第五单元 余度技术 与容错技术

1. 第五单元余度技术与容错技术 2007年8月修订

2. 内容 余度技术及其设计任务 监控技术 故障诊断与故障决策 容错技术定义 容错技术 典型容错飞行控制系统

3. 飞控系统余度与可靠性 监控表决面 余度技术

4. 余度系统在航空中的应用

5. 余度系统在航天中的应用 • 美国的航天飞机：主发动机和固体火箭助推器的推力矢量控制伺服机构采用了四余度机械反馈伺服作动器，空气动力控制面伺服机构采用了四余度电反馈伺服作动器 • 苏联的能源号运载火箭：三余度 • 欧洲的阿里安－5火箭：主备式双余度 • APPOLO登月计划“土星V”运载火箭的制导与控制系统：三余度多数表决故障吸收式

6. 余度系统设计的特点 • 余度设计技术(硬件、软件) • 故障监控技术 • 容错控制技术 • 系统重构与恢复技术

7. 余度定义 美军标MIL-F-9490D对余度 (Redundancy)的定义: 余度是需要出现两个或两个以上的独立故障，而不是一个单独故障，才能引起即定的不希望的工作状态的一种设计方法。余度可采用的方式:（1）采用两个或两个以上的部件、分系统或通道，每个都能执行给定的功能；（2）采用监控装置，它能检测故障，完成指示，自动切除或自动转换；（3）采用上述两种方式的组合。

8. 余度的分类 • 静态余度: 表决系统、并联系统 优点： 当故障出现时，系统不对故障进行诊断和隔离，故障被系统的结构所“掩盖”，因此组成较简单。 缺点： （1）所有余度需要提供能源； （2）由于静态余度没有故障隔离，当余度模块中任一模块出现灾难性故障时，会影响到其余模块； （3）静态余度系统测试较困难。 （4）在表决系统中的表决器对故障较敏感，而且它的故障将导致系统的故障。

9. 动态余度：冷、热贮备系统 优点： （1）仅需提供一个模块能源。 （2） 故障模块被替换下来，可防止灾难性故障破坏整个系统工作。 缺点： （1）切换装置及故障检测装置中的任一故障，均会造成系统故障。 （2）在故障模块被替换前，通过故障模块传输的数据信息可能丢失。 （3）瞬时故障可能造成好的模块失去作用。

10. “土星五”(Saturn-Ⅴ)计算机 最佳余度型式：表决+冷贮备

11. 余度设计的任务 • 确定容错能力 • 确定余度配置 • 确定余度管理方式

12. 容错能力 • FO/FS:单故障工作/双故障安全 • FO/FO/FS:双故障工作/三故障安全 容错能力

13. 余度配置 FO/FS：至少3余度；FO/FO/FS：至少4余度 最佳余度：3—5余度

14. 余度管理 • 信号的选择(表决)和均衡； • 状态监控、故障检测和隔离； • 系统重构与资源恢复； • 跨通道数据传输； • 同步计算机的跨通道同步； • 输入输出信号的管理； • 作动器的管理； • 故障记录、处理和显示。

15. 余度管理方式 • 监控表决面设计原则： • 满足系统可靠性指标要求 ； • 满足部件级(可更换故障单元级)故障一工作的容错能力的要求 • 满足信号的一致性要求。 • 满足控制律重构要求。

16. 监控表决面设计 2-3个监控表决面且分布在计算机附近，用软件实现

17. 软硬件监控分级

18. 监控技术 • 比较监控 • 模型比较监控 • 自监控

19. 比较监控原理 D故障 常用：故障监控覆盖率>95%

20. 监控雪崩

21. 模型比较监控 两余度：可以精确建模

22. 自监控 • 计算机自测试 “看门狗“监控器配置方案 硬件时钟监控器方案

23. 存储数据奇偶校验

24. 传感器自监控 监控覆盖率低仅为75%

25. 信号的传输与选择 • 直接传输方式 • 交叉增强方式 • 输入输出方式

26. 直接传输方式 生存通道少

27. 交叉增强传输方式 生存通道多

28. 输入输出传输方式 将繁重的余度管理计算任务交给I/O处理机来完成，这就大大减轻了中央处理机的计算负担。余度管理计算占总计算量的60%以上

29. 信号选择 多个信号输入，究竟选择什么信号输出，这是人为规定的。可以选最大值信号输出，也可选最小值信号输出；可以选次大值信号输出，也可选次小值信号输出；还可选平均值输出。问题是究竟选择那种信号输出最合理。 常用的有： （1）平均值选择器 平均值信号选择器有一定实用价值，但当有一信号通道发生故障(特别是硬故障)而漏检时，信号选择器的输出会有很大误差。而且切换时会产生很大的瞬态干扰。 （2）中值选择器 目前应用最多的称为中值选择器。输入为四信号时，选择输入信号绝对值中的次小值；输入为三信号时，选择中值；输入为二信号时，选择绝对值中的小值。

30. 常用的定量评价指标 （1）监控覆盖率 给定一个故障，系统继续完成所需功能的条件概率。也即，故障出现时，故障被检测、隔离、系统重构后继续正常工作的条件概率，用X表示： 漏检率：

31. 监控覆盖率的作用 • 三余度系统：

32. （2）虚警率 • 在给出告警信号事件A的条件下，系统中无故障的条件概率称为虚警率或误切比： （3）故障阈值ε ε取的大，则监控覆盖率X小； ε取的小，则虚警率高。

33. （4）切换时间 --减少误切 • 取的大，则监控覆盖率X小； • 取的小，则虚警率高。 • 故障切换与隔离 • 软件切换：余度管理算法中把故障通道的信息置之不理 • 硬件切换：液压源、气源、电源切换。

34. 举例：四余度计算机控制器 1、采用主处理器CPU和输入输出处理器IOP双处理器并行工作的余度方式，解决自主式IOP的技术问题；2、设计IOP软件串行口实现跨通道数据传输（CCDL）。3、采用三次故障/工作的时钟系统。

35. 四余度飞控系统

36. 三余度电动舵机系统

37. 余度固液一体化作动器

38. 总线以及控制器的容错设计

39. 容错技术 • 定义： 容错技术(Fault Tolerant)是指系统对故障的容忍技术，也就是指处于工作状态的系统中一个或多个关键部分发生故障或差错时，能自动检测与诊断，并能采取相应措施保证系统维持其规定功能或保持其功能在可接受的范围内的技术 。

40. 容错技术 • 硬件容错 • 软件容错 • 信息容错 • 时间容错

41. 硬件容错

42. 软件容错 • N文本技术 • 恢复块技术

43. 信息容错 检错码 纠错码

44. 时间容错 • 指令复执 指令的重复执行是当系统检出了故障后，让当前的指令重复执行若干次。如果故障是瞬时性的，在指令复执期间，有可能不再出现，这样原来的程序又可以继续进行了。这就等于延长了无故障运行时间。如果指令复执解除不了故障，程序员往往可以根据出错信号是在什么指令上发生的来判断故障之所在，或调用一些诊断程序来帮助找出故障的位置。

45. 程序卷回 程序卷回不是某一条指令的重复执行，而是一小段程序的重复执行。为了实现卷回，必须保留现场，此时现场的范围比指令复执要更广一些，它包括前一小段程序所涉及到的现场。在这种情况下，保护现场的方法有： （1）将程序分成一些小段，卷回时也就卷回一小段，而不是卷回到程序的起点。 （2）在第n段之末，将当时各寄存器、指令计数器及其它计数器的内容移入内存，并将内存中被第n段所更改的单元(如中间结果、计数单元内容等)亦在内存中另行保存起来。如果在第n +l段中不出问题，则将第n+l段的现场存档，并注销第n段的档案。 （3）如果在第n +l段中出了故障，就把第n段的档案回送到机器的各有关部分，然后从第n +l段的起点开始重复执行第n +1段程序，这就是程序卷回的主要内容。如果卷回一次不解决问题，可能要卷回若干次，直到故障消除，或者到判定不能消除故障为止。

46. 容错系统故障诊断

47. 容错飞控系统故障诊断

50. 容错控制系统的故障诊断方法 • 三余度以上通道间—比较监控√ • 两通道: • 基于传感器信号处理(频谱分析、小波分析、多传感器信息融合等) • 基于状态估计模型：故障检测滤波器方法、未知输入观测器和卡尔曼滤波器等。√ • 基于人工智能方法：专家系统、神经网络等√ • 故障阈值√ • 系统重构√