三模冗余計(jì)算機(jī)系統(tǒng)在深潛救生艇舵機(jī)控制中的應(yīng)用研究

張 偉，唐照東

(哈爾濱工程大學(xué) 自動(dòng)化學(xué)院海洋裝置與控制技術(shù)研究所,哈爾濱 150001)

?

三模冗余計(jì)算機(jī)系統(tǒng)在深潛救生艇舵機(jī)控制中的應(yīng)用研究

張 偉，唐照東

(哈爾濱工程大學(xué) 自動(dòng)化學(xué)院海洋裝置與控制技術(shù)研究所,哈爾濱 150001)

隨著海洋技術(shù)的發(fā)展，潛艇的應(yīng)用越來越廣泛，在深海下潛艇一旦出事故很難像陸地上一樣進(jìn)行救援，因此深潛救生艇的應(yīng)用必不可少；而深潛救生艇在水下航行中難免會(huì)發(fā)生故障，針對(duì)舵機(jī)可能發(fā)生的故障，設(shè)計(jì)了一種應(yīng)用于深潛救生艇控制系統(tǒng)的TMR(triple modular redundancy)運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)；該系統(tǒng)以研究能滿足于高可靠性系統(tǒng)的冗余技術(shù)為立足點(diǎn)，采用故障檢測(cè)算法和表決算法，研究適用于它的冗余管理方案，以最大限度的提高冗余系統(tǒng)的故障容錯(cuò)能力；最后為驗(yàn)證設(shè)計(jì)方案的可行性，設(shè)計(jì)了故障模擬實(shí)驗(yàn)，將設(shè)計(jì)的TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)應(yīng)用于深潛救生艇的舵機(jī)控制中，用于驗(yàn)證冗余設(shè)計(jì)方案以及故障檢測(cè)算法和表決算法的可行性；通過仿真結(jié)果證明了該控制系統(tǒng)對(duì)深潛救生艇舵機(jī)控制的有效性。

深潛救生艇；TMR；冗余管理；故障模擬；舵機(jī)控制

0 引言

現(xiàn)代海洋探測(cè)與軍事發(fā)展愈加擴(kuò)展，潛艇的應(yīng)用也越來越多，并且在海戰(zhàn)中起了至關(guān)重要的作用。由此而來的潛艇事故也越來越多。深潛救生艇(deep submergence rescue vehicle)作為應(yīng)對(duì)深海事故潛艇的一種手段，在深海潛艇救援中起了不可替代的作用。文獻(xiàn)[1-5]介紹了國(guó)內(nèi)外的DSRV的相關(guān)應(yīng)用研究。深潛救生艇的核心部分是深潛救生艇的控制系統(tǒng)，它的先進(jìn)程度制約著深潛救生艇的性能并且對(duì)其自身的安全性起著至關(guān)重要的作用。而深潛救生艇由于其自身的任務(wù)特點(diǎn)，要求深潛救生艇長(zhǎng)時(shí)間運(yùn)作、功能強(qiáng)大、適應(yīng)性強(qiáng)，這就對(duì)控制系統(tǒng)提出了更高的要求，因此，也在一定程度上提升了系統(tǒng)在任務(wù)周期內(nèi)出現(xiàn)故障的概率。而深潛救生艇是無纜且半自主的水下航行器，控制系統(tǒng)一旦出現(xiàn)故障，將會(huì)造成巨大損失。因此深潛救生艇控制系統(tǒng)的可靠性和安全性需要相應(yīng)提高，而冗余技術(shù)作為提高系統(tǒng)可靠性和安全性的最有效的方法之一，其成本也不太高，因此被首先考慮。深潛救生艇控制系統(tǒng)的核心是計(jì)算機(jī)，它主要用來處理傳感器數(shù)據(jù)、進(jìn)行控制率解算并且產(chǎn)生運(yùn)動(dòng)控制指令，所以，本文只針對(duì)深潛救生艇控制系統(tǒng)計(jì)算機(jī)的冗余設(shè)計(jì)開展研究，并將設(shè)計(jì)的冗余計(jì)算機(jī)系統(tǒng)應(yīng)用到深潛救生艇的舵機(jī)控制中，文獻(xiàn)[6-8]對(duì)計(jì)算機(jī)冗余和容錯(cuò)控制做了相關(guān)研究。

現(xiàn)階段，冗余技術(shù)在深潛救生艇上的應(yīng)用還只限于關(guān)鍵部件，針對(duì)容錯(cuò)計(jì)算機(jī)的冗余設(shè)計(jì)還處于探索和研究階段。文獻(xiàn)[9-10]對(duì)水下航行器的相關(guān)控制做了部分研究取得較好成果。但考慮到國(guó)內(nèi)外的無人機(jī)控制系統(tǒng)以及其它要求高可靠性的控制系統(tǒng)大都采用了冗余容錯(cuò)技術(shù)，且對(duì)系統(tǒng)可靠性的提高效果顯著，根據(jù)技術(shù)的共性，將冗余容錯(cuò)計(jì)算機(jī)技術(shù)應(yīng)用到深潛救生艇上，對(duì)系統(tǒng)的可靠性提高也會(huì)有很大幫助。

由于深潛救生艇控制系統(tǒng)要求具有很高的可靠性和安全性，因此從可靠性和安全性指標(biāo)高的帶故障診斷的二取一和三模冗余結(jié)構(gòu)中選取。如果采用帶故障診斷的二取一結(jié)構(gòu)，當(dāng)系統(tǒng)發(fā)生故障時(shí)，由于沒有比較監(jiān)控點(diǎn)，因此需要對(duì)兩臺(tái)計(jì)算機(jī)分別進(jìn)行故障診斷，但是故障診斷只能在故障發(fā)生之后進(jìn)行，且要耗費(fèi)一定時(shí)間，這對(duì)信息的輸出連續(xù)性有很大影響。而三模冗余系統(tǒng)可以在一次故障時(shí)仍然產(chǎn)生正常輸出，并能準(zhǔn)確定位故障機(jī)，同時(shí)在冗余管理軟件的控制下，降級(jí)為雙模冗余系統(tǒng)繼續(xù)工作。因此，深潛救生艇控制系統(tǒng)的計(jì)算機(jī)采用三模冗余設(shè)計(jì)。

1 三模冗余計(jì)算機(jī)系統(tǒng)的硬件設(shè)計(jì)

1.1 三模冗余計(jì)算機(jī)系統(tǒng)

具有表決模塊的三模冗余計(jì)算機(jī)系統(tǒng)的特點(diǎn)是增加了信號(hào)的表決對(duì)象，可以排除輸出結(jié)果的不確定性。通過軟硬件相結(jié)合的方式實(shí)現(xiàn)數(shù)據(jù)表決、故障檢測(cè)與診斷、故障屏蔽、故障重構(gòu)等容錯(cuò)機(jī)制，以提高系統(tǒng)可靠性。

深潛救生艇控制系統(tǒng)的TMR計(jì)算機(jī)采用對(duì)等同構(gòu)的結(jié)構(gòu)形式，系統(tǒng)包括三臺(tái)基于PC104總線的高性能嵌入式計(jì)算機(jī)(PMP)、一塊輸出表決電路板以及與PC104配套的數(shù)據(jù)采集板卡(PMSP-8、ADT882)和通信板卡(CSD)。輸出表決電路板可以實(shí)現(xiàn)對(duì)三臺(tái)計(jì)算機(jī)的輸入輸出數(shù)據(jù)的同步以及輸出數(shù)據(jù)的表決；數(shù)據(jù)采集板卡用于對(duì)輸入數(shù)據(jù)的采集；通信板卡用于實(shí)現(xiàn)三臺(tái)計(jì)算機(jī)之間的相互通信以及與表決器之間的通信。深潛救生艇的計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)采用分布式結(jié)構(gòu)系統(tǒng)，具有易于擴(kuò)展、資源可共享、處理效率高、可靠性高等優(yōu)點(diǎn)，采用CAN總線作為內(nèi)部通信以及與外部通信的總線機(jī)制，具有抗干擾性強(qiáng)、安全性高、傳輸速率快等優(yōu)點(diǎn)?；赥MR計(jì)算機(jī)的深潛救生艇控制系統(tǒng)總體架構(gòu)圖如圖1所示。

圖1 基于TMR計(jì)算機(jī)的深潛救生艇控制系統(tǒng)總體架構(gòu)圖

1.2 表決器需實(shí)現(xiàn)的功能

在TMR計(jì)算機(jī)系統(tǒng)中，系統(tǒng)中的每臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)均與表決器相連，運(yùn)動(dòng)控制計(jì)算機(jī)的控制電壓輸出通過表決模塊的A/D采集之后，進(jìn)行表決，表決模塊根據(jù)表決結(jié)果使能相應(yīng)計(jì)算機(jī)的輸出。每臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)都作為一個(gè)節(jié)點(diǎn)掛載在CAN總線通信鏈路上，表決器通過與每臺(tái)計(jì)算機(jī)的CAN通信，有效的協(xié)助每臺(tái)計(jì)算機(jī)進(jìn)行故障檢測(cè)以及三臺(tái)計(jì)算機(jī)之間的同步運(yùn)行。本文只是考慮對(duì)運(yùn)動(dòng)控制計(jì)算機(jī)的冗余設(shè)計(jì)以及運(yùn)動(dòng)控制計(jì)算機(jī)出現(xiàn)故障時(shí)的應(yīng)對(duì)措施，暫不考慮表決器故障。

表決器主要實(shí)現(xiàn)的功能有以下幾種：

1)表決器協(xié)助每臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)完成自身的故障檢測(cè)：每臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)通過CAN總線定時(shí)發(fā)送“心跳信息”給表決器，如果表決器在設(shè)定的時(shí)間內(nèi)沒有收到，則視為計(jì)算機(jī)故障；每臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)的控制電壓經(jīng)CAN總線和D/A雙重輸出給表決器，在表決器內(nèi)先進(jìn)行比較，如果一致則繼續(xù)進(jìn)行表決，不一致則視為輸出接口故障；

2)表決器使能最佳輸出：表決器對(duì)比較一致的控制電壓進(jìn)行多數(shù)一致表決，根據(jù)表決結(jié)果使能相應(yīng)計(jì)算機(jī)的輸出。

2 冗余管理方案

冗余管理技術(shù)是實(shí)現(xiàn)TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)的功能需求的重要手段，其目的是管理深潛救生艇運(yùn)動(dòng)控制系統(tǒng)提供的軟硬件冗余資源，將資源利用率最大化，以提高冗余系統(tǒng)的可靠性和安全性，確保冗余系統(tǒng)工作在無故障狀態(tài)時(shí)可以高效率運(yùn)行并能完成對(duì)故障的監(jiān)控與檢測(cè)；一旦運(yùn)動(dòng)控制系統(tǒng)中的某臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)發(fā)生故障，運(yùn)動(dòng)控制系統(tǒng)可以通過調(diào)度冗余資源使其工作在“一次故障運(yùn)行，二次故障安全”的可靠機(jī)制下。

2.1 TMR同步管理

三機(jī)同步技術(shù)是深潛救生艇運(yùn)動(dòng)控制系統(tǒng)進(jìn)行冗余管理的前提和關(guān)鍵，它主要是用來消除三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)之間因時(shí)鐘誤差或延遲等因素造成的時(shí)鐘異步，使深潛救生艇的運(yùn)動(dòng)控制系統(tǒng)在時(shí)間基準(zhǔn)、周期定時(shí)以及任務(wù)執(zhí)行時(shí)達(dá)到同步一致的狀態(tài)，以此來保障三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)在數(shù)據(jù)采集、控制率解算及數(shù)據(jù)輸出時(shí)的同步，確保比較數(shù)據(jù)的一致性，使表決器可以進(jìn)行同步表決，真正實(shí)現(xiàn)三模冗余功能。

2.1.1 基于任務(wù)檢測(cè)點(diǎn)的同步算法

深潛救生艇的TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)要求三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)同步采集數(shù)據(jù)、同步運(yùn)算、同步輸出結(jié)果。為保證系統(tǒng)的同步運(yùn)行，在三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)啟動(dòng)之后先進(jìn)行一次初始同步，確定三臺(tái)計(jì)算機(jī)的主從關(guān)系，然后開始同步執(zhí)行任務(wù)。

針對(duì)每一個(gè)任務(wù)周期設(shè)置兩個(gè)同步檢測(cè)點(diǎn)，一個(gè)是運(yùn)動(dòng)控制計(jì)算機(jī)采集傳感器數(shù)據(jù)時(shí)，即同步輸入檢測(cè)點(diǎn)，另一個(gè)是運(yùn)動(dòng)控制計(jì)算機(jī)輸出控制電壓時(shí)，即同步輸出檢測(cè)點(diǎn)。主機(jī)的同步流程圖如圖2所示，從機(jī)的同步流程圖如圖3所示。

圖2 主機(jī)的任務(wù)同步流程圖

圖3 從機(jī)的任務(wù)同步流程圖

當(dāng)任務(wù)運(yùn)行至同步輸入檢測(cè)點(diǎn)時(shí)，表決器設(shè)置一個(gè)定時(shí)器，從機(jī)發(fā)布同步申請(qǐng)信號(hào)，主機(jī)發(fā)布同步確認(rèn)信息，主從機(jī)失步時(shí)都有相應(yīng)失步計(jì)數(shù)單元，

主機(jī)等待從機(jī)發(fā)來的同步申請(qǐng)信號(hào)，在設(shè)定的時(shí)間內(nèi)，如果主機(jī)收到兩個(gè)從機(jī)的同步申請(qǐng)信號(hào)則發(fā)送同步確認(rèn)信息，并且清零從機(jī)失步計(jì)數(shù)單元，從機(jī)收到同步確認(rèn)信息則清零主機(jī)失步計(jì)數(shù)單元，然后三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)開始同步采集數(shù)據(jù)進(jìn)行同步計(jì)算；如果主機(jī)在設(shè)定的時(shí)間內(nèi)沒有收到某個(gè)從機(jī)的同步申請(qǐng)信號(hào)，對(duì)應(yīng)的失步計(jì)數(shù)單元加1，如果連續(xù)五次都沒有收到同一臺(tái)計(jì)算機(jī)的同步申請(qǐng)信號(hào)，則置該計(jì)算機(jī)故障；如果從機(jī)在設(shè)定的時(shí)間內(nèi)沒有收到主機(jī)的同步確認(rèn)信息，主機(jī)失步計(jì)數(shù)單元加1，如果連續(xù)五次都沒有收到主機(jī)的同步確認(rèn)信息，則置主機(jī)故障；為了避免兩個(gè)從機(jī)都對(duì)主機(jī)失步計(jì)數(shù)單元進(jìn)行修改，設(shè)定在每個(gè)任務(wù)周期內(nèi)只允許修改一次主機(jī)失步計(jì)數(shù)單元。

當(dāng)任務(wù)運(yùn)行至同步輸出檢測(cè)點(diǎn)時(shí)，同步流程和輸入檢測(cè)點(diǎn)時(shí)的同步基本一致。當(dāng)兩臺(tái)從機(jī)接收到主機(jī)發(fā)送的同步確認(rèn)信息，三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)開始同步輸出控制電壓給表決器，表決器根據(jù)表決結(jié)果使能相應(yīng)運(yùn)動(dòng)控制計(jì)算機(jī)的輸出。

2.2 故障檢測(cè)

故障檢測(cè)是判斷系統(tǒng)是否發(fā)生故障以及定位故障源的過程，是系統(tǒng)重構(gòu)過程中進(jìn)行故障隔離和系統(tǒng)降級(jí)以及故障修復(fù)和系統(tǒng)升級(jí)恢復(fù)的重要依據(jù)。當(dāng)TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)同步失步，表決器接收不到計(jì)算機(jī)的心跳信息，表決器對(duì)同一臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)CAN接收的電壓值和A/D采集的電壓值不一致(超出一定的閾值)，表決器對(duì)三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)輸出結(jié)果表決不一致時(shí)，都視為系統(tǒng)出現(xiàn)故障，此時(shí)需要運(yùn)行故障檢測(cè)程序以定位故障源進(jìn)而隔離故障或切換計(jì)算機(jī)輸出。

本文將深潛救生艇運(yùn)動(dòng)控制計(jì)算機(jī)的故障簡(jiǎn)單分為兩類：處理器故障和輸出接口故障，下面針對(duì)這兩類故障分別介紹對(duì)其檢測(cè)的方法。

2.2.1 處理器故障的心跳檢測(cè)

同步失步、心跳信號(hào)暫停、表決結(jié)果不一致都視為處理器故障，這些故障檢測(cè)都是在表決器中完成，通過表決器來屏蔽單點(diǎn)故障。同步失步的故障在同步管理時(shí)已經(jīng)闡述，表決結(jié)果不一致的故障在下一節(jié)的表決管理時(shí)再作詳細(xì)說明，這里只針對(duì)處理器故障的心跳檢測(cè)進(jìn)行簡(jiǎn)要介紹。

心跳檢測(cè)是指表決器對(duì)三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)定時(shí)的給表決器發(fā)送信息告知表決器自己是否處于正常工作狀態(tài)。若表決器在一個(gè)任務(wù)周期內(nèi)沒有收到主機(jī)或從機(jī)的心跳信息，則認(rèn)為相應(yīng)計(jì)算機(jī)發(fā)生瞬時(shí)故障，當(dāng)連續(xù)瞬時(shí)故障次數(shù)超過設(shè)定閥值，則視為永久故障。如果故障機(jī)為從機(jī)，則直接置相應(yīng)計(jì)算機(jī)故障；如果故障機(jī)為主機(jī)，則先置主機(jī)故障，再由表決器重新設(shè)定主機(jī)，設(shè)定原則根據(jù)表決結(jié)果中的故障記錄。

在以下3種情況中，可能導(dǎo)致表決器接收不到三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)的心跳信息。

1)主機(jī)或從機(jī)的處理器發(fā)生嚴(yán)重故障，運(yùn)動(dòng)控制計(jì)算機(jī)無法正常運(yùn)行；

2)主機(jī)或從機(jī)中負(fù)責(zé)發(fā)送心跳信息的程序因某些瞬時(shí)故障的干擾使程序出錯(cuò)；

3)表決器與三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)之間的通信總線出現(xiàn)故障，無法正常接發(fā)心跳信息。

針對(duì)處理器故障的心跳檢測(cè)流程圖如圖4所示。

圖4 心跳檢測(cè)流程圖

2.2.2 輸出接口故障的比較監(jiān)控檢測(cè)

在深潛救生艇的運(yùn)動(dòng)控制系統(tǒng)中，運(yùn)動(dòng)控制計(jì)算機(jī)只有模擬量的輸出，共有五路D/A，分別用來控制兩個(gè)舵機(jī)、兩個(gè)推進(jìn)器和一個(gè)升降機(jī)構(gòu)。因此，本文所提到的輸出接口故障是指運(yùn)動(dòng)控制計(jì)算機(jī)上的D/A輸出接口不能正常輸出的情況。本文在運(yùn)動(dòng)控制計(jì)算機(jī)的輸出通道上設(shè)置了雙冗余，即控制電壓分別以CAN總線和D/A輸出兩種方式傳輸給表決器，以比較監(jiān)控的方式檢測(cè)D/A輸出接口的故障。

基于比較監(jiān)控的故障檢測(cè)是一種借助于相似輸出通道之間的差異來檢測(cè)和識(shí)別故障的方法，它以其簡(jiǎn)單直觀和檢測(cè)覆蓋率高的特點(diǎn)在實(shí)際工程中得到廣泛應(yīng)用。

輸出接口故障的比較監(jiān)控檢測(cè)流程圖如圖5所示。PCx_CanF是表決器接收到CAN數(shù)據(jù)幀時(shí)的標(biāo)志位，Begin_ADC_Flag是表決器開始A/D采集的標(biāo)志位，PCx_Data是經(jīng)CAN總線傳輸?shù)目刂齐妷?，PCx_V是經(jīng)A/D采集的控制電壓。控制電壓以一路控制垂直舵的電壓為例。

圖5 輸出接口故障的比較監(jiān)控檢測(cè)流程圖

由于表決器是在三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)同步輸出的前提下接收到的CAN數(shù)據(jù)幀，因此說明CAN通信通道是無故障的，即PCx_CanF為1。表決器同步接收到CAN數(shù)據(jù)幀后，Begin_ADC_Flag置1，A/D開始同步采集運(yùn)動(dòng)控制計(jì)算機(jī)的控制電壓。如果A/D在設(shè)定時(shí)間內(nèi)沒有完成數(shù)據(jù)采集，則視為運(yùn)動(dòng)控制計(jì)算機(jī)的輸出接口故障。當(dāng)A/D采集完成后，先與CAN接收到的PCx_Data進(jìn)行比較，如果一致，則說明輸出接口無故障，可以進(jìn)行數(shù)據(jù)表決。如果不一致，判斷是否為瞬時(shí)故障，如果為瞬時(shí)故障，則從寄存器中取上一拍的PCx_V參與數(shù)據(jù)表決；如果為永久故障，則置輸出接口故障。

2.3 表決管理

表決技術(shù)是深潛救生艇運(yùn)動(dòng)控制系統(tǒng)的冗余管理的重要組成部分，本文是以軟硬件表決相結(jié)合的方法來實(shí)現(xiàn)TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)的表決輸出。表決的基本原理：深潛救生艇的運(yùn)動(dòng)控制系統(tǒng)中有三臺(tái)可以實(shí)現(xiàn)相同功能的運(yùn)動(dòng)控制計(jì)算機(jī)，表決器對(duì)它們的輸出控制電壓進(jìn)行比較表決，選擇最優(yōu)解給執(zhí)行機(jī)構(gòu)，以屏蔽系統(tǒng)的故障機(jī)給系統(tǒng)可能帶來的危險(xiǎn)，達(dá)到系統(tǒng)容錯(cuò)的目的。

基于歷史信息的多數(shù)一致表決算法：在多數(shù)一致表決算法中，當(dāng)M>N/2時(shí)才能進(jìn)行表決，而在基于歷史信息的多數(shù)一致表決算法中，即使在M≤(N-1)/2時(shí)，表決器也可以產(chǎn)生輸出。每次表決時(shí)，表決器根據(jù)表決結(jié)果記錄每個(gè)計(jì)算機(jī)的狀態(tài)，如果數(shù)據(jù)一致，則給相應(yīng)計(jì)算機(jī)加一分；如果某個(gè)計(jì)算機(jī)的數(shù)據(jù)超出閾值，則視為數(shù)據(jù)不一致，不給該計(jì)算機(jī)加分。當(dāng)M≤(N-1)/2時(shí)，表決器不能根據(jù)多數(shù)一致算法產(chǎn)生輸出，此時(shí)選取分值最高的計(jì)算機(jī)的輸出作為表決器輸出。

TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)的輸出表決由軟硬件共同完成，計(jì)算機(jī)在每個(gè)任務(wù)周期執(zhí)行控制任務(wù)產(chǎn)生舵機(jī)和推進(jìn)器控制電壓，通過D/A輸出給表決器參加表決，每臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)的輸出使能由繼電器控制，而繼電器由表決結(jié)果控制。

當(dāng)表決器檢測(cè)出處理器故障、輸出接口故障以及某一臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)的表決數(shù)據(jù)連續(xù)五次出現(xiàn)錯(cuò)誤，運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)由三模冗余降級(jí)為雙模冗余。針對(duì)TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)和降級(jí)后的雙冗余運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)的基于歷史信息的“三取二”表決算法流程圖如圖6和圖7所示。

圖6 三模冗余系統(tǒng)表決算法流程圖

圖7 三模冗余系統(tǒng)降級(jí)之后的表決算法流程圖

在圖6和圖7中，三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)的待表決輸出控制電壓分別為PC1_V、PC2_V和PC3_V，默認(rèn)PC1為主機(jī)，PC1_V為首選輸出信號(hào)；在三模冗余系統(tǒng)中，PCx_V代表三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)，在雙模冗余系統(tǒng)中代表兩臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)；將輸出電壓值按從大到小的順序排列，假設(shè)順序?yàn)镻C1_V、PC2_V、PC3_V；設(shè)閾值為ε，定義變量ε12、ε13、ε23，令ε12=PC1_V-PC2_V，ε13=PC1_V-PC3_V，ε23=PC2_V-PC3_V；PC_V為系統(tǒng)最終輸出的控制電壓值。

每次數(shù)據(jù)比較表決之后，對(duì)三臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)分別做故障記錄和保存最近五拍的表決數(shù)據(jù)。如果數(shù)據(jù)正確，則“1”值計(jì)數(shù)器加1，將表決數(shù)據(jù)存入寄存器；反之，則“0”值計(jì)數(shù)器加1，將上一拍數(shù)據(jù)重寫寄存器，此時(shí)還要判斷是連續(xù)第幾次改寫“0”值計(jì)數(shù)器，如果是第五次，則置相應(yīng)計(jì)算機(jī)故障。

在基于歷史信息的“三取二”表決算法中，為了保證輸出的連貫性，只要主機(jī)輸出數(shù)據(jù)的誤差小于閾值，就一直輸出主機(jī)的輸出控制信號(hào)，只有當(dāng)連續(xù)錯(cuò)誤的次數(shù)超過閥值時(shí)才切換到其它計(jì)算機(jī)。切換原則以剩余的運(yùn)動(dòng)控制計(jì)算機(jī)中故障記錄有利的作為系統(tǒng)輸出。

2.4 軟件工作流程

TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)的軟件工作流程如圖8所示。

圖8 TMR計(jì)算機(jī)系統(tǒng)的軟件工作流程

在圖8中，故障1是指系統(tǒng)的同步故障，故障2是指處理器故障，故障3是指計(jì)算機(jī)的輸出接口故障，故障4是指表決數(shù)據(jù)不一致。在表決器檢測(cè)到系統(tǒng)同步失步、計(jì)算機(jī)心跳失常、計(jì)算機(jī)輸出接口故障以及表決數(shù)據(jù)不一致時(shí)，系統(tǒng)啟動(dòng)重構(gòu)，對(duì)故障模塊進(jìn)行切除，系統(tǒng)做降級(jí)處理。

3 仿真案例

半物理仿真案例：舵機(jī)伺服控制實(shí)驗(yàn)，設(shè)定航向?yàn)?0°，速度4kn。半物理仿真案例流程圖如圖9所示。

圖9 半物理仿真案例流程圖

利用前面介紹的軟硬件平臺(tái)，根據(jù)軟件工作流程對(duì)所設(shè)計(jì)的實(shí)驗(yàn)案例進(jìn)行驗(yàn)證，通過模擬故障發(fā)生的方式驗(yàn)證TMR計(jì)算機(jī)系統(tǒng)的可行性。

本實(shí)驗(yàn)案例主要用來驗(yàn)證TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)在檢測(cè)到特定故障時(shí)是否能夠繼續(xù)不間斷輸出，使舵機(jī)控制受故障的影響在可控范圍之內(nèi)。模擬的故障包括同步故障，處理器故障，輸出接口故障以及表決數(shù)據(jù)不一致。

3.1 TMR計(jì)算機(jī)系統(tǒng)中的故障模擬

1)同步故障模擬：同步故障的模擬通過軟件來實(shí)現(xiàn)，當(dāng)從機(jī)是故障機(jī)時(shí)，在程序中設(shè)定不向主機(jī)發(fā)送同步申請(qǐng)信號(hào)；當(dāng)主機(jī)是故障機(jī)時(shí)，在程序中設(shè)定收到從機(jī)的同步申請(qǐng)信號(hào)時(shí)不返回同步確認(rèn)信號(hào)。

2)處理器故障模擬：這里說的處理器故障是指表決器接收不到計(jì)算機(jī)發(fā)來的心跳信息，由前面介紹可知，導(dǎo)致表決器接收不到心跳信息的情況有3種：處理器嚴(yán)重故障、發(fā)送心跳信息的程序故障以及表決器與計(jì)算機(jī)之間的通信總線故障。進(jìn)行處理器故障模擬時(shí)，對(duì)第一種情況和第三種情況是將通信線纜拔掉造成通信斷路；對(duì)第二種情況是在程序中設(shè)置故障點(diǎn)，當(dāng)運(yùn)行到故障點(diǎn)時(shí)停止發(fā)送心跳信息。

3)輸出接口故障模擬：輸出接口故障的表現(xiàn)形式有兩種，一種為表決器的A/D采集數(shù)據(jù)與CAN接收數(shù)據(jù)不一致，另一種為表決器沒有采集到模擬量。在進(jìn)行故障模擬時(shí)我們只是斷開了計(jì)算機(jī)D/A輸出與表決器A/D采集的線纜，以此來代表輸出接口出現(xiàn)故障。

4)表決數(shù)據(jù)不一致模擬：模擬時(shí)，計(jì)算機(jī)內(nèi)不再運(yùn)行控制算法，而是運(yùn)行數(shù)據(jù)包發(fā)送程序，專門設(shè)置一臺(tái)計(jì)算機(jī)的數(shù)據(jù)與其它兩臺(tái)計(jì)算機(jī)的數(shù)據(jù)之間存在誤差，這樣表決器在運(yùn)行表決算法之后，就能對(duì)模擬的故障機(jī)進(jìn)行判斷了。

3.2 試驗(yàn)結(jié)果分析

針對(duì)瞬時(shí)故障和永久故障，主機(jī)或從機(jī)故障，以及故障之后的降級(jí)處理分別用界面顯示相應(yīng)狀態(tài)。不去判斷故障的具體形式或類型，只對(duì)故障做容錯(cuò)處理，故將模擬故障在界面中的顯示形式簡(jiǎn)化為沒有數(shù)據(jù)輸出及數(shù)據(jù)出錯(cuò)。

一臺(tái)運(yùn)動(dòng)控制計(jì)算機(jī)發(fā)生故障，三模冗余系統(tǒng)降級(jí)為雙模冗余系統(tǒng)運(yùn)行：

1)故障機(jī)為從機(jī)，輸出數(shù)據(jù)中斷(按模擬故障的定義為同步故障、輸出接口故障或處理器故障)，系統(tǒng)降級(jí)處理，繼續(xù)選擇主機(jī)輸出。

由圖10可得，在判定計(jì)算機(jī)C為永久故障之前，會(huì)容忍連續(xù)五拍的瞬時(shí)故障。

圖10 從機(jī)發(fā)生輸出數(shù)據(jù)中斷故障

2)故障機(jī)為從機(jī)，從機(jī)輸出數(shù)據(jù)出錯(cuò)(按模擬故障的定義為數(shù)據(jù)表決不一致)，系統(tǒng)降級(jí)處理，繼續(xù)選擇主機(jī)輸出。

圖11 從機(jī)發(fā)生輸出數(shù)據(jù)不一致故障

3)故障機(jī)為主機(jī)，輸出數(shù)據(jù)中斷，系統(tǒng)降級(jí)處理，切換主機(jī)，由于計(jì)算機(jī)B和C的故障記錄均為0，假定選擇計(jì)算機(jī)B為主機(jī)，表決結(jié)果選擇計(jì)算機(jī)B的輸出。

圖12 主機(jī)發(fā)生輸出數(shù)據(jù)中斷故障

由圖12可得，在計(jì)算機(jī)A發(fā)生故障的五拍時(shí)間內(nèi)，表決結(jié)果還是計(jì)算機(jī)A的輸出，在判定計(jì)算機(jī)A發(fā)生永久故障之后，切換主機(jī)，選擇計(jì)算機(jī)B的輸出作為表決結(jié)果。

4)故障機(jī)為主機(jī)，輸出數(shù)據(jù)出錯(cuò)，系統(tǒng)降級(jí)，切換主機(jī)，表決結(jié)果為計(jì)算機(jī)B的輸出。

由圖13可得，在計(jì)算機(jī)A剛出現(xiàn)故障的五拍時(shí)間內(nèi)，表決結(jié)果的紅色波形是跟隨計(jì)算機(jī)A的波形來變化的，此時(shí)與計(jì)算機(jī)B和C的波形有誤差，而判定計(jì)算機(jī)A為故障機(jī)之后，系統(tǒng)完成切換，表決結(jié)果選擇計(jì)算機(jī)B的輸出。

圖13 主機(jī)發(fā)生輸出數(shù)據(jù)不一致故障

4 結(jié)論

通過設(shè)計(jì)的仿真案例，用故障模擬的方式驗(yàn)證所設(shè)計(jì)的TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)在仿真案例中的可行性，從界面圖中我們可以看出故障檢測(cè)算法能將所模擬的故障都檢測(cè)出來，表決算法根據(jù)故障檢測(cè)結(jié)果可以做出正確的判斷，保證系統(tǒng)在出現(xiàn)一定故障時(shí)仍然可以產(chǎn)生正常輸出。因此本文所設(shè)計(jì)的TMR運(yùn)動(dòng)控制計(jì)算機(jī)系統(tǒng)以及故障檢測(cè)和表決算法是合理并且可行的。

[1] Stephen J. Culver, Charlotte A. Brunner, Charles A. Nittrouer. Observations of a fast burst of the deep western boundary undercurrent and sediment transport in South Wilmington Canyon from DSRV Alvin[J]. Geo-Marine Letters,1988, 83:125-131.

[2] Gaddis, Charles D IV. Naval Undersea Museum Keyport Opens DSRV Mystic To VIPs[J]. U.S. Department of Defense Information / FIND, 2015:412-418.

[3]馬偉鋒,胡 震. 深潛救生艇的研究現(xiàn)狀與發(fā)展趨勢(shì)[J]. 火力與指揮控制, 2008, 33(6): 10-13.

[4]李 娟，邊信黔，施小成，等. 援潛救生作業(yè)仿真演示系統(tǒng)[J]. 計(jì)算機(jī)仿真, 2007, 24(9): 195-198.

[5]徐玉如,肖 坤. 智能海洋機(jī)器人技術(shù)進(jìn)展[J]. 自動(dòng)化學(xué)報(bào), 2007, 33(5):518-521.[6]薛震寰. 三模冗余計(jì)算機(jī)技術(shù)研究[J]. 中國(guó)科技縱橫, 2012 (5): 22-23.

[7]戴新發(fā), 袁由光, 楊升春. 容錯(cuò)計(jì)算機(jī)及其同步機(jī)制研究[A]. 第十屆全國(guó)容錯(cuò)計(jì)算學(xué)術(shù)會(huì)議論文集[C]. 2003, 15: 20.

[8]柳振華. 三模冗余容錯(cuò)計(jì)算機(jī)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 西安：西安電子科技大學(xué), 2010.

[9]Ishaque K, Abdullah S S, Ayob S M, et al. A simplified approach to design fuzzy logic controller for an underwater vehicle[J]. Ocean Engineering, 2011, 38(1): 271-284.

[10]Antonelli G, Chiaverini S. A fuzzy approach to redundancy resolution for underwater vehicle-manipulator systems[J]. Control Engineering Practice, 2003, 11(4): 445-452.

Research on Triple Modular Redundancy Computer System Applied in DSRV Rudder Control

Zhang Wei, Tang Zhaodong

(Institute of Ocean Equipment and Control Technology,College of Automation, Harbin University of Engineering,Harbin 150001,China)

With the development of the technology of ocean, the application of submarine is more and more widely. And once the submarine has problems in deep ocean, it will be difficult to rescue. So, the DSRV(Deep Submergence Rescue Vehicle) plays an important role in this part. For the failure of the DSRV under water, especially in the rudder control, a kind of TMR (Triple Modular Redundancy) motion control computer system which canbe applied to the DSRV control system was designed. The system’s foothold is to study the redundancy technology which can satisfy the high reliability system. And using fault detection algorithm and vote algorithm, researching on the redundancy management scheme used in the redundancy system to improve fault tolerant ability of redundancy system mostly. At last, this paper designs the fault simulation experiments to verify the feasibility of design scheme, in which the TMR motion control computer system was used in the steering control to verify the feasibility of redundancy design scheme, fault detection algorithm and vote algorithm. Through the results of the simulation, the availability of TMR control system is proved.

DSRV; TMR; redundancy management; fault simulation; rudder control

2016-03-12；

2016-05-18。

張 偉(1978-)，男，遼寧瓦房店人，副教授，碩士生導(dǎo)師，博士生副導(dǎo)師，主要從事水下無人航行器總體設(shè)計(jì)、數(shù)學(xué)建模、智能控制和數(shù)據(jù)融合等方向的研究。

1671-4598(2016)09-0089-06

10.16526/j.cnki.11-4762/tp.2016.09.025

TP273

A