具備重構(gòu)能力的三模冗余器載計(jì)算機(jī)研究

陳玉坤，馮忠偉，張聲艷，劉 冬

(中國(guó)運(yùn)載火箭技術(shù)研究院 研究發(fā)展中心，北京 100076)

具備重構(gòu)能力的三模冗余器載計(jì)算機(jī)研究

陳玉坤，馮忠偉，張聲艷，劉 冬

(中國(guó)運(yùn)載火箭技術(shù)研究院 研究發(fā)展中心，北京 100076)

器載計(jì)算機(jī)是航天器電氣系統(tǒng)的重要組成部分，需要冗余技術(shù)來(lái)滿(mǎn)足其高可靠性運(yùn)行要求；為了保證航天器上計(jì)算機(jī)在出現(xiàn)異常故障時(shí)仍能正常工作，對(duì)傳統(tǒng)三模容錯(cuò)結(jié)構(gòu)、具有降級(jí)功能的三模容余結(jié)構(gòu)的體系結(jié)構(gòu)、算法原理、關(guān)鍵技術(shù)等內(nèi)容進(jìn)行了研究；綜合使用多種檢測(cè)機(jī)制確?？煽挎i定故障機(jī)，基于故障機(jī)無(wú)法修復(fù)時(shí)再逐步降級(jí)使用的策略，以正常工作的當(dāng)班機(jī)為基礎(chǔ)，通過(guò)故障機(jī)在每個(gè)流程的開(kāi)始讀取刷新后的當(dāng)班機(jī)指針和重要狀態(tài)參數(shù)并在流程的結(jié)束向當(dāng)班機(jī)發(fā)送同步請(qǐng)求的方式，提出了一種具備重構(gòu)能力的三模冗余器載計(jì)算機(jī)設(shè)計(jì)方案，設(shè)計(jì)了三模冗余重構(gòu)流程，使故障機(jī)具備自修復(fù)的能力；實(shí)踐表明，該重構(gòu)方法能有效地提高器載計(jì)算機(jī)系統(tǒng)的可靠性，對(duì)高可靠器載計(jì)算機(jī)設(shè)計(jì)與實(shí)現(xiàn)具有較好的工程參考意義。

三模；冗余；重構(gòu)；計(jì)算機(jī)

0 引言

器載計(jì)算機(jī)控制航天器正常運(yùn)行，因此，器載計(jì)算機(jī)的可靠性與安全性是航天器是否安全的重要保證。在空間軌道中，除空間站外，器載計(jì)算機(jī)一般不具備可維修性，一旦出現(xiàn)故障，極易造成航天器的在軌失效，從而給國(guó)家造成重大損失和惡劣影響。因此，器載計(jì)算機(jī)的冗余容錯(cuò)技術(shù)便成了亟待深入研究的課題。

1 三模冗余結(jié)構(gòu)分析

三模冗余結(jié)構(gòu)(TMR)系統(tǒng)可以采用三機(jī)也可以大于三機(jī)構(gòu)成，但至少應(yīng)該由三機(jī)構(gòu)成。TMR結(jié)構(gòu)系統(tǒng)采用三取二的策略實(shí)現(xiàn)系統(tǒng)的容錯(cuò)，三取二的系統(tǒng)是基于少數(shù)服從多數(shù)的原則，系統(tǒng)正常工作的前提是每一時(shí)刻系統(tǒng)中最多存在一個(gè)故障，即系統(tǒng)中只要有兩個(gè)單機(jī)正確時(shí)就可以輸出正確的結(jié)果。這種結(jié)構(gòu)如圖1所示。當(dāng)系統(tǒng)中存在故障時(shí)，不進(jìn)行隔離和重構(gòu)，對(duì)于系統(tǒng)運(yùn)行是透明的[1]。當(dāng)系統(tǒng)存在兩個(gè)或兩個(gè)以上單機(jī)故障時(shí)，會(huì)失效。

圖1 三模冗余系統(tǒng)結(jié)構(gòu)

假設(shè)各單機(jī)的可靠度相等，用RM表示，表決器的可靠度用RV表示，則系統(tǒng)的可靠度為：

這種結(jié)構(gòu)的關(guān)鍵是如何實(shí)現(xiàn)三取二，即表決器設(shè)計(jì)，其算法原理如圖2所示。表決器的實(shí)現(xiàn)主要有兩種方式，一是硬件實(shí)現(xiàn)的表決器，二是軟件實(shí)現(xiàn)的表決器[2]。硬件表決器具有直觀、快速的特點(diǎn)，但同時(shí)他本身是一個(gè)單點(diǎn)，若表決器輸出出現(xiàn)問(wèn)題則系統(tǒng)的輸出錯(cuò)誤。同時(shí)隨著輸出的路數(shù)增多，則表決器越來(lái)越復(fù)雜，可靠性也隨之降低。對(duì)計(jì)算機(jī)性能的提高也產(chǎn)生影響。速度越高，則同步性也要求越高，實(shí)現(xiàn)起來(lái)也越困難。為了解決這個(gè)問(wèn)題，可以采用軟件表決硬件選通的方式，這種方式需要增加系統(tǒng)間的相互通信，以交換表決的信息，并且要有正確的狀態(tài)表決決策輸出選通電路[3]。軟件表決解決了上述問(wèn)題，但增加了系統(tǒng)中的時(shí)間開(kāi)銷(xiāo)，此外也需要解決同步的問(wèn)題。

圖2 三取二判決算法原理

2 具備降級(jí)功能的三模容錯(cuò)結(jié)構(gòu)分析

TMR結(jié)構(gòu)的容錯(cuò)在控制系統(tǒng)中得到廣泛的應(yīng)用。為了提高系統(tǒng)的可靠性和資源利用率，TMR結(jié)構(gòu)的一種變形可以利用系統(tǒng)的容錯(cuò)策略實(shí)現(xiàn)具備降級(jí)功能的三模容錯(cuò)功能(以下簡(jiǎn)稱(chēng)TMR/S)，其典型的應(yīng)用即為返回式衛(wèi)星的TMR/S容錯(cuò)結(jié)構(gòu)。TMR/S結(jié)構(gòu)是為了提高系統(tǒng)的實(shí)時(shí)可靠性而提出一種容錯(cuò)結(jié)構(gòu)，其設(shè)計(jì)思路是正常工作時(shí)由三機(jī)表決，而出現(xiàn)故障時(shí)降為單機(jī)，從而提高系統(tǒng)的工作壽命。其主要結(jié)構(gòu)特點(diǎn)是采用三機(jī)的冗余方式進(jìn)行容錯(cuò)，通過(guò)仲裁和信息交換完成三機(jī)故障檢測(cè)和判斷，而最終一個(gè)功能正常的單機(jī)輸出作為整個(gè)星載計(jì)算機(jī)系統(tǒng)的輸出[4]?！吧裰邸陛d人飛船船載計(jì)算機(jī)也是基于這種容錯(cuò)體系結(jié)構(gòu)開(kāi)發(fā)的，這種結(jié)構(gòu)提供了很高的實(shí)時(shí)可靠性，有力保證了任務(wù)的成功。

在TMR/S系統(tǒng)中包含三個(gè)具有相同硬件結(jié)構(gòu)的單機(jī)同時(shí)運(yùn)行功能完全相同的程序，每機(jī)采用相同的處理器。三機(jī)輸入端為一對(duì)三的結(jié)構(gòu)，輸出端由硬件和軟件組成仲裁管理控制單元，每次只允許其中一個(gè)計(jì)算機(jī)的輸出信號(hào)向外輸出[5]。這種容錯(cuò)體系結(jié)構(gòu)如圖3所示，除了三個(gè)硬件完全相同的冗余單機(jī)外，該結(jié)構(gòu)主要有以下幾個(gè)主要組成部分和關(guān)鍵技術(shù)：

圖3 TMR/S三模容錯(cuò)結(jié)構(gòu)

1)支持三機(jī)間的通信。通信采用串行方式，全雙工發(fā)送和接收的方式。

2)支持系統(tǒng)的同步。同步分兩個(gè)層次：一是宏觀上的周期同步；二是微觀上的同步。宏觀同步利用系統(tǒng)的周期性控制特點(diǎn)，采用統(tǒng)一的時(shí)鐘頻率定時(shí)電路實(shí)現(xiàn)，該電路獨(dú)立于三機(jī)，因此其可靠性與三機(jī)沒(méi)有關(guān)系，時(shí)鐘頻率定時(shí)電路也采用冗余設(shè)計(jì)以保證其本身的可靠性；微觀同步即周期內(nèi)同步，目的是使三機(jī)中的本機(jī)不受另外兩機(jī)影響。三機(jī)通信交互數(shù)據(jù)過(guò)程中，可能出現(xiàn)數(shù)據(jù)接收不完整或者接收超時(shí)，微觀同步通過(guò)定時(shí)中斷的方式在這種情況下采取一定措施來(lái)保證。

3)支持狀態(tài)輸出。每機(jī)根據(jù)本機(jī)的狀態(tài)是正常還是不正常，輸出狀態(tài)送給仲裁管理控制單元，以決定當(dāng)班機(jī)。

4)仲裁電路輸出。這部分電路根據(jù)系統(tǒng)中各機(jī)的狀態(tài)信號(hào)，并結(jié)合遙控指令，決定當(dāng)班信號(hào)；并根據(jù)當(dāng)班信號(hào)，決定哪個(gè)機(jī)器輸出，此輸出即為整個(gè)系統(tǒng)的輸出。

仲裁管理控制單元是按照各單機(jī)工作情況或遙控指令控制三個(gè)單機(jī)中的一個(gè)單機(jī)輸出，即三個(gè)單機(jī)輸出的數(shù)據(jù)經(jīng)過(guò)三取二表決后，發(fā)出本機(jī)工作正常信號(hào)，自主地根據(jù)三個(gè)單機(jī)的正常狀態(tài)信號(hào)決定一個(gè)單機(jī)的輸出，其他兩個(gè)單機(jī)的輸出均被封鎖[6]。此外，遙控命令也可以控制某個(gè)單機(jī)輸出，另外兩個(gè)單機(jī)的輸出被封鎖。三機(jī)間數(shù)據(jù)交換由每一機(jī)上的微處理器負(fù)責(zé)實(shí)現(xiàn)，交換數(shù)據(jù)的物理鏈路采用串口實(shí)現(xiàn)。

這種容錯(cuò)體系結(jié)構(gòu)采用軟件表決、硬件實(shí)現(xiàn)的方式，它的突出特點(diǎn)是：抗瞬時(shí)故障能力強(qiáng)，同步性好；能保證在一個(gè)故障的情況下，系統(tǒng)正常工作，具有可靠性高、實(shí)時(shí)性好的特點(diǎn)。

3 具備重構(gòu)能力的三模冗余器載計(jì)算機(jī)設(shè)計(jì)

從圖3的TMR/S三模容錯(cuò)結(jié)構(gòu)可以看出，由于三機(jī)具備對(duì)等同構(gòu)容錯(cuò)的結(jié)構(gòu)形式，且任意兩機(jī)之間存在通信接口，為了充分利用系統(tǒng)資源，在一定條件下，出現(xiàn)故障時(shí)不僅僅降為單機(jī)，而是通過(guò)一定的策略實(shí)現(xiàn)故障機(jī)的恢復(fù)，從而實(shí)現(xiàn)系統(tǒng)重構(gòu)。通過(guò)故障檢測(cè)、故障定位、故障恢復(fù)等手段，變靜態(tài)冗余為動(dòng)態(tài)冗余，使系統(tǒng)重新恢復(fù)正常運(yùn)行，進(jìn)一步增加系統(tǒng)可靠性和使用壽命。

3.1 故障檢測(cè)機(jī)制

三機(jī)(代號(hào)分別為：A機(jī)、B機(jī)、C機(jī))的所有輸入和輸出信號(hào)均完全獨(dú)立，故當(dāng)其中一臺(tái)發(fā)生故障時(shí)，故障單機(jī)接口上的錯(cuò)誤不會(huì)影響其他兩機(jī)，當(dāng)班機(jī)仍可完成單機(jī)的全部功能，因此就接口和功能而言，系統(tǒng)上不存在單點(diǎn)失效的問(wèn)題。為了可靠地檢測(cè)出故障機(jī)，并且在出現(xiàn)故障的情況下，不影響單機(jī)的正常功能，通過(guò)自檢、互檢、他檢三種檢測(cè)模式來(lái)決定切權(quán)，以此來(lái)保障單機(jī)在出現(xiàn)故障時(shí)，三模冗余結(jié)構(gòu)仍能正常工作，實(shí)現(xiàn)方式如下：

1)自檢模式：所有的信號(hào)輸出均通過(guò)軟件進(jìn)行標(biāo)記，若發(fā)現(xiàn)自身輸出異常，則發(fā)送異常反饋。處理器可以根據(jù)自身的錯(cuò)誤狀態(tài)判斷，標(biāo)識(shí)自身故障，控制自己不輸出。同時(shí)，串口通信輸出芯片的使能端通過(guò)硬件檢測(cè)，若監(jiān)測(cè)出芯片的使能端邏輯異常，則反饋故障信號(hào)給本機(jī)CPU，本機(jī)CPU通過(guò)交互緩存把故障信號(hào)發(fā)送給當(dāng)班機(jī)的CPU，當(dāng)班機(jī)的CPU對(duì)故障機(jī)進(jìn)行控制斷電。

2)互檢模式：A機(jī)表決FPGA實(shí)時(shí)監(jiān)測(cè)B機(jī)和C機(jī)表決FPGA以及自身的心跳信號(hào)；B機(jī)表決FPGA實(shí)時(shí)監(jiān)測(cè)A機(jī)和C機(jī)表決FPGA以及自身的心跳信號(hào)；C機(jī)表決FPGA實(shí)時(shí)監(jiān)測(cè)B機(jī)和A機(jī)表決FPGA以及自身的心跳信號(hào)，以此實(shí)現(xiàn)三個(gè)表決FPGA的狀態(tài)互檢。三個(gè)CPU通過(guò)各自的交互緩存獲得其他兩個(gè)CPU的工作狀態(tài)和同步信息，以此實(shí)現(xiàn)三個(gè)CPU之間的互檢。

3)他檢模式：三個(gè)CPU將各自的數(shù)據(jù)和狀態(tài)參數(shù)分別寫(xiě)進(jìn)三個(gè)表決FPGA的雙口RAM中，以供三個(gè)CPU分別從對(duì)應(yīng)的表決FPGA讀取三機(jī)的數(shù)據(jù)分別進(jìn)行三取二表決，并把表決結(jié)果分別送給三個(gè)表決FPGA單元，三個(gè)表決FPGA再次進(jìn)行三取二表決后，將最終結(jié)果反饋給三個(gè)CPU，以此來(lái)實(shí)現(xiàn)表決FPGA監(jiān)測(cè)各個(gè)CPU的工作狀態(tài)的他檢。

若有一個(gè)表決FPGA未收到相應(yīng)CPU的數(shù)據(jù)，則判斷為CPU故障，表決FPGA單元將信息反饋給其余兩個(gè)CPU，由其余兩個(gè)CPU進(jìn)行雙機(jī)熱備份降級(jí)工作。三機(jī)的CPU模塊同時(shí)監(jiān)測(cè)其他兩機(jī)的供電狀態(tài)信號(hào)，若發(fā)生供電異常，則認(rèn)為一機(jī)已故障，進(jìn)入雙機(jī)模式的工作。

3.2 故障機(jī)重構(gòu)方案

單機(jī)故障后的三機(jī)模式的重建：若三取二表決出一機(jī)軟件故障，則正常的兩機(jī)控制輸出的同時(shí)，通過(guò)內(nèi)總線(xiàn)上的復(fù)位引腳發(fā)送復(fù)位信號(hào)給故障單機(jī)，對(duì)故障單機(jī)的CPU進(jìn)行復(fù)位處理；正常的兩機(jī)降級(jí)為雙機(jī)熱備模式工作，設(shè)定為由其中一機(jī)當(dāng)班輸出。在隨后的三機(jī)模式重構(gòu)中，以該當(dāng)班機(jī)為主，控制實(shí)現(xiàn)三機(jī)的重建。若出現(xiàn)故障的單機(jī)不可恢復(fù)，則故障單機(jī)全部的輸出信號(hào)由CPU控制不輸出，整機(jī)降級(jí)使用為雙機(jī)熱備份模式，即固定為其他兩機(jī)中的一機(jī)輸出，另一機(jī)熱備份的模式。三機(jī)模式重構(gòu)流程圖如圖4所示。

圖4 三模冗余重構(gòu)流程圖

如圖4所示，當(dāng)三機(jī)的三取二表決多次出現(xiàn)一機(jī)硬件故障，則由當(dāng)班機(jī)發(fā)送控制斷電和重新上電指令，對(duì)故障機(jī)進(jìn)行故障恢復(fù)；同時(shí)，當(dāng)班機(jī)根據(jù)讀取的斷電狀態(tài)控制進(jìn)入雙機(jī)熱備份工作模式。故障機(jī)故障恢復(fù)后，實(shí)現(xiàn)三機(jī)模式重構(gòu)的方式為：當(dāng)班機(jī)在每個(gè)流程的開(kāi)始將自身的PC指針和重要狀態(tài)參數(shù)發(fā)送給故障機(jī)的表決FPGA；故障機(jī)在完成初始化后，開(kāi)始讀取當(dāng)班機(jī)發(fā)送的參數(shù)，立即進(jìn)入同步運(yùn)行，并向其他兩機(jī)的表決FPGA發(fā)送運(yùn)算后的數(shù)據(jù)。多次(次數(shù)可根據(jù)需要設(shè)定)讀取當(dāng)班機(jī)的同步數(shù)據(jù)后，故障機(jī)在每個(gè)流程的結(jié)束通過(guò)“心跳監(jiān)測(cè)”通道向當(dāng)班機(jī)發(fā)送同步請(qǐng)求；當(dāng)班機(jī)收到故障機(jī)的同步請(qǐng)求后，讀取三機(jī)的數(shù)據(jù)，并對(duì)故障機(jī)的數(shù)據(jù)加標(biāo)簽，進(jìn)行三取二表決，多次表決一致后，通過(guò)“心跳監(jiān)測(cè)”信號(hào)發(fā)送故障恢復(fù)的三機(jī)同步信號(hào)，三機(jī)以雙機(jī)模式的當(dāng)班機(jī)為當(dāng)班機(jī)恢復(fù)三機(jī)模式的運(yùn)行。

在雙機(jī)熱備份期間，若當(dāng)班機(jī)出現(xiàn)故障時(shí)，可以通過(guò)遙控方式、自主切換方式來(lái)實(shí)現(xiàn)器載計(jì)算機(jī)的當(dāng)班機(jī)切換。當(dāng)?shù)孛嬷缚刂行母鶕?jù)航天器的遙測(cè)數(shù)據(jù)能夠判斷出航天器當(dāng)前工作計(jì)算機(jī)發(fā)生故障時(shí)，地面指控中心發(fā)送遙控切權(quán)指令，實(shí)現(xiàn)器載計(jì)算機(jī)的冗余切換；當(dāng)采用遙控切換命令時(shí)，自主切換功能被封鎖，當(dāng)班機(jī)的輸出切換根據(jù)遙控命令確定。為了封鎖自主切換功能，通過(guò)遙控指令設(shè)置了遙控準(zhǔn)/禁自主切換的時(shí)間窗口，當(dāng)航天器處于準(zhǔn)自主切換狀態(tài)，才允許進(jìn)行器載計(jì)算機(jī)的自主切換，否則不允許自主切換。在自主狀態(tài)下當(dāng)班機(jī)故障將執(zhí)行備份機(jī)奪權(quán)指令，其自主賦權(quán)部分由積分電路完成，保證備份機(jī)在奪權(quán)時(shí)不能在一次或一條指令下完成，必須連續(xù)多次發(fā)出奪權(quán)指令，使積分電路的輸出積累到一定的電平才能驅(qū)動(dòng)繼電器實(shí)現(xiàn)奪權(quán)，從而備份計(jì)算機(jī)成為當(dāng)班機(jī)執(zhí)行控制權(quán)。

3.3 試驗(yàn)結(jié)果與分析

在驗(yàn)證試驗(yàn)中，通過(guò)模擬設(shè)備對(duì)三模冗余容錯(cuò)計(jì)算機(jī)注入故障，分別就以下兩種情況進(jìn)行故障模擬：

1)三機(jī)中的A機(jī)在短暫斷電指定時(shí)間后再次正常上電；

2)三機(jī)中的A機(jī)在斷電后不再上電。

通過(guò)對(duì)三模冗余容錯(cuò)計(jì)算機(jī)的各機(jī)狀態(tài)信號(hào)、心跳監(jiān)測(cè)信號(hào)、輸出信號(hào)及其系統(tǒng)輸出數(shù)據(jù)監(jiān)測(cè)，驗(yàn)證試驗(yàn)結(jié)果如下：

1)三機(jī)中的A機(jī)在斷電期間，可以監(jiān)測(cè)到三模冗余容錯(cuò)計(jì)算機(jī)沒(méi)有中斷當(dāng)前的任務(wù)，仍正常工作；A機(jī)在上電后，A機(jī)經(jīng)過(guò)與當(dāng)班機(jī)的多次同步，可以實(shí)現(xiàn)重構(gòu)并恢復(fù)為正常，具備在線(xiàn)修復(fù)能力，變靜態(tài)冗余為動(dòng)態(tài)冗余，最終工作于三機(jī)模式；

2)三機(jī)中的A機(jī)在斷電后不再上電，即模擬出現(xiàn)永久故障，監(jiān)測(cè)到三模冗余容錯(cuò)計(jì)算機(jī)仍正常工作，具備將故障單機(jī)從系統(tǒng)摘除的能力，并降級(jí)工作于雙機(jī)備份工作模式，仍舊具備一定的冗余容錯(cuò)能力。

4 航天器高可靠容錯(cuò)計(jì)算機(jī)系統(tǒng)關(guān)鍵技術(shù)

4.1 余度管理技術(shù)

余度管理技術(shù)是對(duì)余度系統(tǒng)運(yùn)行機(jī)制的籌劃和對(duì)出現(xiàn)的問(wèn)題的處理，是在已確定了的系統(tǒng)硬件/軟件資源的余度配置等級(jí)的基礎(chǔ)上提高系統(tǒng)可靠性的一項(xiàng)關(guān)鍵技術(shù)。余度管理技術(shù)包括通道之間的數(shù)據(jù)交換技術(shù)、信號(hào)的監(jiān)控和表決以及故障檢測(cè)與隔離技術(shù)等[7]。數(shù)據(jù)交換技術(shù)是信號(hào)監(jiān)控和表決的前提條件；通過(guò)信號(hào)的監(jiān)控和表決后就可以進(jìn)行故障檢測(cè)并對(duì)故障進(jìn)行隔離。

4.2 高可信軟件的構(gòu)造與驗(yàn)證技術(shù)

在航天器計(jì)算機(jī)中，軟件的作用越來(lái)越重要，保證軟件的可信度和健壯性一直是容錯(cuò)技術(shù)研究的重要方面之一。因此研究提高現(xiàn)有軟件容錯(cuò)技術(shù)應(yīng)用的可靠性，構(gòu)建軟件的可信保障技術(shù)體系，同時(shí)利用形式化方法對(duì)空間軟件進(jìn)行驗(yàn)證，對(duì)可信性軟件驗(yàn)證的集成環(huán)境進(jìn)行開(kāi)發(fā)。在航天器出現(xiàn)故障時(shí)，及時(shí)通過(guò)高可信軟件的補(bǔ)償、切換、隔離等措施，使航天器各部分功能的狀態(tài)及執(zhí)行結(jié)果更加可靠、可信。目前高可信軟件容錯(cuò)技術(shù)主要有：回卷技術(shù)、軟件陷阱、分布式恢復(fù)塊、數(shù)據(jù)重表達(dá)技術(shù)等。

4.3 同步技術(shù)

同步技術(shù)是一個(gè)實(shí)時(shí)冗余容錯(cuò)計(jì)算機(jī)系統(tǒng)核心基礎(chǔ)技術(shù)之一，是系統(tǒng)正確運(yùn)行的前提。它用來(lái)消除系統(tǒng)中三個(gè)計(jì)算機(jī)模塊之間因時(shí)鐘、輸入延遲等因素造成的異步度，使得系統(tǒng)中三個(gè)計(jì)算機(jī)模塊在程序執(zhí)行狀態(tài)、周期定時(shí)及時(shí)間基準(zhǔn)上達(dá)到相對(duì)一致的狀態(tài)，使得三個(gè)計(jì)算機(jī)模塊采集到相同的輸入信號(hào)，在計(jì)算后同時(shí)將輸出送給表決器進(jìn)行表決輸出，真正完成三模冗余功能。目前同步技術(shù)包括任務(wù)同步、中斷同步、公共時(shí)鐘、鎖相同步、多級(jí)同步等多種方法。同步精度因具體實(shí)現(xiàn)不同而各有差異，多在幾十微秒到幾毫秒之間。

5 結(jié)束語(yǔ)

器載計(jì)算機(jī)的可靠性與安全性是航天器能否安全的重要保證，本文詳細(xì)闡述了三模容錯(cuò)、具備降級(jí)功能的三模容錯(cuò)體系結(jié)構(gòu)，提出了一種具備故障重構(gòu)能力的三模冗余器載計(jì)算機(jī)設(shè)計(jì)方法，給出了動(dòng)態(tài)重建的流程。實(shí)踐表明，具備故障重構(gòu)能力的三機(jī)能有效地提高器載計(jì)算機(jī)系統(tǒng)的可靠性，對(duì)空間惡劣環(huán)境條件下高可靠器載計(jì)算機(jī)設(shè)計(jì)與實(shí)現(xiàn)具有較好的工程參考意義。

[1] 楊孟飛，華更新，馮彥君,等．航天器控制計(jì)算機(jī)容錯(cuò)技術(shù)[M]．北京：國(guó)防工業(yè)出版社，2014．

[2] 韓月濤，潘偉萍，楊 帆,等．基于FPGA的三模冗余UART電路設(shè)計(jì)[J]．電子測(cè)量技術(shù)，2011(3):57-60．

[3] 徐 奡，夏德天，鄭久壽,等．高升力系統(tǒng)控制計(jì)算機(jī)容錯(cuò)技術(shù)研究[J]．微電子學(xué)與計(jì)算機(jī)，2015(6): 36-40．

[4] 肖愛(ài)斌, 胡明明, 任憲朝, 等.四模冗余拜占庭容錯(cuò)計(jì)算機(jī)可靠性分析[J]．空間控制技術(shù)與應(yīng)用，2014 (3): 42-46．

[5] 張 超，趙 偉，劉 崢．基于FPGA的三模冗余容錯(cuò)技術(shù)研究[J]．現(xiàn)代電子技術(shù)，2011 (5):167-171．

[6] 姚 睿，王友仁，于盛林，等．具有在線(xiàn)修復(fù)能力的強(qiáng)容錯(cuò)三模冗余系統(tǒng)設(shè)計(jì)及實(shí)驗(yàn)研究[J]．電子學(xué)報(bào)，2010(1):177-183．

[7] 高麗娜，楊寶奎．容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu)研究[J]．戰(zhàn)術(shù)導(dǎo)彈技術(shù)，2013(5):107-110．

[8] 徐文芳，劉宏偉，舒燕君，等．三模冗余容錯(cuò)系統(tǒng)管理板[J]．清華大學(xué)學(xué)報(bào)，2011，51(S1):1434-1439．

Research on Reconfigurable Triple-module Redundancy Space On-board Computer

Chen Yukun，F(xiàn)eng Zhongwei，Zhang Shengyan，Liu Dong

(Research and Development Center, China Academy of Launch Vehicle Technology, Beijing 100076, China)

On-board computer system is the crucial component in spacecraft electronic system，and redundancy techniques can provide high reliability for on-board computer running. To ensure computer still work normally under fault condition, system architecture, principle and key technology of traditional and degraded triple-module redundancy computer are introduced. Some methods are adopted in order to reliably detect fault computer, on-board computer will work degradedly only which can not be renovated. Fault computer reads current computer’s pointer and crucial data at the beginning of every course, and sends synchronization require to current computer at the end of the course, then presents a design scheme of reconfigurable triple-module redundancy space on-board computer and designs reconfigurable flow. The scheme can make the fault computer has the ability of recovery. Practice indicates that the reconfigurable scheme can effectively improve the reliability of space on-board computer system, and the paper has engineering application value for design and implementation of space on-board computer system with high reliability.

triple-module; redundance; reconfigurable; computer

2016-09-21；

2016-10-18。

陳玉坤(1979-)，男，河南衛(wèi)輝人，博士，高級(jí)工程師，主要從事測(cè)控通信系統(tǒng)、數(shù)據(jù)管理系統(tǒng)方向的研究。

1671-4598(2017)02-0201-03DOI：10.16526/j.cnki.11-4762/tp

TP

A