一种实施三模冗余的方法与流程

本发明涉及航天器稳定性技术领域，更为具体来说，本发明适用于电子信息系统，是一种实施三模冗余的方法。

背景技术：

航天器是空间应用活动中的主要物质载体和信息载体，其能否长期、稳定的运行直接决定了在轨任务能否顺利完成。但是，在太空中，航天器往往受到多方面的影响。

(1)高能粒子和宇宙射线影响：在太空环境中，在轨运行的电子器件，特别是sram型fpga等可编程逻辑器件很容易出现单粒子瞬态(set)、单粒子翻转(seu)等效应，轻则造成数据单次失效，重则引发整个系统崩溃；单粒子瞬态(set)、单粒子翻转(seu)效应主要影响电子器件，表现为对硬件集成电路的直接影响。

(2)航天器内部震动器件影响：由于航天器往往具有震动特性的器件，这些器件工作时可能会对通信质量产生影响，比如信号传输不稳定造成的单次通信失败。对内部震动器件影响导致的接口通信影响范围可涉及硬件和软件。

为增强航天器的可靠性和稳定性，保证系统或设备可屏蔽或容忍一些类型的故障，目前常用的方法有硬件加固和软件加固两种方法。

(1)硬件加固主要是通过增加外部装置或采用抗辐射生产工艺器件的方式实现。但是，这种额外设置其他装置或者改变器件生产工艺的方式极大地增加了成本，而且，增加外部装置的同时必然会增加航天器设计的复杂度。

(2)软件加固主要是针对可编程器件进行内部容错设计，这种方式通过软件编码方式实现对有用信息的冗余保护，从而提高系统或设备运行的可靠性。比如，对sram型fpga实施三模冗余，可在一定程度上消除单粒子故障影响、减少低频振动等因素对设备间通信的偶发干扰，三模冗余具有简单灵活、易于重构等优点，为业界广泛采用；但是，航天器所具有的硬件资源是有限的、无法对所有模块进行三模冗余，因此，往往只能对部分模块实施三模冗余，设计人员通常采用基于实物试验或器件单粒子翻转概率量化分析等方法确定三模冗余的实施范围，从器件结构及物理特性方面加固薄弱单元，但是通过实践证明，通过上述常规方法判断三模冗余实施范围，对航天器稳定性和可靠性的加固效果并不好。

因此，如何合理地确定三模冗余的实施范围、达到最大程度对航天器稳定性和可靠性的加固，成为了本领域技术人员亟待解决的技术问题和研究的重点。

技术实现要素：

为解决现有实施三模冗余的方法无法合理确定实施范围、无法充分对航天器稳定性和可靠性进行加固等问题，本发明提供了一种实施三模冗余的方法，从航天器飞行任务和功能角度确定实施范围，然后有针对性地实施三模冗余，实现最大程度上增强飞行器的可靠性和稳定性。

为实现上述的技术目的，本发明公开了一种实施三模冗余的方法，该方法包括如下步骤，

步骤1，获取需要三模冗余保护的设备的核心功能；

步骤2，分析出核心功能涵盖的接口模块和功能模块；

步骤3，对所述接口模块和功能模块进行优先级排序；

步骤4，按照优先级顺序对接口模块和/或功能模块实施三模冗余。

针对设备待执行的任务，本发明从设备的核心功能出发，较好的解决了实施三模冗余的范围和顺序问题，与传统的方法比较，本发明对航天器的可靠性和稳定性的加固效果更好。

进一步地，该方法还包括如下步骤，

步骤30，执行步骤3后，判断对所述接口模块和功能模块实施三模冗余是否同时符合核心功能需求和硬件资源承载力：如果是，则进入步骤4；如果否，则执行步骤31；

步骤31，判断所述接口模块和功能模块所具有的核心功能是否可以合并：如果是，则合并相应的核心功能，然后返回至步骤1；如果否，则根据硬件资源承载力截取优先级高的接口模块和/或功能模块，然后执行步骤4。

考虑到航天器具体任务的角度和内部剩余硬件资源的局限性，本发明将接口模块和功能模块需要满足的核心功能需求和硬件资源承载力考虑在内，如果符合上述条件，则实施三模冗余；如果不符合上述条件，则重新规划。

进一步地，步骤3中，通过时间维度和空间维度对所述接口模块和功能模块进行优先级排序。

本发明从时间和空间两个维度进行设计、分解所有模块，可达到同时考虑到单粒子翻转、单粒子瞬态及接口噪声等多种因素，相对于传统方法，本发明简便易行。

进一步地，步骤3中，形成以空间维度为横坐标、以时间维度为纵坐标的优先级矩阵表，自该优先级矩阵表左上角至右下角方向，优先级等级逐渐降低。

在优先级矩阵表上，各个接口模块和功能模块被详细地分级，处理器会根据级别高低而有选择、有次序地实施三模冗余。

进一步地，步骤1中，从任务剖面角度分析设备的工作模式和主要功能，进而获取需要三模冗余保护的设备的核心功能。

本发明实施三模冗余的设计面向任务剖面，可优先对支持核心功能的fpga功能模块进行冗余处理，提高硬件资源的使用效能，提高设备工作的稳定性和可靠性。

进一步地，步骤1中，识别影响任务成败的功能和/或存在严重安全性隐患的功能作为设备的核心功能。

本发明解决的是设备可靠性问题，减少甚至避免其他因素对设备工作的影响，因此，本发明通过“识别影响任务成败的功能和/或存在严重安全性隐患的功能”的方式判断出可靠性问题的关键，有针对性地实施三模冗余、解决设备受干扰的问题。

进一步地，步骤2中，根据设备的核心功能，在fpga的基本逻辑模块基础上分析出核心功能涵盖的接口模块和功能模块。

由于fpga中往往承担着设备的核心功能，本发明可在fpga基本逻辑模块基础上判断出实施三模冗余的范围、解决设备可靠性问题。

进一步地，设备正在执行在轨任务，本发明的方法适用范围较广，可用于正在执行在轨任务的飞行器。

本发明的有益效果为：与现有技术相比，本发明实施三模冗余的方法具有结合航天器飞行任务、面向任务核心功能等优点，针对飞行器的核心模块实施三模冗余，实现了对飞行器可靠性和稳定性的充分加固。

附图说明

图1为本发明实施三模冗余的方法的流程图。

图2为以空间维度为横坐标、以时间维度为纵坐标的优先级矩阵表。

图3为在图2基础上进一步细化的优先级矩阵表。

具体实施方式

下面结合说明书附图对本发明进行详细的解释和说明。

如图1、2、3所示，本发明公开了一种实施三模冗余的方法，该方法包括如下步骤，

步骤1，根据设备需要完成的任务提取所涉及的任务路径，从任务剖面的角度分析设备的工作模式和主要功能，通过分析设备的工作模式和主要功能来获取需要三模冗余保护的设备的核心功能，如利用模式转换图或功能项分解等方法实现，具体判断时，可以利用故障模式、影响及危害性分析(fmeca)、故障树分析(fat)等方法将识别影响任务成败的功能和/或存在严重安全性隐患的功能作为设备的核心功能。

本实施例中，需要三模冗余保护的设备可正在执行在轨任务，该设备可为航天器或者其他用于航天作业设备或装置。

步骤2，根据所提取的核心功能找到对应的软件代码，通过模块化的方式分析出核心功能涵盖的接口模块和功能模块，本实施例中，确定后的代码经“逻辑综合”后所对应的fpga基本逻辑模块，例如xilinx公司fpga芯片的slice或lut，然后分析出各关键功能路径所涵盖的功能模块及其接口，本实施例中，在fpga的基本逻辑模块基础上，根据设备的核心功能，根据软件设计及其对应的fpga的基本逻辑模块分析出核心功能涵盖的接口模块和功能模块。

步骤3，如图2、3所示，对上述接口模块和功能模块进行优先级排序并逐层细化，本实施例中，通过时间维度和空间维度对上述的接口模块和功能模块进行优先级排序、推演出三模冗余的实施策略，形成以空间维度为横坐标、以时间维度为纵坐标的优先级矩阵表，如图2所示，自该优先级矩阵表左上角至右下角方向，优先级等级逐渐降低；当然，优先级矩阵表也可以以时间维度为横坐标、以空间维度为纵坐标。本发明中，“时间维度”可理解将功能模块的执行顺序以时间描述，“空间维度”可理解将功能模块的执行顺序以空间描述。

具体来说，步骤3可通过如下方式实施。

(1)对于上述接口模块和功能模块，按照in-out数据流向进行优先级排序，比如，根据飞行器任务可设定数据入口模块优先级高、数据接口模块优先级高，得到一个经过根据上述设定规则的优先级排序的模块序列。

(2)如图2所示，建立以空间维度为横坐标(x轴)、以时间维度为纵坐标(y轴)的优先级矩阵表，然后将上述的模块序列放置于∣x∣＝∣y∣的位置，如图2中，将模块1、模块2、模块3……的放置方式。

(3)如图3所示，根据具体任务或者故障的侧重点，将上述优先级矩阵表进一步分解或划分，实施三模冗余的范围和顺序也根据具体任务或者故障的侧重点而更改，比如，可采用如下公式为例实施三模冗余。

公式一：若重点防护单粒子瞬态(set)等瞬时故障，则将模块移动至∣y∣>∣x∣区域，如图3中模块2，即向该模块先后发3次相同的信号、并将该模块先后输出的信号中逻辑值相同的作为正确结果，即，时序3取2；

公式二：若重点防护单粒子翻转(seu)等带电期间非自解除故障，则将模块移动至∣y∣<∣x∣区域，如图3中模块1；即将该模块逻辑复制为3份，包含原模块、并将3份逻辑输出信号中逻辑值相同的作为正确结果，即，模块结构三模；

公式三：若需要同时防护单粒子瞬态(set)、单粒子翻转(seu)等故障，则将模块复制为2份，包含原模块，并分别移动至∣y∣>∣x∣区域和∣y∣<∣x∣区域，如图3中模块3。

公式四：若无时序同步、芯片管脚三模冗余等特殊需求，则优先将数据接口模块移动至∣y∣>∣x∣区域，因为“时序3取2”实现方式较为节省资源。

步骤30，执行步骤3后，判断对上述接口模块和功能模块实施三模冗余是否同时符合核心功能需求和硬件资源承载力：如果是，则进入步骤4；如果否，则执行步骤31；该步骤中，从实施三模冗余设计是否符合对核心功能覆盖面角度和对fpga基本逻辑模块的需求量是否小于当前资源余量角度进行判断，如果都符合，则进行三模冗余，如果其中一条不符合，则执行步骤31、重新规划。

步骤31，重新综合分析、判断上述的接口模块和功能模块所具有的核心功能是否可以合并：如果是，则合并相应的核心功能，然后返回至步骤1，直至待实现三模冗余的模块同时符合核心功能需求和硬件资源承载力；如果否，则根据硬件资源承载力截取优先级高的接口模块和/或功能模块，着重实现优先级较高的模块，对与影响飞行器任务成败或安全隐患最高的相关模块实施三模冗余，然后执行步骤4。

“合并”可理解为两个及以上的接口模块和/或功能模块具有类似的作用或目的，可考虑从这些接口模块和/或功能模块中去掉一部分模块，被去掉的模块不实施三模冗余，从而达到减少待处理的模块数量的作用，减少硬件资源占用，使剩余的硬件资源满足三模冗余操作。

步骤4，按照优先级顺序对接口模块和/或功能模块实施三模冗余。本实施例中，以增量式的实现方式对fpga器件实施三模冗余，采用三个结构相同的单元并联存储或处理数据，并用表决器对三路数据运算结果进行多数表决，将表决结果作为最终结果输出。

本发明实施三模冗余的方法不仅可用于对飞行器可靠性和稳定性的充分加固，对于类似的电子信息系统，以及物理机械系统、燃烧系统等，在本发明的技术启示下，也可将本发明推广于其他的应用场景。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明实质内容上所作的任何修改、等同替换和简单改进等，均应包含在本发明的保护范围之内。