專利名稱:一種星載數據管理系統自主容錯方法
技術領域:
本發明涉及一種航天器數據管理方法。
背景技術:
如圖1所示,數據管理系統一般由數管計算機、遙控單元、遠置單元A、遠置單元B、 遠置單元C、遠置單元D及155 總線組成。遙控單元負責分發地面系統注入的遙控指令; 遠置單元A、遠置單元B、遠置單元C、遠置單元D負責采集其它設備的遙測并通過155 總線傳遞到數管計算機,同時執行數管計算機傳來的間接指令;遠置單元A還具有將數管計算機組織好的遙測數據進行調制并通過應答機下傳給地面系統的功能。數管計算機是整個數據管理系統的處理核心,承擔著整星遙測、遙控、自主熱控、 自主能源控制以及有效載荷數據處理等多項重要任務。數據管理系統一般需要處理地面注入指令、星上設備數據交換、總線數據交換、時鐘信號輸入、遙測信號采集等功能。數據管理系統的故障將影響地面對衛星狀態的判斷與控制,因此數據管理系統應具備自主容錯機制和冗余備份措施。航天器自主容錯機制是指航天器能夠對自身狀態進行監控和感應,對出現的故障自主進行檢測、隔離和恢復。容錯機制主要包括故障檢測、故障診斷和系統重構等。當系統狀態偏離了 “正常”狀態時,稱系統處于故障狀態。檢測是測定故障產生的過程,診斷是確定故障類型的過程,包括確定故障產生的時間、地點和故障級別。利用這些信息可以對系統進行修復,使系統恢復常運行。另外航天器各個重要系統都采用了冗余備份措施,希望在出現故障時能通過系統重構恢復系統的正常運行。容錯機制中的故障檢測主要有兩種方法 極限檢查,通過跟蹤系統關鍵參數是否處于正常工作范圍的方法;基于模型的檢測,基于系統的數學或解析模型,將系統當前狀態同模型對比。現有的航天器自主容錯方法,沒有針對數據管理系統中“對整星數據集中處理”的特點,沒有對不同程度的故障進行區分對待,分別處理。在出現故障時,主要通過系統重構來排除故障的影響。但實際使用中,有一些錯誤的產生不足以對系統造成致命的損害,頻繁的系統重構將會嚴重影響數據管理系統的正常運行。
發明內容
本發明的技術解決問題是克服現有技術的不足,提供了一種星載數據管理系統自主容錯方法,具備不同層次的檢錯與容錯能力,可以分別對不同危害程度的錯誤進行處理,從而提高數據管理系統甚至整星的可靠性。本發明的技術解決方案是一種星載數據管理系統自主容錯方法,將星載數據管理系統自主容錯機制分為數據容錯、部件級容錯、系統級容錯三個級別,容錯時順序進行, 其中(1)數據容錯包括數據協議驗證、155 總線接口容錯、RS422總線容錯三個方
A)數據協議驗證時,按照約定的數據協議進行,數據協議中規定數據的標識、長度、有效數據內容和校驗,通過驗證接口上的數據標識是否正確,來確定接口上的數據類型;通過對長度的判讀,來確認有效數據內容的長度和校驗和的位置;通過校驗和是否正確,驗證收到的數據是否正確;
B) 1553B總線接口容錯時,將155 總線設置為雙冗余的形式,通過總線消息實現總線的冗余切換;當冗余切換失敗時,利用從1553B總線接口發出的遙控數據和采集的遙測數據進行容錯;對于遙測數據,采用定期更新的方式實現,對于遙控數據,通過遙控數據的執行結果判斷數據接口是否正確;
C)RS422總線容錯時,將RS422總線設置為雙冗余的形式,通過建立對話機制來驗證數據鏈路是否正常;當對話失敗時,通過檢測RS422總線的接口數據是否符合協議來進行RS422總線的切換;
(2)部件級容錯包括RAM芯片容錯、軟件看門狗容錯、信號時鐘的容錯三個方
D)RAM芯片的容錯時,采用軟件周期性向RAM芯片依次寫特定數據并讀取該位置的數據,若數據不正確,則進行備份RAM芯片的自主切換;
E)軟件看門狗容錯時,軟件定期向看門狗電路發出清狗信號,當清狗信號無法發出時,看門狗電路發出復位信號,軟件重新開始運行;
F)信號時鐘容錯時,首先采用外部遙測幀同步信號作為觸發激勵信號周期性的采集遙測數據,當遙測數據不刷新時,數管計算機軟件利用內部時鐘代替外部遙測幀同步信號作為遙測參數采集的觸發激勵信號;
(3)系統級容錯包括數管計算機自主切換容錯,以及遠置單元的自主切換容錯兩個方面;
G)數管計算機自主切換容錯時,數管計算機定期向各遠置單元發出總線查詢信號,當未接收到所有遠置單元的響應時,發出切機指令,數管計算機進行自主切機,切機到備份機進行工作;
H)遠置單元自主切換容錯時,遠置單元定期進行自身的ROM自檢、遙測采集端口自檢、指令端口自檢,當任一端口自檢異常后,進行自主切換,切換到備份機工作。
本發明與現有技術相比的優點在于
(1)自主容錯。本發明數據管理系統自主容錯方法可以自主的完成對衛星設備故障的排除與處理,增強了衛星設備故障處理的實時性,提高衛星可靠性;
(2)分層次的容錯處理。本發明數據管理系統容錯方法提供了數據級、部件級、系統級的容錯,可以對數據、主要功能模塊、單機設備進行容錯處理。分層次的容錯處理,可以對不同危害程度的錯誤,進行對衛星產生不同后果的容錯。分層次的容錯處理減少了解決危害程度輕的錯誤所花費的代價,也由于對多種錯誤均有相應的容錯手段而提高了衛星的可靠性。
圖1為典型數管分系統的組成結構圖2為本發明數據管理系統自主容錯方法原理圖。
具體實施例方式數據管理系統集中了衛星的遙測遙控功能,與其它分系統的數據接口較多。數據管理系統的容錯,需分別對應著數據內容錯誤、接口故障、設備故障三層不同影響的故障。 如圖2所示,星載數據管理系統自主容錯機制分為數據容錯、部件級容錯、系統級容錯三個級別,分別對應于數據管理系統數據的檢錯與糾錯、部件級的檢錯與隔離、系統級檢錯與切換三個層次,主要特性如下
容錯手段對衛星的影響容錯執行順序容錯優先級
數據處理容錯數據協議驗證、重試 Φ13
部件級容錯切換重要模塊t22
系統統容錯切換單機的主備機 X31(1)數據處理容錯數據處理容錯是星載數據管理系統自主容錯方法的第一個層次。由于數據管理系統具有較多的數據接口,對各個接口的容錯方式進行綜合得到數據處理容錯的方法,主要有3方面,數據協議驗證、155 總線接口容錯、RS422總線容錯。數據處理容錯的原理是利用協議約定來完成數據的合法性檢查,從而完成對接口數據的檢錯;根據不同接口的形式, 及數據協議驗證的數據結果,對接口的數據作不同的處理。a)數據協議驗證。對于各個數據接口,均應約定數據協議,規定數據的標識、長度、 有效數據內容和校驗。通過驗證接口上的數據標識是否正確,來確定接口上的數據類型;通過對長度的判讀,來確認有效數據內容的長度和校驗和的位置;通過校驗和是否正確,驗證收到的數據是否正確。數據約定格式可以如下表所示
^^^^^ D15...............D8 D7...............DO
第1個數據字、示識長度(η)
第2個數據字有效數據內容1_第3個數據字有效數據內容2 第4個數據字—有效數據內容3
第η-1個數據字 ■有效數據內容η-2 第η個數據字校驗和b) 155 總線接口容錯。155 總線的冗余備份措施為雙冗余總線,通過每條總線消息選擇“不成功則從另一條總線上重試”來實現冗余的使用。另一方面,還可利用數據層的重試來實現容錯。K53B總線接口,分為發往其它分系統執行的遙控數據和定期采集其它分系統的遙測數據兩種。對于遙測數據,由于是定期更新,錯誤的數據可以不處理,等待下一次采集時更新即可。對于遙控數據,由于需要其它分系統正確執行,因此,通過對執行結果的判斷來驗證數據接口是否正確,如果不正確則重新發送指令,發送三次后,還未正確執行,則下傳報警信號,由地面處理。c)RS422總線容錯。RS422總結的冗余備份措施為雙冗余總線。通過建立對話機制來驗證數據鏈路是否正常。即若A向B發送數據,則B在收到數據后,進行數據協議校驗后,將結果再發回給A。若A在一定時間內未收到回數信息,或回數信息顯示B接收的數據錯誤,則切換到備份總線再通信一次。若仍校驗錯誤,則下傳報警,由地面處理。數據處理層面上的容錯主要是接口數據的錯誤檢測、剔除及接口冗余備份的使用。數據處理層面的錯誤,主要是通過數據是否符合協議來檢錯,通過重試和切換數據通路來完成容錯。通過以上數據處理容錯,可以保證各數據接口的數據正確性。(2)部件級容錯部件級容錯是指對系統內部重要模塊功能的失效可以采取的處理措施。部件級檢錯的主要手段是判斷重要模塊是否功能正常,容錯的主要方法是切換重要模塊的備份。部件級容錯需要在分系統設計時,對重要部件進行識別,并設計對于單機具有的冗余備份措施。圖1所示的典型數管分系統中,部件級容錯主要包括RAM芯片容錯、軟件看門狗容錯、 信號時鐘的容錯等。a) RAM芯片的容錯,軟件周期性向RAM芯片依次寫特定數據,并讀取該位置的數據,若數據不正確,則進行備份RAM芯片的自主切換。b)軟件看門狗容錯,正常情況,軟件定期的向看門狗電路發出清狗信號。當軟件異常跑飛跑死之后,清狗信號將無法發出,看門狗電路將發出復位信號,軟件將重新開始運行。c)信號時鐘的容錯。由于數管分系統是根據周期性采集的遙測進行判斷進而做出相應控制的。而周期性地采集遙測需要激勵信號。常規使用時,該激勵信號用外部遙測幀同步信號作為觸發,為防止外部信號失效造成遙測采集不刷新進而影響自主控制功能,數管計算機軟件利用內部時鐘可以自動接替作為該遙測采集的觸發信號。當遙測幀同步信號長時間未采集到時,切換為內部時鐘進行遙測觸發。(3)系統級容錯系統級容錯主要是組成系統的各單機主要功能失效后處理。系統級檢錯的主要方法是對特征參數進行極值法檢查,系統容錯的方法為切換備份單機。圖1所示的典型數管分系統中,系統級容錯主要包括數管計算機自主切換、遠置單元A自主切換、遠置單元B自主切換、遠置單元C自主切換、遠置單元D自主切換。a)數管計算機的自主切換。數管計算機定期向各遠置單元發出總線查詢信號,當所有終端總線不通時,發出切機指令,數管計算機進行自主切機,切機到備份機進行工作, 自主切機僅進行一次,若備份機仍無法正常工作時,由地面進行干預。b)遠置單元的自主切換。遠置單元定期的進行自身的ROM自檢、遙測采集端口自檢、指令端口自檢,當任一端口自檢異常后,進行自主切換,切換到備份機工作,自主切機僅進行一次,若備份機仍無法正常工作時,由地面進行干預。星載數據管理系統自主容錯的主要步驟如下1)首先進行數據層容錯,驗證接口的正確性,通過重試及使用備份通路的辦法,對整個系統來說,也是動作較小的,不影響主要功能。
a)通過數據協議驗證來進行數據層的檢錯,當數據協議驗證通過,則可以使用該組數據,否則進入b)或c)步驟;
b)若數據接口為155 總線,則通過切換實現冗余的使用。如數據協議仍未通過, 則遙控消息可通過重發三次的手段來進行容錯,遙測消息是周期性發送的,可不處理。
c)若數據接口為RS422總線,則可通過握手信號來判斷數據通信是否正常,若不正常或握手信號正常但數據協議未通過,則通過備份通道重試一次。
2)其次進行部件級容錯,部件級容錯的處理是切換重要模塊,對系統的連續運行是有影響的;而且,需要部件級容錯時,數據層容錯往往也不正確,此時需先對部件級進行容錯。部件級容錯可根據系統重要模塊的定義來刪減。一般來說,都包括RAM芯片容錯、軟件看門狗容錯、信號時鐘的容錯等。各功能相互并列,無先后關系。
a) RAM芯片容錯,當RAM芯片讀寫不正確時,對RAM芯片進行替換。
b)軟件看門狗容錯,當軟件走飛走死時,由看門狗電路發出復位信號,對軟件進行容錯。
c)信號時鐘的容錯,當幀同步信號長時間丟失時,利用內部的定時器來暫時代替幀同步信號,進行遙測的觸發和內部各種功能的維護。
3)最后進行系統級的容錯時,系統級的維護為單機級的設備主備份切換,對于衛星的影響比較大;當需要進行系統級時,數據層的容錯及部件級的容錯暫時不進行。典型的數管分系統包括數管計算機、遠置單元A、遠置單元B、遠置單元C、遠置單元D。相應的容錯措施分為數管計算機容錯和遠置單元容錯,根據對衛星運行的影響,應先進行遠置單元容錯,再進行數管計算機容錯。
a)遠置單元容錯,定期對自身的ROM自檢、遙測采集端口自檢、指令端口自檢,若存在錯誤,則進行自主切換。
b)數管計算機定期向各遠置單元發出總線查詢信號,當所有終端總線不通時,發出切機指令,數管計算機進行自主切機。
實施例
某衛星的數據管理分系統組成如圖1所示,按照本發明的星載數據管理系統自主容錯方法,容錯措施如下。
(1)數據處理容錯
在數據處理層面上的容錯,主要包含以下幾個方面
a)接口協議驗證數管管理系統的接口協議包括標識、長度、有效內容,校驗。例如,某一接口的數據協議如下
權利要求
1. 一種星載數據管理系統自主容錯方法,其特征在于將星載數據管理系統自主容錯機制分為數據容錯、部件級容錯、系統級容錯三個級別,容錯時順序進行,其中(1)數據容錯包括數據協議驗證、155 總線接口容錯、RS422總線容錯三個方面;A)數據協議驗證時,按照約定的數據協議進行,數據協議中規定數據的標識、長度、有效數據內容和校驗,通過驗證接口上的數據標識是否正確,來確定接口上的數據類型;通過對長度的判讀,來確認有效數據內容的長度和校驗和的位置;通過校驗和是否正確,驗證收到的數據是否正確;B)1553B總線接口容錯時,將155 總線設置為雙冗余的形式,通過總線消息實現總線的冗余切換;當冗余切換失敗時,利用從1553B總線接口發出的遙控數據和采集的遙測數據進行容錯;對于遙測數據,采用定期更新的方式實現,對于遙控數據,通過遙控數據的執行結果判斷數據接口是否正確;ORS422總線容錯時,將RS422總線設置為雙冗余的形式,通過建立對話機制來驗證數據鏈路是否正常;當對話失敗時,通過檢測RS422總線的接口數據是否符合協議來進行 RS422總線的切換;(2)部件級容錯包括RAM芯片容錯、軟件看門狗容錯、信號時鐘的容錯三個方面;D)RAM芯片的容錯時,采用軟件周期性向RAM芯片依次寫特定數據并讀取該位置的數據,若數據不正確,則進行備份RAM芯片的自主切換;E)軟件看門狗容錯時,軟件定期向看門狗電路發出清狗信號,當清狗信號無法發出時, 看門狗電路發出復位信號,軟件重新開始運行;F)信號時鐘容錯時,首先采用外部遙測幀同步信號作為觸發激勵信號周期性的采集遙測數據,當遙測數據不刷新時,數管計算機軟件利用內部時鐘代替外部遙測幀同步信號作為遙測參數采集的觸發激勵信號;(3)系統級容錯包括數管計算機自主切換容錯,以及遠置單元的自主切換容錯兩個方面;G)數管計算機自主切換容錯時,數管計算機定期向各遠置單元發出總線查詢信號,當未接收到所有遠置單元的響應時,發出切機指令,數管計算機進行自主切機,切機到備份機進行工作;H)遠置單元自主切換容錯時,遠置單元定期進行自身的ROM自檢、遙測采集端口自檢、 指令端口自檢,當任一端口自檢異常后,進行自主切換,切換到備份機工作。
全文摘要
一種星載數據管理系統自主容錯方法,將星載數據管理系統自主容錯機制分為數據容錯、部件級容錯、系統級容錯三個級別,容錯時順序進行。數據容錯包括數據協議驗證、1553B總線接口容錯、RS422總線容錯三個方面。部件級容錯包括RAM芯片容錯、軟件看門狗容錯、信號時鐘的容錯三個方面。系統級容錯包括數管計算機自主切換容錯,以及遠置單元的自主切換容錯兩個方面。本發明方法提供了數據級、部件級、系統級的容錯,可以對數據、主要功能模塊、單機設備進行容錯處理。分層次的容錯處理,可以對不同危害程度的錯誤分別容錯。分層次的容錯處理減少了解決危害程度輕的錯誤所花費的代價,也由于對多種錯誤均有相應的容錯手段而提高了可靠性。
文檔編號G06F11/07GK102521059SQ20111036197
公開日2012年6月27日 申請日期2011年11月15日 優先權日2011年11月15日
發明者劉欣, 吳振宇, 唐自新, 李林, 楊聰偉, 汪路元, 潘宇倩, 翟君武, 陶利民 申請人:北京空間飛行器總體設計部