论文部分内容阅读
[摘 要]对高空长航时无人机机载计算机可靠性指标要求,运用余度技术提高其可靠性与容错能力的方法,探讨了一种同构三余度的机载计算机。该方案设计合理,不仅较好地完成了机载计算机的余度管理任务,而且有效提高了故障检测率,保证了系统的可靠性与容错能力。
[关键词]飞控计算机 非相似余度 可靠性
中图分类号:G623.58 文献标识码:A 文章编号:1009-914X(2014)33-0153-02
引言
基于无人机飞控计算机系统对可靠性和容错性的要求,研究在无人机受到非致命损伤或故障情况下,仍能保持飞机可靠飞行的高生存力飞行控制计算机系统冗余架构方法是必要的。
1余度技术及可靠性分析简介
余度技术(RedundantTechnique)也称为冗余技术或容错技术,是通过为控制系统添加多重资源(硬件或软件)并通过合理的管理,从而提高系统可靠性的方法。无人机对飞控计算机系统的可靠性有特殊的要求,因此对有较高可靠性要求的飞控计算机系统,多余度冗余架构设计是保证无人机飞行安全及任务能力的有效方法。
定性来看,提高独立通道数量可以降低飞控系统失效概率。在进行余度设计之前,要以满足任务可靠性和安全性定量指标为基础,以最少的通道余度数量和复杂性为原则,制定出容错能力的基本准则。过高的容错能力反而降低系统的基本可靠性,提高开发和维护难度,并造成全寿命周期费用的增加。
根据MIL—F一9490D对余度的定义:余度是需要出现两种或两种以上的独立故障状态,而不是一个单独故障情况下,才有可能引发既定的有损害后果的设计方法。采用两套或两套以上的部件,分系统或者通道每个都可以单独完成给定的工作任务。余度设计需引入监控系统,以检测出各个通道的状态,完成故障的定位、隔离和控制通道的切换。
国内外有很多可靠性分析方法用于对多余度架构系统进行可靠性分析,如故障树分析法、Petri网络图分析法、蒙特卡罗仿真分析法、全概率分解法等,也开发了较为成熟的可靠性分析软件,。对于三余度飞控计算机架构的可靠性这一特定问题,如果重点关注余度通道切换过程分析及多通道状态组合转换,那么马尔可夫过程分析方法是较为合适的。
2 余度技术及可靠性分析简介
2.1 三余度飞控计算机硬件框架
三余度飞控计算机有3个独立的控制通道A,B,C及余度管理模块组成。每个单独的飞控通道之间有CCDL交叉数据链路实现数据共享。飞控计算机通过GJB1553B总线与其它机载计算机或设备进行通信。飞控计算机硬件总体框架如图1所示。
飞控计算机各功能部件设计如下:
(1)主控模块。主控模块是飞控独立通道的数据处理和计算工作的核心部件。针对国内航空领域的设计要求和技术现状,可采用PowerPC7410处理器作为核心处理元件,在Vxworks嵌入式操作系统环境下开发运行多任务飞控应用软件。
(2)I/O模块。I/O模块是飞控独立通道对外的数据接口模块,负责采集机载传感器系统的数据。按照采集信号的类型,I/O模块可搭载AD/DA/DI/DO/RS422/232/429等各类数据采集芯片。
(3)cPCI并行总线。cPCI通过板间共享内存空间的方式,实现独立计算机内部板间数据的通信和共享。
(4)电源及背板。电源及背板是飞控计算机安全可靠的基础。电源应配有大容量电容,具有稳压、继电和断电保护能力[1引。背板搭载统一电气标准的矩形电连接器接口组件和cPCI总线链路,实现独立计算机内部主控模块和I/O模块的可靠通信。
(5)通道之间的交叉数据通信使用双口RAM来实现,各通道计算机通过硬件电路中的双口RAM进行数据交换。每一个通道向其他通道传输数据就如同向内存中写数据一样。这样既提高了可靠性,软件上操作也简单。在每一周期内各通道计算机将各自的输入数据封装在自己的CCDL数据包中,然后写入两边的双口RAM中,同时读取另外两台计算机的CCDL数据包后进行数据比较监控。
(6)余度管理模块。余度管理模块接收3个独立飞控计算机的舵机指令,并实时监控各飞控计算机的状态,经过表决和状态排除算法,选择正确的舵机控制指令作为飞控计算机系统的最终输出_1。飞控计算机的最终舵机控制指令发送到舵机伺服作动系统,控制舵机完成舵面动作控制以控制飞机本体的导航和姿态。机载传感器系统实时采集飞机的导航和姿态信息,并将之发送给飞控计算机,从而实现整个飞控系统的闭环控制。
2.2 三余度飞控软件流程设计
三余度飞控计算机的各个控制通道独立运行相似的飞控软件,其软件协同工作流程如图2所示。这里着重描述两个较为关键的技术。
(1)同步技术。为保证通道之间数据采集和比较的同步性能,需在通道间设置定时中断源,统一协调3个飞控通道的同步运行。利用Vxworks的任务挂起和唤醒机制,可在定时中断服务程序中运行SemGive()释放信号量,从而在各飞控通道同步唤醒本周期的任
务。在本周期任务完成输出步骤之后,飞控任务挂起,运行SemTake()等待下一周期同步中断。
(2)交叉比较技术。飞控各通道之间通过CCDL交叉链路实现通道之间数据的共享。从通信内容上说,通道间的数据比对可分为原始采集数据的比对和舵机控制指令的比对。由于飞控计算机采用同步技术,可以认为正常情况下,统一周期各飞控计算机所采集的原始
数据应是接近(模拟量)或相同(数字量)的,因此,可在获得其他通道原始数据之后进行数据的比对和分析,从而确定本通道的采集数据是否异常。各通道的舵机控制指令也需要进行通道间的比对,以保证对错误舵机控制指令的及时隔离。
3 可靠性建模和分析
分析系统的可靠性,首先要建立系统的可靠性模型。本文提出的三通道热备份飞控系统可以看作一个简单的不可维修并联结构,某一通道出现一次故障则将为二余度系统,两个通道出现故障则降级为单通道系统,系统仍可持续运行,直至三通道均出现故障才失效。在一个随机过程中,如果由一种状态转移到另一种状态的转移概率只与当前状态相关,而与之前的状态无关,则此过程可称为马尔可夫过程,其行为和特性可用马尔可夫模型来描述。对于本文讨论的平行三余度飞控计算机系统设计方案,可以认为,其正常和故障的状态转换机制无时间项,因此非常适用于用马尔科夫模型进行冗余结构可靠性和安全性分析。对三余度飞控计算机的可靠性模型作如下简化:
(1)余度管理模块作为飞控计算机余度切换的核心,相对于3个独立的飞控通道,可认为其失效概率为小量,即不考虑余度管理模块的失效概率。
(2)3个独立的飞控通道一旦发生故障,如不立刻隔离,将立刻引发危险。
(3)3个独立的飞控通道故障检测覆盖率均为C,失效率相同且为大于零的常数。
(4)保守认为,任何独立通道一旦出现一级故障就不可逆转,且会导致危险指令输出。
4 结语
本文针对无人机飞控系统对控制可靠性的要求,提出一种平行热备份的三余度飞控系统架构方案,并给出总体的软硬件架构及可靠性分析结论,可以作为高可靠性长航时无人机飞控系统设计的参考方案。
参考文献
[1] 宋翔贵,张新国.电传飞行控制系统[M].国防工业出版社,2011.
[2] 曹健,魏晨.基于Petri网的飞控计算机系统可靠性建模与分析[J].系统仿真学,2010(z1):239-242.
[3] 任文杰,王伟,王丽君,蒙特卡罗仿真在飞控系统可靠性评估中的研究[J].计算机仿真,2009,26(4):63-66.
[4] 韩炜,臧红伟,谢克嘉.四余度容错计算机系统结构及其可靠性分析[J].计算机工程与科学,2003,25(1):98-100.
[关键词]飞控计算机 非相似余度 可靠性
中图分类号:G623.58 文献标识码:A 文章编号:1009-914X(2014)33-0153-02
引言
基于无人机飞控计算机系统对可靠性和容错性的要求,研究在无人机受到非致命损伤或故障情况下,仍能保持飞机可靠飞行的高生存力飞行控制计算机系统冗余架构方法是必要的。
1余度技术及可靠性分析简介
余度技术(RedundantTechnique)也称为冗余技术或容错技术,是通过为控制系统添加多重资源(硬件或软件)并通过合理的管理,从而提高系统可靠性的方法。无人机对飞控计算机系统的可靠性有特殊的要求,因此对有较高可靠性要求的飞控计算机系统,多余度冗余架构设计是保证无人机飞行安全及任务能力的有效方法。
定性来看,提高独立通道数量可以降低飞控系统失效概率。在进行余度设计之前,要以满足任务可靠性和安全性定量指标为基础,以最少的通道余度数量和复杂性为原则,制定出容错能力的基本准则。过高的容错能力反而降低系统的基本可靠性,提高开发和维护难度,并造成全寿命周期费用的增加。
根据MIL—F一9490D对余度的定义:余度是需要出现两种或两种以上的独立故障状态,而不是一个单独故障情况下,才有可能引发既定的有损害后果的设计方法。采用两套或两套以上的部件,分系统或者通道每个都可以单独完成给定的工作任务。余度设计需引入监控系统,以检测出各个通道的状态,完成故障的定位、隔离和控制通道的切换。
国内外有很多可靠性分析方法用于对多余度架构系统进行可靠性分析,如故障树分析法、Petri网络图分析法、蒙特卡罗仿真分析法、全概率分解法等,也开发了较为成熟的可靠性分析软件,。对于三余度飞控计算机架构的可靠性这一特定问题,如果重点关注余度通道切换过程分析及多通道状态组合转换,那么马尔可夫过程分析方法是较为合适的。
2 余度技术及可靠性分析简介
2.1 三余度飞控计算机硬件框架
三余度飞控计算机有3个独立的控制通道A,B,C及余度管理模块组成。每个单独的飞控通道之间有CCDL交叉数据链路实现数据共享。飞控计算机通过GJB1553B总线与其它机载计算机或设备进行通信。飞控计算机硬件总体框架如图1所示。
飞控计算机各功能部件设计如下:
(1)主控模块。主控模块是飞控独立通道的数据处理和计算工作的核心部件。针对国内航空领域的设计要求和技术现状,可采用PowerPC7410处理器作为核心处理元件,在Vxworks嵌入式操作系统环境下开发运行多任务飞控应用软件。
(2)I/O模块。I/O模块是飞控独立通道对外的数据接口模块,负责采集机载传感器系统的数据。按照采集信号的类型,I/O模块可搭载AD/DA/DI/DO/RS422/232/429等各类数据采集芯片。
(3)cPCI并行总线。cPCI通过板间共享内存空间的方式,实现独立计算机内部板间数据的通信和共享。
(4)电源及背板。电源及背板是飞控计算机安全可靠的基础。电源应配有大容量电容,具有稳压、继电和断电保护能力[1引。背板搭载统一电气标准的矩形电连接器接口组件和cPCI总线链路,实现独立计算机内部主控模块和I/O模块的可靠通信。
(5)通道之间的交叉数据通信使用双口RAM来实现,各通道计算机通过硬件电路中的双口RAM进行数据交换。每一个通道向其他通道传输数据就如同向内存中写数据一样。这样既提高了可靠性,软件上操作也简单。在每一周期内各通道计算机将各自的输入数据封装在自己的CCDL数据包中,然后写入两边的双口RAM中,同时读取另外两台计算机的CCDL数据包后进行数据比较监控。
(6)余度管理模块。余度管理模块接收3个独立飞控计算机的舵机指令,并实时监控各飞控计算机的状态,经过表决和状态排除算法,选择正确的舵机控制指令作为飞控计算机系统的最终输出_1。飞控计算机的最终舵机控制指令发送到舵机伺服作动系统,控制舵机完成舵面动作控制以控制飞机本体的导航和姿态。机载传感器系统实时采集飞机的导航和姿态信息,并将之发送给飞控计算机,从而实现整个飞控系统的闭环控制。
2.2 三余度飞控软件流程设计
三余度飞控计算机的各个控制通道独立运行相似的飞控软件,其软件协同工作流程如图2所示。这里着重描述两个较为关键的技术。
(1)同步技术。为保证通道之间数据采集和比较的同步性能,需在通道间设置定时中断源,统一协调3个飞控通道的同步运行。利用Vxworks的任务挂起和唤醒机制,可在定时中断服务程序中运行SemGive()释放信号量,从而在各飞控通道同步唤醒本周期的任
务。在本周期任务完成输出步骤之后,飞控任务挂起,运行SemTake()等待下一周期同步中断。
(2)交叉比较技术。飞控各通道之间通过CCDL交叉链路实现通道之间数据的共享。从通信内容上说,通道间的数据比对可分为原始采集数据的比对和舵机控制指令的比对。由于飞控计算机采用同步技术,可以认为正常情况下,统一周期各飞控计算机所采集的原始
数据应是接近(模拟量)或相同(数字量)的,因此,可在获得其他通道原始数据之后进行数据的比对和分析,从而确定本通道的采集数据是否异常。各通道的舵机控制指令也需要进行通道间的比对,以保证对错误舵机控制指令的及时隔离。
3 可靠性建模和分析
分析系统的可靠性,首先要建立系统的可靠性模型。本文提出的三通道热备份飞控系统可以看作一个简单的不可维修并联结构,某一通道出现一次故障则将为二余度系统,两个通道出现故障则降级为单通道系统,系统仍可持续运行,直至三通道均出现故障才失效。在一个随机过程中,如果由一种状态转移到另一种状态的转移概率只与当前状态相关,而与之前的状态无关,则此过程可称为马尔可夫过程,其行为和特性可用马尔可夫模型来描述。对于本文讨论的平行三余度飞控计算机系统设计方案,可以认为,其正常和故障的状态转换机制无时间项,因此非常适用于用马尔科夫模型进行冗余结构可靠性和安全性分析。对三余度飞控计算机的可靠性模型作如下简化:
(1)余度管理模块作为飞控计算机余度切换的核心,相对于3个独立的飞控通道,可认为其失效概率为小量,即不考虑余度管理模块的失效概率。
(2)3个独立的飞控通道一旦发生故障,如不立刻隔离,将立刻引发危险。
(3)3个独立的飞控通道故障检测覆盖率均为C,失效率相同且为大于零的常数。
(4)保守认为,任何独立通道一旦出现一级故障就不可逆转,且会导致危险指令输出。
4 结语
本文针对无人机飞控系统对控制可靠性的要求,提出一种平行热备份的三余度飞控系统架构方案,并给出总体的软硬件架构及可靠性分析结论,可以作为高可靠性长航时无人机飞控系统设计的参考方案。
参考文献
[1] 宋翔贵,张新国.电传飞行控制系统[M].国防工业出版社,2011.
[2] 曹健,魏晨.基于Petri网的飞控计算机系统可靠性建模与分析[J].系统仿真学,2010(z1):239-242.
[3] 任文杰,王伟,王丽君,蒙特卡罗仿真在飞控系统可靠性评估中的研究[J].计算机仿真,2009,26(4):63-66.
[4] 韩炜,臧红伟,谢克嘉.四余度容错计算机系统结构及其可靠性分析[J].计算机工程与科学,2003,25(1):98-100.