一种三模冗余计算机故障自主恢复策略验证方法与流程

本发明属于计算机设计，涉及一种三模冗余计算机故障自主恢复策略验证方法。

背景技术：

1、作为航天器运行管理的大脑，星载计算机大多采用多模冗余的设计方法以提高其可靠性。三模冗余(triple modular redundancy,tmr)技术是一种常见的冗余设计技术，即采用三个完全相同的cpu模块同时接收外部信号，三个模块(三机)之间通过精确的时间同步使三机时刻保持在同一节拍运行。但当班机只有一个，由当班机负责对外完成数据交互功能，其他两个cpu模块处于热备份工作状态，在当班机出现故障的情况下按照预先设计的表决策略接管系统控制权。由于三机中的两机同时出错的可能性极低，因此三模冗余技术可有效消除单点故障，被广泛应用于星载计算机系统的容错设计中。

2、在三模冗余计算机系统中，三机之间通过高速串口进行数据交互。当三机之间出现同步失败等故障时认为当班机发生了故障，星载计算机将降为双机运行；在计算机软件运行的空闲时间内自主完成对故障机的重构恢复，使其状态重新恢复正常。

3、导致星载计算机出现三机不同步进而引起三机重构的故障工况有很多种，参与三机同步交互的参数都可能触发故障，具体实现上取决于星载计算机的故障自主恢复策略，因此故障模式非常复杂且很难在真实故障发生的情况下进行验证。在设备研制阶段，研制方可以故障注入的形式通过软件模拟故障，对引起三机故障的所有故障模式进行模拟并进行策略验证。待设备交付并参加航天器系统级测试后，由于星载计算机是整个航天器的大脑，对星载计算机的所有测试模式都要考虑系统的安全性，不能引起别的系统发生非预期的故障，若沿用设备研制阶段的验证模式,存在操作复杂、容易造成软件出错的问题可能对整个航天器造成安全性风险。

4、因此，针对三模冗余计算机的故障自主恢复策略存在的故障模式多、故障无法真实模拟、验证难度大等问题，如何合理设计测试用例对策略进行有效验证，是星载计算机实际研制中亟需解决的难题。

技术实现思路

1、本申请的目的在于提供一种三模冗余计算机故障自主恢复策略验证方法，通过合理设计测试用例策略，能够在最小的系统代价下实现三模计算机故障自主恢复策略的全面验证。

2、实现本发明的技术方案如下：

3、一种三模冗余计算机的故障自主恢复策略验证方法，包括：

4、当班机故障工况下的计算机自主恢复策略验证：发送指令将当班机断电模拟当班机故障，基于自主恢复策略切换切换状态正常的计算机为当班机，并对故障机加电重构恢复，若恢复正常后，重新进入三机热备工作状态；

5、当每一星载计算机都作为当班机进行策略验证通过后，进入非当班机故障工况下的星载计算机自主恢复策略验证；

6、所述非当班机故障工况下的星载计算机自主恢复策略验证：发送指令将非当班机断电模拟故障，基于自主恢复策略切换状态正常的星载计算机对故障机加电并重构恢复，若非当班机故障恢复正常后，系统重新恢复为三级热备工作状态；

7、当每一非当班机进行策略验证通过后，三机恢复热备工作状态，进入故障自主重构/禁止功能验证；

8、所述故障自主重构/禁止功能验证：发送三机故障自主重构禁止指令，发送当班机断电指令以模拟当班机故障，基于自主恢复策略应切换状态正常的星载计算机为当班机，此时系统星载计算机降级双机热备工作状态；

9、完成自主恢复策略验证。

10、进一步地，本发明在故障自主恢复策略验证时，三模冗余计算机的初始状态为：星载计算机加电，默认处于三机热备工作状态，a机当班，b机、c机不当班，但与三机状态保持一致，三机计算机处于故障自主重构使能状态。

11、进一步地，本发明在完成自主恢复策略验证后，进入系统状态恢复：

12、①发送三机故障自主重构使能指令，根据故障自主重构恢复策略，此时状态正常的计算机将自主对故障机加电并进行故障恢复，故障机恢复为正常状态后，系统重新恢复为三机热备工作状态；

13、②发送三机复位指令，星载计算机重新恢复为a机当班、三机热备工作的初始工作状态。

14、进一步地，本发明所述自主恢复策略为：

15、在当班机发生故障时，切换状态正常的计算机为当班机，当班机对故障机进行加电恢复，若恢复成功，则进入三机热备份工作模式，否则降为双机热备模式；

16、在非当班机发生故障时，当班机对故障机进行加电恢复，若恢复成功，则进入三机热备份工作模式，否则降为双机热备份模式。

17、进一步地，本发明三模冗余计算机定义为计算机a、计算机b及计算机c，当班机的当班权按照计算机a、计算机b、计算机c、再至计算机a的顺序循环移交。

18、进一步地，本发明所述自主恢复策略中，对故障机加电重构恢复由当班机执行。

19、有益效果：

20、第一，本发明通过并通过巧妙设计测试用例和测试顺序，依次完成对当班机故障工况、非当班机故障工况和故障自主重构/禁止功能三项内容的测试验证，测试结束后星载计算机又重新恢复为初始工作状态，实现了在航天器系统级的一次测试中即可对所设计策略的全面验证，验证方法实施简单、安全可靠，可操作性强，

21、第二，通过对被测计算机断电模拟三机同步失败等故障，触发星载计算机实施故障自主重构和恢复功能，可在最小的系统代价下实现在航天器系统级一次测试中对所设计策略的全面验证，取得了良好的应用效果。

22、第三，本发明通过对被测断电模拟三机同步失败等故障，触发星载计算机实施故障自主重构和恢复功能，实现对设计策略的测试验证，能有效解决三模冗余计算机的故障自主恢复策略验证中的故障模式多、故障无法真实模拟、验证实施难度大等问题，可在最小的系统代价下实现三模计算机故障自主恢复策略的全面验证。

技术特征：

1.一种三模冗余计算机的故障自主恢复策略验证方法，其特征在于，包括：

2.根据权利要求1所述三模冗余计算机的故障自主恢复策略验证方法，其特征在于，在故障自主恢复策略验证时，三模冗余计算机的初始状态为：星载计算机加电，默认处于三机热备工作状态，a机当班，b机、c机不当班，但与三机状态保持一致，三机计算机处于故障自主重构使能状态。

3.根据权利要求1或2所述三模冗余计算机的故障自主恢复策略验证方法，其特征在于，在完成自主恢复策略验证后，进入系统状态恢复：

4.根据权利要求1所述三模冗余计算机的故障自主恢复策略验证方法，其特征在于，所述自主恢复策略为：

5.根据权利要求4所述三模冗余计算机的故障自主恢复策略验证方法，其特征在于，三模冗余计算机定义为计算机a、计算机b及计算机c，当班机的当班权按照计算机a、计算机b、计算机c、再至计算机a的顺序循环移交。

6.根据权利要求4所述三模冗余计算机的故障自主恢复策略验证方法，其特征在于，所述自主恢复策略中，对故障机加电重构恢复由当班机执行。

技术总结
本发明提供一种三模冗余计算机的故障自主恢复策略验证方法，通过并通过巧妙设计测试用例和测试顺序，依次完成对当班机故障工况、非当班机故障工况和故障自主重构/禁止功能三项内容的测试验证，测试结束后星载计算机又重新恢复为初始工作状态，实现了在航天器系统级的一次测试中即可对所设计策略的全面验证，验证方法实施简单、安全可靠，可操作性强。

技术研发人员：陈朝基,何熊文,訚耀保,杨将,陈瑞勋,刘岩,贾雨棽,王鹏程,安广齐,李彦欣
受保护的技术使用者：北京空间飞行器总体设计部
技术研发日：
技术公布日：2024/2/21