一種基于實時操作系統(tǒng)的星載計算機三機熱備份容錯方法
【專利摘要】一種基于實時操作系統(tǒng)的星載計算機三機熱備份容錯方法��,首先構(gòu)建三臺裝有相同實時操作系統(tǒng)的計算機�����。在每個控制周期中�����,每臺單機都通過三機之間的數(shù)據(jù)交換獲取另外兩機的數(shù)據(jù)�����。然后按照本機和另一機����、本機和第三機�、另一機和第三機共三種情況進(jìn)行比較。再根據(jù)數(shù)據(jù)比對結(jié)果是否一致��,結(jié)合單機是否發(fā)生過復(fù)位���、“切機命令字”是否有效等因素�����,設(shè)置本機是否健康的標(biāo)志�。三臺單機同步運行,三機的對外輸出控制狀態(tài)相同��,由當(dāng)班機負(fù)責(zé)最終的對外輸出����。在故障處理時�����,由于三臺單機均同步運行���,當(dāng)班機切換時不需要再獲取狀態(tài)��,所以故障恢復(fù)時間短��,實時性高���,在切換過程中系統(tǒng)控制不存在間隙,系統(tǒng)控制可以平穩(wěn)過渡����,實現(xiàn)了系統(tǒng)的自主重構(gòu)�。
【專利說明】一種基于實時操作系統(tǒng)的星載計算機三機熱備份容錯方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種星載計算機三機冗余熱備份工作時的容錯方法��。
【背景技術(shù)】
[0002]ERC32CPU (TSC695)是用于航天的一款專用芯片����,具有很強的抗震性和抗輻射性。TSC695實時操作系統(tǒng)的設(shè)計思想和方法如下:
[0003]I)任務(wù)調(diào)度采用基于優(yōu)先級的可搶占式調(diào)度策略��,任務(wù)優(yōu)先級采用固定優(yōu)先級��;
[0004]2)任務(wù)狀態(tài)轉(zhuǎn)換選擇在三個任務(wù)狀態(tài)(執(zhí)行����、就緒、休眠)之間進(jìn)行��;
[0005]3)基于應(yīng)用系統(tǒng)外部中斷源少�,不會發(fā)生嵌套的前提下,中斷管理程序采用不允許外部中斷嵌套的原則�,簡化設(shè)計;
[0006]4)提供了一種快速響應(yīng)中斷的機制����,使得在響應(yīng)一些中斷時能達(dá)到最快的響應(yīng)速度。
[0007]現(xiàn)有的基于TSC695實時操作系統(tǒng)的星載計算機容錯結(jié)構(gòu)均是在雙機冷備份基礎(chǔ)上實現(xiàn)的。冷備份容錯結(jié)構(gòu)在故障恢復(fù)時�,由于需要將未工作單機加電,而剛加電的單機又需要一段時間來獲取初始狀態(tài)����,所以故障恢復(fù)時間較長。另外�����,在切換過程中��,系統(tǒng)控制可能存在一小段間隙���,造成控制不連續(xù)。因此這種容錯結(jié)構(gòu)僅適用于對實時性控制要求不高的系統(tǒng)�����。
[0008]隨著航天應(yīng)用的發(fā)展����,衛(wèi)星系統(tǒng)對實時性控制的要求愈來愈高,星載計算機正在朝著三機熱備份冗余結(jié)構(gòu)的方向發(fā)展�。而目前還沒有基于三機熱備份容錯結(jié)構(gòu)的實現(xiàn)方法,因此無法滿足航天發(fā)展的實際需求。
【發(fā)明內(nèi)容】
[0009]本發(fā)明的技術(shù)解決問題是:克服現(xiàn)有技術(shù)的不足�����,提供了一種基于TSC695實時操作系統(tǒng)的三機熱備容錯方法��,在故障屏蔽����、故障隔離與故障恢復(fù)時不會影響系統(tǒng)的功能,提高了星載計算機控制的實時性和可靠性���。
[0010]本發(fā)明的技術(shù)解決方案是:一種基于實時操作系統(tǒng)的星載計算機三機熱備份容錯方法�,步驟如下:
[0011](I)設(shè)置三臺相同的裝有相同實時操作系統(tǒng)的計算機����,對于三臺計算機中的每一臺單機,在各自的存儲設(shè)備中設(shè)置三塊區(qū)域�����,分別為本機數(shù)據(jù)區(qū)���、另一機數(shù)據(jù)接收區(qū)�、第三機數(shù)據(jù)接收區(qū);
[0012](2)對于每一臺單機��,在每個控制周期中進(jìn)行數(shù)據(jù)交換����,將自身需要進(jìn)行比對的數(shù)據(jù)送入本機數(shù)據(jù)區(qū),并將本機數(shù)據(jù)區(qū)中的數(shù)據(jù)發(fā)送給另外兩機�,同時從另一機接收需要進(jìn)行比對的數(shù)據(jù)并送入另一機數(shù)據(jù)接收區(qū),從第三機接收需要進(jìn)行比對的數(shù)據(jù)并送入第三機數(shù)據(jù)接收區(qū)���;在數(shù)據(jù)交換過程中����,進(jìn)行數(shù)據(jù)交換超時判斷�����,如果在規(guī)定時間內(nèi)本機完成了與另外兩機的數(shù)據(jù)交換則進(jìn)入步驟(3)���,否則直接設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為不一致并轉(zhuǎn)步驟(6);[0013]所述的“三機數(shù)據(jù)比對標(biāo)志”包括三種���,分別是“本機與另一機數(shù)據(jù)比對標(biāo)志”����,“本機與第三機數(shù)據(jù)比對標(biāo)志”,“另一機與第三機數(shù)據(jù)比對標(biāo)志”�����,每一種標(biāo)志都分為一致和不一致兩種情況����;
[0014](3)對于每一臺單機,判斷本機是否發(fā)生過復(fù)位���,如果本機沒有發(fā)生過復(fù)位���,則進(jìn)入步驟(4);如果本機發(fā)生過復(fù)位,則直接設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為不一致并轉(zhuǎn)步驟
(6)����;
[0015](4)對于每一臺單機,判斷本機的“切機命令字”是否有效����;如果本機“切機命令字”無效,則進(jìn)入步驟(5);如果本機“切機命令字”有效���,則直接設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為不一致并轉(zhuǎn)步驟(6);所述的“切機命令字”用于標(biāo)識是否切除本機��,當(dāng)有效時表明需要切除本機��;
[0016](5)對于每一臺單機�,從步驟(I)所述的三個區(qū)域中分別讀取待比較的數(shù)據(jù),獲取待比較數(shù)據(jù)所對應(yīng)的在軌時間�����,如果在軌時間不在給定的運行階段范圍值內(nèi)則直接設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為不一致并轉(zhuǎn)步驟(6);如果在軌時間一致則對待比較數(shù)據(jù)進(jìn)行比對��,如果待比較數(shù)據(jù)為無容差數(shù)據(jù)���,則僅在數(shù)據(jù)完全相同時比對結(jié)果為一致���,如果待比較數(shù)據(jù)為有容差數(shù)據(jù),則僅在數(shù)據(jù)之間的差值在所允許范圍內(nèi)時比對結(jié)果為一致����,如果待比較數(shù)據(jù)的比對遵循特定規(guī)則����,則僅在數(shù)據(jù)滿足特定規(guī)則時比對結(jié)果為一致���,根據(jù)比對結(jié)果分別設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為有效或者無效,同時設(shè)置“數(shù)據(jù)比對一致標(biāo)志”狀態(tài)并送給除本機外的另外兩機�;
[0017]所述的“數(shù)據(jù)比對一致標(biāo)志”根據(jù)“本機與另一機數(shù)據(jù)比對標(biāo)志”以及“本機與第三機數(shù)據(jù)比對標(biāo)志”的狀態(tài)確定,當(dāng)“本機與另一機數(shù)據(jù)比對標(biāo)志”一致或者“本機與第三機數(shù)據(jù)比對標(biāo)志” 一致時�����,“數(shù)據(jù)比對一致標(biāo)志”有效���,其他情況下“數(shù)據(jù)比對一致標(biāo)志”無效����;
[0018](6)對于每一臺單機����,如果三種“三機數(shù)據(jù)比對標(biāo)志”均為不一致,則判斷另外兩機送來的“數(shù)據(jù)比對一致標(biāo)志”是否至少有一個有效���,如果至少有一個有效��,則本機設(shè)置不健康標(biāo)志���,否則本機進(jìn)行自檢����,如果自檢通過則本機設(shè)置健康標(biāo)志����,如果自檢不通過則設(shè)置本機不健康標(biāo)志;如果三種“三機數(shù)據(jù)比對標(biāo)志”中的“本機與另一機數(shù)據(jù)比對標(biāo)志”或者“本機與第三機數(shù)據(jù)比對標(biāo)志”有一個為一致時���,本機設(shè)置健康標(biāo)志���;如果三種“三機數(shù)據(jù)比對標(biāo)志”中的“本機與另一機數(shù)據(jù)比對標(biāo)志”為不一致并且“本機與第三機數(shù)據(jù)比對標(biāo)志”為不一致,但是“另一機與第三機數(shù)據(jù)比對標(biāo)志”為一致時�����,本機設(shè)置不健康標(biāo)志��。
[0019]本發(fā)明與現(xiàn)有技術(shù)相比的優(yōu)點在于:
[0020](I)本發(fā)明方法中����,三臺相同的單機裝有相同的實時操作系統(tǒng)運行,根據(jù)三機之間的數(shù)據(jù)交換是否成功���,三機之間數(shù)據(jù)比對是否一致�����,再綜合考慮單機是否發(fā)生過復(fù)位���、“切機命令字”是否有效等因素,設(shè)置本機健康標(biāo)志�。系統(tǒng)根據(jù)設(shè)定的仲裁邏輯自主選擇健康的單機作為當(dāng)班機控制對外的輸出,實現(xiàn)系統(tǒng)的自主重構(gòu)���,系統(tǒng)響應(yīng)與處理故障的實時性高��。
[0021](2)本發(fā)明方法中��,三臺單機同步運行���,對外的輸出控制狀態(tài)相同,在故障處理即當(dāng)班機切換時�����,未當(dāng)班的單機不需要再獲取運行狀態(tài)��,所以故障恢復(fù)時間短����,可以實現(xiàn)無縫切換���,保證了系統(tǒng)控制的平穩(wěn)過渡,故障屏蔽與故障隔離時����,不影響系統(tǒng)的工作。
[0022](3)本發(fā)明方法中����,實時操作系統(tǒng)是通過任務(wù)調(diào)度實現(xiàn)運行,而啟動任務(wù)是利用三臺單機處理器內(nèi)部的定時器作為定時工具(定時器誤差在微秒級別)�,使得“三機數(shù)據(jù)交換與比對任務(wù)”能在同一時間點被啟動執(zhí)行,保證了三機在任務(wù)級層面的同步性���,相對于現(xiàn)有的不基于實時操作系統(tǒng)的三機熱備份工作模式��,明顯減少了三機異步的情況���。
[0023](4)本發(fā)明方法中,三機熱備份工作模式還可以通過指定當(dāng)班機的方式����,進(jìn)入單機工作模式�,該工作模式與現(xiàn)有技術(shù)的實現(xiàn)一致��。在三機工作模式上又增加了一種保證系統(tǒng)安全運行的手段���。在關(guān)鍵任務(wù)階段,使用三機工作模式��,屏蔽瞬時故障���,自主重構(gòu)�,保證系統(tǒng)可靠運行��;在非關(guān)鍵任務(wù)階段或故障模式下��,使用單機工作模式����,保證系統(tǒng)安全運行,以便在軌注入修復(fù)故障����,與現(xiàn)有容錯策略相比,更加靈活、可靠����。
【專利附圖】
【附圖說明】
[0024]圖1為TSC695實時操作系統(tǒng)的調(diào)度策略示意圖;
[0025]圖2為本發(fā)明方法的流程圖��。
【具體實施方式】
[0026]基于TSC695實時操作系統(tǒng)的三機熱備結(jié)構(gòu)的任務(wù)主要劃分為5個,分別是:模式控制任務(wù)��、遙測遙控任務(wù)�����、三機數(shù)據(jù)交換與比對任務(wù)��、系統(tǒng)管理任務(wù)和空閑任務(wù)���。模式控制任務(wù)主要負(fù)責(zé)數(shù)據(jù)采集��、姿態(tài)計算與控制���、導(dǎo)航計算與制導(dǎo)、系統(tǒng)故障檢測及處理等��。遙測遙控任務(wù)主要完成對注入數(shù)據(jù)和指令的處理��、遙測數(shù)據(jù)打包、三機待比對數(shù)據(jù)打包等��。三機數(shù)據(jù)交換與比對任務(wù)主要實現(xiàn)三個單機之間比對數(shù)據(jù)的發(fā)送�、接收、比對與三取二表決�。系統(tǒng)管理任務(wù)主要負(fù)責(zé)監(jiān)測系統(tǒng)運行情況、打包操作系統(tǒng)的遙測數(shù)據(jù)�、設(shè)置本機健康與清狗操作��?���?臻e任務(wù)完成對RAM區(qū)的刷新,實現(xiàn)EDAC功能����。
[0027]在基于TSC695的實時操作系統(tǒng)基礎(chǔ)上,三機工作模式下的三機數(shù)據(jù)交換與比對任務(wù)實現(xiàn)了三機之間的數(shù)據(jù)交換與比對功能���。在系統(tǒng)管理任務(wù)中��,補充了與三機熱備份容錯結(jié)構(gòu)相關(guān)的實現(xiàn)方法��,將三機數(shù)據(jù)的比對結(jié)果�����、某一機是否發(fā)生過復(fù)位�、“切機命令字”是否有效等情況綜合考慮,來決定是否設(shè)置本機健康標(biāo)志與清狗���。
[0028]任務(wù)的優(yōu)先級也是按照相同的順序從高到低排序�����。其中關(guān)鍵任務(wù)為模式控制任務(wù)�����、遙測遙控任務(wù)�����、三機數(shù)據(jù)交換與比對任務(wù)和系統(tǒng)管理任務(wù)�;非關(guān)鍵任務(wù)為空閑任務(wù)(含RAM刷新)��。各個任務(wù)的執(zhí)行由實時操作系統(tǒng)進(jìn)行調(diào)度���,調(diào)度方法是基于固定優(yōu)先級的可搶占式調(diào)度�。各個任務(wù)獨立運行,只要系統(tǒng)不復(fù)位�����,一個任務(wù)的執(zhí)行失敗不影響其它任務(wù)的正常執(zhí)行���。
[0029]如圖1所示��,任務(wù)調(diào)度策略采用固定優(yōu)先級的調(diào)度策略�����,使優(yōu)先級高的任務(wù)被實時處理。圖中任務(wù)I為模式控制任務(wù)��,任務(wù)2為遙測遙控任務(wù)�,任務(wù)3為三機數(shù)據(jù)交換與比對任務(wù),任務(wù)4為系統(tǒng)管理任務(wù)���,任務(wù)5為空閑任務(wù)��。任務(wù)1�����、任務(wù)2�����、任務(wù)3�����、任務(wù)4����、任務(wù)5的運行由時間片觸發(fā),每個任務(wù)均運行固定時間長度的時間片�����,如果在分配好的時間片內(nèi)未執(zhí)行完����,則該任務(wù)被強行掛起,并記錄超時一次��,啟動下一任務(wù)����。如果在分配好的時間片內(nèi)��,任務(wù)提前完成�����,而下一任務(wù)的起始時刻還未到來�����,則啟動空閑任務(wù)�����。當(dāng)下一任務(wù)起始時刻到來后���,則啟動下一任務(wù)。在任務(wù)的執(zhí)行過程中�,如果有中斷到來�����,則在響應(yīng)該中斷之后�,繼續(xù)該任務(wù)的執(zhí)行。
[0030]三臺單機分別定義為:本機�����、另一機、第三機��,三臺計算機之間的關(guān)系是相對的��,隨著當(dāng)班機的變化而變化��。
[0031]三機相互關(guān)系[0032]
【權(quán)利要求】
1.一種基于實時操作系統(tǒng)的星載計算機三機熱備份容錯方法���,其特征在于步驟如下: (1)設(shè)置三臺相同的裝有相同實時操作系統(tǒng)的計算機����,對于三臺計算機中的每一臺單機��,在各自的存儲設(shè)備中設(shè)置三塊區(qū)域����,分別為本機數(shù)據(jù)區(qū)、另一機數(shù)據(jù)接收區(qū)��、第三機數(shù)據(jù)接收區(qū)��; (2)對于每一臺單機,在每個控制周期中進(jìn)行數(shù)據(jù)交換���,將自身需要進(jìn)行比對的數(shù)據(jù)送入本機數(shù)據(jù)區(qū)�����,并將本機數(shù)據(jù)區(qū)中的數(shù)據(jù)發(fā)送給另外兩機��,同時從另一機接收需要進(jìn)行比對的數(shù)據(jù)并送入另一機數(shù)據(jù)接收區(qū)����,從第三機接收需要進(jìn)行比對的數(shù)據(jù)并送入第三機數(shù)據(jù)接收區(qū)��;在數(shù)據(jù)交換過程中�����,進(jìn)行數(shù)據(jù)交換超時判斷����,如果在規(guī)定時間內(nèi)本機完成了與另外兩機的數(shù)據(jù)交換則進(jìn)入步驟(3),否則直接設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為不一致并轉(zhuǎn)步驟(6)��; 所述的“三機數(shù)據(jù)比對標(biāo)志”包括三種��,分別是“本機與另一機數(shù)據(jù)比對標(biāo)志”�,“本機與第三機數(shù)據(jù)比對標(biāo)志”,“另一機與第三機數(shù)據(jù)比對標(biāo)志”�,每一種標(biāo)志都分為一致和不一致兩種情況; (3)對于每一臺單機�,判斷本機是否發(fā)生過復(fù)位,如果本機沒有發(fā)生過復(fù)位�����,則進(jìn)入步驟(4);如果本機發(fā)生過復(fù)位�����,則直接設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為不一致并轉(zhuǎn)步驟(6); (4)對于每一臺單機�����,判斷本機的“切機命令字”是否有效�����;如果本機“切機命令字”無效��,則進(jìn)入步驟(5);如果本機“切機命令字”有效�,則直接設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為不一致并轉(zhuǎn)步驟(6);所述的“切機命令字”用于標(biāo)識是否切除本機,當(dāng)有效時表明需要切除本機; (5)對于每一臺單機����,從步驟(I)所述的三個區(qū)域中分別讀取待比較的數(shù)據(jù),獲取待比較數(shù)據(jù)所對應(yīng)的在軌時間�����,如果在軌時間不在給定的運行階段范圍值內(nèi)則直接設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為不一致并轉(zhuǎn)步驟(6);如果在軌時間一致則對待比較數(shù)據(jù)進(jìn)行比對�,如果待比較數(shù)據(jù)為無容差數(shù)據(jù),則僅在數(shù)據(jù)完全相同時比對結(jié)果為一致�,如果待比較數(shù)據(jù)為有容差數(shù)據(jù),則僅在數(shù)據(jù)之間的差值在所允許范圍內(nèi)時比對結(jié)果為一致����,如果待比較數(shù)據(jù)的比對遵循特定規(guī)則,則僅在數(shù)據(jù)滿足特定規(guī)則時比對結(jié)果為一致���,根據(jù)比對結(jié)果分別設(shè)置三種“三機數(shù)據(jù)比對標(biāo)志”為有效或者無效��,同時設(shè)置“數(shù)據(jù)比對一致標(biāo)志”狀態(tài)并送給除本機外的另外兩機���; 所述的“數(shù)據(jù)比對一致標(biāo)志”根據(jù)“本機與另一機數(shù)據(jù)比對標(biāo)志”以及“本機與第三機數(shù)據(jù)比對標(biāo)志”的狀態(tài)確定,當(dāng)“本機與另一機數(shù)據(jù)比對標(biāo)志”一致或者“本機與第三機數(shù)據(jù)比對標(biāo)志” 一致時���,“數(shù)據(jù)比對一致標(biāo)志”有效����,其他情況下“數(shù)據(jù)比對一致標(biāo)志”無效�; (6)對于每一臺單機,如果三種“三機數(shù)據(jù)比對標(biāo)志”均為不一致�����,則判斷另外兩機送來的“數(shù)據(jù)比對一致標(biāo)志”是否至少有一個有效��,如果至少有一個有效�����,則本機設(shè)置不健康標(biāo)志���,否則本機進(jìn)行自檢����,如果自檢通過則本機設(shè)置健康標(biāo)志��,如果自檢不通過則設(shè)置本機不健康標(biāo)志���;如果三種“三機數(shù)據(jù)比對標(biāo)志”中的“本機與另一機數(shù)據(jù)比對標(biāo)志”或者“本機與第三機數(shù)據(jù)比對標(biāo)志”有一個為一致時�,本機設(shè)置健康標(biāo)志;如果三種“三機數(shù)據(jù)比對標(biāo)志”中的“本機與另一機數(shù)據(jù)比對標(biāo)志”為不一致并且“本機與第三機數(shù)據(jù)比對標(biāo)志”為不一致�,但是“另一機與第三機數(shù)據(jù)比對標(biāo)志”為一致時,本機設(shè)置不健康標(biāo)志�����。
【文檔編號】G06F11/20GK103473156SQ201310439356
【公開日】2013年12月25日 申請日期:2013年9月24日 優(yōu)先權(quán)日:2013年9月24日
【發(fā)明者】吳琨, 胡洪凱, 張洪華, 何健, 李任欣, 程銘, 劉波, 王婧, 徐建 申請人:北京控制工程研究所