無人機容錯飛行控制計算機體系結構研究

呂迅竑,姜　斌,陳　欣,齊瑞云

(南京航空航天大學自動化學院,江蘇 南京 210016)

?

無人機容錯飛行控制計算機體系結構研究

呂迅竑,姜斌,陳欣,齊瑞云

(南京航空航天大學自動化學院,江蘇 南京 210016)

高性能無人機對飛行控制計算機提出了高可靠性要求,使用余度容錯飛控計算機是提高安全可靠性的重要途徑之一。對容錯飛控計算機安全可靠性、實時性、維護性等設計要求進行研究,分析了無人機容錯飛控計算機的設計要求特點;闡述了典型軍用、民用有人機以及無人機容錯飛控計算機的體系結構及關鍵余度管理策略,總結了無人機容錯飛控計算機體系結構特點及發展方向。根據上述研究結果,提出一種基于FlexRay總線的相似三模余分布式容錯飛控計算機體系結構,FlexRay總線既是單通道飛控計算機的內部總線,也是多通道飛控計算機的系統總線。該體系結構能夠抑制拜占庭故障,滿足無人機高可靠、低成本、擴展性強、維護性能好等要求。

無人機; 容錯計算機系統; 飛行控制系統; 體系結構設計; 余度設計; 三模冗余

0　引　言

隨著無人機應用日益廣泛、應用領域不斷擴大,功能不斷增強,研制生產和使用維護成本不斷提高,對飛控計算機的可靠性要求也越來越高。余度技術是提高飛控計算機可靠性的重要手段之一,余度容錯飛控計算機已經成功地運用于民航客機[1-3]、戰斗機[4]等有人機中,將飛控系統的故障率降低為10-7～10-10/飛行小時。然而,有人機的容錯飛控計算機系統不能滿足無人機體積、功耗、價格等要求,無法直接應用于無人機中。容錯飛控計算機系統也在美國全球鷹[5-6]、以色列B-Hunter[7]等無人機上得到了成功的應用。隨著微電子、電子、計算機、總線等技術的發展,電子設備集成化程度更高、功能更強大,而體積更小、重量更輕、功耗更小、價格更便宜。工業電子技術應用廣泛,其發展速度通常遠高于航空電子技術的發展,但其可靠性也較低。如何合理地將先進的工業產品運用于航空電子設備中,充分利用工業技術的進步提高產品性能,在滿足高可靠性的同時降低成本,始終是科技工作者需要解決的問題。

本文在對容錯飛控計算機安全可靠性、實時性、維護性等要求進行研究的基礎上,分析了無人機容錯飛控計算機的設計需求特點。對20世紀70年代以來的典型容錯飛控計算機體系結構進行了研究,闡述了針對不同需求設計的系統的體系結構及關鍵余度管理算法,以及系統隨電子、總線、計算機等科技進步的發展,并對發展趨勢進行了總結。這些分析和總結,期望能夠為無人機,乃至有人機容錯飛控計算機新項目設計所借鑒。

無人機容錯飛控系統可靠性低于有人機,要求系統體積小、重量輕、低功耗、低成本,而低成本是無人機能夠占領市場,成功應用的關鍵。針對無人機容錯飛控計算機的特點,提出一種基于FlexRay總線的相似三模余(triple modular redundancy,TMR)分布式容錯飛控計算機體系結構。FlexRay是一種針對汽車內部高可靠網絡通信開發的總線,2006年成功應用于寶馬X5中,2010年成為ISO國際通用標準[8]。目前,FlexRay總線控制器已經集成于某些型號微控制器中,在滿足高可靠性的同時降低了總線使用成本,使之與CAN總線的使用成本相差不遠。

FlexRay總線在航空領域的應用還較少,本文將FlexRay總線應用于容錯飛控計算機系統中,FlexRay總線既是單通道飛控計算機的內部總線,也是TMR系統數據交互的系統總線。FlexRay總線傳輸速度為10Mbps,作為單通道內部總線時,實際起到背板總線的作用,分析表明能夠滿足實時性要求。

TMR系統會引起拜占庭將軍問題,本文利用FlexRay總線及余度管理算法消除拜占庭將軍故障,提高了系統可靠性。由于使用了分布式結構,本文提出的容錯飛控計算機系統具有擴展性強、結構簡單靈活、維護成本低等優點;容錯技術及工業成熟產品的應用,使系統同時滿足無人機高可靠及低成本,高性價比要求。

1　容錯飛行控制計算機設計要求

容錯飛控計算機本質上是一種高可靠實時數據采集與處理系統,設計時須考慮安全可靠性、實時性、飛行認證、性價比、維護性等要求。

1.1安全可靠性要求

可靠性要求是飛控計算機必須滿足的要求之一,是決定容錯飛控計算機結構的主要因素。美國軍機Ⅰ、Ⅱ、Ⅳ類飛機電傳飛控系統故障率小于62.5×10-7/飛行小時,Ⅲ類飛機為0.745×10-7/飛行小時[9];商用運輸機則為1×10-9/飛行小時。無人機沒有統一標準,傳統無人機使用的是無余度飛控計算機,根據目前的技術水平及可靠性試驗水平,單通道故障率一般可以達到小于1×10-3/飛行小時～1×10-4/飛行小時。美國全球鷹無人機整機安全可靠性要求為200次飛行失效不大于1次[5],即飛機總的安全可靠性要求Rs=0.995。全球鷹一次飛行任務的時間定義為42 h[10],設整機故障率為λ,則

(1)

可得

(2)

假設采用典型飛行控制系統安全因子As(FCS)=0.10[9],飛行控制系統故障率λFCS應小于1.2×10-5/飛行小時。

由此可見,民航客機飛控系統的故障率小于軍用飛機大概2個數量級,軍用飛機故障率則小于無人機故障率大約2個數量級。由于飛控系統由飛控計算機、傳感器、執行機構組成,飛控計算機的故障率還應小于上述值。如國內某高空長航時無人機要求余度飛控計算機故障率不大于7.3×10-6/飛行小時[11]。

余度等級(容錯能力準則)是另一影響容錯飛控計算機結構的重要因素。國內商用運輸機飛控系統余度等級最低要求為故障-工作/故障-工作/故障-工作(FO/FO/FO)[12],FA-16為FO/FO,X-29A為故障-工作/故障-安全(FO/FS)[9]。對于無人機而言,飛機墜毀只引起經濟上的損失,因此一般要求較低,如國內某高空長航時無人機要求為FS[11]。

1.2實時性要求

實時性要求是飛控系統最根本的要求。在指定時間間隔(控制周期)內,飛控計算機必須完成對機載傳感器信息的采集,解算控制律,輸出控制指令;舵機則響應控制指令,控制舵面偏轉至指定位置。如果實時性得不到滿足,飛機有可能失控。比如,如果不能每40～100 ms內提供正確的控制指令,靜不穩定戰斗機將發散[13]。飛控系統的控制周期一般為10～100 ms,如航天飛機的控制周期為40 ms[14]。對于高超聲速無人飛行器,控制周期需要達到10 ms,而對中低速無人機,40 ms控制周期可以滿足其控制要求。

1.3其他要求

任何容錯系統都要求具備高性價比,在滿足可靠性要求的前提下盡可能降低系統成本。使用商用貨架(commercial-off-the-shelf,COTS)產品是降低航空電子產品成本的手段之一。航天飛機軌道飛行器及F-8容錯飛控計算機使用的是IBM AP-101通用計算機,X-38容錯飛控系統大部分使用COTS產品。使用COTS可以降低開發、重新設計、集成、測試等成本;在系統的生存周期中,方便地進行產品的升級換代。

維護性設計也是容錯飛控計算機體系結構設計所需要考慮的重要因素。民航客機要求延遲維修,使任何硬件故障都延遲到方便的時間和地點再進行維修,減少或者消除簽派延時[3]。因此,民航客機需要更高的余度水平以實現延期維修,如波音777使用了三-三余度容錯飛控計算機系統。

某些容錯飛行控制系統還要滿足認證要求。如商用運輸機必須要獲取相關部門頒發的適航證才能投入運營,而適航認證的費用非常高,因此,在設計時必須充分考慮系統的認證要求,如在現有已經通過適航認證系統的基礎上進行改進,只需補充認證改進部分,從而降低認證成本。

此外,還應該考慮通用性要求,不同項目使用相同的硬件模塊,減少設計、認證和維護成本;可擴展性要求,在已有項目基礎上進行有限的擴展以在新的項目中使用,或在現有的基礎上加入新的功能;以及體積、重量、功耗等要求。

1.4無人機容錯飛行控制計算機特點

綜上所述,無人機容錯飛控計算機的特點首先是安全可靠性要求較低,余度等級要求也較低。由于不涉及人的生命安全,出現故障后,能保證無人機安全返航即可。

無人機的實時性要求則不低于有人機的要求。無人機飛控計算機必須完成軌跡控制功能,其要求的控制周期與無人機的性能相關。

無人機體積小,重量輕,機載設備安裝空間有限,因此,對容錯飛行控制計算機體積、重量、功耗等提出更嚴格的要求。

低成本是無人機能夠推廣應用,占領市場的前提。因此,在滿足安全可靠性要求的前提下,降低成本,提高系統的市場競爭力是無人機容錯飛控計算機設計的重點之一。工業電子產品應用廣泛,發展速度快,價格低,航空電子產品屬專用產品,可靠性高,發展速度較慢,價格昂貴,因此,應最大化使用高可靠COTS產品,充分利用新產品提高系統性能的同時降低成本。

2　容錯飛行控制計算機體系結構分析

容錯飛控計算機系統的研究與應用相對成熟,文獻[13,15-19]闡述了各種飛控計算機體系結構的優缺點及應用范圍。本節先簡述航空器常用的主從熱備份結構、多數表決結構。然后對這兩種結構在軍用,民用有人機、無人機中的典型應用進行分析,闡述其工作原理及關鍵余度管理算法。有人機可靠性、余度等級比無人機高,因此,容錯飛控計算機余度水平也較高,一般無法直接應用于無人機中,但其結構體系及余度管理算法可提供有益的參考。最后說明容錯飛控計算機系統隨電子技術、計算機技術、網絡技術等先進技術的發展,并分析、總結其發展趨勢。

2.1常用航空器容錯飛行控制計算機體系結構

主從熱備份飛控系統中,若干能夠實現相同功能的飛控計算機同步運行,但只有一個主飛控計算機允許輸出,控制舵面偏轉,其他飛控計算機都為備份計算機;當主飛控計算機故障時,切換至備份計算機。雙機主從熱備份飛控系統如圖1所示。

圖1　主從備份結構Fig.1　Dual standby architecture

故障檢測技術是主從熱備份結構最關鍵的技術,主飛控計算機的故障必須被及時、成功地檢測并切換至備份計算機。常用的故障檢測技術有機內自檢測(built-in test,BIT)技術及自檢測對比較監控技術[17]。BIT技術很難達到100%自檢覆蓋率,設計良好的電子設備自檢覆蓋率典型值為95%。自檢測對比較監控技術可實現更高的自檢覆蓋率。自檢測對由兩組實現相同功能的計算機組成,輸入信號相同,控制律算法相同,對控制律解算的結果進行比較。假設兩臺飛控計算機同一時間出現相同故障并產生相同錯誤結果的可能性很小,則兩臺計算機結果相同表明系統無故障,否則,系統出現故障。如果兩臺計算機緊同步(時鐘同步)運行,使用相同的輸入信號,相同的軟件,中間變量也保持相同的歷史數據,則自檢測對的輸出結果是按位精確匹配的,也就是完全相同的,可以將自檢測覆蓋率提高至100%。否則,兩臺飛控計算機輸出只能大致匹配,需要閾值判別是否出現故障,這時自檢測覆蓋率為接近100%。

一個自檢測對只能檢測出故障,要容忍n個故障,需要n+1個自檢測對,如容忍1個故障,需要4個通道計算機系統。由此可見,自檢測對結構需要較多的冗余資源。

多模冗余表決結構運用的是故障掩蓋技術,3個或3個通道以上飛控計算機并列運行,對計算機的輸出進行表決,表決算法有中值選擇、多數表決算法等,其中多數表決算法最為常見。多數表決算法對所有通道輸出進行比較,多數者為正確,少數者故障。和自檢測對一樣,多數表決算法對輸出值的比較分為精確匹配和大致匹配2種方式。如果通道飛控計算機之間緊同步運行,則可實現精確匹配,否則,為大致匹配。

多模冗余系統需對表決面進行設置。除了對舵面指令進行多數表決,屏蔽飛控計算機故障外,通常也對冗余傳感器數據進行表決,以屏蔽故障傳感器對系統的影響。在傳感器輸出信號、飛控計算機輸出信號設置表決面的TMR飛控系統結構如圖2所示。

圖2　TMR飛行控制系統結構Fig.2　Triple modular redundancy architecture

圖2中的表決器可以是外加的硬件表決器,也可以由飛控計算機軟件完成。如果使用軟件表決器,則圖2中冗余傳感器與飛控計算機系統的連接有兩種模式:一種是傳感器1、2、3同時與計算機1、2、3連接,這種方案容錯性能最好,但要求飛控計算機的資源為一臺計算機的3倍。在一個系統中,飛控計算機所需的模擬量、開關量及串行接口的數量一般就已經相當可觀[5],如果所有的冗余傳感器進行交叉連接則大大增加飛控計算機所需資源以及電纜的重量。另一種方法是傳感器1、2、3分別與飛控計算機1、2、3連接,一個飛控計算機只采集一組傳感器信息,飛控計算機之間進行交換數據并表決。這種方法容錯能力較差,但計算機所需資源較少,也較常用。

需要在各通道之間交換數據的系統會引起拜占庭將軍問題[20]。拜占庭將軍問題的出現,是由于信息傳輸中出現了故障,導致兩臺計算機接收到的另一臺計算機發送的數據不一致,從而使單一故障在多模冗余系統中得不到一致的表決結果。雖然有些學者認為拜占庭故障出現的幾率很小[19,21],花很大的代價去解決一個出現可能性微乎其微的故障簡直是舍本逐末,但是,對飛行控制系統這種高可靠控制系統,必須解決任何可能出現的故障,是否對出現可能性很小的故障進行解決,正是區分高可靠性系統和非高可靠性系統的標志。而且,之所以認為拜占庭故障出現可能性小,是因為受經驗、測試條件及水平、能力等限制,在出現時拜占庭故障時,并未意識到出現的其實是拜占庭故障,實際上,拜占庭故障時可以檢測到的[22],因此,對在通道之間交換數據的多模冗余系統,必須解決拜占庭將軍問題[17]。

舵面指令表決器可以設置在飛控計算機內部,表決后輸出統一的指令,也可以由舵回路進行表決。用余度液壓舵機進行舵面指令表決是一種常用的表決方法,相比而言,余度電動舵機用的較少。如果飛機本身有冗余的舵面,不僅可以通過容錯控制[23-28]提高了系統的可靠性,更是可以降低系統對舵機可靠性的要求,提高飛控系統的性價比。

多模冗余表決技術可以和自檢測對技術相結合,構成諸如三-二冗余、四-二冗余容錯飛控計算機系統。

2.2軍用飛機容錯飛行控制計算機體系結構

軍用飛機容錯飛控計算機一般為相似三余度或相似四余度[9],早期很多軍機有非相似模擬或機械備份,在數字容錯飛控計算機的可靠性得到充分驗證之后,拆除了備份系統。

F-8是最早使用無機械備份數字電傳操控系統(digital fly-by-wire,DFBW)的戰斗機。F-8余度等級為FO/FS,使用了三余度相似飛控計算機[29-31],飛控系統結構如圖3所示。飛控系統傳感器也為三余度,單通道飛控計算機只采集一組傳感器信息;通過串行口進行通道間傳感器數據交換。對傳感器輸入數據、離散量輸入數據及舵面指令進行表決,傳感器數據用典型的中值選擇器,離散量輸入數據則使用多數表決器。舵面指令表決由三余度液壓舵機完成,3個飛控計算機通道輸出的模擬量舵面指令同時送到3個硬件中值選擇器,完成中值選擇后輸出至3個電子伺服單元以驅動余度液壓舵機。

圖3　F-8 DFBW結構Fig.3　Digital fly-by-wire system of F-8

3個通道飛控計算機使用附加的離散量進行同步。每臺計算機輸出兩個同步離散量,同時接收來自另兩臺飛控計算機輸出的兩個共4個同步離散量信號。使用兩個離散量以識別離散量本身的故障。同步周期為20 ms,每次于10～50 μs內完成,以使3個通道計算機同時采集傳感器數據以進行內環控制律解算。除內環控制以外其他控制的控制周期為80 ms。由于采用緊同步方式,輸出指令用位精確匹配方法進行表決,且不對輸出指令進行同步。

航天飛機容錯飛控系統余度等級為FO/FO/FS,其DFBW以F-8為基礎,由四余度飛控計算機及一臺非相似備份計算機組成[14,32-33]。備份計算機硬件與其他計算機相同,都為IBM AP101B計算機,但裝載了簡化的軟件版本,在容錯計算機出現第二次故障之后,由備份計算機接管,執行應急返航任務。

由于航天飛機全長37.24 m,三角形后掠機翼的最大翼展23.97 m,使得電纜重量占據了航空電子系統總重量的大部分,為此,采用了如圖4所示共28路串行數據總線實現整個機載電子系統的數據與指令的傳輸,完成導航與制導、飛行控制、發動機控制、顯示、系統管理、地面數據交互等功能。數據總線采用主從方式進行數據傳輸,飛控計算機為總線控制者,所有的數據傳輸都需要飛控計算機先發送相應指令。關鍵飛行控制總線有8路,其中4路為傳感器數據采集總線,4路為液壓舵機控制總線。將傳感器分成4組,4個通道飛控計算機通過4路串行口與所有4組傳感器相連:1個通道計算機只能控制1路串行口的傳輸,請求該組傳感器發送測量數據,但能同時接收所有4路總線的數據。因此,4個通道飛控計算機擁有相同的傳感器數據。每個通道飛控計算機通過1路串行口控制1個伺服放大單元,而伺服放大單元的輸出控制四余度液壓舵機的1個伺服閥。舵面控制指令表決由液壓舵機完成。

航天飛機使用3個離散量完成同步操作,3個離散量組成1個3位的同步碼,用以標明同步操作、定時器及I/O中斷,或標明故障的飛控計算機/傳感器組。同步每40 ms進行一次,每次于20 μs完成。和F-8一樣,輸出指令用位精確匹配方法進行表決。

F-8 DFBW于1972～1973年試飛,航天飛機于1977年進行自由飛首飛試驗。由于當時還未形成拜占庭將軍問題的系統理論,上述容錯飛行控制系統未涉及拜占庭將軍問題的解決。

X-38容錯飛控系統如圖5所示,使用了基于德雷珀實驗室(Draper laboratory)拜占庭故障恢復并行處理技術的四模余容錯飛控計算機系統[34-35],可以容忍1個拜占庭故障。4個通道飛控計算機分別通過4路MIL-STD-1553總線與4組傳感器、4組電動執行機構連接,每個通道只采集1組傳感器信息,控制1組執行機構;各通道飛控計算機之間則用Network Element光纖網互聯,實現各通道間的數據交換。

圖4　航天飛機飛行控制計算機系統接口示意圖Fig.4　Digital processing system of space shuttle

圖5　X-38飛行控制系統結構Fig.5　X-38 avionics architecture

各通道飛控計算機每20 ms同步一次,嚴格按照預定時間節拍交換輸入數據,比較控制律解算結果,發送表決后的控制指令。為了抑制拜占庭故障,保證傳感器數據的一致性,飛控計算機之間執行兩輪數據交換:第一輪飛控計算機交換自己采集到的傳感器數據,第二輪交換第一輪中接收到的其他通道采集到的傳感器數據。之后,對傳感器數據進行故障檢測與表決;解算控制律,得到舵面控制指令。最后,對舵面控制指令進行交換及表決,輸出相同的表決結果。

X-38雖然于2002年由于經費問題被終止,但之前進行了8次高空投放試驗,驗證了飛控系統設計的正確性。

2.3民航客機容錯飛行控制計算機體系結構

民航客機容錯飛控計算機要求的可靠性很高,同時還要考慮延遲維修等要求,典型的有波音777及空客A340的飛控系統,其飛控計算機系統可靠性達到故障率小于10-10/飛行小時。

空客A340容錯飛控計算機系統[1,3]用的是主從備份結構,由3臺主飛控計算機(FCPC)、2臺從飛控計算機(FCSC)組成。3臺FCPC和2臺FCSC互為備份,其中任何1臺飛控計算機都能獨立完成A340的飛行控制,因此,可以容忍最多4臺飛控計算機故障。正常情況下,所有飛控計算機同時工作,分別獨立控制某個舵面,對于這個舵面而言,這臺飛控計算機處于運行狀態,其他計算機處于備份狀態。A340使用分離的舵面提供控制面氣動冗余:2個升降舵、4個副翼舵及12個擾流板。

FCPC和FCSC都有舵機驅動功能,因此,飛控計算機輸出信號直接與舵機連接,同一時刻只有一臺飛控計算機允許輸出某個舵機的控制信號。

FCPC和FCSC使用了如圖6所示自檢測對結構,其內部有2個支路計算機,一個支路為控制支路,另一個為監控支路。每臺飛控計算機輸出信號的連接/斷開由繼電器進行控制。對2個支路運算結果進行比較,如果超出預定的閾值,并且持續了指定的時間間隔,則判斷該通道故障并斷開該通道的輸出,通過開關量信號指示備份計算機接管控制,控制權限在多臺備份計算機之間變更的順序是固定的。

FCPC和FCSC采用了非相似余度技術,FCPC和FCSC分別使用了不同的處理器;FCSC使用手工編寫代碼,FCPC則用同一自動編程工具的不同的編譯器生成了控制支路和監控支路軟件代碼。

FCPC和FCSC之間沒有復雜的信息交互,也不需要復雜的余度管理算法,結構相對簡單。

波音777 FBW采用分布式結構[2-3,36-37],飛控系統結構

框圖如圖7所示。三-三余度容錯飛控計算機系統由3個完全相同的主飛控計算機(primary flight computer,PFC)組成,通過3組物理及電氣上都隔離的ARINC629飛行控制總線與傳感器、舵機控制器(ACE)及其他機載設備連接。PFC通過ARINC629總線讀取傳感器數據并進行表決,解算出舵面指令,表決后通過飛行控制總線發送至ACE。PFC、ACE及飛行控制總線被分成左、中、右3組,每個PFC可以同時從3組總線接收數據,但只能向同組總線發送數據。

圖6　空客A340飛行控制計算機結構Fig.6　Flight control computer of Airbus A340

圖7　波音777飛行控制系統結構Fig.7　Primary flight computer architecture of Being 777

為了抑制共模故障,PFC使用了非相似余度技術。每個PFC中有3個支路計算機,分別使用3種不同類型的CPU及外圍接口電路,軟件編譯器也不同,由此克服相同硬件、編譯器導致的共模故障。3個支路分別執行指令運算、監控及備份功能。所有支路都有發送舵面指令的能力,但只有指令運算支路有發送舵面指令的權限。在系統上電時,3個PFC中不同類型的計算機執行指令運算功能,如果指令運算支路故障,則切換至備份支路,PFC繼續工作。如果再出現故障,則切斷該PFC輸出。因此,在出現6個故障之后,切斷所有的PFC輸出,系統切換至直接控制模式。

指令運算、監控及備份支路用另一ARINC629內部總線實現幀同步、數據同步以及信息交換。在內部總線上發送同步幀,同步幀由一個幀標識符和一個數據字組成,20μs內可完成數據傳輸,實現支路間的同步。數據同步幀則由幀標識符及若干數據字組成,以使3個支路使用相同的數據進行控制律解算。

ARINC629飛行控制總線及ARINC629內部數據總線實現PFC通道之間、通道內部支路之間的監控。

3個PFC及ARINC629飛行控制總線異步運行[38],PFC解算控制律的起始時間、解算時間都不一致,為此,對3個PFC的離散量輸出進行統一,對舵面指令進行均衡。控制律解算結果通過ARINC629飛行控制總線在3個PFC內交叉傳輸。舵面指令通過PFC內的硬件中值選擇器進行表決后再通過ARINC629總線發送給同組的ACE。

PFC提供了拜占庭將軍問題的解決方案,所有連接到飛行控制總線的系統必須滿足指定ARINC629總線需求;通過通道之間監控、輸出指令中值表決等余度管理算法從根本上消除系統功能及信息不對稱。

2.4無人機容錯飛行控制計算機體系結構

無人機安全可靠性要求較低,常規無人機使用無余度飛控系統,而高性能的無人機如長航時無人機、裝載了昂貴任務設備的無人機等則需要裝載高可靠容錯飛控系統。

全球鷹無人機機載電子系統[5-6]如圖8所示,關鍵飛控系統傳感器、飛控計算機為雙余度,舵機則無余度。全球鷹將所有的控制舵面都分離成內側和外側兩組,提供了氣動冗余。分析表明,在一個或多個舵機故障時,飛機仍然可控。雙余度飛控計算機(IMMC)通過MIL-STD-1553總線與INS/GPS集成系統、敵我識別器(IFF)、防御系統、通信系統等連接;通過集成接口單元(IIU)與其他接口機載設備相連,如模擬量接口的電動舵機、大氣數據計算機、無線電高度表等;開關量接口的電氣系統;串行接口的差分GPS、雙余度發動機控制器、除冰器等。此外,飛行關鍵傳感器如光纖陀螺、導航計算機同時與兩臺IMMC直接連接。

圖8　全球鷹電子系統架構Fig.8　Global Hawk avionics architecture

IMMC之間使用CCDL(cross channel data link)進行連接,交換采集的傳感器數據及其他數據。對傳感器數據進行合理性檢查、比較監控、求均值等操作,IMMC用相同的傳感器數據進行控制律解算,以獲取一致的舵面控制指令。

雙余度IMMC并非工作于主從備份方式,系統無故障時,2臺IMMC同時工作,分別控制內側舵面和外側舵面。IMMC使用了VME64背板具有90%以上自檢覆蓋率的COTS計算機,當一個IMMC通過自檢測判斷自身故障后,由另一個IMMC控制所有的舵面。

以色列飛機工業公司(IAI)的B-Hunter無人機[7]容錯飛控計算機系統(DCPA)為主備結構,由相似雙余度飛控計算機(AVC-1與AVC-2)組成,AVC-1為主計算機,AVC-2為從計算機,CCDL用RS422串行接口實現。所有的輸入信號同時與AVC-1、AVC-2連接,AVC-1與AVC-2的大多數輸出信號也連接在一起,但只有主飛控計算機能夠輸出控制信號。飛控計算機提供周期自檢測功能,如果AVC-1故障,則AVC-2成為主計算機,接管全機的控制。

IAI的鷹無人機(Eagle UAV)容錯飛控系統如圖9所示[39],容錯飛控計算機系統為主備相似三余度結構,3臺飛控計算機(AVC-1、AVC-2和AVC-3)分別工作于主/備狀態,AVC-1為主計算機,其他為備用計算機;多數表決器實現飛控計算機表決和監控功能。所有的輸入信號同時與3臺飛控計算機相連,關鍵飛控系統傳感器為三余度,用多數表決器對傳感器數據進行表決。鷹無人機用分離舵面提供氣動冗余,消除舵面單點故障,降低了舵機的安全可靠性要求。

圖9　鷹無人機飛行控制系統架構Fig.9　Flight control system of Eagle UAV

2.5無人機容錯飛行控制計算機體系結構特點及發展方向

綜上所述,主從熱備份結構和多數表決結構在容錯飛控計算機系統中都得到了成功的應用。

主從熱備份結構的優點是主、從飛控計算機之間不需要進行復雜的數據交換,余度管理算法較簡單,缺點是故障檢測需要一定的時間,用BIT很難實現100%的自檢覆蓋率。利用自檢測對進行故障檢測,如A340飛控計算機系統,在緊耦合的情況下,假設兩臺計算機不會同時出現相同的故障,則自檢覆蓋率可達到100%,但自檢測對使系統硬件數量加倍。隨著電子技術的發展,元器件的功能越來越強,體積越來越小、功耗越來越低,由于較多冗余資源帶來的負面影響越來越小,自檢測對結構得到越來越廣泛的應用。

多數表決結構的優點是用多數表決算法掩蓋故障,對計算機的BIT能力沒有特殊要求。缺點是多數表決系統需要計算機之間同步運行、互相交換數據;需要設置軟件或硬件表決器對數據進行表決;此外,還應考慮拜占庭將軍問題的解決。因此,余度管理算法相對復雜。

雖然隨著電子、信息、計算機、網絡等技術的發展,容錯飛控計算機總體架構仍然以主從熱備份結構、多數表決結構及兩種結構的結合為主,但組成這些結構的計算機系統,以及整個機載電子系統,隨著科技的進步一直在發展。

機載電子系統向分布式系統發展[40-41]。機載電子系統最初為聯合式系統,每個子系統完成獨立的功能,子系統由獨立的計算機組成,有獨立的CPU、存貯器、I/O處理單元;子系統之間用最少的線連接。聯合式系統結構的優點是一個子系統故障不會蔓延至其他系統;通用性強,一個系統稍微進行修改即可在另一系統中使用;可以使用COTS組成系統等,缺點是造成計算、存貯等資源的浪費,增加了整個系統的體積、重量、功耗,且不便于子系統之間通信。為了克服聯合式結構的缺點,系統向集成式結構發展,由一臺計算機實現多個子系統的功能,如將舵機控制器功能集成到飛控計算機中。集成式結構的缺點是隨著集成度越來越高,集成式結構系統的管理越來越復雜;子系統軟件之間緊密耦合,降低了軟件可靠性,增加了軟件測試的難度;一般需要開發專用設備,無法使用COTS產品;最嚴重缺點的是子系統的故障有可能會蔓延至整個系統。隨著嵌入式計算機技術的發展,計算機集成度提高,功耗降低,聯合式結構又重新得到廣泛應用,各子系統之間用串行總線連接在一起,形成分布式系統結構。分布式系統可以減少開發時間,降低成本,增強系統可擴展性,增加系統靈活性,降低了系統的復雜性,提高了維修性。

系統總線是分布式系統的基礎,因此,分布式系統的結構、性能與總線的傳輸協議、拓撲結構、可靠性、傳輸速率等息息相關,隨總線技術的發展而發展。文獻[22]、文獻[42]對幾種有望使用于分布式航空電子系統的總線進行了研究,分析表明,對于強實時分布式控制系統,基于時間觸發(time-triggered protocol,TTP)的總線協議優于基于事件觸發的總線協議。分布式航空電子系統是高可靠強實時控制系統,運用于該系統的總線不僅要滿足帶寬要求,通信可預測、低等待時間及低的不穩定性,還要求在任何時候,特別是系統存在故障的情況下,系統節點仍可定時訪問總線、系統通信仍可預測。基于事件觸發的總線如CAN總線,以太網等,需要在高層通信協議中解決上述問題才可以運用于實時分布式控制系統中,如文獻[43]提出了一種基于CAN總線分布式無人機飛控計算機結構,CPU模塊通過2路CAN總線與模擬量、開關量、串行口接口模塊相連。CAN總線在系統中為主從結構,CPU模塊為主節點,是所有總線傳輸的發起者,其他接口模塊在接收到CPU模塊發送的指定數據幀后方可發送數據。TTP總線靜態分配整個系統的通信帶寬,每個節點在指定的時間發送數據,總線上的設備在任何時候都清楚是誰在發送數據,不需要在發送的數據幀中附加源地址和目標地址信息,這不僅增加了有效數據通信的帶寬,還消除了故障節點發送信息給錯誤的接收節點,或偽裝成別的設備發送數據的可能性。此外,在沒有通信保護措施情況下,要容忍n個拜占庭故障,需要3n+1臺計算機,如X-38容錯飛控計算機系統,用4臺飛控計算機容忍1個拜占庭故障。而對于簽名信息(signed message)傳輸,則只需要2n+1臺計算機[20]。每個節點在總線架構層處理時序故障，在應用層處理數值故障，且總線架構層和應用層彼此獨立的情況下，如果通信系統能夠提供合適的全局時鐘，則2n+1臺計算機可容忍n個拜占庭故障。

系統總線按照某種總線拓撲結構(總線型連接、星形連接、點對點連接等)實現分布式系統各子系統之間的互聯。最先使用串行總線進行子系統互聯的是航天飛機,如前所述,整個系統共使用了28路點對點串行總線。隨著總線技術的發展,軍用航空總線MIL-STD-1553總線、商用航空總線ARINC629總線等航空專用總線提供了多種網絡拓撲結構,簡化了機載電子設備的連接,如X-38部分使用主從結構的MIL-STD-1553總線,部分使用Network Element光纖網;波音777中的PFC則通過ARINC629總線以總線型拓撲結構與其他設備連接。總線技術的進步使容錯飛控系統的連接關系越來越簡單,連接線越來越少,從而降低了機載電纜重量,提高了飛行器的有效載荷能力。

總線的傳輸速率是衡量總線性能的重要標準之一,傳輸速率越高,能夠傳輸的數據越多,此外,還使多通道飛控計算機之間通過串行總線進行同步成為可能。F-8、航天飛機使用離散量進行同步,這種同步方式簡單明了,速度快,到目前還有借鑒作用。缺點是占用離散量資源,且需要的離散量數量隨通道的增加而增加,通用性差。波音777PFC則使用ARINC629總線實現同步,簡化了系統設計。

航空總線有很高的容錯能力,但應用范圍窄,發展緩慢,價格昂貴,比如MIL-STD-1553總線,第一個版本發布于1978年,最后修改版本發布于1996年,傳輸速率為1Mbps,只支持主從拓撲結構,目前沒有升級版本發布。而工業總線應用范圍廣,發展迅速,價格低,因此,FlexRay,TTCAN等工業總線都是有可能使用于航空系統的總線[42]。FlexRay是一種基于時間觸發,高可靠的車載總線,實際上,車載總線的可靠性要求和機載總線的可靠性要求相差不遠[22],雖然一輛汽車的故障率要求遠低于一架飛機的故障率要求,但由于數量眾多,運行時間長,所以可靠性要求也非常高。此外,車載電子設備運行的溫度、振動、電磁等環境與機載設備有相似之處,其與發動機、剎車等相關的電子設備也與駕駛員、乘客的生命相關,要求具備高安全可靠性。汽車電子產品使用廣泛,發展速度遠高于航空電子產品。因此,近年來有將汽車電子技術運用于航空電子領域的趨勢。

工業總線的使用降低了系統的成本,航空電子系統的其他設備也應盡量使用COTS,進一步提高系統性價比。直接使用COTS計算機,如航天飛機,是一種提高認證效率、方便系統升級的方法。但對于無人機而言,體積、重量、功耗的限制使得諸如VME64、CPCI總線的貨架產品不一定能滿足要求,且一般滿足機載設備可靠性要求的COTS計算機在國內價格不菲。因此,使用通用總線、COTS集成芯片及電路等是無人機飛控系統提高性價比的常用方法。

此外,傳統機載計算機為集中式結構,計算機由若干板卡組成,核心CPU板通過并行總線訪問其他板卡,如模擬量板、串行口板等,如全球鷹IMMC計算機[6]。由于并行總線至少有幾十根數據總線及地址總線,因此,需要進行加固、抗震等處理,以確保并行總線連接的可靠性。近年來,分布式飛控計算機開始得到應用。文獻[43-44]設計了以CAN/FlexRay總線為系統內部總線的飛控計算機,CPU板通過冗余的內部串行總線與模擬量板、串行口板、開關量板等進行通信交互。由于CAN/FlexRay總線傳輸需要的信號線數量少,可以通過對串行總線本身冗余配置、連接線冗余配置、連接器多根芯連接同一信號等方法實現總線的可靠連接,不需要進行特殊加固、抗震處理,從而降低成本。此外,系統內部總線使用串行總線還有體積小,擴展性好,維護方便,一個功能板的故障不會擴展至整個系統等優點,是無人機飛控計算機發展方向之一。

3　基于FlexRay總線無人機容錯飛行控制計算機體系結構

本文研究了一種以FlexRay總線為系統內部總線的分布式容錯飛控計算機體系結構,滿足無人機高可靠性及高性價比要求。

FlexRay總線針對車載網絡通信進行開發,2006年成功應用于寶馬X5中,2010年成為ISO國際通用標準。經過多年的發展,已經相當成熟,一些微控制器如飛思卡爾的MPC56XX系列,MPC57XX系列等內嵌FlexRay總線控制器,降低了總線使用成本。FlexRay總線在航空領域的運用還較少,文獻[44]研究了基于FlexRay的單通道分布式飛控計算機,本文在此基礎上,研究一種基于FlexRay總線的分布式相似三余度容錯飛控計算機系統。

3.1FlexRay總線分布式容錯飛行控制計算機體系結構及關鍵余度管理算法

基于FlexRay的分布式容錯飛控計算機系統如圖10所示,由完全相同的3個通道飛控計算機及4組冗余FlexRay總線組成。假設3組飛控系統傳感器分別與3個通道飛控計算機中的1個通道連接,無人機具有冗余氣動舵面,因而使用無余度舵機,舵面指令通過通用串行總線(UART)發送至舵機控制器。舵機控制器同時接收3個通道飛控計算機指令,進行多數表決后輸出。由于本節主要進行容錯飛控計算機體系結構的研究,因此在圖中未標明傳感器與執行機構的連接關系。

圖10　FlexRay總線分布式容錯飛行控制計算機體系結構Fig.10　The architecture of FlexRay-based distributed triple modular redundancy flight control computers

單通道飛控計算機的主要功能單元有CPU單元、模擬量信號處理單元(AIO)、開關量信號處理單元(DIO)及串行口信號處理單元(SER)。AIO、DIO及SER由一塊或多塊功能板組成,每塊功能板上都有微處理器(IOP),通過FlexRay總線發送采集的機載設備的信息;接收CPU單元指令并輸出。FlexRay總線取代了傳統并行總線實現計算機內部各功能模塊的連接。每個通道飛控計算機都有單獨的1路FlexRay內部總線,每個功能模塊都可以向該總線發送/接收數據;同時,該總線也是容錯飛控計算機系統的系統總線,其他通道飛控計算機可以接收該通道的數據,但不可以向該通道發送數據。如FlexRay總線1為飛控計算機1的內部總線,飛控計算機1的各個功能模塊可以通過FlexRay總線1發送/接收數據,飛控計算機2、3可以接收FlexRay總線1數據,但不能向FlexRay總線1發送數據,以此類推。FlexRay總線4為系統備份總線,不作為任何飛控計算機的內部總線。

在輸入傳感器數據及舵面指令輸出端設置表決面。IOP采集輸入的模擬量、開關量、串行口數據,通過FlexRay總線發送給本通道飛控計算機CPU單元的同時,其他通道的CPU單元同時接收該通道的數據,從而實現第1輪輸入數據的交叉傳輸。之后,CPU板發送自己接收到的其他通道的輸入數據,進行第2輪輸入數據交叉傳輸,通過2輪數據交叉傳輸消除信息傳輸的不對稱性,抑制拜占庭故障。

在此基礎上,3個通道飛控計算機利用相同的傳感器數據進行多數表決,采用同一多數表決算法及相同的閾值,表決出相同的輸入數據以進行控制律解算。對控制律解算的舵面指令及關鍵中間變量進行2輪交叉傳輸并進行表決。表決后的舵面指令通過串行口信號處理單元輸出至舵機控制器。

由于飛控計算機采用了分布式結構,使得監控可以在較低層次的功能模塊間進行。對控制律解算得出的舵面指令及其他輸出指令進行多數表決即可判別CPU單元是否故障;CPU單元同時接收3個通道的輸入數據,進行多數表決同樣可以判別某個功能單元故障。在FlexRay總線啟動之后,AIO、DIO及SER在指定的時隙內發送指定數據,而與CPU單元是否正常工作無關,這使得在某個通道的CPU單元故障的情況下,其他無故障功能單元的數據仍可利用。比如,飛控計算機通道1的CPU單元故障,其AIO采集的數據仍可以被飛控計算機通道2、3利用以進行多數表決,提高了系統的容錯能力。

3.2FlexRay總線實時性分析與驗證

綜上所述,FlexRay總線為系統核心,既是飛控計算機內部總線,也是容錯飛控計算機的系統總線,FlexRay總線的傳輸速率為10Mbps,總線實時性至關重要。

以樣例無人機飛控計算機[45]為例分析FlexRay總線實時性。將CPU單元發送給其他單元的數據稱為下行數據,其他單元發送給CPU單元的為上行數據。單通道飛控計算機SER采集慣性導航傳感器(ADU)、大氣數據計算機(ADC)、無線電高度表(ALT)、速度及加速度傳感器(DMU)等飛控系統傳感器共117個字節(Byte)上行數據;發動機控制器(ECU)23個字節上行數據,8個字節下行數據;測控設備、任務管理計算機、地面檢測設備等共224字節上行數據,160字節下行數據;模擬量處理單元上行數據64個字節、下行數據為32個字節,為舵機控制器指令信號、舵機位置指示信號及備份模擬量輸入/輸出信號;開關量處理單元上行數據、下行數據各為20個字節。選飛行控制周期為10 ms,10 ms的控制周期可以滿足絕大多數無人機飛控系統的控制要求。

FlexRay總線將總線帶寬按通信周期進行靜態分配,每個通信周期都包含靜態段、動態段、符號窗、網絡空閑段,選擇通信周期與控制周期一致,為10 ms,只用針對時間觸發的靜態段進行數據的傳輸。

FlexRay數據幀包括幀頭、數據段、幀尾3部分,幀頭占用5個字節,幀尾占用3個字節,數據段長度可以在0～254字節間選擇。如果數據段短,則總線的有效數據傳輸效率低,如果數據段太長,很多數據幀無法填滿,則同樣會降低總線有效傳輸效率。根據樣例無人機的特點,選擇數據段長度為32個字節。由此,一個數據幀共40個字節,在10 Mbps傳輸速率下,需要的可靠傳輸時間不大于50 μs,因此,將一個靜態時隙設置為50 μs。

樣例單通道無人機飛控計算機一次數據傳輸需要13幀串行口上行數據,6幀串行口下行數據,2幀模擬量上行數據,1幀下行數據,開關量上行數據及下行數據各1幀,此外,1幀狀態檢測下行數據,3幀檢測上行數據,共28幀數據,傳輸時間為1.4 ms。

由于3個通道飛控計算機都擁有自己的一組FlexRay內部數據總線,3個通道飛控計算機同時接收上行數據,在自己的內部總線上同時發送下行數據,因此,額外需要的數據傳輸為進行第2輪交叉傳輸的飛控系統傳感器輸入數據及與控制律切換相關的開關量數據,以及需要進行2輪交叉傳輸及表決的與控制律積分運算相關的中間變量及控制指令。在樣例無人機中,飛控系統傳感器數據共117個字節數據,關鍵開關量數據1個字節;中間變量以及控制指令共320個字節。因此,額外的數據傳輸為第2輪交叉傳輸輸入信號8幀數據(2個通道共236個字節),中間變量以及控制指令共30幀數據(1個通道10幀數據,共3個通道)。38幀數據的傳輸時間小于2 ms,因此,FlexRay總線傳輸時間小于3.5 ms,可以滿足10 ms控制周期的要求。

在圖10結構的計算機通信系統中進行實時性驗證,CPU使用MPC5644A,IOP使用C8051F120,由于3個通道的FlexRay總線邏輯相同,因此這里只對其中一路總線信號進行說明。用安捷倫DSO-X 2012A示波器記錄的FlexRay總線波形如圖11所示。在時間段1傳輸單通道19幀上行數據(串行口13幀、模擬量2幀、開關量1幀、檢測3幀)后,在時間段2對飛控系統傳感器數據及關鍵開關量進行第2輪交叉傳輸的8幀數據進行傳輸。在時間段3進行中間變量及控制指令的30幀數據進行傳輸;在時間段4輸出9幀下行數據(串行口6幀、模擬量1幀、開關量1幀、狀態檢測1幀)。由圖可見,數據幀傳輸時間和理論分析時間吻合,數據幀傳輸及應用程序處理時間小于7 ms,可以滿足實時性要求。

圖11　FlexRay總線波形圖Fig.11　Bandwidth utilization of FlexRay

4　結　論

(1)容錯飛控計算機設計要求有可靠性要求、余度等級要求、實時性要求、認證要求、維護性要求、通用性要求、性價比要求、重量,體積及功耗要求等。無人機容錯飛控計算機可靠性要求較有人機低,余度等級要求一般為FS。因此,最大化使用高可靠COTS產品,充分利用新產品提高系統性能的同時降低成本,提高市場競爭力是無人機容錯飛行計算機設計的重點之一。

(2)對典型軍用,民用有人機、無人機容錯飛控計算機體系結構進行研究,闡述了針對不同需求設計的系統的體系結構及關鍵余度管理算法。這些系統可被新項目設計所借鑒。

(3)機載電子系統向分布式系統發展,分布式系統的核心是系統總線。基于TTP協議的總線比基于事件觸發的總線更適合于在飛控系統等硬實時控制系統中使用。航空專用總線可靠性高,但應用范圍小,發展緩慢,價格昂貴。FlexRay總線是一種高可靠車載專用總線,其運行的溫度、振動、電磁等環境與機載設備有相似之處,應用廣泛,價格低,是一種適合于在航空領域使用的總線。

(4)提出一種基于FlexRay總線的分布式相似TMR容錯飛控計算機體系結構,并給出了關鍵余度管理算法。FlexRay總線既是單通道飛控計算機的內部總線,實現計算機背板總線的功能,也是多通道數據交互的系統總線。該系統能夠滿足無人機高可靠、低成本,高性價比、維護性好、擴展性強等要求。

[1] Briere D,Traverse P.AIRBUS A320/A330/A340 electrical flight controls-a family of fault-tolerant systems[C]//Proc.of the 23rd IEEE International Symposium on Fault-Tolerant Computing,1993:616-623.

[2] Aplin J D.Primary flight computers for the Boeing 777[J].Microprocessors and Microsystems,1997,20(8):473-478.

[3] Chen Z J,Qin X D,Gao J Y.Dissimilar redundant flight control computer system[J].Acta Aeronautica et Astronautica Sinica,2005,26(3):320-327.(陳宗基,秦旭東,高金源.非相似余度飛控計算機[J].航空學報,2005,26(3):320-327.)

[4] Ammons E.F-16 flight control system redundancy concepts[C]//Proc.of the Guidance and Control Conference,1979.

[5] Loegering G,Evans D.The evolution of the global hawk and MALD avionics systems[C]//Proc.of the 18th IEEE Digital Avionics Systems Conference,1999:1-8.

[6] Loegering G.Global Hawk in a network centric environment[C]//Proc.of the 3rd AIAA Unmanned Unlimited Technical Conference,Workshop and Exhibit,2004:1-6.

[7] Defense Technical Information Center.The B-Hunter UAV system[EB/OL].[2015-06-22].http://www.dtic.mil/dtic/tr/fulltext/u2/p010763.pdf.

[8] Wu B X,Guo Y H,Cao Y,et al.The development examples for the automotive bus ofFlexRay[M].Beijing:Publish House of Electronics Industry,2012:1-6.(吳寶新,郭永紅,曹毅,等.汽車FlexRay總線系統開發實戰[M].北京:電子工業出版社,2012:1-6.)

[9] Yao Y P,Li P Q.Reliability and redundancy technology[M].Beijing:Aviation Industry Press,7-10,180-183.(姚一平,李沛瓊.可靠性及余度技術[M].北京:航空工業出版社,1991:7-10,180-183.)

[10] Loegering G.On the wings of a Hawk-a UAV navigation system takes flight[J].GPS World,2000,11(4):34-45.

[11] Liu X X.Research on redundancy techniques for flight control computer of high altitude,long endurance UAV[D].Xi’an:Northwestern Polytechnical University,2004.(劉小雄.高空長航時無人機飛行控制計算機系統冗余設計技術研究[D].西安:西北工業大學,2004.)

[12] Qin X D,Chen Z J,Li W Q.Research on dissimilar redundant flight control computers of large civil aircraft[J].Acta Aeronautica et Astronautica Sinica,2008,29(3):686-694.(秦旭東,陳宗基,李衛琪.大型民機的非相似余度飛控計算機研究[J].航空學報,2008,29(3):686-694.)

[13] Lala J H,Harper R E.Architectural principles for safety-critical real-time applications[J].Proceedings of the IEEE,1994,82(1):25-40.

[14] Minott G M,Peller J B,Cox K J.Space Shuttle digital flight control system,NASA-N76-31146[R].NASA,1976.

[15] Rice J W,McCorkle R D.Digital flight control reliability-Effects of redundancy level,architecture and redundancy management technique[C]//Proc.of the AIAA Guidance and Control Conference,1979.

[16] Yount L J.Digital flight-critical systems for commercial transports,AIAA-A85-17806[R].Reston:AIAA,1985.

[17] Hammett R.Design by extrapolation:an evaluation of fault tolerant avionics[J].IEEE Aerospace and Electronic Systems Magazine,2002,17(4):17-25.

[18] Black R,Fletcher M.Next generation space avionics:layered system implementation[J].IEEE Aerospace and Electronic Systems Magazine,2005,20(12):9-14.

[19] Smith T J,Yelverton J N.Processor architectures for fault tolerant avionic systems[C]//Proc.of the 10th IEEE/AIAA Digital Avionics Systems Conference,1991:213-219.

[20] Lamport L,Shostak R,Pease M.The Byzantine generals problem[J].ACM Trans.on Programming Languages and Systems,1982,4(3):382-401.

[21] McGough J G.The Byzantine generals problem in flight control systems,AIAA-90-5210[R].Reston:AIAA,1990.

[22] Rushby J.Bus architectures for safety-critical embedded systems[C]//Proc.of the Embedded Software,2001:306-323.

[23] Lv X,Jiang B,Qi R,et al.Survey on nonlinear reconfigurable flight control[J].Journal of Systems Engineering and Electronics,2013,24(6):971-983.

[24] Jiang B,Yang H.Survey of the active fault-tolerant control for flight control system[J].Systems Engineering and Electronics,2007,29(12):2106-2110.(姜斌,楊浩.飛控系統主動容錯控制技術綜述[J].系統工程與電子技術,2007,29(12):2106-2110.)

[25] Shen Q,Jiang B,Cocquempot V.Adaptive fuzzy observer-based active fault-tolerant dynamic surface control for a class of nonlinear systems with actuator faults[J].IEEE Trans.on Fuzzy Systems,2014,22(2):338-349.

[26] Gayaka S,Yao B.Output feedback based adaptive robust fault-tolerant control for a class of uncertain nonlinear systems[J].Journal of Systems Engineering and Electronics,2011,22(1):38-51.

[27] He J,Qi R,Jiang B,et al.Adaptive output feedback fault-tolerant control design for hypersonic flight vehicles[J].Journal of the Franklin Institute,2015,352(5):1811-1835.

[28] Qi R,Huang Y,Jiang B,et al.Adaptive backstepping control for hypersonic vehicle with uncertain parameters and actuator failures[J].ProceedingsIMechE:Part I-Journal of Systems and Control Engineering,2013,227(1):51-61.

[29] Szalai K J,Felleman P G,Gera J,et al.Design and test experience with a triply redundant digital fly-by-wire control system,AIAA-76-1911[R].Reston:AIAA,1976.

[30] Deets D A,Szalai K J.Design and flight experience with a digital fly-by-wire control system using Apollo guidance system hardware on an F-8 aircraft,AIAA-72-881[R].Reston:AIAA,1972.

[31] Szalai K J,Larson R R,Glover R D.Flight experience with flight control redundancy management[R].Advisory Group for Aerospace Research and Development LS,1980.

[32] Hanaway J F,Moorehead R W.Space shuttle avionics system,NASA-SP-504[R].NASA,1989.

[33] Blair-Smith H.Space shuttle fault tolerance:Analog and digital teamwork[C]//Proc.of the 28th IEEE/AIAA Digital Avionics Systems Conference,2009:6.B.1-1-6.B.1-11.

[34] Kouba C,Buscher D,Busa J.The X-38 spacecraft fault-tolerant avionics system,JSC-CN-8132[R].NASA,2003.

[35] Rice L E P,Cheng A M K.Timing analysis of the X-38 space station crew return vehicle avionics[C]//Proc.of the 5th IEEE Real-Time Technology and Applications Symposium,1999:255-264.

[36] Yeh Y C.Design considerations in Boeing 777 fly-by-wire computers[C]//Proc.of the 3rd IEEE International High-Assurance Systems Engineering Symposium,1998:64-72.

[37] Yeh Y C.Safety critical avionics for the 777 primary flight controls system[C]//Proc.of the 20th IEEE Digital Avionics Systems Conference,2001:1C2/1-1C2/11.

[38] Hammond R A,Newman D S,Yeh Y C.On fly-by-wire control system and statistical analysis of system performance[J].Simulation,1989,53(4):159-167.

[39] Goshen-Meskin D.Presentation of the eagle UAV system[R].Israel Aircraft Industries,Ltd.,MALAT Division,Military Aircraft Group,2005.

[40] Hammett R.Flight-critical distributed systems:design considerations[J].IEEE Aerospace and Electronic Systems Magazine,2003,18(6):30-36.

[41] Alstrom K,Torin J.Future architecture for flight control systems[C]//Proc.of the 20th IEEE Digital Avionics System Conference,2001:1B5/1-1B5/10.

[42] Gwaltney D A,Briscoe J M.Comparison of communication architectures for spacecraft modular avionics systems,TM-2006-214431[R].NASA,2006.

[43] Zhang Z A,Chen X,Lü X H.Design of a distributed flight control computer for UAV[J].Computer Systems & Applications,2010,19(8):16-19.(張增安,陳欣,呂迅竑.一種用于無人機的分布式飛行控制系統設計[J].計算機系統應用,2010,19(8):16-19.)

[44] Zhang Y,Chen X,Lü X H.Flight control computer communication system based on FlexRay bus[J].Machine Design and Manufacturing Engineering,2013,42(3):53-56.(章勇,陳欣,呂迅竑.基于 FlexRay 網絡的飛行控制計算機總線通信系統[J].機械設計與制造工程,2013,42(3):53-56.)

[45] Zhang Y.Design and research on FlexRay bus communication for flight control computer[D].Nanjing:Nanjing University of Aeronautics and Astronautics,2013.(章勇.基于 FlexRay 飛行控制計算機總線設計與研究[D].南京:南京航空航天大學,2013.)

Research on architecture of fault tolerant flight control computer for UAVs

Lü Xun-hong,JIANG Bin,CHEN Xin,QI Rui-yun

(College of Automation Engineering,Nanjing University of Aeronautics and Astronautics,Nanjing 210016,China)

The flight control computer (FCC)of high performance unmanned aerial vehicles (UAVs)must meet the increased safety and reliability requirements,and redundancy and fault tolerance are essential elements to improve the reliability and availability.The flight control system requirements,such as safety,reliability,maintainability,and real-time response,are studied,Then,compared among civil and military aircraft and UAV,the architectures and redundancy management of typical fault-tolerant FCC systems are introduced.Next,the particularity and future developments of FCC for UAV are addressed,and a triple modular redundancy (TMR)FCC system for UAV is developed.The TMR is a distributed system based on the FlexRay bus,and FlexRay is not only the backplane bus for the single FCC but also the system bus for the TMR system.The TMR system is Byzantine resilience,and meets the highreliability flexibility,scalability and low cost requirements of UAVs.

unmanned aerial vehicle (UAV); fault tolerant computer system; flight control system; architecture design; redundant design; triple modular redundancy (TMR)

2015-06-28；

2016-07-05；網絡優先出版日期：2016-08-25。

國家自然科學基金(61428303,61374130,61374116)資助課題

TP 273,V 249

ADOI:10.3969/j.issn.1001-506X.2016.11.20

呂迅竑(1973-),女,博士研究生,助理研究員,主要研究方向為容錯控制、導航制導與控制。

E-mail:lvxh@nuaa.edu.cn

姜斌(1966-),男,教授,博士,主要研究方向為故障診斷、容錯控制。

E-mail:binjiang@nuaa.edu.cn

陳欣(1960-),男,研究員,博士,主要研究方向為導航制導與控制。

E-mail:chenxin@nuaa.edu.cn

齊瑞云(1982-),女,教授,博士,主要研究方向為故障診斷、容錯控制。

E-mail:ruiyun.qi@nuaa.edu.cn

網絡優先出版地址：http://www.cnki.net/kcms/detail/11.2422.TN.20160825.1440.004.html