Способ формирования 4-канальной отказоустойчивой системы бортового комплекса управления повышенной живучести и эффективного энергопотребления и его реализация для космических применений

Авторы патента:


Способ формирования 4-канальной отказоустойчивой системы бортового комплекса управления повышенной живучести и эффективного энергопотребления и его реализация для космических применений
Способ формирования 4-канальной отказоустойчивой системы бортового комплекса управления повышенной живучести и эффективного энергопотребления и его реализация для космических применений

 


Владельцы патента RU 2449352:

Федеральное государственное унитарное предприятие "Московское опытно-конструкторское бюро "Марс" (ФГУП МОКБ "Марс") (RU)

Изобретение относится к вычислительной технике и может быть использовано для построения высоконадежных отказоустойчивых интегрированных бортовых управляющих комплексов в космической, авиационной, ядерной, химической, энергетической и других отраслях. Техническим результатом предлагаемого способа и системы для его осуществления является значительное расширение функциональных возможностей, повышение живучести системы, эффективности энергопотребления и сохранения ресурса. Достигается за счет расширения номенклатуры периферийных устройств и введения многошинной организации взаимодействия вычислительного ядра системы (БЦВС) с блоками силовой автоматики и периферийными устройствами. 2 н. и 4 з.п. ф-лы, 2 ил.

 

Изобретение относится к вычислительной технике и может быть использовано для построения высоконадежных отказоустойчивых интегрированных бортовых управляющих комплексов в космической, авиационной, ядерной, химической, энергетической и других отраслях, требующих высокой достоверности работы вычислительного комплекса в течение длительного временного интервала порядка 10 лет, без физического обслуживания, при сохранении устойчивости к действию ионизационных и радиационных излучений, сбоям и отказам аппаратуры.

Известен способ и вычислительная система отказоустойчивой обработки информации критических функций летательных аппаратов, основанные на четырехкратном аппаратном резервировании и мажорировании сигналов в трактах реализации критических функций комплексов бортового оборудования с целью повышения надежности и достоверности обработки [1]. При возникновении неоднозначности мажоритарного сравнения в различных трактах его устраняют мажоритарным сравнением результатов сравнения сигналов индивидуальных синхронизированных результатов тестового контроля каждого из блоков тракта прохождения информации. В известном способе рабочий цикл разбивается на два этапа. На первом этапе по результатам анализа состояния многоярусной вычислительной системы выбирается "рабочий" контур, содержащий только исправные компоненты каждого яруса. На втором этапе производятся вычисления на этом "рабочем" контуре.

Недостатком известного способа является сложность алгоритма синхронизации в реальном времени результатов тестового контроля, полученных в различных трактах, а также снижение общей надежности системы вследствие увеличения суммарной интенсивности отказов компонент в четыре раза из-за непрерывной параллельной работы всех четырех трактов системы и повышенный расход ресурса. Даже отказавшие компоненты остаются подключенными к питанию. Такой подход приводит к повышенному расходованию энергоресурсов, что, возможно, допустимо для летательных аппаратов малых сроков функционирования, но недопустимо для космических аппаратов.

Известна трехканальная резервированная управляющая система [2], предназначенная для построения высоконадежных вычислительных управляющих систем. В известной системе реализованы прием информации от абонентов, обработка информации и выдача ее абонентам. Эти задачи решаются с помощью аппаратного мажорирования сигналов в трехканальной резервированной управляющей системе. Решена также задача мажорирования двунаправленных сигналов в магистралях. С введением управляемого срабатывания (по периодам тактовой частоты и по фронтам управляющего сигнала) рассогласованием входного и выходного сигналов производится диагностика сбоев системы.

Недостатками известной управляющей системы является невозможность реконфигурации системы при возникновении отказов, что снижает ценность проводимых диагностических процедур, возможность в общем случае парирования только одного отказа и повышенное энергопотребление из-за параллельной работы трех каналов резервированной управляющей системы. Последнее приводит к снижению надежности ввиду суммарного роста интенсивности отказов системы. Еще одним общим недостатком систем с аппаратным мажорированием разнесенных сигналов является трудность надежной синхронизации на частотах выше 30 МГц. Кроме того, жесткая связь применяемого микропроцессора и связанной с ним системы синхронизации затрудняют переход на другую компонентную базу и масштабирование системы.

Наиболее близким к предлагаемому изобретению является трехканальная управляющая система [3]. В прототипе управляющая система состоит из трех идентичных каналов, каждый из которых содержит вычислительный блок - ЭВМ или микроконтроллер, блок ввода-вывода, основной и резервный приемо-передатчики последовательного интерфейса, соединенного с вычислительным блоком и блоком ввода-вывода и предназначенного для организации межпроцессорного обмена между каналами системы, основной и резервной магистрали, соединенной с соответствующими блоками ввода-вывода трех каналов. Каждая ЭВМ канала имеет два выхода синхронизации на смежные каналы и два входа синхронизации от смежных каналов, а также два информационных входа об исправности смежных каналов и два информационных выхода об исправности этой ЭВМ для рассылки на смежные каналы. Каждая ЭВМ через блок согласования и контроллер ввода/вывода выходит на внешнюю шину для выдачи сигналов управления внешними устройствами и выдачи информационного сигнала о своей исправности. При отказе одного канала отказавший канал блокируется и ничего не выдает наружу (для внешних потребителей), а управляющая информация от двух исправных каналов поступает к внешним потребителям, где она восстанавливается программным или аппаратным мажорированием. Наличие сигналов исправности каналов позволяет работать на одном оставшемся канале при отказе остальных двух.

"Узким" местом прототипа выступает выработка каждым каналом сигнала собственной исправности. Механизмы, позволяющие достигнуть высокого уровня достоверности сигнала собственной исправности, в прототипе не раскрыты. В то же время известно, что эта проблема представляет одну из больших трудностей в теории и практике технической диагностики. Низкая достоверность сигнала собственной исправности не позволяет достигнуть высокой надежности систем управления реального времени, к тому же рассчитанных на длительные сроки работы (порядка 10 лет) без обслуживания.

Недостаток прототипа заключается в отсутствии механизмов работы с многоканальными (в частности, 4-канальными) и многошинными системами, обеспечивающими более длительное функционирование без обслуживания и требующими более сложных механизмов распределения вычислительных, локальных управляющих, исполнительных и периферийных устройств по шинам, а также оценки текущего состояния, реконфигурации и восстановления вычислений и управления, чем имеющиеся в прототипе.

Еще одним недостатком прототипа, общим для большинства 3-канальных мажорированных структур, является повышенное энергопотребление и расход ресурса из-за непрерывной параллельной работы трех каналов управляющей системы. Последнее приводит также к снижению надежности ввиду суммарного роста интенсивности отказов системы, функционирующей в подобном режиме.

Техническим результатом предлагаемого способа и системы для его осуществления является значительное расширение функциональных возможностей за счет расширения номенклатуры периферийных устройств и введения многошинной организации взаимодействия вычислительного ядра системы (БЦВС) с блоками силовой автоматики и периферийными устройствами, повышение живучести системы, эффективности энергопотребления и сохранения ресурса.

В предлагаемой системе число каналов увеличено до 4-х и введены многочисленные способы и механизмы оценки исправности каналов системы, что позволило повысить отказоустойчивость за счет парирования сбойных ситуаций, проведения реконфигурации при возникновении отказов и оптимизации энергопотребления и сохранения ресурса в зависимости от режимов работы и выбора текущей конфигурации системы, благодаря чему повысить общую надежность и живучесть системы.

Указанный технический результат достигается за счет того, что в известном способе формирования отказоустойчивой системы бортового комплекса управления (БКУ) повышенной живучести и эффективного энергопотребления, заключающемся в 3-кратном резервировании каналов управления, дополнительно формируют 4-й канал управления, каждый канал включает вычислительную и исполнительную системы, устанавливают основным режимом работы такую конфигурацию вычислительного ядра, при котором осуществляют работу одного канала вычислительного ядра в «горячем» активном режиме, то есть в режиме контроллера активного канала, второго канала - в «горячем» пассивном режиме, то есть в режиме монитора активного канала, а в двух других каналах устанавливают режим "холодного" резерва, принимают, что для операционной системы все каналы идентичны, различаясь только физическими номерами, и любому каналу может быть присвоено одно из совокупности логических имен (идентификаторов), формируемых операционной системой в процессе работы, при этом благодаря симметрии каналов с помощью операционной системы периодически осуществляют ротацию каналов и тем самым уменьшают дозы накопленной радиации и способствуют ее частичному рассасыванию в выключенном режиме, причем при длительном периоде функционирования, в процессе деградации системы бортового комплекса управления из-за последовательных отказов двух каналов, продолжают осуществлять функционирование одного канала в «горячем» активном режиме и второго канала - в «горячем» пассивном режиме, выявляют возможный третий отказ одного из двух каналов, оставшихся работоспособными, и осуществляют функционирование бортового комплекса управления до полного исчерпания функционального ресурса, то есть вплоть до единственного канала. Каналы межпроцессорного обмена диагностической информацией в вычислительном ядре и в исполнительном ядре резервируют с помощью последовательного мультиплексного канала обмена информацией путем задания совмещенного режима работы каналов этих вычислительных ядер - "Оконечное Устройство - Монитор" (за исключением канала Контроллера), а вычислительное ядро в каждом из четырех каналов содержит два идентичных банка репрограммируемого постоянного запоминающего устройства с аппаратной возможностью перепрограммирования с Земли одного банка на фоне штатной работы с другим банком и запуска системы и ее работы из любого банка репрограммируемого постоянного запоминающего устройства с последующим выравниванием содержимого банков. Осуществляют выбор начальной конфигурации многоканального вычислительного ядра, в том числе и при наличии аппаратных отказов отдельных дублированных частей вычислительного ядра. Операционную систему БКУ настраивают на отмену некоторых запретов при попытке ввода канала вычислительного ядра в активный режим при отрицательных результатах тестов проверки, что позволяет улучшить живучесть системы при возникновении сложных нарушений работы, вызванных, например, кратными сбоями, а бортовое программное обеспечение организовывают таким образом, что позволяет настраивать циклограмму работы вычислительного ядра с Земли, вводить коррекцию бортового программного обеспечения с помощью программных вставок, не затрагивая постоянное запоминающее устройство системы, и загружать программное обеспечение из наземного проверочно-пускового комплекса (НППК) с использованием мультиплексного канала информационного обмена. Применяют многофакторный контроль информационных обменов по мультиплексному и межпроцессорному каналам с формированием 16-разрядного интегрального признака - слова завершения обмена, позволяющего подробно идентифицировать текущее состояние системы, осуществляют контроль вычислительного процесса с помощью сквозных счетчиков с определением точки отказа и контроль по критерию прохождения обмена по всем шинам информационного обмена.

Указанный технический результат достигается также за счет того, что в известную систему бортового комплекса управления (БКУ), содержащую бортовую цифровую вычислительную систему (БЦВС), дополнительно введены блок управления и контроля, состоящий из вычислительной системы и исполнительных плат, пять блоков управления, блок солнечных датчиков положения, блок астродатчиков, комплекс управляющих двигателей-маховиков, гироскопический измеритель вектора угловой скорости, внутренняя мультиплексная шина последовательного информационного обмена, внешняя по отношению к системе БКУ мультиплексная шина последовательного информационного обмена, внутренняя параллельная шина обмена между блоком управления и контроля и блоками управления, интерфейсы к блоку целевой аппаратуры, включающему в себя бортовую систему сбора данных и бортовой радиотехнический комплекс, к пиротехническим устройствам и к смежным системам - к бортовой аппаратуре командно-измерительной системы и к телеметрической системе, к системе обеспечения теплового режима, первой и второй системам управления остронаправленными антеннами, к системам электроснабжения, ориентации солнечных батарей, механическому устройству управления солнечными батареями и к системе контроля электризации, с возможностью обмена между устройствами и смежными системами по внутренней и внешней шинам последовательного информационного обмена и внутренней параллельной шине обмена между блоком управления и контроля и блоками управления, при этом с внутренней информационной шиной функционально связаны входы-выходы блока астродатчиков, комплекса управляющих двигателей-маховиков, первые входы-выходы БЦВС и блока управления и контроля, интерфейсы к первым входам-выходам первой и второй системы управления остронаправленными антеннами, блоку целевой аппаратуры и телеметрической системе, вход блока астродатчиков, входы-выходы гироскопического измерителя вектора угловой скорости и блока солнечных датчиков положения соединены между собой и связаны с выходом разовых команд блока управления и контроля, а внутренняя информационная шина параллельного интерфейса соединена со вторым входом-выходом блока управления и контроля и функционально связана с первыми входами-выходами блоков управления, внешняя информационная шина функционально связана со вторыми входами-выходами бортовой цифровой вычислительной системы и первыми входами-выходами бортовой аппаратуры командно-измерительной системы, причем на внешней мультиплексной шине последовательного информационного обмена бортовая аппаратура командно-измерительной системы выступает как контроллер, а БЦВС как оконечное устройство (ОУ). Второй вход блока управления и контроля функционально связан с бортовой аппаратурой командно-измерительной системы, второй выход блока управления и контроля соединен со вторыми входами блоков управления, а его третий выход функционально связан со вторым входом бортовой аппаратурой командно-измерительной системы, выход первого блока управления соединен с входом системы обеспечения теплового режима и с первым входом двигательной установки, ко второму выходу второго блока управления подключены пиротехнические устройства, выход третьего блока управления функционально связан с двигательной установкой через ее второй вход, выход четвертого блока управления соединен со входом системы контроля электризации, с антенно-фидерной системой и блоком целевой аппаратуры, выход пятого блока управления функционально связан с системой ориентации солнечных батарей и механическим устройством управления солнечными батареями и с входом системы электроснабжения, вторые входы первой и второй систем управления остронаправленными антеннами функционально связаны с антенно-фидерной системой и с входом телеметрической системы, а второй вход антенно-фидерной системы подключен к выходу бортовой аппаратуры командно-измерительной системы.

На фиг.1 представлена структурная схема системы бортового комплекса управления, где пунктиром показаны устройства и служебные системы, не входящие в состав БКУ; на фиг.2 - конфигурация вычислительной системы блока управления и контроля.

Способ формирования 4-канальной отказоустойчивой системы бортового комплекса управления повышенной живучести и эффективного энергопотребления осуществляется следующим образом.

В предлагаемой системе бортового комплекса управления (БКУ) принят способ управления, при котором формируется стратегия, обладающая следующими свойствами:

1. Основным режимом работы 4-канальной системы является конфигурация вычислительного ядра "1+1", означающая, что один канал вычислительного ядра работает в "горячем" активном режиме (контроллер), второй канал работает в "горячем" пассивном режиме, т.е. в режиме монитора активного канала. Монитор выполняет тот же программный фрагмент, что и контроллер, но свой результат в интерфейс не выдает. Этот результат передается в контроллер по сети межпроцессорной коммутации для взаимного сравнения. Два других канала находятся в режиме "холодного" резерва. Основной режим работы, обладая благодаря сравнению двух каналов достоверностью обнаружения возможного отказа одного из каналов "горячего" режима, практически равной 1, в то же время на 30% более экономичный по энергопотреблению, чем в прототипе.

2. Для операционной системы все каналы ("грани") идентичны, различаясь только физическими номерами. Любому каналу может быть присвоено одно из совокупности логических имен (идентификаторов), формируемых операционной системой в процессе работы. Так, исправный контроллер на внутренней мультиплексной шине последовательного информационного обмена получает шестнадцатеричное значение 9 (1001), ведущее оконечное устройство (ОУ) на внешней шине также имеет идентификатор 9. Монитору на внутренней шине и пассивному ОУ на внешней шине присваиваются идентификаторы 6. Исправные грани холодного резерва получают идентификаторы 2. Если одна из граней была неисправна, то она выключается и ей присваивается статус «первый отказ» (идентификатор 1), а отказавшей трижды - "неисправная" с идентификатором 0. В БУК старшей по приоритету грани присваивается статус «Ведущее ОУ» (7), следующим по приоритету граням присваивается статус «Пассивное ОУ» (4), а младшей по приоритету грани или отказавшей грани присваиваются те же коды, что и в БЦВС.

3. На коротких ответственных участках рабочей циклограммы (старт, вывод на орбиту, отделение разделяющихся частей и некоторые другие задачи) работают три канала системы в режиме программного мажорирования обрабатываемой информации (пиропатроны - в режиме аппаратного мажорирования). Четвертый канал (при его исправности) находится в "холодном" резерве, т.е. выключен, но в системной таблице конфигурации он числится как работоспособный.

4. Благодаря симметрии каналов операционная система периодически осуществляет ротацию каналов с целью уменьшения дозы накопленной радиации и ее частичного рассасывания в выключенном режиме.

5. Вычислительное ядро каждого канала содержит два идентичных банка репрограммируемых постоянных запоминающих устройств (РПЗУ) с аппаратной возможностью перепрограммирования с Земли одного банка РПЗУ на фоне штатной работы с другим банком и запуска системы и ее работы из любого банка РПЗУ с проверкой корректности вновь введенного задания и постепенного выравнивания содержимого обоих банков.

6. Канал межпроцессорного обмена информацией в вычислительном ядре резервируется с помощью последовательного мультиплексного канала обмена информацией по ГОСТ Р 52070-2003 путем задания совмещенного режима работы каналов вычислительного ядра - "Оконечное Устройство-Монитор" (ОУ-М) (за исключением канала Контроллера).

7. Выбор начальной конфигурации многоканального вычислительного ядра, в том числе и при наличии аппаратных отказов отдельных (дублированных) частей вычислительного ядра.

8. Операционная система может быть настроена на отмену некоторых запретов при попытке ввода канала вычислительного ядра в активный режим при отрицательных результатах тестов проверки. Подобная возможность позволяет улучшить живучесть системы при возникновении сложных нарушений работы, вызванных, например, кратными сбоями.

9. Проводится автономное тестирование и последующий ввод в синхронизм канала вычислительного ядра из холодного резерва.

10. Применяется алгоритм автономного проведения теста оперативного запоминающего устройства (ОЗУ) как фоновой задачи с определением места отказов ячеек ОЗУ.

11. Вычислительный процесс контролируется с помощью сквозных счетчиков с определением точки отказа и по критерию прохождения обмена по всем информационным шинам.

12. Осуществляется многофакторный контроль информационных обменов по мультиплексному и межпроцессорному каналам с формированием 16-разрядного интегрального признака - слова завершения обмена.

13. Бортовое программное обеспечение организовано таким образом, что позволяет настраивать циклограмму работы вычислительного ядра с Земли, вводить коррекцию бортового программного обеспечения с помощью программных вставок, не затрагивая постоянное запоминающее устройство системы, и загружать программное обеспечение из наземного проверочно-пускового комплекса (НППК) с использованием мультиплексного канала.

14. При длительном периоде функционирования, в процессе деградации системы из-за последовательных отказов - двух каналов, система продолжает функционирование в режиме "1+1", что гарантирует достоверное обнаружение могущего возникнуть третьего отказа одного из двух каналов, оставшихся работоспособными. Для идентификации отказавшего канала разработаны методы контроля, позволяющие реализовать идентификацию отказавшего канала с достоверностью, близкой к 1. Эти методы приведены в следующем разделе. Благодаря этому система способна функционировать до полного исчерпания функционального ресурса, т.е. вплоть до единственного канала, что повышает ее живучесть.

Может показаться, что большей надежности и живучести можно было бы добиться, увеличивая число каналов системы сверх выбранных четырех. Но увеличение кратности резервирования всегда являлось продуктом компромисса между желанием увеличить степень отказоустойчивости и получением приемлемых массогабаритных и энергетических характеристик. Каждый дополнительный канал увеличивает и массогабаритные характеристики, и затраты энергии. Кроме того, теоретические расчеты показывают, что для высоконадежных систем длительных сроков существования увеличение кратности резервирования более 4÷5 не имеет смысла, поскольку основное влияние на общую надежность системы начинают оказывать так называемые латентные (скрытые, т.е. трудно обнаружимые) неисправности, не выявляемые рабочими тестовыми процедурами. Наибольшую опасность представляют подобные скрытые отказы в механизмах контроля ошибок, реконфигурации и восстановления системы. Поскольку 100% обнаружение всех потенциально возможных неисправностей практически исключено, то латентные отказы имеют хотя и малую, но ненулевую вероятность существования. На длительных сроках существования они обесценивают излишнюю глубину резерва. По этим соображениям в предлагаемом изобретении выбрано 4-кратное резервирование.

Система бортового комплекса управления (БКУ) содержит бортовую цифровую вычислительную систему 1 (БЦВС), блок управления и контроля 2 (БУК), состоящий из вычислительной системы 3 (ВС) и исполнительных плат 4 (ИП), пять блоков управления 5 (1БУ), 6 (2БУ), 7 (ЗБУ), 8 (4БУ) и 9 (5БУ), блок солнечных датчиков положения 10 (СДП), блок астродатчиков 11 (АД), комплекс 4-х управляющих двигателей-маховиков 12 (КУДМ), гироскопический измеритель вектора угловой скорости 13 (ГИВУС), пиротехнические устройства 14 (ПТ), внутреннюю мультиплексную шину последовательного информационного обмена 15 (МКИО-1), внешнюю по отношению к БКУ мультиплексную шину последовательного информационного обмена 16 (МКИО-2), внутреннюю параллельную шину обмена 17 между БУК 2 и блоками управления БУ 5-9, интерфейсы к блоку целевой аппаратуры 18 (ЦА), включающему в себя бортовую систему сбора данных 19 (БССД) и бортовой радиотехнический комплекс 20 (БРТК), и к служебным системам - к бортовой аппаратуре командно-измерительной системы 21 (БАКИС), телеметрической системе 22 (ТМС), системе обеспечения теплового режима 23 (СОТР), первой 24 (1СУ ОНА) и второй 25 (2СУ ОНА) системам управления остронаправленными антеннами, системе электроснабжения 26 (СЭС), системе ориентации солнечных батарей 27 (СОСБ), механическому устройству управления солнечными батареями 28 (МУБС), системе контроля электризации 29 (СКЭ).

Обмен между устройствами и смежными системами осуществляется по шинам МКИО-1, МКИО-2 и внутренней параллельной шине обмена 17 между БУК 2 и блоками управления БУ 5-9.

Назначение БКУ

Приведенный выше состав БКУ предназначен для решения задач управления космическим аппаратом (КА), основной из которых является обеспечение требуемых условий функционирования бортовой целевой аппаратуры.

В задачи БКУ входит:

- управление функционированием смежных систем, устройств и агрегатов КА;

- управление движением центра масс и угловым движением КА. В качестве исполнительных органов для управления движением центра масс и угловым движением КА БКУ использует двигатели коррекции, двигатели стабилизации и управляющие двигатели-маховики (вне участков коррекции орбиты);

- построение и поддержание постоянной солнечной ориентации;

- инерциальная ориентация - трехосная стабилизация КА относительно заданного программного положения по информации гироскопический измеритель вектора угловой скорости (ГИВУС) с астрокоррекцией уходов ГИВУС по измерениям астродатчиков;

- выдача корректирующего импульса;

- "закрутка" для пассивной гироскопической стабилизации КА. Помимо управления динамикой КА БКУ в части взаимодействия со смежными системами и управления их работой реализует:

- выдачу релейных команд управления (РКУ) и в том числе подачу/снятие электрического напряжения питания (в том числе с изменением полярности);

- выдачу цифровых команд управления;

- выдачу массивов цифровой информации;

- контроль и диагностику отдельных служебных систем;

- формирование бортовой шкалы времени (БШВ) с погрешностью ±10-6 с/с в течение всего срока активного существования КА на орбите.

Связи между подсистемами БКУ реализованы следующим образом.

С внутренней информационной шиной 15 (МКИО-1) функционально связаны:

- входы-выходы блока астродатчиков 11, комплекса управляющих двигателей-маховиков 12, первые входы-выходы бортовой цифровой вычислительной системы 1 и блока управления и коммутации 2, первые входы-выходы первой 24 и второй 25 системы управления остронаправленными антеннами, блок целевой аппаратуры 18 и телеметрическая система 22 (ТМС);

- вход блока астродатчиков 11, входы-выходы гироскопического измерителя вектора угловой скорости 13 и блока солнечных датчиков положения 10 соединены между собой и связаны с выходом разовых команд (РК) блока управления и контроля 2.

Внутренняя информационная шина 17 параллельного интерфейса соединена со вторым входом-выходом блока управления и контроля 2 и функционально связана с первыми входами-выходами блоков управления 5, 6, 7, 8 и 9. Эти блоки управления обеспечивают связь и управление смежными системами, агрегатами и исполнительными органами КА под управлением блока управления и контроля 2. Блок управления и контроля 2 обеспечивает обмен информацией с БЦВС 1, с исполнительными органами и датчиками КА путем преобразования информации машинного формата в аналоговый вид, пригодный для управления исполнительными органами и обратного преобразования аналоговых сигналов исполнительных органов и датчиков в машинный код.

Внешняя информационная шина 16 (МКИО-2) функционально связана:

- со вторыми входами-выходами бортовой цифровой вычислительной системы 1 (БЦВС) и первыми входами-выходами бортовой аппаратуры командно-измерительной системы 21 (БАКИС). На шине 16 МКИО-2 БАКИС 21 выступает как контроллер, а БЦВС 1 как оконечное устройство (ОУ);

- второй вход блока управления и контроля 2 функционально связан с бортовой аппаратурой командно-измерительной системы 21, а второй выход блока управления и контроля 2 соединен со вторыми входами блоков управления 5, 6, 7, 8 и 9. Третий выход блока 2 функционально связан со вторым входом бортовой аппаратуры командно-измерительной системы 21;

- выход первого блока управления 5 (1БУ) соединен с входом системы обеспечения теплового режима 23 и с первым входом двигательной установки 30 (ДУ);

- ко второму выходу второго блока управления 6 (2БУ) подключены пиротехнические устройства 14;

- выход третьего блока управления 7 (3БУ) функционально связан с двигательной установкой 30 через ее второй вход;

- выход четвертого блока управления 8 (4БУ), для передачи релейных команд управления (РКУ), соединен со входом системы контроля электризации 29, с антенно-фидерной системой 31 (АФС) и блоком целевой аппаратуры 18;

- выход пятого блока управления 9 (5БУ) функционально связан с системой ориентации солнечных батарей 27 и механическим устройством управления солнечными батареями 28 и с входом системы электроснабжения 26;

- вторые входы первой 24 и второй 25 систем управления остронаправленными антеннами функционально связаны с антенно-фидерной системой 31 и с входом телеметрической системы 22;

- второй вход антенно-фидерной системы 31 подключен к выходу бортовой аппаратуры командно-измерительной системы 21.

Состав и назначение целевой аппаратуры 18 (ЦА) и служебных систем приводится ниже.

Целевая аппаратура 18 обеспечивает выполнение основных научных и прикладных задач, запланированных для конкретного КА. В частности, на многих КА в составе целевой аппаратуры 18 имеются бортовой радиотехнический комплекс 20 (БРТК) и бортовая система сбора данных 19 (БССД). Например, в КА типа "Электро-Л", БРТК 20 и БССД 19 производят обработку и передачу многоспектральных снимков и данных о гелиофизической обстановке на высоте орбиты КА, а также выполнение телекоммуникационных функций. В состав комплекса служебных систем входят бортовая аппаратура командно-измерительной системы 21 (БАКИС), телеметрическая система 22 (ТМС), система электроснабжения 26 (СЭС), двигательная установка 30 (ДУ), система ориентации солнечных батарей 27 (СОСБ), механическое устройство управления солнечными батареями 28 (МУБС), система обеспечения тепловых режимов 23 (СОТР), пиротехнические устройства 14 (ПТ), система контроля электризации 29 (СКЭ), системы управления остронаправленными антеннами 24 и 25 (1СУ ОНА, 2СУ ОНА), предназначенные для обеспечения функционирования полезной нагрузки и космического аппарата в целом в соответствии с предъявляемыми требованиями.

Функциональные связи комплекса целевой аппаратуры 18 и комплекса служебных систем с шинами 15 (МКИО-1) и 16 (МКИО-2) и блоком управления и контроля 2 (БУК) приведены на фиг.1.

Вычислительным ядром БКУ является Бортовая цифровая вычислительная система 1 (БЦВС), обеспечивающая выполнение вычислительных процессов в рамках задач, решаемых БКУ КА. Аппаратные средства БЦВС 1 включают:

- процессоры;

- память и контроллеры памяти;

- порты ввода-вывода;

- интерфейсы к каналам информационного обмена: МКИО-1 15, МКИО-2 16, и внутреннему последовательному интерфейсу между четырьмя каналами ("гранями") БЦВС 1;

- источники питания.

Программное обеспечение БЦВС 1 предназначено для решения полетных задач, а также для управления и диагностики смежных систем.

Составной частью БЦВС 1 являются мультиплексные каналы информационного обмена, под которыми понимается совокупность программных средств (драйверов), аппаратных средств (контроллеров) и линий передачи данных, осуществляющих информационный обмен цифровыми кодами, регламентированными стандартами и протоколами и представляющими собой двунаправленные, полудуплексные проводные цифровые линии с множеством передатчиков и приемников, подключаемых к линии передачи информации, с централизованным управлением потока данных, осуществляемым контроллером.

Структурно БЦВС 1 представляет собой четырехканальную ("четырехгранную") резервированную вычислительную систему, составленную из четырех функционально независимых каналов ("граней"). При полной исправности каналов один или два из них, в зависимости от решаемых в текущий момент задач, находятся в холодном резерве. Это означает, что при полной исправности БЦВС 1 имеет конфигурацию (1+1,2), что понимается как 1 канал активный (контроллер), еще один канал в горячем резерве пассивный (монитор), выполняющий те же программные фрагменты, что и контроллер, и два канала - в холодном резерве; или имеет конфигурацию (1+1+1, 1), что понимается как 1 канал активный (контроллер), еще два канала пассивные в горячем резерве (мониторы) и один канал - в холодном резерве.

Алгоритм определения исправного канала основан на оценке достоверности его вычислений, подтверждаемой идентичностью выдаваемой информации по другому каналу (монитору). Благодаря этому высокая достоверность вычислений, практически близкая к 1, сохраняется при наличии двух исправных каналов, т.е. даже если другие два канала уже отказали. В этом случае основная трудность возникает при диагностировании - какой канал отказал в случае расхождения вычислений? Для решения этой проблемы каждый канал БЦВС 1 содержит встроенные средства аппаратного и программного контроля. Их действие позволяет с высокой вероятностью определить отказавший канал и вывести его из работы, оставив в системе последний исправный канал. Для этого применен способ многофакторного контроля информационных обменов по мультиплексному (МКИО) и межпроцессорному (МПО) каналам с формированием 16-разрядного интегрального признака - слова завершения обмена (СЗО). СЗО включает проверку битов четности при передаче информации, проверку числа успешно завершенных обменов, сообщения драйверов магистралей о возникших отклонениях. Применен способ контроля вычислительного процесса с помощью сквозных счетчиков с определением точки отказа и контроль по критерию прохождения обмена по всем шинам информационного обмена. Если все эти усилия не позволяют однозначно выявить один из двух отказавших каналов, то по команде с Земли система может быть выключена с последующим включением, во время которого каналы БЦВС 1 проходят интенсивную тестовую проверку, как при первом включении, позволяющую определить отказавший канал.

Блоки управления 5, 6, 7, 8 и 9 (1БУ÷5БУ) предназначены для организации взаимодействия между цифровой вычислительной системой 3 (ВС БУК) и исполнительными органами и датчиками бортовой системы управления. Это могут быть как простые датчики (контакт, терморезистор), простые исполнительные органы (пиропатрон, нагреватель, клапан), так и электронные блоки, требующие прямых команд управления. В простейшем случае это команды управления питанием электронного блока.

Блок управления и контроля 2 (БУК) обеспечивает обмен информацией с БЦВС 1, с исполнительными органами и датчиками КА путем преобразования информации машинного формата в аналоговый вид, пригодный для управления исполнительными органами и обратного преобразования аналоговых сигналов исполнительных органов и датчиков в машинный код.

На структурной схеме БКУ (фиг.1) отражены виды связи с учетом резервирования приборов и блоков БКУ. Резервирование реализовано:

а) для БЦВС 1 - четырьмя гранями синхронно (по началу каждого такта) работающих вычислителей с межпроцессорным обменом в различных конфигурациях, определяемых программным обеспечением в зависимости от исправности каналов: (1+1+1, 1), (1+1+1, 0), (1+1, 1, 1), (1+1, 1, 0), (1+1, 0, 0), (1, 1, 0, 0), (1, 0, 0, 0). Здесь "1" означает исправный канал в режиме "Контроллера", или в "холодном резерве", "+1" означает работу исправного канала в режиме "Монитора", "0" означает неисправный канал;

б) для астродатчика 11 - три моноблока, установленных на общем приборном основании с разнесенными осями визирования. Выбором схемы и числа одновременно задействованных астродатчиков управляет БЦВС 1. Оконечное устройство (далее по тексту ОУ) каждого астродатчика имеет свой логический адрес;

в) для гироскопического измерителя вектора угловой скорости 13 - прибор имеет в своем составе четыре гироблока, оси чувствительности которых ориентированы по образующим конуса вращения вокруг приборной оси ОХп с углом полураствора 54°44′08′′. Каждый гироблок в совокупности с системой термостатирования, вторичным источником питания и электронной частью объединен в измерительный канал со своим независимым выходом. Исходная конфигурация выбирается из 4-х возможных базовых "троек", при отказе одного гироблока остается единственная "тройка" без резервирования;

г) для комплекса управляющих двигателей-маховиков 12 (блоков КУДМ) - четыре, но программно может быть парирован отказ только одного блока.

д) солнечные датчики положения 10 - дублированы;

е) блоки силовой автоматики (исполнительные платы 4) 3-кратно резервированы, управляются по мажоритарному принципу, имея дублированные шины в качестве источника информации.

Внутри вычислительной системы 3 блока управления и контроля 2 (БУК) (фиг.2) все грани обмениваются между собой по типу «каждый с каждым».

На фиг.2: 1, 2, 3, 4 - грани БУК 2 вычислителя БУК; А - активное состояние канала, Z - пассивное состояние канала, K, L, M - последовательные каналы обмена с исполнительными платами 4 (3 грани), работающими с внешними подсистемами.

Аппаратура БУК взаимодействует с дублированной линией связи канала МКИО-1 в БКУ. Сообщения от БЦВС принимают все включенные грани БУК. Ответ БЦВС передает только одна (например, первая) грань БУК. Остальные грани БУК работают в режиме монитора. Если средствами системы контроля и диагностики обнаружится неисправность грани, являющейся ведущей, ее передатчик блокируется, и функции оконечного устройства передаются следующей по порядку грани БУК. Выходная информация вычислительной системы БУК представляет собой (преимущественно) набор разовых команд (РК), который с точки зрения машинного формата является упорядоченным массивом битов.

Внешний канал БУК автономный, магистральный по ГОСТ Р 52070-2003. Основой БУК являются типовые электронные платы, скомпонованные в секции по функциональным признакам. Секция представляет собой технологическую сборку, предназначенную для оптимизации внутренних связей и устройств БУК с внешними абонентами БКУ, что приводит к уменьшению габаритно-массовых характеристик.

Канал обмена по ГОСТ Р 52070-2003 реализован на базе микросхемы NHi-1582ETGW (основная и резервная линии), работающей в режиме оконечного устройства или монитора.

Межпроцессорный канал обмена - на основе встроенного в кристалл последовательного порта, используемого в синхронном режиме на выдачу, и отдельный канал на прием, скорость обмена - 2,5 Мбит/с.

Внутриблочный последовательный канал связи с устройствами, работающими на исполнительные органы, и устройствами приема информации с внешних подсистем, выполнен трехканальным с возможностями реконфигурации. Синхронизацию работы вычислительной системы БУК и БЦВС осуществляется по команде, принимаемой из БЦВС в формате 4 (синхронизация) в начале каждого цикла.

Обмен информацией между процессором и выходными устройствами производится «канал в канал». Мажоритирование выходной информации производится на выходных коммутирующих ключах. Мажоритирование входной информации производится программным способом.

Все сигналы выдаются на линию через ТТЛ-инверторы с открытым коллектором на выходе. Все линии подходят к каждому из исполнительных устройств. Выходы ответных данных должны изначально находиться в Z-состоянии.

Байтовый канал обмена образован из последовательного синхронного канала БУК, на котором выполняется перевязка между 4-мя гранями вычислительной системы БУК и 3-мя гранями исполнительных плат (К, L, М), фиг.2.

Для коммутации цепей применены n-канальные транзисторные ключи на МОП-полевых транзисторах. Выходные коммутаторы для связи БУК с исполнительными органами БКУ и смежными системами имеют три канала. На коммутаторах организовано восстановление информации по мажоритарному принципу.

Таким образом, аппаратный состав блока управления и контроля (БУК), многошинная архитектура и управление конфигурацией и восстановлением системы в соответствии со стратегией, реализующей через программное обеспечение 14 вышеизложенных свойств системы, позволяют достичь предельной живучести по отношению к отказам граней БЦВС, вычислительной системы БУК и исполнительных плат БУК, т.е. работать вплоть до последней грани в каждой из этих подсистем, за счет управления циклическим замещением резерва обеспечить лучшие возможности для рассасывания низко-энергетической ионизации электронной аппаратуры, снизить общее энергопотребление и сохранить ресурс.

Источники информации

1. Патент РФ 2413975, G06F 11/00, опубл. 10.03.2011.

2. Патент РФ 2387000, G06F 11/16, опубл. 20.04.2010.

3. Патент РФ 2333529, G06F 15/16, опубл. 10.09.2008.

1. Способ формирования 4-канальной отказоустойчивой системы бортового комплекса управления повышенной живучести и эффективного энергопотребления, заключающийся в 3-кратном резервировании каналов управления, отличающийся тем, что формируют 4-й канал управления, каждый канал включает вычислительную и исполнительную системы, устанавливают основным режимом работы такую конфигурацию вычислительного ядра, при котором осуществляют работу одного канала вычислительного ядра в «горячем» активном режиме, то есть в режиме контроллера активного канала, второго канала - в «горячем» пассивном режиме, то есть в режиме монитора активного канала, а в двух других каналах устанавливают режим "холодного" резерва, принимают, что для операционной системы все каналы идентичны, различаясь только физическими номерами, и любому каналу может быть присвоено одно из совокупности логических имен (идентификаторов), формируемых операционной системой в процессе работы, при этом благодаря симметрии каналов с помощью операционной системы периодически осуществляют ротацию каналов и тем самым уменьшают дозы накопленной радиации и способствуют ее частичному рассасыванию в выключенном режиме, причем при длительном периоде функционирования, в процессе деградации системы бортового комплекса управления из-за последовательных отказов двух каналов, продолжают осуществлять функционирование одного канала в «горячем» активном режиме и второго канала - в «горячем» пассивном режиме, выявляют возможный третий отказ одного из двух каналов, оставшихся работоспособными, и осуществляют функционирование системы бортового комплекса управления до полного исчерпания функционального ресурса, то есть вплоть до единственного канала.

2. Способ по п.1, отличающийся тем, что каналы межпроцессорного обмена диагностической информацией в вычислительном ядре и в исполнительном ядре резервируют с помощью последовательного мультиплексного канала обмена информацией путем задания совмещенного режима работы каналов этих вычислительных ядер - "Оконечное Устройство - Монитор" (за исключением канала Контроллера), а вычислительное ядро в каждом из четырех каналов содержит два идентичных банка репрограммируемого постоянного запоминающего устройства с аппаратной возможностью перепрограммирования с Земли одного банка на фоне штатной работы с другим банком и запуска системы и ее работы из любого банка репрограммируемого постоянного запоминающего устройства с последующим выравниванием содержимого банков.

3. Способ по п.1, отличающийся тем, что осуществляют выбор начальной конфигурации многоканального вычислительного ядра, в том числе и при наличии аппаратных отказов отдельных дублированных частей вычислительного ядра.

4. Способ по п.1, отличающийся тем, что операционную систему бортового комплекса управления настраивают на отмену некоторых запретов при попытке ввода канала вычислительного ядра в активный режим при отрицательных результатах тестов проверки, а бортовое программное обеспечение организовывают таким образом, что позволяет настраивать циклограмму работы вычислительного ядра с Земли, вводить коррекцию бортового программного обеспечения с помощью программных вставок, не затрагивая постоянное запоминающее устройство системы, и загружать программное обеспечение из наземного проверочно-пускового комплекса с использованием мультиплексного канала информационного обмена.

5. Способ по п.1, отличающийся тем, что применяют многофакторный контроль информационных обменов по мультиплексному и межпроцессорному каналам с формированием 16-разрядного интегрального признака - слова завершения обмена, позволяющего подробно идентифицировать текущее состояние системы, осуществляют контроль вычислительного процесса с помощью сквозных счетчиков с определением точки отказа и контроль по критерию прохождения обмена по всем шинам информационного обмена.

6. 4-канальная отказоустойчивая система бортового комплекса управления повышенной живучести и эффективного энергопотребления, содержащая бортовую цифровую вычислительную систему, отличающаяся тем, что система управления содержит блок управления и контроля, состоящий из вычислительной системы и исполнительных плат, пять блоков управления, блок солнечных датчиков положения, блок астродатчиков, комплекс управляющих двигателей-маховиков, гироскопический измеритель вектора угловой скорости, внутреннюю мультиплексную шину последовательного информационного обмена, внешнюю по отношению к системе бортового комплекса управления мультиплексную шину последовательного информационного обмена, внутреннюю параллельную шину обмена между блоком управления и контроля и блоками управления, интерфейсы к блоку целевой аппаратуры, включающему в себя бортовую систему сбора данных и бортовой радиотехнический комплекс, к пиротехническим устройствам и к смежным системам - к бортовой аппаратуре командно-измерительной системы, к телеметрической системе, к системе обеспечения теплового режима, первой и второй системам управления остронаправленными антеннами, к системам электроснабжения, ориентации солнечных батарей, механическому устройству управления солнечными батареями и к системе контроля электризации, с возможностью обмена между устройствами и смежными системами по внутренней и внешней шинам последовательного информационного обмена и внутренней параллельной шине обмена между блоком управления и контроля и блоками управления, при этом с внутренней информационной шиной функционально связаны входы-выходы блока астродатчиков, комплекса управляющих двигателей-маховиков, первые входы-выходы бортовой цифровой вычислительной системы и блока управления и контроля, интерфейсы к первым входам-выходам первой и второй системы управления остронаправленными антеннами, блоку целевой аппаратуры и телеметрической системе, вход блока астродатчиков, входы-выходы гироскопического измерителя вектора угловой скорости и блока солнечных датчика положения соединены между собой и связаны с выходом разовых команд блока управления и контроля, а внутренняя информационная шина параллельного интерфейса соединена со вторым входом-выходом блока управления и контроля и функционально связана с первыми входами-выходами блоков управления, внешняя информационная шина функционально связана со вторыми входами-выходами бортовой цифровой вычислительной системы и первыми входами-выходами бортовой аппаратуры командно-измерительной системы, причем на внешней мультиплексной шине последовательного информационного обмена бортовая аппаратура командно-измерительной системы выступает как контроллер, а бортовая цифровая вычислительная система как оконечное устройство, второй вход блока управления и контроля функционально связан с бортовой аппаратурой командно-измерительной системы, второй выход блока управления и контроля соединен со вторыми входами блоков управления, а его третий выход функционально связан со вторым входом бортовой аппаратурой командно-измерительной системы, выход первого блока управления соединен с входом системы обеспечения теплового режима и с первым входом двигательной установки, ко второму выходу второго блока управления подключены пиротехнические устройства, выход третьего блока управления функционально связан с двигательной установкой через ее второй вход, выход четвертого блока управления соединен со входом системы контроля электризации, с антенно-фидерной системой и блоком целевой аппаратуры, выход пятого блока управления функционально связан с системой ориентации солнечных батарей, механическим устройством управления солнечными батареями и с входом системы электроснабжения, вторые входы первой и второй систем управления остронаправленными антеннами функционально связаны с антенно-фидерной системой и с входом телеметрической системы, а второй вход антенно-фидерной системы подключен к выходу бортовой аппаратуры командно-измерительной системы.



 

Похожие патенты:

Изобретение относится к средствам использования сетевова кэша. .

Изобретение относится к области виртуальных машин. .

Изобретение относится к информационным технологиям, точнее, к системе публикации аутентифицированной контактной информации в публично доступном индексном хранилище.

Изобретение относится к области начальной загрузки операционной системы. .

Изобретение относится к области обновления виртуальных машин. .

Изобретение относится к способам визуализации текстовой информации на дисплее. .

Изобретение относится к способам отображения графических объектов. .

Изобретение относится к вычислительной технике, может быть использовано для построения высоконадежных отказоустойчивых бортовых управляющих комплексов. .

Изобретение относится к способу, системе и архитектуре для обеспечения системы веб-конференций. .

Изобретение относится к средствам связи пользователей посредством компьютерных устройств в режиме реального времени. .

Изобретение относится к вычислительной технике

Изобретение относится к оптимизации микропроцессорной архитектуры

Изобретение относится к области обработки цифровых мультимедийных данных

Изобретение относится к вычислительной технике, а в частности к управляющей системе, предназначенной для сбора информации от корабельных систем и комплексного представления информации на мониторах, а также для управления поворотными устройствами электронно-оптических визиров

Изобретение относится к способу совместного использования данных

Изобретение относится к вычислительной технике

Изобретение относится к области обеспечения служб расширенного обмена сообщениями

Изобретение относится к вычислительной технике и может быть использовано при построении надежных вычислительно-управляющих систем

Изобретение относится к цифровой вычислительной технике, а именно к высокоскоростным коммуникационным системам для высокопроизводительных многопроцессорных вычислительных систем

Изобретение относится к вычислительной технике и касается коммуникационной среды
Наверх