潘計輝, 張盛兵, 王黨輝

(1.西北工業(yè)大學 計算機學院, 陜西 西安 710072; 2.西安愛生技術集團公司飛控室, 陜西 西安 710065)

余度容錯技術成功地運用到有人機飛控系統(tǒng)中，軍用的戰(zhàn)斗機[1-2]飛控系統(tǒng)的失效概率達到1.0×10-7飛行小時。民航客機B777和A320/A340的利用非相似余度技術對同態(tài)故障進行了有效抑制，飛控系統(tǒng)的失效概率達到1×10-10～1.0×10-9飛行小時[3-4]。無人機的機體小、機艙內(nèi)空間小、載重能力弱，對飛控系統(tǒng)重量體積和功耗的限制較大，有人機飛控系統(tǒng)無法直接應用于無人機中。傳統(tǒng)無人機使用的是無余度飛控計算機，單個通道的故障失效概率一般可以達到1×10-4～1.0×10-3飛行小時[5]，其可靠性要求低于有人駕駛飛機。

高空長航時無人機要求飛行高度高、續(xù)航時間長、戰(zhàn)場環(huán)境復雜，單通道飛控計算機不能滿足高空長航時無人機的高可靠性要求[6]。針對幾種常用的余度結構飛控計算機體系結構進行了可靠性研究，提出了一套滿足高空長航時無人機的雙因子余度飛控計算機新方案，該方案結合通道自監(jiān)控和比較監(jiān)控2個因子判定通道的有效性，半實物仿真試驗，有效提高了飛控機故障覆蓋及故障隔離率，降低了系統(tǒng)的失效概率。針對高空長航時無人機多等級余度飛控系統(tǒng)，提出一種基于核心參數(shù)完整性的通道有效性方法,使主備傳感器以分級余度結構進行冗余，該余度管理方法能有效提高飛控計算機的容錯能力。

1 余度體系結構研究

常用的余度體系結構有主動余度結構；n模冗余結構；比較監(jiān)控結構[6]。為了研究余度結構和可靠性的關系，給出3種余度結構的失效概率函數(shù)。定義：n表示飛控計算機的余度數(shù)目；F表示飛控計算機的不可靠度；r表示單個通道的可靠度；f表示每個通道的不可靠度函數(shù)；c表示通道內(nèi)故障測試覆蓋率。

對3種余度結構進行可靠性研究。

1.1 主動余度結構

主動余度結構中的多個通道并行連接同時運行，一個通道作為輸出通道控制整個系統(tǒng)，其余通道作為備份通道，如圖1所示。若輸出通道自監(jiān)控到本通道失效，則立刻關閉該通道的輸出，同時依據(jù)其他通道有效性和優(yōu)先級重新選取輸出通道，保證系統(tǒng)能夠正常運行。當最后一個備份計算機的通道失效后判定為余度系統(tǒng)失效。

圖1 主動余度邏輯結構

主動余度結構優(yōu)點是通道之間不需要進行復雜的數(shù)據(jù)交換，利用通道內(nèi)自監(jiān)控進行故障檢測，余度管理算法較簡單。主動余度結構中系統(tǒng)的失效概率為：

(1)

其可靠性取決于通道的自監(jiān)控故障測試覆蓋率,系統(tǒng)的失效概率是c的函數(shù)。c是單位時間內(nèi)正確檢測到故障數(shù)與故障總數(shù)之比,在實際工程實現(xiàn)中,通道的自監(jiān)控故障測試覆蓋率c一般都在0.7以下[7]?？梢娭鲃佑喽冉Y構的有效性依賴于通道的故障測試覆蓋率c,當c遠小于1時,該結構難以滿足高可靠的飛行控制系統(tǒng)要求。

1.2 n模冗余結構

n模冗余結構中n個通道互為備份關系,每個表決周期將計算結果送至表決器進行表決,采用少數(shù)服從多數(shù)的原則來確定各通道的有效性,依據(jù)通道的優(yōu)先級和通道有效性輸出通道,如圖2所示。

圖2 n模冗余邏輯結構

當表決的通道數(shù)目n大于2時,通道間的表決結果準確可靠。當只剩2個通道工作時,通過通道的自監(jiān)控進行故障檢測,這時的測試成功率取決于c,其失效概率為:

F=nfn-1r(1-c)+fn

n模冗余結構優(yōu)點是多數(shù)表決結構對通道的自監(jiān)控能力沒有特殊要求。但該結構中通道之間邏輯復雜,通道間需同步運行,需要設置適當?shù)能浖蛴布頉Q器對數(shù)據(jù)進行表決,余度管理方法復雜。并且,所有通道表決數(shù)據(jù)都輸出到表決器,整個系統(tǒng)的工作流會因為表決器的一個單點的失敗而停止,存在單點故障模式,一旦這一共享數(shù)據(jù)結構發(fā)生故障,整個系統(tǒng)將因無法通信而癱瘓。大型有人機中表決器也采用余度結構,以規(guī)避單點故障,該結構較為復雜,成本較高。

1.3 比較監(jiān)控余度結構

比較監(jiān)控余度結構中每個通道內(nèi)有2個計算機,n個通道并行連接同時運行,依據(jù)通道的有效性和優(yōu)先級確定控制通道,如圖3所示。通道的有效性依賴于通道內(nèi)2個計算機計算結果,若2臺計算機的差值超過規(guī)定的閾值,則該通道失效,關閉該通道的輸出,若在該值在閾值范圍內(nèi),視為本通道正常。

圖3 比較監(jiān)控余度邏輯結構

比較監(jiān)控余度的通道某個計算機失效或2個計算機同時失效,則該通道故障。該方法準確可靠,可認為通道的c=1。比較監(jiān)控余度失效概率為:

F=(2fr+f2)n

比較監(jiān)控結構采用通道內(nèi)比較監(jiān)控的方法,使得通道故障覆蓋率可以達到100%。然而,比較監(jiān)控結構每個通道2個計算機,結構復雜、成本高。

1.4 雙因子余度結構

從資源使用率角度講,主動余度結構的控制通道基于通道自監(jiān)控,該方法最簡單;n模冗余結構增加了余度表決器,通道之間互聯(lián)及余度管理方法復雜;比較監(jiān)控余度結構的每個通道內(nèi)2臺計算機,其硬件最復雜?，F(xiàn)役大型有人機的飛控計算機大都采用以上3種余度結構,或者采用3種余度結構的組合。如F-22采用n模冗余結構的三余度電傳系統(tǒng);A320采用比較監(jiān)控余度結構主控計算機;B777主控制計算機系統(tǒng)的每個通道為比較監(jiān)控余度結構和備用替換的主動余度結構的組合,3個通道并行工作又構成n模冗余結構,B777的主控制計算機系統(tǒng)是幾種基本余度結構的典型組合[7-9]。

針對高空長航時無人機飛行控制系統(tǒng)的高可靠性指標要求,提出一種雙因子余度結構。該結構硬件結構與主動余度相似,每個通道內(nèi)置通道故障邏輯,通道間通過交叉通道數(shù)據(jù)鏈路進行數(shù)據(jù)交換,通道結合通道自監(jiān)控和比較監(jiān)控2個因子判定通道的有效性,其三余度結構如圖4所示。與主動余度結構比較雙因子余度結構通過通道間的交叉比較提高了通道故障檢測率,并且規(guī)避了n模冗余結構表決器單點故障的缺陷。

雙因子余度結構將通道故障因子劃分為2類,第1類故障因子為通道內(nèi)部故障因子,可通過自監(jiān)控進行診斷,如中央處理器故障、存儲器故障、供電故障等;第2類為通道輸入輸出接口故障因子,僅通過自監(jiān)控技術難以實現(xiàn)故障的診斷(如通道的輸入接口電路故障和輸入接口電路正常但外部設備通信故障表現(xiàn)形式一致)。

針對這2類故障采用不同的檢測方法,第1類采用自監(jiān)控進行故障診斷;第2類輸入輸出接口采用自監(jiān)控技術結合通道間交叉比較進行故障診斷。首先自監(jiān)控本通道通信狀態(tài)是否正常,若正常則輸入輸出接口有效;若異常則結合其他2個通道通信狀態(tài)進行有效性判斷,若其他2個通道正常,則該通道輸入輸出接口失效;若其他2個通道異常,則認為本通道輸入輸出接口有效,輸入輸出接口有效性邏輯如圖5所示。

圖5 輸入輸出接口有效性邏輯

雙因子余度結構硬件結構與主動余度相似,結構較為簡單,通過交叉比較技術,提高了通道的故障檢測覆蓋率。其失效概率與n模冗余結構相同,并且規(guī)避了n模冗余結構表決器單點故障的缺陷。雙因子余度結構失效概率為:

F=3f2r(1-c)+f3

2 通道有效性方法

2.1 典型通道有效性分析

高空長航時無人機采用多等級余度飛行控制系統(tǒng)結構,如圖6所示。

圖6 多等級余度飛行控制系統(tǒng)示意圖

飛行控制系統(tǒng)傳感器子系統(tǒng)采用部件級的雙余度技術,滿足一次故障安全飛行;飛行控制計算機采用三余度配置,滿足一次故障工作,二次故障可應急飛行;伺服子系統(tǒng)采用氣動冗余。

余度數(shù)目相同但采用不同的余度管理方法,系統(tǒng)的可靠度和容錯能力也會相應不同。典型余度飛控系統(tǒng)的通道有效性方法是通過自監(jiān)控或信號表決相結合的方法對系統(tǒng)余度管理方法進行研究[10-12]。通過對通道的輸入數(shù)據(jù)、輸出數(shù)據(jù)進行交叉比較表決通道的有效性。

以傳感器為例,主傳感器和備份傳感器各自串聯(lián)作為整體并聯(lián)接入飛控計算機?？煽啃越Y構為整機余度結構。其可靠性結構為整機結構,圖7所示。

圖7 傳感器可靠性結構

2.2 基于核心參數(shù)完整性通道有效性方法

針對典型通道有效性方法的瑕疵,提出一種基于核心參數(shù)完整性的通道有效性方法。該方法依靠通道的內(nèi)自監(jiān)控,同時綜合通道接收到的傳感器飛行參數(shù)進行通道的有效性判斷。通道首先進行自監(jiān)控測試,若不通過,則該通道失效;若通過自監(jiān)控測試,若通道核心參數(shù)完整,則通道有效。

核心參數(shù)指影響無人機飛行安全的飛行參數(shù),主要包含:俯仰角、滾轉角、航向角、三軸角速率、經(jīng)緯度、氣壓高度、空速、起降高度、攻角、側滑角。每個飛行參數(shù)可以從主傳感器和備傳感器,如圖8所示,因此飛行核心參數(shù)余度結構為分級余度結構。

2.3 可靠性分析

用R(t)表示產(chǎn)品的可靠度,F(t)表示產(chǎn)品的不可靠度,則有:

R(t)=1-F(t)

故障概率密度函數(shù)f(t)是不可靠度函數(shù)的導數(shù),則有:

即故障概率密度函數(shù):

f(t)=λe-λt(t≥0,λ≥0)

可靠度函數(shù):

R(t)=e-λt

產(chǎn)品平均失效前的工作時間,通常稱為平均故障間隔時間:

n個單元組成的串聯(lián)系統(tǒng),可靠度函數(shù):

n個單元組成的并聯(lián)系統(tǒng),可靠度函數(shù):

以多等級余度飛行控制系統(tǒng)為樣本,傳感器平均無故障時間如表1所示。

表1 傳感器平均無故障時間列表

典型余度飛控系統(tǒng)的通道有效性方法中,主傳感器和備份傳感器各自串聯(lián)作為整體并聯(lián)。表示Msensor表示傳感器平均無故障時間,λhost表示主傳感器組的故障率,λbackup表示備份傳感器組的故障率。

將表1中值代入公式計算,傳感器平均無故障時間為:

采用基于核心參數(shù)完整性通道有效性方法,對飛控計算機通道傳感器接口可靠性計算。

基于核心參數(shù)完整性通道有效性,提高了傳感器子系統(tǒng)的可靠性,同時也提高了飛控機計算機接口的容錯能力。

3 試驗結果與分析

FDR故障檢測率指系統(tǒng)發(fā)生故障的狀況時,通過自監(jiān)控技術正確檢測到的故障數(shù)與實際發(fā)生的故障總數(shù)之比。

其定量數(shù)學模型可表示為:

式中，ND單位時間內(nèi)正確檢測到故障數(shù);NT單位時間內(nèi)實際發(fā)生的故障總數(shù)。

式中，n表示故障模式數(shù);λDi表示第i個被檢測出的故障模式的故障率;λD系統(tǒng)被檢測出的故障模式的總故障數(shù);λi表示第i個故障模式的故障率;λ表示所有故障模式的總故障率。

FIR故障隔離率指系統(tǒng)發(fā)生故障的時,檢測到的故障并且能夠隔離到可更換單元的故障與被檢測到得故障的百分比。

其定量數(shù)學模型可表示為:

式中，λD表示被檢測出的所有故障模式的故障率之和;λL表示可隔離的所有故障模式的故障率之和。

在半實物仿真環(huán)境中采用通道故障注入技術對內(nèi)部和輸入輸出接口2類因子進行故障模擬,對雙因子三余度飛控機進行故障診斷和容錯試驗驗證,以分析雙因子三余度飛控機的故障檢測率和故障隔離率[13]。模擬故障如表2所示,注入故障數(shù)558,檢測出故障558,故障隔離數(shù)510。

對雙因子三余度飛控機和主動余度三余度飛控機進行故障診斷性能進行比較,統(tǒng)計結果如表3所示。試驗表明雙因子三余度飛控機故障覆蓋率達到100%,同時故障隔離率達到91.4%,較主動三余度計算機極大提高。

表2 故障檢測統(tǒng)計表

表3 三余度飛控機故障隔離對照表

4 結 論

針對高空長航時無人機飛行控制系統(tǒng)的高可靠性指標要求,提出了一套雙因子的飛控計算機方案,結構較為簡單,有效提高了通道的故障檢測覆蓋率和故障隔離率。規(guī)避了n模冗余結構表決器單點故障的缺陷,滿足無人機高空長航高可靠、低成本、小體積等要求。

針對高空長航時多等級余度飛控系統(tǒng),提出一種基于核心參數(shù)完整性的通道有效性方法。該方法中主備傳感器可靠性結構由整機余度結構優(yōu)化為分級余度結構。最大限度的提高系統(tǒng)的資源利用率,有效提高飛控計算機的容錯能力,同時也提高了傳感器子系統(tǒng)的可靠性。該方法可以應用于其他多余度飛行控制系統(tǒng)中。