杨岫婷,苏 磊,权 赫,张嗣锋,李学锋
(北京航天自动控制研究所,北京,100854)
运载火箭飞行控制系统通常采用硬件冗余来提高系统的可靠性。文献[1]指出以长征二号、长征三号为代表的中国老一代运载火箭,控制系统采用硬件冗余及故障吸收式容错设计。这种方式是以冗余资源为代价换取可靠性,往往增加了硬件成本和系统的复杂性。对于新一代大型运载火箭,控制系统飞行可靠性指标0.998,是目前中国运载火箭中可靠性指标要求最高的。单以冗余设计提高的可靠性是有限的,必须结合重构控制技术提高系统容错能力,从而提高系统可靠性。
重构控制是由传统余度控制理论发展而来。区别于传统余度控制,重构控制是一种主动容错控制技术,即针对系统中的冗余结构,利用部件的冗余特性,通过设计控制算法或策略,来提高系统的容错能力[2]。将控制策略与硬件冗余进行有机结合,可在不增加系统成本和复杂度基础上,使得提高系统可靠性成为可能。
新一代大型运载火箭飞行控制系统采用了全新的“双通道总线+三冗余”智能终端的全数字分布式系统架构[3],实现了从模拟控制向数字式控制的跨越,同时也为实现系统重构提供平台和条件。本文的研究目标即针对新一代大型运载火箭的冗余架构开展动态重构技术研究,提出有效的重构策略。
国外主流运载火箭普遍采用总线技术,并通过硬件冗余提高系统可靠性。
阿里安5:控制系统计算机、惯性测量装置、1553B总线系统等关键系统,采取了双通道主备设计[4]。
德尔它4:采用冗余惯性飞行控制装置 (Redundant Inertial Flight Control Assembly, RIFCA),通过双冗余惯性测量组合测量3个轴的角速度和加速度,使用3台MIL-STD-1750处理机评估信息并进行表决[5]。
宇宙神5:采用容错惯性导航装置(Fault Tolerant Inertial Navigation Unit, FTINU),由冗余的惯性测量系统(Inertial Measurement System,IMS)和双通路飞行控制系统(Flight Control System,FCS)组成,系统设计上多采用双冗余设计[6]。
Falcon 9:采用三冗余箭机,总线使用了交换式冗余网络通信架构,采用GPS 加双惯性测量装置复合制导[7]。
H-IIA:控制计算机(GCC2)为三冗余结构,惯性测量单元以及伺服机构也为冗余结构;控制系统采用两条符合MIL-STD-1553B 标准的数据总线。一子级的GCC1和二子级的GCC2通过一条1553B总线连接在一起,依靠该总线传递数据、指令和时序;另一条1553B总线将GCC2与惯性测量单元连接起来,用于姿态数据传输[8]。
SLS:全箭主通信链路采用多级、三冗余1553B总线方式,部分设备间通信仍采用点对点通信(如RS422);全箭冗余方式以三冗余(飞控计算机、惯组)、双冗余(供配电系统)为主;箭上电气设备采用综合电子集成化设计和根据实际需求的分布式设计相结合;采用基于ARINC 653标准的VxWorks653分时分区实时操作系统(Time and Space Partition Real-time Operation System)作为箭载飞控计算机操作系统[5,9]。
Ariane 6:与Ariane 5类似采用双冗余架构,采用TTE实时以太网总线作为全箭主干网络通信数据总线[10,11]。
国外运载火箭冗余架构及其可重构性见表1。双冗余可实现主备切换,但无法实现容错重构。三冗余具有可重构性,通过多数表决设计、故障吸收等容错控制方法,可实现系统故障诊断与重构[12,13]。
表1 国外运载火箭控制系统冗余架构比对Tab.1 Comparative Analysis of International Rocket Multi-modular Degisn
载人航天工程、探月工程、可靠性工程推动了航天可靠性设计和容错控制技术的研究。对比长征系列火箭控制系统冗余方案发展变化,除均采用三冗余箭机外,惯性器件冗余方式及系统通信方式存在差异。
a)老一代运载火箭:长征二号F、长征二号C、长征三号A 3型火箭先后研制了“平台+惯组主从冗余”[14]、“双惯组[15]冗余”方案。双惯组方案采用两套同构或异构七表惯组,此配置可识别故障,故障隔离则需用内部冗余配置的测量轴信息实现自诊断[16]。系统采用点对点直连线的通信方式传输开关量和模拟量信号,通过接点冗余和线路冗余保证信号传输的可靠性。
b)新一代运载火箭:长征五号、长征七号采用“两套激光+1套光纤”的三冗余六表惯组,通过“三取二”判别,实现某故障惯组或某故障单表的隔离。此配置可通过对整套惯组信息及单表信息进行表决组合,实现惯组信息重构。长征八号、远征上面级采用“单套十表”惯组,采用多表斜置实现信息冗余,利用彼此间的投影关系进行故障判别与重构[17]。系统通信采用1553B总线,总线制标准化各智能设备的接口[5],通过控制计算机(内含总线控制器)进行全箭信息综合。采用高实时性数据规划和调度分配、基于总线的箭测和综合测试技术[18],实现了全数字控制。图1为新一代大型运载火箭控制系统架构示意。
图1 新一代大型运载火箭控制系统架构示意Fig.1 The Architecture of Large Launch-scale Vehicle Control System
长征运载火箭冗余架构及其可重构性的比对情况见表2。由表2可以看出,新一代运载火箭中,长征七号采用余度总线构成三余度控制系统,简化了软硬件实现的复杂度[5],也具备故障检测隔离与系统重构的可实现性。以长征五号为代表的“单总线+三冗余”终端控制系统,三冗余总线控制器内部设计冗余表决电路,可实现对自身的健康识别与重构,以及对系统架构的重构容错。两种总线架构均具有实现系统故障重构的条件,重构控制策略设计是实现的关键。
表2 长征运载火箭控制系统冗余架构比对Tab.2 Comparative Analysis of Long March Rocket Multi-modular Degisn
文献[19]给出了可重构控制技术发展产生的伪逆法、特征值配置法、自适应控制方法、控制分配技术等重构方法。其中,控制分配技术随着研究的深入日益成熟,文献[20]将控制分配方法应用于重型运载火箭伺服机构故障情况下的重构;文献[3]研究了多操纵面战斗机飞行控制系统的重构控制问题;文献[21]将控制分配算法应用到 X-35B飞机的飞行控制系统设计中。关于冗余重构的文献极少涉及总线架构重构的研究,本文针对新一代大型运载火箭总线架构,提出基于控制分配的总线架构变结构重构策略。
对于全数字总线系统,总线控制器不仅执行着全系统的数据规划和调度分配管理,还负责对总线状态及全部通信数据进行实时监测,所以,总线控制器的容错重构策略设计是整个控制系统实现动态重构的关键,直接关系到系统架构可重构、总线控制器自身状态的实时动态健康识别与管理的实现。关于总线控制器重构的文献较少,文献[22]提出了飞行控制系统三通道容错硬件设计方法,介绍了模块实现、模块间同步及故障监控表决设计。但是未包含三通道的重构策略及判别原则,本文对新一代运载火箭的三冗余总线控制器提出表决切换重构策略。
惯组是控制系统的重要设备之一。针对运载火箭飞行中发生的、与控制系统相关的19例典型故障案例的机理进行剖析,20%的故障原因与惯性设备相关,仅少于电缆网故障。因而,针对惯组的冗余配置方式设置专门的重构策略是系统设计的重点。关于冗余惯组的文献多为多信息融合方法研究,策略研究偏工程化,文献相对较少。文献[16]介绍了七表双挠性惯组冗余设计及管理方案;文献[23]针对三正交一斜置惯组提出在工程实践中正交为主的信息重构策略,并提出双三正交架构。本文的研究对象是新一代运载火箭的三套三正交六表惯组,在文献[24]给出的惯组工程应用的三整机重构策略基础上,提出三机冗余与单机多表相结合的表决重构策略。
新一代大型运载火箭总线架构控制链路为:总线控制器架构控制指令→控制通道选择→设备选择→系统架构实现。对控制通道选择、设备选择模块增加控制分配矩阵,将输出状态结合重构策略进行动态控制,可实现故障时控制通道、设备的动态选择,从而实现系统架构的动态变结构重构。实现原理如图2所示。
图2 基于控制分配的系统架构重构原理Fig.2 The Logic of the System Architecture Reconfigurable Strategies based on Allocation
正常情况下,控制分配模块采用缺省分配模式,根据初始定义的分配策略分配控制指令;当控制输出异常后,控制分配模块根据重构策略,更改控制矩阵,实现控制指令的重新分配,保证系统架构的稳定性。控制分配公式为
式中L为系统架构实现;T为通道控制矩阵;R为终端矩阵;1L为T的控制分配矩阵,为n×2阶矩阵;2L为R的控制分配矩阵,为n×n阶矩阵。
系统架构初始状态:
此时,L1、L2简化为L10、L20,L10=(10),1×2阶矩阵,L20=(11…1),1×n阶矩阵。
系统工作过程中,在每个控制周期,L1、L2根据控制分配的结果实时动态变化,则控制输出的系统架构L也实现动态变结构重构。系统架构重构前后的结构变化如图3所示。
图3 系统架构重构Fig.3 The System Architecture Reconfigured
总线控制器采用三冗余热备份实现系统级冗余容错控制与故障隔离。主机(BC)进行总线数据流的调度和管理,另外2台备份机作为总线监视器(MT)负责对总线状态及全部通信数据进行实时监测。图4中,A机作为总线控制器,B、C作为总线监视器,A机进行动态健康识别与管理的信号交互示意图。B、C作为总线控制器时交互信号同A。
图4中,三机间交互的信号包括:a)BC权使能信号:A_EN_A、B_EN_A、C_EN_A;b)时钟使能信号:A_enT、B_enT、C_enT;c)定时“心跳”信号。B、C通过实时监听总线通讯及定时接收A的定时“心跳”信号,同时A机也对本机实时监测,三机共同诊断A的工作状态,对其进行动态健康识别,根据判定结果对A发出BC权使能信号、时钟使能信号。
图4 总线控制器动态健康识别与管理Fig.4 Dynamic Identification and Redundant Processing of the Bus-controller
对A的健康识别原则如下:
a)A机。
A机作为BC,A机认为本机出错而发出切除本机BC的依据是:A机本机定时“心跳”信号异常;A机监测到本机总线通信异常;A机监测到本机功能异常。
以上3种异常情况中任意2种同时存在时,发出切换指令:A_EN_A=0,A_EN_B=1,A_enA=0;
b)B机或C机。
B机或C机作为MT,认为A机出错而发出切除A机BC的依据是:监测到A机定时“心跳”信号异常;监测到A机总线通信异常;则认为A机故障,进而发出切换指令:
B机:B_EN_A=0,B_EN_B=1,B_enA=0;
C机:C_EN_A=0,C_EN_B=1,C_enA=0。
依据上述原则,当前总线控制器被判定为工作异常时,则总线监视器通过重构策略对当前总线控制器进行故障隔离,同时在三机优先级设置下按顺序获取总线BC控制权,实现总控制器的动态隔离重构。图5给出了优先级顺序为A机→B机→C机的BC控制权重构策略逻辑。
图5 三冗余总线控制器动态重构策略Fig.5 The Dynamic Reconfigurable Strategies of the Triple-modular Bus-controller
三冗余总线控制器硬件设计相同,通过设计不同的重构策略,可实现不同的优先级顺序及BC权交接逻辑。表3给出了一种三冗余控制器的优先级链及对应BC权的传递关系。
表3 总线控制器三机优先级及BC权Tab.3 The Priority and BC Right of the Bus-controller
新一代运载火箭采用三套六表冗余的惯组配置。基于此配置,提出惯组三机冗余与单机多表相结合的重构策略:利用多源信息,三套惯组信息均正常时,执行三机表决策略;当某惯组信息不完整时,选择单机多表搭配组合,构成完整观测矩阵,执行单机多表表决策略。通过将多源测量信息进行重组,完成惯组信息重构。
惯组冗余策略逻辑图如图6。
图6 惯组三机冗余+单机多表相结合重构策略Fig.6 The Triple-modular Redundancy Inertial Device and Multi-sensor Data Fusion Reconfigurable Strategies
三机表决过程如下:
a)设1x、2x、3x为同一观测物理量的三机输出结果;
c)设定阈值ED,依据表决原则进行故障诊断:
d)如某机连续报故障多次,则认为此机发生了永久故障,将其永久隔离。
表4给出了1种3套惯组三机表决后的输出结果:当判别本机正常时,输出本机测试值;当判别出故障机时,将其输出结果设置为其他两机的均值。
表4 惯组三机表决后输出Tab.4 The Result of Triple-modular Inertial Device
单机多表表决策略及过程同三机表决,区别在于信息源来自不同单机的多表。
本文采用故障模拟注入方法[25],进行各级重构策略的系统验证。搭建测试平台,在不改变总线系统各终端的前提下,在系统中串入故障注入测试设备,通过软件界面进行故障模式配置,实现在总线设备正常通信中实时加入各种故障的功能。测试平台如图7所示。
图7 测试平台示意Fig.7 The Testing Platform
故障注入测试平台可模拟总线系统中可能出现的电气层和链路层故障、以及部分协议层和应用层的故障现象。基于此平台,重构策略的系统验证可通过以下过程实现:
a)模拟总线通道通断、终端接口通断、终端通信异常等故障,通过测试总线通信数据与设计预期的复合性,验证系统架构策略的正确性;
b)模拟三冗余总线控制器接口通断、通信异常、供电异常的故障,通过测试总线控制器数据调配结果、主备切换实现与设计预期的复合性,验证总线控制器策略的正确性;
c)模拟三冗余惯组接口通断、通信异常、供电异常的故障,通过测试惯组通信数据及冗余表决结果与设计预期的复合性,验证惯组信息冗余策略的正确性;
d)在策略验证过程,若结果与预期不符或不正确,则对策略进行优化调整后再验证,并对系统性能进行验证效果评估。
验证方案及流程如图8所示。部分测试数据列于表5、评估结果列于表6。
图8 系统验证方案与流程Fig.8 The System Verification Scheme
表5 系统测试数据结果Tab.5 The Results of System Test Data
表6 验证效果评估Tab.6 The Results of Assessment
在故障注入测试平台上,系统架构重构策略、总线控制器重构策略、惯组信息重构策略得到了验证,系统验证评估结果及测试结果均满足设计预期。
本文针对新一代大型运载火箭“双通道总线+三冗余”智能终端的全数字架构,提出基于控制分配技术的可变结构系统架构重构策略、三冗余总线控制器重构策略、惯组三冗余与单机多表相结合的重构策略,通过系统冗余配置结合重构策略,实现了飞行异常状态的智能故障识别与动态重构,有效提升了系统可靠性。新一代大型运载火箭控制系统的全数字架构,也为智慧控制技术的应用提供平台。随着未来运载火箭任务复杂程度的提升,总体、控制、动力等多学科交叉融合的趋势越来越强,智能技术将引入飞行的各个环节,使火箭更加具备自主容错和故障适应能力。