呂迅竑,姜　斌,陳　欣,齊瑞云

(南京航空航天大學(xué)自動(dòng)化學(xué)院,江蘇 南京 210016)

?

無(wú)人機(jī)容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)研究

呂迅竑,姜斌,陳欣,齊瑞云

(南京航空航天大學(xué)自動(dòng)化學(xué)院,江蘇 南京 210016)

高性能無(wú)人機(jī)對(duì)飛行控制計(jì)算機(jī)提出了高可靠性要求,使用余度容錯(cuò)飛控計(jì)算機(jī)是提高安全可靠性的重要途徑之一。對(duì)容錯(cuò)飛控計(jì)算機(jī)安全可靠性、實(shí)時(shí)性、維護(hù)性等設(shè)計(jì)要求進(jìn)行研究,分析了無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)的設(shè)計(jì)要求特點(diǎn);闡述了典型軍用、民用有人機(jī)以及無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)的體系結(jié)構(gòu)及關(guān)鍵余度管理策略,總結(jié)了無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu)特點(diǎn)及發(fā)展方向。根據(jù)上述研究結(jié)果,提出一種基于FlexRay總線的相似三模余分布式容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu),FlexRay總線既是單通道飛控計(jì)算機(jī)的內(nèi)部總線,也是多通道飛控計(jì)算機(jī)的系統(tǒng)總線。該體系結(jié)構(gòu)能夠抑制拜占庭故障,滿(mǎn)足無(wú)人機(jī)高可靠、低成本、擴(kuò)展性強(qiáng)、維護(hù)性能好等要求。

無(wú)人機(jī); 容錯(cuò)計(jì)算機(jī)系統(tǒng); 飛行控制系統(tǒng); 體系結(jié)構(gòu)設(shè)計(jì); 余度設(shè)計(jì); 三模冗余

0　引　言

隨著無(wú)人機(jī)應(yīng)用日益廣泛、應(yīng)用領(lǐng)域不斷擴(kuò)大,功能不斷增強(qiáng),研制生產(chǎn)和使用維護(hù)成本不斷提高,對(duì)飛控計(jì)算機(jī)的可靠性要求也越來(lái)越高。余度技術(shù)是提高飛控計(jì)算機(jī)可靠性的重要手段之一,余度容錯(cuò)飛控計(jì)算機(jī)已經(jīng)成功地運(yùn)用于民航客機(jī)[1-3]、戰(zhàn)斗機(jī)[4]等有人機(jī)中,將飛控系統(tǒng)的故障率降低為10-7～10-10/飛行小時(shí)。然而,有人機(jī)的容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)不能滿(mǎn)足無(wú)人機(jī)體積、功耗、價(jià)格等要求,無(wú)法直接應(yīng)用于無(wú)人機(jī)中。容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)也在美國(guó)全球鷹[5-6]、以色列B-Hunter[7]等無(wú)人機(jī)上得到了成功的應(yīng)用。隨著微電子、電子、計(jì)算機(jī)、總線等技術(shù)的發(fā)展,電子設(shè)備集成化程度更高、功能更強(qiáng)大,而體積更小、重量更輕、功耗更小、價(jià)格更便宜。工業(yè)電子技術(shù)應(yīng)用廣泛,其發(fā)展速度通常遠(yuǎn)高于航空電子技術(shù)的發(fā)展,但其可靠性也較低。如何合理地將先進(jìn)的工業(yè)產(chǎn)品運(yùn)用于航空電子設(shè)備中,充分利用工業(yè)技術(shù)的進(jìn)步提高產(chǎn)品性能,在滿(mǎn)足高可靠性的同時(shí)降低成本,始終是科技工作者需要解決的問(wèn)題。

本文在對(duì)容錯(cuò)飛控計(jì)算機(jī)安全可靠性、實(shí)時(shí)性、維護(hù)性等要求進(jìn)行研究的基礎(chǔ)上,分析了無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)的設(shè)計(jì)需求特點(diǎn)。對(duì)20世紀(jì)70年代以來(lái)的典型容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu)進(jìn)行了研究,闡述了針對(duì)不同需求設(shè)計(jì)的系統(tǒng)的體系結(jié)構(gòu)及關(guān)鍵余度管理算法,以及系統(tǒng)隨電子、總線、計(jì)算機(jī)等科技進(jìn)步的發(fā)展,并對(duì)發(fā)展趨勢(shì)進(jìn)行了總結(jié)。這些分析和總結(jié),期望能夠?yàn)闊o(wú)人機(jī),乃至有人機(jī)容錯(cuò)飛控計(jì)算機(jī)新項(xiàng)目設(shè)計(jì)所借鑒。

無(wú)人機(jī)容錯(cuò)飛控系統(tǒng)可靠性低于有人機(jī),要求系統(tǒng)體積小、重量輕、低功耗、低成本,而低成本是無(wú)人機(jī)能夠占領(lǐng)市場(chǎng),成功應(yīng)用的關(guān)鍵。針對(duì)無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)的特點(diǎn),提出一種基于FlexRay總線的相似三模余(triple modular redundancy,TMR)分布式容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu)。FlexRay是一種針對(duì)汽車(chē)內(nèi)部高可靠網(wǎng)絡(luò)通信開(kāi)發(fā)的總線,2006年成功應(yīng)用于寶馬X5中,2010年成為ISO國(guó)際通用標(biāo)準(zhǔn)[8]。目前,FlexRay總線控制器已經(jīng)集成于某些型號(hào)微控制器中,在滿(mǎn)足高可靠性的同時(shí)降低了總線使用成本,使之與CAN總線的使用成本相差不遠(yuǎn)。

FlexRay總線在航空領(lǐng)域的應(yīng)用還較少,本文將FlexRay總線應(yīng)用于容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)中,FlexRay總線既是單通道飛控計(jì)算機(jī)的內(nèi)部總線,也是TMR系統(tǒng)數(shù)據(jù)交互的系統(tǒng)總線。FlexRay總線傳輸速度為10Mbps,作為單通道內(nèi)部總線時(shí),實(shí)際起到背板總線的作用,分析表明能夠滿(mǎn)足實(shí)時(shí)性要求。

TMR系統(tǒng)會(huì)引起拜占庭將軍問(wèn)題,本文利用FlexRay總線及余度管理算法消除拜占庭將軍故障,提高了系統(tǒng)可靠性。由于使用了分布式結(jié)構(gòu),本文提出的容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)具有擴(kuò)展性強(qiáng)、結(jié)構(gòu)簡(jiǎn)單靈活、維護(hù)成本低等優(yōu)點(diǎn);容錯(cuò)技術(shù)及工業(yè)成熟產(chǎn)品的應(yīng)用,使系統(tǒng)同時(shí)滿(mǎn)足無(wú)人機(jī)高可靠及低成本,高性?xún)r(jià)比要求。

1　容錯(cuò)飛行控制計(jì)算機(jī)設(shè)計(jì)要求

容錯(cuò)飛控計(jì)算機(jī)本質(zhì)上是一種高可靠實(shí)時(shí)數(shù)據(jù)采集與處理系統(tǒng),設(shè)計(jì)時(shí)須考慮安全可靠性、實(shí)時(shí)性、飛行認(rèn)證、性?xún)r(jià)比、維護(hù)性等要求。

1.1安全可靠性要求

可靠性要求是飛控計(jì)算機(jī)必須滿(mǎn)足的要求之一,是決定容錯(cuò)飛控計(jì)算機(jī)結(jié)構(gòu)的主要因素。美國(guó)軍機(jī)Ⅰ、Ⅱ、Ⅳ類(lèi)飛機(jī)電傳飛控系統(tǒng)故障率小于62.5×10-7/飛行小時(shí),Ⅲ類(lèi)飛機(jī)為0.745×10-7/飛行小時(shí)[9];商用運(yùn)輸機(jī)則為1×10-9/飛行小時(shí)。無(wú)人機(jī)沒(méi)有統(tǒng)一標(biāo)準(zhǔn),傳統(tǒng)無(wú)人機(jī)使用的是無(wú)余度飛控計(jì)算機(jī),根據(jù)目前的技術(shù)水平及可靠性試驗(yàn)水平,單通道故障率一般可以達(dá)到小于1×10-3/飛行小時(shí)～1×10-4/飛行小時(shí)。美國(guó)全球鷹無(wú)人機(jī)整機(jī)安全可靠性要求為200次飛行失效不大于1次[5],即飛機(jī)總的安全可靠性要求Rs=0.995。全球鷹一次飛行任務(wù)的時(shí)間定義為42 h[10],設(shè)整機(jī)故障率為λ,則

(1)

可得

(2)

假設(shè)采用典型飛行控制系統(tǒng)安全因子As(FCS)=0.10[9],飛行控制系統(tǒng)故障率λFCS應(yīng)小于1.2×10-5/飛行小時(shí)。

由此可見(jiàn),民航客機(jī)飛控系統(tǒng)的故障率小于軍用飛機(jī)大概2個(gè)數(shù)量級(jí),軍用飛機(jī)故障率則小于無(wú)人機(jī)故障率大約2個(gè)數(shù)量級(jí)。由于飛控系統(tǒng)由飛控計(jì)算機(jī)、傳感器、執(zhí)行機(jī)構(gòu)組成,飛控計(jì)算機(jī)的故障率還應(yīng)小于上述值。如國(guó)內(nèi)某高空長(zhǎng)航時(shí)無(wú)人機(jī)要求余度飛控計(jì)算機(jī)故障率不大于7.3×10-6/飛行小時(shí)[11]。

余度等級(jí)(容錯(cuò)能力準(zhǔn)則)是另一影響容錯(cuò)飛控計(jì)算機(jī)結(jié)構(gòu)的重要因素。國(guó)內(nèi)商用運(yùn)輸機(jī)飛控系統(tǒng)余度等級(jí)最低要求為故障-工作/故障-工作/故障-工作(FO/FO/FO)[12],FA-16為FO/FO,X-29A為故障-工作/故障-安全(FO/FS)[9]。對(duì)于無(wú)人機(jī)而言,飛機(jī)墜毀只引起經(jīng)濟(jì)上的損失,因此一般要求較低,如國(guó)內(nèi)某高空長(zhǎng)航時(shí)無(wú)人機(jī)要求為FS[11]。

1.2實(shí)時(shí)性要求

實(shí)時(shí)性要求是飛控系統(tǒng)最根本的要求。在指定時(shí)間間隔(控制周期)內(nèi),飛控計(jì)算機(jī)必須完成對(duì)機(jī)載傳感器信息的采集,解算控制律,輸出控制指令;舵機(jī)則響應(yīng)控制指令,控制舵面偏轉(zhuǎn)至指定位置。如果實(shí)時(shí)性得不到滿(mǎn)足,飛機(jī)有可能失控。比如,如果不能每40～100 ms內(nèi)提供正確的控制指令,靜不穩(wěn)定戰(zhàn)斗機(jī)將發(fā)散[13]。飛控系統(tǒng)的控制周期一般為10～100 ms,如航天飛機(jī)的控制周期為40 ms[14]。對(duì)于高超聲速無(wú)人飛行器,控制周期需要達(dá)到10 ms,而對(duì)中低速無(wú)人機(jī),40 ms控制周期可以滿(mǎn)足其控制要求。

1.3其他要求

任何容錯(cuò)系統(tǒng)都要求具備高性?xún)r(jià)比,在滿(mǎn)足可靠性要求的前提下盡可能降低系統(tǒng)成本。使用商用貨架(commercial-off-the-shelf,COTS)產(chǎn)品是降低航空電子產(chǎn)品成本的手段之一。航天飛機(jī)軌道飛行器及F-8容錯(cuò)飛控計(jì)算機(jī)使用的是IBM AP-101通用計(jì)算機(jī),X-38容錯(cuò)飛控系統(tǒng)大部分使用COTS產(chǎn)品。使用COTS可以降低開(kāi)發(fā)、重新設(shè)計(jì)、集成、測(cè)試等成本;在系統(tǒng)的生存周期中,方便地進(jìn)行產(chǎn)品的升級(jí)換代。

維護(hù)性設(shè)計(jì)也是容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu)設(shè)計(jì)所需要考慮的重要因素。民航客機(jī)要求延遲維修,使任何硬件故障都延遲到方便的時(shí)間和地點(diǎn)再進(jìn)行維修,減少或者消除簽派延時(shí)[3]。因此,民航客機(jī)需要更高的余度水平以實(shí)現(xiàn)延期維修,如波音777使用了三-三余度容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)。

某些容錯(cuò)飛行控制系統(tǒng)還要滿(mǎn)足認(rèn)證要求。如商用運(yùn)輸機(jī)必須要獲取相關(guān)部門(mén)頒發(fā)的適航證才能投入運(yùn)營(yíng),而適航認(rèn)證的費(fèi)用非常高,因此,在設(shè)計(jì)時(shí)必須充分考慮系統(tǒng)的認(rèn)證要求,如在現(xiàn)有已經(jīng)通過(guò)適航認(rèn)證系統(tǒng)的基礎(chǔ)上進(jìn)行改進(jìn),只需補(bǔ)充認(rèn)證改進(jìn)部分,從而降低認(rèn)證成本。

此外,還應(yīng)該考慮通用性要求,不同項(xiàng)目使用相同的硬件模塊,減少設(shè)計(jì)、認(rèn)證和維護(hù)成本;可擴(kuò)展性要求,在已有項(xiàng)目基礎(chǔ)上進(jìn)行有限的擴(kuò)展以在新的項(xiàng)目中使用,或在現(xiàn)有的基礎(chǔ)上加入新的功能;以及體積、重量、功耗等要求。

1.4無(wú)人機(jī)容錯(cuò)飛行控制計(jì)算機(jī)特點(diǎn)

綜上所述,無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)的特點(diǎn)首先是安全可靠性要求較低,余度等級(jí)要求也較低。由于不涉及人的生命安全,出現(xiàn)故障后,能保證無(wú)人機(jī)安全返航即可。

無(wú)人機(jī)的實(shí)時(shí)性要求則不低于有人機(jī)的要求。無(wú)人機(jī)飛控計(jì)算機(jī)必須完成軌跡控制功能,其要求的控制周期與無(wú)人機(jī)的性能相關(guān)。

無(wú)人機(jī)體積小,重量輕,機(jī)載設(shè)備安裝空間有限,因此,對(duì)容錯(cuò)飛行控制計(jì)算機(jī)體積、重量、功耗等提出更嚴(yán)格的要求。

低成本是無(wú)人機(jī)能夠推廣應(yīng)用,占領(lǐng)市場(chǎng)的前提。因此,在滿(mǎn)足安全可靠性要求的前提下,降低成本,提高系統(tǒng)的市場(chǎng)競(jìng)爭(zhēng)力是無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)設(shè)計(jì)的重點(diǎn)之一。工業(yè)電子產(chǎn)品應(yīng)用廣泛,發(fā)展速度快,價(jià)格低,航空電子產(chǎn)品屬專(zhuān)用產(chǎn)品,可靠性高,發(fā)展速度較慢,價(jià)格昂貴,因此,應(yīng)最大化使用高可靠COTS產(chǎn)品,充分利用新產(chǎn)品提高系統(tǒng)性能的同時(shí)降低成本。

2　容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)分析

容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)的研究與應(yīng)用相對(duì)成熟,文獻(xiàn)[13,15-19]闡述了各種飛控計(jì)算機(jī)體系結(jié)構(gòu)的優(yōu)缺點(diǎn)及應(yīng)用范圍。本節(jié)先簡(jiǎn)述航空器常用的主從熱備份結(jié)構(gòu)、多數(shù)表決結(jié)構(gòu)。然后對(duì)這兩種結(jié)構(gòu)在軍用,民用有人機(jī)、無(wú)人機(jī)中的典型應(yīng)用進(jìn)行分析,闡述其工作原理及關(guān)鍵余度管理算法。有人機(jī)可靠性、余度等級(jí)比無(wú)人機(jī)高,因此,容錯(cuò)飛控計(jì)算機(jī)余度水平也較高,一般無(wú)法直接應(yīng)用于無(wú)人機(jī)中,但其結(jié)構(gòu)體系及余度管理算法可提供有益的參考。最后說(shuō)明容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)隨電子技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)等先進(jìn)技術(shù)的發(fā)展,并分析、總結(jié)其發(fā)展趨勢(shì)。

2.1常用航空器容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)

主從熱備份飛控系統(tǒng)中,若干能夠?qū)崿F(xiàn)相同功能的飛控計(jì)算機(jī)同步運(yùn)行,但只有一個(gè)主飛控計(jì)算機(jī)允許輸出,控制舵面偏轉(zhuǎn),其他飛控計(jì)算機(jī)都為備份計(jì)算機(jī);當(dāng)主飛控計(jì)算機(jī)故障時(shí),切換至備份計(jì)算機(jī)。雙機(jī)主從熱備份飛控系統(tǒng)如圖1所示。

圖1　主從備份結(jié)構(gòu)Fig.1　Dual standby architecture

故障檢測(cè)技術(shù)是主從熱備份結(jié)構(gòu)最關(guān)鍵的技術(shù),主飛控計(jì)算機(jī)的故障必須被及時(shí)、成功地檢測(cè)并切換至備份計(jì)算機(jī)。常用的故障檢測(cè)技術(shù)有機(jī)內(nèi)自檢測(cè)(built-in test,BIT)技術(shù)及自檢測(cè)對(duì)比較監(jiān)控技術(shù)[17]。BIT技術(shù)很難達(dá)到100%自檢覆蓋率,設(shè)計(jì)良好的電子設(shè)備自檢覆蓋率典型值為95%。自檢測(cè)對(duì)比較監(jiān)控技術(shù)可實(shí)現(xiàn)更高的自檢覆蓋率。自檢測(cè)對(duì)由兩組實(shí)現(xiàn)相同功能的計(jì)算機(jī)組成,輸入信號(hào)相同,控制律算法相同,對(duì)控制律解算的結(jié)果進(jìn)行比較。假設(shè)兩臺(tái)飛控計(jì)算機(jī)同一時(shí)間出現(xiàn)相同故障并產(chǎn)生相同錯(cuò)誤結(jié)果的可能性很小,則兩臺(tái)計(jì)算機(jī)結(jié)果相同表明系統(tǒng)無(wú)故障,否則,系統(tǒng)出現(xiàn)故障。如果兩臺(tái)計(jì)算機(jī)緊同步(時(shí)鐘同步)運(yùn)行,使用相同的輸入信號(hào),相同的軟件,中間變量也保持相同的歷史數(shù)據(jù),則自檢測(cè)對(duì)的輸出結(jié)果是按位精確匹配的,也就是完全相同的,可以將自檢測(cè)覆蓋率提高至100%。否則,兩臺(tái)飛控計(jì)算機(jī)輸出只能大致匹配,需要閾值判別是否出現(xiàn)故障,這時(shí)自檢測(cè)覆蓋率為接近100%。

一個(gè)自檢測(cè)對(duì)只能檢測(cè)出故障,要容忍n個(gè)故障,需要n+1個(gè)自檢測(cè)對(duì),如容忍1個(gè)故障,需要4個(gè)通道計(jì)算機(jī)系統(tǒng)。由此可見(jiàn),自檢測(cè)對(duì)結(jié)構(gòu)需要較多的冗余資源。

多模冗余表決結(jié)構(gòu)運(yùn)用的是故障掩蓋技術(shù),3個(gè)或3個(gè)通道以上飛控計(jì)算機(jī)并列運(yùn)行,對(duì)計(jì)算機(jī)的輸出進(jìn)行表決,表決算法有中值選擇、多數(shù)表決算法等,其中多數(shù)表決算法最為常見(jiàn)。多數(shù)表決算法對(duì)所有通道輸出進(jìn)行比較,多數(shù)者為正確,少數(shù)者故障。和自檢測(cè)對(duì)一樣,多數(shù)表決算法對(duì)輸出值的比較分為精確匹配和大致匹配2種方式。如果通道飛控計(jì)算機(jī)之間緊同步運(yùn)行,則可實(shí)現(xiàn)精確匹配,否則,為大致匹配。

多模冗余系統(tǒng)需對(duì)表決面進(jìn)行設(shè)置。除了對(duì)舵面指令進(jìn)行多數(shù)表決,屏蔽飛控計(jì)算機(jī)故障外,通常也對(duì)冗余傳感器數(shù)據(jù)進(jìn)行表決,以屏蔽故障傳感器對(duì)系統(tǒng)的影響。在傳感器輸出信號(hào)、飛控計(jì)算機(jī)輸出信號(hào)設(shè)置表決面的TMR飛控系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2　TMR飛行控制系統(tǒng)結(jié)構(gòu)Fig.2　Triple modular redundancy architecture

圖2中的表決器可以是外加的硬件表決器,也可以由飛控計(jì)算機(jī)軟件完成。如果使用軟件表決器,則圖2中冗余傳感器與飛控計(jì)算機(jī)系統(tǒng)的連接有兩種模式:一種是傳感器1、2、3同時(shí)與計(jì)算機(jī)1、2、3連接,這種方案容錯(cuò)性能最好,但要求飛控計(jì)算機(jī)的資源為一臺(tái)計(jì)算機(jī)的3倍。在一個(gè)系統(tǒng)中,飛控計(jì)算機(jī)所需的模擬量、開(kāi)關(guān)量及串行接口的數(shù)量一般就已經(jīng)相當(dāng)可觀[5],如果所有的冗余傳感器進(jìn)行交叉連接則大大增加飛控計(jì)算機(jī)所需資源以及電纜的重量。另一種方法是傳感器1、2、3分別與飛控計(jì)算機(jī)1、2、3連接,一個(gè)飛控計(jì)算機(jī)只采集一組傳感器信息,飛控計(jì)算機(jī)之間進(jìn)行交換數(shù)據(jù)并表決。這種方法容錯(cuò)能力較差,但計(jì)算機(jī)所需資源較少,也較常用。

需要在各通道之間交換數(shù)據(jù)的系統(tǒng)會(huì)引起拜占庭將軍問(wèn)題[20]。拜占庭將軍問(wèn)題的出現(xiàn),是由于信息傳輸中出現(xiàn)了故障,導(dǎo)致兩臺(tái)計(jì)算機(jī)接收到的另一臺(tái)計(jì)算機(jī)發(fā)送的數(shù)據(jù)不一致,從而使單一故障在多模冗余系統(tǒng)中得不到一致的表決結(jié)果。雖然有些學(xué)者認(rèn)為拜占庭故障出現(xiàn)的幾率很小[19,21],花很大的代價(jià)去解決一個(gè)出現(xiàn)可能性微乎其微的故障簡(jiǎn)直是舍本逐末,但是,對(duì)飛行控制系統(tǒng)這種高可靠控制系統(tǒng),必須解決任何可能出現(xiàn)的故障,是否對(duì)出現(xiàn)可能性很小的故障進(jìn)行解決,正是區(qū)分高可靠性系統(tǒng)和非高可靠性系統(tǒng)的標(biāo)志。而且,之所以認(rèn)為拜占庭故障出現(xiàn)可能性小,是因?yàn)槭芙?jīng)驗(yàn)、測(cè)試條件及水平、能力等限制,在出現(xiàn)時(shí)拜占庭故障時(shí),并未意識(shí)到出現(xiàn)的其實(shí)是拜占庭故障,實(shí)際上,拜占庭故障時(shí)可以檢測(cè)到的[22],因此,對(duì)在通道之間交換數(shù)據(jù)的多模冗余系統(tǒng),必須解決拜占庭將軍問(wèn)題[17]。

舵面指令表決器可以設(shè)置在飛控計(jì)算機(jī)內(nèi)部,表決后輸出統(tǒng)一的指令,也可以由舵回路進(jìn)行表決。用余度液壓舵機(jī)進(jìn)行舵面指令表決是一種常用的表決方法,相比而言,余度電動(dòng)舵機(jī)用的較少。如果飛機(jī)本身有冗余的舵面,不僅可以通過(guò)容錯(cuò)控制[23-28]提高了系統(tǒng)的可靠性,更是可以降低系統(tǒng)對(duì)舵機(jī)可靠性的要求,提高飛控系統(tǒng)的性?xún)r(jià)比。

多模冗余表決技術(shù)可以和自檢測(cè)對(duì)技術(shù)相結(jié)合,構(gòu)成諸如三-二冗余、四-二冗余容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)。

2.2軍用飛機(jī)容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)

軍用飛機(jī)容錯(cuò)飛控計(jì)算機(jī)一般為相似三余度或相似四余度[9],早期很多軍機(jī)有非相似模擬或機(jī)械備份,在數(shù)字容錯(cuò)飛控計(jì)算機(jī)的可靠性得到充分驗(yàn)證之后,拆除了備份系統(tǒng)。

F-8是最早使用無(wú)機(jī)械備份數(shù)字電傳操控系統(tǒng)(digital fly-by-wire,DFBW)的戰(zhàn)斗機(jī)。F-8余度等級(jí)為FO/FS,使用了三余度相似飛控計(jì)算機(jī)[29-31],飛控系統(tǒng)結(jié)構(gòu)如圖3所示。飛控系統(tǒng)傳感器也為三余度,單通道飛控計(jì)算機(jī)只采集一組傳感器信息;通過(guò)串行口進(jìn)行通道間傳感器數(shù)據(jù)交換。對(duì)傳感器輸入數(shù)據(jù)、離散量輸入數(shù)據(jù)及舵面指令進(jìn)行表決,傳感器數(shù)據(jù)用典型的中值選擇器,離散量輸入數(shù)據(jù)則使用多數(shù)表決器。舵面指令表決由三余度液壓舵機(jī)完成,3個(gè)飛控計(jì)算機(jī)通道輸出的模擬量舵面指令同時(shí)送到3個(gè)硬件中值選擇器,完成中值選擇后輸出至3個(gè)電子伺服單元以驅(qū)動(dòng)余度液壓舵機(jī)。

圖3　F-8 DFBW結(jié)構(gòu)Fig.3　Digital fly-by-wire system of F-8

3個(gè)通道飛控計(jì)算機(jī)使用附加的離散量進(jìn)行同步。每臺(tái)計(jì)算機(jī)輸出兩個(gè)同步離散量,同時(shí)接收來(lái)自另兩臺(tái)飛控計(jì)算機(jī)輸出的兩個(gè)共4個(gè)同步離散量信號(hào)。使用兩個(gè)離散量以識(shí)別離散量本身的故障。同步周期為20 ms,每次于10～50 μs內(nèi)完成,以使3個(gè)通道計(jì)算機(jī)同時(shí)采集傳感器數(shù)據(jù)以進(jìn)行內(nèi)環(huán)控制律解算。除內(nèi)環(huán)控制以外其他控制的控制周期為80 ms。由于采用緊同步方式,輸出指令用位精確匹配方法進(jìn)行表決,且不對(duì)輸出指令進(jìn)行同步。

航天飛機(jī)容錯(cuò)飛控系統(tǒng)余度等級(jí)為FO/FO/FS,其DFBW以F-8為基礎(chǔ),由四余度飛控計(jì)算機(jī)及一臺(tái)非相似備份計(jì)算機(jī)組成[14,32-33]。備份計(jì)算機(jī)硬件與其他計(jì)算機(jī)相同,都為IBM AP101B計(jì)算機(jī),但裝載了簡(jiǎn)化的軟件版本,在容錯(cuò)計(jì)算機(jī)出現(xiàn)第二次故障之后,由備份計(jì)算機(jī)接管,執(zhí)行應(yīng)急返航任務(wù)。

由于航天飛機(jī)全長(zhǎng)37.24 m,三角形后掠機(jī)翼的最大翼展23.97 m,使得電纜重量占據(jù)了航空電子系統(tǒng)總重量的大部分,為此,采用了如圖4所示共28路串行數(shù)據(jù)總線實(shí)現(xiàn)整個(gè)機(jī)載電子系統(tǒng)的數(shù)據(jù)與指令的傳輸,完成導(dǎo)航與制導(dǎo)、飛行控制、發(fā)動(dòng)機(jī)控制、顯示、系統(tǒng)管理、地面數(shù)據(jù)交互等功能。數(shù)據(jù)總線采用主從方式進(jìn)行數(shù)據(jù)傳輸,飛控計(jì)算機(jī)為總線控制者,所有的數(shù)據(jù)傳輸都需要飛控計(jì)算機(jī)先發(fā)送相應(yīng)指令。關(guān)鍵飛行控制總線有8路,其中4路為傳感器數(shù)據(jù)采集總線,4路為液壓舵機(jī)控制總線。將傳感器分成4組,4個(gè)通道飛控計(jì)算機(jī)通過(guò)4路串行口與所有4組傳感器相連:1個(gè)通道計(jì)算機(jī)只能控制1路串行口的傳輸,請(qǐng)求該組傳感器發(fā)送測(cè)量數(shù)據(jù),但能同時(shí)接收所有4路總線的數(shù)據(jù)。因此,4個(gè)通道飛控計(jì)算機(jī)擁有相同的傳感器數(shù)據(jù)。每個(gè)通道飛控計(jì)算機(jī)通過(guò)1路串行口控制1個(gè)伺服放大單元,而伺服放大單元的輸出控制四余度液壓舵機(jī)的1個(gè)伺服閥。舵面控制指令表決由液壓舵機(jī)完成。

航天飛機(jī)使用3個(gè)離散量完成同步操作,3個(gè)離散量組成1個(gè)3位的同步碼,用以標(biāo)明同步操作、定時(shí)器及I/O中斷,或標(biāo)明故障的飛控計(jì)算機(jī)/傳感器組。同步每40 ms進(jìn)行一次,每次于20 μs完成。和F-8一樣,輸出指令用位精確匹配方法進(jìn)行表決。

F-8 DFBW于1972～1973年試飛,航天飛機(jī)于1977年進(jìn)行自由飛首飛試驗(yàn)。由于當(dāng)時(shí)還未形成拜占庭將軍問(wèn)題的系統(tǒng)理論,上述容錯(cuò)飛行控制系統(tǒng)未涉及拜占庭將軍問(wèn)題的解決。

X-38容錯(cuò)飛控系統(tǒng)如圖5所示,使用了基于德雷珀實(shí)驗(yàn)室(Draper laboratory)拜占庭故障恢復(fù)并行處理技術(shù)的四模余容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)[34-35],可以容忍1個(gè)拜占庭故障。4個(gè)通道飛控計(jì)算機(jī)分別通過(guò)4路MIL-STD-1553總線與4組傳感器、4組電動(dòng)執(zhí)行機(jī)構(gòu)連接,每個(gè)通道只采集1組傳感器信息,控制1組執(zhí)行機(jī)構(gòu);各通道飛控計(jì)算機(jī)之間則用Network Element光纖網(wǎng)互聯(lián),實(shí)現(xiàn)各通道間的數(shù)據(jù)交換。

圖4　航天飛機(jī)飛行控制計(jì)算機(jī)系統(tǒng)接口示意圖Fig.4　Digital processing system of space shuttle

圖5　X-38飛行控制系統(tǒng)結(jié)構(gòu)Fig.5　X-38 avionics architecture

各通道飛控計(jì)算機(jī)每20 ms同步一次,嚴(yán)格按照預(yù)定時(shí)間節(jié)拍交換輸入數(shù)據(jù),比較控制律解算結(jié)果,發(fā)送表決后的控制指令。為了抑制拜占庭故障,保證傳感器數(shù)據(jù)的一致性,飛控計(jì)算機(jī)之間執(zhí)行兩輪數(shù)據(jù)交換:第一輪飛控計(jì)算機(jī)交換自己采集到的傳感器數(shù)據(jù),第二輪交換第一輪中接收到的其他通道采集到的傳感器數(shù)據(jù)。之后,對(duì)傳感器數(shù)據(jù)進(jìn)行故障檢測(cè)與表決;解算控制律,得到舵面控制指令。最后,對(duì)舵面控制指令進(jìn)行交換及表決,輸出相同的表決結(jié)果。

X-38雖然于2002年由于經(jīng)費(fèi)問(wèn)題被終止,但之前進(jìn)行了8次高空投放試驗(yàn),驗(yàn)證了飛控系統(tǒng)設(shè)計(jì)的正確性。

2.3民航客機(jī)容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)

民航客機(jī)容錯(cuò)飛控計(jì)算機(jī)要求的可靠性很高,同時(shí)還要考慮延遲維修等要求,典型的有波音777及空客A340的飛控系統(tǒng),其飛控計(jì)算機(jī)系統(tǒng)可靠性達(dá)到故障率小于10-10/飛行小時(shí)。

空客A340容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)[1,3]用的是主從備份結(jié)構(gòu),由3臺(tái)主飛控計(jì)算機(jī)(FCPC)、2臺(tái)從飛控計(jì)算機(jī)(FCSC)組成。3臺(tái)FCPC和2臺(tái)FCSC互為備份,其中任何1臺(tái)飛控計(jì)算機(jī)都能獨(dú)立完成A340的飛行控制,因此,可以容忍最多4臺(tái)飛控計(jì)算機(jī)故障。正常情況下,所有飛控計(jì)算機(jī)同時(shí)工作,分別獨(dú)立控制某個(gè)舵面,對(duì)于這個(gè)舵面而言,這臺(tái)飛控計(jì)算機(jī)處于運(yùn)行狀態(tài),其他計(jì)算機(jī)處于備份狀態(tài)。A340使用分離的舵面提供控制面氣動(dòng)冗余:2個(gè)升降舵、4個(gè)副翼舵及12個(gè)擾流板。

FCPC和FCSC都有舵機(jī)驅(qū)動(dòng)功能,因此,飛控計(jì)算機(jī)輸出信號(hào)直接與舵機(jī)連接,同一時(shí)刻只有一臺(tái)飛控計(jì)算機(jī)允許輸出某個(gè)舵機(jī)的控制信號(hào)。

FCPC和FCSC使用了如圖6所示自檢測(cè)對(duì)結(jié)構(gòu),其內(nèi)部有2個(gè)支路計(jì)算機(jī),一個(gè)支路為控制支路,另一個(gè)為監(jiān)控支路。每臺(tái)飛控計(jì)算機(jī)輸出信號(hào)的連接/斷開(kāi)由繼電器進(jìn)行控制。對(duì)2個(gè)支路運(yùn)算結(jié)果進(jìn)行比較,如果超出預(yù)定的閾值,并且持續(xù)了指定的時(shí)間間隔,則判斷該通道故障并斷開(kāi)該通道的輸出,通過(guò)開(kāi)關(guān)量信號(hào)指示備份計(jì)算機(jī)接管控制,控制權(quán)限在多臺(tái)備份計(jì)算機(jī)之間變更的順序是固定的。

FCPC和FCSC采用了非相似余度技術(shù),FCPC和FCSC分別使用了不同的處理器;FCSC使用手工編寫(xiě)代碼,FCPC則用同一自動(dòng)編程工具的不同的編譯器生成了控制支路和監(jiān)控支路軟件代碼。

FCPC和FCSC之間沒(méi)有復(fù)雜的信息交互,也不需要復(fù)雜的余度管理算法,結(jié)構(gòu)相對(duì)簡(jiǎn)單。

波音777 FBW采用分布式結(jié)構(gòu)[2-3,36-37],飛控系統(tǒng)結(jié)構(gòu)

框圖如圖7所示。三-三余度容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)由3個(gè)完全相同的主飛控計(jì)算機(jī)(primary flight computer,PFC)組成,通過(guò)3組物理及電氣上都隔離的ARINC629飛行控制總線與傳感器、舵機(jī)控制器(ACE)及其他機(jī)載設(shè)備連接。PFC通過(guò)ARINC629總線讀取傳感器數(shù)據(jù)并進(jìn)行表決,解算出舵面指令,表決后通過(guò)飛行控制總線發(fā)送至ACE。PFC、ACE及飛行控制總線被分成左、中、右3組,每個(gè)PFC可以同時(shí)從3組總線接收數(shù)據(jù),但只能向同組總線發(fā)送數(shù)據(jù)。

圖6　空客A340飛行控制計(jì)算機(jī)結(jié)構(gòu)Fig.6　Flight control computer of Airbus A340

圖7　波音777飛行控制系統(tǒng)結(jié)構(gòu)Fig.7　Primary flight computer architecture of Being 777

為了抑制共模故障,PFC使用了非相似余度技術(shù)。每個(gè)PFC中有3個(gè)支路計(jì)算機(jī),分別使用3種不同類(lèi)型的CPU及外圍接口電路,軟件編譯器也不同,由此克服相同硬件、編譯器導(dǎo)致的共模故障。3個(gè)支路分別執(zhí)行指令運(yùn)算、監(jiān)控及備份功能。所有支路都有發(fā)送舵面指令的能力,但只有指令運(yùn)算支路有發(fā)送舵面指令的權(quán)限。在系統(tǒng)上電時(shí),3個(gè)PFC中不同類(lèi)型的計(jì)算機(jī)執(zhí)行指令運(yùn)算功能,如果指令運(yùn)算支路故障,則切換至備份支路,PFC繼續(xù)工作。如果再出現(xiàn)故障,則切斷該P(yáng)FC輸出。因此,在出現(xiàn)6個(gè)故障之后,切斷所有的PFC輸出,系統(tǒng)切換至直接控制模式。

指令運(yùn)算、監(jiān)控及備份支路用另一ARINC629內(nèi)部總線實(shí)現(xiàn)幀同步、數(shù)據(jù)同步以及信息交換。在內(nèi)部總線上發(fā)送同步幀,同步幀由一個(gè)幀標(biāo)識(shí)符和一個(gè)數(shù)據(jù)字組成,20μs內(nèi)可完成數(shù)據(jù)傳輸,實(shí)現(xiàn)支路間的同步。數(shù)據(jù)同步幀則由幀標(biāo)識(shí)符及若干數(shù)據(jù)字組成,以使3個(gè)支路使用相同的數(shù)據(jù)進(jìn)行控制律解算。

ARINC629飛行控制總線及ARINC629內(nèi)部數(shù)據(jù)總線實(shí)現(xiàn)PFC通道之間、通道內(nèi)部支路之間的監(jiān)控。

3個(gè)PFC及ARINC629飛行控制總線異步運(yùn)行[38],PFC解算控制律的起始時(shí)間、解算時(shí)間都不一致,為此,對(duì)3個(gè)PFC的離散量輸出進(jìn)行統(tǒng)一,對(duì)舵面指令進(jìn)行均衡。控制律解算結(jié)果通過(guò)ARINC629飛行控制總線在3個(gè)PFC內(nèi)交叉?zhèn)鬏?。舵面指令通過(guò)PFC內(nèi)的硬件中值選擇器進(jìn)行表決后再通過(guò)ARINC629總線發(fā)送給同組的ACE。

PFC提供了拜占庭將軍問(wèn)題的解決方案,所有連接到飛行控制總線的系統(tǒng)必須滿(mǎn)足指定ARINC629總線需求;通過(guò)通道之間監(jiān)控、輸出指令中值表決等余度管理算法從根本上消除系統(tǒng)功能及信息不對(duì)稱(chēng)。

2.4無(wú)人機(jī)容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)

無(wú)人機(jī)安全可靠性要求較低,常規(guī)無(wú)人機(jī)使用無(wú)余度飛控系統(tǒng),而高性能的無(wú)人機(jī)如長(zhǎng)航時(shí)無(wú)人機(jī)、裝載了昂貴任務(wù)設(shè)備的無(wú)人機(jī)等則需要裝載高可靠容錯(cuò)飛控系統(tǒng)。

全球鷹無(wú)人機(jī)機(jī)載電子系統(tǒng)[5-6]如圖8所示,關(guān)鍵飛控系統(tǒng)傳感器、飛控計(jì)算機(jī)為雙余度,舵機(jī)則無(wú)余度。全球鷹將所有的控制舵面都分離成內(nèi)側(cè)和外側(cè)兩組,提供了氣動(dòng)冗余。分析表明,在一個(gè)或多個(gè)舵機(jī)故障時(shí),飛機(jī)仍然可控。雙余度飛控計(jì)算機(jī)(IMMC)通過(guò)MIL-STD-1553總線與INS/GPS集成系統(tǒng)、敵我識(shí)別器(IFF)、防御系統(tǒng)、通信系統(tǒng)等連接;通過(guò)集成接口單元(IIU)與其他接口機(jī)載設(shè)備相連,如模擬量接口的電動(dòng)舵機(jī)、大氣數(shù)據(jù)計(jì)算機(jī)、無(wú)線電高度表等;開(kāi)關(guān)量接口的電氣系統(tǒng);串行接口的差分GPS、雙余度發(fā)動(dòng)機(jī)控制器、除冰器等。此外,飛行關(guān)鍵傳感器如光纖陀螺、導(dǎo)航計(jì)算機(jī)同時(shí)與兩臺(tái)IMMC直接連接。

圖8　全球鷹電子系統(tǒng)架構(gòu)Fig.8　Global Hawk avionics architecture

IMMC之間使用CCDL(cross channel data link)進(jìn)行連接,交換采集的傳感器數(shù)據(jù)及其他數(shù)據(jù)。對(duì)傳感器數(shù)據(jù)進(jìn)行合理性檢查、比較監(jiān)控、求均值等操作,IMMC用相同的傳感器數(shù)據(jù)進(jìn)行控制律解算,以獲取一致的舵面控制指令。

雙余度IMMC并非工作于主從備份方式,系統(tǒng)無(wú)故障時(shí),2臺(tái)IMMC同時(shí)工作,分別控制內(nèi)側(cè)舵面和外側(cè)舵面。IMMC使用了VME64背板具有90%以上自檢覆蓋率的COTS計(jì)算機(jī),當(dāng)一個(gè)IMMC通過(guò)自檢測(cè)判斷自身故障后,由另一個(gè)IMMC控制所有的舵面。

以色列飛機(jī)工業(yè)公司(IAI)的B-Hunter無(wú)人機(jī)[7]容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)(DCPA)為主備結(jié)構(gòu),由相似雙余度飛控計(jì)算機(jī)(AVC-1與AVC-2)組成,AVC-1為主計(jì)算機(jī),AVC-2為從計(jì)算機(jī),CCDL用RS422串行接口實(shí)現(xiàn)。所有的輸入信號(hào)同時(shí)與AVC-1、AVC-2連接,AVC-1與AVC-2的大多數(shù)輸出信號(hào)也連接在一起,但只有主飛控計(jì)算機(jī)能夠輸出控制信號(hào)。飛控計(jì)算機(jī)提供周期自檢測(cè)功能,如果AVC-1故障,則AVC-2成為主計(jì)算機(jī),接管全機(jī)的控制。

IAI的鷹無(wú)人機(jī)(Eagle UAV)容錯(cuò)飛控系統(tǒng)如圖9所示[39],容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)為主備相似三余度結(jié)構(gòu),3臺(tái)飛控計(jì)算機(jī)(AVC-1、AVC-2和AVC-3)分別工作于主/備狀態(tài),AVC-1為主計(jì)算機(jī),其他為備用計(jì)算機(jī);多數(shù)表決器實(shí)現(xiàn)飛控計(jì)算機(jī)表決和監(jiān)控功能。所有的輸入信號(hào)同時(shí)與3臺(tái)飛控計(jì)算機(jī)相連,關(guān)鍵飛控系統(tǒng)傳感器為三余度,用多數(shù)表決器對(duì)傳感器數(shù)據(jù)進(jìn)行表決。鷹無(wú)人機(jī)用分離舵面提供氣動(dòng)冗余,消除舵面單點(diǎn)故障,降低了舵機(jī)的安全可靠性要求。

圖9　鷹無(wú)人機(jī)飛行控制系統(tǒng)架構(gòu)Fig.9　Flight control system of Eagle UAV

2.5無(wú)人機(jī)容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)特點(diǎn)及發(fā)展方向

綜上所述,主從熱備份結(jié)構(gòu)和多數(shù)表決結(jié)構(gòu)在容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)中都得到了成功的應(yīng)用。

主從熱備份結(jié)構(gòu)的優(yōu)點(diǎn)是主、從飛控計(jì)算機(jī)之間不需要進(jìn)行復(fù)雜的數(shù)據(jù)交換,余度管理算法較簡(jiǎn)單,缺點(diǎn)是故障檢測(cè)需要一定的時(shí)間,用BIT很難實(shí)現(xiàn)100%的自檢覆蓋率。利用自檢測(cè)對(duì)進(jìn)行故障檢測(cè),如A340飛控計(jì)算機(jī)系統(tǒng),在緊耦合的情況下,假設(shè)兩臺(tái)計(jì)算機(jī)不會(huì)同時(shí)出現(xiàn)相同的故障,則自檢覆蓋率可達(dá)到100%,但自檢測(cè)對(duì)使系統(tǒng)硬件數(shù)量加倍。隨著電子技術(shù)的發(fā)展,元器件的功能越來(lái)越強(qiáng),體積越來(lái)越小、功耗越來(lái)越低,由于較多冗余資源帶來(lái)的負(fù)面影響越來(lái)越小,自檢測(cè)對(duì)結(jié)構(gòu)得到越來(lái)越廣泛的應(yīng)用。

多數(shù)表決結(jié)構(gòu)的優(yōu)點(diǎn)是用多數(shù)表決算法掩蓋故障,對(duì)計(jì)算機(jī)的BIT能力沒(méi)有特殊要求。缺點(diǎn)是多數(shù)表決系統(tǒng)需要計(jì)算機(jī)之間同步運(yùn)行、互相交換數(shù)據(jù);需要設(shè)置軟件或硬件表決器對(duì)數(shù)據(jù)進(jìn)行表決;此外,還應(yīng)考慮拜占庭將軍問(wèn)題的解決。因此,余度管理算法相對(duì)復(fù)雜。

雖然隨著電子、信息、計(jì)算機(jī)、網(wǎng)絡(luò)等技術(shù)的發(fā)展,容錯(cuò)飛控計(jì)算機(jī)總體架構(gòu)仍然以主從熱備份結(jié)構(gòu)、多數(shù)表決結(jié)構(gòu)及兩種結(jié)構(gòu)的結(jié)合為主,但組成這些結(jié)構(gòu)的計(jì)算機(jī)系統(tǒng),以及整個(gè)機(jī)載電子系統(tǒng),隨著科技的進(jìn)步一直在發(fā)展。

機(jī)載電子系統(tǒng)向分布式系統(tǒng)發(fā)展[40-41]。機(jī)載電子系統(tǒng)最初為聯(lián)合式系統(tǒng),每個(gè)子系統(tǒng)完成獨(dú)立的功能,子系統(tǒng)由獨(dú)立的計(jì)算機(jī)組成,有獨(dú)立的CPU、存貯器、I/O處理單元;子系統(tǒng)之間用最少的線連接。聯(lián)合式系統(tǒng)結(jié)構(gòu)的優(yōu)點(diǎn)是一個(gè)子系統(tǒng)故障不會(huì)蔓延至其他系統(tǒng);通用性強(qiáng),一個(gè)系統(tǒng)稍微進(jìn)行修改即可在另一系統(tǒng)中使用;可以使用COTS組成系統(tǒng)等,缺點(diǎn)是造成計(jì)算、存貯等資源的浪費(fèi),增加了整個(gè)系統(tǒng)的體積、重量、功耗,且不便于子系統(tǒng)之間通信。為了克服聯(lián)合式結(jié)構(gòu)的缺點(diǎn),系統(tǒng)向集成式結(jié)構(gòu)發(fā)展,由一臺(tái)計(jì)算機(jī)實(shí)現(xiàn)多個(gè)子系統(tǒng)的功能,如將舵機(jī)控制器功能集成到飛控計(jì)算機(jī)中。集成式結(jié)構(gòu)的缺點(diǎn)是隨著集成度越來(lái)越高,集成式結(jié)構(gòu)系統(tǒng)的管理越來(lái)越復(fù)雜;子系統(tǒng)軟件之間緊密耦合,降低了軟件可靠性,增加了軟件測(cè)試的難度;一般需要開(kāi)發(fā)專(zhuān)用設(shè)備,無(wú)法使用COTS產(chǎn)品;最嚴(yán)重缺點(diǎn)的是子系統(tǒng)的故障有可能會(huì)蔓延至整個(gè)系統(tǒng)。隨著嵌入式計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)集成度提高,功耗降低,聯(lián)合式結(jié)構(gòu)又重新得到廣泛應(yīng)用,各子系統(tǒng)之間用串行總線連接在一起,形成分布式系統(tǒng)結(jié)構(gòu)。分布式系統(tǒng)可以減少開(kāi)發(fā)時(shí)間,降低成本,增強(qiáng)系統(tǒng)可擴(kuò)展性,增加系統(tǒng)靈活性,降低了系統(tǒng)的復(fù)雜性,提高了維修性。

系統(tǒng)總線是分布式系統(tǒng)的基礎(chǔ),因此,分布式系統(tǒng)的結(jié)構(gòu)、性能與總線的傳輸協(xié)議、拓?fù)浣Y(jié)構(gòu)、可靠性、傳輸速率等息息相關(guān),隨總線技術(shù)的發(fā)展而發(fā)展。文獻(xiàn)[22]、文獻(xiàn)[42]對(duì)幾種有望使用于分布式航空電子系統(tǒng)的總線進(jìn)行了研究,分析表明,對(duì)于強(qiáng)實(shí)時(shí)分布式控制系統(tǒng),基于時(shí)間觸發(fā)(time-triggered protocol,TTP)的總線協(xié)議優(yōu)于基于事件觸發(fā)的總線協(xié)議。分布式航空電子系統(tǒng)是高可靠強(qiáng)實(shí)時(shí)控制系統(tǒng),運(yùn)用于該系統(tǒng)的總線不僅要滿(mǎn)足帶寬要求,通信可預(yù)測(cè)、低等待時(shí)間及低的不穩(wěn)定性,還要求在任何時(shí)候,特別是系統(tǒng)存在故障的情況下,系統(tǒng)節(jié)點(diǎn)仍可定時(shí)訪問(wèn)總線、系統(tǒng)通信仍可預(yù)測(cè)?；谑录|發(fā)的總線如CAN總線,以太網(wǎng)等,需要在高層通信協(xié)議中解決上述問(wèn)題才可以運(yùn)用于實(shí)時(shí)分布式控制系統(tǒng)中,如文獻(xiàn)[43]提出了一種基于CAN總線分布式無(wú)人機(jī)飛控計(jì)算機(jī)結(jié)構(gòu),CPU模塊通過(guò)2路CAN總線與模擬量、開(kāi)關(guān)量、串行口接口模塊相連。CAN總線在系統(tǒng)中為主從結(jié)構(gòu),CPU模塊為主節(jié)點(diǎn),是所有總線傳輸?shù)陌l(fā)起者,其他接口模塊在接收到CPU模塊發(fā)送的指定數(shù)據(jù)幀后方可發(fā)送數(shù)據(jù)。TTP總線靜態(tài)分配整個(gè)系統(tǒng)的通信帶寬,每個(gè)節(jié)點(diǎn)在指定的時(shí)間發(fā)送數(shù)據(jù),總線上的設(shè)備在任何時(shí)候都清楚是誰(shuí)在發(fā)送數(shù)據(jù),不需要在發(fā)送的數(shù)據(jù)幀中附加源地址和目標(biāo)地址信息,這不僅增加了有效數(shù)據(jù)通信的帶寬,還消除了故障節(jié)點(diǎn)發(fā)送信息給錯(cuò)誤的接收節(jié)點(diǎn),或偽裝成別的設(shè)備發(fā)送數(shù)據(jù)的可能性。此外,在沒(méi)有通信保護(hù)措施情況下,要容忍n個(gè)拜占庭故障,需要3n+1臺(tái)計(jì)算機(jī),如X-38容錯(cuò)飛控計(jì)算機(jī)系統(tǒng),用4臺(tái)飛控計(jì)算機(jī)容忍1個(gè)拜占庭故障。而對(duì)于簽名信息(signed message)傳輸,則只需要2n+1臺(tái)計(jì)算機(jī)[20]。每個(gè)節(jié)點(diǎn)在總線架構(gòu)層處理時(shí)序故障，在應(yīng)用層處理數(shù)值故障，且總線架構(gòu)層和應(yīng)用層彼此獨(dú)立的情況下，如果通信系統(tǒng)能夠提供合適的全局時(shí)鐘，則2n+1臺(tái)計(jì)算機(jī)可容忍n個(gè)拜占庭故障。

系統(tǒng)總線按照某種總線拓?fù)浣Y(jié)構(gòu)(總線型連接、星形連接、點(diǎn)對(duì)點(diǎn)連接等)實(shí)現(xiàn)分布式系統(tǒng)各子系統(tǒng)之間的互聯(lián)。最先使用串行總線進(jìn)行子系統(tǒng)互聯(lián)的是航天飛機(jī),如前所述,整個(gè)系統(tǒng)共使用了28路點(diǎn)對(duì)點(diǎn)串行總線。隨著總線技術(shù)的發(fā)展,軍用航空總線MIL-STD-1553總線、商用航空總線ARINC629總線等航空專(zhuān)用總線提供了多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),簡(jiǎn)化了機(jī)載電子設(shè)備的連接,如X-38部分使用主從結(jié)構(gòu)的MIL-STD-1553總線,部分使用Network Element光纖網(wǎng);波音777中的PFC則通過(guò)ARINC629總線以總線型拓?fù)浣Y(jié)構(gòu)與其他設(shè)備連接?？偩€技術(shù)的進(jìn)步使容錯(cuò)飛控系統(tǒng)的連接關(guān)系越來(lái)越簡(jiǎn)單,連接線越來(lái)越少,從而降低了機(jī)載電纜重量,提高了飛行器的有效載荷能力。

總線的傳輸速率是衡量總線性能的重要標(biāo)準(zhǔn)之一,傳輸速率越高,能夠傳輸?shù)臄?shù)據(jù)越多,此外,還使多通道飛控計(jì)算機(jī)之間通過(guò)串行總線進(jìn)行同步成為可能。F-8、航天飛機(jī)使用離散量進(jìn)行同步,這種同步方式簡(jiǎn)單明了,速度快,到目前還有借鑒作用。缺點(diǎn)是占用離散量資源,且需要的離散量數(shù)量隨通道的增加而增加,通用性差。波音777PFC則使用ARINC629總線實(shí)現(xiàn)同步,簡(jiǎn)化了系統(tǒng)設(shè)計(jì)。

航空總線有很高的容錯(cuò)能力,但應(yīng)用范圍窄,發(fā)展緩慢,價(jià)格昂貴,比如MIL-STD-1553總線,第一個(gè)版本發(fā)布于1978年,最后修改版本發(fā)布于1996年,傳輸速率為1Mbps,只支持主從拓?fù)浣Y(jié)構(gòu),目前沒(méi)有升級(jí)版本發(fā)布。而工業(yè)總線應(yīng)用范圍廣,發(fā)展迅速,價(jià)格低,因此,FlexRay,TTCAN等工業(yè)總線都是有可能使用于航空系統(tǒng)的總線[42]。FlexRay是一種基于時(shí)間觸發(fā),高可靠的車(chē)載總線,實(shí)際上,車(chē)載總線的可靠性要求和機(jī)載總線的可靠性要求相差不遠(yuǎn)[22],雖然一輛汽車(chē)的故障率要求遠(yuǎn)低于一架飛機(jī)的故障率要求,但由于數(shù)量眾多,運(yùn)行時(shí)間長(zhǎng),所以可靠性要求也非常高。此外,車(chē)載電子設(shè)備運(yùn)行的溫度、振動(dòng)、電磁等環(huán)境與機(jī)載設(shè)備有相似之處,其與發(fā)動(dòng)機(jī)、剎車(chē)等相關(guān)的電子設(shè)備也與駕駛員、乘客的生命相關(guān),要求具備高安全可靠性。汽車(chē)電子產(chǎn)品使用廣泛,發(fā)展速度遠(yuǎn)高于航空電子產(chǎn)品。因此,近年來(lái)有將汽車(chē)電子技術(shù)運(yùn)用于航空電子領(lǐng)域的趨勢(shì)。

工業(yè)總線的使用降低了系統(tǒng)的成本,航空電子系統(tǒng)的其他設(shè)備也應(yīng)盡量使用COTS,進(jìn)一步提高系統(tǒng)性?xún)r(jià)比。直接使用COTS計(jì)算機(jī),如航天飛機(jī),是一種提高認(rèn)證效率、方便系統(tǒng)升級(jí)的方法。但對(duì)于無(wú)人機(jī)而言,體積、重量、功耗的限制使得諸如VME64、CPCI總線的貨架產(chǎn)品不一定能滿(mǎn)足要求,且一般滿(mǎn)足機(jī)載設(shè)備可靠性要求的COTS計(jì)算機(jī)在國(guó)內(nèi)價(jià)格不菲。因此,使用通用總線、COTS集成芯片及電路等是無(wú)人機(jī)飛控系統(tǒng)提高性?xún)r(jià)比的常用方法。

此外,傳統(tǒng)機(jī)載計(jì)算機(jī)為集中式結(jié)構(gòu),計(jì)算機(jī)由若干板卡組成,核心CPU板通過(guò)并行總線訪問(wèn)其他板卡,如模擬量板、串行口板等,如全球鷹IMMC計(jì)算機(jī)[6]。由于并行總線至少有幾十根數(shù)據(jù)總線及地址總線,因此,需要進(jìn)行加固、抗震等處理,以確保并行總線連接的可靠性。近年來(lái),分布式飛控計(jì)算機(jī)開(kāi)始得到應(yīng)用。文獻(xiàn)[43-44]設(shè)計(jì)了以CAN/FlexRay總線為系統(tǒng)內(nèi)部總線的飛控計(jì)算機(jī),CPU板通過(guò)冗余的內(nèi)部串行總線與模擬量板、串行口板、開(kāi)關(guān)量板等進(jìn)行通信交互。由于CAN/FlexRay總線傳輸需要的信號(hào)線數(shù)量少,可以通過(guò)對(duì)串行總線本身冗余配置、連接線冗余配置、連接器多根芯連接同一信號(hào)等方法實(shí)現(xiàn)總線的可靠連接,不需要進(jìn)行特殊加固、抗震處理,從而降低成本。此外,系統(tǒng)內(nèi)部總線使用串行總線還有體積小,擴(kuò)展性好,維護(hù)方便,一個(gè)功能板的故障不會(huì)擴(kuò)展至整個(gè)系統(tǒng)等優(yōu)點(diǎn),是無(wú)人機(jī)飛控計(jì)算機(jī)發(fā)展方向之一。

3　基于FlexRay總線無(wú)人機(jī)容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)

本文研究了一種以FlexRay總線為系統(tǒng)內(nèi)部總線的分布式容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu),滿(mǎn)足無(wú)人機(jī)高可靠性及高性?xún)r(jià)比要求。

FlexRay總線針對(duì)車(chē)載網(wǎng)絡(luò)通信進(jìn)行開(kāi)發(fā),2006年成功應(yīng)用于寶馬X5中,2010年成為ISO國(guó)際通用標(biāo)準(zhǔn)。經(jīng)過(guò)多年的發(fā)展,已經(jīng)相當(dāng)成熟,一些微控制器如飛思卡爾的MPC56XX系列,MPC57XX系列等內(nèi)嵌FlexRay總線控制器,降低了總線使用成本。FlexRay總線在航空領(lǐng)域的運(yùn)用還較少,文獻(xiàn)[44]研究了基于FlexRay的單通道分布式飛控計(jì)算機(jī),本文在此基礎(chǔ)上,研究一種基于FlexRay總線的分布式相似三余度容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)。

3.1FlexRay總線分布式容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)及關(guān)鍵余度管理算法

基于FlexRay的分布式容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)如圖10所示,由完全相同的3個(gè)通道飛控計(jì)算機(jī)及4組冗余FlexRay總線組成。假設(shè)3組飛控系統(tǒng)傳感器分別與3個(gè)通道飛控計(jì)算機(jī)中的1個(gè)通道連接,無(wú)人機(jī)具有冗余氣動(dòng)舵面,因而使用無(wú)余度舵機(jī),舵面指令通過(guò)通用串行總線(UART)發(fā)送至舵機(jī)控制器。舵機(jī)控制器同時(shí)接收3個(gè)通道飛控計(jì)算機(jī)指令,進(jìn)行多數(shù)表決后輸出。由于本節(jié)主要進(jìn)行容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu)的研究,因此在圖中未標(biāo)明傳感器與執(zhí)行機(jī)構(gòu)的連接關(guān)系。

圖10　FlexRay總線分布式容錯(cuò)飛行控制計(jì)算機(jī)體系結(jié)構(gòu)Fig.10　The architecture of FlexRay-based distributed triple modular redundancy flight control computers

單通道飛控計(jì)算機(jī)的主要功能單元有CPU單元、模擬量信號(hào)處理單元(AIO)、開(kāi)關(guān)量信號(hào)處理單元(DIO)及串行口信號(hào)處理單元(SER)。AIO、DIO及SER由一塊或多塊功能板組成,每塊功能板上都有微處理器(IOP),通過(guò)FlexRay總線發(fā)送采集的機(jī)載設(shè)備的信息;接收CPU單元指令并輸出。FlexRay總線取代了傳統(tǒng)并行總線實(shí)現(xiàn)計(jì)算機(jī)內(nèi)部各功能模塊的連接。每個(gè)通道飛控計(jì)算機(jī)都有單獨(dú)的1路FlexRay內(nèi)部總線,每個(gè)功能模塊都可以向該總線發(fā)送/接收數(shù)據(jù);同時(shí),該總線也是容錯(cuò)飛控計(jì)算機(jī)系統(tǒng)的系統(tǒng)總線,其他通道飛控計(jì)算機(jī)可以接收該通道的數(shù)據(jù),但不可以向該通道發(fā)送數(shù)據(jù)。如FlexRay總線1為飛控計(jì)算機(jī)1的內(nèi)部總線,飛控計(jì)算機(jī)1的各個(gè)功能模塊可以通過(guò)FlexRay總線1發(fā)送/接收數(shù)據(jù),飛控計(jì)算機(jī)2、3可以接收FlexRay總線1數(shù)據(jù),但不能向FlexRay總線1發(fā)送數(shù)據(jù),以此類(lèi)推。FlexRay總線4為系統(tǒng)備份總線,不作為任何飛控計(jì)算機(jī)的內(nèi)部總線。

在輸入傳感器數(shù)據(jù)及舵面指令輸出端設(shè)置表決面。IOP采集輸入的模擬量、開(kāi)關(guān)量、串行口數(shù)據(jù),通過(guò)FlexRay總線發(fā)送給本通道飛控計(jì)算機(jī)CPU單元的同時(shí),其他通道的CPU單元同時(shí)接收該通道的數(shù)據(jù),從而實(shí)現(xiàn)第1輪輸入數(shù)據(jù)的交叉?zhèn)鬏?。之?CPU板發(fā)送自己接收到的其他通道的輸入數(shù)據(jù),進(jìn)行第2輪輸入數(shù)據(jù)交叉?zhèn)鬏?通過(guò)2輪數(shù)據(jù)交叉?zhèn)鬏斚畔鬏數(shù)牟粚?duì)稱(chēng)性,抑制拜占庭故障。

在此基礎(chǔ)上,3個(gè)通道飛控計(jì)算機(jī)利用相同的傳感器數(shù)據(jù)進(jìn)行多數(shù)表決,采用同一多數(shù)表決算法及相同的閾值,表決出相同的輸入數(shù)據(jù)以進(jìn)行控制律解算。對(duì)控制律解算的舵面指令及關(guān)鍵中間變量進(jìn)行2輪交叉?zhèn)鬏敳⑦M(jìn)行表決。表決后的舵面指令通過(guò)串行口信號(hào)處理單元輸出至舵機(jī)控制器。

由于飛控計(jì)算機(jī)采用了分布式結(jié)構(gòu),使得監(jiān)控可以在較低層次的功能模塊間進(jìn)行。對(duì)控制律解算得出的舵面指令及其他輸出指令進(jìn)行多數(shù)表決即可判別CPU單元是否故障;CPU單元同時(shí)接收3個(gè)通道的輸入數(shù)據(jù),進(jìn)行多數(shù)表決同樣可以判別某個(gè)功能單元故障。在FlexRay總線啟動(dòng)之后,AIO、DIO及SER在指定的時(shí)隙內(nèi)發(fā)送指定數(shù)據(jù),而與CPU單元是否正常工作無(wú)關(guān),這使得在某個(gè)通道的CPU單元故障的情況下,其他無(wú)故障功能單元的數(shù)據(jù)仍可利用。比如,飛控計(jì)算機(jī)通道1的CPU單元故障,其AIO采集的數(shù)據(jù)仍可以被飛控計(jì)算機(jī)通道2、3利用以進(jìn)行多數(shù)表決,提高了系統(tǒng)的容錯(cuò)能力。

3.2FlexRay總線實(shí)時(shí)性分析與驗(yàn)證

綜上所述,FlexRay總線為系統(tǒng)核心,既是飛控計(jì)算機(jī)內(nèi)部總線,也是容錯(cuò)飛控計(jì)算機(jī)的系統(tǒng)總線,FlexRay總線的傳輸速率為10Mbps,總線實(shí)時(shí)性至關(guān)重要。

以樣例無(wú)人機(jī)飛控計(jì)算機(jī)[45]為例分析FlexRay總線實(shí)時(shí)性。將CPU單元發(fā)送給其他單元的數(shù)據(jù)稱(chēng)為下行數(shù)據(jù),其他單元發(fā)送給CPU單元的為上行數(shù)據(jù)。單通道飛控計(jì)算機(jī)SER采集慣性導(dǎo)航傳感器(ADU)、大氣數(shù)據(jù)計(jì)算機(jī)(ADC)、無(wú)線電高度表(ALT)、速度及加速度傳感器(DMU)等飛控系統(tǒng)傳感器共117個(gè)字節(jié)(Byte)上行數(shù)據(jù);發(fā)動(dòng)機(jī)控制器(ECU)23個(gè)字節(jié)上行數(shù)據(jù),8個(gè)字節(jié)下行數(shù)據(jù);測(cè)控設(shè)備、任務(wù)管理計(jì)算機(jī)、地面檢測(cè)設(shè)備等共224字節(jié)上行數(shù)據(jù),160字節(jié)下行數(shù)據(jù);模擬量處理單元上行數(shù)據(jù)64個(gè)字節(jié)、下行數(shù)據(jù)為32個(gè)字節(jié),為舵機(jī)控制器指令信號(hào)、舵機(jī)位置指示信號(hào)及備份模擬量輸入/輸出信號(hào);開(kāi)關(guān)量處理單元上行數(shù)據(jù)、下行數(shù)據(jù)各為20個(gè)字節(jié)。選飛行控制周期為10 ms,10 ms的控制周期可以滿(mǎn)足絕大多數(shù)無(wú)人機(jī)飛控系統(tǒng)的控制要求。

FlexRay總線將總線帶寬按通信周期進(jìn)行靜態(tài)分配,每個(gè)通信周期都包含靜態(tài)段、動(dòng)態(tài)段、符號(hào)窗、網(wǎng)絡(luò)空閑段,選擇通信周期與控制周期一致,為10 ms,只用針對(duì)時(shí)間觸發(fā)的靜態(tài)段進(jìn)行數(shù)據(jù)的傳輸。

FlexRay數(shù)據(jù)幀包括幀頭、數(shù)據(jù)段、幀尾3部分,幀頭占用5個(gè)字節(jié),幀尾占用3個(gè)字節(jié),數(shù)據(jù)段長(zhǎng)度可以在0～254字節(jié)間選擇。如果數(shù)據(jù)段短,則總線的有效數(shù)據(jù)傳輸效率低,如果數(shù)據(jù)段太長(zhǎng),很多數(shù)據(jù)幀無(wú)法填滿(mǎn),則同樣會(huì)降低總線有效傳輸效率。根據(jù)樣例無(wú)人機(jī)的特點(diǎn),選擇數(shù)據(jù)段長(zhǎng)度為32個(gè)字節(jié)。由此,一個(gè)數(shù)據(jù)幀共40個(gè)字節(jié),在10 Mbps傳輸速率下,需要的可靠傳輸時(shí)間不大于50 μs,因此,將一個(gè)靜態(tài)時(shí)隙設(shè)置為50 μs。

樣例單通道無(wú)人機(jī)飛控計(jì)算機(jī)一次數(shù)據(jù)傳輸需要13幀串行口上行數(shù)據(jù),6幀串行口下行數(shù)據(jù),2幀模擬量上行數(shù)據(jù),1幀下行數(shù)據(jù),開(kāi)關(guān)量上行數(shù)據(jù)及下行數(shù)據(jù)各1幀,此外,1幀狀態(tài)檢測(cè)下行數(shù)據(jù),3幀檢測(cè)上行數(shù)據(jù),共28幀數(shù)據(jù),傳輸時(shí)間為1.4 ms。

由于3個(gè)通道飛控計(jì)算機(jī)都擁有自己的一組FlexRay內(nèi)部數(shù)據(jù)總線,3個(gè)通道飛控計(jì)算機(jī)同時(shí)接收上行數(shù)據(jù),在自己的內(nèi)部總線上同時(shí)發(fā)送下行數(shù)據(jù),因此,額外需要的數(shù)據(jù)傳輸為進(jìn)行第2輪交叉?zhèn)鬏數(shù)娘w控系統(tǒng)傳感器輸入數(shù)據(jù)及與控制律切換相關(guān)的開(kāi)關(guān)量數(shù)據(jù),以及需要進(jìn)行2輪交叉?zhèn)鬏敿氨頉Q的與控制律積分運(yùn)算相關(guān)的中間變量及控制指令。在樣例無(wú)人機(jī)中,飛控系統(tǒng)傳感器數(shù)據(jù)共117個(gè)字節(jié)數(shù)據(jù),關(guān)鍵開(kāi)關(guān)量數(shù)據(jù)1個(gè)字節(jié);中間變量以及控制指令共320個(gè)字節(jié)。因此,額外的數(shù)據(jù)傳輸為第2輪交叉?zhèn)鬏斴斎胄盘?hào)8幀數(shù)據(jù)(2個(gè)通道共236個(gè)字節(jié)),中間變量以及控制指令共30幀數(shù)據(jù)(1個(gè)通道10幀數(shù)據(jù),共3個(gè)通道)。38幀數(shù)據(jù)的傳輸時(shí)間小于2 ms,因此,FlexRay總線傳輸時(shí)間小于3.5 ms,可以滿(mǎn)足10 ms控制周期的要求。

在圖10結(jié)構(gòu)的計(jì)算機(jī)通信系統(tǒng)中進(jìn)行實(shí)時(shí)性驗(yàn)證,CPU使用MPC5644A,IOP使用C8051F120,由于3個(gè)通道的FlexRay總線邏輯相同,因此這里只對(duì)其中一路總線信號(hào)進(jìn)行說(shuō)明。用安捷倫DSO-X 2012A示波器記錄的FlexRay總線波形如圖11所示。在時(shí)間段1傳輸單通道19幀上行數(shù)據(jù)(串行口13幀、模擬量2幀、開(kāi)關(guān)量1幀、檢測(cè)3幀)后,在時(shí)間段2對(duì)飛控系統(tǒng)傳感器數(shù)據(jù)及關(guān)鍵開(kāi)關(guān)量進(jìn)行第2輪交叉?zhèn)鬏數(shù)?幀數(shù)據(jù)進(jìn)行傳輸。在時(shí)間段3進(jìn)行中間變量及控制指令的30幀數(shù)據(jù)進(jìn)行傳輸;在時(shí)間段4輸出9幀下行數(shù)據(jù)(串行口6幀、模擬量1幀、開(kāi)關(guān)量1幀、狀態(tài)檢測(cè)1幀)。由圖可見(jiàn),數(shù)據(jù)幀傳輸時(shí)間和理論分析時(shí)間吻合,數(shù)據(jù)幀傳輸及應(yīng)用程序處理時(shí)間小于7 ms,可以滿(mǎn)足實(shí)時(shí)性要求。

圖11　FlexRay總線波形圖Fig.11　Bandwidth utilization of FlexRay

4　結(jié)　論

(1)容錯(cuò)飛控計(jì)算機(jī)設(shè)計(jì)要求有可靠性要求、余度等級(jí)要求、實(shí)時(shí)性要求、認(rèn)證要求、維護(hù)性要求、通用性要求、性?xún)r(jià)比要求、重量,體積及功耗要求等。無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)可靠性要求較有人機(jī)低,余度等級(jí)要求一般為FS。因此,最大化使用高可靠COTS產(chǎn)品,充分利用新產(chǎn)品提高系統(tǒng)性能的同時(shí)降低成本,提高市場(chǎng)競(jìng)爭(zhēng)力是無(wú)人機(jī)容錯(cuò)飛行計(jì)算機(jī)設(shè)計(jì)的重點(diǎn)之一。

(2)對(duì)典型軍用,民用有人機(jī)、無(wú)人機(jī)容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu)進(jìn)行研究,闡述了針對(duì)不同需求設(shè)計(jì)的系統(tǒng)的體系結(jié)構(gòu)及關(guān)鍵余度管理算法。這些系統(tǒng)可被新項(xiàng)目設(shè)計(jì)所借鑒。

(3)機(jī)載電子系統(tǒng)向分布式系統(tǒng)發(fā)展,分布式系統(tǒng)的核心是系統(tǒng)總線?；赥TP協(xié)議的總線比基于事件觸發(fā)的總線更適合于在飛控系統(tǒng)等硬實(shí)時(shí)控制系統(tǒng)中使用。航空專(zhuān)用總線可靠性高,但應(yīng)用范圍小,發(fā)展緩慢,價(jià)格昂貴。FlexRay總線是一種高可靠車(chē)載專(zhuān)用總線,其運(yùn)行的溫度、振動(dòng)、電磁等環(huán)境與機(jī)載設(shè)備有相似之處,應(yīng)用廣泛,價(jià)格低,是一種適合于在航空領(lǐng)域使用的總線。

(4)提出一種基于FlexRay總線的分布式相似TMR容錯(cuò)飛控計(jì)算機(jī)體系結(jié)構(gòu),并給出了關(guān)鍵余度管理算法。FlexRay總線既是單通道飛控計(jì)算機(jī)的內(nèi)部總線,實(shí)現(xiàn)計(jì)算機(jī)背板總線的功能,也是多通道數(shù)據(jù)交互的系統(tǒng)總線。該系統(tǒng)能夠滿(mǎn)足無(wú)人機(jī)高可靠、低成本,高性?xún)r(jià)比、維護(hù)性好、擴(kuò)展性強(qiáng)等要求。

[1] Briere D,Traverse P.AIRBUS A320/A330/A340 electrical flight controls-a family of fault-tolerant systems[C]//Proc.of the 23rd IEEE International Symposium on Fault-Tolerant Computing,1993:616-623.

[2] Aplin J D.Primary flight computers for the Boeing 777[J].Microprocessors and Microsystems,1997,20(8):473-478.

[3] Chen Z J,Qin X D,Gao J Y.Dissimilar redundant flight control computer system[J].Acta Aeronautica et Astronautica Sinica,2005,26(3):320-327.(陳宗基,秦旭東,高金源.非相似余度飛控計(jì)算機(jī)[J].航空學(xué)報(bào),2005,26(3):320-327.)

[4] Ammons E.F-16 flight control system redundancy concepts[C]//Proc.of the Guidance and Control Conference,1979.

[5] Loegering G,Evans D.The evolution of the global hawk and MALD avionics systems[C]//Proc.of the 18th IEEE Digital Avionics Systems Conference,1999:1-8.

[6] Loegering G.Global Hawk in a network centric environment[C]//Proc.of the 3rd AIAA Unmanned Unlimited Technical Conference,Workshop and Exhibit,2004:1-6.

[7] Defense Technical Information Center.The B-Hunter UAV system[EB/OL].[2015-06-22].http://www.dtic.mil/dtic/tr/fulltext/u2/p010763.pdf.

[8] Wu B X,Guo Y H,Cao Y,et al.The development examples for the automotive bus ofFlexRay[M].Beijing:Publish House of Electronics Industry,2012:1-6.(吳寶新,郭永紅,曹毅,等.汽車(chē)FlexRay總線系統(tǒng)開(kāi)發(fā)實(shí)戰(zhàn)[M].北京:電子工業(yè)出版社,2012:1-6.)

[9] Yao Y P,Li P Q.Reliability and redundancy technology[M].Beijing:Aviation Industry Press,7-10,180-183.(姚一平,李沛瓊.可靠性及余度技術(shù)[M].北京:航空工業(yè)出版社,1991:7-10,180-183.)

[10] Loegering G.On the wings of a Hawk-a UAV navigation system takes flight[J].GPS World,2000,11(4):34-45.

[11] Liu X X.Research on redundancy techniques for flight control computer of high altitude,long endurance UAV[D].Xi’an:Northwestern Polytechnical University,2004.(劉小雄.高空長(zhǎng)航時(shí)無(wú)人機(jī)飛行控制計(jì)算機(jī)系統(tǒng)冗余設(shè)計(jì)技術(shù)研究[D].西安:西北工業(yè)大學(xué),2004.)

[12] Qin X D,Chen Z J,Li W Q.Research on dissimilar redundant flight control computers of large civil aircraft[J].Acta Aeronautica et Astronautica Sinica,2008,29(3):686-694.(秦旭東,陳宗基,李衛(wèi)琪.大型民機(jī)的非相似余度飛控計(jì)算機(jī)研究[J].航空學(xué)報(bào),2008,29(3):686-694.)

[13] Lala J H,Harper R E.Architectural principles for safety-critical real-time applications[J].Proceedings of the IEEE,1994,82(1):25-40.

[14] Minott G M,Peller J B,Cox K J.Space Shuttle digital flight control system,NASA-N76-31146[R].NASA,1976.

[15] Rice J W,McCorkle R D.Digital flight control reliability-Effects of redundancy level,architecture and redundancy management technique[C]//Proc.of the AIAA Guidance and Control Conference,1979.

[16] Yount L J.Digital flight-critical systems for commercial transports,AIAA-A85-17806[R].Reston:AIAA,1985.

[17] Hammett R.Design by extrapolation:an evaluation of fault tolerant avionics[J].IEEE Aerospace and Electronic Systems Magazine,2002,17(4):17-25.

[18] Black R,Fletcher M.Next generation space avionics:layered system implementation[J].IEEE Aerospace and Electronic Systems Magazine,2005,20(12):9-14.

[19] Smith T J,Yelverton J N.Processor architectures for fault tolerant avionic systems[C]//Proc.of the 10th IEEE/AIAA Digital Avionics Systems Conference,1991:213-219.

[20] Lamport L,Shostak R,Pease M.The Byzantine generals problem[J].ACM Trans.on Programming Languages and Systems,1982,4(3):382-401.

[21] McGough J G.The Byzantine generals problem in flight control systems,AIAA-90-5210[R].Reston:AIAA,1990.

[22] Rushby J.Bus architectures for safety-critical embedded systems[C]//Proc.of the Embedded Software,2001:306-323.

[23] Lv X,Jiang B,Qi R,et al.Survey on nonlinear reconfigurable flight control[J].Journal of Systems Engineering and Electronics,2013,24(6):971-983.

[24] Jiang B,Yang H.Survey of the active fault-tolerant control for flight control system[J].Systems Engineering and Electronics,2007,29(12):2106-2110.(姜斌,楊浩.飛控系統(tǒng)主動(dòng)容錯(cuò)控制技術(shù)綜述[J].系統(tǒng)工程與電子技術(shù),2007,29(12):2106-2110.)

[25] Shen Q,Jiang B,Cocquempot V.Adaptive fuzzy observer-based active fault-tolerant dynamic surface control for a class of nonlinear systems with actuator faults[J].IEEE Trans.on Fuzzy Systems,2014,22(2):338-349.

[26] Gayaka S,Yao B.Output feedback based adaptive robust fault-tolerant control for a class of uncertain nonlinear systems[J].Journal of Systems Engineering and Electronics,2011,22(1):38-51.

[27] He J,Qi R,Jiang B,et al.Adaptive output feedback fault-tolerant control design for hypersonic flight vehicles[J].Journal of the Franklin Institute,2015,352(5):1811-1835.

[28] Qi R,Huang Y,Jiang B,et al.Adaptive backstepping control for hypersonic vehicle with uncertain parameters and actuator failures[J].ProceedingsIMechE:Part I-Journal of Systems and Control Engineering,2013,227(1):51-61.

[29] Szalai K J,Felleman P G,Gera J,et al.Design and test experience with a triply redundant digital fly-by-wire control system,AIAA-76-1911[R].Reston:AIAA,1976.

[30] Deets D A,Szalai K J.Design and flight experience with a digital fly-by-wire control system using Apollo guidance system hardware on an F-8 aircraft,AIAA-72-881[R].Reston:AIAA,1972.

[31] Szalai K J,Larson R R,Glover R D.Flight experience with flight control redundancy management[R].Advisory Group for Aerospace Research and Development LS,1980.

[32] Hanaway J F,Moorehead R W.Space shuttle avionics system,NASA-SP-504[R].NASA,1989.

[33] Blair-Smith H.Space shuttle fault tolerance:Analog and digital teamwork[C]//Proc.of the 28th IEEE/AIAA Digital Avionics Systems Conference,2009:6.B.1-1-6.B.1-11.

[34] Kouba C,Buscher D,Busa J.The X-38 spacecraft fault-tolerant avionics system,JSC-CN-8132[R].NASA,2003.

[35] Rice L E P,Cheng A M K.Timing analysis of the X-38 space station crew return vehicle avionics[C]//Proc.of the 5th IEEE Real-Time Technology and Applications Symposium,1999:255-264.

[36] Yeh Y C.Design considerations in Boeing 777 fly-by-wire computers[C]//Proc.of the 3rd IEEE International High-Assurance Systems Engineering Symposium,1998:64-72.

[37] Yeh Y C.Safety critical avionics for the 777 primary flight controls system[C]//Proc.of the 20th IEEE Digital Avionics Systems Conference,2001:1C2/1-1C2/11.

[38] Hammond R A,Newman D S,Yeh Y C.On fly-by-wire control system and statistical analysis of system performance[J].Simulation,1989,53(4):159-167.

[39] Goshen-Meskin D.Presentation of the eagle UAV system[R].Israel Aircraft Industries,Ltd.,MALAT Division,Military Aircraft Group,2005.

[40] Hammett R.Flight-critical distributed systems:design considerations[J].IEEE Aerospace and Electronic Systems Magazine,2003,18(6):30-36.

[41] Alstrom K,Torin J.Future architecture for flight control systems[C]//Proc.of the 20th IEEE Digital Avionics System Conference,2001:1B5/1-1B5/10.

[42] Gwaltney D A,Briscoe J M.Comparison of communication architectures for spacecraft modular avionics systems,TM-2006-214431[R].NASA,2006.

[43] Zhang Z A,Chen X,Lü X H.Design of a distributed flight control computer for UAV[J].Computer Systems & Applications,2010,19(8):16-19.(張?jiān)霭?陳欣,呂迅竑.一種用于無(wú)人機(jī)的分布式飛行控制系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2010,19(8):16-19.)

[44] Zhang Y,Chen X,Lü X H.Flight control computer communication system based on FlexRay bus[J].Machine Design and Manufacturing Engineering,2013,42(3):53-56.(章勇,陳欣,呂迅竑.基于 FlexRay 網(wǎng)絡(luò)的飛行控制計(jì)算機(jī)總線通信系統(tǒng)[J].機(jī)械設(shè)計(jì)與制造工程,2013,42(3):53-56.)

[45] Zhang Y.Design and research on FlexRay bus communication for flight control computer[D].Nanjing:Nanjing University of Aeronautics and Astronautics,2013.(章勇.基于 FlexRay 飛行控制計(jì)算機(jī)總線設(shè)計(jì)與研究[D].南京:南京航空航天大學(xué),2013.)

Research on architecture of fault tolerant flight control computer for UAVs

Lü Xun-hong,JIANG Bin,CHEN Xin,QI Rui-yun

(College of Automation Engineering,Nanjing University of Aeronautics and Astronautics,Nanjing 210016,China)

The flight control computer (FCC)of high performance unmanned aerial vehicles (UAVs)must meet the increased safety and reliability requirements,and redundancy and fault tolerance are essential elements to improve the reliability and availability.The flight control system requirements,such as safety,reliability,maintainability,and real-time response,are studied,Then,compared among civil and military aircraft and UAV,the architectures and redundancy management of typical fault-tolerant FCC systems are introduced.Next,the particularity and future developments of FCC for UAV are addressed,and a triple modular redundancy (TMR)FCC system for UAV is developed.The TMR is a distributed system based on the FlexRay bus,and FlexRay is not only the backplane bus for the single FCC but also the system bus for the TMR system.The TMR system is Byzantine resilience,and meets the highreliability flexibility,scalability and low cost requirements of UAVs.

unmanned aerial vehicle (UAV); fault tolerant computer system; flight control system; architecture design; redundant design; triple modular redundancy (TMR)

2015-06-28；

2016-07-05；網(wǎng)絡(luò)優(yōu)先出版日期：2016-08-25。

國(guó)家自然科學(xué)基金(61428303,61374130,61374116)資助課題

TP 273,V 249

ADOI:10.3969/j.issn.1001-506X.2016.11.20

呂迅竑(1973-),女,博士研究生,助理研究員,主要研究方向?yàn)槿蒎e(cuò)控制、導(dǎo)航制導(dǎo)與控制。

E-mail:lvxh@nuaa.edu.cn

姜斌(1966-),男,教授,博士,主要研究方向?yàn)楣收显\斷、容錯(cuò)控制。

E-mail:binjiang@nuaa.edu.cn

陳欣(1960-),男,研究員,博士,主要研究方向?yàn)閷?dǎo)航制導(dǎo)與控制。

E-mail:chenxin@nuaa.edu.cn

齊瑞云(1982-),女,教授,博士,主要研究方向?yàn)楣收显\斷、容錯(cuò)控制。

E-mail:ruiyun.qi@nuaa.edu.cn

網(wǎng)絡(luò)優(yōu)先出版地址：http://www.cnki.net/kcms/detail/11.2422.TN.20160825.1440.004.html