一种高可靠的运载火箭前后端主机双冗余表决方法

技术领域

本发明属于运载火箭地面测试发射系统领域，具体涉及一种高可靠的运载火箭控制系统前后端主机双冗余表决方法。

背景技术

前置主机软件运行于前端控制微机(简称前置主机)中，后端主机软件运行于后端主控微机(简称后端主机)中，前置主机和后端主机通过TCP/IP网络连接进行通信。后端主机软件通过网络指令控制前置主机软件，通过1553B总线和RS422通信链路执行运载火箭控制系统测试项目。实现单机配电检查测试、惯组合成精度测试、芯助联合伺服子系统测试、姿态控制子系统测试、全箭总检查测试、发射测试等测试流程的控制，完成运载火箭控制系统测试、集成综合功能测试及发射场测试发射功能。

在发射过程中，由于只有一台前置控制微机在线执行工作，其为单点环节，且前端为无人值守状态，一旦前置主机软硬件出现故障则影响整个发射过程。因此有必要提出一种高可靠的冗余方案，使得主份前置主机出现故障时，可以快速准确的切换至备份前置主机软件，并继续执行运载火箭发射测试流程。

发明内容

本发明解决的技术问题是：克服现有技术的不足，提供一种高可靠的运载火箭前后端主机双冗余表决方法。

本发明的技术解决方案是：

一种高可靠的运载火箭前后端主机双冗余表决方法，包括如下步骤：

1)、前端前置主机采用双冗余方式，设置前置主份机和前置备份机，两者同时运行，主份机运行于主控工作状态，备份机运行于从机工作状态；

2)、前置主份机和前置备份机各自实时诊断自身健康状态，并将诊断结果以健康心跳数据包的形式广播给后端主机；

3)、后端主机根据健康心跳数据包判断前置主备份机的健康状态，判断是否进行前置主备份机冗余切换；

4)、后端主机根据表决诊断算法控制前置主备份机无缝冗余切换；

5)、前置主备份机故障切换后，后端主机指令均发送到前置备份机，不再进行前置主备份机故障诊断和切换。

所述步骤1)中，前置主份机和前置备份机使用不同的IP地址和端口与后端主机进行网络通信。

前置主份机和前置备份机均设置有自身的标识号，能够通过指令设置前置主份机和前置备份机的工作状态；默认情况下，后端主机指令均发送给前置主份机。

所述步骤2)中，健康心跳数据包内容包括心跳计数、1553B板卡状态、1553B总线通信状态、串口卡状态、串口通信卡工作状态，TCP网络通信是否正常、计算机硬件是否正常。

所述串口卡状态为板卡自身工作状态，串口通信卡工作状态为通信线路的工作状态。

所述步骤2)中，健康心跳数据包以固定的周期广播发送，并带有时间计数和校验码。

所述步骤3)中，在测试过程中，后端主机同时监听前置主备份机健康心跳数据包，并使用不同的端口号进行数据接收。

所述步骤3)的实现方式如下：

若一定时间内，后端主机未收到前置主份机或前置备份机健康心跳数据包，则判定前置主份机或前置备份机异常；

若后端主机收到前置主份机或前置备份机健康心跳数据包，但经校验，接收到的健康心跳数据包内计数值未更新，或者健康心跳数据包帧格式不正确，则判定发送该健康心跳数据包的前置主份机或前置备份机异常；

若后端主机收到前置主份机或前置备份机健康心跳数据包，且健康心跳数据包校验正常情况下，若判断健康心跳数据包内容有异常状态，则判定发送该健康心跳数据包的前置主份机或前置备份机异常；

只有前置主份机异常，前置备份机正常的情况下，才进行主备份切换。

所述步骤4)的实现方式如下：

后端主机判断出前置主份机异常后，自动提示，用户进行前置主备份机切换；

由前置主份机切换到前置备份机时，由后端主机控制切换通信通路到备份前置机；

前置主份机和前置备份机采用不同的总线终端地址进行1553B总线通信，采用不同的串口端口号进行串口通信，避免故障影响；

前置主备份机切换后，后续指令均发送给前置备份机，同时使用前置备份机的标识号作为目标号进行网络指令的接收和发送；

前置主备份机切换完成后，后端主机不再进行前置主备份机异常诊断。

与现有技术相比，本发明的优点如下：

采用前置主机双冗余方案能够使得在火箭发射过程中，降低前置主机软硬件出现单点故障而导致发射推迟或失败的风险，提高火箭发射可靠性；支持发射场前端无人值守测试。

附图说明

图1为前后端主机的交互示意图。

具体实施方式

以下将结合附图对本发明作进一步详细的说明。

为了保证切换后火箭发射流程不受影响并防止出现误切漏切的问题，前置备份机软件必须确保可靠并且信息链路冗余，即需要通过主机实现前置主备份机间的无缝切换。因此，本发明设计出一套正确的故障诊断的方法来保证主备份前置主机切换的正确性，保证当班前置主机软件的输出正确。

本发明采用的方法可分为以下五个步骤：

1)、前端前置主机采用双冗余方式，设置前置主份机和前置备份机，同时运行前置主机软件，分别运行于主控工作状态和从机工作状态。

前置主份机和前置备份机均运行，前置主份机和前置备份机采用不同的IP地址和端口号，与后端主机进行网络通信；后端主机同时监听前置主份机和前置备份机广播发送的健康心跳数据包。

2)、前置主份机和前置备份机各自实时诊断自身健康状态，并将诊断结果以健康心跳数据包的形式广播给后端主机。

前置主份机和前置备份机实时诊断自身工作状态，故障诊断以一定的周期进行，例如100ms，为避免误诊断，诊断结果以连续多拍结果为准；并以一定的周期(例如1s)广播诊断结果。

3)、后端主机根据健康心跳数据包判断前置主备份机的健康状态，判断是否进行前置主备份机冗余切换。

在测试过程中，前置主备份机实时诊断自身健康工作状态；诊断的内容包括TCP网络通信是否正常，3路1553B总线通信卡及其通信线路是否正常，3路串口通信卡及其通信线路是否正常，计算机硬件是否正常等。

健康心跳数据包内容包括心跳计数，1553B板卡状态，1553B通信状态，串口卡状态，串口卡通信工作状态，TCP网络通信是否正常，计算机硬件是否正常。前置主备份机均将结果采用不同的端口号广播至后端主机。

后端主机若连续一定时间(例如3s)内未收到前置主备份机的健康心跳数据包，则判定网络通信异常。根据健康心跳数据包消息进行解码，若解码出的工作状态异常或者心跳包计数不更新，则判定该机工作异常。

在测试过程中，后端主机同时监听前置主备份机健康心跳数据包，并使用不同的端口号进行数据接收。

若前置主备份机均正常，则后端主机一直进行判断，默认使用前置主份机进行通信，所有指令均使用前置主份机。若前置主份机健康心跳数据包正常，前置备份机健康心跳数据包异常，则后续不再进行故障诊断，一直使用前置主份机进行通信控制。若前置主份机健康心跳数据包异常，前置备份机健康心跳数据包正常，则切换前置主份机到前置备份机。若前置主份机和前置备份机均异常，则保持当前状态不变，无需切换。

4)、后端主机根据表决诊断算法控制前置主备份机无缝冗余切换；

后端主机判断出前置主份机异常后，自动提示，用户进行前置主备份机切换；

由前置主份机切换到前置备份机时，由后端主机控制切换通信通路到备份前置机；

前置主份机和前置备份机采用不同的总线终端地址进行1553B总线通信，采用不同的串口端口号进行串口通信，避免故障影响；

前置主备份机切换后，后续指令均发送给前置备份机，同时使用前置备份机的标识号作为目标号进行网络指令的接收和发送；

前置主备份机切换完成后，后端主机不再进行前置主备份机异常诊断。

5)、前置主备份机故障切换后，后端主机指令均发送到前置备份机，不再进行前置主备份机故障诊断和切换。

后端主机控制前置主份机切换到前置备份机后，不再进行前置主备份机故障诊断，前置主备份机切换只进行一次。切换后所有的备份指令均发送给前置备份机，并使用前置备份机的标识号作为目标号。切换后前置备份机完成后续火箭的测试工作，实现前置主备份机无缝切换，支持前端无人值守测试。

图1为前后端主机的交互示意图。

本发明解决运载火箭测试发射过程中前置主机软硬件单点故障影响整个发射任务的问题，实现前端无人值守发射测试，保证前端前置主机双冗余表决切换过程中的可靠性、准确性。

本发明未详细说明部分属于本领域技术人员公知常识。