程鉴皓,李荣冰,刘 刚,刘建业
(1.南京航空航天大学 导航研究中心,南京 211106;2.航空工业西安飞行自动控制研究所,西安 710076)
采用硬件冗余配置是保障机载惯导系统任务可靠性和安全性的重要手段[1]。根据冗余范围不同,又可分为器件级冗余配置和系统级冗余配置[2]。系统级冗余配置具有选型方便,结构灵活,任务可靠性高等特点[2],在航空航天领域有广泛的应用[3]。系统级冗余配置多采用三余度架构以达到硬件可靠性和任务可靠性的平衡[4]。为保障余度系统正确协调地工作,通常需设计余度管理模块对余度系统进行状态监控并完成故障检测及处理工作。
国内外相关从业人员和专家学者在余度管理系统架构设计和故障检测方法研究等领域做了大量的研究工作[5-9]。文献[5]中,霍尼韦尔公司以余度信号间差分信息与先验噪声是否一致作为判定故障的条件,提出一种三余度系统故障检测隔离方法,但该方法只适用于单余度信号故障状态;文献[6]引入循环校验位作为信号质量评估的参考,降低双余度信号故障状态下正常信号被切除的概率。上述研究从系统架构层面提出了典型的三余度信号管理系统架构,并分别针对单余度信号故障状态和双余度信号故障状态给出了决策策略,但没有给出决策制定的理论依据,也缺乏对决策有效性的评估和分析。文献[8]在标准三余度系统架构的基础上,给出一种基于余度信号统计特性的加权表决输出方法,但在无法判断各余度信号状态时,仅基于减缓余度降级的原则给出决策结论。文献[9]针对传统奇偶检验法对软故障信号识别能力差的问题提出一种基于模糊策略的故障检测方法,提高故障检测算法对软故障识别的灵敏度,但对于奇偶检验结果与余度信号状态间的关系仍旧是基于多数表决原则。
目前机载余度管理系统研究多关注故障检测与识别,决策依据以余度信号间的奇偶检验残差为主[8]。而奇偶检验残差与各余度信号状态间的逻辑关系多基于经验和多数表决原则给出,缺乏明确的分析和讨论,无法确认决策的完备性,从而在出现与文献[8]中表1所示的“潜在故障”类似的状态时难以从理论层面给出合理的解释,决策结论存在风险和隐患。
表1 对应决策表Tab.1 The decision table of D
表1 对应决策表Tab.1 The decision table of D
()E PH()SPu 0 H 12 H 13 H 23{H,H,H} 123 1u12H H 13 H 23{H,H,H} 123 u 2 H13H 12 H 23{H,H,H} 123 u12H13H 3 H1{H} 23 u 4 H 12 H23H 13{H,H,H} 123 u12H 5 H23H2{H} 13 u 6 H13H23H3{H} 12 u12H13H23H123 7{H,H,H}
面向机载导航系统安全性和可靠性需求的研究一直以来是该领域研究的热点。其中,冗余配置和余度信息管理是保障导航信息安全性和可靠性的重要手段。粗糙集理论在特征选择、不确定性推理和分类学习等领域研究中发挥着重要的作用[10-13],也是相关领域内研究的学术热点。其在处理不确定问题时表现出的优势,为冗余信息管理状态决策评估和分析提供了重要的思路和方向。
为实现对机载余度信号状态决策结论的有效评估和分析,本文采用集值信息系统[14]架构建立基于奇偶检验残差的冗余惯性导航系统状态决策框架,为分析残差特征与余度信号状态间逻辑关系提供理论基础。在集值信息决策框架下分析了传统余度信号互检方法中由于卡方假设检验发生“存伪”错误导致的决策风险,并将风险项作为不确定元素扩充到决策系统的状态集与证据集中,确保决策系统的完备性,解决传统状态决策策略覆盖情况不全面的问题。基于粗糙集理论建立了系统各状态属性的隶属度函数,实现基于隶属度值的状态判决和对决策结论的量化评价。本文提出的冗余信号状态决策方法从理论层面确保了决策策略可以覆盖全部可能发生的情况,提高了缓变故障奇偶检验残差识别灵敏度。本文所研究的冗余惯导系统架构如图1所示。三套惯性导航系统互为冗余,各自独立工作,对外输出加速度、角速度等惯性信息;余度管理软件基于冗余惯性信息的互检结果对每个余度惯性信息的状态做出判决;最后根据状态判决结果对全部冗余信息进行表决输出。
图1 冗余惯导系统架构示意图Fig.1 Schematic diagram of redundant inertial navigation system architecture
表中证据集值取值与对象0u相同时,该决策系统无法对任一子惯导系统状态做出判断,以此得到的推论为:此时三个子系统均处于故障。
以可正常工作的子惯导系统个数作为评价冗余惯导系统整体的工作状态的依据,假设约束下冗余系统状态属性集记为Sa,值域集记为,存在:
其中,SF表示单系统故障;AF表示全系统故障;NF表示全系统正常。则冗余惯导系统状态属性与子惯导系统状态决策结论D间的映射关系可记为:
特别地,决策对象等价于u3、u5或u6时,证据集值e无法通过映射fD投影到状态集类PH(S)上的映射,决策系统D只能给出一个子系统的状态判决结果,不论是只接受有明确决策结论的子系统无故障[4],还是接受三个余度系统输出均无故障[9],都缺乏足够的证据支撑决策结论。将u3、u5或u6对应的冗余惯导系统状态记作SN,即只有单系统正常。
表2 决策系统D与DF决策对象对应关系Tab.2 The same obj ect betweenU andUF
决策信息系统FD中决策结论包含不确定项的决策表如表3所示。
表3 DF=(UF,PF(E)∪PF,H (S),fDF)对应部分决策表Tab.3 Parts of the decision table forDF
由于故障检测方法不可避免地存在局限性,难以做出确定结论的情况是客观存在的。传统余度管理策略较少关注残差与余度信号状态间的逻辑关系,直接基于工程经验给出结论,忽略了这种决策方法的不完备性。通过明确残差检验结果与余度信号状态间的逻辑关系,并将决策的不确定性作为一种状态纳入决策证据集和决策状态集中,每个证据集值eF通过映射fDF在状态集类PF,H(S)中都有唯一的状态集值sF与之对应,保障了决策系统的完备性,为后续不确定项的处理和决策提供了理论依据。
在状态属性集AS中增加SN和AU两个状态属性,用于表示子系统状态决策的不确定性对冗余惯导系统状态属性决策的影响。SN表示“只存在一个子惯导系统无故障”,AU表示“三个子惯导系统状态属性均不确定”。新的状态属性值域集定义为ASF,记作:
卡方假设检验原理在实际应用中通常会选择较小的α值来确保检验结果具有较低的误检率。较小的α会增大支持假设Hij成立的取值范围,导致检验结果漏检的概率增大,尤其是当卡方检测量,ij tλ较为接近检测阈值,DTα时,说明两个余度信号间的残差已较大偏离先验分布特性,此时极易出现漏检情况。故卡方检验量,ij tλ与检测阈值,DTα间的距离可以反映残差偏离先验分布的程度。定义接受假设Hij成立时系统存在故障的概率为:
D-S证据理论能够有效处理信息系统中的不确定关系,因而在故障检测和传感器可靠性评估等领域有着广泛的应用[15,16]。值域集P(Hij)上定义映射mij为:
本文中以决策损失函数最小作为冗余系统状态属性决策的策略,即:
采用飞行仿真软件输出的民航客机飞行的轨迹和惯性传感器输出信息作为参考基准信息,模拟三组导航精度为0.8海里/小时的惯性导航系统构建冗余惯性参考系统。通过在模拟冗余惯性传感器输出信息中添加不同类型的故障信号构建测试样本,验证本文提出的余度管理逻辑与传统余度管理逻辑间的区别。飞行过程由仿真软件按照内置的航路文件自动控制,轨迹如图2所示。
图2 飞行轨迹示意图Fig.2 Flight trajectory
惯性导航系统常见的故障类型可分为硬件故障和软件故障[17],两类故障对惯性导航系统输出信息的影响通常可分为阶跃故障fstep、缓变故障fdrift和噪声特性异常frand三种,分别记作:
式中,u为单位阶跃函数,t0是故障发生的时间,Estep为阶跃故障幅值,Edrift为缓变故障斜率,Erand(t)为随机噪声,满足:
式中,μ和σ为故障信号的均值和方差。
卡方检验的显著性水平,以连续10帧数据的均值作为检测样本,检测样本先验噪声协方差阵记为A,A阵参数的设置与惯性传感器噪声参数特性相关。本文中,A阵中与陀螺仪输出相关的参数为ε0.1=0.64°/h,与加速度计输出相关的参数为∇0.1=2.5mg。
故障信号在区间(900s,1000s]内注入,注入位置为IRS1陀螺仪的x轴。由拉依达准则可知,检测点与检测样本均值间偏差大于三倍标准差(3σ)时,即可认为该检测点为故障点。根据实际工程经验,本文中认为测量信息与基准信号间的偏差大于5σ时该测量信息为异常信息。本文中σ=1.79°/h,故各类型故障参数设置如表4所示。
表4 故障参数设置表Tab.4 The parameter of the fault
分别采用决策系统和本文提出决策系统对5.1节中设计的三种故障注入条件下的冗余惯性导航系统的状态进行判决。两种决策系统判定IRS1状态11Hs=的结果如图3所示。
图3 IRS1输出有效标志位对比图Fig.3 The effective flag comparison for IRS1
图4所示为三种类型故障注入下基于决策系统计算得到IRS1的隶属度值变化情况。
图4 IRS1状态隶属度值变化曲线Fig.4 The curve of state membership value for IRS1
由图5(b)可知,注入缓变故障时,1H的隶属度值在900 s到940 s内逐渐减小到0附近;1H的隶属度值随着1H隶属度值的减小逐渐增大到1附近,又随着注入故障幅值的增大降低到0.2附近;的隶属度值随着故障信号的注入不断增大,在940 s以后稳定在0.6以上,并且是三个状态属性中隶属度最大的元素。
统计不同故障注入情况下两种决策系统第一次检测到异常的时间和检测覆盖率如表5所示。
表5 IRS1决策效果对比表Tab.5 Comparison table of decision effect
故障区间内注入故障信息的检测点总数为435,注入阶跃故障时,两种决策系统识别出的故障点数均为435个;注入缓变故障时,决策系统D识别出的故障点数为321,决策系统FD识别出的异常点数为338个,包括28个状态不确定点和310个确定故障点,检测覆盖率由73.8%提升至77.7%,提高了3.9%;注入噪声特性异常故障时,决策系统D识别出的异常点数为206个,决策系统FD识别出的异常点数为236个,包括66个状态不确定点和170个确定故障点,检测覆盖率由47.4%提升至54.3%,提高了6.9%。
决策系统FD通过将传统余度管理策略中判决为“无异常”的状态细分为1H和1H两种状态,提高了做出“无异常”决策的条件要求,减小余度信号间互检可能发生的“存伪”错误对余度系统状态决策的影响。各状态属性隶属度值变化也反映了系统状态的变化情况,为冗余系统性能的评价和分析建立数据基础。
随着使用时间的推移,冗余惯性导航系统中不同惯性器件性能老化程度不同。三个精度下降不同的惯性器件输出信息间相互构建卡方检验量时,可能会出现类似决策系统D中3u、5u或6u的情况。
注入如表4所示缓变故障参数的同时,设置IRS2陀螺仪的x轴在900 s到1000 s时间内测量结果存在1.79/h°(1σ)的偏差。卡方检验量12,tλ和13,tλ在故障区间内的变化如图5所示。
图5 故障区间卡方检测量变化示意图Fig.5 The curve of12,tλ and13,tλ in fault zone
图中标注出的两个点表示同一时刻λ12,t和λ13,t的取值,由图5可知,在916.4 s时λ12,t=3.72远小于检测阈值,λ13,t=28.66大于检测阈值,决策系统D中对应的决策对象为5u。基于传统的余度管理策略,此时会选用IRS2作为输出信息源。但根据实际异常信号注入情况可知,IRS2的输出信息存在1σ的偏差,理论上选用IRS3作为输出信息源误差最小。
故障注入区间内两种决策系统对各子惯导系统状态属性的决策如图6和图7所示。
图6 决策系统FD对各子惯导系统状态属性决策Fig.6 The state decision for each subsystem by decision systemFD
图7 决策系统D对各子惯导系统状态属性决策Fig.7 The state decision for each subsystem by decision system D
图6和图7中,基于决策系统DF子系统IRS3被判定为状态H3的检测点数共有20个,有19个点对应时刻IRS1也被判定为H1状态。基于决策系统子系统IRS3被判定为状态的检测点个数为17个,对应时刻IRS1的决策结果也是状态。由此可知IRS2传感器测量精度的下降会导致决策系统D和决策系统DF对IRS3和IRS1的状态决策相同无法区分的情况。但对于决策系统DF,其对IRS1状态的决策在H1和状态间变化时,IRS3状态的决策不会出现状态,从而实现与IRS1状态的区分。
本文基于集值决策系统构建了冗余惯性导航系统传统余度管理策略逻辑架构,解决了传统余度管理策略决策证据与决策结论间逻辑不清晰的问题。在此基础上基于粗糙集方法构建了一个包含不确定项的集值状态决策系统。利用不确定项描述冗余信号互检可能发生的“存伪”错误导致的决策风险,解决了传统余度管理策略决策不完备的问题。模拟飞行试验结果表明,新的余度管理策略对于惯性传感器典型故障类型中的两种时变故障的识别率相较于传统余度管理策略分别提高了3.9%和6.9%,提高了余度管理系统对惯性传感器测量信息中的异常漂移信号的敏感度。对于子系统器件性能老化程度不一致的冗余惯导系统,新的余度管理策略能够为识别区分不同器件的性能等级提供更多的评价参数。但本文提出的决策方法尚未考虑故障信号和传感器噪声信号的时间特性对决策结论的影响,在故障模式分类和检测阈值自适应调整方面还可继续完善改进。