高空长航时无人机飞控机容错技术研究

潘计辉, 张盛兵, 王党辉

(1.西北工业大学 计算机学院, 陕西 西安 710072; 2.西安爱生技术集团公司飞控室, 陕西 西安 710065)

余度容错技术成功地运用到有人机飞控系统中，军用的战斗机[1-2]飞控系统的失效概率达到1.0×10-7飞行小时。民航客机B777和A320/A340的利用非相似余度技术对同态故障进行了有效抑制，飞控系统的失效概率达到1×10-10～1.0×10-9飞行小时[3-4]。无人机的机体小、机舱内空间小、载重能力弱，对飞控系统重量体积和功耗的限制较大，有人机飞控系统无法直接应用于无人机中。传统无人机使用的是无余度飞控计算机，单个通道的故障失效概率一般可以达到1×10-4～1.0×10-3飞行小时[5]，其可靠性要求低于有人驾驶飞机。

高空长航时无人机要求飞行高度高、续航时间长、战场环境复杂，单通道飞控计算机不能满足高空长航时无人机的高可靠性要求[6]。针对几种常用的余度结构飞控计算机体系结构进行了可靠性研究，提出了一套满足高空长航时无人机的双因子余度飞控计算机新方案，该方案结合通道自监控和比较监控2个因子判定通道的有效性，半实物仿真试验，有效提高了飞控机故障覆盖及故障隔离率，降低了系统的失效概率。针对高空长航时无人机多等级余度飞控系统，提出一种基于核心参数完整性的通道有效性方法,使主备传感器以分级余度结构进行冗余，该余度管理方法能有效提高飞控计算机的容错能力。

1 余度体系结构研究

常用的余度体系结构有主动余度结构；n模冗余结构；比较监控结构[6]。为了研究余度结构和可靠性的关系，给出3种余度结构的失效概率函数。定义：n表示飞控计算机的余度数目；F表示飞控计算机的不可靠度；r表示单个通道的可靠度；f表示每个通道的不可靠度函数；c表示通道内故障测试覆盖率。

对3种余度结构进行可靠性研究。

1.1 主动余度结构

主动余度结构中的多个通道并行连接同时运行，一个通道作为输出通道控制整个系统，其余通道作为备份通道，如图1所示。若输出通道自监控到本通道失效，则立刻关闭该通道的输出，同时依据其他通道有效性和优先级重新选取输出通道，保证系统能够正常运行。当最后一个备份计算机的通道失效后判定为余度系统失效。

图1 主动余度逻辑结构

主动余度结构优点是通道之间不需要进行复杂的数据交换，利用通道内自监控进行故障检测，余度管理算法较简单。主动余度结构中系统的失效概率为：

(1)

其可靠性取决于通道的自监控故障测试覆盖率,系统的失效概率是c的函数。c是单位时间内正确检测到故障数与故障总数之比,在实际工程实现中,通道的自监控故障测试覆盖率c一般都在0.7以下[7]。可见主动余度结构的有效性依赖于通道的故障测试覆盖率c,当c远小于1时,该结构难以满足高可靠的飞行控制系统要求。

1.2 n模冗余结构

n模冗余结构中n个通道互为备份关系,每个表决周期将计算结果送至表决器进行表决,采用少数服从多数的原则来确定各通道的有效性,依据通道的优先级和通道有效性输出通道,如图2所示。

图2 n模冗余逻辑结构

当表决的通道数目n大于2时,通道间的表决结果准确可靠。当只剩2个通道工作时,通过通道的自监控进行故障检测,这时的测试成功率取决于c,其失效概率为:

F=nfn-1r(1-c)+fn

n模冗余结构优点是多数表决结构对通道的自监控能力没有特殊要求。但该结构中通道之间逻辑复杂,通道间需同步运行,需要设置适当的软件或硬件表决器对数据进行表决,余度管理方法复杂。并且,所有通道表决数据都输出到表决器,整个系统的工作流会因为表决器的一个单点的失败而停止,存在单点故障模式,一旦这一共享数据结构发生故障,整个系统将因无法通信而瘫痪。大型有人机中表决器也采用余度结构,以规避单点故障,该结构较为复杂,成本较高。

1.3 比较监控余度结构

比较监控余度结构中每个通道内有2个计算机,n个通道并行连接同时运行,依据通道的有效性和优先级确定控制通道,如图3所示。通道的有效性依赖于通道内2个计算机计算结果,若2台计算机的差值超过规定的阈值,则该通道失效,关闭该通道的输出,若在该值在阈值范围内,视为本通道正常。

图3 比较监控余度逻辑结构

比较监控余度的通道某个计算机失效或2个计算机同时失效,则该通道故障。该方法准确可靠,可认为通道的c=1。比较监控余度失效概率为:

F=(2fr+f2)n

比较监控结构采用通道内比较监控的方法,使得通道故障覆盖率可以达到100%。然而,比较监控结构每个通道2个计算机,结构复杂、成本高。

1.4 双因子余度结构

从资源使用率角度讲,主动余度结构的控制通道基于通道自监控,该方法最简单;n模冗余结构增加了余度表决器,通道之间互联及余度管理方法复杂;比较监控余度结构的每个通道内2台计算机,其硬件最复杂。现役大型有人机的飞控计算机大都采用以上3种余度结构,或者采用3种余度结构的组合。如F-22采用n模冗余结构的三余度电传系统;A320采用比较监控余度结构主控计算机;B777主控制计算机系统的每个通道为比较监控余度结构和备用替换的主动余度结构的组合,3个通道并行工作又构成n模冗余结构,B777的主控制计算机系统是几种基本余度结构的典型组合[7-9]。

针对高空长航时无人机飞行控制系统的高可靠性指标要求,提出一种双因子余度结构。该结构硬件结构与主动余度相似,每个通道内置通道故障逻辑,通道间通过交叉通道数据链路进行数据交换,通道结合通道自监控和比较监控2个因子判定通道的有效性,其三余度结构如图4所示。与主动余度结构比较双因子余度结构通过通道间的交叉比较提高了通道故障检测率,并且规避了n模冗余结构表决器单点故障的缺陷。

双因子余度结构将通道故障因子划分为2类,第1类故障因子为通道内部故障因子,可通过自监控进行诊断,如中央处理器故障、存储器故障、供电故障等;第2类为通道输入输出接口故障因子,仅通过自监控技术难以实现故障的诊断(如通道的输入接口电路故障和输入接口电路正常但外部设备通信故障表现形式一致)。

针对这2类故障采用不同的检测方法,第1类采用自监控进行故障诊断;第2类输入输出接口采用自监控技术结合通道间交叉比较进行故障诊断。首先自监控本通道通信状态是否正常,若正常则输入输出接口有效;若异常则结合其他2个通道通信状态进行有效性判断,若其他2个通道正常,则该通道输入输出接口失效;若其他2个通道异常,则认为本通道输入输出接口有效,输入输出接口有效性逻辑如图5所示。

图5 输入输出接口有效性逻辑

双因子余度结构硬件结构与主动余度相似,结构较为简单,通过交叉比较技术,提高了通道的故障检测覆盖率。其失效概率与n模冗余结构相同,并且规避了n模冗余结构表决器单点故障的缺陷。双因子余度结构失效概率为:

F=3f2r(1-c)+f3

2 通道有效性方法

2.1 典型通道有效性分析

高空长航时无人机采用多等级余度飞行控制系统结构,如图6所示。

图6 多等级余度飞行控制系统示意图

飞行控制系统传感器子系统采用部件级的双余度技术,满足一次故障安全飞行;飞行控制计算机采用三余度配置,满足一次故障工作,二次故障可应急飞行;伺服子系统采用气动冗余。

余度数目相同但采用不同的余度管理方法,系统的可靠度和容错能力也会相应不同。典型余度飞控系统的通道有效性方法是通过自监控或信号表决相结合的方法对系统余度管理方法进行研究[10-12]。通过对通道的输入数据、输出数据进行交叉比较表决通道的有效性。

以传感器为例,主传感器和备份传感器各自串联作为整体并联接入飞控计算机。可靠性结构为整机余度结构。其可靠性结构为整机结构,图7所示。

图7 传感器可靠性结构

2.2 基于核心参数完整性通道有效性方法

针对典型通道有效性方法的瑕疵,提出一种基于核心参数完整性的通道有效性方法。该方法依靠通道的内自监控,同时综合通道接收到的传感器飞行参数进行通道的有效性判断。通道首先进行自监控测试,若不通过,则该通道失效;若通过自监控测试,若通道核心参数完整,则通道有效。

核心参数指影响无人机飞行安全的飞行参数,主要包含:俯仰角、滚转角、航向角、三轴角速率、经纬度、气压高度、空速、起降高度、攻角、侧滑角。每个飞行参数可以从主传感器和备传感器,如图8所示,因此飞行核心参数余度结构为分级余度结构。

2.3 可靠性分析

用R(t)表示产品的可靠度,F(t)表示产品的不可靠度,则有:

R(t)=1-F(t)

故障概率密度函数f(t)是不可靠度函数的导数,则有:

即故障概率密度函数:

f(t)=λe-λt(t≥0,λ≥0)

可靠度函数:

R(t)=e-λt

产品平均失效前的工作时间,通常称为平均故障间隔时间:

n个单元组成的串联系统,可靠度函数:

n个单元组成的并联系统,可靠度函数:

以多等级余度飞行控制系统为样本,传感器平均无故障时间如表1所示。

表1 传感器平均无故障时间列表

典型余度飞控系统的通道有效性方法中,主传感器和备份传感器各自串联作为整体并联。表示Msensor表示传感器平均无故障时间,λhost表示主传感器组的故障率,λbackup表示备份传感器组的故障率。

将表1中值代入公式计算,传感器平均无故障时间为:

采用基于核心参数完整性通道有效性方法,对飞控计算机通道传感器接口可靠性计算。

基于核心参数完整性通道有效性,提高了传感器子系统的可靠性,同时也提高了飞控机计算机接口的容错能力。

3 试验结果与分析

FDR故障检测率指系统发生故障的状况时,通过自监控技术正确检测到的故障数与实际发生的故障总数之比。

其定量数学模型可表示为:

式中，ND单位时间内正确检测到故障数;NT单位时间内实际发生的故障总数。

式中，n表示故障模式数;λDi表示第i个被检测出的故障模式的故障率;λD系统被检测出的故障模式的总故障数;λi表示第i个故障模式的故障率;λ表示所有故障模式的总故障率。

FIR故障隔离率指系统发生故障的时,检测到的故障并且能够隔离到可更换单元的故障与被检测到得故障的百分比。

其定量数学模型可表示为:

式中，λD表示被检测出的所有故障模式的故障率之和;λL表示可隔离的所有故障模式的故障率之和。

在半实物仿真环境中采用通道故障注入技术对内部和输入输出接口2类因子进行故障模拟,对双因子三余度飞控机进行故障诊断和容错试验验证,以分析双因子三余度飞控机的故障检测率和故障隔离率[13]。模拟故障如表2所示,注入故障数558,检测出故障558,故障隔离数510。

对双因子三余度飞控机和主动余度三余度飞控机进行故障诊断性能进行比较,统计结果如表3所示。试验表明双因子三余度飞控机故障覆盖率达到100%,同时故障隔离率达到91.4%,较主动三余度计算机极大提高。

表2 故障检测统计表

表3 三余度飞控机故障隔离对照表

4 结 论

针对高空长航时无人机飞行控制系统的高可靠性指标要求,提出了一套双因子的飞控计算机方案,结构较为简单,有效提高了通道的故障检测覆盖率和故障隔离率。规避了n模冗余结构表决器单点故障的缺陷,满足无人机高空长航高可靠、低成本、小体积等要求。

针对高空长航时多等级余度飞控系统,提出一种基于核心参数完整性的通道有效性方法。该方法中主备传感器可靠性结构由整机余度结构优化为分级余度结构。最大限度的提高系统的资源利用率,有效提高飞控计算机的容错能力,同时也提高了传感器子系统的可靠性。该方法可以应用于其他多余度飞行控制系统中。