本發(fā)明涉及一種可重構(gòu)三冗余計算機(jī)系統(tǒng)及其重構(gòu)降級方法，尤其是一種長時間、高可靠、全自主的運(yùn)載火箭與航天器控制系統(tǒng)中計算機(jī)故障診斷與決策方法，屬于計算機(jī)
技術(shù)領(lǐng)域：
。
背景技術(shù)：
：由于三冗余計算機(jī)獨(dú)特的優(yōu)勢，在未來的各種類型的上面級、快速響應(yīng)的液體小火箭、固體小運(yùn)載、空射小運(yùn)載和用于載人探月的重型運(yùn)載火箭上將具有廣泛的應(yīng)用。隨著我國空間應(yīng)用、科學(xué)探測、載人航天的發(fā)展，國際商業(yè)發(fā)射與國際合作的日益加深，運(yùn)載火箭發(fā)射任務(wù)越來越多，高密度快速發(fā)射成為運(yùn)載火箭的發(fā)展趨勢。為了提高中國運(yùn)載火箭的整體水平和能力，滿足未來20—30年航天發(fā)展的需求，保持我國運(yùn)載技術(shù)在世界航天領(lǐng)域的地位，我國開展了研制新一代快速發(fā)射運(yùn)載火箭與航天器。運(yùn)載火箭與航天器采用三冗余架構(gòu)計算機(jī)的型號較多，一般采用單點(diǎn)表決、單點(diǎn)接口或多臺冗余等方案，從冗余程度與經(jīng)濟(jì)性上無法做到平衡，且無法適應(yīng)長航時航天器計算機(jī)應(yīng)用。在實(shí)時性、自主性控制要求較高的應(yīng)用環(huán)境，如火星探測、大機(jī)動變軌運(yùn)輸器等，不僅需要自主故障診斷與決策的能力，現(xiàn)有航天器計算機(jī)一般采用雙機(jī)冗余、三機(jī)不可恢復(fù)故障冗余，所以需要設(shè)計一種一度故障后恢復(fù)與故障隔離技術(shù)，通過可重構(gòu)與降級設(shè)計實(shí)現(xiàn)長時間的自主故障診斷與決策的能力。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的技術(shù)解決問題：克服現(xiàn)有技術(shù)的不足，提供一種可重構(gòu)三冗余計算機(jī)系統(tǒng)及其重構(gòu)降級方法，解決火箭與航天器計算機(jī)系統(tǒng)在實(shí)時性較高應(yīng)用環(huán)境下長時間全自主故障診斷問題，以及通過故障恢復(fù)重構(gòu)方法保證長航時工作可靠性。本發(fā)明的技術(shù)解決方案：一種可重構(gòu)三冗余計算機(jī)系統(tǒng)，包括三個控制計算機(jī)，每個控制計算機(jī)包括接口通信模塊、cpu模塊和表決控制模塊，三個控制計算機(jī)上電完成初始化配置和時間同步之后工作在三機(jī)冗余工作模式下，各控制計算機(jī)cpu模塊分別接收外部數(shù)據(jù)，同步進(jìn)行控制計算，將計算結(jié)果發(fā)送至對應(yīng)的接口通信模塊；同時，各控制計算機(jī)cpu模塊通過表決控制模塊進(jìn)行數(shù)據(jù)交互，獲取三個控制計算機(jī)的計算結(jié)果，對三個控制計算機(jī)的計算結(jié)果，進(jìn)行故障診斷得到故障判斷結(jié)果，根據(jù)故障判斷結(jié)果和預(yù)設(shè)的權(quán)切換順序，形成表示當(dāng)權(quán)控制計算機(jī)編號的表決狀態(tài)指令，將表決狀態(tài)指令發(fā)送至三個控制計算機(jī)的表決控制模塊，每個控制計算機(jī)的表決控制模塊根據(jù)表決狀態(tài)指令，按照3取2的原則配置當(dāng)權(quán)機(jī)，由當(dāng)權(quán)機(jī)輸出權(quán)使能控制信號至對應(yīng)的接口通信模塊，并由當(dāng)權(quán)機(jī)向故障機(jī)輸出復(fù)位指令；在權(quán)使能信號的控制下，僅當(dāng)權(quán)控制計算機(jī)接口通信模塊將計算結(jié)果輸出至對外接口，故障機(jī)復(fù)位重啟后，通過三機(jī)交互接口同步當(dāng)班機(jī)的關(guān)鍵數(shù)據(jù)，使故障機(jī)重新運(yùn)行與其它兩機(jī)保持狀態(tài)一致，完成重構(gòu)。所述每個控制計算機(jī)cpu模塊與三個控制計算機(jī)表決控制模塊相連，cpu模塊寫操作將交互數(shù)據(jù)同時寫入三個控制計算機(jī)表決控制模塊的存儲緩沖區(qū)，cpu模塊讀操作讀取所屬控制計算機(jī)的表決控制模塊存儲緩沖區(qū)中三個控制計算機(jī)交互數(shù)據(jù)。當(dāng)任意一個控制計算機(jī)發(fā)生故障次數(shù)超過預(yù)設(shè)次數(shù)時，當(dāng)權(quán)機(jī)對該故障機(jī)進(jìn)行斷電操作，三冗余計算機(jī)系統(tǒng)運(yùn)行在雙機(jī)主從工作模式，一個控制計算機(jī)為當(dāng)權(quán)機(jī)，另一個控制計算機(jī)為非當(dāng)權(quán)機(jī)，其中，當(dāng)權(quán)機(jī)通過表決控制模塊向非當(dāng)權(quán)機(jī)發(fā)送健康狀態(tài)信號，非當(dāng)權(quán)機(jī)根據(jù)當(dāng)權(quán)機(jī)健康狀態(tài)信號判斷當(dāng)權(quán)機(jī)的健康狀態(tài)，當(dāng)當(dāng)權(quán)機(jī)“不健康”時，非當(dāng)權(quán)機(jī)表決控制模塊向當(dāng)權(quán)機(jī)發(fā)送奪權(quán)指令，并對當(dāng)權(quán)機(jī)進(jìn)行復(fù)位操作，非當(dāng)權(quán)機(jī)切換自身為當(dāng)權(quán)機(jī)，發(fā)出權(quán)使能有效信號，接管三冗余計算機(jī)系統(tǒng)對外接口通信權(quán)，三冗余計算機(jī)系統(tǒng)工作在單機(jī)工作模式；否則，三冗余計算機(jī)系統(tǒng)保持在雙機(jī)工作模式。所述當(dāng)權(quán)機(jī)健康狀態(tài)信號包括心跳信號、電壓狀態(tài)信息和雙機(jī)時間信息，當(dāng)所有健康狀態(tài)信號與預(yù)設(shè)值均一致時，認(rèn)為當(dāng)權(quán)機(jī)“健康”，否則，認(rèn)為當(dāng)權(quán)機(jī)“不健康”。每個控制計算機(jī)對三個控制計算機(jī)的計算結(jié)果進(jìn)行表決的原則為：對三份計算結(jié)果進(jìn)行比對，如果三份計算結(jié)果相互之間的偏差均未超出設(shè)定閾值，則認(rèn)為無故障機(jī)，如果其中一份計算結(jié)果與這兩份計算結(jié)果偏差超出設(shè)定閾值，則認(rèn)為該計算結(jié)果所對應(yīng)的控制計算機(jī)為故障機(jī)；如果三份計算結(jié)果相互之間的偏差均超出設(shè)定閾值，則認(rèn)為三機(jī)均為故障機(jī)。所述三個控制計算機(jī)獨(dú)立供電。所述三個控制計算機(jī)之間的所有外部接口信號和內(nèi)部交互信號均采取隔離措施進(jìn)行隔離。所述控制計算機(jī)中的表決控制單元通過fpga實(shí)現(xiàn)。本發(fā)明的另一個技術(shù)解決方案：一種可重構(gòu)三冗余計算機(jī)系統(tǒng)的重構(gòu)降級方法，三個控制計算機(jī)上完成初始化配置與時間同步之后，三冗余計算機(jī)系統(tǒng)工作在三機(jī)工作模式下，一個為當(dāng)權(quán)機(jī)，另外兩控制計算機(jī)為非當(dāng)權(quán)機(jī)，三個控制計算機(jī)進(jìn)行如下步驟：(1)、每個控制計算機(jī)同步進(jìn)行控制計算，每個控制計算機(jī)實(shí)時獲取另外兩個控制計算機(jī)的計算結(jié)果，之后，對三個控制計算機(jī)的計算結(jié)果，進(jìn)行故障診斷，得到故障判斷結(jié)果，根據(jù)故障判斷結(jié)果和預(yù)設(shè)的權(quán)切換順序，形成表示當(dāng)權(quán)控制計算機(jī)編號的表決狀態(tài)指令；(2)、采用3取2的原則對表示當(dāng)權(quán)控制計算機(jī)編號的表決狀態(tài)指令配置當(dāng)權(quán)機(jī)，由當(dāng)權(quán)機(jī)輸出權(quán)使能信號，所述權(quán)使能信號控制當(dāng)權(quán)控制計算機(jī)將計算結(jié)果輸出至外部接口，之后轉(zhuǎn)入步驟(3)；(3)、當(dāng)故障判斷結(jié)果為三個控制計算機(jī)均無故障機(jī)時，三冗余計算機(jī)系統(tǒng)保持在三機(jī)工作模式下，由當(dāng)權(quán)機(jī)將計算結(jié)果三取二輸出，下一個周期到來時從步驟(1)開始執(zhí)行；當(dāng)故障判斷結(jié)果為存在一個故障機(jī)時，轉(zhuǎn)入步驟(4)；當(dāng)故障判斷結(jié)果為存在三個故障機(jī)時，系統(tǒng)停止工作；(4)、判斷該故障機(jī)發(fā)生故障的次數(shù)是否超過預(yù)設(shè)值，如果未超過，則轉(zhuǎn)入步驟(5)，超過則轉(zhuǎn)入步驟(6)；(5)、由當(dāng)權(quán)機(jī)將故障機(jī)復(fù)位，故障機(jī)復(fù)位重啟后，獲取當(dāng)權(quán)機(jī)的所有運(yùn)行過程數(shù)據(jù)，使故障機(jī)與其它兩機(jī)保持同步，完成重構(gòu)，三個控制計算機(jī)保持在三機(jī)工作模式下，下一個周期到來時從步驟(1)開始執(zhí)行；(6)、由當(dāng)權(quán)機(jī)對故障機(jī)進(jìn)行斷電操作，三冗余計算機(jī)系統(tǒng)工作在雙機(jī)主從工作模式，一個控制計算機(jī)為當(dāng)權(quán)機(jī)，另一個控制計算機(jī)為非當(dāng)權(quán)機(jī)；當(dāng)權(quán)機(jī)向非當(dāng)權(quán)機(jī)發(fā)送健康狀態(tài)信號，之后進(jìn)入步驟(7)；(7)、非當(dāng)權(quán)機(jī)判斷當(dāng)權(quán)機(jī)健康狀態(tài)信號是否與預(yù)設(shè)值一致，如果一致，則在下一個周期到來時，重復(fù)執(zhí)行步驟(6)～步驟(7)；如果不一致，則非當(dāng)權(quán)機(jī)向當(dāng)權(quán)機(jī)發(fā)送奪權(quán)指令，接管三冗余計算機(jī)系統(tǒng)對外接口通信權(quán)，三冗余計算機(jī)系統(tǒng)工作在單機(jī)工作模式。本發(fā)明與現(xiàn)有技術(shù)相比的優(yōu)點(diǎn)在于：(1)、本發(fā)明通過故障恢復(fù)重構(gòu)手段，延長計算機(jī)工作時間，突破三機(jī)冗余工作時間短的瓶頸，可應(yīng)用于更廣泛工作環(huán)境。(2)、本發(fā)明控制計算機(jī)對先采用3取2的原則進(jìn)行故障識別，再采用3取2的原則對故障判斷結(jié)果進(jìn)行確認(rèn)，最終獲得故障機(jī)和當(dāng)權(quán)機(jī)，提高計算機(jī)系統(tǒng)的可靠性。(3)、本發(fā)明三冗余控制機(jī)算機(jī)之間采用三個相同設(shè)計的表決控制模塊進(jìn)行數(shù)據(jù)交互，每個表決控制模塊內(nèi)部包含三個并行數(shù)據(jù)存儲緩沖區(qū)，可以三機(jī)數(shù)據(jù)實(shí)現(xiàn)快速同步，而且，可同步數(shù)據(jù)量大，有利于計算機(jī)系統(tǒng)重構(gòu)。(4)、本發(fā)明三冗余控制計算機(jī)采用耦合隔離設(shè)計，避免任何機(jī)故障導(dǎo)致計算機(jī)系統(tǒng)故障。(5)、本發(fā)明提出了一種重構(gòu)降級方法，管理重構(gòu)過程中軟件流程、冗余數(shù)據(jù)交互，實(shí)現(xiàn)故障機(jī)的故障恢復(fù)，該方法邏輯實(shí)現(xiàn)簡單，可解決計算機(jī)所有一度，以及部分二度故障，提高計算機(jī)系統(tǒng)可靠性，便于工程應(yīng)用。附圖說明圖1為本發(fā)明實(shí)施例三冗余重構(gòu)降級計算機(jī)硬件架構(gòu)；圖2為本發(fā)明實(shí)施例表決控制模塊設(shè)計與信號互連圖；圖3為本發(fā)明實(shí)施例三機(jī)冗余重構(gòu)與降級狀態(tài)遷移圖；圖4為本發(fā)明實(shí)施例工作模式邏輯管理圖。具體實(shí)施方式以下將結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步詳細(xì)描述。隨著我國航天計算機(jī)技術(shù)發(fā)展和冗余技術(shù)應(yīng)用，及對火箭與航天器快低成本、高可靠的要求，利用三冗余重構(gòu)降級技術(shù)的計算機(jī)系統(tǒng)是不錯的選擇。如圖1所示，本發(fā)明提供了一種三冗余重構(gòu)計算機(jī)系統(tǒng)，三冗余重構(gòu)計算機(jī)系統(tǒng)架構(gòu)設(shè)計，提供有效手段識別計算機(jī)軟硬件的故障狀態(tài)，并管理計算機(jī)硬件輸出控制權(quán)。該系統(tǒng)由三個互為冗余的控制計算機(jī)。第一控制計算機(jī)包括：供電模塊a、接口通信模塊a、cpu模塊a、表決控制模塊a；第二控制計算機(jī)包括：供電模塊b、接口通信模塊b、cpu模塊b、表決控制模塊b；第三控制計算機(jī)包括：供電模塊c、接口通信模塊c、cpu模塊c、表決控制模塊c。三個控制計算機(jī)各有一個1553b總線接口，三個接口連接在同一套1553b總線上。初始上電時，三個計算機(jī)工作在三冗余工作模式下，其中一個控制計算機(jī)為當(dāng)權(quán)機(jī)，另外兩個控制計算機(jī)為非當(dāng)權(quán)機(jī)。當(dāng)權(quán)機(jī)為bc，其他兩機(jī)為mt。三冗余計算機(jī)系統(tǒng)三個控制計算機(jī)獨(dú)立供電，即供電單元a將外部輸入電源轉(zhuǎn)換成獨(dú)立的二次電源，經(jīng)隔離保護(hù)之后，為接口通信模塊a、cpu模塊a和表決控制單元a供電，其它兩路類同，即供電單元b為接口通信模塊b、cpu模塊b和表決控制單元b供電；供電單元c為接口通信模塊c、cpu模塊c和表決控制單元c供電。任何一套電源發(fā)生故障后系統(tǒng)仍能正常工作。三個控制計算機(jī)的通信模塊：接口通信模塊a、接口通信模塊b和接口通信模塊c，在權(quán)使能信號的控制下，輸出數(shù)據(jù)至對外接口，同一時刻僅一機(jī)具有對外輸出接口的控制權(quán)，權(quán)使能信號由表決控制模塊輸出。如，當(dāng)?shù)谝豢刂朴嬎銠C(jī)為當(dāng)權(quán)機(jī)時，表決控制模塊a輸出“有效”的權(quán)使能信號，表決控制模塊b和表決控制模塊c輸出“無效”的權(quán)使能信號，這樣，接口通信模塊a在“有效”的權(quán)使能信號控制下輸出數(shù)據(jù)至對外接口，接口通信模塊b和接口通信模塊c不輸出。三個控制計算機(jī)的cpu模塊：cpu模塊a、cpu模塊b和cpu模塊c在系統(tǒng)啟動后均為熱機(jī)，運(yùn)行相同版本的軟件，做相同的數(shù)據(jù)處理工作，它們之間沒有連接，各cpu模塊通過16位并口與各互對應(yīng)的表決控制模塊中表決控制單元交互數(shù)據(jù)，控制表決控制模塊輸出權(quán)信號，驅(qū)動接口通信模塊輸出接口的使能端，控制通信接口權(quán)。如圖2所示，每個控制計算機(jī)表決控制模塊通過fpga實(shí)現(xiàn)。每個表決控制模塊包括三個并行數(shù)據(jù)存儲緩沖區(qū)，每個控制計算機(jī)cpu模塊與三個控制計算機(jī)表決控制模塊相連，cpu模塊寫操作將交互數(shù)據(jù)同時寫入三個控制計算機(jī)表決控制模塊的存儲緩沖區(qū)，cpu模塊讀操作讀取所屬控制計算機(jī)的表決控制模塊存儲緩沖區(qū)中三個控制計算機(jī)交互數(shù)據(jù)，從而實(shí)現(xiàn)三機(jī)之間的數(shù)據(jù)交互。比如，各控制計算機(jī)cpu模塊通過表決控制模塊進(jìn)行數(shù)據(jù)交互，獲取三個控制計算機(jī)的計算結(jié)果的具體方法為：首先，第一控制計算機(jī)、第二控制計算機(jī)、第三控制計算機(jī)的cpu模塊分別將計算結(jié)果同時發(fā)送至三個控制計算機(jī)表決控制模塊中的第一并行數(shù)據(jù)存儲緩沖區(qū)，第二并行數(shù)據(jù)存儲緩沖區(qū)和第三并行數(shù)據(jù)存儲緩沖區(qū)；然后，第一控制計算機(jī)、第二控制計算機(jī)、第三控制計算機(jī)cpu模塊再分別讀取第一控制計算機(jī)、第二控制計算機(jī)、第三控制計算機(jī)表決控制模塊中三個并行數(shù)據(jù)存儲緩沖區(qū)中的三機(jī)數(shù)據(jù)，從而實(shí)現(xiàn)三個控制計算機(jī)之間數(shù)據(jù)交互。為了兼容多種類型的信號輸入和輸出，增強(qiáng)其通用性，每個控制計算機(jī)外部接口包括對外接口包括oc門、模擬量、同步和異步rs422接口。所有外部接口信號和內(nèi)部交互信號均采取隔離措施進(jìn)行隔離，三個控制計算機(jī)各模塊硬件之間采用耦合隔離設(shè)計，避免一機(jī)故障導(dǎo)致的計算機(jī)系統(tǒng)故障。三機(jī)冗余隔離接口設(shè)計見下表。表1三機(jī)隔離接口設(shè)計匯總表上表中，一次電源輸入、422輸入接口、ttl(或cmos)電平輸入接口、模擬量輸入接口、熱敏電阻采集、oc門輸入接口、1553b通訊輸入和輸出接口、422輸出接口、oc門輸出接口均為對外輸入輸出接口信號，三機(jī)交互內(nèi)總線信號和板內(nèi)的三機(jī)交互信號是內(nèi)部交互信號，包括各控制計算機(jī)的表決控制模塊之間的心跳信號、三個并行數(shù)據(jù)存儲區(qū)進(jìn)行數(shù)據(jù)交互的16位數(shù)據(jù)總線等。三冗余控制計算機(jī)上電后采用熱備冗余方式工作，當(dāng)任意一個控制計算機(jī)中的供電模塊、接口通信模塊、表決控制模塊或cpu模塊故障時，對該故障機(jī)(即三冗余中的一組cpu模塊、接口通信單元和表決控制單元組成)進(jìn)行復(fù)位或下電處理，消除一機(jī)可恢復(fù)故障(如外界電磁影響、靜電、單粒子導(dǎo)致的軟件運(yùn)行異常故障)；重啟后的故障機(jī)獲取其它兩機(jī)當(dāng)前工作狀態(tài)信息完成重構(gòu)，當(dāng)一機(jī)多次(一般不超3次)故障，即進(jìn)行降級處理，對其進(jìn)行斷電操作，剩余正常工作兩機(jī)運(yùn)行在雙機(jī)主從工作模式(即一主一備工作模式，備機(jī)監(jiān)測主機(jī)工作狀態(tài))，當(dāng)雙機(jī)中主機(jī)故障時，備機(jī)奪取對外接口通信權(quán)，工作在單機(jī)模式。根據(jù)設(shè)計的故障狀態(tài)和處理策略，將三冗余控制計算機(jī)劃分為不同的工作模式和工作狀態(tài)，確定模式間的轉(zhuǎn)入轉(zhuǎn)出條件，并對模式進(jìn)行管理。各工作狀態(tài)轉(zhuǎn)換關(guān)系如表2和圖3所示。表2模式轉(zhuǎn)入轉(zhuǎn)出條件上述三冗余計算機(jī)采用了完全三機(jī)冗余架構(gòu)，元器件規(guī)模為原來的三倍，為了降低研制成本，可以僅考慮核心元件具備高等級與抗幅照指標(biāo)要求，其它元件可選用軍溫級或工業(yè)級器件，這樣可以擴(kuò)升航天領(lǐng)域計算機(jī)市場的競爭力，進(jìn)而占有更多的市場份額。本發(fā)明在上述可重構(gòu)三冗余計算機(jī)的基礎(chǔ)上提出了一種可重構(gòu)三冗余計算機(jī)系統(tǒng)的重構(gòu)降級方法，一個為當(dāng)權(quán)機(jī)，另外兩控制計算機(jī)為非當(dāng)權(quán)機(jī)，三個控制計算機(jī)進(jìn)行如下步驟：(1)、各控制計算機(jī)cpu模塊分別接收外部數(shù)據(jù)，同步進(jìn)行控制計算，將計算結(jié)果發(fā)送至對應(yīng)的接口通信模塊；同時，各控制計算機(jī)cpu模塊通過表決控制模塊進(jìn)行數(shù)據(jù)交互，獲取三個控制計算機(jī)的計算結(jié)果，對三個控制計算機(jī)的計算結(jié)果，進(jìn)行故障診斷得到故障判斷結(jié)果，根據(jù)故障判斷結(jié)果和預(yù)設(shè)的權(quán)切換順序，形成表示當(dāng)權(quán)控制計算機(jī)編號的表決狀態(tài)指令，將表決狀態(tài)指令發(fā)送至三個控制計算機(jī)的表決控制模塊；每個控制計算機(jī)cpu模塊，進(jìn)行故障診斷的原則為：每個控制計算機(jī)cpu模塊對三份計算結(jié)果進(jìn)行比對，如果三份計算結(jié)果相互之間的偏差均未超出設(shè)定閾值，則認(rèn)為無故障機(jī)，如果其中一份計算結(jié)果與這兩份計算結(jié)果偏差超出設(shè)定閾值，則認(rèn)為該計算結(jié)果所對應(yīng)的控制計算機(jī)為故障機(jī)；如果三份計算結(jié)果相互之間的偏差均超出設(shè)定閾值，則認(rèn)為三機(jī)均為故障機(jī)。預(yù)設(shè)的權(quán)切換順序根據(jù)實(shí)際情況預(yù)先設(shè)計并裝訂至計算機(jī)內(nèi)部，如圖4所示。a機(jī)為當(dāng)權(quán)機(jī)時，a機(jī)出現(xiàn)故障，則選擇b機(jī)為當(dāng)權(quán)機(jī)輸出；b機(jī)為當(dāng)權(quán)機(jī)時，b機(jī)出現(xiàn)故障，則選擇a機(jī)為當(dāng)權(quán)機(jī)輸出；c機(jī)為當(dāng)權(quán)機(jī)時，c機(jī)出現(xiàn)故障，則選擇a機(jī)為當(dāng)權(quán)機(jī)輸出。表決狀態(tài)指令采用2位二進(jìn)制表示，“00”表示a機(jī)權(quán)輸出，“01”表示b機(jī)權(quán)輸出，“10”表示c機(jī)權(quán)輸出。(2)、表決控制模塊接收三機(jī)cpu模塊軟件發(fā)送的權(quán)狀態(tài)指令，采用3取2的原則對表示當(dāng)權(quán)控制計算機(jī)編號的表決狀態(tài)指令配置當(dāng)權(quán)機(jī)，由當(dāng)權(quán)機(jī)輸出權(quán)使能信號，所述權(quán)使能信號控制接口通信模塊將計算結(jié)果輸出至外部接口，之后轉(zhuǎn)入步驟(3)；如：三機(jī)中大于兩機(jī)輸出“00”標(biāo)表決a機(jī)權(quán)輸出，三機(jī)中大于兩機(jī)“01”表決b機(jī)權(quán)輸出，三機(jī)中大于兩機(jī)“10”表決c機(jī)權(quán)輸出。由當(dāng)權(quán)機(jī)的表決控制模塊輸出權(quán)使能信號，權(quán)使能信號控制相應(yīng)接口通信模塊輸出數(shù)據(jù)。(3)、當(dāng)故障判斷結(jié)果為三個控制計算機(jī)均無故障機(jī)時，三冗余計算機(jī)系統(tǒng)保持在三機(jī)工作模式下，由當(dāng)權(quán)機(jī)將計算結(jié)果三取二輸出，下一個周期到來時從步驟(1)開始執(zhí)行；當(dāng)故障判斷結(jié)果為存在一個故障機(jī)時，轉(zhuǎn)入步驟(4)；當(dāng)故障判斷結(jié)果為存在三個故障機(jī)時，系統(tǒng)停止工作；(4)、判斷該故障機(jī)發(fā)生故障的次數(shù)是否超過預(yù)設(shè)值，如果未超過，則轉(zhuǎn)入步驟(5)，超過則轉(zhuǎn)入步驟(6)；(5)、由當(dāng)權(quán)機(jī)將故障機(jī)復(fù)位，故障機(jī)復(fù)位重啟后，獲取當(dāng)權(quán)機(jī)的所有運(yùn)行過程數(shù)據(jù)，使故障機(jī)與其它兩機(jī)保持同步，完成重構(gòu)，三個控制計算機(jī)保持在三機(jī)工作模式下，下一個周期到來時從步驟(1)開始執(zhí)行；所述運(yùn)行過程數(shù)據(jù)包括了時間同步信息、進(jìn)行控制計算用到的中間變量、當(dāng)前當(dāng)權(quán)機(jī)號、每臺控制計算機(jī)已經(jīng)發(fā)生故障狀態(tài)等信息，這些數(shù)據(jù)也是通過表決控制模塊中的三個并行數(shù)據(jù)存儲緩沖區(qū)進(jìn)行數(shù)據(jù)交互的。(6)、由當(dāng)權(quán)機(jī)對故障機(jī)進(jìn)行斷電操作，三冗余計算機(jī)系統(tǒng)工作在雙機(jī)主從工作模式，一個控制計算機(jī)為當(dāng)權(quán)機(jī)，另一個控制計算機(jī)為非當(dāng)權(quán)機(jī)；當(dāng)權(quán)機(jī)向非當(dāng)權(quán)機(jī)發(fā)送健康狀態(tài)信號，之后進(jìn)入步驟(7)；(7)、非當(dāng)權(quán)機(jī)判斷當(dāng)權(quán)機(jī)健康狀態(tài)信號是否與預(yù)設(shè)值一致，如果一致，則在下一個周期到來時，重復(fù)執(zhí)行步驟(6)～步驟(7)；如果不一致，則非當(dāng)權(quán)機(jī)向當(dāng)權(quán)機(jī)發(fā)送奪權(quán)指令，接管三冗余計算機(jī)系統(tǒng)對外接口通信權(quán)，三冗余計算機(jī)系統(tǒng)工作在單機(jī)工作模式。當(dāng)權(quán)機(jī)健康狀態(tài)信號包括心跳信號、電壓狀態(tài)信息和雙機(jī)時間信息，當(dāng)所有健康狀態(tài)信號與預(yù)設(shè)值均一致時，認(rèn)為當(dāng)權(quán)機(jī)“健康”，否則，認(rèn)為當(dāng)權(quán)機(jī)“不健康”。雙機(jī)工作模式兩機(jī)獨(dú)立運(yùn)算，主、備機(jī)的切換關(guān)系見下表所示。表3雙機(jī)模式的奪權(quán)關(guān)系表序號雙機(jī)模式故障機(jī)故障奪權(quán)關(guān)系備注1b主、c備模式b機(jī)故障c機(jī)表決控制單元發(fā)奪b機(jī)權(quán)指令，控制輸出2a主、c備模式a機(jī)故障c機(jī)表決控制單元奪a機(jī)權(quán)指令，控制輸出3a主、b備模式a機(jī)故障b機(jī)表決控制單元奪a機(jī)權(quán)指令，控制輸出所述電壓狀態(tài)信息和雙機(jī)時間信息通過遙測信息傳送，備機(jī)工作過程中以40ms周期監(jiān)測當(dāng)權(quán)機(jī)的遙測信息，判別準(zhǔn)則如下所示。表4遙測信息判別表序號判斷值指標(biāo)連續(xù)故障時間1雙機(jī)時間信息誤差小于1ms200ms2計算機(jī)12v基準(zhǔn)電壓誤差小于±1v200ms3計算機(jī)5v基準(zhǔn)電壓誤差小于±1v200ms4計算機(jī)0v基準(zhǔn)電壓誤差小于±1v200ms以a機(jī)故障b機(jī)當(dāng)權(quán)為例，當(dāng)c機(jī)監(jiān)測到b機(jī)故障后，由表決控制單元向b機(jī)發(fā)送奪權(quán)信號。單機(jī)工作模式為在雙機(jī)熱備的當(dāng)權(quán)機(jī)發(fā)生故障時，由備份機(jī)奪權(quán)固定輸出，從而進(jìn)入單機(jī)工作模式。該模式下，僅當(dāng)權(quán)機(jī)具有接口控制權(quán)，其它兩機(jī)禁止使能端輸出。由上所述，當(dāng)三冗余控制計算機(jī)中的冗余單元發(fā)生故障，需要進(jìn)行切權(quán)、重構(gòu)、降級等操作時，各冗余單元的工作行為需要進(jìn)行相應(yīng)切換。cpu按照約定的順序進(jìn)行模式切換和雙機(jī)模式內(nèi)的主、備切換。如圖4所示，三機(jī)模式下，如果a機(jī)出現(xiàn)故障，則對a機(jī)進(jìn)行故障恢復(fù)，如果a機(jī)故障恢復(fù)之后，a機(jī)工作正常，重新回到三機(jī)冗余工作模式，如果故障恢復(fù)三次之后a機(jī)仍然不正常，則認(rèn)為a機(jī)發(fā)生了不可恢復(fù)故障，將a機(jī)斷電，選擇b機(jī)作為當(dāng)權(quán)機(jī)、c機(jī)作為熱備份機(jī)，系統(tǒng)進(jìn)入雙機(jī)工作模式；在雙機(jī)工作模式下，b機(jī)出現(xiàn)故障時，c機(jī)奪權(quán)輸出。運(yùn)載火箭與航天器，要求保證實(shí)時性的前提下，具有全自主、高可靠的能力，通過三機(jī)冗余方式，可實(shí)現(xiàn)自主故障診斷與決策，在高實(shí)時性需求下無需人工干預(yù)。采用本發(fā)明的技術(shù)方案實(shí)現(xiàn)的控制計算機(jī)實(shí)時故障診斷時間小于40ms，故障切換時間小于40ms，配置重構(gòu)降級手段可保證長時間的高可靠運(yùn)行，可適應(yīng)運(yùn)載與航天器的計算機(jī)應(yīng)用，以及長航時高機(jī)動能力的航天器。本發(fā)明說明書中未進(jìn)行詳細(xì)描述的內(nèi)容屬于本領(lǐng)域公知常識。當(dāng)前第1頁12