無人機容錯飛行控制計算機體系結(jié)構(gòu)研究

呂迅竑,姜　斌,陳　欣,齊瑞云

(南京航空航天大學自動化學院,江蘇 南京 210016)

?

無人機容錯飛行控制計算機體系結(jié)構(gòu)研究

呂迅竑,姜斌,陳欣,齊瑞云

(南京航空航天大學自動化學院,江蘇 南京 210016)

高性能無人機對飛行控制計算機提出了高可靠性要求,使用余度容錯飛控計算機是提高安全可靠性的重要途徑之一。對容錯飛控計算機安全可靠性、實時性、維護性等設計要求進行研究,分析了無人機容錯飛控計算機的設計要求特點;闡述了典型軍用、民用有人機以及無人機容錯飛控計算機的體系結(jié)構(gòu)及關(guān)鍵余度管理策略,總結(jié)了無人機容錯飛控計算機體系結(jié)構(gòu)特點及發(fā)展方向。根據(jù)上述研究結(jié)果,提出一種基于FlexRay總線的相似三模余分布式容錯飛控計算機體系結(jié)構(gòu),FlexRay總線既是單通道飛控計算機的內(nèi)部總線,也是多通道飛控計算機的系統(tǒng)總線。該體系結(jié)構(gòu)能夠抑制拜占庭故障,滿足無人機高可靠、低成本、擴展性強、維護性能好等要求。

無人機; 容錯計算機系統(tǒng); 飛行控制系統(tǒng); 體系結(jié)構(gòu)設計; 余度設計; 三模冗余

0　引　言

隨著無人機應用日益廣泛、應用領域不斷擴大,功能不斷增強,研制生產(chǎn)和使用維護成本不斷提高,對飛控計算機的可靠性要求也越來越高。余度技術(shù)是提高飛控計算機可靠性的重要手段之一,余度容錯飛控計算機已經(jīng)成功地運用于民航客機[1-3]、戰(zhàn)斗機[4]等有人機中,將飛控系統(tǒng)的故障率降低為10-7～10-10/飛行小時。然而,有人機的容錯飛控計算機系統(tǒng)不能滿足無人機體積、功耗、價格等要求,無法直接應用于無人機中。容錯飛控計算機系統(tǒng)也在美國全球鷹[5-6]、以色列B-Hunter[7]等無人機上得到了成功的應用。隨著微電子、電子、計算機、總線等技術(shù)的發(fā)展,電子設備集成化程度更高、功能更強大,而體積更小、重量更輕、功耗更小、價格更便宜。工業(yè)電子技術(shù)應用廣泛,其發(fā)展速度通常遠高于航空電子技術(shù)的發(fā)展,但其可靠性也較低。如何合理地將先進的工業(yè)產(chǎn)品運用于航空電子設備中,充分利用工業(yè)技術(shù)的進步提高產(chǎn)品性能,在滿足高可靠性的同時降低成本,始終是科技工作者需要解決的問題。

本文在對容錯飛控計算機安全可靠性、實時性、維護性等要求進行研究的基礎上,分析了無人機容錯飛控計算機的設計需求特點。對20世紀70年代以來的典型容錯飛控計算機體系結(jié)構(gòu)進行了研究,闡述了針對不同需求設計的系統(tǒng)的體系結(jié)構(gòu)及關(guān)鍵余度管理算法,以及系統(tǒng)隨電子、總線、計算機等科技進步的發(fā)展,并對發(fā)展趨勢進行了總結(jié)。這些分析和總結(jié),期望能夠為無人機,乃至有人機容錯飛控計算機新項目設計所借鑒。

無人機容錯飛控系統(tǒng)可靠性低于有人機,要求系統(tǒng)體積小、重量輕、低功耗、低成本,而低成本是無人機能夠占領市場,成功應用的關(guān)鍵。針對無人機容錯飛控計算機的特點,提出一種基于FlexRay總線的相似三模余(triple modular redundancy,TMR)分布式容錯飛控計算機體系結(jié)構(gòu)。FlexRay是一種針對汽車內(nèi)部高可靠網(wǎng)絡通信開發(fā)的總線,2006年成功應用于寶馬X5中,2010年成為ISO國際通用標準[8]。目前,FlexRay總線控制器已經(jīng)集成于某些型號微控制器中,在滿足高可靠性的同時降低了總線使用成本,使之與CAN總線的使用成本相差不遠。

FlexRay總線在航空領域的應用還較少,本文將FlexRay總線應用于容錯飛控計算機系統(tǒng)中,FlexRay總線既是單通道飛控計算機的內(nèi)部總線,也是TMR系統(tǒng)數(shù)據(jù)交互的系統(tǒng)總線。FlexRay總線傳輸速度為10Mbps,作為單通道內(nèi)部總線時,實際起到背板總線的作用,分析表明能夠滿足實時性要求。

TMR系統(tǒng)會引起拜占庭將軍問題,本文利用FlexRay總線及余度管理算法消除拜占庭將軍故障,提高了系統(tǒng)可靠性。由于使用了分布式結(jié)構(gòu),本文提出的容錯飛控計算機系統(tǒng)具有擴展性強、結(jié)構(gòu)簡單靈活、維護成本低等優(yōu)點;容錯技術(shù)及工業(yè)成熟產(chǎn)品的應用,使系統(tǒng)同時滿足無人機高可靠及低成本,高性價比要求。

1　容錯飛行控制計算機設計要求

容錯飛控計算機本質(zhì)上是一種高可靠實時數(shù)據(jù)采集與處理系統(tǒng),設計時須考慮安全可靠性、實時性、飛行認證、性價比、維護性等要求。

1.1安全可靠性要求

可靠性要求是飛控計算機必須滿足的要求之一,是決定容錯飛控計算機結(jié)構(gòu)的主要因素。美國軍機Ⅰ、Ⅱ、Ⅳ類飛機電傳飛控系統(tǒng)故障率小于62.5×10-7/飛行小時,Ⅲ類飛機為0.745×10-7/飛行小時[9];商用運輸機則為1×10-9/飛行小時。無人機沒有統(tǒng)一標準,傳統(tǒng)無人機使用的是無余度飛控計算機,根據(jù)目前的技術(shù)水平及可靠性試驗水平,單通道故障率一般可以達到小于1×10-3/飛行小時～1×10-4/飛行小時。美國全球鷹無人機整機安全可靠性要求為200次飛行失效不大于1次[5],即飛機總的安全可靠性要求Rs=0.995。全球鷹一次飛行任務的時間定義為42 h[10],設整機故障率為λ,則

(1)

可得

(2)

假設采用典型飛行控制系統(tǒng)安全因子As(FCS)=0.10[9],飛行控制系統(tǒng)故障率λFCS應小于1.2×10-5/飛行小時。

由此可見,民航客機飛控系統(tǒng)的故障率小于軍用飛機大概2個數(shù)量級,軍用飛機故障率則小于無人機故障率大約2個數(shù)量級。由于飛控系統(tǒng)由飛控計算機、傳感器、執(zhí)行機構(gòu)組成,飛控計算機的故障率還應小于上述值。如國內(nèi)某高空長航時無人機要求余度飛控計算機故障率不大于7.3×10-6/飛行小時[11]。

余度等級(容錯能力準則)是另一影響容錯飛控計算機結(jié)構(gòu)的重要因素。國內(nèi)商用運輸機飛控系統(tǒng)余度等級最低要求為故障-工作/故障-工作/故障-工作(FO/FO/FO)[12],FA-16為FO/FO,X-29A為故障-工作/故障-安全(FO/FS)[9]。對于無人機而言,飛機墜毀只引起經(jīng)濟上的損失,因此一般要求較低,如國內(nèi)某高空長航時無人機要求為FS[11]。

1.2實時性要求

實時性要求是飛控系統(tǒng)最根本的要求。在指定時間間隔(控制周期)內(nèi),飛控計算機必須完成對機載傳感器信息的采集,解算控制律,輸出控制指令;舵機則響應控制指令,控制舵面偏轉(zhuǎn)至指定位置。如果實時性得不到滿足,飛機有可能失控。比如,如果不能每40～100 ms內(nèi)提供正確的控制指令,靜不穩(wěn)定戰(zhàn)斗機將發(fā)散[13]。飛控系統(tǒng)的控制周期一般為10～100 ms,如航天飛機的控制周期為40 ms[14]。對于高超聲速無人飛行器,控制周期需要達到10 ms,而對中低速無人機,40 ms控制周期可以滿足其控制要求。

1.3其他要求

任何容錯系統(tǒng)都要求具備高性價比,在滿足可靠性要求的前提下盡可能降低系統(tǒng)成本。使用商用貨架(commercial-off-the-shelf,COTS)產(chǎn)品是降低航空電子產(chǎn)品成本的手段之一。航天飛機軌道飛行器及F-8容錯飛控計算機使用的是IBM AP-101通用計算機,X-38容錯飛控系統(tǒng)大部分使用COTS產(chǎn)品。使用COTS可以降低開發(fā)、重新設計、集成、測試等成本;在系統(tǒng)的生存周期中,方便地進行產(chǎn)品的升級換代。

維護性設計也是容錯飛控計算機體系結(jié)構(gòu)設計所需要考慮的重要因素。民航客機要求延遲維修,使任何硬件故障都延遲到方便的時間和地點再進行維修,減少或者消除簽派延時[3]。因此,民航客機需要更高的余度水平以實現(xiàn)延期維修,如波音777使用了三-三余度容錯飛控計算機系統(tǒng)。

某些容錯飛行控制系統(tǒng)還要滿足認證要求。如商用運輸機必須要獲取相關(guān)部門頒發(fā)的適航證才能投入運營,而適航認證的費用非常高,因此,在設計時必須充分考慮系統(tǒng)的認證要求,如在現(xiàn)有已經(jīng)通過適航認證系統(tǒng)的基礎上進行改進,只需補充認證改進部分,從而降低認證成本。

此外,還應該考慮通用性要求,不同項目使用相同的硬件模塊,減少設計、認證和維護成本;可擴展性要求,在已有項目基礎上進行有限的擴展以在新的項目中使用,或在現(xiàn)有的基礎上加入新的功能;以及體積、重量、功耗等要求。

1.4無人機容錯飛行控制計算機特點

綜上所述,無人機容錯飛控計算機的特點首先是安全可靠性要求較低,余度等級要求也較低。由于不涉及人的生命安全,出現(xiàn)故障后,能保證無人機安全返航即可。

無人機的實時性要求則不低于有人機的要求。無人機飛控計算機必須完成軌跡控制功能,其要求的控制周期與無人機的性能相關(guān)。

無人機體積小,重量輕,機載設備安裝空間有限,因此,對容錯飛行控制計算機體積、重量、功耗等提出更嚴格的要求。

低成本是無人機能夠推廣應用,占領市場的前提。因此,在滿足安全可靠性要求的前提下,降低成本,提高系統(tǒng)的市場競爭力是無人機容錯飛控計算機設計的重點之一。工業(yè)電子產(chǎn)品應用廣泛,發(fā)展速度快,價格低,航空電子產(chǎn)品屬專用產(chǎn)品,可靠性高,發(fā)展速度較慢,價格昂貴,因此,應最大化使用高可靠COTS產(chǎn)品,充分利用新產(chǎn)品提高系統(tǒng)性能的同時降低成本。

2　容錯飛行控制計算機體系結(jié)構(gòu)分析

容錯飛控計算機系統(tǒng)的研究與應用相對成熟,文獻[13,15-19]闡述了各種飛控計算機體系結(jié)構(gòu)的優(yōu)缺點及應用范圍。本節(jié)先簡述航空器常用的主從熱備份結(jié)構(gòu)、多數(shù)表決結(jié)構(gòu)。然后對這兩種結(jié)構(gòu)在軍用,民用有人機、無人機中的典型應用進行分析,闡述其工作原理及關(guān)鍵余度管理算法。有人機可靠性、余度等級比無人機高,因此,容錯飛控計算機余度水平也較高,一般無法直接應用于無人機中,但其結(jié)構(gòu)體系及余度管理算法可提供有益的參考。最后說明容錯飛控計算機系統(tǒng)隨電子技術(shù)、計算機技術(shù)、網(wǎng)絡技術(shù)等先進技術(shù)的發(fā)展,并分析、總結(jié)其發(fā)展趨勢。

2.1常用航空器容錯飛行控制計算機體系結(jié)構(gòu)

主從熱備份飛控系統(tǒng)中,若干能夠?qū)崿F(xiàn)相同功能的飛控計算機同步運行,但只有一個主飛控計算機允許輸出,控制舵面偏轉(zhuǎn),其他飛控計算機都為備份計算機;當主飛控計算機故障時,切換至備份計算機。雙機主從熱備份飛控系統(tǒng)如圖1所示。

圖1　主從備份結(jié)構(gòu)Fig.1　Dual standby architecture

故障檢測技術(shù)是主從熱備份結(jié)構(gòu)最關(guān)鍵的技術(shù),主飛控計算機的故障必須被及時、成功地檢測并切換至備份計算機。常用的故障檢測技術(shù)有機內(nèi)自檢測(built-in test,BIT)技術(shù)及自檢測對比較監(jiān)控技術(shù)[17]。BIT技術(shù)很難達到100%自檢覆蓋率,設計良好的電子設備自檢覆蓋率典型值為95%。自檢測對比較監(jiān)控技術(shù)可實現(xiàn)更高的自檢覆蓋率。自檢測對由兩組實現(xiàn)相同功能的計算機組成,輸入信號相同,控制律算法相同,對控制律解算的結(jié)果進行比較。假設兩臺飛控計算機同一時間出現(xiàn)相同故障并產(chǎn)生相同錯誤結(jié)果的可能性很小,則兩臺計算機結(jié)果相同表明系統(tǒng)無故障,否則,系統(tǒng)出現(xiàn)故障。如果兩臺計算機緊同步(時鐘同步)運行,使用相同的輸入信號,相同的軟件,中間變量也保持相同的歷史數(shù)據(jù),則自檢測對的輸出結(jié)果是按位精確匹配的,也就是完全相同的,可以將自檢測覆蓋率提高至100%。否則,兩臺飛控計算機輸出只能大致匹配,需要閾值判別是否出現(xiàn)故障,這時自檢測覆蓋率為接近100%。

一個自檢測對只能檢測出故障,要容忍n個故障,需要n+1個自檢測對,如容忍1個故障,需要4個通道計算機系統(tǒng)。由此可見,自檢測對結(jié)構(gòu)需要較多的冗余資源。

多模冗余表決結(jié)構(gòu)運用的是故障掩蓋技術(shù),3個或3個通道以上飛控計算機并列運行,對計算機的輸出進行表決,表決算法有中值選擇、多數(shù)表決算法等,其中多數(shù)表決算法最為常見。多數(shù)表決算法對所有通道輸出進行比較,多數(shù)者為正確,少數(shù)者故障。和自檢測對一樣,多數(shù)表決算法對輸出值的比較分為精確匹配和大致匹配2種方式。如果通道飛控計算機之間緊同步運行,則可實現(xiàn)精確匹配,否則,為大致匹配。

多模冗余系統(tǒng)需對表決面進行設置。除了對舵面指令進行多數(shù)表決,屏蔽飛控計算機故障外,通常也對冗余傳感器數(shù)據(jù)進行表決,以屏蔽故障傳感器對系統(tǒng)的影響。在傳感器輸出信號、飛控計算機輸出信號設置表決面的TMR飛控系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2　TMR飛行控制系統(tǒng)結(jié)構(gòu)Fig.2　Triple modular redundancy architecture

圖2中的表決器可以是外加的硬件表決器,也可以由飛控計算機軟件完成。如果使用軟件表決器,則圖2中冗余傳感器與飛控計算機系統(tǒng)的連接有兩種模式:一種是傳感器1、2、3同時與計算機1、2、3連接,這種方案容錯性能最好,但要求飛控計算機的資源為一臺計算機的3倍。在一個系統(tǒng)中,飛控計算機所需的模擬量、開關(guān)量及串行接口的數(shù)量一般就已經(jīng)相當可觀[5],如果所有的冗余傳感器進行交叉連接則大大增加飛控計算機所需資源以及電纜的重量。另一種方法是傳感器1、2、3分別與飛控計算機1、2、3連接,一個飛控計算機只采集一組傳感器信息,飛控計算機之間進行交換數(shù)據(jù)并表決。這種方法容錯能力較差,但計算機所需資源較少,也較常用。

需要在各通道之間交換數(shù)據(jù)的系統(tǒng)會引起拜占庭將軍問題[20]。拜占庭將軍問題的出現(xiàn),是由于信息傳輸中出現(xiàn)了故障,導致兩臺計算機接收到的另一臺計算機發(fā)送的數(shù)據(jù)不一致,從而使單一故障在多模冗余系統(tǒng)中得不到一致的表決結(jié)果。雖然有些學者認為拜占庭故障出現(xiàn)的幾率很小[19,21],花很大的代價去解決一個出現(xiàn)可能性微乎其微的故障簡直是舍本逐末,但是,對飛行控制系統(tǒng)這種高可靠控制系統(tǒng),必須解決任何可能出現(xiàn)的故障,是否對出現(xiàn)可能性很小的故障進行解決,正是區(qū)分高可靠性系統(tǒng)和非高可靠性系統(tǒng)的標志。而且,之所以認為拜占庭故障出現(xiàn)可能性小,是因為受經(jīng)驗、測試條件及水平、能力等限制,在出現(xiàn)時拜占庭故障時,并未意識到出現(xiàn)的其實是拜占庭故障,實際上,拜占庭故障時可以檢測到的[22],因此,對在通道之間交換數(shù)據(jù)的多模冗余系統(tǒng),必須解決拜占庭將軍問題[17]。

舵面指令表決器可以設置在飛控計算機內(nèi)部,表決后輸出統(tǒng)一的指令,也可以由舵回路進行表決。用余度液壓舵機進行舵面指令表決是一種常用的表決方法,相比而言,余度電動舵機用的較少。如果飛機本身有冗余的舵面,不僅可以通過容錯控制[23-28]提高了系統(tǒng)的可靠性,更是可以降低系統(tǒng)對舵機可靠性的要求,提高飛控系統(tǒng)的性價比。

多模冗余表決技術(shù)可以和自檢測對技術(shù)相結(jié)合,構(gòu)成諸如三-二冗余、四-二冗余容錯飛控計算機系統(tǒng)。

2.2軍用飛機容錯飛行控制計算機體系結(jié)構(gòu)

軍用飛機容錯飛控計算機一般為相似三余度或相似四余度[9],早期很多軍機有非相似模擬或機械備份,在數(shù)字容錯飛控計算機的可靠性得到充分驗證之后,拆除了備份系統(tǒng)。

F-8是最早使用無機械備份數(shù)字電傳操控系統(tǒng)(digital fly-by-wire,DFBW)的戰(zhàn)斗機。F-8余度等級為FO/FS,使用了三余度相似飛控計算機[29-31],飛控系統(tǒng)結(jié)構(gòu)如圖3所示。飛控系統(tǒng)傳感器也為三余度,單通道飛控計算機只采集一組傳感器信息;通過串行口進行通道間傳感器數(shù)據(jù)交換。對傳感器輸入數(shù)據(jù)、離散量輸入數(shù)據(jù)及舵面指令進行表決,傳感器數(shù)據(jù)用典型的中值選擇器,離散量輸入數(shù)據(jù)則使用多數(shù)表決器。舵面指令表決由三余度液壓舵機完成,3個飛控計算機通道輸出的模擬量舵面指令同時送到3個硬件中值選擇器,完成中值選擇后輸出至3個電子伺服單元以驅(qū)動余度液壓舵機。

圖3　F-8 DFBW結(jié)構(gòu)Fig.3　Digital fly-by-wire system of F-8

3個通道飛控計算機使用附加的離散量進行同步。每臺計算機輸出兩個同步離散量,同時接收來自另兩臺飛控計算機輸出的兩個共4個同步離散量信號。使用兩個離散量以識別離散量本身的故障。同步周期為20 ms,每次于10～50 μs內(nèi)完成,以使3個通道計算機同時采集傳感器數(shù)據(jù)以進行內(nèi)環(huán)控制律解算。除內(nèi)環(huán)控制以外其他控制的控制周期為80 ms。由于采用緊同步方式,輸出指令用位精確匹配方法進行表決,且不對輸出指令進行同步。

航天飛機容錯飛控系統(tǒng)余度等級為FO/FO/FS,其DFBW以F-8為基礎,由四余度飛控計算機及一臺非相似備份計算機組成[14,32-33]。備份計算機硬件與其他計算機相同,都為IBM AP101B計算機,但裝載了簡化的軟件版本,在容錯計算機出現(xiàn)第二次故障之后,由備份計算機接管,執(zhí)行應急返航任務。

由于航天飛機全長37.24 m,三角形后掠機翼的最大翼展23.97 m,使得電纜重量占據(jù)了航空電子系統(tǒng)總重量的大部分,為此,采用了如圖4所示共28路串行數(shù)據(jù)總線實現(xiàn)整個機載電子系統(tǒng)的數(shù)據(jù)與指令的傳輸,完成導航與制導、飛行控制、發(fā)動機控制、顯示、系統(tǒng)管理、地面數(shù)據(jù)交互等功能。數(shù)據(jù)總線采用主從方式進行數(shù)據(jù)傳輸,飛控計算機為總線控制者,所有的數(shù)據(jù)傳輸都需要飛控計算機先發(fā)送相應指令。關(guān)鍵飛行控制總線有8路,其中4路為傳感器數(shù)據(jù)采集總線,4路為液壓舵機控制總線。將傳感器分成4組,4個通道飛控計算機通過4路串行口與所有4組傳感器相連:1個通道計算機只能控制1路串行口的傳輸,請求該組傳感器發(fā)送測量數(shù)據(jù),但能同時接收所有4路總線的數(shù)據(jù)。因此,4個通道飛控計算機擁有相同的傳感器數(shù)據(jù)。每個通道飛控計算機通過1路串行口控制1個伺服放大單元,而伺服放大單元的輸出控制四余度液壓舵機的1個伺服閥。舵面控制指令表決由液壓舵機完成。

航天飛機使用3個離散量完成同步操作,3個離散量組成1個3位的同步碼,用以標明同步操作、定時器及I/O中斷,或標明故障的飛控計算機/傳感器組。同步每40 ms進行一次,每次于20 μs完成。和F-8一樣,輸出指令用位精確匹配方法進行表決。

F-8 DFBW于1972～1973年試飛,航天飛機于1977年進行自由飛首飛試驗。由于當時還未形成拜占庭將軍問題的系統(tǒng)理論,上述容錯飛行控制系統(tǒng)未涉及拜占庭將軍問題的解決。

X-38容錯飛控系統(tǒng)如圖5所示,使用了基于德雷珀實驗室(Draper laboratory)拜占庭故障恢復并行處理技術(shù)的四模余容錯飛控計算機系統(tǒng)[34-35],可以容忍1個拜占庭故障。4個通道飛控計算機分別通過4路MIL-STD-1553總線與4組傳感器、4組電動執(zhí)行機構(gòu)連接,每個通道只采集1組傳感器信息,控制1組執(zhí)行機構(gòu);各通道飛控計算機之間則用Network Element光纖網(wǎng)互聯(lián),實現(xiàn)各通道間的數(shù)據(jù)交換。

圖4　航天飛機飛行控制計算機系統(tǒng)接口示意圖Fig.4　Digital processing system of space shuttle

圖5　X-38飛行控制系統(tǒng)結(jié)構(gòu)Fig.5　X-38 avionics architecture

各通道飛控計算機每20 ms同步一次,嚴格按照預定時間節(jié)拍交換輸入數(shù)據(jù),比較控制律解算結(jié)果,發(fā)送表決后的控制指令。為了抑制拜占庭故障,保證傳感器數(shù)據(jù)的一致性,飛控計算機之間執(zhí)行兩輪數(shù)據(jù)交換:第一輪飛控計算機交換自己采集到的傳感器數(shù)據(jù),第二輪交換第一輪中接收到的其他通道采集到的傳感器數(shù)據(jù)。之后,對傳感器數(shù)據(jù)進行故障檢測與表決;解算控制律,得到舵面控制指令。最后,對舵面控制指令進行交換及表決,輸出相同的表決結(jié)果。

X-38雖然于2002年由于經(jīng)費問題被終止,但之前進行了8次高空投放試驗,驗證了飛控系統(tǒng)設計的正確性。

2.3民航客機容錯飛行控制計算機體系結(jié)構(gòu)

民航客機容錯飛控計算機要求的可靠性很高,同時還要考慮延遲維修等要求,典型的有波音777及空客A340的飛控系統(tǒng),其飛控計算機系統(tǒng)可靠性達到故障率小于10-10/飛行小時。

空客A340容錯飛控計算機系統(tǒng)[1,3]用的是主從備份結(jié)構(gòu),由3臺主飛控計算機(FCPC)、2臺從飛控計算機(FCSC)組成。3臺FCPC和2臺FCSC互為備份,其中任何1臺飛控計算機都能獨立完成A340的飛行控制,因此,可以容忍最多4臺飛控計算機故障。正常情況下,所有飛控計算機同時工作,分別獨立控制某個舵面,對于這個舵面而言,這臺飛控計算機處于運行狀態(tài),其他計算機處于備份狀態(tài)。A340使用分離的舵面提供控制面氣動冗余:2個升降舵、4個副翼舵及12個擾流板。

FCPC和FCSC都有舵機驅(qū)動功能,因此,飛控計算機輸出信號直接與舵機連接,同一時刻只有一臺飛控計算機允許輸出某個舵機的控制信號。

FCPC和FCSC使用了如圖6所示自檢測對結(jié)構(gòu),其內(nèi)部有2個支路計算機,一個支路為控制支路,另一個為監(jiān)控支路。每臺飛控計算機輸出信號的連接/斷開由繼電器進行控制。對2個支路運算結(jié)果進行比較,如果超出預定的閾值,并且持續(xù)了指定的時間間隔,則判斷該通道故障并斷開該通道的輸出,通過開關(guān)量信號指示備份計算機接管控制,控制權(quán)限在多臺備份計算機之間變更的順序是固定的。

FCPC和FCSC采用了非相似余度技術(shù),FCPC和FCSC分別使用了不同的處理器;FCSC使用手工編寫代碼,FCPC則用同一自動編程工具的不同的編譯器生成了控制支路和監(jiān)控支路軟件代碼。

FCPC和FCSC之間沒有復雜的信息交互,也不需要復雜的余度管理算法,結(jié)構(gòu)相對簡單。

波音777 FBW采用分布式結(jié)構(gòu)[2-3,36-37],飛控系統(tǒng)結(jié)構(gòu)

框圖如圖7所示。三-三余度容錯飛控計算機系統(tǒng)由3個完全相同的主飛控計算機(primary flight computer,PFC)組成,通過3組物理及電氣上都隔離的ARINC629飛行控制總線與傳感器、舵機控制器(ACE)及其他機載設備連接。PFC通過ARINC629總線讀取傳感器數(shù)據(jù)并進行表決,解算出舵面指令,表決后通過飛行控制總線發(fā)送至ACE。PFC、ACE及飛行控制總線被分成左、中、右3組,每個PFC可以同時從3組總線接收數(shù)據(jù),但只能向同組總線發(fā)送數(shù)據(jù)。

圖6　空客A340飛行控制計算機結(jié)構(gòu)Fig.6　Flight control computer of Airbus A340

圖7　波音777飛行控制系統(tǒng)結(jié)構(gòu)Fig.7　Primary flight computer architecture of Being 777

為了抑制共模故障,PFC使用了非相似余度技術(shù)。每個PFC中有3個支路計算機,分別使用3種不同類型的CPU及外圍接口電路,軟件編譯器也不同,由此克服相同硬件、編譯器導致的共模故障。3個支路分別執(zhí)行指令運算、監(jiān)控及備份功能。所有支路都有發(fā)送舵面指令的能力,但只有指令運算支路有發(fā)送舵面指令的權(quán)限。在系統(tǒng)上電時,3個PFC中不同類型的計算機執(zhí)行指令運算功能,如果指令運算支路故障,則切換至備份支路,PFC繼續(xù)工作。如果再出現(xiàn)故障,則切斷該PFC輸出。因此,在出現(xiàn)6個故障之后,切斷所有的PFC輸出,系統(tǒng)切換至直接控制模式。

指令運算、監(jiān)控及備份支路用另一ARINC629內(nèi)部總線實現(xiàn)幀同步、數(shù)據(jù)同步以及信息交換。在內(nèi)部總線上發(fā)送同步幀,同步幀由一個幀標識符和一個數(shù)據(jù)字組成,20μs內(nèi)可完成數(shù)據(jù)傳輸,實現(xiàn)支路間的同步。數(shù)據(jù)同步幀則由幀標識符及若干數(shù)據(jù)字組成,以使3個支路使用相同的數(shù)據(jù)進行控制律解算。

ARINC629飛行控制總線及ARINC629內(nèi)部數(shù)據(jù)總線實現(xiàn)PFC通道之間、通道內(nèi)部支路之間的監(jiān)控。

3個PFC及ARINC629飛行控制總線異步運行[38],PFC解算控制律的起始時間、解算時間都不一致,為此,對3個PFC的離散量輸出進行統(tǒng)一,對舵面指令進行均衡。控制律解算結(jié)果通過ARINC629飛行控制總線在3個PFC內(nèi)交叉?zhèn)鬏敗６婷嬷噶钔ㄟ^PFC內(nèi)的硬件中值選擇器進行表決后再通過ARINC629總線發(fā)送給同組的ACE。

PFC提供了拜占庭將軍問題的解決方案,所有連接到飛行控制總線的系統(tǒng)必須滿足指定ARINC629總線需求;通過通道之間監(jiān)控、輸出指令中值表決等余度管理算法從根本上消除系統(tǒng)功能及信息不對稱。

2.4無人機容錯飛行控制計算機體系結(jié)構(gòu)

無人機安全可靠性要求較低,常規(guī)無人機使用無余度飛控系統(tǒng),而高性能的無人機如長航時無人機、裝載了昂貴任務設備的無人機等則需要裝載高可靠容錯飛控系統(tǒng)。

全球鷹無人機機載電子系統(tǒng)[5-6]如圖8所示,關(guān)鍵飛控系統(tǒng)傳感器、飛控計算機為雙余度,舵機則無余度。全球鷹將所有的控制舵面都分離成內(nèi)側(cè)和外側(cè)兩組,提供了氣動冗余。分析表明,在一個或多個舵機故障時,飛機仍然可控。雙余度飛控計算機(IMMC)通過MIL-STD-1553總線與INS/GPS集成系統(tǒng)、敵我識別器(IFF)、防御系統(tǒng)、通信系統(tǒng)等連接;通過集成接口單元(IIU)與其他接口機載設備相連,如模擬量接口的電動舵機、大氣數(shù)據(jù)計算機、無線電高度表等;開關(guān)量接口的電氣系統(tǒng);串行接口的差分GPS、雙余度發(fā)動機控制器、除冰器等。此外,飛行關(guān)鍵傳感器如光纖陀螺、導航計算機同時與兩臺IMMC直接連接。

圖8　全球鷹電子系統(tǒng)架構(gòu)Fig.8　Global Hawk avionics architecture

IMMC之間使用CCDL(cross channel data link)進行連接,交換采集的傳感器數(shù)據(jù)及其他數(shù)據(jù)。對傳感器數(shù)據(jù)進行合理性檢查、比較監(jiān)控、求均值等操作,IMMC用相同的傳感器數(shù)據(jù)進行控制律解算,以獲取一致的舵面控制指令。

雙余度IMMC并非工作于主從備份方式,系統(tǒng)無故障時,2臺IMMC同時工作,分別控制內(nèi)側(cè)舵面和外側(cè)舵面。IMMC使用了VME64背板具有90%以上自檢覆蓋率的COTS計算機,當一個IMMC通過自檢測判斷自身故障后,由另一個IMMC控制所有的舵面。

以色列飛機工業(yè)公司(IAI)的B-Hunter無人機[7]容錯飛控計算機系統(tǒng)(DCPA)為主備結(jié)構(gòu),由相似雙余度飛控計算機(AVC-1與AVC-2)組成,AVC-1為主計算機,AVC-2為從計算機,CCDL用RS422串行接口實現(xiàn)。所有的輸入信號同時與AVC-1、AVC-2連接,AVC-1與AVC-2的大多數(shù)輸出信號也連接在一起,但只有主飛控計算機能夠輸出控制信號。飛控計算機提供周期自檢測功能,如果AVC-1故障,則AVC-2成為主計算機,接管全機的控制。

IAI的鷹無人機(Eagle UAV)容錯飛控系統(tǒng)如圖9所示[39],容錯飛控計算機系統(tǒng)為主備相似三余度結(jié)構(gòu),3臺飛控計算機(AVC-1、AVC-2和AVC-3)分別工作于主/備狀態(tài),AVC-1為主計算機,其他為備用計算機;多數(shù)表決器實現(xiàn)飛控計算機表決和監(jiān)控功能。所有的輸入信號同時與3臺飛控計算機相連,關(guān)鍵飛控系統(tǒng)傳感器為三余度,用多數(shù)表決器對傳感器數(shù)據(jù)進行表決。鷹無人機用分離舵面提供氣動冗余,消除舵面單點故障,降低了舵機的安全可靠性要求。

圖9　鷹無人機飛行控制系統(tǒng)架構(gòu)Fig.9　Flight control system of Eagle UAV

2.5無人機容錯飛行控制計算機體系結(jié)構(gòu)特點及發(fā)展方向

綜上所述,主從熱備份結(jié)構(gòu)和多數(shù)表決結(jié)構(gòu)在容錯飛控計算機系統(tǒng)中都得到了成功的應用。

主從熱備份結(jié)構(gòu)的優(yōu)點是主、從飛控計算機之間不需要進行復雜的數(shù)據(jù)交換,余度管理算法較簡單,缺點是故障檢測需要一定的時間,用BIT很難實現(xiàn)100%的自檢覆蓋率。利用自檢測對進行故障檢測,如A340飛控計算機系統(tǒng),在緊耦合的情況下,假設兩臺計算機不會同時出現(xiàn)相同的故障,則自檢覆蓋率可達到100%,但自檢測對使系統(tǒng)硬件數(shù)量加倍。隨著電子技術(shù)的發(fā)展,元器件的功能越來越強,體積越來越小、功耗越來越低,由于較多冗余資源帶來的負面影響越來越小,自檢測對結(jié)構(gòu)得到越來越廣泛的應用。

多數(shù)表決結(jié)構(gòu)的優(yōu)點是用多數(shù)表決算法掩蓋故障,對計算機的BIT能力沒有特殊要求。缺點是多數(shù)表決系統(tǒng)需要計算機之間同步運行、互相交換數(shù)據(jù);需要設置軟件或硬件表決器對數(shù)據(jù)進行表決;此外,還應考慮拜占庭將軍問題的解決。因此,余度管理算法相對復雜。

雖然隨著電子、信息、計算機、網(wǎng)絡等技術(shù)的發(fā)展,容錯飛控計算機總體架構(gòu)仍然以主從熱備份結(jié)構(gòu)、多數(shù)表決結(jié)構(gòu)及兩種結(jié)構(gòu)的結(jié)合為主,但組成這些結(jié)構(gòu)的計算機系統(tǒng),以及整個機載電子系統(tǒng),隨著科技的進步一直在發(fā)展。

機載電子系統(tǒng)向分布式系統(tǒng)發(fā)展[40-41]。機載電子系統(tǒng)最初為聯(lián)合式系統(tǒng),每個子系統(tǒng)完成獨立的功能,子系統(tǒng)由獨立的計算機組成,有獨立的CPU、存貯器、I/O處理單元;子系統(tǒng)之間用最少的線連接。聯(lián)合式系統(tǒng)結(jié)構(gòu)的優(yōu)點是一個子系統(tǒng)故障不會蔓延至其他系統(tǒng);通用性強,一個系統(tǒng)稍微進行修改即可在另一系統(tǒng)中使用;可以使用COTS組成系統(tǒng)等,缺點是造成計算、存貯等資源的浪費,增加了整個系統(tǒng)的體積、重量、功耗,且不便于子系統(tǒng)之間通信。為了克服聯(lián)合式結(jié)構(gòu)的缺點,系統(tǒng)向集成式結(jié)構(gòu)發(fā)展,由一臺計算機實現(xiàn)多個子系統(tǒng)的功能,如將舵機控制器功能集成到飛控計算機中。集成式結(jié)構(gòu)的缺點是隨著集成度越來越高,集成式結(jié)構(gòu)系統(tǒng)的管理越來越復雜;子系統(tǒng)軟件之間緊密耦合,降低了軟件可靠性,增加了軟件測試的難度;一般需要開發(fā)專用設備,無法使用COTS產(chǎn)品;最嚴重缺點的是子系統(tǒng)的故障有可能會蔓延至整個系統(tǒng)。隨著嵌入式計算機技術(shù)的發(fā)展,計算機集成度提高,功耗降低,聯(lián)合式結(jié)構(gòu)又重新得到廣泛應用,各子系統(tǒng)之間用串行總線連接在一起,形成分布式系統(tǒng)結(jié)構(gòu)。分布式系統(tǒng)可以減少開發(fā)時間,降低成本,增強系統(tǒng)可擴展性,增加系統(tǒng)靈活性,降低了系統(tǒng)的復雜性,提高了維修性。

系統(tǒng)總線是分布式系統(tǒng)的基礎,因此,分布式系統(tǒng)的結(jié)構(gòu)、性能與總線的傳輸協(xié)議、拓撲結(jié)構(gòu)、可靠性、傳輸速率等息息相關(guān),隨總線技術(shù)的發(fā)展而發(fā)展。文獻[22]、文獻[42]對幾種有望使用于分布式航空電子系統(tǒng)的總線進行了研究,分析表明,對于強實時分布式控制系統(tǒng),基于時間觸發(fā)(time-triggered protocol,TTP)的總線協(xié)議優(yōu)于基于事件觸發(fā)的總線協(xié)議。分布式航空電子系統(tǒng)是高可靠強實時控制系統(tǒng),運用于該系統(tǒng)的總線不僅要滿足帶寬要求,通信可預測、低等待時間及低的不穩(wěn)定性,還要求在任何時候,特別是系統(tǒng)存在故障的情況下,系統(tǒng)節(jié)點仍可定時訪問總線、系統(tǒng)通信仍可預測。基于事件觸發(fā)的總線如CAN總線,以太網(wǎng)等,需要在高層通信協(xié)議中解決上述問題才可以運用于實時分布式控制系統(tǒng)中,如文獻[43]提出了一種基于CAN總線分布式無人機飛控計算機結(jié)構(gòu),CPU模塊通過2路CAN總線與模擬量、開關(guān)量、串行口接口模塊相連。CAN總線在系統(tǒng)中為主從結(jié)構(gòu),CPU模塊為主節(jié)點,是所有總線傳輸?shù)陌l(fā)起者,其他接口模塊在接收到CPU模塊發(fā)送的指定數(shù)據(jù)幀后方可發(fā)送數(shù)據(jù)。TTP總線靜態(tài)分配整個系統(tǒng)的通信帶寬,每個節(jié)點在指定的時間發(fā)送數(shù)據(jù),總線上的設備在任何時候都清楚是誰在發(fā)送數(shù)據(jù),不需要在發(fā)送的數(shù)據(jù)幀中附加源地址和目標地址信息,這不僅增加了有效數(shù)據(jù)通信的帶寬,還消除了故障節(jié)點發(fā)送信息給錯誤的接收節(jié)點,或偽裝成別的設備發(fā)送數(shù)據(jù)的可能性。此外,在沒有通信保護措施情況下,要容忍n個拜占庭故障,需要3n+1臺計算機,如X-38容錯飛控計算機系統(tǒng),用4臺飛控計算機容忍1個拜占庭故障。而對于簽名信息(signed message)傳輸,則只需要2n+1臺計算機[20]。每個節(jié)點在總線架構(gòu)層處理時序故障，在應用層處理數(shù)值故障，且總線架構(gòu)層和應用層彼此獨立的情況下，如果通信系統(tǒng)能夠提供合適的全局時鐘，則2n+1臺計算機可容忍n個拜占庭故障。

系統(tǒng)總線按照某種總線拓撲結(jié)構(gòu)(總線型連接、星形連接、點對點連接等)實現(xiàn)分布式系統(tǒng)各子系統(tǒng)之間的互聯(lián)。最先使用串行總線進行子系統(tǒng)互聯(lián)的是航天飛機,如前所述,整個系統(tǒng)共使用了28路點對點串行總線。隨著總線技術(shù)的發(fā)展,軍用航空總線MIL-STD-1553總線、商用航空總線ARINC629總線等航空專用總線提供了多種網(wǎng)絡拓撲結(jié)構(gòu),簡化了機載電子設備的連接,如X-38部分使用主從結(jié)構(gòu)的MIL-STD-1553總線,部分使用Network Element光纖網(wǎng);波音777中的PFC則通過ARINC629總線以總線型拓撲結(jié)構(gòu)與其他設備連接。總線技術(shù)的進步使容錯飛控系統(tǒng)的連接關(guān)系越來越簡單,連接線越來越少,從而降低了機載電纜重量,提高了飛行器的有效載荷能力。

總線的傳輸速率是衡量總線性能的重要標準之一,傳輸速率越高,能夠傳輸?shù)臄?shù)據(jù)越多,此外,還使多通道飛控計算機之間通過串行總線進行同步成為可能。F-8、航天飛機使用離散量進行同步,這種同步方式簡單明了,速度快,到目前還有借鑒作用。缺點是占用離散量資源,且需要的離散量數(shù)量隨通道的增加而增加,通用性差。波音777PFC則使用ARINC629總線實現(xiàn)同步,簡化了系統(tǒng)設計。

航空總線有很高的容錯能力,但應用范圍窄,發(fā)展緩慢,價格昂貴,比如MIL-STD-1553總線,第一個版本發(fā)布于1978年,最后修改版本發(fā)布于1996年,傳輸速率為1Mbps,只支持主從拓撲結(jié)構(gòu),目前沒有升級版本發(fā)布。而工業(yè)總線應用范圍廣,發(fā)展迅速,價格低,因此,FlexRay,TTCAN等工業(yè)總線都是有可能使用于航空系統(tǒng)的總線[42]。FlexRay是一種基于時間觸發(fā),高可靠的車載總線,實際上,車載總線的可靠性要求和機載總線的可靠性要求相差不遠[22],雖然一輛汽車的故障率要求遠低于一架飛機的故障率要求,但由于數(shù)量眾多,運行時間長,所以可靠性要求也非常高。此外,車載電子設備運行的溫度、振動、電磁等環(huán)境與機載設備有相似之處,其與發(fā)動機、剎車等相關(guān)的電子設備也與駕駛員、乘客的生命相關(guān),要求具備高安全可靠性。汽車電子產(chǎn)品使用廣泛,發(fā)展速度遠高于航空電子產(chǎn)品。因此,近年來有將汽車電子技術(shù)運用于航空電子領域的趨勢。

工業(yè)總線的使用降低了系統(tǒng)的成本,航空電子系統(tǒng)的其他設備也應盡量使用COTS,進一步提高系統(tǒng)性價比。直接使用COTS計算機,如航天飛機,是一種提高認證效率、方便系統(tǒng)升級的方法。但對于無人機而言,體積、重量、功耗的限制使得諸如VME64、CPCI總線的貨架產(chǎn)品不一定能滿足要求,且一般滿足機載設備可靠性要求的COTS計算機在國內(nèi)價格不菲。因此,使用通用總線、COTS集成芯片及電路等是無人機飛控系統(tǒng)提高性價比的常用方法。

此外,傳統(tǒng)機載計算機為集中式結(jié)構(gòu),計算機由若干板卡組成,核心CPU板通過并行總線訪問其他板卡,如模擬量板、串行口板等,如全球鷹IMMC計算機[6]。由于并行總線至少有幾十根數(shù)據(jù)總線及地址總線,因此,需要進行加固、抗震等處理,以確保并行總線連接的可靠性。近年來,分布式飛控計算機開始得到應用。文獻[43-44]設計了以CAN/FlexRay總線為系統(tǒng)內(nèi)部總線的飛控計算機,CPU板通過冗余的內(nèi)部串行總線與模擬量板、串行口板、開關(guān)量板等進行通信交互。由于CAN/FlexRay總線傳輸需要的信號線數(shù)量少,可以通過對串行總線本身冗余配置、連接線冗余配置、連接器多根芯連接同一信號等方法實現(xiàn)總線的可靠連接,不需要進行特殊加固、抗震處理,從而降低成本。此外,系統(tǒng)內(nèi)部總線使用串行總線還有體積小,擴展性好,維護方便,一個功能板的故障不會擴展至整個系統(tǒng)等優(yōu)點,是無人機飛控計算機發(fā)展方向之一。

3　基于FlexRay總線無人機容錯飛行控制計算機體系結(jié)構(gòu)

本文研究了一種以FlexRay總線為系統(tǒng)內(nèi)部總線的分布式容錯飛控計算機體系結(jié)構(gòu),滿足無人機高可靠性及高性價比要求。

FlexRay總線針對車載網(wǎng)絡通信進行開發(fā),2006年成功應用于寶馬X5中,2010年成為ISO國際通用標準。經(jīng)過多年的發(fā)展,已經(jīng)相當成熟,一些微控制器如飛思卡爾的MPC56XX系列,MPC57XX系列等內(nèi)嵌FlexRay總線控制器,降低了總線使用成本。FlexRay總線在航空領域的運用還較少,文獻[44]研究了基于FlexRay的單通道分布式飛控計算機,本文在此基礎上,研究一種基于FlexRay總線的分布式相似三余度容錯飛控計算機系統(tǒng)。

3.1FlexRay總線分布式容錯飛行控制計算機體系結(jié)構(gòu)及關(guān)鍵余度管理算法

基于FlexRay的分布式容錯飛控計算機系統(tǒng)如圖10所示,由完全相同的3個通道飛控計算機及4組冗余FlexRay總線組成。假設3組飛控系統(tǒng)傳感器分別與3個通道飛控計算機中的1個通道連接,無人機具有冗余氣動舵面,因而使用無余度舵機,舵面指令通過通用串行總線(UART)發(fā)送至舵機控制器。舵機控制器同時接收3個通道飛控計算機指令,進行多數(shù)表決后輸出。由于本節(jié)主要進行容錯飛控計算機體系結(jié)構(gòu)的研究,因此在圖中未標明傳感器與執(zhí)行機構(gòu)的連接關(guān)系。

圖10　FlexRay總線分布式容錯飛行控制計算機體系結(jié)構(gòu)Fig.10　The architecture of FlexRay-based distributed triple modular redundancy flight control computers

單通道飛控計算機的主要功能單元有CPU單元、模擬量信號處理單元(AIO)、開關(guān)量信號處理單元(DIO)及串行口信號處理單元(SER)。AIO、DIO及SER由一塊或多塊功能板組成,每塊功能板上都有微處理器(IOP),通過FlexRay總線發(fā)送采集的機載設備的信息;接收CPU單元指令并輸出。FlexRay總線取代了傳統(tǒng)并行總線實現(xiàn)計算機內(nèi)部各功能模塊的連接。每個通道飛控計算機都有單獨的1路FlexRay內(nèi)部總線,每個功能模塊都可以向該總線發(fā)送/接收數(shù)據(jù);同時,該總線也是容錯飛控計算機系統(tǒng)的系統(tǒng)總線,其他通道飛控計算機可以接收該通道的數(shù)據(jù),但不可以向該通道發(fā)送數(shù)據(jù)。如FlexRay總線1為飛控計算機1的內(nèi)部總線,飛控計算機1的各個功能模塊可以通過FlexRay總線1發(fā)送/接收數(shù)據(jù),飛控計算機2、3可以接收FlexRay總線1數(shù)據(jù),但不能向FlexRay總線1發(fā)送數(shù)據(jù),以此類推。FlexRay總線4為系統(tǒng)備份總線,不作為任何飛控計算機的內(nèi)部總線。

在輸入傳感器數(shù)據(jù)及舵面指令輸出端設置表決面。IOP采集輸入的模擬量、開關(guān)量、串行口數(shù)據(jù),通過FlexRay總線發(fā)送給本通道飛控計算機CPU單元的同時,其他通道的CPU單元同時接收該通道的數(shù)據(jù),從而實現(xiàn)第1輪輸入數(shù)據(jù)的交叉?zhèn)鬏敗Ｖ?CPU板發(fā)送自己接收到的其他通道的輸入數(shù)據(jù),進行第2輪輸入數(shù)據(jù)交叉?zhèn)鬏?通過2輪數(shù)據(jù)交叉?zhèn)鬏斚畔鬏數(shù)牟粚ΨQ性,抑制拜占庭故障。

在此基礎上,3個通道飛控計算機利用相同的傳感器數(shù)據(jù)進行多數(shù)表決,采用同一多數(shù)表決算法及相同的閾值,表決出相同的輸入數(shù)據(jù)以進行控制律解算。對控制律解算的舵面指令及關(guān)鍵中間變量進行2輪交叉?zhèn)鬏敳⑦M行表決。表決后的舵面指令通過串行口信號處理單元輸出至舵機控制器。

由于飛控計算機采用了分布式結(jié)構(gòu),使得監(jiān)控可以在較低層次的功能模塊間進行。對控制律解算得出的舵面指令及其他輸出指令進行多數(shù)表決即可判別CPU單元是否故障;CPU單元同時接收3個通道的輸入數(shù)據(jù),進行多數(shù)表決同樣可以判別某個功能單元故障。在FlexRay總線啟動之后,AIO、DIO及SER在指定的時隙內(nèi)發(fā)送指定數(shù)據(jù),而與CPU單元是否正常工作無關(guān),這使得在某個通道的CPU單元故障的情況下,其他無故障功能單元的數(shù)據(jù)仍可利用。比如,飛控計算機通道1的CPU單元故障,其AIO采集的數(shù)據(jù)仍可以被飛控計算機通道2、3利用以進行多數(shù)表決,提高了系統(tǒng)的容錯能力。

3.2FlexRay總線實時性分析與驗證

綜上所述,FlexRay總線為系統(tǒng)核心,既是飛控計算機內(nèi)部總線,也是容錯飛控計算機的系統(tǒng)總線,FlexRay總線的傳輸速率為10Mbps,總線實時性至關(guān)重要。

以樣例無人機飛控計算機[45]為例分析FlexRay總線實時性。將CPU單元發(fā)送給其他單元的數(shù)據(jù)稱為下行數(shù)據(jù),其他單元發(fā)送給CPU單元的為上行數(shù)據(jù)。單通道飛控計算機SER采集慣性導航傳感器(ADU)、大氣數(shù)據(jù)計算機(ADC)、無線電高度表(ALT)、速度及加速度傳感器(DMU)等飛控系統(tǒng)傳感器共117個字節(jié)(Byte)上行數(shù)據(jù);發(fā)動機控制器(ECU)23個字節(jié)上行數(shù)據(jù),8個字節(jié)下行數(shù)據(jù);測控設備、任務管理計算機、地面檢測設備等共224字節(jié)上行數(shù)據(jù),160字節(jié)下行數(shù)據(jù);模擬量處理單元上行數(shù)據(jù)64個字節(jié)、下行數(shù)據(jù)為32個字節(jié),為舵機控制器指令信號、舵機位置指示信號及備份模擬量輸入/輸出信號;開關(guān)量處理單元上行數(shù)據(jù)、下行數(shù)據(jù)各為20個字節(jié)。選飛行控制周期為10 ms,10 ms的控制周期可以滿足絕大多數(shù)無人機飛控系統(tǒng)的控制要求。

FlexRay總線將總線帶寬按通信周期進行靜態(tài)分配,每個通信周期都包含靜態(tài)段、動態(tài)段、符號窗、網(wǎng)絡空閑段,選擇通信周期與控制周期一致,為10 ms,只用針對時間觸發(fā)的靜態(tài)段進行數(shù)據(jù)的傳輸。

FlexRay數(shù)據(jù)幀包括幀頭、數(shù)據(jù)段、幀尾3部分,幀頭占用5個字節(jié),幀尾占用3個字節(jié),數(shù)據(jù)段長度可以在0～254字節(jié)間選擇。如果數(shù)據(jù)段短,則總線的有效數(shù)據(jù)傳輸效率低,如果數(shù)據(jù)段太長,很多數(shù)據(jù)幀無法填滿,則同樣會降低總線有效傳輸效率。根據(jù)樣例無人機的特點,選擇數(shù)據(jù)段長度為32個字節(jié)。由此,一個數(shù)據(jù)幀共40個字節(jié),在10 Mbps傳輸速率下,需要的可靠傳輸時間不大于50 μs,因此,將一個靜態(tài)時隙設置為50 μs。

樣例單通道無人機飛控計算機一次數(shù)據(jù)傳輸需要13幀串行口上行數(shù)據(jù),6幀串行口下行數(shù)據(jù),2幀模擬量上行數(shù)據(jù),1幀下行數(shù)據(jù),開關(guān)量上行數(shù)據(jù)及下行數(shù)據(jù)各1幀,此外,1幀狀態(tài)檢測下行數(shù)據(jù),3幀檢測上行數(shù)據(jù),共28幀數(shù)據(jù),傳輸時間為1.4 ms。

由于3個通道飛控計算機都擁有自己的一組FlexRay內(nèi)部數(shù)據(jù)總線,3個通道飛控計算機同時接收上行數(shù)據(jù),在自己的內(nèi)部總線上同時發(fā)送下行數(shù)據(jù),因此,額外需要的數(shù)據(jù)傳輸為進行第2輪交叉?zhèn)鬏數(shù)娘w控系統(tǒng)傳感器輸入數(shù)據(jù)及與控制律切換相關(guān)的開關(guān)量數(shù)據(jù),以及需要進行2輪交叉?zhèn)鬏敿氨頉Q的與控制律積分運算相關(guān)的中間變量及控制指令。在樣例無人機中,飛控系統(tǒng)傳感器數(shù)據(jù)共117個字節(jié)數(shù)據(jù),關(guān)鍵開關(guān)量數(shù)據(jù)1個字節(jié);中間變量以及控制指令共320個字節(jié)。因此,額外的數(shù)據(jù)傳輸為第2輪交叉?zhèn)鬏斴斎胄盘?幀數(shù)據(jù)(2個通道共236個字節(jié)),中間變量以及控制指令共30幀數(shù)據(jù)(1個通道10幀數(shù)據(jù),共3個通道)。38幀數(shù)據(jù)的傳輸時間小于2 ms,因此,FlexRay總線傳輸時間小于3.5 ms,可以滿足10 ms控制周期的要求。

在圖10結(jié)構(gòu)的計算機通信系統(tǒng)中進行實時性驗證,CPU使用MPC5644A,IOP使用C8051F120,由于3個通道的FlexRay總線邏輯相同,因此這里只對其中一路總線信號進行說明。用安捷倫DSO-X 2012A示波器記錄的FlexRay總線波形如圖11所示。在時間段1傳輸單通道19幀上行數(shù)據(jù)(串行口13幀、模擬量2幀、開關(guān)量1幀、檢測3幀)后,在時間段2對飛控系統(tǒng)傳感器數(shù)據(jù)及關(guān)鍵開關(guān)量進行第2輪交叉?zhèn)鬏數(shù)?幀數(shù)據(jù)進行傳輸。在時間段3進行中間變量及控制指令的30幀數(shù)據(jù)進行傳輸;在時間段4輸出9幀下行數(shù)據(jù)(串行口6幀、模擬量1幀、開關(guān)量1幀、狀態(tài)檢測1幀)。由圖可見,數(shù)據(jù)幀傳輸時間和理論分析時間吻合,數(shù)據(jù)幀傳輸及應用程序處理時間小于7 ms,可以滿足實時性要求。

圖11　FlexRay總線波形圖Fig.11　Bandwidth utilization of FlexRay

4　結(jié)　論

(1)容錯飛控計算機設計要求有可靠性要求、余度等級要求、實時性要求、認證要求、維護性要求、通用性要求、性價比要求、重量,體積及功耗要求等。無人機容錯飛控計算機可靠性要求較有人機低,余度等級要求一般為FS。因此,最大化使用高可靠COTS產(chǎn)品,充分利用新產(chǎn)品提高系統(tǒng)性能的同時降低成本,提高市場競爭力是無人機容錯飛行計算機設計的重點之一。

(2)對典型軍用,民用有人機、無人機容錯飛控計算機體系結(jié)構(gòu)進行研究,闡述了針對不同需求設計的系統(tǒng)的體系結(jié)構(gòu)及關(guān)鍵余度管理算法。這些系統(tǒng)可被新項目設計所借鑒。

(3)機載電子系統(tǒng)向分布式系統(tǒng)發(fā)展,分布式系統(tǒng)的核心是系統(tǒng)總線。基于TTP協(xié)議的總線比基于事件觸發(fā)的總線更適合于在飛控系統(tǒng)等硬實時控制系統(tǒng)中使用。航空專用總線可靠性高,但應用范圍小,發(fā)展緩慢,價格昂貴。FlexRay總線是一種高可靠車載專用總線,其運行的溫度、振動、電磁等環(huán)境與機載設備有相似之處,應用廣泛,價格低,是一種適合于在航空領域使用的總線。

(4)提出一種基于FlexRay總線的分布式相似TMR容錯飛控計算機體系結(jié)構(gòu),并給出了關(guān)鍵余度管理算法。FlexRay總線既是單通道飛控計算機的內(nèi)部總線,實現(xiàn)計算機背板總線的功能,也是多通道數(shù)據(jù)交互的系統(tǒng)總線。該系統(tǒng)能夠滿足無人機高可靠、低成本,高性價比、維護性好、擴展性強等要求。

[1] Briere D,Traverse P.AIRBUS A320/A330/A340 electrical flight controls-a family of fault-tolerant systems[C]//Proc.of the 23rd IEEE International Symposium on Fault-Tolerant Computing,1993:616-623.

[2] Aplin J D.Primary flight computers for the Boeing 777[J].Microprocessors and Microsystems,1997,20(8):473-478.

[3] Chen Z J,Qin X D,Gao J Y.Dissimilar redundant flight control computer system[J].Acta Aeronautica et Astronautica Sinica,2005,26(3):320-327.(陳宗基,秦旭東,高金源.非相似余度飛控計算機[J].航空學報,2005,26(3):320-327.)

[4] Ammons E.F-16 flight control system redundancy concepts[C]//Proc.of the Guidance and Control Conference,1979.

[5] Loegering G,Evans D.The evolution of the global hawk and MALD avionics systems[C]//Proc.of the 18th IEEE Digital Avionics Systems Conference,1999:1-8.

[6] Loegering G.Global Hawk in a network centric environment[C]//Proc.of the 3rd AIAA Unmanned Unlimited Technical Conference,Workshop and Exhibit,2004:1-6.

[7] Defense Technical Information Center.The B-Hunter UAV system[EB/OL].[2015-06-22].http://www.dtic.mil/dtic/tr/fulltext/u2/p010763.pdf.

[8] Wu B X,Guo Y H,Cao Y,et al.The development examples for the automotive bus ofFlexRay[M].Beijing:Publish House of Electronics Industry,2012:1-6.(吳寶新,郭永紅,曹毅,等.汽車FlexRay總線系統(tǒng)開發(fā)實戰(zhàn)[M].北京:電子工業(yè)出版社,2012:1-6.)

[9] Yao Y P,Li P Q.Reliability and redundancy technology[M].Beijing:Aviation Industry Press,7-10,180-183.(姚一平,李沛瓊.可靠性及余度技術(shù)[M].北京:航空工業(yè)出版社,1991:7-10,180-183.)

[10] Loegering G.On the wings of a Hawk-a UAV navigation system takes flight[J].GPS World,2000,11(4):34-45.

[11] Liu X X.Research on redundancy techniques for flight control computer of high altitude,long endurance UAV[D].Xi’an:Northwestern Polytechnical University,2004.(劉小雄.高空長航時無人機飛行控制計算機系統(tǒng)冗余設計技術(shù)研究[D].西安:西北工業(yè)大學,2004.)

[12] Qin X D,Chen Z J,Li W Q.Research on dissimilar redundant flight control computers of large civil aircraft[J].Acta Aeronautica et Astronautica Sinica,2008,29(3):686-694.(秦旭東,陳宗基,李衛(wèi)琪.大型民機的非相似余度飛控計算機研究[J].航空學報,2008,29(3):686-694.)

[13] Lala J H,Harper R E.Architectural principles for safety-critical real-time applications[J].Proceedings of the IEEE,1994,82(1):25-40.

[14] Minott G M,Peller J B,Cox K J.Space Shuttle digital flight control system,NASA-N76-31146[R].NASA,1976.

[15] Rice J W,McCorkle R D.Digital flight control reliability-Effects of redundancy level,architecture and redundancy management technique[C]//Proc.of the AIAA Guidance and Control Conference,1979.

[16] Yount L J.Digital flight-critical systems for commercial transports,AIAA-A85-17806[R].Reston:AIAA,1985.

[17] Hammett R.Design by extrapolation:an evaluation of fault tolerant avionics[J].IEEE Aerospace and Electronic Systems Magazine,2002,17(4):17-25.

[18] Black R,Fletcher M.Next generation space avionics:layered system implementation[J].IEEE Aerospace and Electronic Systems Magazine,2005,20(12):9-14.

[19] Smith T J,Yelverton J N.Processor architectures for fault tolerant avionic systems[C]//Proc.of the 10th IEEE/AIAA Digital Avionics Systems Conference,1991:213-219.

[20] Lamport L,Shostak R,Pease M.The Byzantine generals problem[J].ACM Trans.on Programming Languages and Systems,1982,4(3):382-401.

[21] McGough J G.The Byzantine generals problem in flight control systems,AIAA-90-5210[R].Reston:AIAA,1990.

[22] Rushby J.Bus architectures for safety-critical embedded systems[C]//Proc.of the Embedded Software,2001:306-323.

[23] Lv X,Jiang B,Qi R,et al.Survey on nonlinear reconfigurable flight control[J].Journal of Systems Engineering and Electronics,2013,24(6):971-983.

[24] Jiang B,Yang H.Survey of the active fault-tolerant control for flight control system[J].Systems Engineering and Electronics,2007,29(12):2106-2110.(姜斌,楊浩.飛控系統(tǒng)主動容錯控制技術(shù)綜述[J].系統(tǒng)工程與電子技術(shù),2007,29(12):2106-2110.)

[25] Shen Q,Jiang B,Cocquempot V.Adaptive fuzzy observer-based active fault-tolerant dynamic surface control for a class of nonlinear systems with actuator faults[J].IEEE Trans.on Fuzzy Systems,2014,22(2):338-349.

[26] Gayaka S,Yao B.Output feedback based adaptive robust fault-tolerant control for a class of uncertain nonlinear systems[J].Journal of Systems Engineering and Electronics,2011,22(1):38-51.

[27] He J,Qi R,Jiang B,et al.Adaptive output feedback fault-tolerant control design for hypersonic flight vehicles[J].Journal of the Franklin Institute,2015,352(5):1811-1835.

[28] Qi R,Huang Y,Jiang B,et al.Adaptive backstepping control for hypersonic vehicle with uncertain parameters and actuator failures[J].ProceedingsIMechE:Part I-Journal of Systems and Control Engineering,2013,227(1):51-61.

[29] Szalai K J,Felleman P G,Gera J,et al.Design and test experience with a triply redundant digital fly-by-wire control system,AIAA-76-1911[R].Reston:AIAA,1976.

[30] Deets D A,Szalai K J.Design and flight experience with a digital fly-by-wire control system using Apollo guidance system hardware on an F-8 aircraft,AIAA-72-881[R].Reston:AIAA,1972.

[31] Szalai K J,Larson R R,Glover R D.Flight experience with flight control redundancy management[R].Advisory Group for Aerospace Research and Development LS,1980.

[32] Hanaway J F,Moorehead R W.Space shuttle avionics system,NASA-SP-504[R].NASA,1989.

[33] Blair-Smith H.Space shuttle fault tolerance:Analog and digital teamwork[C]//Proc.of the 28th IEEE/AIAA Digital Avionics Systems Conference,2009:6.B.1-1-6.B.1-11.

[34] Kouba C,Buscher D,Busa J.The X-38 spacecraft fault-tolerant avionics system,JSC-CN-8132[R].NASA,2003.

[35] Rice L E P,Cheng A M K.Timing analysis of the X-38 space station crew return vehicle avionics[C]//Proc.of the 5th IEEE Real-Time Technology and Applications Symposium,1999:255-264.

[36] Yeh Y C.Design considerations in Boeing 777 fly-by-wire computers[C]//Proc.of the 3rd IEEE International High-Assurance Systems Engineering Symposium,1998:64-72.

[37] Yeh Y C.Safety critical avionics for the 777 primary flight controls system[C]//Proc.of the 20th IEEE Digital Avionics Systems Conference,2001:1C2/1-1C2/11.

[38] Hammond R A,Newman D S,Yeh Y C.On fly-by-wire control system and statistical analysis of system performance[J].Simulation,1989,53(4):159-167.

[39] Goshen-Meskin D.Presentation of the eagle UAV system[R].Israel Aircraft Industries,Ltd.,MALAT Division,Military Aircraft Group,2005.

[40] Hammett R.Flight-critical distributed systems:design considerations[J].IEEE Aerospace and Electronic Systems Magazine,2003,18(6):30-36.

[41] Alstrom K,Torin J.Future architecture for flight control systems[C]//Proc.of the 20th IEEE Digital Avionics System Conference,2001:1B5/1-1B5/10.

[42] Gwaltney D A,Briscoe J M.Comparison of communication architectures for spacecraft modular avionics systems,TM-2006-214431[R].NASA,2006.

[43] Zhang Z A,Chen X,Lü X H.Design of a distributed flight control computer for UAV[J].Computer Systems & Applications,2010,19(8):16-19.(張增安,陳欣,呂迅竑.一種用于無人機的分布式飛行控制系統(tǒng)設計[J].計算機系統(tǒng)應用,2010,19(8):16-19.)

[44] Zhang Y,Chen X,Lü X H.Flight control computer communication system based on FlexRay bus[J].Machine Design and Manufacturing Engineering,2013,42(3):53-56.(章勇,陳欣,呂迅竑.基于 FlexRay 網(wǎng)絡的飛行控制計算機總線通信系統(tǒng)[J].機械設計與制造工程,2013,42(3):53-56.)

[45] Zhang Y.Design and research on FlexRay bus communication for flight control computer[D].Nanjing:Nanjing University of Aeronautics and Astronautics,2013.(章勇.基于 FlexRay 飛行控制計算機總線設計與研究[D].南京:南京航空航天大學,2013.)

Research on architecture of fault tolerant flight control computer for UAVs

Lü Xun-hong,JIANG Bin,CHEN Xin,QI Rui-yun

(College of Automation Engineering,Nanjing University of Aeronautics and Astronautics,Nanjing 210016,China)

The flight control computer (FCC)of high performance unmanned aerial vehicles (UAVs)must meet the increased safety and reliability requirements,and redundancy and fault tolerance are essential elements to improve the reliability and availability.The flight control system requirements,such as safety,reliability,maintainability,and real-time response,are studied,Then,compared among civil and military aircraft and UAV,the architectures and redundancy management of typical fault-tolerant FCC systems are introduced.Next,the particularity and future developments of FCC for UAV are addressed,and a triple modular redundancy (TMR)FCC system for UAV is developed.The TMR is a distributed system based on the FlexRay bus,and FlexRay is not only the backplane bus for the single FCC but also the system bus for the TMR system.The TMR system is Byzantine resilience,and meets the highreliability flexibility,scalability and low cost requirements of UAVs.

unmanned aerial vehicle (UAV); fault tolerant computer system; flight control system; architecture design; redundant design; triple modular redundancy (TMR)

2015-06-28；

2016-07-05；網(wǎng)絡優(yōu)先出版日期：2016-08-25。

國家自然科學基金(61428303,61374130,61374116)資助課題

TP 273,V 249

ADOI:10.3969/j.issn.1001-506X.2016.11.20

呂迅竑(1973-),女,博士研究生,助理研究員,主要研究方向為容錯控制、導航制導與控制。

E-mail:lvxh@nuaa.edu.cn

姜斌(1966-),男,教授,博士,主要研究方向為故障診斷、容錯控制。

E-mail:binjiang@nuaa.edu.cn

陳欣(1960-),男,研究員,博士,主要研究方向為導航制導與控制。

E-mail:chenxin@nuaa.edu.cn

齊瑞云(1982-),女,教授,博士,主要研究方向為故障診斷、容錯控制。

E-mail:ruiyun.qi@nuaa.edu.cn

網(wǎng)絡優(yōu)先出版地址：http://www.cnki.net/kcms/detail/11.2422.TN.20160825.1440.004.html