[发明专利]一种三冗余计算机系统的重构降级方法

说明书

技术领域

本发明涉及运载火箭与航天器控制系统，尤其涉及一种三冗余计算机系统的重构降级方法。

背景技术

由于三冗余计算机独特的优势，在未来的各种类型的上面级、快速响应的液体小火箭、固体小运载、空射小运载和用于载人探月的重型运载火箭上将具有广泛的应用。

随着我国空间应用、科学探测、载人航天的发展，国际商业发射与国际合作的日益加深，运载火箭发射任务越来越多，高密度快速发射成为运载火箭的发展趋势。为了提高中国运载火箭的整体水平和能力，满足未来20—30年航天发展的需求，保持我国运载技术在世界航天领域的地位，我国开展了研制新一代快速发射运载火箭与航天器。

运载火箭与航天器，要求保证实时性的前提下，具有全自主、高可靠的能力，通过三机冗余方式，可实现自主故障诊断与决策，在高实时性需求下无需人工干预。其实时故障诊断时间小于40ms，故障切换时间小于40ms，配置重构降级手段可保证长时间的高可靠运行，可适应运载与航天器的计算机应用，以及长航时高机动能力的航天器。

运载火箭与航天器采用三冗余架构计算机的型号较多，一般采用单点表决、单点接口或多台冗余等方案，从冗余程度与经济性上无法做到平衡，且无法适应长航时航天器计算机应用。

发明内容

本发明提供一种三冗余计算机系统的重构降级方法，能够解决火箭与航天器计算机系统在实时性较高的应用环境下实现全自主故障诊断的问题，通过故障恢复重构方法保证长航时工作的可靠性。

为了达到上述目的，本发明提供一种三冗余计算机系统的重构降级方法，三冗余计算机系统包含结构完全相同的三个计算机系统，每个计算机系统都包含两两之间分别通过数据总线连接的CPU模块、表决控制单元和接口通信单元；

所述的重构降级方法包含：

三机都正常工作时，三冗余计算机系统进入三冗余工作模式，令具有最高对外通信权优先级的一机作为当班机，另外两机作为备份机，仅当班机有权进行信号输出；三机的表决控制单元对各自CPU模块中的数据进行交互，进行三取二表决，判断是否有计算机系统发生故障；

三冗余工作模式中的一机发生不可恢复故障，将该机进行降级断电，三冗余计算机系统进入双机工作模式，令两机中对外通信权优先级最高的作为主机，另一机作为备机，仅主机有权进行信号输出；主机实时发送状态信息给备机，备机监测主机工作状态；

双机工作模式中的主机发生故障，将该机进行降级断电，三冗余计算机系统进入单机工作模式，备机夺取主机的对外接口通信权，进行信号输出。

三机的表决控制单元对各自CPU模块中的数据进行交互，进行三取二表决，若有一机的计算结果与其他两机的计算结果不一致，则将其定义为故障机。

三冗余工作模式中的一机发生故障后，对故障机进行重构，消除故障，重构后的故障机获取其它两机当前工作数据，若三取二表决结果正常，则三冗余计算机系统重新进入三冗余工作模式，否则继续对该故障机进行重构。

若该故障机的重构次数大于设定阈值，则判定该故障机发生了不可恢复故障。

若故障机是当班机，则先按照对外通信权优先级的先后顺序切换当班机，再对故障机进行重构。

主机实时发送状态信息包含心跳信息和电压状态信息，若备机超过阈值时间未收到主机的心跳信息或者主机的电压状态信息出现异常，则判断主机发生故障。

三冗余计算机系统进入上电启动工作状态，三机硬件自检正常后进入三冗余工作模式。

当三冗余计算机系统在上电启动工作状态中硬件自检发现至少一机发生故障时，或当三冗余工作模式中三机的计算结果都不一致，无法表决出故障机时，或当三冗余工作模式中的一机发生故障后，对故障机进行重构后，三机的计算结果都不一致，无法表决出故障机时，三冗余计算机系统进入停止工作状态。

三冗余计算机系统进入停止工作状态，若接收到地面遥控指令控制三冗余计算机系统输出信号，则三冗余计算机系统根据地面遥控指令选择一机进行信号输出，进入单机工作模式。

当前对外通信权优先级最高的计算机系统中的表决控制单元发送权信号给该机的接口通信单元，令接口通信单元具有对外接口通信权，有权进行信号输出。

本发明具有以下有益效果：

1、全自主性：在运载领域，计算机要求较高的实时性，控制周期一般小于40ms，即使故障状态下也要求保证系统工作连续性，通过三冗余重构降级方法实现系统全自主实时故障诊断与决策，满足实时性需求，人工无法干预的应用环境。