一种适用于空间应用多机系统优先链表决装置制造方法

一种适用于空间应用多机系统优先链表决装置制造方法
【专利摘要】本发明提供了一种适用于空间应用多机系统优先链表决装置，包括若干套相同的分系统，分别安装在各个计算机中，每个分系统包括本机Fv表决模块和本机MC状态控制模块，本机Fv表决模块在同时满足本机容错软件自检结果正确、多机通讯比较结果正确、本机硬件看门狗信号无效、本机复位信号无效、其它单机清本机Fv信号无效时输出有效，本机MC状态控制模块在本机运行结果Fv有效且本机的优先级高于本机的单机MC状态无效时输出有效。本发明可方便实现多机系统之间的自主冗余容错，系统重构，具有强实时性、高可靠性和长寿命的特点。
【专利说明】一种适用于空间应用多机系统优先链表决装置
【技术领域】
[0001]本发明涉及一种表决装置，属于电子信息【技术领域】。
【背景技术】
[0002]目前在空间计算机领域广泛应用的多机系统优先链表决装置(以三机为例进行说明)设计方法如下:系统由三个完全相同的单机(A、B、C)组成，三个单机运行程序相同，系统加电后三机同时运行，通过底层容错软件自检或三机之间交互通讯，每个单机输出本机和其它两机的当班机(MC= ‘I’，设置本机为当班机，MC= ‘0’，设置本机为非当班机)状态标识，完全通过硬件表决，最终输出系统主从控制权，硬件设定三机之间优先级顺序为A > B> C。
[0003]I)系统上电后，各单机通过硬件端口，可读取本机机器号(A机、B机、C机)。
[0004]2)各个单机自检，三机进行信息交互，若三机状态均正确，则执行如下步骤操作:
[0005]A机容错软件设置本机MC位有效(MC= ‘I’)，B机、C机MC位无效(MC= ‘0’);B机容错软件设置本机和C机MC位无效(MC= ‘0’)，设置A机MC位有效(MC= ‘ I’);C机容错软件设置本机、B机MC位无效(MC= ‘O’)，设置A机MC位有效(MC= ‘ I’)；
[0006]三机容错软件设置的MC状态通过底板互联，每个单机通过如图1所示电路进行硬件表决，系统最终输出A机为主机，B机、C机为从机。
[0007]3)各单机在容错管理软件的支持下进行自检，信息交互，若发现某个单机异常，则执行如下步骤操作:
[0008]首先异常单机容错管理软件设置本机MC位无效，设置其它两机中高优先级单机MC位有效，低优先级单机MC位无效；其它两个正常单机容错管理软件均设置异常单机MC位无效，设置正常高优先级单机MC位有效，低优先级单机MC位无效，通过如图1所示电路进行硬件表决，最终输出次高优先级单机为主机(MC有效)，剔除故障单机。
[0009]该表决方法的优点为可靠性高、可避免硬件单点故障。缺点为只适应三机热备系统，不支持冷备份，只支持单裕度故障，硬件设计相对复杂，主从权切换相对复杂，需多机共同参与，同时三机主从控制权硬件不具有互斥性，不适用于长寿命系统。

【发明内容】

[0010]为了克服现有技术的不足，本发明提供一种空间多机系统优先链表决装置，满足空间多机系统对高可靠性、强实时性、冷热备份及长寿命的需求，方便系统降级和重构。
[0011]本发明解决其技术问题所采用的技术方案是:包括若干套相同的分系统，分别安装在各个计算机中，每个分系统包括本机Fv表决模块和本机MC状态控制模块；
[0012]所述的本机Fv表决模块输入本机容错软件自检结果、多机通讯比较结果、本机硬件看门狗信号、本机复位信号和其它单机的清本机Fv信号，当同时满足本机容错软件自检结果正确、多机通讯比较结果正确、本机硬件看门狗信号无效、本机复位信号无效、其它单机清本机Fv信号无效时，本机运行结果Fv输出有效，否则本机运行结果Fv输出无效；[0013]所述的本机MC状态控制模块输入其它单机输入至本机的MC状态信号、本机运行结果Fv和本机的优先级，当本机运行结果Fv有效且本机的优先级高于本机的单机MC状态无效时，本机的主从控制状态MC有效，否则本机主从控制状态MC无效。
[0014]本发明的有益效果是:本发明针对空间应用的多机计算机系统，可方便实现多机系统之间的自主冗余容错，系统重构，具有强实时性、高可靠性和长寿命的特点。具体而言，可以解决如下问题:
[0015]I)提高可靠性
[0016]系统每个单机运行相同程序，多机在底层容错软件的管理下，通过对外部输入信号和多机运行结果进行表决比对，在多机系统中确定某个单机为当班机，由当班机控制对外输出，提高系统可靠性。
[0017]2)避免多机系统中总线控制权无序竞争
[0018]通过多机系统优先链表决装置中的硬件优先链表决电路及总线控制权互锁逻辑功能，用硬件逻辑保证任意时刻只有一机为当班机，当系统工作于三机热备或两热一冷状态时，从根本上避免出现多机系统中各单机对总线控制权的无序竞争。
[0019]3)实时性
[0020]通过多机系统优先链表决装置，当主机发生故障时，可通过故障单机自身容错软件、硬件看门狗狗咬信号及其它正常单机清本机MC信号等多种手段，清除故障机的MC状态，使故障单机迅速退出优先链，交出系统当班机控制权，硬件逻辑自动确定次优先级正常单机为当班机，保证系统的强实时性。
[0021]4)支持多模故障
[0022]系统支持多模故障，以三机系统为例进行说明。在系统运行过程中，如果某个单机故障，系统由三机系统(TMR)降级为双机系统(DMR)，如果继续出现一机故障，系统可降级为单机系统(SMR)运行。
[0023]5)支持系统重构
[0024]通过多机优先链表决装置，如果某个单机故障，可以通过故障单机自身容错软件、故障单机硬件看门狗狗咬或其它单机作用，清除故障单机MC状态，使故障单机退出优先链，系统降级。运行过程中，如果某个单机故障发生后恢复正常，可重新加入优先链，参与优先链表决，系统重构，为防止故障机争抢总线控制权，故障恢复后的单机设置自身Fv状态无效(Fv= ‘O’)。
[0025]本发明在空间实验室、空间站、长寿命卫星、深空探测等空间飞行器领域具有重要推广应用价值。
【专利附图】

【附图说明】
[0026]图1是目ill二机表决/优先链逻辑图；
[0027]图2是多机优先链表决装置框图；
[0028]图3是本机Fv状态迁移图；
[0029]图4是三机优先链表决装置逻辑电路示意图；
[0030]图5是三机主从控制图。【具体实施方式】
[0031]下面结合附图和实施例对本发明进一步说明，本发明包括但不仅限于下述实施例。
[0032]多机优先链表决装置逻辑框图如图2所示。
[0033]多机优先链表决装置包括若干套相同的分系统，分别安装在各个计算机中，每个分系统分为两个模块，分别为本机Fv表决模块、本机MC状态控制模块。
[0034]本机Fv表决模块输入信号:
[0035]I)本机容错软件自检结果、多机通讯比较结果；
[0036]2)本机硬件看门狗信号(WDT#)；
[0037]3 )本机复位信号(RESET# )；
[0038]4)其它单机清本机Fv信号(CLR_FV#)。
[0039]本机Fv表决模块输出信号:
[0040]本机运行结果Fv状态。
[0041]只有本机容错软件自检结果正确、多机通讯比较结果正确、本机硬件看门狗信号(WDT#)无效、本机复位信号(RESET#)无效、其它单机清本机Fv信号(CLR_FV#)无效，上述条件同时满足，本机运行结果Fv输出有效(Fv= ‘I’)，否则本机运行结果Fv输出无效(Fv= ‘O，)。
[0042]本机Fv状态迁移如图3所示。
[0043]本机MC状态控制模块:
[0044]本机MC状态控制模块输入信号:
[0045]I)其它单机输入至本机的MC状态信号；
[0046]2)本机运行结果Fv;
[0047]3)本机的优先级。
[0048]本机MC状态控制模块输出信号:
[0049]本机主从控制状态MC。
[0050]本机主从控制状态MC由其它单机输入至本机的MC状态信号、本机运行结果Fv及本机的机器号共同决定。只有本机运行结果Fv有效(Fv= ‘I’)且优先级高于本机的单机MC状态无效(MC= ‘0’)的情况下，本机的主从控制状态MC有效(MC= ‘I’)，否则本机主从控制状态MC无效(MC= ‘O’)。
[0051]以三机系统为例，三机优先链表决装置由两个模块组成，分别为本机Fv表决模块、及本机MC控制模块，电路如图4所示。
[0052]备注:1、对A机，MC1、MC2输入通过底板接地；
[0053]2、对B机，MCl输入通过底板由A机MC状态输出，MC2输入通过底板接地；
[0054]3、对C机，MCl输入通过底板由A机MC状态输出，MC2输入通过底板由B机MC状
态输出。
[0055]I)本机Fv表决模块设计实现如下:
[0056]单机容错管理软件根据本机自检结果和与其它单机相互通讯的比较结果，如果均正常，通过对CS#端口写“0X05”，设置本机运行状态Fv正常(Fv= ‘I’)，如果本机自检结果或与其它单机相互通讯的比较结果任一结果异常，容错软件通过对CS#端口写”0X00”，设置本机运行状态Fv异常(Fv= ‘0’)。
[0057]为防止全‘0’全‘I’错误，SO、S2状态用锁存器Q端输出，SI状态用锁存器Q/输出。
[0058]本机复位信号(RESET#)和其它单机清除本机Fv信号(NCLRFV)通过与门D8(SNJ54HC08F3A)清除本机Fv表决模块的S0、S1信号，进而清除本机Fv状态。增加本机复位信号(RESET#)清除本机Fv状态，是保证复位后三机Fv状态无效，避免无序竞争。增加其它单机清除本机Fv状态信号NCLRFV，是为了防止本机软件运行异常，本机不能自主清除自身的Fv状态，进而影响系统重构。
[0059]本机硬件看门狗狗咬信号(WDT#)用来清除本机Fv状态的S2信号，进而清除本机Fv状态。增加硬件看门狗狗咬信号(WDT#)清除本机Fv状态，是为了防止在空间辐射环境中，单粒子翻转造成软件走飞。单机容错管理软件不能清除自身的Fv状态，进而影响系统重构。
[0060]任何一种措施，均可使故障机退出优先链表决逻辑，方便系统重构。在系统运行过程中，本机容错管理软件可根据本机运行情况，随时通过端口写操作设置或清除本机Fv状态，支持系统重构。
[0061 ] 2 )本机MC状态控制模块
[0062]本机MC状态控制模块设计实现如下:
[0063]其它单机输入各自MC状态(MC1、MC2)至本机，输入信号MC1、MC2通过IOkQ电阻(R10、R12)电阻下拉，串接IOkQ电阻(R11、R13)输入至D36 (SNJ54HC14F3A)，反相器输出信号连同本机Fv信号输入至三输入与门D9 (SNJ54HC11F3A)，最终输出本机的MC状态。
[0064]三机之间MC状态互斥，保证任何情况下只有一机MC状态有效。
[0065]通过底板设计不同，保证三机之间具有固定的优先级(A>B>C),具体设计如下:
[0066]a.A机输入MC1、MC2直接通过底板接地，保证其优先级最高，即只要本机Fv状态有效(Fv= ‘ I’)，本机主从控制状态MC有效(MC= ‘I’)；
[0067]b.B机输入MCl通过底板连接至A机MC状态输出，MC2直接通过底板接地，保证B机优先级次高，即只有在A机主从控制状态MC无效(MC= ‘0’ )且本机运行状态Fv正常(Fv= ‘I’)下，本机主从控制状态MC有效(MC= ‘1’)，否则无效；
[0068]c.C机输入MCl通过底板连接至A机MC状态输出，MC2直接通过底板连接至B机MC状态输出，保证C机优先级最低，即只有在A、B机主从控制状态均MC无效(MC= ‘0’)且本机运行状态Fv正常(Fv= ‘I’)下，本机主从控制状态MC有效(MC= ‘1’)，否则无效。
[0069]通过上述设计，既保证三机之间固有的优先级(A>B>C)，又保证三机MC状态互斥，保证任何情况下只有一机主从控制状态MC有效，从硬件设计上避免系统的无序竞争。
[0070]三机优先链表决装置具体电路实现如图4所示,三机主从控制状态如图5所示。
[0071]每个单机Fv表决模块产生本机的运行状态Fv，三机表决后产生每个单机主从控制状态MC，三机主从表决逻辑具体如下表I所示(MC为I时该机为主机，MC为O时该机为从机)。
[0072]表I三机主从逻辑选择
[0073]
【权利要求】
1.一种适用于空间应用多机系统优先链表决装置，其特征在于:包括若干套相同的分系统，分别安装在各个计算机中，每个分系统包括本机Fv表决模块和本机MC状态控制模块，所述的本机Fv表决模块输入本机容错软件自检结果、多机通讯比较结果、本机硬件看门狗信号、本机复位信号和其它单机的清本机Fv信号，当同时满足本机容错软件自检结果正确、多机通讯比较结果正确、本机硬件看门狗信号无效、本机复位信号无效、其它单机清本机Fv信号无效时，本机运行结果Fv输出有效，否则本机运行结果Fv输出无效；所述的本机MC状态控制模块输入其它单机输入至本机的MC状态信号、本机运行结果Fv和本机的优先级，当本机运行结果Fv有效且本机的优先级高于本机的单机MC状态无效时，本机的主从控制状态MC有效，否则本机主从控制状态MC无效。
【文档编号】G06F11/00GK103631668SQ201310541334
【公开日】2014年3月12日 申请日期:2013年11月4日 优先权日:2013年11月4日
【发明者】曲翕, 吴铭, 麻建文, 张婧媛, 冶晓利, 郭芳 申请人:中国航天科技集团公司第九研究院第七七一研究所