一种三冗余1553B总线动态切换方法与流程

本发明涉及运载火箭控制系统，尤其是一种低成本、高可靠运载火箭控制系统中总线动态故障诊断与切换方法，适用于遥测信息采集、测量单机信息采集和姿轨控指令通信，保证一度故障状态实时、连续的提供信息通道。

背景技术：

由于1553b总线实时性、可靠性独特的优势，在未来的各种类型的上面级、快速响应的液体小火箭、固体小运载、空射小运载和用于载人探月的重型运载火箭上将具有广泛的应用。

随着我国空间应用、科学探测、载人航天的发展，国际商业发射与国际合作的日益加深，运载火箭发射任务越来越多，高密度快速发射成为运载火箭的发展趋势。为了提高中国运载火箭的整体水平和能力，满足未来20—30年航天发展的需求，保持我国运载技术在世界航天领域的地位，我国开展了研制新一代快速发射运载火箭。

新一代快速发射运载火箭定位为“低成本、高可靠运载火箭”，要求火箭简化测发模式，缩短测发准备周期，并具备故障冗余诊断与切换手段。

运载火箭或航天器的通信接口形式较多，例如rs232、rs422，i2c总线、can总线等，相比航天应用的通信接口，由于1553b总线冗余、故障诊断便捷、实时性高等特点，应用于国内新一代运载火箭。

采用三冗余1553b总线是应用于运载火箭或航天器，高机动能力需求下，实时性高可靠的故障实时诊断与切换的解决方案。

其中总线网络架构设计是的三冗余1553b总线动态切换方法关键技术之一，它直接影响系统的可靠性及复位度。以及总线的动态切换逻辑设计，是总线连续性与可靠性指标的关键。

以往火箭主要采用的是非总线接口与单总线接口，该方法故障判别复杂，且不可避免的具有较多系统单点，并具有一定的应用局限性。采用三冗余1553b总线动态切换方法是最好的方式。

随着我国总线通信技术在火箭和航天器上的普遍应用，及对火箭高可靠、低成本的要求，利用全自主三冗余1553b总线动态切换方法迫在眉睫。

技术实现要素：

本发明要解决的技术问题是：相比于现有技术，提供了一种三冗余1553b总线动态切换方法，它能够解决运载火箭和航天器计算机系统通讯总线冗余故障诊断、故障决策和故障重构。

本发明目的通过以下技术方案予以实现：一种三冗余1553b总线动态切换方法，所述方法包括如下步骤：

步骤一：建立三机冗余总线网络计算机系统架构；其中，三机冗余总线网络计算机系统架构包括第一冗余模块、第二冗余模块和第三冗余模块；第一冗余模块包括第一cpu处理器、第一逻辑处理与控制模块和第一总线芯片，第二冗余模块包括第二cpu处理器、第二逻辑处理与控制模块和第二总线芯片，第三冗余模块包括第三cpu处理器、第三逻辑处理与控制模块和第三总线芯片，第一总线芯片的a通道与总线a相连接，第一总线芯片的b通道与总线b相连接，第二总线芯片的a通道与总线a相连接，第二总线芯片的b通道与总线b相连接，第三总线芯片的a通道与总线a相连接，第三总线芯片的b通道与总线b相连接；第一cpu处理器分别与第一逻辑处理与控制模块、第二逻辑处理与控制模块和第三逻辑处理与控制模块相连接；第二cpu处理器分别与第一逻辑处理与控制模块、第二逻辑处理与控制模块和第三逻辑处理与控制模块相连接；第三cpu处理器分别与第一逻辑处理与控制模块、第二逻辑处理与控制模块和第三逻辑处理与控制模块相连接；第一总线芯片分别与第一cpu处理器、第一逻辑处理与控制模块相连接，第二总线芯片分别与第二cpu处理器、第二逻辑处理与控制模块相连接，第三总线芯片分别与第三cpu处理器、第三逻辑处理与控制模块相连接；

步骤二：基于步骤一建立的三机冗余总线网络计算机系统架构，设计冗余总线的配置方法，默认总线a通信作为主总线，计算机系统上电状态默认第一冗余模块为当班机，第一总线芯片配置为bc模式，第二总线芯片和第三总线芯片均配置为mt模式；

步骤三：第一冗余模块的第一cpu处理器通过第一总线芯片获取总线命令字、数据内容、状态字与块状态字信息，第一总线芯片的a通道通过总线a组织总线消息，第二总线芯片和第三总线芯片同步可检测总线上总线消息命令字、数据内容、状态字与块状态字内容，然后第二冗余模块的第二cpu处理器通过第二总线芯片获取总线消息内容，第三冗余模块的第三cpu处理器通过第二总线芯片获取总线消息内容，第一冗余模块、第二冗余模块和第三冗余模块根据状态字和块状态字内容的错误标识，表决当班机即第一冗余模块是否故障，当当班机即第一冗余模块故障时，当班机即第一冗余模块的a通道切换至b通道，当b通道故障时切换回a通道，当当班机即第一冗余模块的a通道和b通道连续一定时间通讯均异常时，则认为当班机即第一冗余模块故障；

步骤四：第二cpu处理器与第三cpu处理器发送总线复位指令，控制第二逻辑处理与控制模块和第三逻辑处理与控制模块执行第一总线芯片的复位电平信号，复位电平信号输出至第一冗余模块的第一cpu处理器及第一总线芯片，第一冗余模块重启后配置第一总线芯片为mt模式，第二冗余模块的第二总线芯片配置为bc模式，第三冗余模块的第三总线芯片配置为mt模式，按照当班机切换原则重新组建一个bc模式和两个mt模式的三冗余总线模式。

上述三冗余1553b总线动态切换方法中，在步骤一中，第一总线芯片的a通道通过第一耦合变压器与总线a的第一耦合器相连接，第一总线芯片的b通道通过第二耦合变压器与总线b的第二耦合器相连接，第二总线芯片的a通道通过第三耦合变压器与总线a的第三耦合器相连接，第二总线芯片的b通道通过第四耦合变压器与总线b的第四耦合器相连接，第三总线芯片的a通道通过第五耦合变压器与总线a的第五耦合器相连接，第三总线芯片的b通道通过第六耦合变压器与总线b的第六耦合器相连接。

上述三冗余1553b总线动态切换方法中，在步骤二中，所述当班机为具备输出控制权的模块。

上述三冗余1553b总线动态切换方法中，在步骤三中，所述一定时间为20ms。

上述三冗余1553b总线动态切换方法中，在步骤四中，所述当班机切换原则为按照一定的顺序进行当班机切换,通过信息交互接口实现当班机切换指令的共享，选定新的当班机，然后将新的当班机的总线芯片的mt模式配置为bc模式。

上述三冗余1553b总线动态切换方法中，第一总线芯片、第二总线芯片和第三总线芯片均为1553b总线芯片。

上述三冗余1553b总线动态切换方法中，第一耦合变压器、第二耦合变压器、第三耦合变压器、第四耦合变压器、第五耦合变压器和第六耦合变压器均为beta3226耦合变压器。

本发明与现有技术相比的优点在于：

1.可靠性

运载火箭与航天器均采用冗余措施，而故障诊断与切换是关键点，1553b总线可采用多种硬件与软件手段进行故障的检测，通过三冗余总线三取二表决方法，避免了传统容错机制表决器的单点故障。从实现可靠性的角度出发，利用三冗余1553b总线可以解决这个问题。

2.实时性

对于运载火箭与航天器的实时性与控制连续性需求，1553b总线在20ms控制周期内即可实现故障诊断与故障切换，复位芯片并重新配置bc，提供实时连续的控制系统解决方案。

3.可测试性、可扩展性

选用1553b总线可继承总线的所有优点，消息的监视、总线实时组织、终端的灵活裁剪与添加等，有利于运载火箭的测试与功能升级。

4.成本需求

该方案不要求三套1553b总线，替代不同的冗余通用接口，可适应多种rt冗余配置方法，可以以较低的成本投入实现新技术的运用，从而提高发射效率，扩大火箭在发射市场的竞争力，进而占有更多的市场份额。

总之，本发明已在xx航天器型号原理样面通过热真空、热环境和故障注入试验验证，方法可行，工程技术易实现，因此具有实用性。

附图说明

图1为本发明的三机冗余总线网络计算机系统架构图；

图2为bc配置初始化配置图；

图3为mt配置消息处理图；

图4为1553b总线容错结构示意图；

图5为1553b总线关键消息可靠性发送的示意图；

图6为切机过程时间特性曲线图。

具体实施方式

以下将结合附图和实施例对本发明的方法步骤作进一步详细描述。

本发明提供了一种三冗余1553b总线动态切换方法，该方法包括以下步骤：

步骤一：建立三机冗余总线网络计算机系统架构；其中，三机冗余总线网络计算机系统架构包括第一冗余模块10、第二冗余模块11和第三冗余模块12；第一冗余模块10包括第一cpu处理器1、第一逻辑处理与控制模块2和第一总线芯片3，第二冗余模块11包括第二cpu处理器4、第二逻辑处理与控制模块5和第二总线芯片6，第三冗余模块12包括第三cpu处理器7、第三逻辑处理与控制模块8和第三总线芯片9，第一总线芯片3的a通道与连接总线a13相连接，第一总线芯片3的b通道与连接总线b14相连接，第二总线芯片6的a通道与连接总线a13相连接，第二总线芯片6的b通道与连接总线b14相连接，第三总线芯片9的a通道与连接总线a13相连接，第三总线芯片9的b通道与连接总线b14相连接；第一cpu处理器1分别与第一逻辑处理与控制模块2、第二逻辑处理与控制模块5和第三逻辑处理与控制模块8相连接；第二cpu处理器4分别与第一逻辑处理与控制模块2、第二逻辑处理与控制模块5和第三逻辑处理与控制模块8相连接；第三cpu处理器7分别与第一逻辑处理与控制模块2、第二逻辑处理与控制模块5和第三逻辑处理与控制模块8相连接；第一总线芯片3分别与第一cpu处理器1、第一逻辑处理与控制模块2相连接，第二总线芯片6分别与第二cpu处理器4、第二逻辑处理与控制模块5相连接，第三总线芯片9分别与第三cpu处理器7、第三逻辑处理与控制模块8相连接；

步骤二：基于步骤一建立的三机冗余总线网络计算机系统架构，设计冗余总线的配置方法，默认连接总线a13通信作为主总线，计算机系统上电状态默认第一冗余模块10为当班机，第一总线芯片3配置为bc模式，第二总线芯片6和第三总线芯片9均配置为mt模式；

步骤三：第一冗余模块10的第一cpu处理器1通过第一总线芯片3获取总线命令字、数据内容、状态字与块状态字信息，第一总线芯片3的a通道通过连接总线a13组织总线消息，第二总线芯片6和第三总线芯片9同步可检测总线上总线消息命令字、数据内容、状态字与块状态字信息内容，然后第二冗余模块11的第二cpu处理器4通过第二总线芯片6获取总线消息内容，第三冗余模块12的第三cpu处理器12通过第二总线芯片9获取总线消息内容，第一冗余模块10、第二冗余模块11和第三冗余模块12根据状态字和块状态字的错误标识，表决当班机即第一冗余模块10是否故障，当当班机即第一冗余模块10故障时，当班机即第一冗余模块10的a通道切换至b通道，当b通道故障时切换回a通道，当当班机即第一冗余模块10的a通道和b通道连续一定时间通讯均异常时，则认为当班机即第一冗余模块10故障；

步骤四：第二cpu处理器4与第三cpu处理器7发送总线复位指令，控制第二逻辑处理与控制模块5和第三逻辑处理与控制模块8执行第一总线芯片3的复位电平信号，复位电平信号输出至第一冗余模块10的第一cpu处理器1及第一总线芯片3，第一冗余模块10重启后配置第一总线芯片3为mt模式，第二冗余模块11的第二总线芯片6配置为bc模式，第三冗余模块12的第三总线芯片9配置为mt模式，按照当班机切换原则重新组建一个bc模式和两个mt模式的三冗余总线模式。

具体的，在步骤一中，如图1所示，建立三机冗余总线网络计算机系统架构，主要由第一冗余模块10即冗余模块a、第二冗余模块11即冗余模块b和第三冗余模块12即冗余模块c组成计算机系统，第一冗余模块10包括第一cpu处理器1即cpua、第一逻辑处理与控制模块2和第一总线芯片3，第二冗余模块11包括第二cpu处理器4即cpub、第二逻辑处理与控制模块5和第二总线芯片6，第三冗余模块12包括第三cpu处理器7即cpuc、第三逻辑处理与控制模块8和第三总线芯片9，第一总线芯片3、第二总线芯片6和第三总线芯片9均为1553b总线芯片。

第一总线芯片3的a通道通过第一耦合变压器31与总线a13的第一耦合器131相连接，第一总线芯片3的b通道通过第二耦合变压器32与总线b14的第二耦合器141相连接，第二总线芯片6的a通道通过第三耦合变压器61与总线a13的第三耦合器132相连接，第二总线芯片6的b通道通过第四耦合变压器62与总线b14的第四耦合器142相连接，第三总线芯片9的a通道通过第五耦合变压器91与总线a13的第五耦合器133相连接，第三总线芯片9的b通道通过第六耦合变压器92与总线b14的第六耦合器143相连接。

第一冗余模块10、第二冗余模块11和第三冗余模块12三个冗余模块分别由独立的cpu处理器、逻辑处理与控制模块和总线芯片组成，每路总线芯片的a、b通道通过耦合变压器分别连接总线a和总线b上的耦合器，默认采用a总线通信作为主总线，每个冗余模块的总线芯片的4k×16的内部ram直接与其cpu处理器相连接，17个内部可操作的寄存器由逻辑处理与控制模块通过地址映射与cpu处理器连接；同时，逻辑处理与控制模块实现三机数据信息交互，实现方法为计算机三机cpu处理器与三个逻辑处理与控制模块通过16位并口相连，cpu处理器写操作将交互数据同时写入三个逻辑处理与控制模块的存储缓冲区，cpu模块读操作读取所属计算机的逻辑处理与控制模块存储缓冲区中三个控制计算机交互数据。

建立冗余三机总线架构设计，提供低成本、高可靠的总线冗余设计：如图1所示系统架构设计图，每个1553b通信单元采用总线选择控制逻辑完成对控制单机的输入总线的选通。同时，每套总线均放置一套表决电路，用于采用三取二的方式对本套61580总线控制芯片的发送使能进行控制。

(1)系统采用一套双冗余1553b总线网络，当a路1553b故障时，当班机总线芯片控制动态切换至备份b路总线；

(2)挂载三冗余的处理器与1553b总线芯片的结构，当班机总线芯片故障时，可实时切换至备份其它两机总线接口；

(3)冗余模块各自的处理器与bu61580总线芯片配置寄存器、数据寄存器相连接，同时采用三取二的逻辑电路控制bu61580总线芯片的reset引脚，即每套总线均放置一套表决电路，用于采用三取二的方式对本套61580总线控制芯片的发送使能进行控制。

在步骤二中，基于步骤一建立的冗余三机冗余总线网络架构，设计冗余总线的配置方法，计算机系统上电状态默认配置第一冗余模块10为当班机，当班机为具备输出控制权的模块，第二冗余模块11和第三冗余模块12为备份模块，第一总线芯片3配置为bc模式(buscontrol总线控制器)，第一总线芯片3用于管理总线消息组织，第二总线芯片6和第三总线芯片9均配置为mt模式(monitorterminal总线监控终端)。

图2为第一总线芯片的bc配置初始化配置图。如图2所示，bc配置方法包括如下步骤：对3#寄存器写“0x0001”，总线芯片执行复位操作；对#7寄存器写入“0x8000”，设置为增强模式；根据中断使用状态，初始化中断屏蔽寄存器0#；设备01#寄存器，bc模式为b14、b15设为0，错误重传b4设置为1，重传一次b3设置为0；设置02#寄存器，b10设为1，如果使用电平方式触发中断设置b3为1；设置08#寄存器第一次重传在备份总线设b8为1；设置09#寄存器，设置超时响应时间为22.5us，b10设置为0，b9设置为1；设备05#寄存器为0，timetag清零。

在步骤三中，第一冗余模块10、第二冗余模块11和第三冗余模块12的cpu均可通过总线芯片获取第一总线芯片3组织发送的总线命令字、数据内容、状态字与块状态字信息，且第一冗余模块10、第二冗余模块11和第三冗余模块12三机获取信息的时间同步性小于1ms。

图3为总线数据处理流程。如图3所示，总线数据处理方法包括以下步骤：读取中断状态寄存器，如果为eom中断，从存储地区m0102读取当前最新的块堆栈字地址ptr2；如果当前地址指针stprt不等于ptr2，则从strprt块堆栈地址中读取块状态字、命令字、总线消息地址；如果当前消息传输状态为eom，读取数据消息与解析，并根据消息的类型进行响应操作；对stkprt增加4，同时stkprt需进行翻转处理，归一化至0x400-0x3ff(1k)之间。

图3中的消息均当班机组织，备份其它两个处理器模块可实时获取总线上的所有消息，用于三机的同步、数据共享和数据计算表决。

在步骤三中，设计总线故障诊断方法，实现同时对当班机总线消息组织与执行状态的监测，判别当班机工作正确性；

1553b总线芯片可采用多种硬件与软件手段进行故障的检测，最终要求主计算机进行故障的定位与容错，采用表决器和优先链路控制总线输出的方法来屏蔽故障机输出，上面级控制与数管计算机采用三机热备冗余方式，对单机硬件状态进行三取二表决，避免了传统容错机制表决器的单点故障，在三机应用信息表决的基础上进行容错切换管理，单机故障对系统运行影响，并实现了缓慢降级和系统重构。

(1)消息错误检测和重试

mil-std-1553b协议会在每条中对错误状态地址、字计数错、同步类型错、非法字等进行检测和标记，总线应该根据具体情况开放错误检测屏蔽位，并应对错误进行相关的处理，一般会在设置消息错误时重试或切换通道时重试。

(2)通道畅通

进行简单的长抱环测试，检测两个通道的环路畅通。从a通道发送一个测试字到某一终端，然后再从另一通道取回该测试字，如果成功，说明两个通道都是正常的。

(3)系统维护

多数使用1553b总线系统都有长期可靠运行的要求，所有各个终端也会经常对自身进行维护，其中就包括总线接口芯片的维护，为了保证所有终端不受到其他终端维护的影响，总线控制应该规定固定的总线空余时间给所有终端，需要维护的终端在此时进行维护。

当工作于热备份的双通道模式时，构成了1553b总线的容错结构，如图4所示。d1、d2为总线切换控制器，用于a总线和b总线的切换控制，总线上连接n台设备。a通道和b通道同时正常工作，在初始化时指定一个为主，另一个则为备，构成总线通信的热备份结构。其工作过程见1553b总线容错结构图所示。

设计高可靠bc模式与mt模式总线切换，保证关键时序防遗漏；

控制与数管计算机在上面级控制系统中作为1553b总线芯片的bc模式。为消除1553b总线芯片的单点，每一个冗余单元作为1553b总线芯片的一个终端。其中仅当班机作为bc模式，向控制系统中的其他单机发送数据和指令，其他两热备机作为mt模式，监听总线消息。

1553b总线芯片工作于热备份的双通道模式时，构成了1553b总线的容错结构，通过总线切换控制器，用于a总线和b总线的切换控制；mil-std-1553b协议会在每条中对错误状态地址、字计数错、同步类型错、非法字等进行检测和标记，对错误进行相关的处理，设置消息错误时重试或切换通道时重试。总线故障处理策略如下：

如图4所示，当班机状态字错误的情况下重试，如果a总线故障，则在b总线重试(反之b总线故障切到a)；同一条消息如果b总线重试也故障，则不再重试；总线切换仅针对某一条特定的消息，其它正常通讯的消息不进行总线切换。

总线故障的识别设计，以故障处理简单可靠为原则，仅当班机配置为bc模式组织消息的发送，三机均实时检测当班机bc故障状态，具体策略如下：当班机连续20ms控制周期内全部总线消息故障(除广播的消息，且不区分a/b总线)，即认为bc故障，并通过三机交互接口通知其它两机故障状态标识，并通过三取二表决当班机与bc切换；非当班机总线配置为mt模式，保存其监视的总线消息，以20ms控制周期为单位，比对监测的所有总线消息的状态字，如果状态字全部异常或无任何消息(除广播的消息，且不区分a/b总线)，则置总线故障标识(当班机bc故障或自身mt故障)，通过三机交互接口通知其它两机故障状态标识。

在步骤四中，将步骤三识别故障模块进行当班机切换、故障机复位或下电重启，三个冗余模块按照一个的次序进行当班机切换，例如从第一冗余模块10至第二冗余模块11，从第二冗余模块11到第三冗余模块12，从第三冗余模块12到第一冗余模块10，通过这样的循环利用三机信息交互接口实现当班机切换指令的共享，采用三取二表决原则，然后新选定的当班机，并由mt模式配置为bc模式；由第二cpu处理器4与第三cpu处理器7分别发送总线复位指令，控制第二逻辑处理与控制模块5和第三逻辑处理与控制模块8执行第一总线芯片3的复位电平信号，复位信号输出至原故障的当班机即第一冗余模块10的cpu及1553b总线芯片，故障机重启后配置第一总线芯片3为mt模式，重新组建一个bc和两个mt的三冗余总线模式。

如图5所示，对于切换过程中20ms处于无bc状态，通过关键指令采用40ms周期重发，可解决关键指令无法正常发送的问题。

如图6所示，故障机bc切换至备份机的时间为14.7ms，小于20ms，保证切换的实时性。

重构bc+mt三冗余总线接口。对于故障机进行复位或上下电操作，实现单粒子翻转、闩锁的故障处理，重新启动的故障机配置为mt模式，重建三取二表决。

以上所述的实施例只是本发明较优选的具体实施方式，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。