专利名称:一种姿轨控计算机双机冷备份系统的制作方法
技术领域:
本发明涉及一种姿轨控计算机双机冷备份系统,可用于设计出较长寿命和高可靠性的航天器。
背景技术:
姿轨控计算机系统承担着在轨姿态控制、轨道控制等任务,是星上最重要和最复杂的系统之一,一旦发生故障往往给整星带来严重影响。而姿轨控计算机系统的故障诊断具有故障在闭环系统中传播与积累、地面诊断存在遥测时延及可利用信息少、自主诊断又受姿轨控计算机资源限制等特点,因此应当采用冗余设计技术,对系统结构进行容错设计, 利用冗余的资源,通过系统重构或控制策略来避免故障对系统的影响。目前国内外采用的冗余设计方式多种多样,按照冗余的程度可分为1 1冗余、 1 2冗余等多种,按照工作方式分为热备份冗余和冷备份冗余。然而,采用热备份技术保障系统可靠性的同时也带来了功耗过大等问题;而标准冷备份由于主控CPU模块断电时存储器中的数据不能保存,导致在切换后主系统中的关键数据和状态丢失,无法完成控制进程的继承。
发明内容
本发明的技术解决问题是克服现有技术的不足,提出一种姿轨控计算机双机冷备份系统,可以大大提高姿轨控计算机的可靠性和寿命,缩短故障时间并节约能源。本发明的技术解决方案是一种姿轨控计算机双机冷备份系统,其特征在于包括双机切换的主控模块、双机电源管理模块、主控CPU模块、备份CPU模块,及主控CPU模块的看门狗模块和备份CPU模块的看门狗模块,主控CPU模块和备份CPU模块完全相同;其中双机切换的主控模块由FPGA实现,分为三个子模块,分别是双机电源控制模块、双机通信 RAM模块及双机切换仲裁模块,其中双机电源控制模块通过对双机电源管理模块的控制,实现对主控CPU模块和备份CPU模块的通断电的控制;双机通信RAM模块分别与主控CPU模块和备份CPU模块相连,实现一个双口 RAM的功能,用于实时保存主控CPU模块运行的现场信息和应用程序的相关参数,当主控CPU模块故障时,实时保存的数据可以被备份CPU模块利用;双机切换仲裁模块与主控CPU模块的看门狗模块的输出相连,检测看门狗模块的输出信号,实现对主控CPU模块的故障检测,如果在T时间内主控CPU模块的看门狗模块连续输出η个复位信号,则说明主控CPU模块已经出现不可逆转故障,需要进行切机操作,Τ、η 可以视具体的情况进行设置。双机电源管理模块主要采用继电器实现,对于主控CPU模块来说,继电器为常闭; 而对于备份CPU模块来说,继电器为常开。系统在正常工作模式下是主控CPU模块上电,备份CPU模块不上电,当双机切换仲裁模块检测到主控CPU模块故障时,由FPGA的IO端口上的电平信号可以控制继电器中线圈电流的通断,实现主控CPU模块与备份CPU模块之间电源的切换。
看门狗模块利用专用的看门狗芯片实现。该芯片的看门狗计数器超时时间及复位信号持续时间均可调,可以灵活地根据系统的要求对这两个时间进行配置。正常模式tm (s) = 5. 06 X IO6 X Cswt (F),tEP (s) = 5. 06 X IO6 X Cset (F)扩展模式tm(s) = 128 X 5. 06 X IO6 X Cswt (F),tEP (s) = 5. 06 X IO6 X Cset (F)tTO是看门狗计数器超时时间,tKP是看门狗芯片输出低电平复位信号的时间, Cswt(F),CSET(F)为图3中电容的值。CPU模块采用“ARM+FPGA”的架构,ARM实现姿态确定以及姿态控制算法。FPGA包括三个模块外设管理模块,总线通信管理模块,TMR(三倍冗余判决)表决模块。外设管理模块主要实现FPGA与外设之间的通信接口,采集外设数据并进行预处理。总线通信管理模块主要实现ARM与FPGA之间的通信。TMR表决模块是用于提高程序运行时的可靠性。在程序运行过程中,当ARM向SRAM中存取数据的时候,总线上的命令会通过FPGA上的总线通信管理模块和TMR表决模块转换成三路相同的信号对三片SRAM进行操作,并进行表决纠错, 以此提高ARM程序运行时的可靠性。基于硬件的TMR表决机制15包括三个相同的芯片SRAM_1、SRAM_2和SRAM_3,在 ARM芯片向SRAM模块中存取数据的时候,三个芯片分别接收三个相同的输入地址,产生的三个存储器重的信息送至TMR表决模块。表决模块的输出取决于三个输入的多数,若有一个SRAM芯片发生SEU故障,则另两个正常芯片的输出可将故障芯片的输出掩蔽,从而不会在表决模块输出产生差错。本发明的原理是两个完全相同的CPU模块分别有各自的看门狗复位电路,在软件跑飞时复位CPU模块。CPU模块采用“ARM+FPGA”的架构,FPGA中的TMR表决模块对SRAM 中的信号进行表决纠错,提高ARM程序运行时的可靠性。正常模式下,备份CPU模块处于不加电的状态,双机切换的主控模块对主控CPU模块进行故障检测,当检测到主控CPU模块出现不可逆转故障时,进行切机操作,实现主控CPU模块与备份CPU模块之间电源的切换,双机通信RAM模块实时保存的主控CPU模块运行的现场信息和应用程序的相关参数被备份 CPU模块使用,实现控制进程的继承。本发明与现有技术相比的优点在于(1)备份CPU模块处于不加电的状态,当主控CPU模块发生故障时,由切换开关控制对备份CPU模块加电替代并继续工作,降低了整个系统的功耗;(2)在CPU模块中,采用了 TMR表决机制,进一步提高了系统的稳定性;(3)双机通信RAM模块实时保存单机设备运行的现场信息和应用程序的相关参数,当主控CPU模块故障时,实时保存的数据可以被备份CPU模块利用,实现控制进程的继承,提高了姿轨控计算机的可靠性和寿命,缩短了故障时间并节约能源。
图1姿轨控计算机双机冷备份原理框图;图2双机电源管理原理图;图3MAX6746典型电路图4CPU模块原理框图;图5基于硬件的TMR表决机制原理框图。
具体实施例方式如图1所示,本发明由双机切换的主控模块1、双机电源管理模块2、主控CPU模块 8、备份CPU模块4及主控CPU模块8的看门狗模块9和备份CPU模块4的看门狗模块3组成;所述的双机切换的主控模块1由FPGA实现,分为三个子模块,分别是双机电源控制模块 5,双机通信RAM模块6,及双机切换仲裁模块7。其中双机电源控制模块5实现对双机电源管理模块2的控制,继而主控CPU模块8和备份CPU模块4的通断电;双机通信RAM模块6 与主控CPU模块8和备份CPU模块4相连,实现一个双口 RAM (Dual-Port RAM)的功能,用于实时保存主控CPU模块8运行的现场信息和应用程序的相关参数,当主控CPU模块8故障时,实时保存的数据可以被备份CPU模块4使用;双机切换仲裁模块7与主控CPU模块8 的看门狗9的输出相连,实现对主控CPU模块8的故障检测,故障检测是检测主控CPU模块 8的看门狗模块9输出信号,正常模式下如果在T = Is时间内看门狗连续输出超过η = 8 个复位信号,则说明主控CPU模块已经出现不可逆转故障,需要进行切机操作。T,n可以根据具体的看门狗电路改变设置。如图2所示,为双机电源管理原理图,双机电源管理模块2主要采用继电器10实现,对于主控CPU模块8来说,继电器10为常闭,而对于备份CPU模块4来说,继电器10为常开;系统在正常工作模式下是主控CPU模块8上电,备份CPU模块4不上电,当双机切换仲裁模块7检测到主控CPU模块8故障时,由FPGA的IO端口上的电平信号可以控制继电器10中线圈电流的通断,实现主控CPU模块8与备份CPU模块4之间电源的切换。如图3所示,本发明中的备份CPU模块4的看门狗模块3和主控CPU模块8的看门狗模块9采用MAX6746典型电路图,MAX6746为专用的看门狗芯片。该芯片的看门狗计数器超时时间及复位信号持续时间均可调,可以灵活地根据系统的要求对这两个时间进行配置。正常模式tm (s) = 5. 06 X IO6 X Cswt (F),tEP (s) = 5. 06 X IO6 X Cset (F)扩展模式 tm (s) = 128X5. 06 X IO6 X Cswt (F),tEP (s) = 5. 06 X IO6 X Cset (F)tTO是看门狗计数器超时时间,tKP是看门狗芯片输出低电平复位信号的时间, Cswt(F),Cset(F)为图中电容的值,为满足Τ,η的要求,取Cswt(F),Cset(F)均为IOnF0如图4所示,为CPU模块原理框,主控CPU模块8和备份CPU模块4采用“ARM芯片12+FPGA芯片17”的架构,ARM芯片(AT91RM9200) 12实现姿态确定以及姿态控制算法; FPGA芯片(Spartan 3 )(C3S400) 17包括三个模块外设管理模块14,总线通信管理模块13, TMR(三倍冗余判决)表决模块15 ;外设管理模块14主要实现FPGA芯片17与外设16之间的通信接口,采集外设数据并进行预处理,总线通信管理模块13主要实现ARM芯片12与 FPGA芯片17之间的通信,TMR表决模块15是用于提高程序运行时的可靠性;在程序运行过程中,当ARM芯片12向SRAM模块18中存取数据的时候,总线上的命令会通过FPGA芯片 17上的总线通信管理模块13和TMR表决模块15转换成三路相同的信号对三片SRAM模块18进行操作,并进行表决纠错,以此提高ARM芯片12程序运行时的可靠性。
如图5所示,基于硬件的TMR表决机制15包括三个相同的芯片SRAM_1、SRAM_2和 SRAM_3,在ARM芯片12向SRAM模块18中存取数据的时候,三个芯片分别接收三个相同的输入地址,产生的三个存储器重的信息送至TMR表决模块15。表决模块的输出取决于三个输入的多数,若有一个SRAM芯片发生SEU故障,则另两个正常芯片的输出可将故障芯片的输出掩蔽,从而不会在表决模块输出产生差错。
权利要求
1.一种姿轨控计算机双机冷备份系统,其特征在于包括双机切换的主控模块(1)、双机电源管理模块O)、主控CPU模块(8)、备份CPU模块(4)及主控CPU模块⑶的看门狗模块(9)和备份CPU模块(4)的看门狗模块(3),主控CPU模块(8)、备份CPU模块(4)完全相同;其中双机切换的主控模块(1)由FPGA实现,分为三个子模块,分别是双机电源控制模块(5)、双机通信RAM模块(6)及双机切换仲裁模块(7),其中双机电源控制模块(5)通过对双机电源管理模块( 的控制,实现对主控CPU模块(8)和备份CPU模块(4)的通断电的控制;双机通信RAM模块(6)分别与主控CPU模块(8)和备份CPU模块(4)相连,实现一个双口 RAM的功能,用于实时保存主控CPU模块(8)运行的现场信息和应用程序的相关参数,当主控CPU模块(8)故障时,实时保存的数据可以被备份CPU模块(4)使用;双机切换仲裁模块⑵与主控CPU模块⑶的看门狗模块(9)的输出相连,检测看门狗模块(9) 的输出信号,实现对主控CPU模块⑶的故障检测,如果在T时间内主控CPU模块⑶的看门狗模块(9)连续输出η个复位信号,则说明主控CPU模块⑶已经出现不可逆转故障,需要进行切机操作,Τ、η可以视具体的情况进行设置。
2.根据权利要求1所述的一种姿轨控计算机双机冷备份系统,其特征在于所述的双机电源管理模块⑵采用继电器(10)实现,对于主控CPU模块⑶来说,继电器(10)为常闭,而对于备份CPU模块(4)来说,继电器(10)为常开;系统在正常工作模式下是主控CPU 模块⑶上电,备份CPU模块(4)不上电,当双机切换仲裁模块(7)检测到主控CPU模块 ⑶故障时,由FPGA的IO端口上的电平信号控制继电器(10)中线圈电流的通断,实现主控 CPU模块⑶与备份CPU模块(4)之间电源的切换。
3.根据权利要求1所述的一种姿轨控计算机双机冷备份系统,其特征在于所述主控 CPU模块⑶和备份CPU模块(4)包括ARM(12)和FPGA(17) ;ARM(12)实现姿态确定以及姿态控制算法;FPGA(17)包括三个模块总线通信管理模块(13),外设管理模块(14),TMR 表决模块(15);其中外设管理模块(14)主要实现FPGA(17)与外设(16)之间的通信接口, 采集外设数据并进行预处理,总线通信管理模块(13)主要实现ARM(12)与FPGA(17)之间的通信,TMR表决模块(1 对单机模块的SRAM(W)输出的存储信息进行表决纠错,以此提高程序运行时的可靠性;在程序运行过程中,当ARM(12)向SRAM(IS)中存取数据的时候,总线上的命令会通过FPGA(17)上的总线通信管理模块(13)和TMR表决模块(15)转换成三路相同的信号对三片SRAM(IS)进行操作,并进行表决纠错,以此提高ARM(U)程序运行时的可靠性。
全文摘要
一种姿轨控计算机双机冷备份系统,包括双机切换的主控模块、双机电源管理模块、CPU模块、看门狗模块;两个CPU模块完全相同,分别有各自的看门狗模块,在软件跑飞时复位CPU模块。CPU模块采用“ARM+FPGA”的架构,FPGA中的TMR表决模块对SRAM中的信号进行表决纠错,提高ARM程序运行时的可靠性。正常模式下,备份CPU模块处于不加电的状态,双机切换的主控模块对主控CPU模块进行故障检测,当检测到主控CPU模块出现不可逆转故障时,进行切机操作,通过双机电源管理模块实现主控CPU模块与备份CPU模块之间电源的切换,同时双机通信RAM模块实时保存的主控CPU模块运行的现场信息和应用程序的相关参数被备份CPU模块使用,实现控制进程的继承。
文档编号G06F11/16GK102331786SQ20111020023
公开日2012年1月25日 申请日期2011年7月18日 优先权日2011年7月18日
发明者全伟, 崔培玲, 徐梁, 房建成, 杨照华, 郭雷 申请人:北京航空航天大学