唐 寧，劉智勇，高亞楠，何英姿

(北京控制工程研究所，北京 100190)

基于拜占庭容錯體系構(gòu)架的航天器控制系統(tǒng)測試性設(shè)計與分析

唐 寧，劉智勇，高亞楠，何英姿

(北京控制工程研究所，北京 100190)

飛行控制系統(tǒng)作為航天飛行器的關(guān)鍵機載系統(tǒng)，其運行情況直接關(guān)系到飛行任務(wù)的成敗.通過良好的測試性設(shè)計，可以提高系統(tǒng)的可靠性和安全性，減少維修人力及其他保障資源，降低壽命周期費用.對拜占庭容錯體系結(jié)構(gòu)的航天器控制系統(tǒng)和分層多信號流圖模型的測試性設(shè)計和建模方法進行了詳細的敘述，并對基于拜占庭容錯體系結(jié)構(gòu)的航天器控制系統(tǒng)進行了測試性建模，通過測試性建模和分析系統(tǒng)(TMAS軟件)驗證控制系統(tǒng)測試性設(shè)計的正確性和有效性.

飛行控制系統(tǒng)；拜占庭容錯系統(tǒng)結(jié)構(gòu)；多信號流圖；測試性設(shè)計和建模

0 引 言

飛行控制系統(tǒng)作為航天飛行器的關(guān)鍵機載系統(tǒng)，其運行情況直接關(guān)系到飛行任務(wù)的成敗.隨著航天技術(shù)的發(fā)展，飛行控制系統(tǒng)日趨復(fù)雜.功能性能的提升伴隨著系統(tǒng)結(jié)構(gòu)復(fù)雜程度加劇，也必然導(dǎo)致復(fù)雜回路的增加和故障模式的增多.受到通道資源和傳輸速率的限制，飛行器不可能大規(guī)模傳輸遙測數(shù)據(jù)，而且有時會長時間的工作在非測控區(qū)域內(nèi)，不能進行遙測傳輸，當系統(tǒng)故障失效時，維護人員僅憑有限的遙測信息很難將故障隔離到具體的模塊或回路.因此在系統(tǒng)設(shè)計時，必須考慮系統(tǒng)的測試性.在設(shè)計初期通常采用基于模型的設(shè)計方法，提高系統(tǒng)的測試性.

隨著人類探索宇宙的不斷深入，世界各航天大國提出了各種創(chuàng)新的概念和方案，其中可重復(fù)使用多次返回的航天技術(shù)日益成為各國爭相追逐的熱點.為了實現(xiàn)這種航天技術(shù)，必須研制高可靠的控制系統(tǒng).控制系統(tǒng)設(shè)計人員據(jù)此開發(fā)了基于拜占庭容錯體系結(jié)構(gòu)的航天器控制系統(tǒng)，本文在分析控制系統(tǒng)結(jié)構(gòu)和組成的基礎(chǔ)上，給出了控制系統(tǒng)測試性設(shè)計的分析流程，建立了可測試性設(shè)計的模型，最后利用專業(yè)軟件，進行了可測試性設(shè)計的仿真評估.

1 測試性定義與分析流程

測試性是一種設(shè)計特性，根據(jù)國軍標GJB 2547A-1995將測試性定義為產(chǎn)品能及時準確地確定其狀態(tài)(可工作、不可工作或性能下降)并隔離其內(nèi)部故障的一種設(shè)計特性.測試性具有與可靠性、維修性、保障性同等重要地位，是構(gòu)成系統(tǒng)質(zhì)量特性的重要組成部分.通過良好的測試性設(shè)計，可以提高系統(tǒng)的可靠性、任務(wù)成功性和安全性，減少維修人力及其他保障資源，降低壽命周期費用[1].

測試性分析都是根據(jù)系統(tǒng)的設(shè)備組成、信號流程和工作原理來構(gòu)建模型，并通過詳細的信號關(guān)聯(lián)關(guān)系分析，確定功能子模塊或設(shè)備的故障傳播方向和影響范圍，由功能子模塊到設(shè)備再到系統(tǒng)逐步完成系統(tǒng)的測試性分析[2].

2 測試性模型設(shè)計方法

測試性模型采用單元模塊節(jié)點和測試節(jié)點來描述其組成單元.單元模塊節(jié)點代表系統(tǒng)中的LRU(外場可更換單元)或SRU(車間可更換單元)，用方框表示；測試節(jié)點即系統(tǒng)中添加的測試節(jié)點，用圓圈表示.在測試性模型中，單元模塊節(jié)點與單元模塊節(jié)點之間、單元模塊節(jié)點與測試節(jié)點通過帶有單箭頭的連接線(即有向邊)兩兩連接起來，以表示故障或者信號在系統(tǒng)中的傳播路徑和傳播方向，這種傳播方向是不可逆的，因此有向邊連接的兩個節(jié)點之間的關(guān)系是固定不變的[1].從形式上講，測試性模型由以下單元組成:

1)有限的單元模塊集：Fn={F1,F2,F3,…，F(xiàn)n};

2)n維的測試節(jié)點集：TPn={tp1,tp2,tp3,…，tpn};

3)相互獨立的系統(tǒng)信號集：Sn={s1,s2,s3,…，sn};

4)m維的測試集：Tm={t1,t2,t3,…，tm};

5)有限的有向邊集：E={eij};元素eij表示有向圖中連接節(jié)點i和節(jié)點j，且由節(jié)點i指向節(jié)點j的有向邊；

6)測試節(jié)點tpn的信號集：SP(tpn)；

7)系統(tǒng)結(jié)構(gòu)有向圖：DG={F,TP,E},有向圖的邊E表示系統(tǒng)的物理連接.

可以用一個簡單的有向圖表示上述結(jié)構(gòu)單元，如圖1所示.

3 基于拜占庭容錯體系結(jié)構(gòu)的航天器控制系統(tǒng)構(gòu)成

基于拜占庭容錯體系結(jié)構(gòu)的航天器控制系統(tǒng)構(gòu)成如圖2所示.系統(tǒng)共設(shè)計有4條總線，分別為3條GNC總線，1條數(shù)管總線.GNC控制器A、B、C三機分別設(shè)計有1條GNC總線，D機設(shè)計有3條GNC總線，分別連接在3條GNC總線上.其中與GNC系統(tǒng)相關(guān)的敏感器、執(zhí)行機構(gòu)和接口裝置分別連接在3條GNC總線上.GNC控制器A、B、C三機分別控制1條GNC總線，D機負責在故障情況下對GNC總線進行統(tǒng)一調(diào)整.數(shù)管總線負責遙測數(shù)據(jù)、數(shù)管指令和注入數(shù)據(jù)的傳輸.正常情況下，GNC控制器A、B、C三機作為3條GNC總線的BC端， D機工作在MT模式，故障情況下，可作為任一條GNC總線的BC端，各敏感器、執(zhí)行機構(gòu)和接口裝置作為GNC總線的RT端.數(shù)管計算機作為數(shù)管總線的BC端，GNC控制器A、B、D機作為數(shù)管總線的RT端.

4 基于1553B總線的控制系統(tǒng)構(gòu)架

目前比較流行的航天器主要采用基于內(nèi)部1553B總線的控制系統(tǒng)體系結(jié)構(gòu).系統(tǒng)的基本組成如下：兩條外部1553B總線(其中一條是備份)連接控制計算機與星上數(shù)據(jù)管理系統(tǒng)(OBDH，on board data handling)．兩條內(nèi)部1553B總線(其中一條為備份)，連接控制計算機與控制系統(tǒng)各組成部件，包括各敏感器、各執(zhí)行機構(gòu)．控制計算機由應(yīng)急控制器和AOCC組成.AOCC為內(nèi)1553B總線的總線控制器(BC，bus controller)，控制系統(tǒng)其它部件是內(nèi)總線的遠程單元(RT，remote terminal)，當AOCC發(fā)生故障時，容錯模塊通過切機信號將應(yīng)急計算機作為當班機，將同AOCC一樣完成系統(tǒng)正常功能所要求的操作[3]．系統(tǒng)結(jié)構(gòu)如圖3所示.

5 兩種航天器控制系統(tǒng)構(gòu)架的測試性設(shè)計與分析

根據(jù)測試性模型設(shè)計方法，在基于拜占庭容錯體系結(jié)構(gòu)的GNC控制器的A、B、C、D機中分別設(shè)置

一個測試節(jié)點，慣性測量單元設(shè)置一個測試節(jié)點，星敏感器設(shè)置一個測試節(jié)點，伺服子系統(tǒng)設(shè)置一個測試節(jié)點，具體見圖2.在基于1553B總線體系的GNC控制器的應(yīng)急線路和AOCC中分別設(shè)置一個測試節(jié)點，慣性測量單元設(shè)置一個測試節(jié)點，星敏感器設(shè)置一個測試節(jié)點，伺服子系統(tǒng)設(shè)置一個測試節(jié)點，具體見圖3.

根據(jù)測點與故障傳遞關(guān)系，可建立該系統(tǒng)的故障-測試相關(guān)矩陣，D矩陣可表示為

表1 兩種體系結(jié)構(gòu)的航天器控制系統(tǒng)的故障-測試相關(guān)矩陣對比Tab.1 The compare of two architecture control systems on D matrix

通過觀察，基于拜占庭體系的航天控制器相對于基于主備冗余的1553B總線體系的航天控制器輸出的D矩陣中測點和部件之間的相關(guān)關(guān)系更強，在考慮“一重故障”的情況下，任一部件故障，都至少有4個檢測點可以檢出，而對于基于主備冗余的1553B總線體系的控制器而言，任一部件故障，都只有2個檢測點可以檢出，通過TMAS輸出的D矩陣中測點和部件之間的相關(guān)關(guān)系，與實際系統(tǒng)分析所得結(jié)果是一致的，驗證了系統(tǒng)模型建立的正確性，基于拜占庭體系航天控制器的測試性設(shè)計能極大提高系統(tǒng)的故障檢測率.

6 控制系統(tǒng)測試性建模與分析

根據(jù)前面介紹的測試性分析流程與測試性模型設(shè)計方法和控制系統(tǒng)的組成框圖，對該控制系統(tǒng)進行測試性設(shè)計建模與分析.

為了展現(xiàn)單元與測試之間的關(guān)系，本文設(shè)計了控制系統(tǒng)的多信號流圖的層次化圖形模型，此圖形形式具有表達直觀、便于理解的優(yōu)點，可以比較清楚的表明被測對象的各個測試點與各個組成單元之間的邏輯關(guān)系.

6.1多信號流圖的層次化圖形模型的設(shè)計方法

根據(jù)系統(tǒng)的功能和結(jié)構(gòu)分析，基于拜占庭容錯體系結(jié)構(gòu)的航天器控制系統(tǒng)自頂向下可分為系統(tǒng)級、子系統(tǒng)級(單機)和模塊級(功能子電路級)3個層次.具體結(jié)構(gòu)層次劃分見圖4.

當系統(tǒng)發(fā)生某種故障時，系統(tǒng)相關(guān)層級就會表現(xiàn)出某種與之對應(yīng)的征兆，較低層級表現(xiàn)為某些結(jié)構(gòu)單元失效或損壞，較高層級則表現(xiàn)為某些組件功能失常、性能下降，或各功能組件運轉(zhuǎn)不協(xié)調(diào)等，低層級子故障總是其高層級父故障的特例，高層級父故障則是其低層級子故障的概括.故障診斷推理是按照自頂向下的原則先隔離高層級單元再定位低層級單元，故障最終定位到可更換的模塊，維修時利用備份的子模塊直接替換可能發(fā)生故障的單元.

6.2控制系統(tǒng)測試性模型設(shè)計

測試性建模與分析系統(tǒng)(testability modeling and analysis system，TMAS)，是由北京航空航天大學(xué)可靠性工程研究所，結(jié)合多年在測試性領(lǐng)域研究和應(yīng)用的專業(yè)優(yōu)勢，針對當前科研項目及工程型號任務(wù)的迫切需求，自主研發(fā)了具有自主知識產(chǎn)權(quán)的工具軟件.

TMAS集測試性建模、測試性分析和診斷推理三大功能于一體，旨在幫助用戶在產(chǎn)品或系統(tǒng)設(shè)計階段優(yōu)化和改進產(chǎn)品或系統(tǒng)的測試性設(shè)計和故障診斷方案.TMAS支持用戶根據(jù)系統(tǒng)結(jié)構(gòu)組成和工作原理，快速地建立符合相關(guān)性理論和多信號流圖的層次化圖形模型.TMAS支持建立標準化的測試性模型，包含系統(tǒng)組成單元、故障模式、故障率、測試點及測試類型、工作模式和系統(tǒng)配置等測試性信息.TMAS支持對測試性模型進行測試性分析輸出測試性分析報告，報告涵蓋相關(guān)性矩陣、測試性指標、診斷樹等測試性信息.用戶可根據(jù)測試性分析結(jié)果指導(dǎo)和優(yōu)化產(chǎn)品或系統(tǒng)的測試性設(shè)計，以提高系統(tǒng)的測試性設(shè)計水平.

現(xiàn)以基于拜占庭容錯體系結(jié)構(gòu)的航天器控制系統(tǒng)為例，利用TMAS軟件基于多信號流圖的層次化圖形模型的設(shè)計方法進行可測試性仿真評估.控制系統(tǒng)主要由GNC控制器(GNCC)、慣性測量單元(IMU)、星敏感器(STS)和伺服子系統(tǒng)(SS)組成.圖5為以控制器的電源模塊為例的模塊級多信號流圖模型.

6.3控制系統(tǒng)測試性評估

根據(jù)建立的分層多信號模型，對基于拜占庭體系的航天控制系統(tǒng)進行分析.正常情況下GNCC的A、B、C 3個單機每條單機控制一條GNC總線，通過數(shù)據(jù)交換比對使每個單機均獲得3條GNC總線的部件健康數(shù)據(jù)， D機具有3個1553B控制器作為MT分別與3條控制總線相連，作為備份.當A、B、C 3個單機GNC總線狀態(tài)故障情況下，D機掛在相應(yīng)總線上的1553B控制器被配置為BC，代替故障單機接替相應(yīng)GNC總線控制權(quán).從拜占庭體系控制器的使用策略可以看出，在GNC控制器的A、B、C 3個單機分別設(shè)置一個檢測點，即可檢測出總線上所有部件的故障情況.按照上述原則設(shè)置了6個檢測點，分別為GNC控制器的A機檢測點，GNC控制器的B機檢測點，GNC控制器的C機檢測點，慣性測量單元檢測點，星敏感器檢測點和伺服子系統(tǒng)檢測點，利用TMAS軟件針對該系統(tǒng)進行測試性分析，在此6個測點的模型中，故障檢測率為90.4%，故障隔離率為68.34%，顯然不能滿足診斷和隔離要求，必須對其進行測試性改進設(shè)計.故障檢測率低，說明有效測點的數(shù)量較少，需要在適當?shù)奈恢迷黾訙y點，提高檢測率.故障隔離率較低，說明控制器中有單機故障，其所控總線上部件的健康數(shù)據(jù)無法獲得，而引起故障無法隔離，因此在控制器的D機再設(shè)置一個測點，保證在控制器中的某個單機故障，依然可以得到相應(yīng)總線上部件的健康數(shù)據(jù).通過TMAS軟件針對該7個測點的系統(tǒng)進行測試性分析，可知該系統(tǒng)的故障檢測率為99.8%，故障隔離率為78.6%，各項指標得到了極大的改善，大大提高了系統(tǒng)的診斷能力.表2為該系統(tǒng)改進設(shè)計后的測試性仿真分析結(jié)果.

序號參數(shù)名稱值1故障檢測率99.8%2故障隔離率78.6%3診斷樹測試數(shù)量104未使用的測試及數(shù)量425平均模糊度2.6666676診斷平均測試步驟數(shù)4.0909097模糊組總數(shù)68診斷樹節(jié)點數(shù)219診斷樹葉節(jié)點數(shù)1110系統(tǒng)MTBF603883.458277203

7 結(jié) 論

測試性設(shè)計與分析是一門新興學(xué)科，目前正逐步推廣到航天領(lǐng)域，以測試性為主的診斷、預(yù)測與健康管理技術(shù)將極大的提高航天器的保障能力，確保航天任務(wù)的順利完成.

本文介紹了系統(tǒng)測試性的定義與分析流程，重點敘述了分層多信號圖形化測試性模型的設(shè)計方法，以基于拜占庭容錯體系結(jié)構(gòu)航天器控制系統(tǒng)測試性建模為例，利用TMAS專業(yè)軟件，對該系統(tǒng)進行了定量的測試性評價，驗證了該系統(tǒng)測試性設(shè)計的有效性.

[1] 石君友. 測試性設(shè)計分析與驗證[M]. 長沙： 國防工業(yè)出版社， 2011.

[2] 黃成, 禚輝, 車夢虎. 基于TEAMS和IETM的武器控制系統(tǒng)故障診斷與維修設(shè)備的設(shè)計[J]. 計算機測量與控制, 2014, 22(7): 2131-04.

HUANG C, ZHUO H, CHE M. Design of weapon control system’s fault diagnosis and maintenance equipment based on TEAMS and IETM[J]. Computer Measurement and Control, 2014, 22(7): 2131-04.

[3] 王海博, 袁利. 基于內(nèi)部1553B總線的航天器控制系統(tǒng)可測試性框架設(shè)計與驗證[J]. 空間控制技術(shù)與應(yīng)用， 2014, 40(2): 26-31.

WANG H B, YUAN L. Frame design and verification of DFT technique for control system of spacecraft based on 1553B bus architecture[J]. Aerospace Control and Application, 2014, 40(2): 26-31.

[4] 張強, 胡駿, 胡政, 等. 基于多信號模型的航天器供電系統(tǒng)測試性建模與分析[J]. 載人航天, 2012, 18(6): 39-47.

ZHANG Q, HU J, HU Z, et al. Testability modeling and analysis of spacecraft power supply system based on multi-signal flow diagram[J]. Manned Spaceflight, 2012, 18(6): 39-47.

[5] 高亞楠, 賈英民, 藺玥. 基于數(shù)據(jù)總線的故障容錯體系結(jié)構(gòu)的仿真研究[J]. 計算機仿真, 2014(5): 17-23.

GAO Y N, JIA Y M, LIN Y. Simulation study on data bus based fault-tolerant architecture[J]. Compurter Simulation, 2014(5): 17-23.

DesignandAnalysisofDFTofSpacecraftControlSystemBasedonByzantineFaultTolerantArchitecture

TANG Ning, LIU Zhiyong, GAO Yanan, HE Yingzi

(BeijingInstituteofControlEngineering，Beijing100190，China)

Flight control system is a very important part of the spacecraft on-board systems. Good design for testability (DFT) of flight control system can improve the system reliability and security, and reduce manufacturing cost. The methods of DFT of flight control system and multi-signal flow graph model are introduced in detail. Then, based on Byzantine fault tolerant architecture, the verification of DFT of flight control system is demonstrated via software TMAS (testability modeling and analysis system).

flight control system；Byzantine fault tolerant architecture；multi-signal flow graph model； design for testability and modeling

2016-09-27

TP391.9

A

1674-1579(2017)05-0055-06

10.3969/j.issn.1674-1579.2017.05.009

唐寧(1977—)，男，高級工程師，研究方向為航天器系統(tǒng)集成與技術(shù)設(shè)計；劉智勇(1984—)，男，工程師，研究方向為航天器姿態(tài)與軌道控制；高亞楠(1977—)，男，研究員，研究方向為GNC系統(tǒng)級總體設(shè)計；何英姿(1970—)，女，研究員，研究方向為復(fù)雜航天器高精度高穩(wěn)定度姿態(tài)控制技術(shù)和空天飛行器GNC技術(shù)等.