技術領域

本發明涉及一種可重構三冗余計算機系統及其重構降級方法，尤其是一種長時間、高可靠、全自主的運載火箭與航天器控制系統中計算機故障診斷與決策方法，屬于計算機技術領域。

背景技術

由于三冗余計算機獨特的優勢，在未來的各種類型的上面級、快速響應的液體小火箭、固體小運載、空射小運載和用于載人探月的重型運載火箭上將具有廣泛的應用。

隨著我國空間應用、科學探測、載人航天的發展，國際商業發射與國際合作的日益加深，運載火箭發射任務越來越多，高密度快速發射成為運載火箭的發展趨勢。為了提高中國運載火箭的整體水平和能力，滿足未來20—30年航天發展的需求，保持我國運載技術在世界航天領域的地位，我國開展了研制新一代快速發射運載火箭與航天器。

運載火箭與航天器采用三冗余架構計算機的型號較多，一般采用單點表決、單點接口或多臺冗余等方案，從冗余程度與經濟性上無法做到平衡，且無法適應長航時航天器計算機應用。

在實時性、自主性控制要求較高的應用環境，如火星探測、大機動變軌運輸器等，不僅需要自主故障診斷與決策的能力，現有航天器計算機一般采用雙機冗余、三機不可恢復故障冗余，所以需要設計一種一度故障后恢復與故障隔離技術，通過可重構與降級設計實現長時間的自主故障診斷與決策的能力。

發明內容

本發明的技術解決問題：克服現有技術的不足，提供一種可重構三冗余計算機系統及其重構降級方法，解決火箭與航天器計算機系統在實時性較高應用環境下長時間全自主故障診斷問題，以及通過故障恢復重構方法保證長航時工作可靠性。

本發明的技術解決方案：一種可重構三冗余計算機系統，包括三個控制計算機，每個控制計算機包括接口通信模塊、CPU模塊和表決控制模塊，三個控制計算機上電完成初始化配置和時間同步之后工作在三機冗余工作模式下，各控制計算機CPU模塊分別接收外部數據，同步進行控制計算，將計算結果發送至對應的接口通信模塊；同時，各控制計算機CPU模塊通過表決控制模塊進行數據交互，獲取三個控制計算機的計算結果，對三個控制計算機的計算結果，進行故障診斷得到故障判斷結果，根據故障判斷結果和預設的權切換順序，形成表示當權控制計算機編號的表決狀態指令，將表決狀態指令發送至三個控制計算機的表決控制模塊，每個控制計算機的表決控制模塊根據表決狀態指令，按照3取2的原則配置當權機，由當權機輸出權使能控制信號至對應的接口通信模塊，并由當權機向故障機輸出復位指令；在權使能信號的控制下，僅當權控制計算機接口通信模塊將計算結果輸出至對外接口，故障機復位重啟后，通過三機交互接口同步當班機的關鍵數據，使故障機重新運行與其它兩機保持狀態一致，完成重構。

所述每個控制計算機CPU模塊與三個控制計算機表決控制模塊相連，CPU模塊寫操作將交互數據同時寫入三個控制計算機表決控制模塊的存儲緩沖區，CPU模塊讀操作讀取所屬控制計算機的表決控制模塊存儲緩沖區中三個控制計算機交互數據。

當任意一個控制計算機發生故障次數超過預設次數時，當權機對該故障機進行斷電操作，三冗余計算機系統運行在雙機主從工作模式，一個控制計算機為當權機，另一個控制計算機為非當權機，其中，當權機通過表決控制模塊向非當權機發送健康狀態信號，非當權機根據當權機健康狀態信號判斷當權機的健康狀態，當當權機“不健康”時，非當權機表決控制模塊向當權機發送奪權指令，并對當權機進行復位操作，非當權機切換自身為當權機，發出權使能有效信號，接管三冗余計算機系統對外接口通信權，三冗余計算機系統工作在單機工作模式；否則，三冗余計算機系統保持在雙機工作模式。

所述當權機健康狀態信號包括心跳信號、電壓狀態信息和雙機時間信息，當所有健康狀態信號與預設值均一致時，認為當權機“健康”，否則，認為當權機“不健康”。

每個控制計算機對三個控制計算機的計算結果進行表決的原則為：對三份計算結果進行比對，如果三份計算結果相互之間的偏差均未超出設定閾值，則認為無故障機，如果其中一份計算結果與這兩份計算結果偏差超出設定閾值，則認為該計算結果所對應的控制計算機為故障機；如果三份計算結果相互之間的偏差均超出設定閾值，則認為三機均為故障機。

所述三個控制計算機獨立供電。

所述三個控制計算機之間的所有外部接口信號和內部交互信號均采取隔離措施進行隔離。

所述控制計算機中的表決控制單元通過FPGA實現。