一种三冗余无源独立电流互检断电重启系统及方法

摘要

本发明公开了一种三冗余无源独立电流互检断电重启系统及方法，由三块独立的功能板卡组成，每块板卡包括无源断电重启表决模块、滤波模块、电源模块、电流互检模块和运算模块。本发明通过三冗余的无源断电重启表决模块和电流互检模块，实现单个功能板卡的故障隔离和断电重启，具有一度故障自恢复能力，发生故障的功能板卡在断电后重启，消除闩锁故障，重启后依然正常工作，该断电重启技术可以大大提高单机空间生存能力。

说明书

技术领域

本发明涉及一种三冗余无源独立电流互检断电重启系统及方法，可对三冗余功能板卡单机实现单个功能板卡的断电以及重启。

背景技术

传综控器类的单机以往的实现方案如下：

一种采用无断电重启，依靠软复位，由其他正常单板向故障单板发送脉冲将DSP复位。此方法仅仅可以解决软件故障，对于空间粒子引发的闩锁无法解决。

另一种采用附加电路和供电电源实现单板断电重启。虽然原理上可以实现单板的断电重启，但是由于增加了额外的供电电源和检测断电电路，而增加部分本身对于整机又是单点，所以反而降低了单机的可靠性。

发明内容

本发明的技术解决问题：为克服现有技术的不足，提供一种三冗余无源独立电流互检断电重启系统及方法，具有一度故障自恢复能力，实现单个功能板卡的故障隔离和断电重启。

本发明的技术解决方案：

一种三冗余无源独立电流互检断电重启系统，由三块独立的功能板卡组成，每块板卡包括无源断电重启表决模块、滤波模块、电源模块、电流互检模块和运算模块，

外部输入的一次电源电压经过无源断电重启表决模块，无源断电重启表决模块确定是否给该功能板卡供电，若供电，则滤波模块对外部输入的一次电源电压滤波，经过滤波模块滤波后的一次电源电压进入电源模块，转换为二次电源电压，分别为电流互检模块和运算模块供电；

每个功能板卡的电流互检模块分别检测另外两块功能板卡的二次电源电压，若任意一个被检测的功能板卡的电流异常增大，导致二次电源电压下降，则向相应功能板卡的无源断电重启表决模块发送断电信号，断电信号持续N秒；若相应功能板卡的无源断电重启表决模块同时收到另外两块功能板卡的断电信号，则无源断电重启表决模块将该功能板卡断电；当另外两块功能板卡的断电信号的任意一路撤销时，则相应功能板卡的无源断电重启表决模块为该板卡重新供电；若重新供电后，连续两次检测到该板卡电流异常，则该故障无法通过断电重启恢复，断电信号不撤销。

无源断电重启表决模块包括由常开继电器K1和K2串联组成的表决电路，由常闭继电器K3和K4并联组成的断电重启执行电路，当其中一块功能板卡的表决电路同时收到另外两块功能板卡的断电信号时，则输出信号，控制断电重启执行电路执行断电操作；

当另外两块功能板卡的断电信号的任意一路撤销时，则表决电路的输出信号撤销，则断电重启执行电路执行供电操作。

表决断电信号的另外两块功能板卡在发出断电信号N秒后，则该故障板卡导致电流异常增大的电荷已释放完毕，撤销该功能板卡的断电信号。

电流互检模块包括多路模拟开关电路、A/D转换电路和FPGA控制电路，FPGA控制电路控制多路模拟开关电路分时选通相应的功能板卡，并将相应的二次电源电压信号送至A/D转换电路进行模拟数字转换，将结果送至FPGA控制电路，与预先设定的门限值进行比较判断，若超过门限值，则向对应的功能板卡发送断电信号。

断电信号除由电流互检模块判断二次电源电压异常发出外，还可以由外部上位机直接控制电流互检模块发出断电信号。

一种三冗余无源独立电流互检断电重启方法，具体步骤为：

(1)输入一次电源电压：外部输入的一次电源电压经过无源断电重启表决模块，无源断电重启表决模块确定是否给该功能板卡供电；

(2)二次电源电压供电：若供电，则滤波模块对外部输入的一次电源电压滤波，经过滤波模块滤波后的一次电源电压进入电源模块，转换为二次电源电压，分别为电流互检模块和运算模块供电；

(3)发送断电信号：每个功能板卡的电流互检模块分别检测另外两块功能板卡的二次电源电压，若任意一个被检测的功能板卡的电流异常增大，导致二次电源电压下降，则向相应功能板卡的无源断电重启表决模块发送断电信号，断电信号持续N秒；

(4)无源断电重启表决模块断电：若相应功能板卡的无源断电重启表决模块同时收到另外两块功能板卡的断电信号，则无源断电重启表决模块将该功能板卡断电；

(5)无源断电重启表决模块供电：当另外两块功能板卡的断电信号的任意一路撤销时，则相应功能板卡的无源断电重启表决模块为该板卡重新供电；

(6)若重新供电后，重复执行步骤1～5，连续两次检测到该板卡电流异常，则该故障不再通过断电重启恢复，断电信号不撤销。

本发明与现有技术相比具有如下有益效果：

(1)以往三冗余系统缺乏解决空间闩锁问题的断电自恢复机制，大大的限制了以往三冗余系统在空间的应用。由于重粒子导致CMOS电路击穿，发生闩锁，导致电流增大，此时必须及时采取断电措施，否则会由闩锁过流引起过热现象，波及其他功能板卡，导致整机失效。本发明通过三冗余的无源断电重启表决模块和电流互检模块，实现单个功能板卡的故障隔离和断电重启，具有一度故障自恢复能力，发生故障的功能板卡在断电后重启，消除闩锁故障，重启后依然正常工作，该断电重启技术可以大大提高单机空间生存能力；

(2)本发明由于是闩锁电流互检模块是采用互测机制，每一个单板的过流情况都由另外两个单板同时测量，一方面保证测量电路和被测电路的解耦合，另一方面通过冗余测量保证测量的可靠性，杜绝以往监测执行电路的单点现象导致的多次错误断电和整机的不正常工作。

附图说明

图1为本发明系统示意图；

图2为本发明无源断电重启表决模块导通时示意图；

图3为本发明无源断电重启表决模块断开时示意图；

图4为本发明电流互检模块示意图；

图5为本发明流程图。

具体实施方式

下面结合附图对本发明作进一步详细的描述。

本方案有两部分电路组成：闩锁电流互检模块和无源断电重启表决模块。通过闩锁电流互检模块实时监测三冗余功能板卡的电流变化，及时发现单粒子闩锁现象；然后如果发现某块单板发生过流闩锁，有两块单板同时表决，通过无源断电重启表决模块对故障单板进行断电重启操作。

具体实现方式为：一种三冗余无源独立电流互检断电重启系统，由三块独立的功能板卡组成，如图1所示，每块板卡包括无源断电重启表决模块、滤波模块、电源模块、电流互检模块和运算模块，

外部输入的一次电源电压经过无源断电重启表决模块，无源断电重启表决模块确定是否给该功能板卡供电，若供电，则滤波模块对外部输入的一次电源电压滤波，经过滤波模块滤波后的一次电源电压进入电源模块，转换为二次电源电压，分别为电流互检模块和运算模块供电；

每个功能板卡的电流互检模块分别检测另外两块功能板卡的二次电源电压，若任意一个被检测的功能板卡的电流异常增大，导致二次电源电压下降，则向相应功能板卡的无源断电重启表决模块发送断电信号，断电信号持续N秒；若相应功能板卡的无源断电重启表决模块同时收到另外两块功能板卡的断电信号，则无源断电重启表决模块将该功能板卡断电；当另外两块功能板卡的断电信号的任意一路撤销时，则相应功能板卡的无源断电重启表决模块为该板卡重新供电；若重新供电后，连续两次检测到该板卡电流异常，则该故障无法通过断电重启恢复，断电信号不撤销。

通过实时监测板卡二次电源电压，及时隔离故障，保证板卡运算模块的正常运行。

上述无源断电重启表决模块包括由常开继电器K1和K2串联组成的表决电路，由常闭继电器K3和K4并联组成的断电重启执行电路，当其中一块功能板卡的表决电路同时收到另外两块功能板卡的断电信号时，则输出信号，控制断电重启执行电路执行断电操作；

当另外两块功能板卡的断电信号的任意一路撤销时，则表决电路的输出信号撤销，则断电重启执行电路执行供电操作。

表决断电信号的另外两块功能板卡在发出断电信号N秒后，则该故障板卡导致电流异常增大的电荷已释放完毕，撤销该功能板卡的断电信号。

上述电流互检模块包括多路模拟开关电路、A/D转换电路和FPGA控制电路，FPGA控制电路控制多路模拟开关电路分时选通相应的功能板卡，并将相应的二次电源电压信号送至A/D转换电路进行模拟数字转换，将结果送至FPGA控制电路，与预先设定的门限值进行比较判断，若超过门限值，则向对应的功能板卡发送断电信号。

断电信号除由电流互检模块判断二次电源电压异常发出外，还可以由外部上位机直接控制电流互检模块发出断电信号。为尽量减小空间单粒子效应对综控器工作的影响，提高单机空间粒子环境下的生存能力，该单机应具备上位机监测断电重启功能。当上位机通过总线监测到该单机某个功能板卡出现错误时，可通过总线对该功能板卡对应的无源断电重启表决模块发送断电重启指令。

一种三冗余无源独立电流互检断电重启方法，如图5所示，具体步骤为：

(1)输入一次电源电压：外部输入的一次电源电压经过无源断电重启表决模块，无源断电重启表决模块确定是否给该功能板卡供电；

(2)二次电源电压供电：若供电，则滤波模块对外部输入的一次电源电压滤波，经过滤波模块滤波后的一次电源电压进入电源模块，转换为二次电源电压，分别为电流互检模块和运算模块供电；

(3)发送断电信号：每个功能板卡的电流互检模块分别检测另外两块功能板卡的二次电源电压，若任意一个被检测的功能板卡的电流异常增大，导致二次电源电压下降，则向相应功能板卡的无源断电重启表决模块发送断电信号，断电信号持续N秒；

(4)无源断电重启表决模块断电：若相应功能板卡的无源断电重启表决模块同时收到另外两块功能板卡的断电信号，则无源断电重启表决模块将该功能板卡断电；

(5)无源断电重启表决模块供电：当另外两块功能板卡的断电信号的任意一路撤销时，则相应功能板卡的无源断电重启表决模块为该板卡重新供电；

(6)若重新供电后，重复执行步骤1～5，连续两次检测到该板卡电流异常，则该故障不再通过断电重启恢复，断电信号不撤销。

实施例

以功能板卡3断电流程为例说明，如图2：

当功能板卡1通过闩锁电流互检模块判定功能板卡3故障时，功能板卡1的电流互检模块向功能板卡3的无源断电重启表决模块发送断电信号1(高电平)，此时由于K2未动作，所以K3,K4不会断开；

当功能板卡2通过闩锁电流互检模块判定功能板卡3故障时，功能板卡2的电流互检模块向功能板卡3的无源断电重启表决模块发送断电信号2(高电平)，K2接通，此时若K1已经导通，则K3,K4线圈通电，K3,K4断开，实现功能板卡3包括电源模块在内的整板断电，此时无源断电重启表决模块如图3所示。

重启流程，如图3：

当功能板卡1的电流互检模块向功能板卡3的无源断电重启表决模块撤销断电信号1(低电平)，此时K1断开，此时不管K2是否动作，K3,K4线圈断电，K3,K4接通，实现功能板卡3包括电源模块在内的整板上电

功能板卡2同理。

每块功能板卡能够测试另外两块功能板卡电源的工作状况，一、二、三块功能板卡对应的主电源分别是VCC1和VCC2、VCC3。

功能板卡1对VCC2、VCC3电压进行测试；功能板卡2对VCC1、VCC3电压进行测试；功能板卡3对VCC1、VCC2电压进行测试，测试电路示意图如图4，包括多路模拟开关电路、A/D转换电路和FPGA控制电路，FPGA控制电路控制多路模拟开关电路分时选通相应的功能板卡，并将相应的二次电源电压信号送至A/D转换电路进行模拟数字转换，将结果送至FPGA控制电路，与预先设定的门限值进行比较判断，若超过门限值，则向对应的功能板卡发送断电信号。具体的，当检测到二次电源电压掉电，即认为是发生闩锁过流，可以向相应的无源断电重启表决模块发送断电信号。

本发明说明书中未作详细描述的内容属于本领域专业技术人员的公知技术。