楊永常，趙 蔚，蔣彥超，徐 榮

(上海宇航系統(tǒng)工程研究所,上海201109)

1 引言

隨著航天技術(shù)的發(fā)展,復(fù)雜空間機構(gòu)產(chǎn)品在航天領(lǐng)域應(yīng)用得越來越廣泛,如航天器大型太陽電池翼、對接機構(gòu)以及機械臂等,且它們往往為航天器上的關(guān)鍵設(shè)備［1］。復(fù)雜空間機構(gòu)的運行出現(xiàn)急停、誤動作等故障可能會造成航天器機械損傷,甚至?xí)斐烧魅蝿?wù)失敗等災(zāi)難性后果［2］。在外太空環(huán)境中,空間機構(gòu)控制系統(tǒng)CPU模塊中的處理器(如DSP)、程序存儲器(ROM)以及數(shù)據(jù)存儲器(RAM)等受到空間環(huán)境的影響,發(fā)生電離總劑量［3］、位移損傷效應(yīng)［4］以及單粒子效應(yīng)［5］等導(dǎo)致元器件失效,致使控制系統(tǒng)運行中斷而最終導(dǎo)致所驅(qū)動機構(gòu)急停,或致使控制系統(tǒng)運行錯誤而最終導(dǎo)致機構(gòu)產(chǎn)生誤動作。

現(xiàn)今,空間機構(gòu)控制系統(tǒng)常見的冗余模式為雙機備份［6］,包含：雙機冷備份、雙機熱備份、雙機溫備份以及雙機雙工等實現(xiàn)架構(gòu)。相對于單機非冗余形式,雙機冗余的可靠性有很大提高,但由于其依賴主、備份切換實現(xiàn)冗余,用于復(fù)雜空間機構(gòu)控制系統(tǒng)仍存在以下不足：

1)無論軟切換還是硬件切換,切換的判別和切換過程均需要一定時間,需要中斷系統(tǒng)運行,實時性不高。而復(fù)雜空間機構(gòu)產(chǎn)品在運行時,需保證系統(tǒng)工作的連續(xù)性和穩(wěn)定性；

2)對于雙機備份系統(tǒng),班機工作時如出現(xiàn)元器件失效,往往會輸出錯誤的控制信號,最終導(dǎo)致機構(gòu)產(chǎn)生誤動作；

3)配置繼電器等硬件切換電路的雙機備份系統(tǒng),切換電路是一個薄弱環(huán)節(jié),其故障往往導(dǎo)致電路系統(tǒng)冗余失控,甚至危及整個電路系統(tǒng)。

傳統(tǒng)雙機備份的架構(gòu)適用于對系統(tǒng)可靠性有一定要求、但對系統(tǒng)連續(xù)執(zhí)行能力要求不高的電氣系統(tǒng)［7］,而大型太陽電池翼、對接機構(gòu)以及機械臂等復(fù)雜空間機構(gòu),對系統(tǒng)運行的實時性、連續(xù)性和平穩(wěn)性要求都非常高,須在系統(tǒng)設(shè)計上采取相應(yīng)措施來保證系統(tǒng)具有高可靠的連續(xù)、正確運行能力。為滿足復(fù)雜空間機構(gòu)對控制系統(tǒng)的無中斷、無錯誤運行要求,本文提出一種采用三機熱備份的控制系統(tǒng)方案,并對方案的架構(gòu)原理、信息流、冗余設(shè)計及可靠性設(shè)計指標(biāo)等進(jìn)行設(shè)計與分析。

2 方案設(shè)計

三機熱備份控制系統(tǒng)設(shè)計的關(guān)鍵在于如何使控制系統(tǒng)自主、及時發(fā)現(xiàn)并定位故障,從而剔除故障,以實現(xiàn)實時輸出正確的控制信號。為實現(xiàn)上述目的,本文提出了一種以“三取二”仲裁表決為核心的設(shè)計方案,即三個CPU模塊同時運行,實時將三機運行結(jié)果進(jìn)行“三取二”仲裁表決,以及時發(fā)現(xiàn)錯誤數(shù)據(jù)并確認(rèn)故障模塊。根據(jù)復(fù)雜空間機構(gòu)所含的執(zhí)行機構(gòu)類型不同,機構(gòu)所需的控制、驅(qū)動信號可以分為模擬量和數(shù)字量兩種。雖然模擬量參數(shù)可以通過模數(shù)轉(zhuǎn)換電路轉(zhuǎn)換為數(shù)字量,但由于模擬量參數(shù)為有一定誤差范圍的區(qū)間值,而不是某一固定的數(shù)據(jù)值,所以難以實現(xiàn)“三取二”仲裁表決。而且,由模擬量轉(zhuǎn)換為數(shù)字量會導(dǎo)致數(shù)據(jù)量增大。

綜上所述,當(dāng)控制系統(tǒng)處理及輸出的控制信號為較少數(shù)字量信號時,考慮將三機同時運行且將三機所有運行結(jié)果進(jìn)行“三取二”仲裁表決,將表決結(jié)果作為控制輸出,此種方案的控制系統(tǒng)可以自動容忍故障錯誤數(shù)據(jù),此類系統(tǒng)為三機容錯模式架構(gòu)的控制系統(tǒng)。當(dāng)控制系統(tǒng)所處理及輸出的控制信號為模擬量信號或數(shù)據(jù)量較大時,考慮將三機備份系統(tǒng)設(shè)計為三機同時運行,但僅其中一機作為當(dāng)班機進(jìn)行控制輸出,三機交換關(guān)鍵數(shù)據(jù)進(jìn)行“三取二”仲裁表決,將表決結(jié)果作為判斷當(dāng)班機是否正常工作的依據(jù)。此種方案的控制系統(tǒng)可以及時發(fā)現(xiàn)故障,實現(xiàn)無縫軟切換,此類系統(tǒng)為三機冗余模式架構(gòu)的控制系統(tǒng)。

2.1 三機容錯模式架構(gòu)控制系統(tǒng)

2.1.1 架構(gòu)原理

控制系統(tǒng)三個CPU模塊電路上相互獨立,邏輯上相互平等。在工作時三個CPU模塊均運行,三機同步措施可采用任務(wù)同步方式。三機運行結(jié)果均送入表決器中,表決器通過“三取二”的仲裁表決方式,將結(jié)果分別送往串并聯(lián)的OC門電路進(jìn)行數(shù)據(jù)整合輸出。需下傳到地面進(jìn)行監(jiān)控的三機遙測數(shù)據(jù)分別被送入兩個遙測下傳通道,每個遙測下傳通道分別將三機遙測數(shù)據(jù)進(jìn)行輪流下傳。三機容錯模式架構(gòu)原理見圖1。

此種架構(gòu)模式的控制系統(tǒng)如出現(xiàn)某一CPU模塊故障輸出錯誤數(shù)據(jù),系統(tǒng)通過仲裁模塊對接收到的三機運算結(jié)果進(jìn)行“三取二”表決,屏蔽故障CPU模塊輸出的錯誤結(jié)果。通過仲裁模塊表決,可保證即使某一CPU模塊出現(xiàn)故障,系統(tǒng)也可以正確、連續(xù)運行。當(dāng)某一仲裁模塊故障輸出錯誤結(jié)果時,采用串并聯(lián)形式的OC門控制信號輸出電路屏蔽故障仲裁模塊輸出的錯誤數(shù)據(jù)。OC門輸出模塊由于采用串并聯(lián)設(shè)計,可自動容忍、屏蔽自身故障。

2.1.2 信息流

三機容錯模式架構(gòu)的控制系統(tǒng)以自檢測、地面判別、三機結(jié)果比對等方式作為系統(tǒng)降級與重構(gòu)、升級與恢復(fù)的依據(jù),控制系統(tǒng)的降級與重構(gòu)、升級與恢復(fù)均由地面監(jiān)控人員決策后,通過發(fā)送遙控指令實現(xiàn)。如根據(jù)下傳的遙測參數(shù)發(fā)現(xiàn)兩CPU模塊同時出現(xiàn)故障,則由監(jiān)控人員通過發(fā)送遙控指令指定某一正常CPU模塊工作,當(dāng)故障模塊通過重啟等方式恢復(fù)正常工作后,則由監(jiān)控人員決策是否發(fā)送遙控指令恢復(fù)三機工作模式。該架構(gòu)以三機結(jié)果比對作為系統(tǒng)降級與重構(gòu)、升級與恢復(fù)的最重要和最常用的依據(jù),流程設(shè)計為：首先四個仲裁表決模塊分別對三機運算結(jié)果進(jìn)行“三取二”表決,然后將各自表決結(jié)果送入串并聯(lián)輸出電路進(jìn)行數(shù)據(jù)整合,最后將整合后的關(guān)鍵數(shù)據(jù)部分回傳至各模塊,作為各模塊判定各自是否出現(xiàn)故障的依據(jù)。該過程的信息流示意如圖2。

2.1.3 冗余設(shè)計

控制系統(tǒng)三路CPU單元、多路仲裁表決輸出單元、串并聯(lián)OC門輸出控制單元以及串并聯(lián)關(guān)鍵數(shù)據(jù)整合單元等整個系統(tǒng)各部分均進(jìn)行熱冗余設(shè)計,系統(tǒng)無單點失效環(huán)節(jié)。當(dāng)某一模塊故障,系統(tǒng)自動屏蔽故障點的錯誤輸出,不需要切換,以保持良好的整機時序工作連續(xù)性。當(dāng)兩模塊同時出現(xiàn)故障,系統(tǒng)切換至健康模塊執(zhí)行,降級為單機工作模式。

2.2 三機冗余模式架構(gòu)控制系統(tǒng)

2.2.1 架構(gòu)原理

控制系統(tǒng)三個CPU模塊在邏輯上相互平等,在工作時均運行,但只有一個CPU模塊作為當(dāng)班機進(jìn)行控制輸出,其余模塊為熱備份工作狀態(tài)。當(dāng)班機接收全部數(shù)據(jù),并進(jìn)行相應(yīng)計算,輸出計算結(jié)果。備份模塊接收來自外部的數(shù)據(jù)及當(dāng)班機的關(guān)鍵數(shù)據(jù),對數(shù)據(jù)進(jìn)行相應(yīng)運算但不進(jìn)行控制輸出,三機同步措施同樣可采用任務(wù)同步方式。架構(gòu)原理示意如圖3。

2.2.2 信息流

控制系統(tǒng)各CPU模塊通過自檢測、“三取二”健康管理措施以及地面判別等方式作為系統(tǒng)降級與重構(gòu)、升級與恢復(fù)的依據(jù)。其中,“三取二”健康管理措施為：三個CPU模塊均設(shè)置仲裁子模塊并各自進(jìn)行運算,通過內(nèi)總線將各自運算的關(guān)鍵數(shù)據(jù)送至另外兩個CPU模塊的仲裁子模塊。當(dāng)某一CPU模塊的仲裁子模塊接收到另外兩CPU模塊數(shù)據(jù)后,與本機運算結(jié)果進(jìn)行“三取二”表決,將表決結(jié)果作為判別本模塊是否出錯的依據(jù)。各模塊通過自檢測、“三取二”等健康管理措施,實時檢測三個CPU模塊是否正常工作,并將結(jié)果送至兩控制輸出接口模塊作為切機依據(jù)。如當(dāng)班機故障,由輸出接口模塊控制,在用戶數(shù)據(jù)采集、處理和輸出的周期內(nèi)平穩(wěn)切換至健康模塊執(zhí)行。出現(xiàn)故障的模塊進(jìn)行離線處理,系統(tǒng)進(jìn)入雙機工作模式,故障模塊恢復(fù)后,重新恢復(fù)三機冗余方式。如果在兩機工作情況下,通過自檢測發(fā)現(xiàn)當(dāng)班機故障,則進(jìn)入單機工作模式,根據(jù)兩故障模塊恢復(fù)情況決定恢復(fù)兩機或三機冗余工作模式。系統(tǒng)信息流示意如圖4。

控制系統(tǒng)控制信號輸出通道為熱冗余備份工作模式,默認(rèn)a通道工作,當(dāng)班通道模塊或三個CPU模塊檢測到當(dāng)班通道故障時,在數(shù)據(jù)處理周期內(nèi)自動切換到另一通道工作,三個CPU模塊分別與兩個通道通信。CPU模塊當(dāng)班機將CPU模塊當(dāng)班機和控制輸出通道選擇情況及輸出的控制信號實時送往兩通道,另外兩機將當(dāng)班機和通道選擇情況分別送往兩通道作為判斷的輔助依據(jù)。兩控制信號輸出通道模塊將三個CPU模塊傳送的當(dāng)班機和通道選擇情況進(jìn)行“三取二”表決,將表決結(jié)果作為確認(rèn)CPU當(dāng)班機和當(dāng)班通信模塊的依據(jù),從而建立本通道與當(dāng)班機的通信。當(dāng)通信模塊最終判定本通信模塊工作正常時,向被控對象輸出有效的心跳信號以及CPU產(chǎn)生的通道選擇標(biāo)志作為判定本通信是否有效的依據(jù)。

系統(tǒng)三個CPU模塊與兩個通信通道之間的通信關(guān)系默認(rèn)為CPU模塊A與控制信號輸出通道a模塊通信。當(dāng)班CPU模塊故障并檢測到下一模塊正常時,按照CPU模塊A—CPU模塊B—CPU模塊C—CPU模塊A……的順序進(jìn)行當(dāng)班機切換。當(dāng)工作的通信通道故障并檢測到另一通道正常時,按照通道a—通道b—通道a……進(jìn)行通信通道的切換。當(dāng)A＼B＼C三個CPU模塊均故障時,系統(tǒng)停止控制相關(guān)工作并通過遙測下傳報CPU故障。當(dāng)a＼b兩個通道均故障時,系統(tǒng)停止控制通道工作并通過遙測下傳報通信故障。三個CPU模塊及雙通信通道工作及通信狀態(tài)關(guān)系如圖5所示。

2.2.3 冗余設(shè)計

控制系統(tǒng)三路CPU模塊單元、多路仲裁表決輸出單元及輸出接口等均進(jìn)行熱冗余設(shè)計,同時由仲裁表決模塊輔助判斷當(dāng)班CPU選擇情況,由心跳信號以及CPU產(chǎn)生的通道選擇標(biāo)志告知被控對象輸出通道的選擇,系統(tǒng)無單點失效環(huán)節(jié)。當(dāng)某一模塊故障,系統(tǒng)自動識別故障并在用戶數(shù)據(jù)采集、處理和輸出的周期內(nèi)平穩(wěn)切換至健康模塊執(zhí)行,以保持較好的整機時序工作連續(xù)性。當(dāng)兩模塊同時出現(xiàn)故障,系統(tǒng)切換至健康模塊執(zhí)行,降級為單機工作模式。

3 可靠性及應(yīng)用驗證

3.1 可靠性比對分析

由于具體設(shè)計細(xì)節(jié)不同會影響可靠性指標(biāo)的計算［8］,本文對可靠性指標(biāo)不進(jìn)行定量分析,僅通過與傳統(tǒng)雙機備份系統(tǒng)的可靠性指標(biāo)進(jìn)行定性比對分析,來驗證三機備份架構(gòu)控制系統(tǒng)的可靠性設(shè)計情況。

前述介紹的幾種兩機備份架構(gòu)的控制系統(tǒng),其基本工作原理類似且其硬件組成同樣可以采用類似的電路實現(xiàn),所以兩機備份的可靠性分析也可以采用相同的模型,兩機備份的控制系統(tǒng)可靠性模型見圖6。

因此,兩機備份情況下,可靠性指標(biāo)為式(1)：

根據(jù)前述分析,三機容錯架構(gòu)控制系統(tǒng)和三機冗余架構(gòu)控制系統(tǒng)的差異主要存在于軟件和信息處理方式中,其系統(tǒng)工作原理類似且硬件組成可以采用類似的電路實現(xiàn),所以其可靠性分析時可采用相同的模型［9］,三機備份可靠性模型見圖7,可靠性指標(biāo)如式(2)。

三機CPU模塊相較于兩機CPU模塊設(shè)計主要多了三機CPU模塊之間的內(nèi)通信總線。假設(shè)當(dāng)三機系統(tǒng)指定某一機工作時,其內(nèi)總線不再參與運算工作。因此,其單機工作模式的可靠性與雙機系統(tǒng)某一機的可靠性一致?？梢娭付▎螜C工作模式下的三機冗余CPU的可靠性要高于雙機冗余CPU的可靠性。另外,三機的仲裁模塊相較于兩機輸出模塊在功能上多出了控制信號、CPU當(dāng)班機參數(shù)以及通道選擇標(biāo)志等信號的“三取二”表決功能,新增功能僅為簡單的邏輯判斷。以信號輸出模塊采用FPGA為例,新增功能僅占用幾百門邏輯單元,相較于現(xiàn)今常用作信號輸出模塊的10萬門量級的FPGA芯片來說,其對可靠性的影響可以忽略。因此,三機仲裁表決模塊與兩機輸出模塊可靠性可假設(shè)為一致。兩種模式下的驅(qū)動電路采用相同的電路形式,則可得式(3)所示不等式：

從分析結(jié)果可以看出,采用三機備份架構(gòu)控制系統(tǒng)的可靠性設(shè)計指標(biāo)要高于采用兩機備份架構(gòu)的控制系統(tǒng)。

3.2 應(yīng)用驗證情況

采用三機容錯模式架構(gòu)的控制系統(tǒng),一個模塊故障時不需要切機等任何動作即可自動屏蔽故障,對所有的控制輸出信號均進(jìn)行仲裁表決和串并聯(lián)整合,可以在輸出前保證了每個控制參數(shù)的正確性。但由于其對所有輸出信號均進(jìn)行仲裁表決和數(shù)據(jù)整合,資源占用量大,且難以實現(xiàn)模擬量參數(shù)的“三取二”表決。因此,三機容錯模式架構(gòu)的控制系統(tǒng)適用于對系統(tǒng)運行平穩(wěn)性、連續(xù)性要求非常高,但驅(qū)動系統(tǒng)輸入僅為少量數(shù)字量的空間機構(gòu)系統(tǒng)。國內(nèi)某型號空間對接機構(gòu)產(chǎn)品采用了此類架構(gòu)的控制系統(tǒng),并已成功通過在軌驗證。

采用三機冗余模式架構(gòu)的控制系統(tǒng),通過自主、實時檢測故障的方式,能夠在檢測到當(dāng)班機出現(xiàn)故障時,由仲裁及輸出接口模塊在用戶數(shù)據(jù)采集、處理和輸出的周期內(nèi)平穩(wěn)切換至健康模塊執(zhí)行。由于同一時間僅有當(dāng)班機的運算結(jié)果作為控制信號輸出,相對于三機容錯模式的控制系統(tǒng),其資源占用少且易于實現(xiàn)輸出模擬量參數(shù)的控制信號。但其僅對關(guān)鍵參數(shù)進(jìn)行“三取二”表決,且軟件實現(xiàn)較為復(fù)雜以及需要軟件切換當(dāng)班機進(jìn)行故障處理等不利因素。因此,三機冗余模式架構(gòu)的控制系統(tǒng)適用于驅(qū)動系統(tǒng)輸入包含較多數(shù)字量或模擬量的復(fù)雜空間機構(gòu)系統(tǒng)。國內(nèi)某型號太陽翼系統(tǒng)采用了此類架構(gòu),且經(jīng)過原理樣機聯(lián)試驗證了方案的可行性。

4 結(jié)論

本文為滿足復(fù)雜空間機構(gòu)對控制系統(tǒng)的無錯誤、無中斷運行要求提出的包括三機容錯和三機冗余兩種架構(gòu)的三機熱備份控制系統(tǒng)方案,經(jīng)定性分析與原理驗證,具有保證系統(tǒng)連續(xù)、無誤運行的優(yōu)點,比傳統(tǒng)雙機冗余系統(tǒng)可靠性更高,更適用于復(fù)雜空間機構(gòu)的控制。