雙模冗余器載計算機設(shè)計與實現(xiàn)

陳玉坤,張聲艷,劉 冬,馮忠偉,劉 洋

(中國運載火箭技術(shù)研究院 研究發(fā)展中心，北京 100076)

雙模冗余器載計算機設(shè)計與實現(xiàn)

陳玉坤,張聲艷,劉 冬,馮忠偉,劉 洋

(中國運載火箭技術(shù)研究院 研究發(fā)展中心，北京 100076)

器載計算機是航天器電氣系統(tǒng)的重要組成部分，其可靠性對航天器能否完成任務(wù)至關(guān)重要；為了保證航天器上計算機在出現(xiàn)故障時仍能正常工作，對雙機冗余器載計算機的體系結(jié)構(gòu)、切換策略、判別準(zhǔn)則等內(nèi)容進行了研究，在保留主份機與雙機切換電路、備份機與雙機切換電路之間的狀態(tài)工作信號的基礎(chǔ)上，通過在主份機、備份機之間新增加一個狀態(tài)工作信號，提出了一種改進的自主切換策略;實踐表明，運用改進的自主切換策略，在雙機切換電路中的自主切換模塊出現(xiàn)故障時仍能實現(xiàn)自主切換，同時將比較器設(shè)計為軟件，采用軟件表決、軟件選通的思路，消除了硬件比較器的關(guān)鍵單點故障，這些容錯設(shè)計改進能有效地提高器載計算機系統(tǒng)的可靠性，對高可靠器載計算機設(shè)計與實現(xiàn)具有較好的工程參考意義。

雙模；冗余；航天器；計算機

0 引言

隨著我國綜合國力的不斷提高和航天技術(shù)的不斷發(fā)展，航天任務(wù)的復(fù)雜度越來越高，對航天器的可靠性、安全性提出了越來越高的要求[1-2]。器載計算機在空間環(huán)境中，始終受到空間復(fù)雜環(huán)境的影響，如等離子體、高能帶電粒子、地球磁場、太陽電磁輻射、地球大氣輻射、流星體等空間環(huán)境因素，都會使器載計算機的可靠性變差，發(fā)生故障。在空間軌道中，除空間站外，器載計算機一般不具備可維修性，一旦出現(xiàn)故障，極易造成航天器的在軌失效。因此，關(guān)于器載計算機的容錯技術(shù)便成了亟待深入研究的課題。

1 器載計算機容錯方案分析

器載計算機是航天器上電氣系統(tǒng)的重要組成部分，其可靠性對航天器至關(guān)重要，器載計算機能否正常工作很大程度上決定了航天任務(wù)的成敗。要保證器載計算機工作的可靠性，必須采取容錯設(shè)計。硬件冗余是容錯設(shè)計的基礎(chǔ)。對于較小體積的航天器而言，由于重量、體積、功耗的限制，容錯方案不能過于復(fù)雜，因此可以考慮動態(tài)冗余中的雙模冗余和靜態(tài)冗余中的三模冗余。對兩種模型進行比較，靜態(tài)三模(TMR)結(jié)構(gòu)的優(yōu)點是系統(tǒng)易于建立與實現(xiàn)[3]，動態(tài)雙模冗余具有除了硬件投入少，性能價格比高之外，在可靠性方面，動態(tài)雙模系統(tǒng)的可靠度高于靜態(tài)三模系統(tǒng)的可靠度。

基于可靠度、冗余度以及故障檢測性能等方面考慮，動態(tài)雙模系統(tǒng)具有較大優(yōu)勢。本文重點對器載計算機系統(tǒng)采用動態(tài)雙模冗余的容錯結(jié)構(gòu)及切換策略進行了研究，并對其中的關(guān)鍵技術(shù)進行了分析，對開展相關(guān)的工程設(shè)計與實現(xiàn)具有一定的借鑒作用。

2 雙模冗余硬件體系結(jié)構(gòu)及切換策略

備份容錯結(jié)構(gòu)是容錯系統(tǒng)結(jié)構(gòu)常用的手段，同構(gòu)雙模冗余系統(tǒng)有4種工作方式，即冷備、溫備、熱備和雙工[4]。冗余必然牽涉到額外資源的增加，在航天器執(zhí)行任務(wù)過程中，結(jié)合性能、功耗、可靠性因素，器載計算機根據(jù)飛行時序常采用多種雙機冗余容錯相結(jié)合的方案。

2.1 雙機冷備份容錯系統(tǒng)結(jié)構(gòu)

當(dāng)航天器處于地面可控和穩(wěn)態(tài)控制時，為確保工作壽命及減少功耗，采用一熱一冷的冗余計算機系統(tǒng)方案比較合適，雙機冷備份容錯系統(tǒng)典型結(jié)構(gòu)如圖1所示，采用具有相同功能的兩套處理器板和I/O板形成雙機冷備份容錯結(jié)構(gòu)。雙機的切換由一塊容錯板進行管理，當(dāng)主份機發(fā)生故障由容錯板切換到備份機，而當(dāng)備份機也發(fā)生故障時，主份機仍未恢復(fù)時，則切換到一塊只具備最基本功能的應(yīng)急板上。

圖1 雙機冷備份容錯系統(tǒng)典型結(jié)構(gòu)

在這樣的系統(tǒng)中，有3個主要因素需要考慮：1)故障的檢測；2)備份機切換和加電；3)狀態(tài)的恢復(fù)。故障的檢測是實現(xiàn)這種容錯系統(tǒng)起作用的必要基礎(chǔ)，在這樣的系統(tǒng)中，故障檢測的主要方式有：系統(tǒng)自測試、程序的重復(fù)運行、數(shù)據(jù)區(qū)的三取二方式，以及看門狗技術(shù)。系統(tǒng)的自測試可以發(fā)現(xiàn)系統(tǒng)中的大部分故障，缺點是必須保證自測試部分是正常的。

2.2 雙機熱備份容錯系統(tǒng)結(jié)構(gòu)

在初始姿態(tài)建立階段，為確保航天器工作正常和故障及時處理，器載計算機采用由兩臺熱機組成冗余計算機系統(tǒng)進行控制的方案，當(dāng)主份機出現(xiàn)故障時，由遙控指令或者自主判別切換，將控制權(quán)由主份機轉(zhuǎn)移到備份機控制。

雙機熱備冗余的設(shè)計方案思路如下：主份機、備份機各自擁有獨立的供電，在同一時刻，主份機或備份機只有一臺單機擁有控制權(quán)；在熱冗余方式下，兩臺單機(主份機、備份機)同時運行，接收外部信號并進行處理，在對外的輸出接口處，通過雙機切換電路將擁有控制權(quán)單機的處理信號進行輸出。當(dāng)?shù)孛嬷缚刂行陌l(fā)現(xiàn)某臺機器發(fā)生嚴(yán)重故障、無法再使用時，可以通過遙控指令或器載自主切換電路將其斷電。故障隔離電路對出現(xiàn)故障的單機進行隔離，保證該故障機器斷電后不影響另外一臺機器工作，雙機熱備份容錯系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2 雙機熱備份容錯系統(tǒng)典型結(jié)構(gòu)

在圖2所示的雙機熱備份容錯系統(tǒng)結(jié)構(gòu)中，雙機切換電路是雙機控制的硬件，其內(nèi)部采用定時監(jiān)控器配合相應(yīng)的控制邏輯電路實現(xiàn)，采用“看門狗”機制的設(shè)計思路。雙機切換電路內(nèi)都有主份機、備份機各自對應(yīng)的正常觸發(fā)器，主份機、備份機正常信號將其復(fù)位，而雙機切換電路的定時信號則置位正常觸發(fā)器。在定時信號到來之前，某單機沒有發(fā)出正常信號，即對應(yīng)的正常觸發(fā)器未被復(fù)位，則定時信號將產(chǎn)生切換信號，計算機輸出選通處于正常狀態(tài)的單機。如果兩機都正常，沒有切換信號，則主份機的輸出作為整個器載計算機的輸出，且輸出選通狀態(tài)不變。如果在某段時間內(nèi)兩機都處于不正常狀態(tài)(即兩機都不能輸出正常信號)，則總是由主份機輸出，這樣保證了在最壞情況下有一個當(dāng)班機，而避免了兩機頻繁切換的情況。

2.3 雙機切換實現(xiàn)方式

在航天器駐留軌道期間，可以通過遙控方式、自主切換方式來實現(xiàn)器載計算機的雙機切換。當(dāng)?shù)孛嬷缚刂行母鶕?jù)航天器的遙測數(shù)據(jù)能夠判斷出航天器當(dāng)前工作計算機發(fā)生故障時，地面指控中心發(fā)送遙控切權(quán)指令，實現(xiàn)器載計算機的冗余切換；當(dāng)采用遙控切換命令時，自主切換功能被封鎖，兩機的輸出切換根據(jù)遙控命令確定。為了封鎖自主切換功能，通過遙控指令設(shè)置了遙控準(zhǔn)/禁自主切換的時間窗口，當(dāng)航天器處于準(zhǔn)自主切換狀態(tài)，才允許進行器載計算機的自主切換，否則不允許自主切換。在自主狀態(tài)下當(dāng)主份機故障將執(zhí)行備份機奪權(quán)指令，其自主賦權(quán)部分由積分電路完成，保證備份機在奪權(quán)時不能在一次或一條指令下完成，必須連續(xù)多次發(fā)出奪權(quán)指令，使積分電路的輸出積累到一定的電平才能驅(qū)動繼電器實現(xiàn)奪權(quán)，從而備份計算機成為當(dāng)班機執(zhí)行控制權(quán)。

2.4 改進雙機切換實現(xiàn)方式

在容錯計算機設(shè)計時，為了防止雙機切換電路中的自主切換模塊出現(xiàn)硬件故障而無法實現(xiàn)正常工作機和故障機之間的邏輯判斷，在雙機熱備份容錯系統(tǒng)典型結(jié)構(gòu)的基礎(chǔ)上進行了改進，即主份機與雙機切換電路、備份機與雙機切換電路之間除了有狀態(tài)工作信號，在主份機、備份機之間新增加一個狀態(tài)工作信號，這樣在雙機切換電路中的自主切換模塊出現(xiàn)故障時仍能實現(xiàn)自主切換，增加了系統(tǒng)冗余。其工作原理為：主份機正常時，主份機同時會定時向備份機發(fā)正常工作信號；當(dāng)主份機故障時，備份機檢測不到正常信號。備份機通過雙機通訊口可以獲知主份機是否發(fā)生故障，若發(fā)現(xiàn)主份機發(fā)生故障后，且備份機自檢正常，備份機就會多次發(fā)出奪權(quán)脈沖備份機獲得控制權(quán)，進行系統(tǒng)結(jié)構(gòu)重組。以上的自主切換可以在雙機切換電路中的自主切換模塊出現(xiàn)故障而不參與的情況下實現(xiàn)，可以容忍自主切換模塊的一度故障。其信息流如圖3所示。

圖3 改進的雙機熱備份容錯系統(tǒng)結(jié)構(gòu)

在設(shè)計信息交換接口時，主份機、備份機分別設(shè)計有緩存區(qū)供對方計算機通訊時使用。主份機將自己的數(shù)據(jù)寫入備份機的緩沖區(qū)，同樣，備份機將自己的數(shù)據(jù)寫入主份機緩沖區(qū)。主份機、備份機的設(shè)計電路完全相同。雙機通訊原理框圖如圖4所示。

圖4 雙機通訊原理框圖

主份機、備份機通訊流程如圖5所示，若M代表主份機，則N代表備份機；若M代表備份機，則N代表主份機。

圖5 雙機通訊設(shè)計流程圖

3 雙模雙工結(jié)構(gòu)中的比較器設(shè)計

在雙模雙工系統(tǒng)中，雙機雙工需要將主份機、備份機的結(jié)果比較后再進行選擇輸出，因而比較器是雙模雙工系統(tǒng)容錯設(shè)計的關(guān)鍵部件。常見的雙模雙工系統(tǒng)容錯系統(tǒng)中，比較器多由硬件實現(xiàn)，硬件比較模塊主要由比較電路、監(jiān)測電路執(zhí)行機構(gòu)組成，根據(jù)不同冗余級別采用不同方案，比較器的可靠性成為系統(tǒng)新的“瓶頸”。

在設(shè)計中為了盡量避免硬件比較器的不利因素，將對實時性、嵌入性器載計算機系統(tǒng)可靠性的危害降到最小程度[5]。為此，提出一種解決比較器可靠性問題的方案：軟件表決、軟件選通的思路，即不設(shè)計單獨的比較器硬件單元，將比較器設(shè)計為軟件，以系統(tǒng)現(xiàn)有資源為載體建立比較系統(tǒng)，避免了比較器需要單獨監(jiān)測的可靠性問題，從而使系統(tǒng)得到優(yōu)化[6]。比較器的軟件判斷流程如圖6所示。

圖6 比較器的軟件判斷流程圖

4 航天器高可靠容錯計算機系統(tǒng)關(guān)鍵技術(shù)

4.1 余度管理技術(shù)

余度管理技術(shù)是對余度系統(tǒng)運行機制的籌劃和對出現(xiàn)的問題的處理，是在已確定了的系統(tǒng)硬件/軟件資源的余度配置等級的基礎(chǔ)上提高系統(tǒng)可靠性的一項關(guān)鍵技術(shù)。余度管理技術(shù)包括通道之間的同步技術(shù)、數(shù)據(jù)交換技術(shù)、信號的監(jiān)控和表決以及故障檢測與隔離技術(shù)等。同步技術(shù)是余度管理技術(shù)的關(guān)鍵，只有在同步情況下，對信號的監(jiān)控和比較才有一定的意義，同步技術(shù)涉及軟硬件的共同協(xié)調(diào)性；數(shù)據(jù)交換技術(shù)是信號監(jiān)控和表決的前提條件；通過信號的監(jiān)控和表決后就可以進行故障檢測并對故障進行隔離[7]。

4.2 可重構(gòu)容錯算法

可重構(gòu)容錯算法是器載計算機軟件模塊的關(guān)鍵技術(shù)。當(dāng)航天器遭受非致命性損傷或發(fā)生故障時，可重構(gòu)容錯算法能夠針對電氣系統(tǒng)故障的不同部位、故障的類型和影響程度給出相應(yīng)的容錯處理方案，并進行快速的系統(tǒng)重構(gòu)控制。目前可重構(gòu)容錯算法主要有：主動容錯算法、自適應(yīng)容錯算法和智能容錯算法等，在工程實現(xiàn)上還需要考慮算法本身的可靠性、復(fù)雜性和計算效率等。

4.3 高可信軟件的構(gòu)造與驗證技術(shù)

在航天器計算機中，軟件的作用越來越重要，保證軟件的可信度和健壯性一直是容錯技術(shù)研究的重要方面之一。因此研究提高現(xiàn)有軟件容錯技術(shù)應(yīng)用的可靠性，構(gòu)建軟件的可信保障技術(shù)體系，同時利用形式化方法對空間軟件進行驗證，對可信性軟件驗證的集成環(huán)境進行開發(fā)。在航天器出現(xiàn)故障時，及時通過高可信軟件的補償、切換、隔離等措施，使航天器各部分功能的狀態(tài)及執(zhí)行結(jié)果更加可靠、可信。目前高可信軟件容錯技術(shù)主要有：回卷技術(shù)、軟件陷阱、分布式恢復(fù)塊、數(shù)據(jù)重表達技術(shù)等。

5 結(jié)束語

器載計算機的可靠性與安全性是航天器能否安全的重要保證，本文詳細(xì)闡述了具備容錯功能的器載計算機系統(tǒng)的體系結(jié)構(gòu)，分析了雙機切換策略及判別準(zhǔn)則，提出了一種改進的自主切換策略和軟件比較器設(shè)計思路。實踐表明，這些容錯設(shè)計改進能有效地提高器載計算機系統(tǒng)的可靠性，對高可靠器載計算機設(shè)計與實現(xiàn)具有較好的工程參考意義。

[1] 楊孟飛, 華更新, 馮彥君，等. 航天器控制計算機容錯技術(shù)[M]. 北京：國防工業(yè)出版社, 2014.

[2] 徐 奡, 夏德天, 鄭久壽，等. 高升力系統(tǒng)控制計算機容錯技術(shù)研究[J]. 微電子學(xué)與計算機, 2015(6): 36-40.

[3] 馬秀娟, 張秀珍, 曹喜濱，等. 容錯星載計算機系統(tǒng)結(jié)構(gòu)設(shè)計[J]. 微處理機, 2003 (2): 47-49.

[4] 肖愛斌 , 胡明明 , 任憲朝.四模冗余拜占庭容錯計算機可靠性分析[J]. 空間控制技術(shù)與應(yīng)用, 2014 ,40(3): 42-46.

[5] 李淑俠, 魏廣平. 高可靠并行星載計算機軟件容錯技術(shù)研究[J]. 物聯(lián)網(wǎng)技術(shù), 2014 (5): 63-64.

[6] 孫秀娟. 基于雙模冗余容錯技術(shù)的數(shù)據(jù)采集系統(tǒng)設(shè)計[J]. 電測與儀表, 2008 (8):49-52.

[7] 高麗娜, 楊寶奎. 容錯飛控計算機體系結(jié)構(gòu)研究[J]. 戰(zhàn)術(shù)導(dǎo)彈技術(shù), 2013 (5):107-110.

Design and Implementation of Dual Redundant Space On-board Computer System

Chen Yukun，Zhang Shengyan，Liu Dong，F(xiàn)eng Zhongwei，Liu Yang

(Research and Development Center, China Academy of Launch Vehicle Technology, Beijing 100076,China)

On-board computer system has a significant role in spacecraft electronic system，and its reliability is especially essential to achieve final mission. In order to still work normally when on-board computer has failure, system architecture, switch method and estimation rule of dual redundant space on-board computer system are introduced. On the basis of preserving the state signal between main computer and switch circuit, the state signal between backup computer and switch circuit, and the state signal between main computer and backup computer is adopted, then presents a modified independence switch method. By using modified independence switch method, independence switch function still work normally when independence switch module has failure. Comparator is implemented by adopting software vote and software switch approach, and it can eliminate hardware comparator’s key failure. Practice indicates that the redundant technology can effectively improve the reliability of space on-board computer system, and the paper has engineering application value for design and implementation of space on-board computer system with high reliability.

dual; redundance; spacecraft; computer

2016-06-03；

2016-07-14。

陳玉坤(1979-)，男，河南衛(wèi)輝市人，博士，高級工程師，主要從事數(shù)據(jù)管理系統(tǒng)和測控通信系統(tǒng)方向的研究。

1671-4598(2016)12-0130-03

10.16526/j.cnki.11-4762/tp.2016.12.037

TP301

A