (ko) | 방사 동작 후의 비행 임계 컴퓨터 복구 방법 | |
| JP2008508626A (ja) | コンピュータプログラムを処理する方法、オペレーティングシステムおよび計算装置 | |
| Hoque et al. | Towards an accurate reliability, availability and maintainability analysis approach for satellite systems based on probabilistic model checking | |
| US11960385B2 (en) | Automatic generation of integrated test procedures using system test procedures | |
| US20080155544A1 (en) | Device and method for managing process task failures | |
| CN115934208A (zh) | 一种卫星操作系统的同功能多版本软件在轨同步运行方法 | |
| CN105988885A (zh) | 基于补偿回滚的操作系统故障自恢复方法 | |
| Beningo | A review of watchdog architectures and their application to Cubesats | |
| Wang et al. | Design and RAMS analysis of a fault-tolerant computer control system | |
| Liu | A study of flight-critical computer system recovery from space radiation-induced error | |
| CN113377005B (zh) | 一种多余度飞机管理计算机软件的空中管控方法、系统及存储介质 | |
| US11755436B2 (en) | Computer system installed on board a carrier implementing at least one service critical for the operating safety of the carrier | |
| CN112860492B (zh) | 一种适用于核心系统的自动化回归测试方法及系统 | |
| Schoppers et al. | Availability Vs. Lifetime Trade-Space In Spacecraft Computers | |
| Schor et al. | Impact of fault-tolerant avionics on life-cycle costs | |
| Lahoz | Meta-Requirements for Space Systems | |
| JP2809986B2 (ja) | 計算機システム及びプログラムバグ回避方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |