楊岫婷，蘇 磊，權 赫，張嗣鋒，李學鋒

（北京航天自動控制研究所，北京，100854）

0 引 言

運載火箭飛行控制系統(tǒng)通常采用硬件冗余來提高系統(tǒng)的可靠性。文獻[1]指出以長征二號、長征三號為代表的中國老一代運載火箭，控制系統(tǒng)采用硬件冗余及故障吸收式容錯設計。這種方式是以冗余資源為代價換取可靠性，往往增加了硬件成本和系統(tǒng)的復雜性。對于新一代大型運載火箭，控制系統(tǒng)飛行可靠性指標0.998，是目前中國運載火箭中可靠性指標要求最高的。單以冗余設計提高的可靠性是有限的，必須結合重構控制技術提高系統(tǒng)容錯能力，從而提高系統(tǒng)可靠性。

重構控制是由傳統(tǒng)余度控制理論發(fā)展而來。區(qū)別于傳統(tǒng)余度控制，重構控制是一種主動容錯控制技術，即針對系統(tǒng)中的冗余結構，利用部件的冗余特性，通過設計控制算法或策略，來提高系統(tǒng)的容錯能力[2]。將控制策略與硬件冗余進行有機結合，可在不增加系統(tǒng)成本和復雜度基礎上，使得提高系統(tǒng)可靠性成為可能。

新一代大型運載火箭飛行控制系統(tǒng)采用了全新的“雙通道總線+三冗余”智能終端的全數(shù)字分布式系統(tǒng)架構[3]，實現(xiàn)了從模擬控制向數(shù)字式控制的跨越，同時也為實現(xiàn)系統(tǒng)重構提供平臺和條件。本文的研究目標即針對新一代大型運載火箭的冗余架構開展動態(tài)重構技術研究，提出有效的重構策略。

1 運載火箭控制系統(tǒng)冗余架構現(xiàn)狀

1.1 國外現(xiàn)狀

國外主流運載火箭普遍采用總線技術，并通過硬件冗余提高系統(tǒng)可靠性。

阿里安5：控制系統(tǒng)計算機、慣性測量裝置、1553B總線系統(tǒng)等關鍵系統(tǒng)，采取了雙通道主備設計[4]。

德爾它4：采用冗余慣性飛行控制裝置 （Redundant Inertial Flight Control Assembly, RIFCA），通過雙冗余慣性測量組合測量3個軸的角速度和加速度，使用3臺MIL-STD-1750處理機評估信息并進行表決[5]。

宇宙神5：采用容錯慣性導航裝置（Fault Tolerant Inertial Navigation Unit, FTINU），由冗余的慣性測量系統(tǒng)（Inertial Measurement System，IMS）和雙通路飛行控制系統(tǒng)（Flight Control System，F(xiàn)CS）組成，系統(tǒng)設計上多采用雙冗余設計[6]。

Falcon 9：采用三冗余箭機，總線使用了交換式冗余網(wǎng)絡通信架構，采用GPS 加雙慣性測量裝置復合制導[7]。

H-IIA：控制計算機（GCC2）為三冗余結構，慣性測量單元以及伺服機構也為冗余結構；控制系統(tǒng)采用兩條符合MIL-STD-1553B 標準的數(shù)據(jù)總線。一子級的GCC1和二子級的GCC2通過一條1553B總線連接在一起，依靠該總線傳遞數(shù)據(jù)、指令和時序；另一條1553B總線將GCC2與慣性測量單元連接起來，用于姿態(tài)數(shù)據(jù)傳輸[8]。

SLS：全箭主通信鏈路采用多級、三冗余1553B總線方式，部分設備間通信仍采用點對點通信（如RS422）；全箭冗余方式以三冗余（飛控計算機、慣組）、雙冗余（供配電系統(tǒng)）為主；箭上電氣設備采用綜合電子集成化設計和根據(jù)實際需求的分布式設計相結合；采用基于ARINC 653標準的VxWorks653分時分區(qū)實時操作系統(tǒng)（Time and Space Partition Real-time Operation System）作為箭載飛控計算機操作系統(tǒng)[5,9]。

Ariane 6：與Ariane 5類似采用雙冗余架構，采用TTE實時以太網(wǎng)總線作為全箭主干網(wǎng)絡通信數(shù)據(jù)總線[10,11]。

國外運載火箭冗余架構及其可重構性見表1。雙冗余可實現(xiàn)主備切換，但無法實現(xiàn)容錯重構。三冗余具有可重構性，通過多數(shù)表決設計、故障吸收等容錯控制方法，可實現(xiàn)系統(tǒng)故障診斷與重構[12,13]。

表1 國外運載火箭控制系統(tǒng)冗余架構比對Tab.1 Comparative Analysis of International Rocket Multi-modular Degisn

1.2 中國現(xiàn)狀

載人航天工程、探月工程、可靠性工程推動了航天可靠性設計和容錯控制技術的研究。對比長征系列火箭控制系統(tǒng)冗余方案發(fā)展變化，除均采用三冗余箭機外，慣性器件冗余方式及系統(tǒng)通信方式存在差異。

a）老一代運載火箭：長征二號F、長征二號C、長征三號A 3型火箭先后研制了“平臺+慣組主從冗余”[14]、“雙慣組[15]冗余”方案。雙慣組方案采用兩套同構或異構七表慣組，此配置可識別故障，故障隔離則需用內(nèi)部冗余配置的測量軸信息實現(xiàn)自診斷[16]。系統(tǒng)采用點對點直連線的通信方式傳輸開關量和模擬量信號，通過接點冗余和線路冗余保證信號傳輸?shù)目煽啃浴?/p>

b）新一代運載火箭：長征五號、長征七號采用“兩套激光+1套光纖”的三冗余六表慣組，通過“三取二”判別，實現(xiàn)某故障慣組或某故障單表的隔離。此配置可通過對整套慣組信息及單表信息進行表決組合，實現(xiàn)慣組信息重構。長征八號、遠征上面級采用“單套十表”慣組，采用多表斜置實現(xiàn)信息冗余，利用彼此間的投影關系進行故障判別與重構[17]。系統(tǒng)通信采用1553B總線，總線制標準化各智能設備的接口[5]，通過控制計算機（內(nèi)含總線控制器）進行全箭信息綜合。采用高實時性數(shù)據(jù)規(guī)劃和調(diào)度分配、基于總線的箭測和綜合測試技術[18]，實現(xiàn)了全數(shù)字控制。圖1為新一代大型運載火箭控制系統(tǒng)架構示意。

圖1 新一代大型運載火箭控制系統(tǒng)架構示意Fig.1 The Architecture of Large Launch-scale Vehicle Control System

長征運載火箭冗余架構及其可重構性的比對情況見表2。由表2可以看出，新一代運載火箭中，長征七號采用余度總線構成三余度控制系統(tǒng)，簡化了軟硬件實現(xiàn)的復雜度[5]，也具備故障檢測隔離與系統(tǒng)重構的可實現(xiàn)性。以長征五號為代表的“單總線+三冗余”終端控制系統(tǒng)，三冗余總線控制器內(nèi)部設計冗余表決電路，可實現(xiàn)對自身的健康識別與重構，以及對系統(tǒng)架構的重構容錯。兩種總線架構均具有實現(xiàn)系統(tǒng)故障重構的條件，重構控制策略設計是實現(xiàn)的關鍵。

表2 長征運載火箭控制系統(tǒng)冗余架構比對Tab.2 Comparative Analysis of Long March Rocket Multi-modular Degisn

2 重構控制策略研究

2.1 可重構控制方法及應用分析

文獻[19]給出了可重構控制技術發(fā)展產(chǎn)生的偽逆法、特征值配置法、自適應控制方法、控制分配技術等重構方法。其中，控制分配技術隨著研究的深入日益成熟，文獻[20]將控制分配方法應用于重型運載火箭伺服機構故障情況下的重構；文獻[3]研究了多操縱面戰(zhàn)斗機飛行控制系統(tǒng)的重構控制問題；文獻[21]將控制分配算法應用到 X-35B飛機的飛行控制系統(tǒng)設計中。關于冗余重構的文獻極少涉及總線架構重構的研究，本文針對新一代大型運載火箭總線架構，提出基于控制分配的總線架構變結構重構策略。

對于全數(shù)字總線系統(tǒng)，總線控制器不僅執(zhí)行著全系統(tǒng)的數(shù)據(jù)規(guī)劃和調(diào)度分配管理，還負責對總線狀態(tài)及全部通信數(shù)據(jù)進行實時監(jiān)測，所以，總線控制器的容錯重構策略設計是整個控制系統(tǒng)實現(xiàn)動態(tài)重構的關鍵，直接關系到系統(tǒng)架構可重構、總線控制器自身狀態(tài)的實時動態(tài)健康識別與管理的實現(xiàn)。關于總線控制器重構的文獻較少，文獻[22]提出了飛行控制系統(tǒng)三通道容錯硬件設計方法，介紹了模塊實現(xiàn)、模塊間同步及故障監(jiān)控表決設計。但是未包含三通道的重構策略及判別原則，本文對新一代運載火箭的三冗余總線控制器提出表決切換重構策略。

慣組是控制系統(tǒng)的重要設備之一。針對運載火箭飛行中發(fā)生的、與控制系統(tǒng)相關的19例典型故障案例的機理進行剖析，20%的故障原因與慣性設備相關，僅少于電纜網(wǎng)故障。因而，針對慣組的冗余配置方式設置專門的重構策略是系統(tǒng)設計的重點。關于冗余慣組的文獻多為多信息融合方法研究，策略研究偏工程化，文獻相對較少。文獻[16]介紹了七表雙撓性慣組冗余設計及管理方案；文獻[23]針對三正交一斜置慣組提出在工程實踐中正交為主的信息重構策略，并提出雙三正交架構。本文的研究對象是新一代運載火箭的三套三正交六表慣組，在文獻[24]給出的慣組工程應用的三整機重構策略基礎上，提出三機冗余與單機多表相結合的表決重構策略。

2.2 基于控制分配的總線架構重構策略

新一代大型運載火箭總線架構控制鏈路為：總線控制器架構控制指令→控制通道選擇→設備選擇→系統(tǒng)架構實現(xiàn)。對控制通道選擇、設備選擇模塊增加控制分配矩陣，將輸出狀態(tài)結合重構策略進行動態(tài)控制，可實現(xiàn)故障時控制通道、設備的動態(tài)選擇，從而實現(xiàn)系統(tǒng)架構的動態(tài)變結構重構。實現(xiàn)原理如圖2所示。

圖2 基于控制分配的系統(tǒng)架構重構原理Fig.2 The Logic of the System Architecture Reconfigurable Strategies based on Allocation

正常情況下，控制分配模塊采用缺省分配模式，根據(jù)初始定義的分配策略分配控制指令；當控制輸出異常后，控制分配模塊根據(jù)重構策略，更改控制矩陣，實現(xiàn)控制指令的重新分配，保證系統(tǒng)架構的穩(wěn)定性?？刂品峙涔綖?/p>

式中L為系統(tǒng)架構實現(xiàn)；T為通道控制矩陣；R為終端矩陣；1L為T的控制分配矩陣，為n×2階矩陣；2L為R的控制分配矩陣，為n×n階矩陣。

系統(tǒng)架構初始狀態(tài)：

此時，L1、L2簡化為L10、L20，L10＝(10)，1×2階矩陣，L20＝(11…1)，1×n階矩陣。

系統(tǒng)工作過程中，在每個控制周期，L1、L2根據(jù)控制分配的結果實時動態(tài)變化，則控制輸出的系統(tǒng)架構L也實現(xiàn)動態(tài)變結構重構。系統(tǒng)架構重構前后的結構變化如圖3所示。

圖3 系統(tǒng)架構重構Fig.3 The System Architecture Reconfigured

2.3 總線控制器的重構策略

總線控制器采用三冗余熱備份實現(xiàn)系統(tǒng)級冗余容錯控制與故障隔離。主機（BC）進行總線數(shù)據(jù)流的調(diào)度和管理，另外2臺備份機作為總線監(jiān)視器（MT）負責對總線狀態(tài)及全部通信數(shù)據(jù)進行實時監(jiān)測。圖4中，A機作為總線控制器，B、C作為總線監(jiān)視器，A機進行動態(tài)健康識別與管理的信號交互示意圖。B、C作為總線控制器時交互信號同A。

圖4中，三機間交互的信號包括：a）BC權使能信號：A_EN_A、B_EN_A、C_EN_A；b）時鐘使能信號：A_enT、B_enT、C_enT；c）定時“心跳”信號。B、C通過實時監(jiān)聽總線通訊及定時接收A的定時“心跳”信號，同時A機也對本機實時監(jiān)測，三機共同診斷A的工作狀態(tài)，對其進行動態(tài)健康識別，根據(jù)判定結果對A發(fā)出BC權使能信號、時鐘使能信號。

圖4 總線控制器動態(tài)健康識別與管理Fig.4 Dynamic Identification and Redundant Processing of the Bus-controller

對A的健康識別原則如下：

a）A機。

A機作為BC，A機認為本機出錯而發(fā)出切除本機BC的依據(jù)是：A機本機定時“心跳”信號異常；A機監(jiān)測到本機總線通信異常；A機監(jiān)測到本機功能異常。

以上3種異常情況中任意2種同時存在時，發(fā)出切換指令：A_EN_A=0，A_EN_B=1，A_enA=0；

b）B機或C機。

B機或C機作為MT，認為A機出錯而發(fā)出切除A機BC的依據(jù)是：監(jiān)測到A機定時“心跳”信號異常；監(jiān)測到A機總線通信異常；則認為A機故障，進而發(fā)出切換指令：

B機：B_EN_A=0，B_EN_B=1，B_enA=0；

C機：C_EN_A=0，C_EN_B=1，C_enA=0。

依據(jù)上述原則，當前總線控制器被判定為工作異常時，則總線監(jiān)視器通過重構策略對當前總線控制器進行故障隔離，同時在三機優(yōu)先級設置下按順序獲取總線BC控制權，實現(xiàn)總控制器的動態(tài)隔離重構。圖5給出了優(yōu)先級順序為A機→B機→C機的BC控制權重構策略邏輯。

圖5 三冗余總線控制器動態(tài)重構策略Fig.5 The Dynamic Reconfigurable Strategies of the Triple-modular Bus-controller

三冗余總線控制器硬件設計相同，通過設計不同的重構策略，可實現(xiàn)不同的優(yōu)先級順序及BC權交接邏輯。表3給出了一種三冗余控制器的優(yōu)先級鏈及對應BC權的傳遞關系。

表3 總線控制器三機優(yōu)先級及BC權Tab.3 The Priority and BC Right of the Bus-controller

2.4 多源慣組信息重構策略

新一代運載火箭采用三套六表冗余的慣組配置?；诖伺渲茫岢鰬T組三機冗余與單機多表相結合的重構策略：利用多源信息，三套慣組信息均正常時，執(zhí)行三機表決策略；當某慣組信息不完整時，選擇單機多表搭配組合，構成完整觀測矩陣，執(zhí)行單機多表表決策略。通過將多源測量信息進行重組，完成慣組信息重構。

慣組冗余策略邏輯圖如圖6。

圖6 慣組三機冗余+單機多表相結合重構策略Fig.6 The Triple-modular Redundancy Inertial Device and Multi-sensor Data Fusion Reconfigurable Strategies

三機表決過程如下：

a）設1x、2x、3x為同一觀測物理量的三機輸出結果；

c）設定閾值ED，依據(jù)表決原則進行故障診斷：

d）如某機連續(xù)報故障多次，則認為此機發(fā)生了永久故障，將其永久隔離。

表4給出了1種3套慣組三機表決后的輸出結果：當判別本機正常時，輸出本機測試值；當判別出故障機時，將其輸出結果設置為其他兩機的均值。

表4 慣組三機表決后輸出Tab.4 The Result of Triple-modular Inertial Device

單機多表表決策略及過程同三機表決，區(qū)別在于信息源來自不同單機的多表。

3 測試與評估

本文采用故障模擬注入方法[25]，進行各級重構策略的系統(tǒng)驗證。搭建測試平臺，在不改變總線系統(tǒng)各終端的前提下，在系統(tǒng)中串入故障注入測試設備，通過軟件界面進行故障模式配置，實現(xiàn)在總線設備正常通信中實時加入各種故障的功能。測試平臺如圖7所示。

圖7 測試平臺示意Fig.7 The Testing Platform

故障注入測試平臺可模擬總線系統(tǒng)中可能出現(xiàn)的電氣層和鏈路層故障、以及部分協(xié)議層和應用層的故障現(xiàn)象?；诖似脚_，重構策略的系統(tǒng)驗證可通過以下過程實現(xiàn)：

a）模擬總線通道通斷、終端接口通斷、終端通信異常等故障，通過測試總線通信數(shù)據(jù)與設計預期的復合性，驗證系統(tǒng)架構策略的正確性；

b）模擬三冗余總線控制器接口通斷、通信異常、供電異常的故障，通過測試總線控制器數(shù)據(jù)調(diào)配結果、主備切換實現(xiàn)與設計預期的復合性，驗證總線控制器策略的正確性；

c）模擬三冗余慣組接口通斷、通信異常、供電異常的故障，通過測試慣組通信數(shù)據(jù)及冗余表決結果與設計預期的復合性，驗證慣組信息冗余策略的正確性；

d）在策略驗證過程，若結果與預期不符或不正確，則對策略進行優(yōu)化調(diào)整后再驗證，并對系統(tǒng)性能進行驗證效果評估。

驗證方案及流程如圖8所示。部分測試數(shù)據(jù)列于表5、評估結果列于表6。

圖8 系統(tǒng)驗證方案與流程Fig.8 The System Verification Scheme

表5 系統(tǒng)測試數(shù)據(jù)結果Tab.5 The Results of System Test Data

表6 驗證效果評估Tab.6 The Results of Assessment

在故障注入測試平臺上，系統(tǒng)架構重構策略、總線控制器重構策略、慣組信息重構策略得到了驗證，系統(tǒng)驗證評估結果及測試結果均滿足設計預期。

4 結束語

本文針對新一代大型運載火箭“雙通道總線+三冗余”智能終端的全數(shù)字架構，提出基于控制分配技術的可變結構系統(tǒng)架構重構策略、三冗余總線控制器重構策略、慣組三冗余與單機多表相結合的重構策略，通過系統(tǒng)冗余配置結合重構策略，實現(xiàn)了飛行異常狀態(tài)的智能故障識別與動態(tài)重構，有效提升了系統(tǒng)可靠性。新一代大型運載火箭控制系統(tǒng)的全數(shù)字架構，也為智慧控制技術的應用提供平臺。隨著未來運載火箭任務復雜程度的提升，總體、控制、動力等多學科交叉融合的趨勢越來越強，智能技術將引入飛行的各個環(huán)節(jié)，使火箭更加具備自主容錯和故障適應能力。