适用于航天器系统的自修正冗余切换机制及其验证方法

专利名称：适用于航天器系统的自修正冗余切换机制及其验证方法
技术领域：
本发明属于航空航天、智能控制和计算机信息处理领域，特别涉及一种可自主修正的冗 余切换机制，以及可实现系统实时故障注入的自修正冗余切换机制的验证方法。
昔景技术
随着空间科技的发展，航天器的功能和结构越来越复杂，如此庞杂的大系统完全按照设计 者预期方式运行的难度越来越大。空间环境的复杂性导致许多不确定因素，导致的航天器的 软硬件故障发生可能性随着系统的复杂程度激增，为保证任务的顺利完成，航天器系统的备 份冗余机制是解决这一问题的重要途径。航天器系统的多冗余机制同时也导致了系统复杂性 进一步提高。其故障的测试与诊断变得复杂和困难。及时正确的检测到故障，能给出合理的 专家意见，指导完成正确和及时的备份切换，是保证航天系统的长时间运行的关键。
舰载系统冗余切换控制机制一般是固定的，往往是根据地面系统功能验证的固定控制方 案。对某些暂歇性的故障，没有触发自动切换，其功能部件比较特殊，短时间就可能会对整 个系统的运行产生难以恢复的故障。同时一些故障时间较长，被判定为永久性故障，其功能 部件并非很敏感，因此不必进行主备机切换也能在一段时间暂歇性故障消除后恢复正常运行, 但是由于固定的切换策略使其产生了自动切换，从而导致系统备份资源过早利用，其长时间 续航的能力随之降低。当出现故障异常后，地面监控系统往往由于超远距离信号传输延迟或 难以实现实时信息通信而无法进行及时的远程控制。
传统的基于测试的验证，测试用例显然不能覆盖诸如深空探测等航天器实际运行时遇到 的情况，采用故障注入的测试也会因为航天器遇到未知故障，无法完全覆盖。
发明 内容
本发明提出的自修正冗余切换机制，利用自修正冗余切换专家系统实现智能冗余切换。 本发明提出的针对该机制的验证方法， 一方面可以通过地面监控系统进行实时故障和控制信 号注入，验证系统级别的冗余切换机制，另一方面航天器系统自修正冗余切换专家系统通过 远程控制信号和故障特征来自修正调整故障诊断意见和切换处理策略；同时地面监控系统的 自修正冗余切换专家系统也可以进行故障诊断得到专家意见供操作员参考，并可以根据实际 的控制信息来自主修正专家知识库，用于下次故障诊断。具备自修正功能的专家系统能够逐 步提高诊断精度，使专家经验可以逐步积累，最终达到脱离地面监控和控制的效果。
本发明提出的自修正冗余切换机制，可以实现更为精确的专家意见实现切换策略的调整，
4提高航天器的长时间续航能力，并可以逐渐实现智能化，基本脱离远程控制。所述的自修正 冗余切换机制嵌入在航天器系统的各个子系统中，所述的自修正冗余切换机制包括控制计算 机、信息收集模块、分析处理模块、知识库推理模块、专家知识库和自修正模块、切换信息 处理模块，所述的控制计算机的作用一方面负责总线数据的通信以实现整个航天器系统协同 工作实现系统间的切换执行， 一方面实现其附带仪器的监控，实现特定仪器的故障执行和仪
器状态信息的收集；信息收集模块采用A/D多功能采集卡采集仪器状态信息，并从中提取故 障信息；分析处理模块运用故障数据处理算法进一步对故障信息进行分析，得到故障特征数 据；知识库推理模块以专家知识库为后台数据源对故障特征数据进行知识库推理，结合既定 切换策略，得到最终的切换控制专家意见；自修正模块提取故障特征和远程控制信号做为学 习信号来修正专家知识库；切换信息处理模块包含两部分， 一部分专门负责远程控制信号的 处理， 一部分负责知识库推理模块得到的切换意见的解释，处理为控制计算机可以执行的控 制信号。
本发明还提供一种应用于自修正冗余切换机制的验证方法，包括如下步骤 步骤一、注入故障；
地面监控系统在故障源数据库中选择故障，并通过以太网通信控制模块向航天器系统中 的一个或者几个子系统引入故障，进行容错系统的测试； 步骤二、故障执行；
被注入故障的子系统的通过以太网通信控制模块得到注入的故障信息，解读为具体的故 障，之后通过控制计算机在既定时间后将故障进一部转化为对应仪器的通断电、冷启动、热 启动等控制信息控制该子系统执行既定时间的故障；
步骤三、航天器系统通过自冗余切换机制进行故障信息提取，最终得修正前的切换专家 意见，专家意见将送到切换信息处理模块进行下一步的处理；
步骤四、地面监控系统对航天器系统当前故障状态进行监控，同时也能得到当前故障的 专家意见，作为操作员控制參考；
步骤五、远程控制信号注入；
经地面监控系统监测后，操作员根据步骤四中获得的当前故障的专家意见，将远程控制 指令通过以太网通信模块发送给航天器系统的切换信息处理模块； 步骤六、切换信息处理模块信息处理；
如果有远程控制信号注入与修正前的切换专家意见不同，则抛弃专家意见，仅将远程控 制信号发送给给控制计算机实现指令切换，控制相应的功能模块断电，通电，重启等行为， 来实现特定系统、特定子系统、特定位置、特定故障类型，在特定时间、维持特定时间的故 障状态；另一部分通过自修正模块，更新专家知识库，如果故障发生一段时间后无远程控制信号注入，则切换信息处理模块将修正前的切换专家意见发送给控制计算机实现既定指令切
换；
步骤七、第二轮仿真验证；
第二次仿真时，地面监控系统对航天器系统注入同样的故障，航天器系统依次经过步骤 二、步骤三实现故障的执行、故障信息的提取，并通过自修正冗余切换专家系统得到切换专 家意见，地面监控系统不注入远程控制信号，仅依靠航天器自身的切换机制实现自动切换行 为。
本发明具备自修正的冗余切换机制的航天器系统是由多个系统构成的复杂系统，且各个 系统均有一套主系统， 一到两套备份系统，备份系统的切换机制不是固定的而是通过内置自 修正冗余切换专家系统推理出的切换机制。
此外其自修正的冗余切换机制的验证是通过地面监控系统进行故障实时注入，地面监控 系统可以对航天器运行状态监控，从而可以监控航天器实际的切换行为，用以验证航天器是 否能够进行自修正其切换机制。
本发明的优点在于
(1) 采用实际航天器系统中常用的1553B总线作为航天器系统内部总线，用9台计算机组 分别控制一套具有独立功能的功能子系统(主备份系统)模拟具有冗余机制的航天器各功能 模块，用环境模拟机来模拟环境信息，具有最大的逼真程度。
(2) 用以太网模拟遥测信息与控制信息传输通道，简化了设计投入。在实际运行过程中，仿 真计箅机组调整时间，同步运行模拟整个航天器太空运行轨道过程，期间地面故障注入系统 可以通过以太网随时注入故障信息，使得航天器某一子系统发生暂歇性或者永久性故障，考 察航天器自主备份机切换功能。同时也可以随时强制利用地面设备进行强制切换或者控制不 进行切换，这是针对出现未定性故障或者为了提高系统的整体续航能力的实验验证。
(3) 采用以太网以及地面监控系统，实现对航天器的实时运行状态监测釆集环境信息和故障 信息的集成显示，能够直观动态地观察航天器的整个运行过程，地面监控系统通过查询故障 信息统计数据库，得到已知功能模块的故障列表，选择要注入的故障，并自动添加预计发生 时间和持续时间，然后通过以太网实时注入到目标系统，目标系统读取信息并将实现在预定 时间执行相关的功能模块故障行为。
(4) 故障到时间发生后，由于系统内置的冗余切换机制会根据故障类型进行判定是否满足切 换条件，若满足条件则产生切换信号，启动备份机器。 一切切换行为连同航天器各部位实际 的运行状态都会在地面监控系统中实时监控，实现冗余切换机制的验证功能。
(5) 在实现冗余切换机制的验证功能基础上，建立具有规则自适应修正功能的规则修正模块，
克服了传统航天器故障注入与诊断专家系统功能单一，不能应Xf未定故障或者不能实现信息反馈自动改善专家诊断意见的缺点。
(6) 将运行状态推理模块与故障诊断推理模块相联系，专家意见通过规则自适应修正模块调 整规则后，反馈给运行状态推理模块进行再修正，并应用于下一次运行仿真的运行状态推理 模块过程中，将运行状态推理、实际系统运行仿真过程、故障分析推理，规则自适应修正构 成回路，进一步完善专家意见和补充故障信息数据库。实现航天器的切换策略的逐步智能化 和精准化。
(7) 本发明可显著改善整体系统的冗余切换策略效果，提出减少不必要的切换的专家意见， 在必要时及时实现立即切换的专家意见，这对航天系统的可靠性研究有实验性指导作用，将 该技术应用于实际航天器的控制应用具有重要意义。


图i是航天器系统仿真结构示意图2是本发明所述的一种适用于航天器系统的自修正冗余切换机制示意图； 图3是本发明验证方法流程图4是本发明所述地面监控系统的实时监控故障诊断流程图； 图5是温控系统进行自修正冗余切换机制的验证方法原理图。
具体实施例方式
下面结合附图和实施例对本发明的适用于航天器系统的自修正冗余切换机制及其验证方 法进行详细说明。
所述的航天器系统是由多个子系统构成的复杂系统，如图1所示，航天器系统包括任务 处理单元1、测量系统2、温控系统3、姿控系统4和模拟宇航探测环境变化的环境模拟机5， 各子系统之间以1553B总线进行航天器系统内部数据交互，每个子系统内置以太网通信模 块6，用于远程故障的注入和远程控制，所述航天器系统中，测量系统2、温控系统3、姿控 系统4和环境模拟机5将自身状态数据及故障信息通过1553B总线发送至任务处理单元1 进行汇总，然后任务处理单元1通过以太网通信模块6发送至地面监控系统7，实现地面对 航天器系统的监控。所述的各子系统都包括1 2个的备份系统。
本发明提供的适用于航天器系统的自修正冗余切换机制嵌入在航天器系统的各个子系统 以及地面监控系统7中，如图2所示，所述的自修正冗余切换机制包括控制计算机8、信息 收集模块9、分析处理模块10、知识库推理模块11、切换信息处理模块12、专家知识库 13和自修正模块l4，其中的知识库推理模块11、专家知识库13和自修正模块14组成了 自修正冗余切换专家系统。
所述的控制计算机8包括一个主控制计算机和一个或者两个备份，其作用在于一方面负 责总线数据的通信以实现整个航天器系统协同工作实现系统间的切换执行， 一方面实现其附器的故障执行和仪器状态信息的收集；信息收集模块9从控制计 算机8的仪器状态信息上提取故障信息；所述的分析处理模块10进一步对信息收集模i央9 收集提取的故障信息进行分析得到故障特征数据；所述的知识库推理模块11以专家知识库 13为后台数据源对故障特征数据进行知识库推理，并结合既定的切换策略，得到最终的切换 控制专家意见，并发送给切换信息处理模块12;所述的自修正^莫块14提取切换信息处理丰莫 块12中的故障特征和远程控制信号作为学习信号来修正和更新专家知识库13。切换信息处 理模块12包含两部分， 一部分专门负责远程控制信号的处理， 一部分负责知识库推理模块 11得到的切换意见的解释，处理为控制计算机8可以执行的控制信号。所述的远程控制信号 由地面监控系统7通过以太网通信模块6上传至切换信息处理模块12。
当地面监控系统7对当前的切换控制不满意需要远程控制时，地面监控系统7通过以太 网通信模块6对切换信息处理模块12注入远程控制信号,切换信息处理模块12将该远程控 制信号作为学习信号发送给自修正模块14，自修正模块14对专家知识库15进行更新，并 进一步对包含在专家知识库中的知识库推理规则进行修正；同时切换信息处理模块12将远 程控制信号转发至控制计算机8，用于实现相应的切换指令。
所述的专家知识库13存放以一定形式表示的专家的知识和经验的集合，并包含有关键 运行状态和部件故障之间关系的专家经验的转化和知识表达，每一个故障信息对应着一个控 制切换信息，所述的专家经验的获取是一个动态的完善过程，是在仿真运行过程中通过自修 正模块14自主进行经验修正的。
所述的知识库推理模块11是自修正故障诊断专家系统的重要组成部分，包括故障诊断 推理模块和专家意见参数推理模块，分别推理得到故障的诊断结果和专家意见(如切换控制 信息)。
所述的知识库推理模块11的功能是通过选择和使用专家知识库13的知识，运用专家知 识库13中的推理规则进行推理，实现对实际问题的求解。故障诊断推理模块和专家意见参 数推理模块釆用的是正向推理机构，即先将一批事实(期望运行状态和当前运行状态)存放到数 据库中，推理机把这些事实与规则的前提匹配，运用匹配成功的规则得到结论，把得到的结 论作为新的事实存放到数据库中，用更新过的数据库中所有事实再与规则的前提匹配，直到 推理出较优的冗余切换策略。故障诊断推理模块采用的推理控制策略是正向和反向推理相结 合的混合推理方式，根据实际运行状态与期望的差异的程度来确定故障原因，推理给出合理 的切换策略。自修正模块14是专家系统的核心模块，在每次故障产生并进行备份机的切换 后，自修正模块14与知识库推理模块11通过专家知识库13进行数据交互，从专家知识库 13中提取系统根据实际运行状态、航天器仿真计算机组的实际切换、故障诊断结果和专家意 见，来动态修正专家知识库13中的内容。专家知识库13中包含规则库。
8在毎次故障发生后故障推理工作流程具体包括以下步骤
1. 首先根据信息收集模块9收集提取的具体故障数据，通过分析处理模块IO得到故障 特征，如故障类型、故障时间、故障位置等；
2. 知识库推理模块11中的故障诊断推理模块和专家意见参数推理模块根据提取的故
障特征推理给出对应专家意见；
3. 若专家知识库13中含有故障处理专家意见，由知识库推理，莫块ll得出故障处理专 家意见，并将该专家意见转发给切换信息处理模块12,切换信息处理模块12结合 远程控制信息得到最终的切换控制信号。
4. 若专家知识库13中没有故障处理专家意见，即代表输入的是一种新故障或者需要重 新评估的故障处理专家意见，此时根据是否有地面远程控制信号进行处理，若有地 面远程控制信号注入则根据地面控制信息和实际飞行状态信息以及提取的故障特 征， 一方面进行切换处理，另一方面进行专家知识库13的更新和规则库的修正，为 以后调整及修正故障处理专家意见规则提供依据。若一段时间(根据不同系统不同 位置故障而定)后，故障没有消除，而且仍然没有远程控制信号注入，则系统利用 现有存储的故障切换方式进行强制性的备份系统切换，体现了切换机制的前提是保 证系统安全运行。
由于故障推理过程中的知识类型大多属于和描述问题状态有关的各种叙述性知识，包括 了各种状态描述和约束条件，知识库中知识表达方法采用基于规则的产生式知识和表达方法， 即
RN: IFMTHENN WITH CF(N, M) 式中RN为规则号，M为规则的前提条件，N为条件引出的结论，CF为规则的置信度 因子。
置信度因子表示M对N的支持程度，取值范围为[-l, 11。当取值为l时，表示M对N 完全肯定，当取值为-l时，表示M对N完全否定，当取值为O时，则表示前提条件与结论 无关。
本发明还提供一种针对上述的自修正冗余切换机制的验证方法，如图3，所述的验证方 法包括如下具体步骤 步骤一、注入故障。
地面监控系统7用人工的方法，在故障源数据库中选择故障，并通过以太网通信模块6 向航天器系统中的一个或者几个子系统引入故障，进行容错系统的测试。
步骤二、故障执行。被注入故障的子系统的通过以太网通信模块6得到注入的故障信息， 通过控制计算机解读为具体的故障，包括故障系统，故障子系统，故障位置(故障功能仪器)，
9故障类型，预定故障产生时间，预定故障持续时间。在既定时间后对其进一部转化为对应仪 器的通断电、冷启动、热启动等控制信息控制其执行既定时间的故障。
步骤三、航天器系统内部被注入故障的子系统通过自修正冗余机制对故障进行故障信息 提取，得到修正前的切换专家意见。
首先是控制计箅机8检测子系统的故障，并通过信息收集模块9提取故障信息；分析处 理模块10对信息收集模块9收集提取的故障信息进行分析得到故障特征数据，并进入到专 家系统的知识库推理模块11,知识库推理t莫块11以专家知识库13为后台数据源对故障特 征数据进行知识库推理，得到最终的修正前的切换专家意见，并被送到切换信息处理模块12 等待下一步的处理。
步骤四、地面监控系统7对当前航天器系统状态进行监控，同时也能得到当前故障的专 家意见，作为操作员控制参考。
如图4所示，地面监控系统7将通过以太网通信模块6得到的实时故障信息进行数据采 集，可视化显示，并通过故障诊断推理、专家意见推理等一系列过程，提出当前故障的切换 策略专家意见供操作员参考。
步骤五、远程控制信号注入。
经地面监控系统7监测到故障后，操作员如果不满意当前航天器系统的切换策略，则选 择当前故障的切换策略专家意见，生成切换策略数据，作为远程控制指令通过以太网通信模 块6发送给航天器系统的切换信息处理模块12。
步骤六、切换信息处理模块信息处理。
切换信息处理模块12 —方面将远程控制信号和专家意见(切换信号)对比后抛弃专家 意见，仅将远程控制信号发送给控制计算机实现指令切换，控制相应的功能模块断电、通电、 重启等行为，来实现特定系统、特定子系统、特定位置(功能模块)、特定故障类型，在特定 时间、维持特定时间的故障状态；另一部分通过自修正模块14，更新专家知识库13。这里 若故障发生后一段时间无远程故障注入或者控制信号注入，则将专家意见发送给控制计算机 实现既定指令切换。
步骤七、第二轮仿真验证。
第二次仿真时，地面监控系统7对航天器系统注入与步骤一同样的故障，航天器系统依 次经过步骤二、步骤三实现故障的执行、故障信息提取，并通过专家系统整个推理流程得到 切换专家意见。地面监控系统7不注入远程控制信号，仅依靠航天器自身的切换机制实现自 动切换行为。
地面监控系统7通过以太网通信模块6接收信息实现对航天器系统的切换行为的实时监测。与上次的远程切换控制行为进行对比，验证这次仿真中航天器系统是否成功进行了冗余 切换机制的自修正。
如上可见，本发明提供的验证方法基于自修正冗余切换机制，利用自修正冗余切换专家 系统，实现了对于航天器系统中各个子系统的主备份切换控制，并可以不断的对自修正冗余 切换专家系统进行更新，可以提高切换控制的精确性和准确性。 实施例
以温控系统3为例来说明本发明提供的验证方法。
所述的温控系统3由两套子系统组成 一个是主系统A，另一个为备份系统B。所述的 主系统A和备份系统B分别由一台控制计算机及其控制与检测的一套仪器(如加热器及其他 设备)组成。首先对该温控系统3内设置本发明提供的自冗余切换机制，如图5所示，然后 对该子系统的自冗余切换机制进行验证，具体方法为
步骤一、注入故障。
地面监控系统7用人工的方法，在故障源数据库中选择如图2所示，假设温控系统3 的主系统A中冷却器A—4故p章，为暂歇性故障，将在运行(16000-16500)秒中某个时间 点产生，将持续20秒。
地面监控系统7通过以太网通信模块6向航天器系统中温控系统3的主系统A注入故障， 进行容错系统的测试。
步骤二、故障执行。温控系统3的主系统A中控制计算机8通过以太网通信模块6和切 换信息处理模块12得到注入的故障信息，解读为具体的故障(温控系统3的主系统A，冷 却器八_4故障，为暂歇性故障，将在运行(16000-16500)秒中某个时间点产生，将持续 20秒)，之后通过控制计算机8在既定时间(16000秒)后令冷却器A_4断电20秒。
步骤三、温控系统3的主系统A对故障进行故障信息提取，进入到专家系统，最终得到 修正前的切换专家意见，并被送到切换信息处理模块12等待下一步的处理。
步骤四、地面监控系统7对当前故障状态进行监控，同时也能得到当前故障的专家意见， 作为操作员控制参考。
地面监控系统7将通过以太网通信模块6得到的实时信息进行数据采集，可视化显示， 并通过故障诊断推理，专家意见推理等一系列过程，提出专家意见供操作员参考。
操作员选择一条专家意见进行远程故障注入，若与航天器现有切换机制不同将会改变现 有切换机制。
这里选择如下冷却器A_4故障重新归为永久性故障，建议立即切换备用冷却器A_5 且开冷却器A_5大功率运行时间^Os后再转为正常功率运行。 步骤五、远程控制信号注入。经地面监控系统7监测后，操作员将远程控制指令(切换备用冷却器A_4且开冷却器 A_5大功率运行时间>103后再转为正常功率运行)通过以太网通信模块6发送给航天器系 统的切换信息处理模块12。
步骤六、切换信息处理模块信息处理。
航天器系统切换信息处理模块12 —方面将远程控制信号和专家意见(切换信号)对比 后抛弃专家意见，仅将远程控制信号(切换备用冷却器八_5且开冷却器八一5大功率运行时间 >103后再转为正常功率运行)发送给给控制计算机实现指令切换，控制冷却器A—5通电并 大功率运行，另一部分通过自修正模块14，更新专家知识库13。
步骤七、第二轮仿真验证。
第二次仿真时，地面监控系统7对航天器系统注入同样的故障温控系统3的主系统A， 冷却器厶_4故障，为暂歇性故障，将在运行(16000-16500)秒中某个时间点产生，将持 续20秒)，航天器系统依次经过步骤二，步骤三等实现故障的执行、提取，并通过专家系统 整个推理流程得到切换专家意见。地面监控系统不注入远程控制信号，仅依靠航天器自身的 切换机制实现自动切换行为。
地面监控系统7通过以太网通信模块6接收信息实现对航天器系统的切换行为的实时监 测。与上次的远程切换控制行为进行对比，验证这次仿真中航天器系统是否成功进行了冗余 切换机制的自修正。
专家意见参数推理模块、故障诊断推理模块以及规则自修正t莫块推理规则表示
1、 专家意见参数推理规则表示
IF温控子系统的温度控制误差大于要求(-5度-+5度)
AND温度的变化率小于0.02度/秒
AND冷却器A—4暂歇性故障持续时间大于10秒
THEN冷却器A—4故障重新归为永久性故障，建议立即切换备用冷却器2 AND冷却器A_5大功率运行时间> 10s后再转为正常功率运行 置信度0.70。
2、 故障诊断推理规则表示 IF温度大于期望温度AND 偏离大于5度AND 温度变化率超过0.02度/秒 THEN该故障是永久性故障 置信度0.90。
3、 自修正模块规则表示IF温控子系统的温度控制误差大于要求(-5度-+5度)
AND温度的变化率小于0.02度/秒
AND有了地面远程切换消息
AND地面远程切换信息中的切换子系统
AND地面远程切换信息中的切换时间(立即，缓'慢)
THEN当温控子系统的温度控制误差大于要求(-5度-+5度)AND温度的变化率小于 0.02度/秒时，建议在切换时间(立即，缓慢)内对冷却器A—4进行远程切换 置信度0.63 。
权利要求
1、一种适用于航天器系统的自修正冗余切换机制，其特征在于所述的自修正冗余切换机制嵌入在航天器系统的各个子系统中，所述的自修正冗余切换机制包括控制计算机、信息收集模块、分析处理模块、知识库推理模块、专家知识库和自修正模块、切换信息处理模块，其中的知识库推理模块、专家知识库和自修正模块组成自修正冗余切换专家系统；所述控制计算机的作用一方面负责总线数据的通信以实现整个航天器系统协同工作和系统间的切换执行，一方面实现其附带仪器的监控，实现特定仪器的故障执行和仪器状态信息的收集；所述信息收集模块从仪器状态信息中提取故障信息；所述分析处理模块进一步从故障信息中分析得到故障特征数据；所述知识库推理模块以专家知识库为后台数据源对故障特征数据进行知识库推理，结合既定的切换策略，得到最终的切换控制专家意见；所述自修正模块提取切换信息处理模块中的故障特征或远程控制信号作为学习信号来修正专家知识库；所述切换信息处理模块包含两部分，一部分专门负责从以太网通信模块获得的远程控制信号的处理，一部分负责知识库推理模块得到的切换意见的解释，处理为控制计算机可以执行的控制信号。
2、 根据权利要求l所述的一种适用于航天器系统的自修正冗余切换机制的验证方法，其特 征在于所述航天器系统是由五个子系统组成，分别是姿控系统、温控系统、任务处理单 元、测量系统和环境模拟机，各子系统由两到三台可切换冗余舰载计算机组成，各子系统 之间通过1553B总线进行数据通信。
3、 根据权利要求2所述的一种适用于航天器系统的自修正冗余切换机制的验证方法，其特 征在于所述航天器系统中，姿控系统、温控系统、测量系统和环境模拟机将自身状态数 据及故障信息通过1553B总线发送至任务处理单元进行汇总，然后任务处理单元通过以 太网通信模块发送至地面监控系统，实现地面对航天器系统的监控。
4、 一种适用于航天器系统的自修正冗余切换机制的验证方法，其特征在于如下步骤步骤一、注入故障；地面监控系统向航天器系统中的一个或者几个子系统引入故障，进行容错系统的测试； 步骤二、故障执行；被注入故障的子系统得到注入故障后，解读为具体的故障信息，并通过控制计算机在既 定时间后将故障信息进一步转化为对应仪器的通断电、冷启动、热启动等控制信息控制该子 系统执行既定时间的故障；步骤三、航天器系统对故障进行故障信息提取，通过自修正冗余切换专家系统最终得修 正前的切换专家意见，切换专家意见将送到切换信息处理模块进行下一步的处理；步骤四、地面监控系统对航天器系统当前故障状态进行监控，同时也能得到当前故障的专家意见，作为操作员控制参考； 步骤五、远程控制信号注入；经地面监控系统监测后，操作员将远程控制指令通过以太网通信模块发送给航天器系统 的切换信息处理模块；步骤六、切换信息处理l莫块信息处理；如果有远程控制信号注入与修正前的切换专家意见不同，则抛弃专家意见，仅将远程控 制信号发送给控制计算机实现指令切换，控制相应的功能模块断电、通电、重启等行为，来 实现特定系统、特定子系统、特定位置、特定故障类型，在特定时间、维持特定时间的故障 状态；另一部分通过自修正模块，更新专家知识库；如果故障发生一段时间后无远程控制信 号注入，切换信息处理t莫块将专家意见发送给控制计算机实现既定指令切换；步骤七、第二轮仿真验证；第二次仿真时，地面监控系统对航天器系统注入同样的故障，航天器系统依次经过步骤 二、步骤三实现故障的执行、故障信息的提取，并通过自修正冗余切换专家系统得到切换专 家意见，地面监控系统不注入远程控制信号，仅依靠航天器自身的切换机制实现自动切换行 为。
5、 根据权利要求4所述的一种适用于航天器系统的自修正冗余切换机制的验证方法，其特 征在于所述步骤一的注入故障过程具体为，各子系统计算机通过以太网分别与地面监控 系统相连接，实验人员通过地面监控系统编辑各子系统预定要发生的故障信息，包括故障 名称、故障类型、故障系统、故障部位、故障发生时间、故障持续时间，然后通过以太网 通信模块将故障信息发送至各子系统，实现注入故障。
6、 根据权利要求4所述的一种适用于航天器系统的自修正冗余切换机制的验证方法，其特 征在于所述的步骤四具体为，地面监控系统将通过以太网通信模块得到的实时状态信息进行数据采集，可视化显示，并通过故障诊断推理、专家意见推理过程，提出切换策略专 家意见供操作员参考，操作员选择一条切换策略专家意见，生成切换策略数据进行远程控 制信号注入，若与航天器系统现有切换机制不同，在改变现有切换机制，按照注入的远程 控制信号进行切换。
全文摘要
本发明公开了一种适用于航天器系统的自修正冗余切换机制及其验证方法，本发明将航天器系统中加入了具有自修正特点的冗余切换机制，并提出了其验证方法。每个航天器子系统之间通过1553B总线通信，并分别通过以太网通信模块与地面监控系统通信。地面监控系统实时检测航天器系统的故障状态，并进行故障注入和控制指令的注入，可显著提高复杂性系统的冗余切换机制的高效性和安全性通过积累和优化专家意见，以减少不必要的备份切换，对于提高系统长时间续航能力研究有重要意义，同时也能够对关键敏感部位的故障及时切换，防止出现失控状态，保证系统安全运行。该方法对于实际航天器自主智能控制系统的可靠性研究具有重要意义。
文档编号B64G7/00GK101628628SQ20091009024
公开日2010年1月20日 申请日期2009年8月3日 优先权日2009年8月3日
发明者飞 杨, 青 王, 董朝阳, 解志君 申请人:北京航空航天大学