航天飛行器高可靠性設(shè)計(jì)

航天飛行器高可靠性設(shè)計(jì)

該裝置是對(duì)航空航天飛機(jī)的控制中心。它按照預(yù)定的程序和飛行器控制系統(tǒng)的指令,通過對(duì)飛行機(jī)構(gòu)某部分各個(gè)功能部件的檢測與控制,實(shí)現(xiàn)對(duì)飛行器某機(jī)構(gòu)的動(dòng)作控制。同時(shí),將某機(jī)構(gòu)動(dòng)作過程的重要參數(shù)發(fā)送給遙測?？煽啃允秋w行器系統(tǒng)非常重要的性能指標(biāo),對(duì)飛行器的控制器尤其如此。它要求控制器具有應(yīng)急手段處理可能出現(xiàn)的故障,如通過容錯(cuò)或恢復(fù)處理來確保系統(tǒng)在出現(xiàn)故障時(shí)不至于造成災(zāi)難性的后果。飛行控制器采用了大量的數(shù)字集成電路,當(dāng)執(zhí)行飛行任務(wù)時(shí),將會(huì)受到復(fù)雜空間環(huán)境的影響,其主要表現(xiàn)在以下幾個(gè)方面:(1)宇宙輻射的影響將會(huì)導(dǎo)致電子線路不能正常工作;(2)質(zhì)子和其他電離粒子引起的單粒子現(xiàn)象,會(huì)引起電子器件發(fā)生單粒子翻轉(zhuǎn)、邏輯混亂、器件鎖定以及損壞;(3)總劑量效應(yīng)的影響。當(dāng)器件所吸收的能量超過一定量時(shí),器件的特性就會(huì)發(fā)生改變,使得其不能正常工作。為此,在系統(tǒng)研制過程中采取了一系列的解決方法。例如,選用抗干擾能力強(qiáng)的元器件、采用屏蔽技術(shù)、適當(dāng)?shù)慕拥丶夹g(shù)等,但這些措施只能在一定程度上防止故障的發(fā)生。當(dāng)控制器運(yùn)行中某一器件出現(xiàn)永久性故障時(shí),將無法對(duì)其進(jìn)行維修和更換。為了保證任務(wù)的可靠完成,必須對(duì)較為關(guān)鍵,同時(shí)又容易受到干擾的設(shè)備或電路進(jìn)行冗余設(shè)計(jì)。余度技術(shù)是指具有多余的資源。當(dāng)系統(tǒng)中的一部分(或全部)出現(xiàn)故障時(shí),可以由冗余的部分(或全部)頂替故障的部分(或全部)工作,以保證系統(tǒng)在規(guī)定的時(shí)間內(nèi)正常地完成規(guī)定的功能。其基本思想是增加余度資源,提高可靠性。余度資源包括硬件和軟件余度、時(shí)間重復(fù)、信息冗余以及設(shè)置余度邏輯狀態(tài)等。從相反的一面來看增加余度資源,同時(shí)增加了系統(tǒng)的復(fù)雜程度,增加了系統(tǒng)的出錯(cuò)率。如果設(shè)計(jì)不當(dāng),系統(tǒng)可靠性反而下降。所以就要考慮怎樣才能做到既消耗資源少,又要達(dá)到可靠性的指標(biāo)要求;或者如何選擇和配置余度資源,使系統(tǒng)可靠性有所提高。1動(dòng)作機(jī)構(gòu)控制指令輸出控制器具備以下功能:(1)接收飛行器控制系統(tǒng)指令,按動(dòng)作時(shí)序完成對(duì)動(dòng)作機(jī)構(gòu)的控制指令輸出;(2)采集動(dòng)作機(jī)構(gòu)過促和姿態(tài)傳感器信號(hào),并進(jìn)行相關(guān)判斷處理;(3)給飛行器發(fā)送動(dòng)作機(jī)構(gòu)相關(guān)狀態(tài)信號(hào)?？刂破魍獠拷涌谌鐖D1。2控制器的冗余設(shè)計(jì)為最大程度地消除單點(diǎn)環(huán)節(jié),保證產(chǎn)品可靠性,控制器要進(jìn)行冗余設(shè)計(jì)。冗余設(shè)計(jì)有冷備份和熱冗余兩種,考慮到熱冗余具有良好的自主性的優(yōu)點(diǎn),控制器采用熱冗余的形式。2.1主備熱冗余電路設(shè)計(jì)傳統(tǒng)的雙機(jī)熱冗余抽象邏輯結(jié)構(gòu)如圖2所示。主備指令通道相互獨(dú)立,主機(jī)接收主通道控制指令,從機(jī)接收備通道控制指令,兩機(jī)可同時(shí)分別運(yùn)算處理。發(fā)送數(shù)據(jù)也是如此,兩機(jī)分別發(fā)送至各自接口,電路系統(tǒng)自主根據(jù)雙機(jī)狀態(tài)決定當(dāng)班機(jī),由切換電路實(shí)現(xiàn)。當(dāng)班原則是:只要主機(jī)正常,主機(jī)當(dāng)班(搶占對(duì)被控對(duì)象的控制權(quán));主機(jī)不正常而備機(jī)正常,切到備機(jī)當(dāng)班;當(dāng)主機(jī)恢復(fù)正常后再切回主機(jī)。相對(duì)于單機(jī)非冗余形式,雙機(jī)主備熱冗余的可靠性有較大提高,但是也存在不足:(1)對(duì)于熱冗余電路系統(tǒng),切換電路是一個(gè)薄弱環(huán)節(jié),切換電路故障往往導(dǎo)致電路系統(tǒng)冗余失控危及整個(gè)電路系統(tǒng),因此切換環(huán)節(jié)應(yīng)該越少越好。雙機(jī)冗余技術(shù)主要靠切換實(shí)現(xiàn),對(duì)切換環(huán)節(jié)依賴性大,存在一定隱患;(2)在硬件正常的情況下,雙機(jī)方案對(duì)軟故障(如指令錯(cuò)誤)的容錯(cuò)設(shè)計(jì)也主要靠切換來實(shí)現(xiàn),然而軟件故障判別一般比較復(fù)雜或者難以判別,如果考慮不周,可能造成切換失敗或者頻繁誤切換;(3)動(dòng)作機(jī)構(gòu)要求控制器在發(fā)生故障切換時(shí)不應(yīng)丟失機(jī)構(gòu)實(shí)時(shí)信號(hào),備份機(jī)接管控制后應(yīng)有連續(xù)工作能力。然而雙機(jī)方案中當(dāng)主備機(jī)切換時(shí),要做到無縫切換比較困難。為了避免以上問題,進(jìn)一步增強(qiáng)產(chǎn)品容錯(cuò)能力,保證產(chǎn)品可靠性,本文提出一種三機(jī)熱冗余方案。2.2處理電路的設(shè)計(jì)三機(jī)方案主要由3路獨(dú)立的計(jì)算機(jī)單元和表決仲裁輸出單元組成。3路計(jì)算機(jī)單元互相獨(dú)立,邏輯上相互平等,結(jié)構(gòu)上完全相同,每單元均擁有獨(dú)立的指令輸入通道和處理電路,與總線都有接口。三機(jī)熱冗余的原理結(jié)構(gòu)見圖3。當(dāng)系統(tǒng)有指令時(shí),三機(jī)獨(dú)立接收并處理(包括獨(dú)立采集組合傳感器信號(hào)、傳感器信號(hào)、電流和電機(jī)轉(zhuǎn)向信號(hào)、故障診斷等)。輸出控制信號(hào)時(shí),三機(jī)同時(shí)輸出,由于都是接收相同指令并且處理過程相同,理論上三機(jī)輸出的控制信號(hào)是相同的。三機(jī)輸出的控制信號(hào)同時(shí)送至4路輸出仲裁表決電路,仲裁表決電路根據(jù)三機(jī)的狀態(tài),決定自身的工作模式,將三機(jī)的控制信號(hào)按規(guī)定的仲裁表決原則進(jìn)行處理后,最終輸出控制信號(hào)到OC門電路。2.2.1仲裁決策參數(shù)設(shè)計(jì)由圖3可知,仲裁表決輸出單元在三機(jī)冗余結(jié)構(gòu)中起著至關(guān)重要的作用。實(shí)際上,對(duì)于三機(jī)冗余系統(tǒng),其核心思想的體現(xiàn)主要就在于確定仲裁表決原則。制定仲裁表決原則的指導(dǎo)思想是要采用最優(yōu)的方案、最大程度地消除故障對(duì)電路系統(tǒng)的影響,保證產(chǎn)品在內(nèi)部出現(xiàn)故障時(shí)仍能盡可能地完成任務(wù)。一般嵌入式系統(tǒng)的故障可分為硬件故障和軟件故障。為了方便說明,對(duì)于控制器,首先對(duì)這兩類故障進(jìn)行定義。(1)硬件故障:指電路系統(tǒng)通過一定的檢測手段能夠獲知的電路硬件故障,如CPU故障、外圍電路故障、傳感器信號(hào)采集電路故障等。(2)軟件故障:指軟件運(yùn)行本身錯(cuò)誤或者數(shù)據(jù)處理錯(cuò)誤,如接收指令錯(cuò)誤、軟件跑飛等。根據(jù)控制器特點(diǎn),本文制定的仲裁表決原則是:在三機(jī)硬件狀態(tài)都正常時(shí),對(duì)控制信號(hào)和發(fā)送的狀態(tài)數(shù)據(jù)進(jìn)行三取二表決輸出。當(dāng)出現(xiàn)硬件故障無法工作時(shí),隔離出現(xiàn)故障的那一機(jī),同時(shí)指定硬件狀態(tài)正常的某一機(jī)執(zhí)行產(chǎn)品任務(wù)。具體如下:(1)當(dāng)A、B、C硬件狀態(tài)都正常時(shí),仲裁表決電路采取三取二表決輸出控制信號(hào),即根據(jù)多數(shù)原則,取三機(jī)中至少兩機(jī)相同的狀態(tài)輸出;若三機(jī)輸出均不相同,則控制器無法輸出控制信號(hào)。(2)當(dāng)A、B、C中有一路或兩路硬件狀態(tài)不正常,仲裁表決電路根據(jù)表1仲裁原則輸出控制信號(hào),指定正常的一機(jī)執(zhí)行任務(wù)。比如,當(dāng)A硬件出現(xiàn)故障時(shí),仲裁表決電路屏蔽A、C機(jī)的控制信號(hào),輸出B機(jī)的控制信號(hào)。制定上述原則的依據(jù)如下:(1)軟件故障一般是可以恢復(fù)的,并且同一時(shí)刻有兩機(jī)出現(xiàn)軟故障的可能性極小,三取二表決方式可以有效剔除暫時(shí)出現(xiàn)的錯(cuò)誤而保證電路系統(tǒng)輸出正確控制信號(hào),具有良好的容錯(cuò)性。(2)硬件故障一般是不易恢復(fù)的,如果已經(jīng)檢測到A、B、C三機(jī)中有硬件故障,再采用三取二表決沒有意義,這種情況將電路系統(tǒng)降為兩機(jī)或者單機(jī)來處理更合理。根據(jù)仲裁表決原則,軟件信號(hào)是通過表決機(jī)制容錯(cuò)的,不需進(jìn)行故障判別就可實(shí)現(xiàn),但出現(xiàn)硬件故障時(shí),電路系統(tǒng)需要獲知才能進(jìn)行處理。需要說明的是,不可能所有的硬件故障電路系統(tǒng)都能獲知。當(dāng)無法獲知的硬件故障發(fā)生時(shí),表決仲裁電路仍然按三取二表決處理。2.2.2機(jī)方案在電路設(shè)計(jì)中的應(yīng)用三機(jī)方案相對(duì)雙機(jī)方案盡量減少了不可靠因素,容錯(cuò)能力進(jìn)一步加強(qiáng),主要有以下優(yōu)點(diǎn):(1)三機(jī)方案除了不可避免的協(xié)議芯片切換外,后級(jí)電路沒有切換,主要的冗余設(shè)計(jì)不依賴切換,消除了由切換帶來的隱患,降低了風(fēng)險(xiǎn)。(2)單點(diǎn)失效對(duì)電路系統(tǒng)的危害是極大的。三機(jī)方案整個(gè)電路系統(tǒng)3路計(jì)算機(jī)單元、4路仲裁表決輸出單元、串并聯(lián)OC門輸出、雙路協(xié)議芯片切換電路,各模塊都進(jìn)行了冗余設(shè)計(jì),避免了單點(diǎn)。(3)三機(jī)方案容錯(cuò)設(shè)計(jì)主要采用表決機(jī)制,能夠?qū)崟r(shí)自主剔除某一機(jī)軟故障而不需任何切換。,整機(jī)信號(hào)連續(xù)性好,避免了雙機(jī)方案中可能出現(xiàn)的頻繁切換帶來的不良影響,保證產(chǎn)品內(nèi)部出現(xiàn)故障仍具有連續(xù)工作能力。(4)采用三機(jī)方案,根據(jù)制定的仲裁表決原則,即使某一機(jī)出現(xiàn)硬件故障,電路系統(tǒng)也可降為雙機(jī)使用,其可靠性也不低于雙機(jī)方案。根據(jù)以上分析,三機(jī)方案避免了雙機(jī)方案的單點(diǎn)和薄弱環(huán)節(jié),容錯(cuò)能力更強(qiáng),可靠性更高,因此控制器決定采用三機(jī)方案。三機(jī)熱備份設(shè)計(jì)實(shí)現(xiàn)了循環(huán)切換的功能,能夠消除瞬時(shí)故障,同時(shí)又能夠容忍兩次永久性故障。采用三機(jī)方案后控制器的體積和質(zhì)量可以控制在系統(tǒng)要求范圍內(nèi)。3機(jī)可靠性分析三機(jī)冗余一般采用多重表決的三模冗余,其模型如圖4所示。圖4中3個(gè)重復(fù)模塊的輸出送至4個(gè)表決器產(chǎn)生4個(gè)結(jié)果。如果只有個(gè)模塊或輸入錯(cuò)誤,這4個(gè)結(jié)果都是正確的;而如果有1個(gè)表決器故障,表決器后面的處理模塊可以看作是1個(gè)錯(cuò)誤,后面的處理模塊輸出仍然可以輸出正確結(jié)果。比如,控制器的仲裁表決單元之后采用串并聯(lián)實(shí)現(xiàn)OC門輸出,其中一個(gè)或兩個(gè)仲裁表決單元故障不影響正常輸出。多重表決的三模冗余的顯著優(yōu)點(diǎn)是:整個(gè)電路系統(tǒng)沒有單點(diǎn),能夠自主容錯(cuò)而不需外界干預(yù)。圖4是由3個(gè)單元組成的系統(tǒng),當(dāng)有2個(gè)以上單元正常時(shí),該系統(tǒng)就能正常工作。這樣的表決系統(tǒng)記作2/3(G)的表決系統(tǒng),應(yīng)用全概率分解法求算其可靠性R2/3。本系統(tǒng)中,3個(gè)單元是完全相同的,其可靠性認(rèn)為是相同的,即R1=R2=R3。對(duì)式(1)進(jìn)行簡化R2/3=3R31?2R31(2)式(2)是三機(jī)系統(tǒng)的表決可靠性?？刂破鞑捎玫氖且环N改進(jìn)后的多重表決的三模冗余,它并不是完全依靠表決機(jī)制,而是當(dāng)能夠明確檢測硬件錯(cuò)誤時(shí),轉(zhuǎn)化為主備冗余機(jī)制,不再使用表決。因此,控制器三機(jī)可靠性模型可總體上認(rèn)為是并聯(lián)模型?？煽啃阅Ｐ鸵妶D5。由圖5可以看出控制器整機(jī)可靠度Rs由2部分模型組成,由3級(jí)組成的并聯(lián)之后,再與R2組成串聯(lián)模型。并聯(lián)系統(tǒng)的可靠性大于等于各個(gè)單元可靠性最大值,即RS≥maxi{Ri}(3)RS=1??i=1n(1?Ri)(4)若R1=R2=…=Rn則RS=1?(1?R1)n(5)串聯(lián)系統(tǒng)的可靠性小于至多等于各個(gè)單元可靠性最小值,即RS≤mini{Ri}(6)RS=?i=1nRi(7)根據(jù)式(5)與式(7)得出三機(jī)冗余的可靠度為:RS=[1?(1?R1)3]×R2(8)為了說明三機(jī)可靠性,在此對(duì)雙機(jī)可靠性進(jìn)行分析。其可靠性模型如圖6所示?？梢钥闯隹刂破鞯碾p冗余可靠性模型為R1與R3串聯(lián)后與R1并聯(lián),再與R2串聯(lián)。假定雙機(jī)和三機(jī)類似的模塊可靠度相同,根據(jù)式(5)與式(7),得出雙機(jī)可靠度為:RS=[1?(1?R1)(1?R1R3)]×R2(9)由此可見,三機(jī)可靠度明顯高于雙機(jī)。4控制短期和長期任務(wù)在對(duì)雙機(jī)冗余方案和三機(jī)冗余方案比較的基礎(chǔ)上,綜合考慮各種因素,本文