航天飛行器高可靠性設(shè)計

航天飛行器高可靠性設(shè)計

該裝置是對航空航天飛機的控制中心。它按照預定的程序和飛行器控制系統(tǒng)的指令,通過對飛行機構(gòu)某部分各個功能部件的檢測與控制,實現(xiàn)對飛行器某機構(gòu)的動作控制。同時,將某機構(gòu)動作過程的重要參數(shù)發(fā)送給遙測?？煽啃允秋w行器系統(tǒng)非常重要的性能指標,對飛行器的控制器尤其如此。它要求控制器具有應急手段處理可能出現(xiàn)的故障,如通過容錯或恢復處理來確保系統(tǒng)在出現(xiàn)故障時不至于造成災難性的后果。飛行控制器采用了大量的數(shù)字集成電路,當執(zhí)行飛行任務時,將會受到復雜空間環(huán)境的影響,其主要表現(xiàn)在以下幾個方面:(1)宇宙輻射的影響將會導致電子線路不能正常工作;(2)質(zhì)子和其他電離粒子引起的單粒子現(xiàn)象,會引起電子器件發(fā)生單粒子翻轉(zhuǎn)、邏輯混亂、器件鎖定以及損壞;(3)總劑量效應的影響。當器件所吸收的能量超過一定量時,器件的特性就會發(fā)生改變,使得其不能正常工作。為此,在系統(tǒng)研制過程中采取了一系列的解決方法。例如,選用抗干擾能力強的元器件、采用屏蔽技術(shù)、適當?shù)慕拥丶夹g(shù)等,但這些措施只能在一定程度上防止故障的發(fā)生。當控制器運行中某一器件出現(xiàn)永久性故障時,將無法對其進行維修和更換。為了保證任務的可靠完成,必須對較為關(guān)鍵,同時又容易受到干擾的設(shè)備或電路進行冗余設(shè)計。余度技術(shù)是指具有多余的資源。當系統(tǒng)中的一部分(或全部)出現(xiàn)故障時,可以由冗余的部分(或全部)頂替故障的部分(或全部)工作,以保證系統(tǒng)在規(guī)定的時間內(nèi)正常地完成規(guī)定的功能。其基本思想是增加余度資源,提高可靠性。余度資源包括硬件和軟件余度、時間重復、信息冗余以及設(shè)置余度邏輯狀態(tài)等。從相反的一面來看增加余度資源,同時增加了系統(tǒng)的復雜程度,增加了系統(tǒng)的出錯率。如果設(shè)計不當,系統(tǒng)可靠性反而下降。所以就要考慮怎樣才能做到既消耗資源少,又要達到可靠性的指標要求;或者如何選擇和配置余度資源,使系統(tǒng)可靠性有所提高。1動作機構(gòu)控制指令輸出控制器具備以下功能:(1)接收飛行器控制系統(tǒng)指令,按動作時序完成對動作機構(gòu)的控制指令輸出;(2)采集動作機構(gòu)過促和姿態(tài)傳感器信號,并進行相關(guān)判斷處理;(3)給飛行器發(fā)送動作機構(gòu)相關(guān)狀態(tài)信號?？刂破魍獠拷涌谌鐖D1。2控制器的冗余設(shè)計為最大程度地消除單點環(huán)節(jié),保證產(chǎn)品可靠性,控制器要進行冗余設(shè)計。冗余設(shè)計有冷備份和熱冗余兩種,考慮到熱冗余具有良好的自主性的優(yōu)點,控制器采用熱冗余的形式。2.1主備熱冗余電路設(shè)計傳統(tǒng)的雙機熱冗余抽象邏輯結(jié)構(gòu)如圖2所示。主備指令通道相互獨立,主機接收主通道控制指令,從機接收備通道控制指令,兩機可同時分別運算處理。發(fā)送數(shù)據(jù)也是如此,兩機分別發(fā)送至各自接口,電路系統(tǒng)自主根據(jù)雙機狀態(tài)決定當班機,由切換電路實現(xiàn)。當班原則是:只要主機正常,主機當班(搶占對被控對象的控制權(quán));主機不正常而備機正常,切到備機當班;當主機恢復正常后再切回主機。相對于單機非冗余形式,雙機主備熱冗余的可靠性有較大提高,但是也存在不足:(1)對于熱冗余電路系統(tǒng),切換電路是一個薄弱環(huán)節(jié),切換電路故障往往導致電路系統(tǒng)冗余失控危及整個電路系統(tǒng),因此切換環(huán)節(jié)應該越少越好。雙機冗余技術(shù)主要靠切換實現(xiàn),對切換環(huán)節(jié)依賴性大,存在一定隱患;(2)在硬件正常的情況下,雙機方案對軟故障(如指令錯誤)的容錯設(shè)計也主要靠切換來實現(xiàn),然而軟件故障判別一般比較復雜或者難以判別,如果考慮不周,可能造成切換失敗或者頻繁誤切換;(3)動作機構(gòu)要求控制器在發(fā)生故障切換時不應丟失機構(gòu)實時信號,備份機接管控制后應有連續(xù)工作能力。然而雙機方案中當主備機切換時,要做到無縫切換比較困難。為了避免以上問題,進一步增強產(chǎn)品容錯能力,保證產(chǎn)品可靠性,本文提出一種三機熱冗余方案。2.2處理電路的設(shè)計三機方案主要由3路獨立的計算機單元和表決仲裁輸出單元組成。3路計算機單元互相獨立,邏輯上相互平等,結(jié)構(gòu)上完全相同,每單元均擁有獨立的指令輸入通道和處理電路,與總線都有接口。三機熱冗余的原理結(jié)構(gòu)見圖3。當系統(tǒng)有指令時,三機獨立接收并處理(包括獨立采集組合傳感器信號、傳感器信號、電流和電機轉(zhuǎn)向信號、故障診斷等)。輸出控制信號時,三機同時輸出,由于都是接收相同指令并且處理過程相同,理論上三機輸出的控制信號是相同的。三機輸出的控制信號同時送至4路輸出仲裁表決電路,仲裁表決電路根據(jù)三機的狀態(tài),決定自身的工作模式,將三機的控制信號按規(guī)定的仲裁表決原則進行處理后,最終輸出控制信號到OC門電路。2.2.1仲裁決策參數(shù)設(shè)計由圖3可知,仲裁表決輸出單元在三機冗余結(jié)構(gòu)中起著至關(guān)重要的作用。實際上,對于三機冗余系統(tǒng),其核心思想的體現(xiàn)主要就在于確定仲裁表決原則。制定仲裁表決原則的指導思想是要采用最優(yōu)的方案、最大程度地消除故障對電路系統(tǒng)的影響,保證產(chǎn)品在內(nèi)部出現(xiàn)故障時仍能盡可能地完成任務。一般嵌入式系統(tǒng)的故障可分為硬件故障和軟件故障。為了方便說明,對于控制器,首先對這兩類故障進行定義。(1)硬件故障:指電路系統(tǒng)通過一定的檢測手段能夠獲知的電路硬件故障,如CPU故障、外圍電路故障、傳感器信號采集電路故障等。(2)軟件故障:指軟件運行本身錯誤或者數(shù)據(jù)處理錯誤,如接收指令錯誤、軟件跑飛等。根據(jù)控制器特點,本文制定的仲裁表決原則是:在三機硬件狀態(tài)都正常時,對控制信號和發(fā)送的狀態(tài)數(shù)據(jù)進行三取二表決輸出。當出現(xiàn)硬件故障無法工作時,隔離出現(xiàn)故障的那一機,同時指定硬件狀態(tài)正常的某一機執(zhí)行產(chǎn)品任務。具體如下:(1)當A、B、C硬件狀態(tài)都正常時,仲裁表決電路采取三取二表決輸出控制信號,即根據(jù)多數(shù)原則,取三機中至少兩機相同的狀態(tài)輸出;若三機輸出均不相同,則控制器無法輸出控制信號。(2)當A、B、C中有一路或兩路硬件狀態(tài)不正常,仲裁表決電路根據(jù)表1仲裁原則輸出控制信號,指定正常的一機執(zhí)行任務。比如,當A硬件出現(xiàn)故障時,仲裁表決電路屏蔽A、C機的控制信號,輸出B機的控制信號。制定上述原則的依據(jù)如下:(1)軟件故障一般是可以恢復的,并且同一時刻有兩機出現(xiàn)軟故障的可能性極小,三取二表決方式可以有效剔除暫時出現(xiàn)的錯誤而保證電路系統(tǒng)輸出正確控制信號,具有良好的容錯性。(2)硬件故障一般是不易恢復的,如果已經(jīng)檢測到A、B、C三機中有硬件故障,再采用三取二表決沒有意義,這種情況將電路系統(tǒng)降為兩機或者單機來處理更合理。根據(jù)仲裁表決原則,軟件信號是通過表決機制容錯的,不需進行故障判別就可實現(xiàn),但出現(xiàn)硬件故障時,電路系統(tǒng)需要獲知才能進行處理。需要說明的是,不可能所有的硬件故障電路系統(tǒng)都能獲知。當無法獲知的硬件故障發(fā)生時,表決仲裁電路仍然按三取二表決處理。2.2.2機方案在電路設(shè)計中的應用三機方案相對雙機方案盡量減少了不可靠因素,容錯能力進一步加強,主要有以下優(yōu)點:(1)三機方案除了不可避免的協(xié)議芯片切換外,后級電路沒有切換,主要的冗余設(shè)計不依賴切換,消除了由切換帶來的隱患,降低了風險。(2)單點失效對電路系統(tǒng)的危害是極大的。三機方案整個電路系統(tǒng)3路計算機單元、4路仲裁表決輸出單元、串并聯(lián)OC門輸出、雙路協(xié)議芯片切換電路,各模塊都進行了冗余設(shè)計,避免了單點。(3)三機方案容錯設(shè)計主要采用表決機制,能夠?qū)崟r自主剔除某一機軟故障而不需任何切換。,整機信號連續(xù)性好,避免了雙機方案中可能出現(xiàn)的頻繁切換帶來的不良影響,保證產(chǎn)品內(nèi)部出現(xiàn)故障仍具有連續(xù)工作能力。(4)采用三機方案,根據(jù)制定的仲裁表決原則,即使某一機出現(xiàn)硬件故障,電路系統(tǒng)也可降為雙機使用,其可靠性也不低于雙機方案。根據(jù)以上分析,三機方案避免了雙機方案的單點和薄弱環(huán)節(jié),容錯能力更強,可靠性更高,因此控制器決定采用三機方案。三機熱備份設(shè)計實現(xiàn)了循環(huán)切換的功能,能夠消除瞬時故障,同時又能夠容忍兩次永久性故障。采用三機方案后控制器的體積和質(zhì)量可以控制在系統(tǒng)要求范圍內(nèi)。3機可靠性分析三機冗余一般采用多重表決的三模冗余,其模型如圖4所示。圖4中3個重復模塊的輸出送至4個表決器產(chǎn)生4個結(jié)果。如果只有個模塊或輸入錯誤,這4個結(jié)果都是正確的;而如果有1個表決器故障,表決器后面的處理模塊可以看作是1個錯誤,后面的處理模塊輸出仍然可以輸出正確結(jié)果。比如,控制器的仲裁表決單元之后采用串并聯(lián)實現(xiàn)OC門輸出,其中一個或兩個仲裁表決單元故障不影響正常輸出。多重表決的三模冗余的顯著優(yōu)點是:整個電路系統(tǒng)沒有單點,能夠自主容錯而不需外界干預。圖4是由3個單元組成的系統(tǒng),當有2個以上單元正常時,該系統(tǒng)就能正常工作。這樣的表決系統(tǒng)記作2/3(G)的表決系統(tǒng),應用全概率分解法求算其可靠性R2/3。本系統(tǒng)中,3個單元是完全相同的,其可靠性認為是相同的,即R1=R2=R3。對式(1)進行簡化R2/3=3R31?2R31(2)式(2)是三機系統(tǒng)的表決可靠性?？刂破鞑捎玫氖且环N改進后的多重表決的三模冗余,它并不是完全依靠表決機制,而是當能夠明確檢測硬件錯誤時,轉(zhuǎn)化為主備冗余機制,不再使用表決。因此,控制器三機可靠性模型可總體上認為是并聯(lián)模型?？煽啃阅Ｐ鸵妶D5。由圖5可以看出控制器整機可靠度Rs由2部分模型組成,由3級組成的并聯(lián)之后,再與R2組成串聯(lián)模型。并聯(lián)系統(tǒng)的可靠性大于等于各個單元可靠性最大值,即RS≥maxi{Ri}(3)RS=1??i=1n(1?Ri)(4)若R1=R2=…=Rn則RS=1?(1?R1)n(5)串聯(lián)系統(tǒng)的可靠性小于至多等于各個單元可靠性最小值,即RS≤mini{Ri}(6)RS=?i=1nRi(7)根據(jù)式(5)與式(7)得出三機冗余的可靠度為:RS=[1?(1?R1)3]×R2(8)為了說明三機可靠性,在此對雙機可靠性進行分析。其可靠性模型如圖6所示?？梢钥闯隹刂破鞯碾p冗余可靠性模型為R1與R3串聯(lián)后與R1并聯(lián),再與R2串聯(lián)。假定雙機和三機類似的模塊可靠度相同,根據(jù)式(5)與式(7),得出雙機可靠度為:RS=[1?(1?R1)(1?R1R3)]×R2(9)由此可見,三機可靠度明顯高于雙機。4控制短期和長期任務在對雙機冗余方案和三機冗余方案比較的基礎(chǔ)上,綜合考慮各種因素,本文