基于有限状态机理论的卫星软错误传播过程建模与仿真方法与流程

本发明涉及卫星软错误传播建模与仿真技术领域，特别涉及一种基于有限状态机理论的卫星软错误传播过程建模与仿真方法。

背景技术：

目前在卫星安全性领域中，绝大多数研究都是针对系统的安全运行状态建立模型，而很少有对软错误的发展传播过程进行建模的。软错误是指高能粒子与硅元素之间的相互作用而在半导体中造成的随机、临时的状态改变或瞬变，即导致卫星中断、影响卫星可用性的重要因素，因此，研究对卫星软错误传播过程进行建模仿真的方法就显得十分必要。

卫星结构按功能分为服务平台与有效载荷两部分，服务平台部分主要包括电源系统、控制系统、无线电测控系统，有效载荷部分与卫星所执行的任务直接有关，有效载荷部分及其包含的系统是承担卫星功能的主体，也是软错误影响传播的主要研究对象。

至今，安全性分析方法已经发展出了多项技术，但其用于卫星时仍存在一些不足。常用的故障传播过程仿真方法大多是基于概率分布的纯逻辑仿真，存在一定的局限性，基于故障树、事件树模型的仿真应用蒙特卡罗原理，能实现系统的故障分析与安全性风险评估，但在解决包含时间、过程变量、人的操作行为等动态因素的问题上还存在一定不足。

基于有限状态机理论的图形化建模工具构建在simulink(可视化仿真工具，是一种基于matlab的框图设计环境)之上，通过状态流程和事件驱动实现对离散事件系统的仿真。有限状态机理论提供了描述和控制应用逻辑的非常强大的方法，很多复杂的逻辑可以在一张小图表中表述，规则简单，可读性和可验证性很强。在实践层面，stateflow(基于有限状态机和流程图来构建组合和时序逻辑决策模型并进行仿真的环境)实现了有限状态机代码的自动生成，用户只需在stateflow的设计界面绘制状态转移图和流程标识，将stateflow生成simulink仿真代码，同时可以直观地观察状态转换过程。

技术实现要素：

本发明的目的是提供一种基于有限状态机理论的卫星软错误传播过程建模与仿真方法，所述方法是基于有限状态机理论，利用图形化工具stateflow中的状态框图对卫星系统中受软错误影响的每个部件的失效模式及各个部件失效的传播方式进行描述，分为纵向与横向两个传播层次，构成软错误传播模型，通过对软错误传播模型进行仿真，可以直观地观察到软错误的动态传播过程，并得到软错误传播路径。具体建模和仿真方法的步骤如下：

步骤1.确定导航卫星结构及研究对象；

导航卫星结构按照从属关系，为不同的层级，如系统级、子系统级、部件级。按功能分为服务平台与有效载荷两部分，服务平台部分主要包括电源系统、控制系统、无线电测控系统，有效载荷部分与卫星所执行的任务直接有关，是易受软错误影响的部分，因此将有效载荷部分作为研究对象。具体地，所述的研究对象也可以还是有效载荷部分的各个子系统。

步骤2.基于fmea(失效模式与影响分析)分析方法得到软错误传播过程中每个部件的失效模式和各个部件失效的传播方式；

根据卫星有效载荷的信息流与功能结构，利用fmea分析方法得到各个层级由软错误导致的失效模式及其失效的传播方式。所述的传播模式有两种：第一种是失效在同一层级内不同部件间的横向传播，第二种是失效在不同层级间的纵向传播。

步骤3.基于有限状态机理论构建卫星软错误传播模型；

基于有限状态机理论，利用其图形化工具stateflow状态框图对受软错误影响的每个部件的失效模式进行描述，并用层次状态嵌套及并行状态的形式来描述各部件的结构功能关系。纵向传播过程(如部件级→子系统级→系统级)在软错误传播模型中定义标识的条件转移触发，横向传播(如部件级中的部件a→部件b)采用直接事件来实现条件转移，构建传播关系，最后形成软错误传播模型。由于整个卫星系统中模块及组件数量非常庞大，故采用全英文的统一格式对其分别命名，避免了后期由于命名不规范带来的建模软件报错，提高了工作效率。并用中文加以注释，便于理解。

步骤4.过程模型仿真得到软错误传播路径；

将simulink环境和stateflow的状态控制逻辑相结合，对构建的软错误传播模型定义输入输出，被蓝色高亮显示的状态(即变蓝)为当前被激活的状态，通过仿真可以直观地观察到stateflow中每个框图依次被激活的过程，得到按一定时序发生的失效状态转移，即软错误传播路径；对系统失效抽样进行合理假设(例如抽取一个服从威布尔分布的失效时间)，根据仿真中随机抽取的时间可计算得到每个部件的平均故障间隔时间mtbf，为卫星软错误传播过程和安全性分析验证技术提供新思路和新方法。

与现有技术相比，本发明的有益效果是：

(1)可以描述软错误引起的多类失效模式及其失效影响在卫星各层级的传递，并按其失效特点分为不同层级间的纵向传播和同层级间的横向传播，使分析更贴合实际情况，而并非仅依靠工程经验。

(2)可以描述软错误影响在整个卫星的系统结构中传播的随机特性。

(3)基于有限状态机理论建立软错误传播过程模型具有设计简单明了、易于理解、可视化的特点，可针对不同卫星系统的具体结构构建相应的仿真模型，具有一定的通用性，支持可靠性设计分析工作。

附图说明

图1为本发明提供的卫星软错误传播过程模型的建模仿真步骤示意图。

图2为导航分系统层次结构嵌套模型。

图3为各部件失效的传播关系示意图。

具体实施方式

本发明提供一种基于有限状态机理论的卫星软错误传播过程建模与仿真方法，下面结合实施例和附图进行详细说明。

本发明提供的一种基于有限状态机理论的卫星软错误传播过程建模与仿真方法，如图1所示流程，具体步骤如下：

步骤1.导航卫星结构按功能分为服务平台与有效载荷两部分，服务平台部分主要包括电源系统、控制系统、无线电测控系统，有效载荷部分包括导航分系统与天线分系统，其中易受单粒子等影响引发的软错误主要位于导航分系统内，由此确定研究对象为导航分系统。所述的导航分系统主要由上行注入设备单元、原子钟/基准频率合成单元、导航任务处理单元以及导航信号播发单元等组成，属于子系统层级。

步骤2.根据卫星有效载荷的信息流与功能结构，利用fmea分析方法对软错误传播过程进行分析，得到导航分系统中由软错误导致的失效模式及其传播方式。

实施例中，导航分系统中器件级软错误传播至单机级总计可能导致6种单机失效模式，即上行注入失锁、数据传输错误、电文输出错误、下行信号无输出、时间基准错误、相位差测量异常，并最终产生4类整星级中断影响，即卫星精密定轨精度下降、下行信号中断、上下行信号同时中断、星地测距不正确。

步骤3.利用有限状态机中的stateflow状态框图对导航分系统中各单元的状态建立对应的模型图，包括系统层次结构嵌套模型如图2，导航分系统包含上行注入设备单元、原子钟/基准频率合成单元、导航任务处理单元以及导航信号播发单元四个单元，四个单元的框图均用虚线表示，说明它们是并行关系。

对导航分系统的每个部件的失效模式及各个部件失效的传播模式进行描述，示例如图3，最后形成软错误影响传播模型。以导航分系统中的一个导航任务处理单元为例，导航任务处理单元包含一个正常状态(normal)和三个失效状态(failure1-failure3)，从normal转移到failure1是通过条件转移中的标识来实现的(flag_232＝＝1)，即232部件发生了故障，引致导航任务处理单元转移到第一个失效状态，体现了故障的纵向传播过程。而从normal转移到failure2、failure3则是通过直接事件转移(event_fcc_ntp)来实现状态的转换，ntp(navigationtaskprocessingunit)指的是导航任务处理单元。

步骤4.将simulink环境和stateflow的状态控制逻辑相结合，软错误影响模型输入包括软错误事件流、软错误检测、系统复位、开关机、切机时间分布。通过仿真可以直观地观察到stateflow中每个框图依次变蓝的过程，得到按一定时序发生的失效状态转移，即软错误传播路径；从工程经验出发，为软错误影响模型中的每个部件定义一个服从威布尔分布的随机数，通过随机取样的方式抽取一个随机数，定义为部件的失效时间，当系统运行时间等于抽取的部件失效时间时，该部件由正常状态转移至失效状态。根据仿真中系统随机抽取的软错误导致的失效时间可计算得到每个部件的平均故障间隔时间mtbf，为卫星软错误传播过程和安全性分析验证技术提供新思路和新方法。