一种用于载人飞行器仪表软件的在轨数据安全重配置方法与流程

本发明涉及载人仪表软件在轨配置技术，特别是一种用于载人飞行器仪表软件的在轨数据安全重配置方法。

背景技术：

现有的软件在轨重配置技术是基于在轨程序的重配置，其主要由地面控制站通过专用上行配置信道发送配置信息流，星上专用配置信道接收机解调接收，由星载计算机分离配置信息，并指导星上有效载荷将卫星配置信息存储在合适的存储空间，随后载荷自主导引配置信息流完成星上程序的部分或全部重构。载人飞行器仪表软件程序规模大，包括多个系统、分系统及仪表软件，其仪表软件显示的参数是按照预先设计好的公式参数进行解算和显示的，但是随着载人飞行器的在轨变换，仪表软件需要具有公式参数、报警范围在轨重配置的功能，现有的软件在轨重配置技术需要仪表软件提供较大的内存实现配置信息流的存储及重构，重构成功的几率不高，而且需要大规模的更改仪表软件的代码，不能对仪表软件进行在轨重配置，不适用于仪表软件众多且在轨变化频繁的载人飞行器，因此需要提出一种适用于载人飞行器仪表软件的在轨数据安全重配置方法。

技术实现要素：

本发明解决的技术问题是：克服现有技术的不足，提供了一种用于载人飞行器仪表软件的在轨数据安全重配置方法，解决了现有的软件在轨重配置技术需要大规模的更改仪表软件的代码，不能对仪表软件进行在轨重配置的问题，能够更好的适用于仪表软件众多且在轨变化频繁的载人飞行器。

本发明的技术解决方案是：一种用于载人飞行器仪表软件的在轨数据安全重配置方法，包括如下步骤

(1)选择上注数据帧序列的类型，当选择系数数据注入帧序列进行仪表软件系数更新时，获取需要更新的仪表软件系统号、分系统号、参数名称、系数序号、更改的系数值作为属性信息，当选择报警范围修改帧序列进行仪表软件报警范围更新时，获取需要更新的仪表软件系统号、分系统号、参数名称、报警参数上限更新值或者报警参数下限更新值作为属性信息，当选取参数去除数据帧序列进行仪表软件显示参数去除时，获取需要去除的仪表软件的系统号、分系统号、参数名称作为属性信息；所述的上注数据帧序列包括系数数据注入帧序列、报警范围修改帧序列、参数去除数据帧序列；所述的载人飞行器的系统包括空间实验室、神舟飞船；所述的空间实验室系统、神舟飞船系统均包括电源分系统、环控分系统、热控分系统、测控分系统、推进分系统、数据处理分系统，其中，各个分系统包括多个仪表软件，参数名称为仪表软件产生参数的唯一名称，系数序号为参数名称对应参数进行解算所使用的解算公式的系数的序号，更改的系数值为解算公式中当前系数序号对应的解算公式中的系数新值，报警参数上限更新值为仪表软件对参数名称对应参数进行报警的报警范围上限新值，报警参数下限更新值为仪表软件对参数名称对应参数进行报警的报警范围下限新值，当参数名称对应的参数被去除后，该参数不进行报警；所述的解算公式的系数不超过8个；

(2)根据步骤(1)选择的上注数据帧序列类型及获取的属性信息生成生成上注数据帧序列；所述的上注数据帧序列包括至少一个格式统一的数据包；所述的数据包包括帧类型、有效数据、注入帧标识、器上校验结果、校验和，其中，帧类型包括更新参数系数、更新报警范围、参数无效信息、使用备份文件、遥测回传文件、丢弃当前序列，注入帧标识为当前数据包在上注数据帧序列中的位置，各个数据包的注入帧标识为连续的，有效数据为属性信息，器上校验结果的初值为空；

(3)根据当前上注数据帧序列中的属性信息选择预置在地面的需要更新或者去除的载人飞行器仪表软件的原始配置文件，然后根据上注数据帧序列对原始配置文件进行仪表软件系数更新、仪表软件报警范围更新或者仪表软件显示参数去除，得到新配置文件，对比原始配置文件、新配置文件得到差异部分，对差异部分进行判断，如果差异部分符合当前上注数据帧序列，则转入到步骤(4)，否则转到步骤(1)；所述的配置文件包括参数配置文件、报警配置文件、无效参数配置文件其中，参数配置文件包括仪表软件系统号、分系统号、参数名称、参数序号、参数类型、系数序号、参数有效范围、参数解算公式、参数解算公式中的系数值，报警配置文件包括仪表软件系统号、分系统号、报警参数名称、报警参数序号、报警参数类型、参数报警范围、报警参数报警方式，无效参数配置文件包括系统号、分系统号、参数序号、参数类型；

(4)将步骤(2)得到的上注数据帧序列根据属性信息依次上注至对应的载人飞行器仪表软件，同时接收载人飞行器仪表软件遥测回地面的上注数据帧序列，判断遥测上注数据帧序列、上注的上注数据帧序列，如果两者相同，则依次产生并发送上注启动帧至当前载人飞行器仪表软件，否则转到步骤(1)；所述的上注启动帧包括帧类型、有效数据、注入帧标识、器上校验结果、校验和，其中，帧类型为启用上注信息，有效数据为0XEE，注入帧标识为0，器上校验结果的初始值为空；所述的上注数据帧序列中均对应一个上注启动帧；

(5)当载人飞行器仪表软件接收到上注启动帧时，对上注启动帧使用校验和进行校验，如果校验通过，则将上注启动帧中的器上校验结果修改为校验通过，并转入步骤(6)，否则将上注启动帧中的器上校验结果修改为校验不通过、帧类型修改为丢弃当前序列，将当前上注启动帧及对应的上注帧序列舍弃，转入步骤(1)；

(6)对步骤(5)中校验通过的上注启动帧对应的上注数据帧序列进行校验和验证，如果验证失败，则将上注数据帧序列中的器上校验结果修改为校验不通过、帧类型修改为丢弃当前序列，并舍弃当前上注数据帧序列，如果验证正确，则对当前上注数据帧序列进行完整性验证，若验证通过，则转入步骤(7)，否则将上注数据帧序列中的器上校验结果修改为校验不通过、帧类型修改为丢弃当前序列，并舍弃当前上注数据帧序列，转入步骤(1)；

(7)判断当前上注帧序列中属性信息的系数序号的取值、参数名称、更改的系数值、报警参数上限更新值或者报警参数下限更新值，如果系数序号的取值、参数名称、更改的系数值、报警参数上限更新值、报警参数下限更新值均满足属性信息使用的取值范围，则使用当前上注帧序列进行仪表软件系数更新、仪表软件报警范围更新或者仪表软件显示参数去除，生成新的配置文件，否则将上注数据帧序列中的器上校验结果修改为校验不通过并舍弃；

(8)在地面向载人飞行器仪表软件发送申请文件遥测帧，控制载人飞行器仪表软件将步骤(7)得到的新的配置文件遥测至地面，然后在地面使用上注数据帧序列对新的配置文件进行验证，如果新的配置文件符合当前上注数据帧序列的更新或者去除结果，则完成载人飞行器仪表软件的在轨数据安全重配置，否则转入步骤(1)重新进行载人飞行器仪表软件的在轨数据安全重配置。

所述的步骤(2)中的数据包为64字节。

所述的步骤(6)中的完整性验证过程包括如下步骤：

(1)判断当前上注数据帧序列中数据包的帧类型是否相同；

(2)判断当前上注数据帧序列中数据包的注入帧标识是否连续；

(3)如果当前上注数据帧序列中数据包的帧类型相同且注入帧标识连续，则完整性验证通过，否则完整性验证不通过。

本发明与现有技术相比的优点在于：

(1)本发明方法通过在地面上注数据帧序列，解决了载人飞行器中的大规模仪表软件数据配置不可更改的缺陷，在不更改载人飞行器仪表软件代码的情况下，对仪表软件进行了在轨重配置；

(2)本发明方法通过对上注数据帧序列、上注启动帧进行双重检测应答，解决了上注数据帧的安全性问题，提高了载人飞行器在轨数据重配置的安全性和可靠性。

附图说明

图1为本发明一种用于载人飞行器仪表软件的在轨数据安全重配置方法原理流程图；

图2为本发明方法中地面原始配置文件配置前和配置后比较的流程示意图。

具体实施方式

载人飞行器中仪表软件显示的参数是按照预先设计好的公式参数进行解算和显示的，但是随着载人飞行器的在轨可更换，仪表软件需要具有公式参数、报警范围在轨可重配置功能，本发明针对现有技术的不足，提出一种用于载人飞行器仪表软件的在轨数据安全重配置方法，通过在地面上注数据帧更改仪表软件的配置文件来实现对仪表软件的特定功能重配置，提高了在轨数据安全重配置的安全性和可靠性，为船上大规模软件提供了一种通过地面的干预下在轨可更新配置的手段，改变了以往载人飞行器船上大规模软件难以在轨重配置的缺陷，下面结合附图对本发明方法进行详细说明。

如图1所示本发明方法包括如下步骤：

(1)在地面上注帧自动生成软件中选择上注数据帧序列的类型，当进行仪表软件系数更新时，选择系数数据注入帧序列，当进行仪表软件报警范围更新时，选择报警范围修改帧序列，当进行仪表软件显示参数去除时，选择参数去除数据帧序列。然后根据选择的上注数据帧序列的类型获取属性信息，当进行仪表软件系数更新时，获取需要更新的仪表软件系统号、分系统号、参数名称、系数序号、更改的系数值，其中，本发明方法中载人飞行器的系统包括空间实验室、神舟飞船，空间实验室系统、神舟飞船均包括电源分系统、环控分系统、热控分系统、测控分系统、推进分系统、数据处理分系统，各个分系统包括多个仪表软件，比如电源分系统包括的仪表有电池组A、电池组B、电池组C等；参数名称为仪表软件产生参数的统一且唯一的名称；系数序号为参数名称对应参数进行解算所使用的解算公式的系数的序号；更改的系数值为解算公式中当前系数序号对应的解算公式中的系数新值。

当进行仪表软件报警范围更新时，获取需要更新的仪表软件系统号、分系统号、参数名称、报警参数上限更新值或者报警参数下限更新值，报警参数上限更新值为仪表软件对参数名称对应参数进行报警的报警范围上限新值，报警参数下限更新值为仪表软件对参数名称对应参数进行报警的报警范围下限新值。当进行仪表软件显示参数去除时，获取需要去除的仪表软件的系统号、分系统号、参数名称。

最后根据当前上注数据帧序列类型对应的属性信息生成上注数据帧序列，上注数据帧序列包括至少一个格式统一的64字节的数据包，64字节的数据包如表1所示包括同步头、帧类型(包括更新参数系数、更新报警范围、参数无效信息、使用备份文件、遥测回传文件、丢弃当前序列、使用备份文件)、有效数据(属性信息)、注入帧标识(64字节的数据包在上注数据帧序列的位置)、器上校验结果(船上软件对数据帧进行校验和计算，并将校验和填入本字节)和校验和(上注数据帧序列的校验和)。

表1上注的数据帧序列内容

(2)如图2所示为地面原始配置文件配置前和配置后比较的流程示意图，本发明方法在地面上注软件中保存载人飞行器仪表软件的原始配置文件，根据当前选择的上注数据帧序列类型获取对应的载人飞行器仪表软件需要修改的原始配置文件，配置文件包括参数配置文件、报警配置文件和无效参数配置文件。参数配置文件说明每个参数的一些特性(比如仪表软件系统号、分系统号、参数名称、参数序号、参数类型、系数序号、参数有效范围、参数解算公式、参数解算公式中的系数值)，报警配置文件说明每个报警参数的一些特性(比如仪表软件系统号、分系统号、报警参数名称、报警参数序号、报警参数类型、参数报警范围、报警参数报警方式)，无效参数配置文件说明无效参数的一些特性(比如系统号、分系统号、参数序号、参数类型)。

得到配置文件后，根据上注数据帧序列对相应的配置文件进行更改，比如当进行参数系数更新时，将上注数据帧序列中所有的参数系数在相应的参数配置文件中对应参数的公式系数值进行更新；当进行报警范围更改时，将上注帧序列中所有的报警范围在相应的报警配置文件中对应报警参数的报警范围值进行更新；当进行参数去除时，将上注帧序列中所有需要去除的参数增加到无效参数配置文件中；然后根据步骤(1)得到的上注数据帧序列对配置文件进行重配置，得到新配置文件，对比原始配置文件、新配置文件得到两者的差异部分，最后对差异部分进行判断，如果差异部分符合当前上注数据帧序列内容，则转入到步骤(3)，否则转到步骤(1)。

(3)地面上注软件将步骤(1)得到的上注数据帧序列依次上注至载人飞行器仪表软件，同时接收当前载人飞行器仪表软件遥测回地面的上注数据帧序列，判断遥测上注数据帧序列、上注的上注数据帧序列是否一致，如果相同，则产生并发送上注启动帧至当前载人飞行器仪表软件，否则转到步骤(1)，其中，上注启动帧的格式同上注数据帧序列中数据包的格式一致，所不同的是它的帧类型为0x5A:启用上注信息，有效数据填充0XEE，注入帧标识为0，船上软件对上注启动帧进行校验和检查通过后，确认当前上注为有效的上注，每个上注启动帧均对应一个上注数据帧序列。

(4)对于船上软件，一次完整的上注数据程序是一个上注数据帧序列和随后的上注启动帧的完整接收。在当前载人飞行器仪表软件接收到上注启动帧并进行有效性检查通过后，对此次上注数据帧序列进行帧头验证、校验和验证，如果验证失败则将此次上注数据帧序列直接丢弃，如果验证正确则表明当前载人飞行器仪表软件收到正确的一帧“数据帧序列”后，然后对之前接收到的上注数据帧序列的完整性进行验证，即判断上注数据帧序列中所有64字节数据包的“帧类型”是否相同、“注入帧标识”是否正确完整连续，如果上注数据帧序列的完整性验证成功，则进行下一步的安全性检查，否则将此次上注数据帧序列直接丢弃。

最后对通过完整性验证的上注帧序列中的有效数据进行安全性检查，即“更改系数数目”是否超出有效范围，其中，本发明方法中系数序号的数目的有效范围是1到8，其余是无效。本发明方法中系统号、分系统号、参数名称或者系数序号示例如表2所示，如果分系统号、参数名称或者系数序号等有一项超出有效范围，则认为超出有效范围，安全性检查不通过；当安全性检查全部通过时，如果当前上注数据帧序列是系数数据注入帧序列，则进行系数更新，如果当前上注数据帧序列是报警范围修改帧序列，则进行报警范围更新，如果当前上注数据帧序列是参数去除数据帧序列，则去除相应的显示参数，同时会根据上注帧对配置文件进行更改，生成新的配置文件。

表2系统号、分系统号、参数名称或者系数序号示例

(5)在地面向载人飞行器仪表软件发送申请文件遥测帧，要求仪表软件将更新后的配置文件整体遥测，仪表软件收到该帧后，使用遥测通道将申请文件遥测帧中规定的文件进行遥测。地面对接收到的遥测配置文件进行验证，如果验证通过，则本次上注过程成功结束；如果验证失败，则转入步骤(1)重新开始整个注入过程，或者放弃本次上注。

本发明说明书中未作详细描述的内容属本领域技术人员的公知技术。