一种分级、分层次的航天器单粒子软错误防护体系结构

技术领域

本发明涉及一种航天器单粒子软错误防护体系结构，属于航天器单粒子软 错误防护技术领域。

背景技术

单粒子软错误是航天器在轨运行中常见的空间辐射效应之一，近年来单粒 子软错误严重影响了我国多个航天器在轨不间断稳定服务。为满足大容量、高 速、复杂信息处理要求，现有航天器的信息处理单元需大量采用DSP、FPGA、 单片机、处理器、I/O及总线控制器等器件，但由于国外禁运及国内抗单粒子加 固器件生产水平等限制，其中不乏单粒子软错误高敏感器件，因此我国航天器 在轨不间断稳定服务面临严峻的单粒子软错误威胁，单粒子软错误成为影响未 来航天器稳定运行与效能发挥的重大共性问题。

现阶段，针对单粒子软错误，我国航天器采取了转ASIC、定时刷新、三模 冗余等防护措施，但以上措施大多集中在器件、单机层面，缺乏系统级的统一 设计和信息的综合利用。为有效提升航天器抗单粒子能力，必须在现有器件水 平和器件单机级防护手段的基础上，从系统设计层面入手，构建航天器单粒子 软错误防护体系，充分利用航天器分系统、系统的相关信息完成单粒子防护， 提升我国航天器在轨不间断稳定运行的能力。

发明内容

有鉴于此，本发明提供了一种航天器单粒子软错误防护体系结构，实现分 级、分层次的航天器单粒子软错误防护，从而有效提升航天器抗单粒子能力。

为了解决上述技术问题，本发明是这样实现的：

一种航天器单粒子软错误防护体系结构，所述航天器中具有综合电子分系 统和各分系统信息处理单元；综合电子分系统中具有中心计算机和各类业务单 元；所述防护体系由四个防护层级组成，其中，第0级为器件和单机级防护， 第1级为分系统级防护，第2级为中心计算机防护，第3级为系统级防护；

第0级的器件级防护从材料、工艺、元器件方面进行抗单粒子软错误加固， 单机级防护通过单机硬件电路或软件自身设计实现；

第1级的分系统级防护是通过中心计算机与分系统信息处理单元以及综合 电子分系统中的业务单元进行信息交互实现，中心计算机根据交互信息进行分 系统信息处理单元以及业务单元的故障判断，当确定需要实施故障防护时，向 需实施防护的分系统信息处理单元或业务单元发送恢复指令；

第2级的中心计算机防护是通过航天器中新增的中心计算机容错和系统级 单粒子防护模块与中心计算机进行信息交互实现的；所述中心计算机容错和系 统级单粒子防护模块根据交互信息进行中心计算机的故障判断，当确定需要实 施故障防护时，向中心计算机发送恢复指令；

第3级的系统级防护是通过所述中心计算机容错和系统级单粒子防护模块、 所述中心计算机和地球敏感器联合实现；当地球敏感器信息丢失且持续一段时 间时，由所述中心计算机容错和系统级单粒子防护模块或所述中心计算机控制 进入安全模式。

2、如权利要求1所述的航天器单粒子软错误防护体系结构，其特征在于， 所述第1级的中心计算机防护分为以下三类：

1-a类是综合电子分系统中控制综合业务单元的防护，是通过在控制综合业 务单元设置控制综合业务单元单粒子软错误防护模块和在中心计算机中设置单 粒子软错误防护模式控制模块实现的；控制综合业务单元单粒子软错误防护模 块采集控制综合业务单元及其控制部件的与控制相关的单粒子软错误状态信 息，并通过与单粒子软错误防护模式控制模块交互单粒子软错误状态信息进行 与控制相关的故障判断，最终由单粒子软错误防护模式控制模块决定是否实施 故障防护，如果确定实施，则向控制综合业务单元发送恢复指令；

1-b类是航天器中通信总线的防护，是通过在中心计算机设置总线通信单粒 子防护模块实现的，通过监测通信总线的工作状态进行故障判断和防护；

1-c类是航天器中各分系统信息处理单元和综合电子分系统中除所述控制综 合业务单元之外的其他业务单元的防护，是通过在各分系统信息处理单元中设 置分系统单粒子软错误防护模块和在中心计算机设置分系统汇总防护模块实现 的；分系统单粒子软错误防护模块采集非控制非通信的单粒子软错误状态信息， 并通过与分系统汇总防护模块交互单粒子软错误状态信息进行故障判断，最终 由分系统汇总防护模块决定是否实施故障防护，如果确定实施，则向需实施防 护的分系统或业务单元发送恢复指令。

其中，1-b类的防护包括对1553B总线通信功能和RS422总线通信功能的 单粒子错误进行防护；

(1)1553B总线单粒子软错误防护

正常情况下，中心计算机使用1553B总线的A总线与下位机进行通信；

当中心计算机A总线通信出现问题时，总线通信单粒子防护模块对发送或 接收的同一个RT子地址的消息块进行重试操作，重试次数不小于两次；重试操 作未成功，则总线通信单粒子防护模块自动切换采用B总线进行通信，其通信 过程与A总线方式一致；

若A总线和B总线均通信失败，总线通信单粒子防护模块对相应的下位机 采取复位措施，然后再次进行总线通信，其通信方式及次序与初始方式一致；

(2)RS422总线单粒子软错误防护

在正常情况下，RS422总线所连接的航天器上载荷信息处理单元使用A端 口与中心计算机通信，每N秒向中心计算机发送数据包；

若中心计算机在3N秒内未收到任何来自载荷信息处理单元的数据，则中心 计算机认为双方通信失败，自动切换至B端口；

中心计算机切换到B端口后，发送“载荷信息处理单元B端口接收”指令， 将载荷信息处理单元切至B端口通信。

优选地，所述地球敏感器为综合电子分系统中控制综合业务单元连接的控 制部件之一，在综合电子分系统中增设单粒子外部报警接口模块；当所述控制 综合业务单元单粒子软错误防护模块在进行1-a类防护时发现地球敏感器信息 丢失，则进一步通过所述单粒子外部报警接口模块将丢失情况通报给所述中心 计算机容错和系统级单粒子防护模块；

所述单粒子软错误防护模式控制模块在进行第1级1-a类防护的同时，进一 步兼任第3级防护，具体为：当单粒子软错误防护模式控制模块根据所述控制 综合业务单元单粒子软错误防护模块上报的信息确定地球敏感器信息丢失且持 续一段时间T₁时，发送对地定向安全模式序列，进入搜索地球的安全模式，直 到地球敏感器信息恢复后，回到原正常模式；

所述中心计算机容错和系统级单粒子防护模块在进行第2级防护的同时， 进一步兼任1-c类防护，具体为：当中心计算机容错和系统级单粒子防护模块根 据单粒子外部报警接口模块发来的丢失情况确定地球敏感器信息丢失且持续一 段时间T₂时，T₂大于T₁，则切换中心计算机到备机，并控制备机发送对日定向 安全模式序列，进行太阳捕获，并等待地面处理。

优选地，所述中心计算机由A机、B机和应急计算机组成；第2级防护具 体为：

中心计算机容错和系统级单粒子防护模块为中心计算机的A机、B机和应 急计算机设置看门狗电路，使用看门狗计数器监视A机、B机和应急计算机中 当班机的工作状态；

当中心计算机工作正常时，会周期性发出清狗信号；如果看门狗计数器连 续N个周期未收到来自中心计算机的清狗信号，中心计算机容错和系统级单粒 子防护模块将对中心计算机的A机进行复位操作；

中心计算机容错和系统级单粒子防护模块在A机复位操作后的连续N个周 期仍然未收到中心计算机A机发出的清狗信号，则中心计算机容错和系统级单 粒子防护模块检查允许切机标志；如果该允许切机标志为“允许切机”，则中 心计算机由A机切换到B机，同时将中心计算机容错和系统级单粒子防护模块 中的允许切机标志置为“禁止切机”；允许切机标志初始设定为“允许切机”；

如果中心计算机容错和系统级单粒子防护模块在切换到B机后的连续2N个 周期没有收到清狗信号，且允许切机标志为“禁止切机”，则中心计算机容错 和系统级单粒子防护模块关闭中心计算机的A机和B机，并开启应急计算机。

有益效果：

(1)本发明根据我国航天器的设计特点将单粒子软错误防护分为四级，并 统一设计，每级防护采用不同的手段策略，形成了分级、分层次的单粒子软错 误防护体系结构。各级软错误防护的策略充分利用航天器各信息处理单元之间 的相关性，使完成单粒子软错误防护的各个功能模块既能相互协作，又保持清 晰的任务界面。

(2)本发明中的基于综合电子平台的航天器单粒子软错误防护体系结构采 用分级控制方式，该控制方式合理利用星载计算资源由中心计算机容错和系统 级单粒子防护模块、中心计算机、综合业务单元、各分系统信息处理单元共同 完成单粒子软错误防护任务，具备良好的总体和局部控制性能。

(3)本发明的单粒子软错误防护体系结构基于通用的航天器综合电子平 台，具有通用性，可适应不同类型航天器的单粒子防护需求。

(4)对于地球敏感器信息的丢失情况，先进行第1级的恢复，如果无法恢 复再进行第3级的恢复，第3级恢复时也先进行对地定向动作，如果无法恢复 再重置中心计算机，然后进行对日定向动作。多重防护处理保证防护成功率， 自下而上的防护顺序是以先局部恢复再整体恢复为策略，从而保证尽量以影响 面最小的方式实现故障防护。

附图说明

图1为本发明系统架构示意图。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

本发明根据我国航天器的设计特点将单粒子软错误防护分为四级，并统一 设计，每级防护采用不同的手段策略，形成了分级、分层次的单粒子软错误防 护体系结构。单粒子软错误防护分级方法如下：

第0级(level 0)：器件单机级防护。

器件级防护从材料、工艺、元器件等方面进行抗单粒子软错误加固，无需 硬件电路或软件干预；单机级防护通过硬件电路或软件自身的设计实现，无需 地面、星载软件对单粒子软错误信息进行综合并采取相关干预措施。器件和单 机级防护生效时，对航天器正常工作和业务无影响。

第1级(level 1)：分系统级防护。

分系统级防护的对象是分系统信息处理单元以及综合电子分系统中除了控 制综合业务单元之外的其他业务单元。它是通过中心计算机与分系统信息处理 单元以及进行信息交互并采取相关干预措施实现。具体来说，中心计算机根据 交互信息进行分系统信息处理单元以及业务单元的故障判断，当确定需要实施 故障防护时，向需实施防护的分系统信息处理单元或业务单元发送恢复指令。 该级防护生效时，有可能对航天器正常工作产生影响。

根据单粒子分系统级软错误故障类型的不同，分系统级防护又分为3个子 类型：

1-a类防护：针对综合电子分系统中的控制综合业务单元发生单粒子软错误 故障的防护；

1-b类防护：针对总线通信功能发生单粒子软错误故障的防护；

1-c类防护：针对综合电子分析系统中除控制综合业务单元之外其它业务单 元以及其他分系统的单粒子软错误故障的防护。

第2级(level 2)：中心计算机防护。

中心计算机防护的防护对象是综合电子分系统中的中心计算机，它是通过 航天器中新增的中心计算机容错和系统级单粒子防护模块与中心计算机进行信 息交互实现的。中心计算机容错和系统级单粒子防护模块根据交互信息进行中 心计算机的故障判断，当确定需要实施故障防护时，向中心计算机发送恢复指 令。

第3级(level 3)：系统级防护。

系统级防护是针对航天器上地球敏感器信号丢失故障，此类单粒子软错误 故障有可能被0－2级的防护进行恢复，当(0－2级)的防护均失效时，则系统 防护将导致航天器进入安全模式，保证卫星姿态和能源的安全，并等待地面的 分析与处理。

此类防护是通过新增的中心计算机容错和系统级单粒子防护模块、中心计 算机和地球敏感器联合实现；当地球敏感器信息丢失且持续一段时间时，由中 心计算机容错和系统级单粒子防护模块或所述中心计算机控制进入安全模式。

以上1～3级单粒子软错误防护在综合电子平台下实现，其采用模块化分级 设计的思想，该体系结构能够减少中心计算机的负担，利于适应复杂多变的工 作环境，并具有较高的动态响应能力。

2、航天器单粒子软错误防护体系结构和工作流程

下面针对图1示出的航天器结构对本发明防护体积结构进行详细描述。

图1中，航天器具有综合电子分系统、供配电分系统信息处理单元、测控 分系统信息处理单元、载荷信息处理单元；综合电子分系统中具体包含平台载 荷综合业务单元、控制综合业务单元和中心计算机。载荷信息处理单元通过 RS422总线与中心计算机通信，中心计算机、供配电分系统信息处理单元、平 台载荷综合业务单元和控制综合业务单元均接入1553B总线进行通信，测控分 系统信息处理单元连接平台载荷综合业务单元。

为了实现本发明，按照上述设计新增中心计算机容错和系统级单粒子防护 模块；在中心计算机新增分系统汇总防护模块、总线通信单粒子防护模块和单 粒子软错误防护模式控制模块，在供配电分系统信息处理单元增设供配电分系 统单粒子软错误防护模块，在平台载荷综合业务单元增设平台载荷综合业务单 元单粒子软错误防护模块，在控制综合业务单元增设控制综合业务单元单粒子 软错误防护模块和单粒子外部报警接口模块。

其中，根据单粒子软错误防护分级，各级软错误防护由不同模块完成：

第1级防护为分系统级防护，其中：1-c级防护通过供配电分系统单粒子软 错误防护模块、平台载荷综合业务单元单粒子软错误防护模块、中心计算机中 的分系统汇总防护模块共同完成；1-b级防护通过中心计算机中的总线通信单粒 子防护模块完成；1-a级防护通过控制综合业务单元单粒子软错误防护模块、中 心计算机中的单粒子软错误防护模式控制模块共同完成。

第2级防护为中心计算机防护，通过中心计算机容错和系统级单粒子防护 模块完成。

第3级防护为系统级防护，通过单粒子外部报警接口模块、中心计算机中 的单粒子软错误防护模式控制模块和所述的中心计算机容错和系统级单粒子防 护模块共同完成。

下面各级防护流程和涉及模块的相关功能分别进行介绍。

一、1-c类单粒子防护流程

供配电分系统单粒子软错误防护模块和平台载荷综合业务单元单粒子软错 误防护模块根据预设的1-c级单粒子防护规则给出非控制非通信单粒子软错误 状态信息，中心计算机根据上述单粒子软错误状态信息的结果实施1-c级单粒子 防护。具体工作流程如下：

步骤11、供配电信息处理单元、平台载荷综合业务单元通过通用的遥测采 集指令输出模块采集航天器上的非控制非通信的状态信息，并发送给所在处理 单元或业务单元的单粒子软错误防护模块；

步骤12、单粒子软错误防护模块通过1553B总线与中心计算机中的分系统 汇总防护模块交互单粒子软错误状态信息进行故障判断；

在实际中，可以是单粒子软错误防护模块负责根据预设的1-c级单粒子防护 规则进行故障判断，将判断结果发送给分系统汇总防护模块；或者是直接将非 控制非通信的状态信息发送给分系统汇总防护模块进行故障判断；又或者是在 单粒子软错误防护模块进行部分的状态信息处理获得中间数据，将中间数据发 送给分系统汇总防护模块进行另一部分的处理获得故障判断结果。

步骤13、分系统汇总防护模块根据故障判断结果决定是否实施单粒子防护。

步骤14、当需要实施1-c级单粒子防护时，分系统汇总防护模块的恢复指 令通过1553B总线发送给供配电信息处理单元或平台载荷综合业务单元，完成 1-c级单粒子防护。恢复指令可以是令单元重启或者其他动作序列。

二、1-b级单粒子防护流程

1-b级防护通过中心计算机中的总线通信单粒子防护模块完成，主要针对 1553B总线通信功能和RS422总线通信功能，通过监测通信总线的工作状态进 行故障判断和防护。具体工作流程如下：

(1)1553B总线单粒子软错误防护

正常情况下，中心计算机使用1553B总线的A总线与下位机进行通信；

当中心计算机A总线通信出现问题时，总线通信单粒子防护模块对发送或 接收的同一个RT子地址的消息块进行重试操作，重试次数不小于两次；

重试操作未成功，则总线通信单粒子防护模块自动切换采用B总线进行通 信，其通信过程与A总线方式一致；

若A总线和B总线均通信失败，总线通信单粒子防护模块对相应的下位机 采取复位措施，然后再次进行总线通信，其通信方式及次序与初始方式一致。

(2)RS422总线单粒子软错误防护

在正常情况下，RS422总线所连接的载荷信息处理单元使用A端口与中心 计算机通信，即每N秒向中心计算机发送数据包。

若中心计算机在3N秒内未收到任何来自载荷信息处理单元的数据，则中心 计算机认为双方通信失败，自动切换至B端口。

中心计算机切换到B端口后，发送“载荷信息处理单元B端口接收”指令， 将载荷信息处理单元切至B端口通信。

三、1-a级单粒子防护流程

控制综合业务单元单粒子防护模块与中心计算机中的单粒子软错误防护模 式控制模块共同根据预设的控制单粒子软错误规则给出控制综合业务单元自身 及其所连接的控制部件的单粒子软错误判断结果，并根据判断结果实施1-a级单 粒子防护。具体工作流程如下：

步骤31、控制综合业务单元通过通用的控制遥测采集模块采集航天器上的 控制部件的遥测信息，控制部件中包括地球敏感器，然后发送给控制综合业务 单元单粒子软错误防护模块。

步骤32、控制综合业务单元单粒子软错误防护模块通过1553B总线与中心 计算机中的单粒子软错误防护模式控制模块交互单粒子软错误状态信息进行故 障判断。

在实际中，可以是控制综合业务单元单粒子软错误防护模块负责根据预设 的1-a级控制单粒子防护规则判断控制相关的单粒子软错误，将判断结果发送给 单粒子软错误防护模式控制模块；或者是直接将控制相关的状态信息发送给单 粒子软错误防护模式控制模块进行故障判断；又或者是在控制综合业务单元单 粒子软错误防护模块进行部分的状态信息处理获得中间数据，将中间数据发送 给单粒子软错误防护模式控制模块进行另一部分的处理获得故障判断结果。

步骤33、当出现地球敏感器信号丢失故障时，控制综合业务单元单粒子软 错误防护模块将该情况送给单粒子外部报警接口模块，通过外部报警接口模块 将信息发送给中心计算机容错和系统级单粒子防护模块(本步骤属于第3级防 护内容)。同时，地球敏感器信号丢失的情况也会被单粒子软错误防护模式控制 模块获得。

步骤34、中心计算机中的单粒子软错误防护模式控制模块根据故障判断结 果决定是否实施单粒子防护。

步骤35、当需要实施1-a级单粒子防护时，单粒子软错误防护模式控制模 块的恢复指令通过1553B总线发送给控制综合业务单元，完成1-a级单粒子防 护。

至此，第1-a级单粒子防护流程结束。

四、2级单粒子防护

中心计算机容错和系统级单粒子防护模块负责2级单粒子软错误防护。

中心计算机由A机、B机和应急计算机组成。对于2级防护，即中心管计 算机自身的软件、硬件故障，由中心计算机容错和系统级单粒子防护模块完成 复位、切机等动作，具体逻辑如下：

(1)中心计算机容错和系统级单粒子防护模块为中心计算机的A机、B机 和应急计算机设置“看门狗”电路，使用看门狗计数器监视A机、B机和应急计 算机中当班机的工作状态。

(2)当中心计算机工作正常时，会定期发出清狗信号(假设中心计算机每 隔M秒发出清狗信号)。如果看门狗计数器连续N个周期(M*N秒)未收到来 自中心计算机的清狗信号，中心计算机容错和系统级单粒子防护模块将对中心 计算机的A机进行复位操作；

(3)中心计算机A机复位后，中心计算机容错和系统级单粒子防护模块在 A机复位操作后的连续N个周期仍然未收到中心计算机A机发出的清狗信号， 则专中心计算机容错和系统级单粒子防护模块检查允许切机标志。如果该标志 为“允许切机”，则中心计算机由A机切换到B机，同时将允许切机标志置为“禁 止切机”；允许切机标志初始设定为“允许切机”；

(4)如果中心计算机容错和系统级单粒子防护模块在切换到B机后的连续 2N个周期没有收到清狗信号，且允许切机标志为“禁止切机”，则中心计算机容 错和系统级单粒子防护模块关闭中心计算机的A机和B机，并开启应急计算机。

五、3级单粒子防护

第3级防护主要利用地球敏感器信号实现。地球敏感器信号丢失情况不仅 作为控制部件的状态信息会发给单粒子软错误防护模式控制模块，还会作为第3 级防护的信息，通报给中心计算机容错和系统级单粒子防护模块。

对于3级单粒子防护，其工作流程如下：

当地球敏感器信号丢失，该状态信息首先会在第1级的1-a类防护进行处理， 由单粒子软错误防护模式控制模块和控制综合业务单元完成恢复，如果1-a类防 护处理无法恢复正常，则单粒子软错误防护模式控制模块会持续接收到地球敏 感器信号丢失信息。

那么，当单粒子软错误防护模式控制模块根据控制综合业务单元单粒子软 错误防护模块上报的信息确定地球敏感器信息丢失且持续一段时间T₁时，则认 为单粒子软错误防护模式控制模块的分系统级防护无法完成故障恢复，需要启 动第3级防护，此时发送预先设置好的对地定向安全模式序列，进入搜索地球 的安全模式，即借助反作用飞轮的加速减速，使航天器绕俯仰轴旋转，进行地 球搜索。当地球敏感器信息出现后，可以重新建立三轴姿态稳定，回到正常模 式。

上述单粒子软错误防护模式控制模块是处于中心计算机中，如果中心计算 机本身故障，则其无法发出对地定向安全模式序列，从而无法搜索到地球，或 者由于其他原因无法搜索到地球，有鉴于此，本发明在中心计算机容错和系统 级单粒子防护模块中设计了第3级防护的另外一半，由中心计算机容错和系统 级单粒子防护模块接收来自单粒子外部报警接口模块发来的地球敏感器信号丢 失报警，当根据该报警信息确定地球敏感器信息丢失且持续一段时间T₂时，T₂大于T₁，认为在搜索地球的安全模式下预定的一段时间内没有搜索到地球，则 切换中心计算机到备机，并控制备机发送对日定向安全模式序列，进行太阳捕 获，转入对日定向安全模式，等待地面处理。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保 护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等， 均应包含在本发明的保护范围之内。