Hierarchical Combination Reliability Modeling Method for Fault Tolerant Sensor System*

YUAN Liaoyuan，ZHANG Weiguo，LIU Zhijun

(School of Automation，Northwestern Polytechnical University，Xi’an 710072，China)

Hierarchical Combination Reliability Modeling Method for Fault Tolerant Sensor System*

YUAN Liaoyuan，ZHANG Weiguo*，LIU Zhijun

(School of Automation，Northwestern Polytechnical University，Xi’an 710072，China)

According to the architecture feature of the fault tolerant sensor system，a hierarchical combination reliability modeling method based on the dynamic fault tree analysis and the Markov process was proposed with the combination of the advantages of multiple modeling approaches.Temporal operators were applied to represent the sequential logic，and the analytic formula for the failure probability of the top event was derived.The failure detection and isolation behavior was modeled by the Markov process.The resultant model was compared to the perfect fault coverage model.The impact of the parameters on the system reliability was evaluated.The simulation results demonstrate the modeling method is feasible，efficient and more accurate.

sensor application;reliability modeling;hierarchical combination method;dynamic fault tree;Markov process;FDI parameters

傳感器系統是飛行控制系統的重要組成部分。傳感器系統可靠性對整個飛控系統的可靠性有著重要的影響。通常，民機飛行關鍵信息(姿態、速度以及高度)測量功能的最大失效概率要求小于10－9每飛行小時。為了滿足高可靠性要求，傳感器系統設計采用多余度容錯體系結構。復雜余度結構的引入以及故障診斷與隔離容錯算法的應用，為可靠性建模分析帶來了挑戰［1－2］。

研究人員對于余度容錯系統的可靠性進行了深入的研究:文獻［3］針對非相似容錯飛控計算機系統，采用動態故障樹建立可靠性模型，使用動態故障樹轉換為馬爾可夫模型的方法進行可靠度計算;文獻［4］討論了應用馬爾可夫模型方法分析容錯導航系統可靠性的化簡問題，依據馬爾可夫模型求解得到的組件可靠性模型，采用組合分析的方法求解得到系統可靠性模型，簡化了分析過程并減少了計算量;而文獻［5］中則采用廣義隨機Petri網方法對Boeing 777飛機的主飛行計算機系統進行了可靠性建模。

綜合國內外相關文獻，高可靠性要求的容錯系統的分析通常基于某種單獨的可靠性建模方法，主要存在的問題包括以下兩點:(1)系統模型的狀態數量較多，計算求解較為困難，如基于狀態的Petri網模型以及馬爾可夫模型均會受到狀態空間爆炸問題的制約;(2)建模中失效概率分布為指數的通用假設不能成立，這一點制約了經典時間齊次馬爾可夫方法的應用［6－7］。

基于以上的介紹與分析，本文以民機中廣泛應用的容錯傳感器系統為研究對象，采用分層組合建模的方法解決狀態量較多帶來的計算求解困難，同時引入基于代數模型的動態故障樹建模方法，適用于任意壽命分布類型的元件建模。

1 容錯傳感器系統的架構［8］

霍尼韋爾研發的大氣數據慣性基準系統(ADIRS)是空中客車系列、波音系列等大型運輸機的標準慣性基準系統，是傳感器系統的主要組成部分。ADIRS主要包括大氣數據慣性基準單元ADIRU(Air Data Inertial Reference Unit)、輔助姿態大氣數據基準單元SAARU(Secondary Attitude and Air Data Reference Unit)。

ADIRU是一個六余度斜置配置，容錯捷聯慣性基準單元，采用了六余度激光陀螺，六余度加速度計、四余度處理器以及相應的輸入/輸出組件和電源組件，提供FO/FO/FS等級的容錯能力。表1為ADIRU中各容錯組件的監控方法和實現監控的所需的最小余度數。

表1 ADIRU中余度管理方法與余度數關系

SAARU采用了與ADIRU非相似的設計方法。陀螺和加速度計采用了四余度設計，處理器為兩余度，I/O模塊為三余度設計。SAARU的容錯能力為故障安全。在ADIRU正常工作的情況下，飛行控制計算機系統以及主飛行顯示系統的飛行信息均由ADIRU提供。而當ADIRU失效時，SAARU負責提供相應備用的飛行信息。

2 分層組合可靠性建模分析

2.1 方法概述

系統分析的分層/組合方法在以下兩種情況下具有高效率的分析與計算能力:(1)如果系統各部分間的動態過程相互獨立，不存在相互作用，可以研究各部分內部的相互作用;(2)在不涉及各部分內部的相互作用的前提下，對各部分間的相互作用進行分析。

基于上述的兩點有效性準則，結合系統結構以及表1所示的系統各組件的余度管理方法，容錯傳感器系統的分層組合建模如圖1所示。

圖1 分層組合建模可靠性建模示意圖

具體的分析如下:

(1)陀螺和加速度計組件余度等級較高，采用廣義似然比檢驗的方法進行故障檢測隔離以及系統重構。為了描述組件的復雜動態行為，采用基于狀態的馬爾可夫模型進行建模分析。

(2)處理器、電源以及I/O組件的可靠性建模則考慮故障監控覆蓋率因素的影響，采用了不完全故障覆蓋率的可靠性框圖方法［9－10］。而主慣性基準單元與輔助姿態單元中各容錯組件間故障相互獨立，不存在相互作用，因此采用可靠性框圖方法，所建立的模型簡單，求解效率高。

(3)主慣性基準單元ADIRU與輔助姿態單元SAARU故障邏輯關系滿足熱貯備關系，而兩單元失效概率分布函數不滿足指數分布的條件，因而無法采用將動態故障樹等價轉化為馬爾可夫鏈的常規求解方法。針對此問題，本文引入基于代數模型的建模分析方法進行解決。

2.2 基于代數模型動態故障樹的可靠性建模

動態故障樹方法通過引入動態邏輯門，如優先與門、功能依賴門、貯備門，反映系統故障發生時序關系等動態相關特性。動態邏輯門的建模與分析是動態故障樹方法的關鍵，常見的處理方法包括馬爾可夫法、計數過程法、代數模型法等。

相對于馬爾可夫法以及計數過程法，代數模型法的應用限制更少，適用于所有故障——時間分布類型的元件建模與分析，且表述計算更為精簡［11～14］。因而，本文采用該方法對系統兩測量單元組件進行建模與分析。

2.2.1 基于時間算子的定性分析

代數模型方法中引入時間算子描述時序順序。考慮兩輸入事件溫儲備門，熱儲備門可以視為溫儲備門的一種特殊情況進行推導。溫儲備門的代數模型表達式為:

其中，時間算子?表示“在……之前發生但并不包含”。Q為代表頂事件發生的邏輯變量。A為代表主要元件失效的邏輯變量。Sa為代表貯備事件S在活躍狀態下失效的邏輯變量，Sd為代表貯備事件S在休眠狀態下失效的邏輯變量。

由式(1)可見，頂事件Q發生包括兩種模式:A在S之前發生——Sa·(A?Sa)，儲備元件故障前處于活躍狀態;或者S在A之前發生——A·(Sd?A)，儲備元件故障前處于休眠狀態。由于儲備元件不可能同時處于活躍或休眠兩種狀態，可知兩種故障模式相互獨立，即事件Sa·(A?Sa)與A·(Sd?A)的交集為空。

2.2.2 定量概率計算公式的推導

本小節基于文獻［12］中的方法對上一小節所建立的代數模型進行定量概率公式的推導。頂事件Q的兩種故障模式相互獨立，所以有

分別考慮兩種故障模式的定量概率計算如下:

首先考慮A·(Sd?A)所代表的故障模式——貯備元件先于主要元件故障。由于貯備元件在休眠狀態下的故障與主要元件工作狀態下的故障相互獨立，所以故障概率計算如下:

其中，fA(·)代表主要元件失效概率密度函數，FSd(·)代表貯備元件在休眠狀態下的累積失效概率。

考慮Sa·(A?Sa)所代表的故障模式——主要元件先于貯備元件故障。由于故障時序的約束，貯備元件在工作狀態下的失效累積分布函數FBa(·)和概率密度函數fBa(·)均與主要元件的失效累積分布函數相關，因此該模式下的故障概率計算不能使用式(3)的形式。具體的推導過程如下所示。

設TA和TSa分別為主要元件A和工作狀態下儲備元件S的故障時間。

其中，I為指示函數，滿足

由全期望公式E［X］=E［E［X|Y］］可得，

其中，RSd(·)為貯備元件休眠狀態下的可靠度函數，滿足RSd(x)=1－FSd(x)。

將式(3)和式(6)代入式(2)即可得到溫儲備門的定量概率計算公式:

當貯備元件在工作狀態和儲備狀態下的失效率相同時，即貯備元件失效累積概率密度和累積分布函數相同(fSd(x)=fSa(x)=fS(x))時，即可由式(7)可以推導得到熱儲備門的概率計算公式:

2.3 陀螺/加速度計組件的建模

容錯系統的可靠性與系統所采用的故障檢測與隔離方法是相關的。廣義似然比檢驗中的相關概率包括:誤檢概率PF、漏檢概率PM、正確檢測概率PD、正確隔離概率PI。

綜合考慮了故障漏檢概率和誤檢概率對可靠性的影響，忽略同一檢測周期內兩次或兩次以上故障的概率，采用Markov鏈描述主慣性基準單元中陀螺/加速度計組件余度結構和容錯動態過程。陀螺/加速度組件對應的Markov鏈如圖2所示。狀態定義以及狀態轉移如表2所示。由于廣義似然比檢測需要至少四元素實現一致性監測，因此當陀螺/加速度組件中少于4個元件正常工作時，即解除測量單元的連接，從而實現故障安全的容錯能力。

圖2 陀螺/加速度組件對應的Markov鏈

表2 陀螺/加速度組件工作狀態以及狀態轉移的定義

狀態轉移概率狀態變量用X表示，第k時刻的狀態用X(k)表示，Pij=P(X(k)=j|X(k－1)=i)表示狀態i到狀態j一步轉移概率，由表2中的狀態轉移定義即可計算得到。

Pij=0，對于其他的i，j

由離散時間離散狀態齊次馬爾可夫過程的狀態轉移可知:

其中，π(k)=π1(k)，…，πm(k))T為系統第k步的m個狀態概率向量，系統初始時刻的狀態概率向量π(0)通常給定為已知。則t時刻系統可靠度為:

其中，W為系統正常工作狀態集合，W={1，3，5}。Δt為容錯系統故障檢測周期。由故障檢測頻率為50 Hz可得Δt=0.02 s。

2.4 處理器、電源、輸入/輸出組件的可靠性建模

由表1可知，處理器、電源、I/O組件均可由表決系統進行描述。而考慮余度管理方法對可靠度的影響，采用不完全故障覆蓋率模型進行可靠性的建模。

表決系統的可靠度計算公式為:

其中，n為各組件中的余度元件數，r為組件正常工作所要求的最小元件數，p、q分別為余度元件的可靠度和不可靠度，c為故障覆蓋率。由式(11)即可計算得到處理器、電源、I/O組件的可靠度。

由以上可靠性建模分析方法，分別可以計算得到主慣性基準單元的陀螺組件、加速度計組件、電源組件、處理器組件以及I/O組件的可靠度分別為。各組件之間滿足串聯邏輯關

系。主慣性基準系統可靠度計算公式如下:

可能為流量計內進入臟污，導致浮子抖動或卡頓，此時需對流量計進行清洗。對于金屬材質的浮子，可按順序將水、無水乙醇、丙酮、乙醚注入流量計內將贓物洗凈，對于塑料材質浮子，則可用洗潔精、水、無水乙醚進行清洗。待管內溶劑干燥后再裝回原來位置。

輔助姿態單元在余度數上采用了非相似的設計方法，而余度管理方法與主慣性基準單元相同。可靠性建模與分析不再贅述，輔助姿態單元可靠度函數為RS。

2.5 系統可靠性的融合計算

系統可靠性的融合計算［15－16］的關鍵在于代數模型方法的運用，將動態邏輯門的定量概率計算與Markov鏈的求解結果結合在一起。圖3所示為頂事件所包括的動態邏輯門。動態邏輯門的兩輸入事件——“主慣性基準單元失效”和“輔助姿態單元失效”對應的可靠度函數RA、RS即通過基于Markov鏈的建模方法求解得到。

圖3 頂事件動態邏輯門

而由于Markov鏈是對離散時間離散狀態轉移的描述。可靠度函數RA、RS的具體數學表達式表明，輸入事件對應的失效分布為不符合指數分布的離散分布形式，常用的馬爾可夫過程法不再適用于動態邏輯門的分析處理。而代數模型方法通過對式(6)的離散形式進行推導，不受分布的限制，最終得到系統可靠度的表達式，求解過程如下:

主慣性基準單元與輔助姿態單元的分布律為:

系統的可靠度函數為:

其中，kΔt為系統工作時間，Δt為故障檢測隔離周期。F(t)=1－R(t)為兩單元的累積失效概率。

3 仿真與分析

陀螺和加速度計組件具有復雜的余度結構以及余度管理方法，作為系統底層元件壽命分布滿足指數分布的條件，符合Markov鏈動態描述性能較好同時對元件分布有限制的特性。基于各個組件計算得到的兩單元具有故障時序性的特點，同時不滿足特定的指數分布，采用基于代數模型的動態故障樹方法，最終推導得到系統的分層組合可靠性模型。通過與傳統完全故障覆蓋模型進行仿真計算比較，分析容錯系統的設計參數對系統可靠性的影響，分層組合模型的準確性與合理性得到體現。

3.1 組合建模模型與完全故障覆蓋模型的比較

圖4兩類模型的可靠性仿真計算結果比較

圖4 所示為兩種模型可靠度的對比。由圖可知，兩種模型計算得到的失效概率均小于10－9/飛行小時，滿足可靠度定量概率要求。分層組合模型的計算結果比完全故障覆蓋模型高出約3個數量級。由仿真條件設置可知，可靠度數量級上的差距是由故障檢測相關概率所引起的。此外，在工程實際的可靠性評估中，要求被評估對象的失效概率小于某一給定指標時，通常采用失效概率較高的保守模型，因此分層組合模型在這點上優于完全故障覆蓋模型。3.2小節中將對容錯系統設計參數的影響進行進一步的分析，體現分層組合模型的準確合理。

3.2 相關概率對系統可靠度的影響分析

本節通過分析系統設計參數——虛警概率、漏檢概率以及元件失效率對系統可靠性的影響，體現分層組合模型的準確與合理。在分析一種參數的作用時，其他參數均固定不變。

圖5所示為陀螺元件失效率對系統故障概率的影響。系統元件的失效率是完全故障覆蓋模型所主要考慮的因素。由圖可知，與完全故障覆蓋模型相比，分層組合模型同樣能夠反映元件失效率的影響，并得出關于元件失效率影響的結論:當一類元件的失效率遠遠大于其他元件時，該元件對系統可靠性起決定性的影響。而失效率較低的元件可靠性的提高對系統可靠性的影響較小。

圖5 陀螺失效率與系統故障概率的關系

圖6漏檢概率與系統故障概率的關系

圖6 給出了系統故障概率與漏檢概率的關系。漏檢概率描述了系統故障后未得到正確檢測的概率。漏檢概率直接影響系統的安全可靠性。實際飛行控制系統中不同故障監控方法的漏檢概率相差很大，如基于表決的比較監控方法與自監控方法的漏檢概率相差近1個數量級。通常故障診斷方法的漏檢概率的變化范圍為0.01～0.20，由圖可得，當漏檢概率由0.01增大到0.20時，系統失效概率增大了約2個數量級，由此可見，故障診斷中的漏檢概率在可靠性建模分析中不能忽略。而在系統可靠性設計中，相對于提升元器件可靠度所帶來的巨大成本代價，采用檢測概率更高的故障檢測與隔離算法對系統可靠度的提升效果更為明顯。

圖7所示為誤檢概率對系統可靠性的影響。誤檢概率定義為系統未發生故障，診斷方法進行檢測隔離的概率。系統失效概率在誤檢概率10－8～10－5的變化范圍內快速增大，表明誤檢概率與漏檢概率同樣是可靠性建模中不可忽略的重要因素。

圖7 誤檢概率與系統故障概率的關系

值得注意的是，誤檢概率與故障檢測閾值的設置直接相關。例如第1節中所給Honeywell容錯傳感器系統可靠性設計指標規定:故障檢測閾值設置需要保證飛行控制輸出信號的誤檢概率不大于10－5/h，導航輸出信號的誤檢概率不大于10－3/h。根據給定指標，故障檢測周期Δt內的誤檢概率可以根據公式PfΔT=1－(1－Pf)Δt/3600計算得到。而系統誤檢概率與故障檢測閾值之間滿足公式:

其中TD即為故障檢測閾值。由此可見，誤檢概率是聯系可靠性設計與診斷方法設計的重要品質因數。

綜上所述，分層組合模型合理準確地考慮了容錯系統可靠性相關的多個因素，優于完全故障覆蓋模型，同時與診斷方法設計相聯系，有助于容錯系統的綜合設計。

4 結論

本文運用代數模型動態故障樹不局限于部件壽命分布類型的特性，利用馬爾可夫過程對動態過程較強的表述能力，對容錯傳感器系統進行了可靠性的建模與分析。仿真結果表明系統可靠度是各設計參數的函數。因此，文中所提出的方法不但可以應用于不同余度結構設計方案的比較，而且可以對容錯系統設計參數的確定進行優化，對當前大型民機飛行控制系統設計［17－18］具有一定的參考借鑒意義。

［1］姚一平，李沛瓊.可靠性及余度技術［M］.航空工業出版社，1991:181－218.

［2］Li H，Zhao Q，Yang Z.Reliability Modeling of Fault Tolerant Control Systems［J］.International Journal of Applied Mathematics and Computer Science，2007，17(4):491－504.

［3］安金霞，朱紀洪，王國慶，等.多余度飛控計算機系統分級組合可靠性建模方法［J］.航空學報，2010，31(2):301－309.

［4］王社偉，張洪鉞.容錯導航系統可靠性評估的一種簡化方法［J］.系統工程與電子技術，2000，22(10):82－85.

［5］秦旭東，陳宗基.基于Petri網的非相似余度飛控計算機可靠性分析［J］.控制與決策，2005，20(10):1173－1176.

［6］孫曉哲，李衛琪，陳宗基.飛控計算機系統分層混合可靠性建模方法［J］.上海交通大學學報，2011，45(2):277－283.

［7］張競凱，章衛國，劉小雄，等.基于貯備門DFT的飛控系統可靠性分析方法［J］.計算機測量與控制，2013，21(001):142－145.

［8］McClary C R，Walborn J R.Fault-Tolerant Air Data Inertial Reference System Development Results［C］//IEEE Position Location and Navigation Symposium，1994:31－36.

［9］Xiong X，Zhang P.Reliability Analysis of Flight Control System for Large Civil Aircraft with Imperfect Fault Coverage Model［C］// IEEE Conference on Prognostics and System Health Management (PHM)，2012:1－5.

［10］Myers A，Rauzy A.Efficient Reliability Assessment of Redundant Systems Subject to Imperfect Fault Coverage Using Binary Decision Diagrams［J］.IEEE Transactions on Reliability，2008，57(2): 336－348.

［11］Merle G，Roussel J M，Lesage J J，et al.Algebraic Expression of the Structure Function of a Subclass of Dynamic Fault Trees［C］//Proceedings of the 2nd IFAC Workshop on Dependable Control of Discrete Systems(DCDS’09)，2009:129－134.

［12］張競凱，章衛國，劉小雄，等.基于代數模型的飛控計算機可靠性分析方法［J］.北京航空航天大學學報，2014(2):262－267.

［13］Merle G，Roussel J M，Lesage J J，et al.Analytical Calculation of Failure Probabilities in Dynamic Fault Trees Including Spare Gates［C］//European Safety and Reliability Conference，2010.

［14］Tannous O，Xing L，Bechta Dugan J.Reliability Analysis of Warm Standby Systems Using Sequential BDD［C］//Reliability and Maintainability Symposium(RAMS)2011 Proceedings-Annual IEEE，2011:1－7.

［15］楊佳，宮峰勛.基于貼近度的多傳感器一致可靠性融合方法［J］.傳感技術學報，2010，23(7):984－988.

［16］趙乃卓，孫威.基于冗余方案電磁式漏磁傳感器管壁測厚的研究［J］.傳感技術學報，2011，24(6):934－936.

［17］秦旭東，陳宗基，李衛琪.大型民機的非相似余度飛控計算機研究［J］.航空學報，2008，29(3):686－694.

［18］Rehage D，Carl U B，Vahl A.Redundancy Management of Fault Tolerant Aircraft System Architectures-Reliability Synthesis and A-nalysis of Degraded System States［J］.Aerospace Science and Technology，2005，9(4):337－347.

袁燎原(1988－)，男，安徽省亳州人，博士，研究方向為飛行控制系統傳感器容錯方法與信息融合，yuanliaoyuan @163.com;

章衛國(1956－)，男，安徽南陵人，教授，博導，研究方向為先進飛行控制和智能控制。

容錯傳感器系統分層組合可靠性建模方法*

袁燎原，章衛國*，劉志君
(西北工業大學自動化學院，西安710072)

根據容錯傳感器系統的結構特點，結合不同可靠性建模方法的優點，提出了基于動態故障樹和馬爾可夫過程的分層組合可靠性建模方法。針對系統中包含的貯備事件，引入時間算子定性描述事件的時序特性，并推導了頂事件故障概率的定量計算公式。采用馬爾可夫過程對傳感器故障檢測隔離進行動態建模。通過仿真比較所得模型與傳統完全故障覆蓋模型，分析了元件失效率、誤檢率等參數對系統可靠性的影響。由結果可得，該建模方法可行且更為精確。

傳感器應用;可靠性建模;分層組合方法;動態故障樹;馬爾可夫過程;FDI參數

TP212.9

A

1004－1699(2014)04－0529－07

2013－11－28修改日期:2014－03－19

C:0240J;0250

10.3969/j.issn.1004－1699.2014.04.020

項目來源:國家973計劃項目(20126131890302);陜西省自然科學基金項目(2013JQ8026)