本发明设计属于星载计算机,具体涉及一种全自主飞行航天器中心计算机及控制方法。
背景技术:
1、全自主飞行航天器是指航天器发射后通过预先设定的飞行程序,经过长时间自主变轨飞行至目标位置,例如:高轨全电推进卫星,由于其推力器推力小,从近地点200千米变轨至距离地球3.6万公里的地球静止轨道,需要历时约6~12个月之久,并且大量飞行弧段测控不可见。因此,要求该类航天器具备全自主飞行能力和在轨自主故障处置能力。
2、全自主飞行航天器的中心计算机作为航天器的“大脑”,其一旦运行异常将导致整个任务失败。因此,全自主飞行航天器中心计算机的可靠性设计尤为关键,现有航天器中心计算机可靠性方面主要存在以下几点不足:
3、1)针对计算机系统的健康状态的监控信号单一,若该单一判据出现共因故障,可能造成对系统故障错误判断,从而导致系统错误切机,影响系统任务正常运行;
4、2)当出现双机加电时,针对热备接口保护不足,一般情况下,不能防止系统非预期热备份,未对非当班份的输出进行封口设计,存在损坏接口电路的风险;
5、一般计算机系统对初次加电的切机方式无记忆存储功能,如果断电再上电,系统恢复初始状态,如需更改切机次序,需做一系列设置才能实现,系统好用易用性差。
技术实现思路
1、为解决现有技术中存在的问题,本发明提供一种全自主飞行航天器中心计算机及控制方法,提高卫星信息系统的可靠性,达到自主管理、自主故障可靠处置的目的。
2、为实现上述目的,本发明采用如下方案:
3、本发明提供一种全自主飞行航天器中心计算机,包括计算机a、计算机b、管理单元a、管理单元b、指令驱动电路a和指令驱动电路b,其中,所述管理单元a和管理单元b均包括故障检测模块和逻辑控制模块,所述管理单元a和管理单元b的故障检测模块分别接收当班机的硬心跳信号和软心跳信号,所述当班机输出500ms为周期的方波信号分别发送至所述管理单元a和管理单元b作为硬心跳信号,所述当班机通过异步串行接口每500ms向所述管理单元a和管理单元b分别发送自定义字段信息作为软心跳信号;所述当班机为所述计算机a或计算机b,另一计算机为非当班机;还包括封口电路,当所述非当班机的电源无法正常关闭时,所述当班机通过所述封口电路封闭所述非当班机的输出接口。
4、在一些实施例中,所述管理单元a和管理单元b热备工作。
5、本发明还提供一种全自主飞行航天器中心计算机控制方法,用于控制上述的全自主飞行航天器中心计算机,当班机表示当前工作的计算机,非当班机表示当前不工作的计算机,所述控制方法包括切机控制方法和计算机故障识别方法,其中,
6、所述切机控制方法包括以下步骤:
7、s1:管理单元a和管理单元b分别设置三条切机使能指令,分别为a切b使能指令、b切a使能指令和切机禁止指令;当当班机不健康时,由管理单元a和管理单元b同时完成对当班机关机、非当班机开机、非当班机复位的指令控制;
8、s2:管理单元a和管理单元b分别将计算机切机状态保存在自身的重要数据中,存储三份,上电后,从重要数据中获取切机状态,从而确定切机状态;
9、s3:管理单元a和管理单元b根据切机状态决定是否对计算机a或者计算机b的软硬心跳状态进行监视;
10、所述计算机故障识别方法具体为:
11、若每500ms方波信号跳变一次,则表征硬心跳正常,若64s内未接收到任何跳变,则表征硬心跳异常;若管理单元接收到数据为所述自定义字段信息,则表征软心跳正常,若管理单元64s以上接收到非所述自定义字段信息或者未接收到任何数据,则表征软心跳异常。
12、在一些实施例中,步骤s2中,所述切机状态包括a切b使能、b切a使能和自主切机禁止,上电后切机状态的确定逻辑如下:
13、如果三份中至少两份都是a切b使能,则切机状态为a切b使能;
14、如果三份中至少两份都是b切a使能,则切机状态为b切a使能;
15、如果三份中至少两份都是切机禁止,则切机状态为切机禁止;
16、如果三份分别为a切b使能、b切a使能和切机禁止,则切机状态为切机禁止。
17、在一些实施例中,上电后切机状态的确定逻辑还包括:如果重要数据读取未成功,则切机状态为切机禁止。
18、在一些实施例中,步骤s3具体为:
19、如果切机状态为a切b使能,则管理单元监控计算机a的硬心跳信号和软心跳信号确定其软硬心跳状态;
20、如果切机状态为b切a使能,则管理单元监控计算机b的硬心跳信号和软心跳信号确定其软硬心跳状态。
21、如果切机状态为切机禁止,则管理单元不监控任何计算机的硬心跳信号和软心跳信号确定其软硬心跳状态。
22、在一些实施例中,所述计算机故障识别方法还包括以下步骤:
23、当班机为计算机a时,管理单元a和b分别实时对当班机发送的软硬信号进行判断,当连续64s以上软心跳信号和硬心跳信号都异常时,管理单元a和b操作分别如下,
24、管理单元a:
25、若管理单元a切机状态为a切b使能,如果故障条件满足时,管理单元a间隔1s顺序发送三条指令,分别为计算机a关机,计算机b开机和计算机b复位;同时,管理单元切机状态变为切机禁止;
26、若管理单元a切机状态为b切a使能,由于计算机b不当班,故障条件满足,则管理单元a间隔1s顺序发送三条指令,分别为计算机b关机,计算机a开机和计算机a复位;同时,管理单元切机状态变为切机禁止;
27、若管理单元a切机状态为切机禁止,当计算机a软硬心跳信号都停止64s以上后,管理单元不发送指令;
28、管理单元b:
29、若管理单元b切机状态为a切b使能,如果故障条件满足时,管理单元b间隔1s顺序发送三条指令,分别为计算机a关机,计算机b开机和计算机b复位,同时,管理单元b切机状态变为切机禁止;
30、若管理单元b切机状态为b切a使能,由于计算机b不当班,故障条件满足,则管理单元b间隔1s顺序发送三条指令,分别为计算机b关机,计算机a开机和计算机a复位,同时,管理单元b切机状态变为切机禁止;
31、若管理单元b切机状态为切机禁止,当计算机a软硬心跳信号都停止64s以上后,管理单元不发送指令。
32、在一些实施例中,所述计算机故障识别方法还包括以下步骤:
33、当班机为计算机b时,管理单元a和b分别实时对当班机发送的软硬信号进行判断,当连续64s以上软心跳信号和硬心跳信号都异常时,管理单元a和b操作分别如下:
34、管理单元a:
35、若管理单元a切机状态为b切a使能,如果故障条件满足时,管理单元a间隔1s顺序发送三条指令,分别为计算机b关机,计算机a开机和计算机a复位;同时,管理单元切机状态变为切机禁止;
36、若管理单元a切机状态为a切b使能,由于计算机a不当班,故障条件满足,则管理单元a间隔1s顺序发送三条指令,分别为计算机a关机,计算机b开机和计算机b复位;同时,管理单元a切机状态变为切机禁止;
37、若管理单元a切机状态为切机禁止,当计算机a软硬心跳信号都停止64s以上后,管理单元不发送指令;
38、管理单元b:
39、若管理单元b切机状态为b切a使能,如果故障条件满足时,管理单元b间隔1s顺序发送三条指令,分别为计算机b关机,计算机a开机和计算机a复位,同时,管理单元b切机状态变为切机禁止;
40、若管理单元b切机状态为a切b使能,由于计算机a不当班,故障条件满足,则管理单元b间隔1s顺序发送三条指令,分别为计算机a关机,计算机b开机和计算机b复位,同时,管理单元b切机状态变为切机禁止;
41、若管理单元b切机状态为切机禁止,当计算机a软硬心跳信号都停止64s以上后,管理单元不发送指令。
42、在一些实施例中,步骤s1按照如下逻辑执行:
43、计算机a当班时:
44、如果计算机a健康且管理单元a/b切机状态为a切b使能,则管理单元a/b不进行切机操作;
45、如果计算机a健康且管理单元a/b切机状态为b切a使能,则管理单元a/b不进行切机操作;
46、如果计算机a健康且切机被禁止,则管理单元a/b不进行切机操作;
47、如果计算机a不健康且管理单元a/b切机状态为a切b使能,则管理单元a/b断开计算机a的电源,接通计算机b的电源,并对计算机b进行复位;
48、如果计算机a不健康且管理单元a/b切机状态为b切a使能,则管理单元a/b不进行切机操作;
49、如果计算机a不健康且切机被禁止,则管理单元a/b不进行切机操作;
50、计算机b当班时的切机逻辑:
51、如果计算机b健康且管理单元a/b切机状态为a切b使能,则管理单元a/b不进行切机操作;
52、如果计算机b健康且管理单元a/b切机状态为b切a使能,则管理单元a/b不进行切机操作;
53、如果计算机b健康且切机被禁止,则管理单元a/b不进行切机操作;
54、如果计算机b不健康且管理单元a/b切机状态为a切b使能,则管理单元a/b不进行切机操作;
55、如果计算机b不健康且管理单元a/b切机状态为b切a使能,则管理单元a/b断开计算机b的电源,接通计算机a的电源,并对计算机a进行复位;
56、如果计算机b不健康且切机被禁止,则管理单元a/b不进行切机操作。
57、本发明的有益效果是:
58、本发明提出的全自主飞行航天器中心计算机及控制方法对从不同维度对自主飞行航天器中心计算机系统进行了可靠性设计,确保在其在航天器在自主飞行过程中的可靠性,其采用异构信号源识别系统故障模式,避免了共引故障导致的识别错误,其设计的自动可靠封口电路,确保输出接口安全,信号正确,其设计的切机顺利,可灵活配置,极大的提高了系统的好用性、易用性。本发明可推广至各类对可靠性要求极高的应用场合,可大幅提高系统可靠性、安全性。
1.一种全自主飞行航天器中心计算机,其特征在于,包括计算机a、计算机b、管理单元a、管理单元b、指令驱动电路a和指令驱动电路b,其中,所述管理单元a和管理单元b均包括故障检测模块和逻辑控制模块,所述管理单元a和管理单元b的故障检测模块分别接收当班机的硬心跳信号和软心跳信号,所述当班机输出500ms为周期的方波信号分别发送至所述管理单元a和管理单元b作为硬心跳信号,所述当班机通过异步串行接口每500ms向所述管理单元a和管理单元b分别发送自定义字段信息作为软心跳信号;所述当班机为所述计算机a或计算机b,另一计算机为非当班机;还包括封口电路,当所述非当班机的电源无法正常关闭时,所述当班机通过所述封口电路封闭所述非当班机的输出接口。
2.根据权利要求1所述的全自主飞行航天器中心计算机,其特征在于,所述管理单元a和管理单元b热备工作。
3.一种全自主飞行航天器中心计算机控制方法,其特征在于,用于控制根据权利要求1或2所述的全自主飞行航天器中心计算机,当班机表示当前工作的计算机,非当班机表示当前不工作的计算机,所述控制方法包括切机控制方法和计算机故障识别方法,其中,
4.根据权利要求3所述的方法,其特征在于,步骤s2中,所述切机状态包括a切b使能、b切a使能和自主切机禁止,上电后切机状态的确定逻辑如下:
5.根据权利要求4所述的方法,其特征在于,上电后切机状态的确定逻辑还包括:如果重要数据读取未成功,则切机状态为切机禁止。
6.根据权利要求4所述的方法,其特征在于,步骤s3具体为:
7.根据权利要求4所述的方法,其特征在于,所述计算机故障识别方法还包括以下步骤:
8.根据权利要求4所述的方法,其特征在于,所述计算机故障识别方法还包括以下步骤:
9.根据权利要求3所述的方法,其特征在于,步骤s1按照如下逻辑执行:
