安全關鍵信號雙傳感器冗余處理方案實例分析

中國北方車輛研究所 門義雙 徐 靜 雷 陽

本文針對軍工產品控制系統中安全性和可靠性的高要求，舉例分析了波音飛機迎角傳感器安全關鍵信號采用雙傳感器冗余的技術問題，雙傳感器的處理辦法對系統可靠性的影響。提出坦克炮控系統角度限制功能的雙傳感器冗余處理方法。

目前，高鐵、船舶及航空、航天、兵器等軍工行業產品逐漸向智能化、無人化方向發展，系統越來越復雜，可靠性要求也越來越高。為提高系統可靠性，在組成系統時，增補一些工作單元或后備單元，即使其中之一發生故障，而整個系統仍能完成規定的任務，這類系統即成為冗余系統。冗余設計是提高系統可靠性的重要方式之一，雖然增加了成本并且降低了基本可靠性，但提高了系統的任務可靠性。

不過，冗余設計能否提高系統的可靠性和安全性，并不能一概而論。對軍工產品來說，安全性是產品不可缺少的重要指標。所謂安全性，就是產品不發生導致人員傷亡、健康惡化、設施和環境毀壞等事故的能力。（安全件控制技術屬于安全性工程范疇，雖然安全性工程與可靠性工程有一定的內在聯系，但是兩者分屬互相獨立的不同工程范疇。這里僅討論與可靠性相關的安全性基本概念。）

在復雜系統中同時保證可靠性、安全性的基本原則是：

（1）可靠性是安全性的基礎，要保證安全性，首先要保證可靠性。

（2）在保證可靠性基礎上，還要同時保證安全性，必須進一步控制可能存在的諸如火工品、推進劑、高能高壓裝置等一般危險源。

（3）在采取安全性控制措施時，不可引入降低可靠性的因素。

針對某一特定關鍵信號采用雙傳感器冗余方案，可以通過數字化手段進行信號特征建模和對傳感器本身的信號分析，診斷出如信號中斷、超界、噪聲大、信號斜率超差等多種故障，即可用簡單的判據判定大部分的傳感器故障，從而可以確定控制系統選用哪個傳感器的信號作為有效信號，大大提高該信號的可信度，這是采用雙傳感器冗余的技術基礎，本文不對此進行分析。

本文的分析基于以下條件：一個雙傳感器冗余的孤立系統中，傳感器信號均符合模型的預設邊界條件，無法通過信號分析手段判斷傳感器的有效性，如果兩個傳感器輸出的信號不同，當沒有外部其他參考條件參與判斷時，不能從兩個信號本身判斷哪一個傳感器是正確的。這可參考社會學領域與此類似手表定理：手表定理是指一個人有一塊表時，可以知道當時是幾點鐘，當他同時擁有兩塊表時，卻無法確定時間，兩只手表并不能告訴一個人更準確的時間，反而會讓看表的人陷入混亂，失去對準確時間的信心。

對于一個與安全相關的傳感器信號，為提高系統的可靠性與安全性，增加一個完全相同的傳感器，系統可靠性與安全性是否能提高呢？本文結合波音737MAX事故的實例對安全相關信號的冗余設計方案進行分析。

1 波音737MAX飛機迎角傳感器實例

2018年10月29日和2019年3月10日，獅航和埃航的波音公司737Max飛機兩次發生嚴重墜毀事故，空難造成300多人死亡。根據網上披露（未經證實）的獅航調查報告資料，獅航飛機墜毀前進行了自殺式俯沖，共26次，而飛行員努力拉了33次機頭，試圖拯救飛機，最終沒有成功。

鑒于飛機失速會對安全帶來致命性的影響，避免失速墜毀，波音737Max飛機設計了2個攻角傳感器，力圖提高攻角傳感器的可靠性；同時設計了MCAS系統，其功能是在飛機迎角過大時自動控制飛機俯沖恢復到安全姿態。對黑匣子數據的分析表明，造成這個悲劇的原因是飛機左側的攻角傳感器發生故障，送出了錯誤的攻角信號，引發MCAS系統作出俯沖的動作。

飛機右側的攻角傳感器數據是正常的，左側攻角傳感器數據大了20°左右。雖然攻角傳感器輸出的是連續模擬量，但進行系統控制時可抽象轉換為布爾代數運算：假設攻角過大為1，攻角正常為0。從最后的結果看，MCAS系統采信了左側傳感器的輸出數據，這表明，或者MCAS系統把左側的攻角傳感器設為主傳感器，或者是有任一傳感器輸出攻角過大信號MCAS系統即采納。

檢測迎角依靠機頭兩側2個冗余的迎角傳感器，本意是希望得到可靠的數據，但737MAX對此系統設計有漏洞，兩個迎角傳感器信號之間的處理不嚴密，導致任意一個迎角傳感器出問題就能造成系統發生錯誤響應，飛機自動壓機頭保命。另外，MCAS系統在兩個傳感器數據不一致時對飛行員沒有報警，由飛行員進行判斷，手工操作，而是直接由控制系統按預定的不嚴密的判斷邏輯進行飛機的控制。

從737MAX的案例可以得到以下結論：

（1）雙傳感器冗余不能100%解決可靠性問題，傳感器仍有失效的可能；

（2）即使傳感器發生了故障，也可能不立即輸出錯誤結果，實現提前檢查維修，而是隨系統的運行狀態和外界條件不同，表現出一定的失效概率。

2 傳感器有效性的數學描述

2.1 單一傳感器

對于一個檢測關鍵安全因素的傳感器，當檢測到系統運行不安全時，應發生安全報警。雖然傳感器輸出的可能是連續模擬量，也可能是布爾型數據，但進行系統控制時可抽象轉換為布爾代數運算，安全關鍵傳感器的輸出最終處理結果可歸結為報警信息的有與無，表示為布爾型的數據為：1為有安全報警，0為無安全報警（正常狀態）。

設某控制系統有檢測安全狀態的報警傳感器A，系統運行在安全狀態時A=0，其概率記為S，系統運行在不安全狀態時A=1，其概率記為1-S。理想情況下，傳感器狀態完全反映系統真實狀態，則傳感器輸出A=1的概率為1-S，A=0的概率為S。

如果傳感器因某種原因失效，則其輸出不能完全反映系統的真實狀態，定義以下概念：

虛報：系統運行在安全狀態，傳感器不應報警而發生了錯誤報警，稱為虛報，其概率為虛報率P；

漏報：系統運行不安全，傳感器應報警而未報警，稱為掉漏報，其概率為漏報率Q；

誤報：以上兩種情況統稱為傳感器失效，傳感器輸出信息錯誤，稱為誤報，概率為誤報率M，誤報率等于虛報率加上漏報率，即M=P+Q。

當系統運行在安全狀態時的概率為s時，傳感器輸出結果為1和0的概率可按以下計算：

（1）輸出為1的概率

輸出為1的情況包括系統安全運行但發生虛報和運行不安全狀態且未發生漏報兩種情況。

安全狀態發生虛報概率：S×P

不安全狀態未發生漏報：(1-S)×(1-Q)

因此，傳感器輸出為1的概率=安全狀態發生虛報概率+不安全狀態未發生漏報的概率，記為：

（2）輸出為0的概率

安全狀態未發生虛報概率：S×(1-P)不安全狀態發生漏報：(1-S)×Q

輸出為0的概率=安全狀態未發生虛報概率+不安全狀態發生漏報概率，記為：

根據貝葉斯定理，傳感器輸出為0和為1時正確的概率分別為：

當傳感器報警輸出為1，其正確的概率為：

當傳感器未報警輸出為0，其值正確的概率為：

給上面的分析賦以實際數值，可以看到直觀的結果。舉例如下。

例1：設某系統有80%概率運行在安全狀態，即s=80%，虛報率為1%，漏報率1%，則傳感器報警輸出為1的概率為0.008+0.198=0.206，輸出為1是真的概率為0.198/0.206=96.1%。輸出為0的概率是0.792+0.002=0.794.，輸出為0是真的概率是0.792/0.794=99.75%。可見，在傳感器虛報和漏報概率相同時，虛報概率大于漏報概率。

2.2 雙傳感器冗余

當系統安全關鍵信號采用雙傳感器冗余方案時，系統有兩個冗余的傳感器A，B采集同一數據量。以下討論排除明顯判定傳感器故障的情況，如無信號、超界等。由于增加了部件，整系統的基本可靠性是降低的。設兩個傳感器誤報概率為M、N，忽略其他附屬環節的可靠性問題，兩個傳感器的同時誤報的概率為M×N，有一個誤報的概率是{M×(1-N)+N×(1-M)}，同時準確的概率是(1-M)×(1-N)。

兩個傳感器進行布爾代數運算，有四種可能，如表1所示。如果兩個傳感器的信號不同，控制系統在采信傳感器數據時有三種處理方案：（1）邏輯與運算：兩個傳感器均報警輸出為1時按報警處理；（2）邏輯或運算：兩個傳感器有一個報警輸出為1時就按報警處理；

（3）主從模式：默認傳感器A（或B）為主傳感器，采用其輸出為有效信號。

表1 雙傳感器冗余真值表

因此，從直觀看，如果傳感器的失效模式（或在系統中有重大影響）是虛報，則應采取邏輯與運算，如果失效模式是漏報，應采取邏輯或運算。如果兩個傳感器失效概率差別較大，可以考慮采取主從模式處理。

現假定傳感器B的特性與A完全相同，孤立系統除兩個傳感器的信息外無其他外界參考信息。設A、B虛報和漏報概率分別為P、Q，誤報率M=P×Q。因為控制系統的安全保護策略是檢測到傳感器信號有效時執行特定的功能，系統可靠性與安全性與傳感器的失效模式有關、與兩個傳感器發生故障時系統的處理方法有關，信號在系統中的作用機理有關。下面將兩個傳感器的輸出按不同處理方式綜合為一個傳感器，對此展開分析。

【邏輯與處理】

兩個傳感器進行邏輯與運算，綜合的虛報率和漏報率為：

根據貝葉斯定理，傳感器輸出為0和為1時正確的概率分別為：當傳感器報警輸出為1，其正確的概率為：

當傳感器未報警輸出為0，其值正確的概率為：

例2：例1中系統的其他條件不變，S=80%，虛報率為1%，漏報率1%，配置雙冗余的傳感器。當傳感器按與邏輯處理時，報警輸出為1的概率為0.0008+0.19602=0.1961，輸出為1是真的概率為0.19602/0.1961=99.96%。輸出為0的概率是0.79992+0.00398=0.8039，輸出為0是真的概率是0.79992/0.8039=99.5%?？梢?，在雙傳感器邏輯與運算，報警輸出1為真實的概率有較大提高，不報警輸出0為真實的概率有小幅降低。

例3：例1中系統的其他條件不變，有80%概率運行在安全狀態，即S=80%，虛報率為1%，漏報率1%，配置雙冗余的傳感器，則傳感器按邏輯或運算處理，報警輸出為1的概率為0.19998+0.01592=0.2159，輸出為1是真的概率為0.19998/0.2159=92.6%。輸出為0的概率是0.78408+0.00002=0.7841，輸出為0是真的概率是0.78408/0.7841=99.99%?？梢?，雙傳感器邏輯或運算，報警輸出1為真實的概率降低，不報警輸出0為真實的概率相當高。

三種不同的處理方式，報警和不報警的正確概率有所不同，如表2所示。

表2 概率實例表（S=80%，P=1%，Q=1%）

3 炮控系統角度限制功能雙傳感器實例分析

坦克炮控系統是以驅動和穩定火炮為任務的自動控制系統，是火控系統的重要組成部分，其狀態好壞直接影響坦克是否能完成戰斗任務。角度限制功能即是安全保護方面的典型功能。

目前，炮控系統采用角度限制器作為敏感火炮角度的傳感器，是涉及安全保護的傳感器。當火炮運動到仰角或俯時，根據系統預定的保護邏輯，如果角度限制器輸出保護信號，切斷瞄準信號和輸出機構控制信號，系統進入保護狀態，避免系統部件損壞。

如果角度限制器本身故障或由于安裝問題導致不能輸出保護信號，失效模式包括兩種：到位沒有保護信號，未在角度限制位置而錯誤輸出保護信號。其后果一種是損壞系統設備，另一種是不能完成預定的功能。利用火控系統中的現有的耳軸解算器進行冗余是一個可行的方案。

在這種方案中，兩個傳感器的特性不同，從上面的分析再推廣，設兩個傳感器A、B的虛報率分別為Pa、Pb，漏報率分別為Qa、Qb。

【邏輯與處理】

兩個傳感器進行邏輯與運算，綜合的虛報率和漏報率為：

仍按例1中系統的條件，配置雙冗余的傳感器，系統有80%概率運行在安全狀態，即S=80%，角度限制器虛報率為1%，漏報率1%，耳軸解算器虛報率為0.1%，漏報率0.1%。計算結果如表3所示?？梢?，按上面設定的條件，雙傳感器特性不同且相差一個量級時，邏輯與運算與主從方式的處理比較接近。

表3 角度限制器和耳軸傳感器概率實例表

總結：從上面的分析可見，如果控制系統對警報自動響應，無論虛報或漏報都會導致進行錯誤控制引起安全事故，則安全相關的關鍵信號增加雙傳感器冗余，并不能簡單的確定是否能增加系統的安全性和可靠性。某些控制系統中，虛報和漏報的后果不同，虛報引起任務中斷，漏報引起安全事故，在安全性大于任務可靠性的系統中，通?？紤]采用邏輯或方式處理；在任務可靠性大于安全性的系統中，考慮采用邏輯與方式處理。無論如何處理，系統應該保留向操作人員或上層控制系統進行可視化報警的功能并允許操作人員進行更高優先級的人工控制。在硬件冗余的基礎上，可以考慮對傳感器和被測的物理量進行精確的建模，采用更有效的斜率判別法、極值判別法等解析方法提高判斷準確度，或者在數據處理加入其他相關數據進行對比判斷，進行解析冗余。