運載火箭復(fù)雜容錯控制系統(tǒng)可靠性分析

胡海峰

北京航天自動控制研究所，北京100854

飛行控制系統(tǒng)(簡稱控制系統(tǒng))是運載火箭的關(guān)鍵系統(tǒng)，系統(tǒng)復(fù)雜、投入大、風險高，特別是載人飛行，關(guān)系到宇航員的生命安全，因此對運載火箭控制系統(tǒng)提出了高可靠性要求［1］。冗余容錯設(shè)計是提高系統(tǒng)可靠性和安全性的重要手段，普遍應(yīng)用于運載火箭控制系統(tǒng)，通過投入超過常規(guī)設(shè)計所需的外加資源來抵消故障產(chǎn)生的后果，在提高系統(tǒng)可靠性的同時，必然增加其復(fù)雜性。系統(tǒng)采用冗余設(shè)計并具備容錯功能時，將存在著多級多重表決或貯備，復(fù)雜度大大增加，往往不能用簡單的數(shù)學模型來描述，建立系統(tǒng)可靠性模型變得異常困難。

本文在典型可靠性分析模型及理論基礎(chǔ)上，研究運載火箭復(fù)雜容錯控制系統(tǒng)可靠性模型建模方法，并對2 種典型冗余容錯系統(tǒng)進行算例分析。

1 典型系統(tǒng)可靠性模型

復(fù)雜系統(tǒng)的可靠性模型往往是由若干典型結(jié)構(gòu)的可靠性模型組合而成，典型系統(tǒng)可靠性模型有串聯(lián)、并聯(lián)、串并聯(lián)、并串聯(lián)、表決和儲備等，本節(jié)主要給出串并聯(lián)、并串聯(lián)、表決、儲備系統(tǒng)的可靠性模型。

1.1 串并聯(lián)系統(tǒng)

由串聯(lián)系統(tǒng)和并聯(lián)系統(tǒng)組成的先串聯(lián)再并聯(lián)的混合冗余系統(tǒng)稱為串并聯(lián)系統(tǒng)，常用的2 種串并聯(lián)系統(tǒng)如圖1 所示。

圖1 串并聯(lián)系統(tǒng)

圖1(a)和(b)兩種系統(tǒng)在各單元可靠性相同的情況下，整個系統(tǒng)的可靠性是相同的，其可靠性計算數(shù)學模型為:

圖1(a)和(b)兩種系統(tǒng)的區(qū)別是:1)系統(tǒng)每條支路由一個控制器控制;2)系統(tǒng)每條支路由2個控制器控制。

1.2 并串聯(lián)系統(tǒng)

由串聯(lián)系統(tǒng)和并聯(lián)系統(tǒng)組成的先并聯(lián)再串聯(lián)的混合冗余系統(tǒng)稱為并串聯(lián)系統(tǒng)，常用的2 種并串聯(lián)系統(tǒng)如圖2 所示。(a)和(b)兩種系統(tǒng)在各單元可靠性相同的情況下，整個系統(tǒng)的可靠性是相同的，其可靠性計算的數(shù)學模型為:

圖2(a)和(b)兩種系統(tǒng)的區(qū)別是:1)系統(tǒng)中的并聯(lián)部分由2個控制器控制;2)系統(tǒng)中并聯(lián)部分由1個控制器控制。

圖2 并串聯(lián)系統(tǒng)

1.3 表決系統(tǒng)

系統(tǒng)由n個單元組成，若其中有k個或k個以上單元正常，則整個系統(tǒng)正常，這樣的系統(tǒng)稱n 中取k 表決系統(tǒng)，記作K/n(G)。若表決器可靠性為RG，每個單元可靠性相等均為R，則n 取k 多數(shù)表決系統(tǒng)的可靠性模型可用二項分布來描述:

在運載火箭設(shè)計中，常用3 取2 模型，示意圖如圖3 所示。

圖3 3 取2 系統(tǒng)

圖3(a)和(b)是最常見的3 取2 模式，整個系統(tǒng)既可以防一度誤判，又可以在一個控制器失效的情況下不影響系統(tǒng)功能，同時通過并聯(lián)提高了系統(tǒng)的可靠性。在各個單元可靠性相同的情況下，其可靠性計算的數(shù)學模型為:

1.4 儲備系統(tǒng)

在若干個單元組成的系統(tǒng)中，當主工作單元失效時，儲備單元能立刻接替完成主工作單元的功能，這樣的系統(tǒng)稱為儲備系統(tǒng)。儲備系統(tǒng)按儲備單元在儲備期間的失效情況可分為3 類:1)冷儲備(無載儲備)，儲備單元在儲備期間失效率為0;2)熱儲備(滿載儲備)，儲備單元在儲備期間失效率與工作單元失效率一樣;3)溫儲備(輕載儲備)，儲備單元在儲備期間失效率大于0 而小于工作單元失效率［2－3］。此處僅給出冷儲備系統(tǒng)的可靠性模型，儲備單元在儲備期間失效率為0。

若各單元壽命均為指數(shù)分布，且各單元失效率均為λ，轉(zhuǎn)接開關(guān)可靠性為Rsw，則冷儲備系統(tǒng)可靠性和平均壽命為:

2 復(fù)雜容錯控制系統(tǒng)可靠性建模

運載火箭控制系統(tǒng)采取冗余設(shè)計，且冗余單元之間增加交互表決的通道，基于軟件增加故障檢測、故障診斷、軟件表決、故障吸收和系統(tǒng)重構(gòu)等功能時，控制系統(tǒng)成為存在多級多重表決的冗余容錯系統(tǒng)，需借助復(fù)雜容錯系統(tǒng)可靠性建模方法建立可靠性計算模型。通常應(yīng)用的方法主要包括:狀態(tài)枚舉法、全概率分解法、最小路徑法、全概率公式法、Petri 網(wǎng)模型等［2－5］。文獻［6］給出了基于全概率公式的應(yīng)用方法;文獻［7］提出了基于狀態(tài)空間法的特高壓直流輸電系統(tǒng)可靠性評估算法;文獻［8］基于K/n(G)模型建立了柔性直流輸電系統(tǒng)中換流閥的可靠性模型，并分析了不同設(shè)備冗余情況下可靠性指標;文獻［9］基于馬爾科夫過程建立了柔性直流輸電變壓器系統(tǒng)的可靠性模型，并對不同設(shè)計結(jié)構(gòu)和備用水平變壓器系統(tǒng)的可靠性指標進行了對比;文獻［10］在FD 法和模型組合的基礎(chǔ)上對整個柔性直流輸電系統(tǒng)進行了可靠性評估;文獻［11］基于狀態(tài)空間法與K/n(G)模型給出了柔性直流輸電系統(tǒng)可靠性模型。但上述方法難以直接應(yīng)用于運載火箭復(fù)雜容錯控制系統(tǒng)，本節(jié)將以運載火箭的兩類典型復(fù)雜容錯控制系統(tǒng)為例，建立系統(tǒng)可靠性計算模型。為便于分析，系統(tǒng)組成考慮箭機、慣組(IMU)、綜合控制器、總線等4 類設(shè)備，并且將各單元可靠性統(tǒng)一為R。

2.1 復(fù)雜容錯系統(tǒng)1 可靠性建模

某典型冗余容錯系統(tǒng)，見圖4。全箭通過1553B總線網(wǎng)絡(luò)連接3 套完整的電氣系統(tǒng)，形成相對獨立的系統(tǒng)級三冗余。設(shè)備均為三冗余，每一套由1 條雙通道1553B 總線連接，其中箭機和綜合控制器均為3 臺單機冗余在1個設(shè)備中，3 臺單機之間通過機內(nèi)總線進行通訊?？刂葡到y(tǒng)工作時，3個BC(Bus controller，即總線控制器)分別獨立錄取3 套慣組的數(shù)據(jù)，獲取箭體的角速度、視加速度等信息，之后與其它BC 進行數(shù)據(jù)交換，使每個BC 都能獲得3 套數(shù)據(jù);然后3個BC 分別進行方程計算，將控制指令通過總線分別送至3 臺綜合控制器;綜合控制器的3臺單機也可以進行信息交互。對于慣組和BC，若3個模塊均正常工作，則系統(tǒng)以三模冗余方式工作，采用3 取2 表決機制;若其中1個模塊失效，則系統(tǒng)通過故障檢測定位將其切除，系統(tǒng)降級為雙冗余系統(tǒng);若又有1個模塊失效并被定位切除，則系統(tǒng)以單機模式運行。對于綜合控制器，其輸出通過硬件實現(xiàn)3 取2 表決，因此若3個模塊均正常工作或其中1個模塊失效，系統(tǒng)可通過表決屏蔽1個故障模塊;若有2個及以上模塊失效，系統(tǒng)即失效。因此系統(tǒng)形成計算冗余表決、控制器指令解析冗余表決、輸出級功率放大冗余表決同步、總線網(wǎng)絡(luò)冗余的復(fù)雜冗余容錯系統(tǒng)結(jié)構(gòu)。

圖4 復(fù)雜容錯系統(tǒng)1

在分析圖4 系統(tǒng)可靠性時，雖然每套1553B 總線均有A，B 雙通道，當A 總線出故障時可以切換為B 通道，但是考慮到A，B 均故障、總線協(xié)議芯片故障以及切換失敗的情況，應(yīng)考慮總線本身的可靠性，這相當于在系統(tǒng)中串聯(lián)1個單元，框圖如圖5。

上述系統(tǒng)可直接給出計算公式為:

圖5 復(fù)雜容錯系統(tǒng)1 框圖

2.2 復(fù)雜容錯系統(tǒng)2 可靠性建模

某典型冗余容錯系統(tǒng)，見圖6，與圖4 不同之處在于整個系統(tǒng)采用1 套1553B 總線進行連接。在此系統(tǒng)中，3個BC 采用主備方式運行，3個慣組和綜合控制器的3 臺單機分別作為3個站點掛在總線上，框圖見圖7。

圖6 復(fù)雜容錯系統(tǒng)2

圖7 復(fù)雜容錯系統(tǒng)2 框圖

令圖6 系統(tǒng)中慣組可靠性為RIMU，BC 可靠性為RBC，綜合控制器可靠性為R綜控器，總線可靠性為R總線，根據(jù)串聯(lián)系統(tǒng)模型［2－5］，可得系統(tǒng)可靠性:

下面分別計算RIMU，RBC，R綜控器和R總線。

(1)RIMU計算

系統(tǒng)中有3個IMU，IMU 獨立工作，系統(tǒng)冗余錄取3個IMU 數(shù)據(jù)，具備容錯功能，能根據(jù)零值故障、極值故障、一致性故障等冗余管理算法診斷IMU 信息，控制系統(tǒng)進行信息融合表決，并能基于箭體飛行數(shù)據(jù)特點、GPS 測量信息綜合診斷IMU 數(shù)據(jù)，RIMU可按n =3 的并聯(lián)系統(tǒng)模型計算，根據(jù)并聯(lián)系統(tǒng)模型［2－5］，可得:

(2)RBC計算

系統(tǒng)中有3個BC，BC 中運行飛行控制軟件，完成數(shù)據(jù)綜合、信息容錯、冗余管理和控制方程計算等功能，考慮到運載火箭實時控制的需求，運載火箭一般采取跟隨、熱備的模式，當主工作單元故障時切換到備份單元，備份單元再出現(xiàn)故障時切換到第2個備份單元。飛行過程中跟隨、熱備的備份單元不參與輸出，可視為無載儲備。運載火箭飛行時間短，為便于計算，無載儲備單元在儲備期間可簡單地認為失效率為0?；谏鲜龇治?，RBC可按n =3 的冷儲備模型計算。假設(shè)切換可靠性為Rsw，根據(jù)式(6)可得:

(3)R綜控器計算

系統(tǒng)中有3 臺綜合控制器，3 臺綜合控制器集成在1個機箱中，3 取2 表決后輸出控制信號，因此系統(tǒng)中綜控器為3 取2 表決系統(tǒng)，根據(jù)式(4)可得:

(4)R總線計算

將式(9)～(12)代入式(8)，可得系統(tǒng)可靠性:

3 算例計算與分析

3.1 可靠性計算

運載火箭控制系統(tǒng)單元模塊或單機可靠性R一般不低于0.990，令R在0.990 ～0.9999 變化，R1553在0.99 ～1 變化，Rsw= 1，分別代入式(7)和(13)，按控制系統(tǒng)可靠性模型計算R1(S)，R2(S)，主要計算結(jié)果見表1，在上述條件下系統(tǒng)可靠性隨單機可靠性變化見圖8。

為保證可靠性，航天運載器普遍采用高等級元器件，單元模塊或單機可靠性一般比較高，選擇單元模塊或單機可靠性R =0.999，令Rsw在0.999 ～1 變化，R1553在0.99 ～1 變化，分別代入式(7)和(13)，按控制系統(tǒng)可靠性模型計算R1(S)，R2(S)，主要計算結(jié)果見表2，在上述條件下系統(tǒng)可靠性隨Rsw可靠性變化見圖9。

3.2 討論與分析

由于BC 的核心控制作用，其故障容易導(dǎo)致R1其它終端的資源浪費，影響系統(tǒng)可靠性，但由于R1總線并聯(lián)容錯，使它對總線本身故障的敏感度大大降低;R2 系統(tǒng)中只要BC 切換正常(Rsw=1)，單個BC 故障就不會蔓延到終端及系統(tǒng)，但由于總線是串聯(lián)環(huán)節(jié)，因此R2 對總線本身的故障比較敏感。根據(jù)表1 和圖8 結(jié)果，Rsw=1 時，1553B 總線可靠性指標較低時，R1 的系統(tǒng)可靠性大于R2;1553B 總線可靠性達到0.99999 ～1 時，R1 和R2 的可靠性相當;1553B 總線可靠性為0.99999 時，當R ＞0.994，則R2 － R1 ＜0;1553B 總線可靠性為1 時，當R ＞0.999，則R2 與R1 的差值小于3.8 ×10－8，且隨著R值的增大，兩系統(tǒng)可靠性值的差異趨于0。R2 － R1隨單機可靠性變化的2 條曲線見圖10。運載火箭系統(tǒng)工程設(shè)計中需根據(jù)總線可靠性水平及可靠性指標、單機可靠性指標及其對系統(tǒng)可靠性的影響，確定合理的系統(tǒng)冗余容錯結(jié)構(gòu)。

表1 復(fù)雜容錯系統(tǒng)可靠性計算(Rsw =1)

圖8 系統(tǒng)可靠性隨單機可靠性變化趨勢圖(Rsw =1)

表2 復(fù)雜容錯系統(tǒng)可靠性計算(R=0.999)

圖9 系統(tǒng)可靠性隨Rsw可靠性變化趨勢圖(R=0.999)

圖10 R2 －R1 隨單機可靠性變化的趨勢圖(Rsw =1)

總線切換開關(guān)的可靠性影響R2 系統(tǒng)可靠性，當BC 故障時，診斷、切換所需的時間很短以及由此帶來的對系統(tǒng)功能性能的影響可以忽略時，分析總線切換開關(guān)的可靠性對系統(tǒng)可靠性的影響。考慮組成復(fù)雜冗余容錯系統(tǒng)的單元模塊或單機可靠性 R =0.999，根據(jù)表2 和圖9，總線可靠性對R2 系統(tǒng)可靠性影響較大，總線開關(guān)在其可靠性大于0.999時對系統(tǒng)可靠性影響較小;總線可靠性為0.99 的R1 可靠性與總線可靠性為1 的R2 可靠性相當;總線可靠性為0.99 的R1 可靠性大于總線可靠性為0.99999的R2 可靠性。當R =0.999 時，以Rsw=0.999 為 起 點，Rsw取 值0. 999，0. 9995，0. 9999，0.99999和1，依次計算Rsw變化時系統(tǒng)可靠性的相對增長值，當總線開關(guān)可靠性大于0.999 時，其可靠性指標的提高對系統(tǒng)可靠性提升的貢獻較小，最大不超過1 ×10－6。因此運載火箭系統(tǒng)工程設(shè)計中需根據(jù)總線開關(guān)切換復(fù)雜度及其可靠性水平，確定合理的總線切換方案。

圖11 系統(tǒng)可靠性隨Rsw 變化的趨勢圖(R = 0.999)

4 結(jié)束語

冗余容錯技術(shù)的使用，使得系統(tǒng)可靠性建模變得異常復(fù)雜。本文針對提高運載火箭控制系統(tǒng)可靠性的2 種容錯設(shè)計方案，分析并建立了其可靠性定量分析的數(shù)學模型，然后進行了算例分析，從可靠性角度提出了運載火箭系統(tǒng)工程設(shè)計的建議，需根據(jù)總線可靠性水平及可靠性指標、單機可靠性指標及其對系統(tǒng)可靠性的影響，確定合理的系統(tǒng)冗余容錯結(jié)構(gòu)，同時根據(jù)總線開關(guān)切換復(fù)雜度及其可靠性水平，確定合理的總線切換方案。本文提出了運載火箭復(fù)雜容錯控制系統(tǒng)可靠性分析的方法，并通過算例分析得出了一定條件下的結(jié)論，當條件不同時可能得出不同的結(jié)論，但均可采用本文方法進行可靠性建模分析，為控制系統(tǒng)可靠性評估、方案優(yōu)化提供良好的支撐，本文方法能夠在運載火箭控制系統(tǒng)工程設(shè)計中推廣應(yīng)用。

［1］孫凝生.冗余設(shè)計技術(shù)在運載火箭飛行控制系統(tǒng)中的應(yīng)用(一)［J］. 航天控制，2003，(1):65-81. (Sun Ningsheng. The Redundancy Designs for Guidance and Control System of Launch Vehicle［J］. Aerospace Control，2003，(1):65-81).

［2］周正伐.可靠性工程基礎(chǔ)［M］. 北京:中國宇航出版社，1999.

［3］周正伐，等.航天可靠性工程培訓教材［M］.第1 版.北京:中國宇航出版社，2006.

［4］曾聲奎，趙廷弟，等.系統(tǒng)可靠性設(shè)計分析教程［M］.北京:北京航空航天大學出版社，2001. (Zeng Shengkui，Zhao Tingdi，et al. The System Reliability Design and Analysis Tutorial ［M］. Beijing:Beihang University Press，2001.)

［5］楊振明.概率論［M］.2 版.北京:科學出版社，2004:34.

［6］馬曉麗，張亮.全概率公式的推廣及其在保險中的應(yīng)用［J］.高等數(shù)學研究，2010，13(1):70-71.

［7］楊鏑，張焰，祝達康. 特高壓直流輸電系統(tǒng)可靠性評估方法［J］. 現(xiàn)代電力，2011，28(4):1-6.(YANG DI，ZHANG Yan，ZHU Dakang. Reliability Evaluation Method for UHVDC Transmission System［J］. Modern Electric Power，2011，28(4):1-6.)

［8］丁明，王京景，宋倩.基于K/n(G)模型的柔性直流輸電系統(tǒng)換流閥可靠性建模與冗余性分析［J］.電網(wǎng)技術(shù)，2008，32 (21):32-36. (DING Ming，WANG Jingjing，SONG Qian. Reliability Modeling and Redundancy Analysis of Converter Valves for VSC-HVDC Power Transmission System Based on k-out-of-n:G Model［J］. Power System Technology，2008，32(21):32-36.)

［9］Leelaruji R，Setréus J，Olguin G.Availability Assessment of the HVDC Converter Transformer System［C］. Proceedings of the 10thInternational Conference on Probabilistic Methods Applied to Power System，2008.

［10］丁明，畢銳，王京景.基于FD 法和模型組合的柔性直流輸電可靠性評估［J］.電力系統(tǒng)保護與控制，2008，36(21):33-37. (DING Ming，BI Rui，WANG Jingjing. FD Method and Combined Model for Reliability Assessment of HVDC Flexible［J］. Power System Protection and Control，2008，36(21):33-37.)

［11］孫宇斌，劉文霞，等. 計及備用元件的柔性直流輸電系統(tǒng)可靠性評估方法［J］.現(xiàn)代電力，2013，30(1):8-12.(SUN Yubin，LIU Wenxia，et al. The Reliability Evaluation Method for VSC-HVDC System by Considering of Standby Components［J］. Modern Electric Power，2013，30(1):8-12.)