本發(fā)明涉及運(yùn)載火箭與航天器計(jì)算機(jī)系統(tǒng)，尤其涉及一種三冗余計(jì)算機(jī)同步方法。

背景技術(shù)：

由于冗余計(jì)算機(jī)在高可靠與低成本的獨(dú)特的優(yōu)勢(shì)，在未來(lái)的各種類(lèi)型的上面級(jí)、快速響應(yīng)的液體小火箭、固體小運(yùn)載、空射小運(yùn)載和用于載人探月的重型運(yùn)載火箭上將具有廣泛的應(yīng)用。

隨著我國(guó)空間應(yīng)用、科學(xué)探測(cè)、載人航天的發(fā)展，國(guó)際商業(yè)發(fā)射與國(guó)際合作的日益加深，運(yùn)載火箭發(fā)射任務(wù)越來(lái)越多，高密度快速發(fā)射成為運(yùn)載火箭的發(fā)展趨勢(shì)。為了提高中國(guó)運(yùn)載火箭的整體水平和能力，滿足未來(lái)20—30年航天發(fā)展的需求，保持我國(guó)運(yùn)載技術(shù)在世界航天領(lǐng)域的地位，我國(guó)開(kāi)展了研制新一代快速發(fā)射運(yùn)載火箭。

新一代快速發(fā)射運(yùn)載火箭要求高可靠和低成本，縮短研制周期，并減少對(duì)高等級(jí)器件的依賴。采用“一體化、自主控制、集成化、低成本”冗余技術(shù)，可應(yīng)用于國(guó)內(nèi)各種運(yùn)載火箭或航天器的計(jì)算機(jī)系統(tǒng)。

目前的冗余計(jì)算機(jī)存在時(shí)鐘冗余不同步和軟件不同步的問(wèn)題，在控制周期實(shí)時(shí)需求較高的系統(tǒng)中，無(wú)法實(shí)現(xiàn)快速故障診斷與決策，同時(shí)，由于不同步問(wèn)題，冗余系統(tǒng)存在狀態(tài)差異，增加故障診斷的復(fù)雜度。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種三冗余計(jì)算機(jī)同步方法，能夠解決冗余計(jì)算機(jī)時(shí)鐘冗余和軟件同步問(wèn)題，成本低，可靠性高，簡(jiǎn)單易行。

為了達(dá)到上述目的，本發(fā)明提供一種三冗余計(jì)算機(jī)同步方法，三冗余計(jì)算機(jī)包含：表決模塊，以及結(jié)構(gòu)完全相同的第一cpu模塊、第二cpu模塊和第三cpu模塊，表決模塊包含結(jié)構(gòu)完全相同且相互獨(dú)立的三個(gè)冗余表決單元，每一個(gè)表決單元都包含高精度時(shí)鐘源和表決fpga，每一個(gè)cpu模塊都包含cpu板fpga和處理器，所述的同步方法包含以下步驟：

步驟s1、三冗余計(jì)算機(jī)根據(jù)多時(shí)鐘源動(dòng)態(tài)故障診斷與切換方法實(shí)現(xiàn)時(shí)鐘脈沖同步；

步驟s2、三冗余計(jì)算機(jī)根據(jù)同一個(gè)同源時(shí)鐘信號(hào)，實(shí)現(xiàn)計(jì)算機(jī)中軟件時(shí)間基準(zhǔn)的同步。

所述的步驟s1中，所述的多時(shí)鐘源動(dòng)態(tài)故障診斷與切換方法包含以下步驟：

三個(gè)cpu模塊中的cpu板fpga分別獲取表決模塊中三個(gè)表決單元發(fā)送的三個(gè)同步脈沖信號(hào)，選擇其中一個(gè)同步脈沖信號(hào)作為三個(gè)cpu模塊的同源時(shí)鐘信號(hào)，根據(jù)時(shí)鐘三取二選擇邏輯對(duì)發(fā)生故障的同步脈沖信號(hào)進(jìn)行診斷，并根據(jù)同步脈沖的選擇策略進(jìn)行同步脈沖信號(hào)的切換。

所述的同步脈沖的選擇策略包含：

根據(jù)預(yù)先設(shè)定的同步脈沖信號(hào)的優(yōu)先級(jí)順序來(lái)切換同步脈沖信號(hào)，上電時(shí)默認(rèn)使用優(yōu)先級(jí)順序最高的同步脈沖信號(hào)。

所述的同步脈沖信號(hào)故障包含：

干擾產(chǎn)生的誤脈沖、脈沖常為高、脈沖常為低、脈沖提前到來(lái)、脈沖推遲到來(lái)、脈沖脈寬變寬和脈沖脈寬變窄。

所述的同步脈沖信號(hào)故障診斷方法包含：

三個(gè)cpu模塊通過(guò)自身的高精度晶振，監(jiān)測(cè)接收到的同步脈沖信號(hào)，測(cè)量其脈沖寬度的偏差是否在允許范圍之內(nèi)，若2個(gè)以上的cpu模塊監(jiān)測(cè)到某個(gè)同步脈沖信號(hào)的寬度超過(guò)允許范圍，則判定該同步脈沖信號(hào)發(fā)生故障，則根據(jù)同步脈沖的選擇策略進(jìn)行同步脈沖的切換。

所述的步驟s2中，實(shí)現(xiàn)計(jì)算機(jī)中軟件時(shí)間基準(zhǔn)同步的方法包含以下步驟：

步驟s2.1、三個(gè)cpu模塊上電復(fù)位后，處理器中的監(jiān)控軟件啟動(dòng)匯編腳本從eeprom中拷貝監(jiān)控軟件和飛行軟件至sram中，并開(kāi)始運(yùn)行監(jiān)控軟件；

步驟s2.2、三個(gè)cpu模塊中的飛行軟件都進(jìn)入查詢等待狀態(tài)，監(jiān)控軟件通過(guò)三個(gè)表決fpga進(jìn)行三機(jī)數(shù)據(jù)交互，查詢?nèi)龣C(jī)的啟動(dòng)狀態(tài)；

步驟s2.3、三機(jī)的啟動(dòng)狀態(tài)均準(zhǔn)備正常后，三個(gè)cpu模塊共同啟動(dòng)，監(jiān)控軟件配置啟動(dòng)接收同步脈沖信號(hào)；

步驟s2.4、三個(gè)cpu板fpga獲取同一個(gè)同源時(shí)鐘信號(hào)進(jìn)行計(jì)時(shí)，三機(jī)中的飛行軟件開(kāi)始同步運(yùn)行。

所述的同步方法還包含：飛行軟件在運(yùn)行過(guò)程中的同步方法，包含以下步驟：

每個(gè)cpu模塊中的cpu板fpga為對(duì)應(yīng)的處理器提供來(lái)自于同一個(gè)同步脈沖信號(hào)的同源時(shí)鐘信號(hào)，處理器根據(jù)同源時(shí)鐘信號(hào)進(jìn)行計(jì)時(shí)，每到達(dá)觸發(fā)時(shí)間時(shí)，觸發(fā)軟件中斷，中斷后再次同步運(yùn)行三機(jī)中的飛行軟件，實(shí)現(xiàn)軟件運(yùn)行同步。

本發(fā)明具有以下有益效果：

1、高可靠性

采用三冗余計(jì)算機(jī)同步方法，保證三冗余時(shí)鐘在一度或兩度故障狀態(tài)下，保持提供高精度的同步時(shí)鐘信號(hào)。

2、簡(jiǎn)易性

三冗余計(jì)算機(jī)同步方法，不需要復(fù)雜的硬件邏輯設(shè)計(jì)，且軟硬件耦合度較低，硬件主要提供同源時(shí)鐘，軟件僅需保證初始同步起始點(diǎn)共同計(jì)數(shù)，可以在各種高精度同步的冗余計(jì)算機(jī)中適用，軟硬件設(shè)計(jì)方法簡(jiǎn)單易行。

3、低成本

運(yùn)載飛控計(jì)算機(jī)作為飛行控制核心，要求高可靠性，以往采用的方法主要是提高元器件的關(guān)鍵等級(jí)，以及大量的篩選、驗(yàn)證試驗(yàn)，采用三機(jī)全冗余方案，可有效的提高系統(tǒng)可靠性，降級(jí)研制成本，擴(kuò)大火箭在發(fā)射市場(chǎng)的競(jìng)爭(zhēng)力，進(jìn)而占有更多的市場(chǎng)份額。

附圖說(shuō)明

圖1是三冗余計(jì)算機(jī)的結(jié)構(gòu)示意圖。

圖2是本發(fā)明提供的一種三冗余計(jì)算機(jī)同步方法的流程圖。

圖3是同步脈沖選擇策略的示意圖。

圖4是脈沖故障診斷和脈沖切換的流程圖。

圖5是三機(jī)上電時(shí)鐘同步示意圖。

圖6是軟件上電運(yùn)行原理圖。

圖7是初始上電主要軟件流程圖。

圖8是飛行軟件在運(yùn)行過(guò)程中的同步示意圖。

具體實(shí)施方式

以下根據(jù)圖1～圖8，具體說(shuō)明本發(fā)明的較佳實(shí)施例。

如圖1所示，三冗余計(jì)算機(jī)包含：表決模塊4，以及結(jié)構(gòu)完全相同的第一cpu模塊1、第二cpu模塊2和第三cpu模塊3。

所述的表決模塊4包含結(jié)構(gòu)完全相同且相互獨(dú)立的三個(gè)冗余表決單元，即：第一表決單元5、第二表決單元6和第三表決單元7。所述的第一表決單元5發(fā)送第一同步脈沖信號(hào)給第一cpu模塊1、第二cpu模塊2和第三cpu模塊3，所述的第二表決單元6發(fā)送第二同步脈沖信號(hào)給第一cpu模塊1、第二cpu模塊2和第三cpu模塊3，第三表決單元7發(fā)送第三同步脈沖信號(hào)給第一cpu模塊1、第二cpu模塊2和第三cpu模塊3，第一cpu模塊1、第二cpu模塊2和第三cpu模塊3之間兩兩進(jìn)行數(shù)據(jù)交互。

所述的每一個(gè)表決單元都包含高精度時(shí)鐘源和表決fpga，表決fpga對(duì)高精度時(shí)鐘源提供的高精度晶振進(jìn)行處理后輸出同步脈沖信號(hào)給第一cpu模塊1、第二cpu模塊2和第三cpu模塊3。本實(shí)施例中，所述的高精度時(shí)鐘源采用20mhz高穩(wěn)晶振，具體型號(hào)為zc550-20mhz-5v-5ppm（具體技術(shù)指標(biāo)：穩(wěn)定度：5ppm；工作溫度范圍：-55℃~85℃；工作電壓：5v），通過(guò)晶振脈沖計(jì)數(shù)，當(dāng)計(jì)數(shù)為20次時(shí)，輸出1ms時(shí)鐘脈沖至第一cpu模塊1、第二cpu模塊2和第三cpu模塊3。第一表決單元5包含第一高精度時(shí)鐘源8和第一表決fpga11，第二表決單元6包含第二高精度時(shí)鐘源9和第二表決fpga12，第三表決單元7包含第三高精度時(shí)鐘源10和第三表決fpga13。

所述的每一個(gè)cpu模塊都包含cpu板fpga和處理器，cpu板fpga接收來(lái)自三個(gè)表決單元的三個(gè)同步脈沖信號(hào)，對(duì)同步脈沖信號(hào)進(jìn)行三取二表決后，選擇一路脈沖信號(hào)輸出給處理器，實(shí)現(xiàn)三冗余計(jì)算機(jī)的同步。第一cpu模塊1包含第一cpu板fpga14和第一處理器17，第二cpu模塊2包含第二cpu板fpga15和第二處理器18，第三cpu模塊3包含第三cpu板fpga16和第三處理器19。

如圖2所示，本發(fā)明提供一種三冗余計(jì)算機(jī)同步方法，包含以下步驟：

步驟s1、三冗余計(jì)算機(jī)根據(jù)多時(shí)鐘源動(dòng)態(tài)故障診斷與切換方法實(shí)現(xiàn)時(shí)鐘脈沖同步；

步驟s2、三冗余計(jì)算機(jī)根據(jù)同一個(gè)同源時(shí)鐘信號(hào)，實(shí)現(xiàn)計(jì)算機(jī)中軟件時(shí)間基準(zhǔn)的同步。

所述的步驟s1中，所述的多時(shí)鐘源動(dòng)態(tài)故障診斷與切換方法包含以下步驟：

三個(gè)cpu模塊中的cpu板fpga分別獲取表決模塊中三個(gè)表決單元發(fā)送的三個(gè)同步脈沖信號(hào)，選擇其中一個(gè)同步脈沖信號(hào)作為三個(gè)cpu模塊的同源時(shí)鐘信號(hào)，根據(jù)時(shí)鐘三取二選擇邏輯對(duì)發(fā)生故障的同步脈沖信號(hào)進(jìn)行診斷，并根據(jù)同步脈沖的選擇策略進(jìn)行同步脈沖信號(hào)的切換，保證三冗余時(shí)鐘在一度或兩度故障狀態(tài)下，提供連續(xù)的高精度的同步時(shí)鐘信號(hào)。

所述的同步脈沖的選擇策略包含：根據(jù)預(yù)先設(shè)定的同步脈沖信號(hào)的優(yōu)先級(jí)順序來(lái)切換同步脈沖信號(hào)，上電時(shí)默認(rèn)使用優(yōu)先級(jí)順序最高的同步脈沖信號(hào)。如圖3所示，第一同步脈沖信號(hào)的優(yōu)先級(jí)為1，第二同步脈沖信號(hào)的優(yōu)先級(jí)為2，第三同步脈沖信號(hào)的優(yōu)先級(jí)為3，同步脈沖信號(hào)的切換次序?yàn)?->2，2->3、3->1，即當(dāng)權(quán)機(jī)的同步脈沖信號(hào)出現(xiàn)故障，三個(gè)計(jì)算機(jī)中的cpu板fpga自主表決采用另一個(gè)同步脈沖信號(hào)，三機(jī)同步時(shí)鐘硬件保證誤差小于10us。

所述的同步脈沖信號(hào)故障包含：干擾產(chǎn)生的誤脈沖（該誤脈沖是由于冗余三機(jī)晶振焊點(diǎn)接觸不良和晶振硬件故障等導(dǎo)致的）、脈沖常為高、脈沖常為低、脈沖提前到來(lái)、脈沖推遲到來(lái)、脈沖脈寬變寬和脈沖脈寬變窄。

所述的同步脈沖信號(hào)故障診斷方法包含：三個(gè)cpu模塊通過(guò)自身的高精度晶振，監(jiān)測(cè)接收到的同步脈沖信號(hào)，測(cè)量其脈沖寬度的偏差是否在允許范圍之內(nèi)（允許偏差10%），若2個(gè)以上的cpu模塊監(jiān)測(cè)到某個(gè)同步脈沖信號(hào)的寬度超過(guò)允許范圍，則判定該同步脈沖信號(hào)發(fā)生故障。

如圖4所示，三冗余計(jì)算機(jī)上電后，三個(gè)cpu模塊中的cpu板fpga分別同時(shí)獲取三個(gè)同步脈沖信號(hào)，診斷是否有同步脈沖信號(hào)發(fā)生故障，依次診斷脈沖是否常為高、脈沖是否常為低、脈沖是否提前到來(lái)、脈沖是否推遲到來(lái)、脈沖脈寬是否變寬和脈沖脈寬是否變窄，若沒(méi)有脈沖信號(hào)發(fā)生故障，則默認(rèn)使用第一同步脈沖信號(hào)，若正在使用的第一同步脈沖信號(hào)發(fā)生故障，則切換到第二同步脈沖信號(hào)，若正在使用的第二同步脈沖信號(hào)發(fā)生故障，則切換到第三同步脈沖信號(hào)，若正在使用的第三同步脈沖信號(hào)發(fā)生故障，則切換到第一同步脈沖信號(hào)，以此類(lèi)推。

所述的步驟s2中，實(shí)現(xiàn)計(jì)算機(jī)中軟件時(shí)間基準(zhǔn)同步的方法包含以下步驟：

步驟s2.1、三個(gè)cpu模塊上電復(fù)位后，處理器中的監(jiān)控軟件啟動(dòng)匯編腳本從eeprom中拷貝監(jiān)控軟件和飛行軟件至sram中，并開(kāi)始運(yùn)行監(jiān)控軟件；

步驟s2.2、三個(gè)cpu模塊中的飛行軟件都進(jìn)入查詢等待狀態(tài)，監(jiān)控軟件通過(guò)三個(gè)表決fpga進(jìn)行三機(jī)數(shù)據(jù)交互，查詢?nèi)龣C(jī)的啟動(dòng)狀態(tài)；

步驟s2.3、三機(jī)的啟動(dòng)狀態(tài)均準(zhǔn)備正常后，三個(gè)cpu模塊共同啟動(dòng)，監(jiān)控軟件配置啟動(dòng)接收同步脈沖信號(hào)；

步驟s2.4、三個(gè)cpu板fpga獲取同一個(gè)同源時(shí)鐘信號(hào)進(jìn)行計(jì)時(shí)，三機(jī)中的飛行軟件開(kāi)始同步運(yùn)行。

如圖5所示，第一cpu板fpga、第二cpu板fpga和第三cpu板fpga選擇同一個(gè)同源時(shí)鐘信號(hào)輸出至第一cpu模塊、第二cpu模塊和第三cpu模塊中，用于軟件的外部中斷信號(hào)，作為軟件同步流程的最小時(shí)間單元，第一cpu模塊、第二cpu模塊和第三cpu模塊通過(guò)三機(jī)“數(shù)據(jù)交互”實(shí)現(xiàn)啟動(dòng)狀態(tài)的通知，當(dāng)均獲取相互間軟件啟動(dòng)狀態(tài)準(zhǔn)備正常后，同時(shí)采用“同步脈沖”進(jìn)行計(jì)時(shí)，可保證軟件時(shí)間基準(zhǔn)的同步性，本實(shí)施例中，同步脈沖信號(hào)的精度為1ms。

如圖6和圖7所示，計(jì)算機(jī)上電復(fù)位后，首先監(jiān)控軟件啟動(dòng)匯編腳本從eeprom中拷貝監(jiān)控軟件、飛行軟件至sram中，并從監(jiān)控軟件開(kāi)始運(yùn)行，監(jiān)控軟件在所有中斷屏蔽的條件下進(jìn)行系統(tǒng)自檢，三機(jī)由于硬件啟動(dòng)、執(zhí)行存在時(shí)間的差異，軟件在實(shí)際情況下一般為不同步狀態(tài)。

三機(jī)同步步驟如下：

a、三機(jī)飛行軟件通過(guò)“循環(huán)等待”狀態(tài)，查詢其它兩機(jī)三機(jī)交互接口，更改“上電啟動(dòng)狀態(tài)標(biāo)識(shí)”變量；

b、當(dāng)三機(jī)均獲取到正常啟動(dòng)標(biāo)識(shí)時(shí)，退出“循環(huán)等待”狀態(tài)；

c、三機(jī)共同開(kāi)始運(yùn)行，配置啟動(dòng)接收1ms同步脈沖信號(hào)，時(shí)間誤差小于10us；

d、通過(guò)獲取1ms同源時(shí)鐘脈沖計(jì)數(shù)，保證長(zhǎng)時(shí)間時(shí)鐘偏差均小于10us。

三機(jī)間存在啟動(dòng)時(shí)間誤差，三機(jī)啟動(dòng)時(shí)間誤差t1、t2的值小于±100us。

三冗余計(jì)算機(jī)在軟件運(yùn)行過(guò)程中，三個(gè)cpu模塊中的軟件運(yùn)行工作流程不一致，存在運(yùn)行分支不一致的情況，需要進(jìn)行同步。本發(fā)明提供的一種三冗余計(jì)算機(jī)同步方法還可以實(shí)現(xiàn)飛行軟件在運(yùn)行過(guò)程中的同步，如圖8所示，具體包含以下步驟：

每個(gè)cpu模塊中的cpu板fpga為對(duì)應(yīng)的處理器提供來(lái)自于同一個(gè)同步脈沖信號(hào)的1ms的同源時(shí)鐘信號(hào)，處理器根據(jù)同源時(shí)鐘信號(hào)進(jìn)行計(jì)時(shí)，每到達(dá)觸發(fā)時(shí)間（比如20ms）時(shí)，觸發(fā)軟件中斷，中斷后再次同步運(yùn)行三機(jī)中的飛行軟件，實(shí)現(xiàn)軟件運(yùn)行同步。

本發(fā)明采用的方法，其有益效果是：

1、高可靠性

采用三冗余計(jì)算機(jī)同步方法，保證三冗余時(shí)鐘在一度或兩度故障狀態(tài)下，保持提供高精度的同步時(shí)鐘信號(hào)。

2、簡(jiǎn)易性

三冗余計(jì)算機(jī)同步方法，不需要復(fù)雜的硬件邏輯設(shè)計(jì)，且軟硬件耦合度較低，硬件主要提供同源時(shí)鐘，軟件僅需保證初始同步起始點(diǎn)共同計(jì)數(shù)，可以在各種高精度同步的冗余計(jì)算機(jī)中適用，軟硬件設(shè)計(jì)方法簡(jiǎn)單易行。

3、低成本

運(yùn)載飛控計(jì)算機(jī)作為飛行控制核心，要求高可靠性，以往采用的方法主要是提高元器件的關(guān)鍵等級(jí)，以及大量的篩選、驗(yàn)證試驗(yàn)，采用三機(jī)全冗余方案，可有效的提高系統(tǒng)可靠性，降級(jí)研制成本，擴(kuò)大火箭在發(fā)射市場(chǎng)的競(jìng)爭(zhēng)力，進(jìn)而占有更多的市場(chǎng)份額。

盡管本發(fā)明的內(nèi)容已經(jīng)通過(guò)上述優(yōu)選實(shí)施例作了詳細(xì)介紹，但應(yīng)當(dāng)認(rèn)識(shí)到上述的描述不應(yīng)被認(rèn)為是對(duì)本發(fā)明的限制。在本領(lǐng)域技術(shù)人員閱讀了上述內(nèi)容后，對(duì)于本發(fā)明的多種修改和替代都將是顯而易見(jiàn)的。因此，本發(fā)明的保護(hù)范圍應(yīng)由所附的權(quán)利要求來(lái)限定。