三余度飞控计算机架构及其可靠性研究

《三余度飞控计算机架构及其可靠性研究》由会员分享，可在线阅读，更多相关《三余度飞控计算机架构及其可靠性研究（11页珍藏版）》请在装配图网上搜索。

1、 三余度飞控计算机架构及其可靠性研究摘要：余度架构设计是解决飞控计算机可靠性问题的有效途径。为了满足高可靠性飞控计算机系统对可靠性和容错性的特殊要求的目的，提出一种新型三余度飞控计算机的余度架构方案，描述飞控计算机冗余设计方法，设计余度计算机软硬件的总体框架，采用马尔可夫方法对该方案进行了可靠性分析，获得了故障覆盖率和失效率对飞控计算机整体可靠性的影响结果，得到所设计余度架构方案可行的结论。关键词：飞控计算机； 冗余技术； 马尔可夫模型； 可靠性； 余度管理引言基于无人机飞控计算机系统对可靠性和容错性的要求，研究在无人机受到非致命损伤或故障情况下，仍能保持飞机可靠飞行的高生存力飞行控制计算机系

2、统冗余架构方法是必要的12。目前国内机载计算机的平均无故障间隔时间大约为105 h，而通常民用飞机的fcc失效概率要求低于10-10/飞行小时，军用飞机也要求低于10-7/飞行小时3。为了实现fcc任务高可靠性指标，普遍采用的方法是采用多余度体系架构。1余度技术及可靠性分析简介余度技术(redundant technique)也称为冗余技术或容错技术，是通过为控制系统添加多重资源（硬件或软件）并通过合理的管理，从而提高系统可靠性的方法45。无人机对飞控计算机系统的可靠性有特殊的要求，因此对有较高可靠性要求的飞控计算机系统，多余度冗余架构设计是保证无人机飞行安全及任务能力的有效方法。定性来看，提

3、高独立通道数量可以降低飞控系统失效概率。在进行余度设计之前，要以满足任务可靠性和安全性定量指标为基础，以最少的通道余度数量和复杂性为原则，制定出容错能力的基本准则。过高的容错能力反而降低系统的基本可靠性，提高开发和维护难度，并造成全寿命周期费用的增加。根据milf9490d对余度的定义：余度是需要出现两种或两种以上的独立故障状态，而不是一个单独故障情况下，才有可能引发既定的有损害后果的设计方法。采用两套或两套以上的部件，分系统或者通道每个都可以单独完成给定的工作任务。余度设计需引入监控系统，以检测出各个通道的状态，完成故障的定位、隔离和控制通道的切换6。国内外有很多可靠性分析方法用于对多余度架

4、构系统进行可靠性分析，如故障树分析法、petri网络图分析法7、蒙特卡罗仿真分析法8、全概率分解法9等，也开发了较为成熟的可靠性分析软件，如relex studi/o，item，blocksim等。对于三余度飞控计算机架构的可靠性这一特定问题，如果重点关注余度通道切换过程分析及多通道状态组合转换，那么马尔可夫过程分析方法是较为合适的。文献10利用该方法对四余度飞控系统进行了可靠性分析，其重点在于验证其架构的可行性，但未就影响整体可靠性的因素进行深入探讨。文献11对民机控制系统进行了可靠性分析，其重点在于电传操纵系统的整体可靠性分布。本文提出一种飞控计算机三余度架构设计，并利用马尔可夫方法对影响

5、其多余度飞控计算机可靠性的因素进行了重点分析。2余度技术及可靠性分析简介2.1三余度飞控计算机硬件框架三余度飞控计算机有3个独立的控制通道a，b，c及余度管理模块组成。每个单独的飞控通道之间有ccdl交叉数据链路实现数据共享。飞控计算机通过gjb1553b总线与其它机载计算机或设备进行通信。飞控计算机硬件总体框架如图1所示。图1三余度飞控计算机硬件架构飞控计算机各功能部件设计如下：（1） 主控模块。主控模块是飞控独立通道的数据处理和计算工作的核心部件。针对国内航空领域的设计要求和技术现状，可采用powerpc7410处理器作为核心处理元件，在vxworks嵌入式操作系统环境下开发运行多任务飞控

6、应用软件。（2） i/o模块。i/o模块是飞控独立通道对外的数据接口模块，负责采集机载传感器系统的数据。按照采集信号的类型，i/o模块可搭载ad/da/di/do/rs 422/232/429等各类数据采集芯片。（3） cpci并行总线。cpci通过板间共享内存空间的方式，实现独立计算机内部板间数据的通信和共享。（4） 电源及背板。电源及背板是飞控计算机安全可靠的基础。电源应配有大容量电容，具有稳压、继电和断电保护能力12。背板搭载统一电气标准的矩形电连接器接口组件和cpci总线链路，实现独立计算机内部主控模块和i/o模块的可靠通信。（5） 通道之间的交叉数据通信使用双口ram来实现，各通道计

7、算机通过硬件电路中的双口ram进行数据交换。每一个通道向其他通道传输数据就如同向内存中写数据一样。这样既提高了可靠性，软件上操作也简单。在每一周期内各通道计算机将各自的输入数据封装在自己的ccdl数据包中，然后写入两边的双口ram中，同时读取另外两台计算机的ccdl数据包后进行数据比较监控。（6） 余度管理模块。余度管理模块接收3个独立飞控计算机的舵机指令，并实时监控各飞控计算机的状态，经过表决和状态排除算法，选择正确的舵机控制指令作为飞控计算机系统的最终输出13。飞控计算机的最终舵机控制指令发送到舵机伺服作动系统，控制舵机完成舵面动作控制以控制飞机本体的导航和姿态。机载传感器系统实时采集飞机

8、的导航和姿态信息，并将之发送给飞控计算机，从而实现整个飞控系统的闭环控制。2.2三余度飞控软件流程设计三余度飞控计算机的各个控制通道独立运行相似的飞控软件，其软件协同工作流程如图2所示。这里着重描述两个较为关键的技术。图2多余度飞控软件协同工作流程（1） 同步技术。为保证通道之间数据采集和比较的同步性能，需在通道间设置定时中断源，统一协调3个飞控通道的同步运行。利用vxworks的任务挂起和唤醒机制，可在定时中断服务程序中运行semgive()释放信号量，从而在各飞控通道同步唤醒本周期的任务。在本周期任务完成输出步骤之后，飞控任务挂起，运行semtake()等待下一周期同步中断。（2） 交叉比

9、较技术。飞控各通道之间通过ccdl交叉链路实现通道之间数据的共享。从通信内容上说，通道间的数据比对可分为原始采集数据的比对和舵机控制指令的比对。由于飞控计算机采用同步技术，可以认为正常情况下，统一周期各飞控计算机所采集的原始数据应是接近（模拟量）或相同（数字量）的，因此，可在获得其他通道原始数据之后进行数据的比对和分析，从而确定本通道的采集数据是否异常。各通道的舵机控制指令也需要进行通道间的比对，以保证对错误舵机控制指令的及时隔离。2.3余度管理机制设计余度管理模块的运行完全独立于飞控各独立通道。飞控各通道将全系统的工作状态以三路do方式发送给余度管理模块，余度管理模块可利用cpld作为表决器

10、生成最终表决信号，控制多路选择开关将舵机控制信号入口连接到适合的飞控输出通道14。一种典型的余度管理模块硬件框架如图3所示。图3余度管理模块硬件框架3可靠性建模和分析3.1三余度飞控软件流程设计分析系统的可靠性，首先要建立系统的可靠性模型。本文提出的三通道热备份飞控系统可以看作一个简单的不可维修并联结构，某一通道出现一次故障则将为二余度系统，两个通道出现故障则降级为单通道系统，系统仍可持续运行，直至三通道均出现故障才失效。在一个随机过程中，如果由一种状态转移到另一种状态的转移概率只与当前状态相关，而与之前的状态无关，则此过程可称为马尔可夫过程，其行为和特性可用马尔可夫模型来描述。对于本文讨论的

11、平行三余度飞控计算机系统设计方案，可以认为，其正常和故障的状态转换机制无时间项，因此非常适用于用马尔科夫模型进行冗余结构可靠性和安全性分析。对三余度飞控计算机的可靠性模型作如下简化：（1） 余度管理模块作为飞控计算机余度切换的核心，相对于3个独立的飞控通道，可认为其失效概率为小量，即不考虑余度管理模块的失效概率。（2） 3个独立的飞控通道一旦发生故障，如不立刻隔离，将立刻引发危险。（3） 3个独立的飞控通道故障检测覆盖率均为c，失效率相同且为大于零的常数。（4） 保守认为，任何独立通道一旦出现一级故障就不可逆转，且会导致危险指令输出。3.2可靠性建模及推导用枚举变量x(t)表示三通道飞控计算机

12、的状态，x(t)定义如式(1)所示。x(t)=0，系统正常1，单通道二级故障2，双通道二级故障3，三通道二级故障4，单通道一级故障5，双通道一级故障6，无可用通道 (1)以x(t)为模型变元，得到马尔可夫状态转移如图4所示。3.3可靠性模型分析及应用根据式(7)，分析故障覆盖率c和器件失效率对系统整体可靠度的影响。根据可查的参考文献，目前国内的器件失效率15大致在10-610-5。本文假定失效率=110-6，虽然此数据不能代表国内器件失效率的真实水平，但是作为系统可靠性分析的假定数据，是可行的。故障覆盖率一方面取决于硬件设计结构，另一方面取决于飞控软件的设计水平，因此，对于不同的软硬件架构，故

13、障覆盖率c变动较大。通过调整故障覆盖率c，观察其对系统整体可靠性的影响，如图5所示。可以看到，故障覆盖率c直接影响三余度飞控系统的整体可靠性，在飞控通道失效率 受到技术、工艺及成本限制而无法降低时，提高故障检测覆盖率c能够有效地提高整个飞控计算机系统的安全性能。本文计算所用的失效率指作为一个单独通道的整体失效概率，与单独器件的失效率不同。失效率由器件可靠性、软硬件架构设计方式和使用环境等因素决定，作为一个统计指标，反映了飞控计算机单独通道的可靠性能。失效率的大小直接关系到飞控计算机系统的整体可靠性，当失效率超过一定阈值时，飞控计算机的整体可靠性将快速下降，对于本文所给出的系统，此阈值在2.01

14、0-6附近，如图6所示。图5故障覆盖率c对整体可靠度的影响图6失效率对整体可靠性的影响从图7可以看到，本文所给出的三余度飞控计算机架构，在故障覆盖率c=0.8，通道失效率=2.010-6时，其可靠性能够满足一般无人机对飞控计算机的要求。图7给定指标下的三余度架构可靠性4结语本文针对无人机飞控系统对控制可靠性的要求，提出一种平行热备份的三余度飞控系统架构方案，并给出总体的软硬件架构及可靠性分析结论。该飞控余度架构方案成功应用于国内某型无人机飞控系统设计中，在半物理及外场飞行试验中表现出较为稳定的冗余控制能力，可以作为高可靠性长航时无人机飞控系统设计的参考方案。参考文献1collinson r p

15、. flybywire flight control j. computing and control engineering journal, 1999, 10(4): 141152.2yeh y c. design considerations in boeing 777 flybywire computers c/ proceedings of highassuance systems engineering symposium. s.l.: hases, 1998: 6472.3安金霞，朱纪宏，王国庆.多余度飞控计算机系统分级组合可靠性建模方法j.航空学报,2010,31(2):301

16、309.4yeh yc. safety critical avionics for the 777 primary flight control systemc/ proceedings of the 20th conference on digital avionics systems. s.l.: cdas, 2001: 1418.5ahlstrom k, torin j. future architecture for flight control systems c/ proceedings of ieee 20m digital avionics systems conference

17、. s.l.: ieee, 2001: 111121.6宋翔贵，张新国电传飞行控制系统m北京：国防工业出版社，20037曹健，魏晨.基于petri网的飞控计算机系统可靠性建模与分析j.系统仿真学,2010(z1):239242.8任文杰，王伟，王丽君，蒙特卡罗仿真在飞控系统可靠性评估中的研究j.计算机仿真,2009,26(4):6366.9韩炜，臧红伟，谢克嘉.四余度容错计算机系统结构及其可靠性分析j.计算机工程与科学,2003,25(1):98100.10刘小雄，陈怀民，章卫国.飞行控制系统余度管理算法在vxworks中的实现j.计算机工程与应用,2006,42(2):230232.11李哲

18、.大型运输机飞控系统可靠性设计技术分析c/大型飞机关键技术与高层论坛暨中国航空学会2007学术年会论文集.深圳：中国航空学会，2007:7981.12capriglione d, liguori c. analytical redundancy for sensor fault isolation and accommodation in public transportation vehicles j. ieee transactions on instrumentation, 2004, 53(4): 1457146213polycarpou m, zhang xiaodong, xu r

19、, et al. a neural network based approach to adaptive fault tolerant f1ight control c/ proceedings of the ieee international symposium on intelligent control, 2004: 616614marcello n, silvstri g. sensor validation using hardwarebased online learning neural networks j. ieee transactions on aerospace and electronic systems, 1998, 34(2): 566615徐立云一种双机备份系统的软实现j测控技术，2000，19(8)：4344