唐 宁,刘智勇,高亚楠,何英姿
(北京控制工程研究所,北京 100190)
基于拜占庭容错体系构架的航天器控制系统测试性设计与分析
唐 宁,刘智勇,高亚楠,何英姿
(北京控制工程研究所,北京 100190)
飞行控制系统作为航天飞行器的关键机载系统,其运行情况直接关系到飞行任务的成败.通过良好的测试性设计,可以提高系统的可靠性和安全性,减少维修人力及其他保障资源,降低寿命周期费用.对拜占庭容错体系结构的航天器控制系统和分层多信号流图模型的测试性设计和建模方法进行了详细的叙述,并对基于拜占庭容错体系结构的航天器控制系统进行了测试性建模,通过测试性建模和分析系统(TMAS软件)验证控制系统测试性设计的正确性和有效性.
飞行控制系统;拜占庭容错系统结构;多信号流图;测试性设计和建模
飞行控制系统作为航天飞行器的关键机载系统,其运行情况直接关系到飞行任务的成败.随着航天技术的发展,飞行控制系统日趋复杂.功能性能的提升伴随着系统结构复杂程度加剧,也必然导致复杂回路的增加和故障模式的增多.受到通道资源和传输速率的限制,飞行器不可能大规模传输遥测数据,而且有时会长时间的工作在非测控区域内,不能进行遥测传输,当系统故障失效时,维护人员仅凭有限的遥测信息很难将故障隔离到具体的模块或回路.因此在系统设计时,必须考虑系统的测试性.在设计初期通常采用基于模型的设计方法,提高系统的测试性.
随着人类探索宇宙的不断深入,世界各航天大国提出了各种创新的概念和方案,其中可重复使用多次返回的航天技术日益成为各国争相追逐的热点.为了实现这种航天技术,必须研制高可靠的控制系统.控制系统设计人员据此开发了基于拜占庭容错体系结构的航天器控制系统,本文在分析控制系统结构和组成的基础上,给出了控制系统测试性设计的分析流程,建立了可测试性设计的模型,最后利用专业软件,进行了可测试性设计的仿真评估.
测试性是一种设计特性,根据国军标GJB 2547A-1995将测试性定义为产品能及时准确地确定其状态(可工作、不可工作或性能下降)并隔离其内部故障的一种设计特性.测试性具有与可靠性、维修性、保障性同等重要地位,是构成系统质量特性的重要组成部分.通过良好的测试性设计,可以提高系统的可靠性、任务成功性和安全性,减少维修人力及其他保障资源,降低寿命周期费用[1].
测试性分析都是根据系统的设备组成、信号流程和工作原理来构建模型,并通过详细的信号关联关系分析,确定功能子模块或设备的故障传播方向和影响范围,由功能子模块到设备再到系统逐步完成系统的测试性分析[2].
测试性模型采用单元模块节点和测试节点来描述其组成单元.单元模块节点代表系统中的LRU(外场可更换单元)或SRU(车间可更换单元),用方框表示;测试节点即系统中添加的测试节点,用圆圈表示.在测试性模型中,单元模块节点与单元模块节点之间、单元模块节点与测试节点通过带有单箭头的连接线(即有向边)两两连接起来,以表示故障或者信号在系统中的传播路径和传播方向,这种传播方向是不可逆的,因此有向边连接的两个节点之间的关系是固定不变的[1].从形式上讲,测试性模型由以下单元组成:
1)有限的单元模块集:Fn={F1,F2,F3,…,Fn};
2)n维的测试节点集:TPn={tp1,tp2,tp3,…,tpn};
3)相互独立的系统信号集:Sn={s1,s2,s3,…,sn};
4)m维的测试集:Tm={t1,t2,t3,…,tm};
5)有限的有向边集:E={eij};元素eij表示有向图中连接节点i和节点j,且由节点i指向节点j的有向边;
6)测试节点tpn的信号集:SP(tpn);
7)系统结构有向图:DG={F,TP,E},有向图的边E表示系统的物理连接.
可以用一个简单的有向图表示上述结构单元,如图1所示.
基于拜占庭容错体系结构的航天器控制系统构成如图2所示.系统共设计有4条总线,分别为3条GNC总线,1条数管总线.GNC控制器A、B、C三机分别设计有1条GNC总线,D机设计有3条GNC总线,分别连接在3条GNC总线上.其中与GNC系统相关的敏感器、执行机构和接口装置分别连接在3条GNC总线上.GNC控制器A、B、C三机分别控制1条GNC总线,D机负责在故障情况下对GNC总线进行统一调整.数管总线负责遥测数据、数管指令和注入数据的传输.正常情况下,GNC控制器A、B、C三机作为3条GNC总线的BC端, D机工作在MT模式,故障情况下,可作为任一条GNC总线的BC端,各敏感器、执行机构和接口装置作为GNC总线的RT端.数管计算机作为数管总线的BC端,GNC控制器A、B、D机作为数管总线的RT端.
目前比较流行的航天器主要采用基于内部1553B总线的控制系统体系结构.系统的基本组成如下:两条外部1553B总线(其中一条是备份)连接控制计算机与星上数据管理系统(OBDH,on board data handling).两条内部1553B总线(其中一条为备份),连接控制计算机与控制系统各组成部件,包括各敏感器、各执行机构.控制计算机由应急控制器和AOCC组成.AOCC为内1553B总线的总线控制器(BC,bus controller),控制系统其它部件是内总线的远程单元(RT,remote terminal),当AOCC发生故障时,容错模块通过切机信号将应急计算机作为当班机,将同AOCC一样完成系统正常功能所要求的操作[3].系统结构如图3所示.
根据测试性模型设计方法,在基于拜占庭容错体系结构的GNC控制器的A、B、C、D机中分别设置
一个测试节点,惯性测量单元设置一个测试节点,星敏感器设置一个测试节点,伺服子系统设置一个测试节点,具体见图2.在基于1553B总线体系的GNC控制器的应急线路和AOCC中分别设置一个测试节点,惯性测量单元设置一个测试节点,星敏感器设置一个测试节点,伺服子系统设置一个测试节点,具体见图3.
根据测点与故障传递关系,可建立该系统的故障-测试相关矩阵,D矩阵可表示为
表1 两种体系结构的航天器控制系统的故障-测试相关矩阵对比Tab.1 The compare of two architecture control systems on D matrix
通过观察,基于拜占庭体系的航天控制器相对于基于主备冗余的1553B总线体系的航天控制器输出的D矩阵中测点和部件之间的相关关系更强,在考虑“一重故障”的情况下,任一部件故障,都至少有4个检测点可以检出,而对于基于主备冗余的1553B总线体系的控制器而言,任一部件故障,都只有2个检测点可以检出,通过TMAS输出的D矩阵中测点和部件之间的相关关系,与实际系统分析所得结果是一致的,验证了系统模型建立的正确性,基于拜占庭体系航天控制器的测试性设计能极大提高系统的故障检测率.
根据前面介绍的测试性分析流程与测试性模型设计方法和控制系统的组成框图,对该控制系统进行测试性设计建模与分析.
为了展现单元与测试之间的关系,本文设计了控制系统的多信号流图的层次化图形模型,此图形形式具有表达直观、便于理解的优点,可以比较清楚的表明被测对象的各个测试点与各个组成单元之间的逻辑关系.
6.1多信号流图的层次化图形模型的设计方法
根据系统的功能和结构分析,基于拜占庭容错体系结构的航天器控制系统自顶向下可分为系统级、子系统级(单机)和模块级(功能子电路级)3个层次.具体结构层次划分见图4.
当系统发生某种故障时,系统相关层级就会表现出某种与之对应的征兆,较低层级表现为某些结构单元失效或损坏,较高层级则表现为某些组件功能失常、性能下降,或各功能组件运转不协调等,低层级子故障总是其高层级父故障的特例,高层级父故障则是其低层级子故障的概括.故障诊断推理是按照自顶向下的原则先隔离高层级单元再定位低层级单元,故障最终定位到可更换的模块,维修时利用备份的子模块直接替换可能发生故障的单元.
6.2控制系统测试性模型设计
测试性建模与分析系统(testability modeling and analysis system,TMAS),是由北京航空航天大学可靠性工程研究所,结合多年在测试性领域研究和应用的专业优势,针对当前科研项目及工程型号任务的迫切需求,自主研发了具有自主知识产权的工具软件.
TMAS集测试性建模、测试性分析和诊断推理三大功能于一体,旨在帮助用户在产品或系统设计阶段优化和改进产品或系统的测试性设计和故障诊断方案.TMAS支持用户根据系统结构组成和工作原理,快速地建立符合相关性理论和多信号流图的层次化图形模型.TMAS支持建立标准化的测试性模型,包含系统组成单元、故障模式、故障率、测试点及测试类型、工作模式和系统配置等测试性信息.TMAS支持对测试性模型进行测试性分析输出测试性分析报告,报告涵盖相关性矩阵、测试性指标、诊断树等测试性信息.用户可根据测试性分析结果指导和优化产品或系统的测试性设计,以提高系统的测试性设计水平.
现以基于拜占庭容错体系结构的航天器控制系统为例,利用TMAS软件基于多信号流图的层次化图形模型的设计方法进行可测试性仿真评估.控制系统主要由GNC控制器(GNCC)、惯性测量单元(IMU)、星敏感器(STS)和伺服子系统(SS)组成.图5为以控制器的电源模块为例的模块级多信号流图模型.
6.3控制系统测试性评估
根据建立的分层多信号模型,对基于拜占庭体系的航天控制系统进行分析.正常情况下GNCC的A、B、C 3个单机每条单机控制一条GNC总线,通过数据交换比对使每个单机均获得3条GNC总线的部件健康数据, D机具有3个1553B控制器作为MT分别与3条控制总线相连,作为备份.当A、B、C 3个单机GNC总线状态故障情况下,D机挂在相应总线上的1553B控制器被配置为BC,代替故障单机接替相应GNC总线控制权.从拜占庭体系控制器的使用策略可以看出,在GNC控制器的A、B、C 3个单机分别设置一个检测点,即可检测出总线上所有部件的故障情况.按照上述原则设置了6个检测点,分别为GNC控制器的A机检测点,GNC控制器的B机检测点,GNC控制器的C机检测点,惯性测量单元检测点,星敏感器检测点和伺服子系统检测点,利用TMAS软件针对该系统进行测试性分析,在此6个测点的模型中,故障检测率为90.4%,故障隔离率为68.34%,显然不能满足诊断和隔离要求,必须对其进行测试性改进设计.故障检测率低,说明有效测点的数量较少,需要在适当的位置增加测点,提高检测率.故障隔离率较低,说明控制器中有单机故障,其所控总线上部件的健康数据无法获得,而引起故障无法隔离,因此在控制器的D机再设置一个测点,保证在控制器中的某个单机故障,依然可以得到相应总线上部件的健康数据.通过TMAS软件针对该7个测点的系统进行测试性分析,可知该系统的故障检测率为99.8%,故障隔离率为78.6%,各项指标得到了极大的改善,大大提高了系统的诊断能力.表2为该系统改进设计后的测试性仿真分析结果.
序号参数名称值1故障检测率99.8%2故障隔离率78.6%3诊断树测试数量104未使用的测试及数量425平均模糊度2.6666676诊断平均测试步骤数4.0909097模糊组总数68诊断树节点数219诊断树叶节点数1110系统MTBF603883.458277203
测试性设计与分析是一门新兴学科,目前正逐步推广到航天领域,以测试性为主的诊断、预测与健康管理技术将极大的提高航天器的保障能力,确保航天任务的顺利完成.
本文介绍了系统测试性的定义与分析流程,重点叙述了分层多信号图形化测试性模型的设计方法,以基于拜占庭容错体系结构航天器控制系统测试性建模为例,利用TMAS专业软件,对该系统进行了定量的测试性评价,验证了该系统测试性设计的有效性.
[1] 石君友. 测试性设计分析与验证[M]. 长沙: 国防工业出版社, 2011.
[2] 黄成, 禚辉, 车梦虎. 基于TEAMS和IETM的武器控制系统故障诊断与维修设备的设计[J]. 计算机测量与控制, 2014, 22(7): 2131-04.
HUANG C, ZHUO H, CHE M. Design of weapon control system’s fault diagnosis and maintenance equipment based on TEAMS and IETM[J]. Computer Measurement and Control, 2014, 22(7): 2131-04.
[3] 王海博, 袁利. 基于内部1553B总线的航天器控制系统可测试性框架设计与验证[J]. 空间控制技术与应用, 2014, 40(2): 26-31.
WANG H B, YUAN L. Frame design and verification of DFT technique for control system of spacecraft based on 1553B bus architecture[J]. Aerospace Control and Application, 2014, 40(2): 26-31.
[4] 张强, 胡骏, 胡政, 等. 基于多信号模型的航天器供电系统测试性建模与分析[J]. 载人航天, 2012, 18(6): 39-47.
ZHANG Q, HU J, HU Z, et al. Testability modeling and analysis of spacecraft power supply system based on multi-signal flow diagram[J]. Manned Spaceflight, 2012, 18(6): 39-47.
[5] 高亚楠, 贾英民, 蔺玥. 基于数据总线的故障容错体系结构的仿真研究[J]. 计算机仿真, 2014(5): 17-23.
GAO Y N, JIA Y M, LIN Y. Simulation study on data bus based fault-tolerant architecture[J]. Compurter Simulation, 2014(5): 17-23.
DesignandAnalysisofDFTofSpacecraftControlSystemBasedonByzantineFaultTolerantArchitecture
TANG Ning, LIU Zhiyong, GAO Yanan, HE Yingzi
(BeijingInstituteofControlEngineering,Beijing100190,China)
Flight control system is a very important part of the spacecraft on-board systems. Good design for testability (DFT) of flight control system can improve the system reliability and security, and reduce manufacturing cost. The methods of DFT of flight control system and multi-signal flow graph model are introduced in detail. Then, based on Byzantine fault tolerant architecture, the verification of DFT of flight control system is demonstrated via software TMAS (testability modeling and analysis system).
flight control system;Byzantine fault tolerant architecture;multi-signal flow graph model; design for testability and modeling
2016-09-27
TP391.9
A
1674-1579(2017)05-0055-06
10.3969/j.issn.1674-1579.2017.05.009
唐宁(1977—),男,高级工程师,研究方向为航天器系统集成与技术设计;刘智勇(1984—),男,工程师,研究方向为航天器姿态与轨道控制;高亚楠(1977—),男,研究员,研究方向为GNC系统级总体设计;何英姿(1970—),女,研究员,研究方向为复杂航天器高精度高稳定度姿态控制技术和空天飞行器GNC技术等.