专利名称::一种嵌入式星载容错温度控制系统及其验证方法
技术领域:
:本发明涉及一种嵌入式星载容错温度控制系统及其验证方法,属于航空航天、智能控制和嵌入式计算机信息处理领域。
背景技术:
:星载系统离开了大气层,在强烈的太阳光的直接照射下,周期性进入地球或月亮的阴影中,经常处在极端寒冷和炎热的环境中。如果不采取任何措施,温度变化极大,将严重影响星载计算机正常工作。目前,星载温控系统分为被动式温控和主动式温控,它们直接覆盖在卫星表面(被动),或被置于卫星内部设备部件和伺服系统上调节热量的流向(主动),本专利涉及主动式温控系统。主动式温控系统主要包含以下3部分热敏电阻即温度传感器,分布在整个星载的各个部分,用来获取温度的变化。温度传感器按作用不同可分为两种一种用于星载计算机对加热器或冷却器的控制,即星载计算机根据一个或多个传感器测得的温度来控制对加热器或冷却器的开关;还有一种传感器只用来测量温度,不直接参与加热器的控制,但他作为第一种传感器的备份,在第一种传感器出现问题时将其替换掉。加热/冷却器主要由星载计算机自动控制其开关,使器件工作在要求的温度范围内。控制参数以各种形式存在星载计算机上,地面可根据星载在轨运行情况进行修改。这些控制参数包括加热/冷却器工作方式、传感器分布和加热器开关的温度范围。温度控制器主要由软件来实现温度控制算法,将控制信号传递给加热/冷却器。星载温控系统由于在轨运行时间较长,经常会受到空间粒子辐射等诸多干扰因素,由此引发的故障会导致计算机的软、硬件发生失效。因此,为了实现高可靠性和高安全性,需要在系统中应用冗余容错等措施,容错机制和设计方案的正确性验证成为星载温控系统研制的重要环节,由于嵌入式计算机设备在现实中失效率极低,且失效时间及过程难以预估,另外航天器系统设备造价昂贵,设备失效的代价很高,如何采用有效方式模拟设备失效,从而对其冗余容错机制进行验证及评估,一直是星载温控系统研制过程中存在的难题,从文献中看,国内外尚未有针对星载温控系统采用何种故障注入方法验证冗余容错机制的实例,因此,开发一种成本低廉、简便易行的对星载计算机系统可靠性及其冗余容错特性进行评测的故障注入方法具有重要意义与实用价值。
发明内容本发明的目的是为了解决上述问题,提出一种嵌入式星载容错温度控制系统及其验证方法。一种嵌入式星载容错温度控制系统,包括星务管理计算机、星上温度控制系统和地面监控及故障注入计算机;星务管理计算机、星上温度控制系统之间通过1553B总线连接,地面监控及故障注入计算机、星务管理计算机和星上温度控制系统通过以太网连接;星务管理计算机作为1553B总线控制器buscontroller,简称BC,负责向星上温度控制系统发送仿真开始指令及舱内温度范围参考值,并在每个仿真周期t通过1553B总线采集温度控制系统的故障信息、工作状态信息和温度数据,并将采集到的数据传递至地面监控及故障注入计算机,地面监控及故障注入计算机显示当前星上温度控制系统的工作状态以及温度曲线,验证星载温度控制系统的容错可靠性;所述的温度控制计算主机、温度控制计算备机采用主备机双机冗余策略,仿真开始后,分别通过1553B总线接收星务管理计算机发送的舱内温度范围参考值,并在每个仿真周期t接收环境模拟计算机发送的当前舱内温度数据,根据舱内温度范围参考值对当前舱内温度进行控制,将计算后产生的加热器或冷却器开启或者关闭的温度控制指令回传给环境模拟计算机;环境模拟计算机作为星上温度控制系统数据源,用于模拟实际星载系统飞行过程舱内温度变化,根据真实温度数据采用样条插值法拟合温度曲线,环境模拟计算机内置舱内正阳面和背阳面温度模型,模拟星载系统处于正阳面和背阳面时执行机构未工作、加热器开启、冷却器开启时的温度变化情况,执行机构为加热器或冷却器;地面监控及故障注入计算机完成数据监控与故障注入功能,用户通过地面监控及故障注入计算机向星上温度控制系统与环境模拟计算机注入故障信息,星上温度控制系统接收并解析故障信息,对相应故障进行表征,并根据故障造成的影响,采用预先设定的容错策略对系统实施冗余容错处理,保证系统处于正常工作状态。一种嵌入式星载容错温度控制系统的验证方法,包括以下几个步骤步骤一、初始化文件配置;地面监控与故障注入计算机进行温度控制系统初始化文件配置,配置内容包括温度控制计算主机、温度控制计算备机的1553B总线双机冗余方式、舱内温度范围设定值以及设定预定要发生的故障信息,生成配置文件后,等待星上温度控制计算机通过以太网登陆提取;步骤二、系统初始化;I、如果仿真未开始,温度控制计算主机、温度控制计算备机启动后,分别以客户端形式连接登陆地面监控与故障注入计算机,获取配置文件,根据配置文件信息初始化系统,等待仿真开始;II、如果仿真已经开始,则表明温度控制计算主机或温度控制计算备机是处于故障后重启状态,则根据当前配置文件信息以及以太网信息重新初始化计算机,从当前时刻开始仿真。步骤三、开始仿真;由星务管理计算机发送仿真开始指令,星上温度控制计算主机、温度控制计算备机与环境模拟计算机同时开始仿真,环境模拟计算机周期性的发送温度数据以及温度传感器状态信息给温度控制计算主机、温度控制计算备机,温度控制计算主机和温度控制计算备机接收后根据舱内温度范围参考值,产生加热器或冷却器开启关闭的指令信号回传给环境模拟计算机,环境模拟计算机根据指令信号运行温度模拟算法,模拟当前温度变化;步骤四、故障注入及执行;仿真开始后,地面监控与故障注入计算机随时配置故障信息,通过以太网发送至环境模拟计算机进行故障注入;温度控制计算机将预先配置的故障以及实时通过地面监控与故障注入计算机注入的故障模型解读为故障系统、故障子系统、故障位置、故障类型、预定故障产生时间、预定故障持续时间,并将其转化为既定时间后的故障表现,在预定时间执行;步骤五、冗余容错处理;温度控制系统根据已发生的故障类型,运用冗余容错机制进行处理,对于单个加热器或者传感器故障,通过使用其它加热器继续工作;对于单个温度传感器故障,采用三机表决形式,剩余两路温度传感器进行输出;对于温度控制计算主机出现的不可修复故障,则系统自动切换至温度控制计算备机进行工作,保证系统正常运行;步骤六、地面监控及故障评估;地面监控及故障注入计算机实时监控温度控制系统工作状态以及温度曲线,当故障发生时,监测故障表现是否正确,冗余容错机制处理方式是否有效,系统能否继续工作,如系统没有按预设定方式进行切换,则发送强制切换指令,判断是否能够由地面发送指令信号进行强制切换;步骤七、对温度控制系统的故障模型及冗余策略进行评估,如不满足要求,对故障模型及冗余策略重设计后,进行新一轮验证;a)如果当前温度控制系统的故障模型及冗余策略在仿真过程中已实现预期功能并且指标满足预期设计需求,则保留当前障模型及冗余策略作为备选方案;b)如果当前温度控制系统的故障模型及冗余策略在仿真过程中没有实现预期功能,或者指标不满足预期设计需求,则对故障模型及冗余策略进行重设计,然后进行新一轮仿真验证,直至故障模型及冗余策略满足功能需求。本发明的优点在于(1)本发明中采用的数据传输总线为1553B总线,具有数据传输可靠、快速等优势,在航空领域有一定应用,但在航天系统尤其是星载航天器尚处于研制阶段。这里采用的1553B总线不仅是一个成功的实验验证,而且符合了未来航天系统的发展趋势,具有实际发展前景;(2)本发明完整的实现了真实星载温控系统的整个运行阶段的故障注入和验证过程,方法简便可靠,大大降低了实际系统的测试时间和费用;(3)本发明所述环境模拟计算机利用以太网通讯实现远程故障的注入,并通过内置温度传感器模块、冗余容错处理模块、环境温度模拟算法模块,实现了实际容错温度控制系统的环境模拟方案;(4)环境模拟机采用独特的环境模拟算法,三种情况的环境温度模型涵盖了星载温控系统的实际温度控制过程;(5)温度控制计算主机及温度控制计算备机采用的双机备份冗余机制,在1553B总线终端设置上,温度控制计算主机以及温度控制计算备机可通过登陆地面监控及故障注入计算机接收初始化配置文件,将系统配置为RT-RT的热备份方式或者RT-BM的冷备份工作方式;(6)本发明是一个可完整实现星载容错温度控制系统故障注入及验证,并具有时间周期短、能自主配置故障、实现故障的实时注入等特点的验证系统。本发明对未来航天器系统的容错温控方案的研究具有实验性指导作用,将该技术对与于实际航天器系统的综合控制应用具有深远意义。图1是本发明的一种嵌入式星载容错温度控制系统的结构示意图;图2是本发明的验证方法流程图;图3是本发明所述步骤二的方法流程图;图4是本发明所述步骤三的方法流程图;图5是本发明所述步骤四的方法流程图;图中1-星务管理计算机2-星上温度控制系统3-地面监控与故障注入计算机201-温度控制计算主机202-温度控制计算备机203-环境模拟计算机具体实施例方式下面将结合附图和实施例对本发明作进一步的详细说明。本发明的一种嵌入式星载容错温度控制系统,如图1所示,包括星务管理计算机1、星上温度控制系统2和地面监控及故障注入计算机3;星上温度控制系统2包括温度控制计算主机201、温度控制计算备机202和环境模拟计算机203,温度控制计算主机201和温度控制计算备机202为温度控制计算机;星务管理计算机1、星上温度控制系统2之间通过1553B总线连接,地面监控及故障注入计算机3、星务管理计算机1和星上温度控制系统2通过以太网连接;星务管理计算机1作为1553B总线控制器BusController,简称BC,负责发送仿真开始指令及舱内温度范围参考值,并在每个仿真周期t通过1553B总线采集温度控制系统的故障信息、工作状态信息和温度数据,并将采集到的数据通过以太网传递至地面监控及故障注入计算机3,地面监控及故障注入计算机3显示当前星上温度控制系统2的工作状态以及温度曲线,验证星载温度控制系统的容错可靠性。星上温度控制系统2采用主备机双机冗余策略,仿真开始后,首先通过1553B总线接收星务管理计算机1发送的舱内温度范围参考值,并在每个仿真周期t通过以太网接收环境模拟计算机203发送的当前舱内温度数据,然后根据舱内温度范围参考值,判断是否需要开启或者关闭加热器或冷却器对当前舱内温度进行控制,将计算后产生的加热器或冷却器开启或者关闭的温度控制指令通过以太网回传给环境模拟计算机203;环境模拟计算机203作为星上温度控制系统2数据源,用于模拟实际星载系统飞行过程舱内温度变化,根据真实温度数据采用样条插值法拟合温度曲线,环境模拟计算机203内置舱内正阳面和背阳面温度模,模拟星载系统处于正阳面和背阳面时执行机构未工作、加热器开启、冷却器开启时的温度变化情况,执行机构为加热器或冷却器;仿真开始后,每个仿真周期t通过以太网将模拟得到的当前温度数据传输至星上温度控制系统2,并接收温控计算机的温度控制指令,然后根据指令模拟执行机构,开启或者关闭,根据当前舱内温度情况以及执行机构状态,模拟执行机构开启及关闭时温度变化;地面监控及故障注入计算机3完成数据监控与故障注入功能,其通过以太网向星上温度控制系统2与环境模拟机注入故障信息,星上温度控制系统2以及环境模拟机接收并解析故障信息后,应用故障表征器对相应故障进行表征,然后根据故障造成的影响,采用预先设定的容错策略对系统实施冗余容错处理,保证系统处于正常工作状态;所述的环境模拟计算机203包括以太网通讯模块、环境温度模拟算法模块、故障注入处理模块、冗余容错处理模块和温度传感器模块;以太网通讯模块采用类封装形式,完成环境模拟计算机203、温度控制计算机、地面监控与故障注入计算机3之间的以太网通讯和数据传输;环境温度模拟算法模块获取温度控制计算机发送的温度控制指令,根据当前舱内温度和执行机构状态,模拟执行机构开启或者关闭时的温度变化,并且存储变化后的温度数据;温度传感器模块模拟温度传感器功能,采集环境温度模拟算法模块输出的温度数据,打包后输出至温度控制计算机;故障注入处理模块随时接收地面监控及故障注入计算机3注入的故障信息,仿真开始后,故障注入处理模块的定时器轮询故障信息,当定时器判定该时刻故障发生时,根据故障信息对系统进行相应故障模拟;冗余容错处理模块负责在故障发生后对相应故障进行处理,保证系统的正常工作以及数据正常输出,当温度传感器发生故障时,根据温度传感器三机表决的数据冗余方式,输出温度数据。所述的环境温度模拟算法模块内设置正阳面和背阳面温度模型,模拟星载系统处于正阳面或者背阳面时,执行机构未工作、加热器开启、冷却器开启时的温度变化情况。具体为1)当执行机构未工作,加热器和冷却器全关闭;当执行机构全部关闭的情况下,温度模型包含两种,当处于向阳面时,舱内温度是自动增加的,而处于背阳面时,舱内的温度是自动递减的;具体如下温度增加T=T'+(Ta+Rand),其中,T'为上一时刻温度,Ta为每秒增加的温度幅度,Rand为01之间的随机数,Ta和Rand为变量,根据实际情况进行设定,通常的取值范围为0.60.8。温度递减T=T‘-(Tb+Rand),其中,Tb为每秒递减的幅度,Tb和Rand根据实际情况进行设定,通常的取值范围为0.81.2。2)当执行机构的加热器工作时;当加热器工作时,温度变化与加热器工作的个数和工作时间有关系。我们利用遥测得到的加热器打开时的温度数据,对温度变化情况建立模型。计算出一台加热器对环境温度的影响(关于时间函数)。表1星载系统温度变化趋势表<table>tableseeoriginaldocumentpage13</column></row><table>由表1中的温差可以看出,加热器工作时,前5秒钟温度变化较慢,5秒钟以后温度增量趋于稳定,基本上每秒钟增加0.9到1.0摄氏度。此表只列出了前16秒的数据,16秒以后的数据可以按照每秒增加0.9到1.0度得到。通过加热器打开时间和温度增量数据建立模型,建模的方法采用样条插值法;舱内温度的温度模型T=T初+T增ω,其中,T初为初始温度,Ttfw为加热器开启t秒时温度的增加值,=7Ic,)+巧('2)+·.…·+表示第η个加热器开启t秒时温度的增加值,其中,0<、<仏1=1,2,……,n,、表示第i个加热器打开时间,η为打开的加热器个数;3)当执行机构的冷却器工作时;冷却器工作时环境温度的建模与加热器工作时类似,通过冷却器打开时间与温度减量数据建立模型,建模的方法采用样条插值法;舱内温度的温度模型T=T初-T减ω,其中,T初为初始温度,T减(t)为冷却器开启t秒时温度的减少值,4ω=,丨⑷+T'2(h)+……+,(,"),r’(u表示第n'个冷却器开启t秒时温度的减少值,其中,0<t'i<t,i'=1,2,……,η',t'i表示第i'个加热器打开时间,η'为打开的冷却器个数。所述的温度传感器模块温度数据采集过程为在正阳面和背阳面分别设置三路温度传感器进行数据采集,如表2所示,采用三机表决的方式对温度数据进行处理,M1,M2,M3表示三路温度传感器采集的温度数据,e为设定的阈值,当两个温度数据差值小于这个阈值时,认为两个温度数据是相近值,即同时有效或无效;表2传感器三机表决实现形式<table>tableseeoriginaldocumentpage13</column></row><table><table>tableseeoriginaldocumentpage14</column></row><table>当环境模拟计算机203故障注入处理模块接收地面监控与故障注入计算机3注入的温度传感器故障时,将对应的温度传感器输出值加上对应随机数,使其产生飘移偏离原有的设定阈值,模拟故障现象,此时温度传感器模块采用三机表决的冗余方式,过滤排除掉产生错误的温度传感器的温度数据,采用其余两路有效传感器温度均值输出。星上温度控制计算主机201与温度控制计算备机202采用双机备份冗余机制,在1553B总线终端配置方式上,主备机可采用两种配置方式实现双机冗余,一种是主机配置为远程终端remoteterminal,简称RT,备机也配置为RT的热备份方式,另一种是主机配置为RT,备机配置为总线监控器busmonitor,简称BM的冷备份方式,仿真前,用户通过地面监控及故障注入计算机3设置采用的备份方式及对应的远程终端地址与子地址信息,然后将信息写入文本文件作为初始化配置文件,温度控制计算主机201和温度控制计算备机202启动后,分别通过以太网连接登陆地面监控及故障注入计算机3,接收各自的初始化配置文件,然后依据本机配置文件信息,将本机配置为对应总线终端,即主备机配置为RT-RT的热备份切换方式或者RT-BM的冷备份切换工作方式,等待仿真开始;RT-RT热备份切换方式为针对终端RT的冗余切换机制,星上温度控制计算主机201与温度控制计算备机202均具有各自独立的RT地址,同时接收数据进行解算,仅星上温度控制计算主机201输出数据,星上温度控制计算主机201与温度控制计算备机202的切换由BC通过设置带分支的消息列表,即设置消息在出错情况下的跳转指令来完成消息的跳转,或者由BC设置消息轮询访问温度控制系统主备机RT,然后选择正常工作RT输出数据,即当温度控制计算主机201的RT出错时访问温度控制计算备机202的RT输出数据;RT-BM冷备份切换为温度控制计算主机201作为主机工作输出数据,温度控制计算备机202并不计算,而是作为BM通过1553B总线监控主机数据状态,当温度控制计算主机201出现故障时,温度控制计算备机202监控到温度控制计算主机201总线数据故障并置自身为主机RT的形式,接替温度控制计算主机201工作,输出数据;上述的两种切换方式下,温度控制计算主机201与温度控制计算备机202通过以太网同时定期向对方发送本机状态信息,当温度控制计算主机201故障,温度控制计算备机202切换接替主机工作,故障机重启后,首先接收以太网数据,通过接收到的状态信息判定当前系统有无主机存在,如有主机存在,则将自己置为备份机,作为备份RT仅计算不输出或者作为BM监控当前主机运行,随时准备接替主机工作。地面监控与故障注入计算机3包括故障库、故障注入控制器;故障库集成了温度控制系统工作过程中可能出现的故障类型,故障库中故障的故障模型包括故障类型、注入方式、注入地址、故障的发生时间、故障的持续时间;故障注入控制器是故障注入模型的管理程序,用于控制整个故障注入过程,用户选择故障模型,选定的故障通过故障注入控制器注入到温度控制计算主机201、温度控制计算备机202和环境模拟计算机203运行的应用程序中。故障注入控制器向的故障注入过程分为预先故障配置和实时故障注入;预先故障配置是指由地面监控及故障注入计算机3提供人机交互界面,用户查找故障库,选择特定故障模型,生成按时间排列的故障信息列表,包含入初始配置文件中,供温度控制计算机通过以太网读取;实时故障注入是指仿真开始后,用户通过地面监控及故障注入计算机3,实时选择故障模型,生成特定格式的数据包,通过以太网发送至温度控制计算机,实现故障的实时注入。所述的环境模拟计算机203、温度控制计算主机201、温度控制计算备机202中设置故障表征器,故障表征器根据注入的故障信息通过故障解析模型进行故障解析,将故障信息转化为对应的故障,在故障预定的发生时间模拟故障发生并表征,故障解析模型与故障库的故障模型一一对应,当故障模型添加时,对应的故障解析模型也要相应添加。本发明的一种嵌入式星载容错温度控制系统的验证方法,流程如图2所示,包括以下几个步骤步骤一、初始化文件配置;地面监控与故障注入计算机3进行温度控制系统初始化文件配置,配置内容包括温度控制计算主机201、温度控制计算备机202的1553B总线双机冗余方式、舱内温度范围设定值以及设定预定要发生的故障信息,生成配置文件后,等待星上温度控制计算机通过以太网登陆提取;步骤二、系统初始化;I、如果仿真未开始,温度控制计算主机201、温度控制计算备机202启动后,分别以客户端形式连接登陆地面监控与故障注入计算机3,获取配置文件,根据配置文件信息初始化系统,等待仿真开始;II、如果仿真已经开始,则表明温度控制计算主机201或温度控制计算备机202是处于故障后重启状态,则根据当前配置文件信息以及以太网信息重新初始化温度控制计算主机201或温度控制计算备机202,从当前时刻开始仿真;如图3所示,具体包括如下几个步骤①温度控制计算主机201和温度控制计算备机202同时进行加电启动以及本地网络接口初始化;②温度控制计算机判定是否本机已经接收过配置文件;(1)如果温度控制计算机未接收过配置文件,说明计算机是第一次启动,则登陆地面故障注入计算机获取配置文件后,直接读取配置文件,确定本机的工作状态并初始化,如配置信息为热备份,则主机备机都初始化为RT,如为冷备份则主机配置为RT,备机为BM;(2)如已经接受过配置文件,则默认自身为故障重启后状态,直接通过以太网与备机通讯,获取当前备机工作状态,如果备机为主机,则记录自身状态应配置为备机,然后读取配置文件,修正自身状态并初始化;③星上温度控制计算主机201和温度控制计算备机202分别初始化后,开始进行温度控制,温度控制计算主机201作为输出机,完成总线的数据传输以及温控指令输出,温控制计算备机则通过总线监控主机状态是否正常,同时,主备机之间通过以太网互相传递状态数据以及数据同步,以便备机在主机故障时从当前计算点接替;④温度控制计算机周期性判断是否已注入故障,如已注入故障在预定时可发生,则根据故障类型进行处理;⑤如故障为暂歇性可恢复故障,故障恢复后仍继续工作,不执行主备机切换;⑥如故障为加热器或冷却器或传感器故障,通过使用另外的加热器或冷却器或传感器继续工作,不执行主备机切换;⑦如故障为崩溃性故障,执行主备机切换后,故障机重启后重新初始化。步骤三、开始仿真;由星务管理计算机1发送仿真开始指令,星上温度控制计算主机201、温度控制计算备机202与环境模拟计算机203同时开始仿真,环境模拟计算机203周期性的发送温度数据以及温度传感器状态信息给温度控制计算主机201、温度控制计算备机202,温度控制计算主机201和温度控制计算备机202接收后根据舱内温度范围参考值,产生加热器或冷却器开启关闭的指令信号回传给环境模拟计算机203,环境模拟计算机203根据指令信号运行温度模拟算法,模拟当前温度变化;具体步骤如图4所示,包括以下几个步骤1)、初始化温度控制系统,星务管理计算机1通过1553B总线发送仿真开始指令,星上温度控制计算主机201、温度控制计算备机202与环境模拟计算机203同时开始仿真,温度控制计算机首先接收1553B总线上由星务管理计算机1传输的温度控制上下限参考值,作为进行温度控制的判定范围。2)、环境模拟计算机203根据当前仿真运行阶段,模拟当前时刻的舱内温度,周期性发送至温度控制计算机,温度控制计算机采集后得到舱内温度数据;3)、温度控制计算机根据采集到的温度数据,与预先设定舱内温度范围参考值进行比较,首先判定当前加热器或冷却器是否已经处于打开状态;(1)如果加热器或冷却器已经打开,则周期性判定当前的舱内温度值是否超过加热器的设定值Ttos或冷却器的设定值Tits范围,如已经超过,则通过以太网给环境模拟计算机203发送指令关闭已开启的加热器或者冷却器;如未超过,则保持开启状态,等待下一周期判定;(2)如加热器或冷却器未打开,则根据当前的舱内温度值,周期性判定舱内温度T■是否小于最低温度I,如果小于,通过以太网给环境模拟计算机203发送指令开启加热器,否则判断是否大于最高温度Ts,大于则通过以太网给环境模拟计算机203发送指令开启冷却器;如不需开启,则保持关闭状态,等待下一周期判定;4)、环境模拟计算机203接收到温度控制指令后,根据指令运行相应的环境温度模拟算法模块,得到对应的环境温度数据,供下一周期温度采集使用。步骤四、故障注入及执行;仿真开始后,地面监控与故障注入计算机3随时配置故障信息,通过以太网发送至环境模拟计算机203进行故障注入;温度控制计算机将预先配置的故障以及实时通过地面监控与故障注入计算机3注入的故障模型解读为故障系统、故障子系统、故障位置、故障类型、预定故障产生时间、预定故障持续时间,并将其转化为既定时间后的故障表现,在预定时间执行;流程如图5所示,具体包括以下步骤a、开始仿真后,地面监控与故障注入计算机3判断是否配置故障,故障配置方式包括预先配置故障与实时故障注入;b、如是预先故障配置方式,则用户在仿真前已配置多个依时间顺序排列的故障,生成故障信息列表后,地面监控与故障注入计算机3将其包含入配置文件,已在温度控制计算机初始化时读取;C、如是实时注入故障方式,则用户从故障库选择故障,进行故障信息的配置后,以数据包的形式通过以太网发送至温度控制计算机;d、温度控制计算机将接收到的预先配置故障以及即时注入故障按时间排序;e、故障依据时间发生时,温度控制计算机进行故障信息解析,然后执行故障,故障产生后,根据故障的类型以及影响,温度控制系统应用冗余切换机制进行主备机切换或者设备屏蔽;f、冗余切换后,温度控制系统收集切换后的自身状态信息,发送至地面故障注入计算机进行监控,同时,更新自身故障列表,等待下一次故障产生。步骤五、冗余容错处理;温度控制系统根据已发生的故障类型,运用冗余容错机制进行处理,对于单个加热器或者传感器故障,通过使用其它加热器继续工作;对于单个温度传感器故障,采用三机表决形式,剩余两路温度传感器进行输出;对于温度控制计算主机201出现的不可修复故障,则系统自动切换至温度控制计算备机202进行工作,保证系统正常运行;步骤六、地面监控及故障评估;地面监控及故障注入计算机3实时监控温度控制系统工作状态以及温度曲线,当故障发生时,监测故障表现是否正确,冗余容错机制处理方式是否有效,系统能否继续工作,如系统没有按预设定方式进行切换,则发送强制切换指令,判断是否能够由地面发送指令信号进行强制切换;步骤七、对温度控制系统的故障模型及冗余策略进行评估,如不满足要求,对故障模型及冗余策略重设计后,进行新一轮验证;a)如果当前温度控制系统的故障模型及冗余策略在仿真过程中已实现预期功能并且指标满足预期设计需求,则保留当前障模型及冗余策略作为备选方案;b)如果当前温度控制系统的故障模型及冗余策略在仿真过程中没有实现预期功能,或者指标不满足预期设计需求,则对故障模型及冗余策略进行重设计,然后进行新一轮仿真验证,直至故障模型及冗余策略满足功能需求。实施例用实施例说明本发明提供的验证方法。步骤一、初始化文件配置;地面监控与故障注入计算机3进行温度控制系统初始化文件配置,这里选择RT-RT热备份方式,舱内温度设定值为正阳面1925摄氏度,背阳面2330摄氏度,设定第100秒发生加热器1故障,设定第105秒发生传感器1数据偏移故障,生成配置文件后,等待星上温度控制系统2计算机连接提取。步骤二、系统初始化;星上温度控制系统2主备机启动后,分别以客户端形式连接登陆地面监控与故障注入计算机3,获取配置文件,根据配置文件信息初始化系统,等待仿真开始。此时系统的星上温度控制系统2主备机1553B总线配置为RT-RT方式启动。步骤三、仿真开始;由星务管理计算机1作为BC发送仿真开始指令,星上温度控制系统2主备机与环境模拟机同时开始仿真,主机配置为RT1,备机为RT2,环境模拟计算机203周期性的发送温度数据以及传感器状态信息,星上温度控制系统2主备机接收后根据舱内温度范围参考值,计算后产生加热器或冷却器开启关闭的指令信号回传给环境模拟机,环境模拟机模拟根据指令信号运行温度模拟算法,模拟当前温度变化。步骤四、故障注入及执行;仿真开始后,地面监控与故障注入计算机3可即时注入故障信息,通过以太网发送至温度控制系统计算机,这里注入第150秒温度控制系统计算机主机永久性故障。温度控制计算机读取初始化配置文件得到预配置故障信息列表,第100秒发生第一个加热器故障,第105秒发生第一个传感器故障。按预定时间顺序排列,故障解读为具体的故障信息(故障系统,故障子系统,故障位置(故障功能仪器),故障类型,预定故障产生时间,预定故障持续时间)后映射为软件的具体故障表征,在150秒,温度控制系统计算机接收到即时注入的故障信息,分析后执行表征相应故障,即温度控制系统计算机主机崩溃重新启动。步骤五、冗余容错处理;温度控制系统根据已发生的故障类型,运用自身设计的冗余容错机制进行处理,对于单个加热器或者冷却器故障,通过使用其它加热器或冷却器继续工作;对于单个传感器故障,采用三机表决形式,采用剩余两路传感器进行输出;对于温度控制系统计算机出现的不可修复故障,则系统自动切换至备机进行工作,保证系统正常运行。在第100秒,第一个加热器将不再工作。此时舱内温度的计算公式为T=T初+T增ω,其中,Tmo=Tm+T2(h)+Tm),第一个加热器故障后:Tifiw=T2w+T3{h),温度上升速率减小。在第105秒,温度采集模块中的第一个传感器将产生故障,即将对应的传感器输出值加上对应随机数,使其产生飘移偏离原有的设定阈值,模拟故障现象,此时温度传感器模块自动调用三机表决算法,过滤排除掉产生错误的传感器温度值,采用其余两路有效传感器温度均值输出。原有传感器温度采样值T=T'+(Ta+Rand),这里直接让传感器M1数据产生飘移偏离原有的设定阈值,那么在以软件形式三取二的表决方式来进行温度采集时,其中M1,M2,M3为三路采集信号值,e为设定的阈值,此时满足|M3-M2|<e,M1-M2>e,M1-M3>e,传感器M1失效,舍弃该路传感器数据,采用M2,M3传感器数据均值输出,温度数据仍处于正常状态,与三路数据平均相比,其采集精度有所下降,但它实现了故障数据的有效隔离和排除。在第150秒,温控系统计算机依照故障注入信息,出现死机重启故障,此时,主机实施重启,温控系统应用容错策略实现双机自动冗余切换,切换至备机继续工作,故障机重新启动后重新初始化。步骤六、地面监控及故障评估;地面监控及故障注入计算机3通过接收星务管理计算机1发回的各机组状态信息,解析后以文字、曲线及动态指示灯形式展示。操作人员根据指示状况,判定故障表现是否正确、冗余容错机制处理方式是否有效、系统是否需要远程控制进行强制切换处理。步骤七、对温度控制系统的故障模型及冗余策略进行评估,如不满足要求,对故障模型及冗余策略重设计后,进行新一轮验证;试验中评测的容错机制失效的情况有1、系统没有实施正确主备机切换,2、切换的时间较长,不能满足预期要求,3、在不应该实施主备机切换时进行了切换动作,4、切换后故障机重启后初始化不正确。对于试验中评测过的故障模型失效的情况有1、故障没有成功注入,2、注入后并没有表征,3、故障没有按预定时间表征,4、故障表征不正确。针对以上仿真过程中出现的问题,对温度控制系统的故障模型及冗余策略进行重新设计,然后进行新一轮仿真验证,直到改进后冗余容错策略及故障模型在验证中达到预期指标要求。权利要求一种嵌入式星载容错温度控制系统,其特征在于,包括星务管理计算机、星上温度控制系统和地面监控及故障注入计算机;星务管理计算机、星上温度控制系统之间通过1553B总线连接,地面监控及故障注入计算机、星务管理计算机和星上温度控制系统通过以太网连接;星务管理计算机作为1553B总线控制器buscontroller,简称BC,负责向星上温度控制系统发送仿真开始指令及舱内温度范围参考值,并在每个仿真周期t通过1553B总线采集温度控制系统的故障信息、工作状态信息和温度数据,并将采集到的数据传递至地面监控及故障注入计算机,地面监控及故障注入计算机显示当前星上温度控制系统的工作状态以及温度曲线,验证星载温度控制系统的容错可靠性;所述的温度控制计算主机、温度控制计算备机采用主备机双机冗余策略,仿真开始后,分别通过1553B总线接收星务管理计算机发送的舱内温度范围参考值,并在每个仿真周期t接收环境模拟计算机发送的当前舱内温度数据,根据舱内温度范围参考值对当前舱内温度进行控制,将计算后产生的加热器或冷却器开启或者关闭的温度控制指令回传给环境模拟计算机;环境模拟计算机作为星上温度控制系统数据源,用于模拟实际星载系统飞行过程舱内温度变化,根据真实温度数据采用样条插值法拟合温度曲线,环境模拟计算机内置舱内正阳面和背阳面温度模型,执行机构为加热器或冷却器,模拟星载系统处于正阳面和背阳面时执行机构未工作、加热器开启、冷却器开启时的温度变化情况;地面监控及故障注入计算机完成数据监控与故障注入功能,用户通过地面监控及故障注入计算机向星上温度控制系统与环境模拟计算机注入故障信息,星上温度控制系统接收并解析故障信息,对相应故障进行表征,并根据故障造成的影响,采用预先设定的容错策略对系统实施冗余容错处理,保证系统处于正常工作状态。2.根据权利要求1所述的一种嵌入式星载容错温度控制系统,其特征在于,所述的环境模拟计算机包括以太网通讯模块、环境温度模拟算法模块、故障注入处理模块、冗余容错处理模块和温度传感器模块;以太网通讯模块采用类封装形式,完成环境模拟计算机、温度控制计算机、地面监控与故障注入计算机之间的以太网通讯和数据传输;环境温度模拟算法模块获取温度控制计算机发送的温度控制指令,根据当前舱内温度和执行机构状态,模拟执行机构开启或者关闭时的温度变化,并且存储变化后的温度数据;温度传感器模块模拟温度传感器功能,采集环境温度模拟算法模块输出的温度数据,打包后输出至温度控制计算机;故障注入处理模块随时接收地面监控及故障注入计算机注入的故障信息,仿真开始后,故障注入处理模块的定时器轮询故障信息,当定时器判定该时刻故障发生时,根据故障信息对系统进行相应故障模拟;冗余容错处理模块负责在故障发生后对相应故障进行处理,保证系统的正常工作以及数据正常输出,当温度传感器发生故障时,根据温度传感器三机表决的数据冗余方式,输出温度数据。3.根据权利要求2所述的一种嵌入式星载容错温度控制系统,其特征在于,所述的环境温度模拟算法模块内设置正阳面和背阳面温度模型,模拟星载系统处于正阳面或者背阳面时,执行机构未工作、工作时的温度变化情况;具体为1)当执行机构未工作,加热器和冷却器全关闭;如果处于向阳面,舱内温度T是自动增加的,此时,T=T'+(Ta+Rand),其中,T'为上一时刻温度,Ta为每秒增加的温度幅度,Rand为01之间的随机数,!;和Rand为变量,根据实际情况进行设定;如果处于背阳面,舱内的温度T是自动递减的,此时,T=T'-(Tb+Rand),其中,Tb为每秒递减的幅度,Tb和Rand根据实际情况进行设定;2)当执行机构的加热器工作时;通过加热器打开时间和温度增量数据建立模型,建模的方法采用样条插值法;舱内温度的温度模型T=增(t),其中,T初为初始温度,(t)为加热器开启t秒时温度的增加值,…+,1⑴表示第n个加热器开启t秒时温度的增加值,其中,0<、<t,i=1,2,……,n,、表示第i个加热器打开时间,n为打开的加热器个数;3)当执行机构的冷却器工作时;通过冷却器打开时间与温度减量数据建立模型,建模的方法采用样条插值法;舱内温度的温度模型T=减(t),其中,T初为初始温度,Ta(t)为冷却器开启t秒时温度的减少值,^;(,)=^i((l)+r2W+……+,7^)表示第n'个冷却器开启卞秒时温度的减少值,其中,0<t'i<t,i'=1,2,……,n',t'i表示第i'个加热器打开时间,n'为打开的冷却器个数。4.根据权利要求2所述的一种嵌入式星载容错温度控制系统,其特征在于,所述的温度传感器模块温度数据采集过程为在正阳面和背阳面分别设置三路温度传感器进行数据采集,然后采用三机表决的方式对温度数据进行处理,M2,M3表示三路温度传感器采集的温度数据,e为设定的阈值,当两个温度数据差值小于这个阈值时,认为两个温度数据是相近值,即同时有效或无效;具体为当|MrM2|<e,|M3_M2|<e,|MrM3<e时,没有失效数值,输出的温度数据优选数值为饥+112+113)/3;当|M3_M2|<e,|MrM2>e,|MrM3>e时,失效数值为虬,输出的温度数据优选数值为(M2+M3)/2;当|Mi_M2|<e,|MrM3>e,|M3_M2|>e时,失效数值为M3,输出的温度数据优选数值为(Mi+Mj/2;当|MrM3<e,|MrM2>e,|M3_M2|>e时,失效数值为M2,输出的温度数据优选数值为(Mi+M》/〗;当|M3-M2|<e,|MrM2>e,|MrM3<e时,没有有效值;当环境模拟计算机故障注入处理模块接收地面监控与故障注入计算机注入的温度传感器故障时,将对应的温度传感器输出值加上对应随机数,使其产生飘移偏离原有的设定阈值,模拟故障现象,此时温度传感器模块采用三机表决的冗余方式,过滤排除掉产生错误的温度传感器的温度数据,采用其余两路有效传感器温度均值输出。5.根据权利要求1所述的一种嵌入式星载容错温度控制系统,其特征在于,星上温度控制计算主机与温度控制计算备机采用两种配置方式实现双机冗余,一种是主机配置为远程终端remoteterminal,简称RT,备机也配置为RT的热备份方式,另一种是主机配置为RT,备机配置为总线监控器busmonitor,简称BM的冷备份方式;两种配置方式的实现方式为仿真开始前,用户通过地面监控及故障注入计算机设置采用的备份方式及对应的远程终端地址与子地址信息,然后将信息写入文本文件作为初始化配置文件,温度控制计算主机和温度控制计算备机启动后,分别通过以太网连接登陆地面监控及故障注入计算机,接收各自的初始化配置文件,然后依据本机配置文件信息,将本机配置为对应总线终端,即主备机配置为RT-RT的热备份切换方式或者RT-BM的冷备份切换工作方式,等待仿真开始;RT-RT热备份切换方式下,星上温度控制计算主机与温度控制计算备机均具有各自独立的RT地址,同时接收数据进行解算,仅星上温度控制计算主机输出数据,星上温度控制计算主机与温度控制计算备机的切换由BC通过设置带分支的消息列表,即设置消息在出错情况下的跳转指令来完成消息的跳转,或者由BC设置消息轮询访问温度控制系统主备机RT,然后选择正常工作RT输出数据,即当温度控制计算主机的RT出错时访问温度控制计算备机的RT输出数据;RT-BM冷备份切换下,温度控制计算主机作为主机工作输出数据,温度控制计算备机并不计算,而是作为BM通过1553B总线监控主机数据状态,当温度控制计算主机出现故障时,温度控制计算备机监控到温度控制计算主机总线数据故障并置自身为主机RT的形式,接替温度控制计算主机工作,输出数据;上述的两种切换方式下,温度控制计算主机与温度控制计算备机通过以太网同时定期向对方发送本机状态信息,当温度控制计算主机故障,温度控制计算备机切换接替主机工作,故障机重启后,首先接收以太网数据,通过接收到的状态信息判定当前系统有无主机存在,如有主机存在,则将自己置为备份机,作为备份RT仅计算不输出或者作为BM监控当前主机运行,随时准备接替主机工作。6.根据权利要求1所述的一种嵌入式星载容错温度控制系统,其特征在于,地面监控与故障注入计算机包括故障库、故障注入控制器,环境模拟计算机、温度控制计算主机、温度控制计算备机中包括故障表征器;故障库集成了温度控制系统工作过程中可能出现的故障类型,故障库中故障的故障模型包括故障类型、注入方式、注入地址、故障的发生时间、故障的持续时间;故障注入控制器用于控制整个故障注入过程,用户选择故障模型,选定的故障通过故障注入控制器注入到温度控制计算主机、温度控制计算备机和环境模拟计算机运行的应用程序中;故障注入控制器的故障注入过程分为预先故障配置和实时故障注入;预先故障配置是指由地面监控及故障注入计算机提供人机交互界面,用户查找故障库,选择特定故障模型,生成按时间排列的故障信息列表,包含入初始配置文件中,供温度控制计算机通过以太网读取;实时故障注入是指仿真开始后,用户通过地面监控及故障注入计算机,实时选择故障模型,生成特定格式的数据包,通过以太网发送至温度控制计算机,实现故障的实时注入;环境模拟计算机、温度控制计算主机、温度控制计算备机中的故障表征器根据注入的故障信息通过故障解析模型进行故障解析,将故障信息转化为对应的故障,在故障预定的发生时间模拟故障发生并表征,故障解析模型与故障库的故障模型一一对应,当故障模型添加时,对应的故障解析模型也要相应添加。7.一种嵌入式星载容错温度控制系统的验证方法,其特征在于,包括以下几个步骤步骤一、初始化文件配置;地面监控与故障注入计算机进行温度控制系统初始化文件配置,配置内容包括温度控制计算主机、温度控制计算备机的1553B总线双机冗余方式、舱内温度范围设定值以及设定预定要发生的故障信息,生成配置文件后,等待星上温度控制计算机通过以太网登陆提取;步骤二、系统初始化;I、如果仿真未开始,温度控制计算主机、温度控制计算备机启动后,分别以客户端形式连接登陆地面监控与故障注入计算机,获取配置文件,根据配置文件信息初始化系统,等待仿真开始;II、如果仿真已经开始,则表明温度控制计算主机或温度控制计算备机是处于故障后重启状态,则根据当前配置文件信息以及以太网信息重新初始化温度控制计算主机或温度控制计算备机,从当前时刻开始仿真;步骤三、开始仿真;由星务管理计算机发送仿真开始指令,星上温度控制计算主机、温度控制计算备机与环境模拟计算机同时开始仿真,环境模拟计算机周期性的发送温度数据以及温度传感器状态信息给温度控制计算主机、温度控制计算备机,温度控制计算主机和温度控制计算备机接收后根据舱内温度范围参考值,产生加热器或冷却器开启关闭的指令信号回传给环境模拟计算机,环境模拟计算机根据指令信号运行温度模拟算法,模拟当前温度变化;步骤四、故障注入及执行;仿真开始后,地面监控与故障注入计算机随时配置故障信息,通过以太网发送至环境模拟计算机进行故障注入;温度控制计算机将预先配置的故障以及实时通过地面监控与故障注入计算机注入的故障模型解读为故障系统、故障子系统、故障位置、故障类型、预定故障产生时间、预定故障持续时间,并将其转化为既定时间后的故障表现,在预定时间执行;步骤五、冗余容错处理;温度控制系统根据已发生的故障类型,运用冗余容错机制进行处理,对于单个加热器或者传感器故障,通过使用其它加热器继续工作;对于单个温度传感器故障,采用三机表决形式,剩余两路温度传感器进行输出;对于温度控制计算主机出现的不可修复故障,则系统自动切换至温度控制计算备机进行工作,保证系统正常运行;步骤六、地面监控及故障评估;地面监控及故障注入计算机实时监控温度控制系统工作状态以及温度曲线,当故障发生时,监测故障表现是否正确,冗余容错机制处理方式是否有效,系统能否继续工作,如系统没有按预设定方式进行切换,则发送强制切换指令,判断是否能够由地面发送指令信号进行强制切换;步骤七、对温度控制系统的故障模型及冗余策略进行评估,如不满足要求,对故障模型及冗余策略重设计后,进行新一轮验证;a)如果当前温度控制系统的故障模型及冗余策略在仿真过程中已实现预期功能并且指标满足预期设计需求,则保留当前障模型及冗余策略作为备选方案;b)如果当前温度控制系统的故障模型及冗余策略在仿真过程中没有实现预期功能,或者指标不满足预期设计需求,则对故障模型及冗余策略进行重设计,然后进行新一轮仿真验证,直至故障模型及冗余策略满足功能需求。8.根据权利要求7所述的一种嵌入式星载容错温度控制系统的验证方法,其特征在于,所述的步骤二具体包括以下几个步骤①温度控制计算主机和温度控制计算备机同时进行加电启动以及本地网络接口初始化;②温度控制计算机判定是否本机已经接收过配置文件;(1)如果温度控制计算机未接收过配置文件,说明计算机是第一次启动,则登陆地面故障注入计算机获取配置文件后,直接读取配置文件,确定本机的工作状态并初始化,如配置信息为热备份,则主机备机都初始化为RT,如为冷备份则主机配置为RT,备机为BM;(2)如已经接受过配置文件,则默认自身为故障重启后状态,直接通过以太网与备机通讯,获取当前备机工作状态,如果备机为主机,则记录自身状态应配置为备机,然后读取配置文件,修正自身状态并初始化;③星上温度控制计算主机和温度控制计算备机分别初始化后,开始进行温度控制,温度控制计算主机作为输出机,完成总线的数据传输以及温控指令输出,温控制计算备机则通过总线监控主机状态是否正常,同时,主备机之间通过以太网互相传递状态数据以及数据同步,以便备机在主机故障时从当前计算点接替;④温度控制计算机周期性判断是否已注入故障,如已注入故障在预定时可发生,则根据故障类型进行处理;⑤如故障为暂歇性可恢复故障,故障恢复后仍继续工作,不执行主备机切换;⑥如故障为加热器或冷却器或传感器故障,通过使用另外的加热器或冷却器或传感器继续工作,不执行主备机切换;⑦如故障为崩溃性故障,执行主备机切换后,故障机重启后重新初始化。9.根据权利要求7所述的一种嵌入式星载容错温度控制系统的验证方法,其特征在于,步骤三具体包括以下几个步骤1)、初始化温度控制系统,星务管理计算机通过1553B总线发送仿真开始指令,星上温度控制计算主机、温度控制计算备机与环境模拟计算机同时开始仿真,温度控制计算机首先接收1553B总线上由星务管理计算机传输的温度控制上下限参考值,作为进行温度控制的判定范围;2)、环境模拟计算机根据当前仿真运行阶段,模拟当前时刻的舱内温度,周期性发送至温度控制计算机,温度控制计算机采集后得到舱内温度数据;3)、温度控制计算机根据采集到的温度数据,与预先设定舱内温度范围参考值进行比较,首先判定当前加热器或冷却器是否已经处于打开状态;(a)如果加热器或冷却器已经打开,则周期性判定当前的舱内温度值是否超过设定值范围,如已经超过,则通过以太网给环境模拟计算机发送指令关闭已开启的加热器或者冷却器;如未超过,则保持开启状态,等待下一周期判定;(b)如加热器或冷却器未打开,则根据当前的舱内温度值,周期性判定是否需要开启加热器或者冷却器对温度进行控制,如需要,则通过以太网给环境模拟计算机发送指令开启加热器或者冷却器;如不需开启,则保持关闭状态,等待下一周期判定;4)、环境模拟计算机接收到温度控制指令后,根据指令运行相应的环境温度模拟算法模块,得到对应的环境温度数据,供下一周期温度采集使用。10.根据权利要求7所述的一种嵌入式星载容错温度控制系统的验证方法,其特征在于,所述的步骤四具体包括以下步骤a、开始仿真后,地面监控与故障注入计算机判断是否配置故障,故障配置方式包括预先配置故障与实时故障注入;b、如是预先故障配置方式,则用户在仿真前已配置多个依时间顺序排列的故障,生成故障信息列表后,地面监控与故障注入计算机将其包含入配置文件,已在温度控制计算机初始化时读取;c、如是实时注入故障方式,则用户从故障库选择故障,进行故障信息的配置后,以数据包的形式通过以太网发送至温度控制计算机;d、温度控制计算机将接收到的预先配置故障以及即时注入故障按时间排序;e、故障依据时间发生时,温度控制计算机进行故障信息解析,然后执行故障,故障产生后,根据故障的类型以及影响,温度控制系统应用冗余切换机制进行主备机切换或者设备屏蔽;f、冗余切换后,温度控制系统收集切换后的自身状态信息,发送至地面故障注入计算机进行监控,同时,更新自身故障列表,等待下一次故障产生。全文摘要本发明公开了一种嵌入式星载容错温度控制系统及其验证方法,系统包括星务管理计算机、星上温度控制系统和地面监控及故障注入计算机,星上温度控制系统包括温度控制计算主机、温度控制计算备机和环境模拟计算机,温度控制计算主机和温度控制计算备机为温度控制计算机;验证方法包括以下几个步骤,步骤一、初始化文件配置;步骤二、系统初始化;步骤三、开始仿真;步骤四、故障注入及执行;步骤五、冗余容错处理;步骤六、地面监控及故障评估;步骤七、对温度控制系统的故障模型及冗余策略进行评估;本发明完整的实现了真实星载温控系统的整个运行阶段的故障注入和验证过程,方法简便可靠,大大降低了实际系统的测试时间和费用。文档编号G06F11/00GK101819445SQ20101010799公开日2010年9月1日申请日期2010年2月5日优先权日2010年2月5日发明者杨飞,王青,董朝阳,解志君申请人:北京航空航天大学