余度系统

余度系统（通用6篇）

余度系统 篇1

现代民用飞机起落架系统对安全性、可靠性要求日益提高, 尤其对误指示、误告警的安全性要求越来越高。误指示、误告警事件有可能导致灾难级事故的发生。这就对起落架位置指示系统的容错能力提出了更加严格的要求。

目前大型民用客机如B737系列、A320系列等均采用有余度的传感器系统, 每个起落架位置上均有两个接近传感器。A340等更为先进的民用客机不仅传感器具有余度, 且起落架控制单元也具有余度。具有余度的起落架位置指示系统可以保证系统失效时起落架位置判断逻辑具备容错能力, 保持对起落架状态的正确判断。起落架位置指示系统是起落架控制系统的核心, 其意义十分重大。

本文根据可靠性数据分析, 提出了一种具有余度的起落架位置指示系统架构。

1 起落架位置指示系统可靠性数据

适航规定CCAR25部R3版729条c款规定如下。

(c) 应急操作:必须有应急措施可在下列情况下放下起落架。

(1) 正常收放系统中任何合理可能的失效。

(2) 任何单个液压源、电源或等效能源的失效。

为满足以上适航规定, 现代民用飞机起落架系统一般具备两套系统, 正常收放系统和应急放系统, 其中起落架位置指示系统即属于正常收放系统。根据经验可靠性数据通过FTA分析, 在设计中为起落架位置指示系统分配的可靠性指标为1e-7。

同时, 根据一般民用飞机设计经验, 用于起落架位置指示的电磁式非接触传感器的可靠性为1e-5, 研发保障等级为B级的起落架控制单元可靠性一般为1e-5, 用于电控起落架的收放手柄微动开关的可靠性为1e-5。为了满足起落架位置指示系统的可靠性指标, 应对以上单个可靠性不达标的元件采取余度设计, 即每个元件均应有相同的备份元件。

2 位置指示原理

为了使飞行员及时获得起落架位置状态, 每个起落架的位置信息须在驾驶舱的综合显示屏上显示。综合显示屏通常由航电系统管理, 显示信息由航电系统从各控制单元或计算机收集、计算并转换成适当的格式显示。航电系统从起落架控制单元获得每个起落架的传感器信号, 根据显示逻辑判断, 获得起落架位置信息并显示在屏幕上。

2.1 起落架控制单元设置

起落架位置指示系统原理图如图1所示。其中, 起落架控制单元负责处理收放手柄和位置传感器传递的信号, 并与航电系统交换信息。为了保证可靠性, 采用两个互为备份且同时工作的起落架控制单元, 两起落架控制单元具备交互通信功能。

2.2 位置传感器设置

为了提高起落架位置信号采集的可靠性, 在每个位置 (上位锁和下位锁) 上均设置两个接近传感器, 互为备份, 分别与两个起落架控制单元连接。每个起落架上的下位锁传感器均安装在锁连杆上, 上位锁传感器安装在上位锁内。上位锁的布置原理图如图2所示, 下位锁与上位锁的布置相似。

起落架有两个锁定位置:放下位置和收上位置。以前起落架为例, 如图3所示, 起落架在放下位置时, 锁连杆在弹簧拉力作用下到达过中心位置, 将侧撑杆和缓冲支柱锁死, 起落架放下锁定。此时安装在锁连杆上的传感器检测到起落架处于放下位置。起落架在收上位置时, 起落架缓冲支柱上的结构被上位锁锁定, 上位锁内的机构处于上锁位置, 上位锁传感器检测到起落架处于收上锁定位置。

2.3 起落架收放手柄设计

起落架收放手柄内包括两个并联的微动开关, 同时向起落架控制单元发出冗余的起落架收上或放下指令。起落架位置传感器包括上位锁传感器和下位锁传感器分别采集起落架收上和放下位置信息。液压控制系统主要包括液压阀和作动筒, 执行起落架控制单元发出的作动指令。原理图如图4所示。

3 起落架位置判断逻辑设计

对于多输入系统, 信息融合的判断逻辑应充分利用冗余的传感器和开关信号在传感器和开关均正常时逻辑能够准确判断起落架位置, 在部分传感器或开关发出误指示时, 应具有纠错能力, 保证指示的准确性。因此, 起落架位置判断逻辑应同时考虑起落架上下位锁传感器和起落架收放手柄位置, 将多个传感器和开关的位置信息融合并判断出起落架的状态。

4 结语

以可靠性设计为驱动, 在起落架位置指示系统设计中采用冗余的起落架控制单元、收放手柄微动开关和上下位锁传感器可得到可靠高的起落架位置指示信号。在部分系统失效时可实现判断逻辑的纠错功能, 保证起落架位置指示准确性。

余度系统 篇2

实践中我们发现, 有余度的传感器系统较传统的起落架位置指示系统对于位置的判断更加准确, 且已经被部分应用于大型民用客机的起落控制中, 常见的有B737系列和A320系列。该系统和传统的起落架位置指示系统的最主要的区别在于每一个起落架的位置上都由两个传感器构成, 这种设计方式不仅使传感器具有余度, 还使得起落架控制单元更具余度。具备了一定余度的起落架位置指示系统在对飞机的起落位置进行判断时, 就可以做到在系统无法运转的情况下保证起落架位置指示系统的正常逻辑判断, 减免误指示和误告警的发生几率。起落架位置指示系统对于飞机的起落控制有着非常重要的指导意义, 是起落架控制系统的核心, 因此, 对起落架位置指示系统进行增强余度的设计至关重要。

下文中笔者将结合一些实际数据对该问题进行分析, 并提出了一种有余度的起落架位置指示系统的设计方案, 诸多不足, 还望批评指正。

1 起落架位置指示系统可靠性数据

我国的适航规定中对于该问题有着明确的阐述和规定:

1.1 起落架位置指示系统的应急操作:

即飞机的起落架指示系统必须配有一定的突发情况预防措施, 能够在飞机起落控制发生异常时及时做出反应, 避免发生更大的安全事故, 应急预案的最重要的部分就是起落架的紧急下落。

1.2 飞机起落架位置指示系统中必须含有正常的独立的起落架收放系统, 旨在避免任何操作指示的可能失效。

1.3 指示系统中必须配备相应的电压和电源管理措施, 以防止系统的电源功能失效。

以上述的基本条款为依据, 我国目前的现代民用飞机起落架指示系统如果想要做到有余度的运行, 就必须要配备两套系统, 即正常收放系统和应急放系统。传统意义上的起落架位置指示系统只包括了正常收放系统, 所以在面对系统的突发状况或者故障时, 就容易出现误指示和误告警的现象, 而两套系统的同时运作就可以避免这种现象, 从而提高系统运行的安全性和可靠性。

此外, 根据一般民用飞机设计经验, 采用起落架位置指示的电磁式非接触传感器的可靠性也较普通的传感器的可靠性更强, 所以在研发过程中我们要尽量的选择非接触式传感器。同时, 等级为B级的起落架控制单元可靠性和用于电控起落架的收放手柄微动开关的可靠性也都能满足系统的余度要求。这些元件和设备的应用可以有效的增强系统的运行可靠性。所以说, 为了满足起落架位置指示系统的可靠性指标, 应分别加强对各个元件进行余度提高的设计, 即对每一个系统中的运行元件都进行备份设计。

2 位置指示原理

为了使飞行员及时获得起落架位置状态, 能够及时的调整飞机的起落状态, 各个起落架的位置信息须在驾驶舱的综合显示屏上显示。综合显示屏通常由航电系统管理, 上面的各类显示信息由航电系统从各控制单元或计算机收集、计算后, 转换成显示屏识别的格式传输给显示系统。随后, 航电系统从起落架控制单元获得每一个起落架的传感器信号, 根据显示数据进行逻辑判断, 获得起落架位置信息并显示在屏幕上, 以供飞行员参考。下面笔者就详细的介绍起落架为位置指示工作原理。

2.1 起落架控制单元设置

起落架位置指示系统的基本原理在起落架控制单元的控制下, 系统的各元件对搜集到的各信息进行逻辑判断和处理后传递给航电系统, 航电系统再通过对各种信息的对比分析后, 将操作建议反馈给控制单元。在这个过程中, 起落架控制单元负责处理收放手柄和位置传感器传递的信号, 并与航电系统交换信息。通常情况下为了保证可靠性, 可以采用两个互为备份且同时工作的起落架控制单元对系统进行控制, 不仅可以做到系统的备份, 还能够实现交互通信功能。

2.2 位置传感器设置

为了提高起落架位置信号采集的可靠性, 在上位锁和下位锁上分别设置两个接近的传感器, 使他们形成互为备份, 分别与两个起落架控制单元连接, 一旦其中的某一台出现故障或者信号识别障碍, 另一台可以及时做到信息补充。另外, 值得注意的是每一个起落架上的下位锁传感器均安装在锁连杆上, 上位锁传感器则应该安装在上位锁内。

我们都知道起落架有两个锁定位置:放下位置和收上位置。传统的起落架在锁定和开锁时的状态分别是:起落架在放下位置时, 锁连杆在弹簧拉力作用下到达过中心位置, 将侧撑杆和缓冲支柱锁死, 起落架放下锁定。此时安装在锁连杆上的传感器检测到起落架处于放下位置。起落架在收上位置时, 起落架缓冲支柱上的结构被上位锁锁定, 上位锁内的机构处于上锁位置, 上位锁传感器检测到起落架处于收上锁定位置。

2.3 起落架收放手柄设计

起落架收放手柄内包括两个并联的微动开关, 所以在系统运行的过程中, 两个开关会同时向起落架控制单元发出冗余的起落架收上或放下指令。起落架位置传感器包括上位锁传感器和下位锁传感器, 分别采集起落架收上和放下位置信息, 可以对起落架的位置进行更加全方位的判断。液压控制系统主要包括液压阀和作动筒, 执行起落架控制单元发出的作动指令。

3 起落架位置判断逻辑设计

对于现代民用飞机的起落架位置指示系统这样的多输入系统, 信息融合的判断逻辑应充分利用冗余的传感器和开关信号, 而不应似以往的系统只针对控制单元的信息进行判断。在逻辑判断的过程中, 充分的考虑备份传感器和开关信号, 可以在二者均处于正常状态时更加全面和准确的判断出飞机的起落架位置, 也可以在部分传感器或开关发出误指示时, 发挥纠错能力, 保证指示的准确性。因此, 起落架位置判断逻辑应同时考虑起落架上下位锁传感器和起落架收放手柄位置, 将多个传感器和开关的位置信息融合并判断出起落架的状态。

结束语

综上所述, 民用飞机的起落架位置指示系统关系到飞机的起落安全问题, 应该引起有关部门的足够重视, 以往的起落架位置指示系统由于没有系统冗余, 容易导致误指示和误告警的现象。笔者在认真分析了飞机起落架系统的应用后, 提出了一种以可靠性设计为驱动, 增加了冗余的起落架控制单元、收放手柄微动开关和上下位锁传感器的起落架位置指示系统, 仅供参考, 诸多不足, 还望批评指正。

参考文献

[1]樊广军, 袁理, 鲁立君, 蒋炳炎.飞机起落架收放空间机构运动分析[J].郑州大学学报 (工学版) , 2012 (1) .[1]樊广军, 袁理, 鲁立君, 蒋炳炎.飞机起落架收放空间机构运动分析[J].郑州大学学报 (工学版) , 2012 (1) .

余度系统 篇3

为解决上述问题，自2010年起，南京航空航天大学与中国石油天然气管道局维抢修分公司合作，共同进行开孔机的研发设计工作，并已取得显著成绩。在进行海底管道开孔机设计的过程中，项目组发现，由于海洋环境的特殊性，对开孔机的远程控制是制约陆地开孔机向海洋开孔机发展的一个重大难题。经过大量调研和实验，最终设计出了基于PLC和通用型控制器(HY-TTC60)的非对称双余度电气控制系统，很好地解决了这一难题。

1 海底管道开孔机

1.1 开孔机系统介绍

海底管道开孔机，顾名思义，是指在海底环境中应用的管道开孔机，设计水深为120 m。海底管道开孔机主要包括4个系统，分别是动力系统、传动系统、压力平衡系统和远程控制与显示系统。

海底管道开孔机以液压为动力，通过置于陆地上的液压站为水下的开孔机提供液压动力[4]。动力系统包括液压站、液压阀组以及液压马达。马达将液压动力转化成扭矩输入至开孔机的传动系统。开孔机传动系统包括齿轮箱、驱动套筒、主轴以及丝杠。因开孔机整机置于海水之中，为防止开孔机内部零件被海水腐蚀，在机体连接处均设有密封，将海水完全隔离在机体以外。开孔机在工作的过程中，由于零件之间的相互运动，会产生空腔;如果空腔的容积没有得到及时填充，会产生压差，影响开孔机的正常工作，为此增设压力平衡系统。压力平衡系统一方面补偿空腔容积，另一方面平衡海水压力，降低开孔机内外压差。

海底管道开孔机除了工作环境与陆地开孔机不同之外，在控制方面也有着很大的差别。因为陆地开孔机的工作环境介质为大气，所以开孔机操作人员可以通过控制安装于机体上的手动阀实现对开孔机的控制。而要实现对海底管道开孔机的控制，则需要安装远程控制与显示系统。该系统主要包括控制器、显示器、控制线缆和信号采集装置。该系统实现的功能是，监视海底管道开孔机的工作情况，控制其工作状态。

1.2 开孔机性能参数与机体结构

海底管道开孔机的主要性能参数如下:开孔直径为711～1 524 mm，主轴最大行程为4 064 mm，液压系统最大工作压力为25 MPa，设计水深为120 m，切削时主轴转速为8～15 r/min，切削时主轴进给量为0.07～0.08 mm/r，快速进给时丝杠最高转速为20 r/min，快速进给时主轴进给量为8 mm/r，切削管道材质为X80。

开孔机机体结构主要包括:进给马达、上齿轮箱、标尺杆、编码器、主轴集成(内含驱动套筒、主轴、丝杠和顶杆等)、蓄能器、驱动马达、下齿轮箱和主轴支承箱。开孔机机体结构如图1所示。

1为进给马达;2为上齿轮箱;3为标尺杆;4为编码器;5为主轴集成;6为蓄能器;7为驱动马达;8为下齿轮箱;9为主轴支撑箱

2 双余度控制

海底管道开孔机工作时的可维修性差，一旦出现问题，就预示着严重的安全事故，因此在设计时要重点考虑设备的可靠性。对于开孔工作来讲，海底环境复杂恶劣，导致设备失效的可能性较大。为了提到可靠性，在进行电气控制设计时，采用了以PLC为主控制器，HY-TTC60为辅助控制器的非对称双余度控制。双余度可保证一套设备失效的情况下开孔机仍能完成工作，非对称可保证两套设备不会因相同的故障同时失效。

2.1 PLC控制器PLC

(programmable logic controller,PLC)是一种专门为在工业环境下应用而设计的数字运算操作的电子装置[5]。海底管道开孔机选用PLC为主控制单元，硬件组要包括中央处理单元CPU、电源、存储器、输入输出接口、I/O扩展接口、外部设备接口、编程器。PLC选用的编程语言为梯形图，方便理解和查找问题。PLC选用西门子S7-300系列，如图2(左)所示。

2.2 通用型控制器HY-TTC60

HY-TTC60是一款专为适应恶劣环境而设计的电子控制设备，可在-45～85℃的温度下使用，单个HY-TTC60的每小时故障率仅为2×10-7，平均危险故障间隔时间长达66年。HY-TTC60是16/32位英飞凌XC2287处理器，80 MHz的主频，768 KB的内部Flash,82 KB的内部RAM,512 KB的外部RAM,64 KB的EEPROM。HY-TTC60的编程语言有两种———C++和CoDeSys。因为CoDeSys在其他控制器上的应用较少，为了提高程序的可读性，选用C++作为主要的编程语言。HY-TTC60实物图如图2(右)所示。

3 总体控制设计

海底开孔机的电气控制主要存在以下几个难点:

(1)海底管道开孔机的设计水深为120 m，电信号特别是传感器的信号衰减明显。

(2)开孔机在安装时需要潜水员协助，出于对潜水员的安全考虑，不能有强电通入水下。

(3)海底管道开孔机工作时位于120 m的水下，部分电气设备和电缆需要入水，这就要求考虑这些设备的防水性能。

(4)开孔机在工作过程中震动明显，安装在开孔机上的电器必须能够抗震或者有必要的防震措施。

根据海底管道开孔机的设计需求和以上难点分析，对其远程控制及显示系统进行设计。

3.1 设计说明

海底管道开孔机的控制思路如图3所示。开孔机电气控制包括水上和水下两个部分。水上部分为PLC主站和综合监控计算机，水下部分为PLC从站和HY-TTC60从站。水上主站负责显示开孔机的主要参数和工作状态，并根据操作人员的控制对水下从站发出指令;水下从站主要负责采集传感器组的参数，并将主站的指令分配到对应的电磁阀上。

将整个电气控制分别在水下和水上进行集成，中间采用光纤进行信号传输，有效地解决了信号衰减的问题。本设计所选用电气设备均是12～24 V直流供电，所以避免了将强电通入水下。在开孔机机体上安装水密箱，将水下从站和电磁阀组集成在水密箱中，进行防水处理。考虑到PLC的抗震效果不好，所以选取HY-TTC60与PLC共同组成双余度非对称的冗余设计。HY-TTC60是专为适应恶劣环境而设计的电子控制设备，可以适应海底管道开孔机强烈震动的工况。因此，本设计从不同角度分别解决了开孔机水下控制所遇到的困难，在理论上可以实施。

3.2 控制系统原理图

根据开孔机的工作状态，确定电磁阀的逻辑关系，结合传感器传输的参数，最终确定电控步骤。海底管道开孔机电控步骤和逻辑关系如图4所示。

由图4可知，开孔机的电气控制共分六步完成:步骤一控制完成机械三通的安装，步骤二控制进给马达正转实现开孔机进给，步骤三控制挂档油缸实现进给向切削的转变，步骤四控制切削马达完成切削，步骤五再次控挂档油缸转变工作状态，步骤六控制进给马达反转实现退刀。开孔机的电气控制包括全自动控制和半自动控制。全自动控制是指上述六步一气呵成，每一步之间不需要任何人为操作;半自动控制是指上述六步分步完成，每完成一步都需要操作人员进行确定才能继续执行下一步。这两种控制方式，也是针对开孔过程中可能会遇到卡刀的问题所做出的设计。

根据上述分析，对电气参数进行详细计算，对电缆和接头进行选型，结合型号参数，绘制电气控制原理图。其中，HY-TTC60的部分原理图如图5所示。

结合电气控制原理图，对元器件位置、线路走势进行布置，对PLC和HY-TTC60进行接线和编程，最终完成整个电气控制系统设计。

4 电气控制实验

为了验证电气控制系统的性能，并对不足之处进行改进，进行了电气控制实验。该实验采用机电联调方式进行，主要是液压控制和电气控制联调。实验现场如图6所示。

实验以主轴行程为测量参数，实验过程中顺序执行相关操作完成开孔，期间观察开孔机工作状态，记录测量数据。主轴行程校验表如表1所示。

鉴于前期已经对分系统进行了实验，所以电气控制系统实验顺利完成，各按键、旋钮均可正常工作，反应灵敏。根据表1中记录的数据可以看出，开孔机运行误差在可接受的范围内，电气控制系统达到设计要求。

5 结论

基于PLC和HY-TTC60的非对称双余度海底管道开孔机电气控制系统，解决了海底管道开孔机远程控制的几大难题，为横跨水陆的控制提出了新的控制思路，主要有以下优点。

(1)以PLC为主控制单元，兼容通用型控制器HY-TTC60，形成非对称双余度系统，既保证了控制系统在恶劣环境下的稳定性，又为将来的扩展保留了足够的空间。

(2)将水上和水下的信号分别集成，中间采用光纤传输的方式，不仅解决了信号衰减的问题，还降低了大量使用电缆所带来的费用。

(3)鉴于海底管道开孔机的特殊工作环境，一旦失效会带来非常严重的后果，因此可靠性是一个重要的技术指标。双余度的设计理念引自航空器的“冗余设计”，在不明显提高成本的前提下，提高系统的可靠性。

(4)相对于陆地开孔机的控制，引入了电气控制显示装置，采用西门子的人机界面进行显示，可以有效地监控开孔机在水下的工作状态。

摘要：为填补国内海底管道开孔机的空白,进行了海底管道开孔机的研制。鉴于其特殊的工作环境,需要远程控制系统对开孔机进行监控。为了解决远程控制系统所面临的可靠性、信号衰减、密封和剧烈震动的问题,设计了基于PLC和HY-TTC60的双余度远程电气控制系统。经过实验验证,该控制系统能够控制开孔机完成开孔;并能实时监视开孔机的工作状态。根据实验采集的数据判断,该控制系统精度满足设计要求。

关键词：海底管道开孔机,PLC,通用型控制器,电气控制,双余度控制

参考文献

[1] 戚爱华.“十二五”我国油气管道运输发展趋势分析.综合运输,2011;(4):15—18Qi Aihua.“Twelfth five-year”development trend analysis of oil and gas pipeline in our country.Integrated Transport,2011;(4):15—18

[2] 姚伟,姜昌亮,丛建华,等.管道全方位安全风险预控.中国石油企业,2010;12:90—93Yao Wei,Jiang Changliang,Cong Jianhua,et al.Pipeline comprehensive security risk precontrol.Chinese Oil Companies,2010;12:90 —93

[3] 狄彦,帅健,王晓霖,等.油气管道事故原因分析及分类方法研究.中国安全科学学报,2013;23(007):109—115Di Yan,Shuai Jian,Wang Xiaolin,et al.Study on methods for classifying oil&gas pipeline incidents.China Safety Science Journal,2013;23(007):109—115

[4] 喻重山,张宏,赵宏林,等.压力平衡式水下开孔机液压控制系统的设计.机床与液压,2007;35(9):127—128,132Yu Chongshan,Zhang Hong,Zhao Honglin,et al.The design of hydraulic control system in underwater tapping machine with pressure balance.Machine Tool&Hydraulics,2007;35(9):127—128,132

三余度飞控计算机的关键技术研究 篇4

关键词：飞控计算机,冗余技术,同步,余度管理

余度管理技术是多余度飞控计算机提高可靠性的基本途径[1,2]。本论文提出的同步和余度管理技术, 可满足多余度飞控系统对同步精度和余度管理能力的要求, 现已在某型无人机的设计上得以应用。

一、三余度飞控计算机框架设计

三余度飞控计算机由三个独立的控制通道A、B、C及余度管理模块组成。每个单独的飞控通道之间利用CCDL交叉数据链路实现数据共享。飞控计算机硬件总体框架如图1所示。

飞控计算机各功能部件设计如下:

主控模块是飞控独立通道的数据处理和计算工作的核心部件[3,4]。IO模块是飞控独立通道对外的数据接口模块, 负责采集机载传感器系统的数据。按照采集信号的类型, IO模块可搭载AD/DA/DI/DO/RS422/232/429等各类数据采集芯片。余度管理模块接收三个独立飞控计算机的舵机指令, 并实时监控各飞控计算机的状态, 经过表决和状态排除算法, 选择正确的舵机控制指令作为飞控计算机系统的最终输出。

此外, 还有c PCI并行总线、电源、背板和双口RAM作为基础硬件支持。

二、基于独立仲裁模块的余度管理

通道之间通过交叉通讯链路 (CCDL) 进行完整的资源共享及状态信息交互。各飞控通道的状态信息通过RS422以完整状态帧的形式, 把该飞控通道的完整自监控状态字发送给仲裁模块。仲裁模块接收三通道飞控状态字, 进行综合比较和权衡, 作出通道使能的选

余度管理模块 (MTM) 接收到来自飞控各通道的自检状态帧之后, 将对其故障类型进行分级。按照故障影响的严重程度, 可将飞控计算机故障分为两类:

一级故障:后果严重, 导致飞控该通道完全不能继续持续工作, 必须重启该飞控通道并切换伺服系统控制权。

二级故障:影响在控制范围内, 可以通过交叉控制链路的数据加以消除, 此时余度管理模块 (MTM) 需全面考虑另外通道的状态, 才能给出是否切换伺服系统控制权的仲裁指令。

仲裁模块的通道切换动作也不再仅仅以当前控权通道的状态为触发条件, 而是综合考虑全系统各通道的具体状态, 从而决定是否有必要切换当前控制通道。仲裁模块的分级调度策略如表2所示。

这种基于独立仲裁模块的余度管理方案, 其区别于前文所给出的DIO方案, 在于将仲裁判断的工作完全转交给仲裁模块, 并通过RS422串口发送足够详细的通道自检状态字供其调用。这种方案的优点是仲裁判断考虑方面更丰富全面, 故障分级策略的应用可以减少通道切换的误判和漏判, 能够更大程度地多通道控制冗余的能力。但是, 较为复杂的调度策略增加了仲裁模块的复杂度, 增加了开发难度。

三、通道切换的试验验证

通道切换功能试验验证的目的是检验该余度管理技术方案能够正确地进行通道切换, 以及定量地测量通道切换时间, 因此试验验证工作应分两步进行。

第一步, 验证仲裁模块是否能够正确选择输出通道。首先控制三个飞控通道分别输出80%, 40%和10%的舵面控制指令, 然后按照表2所示, 依次向各飞控通道手动注入故障, 观察仲裁模块的最终输出选择, 来确定仲裁模块的通道选择正确性。如图3所示。

第二步, 定量测量仲裁模块的通道切换操作时间间隔及其对最终输出的干扰。在三个飞控通道已经能够实现周期同步的前提下, 让各通道同步输出等幅等相位的正弦信号指令, 通过手动进行故障注入, 观察分析最终输出指令的连续性, 如图4所示。

四、结论

本文在给定三余度飞控计算机硬件框架的前提下, 针对多通道余度管理需要克服的两项关键技术, 提出改进设计方案并给出一定的比对分析。本文所提出的余度管理方案已应用于某型自动飞行控制系统主控计算机系统的设计中, 其可行性已在仿真和试飞试验中得到验证。

参考文献

[1]刘小雄.无人机飞行控制计算机系统冗余设计技术研究[D].西北工业大学, 2004.

[2]申安玉, 等.自动飞行控制系统[M].国防工业出版社, 2003.

[3]王非.飞控计算机余度结构与设计策略研究[J].航空计算技术, 2004 (1) .

余度系统 篇5

基于无人机飞控计算机系统对可靠性和容错性的要求,研究在无人机受到非致命损伤或故障情况下,仍能保持飞机可靠飞行的高生存力飞行控制计算机系统冗余架构方法是必要的[1,2]。目前国内机载计算机的平均无故障间隔时间大约为105h,而通常民用飞机的FCC失效概率要求低于10-10/飞行小时,军用飞机也要求低于10-7/飞行小时[3]。为了实现FCC任务高可靠性指标,普遍采用的方法是采用多余度体系架构。

1 余度技术及可靠性分析简介

余度技术(Redundant Technique)也称为冗余技术或容错技术,是通过为控制系统添加多重资源(硬件或软件)并通过合理的管理,从而提高系统可靠性的方法[4,5]。无人机对飞控计算机系统的可靠性有特殊的要求,因此对有较高可靠性要求的飞控计算机系统,多余度冗余架构设计是保证无人机飞行安全及任务能力的有效方法。

定性来看,提高独立通道数量可以降低飞控系统失效概率。在进行余度设计之前,要以满足任务可靠性和安全性定量指标为基础,以最少的通道余度数量和复杂性为原则,制定出容错能力的基本准则。过高的容错能力反而降低系统的基本可靠性,提高开发和维护难度,并造成全寿命周期费用的增加。

根据MIL-F-9490D对余度的定义:余度是需要出现两种或两种以上的独立故障状态,而不是一个单独故障情况下,才有可能引发既定的有损害后果的设计方法。采用两套或两套以上的部件,分系统或者通道每个都可以单独完成给定的工作任务。余度设计需引入监控系统,以检测出各个通道的状态,完成故障的定位、隔离和控制通道的切换[6]。

国内外有很多可靠性分析方法用于对多余度架构系统进行可靠性分析,如故障树分析法、Petri网络图分析法[7]、蒙特卡罗仿真分析法[8]、全概率分解法[9]等,也开发了较为成熟的可靠性分析软件,如Relex StudI/O,ITEM,BlockSim等。对于三余度飞控计算机架构的可靠性这一特定问题,如果重点关注余度通道切换过程分析及多通道状态组合转换,那么马尔可夫过程分析方法是较为合适的。文献[10]利用该方法对四余度飞控系统进行了可靠性分析,其重点在于验证其架构的可行性,但未就影响整体可靠性的因素进行深入探讨。文献[11]对民机控制系统进行了可靠性分析,其重点在于电传操纵系统的整体可靠性分布。本文提出一种飞控计算机三余度架构设计,并利用马尔可夫方法对影响其多余度飞控计算机可靠性的因素进行了重点分析。

2 余度技术及可靠性分析简介

2.1 三余度飞控计算机硬件框架

三余度飞控计算机有3个独立的控制通道A,B,C及余度管理模块组成。每个单独的飞控通道之间有CCDL交叉数据链路实现数据共享。飞控计算机通过GJB1553B总线与其它机载计算机或设备进行通信。飞控计算机硬件总体框架如图1所示。

飞控计算机各功能部件设计如下:

(1)主控模块。主控模块是飞控独立通道的数据处理和计算工作的核心部件。针对国内航空领域的设计要求和技术现状,可采用PowerPC7410处理器作为核心处理元件,在VxWorks嵌入式操作系统环境下开发运行多任务飞控应用软件。

(2)I/O模块。I/O模块是飞控独立通道对外的数据接口模块,负责采集机载传感器系统的数据。按照采集信号的类型,I/O模块可搭载AD/DA/DI/DO/RS422/232/429等各类数据采集芯片。

(3)cPCI并行总线。cPCI通过板间共享内存空间的方式,实现独立计算机内部板间数据的通信和共享。

(4)电源及背板。电源及背板是飞控计算机安全可靠的基础。电源应配有大容量电容,具有稳压、继电和断电保护能力[12]。背板搭载统一电气标准的矩形电连接器接口组件和cPCI总线链路,实现独立计算机内部主控模块和I/O模块的可靠通信。

(5)通道之间的交叉数据通信使用双口RAM来实现,各通道计算机通过硬件电路中的双口RAM进行数据交换。每一个通道向其他通道传输数据就如同向内存中写数据一样。这样既提高了可靠性,软件上操作也简单。在每一周期内各通道计算机将各自的输入数据封装在自己的CCDL数据包中,然后写入两边的双口RAM中,同时读取另外两台计算机的CCDL数据包后进行数据比较监控。

(6)余度管理模块。余度管理模块接收3个独立飞控计算机的舵机指令,并实时监控各飞控计算机的状态,经过表决和状态排除算法,选择正确的舵机控制指令作为飞控计算机系统的最终输出[13]。

飞控计算机的最终舵机控制指令发送到舵机伺服作动系统,控制舵机完成舵面动作控制以控制飞机本体的导航和姿态。机载传感器系统实时采集飞机的导航和姿态信息,并将之发送给飞控计算机,从而实现整个飞控系统的闭环控制。

2.2 三余度飞控软件流程设计

三余度飞控计算机的各个控制通道独立运行相似的飞控软件,其软件协同工作流程如图2所示。这里着重描述两个较为关键的技术。

(1)同步技术。为保证通道之间数据采集和比较的同步性能,需在通道间设置定时中断源,统一协调3个飞控通道的同步运行。利用VxWorks的任务挂起和唤醒机制,可在定时中断服务程序中运行SemGive()释放信号量,从而在各飞控通道同步唤醒本周期的任务。在本周期任务完成输出步骤之后,飞控任务挂起,运行SemTake()等待下一周期同步中断。

(2)交叉比较技术。飞控各通道之间通过CCDL交叉链路实现通道之间数据的共享。从通信内容上说,通道间的数据比对可分为原始采集数据的比对和舵机控制指令的比对。由于飞控计算机采用同步技术,可以认为正常情况下,统一周期各飞控计算机所采集的原始数据应是接近(模拟量)或相同(数字量)的,因此,可在获得其他通道原始数据之后进行数据的比对和分析,从而确定本通道的采集数据是否异常。各通道的舵机控制指令也需要进行通道间的比对,以保证对错误舵机控制指令的及时隔离。

2.3 余度管理机制设计

余度管理模块的运行完全独立于飞控各独立通道。飞控各通道将全系统的工作状态以三路DO方式发送给余度管理模块,余度管理模块可利用CPLD作为表决器生成最终表决信号,控制多路选择开关将舵机控制信号入口连接到适合的飞控输出通道[14]。一种典型的余度管理模块硬件框架如图3所示。

3 可靠性建模和分析

3.1 三余度飞控软件流程设计

分析系统的可靠性,首先要建立系统的可靠性模型。本文提出的三通道热备份飞控系统可以看作一个简单的不可维修并联结构,某一通道出现一次故障则将为二余度系统,两个通道出现故障则降级为单通道系统,系统仍可持续运行,直至三通道均出现故障才失效。

在一个随机过程中,如果由一种状态转移到另一种状态的转移概率只与当前状态相关,而与之前的状态无关,则此过程可称为马尔可夫过程,其行为和特性可用马尔可夫模型来描述。对于本文讨论的平行三余度飞控计算机系统设计方案,可以认为,其正常和故障的状态转换机制无时间项,因此非常适用于用马尔科夫模型进行冗余结构可靠性和安全性分析。对三余度飞控计算机的可靠性模型作如下简化:

(1)余度管理模块作为飞控计算机余度切换的核心,相对于3个独立的飞控通道,可认为其失效概率为小量,即不考虑余度管理模块的失效概率。

(2)3个独立的飞控通道一旦发生故障,如不立刻隔离,将立刻引发危险。

(3)3个独立的飞控通道故障检测覆盖率均为c,失效率相同且为大于零的常数λ。

(4)保守认为,任何独立通道一旦出现一级故障就不可逆转,且会导致危险指令输出。

3.2 可靠性建模及推导

用枚举变量X(t)表示三通道飞控计算机的状态,X(t)定义如式(1)所示。

以X(t)为模型变元,得到马尔可夫状态转移如图4所示。

根据系统转移特征,可以得到马尔可夫模型状态可靠度方程描述,如式(2)所示:

式中:Pi(t)表征t时刻系统所处状态i的概率,Pi(t+Δt)表征t+Δt时刻系统所处状态i的概率,求其导数即式(3):

可得状态转移概率变化率方程描述如式(4)

代入初始条件P0(t)=1,其他状态Pi(t)=0,并进行拉普拉斯变换得式(5):

联立求解式(6)方程组,并进行拉普拉斯反变换,最终求得各种有效状态的概率如式(6)所示:

将各种有效状态的可靠度累加,得到有效状态的概率如式(7)。

3.3 可靠性模型分析及应用

根据式(7),分析故障覆盖率c和器件失效率λ对系统整体可靠度的影响。根据可查的参考文献,目前国内的器件失效率[15]大致在10-6~10-5。本文假定失效率λ=1×10-6,虽然此数据不能代表国内器件失效率的真实水平,但是作为系统可靠性分析的假定数据,是可行的。故障覆盖率一方面取决于硬件设计结构,另一方面取决于飞控软件的设计水平,因此,对于不同的软硬件架构,故障覆盖率c变动较大。通过调整故障覆盖率c,观察其对系统整体可靠性的影响,如图5所示。可以看到,故障覆盖率c直接影响三余度飞控系统的整体可靠性,在飞控通道失效率受到技术、工艺及成本限制而无法降低时,提高故障检测覆盖率c能够有效地提高整个飞控计算机系统的安全性能。

本文计算所用的失效率λ指作为一个单独通道的整体失效概率,与单独器件的失效率不同。失效率λ由器件可靠性、软硬件架构设计方式和使用环境等因素决定,作为一个统计指标,反映了飞控计算机单独通道的可靠性能。失效率λ的大小直接关系到飞控计算机系统的整体可靠性,当失效率超过一定阈值时,飞控计算机的整体可靠性将快速下降,对于本文所给出的系统,此阈值在2.0×10-6附近,如图6所示。

从图7可以看到,本文所给出的三余度飞控计算机架构,在故障覆盖率c=0.8,通道失效率λ=2.0×10-6时,其可靠性能够满足一般无人机对飞控计算机的要求。

4 结语

本文针对无人机飞控系统对控制可靠性的要求,提出一种平行热备份的三余度飞控系统架构方案,并给出总体的软硬件架构及可靠性分析结论。该飞控余度架构方案成功应用于国内某型无人机飞控系统设计中,在半物理及外场飞行试验中表现出较为稳定的冗余控制能力,可以作为高可靠性长航时无人机飞控系统设计的参考方案。

摘要：余度架构设计是解决飞控计算机可靠性问题的有效途径。为了满足高可靠性飞控计算机系统对可靠性和容错性的特殊要求的目的,提出一种新型三余度飞控计算机的余度架构方案,描述飞控计算机冗余设计方法,设计余度计算机软硬件的总体框架,采用马尔可夫方法对该方案进行了可靠性分析,获得了故障覆盖率和失效率对飞控计算机整体可靠性的影响结果,得到所设计余度架构方案可行的结论。

余度系统 篇6

现代飞机越来越多的采用基于计算机技术、现代通信技术和固态功率控制技术(Solid State Power Controller,SSPC)的智能配电产品来对飞机的用电设备进行供电控制。基于这种技术的固态二次配电装置(Secondary Power Distribution Apparatus,SPDA)和飞机电气负载管理中心(Electrical Load Management Center,ELMC),提供了飞机上电气负载的自动控制、状态反馈、异常情况下的负载保护、配电系统的健康管理等功能[1,2]。较之传统的由机电式断路器/继电器组成的配电系统,这种新的配电方式避免了在接通/断开负载时产生电弧,提高了配电的可靠性。其内嵌的数据采集系统可以向航电系统反馈负载的状态,从而构成一个闭环的负载控制系统[3]。本文主要研究飞机固态二次配电装置SPDA的余度设计。

余度设计的主要目的在于提高系统可用度,避免因单点故障而造成系统崩溃。在航空领域,余度技术已有了多年的研究历史和广泛的应用实例[4,5,6,7,8,9]。对于SPDA而言,计算机模块和输入/输出模块构成了固态二次配电装置SPDA的关键和核心模块,在余度设计方面,主要考虑计算技术的余度和输入/输出模块的余度。

本文首先介绍了余度技术的基本概念,接着介绍了SPDA内部的结构,阐述了在计算技术、输入/输出即I/O模块的余度设计方面的考虑,最后量化分析了采用余度技术对SPDA可用度的影响。

1 余度设计的基本概念

通常来讲,系统越庞大,其可用度就显得越重要,然而,要在一个大系统里实现高可用度,是十分困难的。为解决这个难题,提高可用度,一般会对影响系统的关键部件或模块采用余度管理[10]。

一个有余度的系统通常包括一个主控制器和一个/多个从控制器,主控制器在正常情况下工作,而从控制器在主控制器失效时接替其工作。通常,将主控制器称为“活动”(Active)控制器,而称从控制器为“备用”(Standby)控制器。

相对于活动控制器而言,备用控制器通常有两种工作模式。第一种模式是备用控制器始终与主控制器保持同步,主从控制器执行相同的程序代码,在任何时间都具有相同的状态。因为他们执行相同的程序代码,所以可以在两个控制器之间做无缝切换,即不需要额外的时间等待备用控制器的程序执行到活动控制器的同一点。当然,即使在正常工作情况下,主从控制器之间依然会存在一些不同步,从而在一定程度上降低了这种同步系统的性能。备用控制器的另一种工作模式是异步方式,这时,备用控制器不再与活动控制器保持同步,而是有一定的时间延时。虽然在主从切换时,这种工作模式需要更多的时间,但在实现上却更容易。

1.1 故障检测及主/从切换的软件和硬件方法

采用了余度的系统需要检测活动控制器的故障,并在故障发生时将备用控制器切换到活动状态。故障检测及主从切换可以由软件或硬件方法来实现。软件方法通常检测活动控制器的输出数据,将他们与备用控制器进行比较。而硬件方法通常监测活动控制器的信号,并在信号状态翻转时做主从切换。

软件方法主要依靠对主/从控制器输出数据进行比较,当备份控制器处于异步工作模式时,则将备份数据的当前运行数据与保存在缓存中的主控制器的当前数据进行比较。若有多个备用控制器,则比较两个或多个控制器的输出,若有多于一个控制器输出相同的数据,则表明这几个控制器运行正常,而输出不同数据的那个控制器则被认为处于故障状态。硬件方法通过监视控制器的状态来实现,从控制器发出的状态信号表征了控制器当前的运行状态,外围硬件控制电路据此判断是否需要作主/从控制器切换。外围的硬件控制电路通常会采用一种控制逻辑及定时器电路,控制器必须设定相应定时器信号以表明其运行正常。

1.2 比较器和投票器

如前所述,在采用软件方法检测控制器状态及主/从切换时,会用到一个比较器。如图1(a)所示,它比较两个活动控制器的输出数据,若相同,则表明控制器工作正常,数据可以输出;相反,则表明至少有一个控制器处于故障状态,这时应该关闭输出通道。使用比较器的缺点是没有故障容差能力,比较器的单点故障将导致整个输出通道的中断。相反,若采用3个控制器,则具备至少一个故障容差能力。

如图1(b)所示,当有3个(或3个以上)的控制器时,系统采用投票器决定数据的输出。若有2个或2个以上控制器的数据相同,则允许数据输出,相反,则关闭输出通道。在这种情况下,一个控制器的故障,不影响整个系统的正常输出,即这种控制逻辑至少具有一个故障容差能力。

2 飞机固态二次配电装置SPDA的组成

如图2所示,一个固态二次配电装置SPDA通常包括电源模块PSM、计算模块CPM、输入/输出模块I/OM和固态功率控制器SSPC模块。

其中,电源模块PSM将SPDA的产品供电电源转换为内部模块数字电路的工作电源,计算模块CPM接收外部机电系统计算机的控制指令,经解析后通过内部总线下达给SSPC执行。I/O模块负责采集外部机电系统的数据,并经CPM处理后通过外部总线上传给机电系统计算机。

SPDA还预留有地面维护接口,通过地面维护计算机对SPDA进行维护操作。为提高系统的可用度,一般将计算模块CPM、输入/输出模块I/OM设计成双余度。

3 计算模块的余度设计

对于CPM的双余度管理,本文采用了硬件方法,其系统结构如图3所示。两个CPM中的一个被配置为活动处理器,而另外一个CPM配置为备用处理器。在任意时刻,只有活动CPM对总线拥有访问权。在活动CPM故障时,其对总线的访问权限也同时丧失。

故障的检测和活动/备用CPM切换通过硬件实现,两个CPM定期给外部看门狗喂狗,喂狗超时被认为活动CPM出现故障,这将导致CPM活动状态位被清除(IActive1=1)并重新启动。活动/备用CPM的切换由CPLD/FPGA逻辑控制,其内部有状态机,以判断是否该将备用CPM设置为活动状态。

CPLD/FPGA中状态机的状态转移逻辑如图4所示。其中活动CPM与备用CPM的转移逻辑完全相同,两个模块的区别在于系统上电启动时,CPM1被设置为默认的活动CPM,而CPM2被设置为备用CPM。

每个CPM由活动状态 (active);备用状态 (backup)和重新启动状态 (Reset)三个状态组成。

对看门狗的喂狗超时将导致CPM进入重新启动状态,重启后,若CPM运行正常,则进入备用状态。备用状态和活动状态之间的转移取决于另一个CPM的状态,若另一个CPM故障,则当前的备用CPM自动切换为活动CPM。

4 I/O模块的余度设计

对于I/OM的双余度管理,本文采用了软件方法来管理。两个I/OM同时处于活动状态,将采集到的数据同时输出到总线上,比较器(位于活动CPM内部)比较两路I/OM的输出,若相同,则采用该数据;若不同,则表明两个I/OM中有潜在的故障。这时,比较器(CPM)会根据两个I/OM的自检BIT信息定位故障I/OM,并将其重新启动(见图5)。由于I/OM只与CPM通信,其上传的数据需经过CPM处理,这样,在CPM内部实现软件比较器,并不增加系统额外的硬件电路。用软件方法来实现I/OM的余度管理,避免了在外部采用硬件电路来检测故障及活动/备用切换,因而简化了电路设计。在两路I/OM输出不同数据时,CPM会根据I/OM上报的BIT自检信息定位故障模块。根据系统的设置,I/OM必须定期上报其周期自检BIT信息。所以,利用I/OM的周期BIT信息做故障模块辅助判断,并不增加系统软件的额外开销。

5 双余度管理对系统可用度的影响

如前所述,双余度管理可以用硬件方法实现,也可以用软件方法来实现。这两种方法都会在原有单余度结构的基础上(如图6中黑色虚框所示),新增加一路冗余回路(如图6灰色虚框所示)。

对于用硬件方法实现的双余度设计,需要新增加一个活动/备用控制器切换开关,和一个余度控制器;对于用软件方法实现的余度设计,需要新增加一个软件比较器和一个余度控制器。为分析采用了双余度对系统可用度的影响,需要考虑各个模块的可用度。

假定原有控制器的可用度为a%,新增加的余度控制器的可用度也为a%,活动/备用控制器切换开关的可用度为b%,软件比较器的可用度为c%。

对于用硬件方法实现的双余度设计,其可用度为原有控制器(Old)的可用度和新增部分(Newly Added)可用度的或(OR)运算;而新增部分(Newly Added)的可用度为活动/备用开关(Controller Switch)的可用度和余度控制器(Controller2)之间的与(AND)运算。

设新增部分的可用度为d%,则:

$d\%=(b\%)x(a\%)(1)$

系统总的可用度h%为:

$h\%=1-(1-a\%)x(1-d\%)(2)$

因为(1-d%)<1,所以,很明显,h% >a%,即在采用了硬件方法实现双余度管理后,系统的可用度在原有的基础上提高了。

将式(1)代入式(2),可以得到用硬件方法实现余度管理的可用度为:

$h\%=1-(1-a\%)x(1-(b\%)x(a\%))(3)$

相反,对于用软件方法实现的双余度管理,则系统可用度为两个控制器(Contoller1和Controller2)可用度的OR操作,之后再和比较器(Comparator)可用度进行AND操作。

设两个控制器可用度OR之后的可用度为e%, 则:

$e\%=1-(1-a\%)x(1-a\%)(4)$

系统总的可用度s%为:

$s\%=(c\%)x(e\%)(5)$

由于e%>a%,所以,采用软件方法实现的双余度管理也会提高系统可用度。

将式(4)代入式(5),可得:

$s\%=(c\%)x(1-(1-a\%)x(1-a\%))(6)$

现假定系统所有模块的可用度均为99.999%,则对于SPDA的双余度CPM(采用了硬件方法)和双余度I/OM(采用了软件方法)系统的可用度,可分别计算,如表1所示(假定各基本模块的可用度为99.999%)。

由表1可知,双余度系统的可用度相对于单余度系统而言有了很大提高。采用硬件余度的CPM可用度从原有99.999%提高到99.999 999 98%,采用软件余度I/OM的可用度从99.998%提高到99.998 999 99%。

6 结 语

本文概述了余度管理的相关概念,并提出了SPDA产品中CPM模块和I/OM的余度管理方案,其中CPM模块的余度管理采用了硬件方法,而I/OM的余度管理采用了软件方法。理论计算表明,采用了双余度设计的系统,可以有效地提高可用度。

参考文献

[1]吴伟国.28V直流固态功率控制器的设计与实现[C]//中国航空学会航空电气工程第7届学术年会论文集.北京:中国航空学会,2007:379-383.

[2]赵宏善,袁旺.多电飞机电气负载管理中心(ELMC)研究[C]//中国航空学会航空电气工程第7届学术年会论文集.北京:中国航空学会,2007:384-391.

[3]万波,袁旺.基于PCI总线的嵌入式数据采集系统的研究[J].计算机应用研究,2011(28):1198-1120.

[4]GRAY Jim,SIEWIOREK Daniel P.High availability com-puter systems[J].Computer,1991,24(9):39-48.

[5]Cisco Systems Canada Co.System and method of operationof dual redundant controllers:US,US 6,845,467B1[P].2005-01-18.

[6]Harris Corporation,Fault detection and redundancy man-agement system:United States,4,634,110[P].1987-01-06.

[7]International Business Machines,Method and apparatus forinterface dual modular redundancy:United States,6,002,970[P].1999-12-14.

[8]SKLAROFF,J.R.Redundancy management technique forspace shuttle computer[J].IBM Journal of Research andDevelopment,1976,20(1):20-28.

[9]Westinghouse Electric Corp.,Redundant power bus ar-rangement for electronic circuits:United States,5,027,002[P].1991-01-25.