運(yùn)載火箭復(fù)雜容錯(cuò)控制系統(tǒng)可靠性分析

胡海峰

北京航天自動(dòng)控制研究所，北京100854

飛行控制系統(tǒng)(簡(jiǎn)稱控制系統(tǒng))是運(yùn)載火箭的關(guān)鍵系統(tǒng)，系統(tǒng)復(fù)雜、投入大、風(fēng)險(xiǎn)高，特別是載人飛行，關(guān)系到宇航員的生命安全，因此對(duì)運(yùn)載火箭控制系統(tǒng)提出了高可靠性要求［1］。冗余容錯(cuò)設(shè)計(jì)是提高系統(tǒng)可靠性和安全性的重要手段，普遍應(yīng)用于運(yùn)載火箭控制系統(tǒng)，通過(guò)投入超過(guò)常規(guī)設(shè)計(jì)所需的外加資源來(lái)抵消故障產(chǎn)生的后果，在提高系統(tǒng)可靠性的同時(shí)，必然增加其復(fù)雜性。系統(tǒng)采用冗余設(shè)計(jì)并具備容錯(cuò)功能時(shí)，將存在著多級(jí)多重表決或貯備，復(fù)雜度大大增加，往往不能用簡(jiǎn)單的數(shù)學(xué)模型來(lái)描述，建立系統(tǒng)可靠性模型變得異常困難。

本文在典型可靠性分析模型及理論基礎(chǔ)上，研究運(yùn)載火箭復(fù)雜容錯(cuò)控制系統(tǒng)可靠性模型建模方法，并對(duì)2 種典型冗余容錯(cuò)系統(tǒng)進(jìn)行算例分析。

1 典型系統(tǒng)可靠性模型

復(fù)雜系統(tǒng)的可靠性模型往往是由若干典型結(jié)構(gòu)的可靠性模型組合而成，典型系統(tǒng)可靠性模型有串聯(lián)、并聯(lián)、串并聯(lián)、并串聯(lián)、表決和儲(chǔ)備等，本節(jié)主要給出串并聯(lián)、并串聯(lián)、表決、儲(chǔ)備系統(tǒng)的可靠性模型。

1.1 串并聯(lián)系統(tǒng)

由串聯(lián)系統(tǒng)和并聯(lián)系統(tǒng)組成的先串聯(lián)再并聯(lián)的混合冗余系統(tǒng)稱為串并聯(lián)系統(tǒng)，常用的2 種串并聯(lián)系統(tǒng)如圖1 所示。

圖1 串并聯(lián)系統(tǒng)

圖1(a)和(b)兩種系統(tǒng)在各單元可靠性相同的情況下，整個(gè)系統(tǒng)的可靠性是相同的，其可靠性計(jì)算數(shù)學(xué)模型為:

圖1(a)和(b)兩種系統(tǒng)的區(qū)別是:1)系統(tǒng)每條支路由一個(gè)控制器控制;2)系統(tǒng)每條支路由2個(gè)控制器控制。

1.2 并串聯(lián)系統(tǒng)

由串聯(lián)系統(tǒng)和并聯(lián)系統(tǒng)組成的先并聯(lián)再串聯(lián)的混合冗余系統(tǒng)稱為并串聯(lián)系統(tǒng)，常用的2 種并串聯(lián)系統(tǒng)如圖2 所示。(a)和(b)兩種系統(tǒng)在各單元可靠性相同的情況下，整個(gè)系統(tǒng)的可靠性是相同的，其可靠性計(jì)算的數(shù)學(xué)模型為:

圖2(a)和(b)兩種系統(tǒng)的區(qū)別是:1)系統(tǒng)中的并聯(lián)部分由2個(gè)控制器控制;2)系統(tǒng)中并聯(lián)部分由1個(gè)控制器控制。

圖2 并串聯(lián)系統(tǒng)

1.3 表決系統(tǒng)

系統(tǒng)由n個(gè)單元組成，若其中有k個(gè)或k個(gè)以上單元正常，則整個(gè)系統(tǒng)正常，這樣的系統(tǒng)稱n 中取k 表決系統(tǒng)，記作K/n(G)。若表決器可靠性為RG，每個(gè)單元可靠性相等均為R，則n 取k 多數(shù)表決系統(tǒng)的可靠性模型可用二項(xiàng)分布來(lái)描述:

在運(yùn)載火箭設(shè)計(jì)中，常用3 取2 模型，示意圖如圖3 所示。

圖3 3 取2 系統(tǒng)

圖3(a)和(b)是最常見的3 取2 模式，整個(gè)系統(tǒng)既可以防一度誤判，又可以在一個(gè)控制器失效的情況下不影響系統(tǒng)功能，同時(shí)通過(guò)并聯(lián)提高了系統(tǒng)的可靠性。在各個(gè)單元可靠性相同的情況下，其可靠性計(jì)算的數(shù)學(xué)模型為:

1.4 儲(chǔ)備系統(tǒng)

在若干個(gè)單元組成的系統(tǒng)中，當(dāng)主工作單元失效時(shí)，儲(chǔ)備單元能立刻接替完成主工作單元的功能，這樣的系統(tǒng)稱為儲(chǔ)備系統(tǒng)。儲(chǔ)備系統(tǒng)按儲(chǔ)備單元在儲(chǔ)備期間的失效情況可分為3 類:1)冷儲(chǔ)備(無(wú)載儲(chǔ)備)，儲(chǔ)備單元在儲(chǔ)備期間失效率為0;2)熱儲(chǔ)備(滿載儲(chǔ)備)，儲(chǔ)備單元在儲(chǔ)備期間失效率與工作單元失效率一樣;3)溫儲(chǔ)備(輕載儲(chǔ)備)，儲(chǔ)備單元在儲(chǔ)備期間失效率大于0 而小于工作單元失效率［2－3］。此處僅給出冷儲(chǔ)備系統(tǒng)的可靠性模型，儲(chǔ)備單元在儲(chǔ)備期間失效率為0。

若各單元壽命均為指數(shù)分布，且各單元失效率均為λ，轉(zhuǎn)接開關(guān)可靠性為Rsw，則冷儲(chǔ)備系統(tǒng)可靠性和平均壽命為:

2 復(fù)雜容錯(cuò)控制系統(tǒng)可靠性建模

運(yùn)載火箭控制系統(tǒng)采取冗余設(shè)計(jì)，且冗余單元之間增加交互表決的通道，基于軟件增加故障檢測(cè)、故障診斷、軟件表決、故障吸收和系統(tǒng)重構(gòu)等功能時(shí)，控制系統(tǒng)成為存在多級(jí)多重表決的冗余容錯(cuò)系統(tǒng)，需借助復(fù)雜容錯(cuò)系統(tǒng)可靠性建模方法建立可靠性計(jì)算模型。通常應(yīng)用的方法主要包括:狀態(tài)枚舉法、全概率分解法、最小路徑法、全概率公式法、Petri 網(wǎng)模型等［2－5］。文獻(xiàn)［6］給出了基于全概率公式的應(yīng)用方法;文獻(xiàn)［7］提出了基于狀態(tài)空間法的特高壓直流輸電系統(tǒng)可靠性評(píng)估算法;文獻(xiàn)［8］基于K/n(G)模型建立了柔性直流輸電系統(tǒng)中換流閥的可靠性模型，并分析了不同設(shè)備冗余情況下可靠性指標(biāo);文獻(xiàn)［9］基于馬爾科夫過(guò)程建立了柔性直流輸電變壓器系統(tǒng)的可靠性模型，并對(duì)不同設(shè)計(jì)結(jié)構(gòu)和備用水平變壓器系統(tǒng)的可靠性指標(biāo)進(jìn)行了對(duì)比;文獻(xiàn)［10］在FD 法和模型組合的基礎(chǔ)上對(duì)整個(gè)柔性直流輸電系統(tǒng)進(jìn)行了可靠性評(píng)估;文獻(xiàn)［11］基于狀態(tài)空間法與K/n(G)模型給出了柔性直流輸電系統(tǒng)可靠性模型。但上述方法難以直接應(yīng)用于運(yùn)載火箭復(fù)雜容錯(cuò)控制系統(tǒng)，本節(jié)將以運(yùn)載火箭的兩類典型復(fù)雜容錯(cuò)控制系統(tǒng)為例，建立系統(tǒng)可靠性計(jì)算模型。為便于分析，系統(tǒng)組成考慮箭機(jī)、慣組(IMU)、綜合控制器、總線等4 類設(shè)備，并且將各單元可靠性統(tǒng)一為R。

2.1 復(fù)雜容錯(cuò)系統(tǒng)1 可靠性建模

某典型冗余容錯(cuò)系統(tǒng)，見圖4。全箭通過(guò)1553B總線網(wǎng)絡(luò)連接3 套完整的電氣系統(tǒng)，形成相對(duì)獨(dú)立的系統(tǒng)級(jí)三冗余。設(shè)備均為三冗余，每一套由1 條雙通道1553B 總線連接，其中箭機(jī)和綜合控制器均為3 臺(tái)單機(jī)冗余在1個(gè)設(shè)備中，3 臺(tái)單機(jī)之間通過(guò)機(jī)內(nèi)總線進(jìn)行通訊。控制系統(tǒng)工作時(shí)，3個(gè)BC(Bus controller，即總線控制器)分別獨(dú)立錄取3 套慣組的數(shù)據(jù)，獲取箭體的角速度、視加速度等信息，之后與其它BC 進(jìn)行數(shù)據(jù)交換，使每個(gè)BC 都能獲得3 套數(shù)據(jù);然后3個(gè)BC 分別進(jìn)行方程計(jì)算，將控制指令通過(guò)總線分別送至3 臺(tái)綜合控制器;綜合控制器的3臺(tái)單機(jī)也可以進(jìn)行信息交互。對(duì)于慣組和BC，若3個(gè)模塊均正常工作，則系統(tǒng)以三模冗余方式工作，采用3 取2 表決機(jī)制;若其中1個(gè)模塊失效，則系統(tǒng)通過(guò)故障檢測(cè)定位將其切除，系統(tǒng)降級(jí)為雙冗余系統(tǒng);若又有1個(gè)模塊失效并被定位切除，則系統(tǒng)以單機(jī)模式運(yùn)行。對(duì)于綜合控制器，其輸出通過(guò)硬件實(shí)現(xiàn)3 取2 表決，因此若3個(gè)模塊均正常工作或其中1個(gè)模塊失效，系統(tǒng)可通過(guò)表決屏蔽1個(gè)故障模塊;若有2個(gè)及以上模塊失效，系統(tǒng)即失效。因此系統(tǒng)形成計(jì)算冗余表決、控制器指令解析冗余表決、輸出級(jí)功率放大冗余表決同步、總線網(wǎng)絡(luò)冗余的復(fù)雜冗余容錯(cuò)系統(tǒng)結(jié)構(gòu)。

圖4 復(fù)雜容錯(cuò)系統(tǒng)1

在分析圖4 系統(tǒng)可靠性時(shí)，雖然每套1553B 總線均有A，B 雙通道，當(dāng)A 總線出故障時(shí)可以切換為B 通道，但是考慮到A，B 均故障、總線協(xié)議芯片故障以及切換失敗的情況，應(yīng)考慮總線本身的可靠性，這相當(dāng)于在系統(tǒng)中串聯(lián)1個(gè)單元，框圖如圖5。

上述系統(tǒng)可直接給出計(jì)算公式為:

圖5 復(fù)雜容錯(cuò)系統(tǒng)1 框圖

2.2 復(fù)雜容錯(cuò)系統(tǒng)2 可靠性建模

某典型冗余容錯(cuò)系統(tǒng)，見圖6，與圖4 不同之處在于整個(gè)系統(tǒng)采用1 套1553B 總線進(jìn)行連接。在此系統(tǒng)中，3個(gè)BC 采用主備方式運(yùn)行，3個(gè)慣組和綜合控制器的3 臺(tái)單機(jī)分別作為3個(gè)站點(diǎn)掛在總線上，框圖見圖7。

圖6 復(fù)雜容錯(cuò)系統(tǒng)2

圖7 復(fù)雜容錯(cuò)系統(tǒng)2 框圖

令圖6 系統(tǒng)中慣組可靠性為RIMU，BC 可靠性為RBC，綜合控制器可靠性為R綜控器，總線可靠性為R總線，根據(jù)串聯(lián)系統(tǒng)模型［2－5］，可得系統(tǒng)可靠性:

下面分別計(jì)算RIMU，RBC，R綜控器和R總線。

(1)RIMU計(jì)算

系統(tǒng)中有3個(gè)IMU，IMU 獨(dú)立工作，系統(tǒng)冗余錄取3個(gè)IMU 數(shù)據(jù)，具備容錯(cuò)功能，能根據(jù)零值故障、極值故障、一致性故障等冗余管理算法診斷IMU 信息，控制系統(tǒng)進(jìn)行信息融合表決，并能基于箭體飛行數(shù)據(jù)特點(diǎn)、GPS 測(cè)量信息綜合診斷IMU 數(shù)據(jù)，RIMU可按n =3 的并聯(lián)系統(tǒng)模型計(jì)算，根據(jù)并聯(lián)系統(tǒng)模型［2－5］，可得:

(2)RBC計(jì)算

系統(tǒng)中有3個(gè)BC，BC 中運(yùn)行飛行控制軟件，完成數(shù)據(jù)綜合、信息容錯(cuò)、冗余管理和控制方程計(jì)算等功能，考慮到運(yùn)載火箭實(shí)時(shí)控制的需求，運(yùn)載火箭一般采取跟隨、熱備的模式，當(dāng)主工作單元故障時(shí)切換到備份單元，備份單元再出現(xiàn)故障時(shí)切換到第2個(gè)備份單元。飛行過(guò)程中跟隨、熱備的備份單元不參與輸出，可視為無(wú)載儲(chǔ)備。運(yùn)載火箭飛行時(shí)間短，為便于計(jì)算，無(wú)載儲(chǔ)備單元在儲(chǔ)備期間可簡(jiǎn)單地認(rèn)為失效率為0。基于上述分析，RBC可按n =3 的冷儲(chǔ)備模型計(jì)算。假設(shè)切換可靠性為Rsw，根據(jù)式(6)可得:

(3)R綜控器計(jì)算

系統(tǒng)中有3 臺(tái)綜合控制器，3 臺(tái)綜合控制器集成在1個(gè)機(jī)箱中，3 取2 表決后輸出控制信號(hào)，因此系統(tǒng)中綜控器為3 取2 表決系統(tǒng)，根據(jù)式(4)可得:

(4)R總線計(jì)算

將式(9)～(12)代入式(8)，可得系統(tǒng)可靠性:

3 算例計(jì)算與分析

3.1 可靠性計(jì)算

運(yùn)載火箭控制系統(tǒng)單元模塊或單機(jī)可靠性R一般不低于0.990，令R在0.990 ～0.9999 變化，R1553在0.99 ～1 變化，Rsw= 1，分別代入式(7)和(13)，按控制系統(tǒng)可靠性模型計(jì)算R1(S)，R2(S)，主要計(jì)算結(jié)果見表1，在上述條件下系統(tǒng)可靠性隨單機(jī)可靠性變化見圖8。

為保證可靠性，航天運(yùn)載器普遍采用高等級(jí)元器件，單元模塊或單機(jī)可靠性一般比較高，選擇單元模塊或單機(jī)可靠性R =0.999，令Rsw在0.999 ～1 變化，R1553在0.99 ～1 變化，分別代入式(7)和(13)，按控制系統(tǒng)可靠性模型計(jì)算R1(S)，R2(S)，主要計(jì)算結(jié)果見表2，在上述條件下系統(tǒng)可靠性隨Rsw可靠性變化見圖9。

3.2 討論與分析

由于BC 的核心控制作用，其故障容易導(dǎo)致R1其它終端的資源浪費(fèi)，影響系統(tǒng)可靠性，但由于R1總線并聯(lián)容錯(cuò)，使它對(duì)總線本身故障的敏感度大大降低;R2 系統(tǒng)中只要BC 切換正常(Rsw=1)，單個(gè)BC 故障就不會(huì)蔓延到終端及系統(tǒng)，但由于總線是串聯(lián)環(huán)節(jié)，因此R2 對(duì)總線本身的故障比較敏感。根據(jù)表1 和圖8 結(jié)果，Rsw=1 時(shí)，1553B 總線可靠性指標(biāo)較低時(shí)，R1 的系統(tǒng)可靠性大于R2;1553B 總線可靠性達(dá)到0.99999 ～1 時(shí)，R1 和R2 的可靠性相當(dāng);1553B 總線可靠性為0.99999 時(shí)，當(dāng)R ＞0.994，則R2 － R1 ＜0;1553B 總線可靠性為1 時(shí)，當(dāng)R ＞0.999，則R2 與R1 的差值小于3.8 ×10－8，且隨著R值的增大，兩系統(tǒng)可靠性值的差異趨于0。R2 － R1隨單機(jī)可靠性變化的2 條曲線見圖10。運(yùn)載火箭系統(tǒng)工程設(shè)計(jì)中需根據(jù)總線可靠性水平及可靠性指標(biāo)、單機(jī)可靠性指標(biāo)及其對(duì)系統(tǒng)可靠性的影響，確定合理的系統(tǒng)冗余容錯(cuò)結(jié)構(gòu)。

表1 復(fù)雜容錯(cuò)系統(tǒng)可靠性計(jì)算(Rsw =1)

圖8 系統(tǒng)可靠性隨單機(jī)可靠性變化趨勢(shì)圖(Rsw =1)

表2 復(fù)雜容錯(cuò)系統(tǒng)可靠性計(jì)算(R=0.999)

圖9 系統(tǒng)可靠性隨Rsw可靠性變化趨勢(shì)圖(R=0.999)

圖10 R2 －R1 隨單機(jī)可靠性變化的趨勢(shì)圖(Rsw =1)

總線切換開關(guān)的可靠性影響R2 系統(tǒng)可靠性，當(dāng)BC 故障時(shí)，診斷、切換所需的時(shí)間很短以及由此帶來(lái)的對(duì)系統(tǒng)功能性能的影響可以忽略時(shí)，分析總線切換開關(guān)的可靠性對(duì)系統(tǒng)可靠性的影響。考慮組成復(fù)雜冗余容錯(cuò)系統(tǒng)的單元模塊或單機(jī)可靠性 R =0.999，根據(jù)表2 和圖9，總線可靠性對(duì)R2 系統(tǒng)可靠性影響較大，總線開關(guān)在其可靠性大于0.999時(shí)對(duì)系統(tǒng)可靠性影響較小;總線可靠性為0.99 的R1 可靠性與總線可靠性為1 的R2 可靠性相當(dāng);總線可靠性為0.99 的R1 可靠性大于總線可靠性為0.99999的R2 可靠性。當(dāng)R =0.999 時(shí)，以Rsw=0.999 為 起 點(diǎn)，Rsw取 值0. 999，0. 9995，0. 9999，0.99999和1，依次計(jì)算Rsw變化時(shí)系統(tǒng)可靠性的相對(duì)增長(zhǎng)值，當(dāng)總線開關(guān)可靠性大于0.999 時(shí)，其可靠性指標(biāo)的提高對(duì)系統(tǒng)可靠性提升的貢獻(xiàn)較小，最大不超過(guò)1 ×10－6。因此運(yùn)載火箭系統(tǒng)工程設(shè)計(jì)中需根據(jù)總線開關(guān)切換復(fù)雜度及其可靠性水平，確定合理的總線切換方案。

圖11 系統(tǒng)可靠性隨Rsw 變化的趨勢(shì)圖(R = 0.999)

4 結(jié)束語(yǔ)

冗余容錯(cuò)技術(shù)的使用，使得系統(tǒng)可靠性建模變得異常復(fù)雜。本文針對(duì)提高運(yùn)載火箭控制系統(tǒng)可靠性的2 種容錯(cuò)設(shè)計(jì)方案，分析并建立了其可靠性定量分析的數(shù)學(xué)模型，然后進(jìn)行了算例分析，從可靠性角度提出了運(yùn)載火箭系統(tǒng)工程設(shè)計(jì)的建議，需根據(jù)總線可靠性水平及可靠性指標(biāo)、單機(jī)可靠性指標(biāo)及其對(duì)系統(tǒng)可靠性的影響，確定合理的系統(tǒng)冗余容錯(cuò)結(jié)構(gòu)，同時(shí)根據(jù)總線開關(guān)切換復(fù)雜度及其可靠性水平，確定合理的總線切換方案。本文提出了運(yùn)載火箭復(fù)雜容錯(cuò)控制系統(tǒng)可靠性分析的方法，并通過(guò)算例分析得出了一定條件下的結(jié)論，當(dāng)條件不同時(shí)可能得出不同的結(jié)論，但均可采用本文方法進(jìn)行可靠性建模分析，為控制系統(tǒng)可靠性評(píng)估、方案優(yōu)化提供良好的支撐，本文方法能夠在運(yùn)載火箭控制系統(tǒng)工程設(shè)計(jì)中推廣應(yīng)用。

［1］孫凝生.冗余設(shè)計(jì)技術(shù)在運(yùn)載火箭飛行控制系統(tǒng)中的應(yīng)用(一)［J］. 航天控制，2003，(1):65-81. (Sun Ningsheng. The Redundancy Designs for Guidance and Control System of Launch Vehicle［J］. Aerospace Control，2003，(1):65-81).

［2］周正伐.可靠性工程基礎(chǔ)［M］. 北京:中國(guó)宇航出版社，1999.

［3］周正伐，等.航天可靠性工程培訓(xùn)教材［M］.第1 版.北京:中國(guó)宇航出版社，2006.

［4］曾聲奎，趙廷弟，等.系統(tǒng)可靠性設(shè)計(jì)分析教程［M］.北京:北京航空航天大學(xué)出版社，2001. (Zeng Shengkui，Zhao Tingdi，et al. The System Reliability Design and Analysis Tutorial ［M］. Beijing:Beihang University Press，2001.)

［5］楊振明.概率論［M］.2 版.北京:科學(xué)出版社，2004:34.

［6］馬曉麗，張亮.全概率公式的推廣及其在保險(xiǎn)中的應(yīng)用［J］.高等數(shù)學(xué)研究，2010，13(1):70-71.

［7］楊鏑，張焰，祝達(dá)康. 特高壓直流輸電系統(tǒng)可靠性評(píng)估方法［J］. 現(xiàn)代電力，2011，28(4):1-6.(YANG DI，ZHANG Yan，ZHU Dakang. Reliability Evaluation Method for UHVDC Transmission System［J］. Modern Electric Power，2011，28(4):1-6.)

［8］丁明，王京景，宋倩.基于K/n(G)模型的柔性直流輸電系統(tǒng)換流閥可靠性建模與冗余性分析［J］.電網(wǎng)技術(shù)，2008，32 (21):32-36. (DING Ming，WANG Jingjing，SONG Qian. Reliability Modeling and Redundancy Analysis of Converter Valves for VSC-HVDC Power Transmission System Based on k-out-of-n:G Model［J］. Power System Technology，2008，32(21):32-36.)

［9］Leelaruji R，Setréus J，Olguin G.Availability Assessment of the HVDC Converter Transformer System［C］. Proceedings of the 10thInternational Conference on Probabilistic Methods Applied to Power System，2008.

［10］丁明，畢銳，王京景.基于FD 法和模型組合的柔性直流輸電可靠性評(píng)估［J］.電力系統(tǒng)保護(hù)與控制，2008，36(21):33-37. (DING Ming，BI Rui，WANG Jingjing. FD Method and Combined Model for Reliability Assessment of HVDC Flexible［J］. Power System Protection and Control，2008，36(21):33-37.)

［11］孫宇斌，劉文霞，等. 計(jì)及備用元件的柔性直流輸電系統(tǒng)可靠性評(píng)估方法［J］.現(xiàn)代電力，2013，30(1):8-12.(SUN Yubin，LIU Wenxia，et al. The Reliability Evaluation Method for VSC-HVDC System by Considering of Standby Components［J］. Modern Electric Power，2013，30(1):8-12.)