基于1553B总线的高可靠星载计算机在轨自修正系统及方法与流程

本发明涉及一种星载计算机在轨自修正系统及方法，具体是指一种基于1553B总线的高可靠星载计算机在轨自修正系统及方法，属于卫星安全性容错技术。

背景技术：

由于太空应用环境的复杂性，空间飞行器中的电子器件常受单粒子效应的影响，对卫星功能造成不同程度的故障。由于EEPROM(Electrically Erasable Programmable Read-Only Memory，电可擦可编程只读存储器)是用户可更改的只读存储器，且断电后存储的数据不会丢失，因此被大量用于航天领域。星载计算机是卫星上的核心电子设备，一旦EEPROM发生单粒子翻转，如果星载软件出现异常跑飞或复位，将直接影响卫星的正常运行，甚至给卫星带来灾难性的后果。对于长寿命的高可靠卫星，必须考虑对单粒子翻转的防护措施。

现有的容错技术主要是通过硬件抗辐加固技术提高抗辐射性能，但是无法避免单粒子翻转的发生，不能通过星载软件本身的功能自动检测出故障的发生，不能根据故障发生的状态自动修复使卫星运行不受影响。

技术实现要素：

本发明的目的在于提供一种基于1553B总线的高可靠星载计算机在轨自修正系统和方法，通过循环检查、自动诊断和自动修复功能来实现卫星的自恢复运行，无需依赖地面测控，容错能力高，设计灵活、适应性强，实时性好、安全性高，且可靠性高。

为了达到上述目的，本发明提供一种基于1553B总线的高可靠星载计算机在轨自修正系统，针对EEPROM发生各种类型的单粒子翻转，实时进行自动诊断和自动修复；包含：1533B总线，具有第一冗余总线和第二冗余总线；总线控制器，分别与所述的第一冗余总线和第二冗余总线连接；互为备份的第一星载计算机和第二星载计算机，分别与所述的第一冗余总线和第二冗余总线连接，通过1553B总线制定的协议与总线控制器进行数据传输。

每个星载计算机的存储区包含EEPROM，采用三片冗余结构，即包含三个代码备份区域，每个代码备份区域存放一份完整的星载软件目标代码，用于进行三取二检查诊断。

本发明还提供一种基于1553B总线的高可靠星载计算机在轨自修正方法，包含以下步骤：

S1、每个星载计算机的EEPROM均采用三片冗余结构，即包含三个代码备份区域；针对第一星载计算机，对分别存储在各个代码备份区域中的相同星载软件目标代码进行每个页面的三取二循环检查；

S2、循环检查结束后，星载计算机根据检查结果进行自主诊断；

S3、星载计算机通过1553B总线将自主诊断结果传输至备份的第二星载计算机，并根据响应回复进行处理。

所述的S1中，具体包含以下步骤：

S11、分别取出第一星载计算机的EEPROM中的第一代码备份区域、第二代码备份区域和第三代码备份区域的第一页作为当前修正页，并初始化当前修正页的数组；

S12、对三页当前修正页进行三取二检查诊断；如果该三页当前修正页中三取二的检查结果为两两数据均一致，则继续对三个代码备份区域的下一页进行三取二检查诊断，直至完成所有页面的三取二检查诊断；如果该三页当前修正页中三取二的检查结果为两两数据均不一致，则判断异常，继续执行后续步骤；

S13、如果该三页当前修正页中三取二检查结果为单页不一致，即三页当前修正页中，某个地址的数据在其中某两页中一致，与第三页不一致，则记录错误类型，并判断地面设置是否为允许自修复；如是，则根据两个相同的正确地址的数据完成对不一致页面的自修复；如否，则将错误的地址和数据遥测下传，等待地面分析处理；

S14、如果该三页当前修正页中三取二检查结果为两两数据均不一致，则记录错误类型、错误地址和错误地址对应的数据，累加错误次数计数器。

所述的S2中，具体包含以下步骤：

S21、如果错误次数计数器等于0，则三取二检查结果正常，置诊断状态标识正常，将包含错误地址、错误地址对应的数据和错误次数的诊断结果包的内容置0，并和计算的校验和发送至备份的第二星载计算机；

S22、如果错误次数计数器大于0，则三取二检查结果异常，置诊断状态标识异常，将包含错误地址、错误地址对应的数据和错误次数的诊断结果包，及计算的校验和发送至备份的第二星载计算机，并等待回复响应包。

所述的S3中，具体包含以下步骤：

S31、备份的第二星载计算机收到诊断结果包，对诊断结果进行分析，如果诊断状态标识异常，则对第二星载计算机中三个代码备份区域所存储的与错误地址对应的页面进行三取二检查；如三取二检查检查结果两两均一致，则置可修复标识、置错误地址及错误地址对应的正确数据作为回复响应包，并发送至第一星载计算机；如三取二检查检查结果不一致，则置不可修复标识作为回复响应包，并发送至第一星载计算机；

S32、第一星载计算机收到回复响应包，判断修复标识；如果为可修复标识，继续执行S33；如果为不可修复标识，则将诊断结果包遥测下传，等待地面分析处理；

S33、判断地面设置是否为允许自修复；如是，则读取回复响应包中的错误地址和错误地址对应的正确数据，并对第一星载计算机中EEPROM对应的地址进行自修复，写入正确数据；如否，则将诊断结果包遥测下传，等待地面分析处理。

综上所述，本发明提供的基于1553B总线的高可靠星载计算机在轨自修正系统和方法，通过循环检查、自动诊断和自动修复功能来实现卫星的自恢复运行，无需依赖地面测控；是一种星载软件长期在轨运行时，针对星载计算机EEPROM发生的各种类型的单粒子翻转，在不复位且不影响卫星任务的前提下完成自动诊断和自动修复功能的技术；容错能力高，设计灵活、适应性强，实时性好、安全性高，且可靠性高。

附图说明

图1为本发明中的基于1553B总线的高可靠星载计算机在轨自修正系统的结构示意图；

图2为本发明中的基于1553B总线的高可靠星载计算机在轨自修正方法的流程图；

图3为本发明中的三取二检查方法的流程图；

图4为本发明中的1553B总线传输的数据流。

具体实施方式

以下结合图1～图4，详细说明本发明的一个优选实施例。

如图1所示，为本发明提供的基于1553B总线的高可靠星载计算机在轨自修正系统，用于星载软件长期在轨运行时，针对EEPROM发生各种类型的单粒子翻转，实时进行自动诊断和自动修复，而不中断卫星当前的任务；包含：1533B总线，具有第一冗余总线A和第二冗余总线B；总线控制器BC，分别与所述的第一冗余总线A和第二冗余总线B连接；两个星载计算机(远程终端RT)，本实施例中包含图1中显示的星载计算机A机和星载计算机B机，且互为备份，分别与所述的第一冗余总线A和第二冗余总线B连接，通过1553B总线制定的协议与总线控制器BC进行数据传输。

其中，每个星载计算机的存储区包含：EEPROM，采用三片冗余结构，即包含三个代码备份区域，每个代码备份区域存放1份完整的星载软件目标代码，用于进行三取二检查诊断；PROM(可编程的只读存储器，Programmable Read-Only Memory)，用于上电后进行初始化，并运行启动程序；SRAM(静态随机存取存储器，Static Random Access Memory)，为星载软件运行区域。

如图2所示，为本发明提供的基于1553B总线的高可靠星载计算机在轨自修正方法，包含以下步骤：

S1、每个星载计算机的EEPROM均采用三片冗余结构，即包含三个代码备份区域；针对第一星载计算机A，对分别存储在各个代码备份区域中的相同星载软件目标代码进行每个页面的三取二循环检查；

S2、循环检查结束后，星载计算机根据检查结果进行自主诊断；

S3、星载计算机通过1553B总线将自主诊断结果传输至备份的第二星载计算机B，并根据响应回复进行处理。

所述的S1中，具体包含以下步骤：

S11、分别取出第一星载计算机A的EEPROM中的第一代码备份区域A、第二代码备份区域B和第三代码备份区域C的第一页(页面号PageNum为1)作为当前修正页，并初始化当前修正页的数组；

S12、对三页当前修正页进行三取二检查诊断；如果该三页当前修正页中三取二的检查结果为两两数据均一致，则继续对三个代码备份区域的下一页(三个代码备份区域A、B、C的页面号PageNum均累加1)进行三取二检查诊断，直至完成所有页面的三取二检查诊断；如果该三页当前修正页中三取二的检查结果为两两数据均不一致，则判断异常，继续执行后续步骤；

本实施例中，星载计算机的EEPROM的每个代码备份区域为512K字节，每页为512字节，总共有1024个页。因此，星载计算机需要对第1页～第1024页进行循环检查，对三个代码备份区域的每一页进行三取二检查诊断，并根据检查得到的不同结果，相应执行后续步骤，完成自修复过程。

S13、如图3所示，如果该三页当前修正页中三取二检查结果为单页不一致，即三页当前修正页中，某个地址的数据在其中某两页中一致，与第三页不一致，则记录错误类型(ErrType)，并判断地面设置是否为允许自修复；如是，则根据两个相同的正确地址的数据完成对不一致页面的自修复；如否，则将错误的地址和数据遥测下传，等待地面分析处理；

由于EEPROM的写入次数是有一万次的限制的，因此需要设定自修复开关(即地面设置是否为允许自修复)，由地面根据需求选择是否启动自修复功能。

S14、如图3所示，如果该三页当前修正页中三取二检查结果为两两数据均不一致，则记录错误类型(ErrType)、错误地址(ErrAddress)和错误地址对应的数据(ErrData)，累加错误次数计数器(ErrCnt)。

本实施例中，如图3所示，当三页当前修正页中三取二结果为两两均一致，置错误类型ErrType为0x9999；当三取二结果为第三代码备份区域C单页不一致，置错误类型ErrType为0x1111；当三取二结果为第二代码备份区域B单页不一致，置错误类型ErrType为0x3333；当三取二结果为第一代码备份区域A单页不一致，置错误类型ErrType为0x5555；当三取二结果为两两均不一致，置错误类型ErrType为0x7777。

所述的S2中，具体包含以下步骤：

S21、如果错误次数计数器ErrCnt＝0，则三取二检查结果正常，置诊断状态标识正常，将包含错误地址、错误地址对应的数据和错误次数的诊断结果包的内容置0，并和计算的校验和发送至备份的第二星载计算机B；

S22、如果错误次数计数器ErrCnt>0，则三取二检查结果异常，置诊断状态标识异常，将包含错误地址、错误地址对应的数据和错误次数的诊断结果包，及计算的校验和发送至备份的第二星载计算机B，并等待回复响应包。

所述的S3中，具体包含以下步骤：

S31、备份的第二星载计算机B收到诊断结果包，对诊断结果进行分析，如果诊断状态标识异常，则对第二星载计算机B中三个代码备份区域所存储的与错误地址对应的页面进行三取二检查；如三取二检查检查结果两两均一致，则置可修复标识、置错误地址ErrAddress及错误地址对应的正确数据CorrDate作为回复响应包，并发送至第一星载计算机A；如三取二检查检查结果不一致，则置不可修复标识作为回复响应包，并发送至第一星载计算机A；

S32、第一星载计算机A收到回复响应包，判断修复标识；如果为可修复标识，继续执行S33；如果为不可修复标识，则将诊断结果包遥测下传，等待地面分析处理；

S33、判断地面设置是否为允许自修复；如是，则读取回复响应包中的错误地址ErrAddress和错误地址对应的正确数据CorrData，并对第一星载计算机A中EEPROM对应的地址进行自修复，写入正确数据；如否，则将诊断结果包遥测下传，等待地面分析处理。

此时同样需要设定自修复开关(即地面设置是否为允许自修复)，由地面根据需求选择是否启动自修复功能。

本发明提供的基于1553B总线的高可靠星载计算机在轨自修正系统和方法，采用星载计算机A、B机双机备份冗余技术、三取二机制和总线双冗余结构，一旦出现故障，能自主检测出故障并切换至备份机工作。星载计算机A、B双机之间通过1553B总线传输诊断结果包和响应回复包，可靠性高。

如图4所示，是本发明的1553B总线传输的数据流。1553B总线控制规则采取静态总线控制，只有一个固定的总线控制器实现对1553B总线的控制，星载计算机A与星载计算机B之间通过RT->RT的方式传输。1553B数据传输采用服务请求机制，即状态字和矢量字相结合的方式工作。远程终端通过总线状态字中的服务请求位来标识数据传输请求，通过矢量字位来标识请求传输的数据类型。远程终端一旦在发送缓冲区准备好数据或是请求获取某类数据时，将矢量字中相应位置1；待总线控制器将数据取走或发来数据后，再将矢量字中相应的位置0；总线控制器周期性地组织总线通信，远程终端在收到“发送状态字”方式指令时检查矢量字，一旦发现本终端的矢量字大于0，远程终端应将总线状态字中的服务请求位置1。本发明中用到的1553B方式命令指令为：发送状态字(00010)、发送矢量字(10000)。

根据1553B总线的底层基本协议，制定了本发明中星载计算机A和星载计算机B通过1553B总线传输的高层通讯协议：诊断结果包和响应回复包。其中本机发送的诊断结果包长度定义为20个字节，包含三取二诊断的结果内容，具体包括包头、诊断标识、本机状态标识、错误地址、错误地址对应的数据、错误次数和校验和。对方备份机反馈的响应回复包长度定义为16个字节，分别为包头、修复标识、错误地址、错误地址对应的正确数据和校验和。由于发送的包字节数小于32个字，因此均采用单条消息中断的方式。

本发明提供的基于1553B总线的高可靠星载计算机在轨自修正系统和方法，与现有技术相比，具有以下优点和有益效果：

1容错能力高；星载计算机硬件采用多重备份，即双机备份、三取二机制和总线双冗余备份相结合，在硬件冗余的基础上通过星载软件自修复功能可实现抵御几乎所有类型的单粒子翻转带来的危害，极大提高了卫星的容错能力。

2设计灵活、适应性强；星载软件设计自修复开关，根据空间环境的特定因素，由地面根据需求选择是否启动自修复功能，工作方式灵活多变，以适应EEPROM的使用寿命。

3实时性好、安全性高；星载软件在轨运行时，一旦EEPROM被单粒子翻转打翻，能够立即修复，而不依赖地面测控，实时性好；修复过程中星载软件不复位且不影响卫星任务、不中断卫星在轨的正常功能，安全性高。

4可靠性高；1553B总线协议为指令/响应式，收发具有严格的握手协议，数据传输的准确率高；1553B总线采用数字通信方式，具有较高的抗干扰能力和可靠性；对卫星向有自主能力和高生存能力发展、具备故障检测与恢复重构功能具有重要作用。

尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。