专利名称:星载计算机空间环境事件容错方法
技术领域:
本发明涉及一种星载计算机容错方法。
技术背景
航天器在整个发射过程和运行过程中,由于空间环境、航天器特性等各种各样的原因会出现各种空间环境事件,不加以处理会引起卫星系统功能的失效甚至崩溃,因此应当采取措施应对这些异常状况,使卫星能够继续正确、稳定的运行,从而保障整个卫星系统的稳定的运行和服务。
空间环境事件主要包括存储器单粒子翻转;空间辐照引起的芯片内部寄存器变化;空间辐照引起的部分电路失效等。存储器单粒子翻转会导致星上软件或FPGA运行结果错误,甚至软件的跑飞跑死。空间辐照引起的芯片内部寄存器变化,会导致航天器某些芯片的功能异常,进而影响功能的实现。空间辐照引起的部分电路失效,主要是指单粒子闩锁后引起的部分电路失效。
目前,星载计算机空间环境异常事件的容错方法尚未得到系统的研究。 发明内容
本发明的技术解决问题是克服现有技术的不足,提供了一种星载计算机空间环境事件的容错方法,以此建立一种适用于星载计算机设计的空间环境事件容错策略,提高星载计算机发射和在轨运行的可靠性。
本发明的技术解决方案是星载计算机空间环境事件容错方法,步骤如下
(1)星载计算机初始上电运行后,首先检测星载计算机软件是否可以正常启动; 若星载计算机软件可以启动,则由星载计算机软件以固定周期喂软件看门狗,星载计算机软件正常运行;若星载计算机软件无法启动或者星载计算机软件以固定周期喂软件看门狗失败,则复位电路向星载计算机提供复位信号,星载计算机重新开始运行;若星载计算机连续三次无法正常启动,则切换至备份星载计算机;
(2)星载计算机软件正常运行后,向所有RAM发送读写信号;若有RAM区读写不正常,则星载计算机通过软件配置,使用备份RAM替换读写不正常的RAM ;
(3)星载计算机软件正常运行时,周期性的向各总线终端发送轮询总线消息,当所有总线终端都不通时,星载计算机软件向星载计算机发送切机信号,星载计算机切换至备份机;
(4)星载计算机软件正常运行时,对所有实际使用的中断源允许,同时屏蔽其它中断源;当星载计算机响应中断时,首先对中断源进行确认,当中断不是来自实际使用的中断之一时,重新对中断屏蔽寄存器进行初始化;
(5)星载计算机软件正常运行时,对总线驱动芯片中处于工作状态的寄存器数值是否发生变化进行定期检查,若有寄存器的数值发生变化,则星载计算机重新初始化该寄存器及相关寄存器;同时,对于仅在部分时间有效的寄存器状态,在每次到达有效时间时对这些寄存器重新赋值;(6)星载计算机软件正常运行时,利用汉明码对每个内存地址的数据计算校验和,并将校验和进行存储;星载计算机周期对每个内存地址的数据进行检查,当发现校验单 bit错误时,进行纠错;当发现两bit或以上错误时,对星载计算机进行复位,重新启动。本发明与现有技术相比的优点在于(1)本发明星载计算机空间环境事件的容错方法主要针对空间环境引起的特殊事件,分不同的方法来进行容错,可以有效提高星载计算机在轨运行的可靠性;(2)采用星载计算机软件实现本发明星载计算机空间环境事件的容错,可以提高卫星的自主管理能力;(3)本发明星载计算机空间环境事件的容错方法在硬件支持下,可主要采用软件完成星载计算机的检错、容错,原理简单、实现容易,可维护性强,适用于绝大多数卫星,可推广性强。
图1为本发明方法的流程框图;图2为本发明方法的具体容错内容组成图;图3为本发明实施例中星载计算机硬件配置图。
具体实施例方式本发明星载计算机空间环境异常事件的容错是利用星载计算机的软硬件资源,根据空间环境事件的不同类型,进行不同的处理;同时又能满足星载计算机的重量、功耗受限的要求。如图1所示,本发明方法针对空间环境引起的单粒子翻转、单粒子闩锁等事件进行不同类型的容错,适用于大多数航天器的应用,可以提高卫星设备的在轨自主能力和可靠性。主要包括存储器单粒子翻转的处理、空间辐照引起的芯片内部寄存器变化容错、空间辐照引起的部分电路失效容错三个方面,如图2所示。(1)存储器单粒子翻转的处理对于存储器的单粒子翻转,星载计算机通过对存储区加EDAC校验,通过定期读写来对存储区进行校验。由于EDAC校验码的特点是“检一纠二”,即当发生单bit错时可以纠错,当发生双bit或多bit错时无法纠错,仅能报错。因此星载计算机硬件设计有存储器的EDAC校验电路,每当EDAC校验未通过时,软件会产生一个中断,软件在中断中通过读取 EDAC校验状态,判断是单bit错还是多bit错,如果是单bit错则通过读取数据的重写来纠正存储器中的单bit错,如果是双bit错则通过软件自主复位来消除双bit错的影响。(2)空间辐照引起的芯片内部寄存器变化芯片内部寄存器是芯片在设计之初,为方便使用而留给用户的接口,寄存器的不同数值会引起芯片工作模式、主要功能的变化。空间辐照引起的芯片内部寄存器变化,会引起星载计算机正常功能执行不正确。星载计算机针对芯片内部寄存器的变化主要采用以下几种手段对未用中断进行保护,防止中断相关寄存器变化引起的不确定中断;对工作模式寄存器,采用定期循检,若不为期望值则重新初始化;对与总线发送消息相关的寄存器,每次发送消息前重新对存储器进行赋值。(3)空间辐照引起的部分电路失效空间辐照引起的部分电路失效,主要是指单粒子闩锁后引起的部分电路失效。星载计算机针对部分电路采用了故障隔离与系统重构机制,消除部分电路单粒子闩锁的影响。主要有故障RAM存储器芯片的替换、总线接口芯片故障检测与切换、CPU芯片故障检测与切换。星载计算机采用备份冗余策略,当某块RAM芯片无法正常读写时,切换为备份RAM ; 当总线接口芯片或CPU芯片异常后,自主切换为备份机。本发明方法的主要步骤如下(1)星载计算机初始上电运行;(2)检测星载计算机软件是否可以正常启动,若启动,则由软件固定周期喂狗,软件正常运行;否则,软件无法喂狗,复位电路向星载计算机提供复位信号,星载计算机重新开始运行;若连续3次无法正常启动,则切向备份星载计算机。(3)星载计算机软件运行后,向所有RAM发送读写信号,若有RAM区读写不正常,则说明RAM由于不明原因被破坏。此时星载计算机软件则通过配置,使用备份RAM。(4)星载计算机运行后,周期性向各总线终端发送轮询总线消息,当所有总线终端都不通时,证明总线驱动芯片由于某种原因损坏。此时星载计算机软件向星载计算机发送切机信号,星载计算机切备份机,使用另一片总线驱动芯片。(5)星载计算机运行时,对所有实际使用的中断源允许,屏蔽其它中断源。当星载计算机响应中断时,首先对中断源进行确认,当中断不是来自实际使用的中断之一时,说明中断屏蔽寄存器发生单粒子翻转,重新对中断屏蔽寄存器进行初始化。(6)星载计算机运行时,对总线驱动芯片中处于工作状态的寄存器数值是否发生变化进行定期检查,当发生变化时,说明该寄存器受到单粒子的影响。此时,星载计算机重新初始化该寄存器及相关寄存器。(7)星载计算机运行时,有一些寄存器的状态仅在部分时间有效,在每次需要使用这些寄存器时对它们重新赋值,消除在此之前这些寄存器可能受到的单粒子影响。(8)星载计算机运行时,利用汉明码对每个内存地址的数据计算校验和,并将校验和存储起来。星载计算机周期对每个内存地址的数据进行检查,当发现校验单bit错误时 (即单粒子翻转),进行纠错;当发现多bit错时,对计算机进行复位,重新加载程序。(9)重复运行步骤(4) (8),对空间环境事件进行容错处理。实施例下面以某卫星为例,介绍星载计算机的空间环境事件容错策略如图3所示,某卫星的星载计算机采用TSC695f作为cpu,自带EDAC电路,同时具有冗余RAM的替换电路;星载计算机使用61580作为总线的接口芯片;星载计算机具有 128K的PROM和8M的RAM,RAM芯片由4片容量为2M的9Q51I32组成,系统同时备份有1 片2M的RAM ;同时具有遥测接口和遥控接口。应用软件在操作系统之上完成各项应用层的功能。星载计算机具有双机冷备份,每个单机的组成完全相同。 在星载计算机启动过程中,操作系统首先对4片RAM进行自检,若某片RAM读写不正常,则采用备份RAM进行替代,若替换后仍不正常,则复位。 TSC695f自带EDAC电路,当存储区的EDAC校验不过时,会产生相应的中断,并纪录此时为单bit错还是双bit错,并记录此时读取到的数值。应用软件初始化过程中,将此中断挂接;当产生此中断后,软件首先判断是否为单bit错,若为单bit错则将EDAC纠错后的数值回写到RAM区内,消除单bit影响;若为双bit错,则立即复位。
星载计算机应用软件每0. 5秒对61580芯片的工作模式及695f芯片的工作模式进行一次检查,若不为设定的值则重新赋值;应用软件在每次发送总线消息时,对61580芯片的有关消息发送的寄存器进行重新赋值;操作系统软件对未用中断进行保护,当未用中断异常发生时,清除中断状态寄存器的相应位,并退出中断响应程序。
星载计算机具有自主切机功能,当应用软件检测到所有总线终端不通时,认为 61580芯片出现故障,立即切机;当CPU芯片出现异常,通过看门狗进行复位,若复位3次仍不能恢复,则立即切机,从而隔离空间环境事件引起故障的部位。
本发明说明书中未作详细描述的内容属本领域技术人员的公知技术。
权利要求
1.星载计算机空间环境事件容错方法,其特征在于步骤如下(1)星载计算机初始上电运行后,首先检测星载计算机软件是否可以正常启动;若星载计算机软件可以启动,则由星载计算机软件以固定周期喂软件看门狗,星载计算机软件正常运行;若星载计算机软件无法启动或者星载计算机软件以固定周期喂软件看门狗失败,则复位电路向星载计算机提供复位信号,星载计算机重新开始运行;若星载计算机连续三次无法正常启动,则切换至备份星载计算机;(2)星载计算机软件正常运行后,向所有RAM发送读写信号;若有RAM区读写不正常, 则星载计算机通过软件配置,使用备份MM替换读写不正常的RAM ;(3)星载计算机软件正常运行时,周期性的向各总线终端发送轮询总线消息,当所有总线终端都不通时,星载计算机软件向星载计算机发送切机信号,星载计算机切换至备份机;(4)星载计算机软件正常运行时,对所有实际使用的中断源允许,同时屏蔽其它中断源;当星载计算机响应中断时,首先对中断源进行确认,当中断不是来自实际使用的中断之一时,重新对中断屏蔽寄存器进行初始化;(5)星载计算机软件正常运行时,对总线驱动芯片中处于工作状态的寄存器数值是否发生变化进行定期检查,若有寄存器的数值发生变化,则星载计算机重新初始化该寄存器及相关寄存器;同时,对于仅在部分时间有效的寄存器状态,在每次到达有效时间时对这些寄存器重新赋值;(6)星载计算机软件正常运行时,利用汉明码对每个内存地址的数据计算校验和,并将校验和进行存储;星载计算机周期对每个内存地址的数据进行检查,当发现校验单bit错误时,进行纠错;当发现两bit或以上错误时,对星载计算机进行复位,重新启动。
全文摘要
星载计算机空间环境事件容错方法,主要包括存储器单粒子翻转的处理、空间辐照引起的芯片内部寄存器变化容错、空间辐照引起的部分电路失效容错。对于存储器的单粒子翻转,星载计算机通过对存储区加EDAC校验,定期对存储区读写进行容错。对于空间辐照引起的芯片内部寄存器变化,星载计算机对未用中断进行保护;对工作模式寄存器,采用定期循检,若不为期望值则重新初始化;对与总线发送消息相关的寄存器,每次发送消息前重新对存储器进行赋值。对于空间辐照引起的部分电路失效,采用故障RAM存储器芯片的替换、总线接口芯片故障检测与切换、CPU芯片故障检测与切换进行容错。本发明方法可以有效提高星载计算机发射和在轨运行的可靠性。
文档编号G06F11/08GK102521066SQ201110361989
公开日2012年6月27日 申请日期2011年11月15日 优先权日2011年11月15日
发明者唐自新, 李伟, 李林, 汪路元, 翟君武, 陶利民 申请人:北京空间飞行器总体设计部