丁志遠(yuǎn)，劉波，劉超偉，王婧，王振華

(北京控制工程研究所，北京100190)

航天器熱備份控制計(jì)算機(jī)軟故障前向恢復(fù)方法*

丁志遠(yuǎn)，劉波，劉超偉，王婧，王振華

(北京控制工程研究所，北京100190)

針對(duì)航天器熱備份控制計(jì)算機(jī)單機(jī)軟故障，提出一種前向恢復(fù)方法.該方法依據(jù)航天器熱備份控制計(jì)算機(jī)系統(tǒng)的先驗(yàn)知識(shí)，通過對(duì)內(nèi)存分塊管理和重分配，進(jìn)行數(shù)據(jù)比對(duì)和數(shù)據(jù)同步，使得軟故障情況下系統(tǒng)中各單機(jī)自主、穩(wěn)定地恢復(fù)至獨(dú)立輸出完全一致.與傳統(tǒng)的恢復(fù)方法相比，新方法針對(duì)航天器熱備份控制計(jì)算機(jī)系統(tǒng)設(shè)置合適的故障識(shí)別與定位的方法，且不用增加任何硬件開銷.利用返回飛行器GNCC控制計(jì)算機(jī)對(duì)該方法進(jìn)行了實(shí)現(xiàn)，試驗(yàn)結(jié)果證明該方法正確可行，為航天器熱備份控制計(jì)算機(jī)的自主恢復(fù)技術(shù)奠定良好的基礎(chǔ).

前向恢復(fù);軟故障;航天器控制計(jì)算機(jī)

0 引言

航天器控制系統(tǒng)承擔(dān)姿態(tài)控制和軌道控制等任務(wù)，是航天器中最容易發(fā)生故障的分系統(tǒng)［1］故障百分比占37%.針對(duì)控制計(jì)算機(jī)的容錯(cuò)設(shè)計(jì)一直是控制系統(tǒng)研究的重點(diǎn)和熱點(diǎn).

N模冗余是典型的容錯(cuò)方法，以三模冗余(triple modular redundancy，TMR)為代表的TMR熱備份控制計(jì)算機(jī)，當(dāng)一個(gè)單機(jī)出現(xiàn)軟故障時(shí)，另兩個(gè)單機(jī)的輸出可將故障掩蓋，系統(tǒng)輸出結(jié)果無誤;但是，如果該單機(jī)不能從軟故障中恢復(fù)，再有另一單機(jī)出現(xiàn)故障，系統(tǒng)則不能工作在TMR模式［2-3］.目前國內(nèi)的航天器控制計(jì)算機(jī)系統(tǒng)并不具備自主恢復(fù)功能，針對(duì)熱備份計(jì)算機(jī)系統(tǒng)的恢復(fù)方法也主要是以卷回恢復(fù)方法為主［4］需要將整個(gè)系統(tǒng)卷回至之前的正確狀態(tài)，卷回過程會(huì)浪費(fèi)大量的時(shí)間.

前向恢復(fù)方法是指從出錯(cuò)時(shí)刻以后的某一時(shí)刻點(diǎn)處開始恢復(fù).執(zhí)行的任務(wù)不并需要再重新執(zhí)行前一段己執(zhí)行過的代碼，從而極大的減少了恢復(fù)時(shí)間，并可以避免因在卷回恢復(fù)時(shí)存在的某些不足.根據(jù)實(shí)現(xiàn)方式的不同，概括起來有如下兩種實(shí)現(xiàn)方式:推導(dǎo)型前向恢復(fù)是指在恢復(fù)時(shí)，根據(jù)要進(jìn)行恢復(fù)模塊的性質(zhì)以及之前運(yùn)行結(jié)果的規(guī)律，推導(dǎo)或預(yù)測(cè)出其出錯(cuò)時(shí)或未來的運(yùn)行狀態(tài)并以此為故障恢復(fù)點(diǎn)繼續(xù)運(yùn)行［5］.復(fù)制型的前向故障恢復(fù)通常是通過將非故障單機(jī)的當(dāng)前狀態(tài)和內(nèi)存數(shù)據(jù)拷貝到故障單機(jī)上，使故障單機(jī)與正常單機(jī)的狀態(tài)一致后，從當(dāng)前點(diǎn)繼續(xù)運(yùn)行［6］.通常在N模冗余系統(tǒng)中常采用復(fù)制型前向恢復(fù)方法.

文獻(xiàn)［7］給出了一種基于內(nèi)存標(biāo)記的前向恢復(fù)方法，將發(fā)生故障前一周期發(fā)生改變的數(shù)據(jù)傳送給故障單機(jī)，從而使故障單機(jī)恢復(fù)，該方法的弊端是定位故障的效率不高;文獻(xiàn)［8］提出了一種在線檢測(cè)前向恢復(fù)技術(shù)，實(shí)時(shí)性很強(qiáng)，但需要從硬件層面構(gòu)建整個(gè)系統(tǒng)的恢復(fù)功能，只能在新的型號(hào)中進(jìn)行應(yīng)用;文獻(xiàn)［9-10］采用的掃描鏈前向恢復(fù)方法需要構(gòu)建一個(gè)具備掃描鏈功能的仲裁邏輯，該邏輯并不具備冗余和恢復(fù)功能，不能滿足控制系統(tǒng)的可靠性要求.

航天器熱備份控制計(jì)算機(jī)采用完全同構(gòu)的N模冗余技術(shù)，以控制周期為執(zhí)行單位，內(nèi)存中待恢復(fù)的數(shù)據(jù)也具備周期性的特點(diǎn)［11］.為了及時(shí)可靠地將計(jì)算機(jī)系統(tǒng)從單機(jī)軟故障中恢復(fù)出來，本文提出一種適用于航天器熱備份控制計(jì)算機(jī)的單機(jī)軟故障的前向恢復(fù)方法.該方法根據(jù)熱備份控制計(jì)算機(jī)的特點(diǎn)針對(duì)標(biāo)記內(nèi)存技術(shù)進(jìn)行優(yōu)化，使得控制計(jì)算機(jī)能從軟故障中連續(xù)、穩(wěn)定地恢復(fù)，降低整機(jī)失效的概率，使控制計(jì)算機(jī)保持連續(xù)穩(wěn)定高可靠的工作.

1 理論模型

系統(tǒng)初始狀態(tài)為TMR三機(jī)正常狀態(tài)，若一個(gè)單機(jī)出現(xiàn)軟故障，則另兩個(gè)正常單機(jī)可將故障機(jī)的故障屏蔽，輸出仍然正確;但是，如果該單機(jī)不能從軟故障中恢復(fù)，錯(cuò)誤導(dǎo)致單機(jī)故障，則系統(tǒng)進(jìn)入TMR雙機(jī)正常狀態(tài)，不再具備單故障屏蔽能力;此時(shí)若再有一臺(tái)單機(jī)出現(xiàn)故障，則系統(tǒng)降級(jí)為TMR異常模式.如圖1所示，設(shè)單機(jī)失效率為λ，則根據(jù)假設(shè)，若某模塊在時(shí)刻t正常工作，則在t+Δt時(shí)刻發(fā)生故障的概率為P=1－e－λΔt，對(duì)于很小的Δt，該故障率可簡(jiǎn)化為λΔt.依此可推知可測(cè)單機(jī)故障概率為λΔt，同構(gòu)的3個(gè)單機(jī)中任意一個(gè)單機(jī)發(fā)生故障，則系統(tǒng)進(jìn)入雙機(jī)狀態(tài)，概率為3λΔt，同理雙機(jī)狀態(tài)降級(jí)為單機(jī)狀態(tài)的概率為2λΔt.通過恢復(fù)技術(shù)，使該單機(jī)從其它兩機(jī)中獲取正確狀態(tài)，使其從軟故障中恢復(fù)，系統(tǒng)從TMR雙機(jī)異常模式恢復(fù)為TMR三機(jī)正常模式.如圖1所示，設(shè)單機(jī)恢復(fù)率為μ，則系統(tǒng)從雙機(jī)狀態(tài)恢復(fù)為三機(jī)狀態(tài)的概率是μΔt，則系統(tǒng)從雙機(jī)狀態(tài)降級(jí)為單機(jī)狀態(tài)的概率將減少μΔt，所以實(shí)現(xiàn)單機(jī)恢復(fù)功能，提高單機(jī)恢復(fù)率，可以有效避免系統(tǒng)降級(jí)，增加系統(tǒng)可靠性.

圖1 TMR熱備份控制計(jì)算機(jī)單機(jī)恢復(fù)馬爾可夫模型Fig.1Markov model of single modular recovery for TMR hot-backup control computer

如圖2所示，T0是發(fā)現(xiàn)故障的初始周期，L0是初始的故障數(shù)據(jù)長(zhǎng)度，在恢復(fù)過程中，非故障單機(jī)執(zhí)行完常規(guī)控制任務(wù)后，在每個(gè)周期的末尾將故障數(shù)據(jù)以Ls的速率傳遞至故障單機(jī)，故障單機(jī)停止常規(guī)任務(wù)的執(zhí)行，接收非故障單機(jī)的傳輸數(shù)據(jù)，設(shè)非故障單機(jī)在執(zhí)行控制任務(wù)的過程中內(nèi)存數(shù)據(jù)在第n周期的變化速率是Lc(n)，當(dāng)?shù)趎周期結(jié)束后，故障單機(jī)接收的數(shù)據(jù)總量nLs≥L0時(shí)，非故障單機(jī)將所有故障數(shù)據(jù)以及恢復(fù)過程中的變化數(shù)據(jù)傳遞給故障單機(jī)，即認(rèn)為恢復(fù)成功，推導(dǎo)過程如下:

將上述n個(gè)等式相加化簡(jiǎn)可得:

Ln是第n周期后還需再恢復(fù)的數(shù)據(jù)長(zhǎng)度，當(dāng)Ln=0時(shí)，即恢復(fù)成功，將Ln=0代入式(1):

記Lc是n個(gè)周期中內(nèi)存變化速率的平均值，即

代入式(2)得:

當(dāng)Ls＞Lc時(shí)，Ls－Lc＞0，使得恢復(fù)在理論上可行，即每次迭代可以恢復(fù)一些未被恢復(fù)的內(nèi)存數(shù)據(jù).經(jīng)過一系列的迭代，直到所有的內(nèi)存塊都被恢復(fù)，此時(shí)故障單機(jī)恢復(fù)完成.

對(duì)于一個(gè)特定的系統(tǒng)而言，Lc是常量，所以要增加恢復(fù)的速率(減小n值)，需減小L0或增加Ls，即減小初始數(shù)據(jù)的長(zhǎng)度或增加數(shù)據(jù)的傳輸速率.傳輸Ls長(zhǎng)度的數(shù)據(jù)需要先利用tc的時(shí)間進(jìn)行故障數(shù)據(jù)定位，再利用ts的時(shí)間進(jìn)行故障數(shù)據(jù)的傳輸，恢復(fù)過程所允許的最大時(shí)間長(zhǎng)度tR≥tc+ts時(shí)，恢復(fù)可以成功，否則恢復(fù)失敗.

圖2 恢復(fù)方法模型Fig.2Recovery method model

2 故障識(shí)別、定位及數(shù)據(jù)同步方法

在恢復(fù)過程開始前，根據(jù)系統(tǒng)比對(duì)結(jié)果判斷系統(tǒng)是否出現(xiàn)軟故障.若發(fā)生故障，則在控制周期的末尾執(zhí)行恢復(fù)過程，不影響采集、計(jì)算、系統(tǒng)任務(wù)的常規(guī)執(zhí)行過程;整個(gè)恢復(fù)過程對(duì)應(yīng)用軟件透明，從而減少系統(tǒng)軟件與應(yīng)用軟件的耦合性.如圖3所示，恢復(fù)過程可以分為故障判定模塊和數(shù)據(jù)同步模塊，故障判定模塊識(shí)別故障狀態(tài)并決定是否啟動(dòng)數(shù)據(jù)同步模塊;數(shù)據(jù)同步模塊對(duì)故障判定模塊記錄的故障內(nèi)存塊進(jìn)行同步操作，使故障單機(jī)完全跟上非故障單機(jī)的任務(wù)操作，并判定恢復(fù)過程是否結(jié)束.

2.1 故障識(shí)別

如圖4所示，A、B、C各單機(jī)通過向其他兩個(gè)單機(jī)發(fā)送數(shù)據(jù)來實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的交換與比對(duì)，各自的仲裁模塊可以通過對(duì)交換的數(shù)據(jù)進(jìn)行三取二表決來判定本單機(jī)是否發(fā)生故障，然后向其他單機(jī)發(fā)送自己的故障狀態(tài)，若該單機(jī)發(fā)生故障，則接受該單機(jī)故障信息的一個(gè)單機(jī)負(fù)責(zé)對(duì)該單機(jī)進(jìn)行恢復(fù).

圖3 恢復(fù)任務(wù)執(zhí)行示意Fig.3Recovery task execution

圖4 航天器控制計(jì)算機(jī)故障識(shí)別Fig.4Spacecraft control computer fault-identification

2.2 故障定位

2.2.1 標(biāo)記內(nèi)存方法

同構(gòu)的N模冗余計(jì)算機(jī)系統(tǒng)N各模塊內(nèi)存中的數(shù)據(jù)是完全同步的，令第n周期系統(tǒng)的單機(jī)內(nèi)存狀態(tài)集合是Mn，第n周期到第n+1周期內(nèi)存的變化集合是Cn+1;假設(shè)某單機(jī)在第n+1周期發(fā)生了故障，則非故障單機(jī)在第n+1周期的內(nèi)存狀態(tài)集合是Mn+1，改變的數(shù)據(jù)集合是Cn+1，故障單機(jī)在第n+1周期的內(nèi)存狀態(tài)集合是，改變的數(shù)據(jù)集合是設(shè)發(fā)生故障的數(shù)據(jù)集合是Fn+1.

因?yàn)?

故:

所以將發(fā)生故障的最近一個(gè)周期中，非故障單機(jī)內(nèi)存中與故障單機(jī)不一致的數(shù)據(jù)發(fā)送給故障單機(jī)，即可使故障單機(jī)獲得恢復(fù).

把一個(gè)N字節(jié)的主存儲(chǔ)器分割成M個(gè)N/M字節(jié)的內(nèi)存塊，并設(shè)立一個(gè)帶有M個(gè)標(biāo)記的標(biāo)記字段，用來記錄每個(gè)內(nèi)存塊在最近一個(gè)控制周期是否被修改，若發(fā)生修改則對(duì)應(yīng)標(biāo)記位被置為“dirty”，如圖5所示.這樣便可以知道發(fā)生故障前一個(gè)控制周期的數(shù)據(jù)變化情況，通過數(shù)據(jù)同步模塊持續(xù)不斷地掃描并同步那些被標(biāo)記為“dirty”的內(nèi)存塊，并把該內(nèi)存塊對(duì)應(yīng)的標(biāo)記位置為“clean”.如果恢復(fù)任務(wù)找不到“dirty”的內(nèi)存塊就判定恢復(fù)過程結(jié)束.

圖5 內(nèi)存塊標(biāo)記映射Fig.5Mapping from memory block to Tags

2.2.2 標(biāo)記內(nèi)存方法的優(yōu)化

對(duì)于控制計(jì)算機(jī)而言，f(n)=f［f(n－1)，xn］是第n個(gè)控制周期的輸出，xn是三機(jī)在第n個(gè)控制周期的采集輸入.內(nèi)存中的數(shù)據(jù)變量可以分為f(n)和xn兩種(即運(yùn)算數(shù)據(jù)和采集數(shù)據(jù))，其中f(n)隨著每個(gè)周期的迭代可能發(fā)生改變且很難預(yù)測(cè)，當(dāng)故障發(fā)生時(shí)需要進(jìn)行及時(shí)同步;xn是每個(gè)控制周期起始的采集任務(wù)進(jìn)行輸入的變量，每個(gè)周期一定發(fā)生改變，由于故障單機(jī)在恢復(fù)期間不需要執(zhí)行常規(guī)的控制任務(wù)，所以不需要對(duì)該部分?jǐn)?shù)據(jù)進(jìn)行恢復(fù)，當(dāng)系統(tǒng)在某一個(gè)控制周期m判定恢復(fù)成功，則在第m+1個(gè)控制周期開始采集輸入xm+1.

統(tǒng)計(jì)內(nèi)存的變化頻率，并根據(jù)結(jié)果重分配，如圖6所示，將變化頻率接近的內(nèi)存塊聚集在一起，并將需要進(jìn)行甄別和恢復(fù)的f(n)和不需要恢復(fù)的xn分開進(jìn)行存儲(chǔ).并且當(dāng)xn部分的內(nèi)存數(shù)據(jù)發(fā)生改變，不修改對(duì)應(yīng)的內(nèi)存塊標(biāo)記.對(duì)于除xn以外每個(gè)周期都會(huì)發(fā)生改變的數(shù)據(jù)則不進(jìn)行內(nèi)存標(biāo)記的判斷，直接傳輸給故障單機(jī).在數(shù)據(jù)同步階段，按照訪問頻率從低到高將被標(biāo)記為“dirty”的內(nèi)存塊依次傳輸給故障單機(jī)，以避免重復(fù)傳輸.

本優(yōu)化方法可以很大程度上減小初始數(shù)據(jù)的長(zhǎng)度和每個(gè)周期的數(shù)據(jù)變化量，從而提高故障數(shù)據(jù)定位的效率.

2.3 數(shù)據(jù)同步

當(dāng)故障單機(jī)被識(shí)別出來且待恢復(fù)數(shù)據(jù)被定位完成后進(jìn)入數(shù)據(jù)同步過程，由于航天器熱備份控制計(jì)算機(jī)不具備共同的仲裁和交互機(jī)構(gòu)，所以需要利用網(wǎng)絡(luò)式的通信協(xié)議建立數(shù)據(jù)同步機(jī)制，使得故障單機(jī)可以正確的接收和處理非故障單機(jī)發(fā)送給它的數(shù)據(jù)和狀態(tài)信息.

圖6 內(nèi)存塊分布的優(yōu)化Fig.6Optimization of memory block distribution

如圖7所示，第一個(gè)階段，故障單機(jī)進(jìn)入數(shù)據(jù)同步過程后，向非故障單機(jī)發(fā)送一個(gè)“ready”信號(hào)，表明自己處于接收狀態(tài)，并停止常規(guī)控制任務(wù)的運(yùn)行以等待非故障單機(jī)傳輸數(shù)據(jù)，非故障單機(jī)進(jìn)入數(shù)據(jù)同步過程后，便進(jìn)入等待狀態(tài)，等待故障單機(jī)發(fā)來的“ready”信號(hào)，收到“ready”信號(hào)后便將數(shù)據(jù)和地址信息打包傳輸給故障單機(jī);第二個(gè)階段，非故障單機(jī)以同步的速率向故障單機(jī)發(fā)送打包數(shù)據(jù)，故障單機(jī)接收數(shù)據(jù)包并存放在相應(yīng)的地址空間中;第三個(gè)階段，若非故障單機(jī)的內(nèi)存塊標(biāo)記字段中不存在標(biāo)記為“dirty”的標(biāo)記時(shí)，便停止向故障單機(jī)發(fā)送數(shù)據(jù)，并發(fā)送“finish”信號(hào)通知故障單機(jī)恢復(fù)過程結(jié)束，故障單機(jī)接收到非故障單機(jī)發(fā)送來的“finish”信號(hào)后，停止接收數(shù)據(jù)并向故障單機(jī)發(fā)送一個(gè)回答信號(hào)，退出恢復(fù)過程，開始繼續(xù)執(zhí)行常規(guī)控制任務(wù)，故障單機(jī)收到應(yīng)答信號(hào)后也結(jié)束恢復(fù)過程.

圖7 數(shù)據(jù)同步Fig.7Re-synchronization of memory data

3 實(shí)驗(yàn)驗(yàn)證

GNCC硬件采用某SPARC架構(gòu)芯，三機(jī)間傳輸速率為115 200 bps;實(shí)驗(yàn)中令GNCC軟件系統(tǒng)在每個(gè)控制周期依次執(zhí)行采集和控制任務(wù)、三機(jī)交換任務(wù)及恢復(fù)任務(wù);實(shí)驗(yàn)型號(hào)計(jì)算機(jī)上設(shè)立任務(wù)周期設(shè)為600 ms，任務(wù)空閑時(shí)間為50%，平均每個(gè)控制周期采集輸入數(shù)據(jù)約占高頻變化數(shù)據(jù)的50%，從植入故障的周期開始計(jì)數(shù).

首先，在系統(tǒng)中開辟64 KB實(shí)驗(yàn)內(nèi)存空間模擬恢復(fù)任務(wù)覆蓋的容錯(cuò)區(qū)域，內(nèi)存塊大小為64 B，開辟1 024 B用于內(nèi)存標(biāo)記字段，并建立同數(shù)據(jù)區(qū)域的映射;其次，改寫采集和控制任務(wù)，分別模擬在實(shí)際任務(wù)中，使用兩種不同的內(nèi)存標(biāo)記方法內(nèi)存的變化情況;最后，在采集和控制任務(wù)中通過軟件方式在某一單機(jī)上注入故障，使其不能正常同步，當(dāng)平均每周期變化數(shù)據(jù)小于傳輸速率時(shí)可以恢復(fù)成功.

從試驗(yàn)數(shù)據(jù)中可以看出優(yōu)化后的方法具有更高的恢復(fù)效率.

在試驗(yàn)對(duì)照組Ⅰ中令:(1)4 KB的內(nèi)存空間每個(gè)控制周期都在發(fā)生改變，(2)16 KB的內(nèi)存空間每4個(gè)控制周期改變一次，(3)其他內(nèi)存空間中抽取16 KB，每8個(gè)控制周期改變一次，實(shí)驗(yàn)數(shù)據(jù)見表1.

表1 實(shí)驗(yàn)對(duì)照組ⅠTab.1Experiment groupⅠ

在實(shí)驗(yàn)對(duì)照組Ⅱ中令:(1)8 KB的內(nèi)存空間每個(gè)控制周期都在發(fā)生改變，(2)8 KB的內(nèi)存空間每4個(gè)控制周期改變一次，(3)其他內(nèi)存空間中抽取8 KB，每8個(gè)控制周期改變一次，實(shí)驗(yàn)數(shù)據(jù)見表2.

表2 實(shí)驗(yàn)對(duì)照組ⅡTab.2Experiment groupⅡ

在實(shí)驗(yàn)對(duì)照組Ⅲ中令:(1)8 KB的內(nèi)存空間每個(gè)控制周期都在發(fā)生改變，(2)4 KB的內(nèi)存空間每4個(gè)控制周期改變一次，(3)其他內(nèi)存空間中抽取8 KB，每8個(gè)控制周期改變一次，實(shí)驗(yàn)數(shù)據(jù)見表3.

表3 實(shí)驗(yàn)對(duì)照組ⅢTab.3Experiment groupⅢ

從表1～3可知，在既定的軟件和硬件條件下，改進(jìn)的內(nèi)存標(biāo)記方法比改進(jìn)前的內(nèi)存標(biāo)記方法有著更精準(zhǔn)的故障定位能力，而且還具備更高效的數(shù)據(jù)傳輸效率，平均可以將恢復(fù)效率提高到3至7倍.

4 結(jié)論

本文提出的改進(jìn)的內(nèi)存標(biāo)記恢復(fù)方法可以在不中斷系統(tǒng)工作的情況下，對(duì)航天器熱備份計(jì)算機(jī)進(jìn)行恢復(fù).恢復(fù)過程通過軟件實(shí)現(xiàn)，不需要增加硬件支持，優(yōu)化后的方法可以大幅度提升恢復(fù)效率.

［1］林來興.1990—2001年航天器制導(dǎo)、導(dǎo)航與控制系統(tǒng)故障分析研究［J］.國際太空，2005(5):9-13.LIN L X.The failure analysis and research of spacecraft control，guide and navigation system during 1990—2001［J］.International Space，2004(5):9-13.

［2］楊孟飛，郭樹玲，孫增圻.航天器控制應(yīng)用的星載計(jì)算機(jī)技術(shù)［J］.航天控制，2005，23(2):69-73.YANG M F，GUO S L，SUN Z Q.On-board computer techniques for spacecraft control［J］.Aerospace Control，2005，23(2):69-73.

［3］YANG M F，LIU B，GONG J，LIU H J et al.Architecture design for reliable and reconfigurable FPGA-based GNC computer for deep space exploration［J］.Science China，2016，59(2):289-300.

［4］陸陽，王強(qiáng)，張本宏，等.計(jì)算機(jī)系統(tǒng)容錯(cuò)技術(shù)研究［J］.計(jì)算機(jī)工程，2010，36(13):230-235.LU Y，WANG Q，ZHANG B H，et al.Research on fault-tolerant technology for computer system［J］.Computer Engineering，2010，36(13):230-235.

［5］DHIRAJ K P，NITIN H V.Roll-forward checkpoint scheme:novelfault-tolerantarchitecture［J］.IEEE Transactions on Computers，1994，43(10):1163-1174.

［6］SCHNEIDERF B.Implementing fault tolerant services using the state machine approach:a tutorial［J］.ACM Computing Surveys，1990，22(4):229-319.

［7］STUART J，ADAMS，TERRY S.A tagged memory technique for recovery from transient errors in fault tolerant systems［C］//The 26thReal-Time Systems Symposium.New York:IEEE，1990.

［8］YU S Y，MCCLUSKEY E J.On-line testing and recovery in TMR systems for real-time applications［C］//Test Conference Proceedings.New York:IEEE，2001.

［9］MOJTABA E，SEYED G M，HOSSEIN A.SCTMR:A scan chain-based error recovery technique for TMR systems in safety-critical applications［C］//DesignAutomation＆Test in Europe Conference＆Exhibition.New York:IEEE，2011.

［10］GUPTA B，RAHIMI S，LIU Z.Low-cost scan-chainbased technique to recover multiple errors in TMR systems［C］//IEEE Transactions on very large scale integration(VLSI)system.New York:IEEE，2013，21 (8):1454-1468.

［11］王振華，張國峰，陳朝暉.交會(huì)對(duì)接GNC軟件的自動(dòng)測(cè)試［J］.空間控制技術(shù)與應(yīng)用，2012，38(5):42-49.WANG Z H，ZHANG G F，CHEN Z H.Automatic test of GNC soflware for spacecraft rendezvous and docking［J］.Aerospace Control and Application，2012，38 (5):42-49.

Forward Recovery Technique of Single Modular Soft-Fault in Hot-Backup Control Computer

DING Zhiyuan，LIU Bo，LIU Chaowei，WANG Jing
(Beijing Institute of Control Engineering，Beijing 100190，China)

Aiming at single modular soft fault of hot-backup spacecraft control computer，a new recovery technique is presented in this paper.Based on the apriori knowledge of spacecraft hot-backup control computer，this algorithm，via tagging and reallocating memory，can make the fault computer in the system stably recover to the status that can output the same data with the non-fault ones.Compared with the traditional recovery technique，the proposed method presents new fault identification and location strategies without any hardware cost.The new algorithm is verified in spacecraft GNCC systems.The results of the experiment show that the new technique can lay good foundation of the recovery technique of spacecraft hot-backup control computer.

roll-forward recovery;soft fault; spacecraft control computer

TP2;TM6

A

1674-1579(2016)06-0047-05

10.3969/j.issn.1674-1579.2016.06.009

丁志遠(yuǎn)(1990—)，男，碩士研究生，研究方向?yàn)槿蒎e(cuò)計(jì)算技術(shù);劉波(1977—)，男，研究員，研究方向?yàn)槿蒎e(cuò)計(jì)算技術(shù)和星載計(jì)算機(jī)體系結(jié)構(gòu);劉超偉(1982—)，男，高級(jí)工程師，研究方向?yàn)槿蒎e(cuò)計(jì)算技術(shù)和集成控制系統(tǒng);王婧(1986—)，女，軟件工程師，容錯(cuò)計(jì)算技術(shù)和嵌入式操作系統(tǒng);王振華(1981—)，男，高級(jí)工程師，研究方向?yàn)楹教烨度胧杰浖夹g(shù).

*國防基礎(chǔ)科研(JCKY2016203B006)資助項(xiàng)目.

2016-09-10