基于余度技术的飞行控制系统的故障容错能力分析

基于余度技术的飞行控制系统的故障容错能力分析

0vxwell系统的余度管理为了保证飞机控制系统的任务、可靠性和安全性，现代飞机控制计算机主要采用余度技术，余度设计和全面验证是飞机控制计算机设计的关键。本飞行控制计算机系统设计就采用了三余度结构。容错余度计算机系统的关键技术就是余度管理,余度管理是决定系统可靠性的关键因素,也是容错管理的主要功能。系统的故障容错能力主要是通过系统的余度管理来实现的。硬件结构的设计离不开软件的支持,设计高可靠性的容错冗余计算机系统,必须有性能稳定的软件支持环境。VxWorks作为一种高效的多任务实时嵌入式操作系统,以其占用内存少、高性能、完全的可伸缩性、性能稳定等特点,得到了越来越广泛的应用,另外系统还提供了强大的通信功能,以便双机或多机进行数据交换。笔者结合嵌入式实时操作系统VxWorks的特点,详细描述了三余度飞控计算机系统余度管理算法的设计,并很好的应用飞控系统软件的开发中,大大提高了飞控系统的容错性和高可靠性。1系统总结1.1pc104软件组成三余度飞控计算机(PC104架构)采用同构型三通道主备兼容错结构,每个通道就是一台独立的PC104计算机,其系统软件完成飞控系统的实时控制任务。三余度飞控计算机的软件组成如图1所示。由于篇幅限制,本文主要介绍余度管理软件的设计。1.2vxws系统的优点飞行控制计算机系统要求响应时间快,系统可靠,高效实用。所以对操作系统也就提出更高的要求。我们选用嵌入式实时操作系统VxWorks作为本次设计的飞行控制计算机系统软件的运行环境。我们选用嵌入式实时操作系统VxWorks是基于它的如下优点:(1)可靠性:稳定、可靠一直是VxWork的一个突出优点。(2)实时性:VxWorks其系统本身的开销很小,进程调度、进程间通信、中断处理等系统公用程序精练而有效,它们造成的延迟很短。另外,VxWorks对任务的控制采用优先级抢占和轮转调度机制,也充分保证了可靠的实时性。(3)可裁减性:VxWorks内核最小为8kB,即便加上其它必要模块,所占用的空间也很小,越不失其实时、多任务的系统特征。由于它的高度灵活性,用户可以很容易地对这一操作系统进行定制或作适当开发,来满足自己的实际应用需要。(4)开放性:VxWorks有着较好的开放性。1.3软件设计原则余度管理技术是余度设计技术的一个主要方面。余度管理设计的目的是最大限度地提高完成任务的可靠性和飞行安全性,使系统在正常工作时高效率地运行;产生故障后,系统性能降低最小,并对故障瞬态提供保护。余度管理软件设计的应满足以下原则:(1)余度管理系统软件必须经过充分的分析,试验确认和验证。(2)余度管理是一个过程或方法,应是完全自动进行的,不需要人工干预。(3)监控器应最小,以减少复杂性和虚假性故障的概率,并且经过故障模式影响分析(FMEA)或故障模式影响试验(FMET)表明有必要时才设置。(4)为了最大限度地利用工作资源,应尽可能地恢复已故障的部件。(5)系统的最后重构应贯彻“永不放弃”原则:无论什么时候,只要知道还存在有效的资源,就要让系统继续保持运行;防止将有效的资源错误地否决;能够从瞬态故障或错误中恢复。(6)余度管理系统应提供满足系统需要的空中监控覆盖率。(7)应具有低的虚假故障概率。2同步程序的实现三台飞控计算机总体流程图如图1所示,每台PC104都要运行相同任务:初始化、同步、数据采集、输入数据交叉传输(通过CCDL)、输入数据比较、数据融合、控制律计算、输出数据交叉传输(通过CCDL)、输出数据比较、故障处理等几个重要的环节。三台飞控计算机开机初始化后,进入同步程序。同步程序就是让三台飞控计算机同时开始运行,保证三台计算机采集的是同一任务周期的数据,并且输出结果也是同一任务周期中计算出来的。这是其他任务的基础,只有三台飞控机采集的是同一任务周期数据,才能保证后面的交叉传输和数据比较的正确。在完成了同步程序后,三台计算机就可以同时进行采集数据,数据交叉传输,数据比较监控,再融合出一组控制律需要的数据,进行控制律的运算;并将输出的数据进行比较,输出。这样就完成了一个任务周期10ms的三余度任务,如图2所示。3余度管理算法的具体设计3.1同步算法输出“逻辑低”计算机同步的过程是在系统同步程序的管理下,通过专用同步信号线,完成三通道之间的同步。同步算法采用握手方式:飞控计算机进入监控周期后,首先关中断,接着输出一个“逻辑高”同步离散量,然后在限定时段内查询其他两方通道响应“逻辑高”;在握手成功后,打开中断,输出一个“逻辑低”,三通道均保持同步离散输出为逻辑低。同步算法流程图如图3所示。3.2sdl双口ram通信通道CrossCommunicationDataLink(交叉通信数据链路),简称为CCDL,是整个三余度飞控机计算互相通讯的通道,此设计采用双口RAM作为通信通道。为提高CCDL容错性,设计了CCDL,也就是有三个双口RAM,它们互为主、备份和监控飞控机。由于涉及对PC104双口RAM的操作,所以输入数据交叉传输CCDL采用导入代码的形式来辅助设计,其算法流程如图4所示。3.3对决策支持系统的监控输入与输出表决监控是对计算机所采样的三个通道数据进行表决与监控。计算机的所有接口信号均是伪三余度的,输入输出表决监控包括离散量输入输出比较监控、模拟量输入输出比较监控、数字量输入输出比较监控。(1)次瞬态故障离散量采用相加比较法,离散量的表决算法如下:当计算机A、B、C通道的离散量值加在一起等于3或0时,表决值取采样值。当计算机A、B、C通道的离散量值加在一起等于1时,输出值取0,输出为1的通道记一次瞬态故障。当计算机A、B、C通道的离散量值加在一起等于2时,输出值取1,输出为0的通道记一次瞬态故障。(2)通道采样模拟量的编码模拟量采用门限比较法,门限为硬件的误差值,模拟量表决监控周期为20ms。若用A表示A通道采样的模拟量数据,用B表示B通道采样的模拟量数据,用C表示C通道采样的模拟量数据,每个通道都先将收到的三个数据按大小顺序排列,假定A为小值,B为中值,C为大值,算法如图5所示。(3)采样一致性比选数字量表决监控周期为20ms。将计算机A、B、C通道采样的数据进行一致性比较;当比较结果一致时,表决值取采样值;当比较结果不一致时,表决值取故障安全值,设置数字量输入比较故障标记。3.4地面故障记录故障综合是将自动驾驶仪系统的故障状态及飞控计算机自身的故障进行统计综合,并将故障信息进行编码和存储,同时报告地面某一功能故障。它包括故障记录和故障申报。当系统(三台飞控计算机)采用互监控方式对每一拍(10ms)的采集数据进行故障判断,并进行故障纪录,当连续有8拍数据有故障,就认为对象(传感器、舵机、余度计算机)有故障,接着启动故障恢复程序,当故障恢复失败,就永久隔离该对象。4基