三余度舵机控制器可靠性设计

倪笑宇，徐 军，梁建明，张兰娣，颜景润

(1.河北建筑工程学院，张家口 075000；2.北京理工大学，北京 100081)



三余度舵机控制器可靠性设计

倪笑宇1，徐 军2，梁建明1，张兰娣1，颜景润1

(1.河北建筑工程学院，张家口 075000；2.北京理工大学，北京 100081)

为了提高飞行器舵机系统的可靠性，提出一种三余度舵机控制器的设计方案，介绍了舵机控制器的工作原理和功能结构。在此基础上，详细研究了三余度控制器的余度管理、信号表决与故障监控。通过分析与实验，控制器工作稳定可靠。

舵机控制器；三余度；信号表决；故障监控；可靠性

0 引 言

舵机系统作为飞行器的重要执行部件，其可靠性直接影响到整个飞行器的安全。余度技术在提高安全可靠性方面发挥着非常重要的作用。传统的舵机控制器多采用单余度或是双余度设计，无法进一步满足高可靠性要求。而四余度设计的体积、重量、成本又大为提高，因此本文设计了一种三余度舵机控制器，并对其可靠性进行了深入研究。

1 舵机控制器的工作原理

舵机控制器主要实现舵机的控制和舵机系统的故障监控，同时根据自身故障信息可切换飞行模式。如图1所示，舵机控制器是连接飞控计算机(以下简称FCC)、驾驶杆、舵机三者之间的重要控制部件，可以通过ARINC 429总线与FCC交互，接收参数信号，同时接收驾驶杆的指令信号，把指令信号与参数信号整形处理，控制舵机工作。还能够采集舵机上的传感器信号，实现闭环控制。对相关信号监控，进行余度管理、故障隔离，同时上报FCC自身状态[1]。

图1 舵机控制系统总体结构

2 舵机控制器的功能结构

整个控制系统由四余度的FCC通过429总线和舵机控制器进行通讯，舵机控制器采用三余度方式，内部有三个软硬件完全一致的控制单元，具有可互换性。每个舵机控制器可以控制两个舵机，如图2所示。

图2 整体结构图

舵机控制器每个控制单元主要包括FPGA数字接口模块、DSP电机控制模块、驾驶杆指令处理模块、伺服驱动模块、CPLD故障监控模块、串口维护模块等功能，如图3所示。舵机包括无刷直流电动机、多级齿轮减速机构和旋转变压器等。

图3 单个控制单元结构图

舵机控制器中的FPGA主要完成与FCC的通讯接口，四余度飞控计算机的信号表决，驾驶杆信号的指令处理等；DSP主要完成两个无刷直流电动机的PID控制等；CPLD主要完成三余度控制器的故障监控与故障处理等。

3 余度管理

舵机在航天、航空领域的应用非常广泛，因此对其可靠性和安全性要求不断提高。通常提高可靠性的方法有两种：一是提高降额设计的安全裕度；二是对关键重要环节进行余度设计。第一种方法通常增加了重量和体积，提升效果却有限。第二种方法使用一些巧妙的余度策略，可靠性却能大幅度提高，是航天、航空技术经常采用的办法[2]。本文设计了三余度舵机控制器，并依据余度管理将其分成三种工作模式。

(1)正常模式

舵机控制器的三余度控制单元自我监控信号都正常，三者关键信号经过相互比较，偏差不超过规定范围，FCC没有发出故障信号，此时舵机控制器进入正常模式。采用FCC发来的指令参数进行舵机控制，安全等级最高，执行全任务状态。正常模式是真正意义上的电传操纵，飞机工作在此状态下，飞行品质相对较高。

(2)直接模式

舵机控制器的三余度控制单元如果有一个自身出现故障，或者三者的关键信号经过相互比较，有一个明显偏离另外两个，此时舵机控制器进入直接模式。仍然采用FCC发来的指令参数进行舵机控制，并将故障单元隔离切换。三余度降为两余度，安全等级降低，部分高级功能不能工作，但仍能满足正常飞行任务。

(3)阻尼模式

舵机控制器的三余度控制单元如果有两个自身出现故障，或者三者的关键信号经过相互比较，都各自明显偏离另外两个，或者FCC发出故障信号，此时舵机控制器进入阻尼模式。此模式使用控制单元中FPGA保存的备用参数进行舵机控制，并将两路故障单元隔离切换。安全等级最低，可完成简单飞行，保证安全返航。在阻尼模态下，飞行品质降为最低，无法执行高级功能，但仍可以继续安全飞行和着陆。

综上所述，舵机控制器采用三余度设计，其中每一个控制单元都采用软硬件完全相同的余度技术策略，通过信号表决与故障监控对舵机控制器各种功能状态监控，出现故障后做出故障隔离和切换，保证飞机一次故障后能够降级完成任务，二次故障后能够安全返航[3-4]。

4 信号表决

对多余度系统进行余度管理，需要对关键信号进行表决，设置相应的表决面与表决策略。

在三余度舵机控制器上，本文设置了三个表决面：一是四余度FCC的控制参数的表决；二是驾驶杆指令与控制参数经过处理后的指令信号的表决；三是DSP输出的最终控制信号的表决。三个表决面的设置可以从控制器的前段至后端进行全方位的监控，从而易于查找故障点，并能充分利用余度优势，减小故障隔离后带来的可靠性损失。

每个表决面的表决策略有所不同。对于四余度参数信号表决采用中值选择和平均值选择的组合，即FPGA接收到的四路信号，彼此偏差不超过规定范围并且没有收到FCC报故信号时，那么认为四路信号均有效，取次大值和次小指的平均值输出；如果有一路信号偏离于另外三路信号超出规定范围或者有一路FCC报故时，那么抛弃此路信号，在其余三路信号中取中值信号输出；如果有两路信号偏离于另外两路信号超出规定范围或者有两路FCC报故时，那么抛弃这两路信号，选择剩余两路信号的平均值输出；如果有三路FCC报故时，那么选择剩余的一路信号输出；如果四路信号各自都偏离于彼此超出规定范围或者有四路FCC报故时，那么四路信号都不能使用，选择FPGA内部保存备用参数输出。对于三余度处理后指令信号的表决同样采用中值与平均值的方法。对于最终舵机控制信号的表决，采用母线电流监控的方法，超出规定值将关闭对应的驱动器件MSK4300停止输出，剩余有效信号通过并联二极管的方式进行输出，控制舵机运转。控制信号表决流程如图4所示。

图4 三余度舵机控制器控制信号流程图

5 故障监控机制

舵机控制器的余度管理和信号表决都需要强大的故障监控与处理作支持。

根据可靠性要求，三余度舵机控制器在无故障的情况下，接收驾驶杆指令信号，并对四余度的FCC发来的参数信号进行表决，将指令信号与表决出的参数信号进行指令处理，并将处理后的指令信号进行三余度信号表决，使用表决后的信号对舵机进行控制。如果监测到FCC或者舵机控制器出现故障，则隔离切断相应的控制单元，余度降低，信号采取对应的表决方式，仍能完成正常任务，保证可靠性。

故障监控可以分为自监控和比较监控。设定相应监控原则，根据监控结果进行信号表决、余度管理和故障隔离。对于三余度控制器，可以进行比较完善的监控处理。因此，本设计采用单个控制单元自监控与三个控制单元比较监控相结合的方式。

在硬件方面，对于单个控制单元，需要对各种电源信号、时钟信号、DSP信号、FPGA信号、母线电流信号、FCC总线刷新信号等进行自监控；对于三个控制单元，需要对处理后指令信号一致性、FCC总线参数信号、最终控制信号等进行比较监控。自监控是本控制单元内部各信号与标准规定信号之间进行监控，通过LM339比较器采用线与的方式，如图5所示，需要监控的信号与标准信号通过运放OPA2277进行比较做差，将差值送入到LM339，如果差值超出上下门限值即为故障，输出低电平到CPLD，持续低电平超过规定的时间范围，判定为此信号故障。比较监控是将三个控制单元中的同一种信号送入FPGA内进行比较，按照前文所述的信号表决策略进行监控，将故障信号隔离。

图5 自监控硬件电路

在软件方面，由于三余度舵机控制器已经建立了良好的硬件监控平台，三个CPLD内部软件可以根据外部硬件信息判断故障点与故障形式，从而快速准确地实施故障隔离。编写监控软件需要设计相应的监控原则，判定故障的等级。其中监控原则是要根据监控信号的实际情况来设定，按照国内标准、实际工况、芯片特性等因素设定安全范围，如果超出安全范围并且持续一定时间即可判定为故障，避免出现因电压不稳、环境变化或其他非故障因素造成的频繁误报虚报，提高系统的可操作性。如表1所示，比如对电源电压12 V、5 V、3.3 V和1.8 V的监控，考虑到DSP与FPGA的供电需求，可将1.8 V电压的上下门限值设为1.7 V和1.9 V，考虑到电源特性实验的需要，可将故障信号(低电平)持续时间设置为100 ms，超过可判定为故障。同理，对总线信号的监控，除了有完善的校验方式外，由于总线要承担数据传输的任务，接口芯片需要周期性的刷新数据，因此只需监控接口芯片DEI1016的读引脚即可，根据实际工况要求，FCC应该每12.5 ms向控制器发送一次数据，可将周期限额时间设置为25 ms，一旦任意两组数据信号相差时间超过25 ms，即判定为总线刷新故障。其他监控信号原理相同。通过对各个信号的监控，CPLD内部逻辑将各个信号故障综合判定出故障等级，信号之间是与和或的关系，然后进行余度管理与工作模式切换。故障等级依据故障导致后果的严重程度分为高低两个等级。故障等级低，本控制单元不需要隔离，不需要切换工作模式。故障等级高则需要隔离本控制单元，切换工作模式。

表1 故障监控

6 实验分析

试制三余度舵机控制器验证机，如图6所示。

图6 实验样机

图7 电机性能指标

图8 性能对比图

7 结 语

本文介绍了一种三余度舵机控制器的设计方案，首先分析了舵机控制器的工作原理与功能结构，然后详细研究了三余度控制器的余度管理、信号表决与故障监控。采用三余度设计舵机控制器，虽然系统的故障率较双余度有所提高，但无论是FCC故障还是控制器自身故障，都可通过多数表决与完善的故障监控机制来化解、吸收，带来了高可靠性，简单有效地保证了舵机系统在一次故障下能可靠工作，二次故障下能安全工作。

[1] 张腾，倪笑宇．民机舵机控制系统设计 [J]．机械管理开发，2012，127(3)：14-17.

[2] 李清，吴昊，冯立墨，周海平．三余度机电伺服机构及其故障隔离与重构技术 [J]．微电机，2014，47(12)：40-44.

[3] 黄健，王强．基于FPGA的双余度无刷舵机控制系统的设计[J]．微电机，2014，47(12)：45-55.

[4] 高金源．飞机电传操纵系统与主动控制技术[M]．北京：北京航空航天大学出版社,2005:39-46.

Reliability Design of Triple Redundant Servo Controller

NIXiao-yu1，XUJun2，LIANGJian-ming1，ZHANGLan-di1，YANJing-run1

(1.Hebei Institute of Architecture and Civil Engineering,Zhangjiakou 075000,China; 2.Beijing Institute of Technology,Beijing 100081,China)

In order to improve the reliability of vehicle steering system, a design scheme of the triple redundant servo controller was presented, and the working principle and functional structure of servo controller were introduced. On this basis, the redundancy management, signal voting and fault monitoring about triple redundant controller were studied in detail. Through analysis and experiment, the controller is stable and reliable in work.

servo controller; triplex redundancy; signal voting; fault monitoring; reliability

2015-04-08

河北省高等学校科学技术研究项目(Z2014125)；河北建筑工程学院校级科研基金项目(QN201403)。

TM383.4；TM33

A

1004-7018(2016)01-0024-03

倪笑宇(1984-)，男，硕士研究生，工程师，研究方向为飞行器控制、自动控制、机械电子。