专利名称:一种星载数据管理系统自主容错方法
技术领域:
本发明涉及一种航天器数据管理方法。
背景技术:
如图1所示,数据管理系统一般由数管计算机、遥控单元、远置单元A、远置单元B、 远置单元C、远置单元D及155 总线组成。遥控单元负责分发地面系统注入的遥控指令; 远置单元A、远置单元B、远置单元C、远置单元D负责采集其它设备的遥测并通过155 总线传递到数管计算机,同时执行数管计算机传来的间接指令;远置单元A还具有将数管计算机组织好的遥测数据进行调制并通过应答机下传给地面系统的功能。数管计算机是整个数据管理系统的处理核心,承担着整星遥测、遥控、自主热控、 自主能源控制以及有效载荷数据处理等多项重要任务。数据管理系统一般需要处理地面注入指令、星上设备数据交换、总线数据交换、时钟信号输入、遥测信号采集等功能。数据管理系统的故障将影响地面对卫星状态的判断与控制,因此数据管理系统应具备自主容错机制和冗余备份措施。航天器自主容错机制是指航天器能够对自身状态进行监控和感应,对出现的故障自主进行检测、隔离和恢复。容错机制主要包括故障检测、故障诊断和系统重构等。当系统状态偏离了 “正常”状态时,称系统处于故障状态。检测是测定故障产生的过程,诊断是确定故障类型的过程,包括确定故障产生的时间、地点和故障级别。利用这些信息可以对系统进行修复,使系统恢复常运行。另外航天器各个重要系统都采用了冗余备份措施,希望在出现故障时能通过系统重构恢复系统的正常运行。容错机制中的故障检测主要有两种方法 极限检查,通过跟踪系统关键参数是否处于正常工作范围的方法;基于模型的检测,基于系统的数学或解析模型,将系统当前状态同模型对比。现有的航天器自主容错方法,没有针对数据管理系统中“对整星数据集中处理”的特点,没有对不同程度的故障进行区分对待,分别处理。在出现故障时,主要通过系统重构来排除故障的影响。但实际使用中,有一些错误的产生不足以对系统造成致命的损害,频繁的系统重构将会严重影响数据管理系统的正常运行。
发明内容
本发明的技术解决问题是克服现有技术的不足,提供了一种星载数据管理系统自主容错方法,具备不同层次的检错与容错能力,可以分别对不同危害程度的错误进行处理,从而提高数据管理系统甚至整星的可靠性。本发明的技术解决方案是一种星载数据管理系统自主容错方法,将星载数据管理系统自主容错机制分为数据容错、部件级容错、系统级容错三个级别,容错时顺序进行, 其中(1)数据容错包括数据协议验证、155 总线接口容错、RS422总线容错三个方
A)数据协议验证时,按照约定的数据协议进行,数据协议中规定数据的标识、长度、有效数据内容和校验,通过验证接口上的数据标识是否正确,来确定接口上的数据类型;通过对长度的判读,来确认有效数据内容的长度和校验和的位置;通过校验和是否正确,验证收到的数据是否正确;
B) 1553B总线接口容错时,将155 总线设置为双冗余的形式,通过总线消息实现总线的冗余切换;当冗余切换失败时,利用从1553B总线接口发出的遥控数据和采集的遥测数据进行容错;对于遥测数据,采用定期更新的方式实现,对于遥控数据,通过遥控数据的执行结果判断数据接口是否正确;
C)RS422总线容错时,将RS422总线设置为双冗余的形式,通过建立对话机制来验证数据链路是否正常;当对话失败时,通过检测RS422总线的接口数据是否符合协议来进行RS422总线的切换;
(2)部件级容错包括RAM芯片容错、软件看门狗容错、信号时钟的容错三个方
D)RAM芯片的容错时,采用软件周期性向RAM芯片依次写特定数据并读取该位置的数据,若数据不正确,则进行备份RAM芯片的自主切换;
E)软件看门狗容错时,软件定期向看门狗电路发出清狗信号,当清狗信号无法发出时,看门狗电路发出复位信号,软件重新开始运行;
F)信号时钟容错时,首先采用外部遥测帧同步信号作为触发激励信号周期性的采集遥测数据,当遥测数据不刷新时,数管计算机软件利用内部时钟代替外部遥测帧同步信号作为遥测参数采集的触发激励信号;
(3)系统级容错包括数管计算机自主切换容错,以及远置单元的自主切换容错两个方面;
G)数管计算机自主切换容错时,数管计算机定期向各远置单元发出总线查询信号,当未接收到所有远置单元的响应时,发出切机指令,数管计算机进行自主切机,切机到备份机进行工作;
H)远置单元自主切换容错时,远置单元定期进行自身的ROM自检、遥测采集端口自检、指令端口自检,当任一端口自检异常后,进行自主切换,切换到备份机工作。
本发明与现有技术相比的优点在于
(1)自主容错。本发明数据管理系统自主容错方法可以自主的完成对卫星设备故障的排除与处理,增强了卫星设备故障处理的实时性,提高卫星可靠性;
(2)分层次的容错处理。本发明数据管理系统容错方法提供了数据级、部件级、系统级的容错,可以对数据、主要功能模块、单机设备进行容错处理。分层次的容错处理,可以对不同危害程度的错误,进行对卫星产生不同后果的容错。分层次的容错处理减少了解决危害程度轻的错误所花费的代价,也由于对多种错误均有相应的容错手段而提高了卫星的可靠性。
图1为典型数管分系统的组成结构图2为本发明数据管理系统自主容错方法原理图。
具体实施例方式数据管理系统集中了卫星的遥测遥控功能,与其它分系统的数据接口较多。数据管理系统的容错,需分别对应着数据内容错误、接口故障、设备故障三层不同影响的故障。 如图2所示,星载数据管理系统自主容错机制分为数据容错、部件级容错、系统级容错三个级别,分别对应于数据管理系统数据的检错与纠错、部件级的检错与隔离、系统级检错与切换三个层次,主要特性如下
容错手段对卫星的影响容错执行顺序容错优先级
数据处理容错数据协议验证、重试 Φ13
部件级容错切换重要模块t22
系统统容错切换单机的主备机 X31(1)数据处理容错数据处理容错是星载数据管理系统自主容错方法的第一个层次。由于数据管理系统具有较多的数据接口,对各个接口的容错方式进行综合得到数据处理容错的方法,主要有3方面,数据协议验证、155 总线接口容错、RS422总线容错。数据处理容错的原理是利用协议约定来完成数据的合法性检查,从而完成对接口数据的检错;根据不同接口的形式, 及数据协议验证的数据结果,对接口的数据作不同的处理。a)数据协议验证。对于各个数据接口,均应约定数据协议,规定数据的标识、长度、 有效数据内容和校验。通过验证接口上的数据标识是否正确,来确定接口上的数据类型;通过对长度的判读,来确认有效数据内容的长度和校验和的位置;通过校验和是否正确,验证收到的数据是否正确。数据约定格式可以如下表所示
^^^^^ D15...............D8 D7...............DO
第1个数据字、示识长度(η)
第2个数据字有效数据内容1_第3个数据字有效数据内容2 第4个数据字—有效数据内容3
第η-1个数据字 ■有效数据内容η-2 第η个数据字校验和b) 155 总线接口容错。155 总线的冗余备份措施为双冗余总线,通过每条总线消息选择“不成功则从另一条总线上重试”来实现冗余的使用。另一方面,还可利用数据层的重试来实现容错。K53B总线接口,分为发往其它分系统执行的遥控数据和定期采集其它分系统的遥测数据两种。对于遥测数据,由于是定期更新,错误的数据可以不处理,等待下一次采集时更新即可。对于遥控数据,由于需要其它分系统正确执行,因此,通过对执行结果的判断来验证数据接口是否正确,如果不正确则重新发送指令,发送三次后,还未正确执行,则下传报警信号,由地面处理。c)RS422总线容错。RS422总结的冗余备份措施为双冗余总线。通过建立对话机制来验证数据链路是否正常。即若A向B发送数据,则B在收到数据后,进行数据协议校验后,将结果再发回给A。若A在一定时间内未收到回数信息,或回数信息显示B接收的数据错误,则切换到备份总线再通信一次。若仍校验错误,则下传报警,由地面处理。数据处理层面上的容错主要是接口数据的错误检测、剔除及接口冗余备份的使用。数据处理层面的错误,主要是通过数据是否符合协议来检错,通过重试和切换数据通路来完成容错。通过以上数据处理容错,可以保证各数据接口的数据正确性。(2)部件级容错部件级容错是指对系统内部重要模块功能的失效可以采取的处理措施。部件级检错的主要手段是判断重要模块是否功能正常,容错的主要方法是切换重要模块的备份。部件级容错需要在分系统设计时,对重要部件进行识别,并设计对于单机具有的冗余备份措施。图1所示的典型数管分系统中,部件级容错主要包括RAM芯片容错、软件看门狗容错、 信号时钟的容错等。a) RAM芯片的容错,软件周期性向RAM芯片依次写特定数据,并读取该位置的数据,若数据不正确,则进行备份RAM芯片的自主切换。b)软件看门狗容错,正常情况,软件定期的向看门狗电路发出清狗信号。当软件异常跑飞跑死之后,清狗信号将无法发出,看门狗电路将发出复位信号,软件将重新开始运行。c)信号时钟的容错。由于数管分系统是根据周期性采集的遥测进行判断进而做出相应控制的。而周期性地采集遥测需要激励信号。常规使用时,该激励信号用外部遥测帧同步信号作为触发,为防止外部信号失效造成遥测采集不刷新进而影响自主控制功能,数管计算机软件利用内部时钟可以自动接替作为该遥测采集的触发信号。当遥测帧同步信号长时间未采集到时,切换为内部时钟进行遥测触发。(3)系统级容错系统级容错主要是组成系统的各单机主要功能失效后处理。系统级检错的主要方法是对特征参数进行极值法检查,系统容错的方法为切换备份单机。图1所示的典型数管分系统中,系统级容错主要包括数管计算机自主切换、远置单元A自主切换、远置单元B自主切换、远置单元C自主切换、远置单元D自主切换。a)数管计算机的自主切换。数管计算机定期向各远置单元发出总线查询信号,当所有终端总线不通时,发出切机指令,数管计算机进行自主切机,切机到备份机进行工作, 自主切机仅进行一次,若备份机仍无法正常工作时,由地面进行干预。b)远置单元的自主切换。远置单元定期的进行自身的ROM自检、遥测采集端口自检、指令端口自检,当任一端口自检异常后,进行自主切换,切换到备份机工作,自主切机仅进行一次,若备份机仍无法正常工作时,由地面进行干预。星载数据管理系统自主容错的主要步骤如下1)首先进行数据层容错,验证接口的正确性,通过重试及使用备份通路的办法,对整个系统来说,也是动作较小的,不影响主要功能。
a)通过数据协议验证来进行数据层的检错,当数据协议验证通过,则可以使用该组数据,否则进入b)或c)步骤;
b)若数据接口为155 总线,则通过切换实现冗余的使用。如数据协议仍未通过, 则遥控消息可通过重发三次的手段来进行容错,遥测消息是周期性发送的,可不处理。
c)若数据接口为RS422总线,则可通过握手信号来判断数据通信是否正常,若不正常或握手信号正常但数据协议未通过,则通过备份通道重试一次。
2)其次进行部件级容错,部件级容错的处理是切换重要模块,对系统的连续运行是有影响的;而且,需要部件级容错时,数据层容错往往也不正确,此时需先对部件级进行容错。部件级容错可根据系统重要模块的定义来删减。一般来说,都包括RAM芯片容错、软件看门狗容错、信号时钟的容错等。各功能相互并列,无先后关系。
a) RAM芯片容错,当RAM芯片读写不正确时,对RAM芯片进行替换。
b)软件看门狗容错,当软件走飞走死时,由看门狗电路发出复位信号,对软件进行容错。
c)信号时钟的容错,当帧同步信号长时间丢失时,利用内部的定时器来暂时代替帧同步信号,进行遥测的触发和内部各种功能的维护。
3)最后进行系统级的容错时,系统级的维护为单机级的设备主备份切换,对于卫星的影响比较大;当需要进行系统级时,数据层的容错及部件级的容错暂时不进行。典型的数管分系统包括数管计算机、远置单元A、远置单元B、远置单元C、远置单元D。相应的容错措施分为数管计算机容错和远置单元容错,根据对卫星运行的影响,应先进行远置单元容错,再进行数管计算机容错。
a)远置单元容错,定期对自身的ROM自检、遥测采集端口自检、指令端口自检,若存在错误,则进行自主切换。
b)数管计算机定期向各远置单元发出总线查询信号,当所有终端总线不通时,发出切机指令,数管计算机进行自主切机。
实施例
某卫星的数据管理分系统组成如图1所示,按照本发明的星载数据管理系统自主容错方法,容错措施如下。
(1)数据处理容错
在数据处理层面上的容错,主要包含以下几个方面
a)接口协议验证数管管理系统的接口协议包括标识、长度、有效内容,校验。例如,某一接口的数据协议如下
权利要求
1. 一种星载数据管理系统自主容错方法,其特征在于将星载数据管理系统自主容错机制分为数据容错、部件级容错、系统级容错三个级别,容错时顺序进行,其中(1)数据容错包括数据协议验证、155 总线接口容错、RS422总线容错三个方面;A)数据协议验证时,按照约定的数据协议进行,数据协议中规定数据的标识、长度、有效数据内容和校验,通过验证接口上的数据标识是否正确,来确定接口上的数据类型;通过对长度的判读,来确认有效数据内容的长度和校验和的位置;通过校验和是否正确,验证收到的数据是否正确;B)1553B总线接口容错时,将155 总线设置为双冗余的形式,通过总线消息实现总线的冗余切换;当冗余切换失败时,利用从1553B总线接口发出的遥控数据和采集的遥测数据进行容错;对于遥测数据,采用定期更新的方式实现,对于遥控数据,通过遥控数据的执行结果判断数据接口是否正确;ORS422总线容错时,将RS422总线设置为双冗余的形式,通过建立对话机制来验证数据链路是否正常;当对话失败时,通过检测RS422总线的接口数据是否符合协议来进行 RS422总线的切换;(2)部件级容错包括RAM芯片容错、软件看门狗容错、信号时钟的容错三个方面;D)RAM芯片的容错时,采用软件周期性向RAM芯片依次写特定数据并读取该位置的数据,若数据不正确,则进行备份RAM芯片的自主切换;E)软件看门狗容错时,软件定期向看门狗电路发出清狗信号,当清狗信号无法发出时, 看门狗电路发出复位信号,软件重新开始运行;F)信号时钟容错时,首先采用外部遥测帧同步信号作为触发激励信号周期性的采集遥测数据,当遥测数据不刷新时,数管计算机软件利用内部时钟代替外部遥测帧同步信号作为遥测参数采集的触发激励信号;(3)系统级容错包括数管计算机自主切换容错,以及远置单元的自主切换容错两个方面;G)数管计算机自主切换容错时,数管计算机定期向各远置单元发出总线查询信号,当未接收到所有远置单元的响应时,发出切机指令,数管计算机进行自主切机,切机到备份机进行工作;H)远置单元自主切换容错时,远置单元定期进行自身的ROM自检、遥测采集端口自检、 指令端口自检,当任一端口自检异常后,进行自主切换,切换到备份机工作。
全文摘要
一种星载数据管理系统自主容错方法,将星载数据管理系统自主容错机制分为数据容错、部件级容错、系统级容错三个级别,容错时顺序进行。数据容错包括数据协议验证、1553B总线接口容错、RS422总线容错三个方面。部件级容错包括RAM芯片容错、软件看门狗容错、信号时钟的容错三个方面。系统级容错包括数管计算机自主切换容错,以及远置单元的自主切换容错两个方面。本发明方法提供了数据级、部件级、系统级的容错,可以对数据、主要功能模块、单机设备进行容错处理。分层次的容错处理,可以对不同危害程度的错误分别容错。分层次的容错处理减少了解决危害程度轻的错误所花费的代价,也由于对多种错误均有相应的容错手段而提高了可靠性。
文档编号G06F11/07GK102521059SQ20111036197
公开日2012年6月27日 申请日期2011年11月15日 优先权日2011年11月15日
发明者刘欣, 吴振宇, 唐自新, 李林, 杨聪伟, 汪路元, 潘宇倩, 翟君武, 陶利民 申请人:北京空间飞行器总体设计部