三余度舵機控制器可靠性設計

倪笑宇，徐 軍，梁建明，張蘭娣，顏景潤

(1.河北建筑工程學院，張家口 075000；2.北京理工大學，北京 100081)

?

三余度舵機控制器可靠性設計

倪笑宇1，徐 軍2，梁建明1，張蘭娣1，顏景潤1

(1.河北建筑工程學院，張家口 075000；2.北京理工大學，北京 100081)

為了提高飛行器舵機系統的可靠性，提出一種三余度舵機控制器的設計方案，介紹了舵機控制器的工作原理和功能結構。在此基礎上，詳細研究了三余度控制器的余度管理、信號表決與故障監控。通過分析與實驗，控制器工作穩定可靠。

舵機控制器；三余度；信號表決；故障監控；可靠性

0 引 言

舵機系統作為飛行器的重要執行部件，其可靠性直接影響到整個飛行器的安全。余度技術在提高安全可靠性方面發揮著非常重要的作用。傳統的舵機控制器多采用單余度或是雙余度設計，無法進一步滿足高可靠性要求。而四余度設計的體積、重量、成本又大為提高，因此本文設計了一種三余度舵機控制器，并對其可靠性進行了深入研究。

1 舵機控制器的工作原理

舵機控制器主要實現舵機的控制和舵機系統的故障監控，同時根據自身故障信息可切換飛行模式。如圖1所示，舵機控制器是連接飛控計算機(以下簡稱FCC)、駕駛桿、舵機三者之間的重要控制部件，可以通過ARINC 429總線與FCC交互，接收參數信號，同時接收駕駛桿的指令信號，把指令信號與參數信號整形處理，控制舵機工作。還能夠采集舵機上的傳感器信號，實現閉環控制。對相關信號監控，進行余度管理、故障隔離，同時上報FCC自身狀態[1]。

圖1 舵機控制系統總體結構

2 舵機控制器的功能結構

整個控制系統由四余度的FCC通過429總線和舵機控制器進行通訊，舵機控制器采用三余度方式，內部有三個軟硬件完全一致的控制單元，具有可互換性。每個舵機控制器可以控制兩個舵機，如圖2所示。

圖2 整體結構圖

舵機控制器每個控制單元主要包括FPGA數字接口模塊、DSP電機控制模塊、駕駛桿指令處理模塊、伺服驅動模塊、CPLD故障監控模塊、串口維護模塊等功能，如圖3所示。舵機包括無刷直流電動機、多級齒輪減速機構和旋轉變壓器等。

圖3 單個控制單元結構圖

舵機控制器中的FPGA主要完成與FCC的通訊接口，四余度飛控計算機的信號表決，駕駛桿信號的指令處理等；DSP主要完成兩個無刷直流電動機的PID控制等；CPLD主要完成三余度控制器的故障監控與故障處理等。

3 余度管理

舵機在航天、航空領域的應用非常廣泛，因此對其可靠性和安全性要求不斷提高。通常提高可靠性的方法有兩種：一是提高降額設計的安全裕度；二是對關鍵重要環節進行余度設計。第一種方法通常增加了重量和體積，提升效果卻有限。第二種方法使用一些巧妙的余度策略，可靠性卻能大幅度提高，是航天、航空技術經常采用的辦法[2]。本文設計了三余度舵機控制器，并依據余度管理將其分成三種工作模式。

(1)正常模式

舵機控制器的三余度控制單元自我監控信號都正常，三者關鍵信號經過相互比較，偏差不超過規定范圍，FCC沒有發出故障信號，此時舵機控制器進入正常模式。采用FCC發來的指令參數進行舵機控制，安全等級最高，執行全任務狀態。正常模式是真正意義上的電傳操縱，飛機工作在此狀態下，飛行品質相對較高。

(2)直接模式

舵機控制器的三余度控制單元如果有一個自身出現故障，或者三者的關鍵信號經過相互比較，有一個明顯偏離另外兩個，此時舵機控制器進入直接模式。仍然采用FCC發來的指令參數進行舵機控制，并將故障單元隔離切換。三余度降為兩余度，安全等級降低，部分高級功能不能工作，但仍能滿足正常飛行任務。

(3)阻尼模式

舵機控制器的三余度控制單元如果有兩個自身出現故障，或者三者的關鍵信號經過相互比較，都各自明顯偏離另外兩個，或者FCC發出故障信號，此時舵機控制器進入阻尼模式。此模式使用控制單元中FPGA保存的備用參數進行舵機控制，并將兩路故障單元隔離切換。安全等級最低，可完成簡單飛行，保證安全返航。在阻尼模態下，飛行品質降為最低，無法執行高級功能，但仍可以繼續安全飛行和著陸。

綜上所述，舵機控制器采用三余度設計，其中每一個控制單元都采用軟硬件完全相同的余度技術策略，通過信號表決與故障監控對舵機控制器各種功能狀態監控，出現故障后做出故障隔離和切換，保證飛機一次故障后能夠降級完成任務，二次故障后能夠安全返航[3-4]。

4 信號表決

對多余度系統進行余度管理，需要對關鍵信號進行表決，設置相應的表決面與表決策略。

在三余度舵機控制器上，本文設置了三個表決面：一是四余度FCC的控制參數的表決；二是駕駛桿指令與控制參數經過處理后的指令信號的表決；三是DSP輸出的最終控制信號的表決。三個表決面的設置可以從控制器的前段至后端進行全方位的監控，從而易于查找故障點，并能充分利用余度優勢，減小故障隔離后帶來的可靠性損失。

每個表決面的表決策略有所不同。對于四余度參數信號表決采用中值選擇和平均值選擇的組合，即FPGA接收到的四路信號，彼此偏差不超過規定范圍并且沒有收到FCC報故信號時，那么認為四路信號均有效，取次大值和次小指的平均值輸出；如果有一路信號偏離于另外三路信號超出規定范圍或者有一路FCC報故時，那么拋棄此路信號，在其余三路信號中取中值信號輸出；如果有兩路信號偏離于另外兩路信號超出規定范圍或者有兩路FCC報故時，那么拋棄這兩路信號，選擇剩余兩路信號的平均值輸出；如果有三路FCC報故時，那么選擇剩余的一路信號輸出；如果四路信號各自都偏離于彼此超出規定范圍或者有四路FCC報故時，那么四路信號都不能使用，選擇FPGA內部保存備用參數輸出。對于三余度處理后指令信號的表決同樣采用中值與平均值的方法。對于最終舵機控制信號的表決，采用母線電流監控的方法，超出規定值將關閉對應的驅動器件MSK4300停止輸出，剩余有效信號通過并聯二極管的方式進行輸出，控制舵機運轉。控制信號表決流程如圖4所示。

圖4 三余度舵機控制器控制信號流程圖

5 故障監控機制

舵機控制器的余度管理和信號表決都需要強大的故障監控與處理作支持。

根據可靠性要求，三余度舵機控制器在無故障的情況下，接收駕駛桿指令信號，并對四余度的FCC發來的參數信號進行表決，將指令信號與表決出的參數信號進行指令處理，并將處理后的指令信號進行三余度信號表決，使用表決后的信號對舵機進行控制。如果監測到FCC或者舵機控制器出現故障，則隔離切斷相應的控制單元，余度降低，信號采取對應的表決方式，仍能完成正常任務，保證可靠性。

故障監控可以分為自監控和比較監控。設定相應監控原則，根據監控結果進行信號表決、余度管理和故障隔離。對于三余度控制器，可以進行比較完善的監控處理。因此，本設計采用單個控制單元自監控與三個控制單元比較監控相結合的方式。

在硬件方面，對于單個控制單元，需要對各種電源信號、時鐘信號、DSP信號、FPGA信號、母線電流信號、FCC總線刷新信號等進行自監控；對于三個控制單元，需要對處理后指令信號一致性、FCC總線參數信號、最終控制信號等進行比較監控。自監控是本控制單元內部各信號與標準規定信號之間進行監控，通過LM339比較器采用線與的方式，如圖5所示，需要監控的信號與標準信號通過運放OPA2277進行比較做差，將差值送入到LM339，如果差值超出上下門限值即為故障，輸出低電平到CPLD，持續低電平超過規定的時間范圍，判定為此信號故障。比較監控是將三個控制單元中的同一種信號送入FPGA內進行比較，按照前文所述的信號表決策略進行監控，將故障信號隔離。

圖5 自監控硬件電路

在軟件方面，由于三余度舵機控制器已經建立了良好的硬件監控平臺，三個CPLD內部軟件可以根據外部硬件信息判斷故障點與故障形式，從而快速準確地實施故障隔離。編寫監控軟件需要設計相應的監控原則，判定故障的等級。其中監控原則是要根據監控信號的實際情況來設定，按照國內標準、實際工況、芯片特性等因素設定安全范圍，如果超出安全范圍并且持續一定時間即可判定為故障，避免出現因電壓不穩、環境變化或其他非故障因素造成的頻繁誤報虛報，提高系統的可操作性。如表1所示，比如對電源電壓12 V、5 V、3.3 V和1.8 V的監控，考慮到DSP與FPGA的供電需求，可將1.8 V電壓的上下門限值設為1.7 V和1.9 V，考慮到電源特性實驗的需要，可將故障信號(低電平)持續時間設置為100 ms，超過可判定為故障。同理，對總線信號的監控，除了有完善的校驗方式外，由于總線要承擔數據傳輸的任務，接口芯片需要周期性的刷新數據，因此只需監控接口芯片DEI1016的讀引腳即可，根據實際工況要求，FCC應該每12.5 ms向控制器發送一次數據，可將周期限額時間設置為25 ms，一旦任意兩組數據信號相差時間超過25 ms，即判定為總線刷新故障。其他監控信號原理相同。通過對各個信號的監控，CPLD內部邏輯將各個信號故障綜合判定出故障等級，信號之間是與和或的關系，然后進行余度管理與工作模式切換。故障等級依據故障導致后果的嚴重程度分為高低兩個等級。故障等級低，本控制單元不需要隔離，不需要切換工作模式。故障等級高則需要隔離本控制單元，切換工作模式。

表1 故障監控

6 實驗分析

試制三余度舵機控制器驗證機，如圖6所示。

圖6 實驗樣機

圖7 電機性能指標

圖8 性能對比圖

7 結 語

本文介紹了一種三余度舵機控制器的設計方案，首先分析了舵機控制器的工作原理與功能結構，然后詳細研究了三余度控制器的余度管理、信號表決與故障監控。采用三余度設計舵機控制器，雖然系統的故障率較雙余度有所提高，但無論是FCC故障還是控制器自身故障，都可通過多數表決與完善的故障監控機制來化解、吸收，帶來了高可靠性，簡單有效地保證了舵機系統在一次故障下能可靠工作，二次故障下能安全工作。

[1] 張騰，倪笑宇．民機舵機控制系統設計 [J]．機械管理開發，2012，127(3)：14-17.

[2] 李清，吳昊，馮立墨，周海平．三余度機電伺服機構及其故障隔離與重構技術 [J]．微電機，2014，47(12)：40-44.

[3] 黃健，王強．基于FPGA的雙余度無刷舵機控制系統的設計[J]．微電機，2014，47(12)：45-55.

[4] 高金源．飛機電傳操縱系統與主動控制技術[M]．北京：北京航空航天大學出版社,2005:39-46.

Reliability Design of Triple Redundant Servo Controller

NIXiao-yu1，XUJun2，LIANGJian-ming1，ZHANGLan-di1，YANJing-run1

(1.Hebei Institute of Architecture and Civil Engineering,Zhangjiakou 075000,China; 2.Beijing Institute of Technology,Beijing 100081,China)

In order to improve the reliability of vehicle steering system, a design scheme of the triple redundant servo controller was presented, and the working principle and functional structure of servo controller were introduced. On this basis, the redundancy management, signal voting and fault monitoring about triple redundant controller were studied in detail. Through analysis and experiment, the controller is stable and reliable in work.

servo controller; triplex redundancy; signal voting; fault monitoring; reliability

2015-04-08

河北省高等學校科學技術研究項目(Z2014125)；河北建筑工程學院校級科研基金項目(QN201403)。

TM383.4；TM33

A

1004-7018(2016)01-0024-03

倪笑宇(1984-)，男，碩士研究生，工程師，研究方向為飛行器控制、自動控制、機械電子。