吕 达,王啟宁,熊浩伦,李志刚
一种小卫星综合电子计算机故障检测与系统重构方法
吕 达,王啟宁,熊浩伦,李志刚
(航天东方红卫星有限公司 北京 100094)
小卫星综合电子计算机相当于卫星的大脑,对可靠性、处理能力有很高的要求。故障检测与系统重构方法是提高综合电子计算机可靠性的有效方法。针对小卫星综合电子计算机采用的余度结构,进行软件管理策略的研究和设计,提出基于节点健康矩阵的余度总线重构方法及多CPU并行处理系统自适应重构方法。在故障注入试验中,综合电子计算机在遇到故障时能够实时检测出故障,诊断故障类型,并对故障进行处理,实现系统重构,保证小卫星长期在轨的安全飞行。
综合电子计算机;容错;余度管理;CAN总线
传统卫星各分系统多采用相互独立的设计方案,使卫星的姿态控制、推进控制、热控控制、星地链路通信及电源控制等功能分散,导致整星质量重、功耗高、体积大、接口关系复杂、系统重构能力弱、功能密度低。目前国内外已有多颗卫星采用卫星综合电子技术[1-4],将各分系统独立设计改为对整星一体化设计,硬件资源统一应用、调配和运行,并充分发挥软件的各种功能,实现整星的信息共享、系统简便配置和总体性能优化。
综合电子计算机对卫星的平台和载荷数据进行集中处理,对CPU的处理速度提出了很高的要求,采用单一CPU很难满足需求[5,6]。因此,本文采用多CPU并行处理系统提高综合电子计算机的处理能力。小卫星综合电子系统FDIR[7-10](Fault Detection Isolation and Recovery)技术是提高卫星故障处理能力的重要手段,是综合电子计算机设计一项重要内容,本文对综合电子计算机进行了故障检测与系统重构设计,提出了基于节点健康矩阵的余度总线重构方法及多CPU并行处理系统自适应重构方法。
综合电子计算机采用双余度对称结构设计,包含2个中央处理单元(CPUA0/CPUB0)、2个接口扩展单元(CPUA1/CPUB1)和2个信号处理扩展单元(CPUA2/CPUB2),多CPU系统采用了相似余度,相同的功能单元具有相同的硬件配置。中央处理单元与各扩展单元之间采用机内总线/共享内存实现数据的共享和交互。2个中央处理单元各包含2路CAN接口、5路RS422接口,DI及DO接口,负责总线通信、遥测遥控、健康管理、时间管理等功能,为系统的主控单元。2个接口扩展单元各包含AD采集接口、控温、测温回路、OC指令输出接口,实现模拟量采集、预处理、控温算法与温控输出、OC指令输出等,是系统的从属单元。2个信号处理扩展单元各包含2 路LVDS 接口及1553B接口,负责与外部载荷的信息处理与传输,其中包括信息的采集、数据的运算与处理、数据存储、输出,也作为系统的从属单元。
图1 综合电子计算机硬件架构
综合电子计算机采用双余度备份,在余度结构,余度数目相同的情况下,余度级别不同,其系统可靠度也大不相同。余度级别可以分为功能模块级冗余及系统级冗余。
并联系统可靠度公式为
①若采用功能模块级的双余度,先并后串,综合电子计算机拓扑结构如图2所示。
模块级双冗余拓扑结构余度可靠度公式如下
②若采用系统级的双余度,先串后并,综合电子计算机拓扑结构如图3所示。
图3 系统级双冗余
系统级双冗余度拓扑结构可靠度公式如下
综合电子计算机作为小卫星的大脑,通过星上双余度CAN总线实现与所有下位机间的数据交互,发送间接指令及轮询遥测数据。综合电子计算机(简称主机)为主节点,其余下位机均作为子节点,对于某个下位机,主机结合节点的健康状态与优先级选择其中一条总线与下位机通信,在通信过程中实现故障的检测并完成动态重构。
图4 可靠性曲线
假定系统中含有个下位机,主机和各个下位机通过双冗余总线形成星上网络,定义节点健康状态矩阵
表示各子节点健康状态(1表示故障,0表示正常,初始值为0)。定义主机接口的健康状态λ,如式(6)所示。若主节点通过总线与所有下位机均通信失败次数均达到max0,则1。