鄧曉彬 譚小野 李廷中 萬(wàn)成安

(北京衛(wèi)星制造廠,北京 100190)

1 引言

空間電源系統(tǒng)作為航天器能量核心,其工作可靠性對(duì)于航天器任務(wù)有效執(zhí)行、宇航員生命安全保證等具有至關(guān)重要的作用。由于航天器運(yùn)行時(shí)間長(zhǎng)(一般為10年左右),運(yùn)行環(huán)境特殊(空間環(huán)境)等因素,在執(zhí)行任務(wù)期間,電源系統(tǒng)不可避免會(huì)發(fā)生故障,因此需要建立在軌故障診斷系統(tǒng),實(shí)現(xiàn)實(shí)時(shí)“故障檢測(cè)、診斷和修復(fù)”(Fault Detection, Isolation and Recovery, FDIR),防止故障傳播、蔓延和災(zāi)難性事故發(fā)生。研究表明,在電子系統(tǒng)中使用自測(cè)試(Built in Test,BIT)技術(shù)可以提高系統(tǒng)診斷能力,并至少可降低50%的維修時(shí)間,從而最終降低設(shè)備的總費(fèi)用[1]。

對(duì)國(guó)內(nèi)外多個(gè)衛(wèi)星平臺(tái)綜合電子設(shè)備、供配電系統(tǒng)的調(diào)研結(jié)果表明:集成化、模塊化、通用化、智能化已經(jīng)成為衛(wèi)星平臺(tái)電子設(shè)備的發(fā)展趨勢(shì)。NASA和ESA 均對(duì)綜合電子技術(shù)(AVIONICS)進(jìn)行了深入的研究,并取得顯著的成果。航天器AVIONICS并不是將不同的分系統(tǒng)單機(jī)簡(jiǎn)單地用電纜連接在一起,而是將全部的接口和電子設(shè)備通過(guò)微處理器和軟件技術(shù)完美整合在一起[2]。航天器通過(guò)設(shè)備的集成完成設(shè)計(jì)功能,設(shè)備按照系統(tǒng)總體劃分分別進(jìn)行研制。日益增長(zhǎng)的集成化、小型化、高性能的需求對(duì)于單元的設(shè)計(jì)和生產(chǎn)提出了巨大的挑戰(zhàn)。

本文在對(duì)FDIR 的方法進(jìn)行研究的基礎(chǔ)上,提出了基于癥候模式匹配的方法。這個(gè)方法基于以下前提,有效的故障隔離算法必須具有在許多故障檢測(cè)數(shù)據(jù)中識(shí)別模式的能力,也就是識(shí)別故障癥候的能力。由典型測(cè)試結(jié)果組成的故障癥候需要與其它設(shè)備或系統(tǒng)的冗余信號(hào)、硬件自測(cè)試結(jié)果和狀態(tài)進(jìn)行比較。應(yīng)用這種方法的算法可以提高目前廣泛應(yīng)用的冗余、故障容錯(cuò)架構(gòu)的相關(guān)性級(jí)別。系統(tǒng)中故障蔓延的癥候?qū)?yīng)唯一的模式,因此這個(gè)方法可以提供故障隔離的性能。這個(gè)方法的另外一個(gè)優(yōu)勢(shì)是判定模式的基礎(chǔ),可以通過(guò)系統(tǒng)中故障的依賴(lài)性追蹤獲得。系統(tǒng)中可以建立一種組件故障與癥候?qū)?yīng)關(guān)系的矩陣。通過(guò)這個(gè)矩陣可以確定癥候模式、排除有歧義的故障條件和冗余的故障檢測(cè)測(cè)試。通過(guò)CAD/CAE 等計(jì)算機(jī)輔助設(shè)計(jì)方法,可以推導(dǎo)出系統(tǒng)中的依賴(lài)性信息。通過(guò)在嵌入式系統(tǒng)中植入模式匹配算法對(duì)于系統(tǒng)的影響很小。它不會(huì)影響系統(tǒng)的成本、體積、重量或者可靠性。本文對(duì)于FDIR 性能的討論包括:1)間歇性故障;2)多態(tài)連續(xù)故障;3)未預(yù)見(jiàn)的癥候。

2 基于癥候模式匹配的FDIR 方法

FDIR 軟件技術(shù)隨著早期模擬控制系統(tǒng)自測(cè)試技術(shù)而逐步發(fā)展。由于模擬技術(shù)的特點(diǎn),模擬自測(cè)試電路對(duì)與功能相關(guān)的一小組信號(hào)進(jìn)行測(cè)試;通過(guò)對(duì)這些信號(hào)的比較,判斷是否有故障發(fā)生。在某些情況下,這種自測(cè)試技術(shù)提供了自動(dòng)重構(gòu)的能力,例如備份設(shè)備或組件的啟動(dòng)等[3]。但是,這些自測(cè)試技術(shù)無(wú)法區(qū)分故障是由于硬件電路的缺陷還是由于傳感器或其它缺陷而產(chǎn)生。此外,特定的單點(diǎn)故障會(huì)導(dǎo)致多個(gè)自測(cè)試功能失效,導(dǎo)致不期望的系統(tǒng)重構(gòu)或者給用戶錯(cuò)誤的提示等[4]。

FDIR 邏輯的典型設(shè)計(jì)過(guò)程是包括系統(tǒng)、電路、軟件等技術(shù)相互關(guān)聯(lián)、相互協(xié)調(diào)的一個(gè)連續(xù)的過(guò)程。對(duì)于模擬自測(cè)試而言,通常情況下FDIR 邏輯的起點(diǎn)是提出對(duì)于功能相關(guān)信號(hào)的分組測(cè)試。對(duì)于這些分組測(cè)試而言,開(kāi)發(fā)相應(yīng)的算法來(lái)對(duì)發(fā)生的故障進(jìn)行隔離、對(duì)于系統(tǒng)進(jìn)行重構(gòu)并且上報(bào)這些問(wèn)題[5]。通常情況下,系統(tǒng)中其它信號(hào)組和額外邏輯均可以提供有用的信息。這些信息對(duì)于提高分組測(cè)試的故障檢測(cè)和隔離準(zhǔn)確度均有好處。此外,不同分組測(cè)試結(jié)果的綜合,可以提供對(duì)于系統(tǒng)中更高級(jí)別故障檢測(cè)和隔離的判據(jù)[6],例如,電能缺失或者其它平臺(tái)功能的失效。除了以上這些優(yōu)點(diǎn)可以提高重構(gòu)和故障信息的準(zhǔn)確性以外,還可以暴露出其它信號(hào)由于測(cè)試限制而沒(méi)有檢測(cè)到的潛在的故障。由于識(shí)別信號(hào)組失效組合的邏輯是基于原有模擬信號(hào)組合邏輯基礎(chǔ)上進(jìn)行附加或增加的原因,允許附加邏輯去否定原有信號(hào)組的結(jié)論或行為就成為了軟件設(shè)計(jì)過(guò)程中的一個(gè)難題。此外,隨著系統(tǒng)變得越來(lái)越復(fù)雜,多通道的冗余和眾多的輸入輸出,導(dǎo)致系統(tǒng)級(jí)的相互影響也變得相當(dāng)復(fù)雜。這些復(fù)雜的相互影響,對(duì)設(shè)計(jì)者識(shí)別影響和充分利用這些影響的邏輯(至少避免產(chǎn)生不期望的行為)的能力和有效時(shí)間提出了挑戰(zhàn)。最后,隨著附加邏輯變得越來(lái)越復(fù)雜,FDIR 軟件對(duì)于計(jì)算資源的占用率也越來(lái)越大,都將直接導(dǎo)致系統(tǒng)成本的升高[7-8]。

基于上述原因,本文提出了一種新的方法——癥候模式匹配FDIR 方法,該方法可以簡(jiǎn)化任務(wù)設(shè)計(jì),提供優(yōu)化的FDIR 性能,并且限制FDIR 對(duì)于計(jì)算資源的過(guò)多利用。

2.1 傳統(tǒng)的FDIR方法

圖1 中描述了傳統(tǒng)的FDIR 方法的典型邏輯流程。它以一組相關(guān)故障檢測(cè)測(cè)試驅(qū)動(dòng)本地隔離邏輯為特征。本地隔離邏輯為典型的邏輯狀態(tài)機(jī)。這個(gè)狀態(tài)機(jī)是組合邏輯,通過(guò)對(duì)于現(xiàn)有的輸入和從前輸入序列產(chǎn)生的歷史邏輯狀態(tài)機(jī)的共同應(yīng)用。本地隔離邏輯的輸出是全局隔離邏輯的輸入。全局邏輯的目的是說(shuō)明本地故障信息的典型組合,全局邏輯本身也是一個(gè)狀態(tài)機(jī)?；诠收细綦x的條件,通過(guò)對(duì)于本地或者全局隔離邏輯的分析,可以得出重構(gòu)和上報(bào)結(jié)果?；谥貥?gòu)和上報(bào)的信息,期望系統(tǒng)可以對(duì)于故障進(jìn)行正確的響應(yīng)。每個(gè)本地隔離邏輯單元接收的輸入,首先為本地自測(cè)試組合的故障檢測(cè)信息,有些時(shí)候來(lái)自其它單元的故障測(cè)試組合。這些流程是以設(shè)計(jì)者預(yù)先的定義為基礎(chǔ)。本地隔離邏輯也可以利用自身此前的狀態(tài)、其他單元隔離邏輯的狀態(tài)和全局隔離邏輯的狀態(tài)[9-16]。

圖1 傳統(tǒng)FDIR 方法流程圖Fig.1 Flow chart of traditional FDIR

2.2 癥候模式匹配方法

與傳統(tǒng)方法相比,圖2 描述了癥候模式匹配方法的概念。

圖2 癥候模式匹配的FDIR 方法Fig.2 FDIR method based on the symptom pattern matching

在圖2 中,傳統(tǒng)方法中的本地和全局隔離邏輯由癥候模式匹配邏輯替代。癥候模式匹配邏輯也是一種狀態(tài)機(jī)。通過(guò)中心邏輯結(jié)構(gòu)替代了傳統(tǒng)方法中不同邏輯元素相互影響的復(fù)雜性。通過(guò)模式匹配表的應(yīng)用,簡(jiǎn)化了癥候匹配邏輯的輸入數(shù)量和邏輯復(fù)雜程度。

圖3 為癥候模式樣例,描述了模式匹配表的概念。它包括故障檢測(cè)結(jié)果組成的模式(癥候),產(chǎn)生這個(gè)模式所需的故障條件。癥候的測(cè)試結(jié)果由邏輯“真”(T)或“假”(F)來(lái)表示。針對(duì)每個(gè)模式對(duì)應(yīng)的故障條件,可能是由于一個(gè)特定組件導(dǎo)致,也可能是由一組組件導(dǎo)致。無(wú)法與輸入相匹配的模式可以標(biāo)記為不曾預(yù)料的故障條件,并且采取穩(wěn)妥的重構(gòu)和相應(yīng)的上報(bào)操作。

圖3 癥候模式樣例Fig.3 Example of symptom pattern

癥候模式匹配為FDIR 處理提供了一個(gè)效率和有效性都很高的簡(jiǎn)化途徑。但是完成模式匹配表所需的分析過(guò)程是隱含的挑戰(zhàn)。對(duì)于一個(gè)簡(jiǎn)單的系統(tǒng)或者系統(tǒng)中的一部分,模式匹配表可以通過(guò)對(duì)于假定故障的檢查過(guò)程和有關(guān)的癥候識(shí)別過(guò)程來(lái)完成。對(duì)于復(fù)雜系統(tǒng),則需要在定義癥候-故障匹配關(guān)系中應(yīng)用更多的系統(tǒng)分析方法。

以下進(jìn)行癥候-故障自測(cè)分析。

圖4 中描述了在一個(gè)簡(jiǎn)單系統(tǒng)中通過(guò)自測(cè)產(chǎn)生癥候與故障匹配關(guān)系的例子。

該系統(tǒng)是一個(gè)雙通道采集系統(tǒng),由雙通道計(jì)算機(jī)和冗余模擬量傳感器組成。兩個(gè)傳感器,A 和B測(cè)量相同的模擬量。通過(guò)計(jì)算機(jī)配備的模數(shù)轉(zhuǎn)換芯片將傳感器測(cè)量的模擬量信號(hào)轉(zhuǎn)化為數(shù)字量。嵌入式軟件可以完成傳感器信號(hào)的采集任務(wù)。每個(gè)傳感器的輸出均傳遞給不同的嵌入式系統(tǒng),由嵌入式系統(tǒng)完成相應(yīng)的模數(shù)轉(zhuǎn)換。這是一個(gè)簡(jiǎn)單的交叉測(cè)量的例子,這種冗余方法存在兩個(gè)好處:1)任何一個(gè)嵌入式系統(tǒng)的完全故障均不會(huì)影響模擬量的采集,另外一個(gè)嵌入式系統(tǒng)會(huì)完成同樣的功能;2)任意的單個(gè)測(cè)量電路故障均可以得到準(zhǔn)確的檢測(cè)、診斷和修復(fù)。

圖4 樣例系統(tǒng)結(jié)構(gòu)圖Fig.4 Structural figure of exam ple system

其中,A 傳感器在A 通道的測(cè)量電路用SC-A來(lái)表示;SC-XB 表示A 通道中對(duì)于B 傳感器的交叉測(cè)量;B 通道中對(duì)于B 傳感器的測(cè)量電路用SC-B來(lái)表示,SC-XA 表示B 通道中對(duì)于A 傳感器的交叉測(cè)量。每個(gè)通道通過(guò)軟件均可完成兩個(gè)傳感器對(duì)應(yīng)模擬量的測(cè)量。簡(jiǎn)化考慮,在分析過(guò)程中假設(shè)嵌入式系統(tǒng)中的嵌入式硬件均采用故障容忍設(shè)計(jì),不考慮嵌入式硬件的故障狀態(tài)。對(duì)于這個(gè)系統(tǒng)而言,共有四個(gè)不同的輸入,分別為A,XA,B,XB。對(duì)應(yīng)共有6 個(gè)可能的比較測(cè)試來(lái)檢測(cè)明顯的偏差,分別為A ≠B,A ≠XB,A ≠XA,B ≠XB,XA ≠XB 和B ≠XA 。如果在兩個(gè)輸入比較過(guò)程中,偏差超出允許的閾值,則測(cè)量過(guò)程中出現(xiàn)了明顯的偏差。如果兩個(gè)傳感器測(cè)量結(jié)果的比較超出允許的閾值,則可認(rèn)為滿足一個(gè)故障條件。故障癥候由6 個(gè)“真”或“假”的邏輯測(cè)試結(jié)果組成。

為了得出癥候-故障匹配表, 考慮A 傳感器在A 通道中的測(cè)量電路SC-A 故障的狀況。假設(shè)故障導(dǎo)致A 傳感器測(cè)量結(jié)果與正確值不同,則檢查A ≠B 為“假”(它們并不相同)。相似的是,與變量A 相關(guān)的全部檢查均為“假”(A ≠XA,B ≠XB)。其它沒(méi)有用到變量A 的測(cè)試全部為“真”(B ≠XB,XA ≠XB,B ≠XA)。同樣的,假設(shè)A 傳感器故障,則變量A 和XA 同樣受到影響,此時(shí)包含A 或者XA(除A≠XA 外)的測(cè)試均為“假”。因此,對(duì)應(yīng)的故障癥候是A ≠B,A ≠XB,XA ≠XB,B ≠XA 全部為“假”,而B(niǎo) ≠XB 和A ≠XA 為“真”。持續(xù)對(duì)B 傳感器和其它測(cè)量電路進(jìn)行檢查,可以完成如圖5 所示的故障癥候表。

圖5 樣例的故障癥候Fig.5 Fault symptom of exam ple

圖5 中的故障癥候檢查可以顯示系統(tǒng)框架故障隔離特性。首先,同樣模式的存在起到警示的作用,無(wú)法區(qū)分一個(gè)模式相聯(lián)系的兩個(gè)故障到底哪個(gè)發(fā)生,只能說(shuō)明存在歧義。傳感器A 和傳感器B 對(duì)應(yīng)的癥候模式就是一個(gè)很明顯的例子。癥候模式完全相同,只能說(shuō)明傳感器A 或者傳感器B 故障,但是無(wú)法說(shuō)明到底哪一個(gè)發(fā)生了故障。如果故障癥候無(wú)法與任何一個(gè)單個(gè)故障模式相匹配,則表示成多個(gè)故障的組合、不曾預(yù)料的故障。在這個(gè)例子中共有64 個(gè)可能的模式,但是表中只列出了6 個(gè)模式對(duì)應(yīng)的故障。除去正常運(yùn)行的狀態(tài),此外還有57 個(gè)不曾預(yù)料的故障模式。

在這個(gè)例子中,對(duì)于癥候-模式匹配表的確定是很簡(jiǎn)單的。但是對(duì)于綜合電子中復(fù)雜結(jié)構(gòu)而言,這個(gè)方法就不是很充分,需要采用系統(tǒng)方法進(jìn)行分析。

2.3 癥候分析的系統(tǒng)方法

對(duì)于復(fù)雜結(jié)構(gòu),系統(tǒng)中故障結(jié)果的蔓延會(huì)影響很多癥候的測(cè)試。對(duì)于許多功能共享的資源而言,它的故障或者擾動(dòng)就尤為明顯。例如供配電設(shè)備、數(shù)據(jù)總線或者多輸入/輸出(I/O)組件。對(duì)于設(shè)計(jì)師而言,這既提供了好處也帶來(lái)了挑戰(zhàn)。好處在于,可以在故障和癥候之間建立牢固的關(guān)聯(lián)。這是癥候匹配方法給FDIR 帶來(lái)的固有性能的提高。挑戰(zhàn)在于復(fù)雜故障蔓延的表述。對(duì)于復(fù)雜故障而言,很難分析其獨(dú)立性,導(dǎo)致潛在的錯(cuò)誤可能性也增加了。為了解決這個(gè)問(wèn)題,判定癥候匹配表需要開(kāi)發(fā)相應(yīng)的系統(tǒng)方法。為了完成這個(gè)任務(wù),FDIR 癥候查表設(shè)計(jì)需要系統(tǒng)級(jí)、整體的考慮。

圖6 是癥候查表設(shè)計(jì)處理中的流程示意。分析處理包含了癥候表的產(chǎn)生和分析輸入的識(shí)別。如圖6 所示,系統(tǒng)處理的第一個(gè)步驟,是對(duì)于設(shè)計(jì)特性的理解和面向FDIR 設(shè)計(jì)的描述以及系統(tǒng)分析的表現(xiàn)等。對(duì)于故障分析而言,信號(hào)經(jīng)過(guò)的路徑、主要部分的信息是所關(guān)心的問(wèn)題。這些重要信息只能從系統(tǒng)架構(gòu)和電路設(shè)計(jì)細(xì)節(jié)中提取。構(gòu)造的特性還包括路徑的終點(diǎn)和故障檢測(cè)的測(cè)試方法。

圖6 癥候查表設(shè)計(jì)處理流程Fig.6 Flow chart of symptom table design

3 結(jié)論

目前國(guó)外航天器綜合電子系統(tǒng)中已經(jīng)廣泛應(yīng)用了FDIR 技術(shù),該方法對(duì)于提高航天器在軌的穩(wěn)定、安全運(yùn)行起到了重要的作用。我國(guó)航天器平臺(tái)設(shè)備目前還主要依賴(lài)于有限的遙測(cè)參數(shù)對(duì)航天器運(yùn)行狀態(tài)進(jìn)行評(píng)估,主要通過(guò)硬件設(shè)備的冗余和可靠性設(shè)計(jì)來(lái)保證在軌安全,與國(guó)外相比差距較大。國(guó)內(nèi)在新型航天器的論證過(guò)程中,也明確提出了對(duì)于綜合電子產(chǎn)品的FDIR 設(shè)計(jì)要求,但距離工程應(yīng)用尚有一定的差距。硬件方面,由于國(guó)內(nèi)尚不能生產(chǎn)適合空間環(huán)境應(yīng)用的處理器等芯片,進(jìn)口的宇航級(jí)處理芯片性能和速度不能滿足實(shí)時(shí)FDIR 的需求;通信及相關(guān)邏輯器件嚴(yán)重依賴(lài)于進(jìn)口產(chǎn)品。軟件方面,目前國(guó)內(nèi)尚無(wú)成熟的嵌入式操作系統(tǒng)和嵌入式實(shí)時(shí)數(shù)據(jù)庫(kù)等基礎(chǔ)軟件作為支撐,而相關(guān)進(jìn)口產(chǎn)品也無(wú)大規(guī)模應(yīng)用。只有相關(guān)軟硬件產(chǎn)品得到較大發(fā)展后,航天器綜合電子FDIR 技術(shù)才能有更好的發(fā)展。

本文提出了基于綜合電子應(yīng)用背景的癥候模式匹配FDIR 方法,與傳統(tǒng)的FDIR 方法相比,這個(gè)方法具有下列優(yōu)點(diǎn):

1)通過(guò)嵌入式軟件的應(yīng)用,可以實(shí)現(xiàn)系統(tǒng)設(shè)計(jì)中固有的潛在故障的檢測(cè)和隔離;

2)效率較高,并且占用計(jì)算資源較少;

3)采用系統(tǒng)級(jí)分析方法,基于硬件結(jié)構(gòu)進(jìn)行分析;

4)嵌入式軟件的邏輯結(jié)構(gòu)簡(jiǎn)單,易于設(shè)計(jì)、測(cè)試和維護(hù)。

針對(duì)新型航天器綜合電子技術(shù)的需求,對(duì)于FIDR 技術(shù)進(jìn)行了廣泛的調(diào)研。通過(guò)對(duì)調(diào)研結(jié)果的分析和整理,結(jié)合我國(guó)國(guó)情,嘗試提出了一種癥候模式匹配方法,該方法對(duì)于提高我國(guó)FDIR 水平和綜合電子技術(shù)均有幫助,為相關(guān)技術(shù)在新型航天器中的應(yīng)用提供了基礎(chǔ),有益于提高我國(guó)新型航天器的可靠性和安全性。

)

[1]萬(wàn)成安,于磊,劉建強(qiáng).航天器直流電源系統(tǒng)穩(wěn)定性分析方法研究[J].航天器工程,2009,18(2):14-19

[2]譚小野.數(shù)據(jù)挖掘在電網(wǎng)安全中的應(yīng)用[J].東北電力技術(shù)[J].2005(8):40-44

[3]鄧曉彬, 譚小野,萬(wàn)成安.信息融合與多Agent 技術(shù)在航天器能源管理系統(tǒng)在軌故障診斷中的應(yīng)用[J].計(jì)算機(jī)測(cè)量與控制,2009(1):22-27

[4]Deng Xiaobin, Tan Xiaoye, Wan Cheng'an.The fransient stability analysis of spacecraft power grid[C]//12th International Space Conference of Pasin-basin Societies, 2009

[5]Newman J S.Failure-Space:a systems engineering look at 50 space system failures[J].Acta Astronautica,2001,48(5-12):517-527

[6]Rogers J S.Object oriented fault diagnosis system for space shuttle main engine redlines[R].N90-27315, 1990

[7]H arrington J B.CLIPS as a know ledge based language[R].N88-16365,1988

[8]Iverson D L, Patterson H F A.A diagnosis system using object oriented fault tree models[R].N90-27313,1990

[9]Marsh C A.The ISA expert system:A prototype system for failure diagnosis on the space station[C]// Proceedings of the First International Conference on Industrial and Engineering Applications of Artificial Intelligence and Expert Systems, University of Tennessee Space Institute, Tullahom s, Tennessee, 1988:60-74

[10]Passani M, Brindle A.Automated diagnosis of attitude control anomalies [C]// Proceedings of the Annual Rocky M ountain Guidance and Control Conference,Keystone, Coloradom, 1986:255-262

[11]Merrill W C, Lorenzo C F.A reusable rocket engine intelligent control[R].AIAA-88-3114,1998

[12]Reiter R.A theory of diagnosis from first principles[J].Artificial Intelligence,1987,32:57-95

[13]Kleer J de, Williams B C.Diagnosing multiple faults[J].Artificial Intelligence,1987,32:97-130

[14]Quilan J R.Induction of Decision Trees[J].Machine Learning, 1986(1):81-106

[15]ZH U H ongwei, Basir O, Karray F.Data fusion for pattern classfication via the dempster-shafer evidence theory systems[J].Man and Cybernetics, 2002, 7(2):2-4

[16]Lee C , Alena R L , Robinson P .Tw o trees-migrating fault trees for real time fault detection on international space station[J].IEEE Computer Applications in Power, 1999, 12(3):19-25