安全關(guān)鍵信號(hào)雙傳感器冗余處理方案實(shí)例分析

中國(guó)北方車輛研究所 門義雙 徐 靜 雷 陽(yáng)

本文針對(duì)軍工產(chǎn)品控制系統(tǒng)中安全性和可靠性的高要求，舉例分析了波音飛機(jī)迎角傳感器安全關(guān)鍵信號(hào)采用雙傳感器冗余的技術(shù)問題，雙傳感器的處理辦法對(duì)系統(tǒng)可靠性的影響。提出坦克炮控系統(tǒng)角度限制功能的雙傳感器冗余處理方法。

目前，高鐵、船舶及航空、航天、兵器等軍工行業(yè)產(chǎn)品逐漸向智能化、無人化方向發(fā)展，系統(tǒng)越來越復(fù)雜，可靠性要求也越來越高。為提高系統(tǒng)可靠性，在組成系統(tǒng)時(shí)，增補(bǔ)一些工作單元或后備單元，即使其中之一發(fā)生故障，而整個(gè)系統(tǒng)仍能完成規(guī)定的任務(wù)，這類系統(tǒng)即成為冗余系統(tǒng)。冗余設(shè)計(jì)是提高系統(tǒng)可靠性的重要方式之一，雖然增加了成本并且降低了基本可靠性，但提高了系統(tǒng)的任務(wù)可靠性。

不過，冗余設(shè)計(jì)能否提高系統(tǒng)的可靠性和安全性，并不能一概而論。對(duì)軍工產(chǎn)品來說，安全性是產(chǎn)品不可缺少的重要指標(biāo)。所謂安全性，就是產(chǎn)品不發(fā)生導(dǎo)致人員傷亡、健康惡化、設(shè)施和環(huán)境毀壞等事故的能力。（安全件控制技術(shù)屬于安全性工程范疇，雖然安全性工程與可靠性工程有一定的內(nèi)在聯(lián)系，但是兩者分屬互相獨(dú)立的不同工程范疇。這里僅討論與可靠性相關(guān)的安全性基本概念。）

在復(fù)雜系統(tǒng)中同時(shí)保證可靠性、安全性的基本原則是：

（1）可靠性是安全性的基礎(chǔ)，要保證安全性，首先要保證可靠性。

（2）在保證可靠性基礎(chǔ)上，還要同時(shí)保證安全性，必須進(jìn)一步控制可能存在的諸如火工品、推進(jìn)劑、高能高壓裝置等一般危險(xiǎn)源。

（3）在采取安全性控制措施時(shí)，不可引入降低可靠性的因素。

針對(duì)某一特定關(guān)鍵信號(hào)采用雙傳感器冗余方案，可以通過數(shù)字化手段進(jìn)行信號(hào)特征建模和對(duì)傳感器本身的信號(hào)分析，診斷出如信號(hào)中斷、超界、噪聲大、信號(hào)斜率超差等多種故障，即可用簡(jiǎn)單的判據(jù)判定大部分的傳感器故障，從而可以確定控制系統(tǒng)選用哪個(gè)傳感器的信號(hào)作為有效信號(hào)，大大提高該信號(hào)的可信度，這是采用雙傳感器冗余的技術(shù)基礎(chǔ)，本文不對(duì)此進(jìn)行分析。

本文的分析基于以下條件：一個(gè)雙傳感器冗余的孤立系統(tǒng)中，傳感器信號(hào)均符合模型的預(yù)設(shè)邊界條件，無法通過信號(hào)分析手段判斷傳感器的有效性，如果兩個(gè)傳感器輸出的信號(hào)不同，當(dāng)沒有外部其他參考條件參與判斷時(shí)，不能從兩個(gè)信號(hào)本身判斷哪一個(gè)傳感器是正確的。這可參考社會(huì)學(xué)領(lǐng)域與此類似手表定理：手表定理是指一個(gè)人有一塊表時(shí)，可以知道當(dāng)時(shí)是幾點(diǎn)鐘，當(dāng)他同時(shí)擁有兩塊表時(shí)，卻無法確定時(shí)間，兩只手表并不能告訴一個(gè)人更準(zhǔn)確的時(shí)間，反而會(huì)讓看表的人陷入混亂，失去對(duì)準(zhǔn)確時(shí)間的信心。

對(duì)于一個(gè)與安全相關(guān)的傳感器信號(hào)，為提高系統(tǒng)的可靠性與安全性，增加一個(gè)完全相同的傳感器，系統(tǒng)可靠性與安全性是否能提高呢？本文結(jié)合波音737MAX事故的實(shí)例對(duì)安全相關(guān)信號(hào)的冗余設(shè)計(jì)方案進(jìn)行分析。

1 波音737MAX飛機(jī)迎角傳感器實(shí)例

2018年10月29日和2019年3月10日，獅航和埃航的波音公司737Max飛機(jī)兩次發(fā)生嚴(yán)重墜毀事故，空難造成300多人死亡。根據(jù)網(wǎng)上披露（未經(jīng)證實(shí)）的獅航調(diào)查報(bào)告資料，獅航飛機(jī)墜毀前進(jìn)行了自殺式俯沖，共26次，而飛行員努力拉了33次機(jī)頭，試圖拯救飛機(jī)，最終沒有成功。

鑒于飛機(jī)失速會(huì)對(duì)安全帶來致命性的影響，避免失速墜毀，波音737Max飛機(jī)設(shè)計(jì)了2個(gè)攻角傳感器，力圖提高攻角傳感器的可靠性；同時(shí)設(shè)計(jì)了MCAS系統(tǒng)，其功能是在飛機(jī)迎角過大時(shí)自動(dòng)控制飛機(jī)俯沖恢復(fù)到安全姿態(tài)。對(duì)黑匣子數(shù)據(jù)的分析表明，造成這個(gè)悲劇的原因是飛機(jī)左側(cè)的攻角傳感器發(fā)生故障，送出了錯(cuò)誤的攻角信號(hào)，引發(fā)MCAS系統(tǒng)作出俯沖的動(dòng)作。

飛機(jī)右側(cè)的攻角傳感器數(shù)據(jù)是正常的，左側(cè)攻角傳感器數(shù)據(jù)大了20°左右。雖然攻角傳感器輸出的是連續(xù)模擬量，但進(jìn)行系統(tǒng)控制時(shí)可抽象轉(zhuǎn)換為布爾代數(shù)運(yùn)算：假設(shè)攻角過大為1，攻角正常為0。從最后的結(jié)果看，MCAS系統(tǒng)采信了左側(cè)傳感器的輸出數(shù)據(jù)，這表明，或者M(jìn)CAS系統(tǒng)把左側(cè)的攻角傳感器設(shè)為主傳感器，或者是有任一傳感器輸出攻角過大信號(hào)MCAS系統(tǒng)即采納。

檢測(cè)迎角依靠機(jī)頭兩側(cè)2個(gè)冗余的迎角傳感器，本意是希望得到可靠的數(shù)據(jù)，但737MAX對(duì)此系統(tǒng)設(shè)計(jì)有漏洞，兩個(gè)迎角傳感器信號(hào)之間的處理不嚴(yán)密，導(dǎo)致任意一個(gè)迎角傳感器出問題就能造成系統(tǒng)發(fā)生錯(cuò)誤響應(yīng)，飛機(jī)自動(dòng)壓機(jī)頭保命。另外，MCAS系統(tǒng)在兩個(gè)傳感器數(shù)據(jù)不一致時(shí)對(duì)飛行員沒有報(bào)警，由飛行員進(jìn)行判斷，手工操作，而是直接由控制系統(tǒng)按預(yù)定的不嚴(yán)密的判斷邏輯進(jìn)行飛機(jī)的控制。

從737MAX的案例可以得到以下結(jié)論：

（1）雙傳感器冗余不能100%解決可靠性問題，傳感器仍有失效的可能；

（2）即使傳感器發(fā)生了故障，也可能不立即輸出錯(cuò)誤結(jié)果，實(shí)現(xiàn)提前檢查維修，而是隨系統(tǒng)的運(yùn)行狀態(tài)和外界條件不同，表現(xiàn)出一定的失效概率。

2 傳感器有效性的數(shù)學(xué)描述

2.1 單一傳感器

對(duì)于一個(gè)檢測(cè)關(guān)鍵安全因素的傳感器，當(dāng)檢測(cè)到系統(tǒng)運(yùn)行不安全時(shí)，應(yīng)發(fā)生安全報(bào)警。雖然傳感器輸出的可能是連續(xù)模擬量，也可能是布爾型數(shù)據(jù)，但進(jìn)行系統(tǒng)控制時(shí)可抽象轉(zhuǎn)換為布爾代數(shù)運(yùn)算，安全關(guān)鍵傳感器的輸出最終處理結(jié)果可歸結(jié)為報(bào)警信息的有與無，表示為布爾型的數(shù)據(jù)為：1為有安全報(bào)警，0為無安全報(bào)警（正常狀態(tài)）。

設(shè)某控制系統(tǒng)有檢測(cè)安全狀態(tài)的報(bào)警傳感器A，系統(tǒng)運(yùn)行在安全狀態(tài)時(shí)A=0，其概率記為S，系統(tǒng)運(yùn)行在不安全狀態(tài)時(shí)A=1，其概率記為1-S。理想情況下，傳感器狀態(tài)完全反映系統(tǒng)真實(shí)狀態(tài)，則傳感器輸出A=1的概率為1-S，A=0的概率為S。

如果傳感器因某種原因失效，則其輸出不能完全反映系統(tǒng)的真實(shí)狀態(tài)，定義以下概念：

虛報(bào)：系統(tǒng)運(yùn)行在安全狀態(tài)，傳感器不應(yīng)報(bào)警而發(fā)生了錯(cuò)誤報(bào)警，稱為虛報(bào)，其概率為虛報(bào)率P；

漏報(bào)：系統(tǒng)運(yùn)行不安全，傳感器應(yīng)報(bào)警而未報(bào)警，稱為掉漏報(bào)，其概率為漏報(bào)率Q；

誤報(bào)：以上兩種情況統(tǒng)稱為傳感器失效，傳感器輸出信息錯(cuò)誤，稱為誤報(bào)，概率為誤報(bào)率M，誤報(bào)率等于虛報(bào)率加上漏報(bào)率，即M=P+Q。

當(dāng)系統(tǒng)運(yùn)行在安全狀態(tài)時(shí)的概率為s時(shí)，傳感器輸出結(jié)果為1和0的概率可按以下計(jì)算：

（1）輸出為1的概率

輸出為1的情況包括系統(tǒng)安全運(yùn)行但發(fā)生虛報(bào)和運(yùn)行不安全狀態(tài)且未發(fā)生漏報(bào)兩種情況。

安全狀態(tài)發(fā)生虛報(bào)概率：S×P

不安全狀態(tài)未發(fā)生漏報(bào)：(1-S)×(1-Q)

因此，傳感器輸出為1的概率=安全狀態(tài)發(fā)生虛報(bào)概率+不安全狀態(tài)未發(fā)生漏報(bào)的概率，記為：

（2）輸出為0的概率

安全狀態(tài)未發(fā)生虛報(bào)概率：S×(1-P)不安全狀態(tài)發(fā)生漏報(bào)：(1-S)×Q

輸出為0的概率=安全狀態(tài)未發(fā)生虛報(bào)概率+不安全狀態(tài)發(fā)生漏報(bào)概率，記為：

根據(jù)貝葉斯定理，傳感器輸出為0和為1時(shí)正確的概率分別為：

當(dāng)傳感器報(bào)警輸出為1，其正確的概率為：

當(dāng)傳感器未報(bào)警輸出為0，其值正確的概率為：

給上面的分析賦以實(shí)際數(shù)值，可以看到直觀的結(jié)果。舉例如下。

例1：設(shè)某系統(tǒng)有80%概率運(yùn)行在安全狀態(tài)，即s=80%，虛報(bào)率為1%，漏報(bào)率1%，則傳感器報(bào)警輸出為1的概率為0.008+0.198=0.206，輸出為1是真的概率為0.198/0.206=96.1%。輸出為0的概率是0.792+0.002=0.794.，輸出為0是真的概率是0.792/0.794=99.75%?？梢?，在傳感器虛報(bào)和漏報(bào)概率相同時(shí)，虛報(bào)概率大于漏報(bào)概率。

2.2 雙傳感器冗余

當(dāng)系統(tǒng)安全關(guān)鍵信號(hào)采用雙傳感器冗余方案時(shí)，系統(tǒng)有兩個(gè)冗余的傳感器A，B采集同一數(shù)據(jù)量。以下討論排除明顯判定傳感器故障的情況，如無信號(hào)、超界等。由于增加了部件，整系統(tǒng)的基本可靠性是降低的。設(shè)兩個(gè)傳感器誤報(bào)概率為M、N，忽略其他附屬環(huán)節(jié)的可靠性問題，兩個(gè)傳感器的同時(shí)誤報(bào)的概率為M×N，有一個(gè)誤報(bào)的概率是{M×(1-N)+N×(1-M)}，同時(shí)準(zhǔn)確的概率是(1-M)×(1-N)。

兩個(gè)傳感器進(jìn)行布爾代數(shù)運(yùn)算，有四種可能，如表1所示。如果兩個(gè)傳感器的信號(hào)不同，控制系統(tǒng)在采信傳感器數(shù)據(jù)時(shí)有三種處理方案：（1）邏輯與運(yùn)算：兩個(gè)傳感器均報(bào)警輸出為1時(shí)按報(bào)警處理；（2）邏輯或運(yùn)算：兩個(gè)傳感器有一個(gè)報(bào)警輸出為1時(shí)就按報(bào)警處理；

（3）主從模式：默認(rèn)傳感器A（或B）為主傳感器，采用其輸出為有效信號(hào)。

表1 雙傳感器冗余真值表

因此，從直觀看，如果傳感器的失效模式（或在系統(tǒng)中有重大影響）是虛報(bào)，則應(yīng)采取邏輯與運(yùn)算，如果失效模式是漏報(bào)，應(yīng)采取邏輯或運(yùn)算。如果兩個(gè)傳感器失效概率差別較大，可以考慮采取主從模式處理。

現(xiàn)假定傳感器B的特性與A完全相同，孤立系統(tǒng)除兩個(gè)傳感器的信息外無其他外界參考信息。設(shè)A、B虛報(bào)和漏報(bào)概率分別為P、Q，誤報(bào)率M=P×Q。因?yàn)榭刂葡到y(tǒng)的安全保護(hù)策略是檢測(cè)到傳感器信號(hào)有效時(shí)執(zhí)行特定的功能，系統(tǒng)可靠性與安全性與傳感器的失效模式有關(guān)、與兩個(gè)傳感器發(fā)生故障時(shí)系統(tǒng)的處理方法有關(guān)，信號(hào)在系統(tǒng)中的作用機(jī)理有關(guān)。下面將兩個(gè)傳感器的輸出按不同處理方式綜合為一個(gè)傳感器，對(duì)此展開分析。

【邏輯與處理】

兩個(gè)傳感器進(jìn)行邏輯與運(yùn)算，綜合的虛報(bào)率和漏報(bào)率為：

根據(jù)貝葉斯定理，傳感器輸出為0和為1時(shí)正確的概率分別為：當(dāng)傳感器報(bào)警輸出為1，其正確的概率為：

當(dāng)傳感器未報(bào)警輸出為0，其值正確的概率為：

例2：例1中系統(tǒng)的其他條件不變，S=80%，虛報(bào)率為1%，漏報(bào)率1%，配置雙冗余的傳感器。當(dāng)傳感器按與邏輯處理時(shí)，報(bào)警輸出為1的概率為0.0008+0.19602=0.1961，輸出為1是真的概率為0.19602/0.1961=99.96%。輸出為0的概率是0.79992+0.00398=0.8039，輸出為0是真的概率是0.79992/0.8039=99.5%?？梢姡陔p傳感器邏輯與運(yùn)算，報(bào)警輸出1為真實(shí)的概率有較大提高，不報(bào)警輸出0為真實(shí)的概率有小幅降低。

例3：例1中系統(tǒng)的其他條件不變，有80%概率運(yùn)行在安全狀態(tài)，即S=80%，虛報(bào)率為1%，漏報(bào)率1%，配置雙冗余的傳感器，則傳感器按邏輯或運(yùn)算處理，報(bào)警輸出為1的概率為0.19998+0.01592=0.2159，輸出為1是真的概率為0.19998/0.2159=92.6%。輸出為0的概率是0.78408+0.00002=0.7841，輸出為0是真的概率是0.78408/0.7841=99.99%?？梢?，雙傳感器邏輯或運(yùn)算，報(bào)警輸出1為真實(shí)的概率降低，不報(bào)警輸出0為真實(shí)的概率相當(dāng)高。

三種不同的處理方式，報(bào)警和不報(bào)警的正確概率有所不同，如表2所示。

表2 概率實(shí)例表（S=80%，P=1%，Q=1%）

3 炮控系統(tǒng)角度限制功能雙傳感器實(shí)例分析

坦克炮控系統(tǒng)是以驅(qū)動(dòng)和穩(wěn)定火炮為任務(wù)的自動(dòng)控制系統(tǒng)，是火控系統(tǒng)的重要組成部分，其狀態(tài)好壞直接影響坦克是否能完成戰(zhàn)斗任務(wù)。角度限制功能即是安全保護(hù)方面的典型功能。

目前，炮控系統(tǒng)采用角度限制器作為敏感火炮角度的傳感器，是涉及安全保護(hù)的傳感器。當(dāng)火炮運(yùn)動(dòng)到仰角或俯時(shí)，根據(jù)系統(tǒng)預(yù)定的保護(hù)邏輯，如果角度限制器輸出保護(hù)信號(hào)，切斷瞄準(zhǔn)信號(hào)和輸出機(jī)構(gòu)控制信號(hào)，系統(tǒng)進(jìn)入保護(hù)狀態(tài)，避免系統(tǒng)部件損壞。

如果角度限制器本身故障或由于安裝問題導(dǎo)致不能輸出保護(hù)信號(hào)，失效模式包括兩種：到位沒有保護(hù)信號(hào)，未在角度限制位置而錯(cuò)誤輸出保護(hù)信號(hào)。其后果一種是損壞系統(tǒng)設(shè)備，另一種是不能完成預(yù)定的功能。利用火控系統(tǒng)中的現(xiàn)有的耳軸解算器進(jìn)行冗余是一個(gè)可行的方案。

在這種方案中，兩個(gè)傳感器的特性不同，從上面的分析再推廣，設(shè)兩個(gè)傳感器A、B的虛報(bào)率分別為Pa、Pb，漏報(bào)率分別為Qa、Qb。

【邏輯與處理】

兩個(gè)傳感器進(jìn)行邏輯與運(yùn)算，綜合的虛報(bào)率和漏報(bào)率為：

仍按例1中系統(tǒng)的條件，配置雙冗余的傳感器，系統(tǒng)有80%概率運(yùn)行在安全狀態(tài)，即S=80%，角度限制器虛報(bào)率為1%，漏報(bào)率1%，耳軸解算器虛報(bào)率為0.1%，漏報(bào)率0.1%。計(jì)算結(jié)果如表3所示?？梢?，按上面設(shè)定的條件，雙傳感器特性不同且相差一個(gè)量級(jí)時(shí)，邏輯與運(yùn)算與主從方式的處理比較接近。

表3 角度限制器和耳軸傳感器概率實(shí)例表

總結(jié)：從上面的分析可見，如果控制系統(tǒng)對(duì)警報(bào)自動(dòng)響應(yīng)，無論虛報(bào)或漏報(bào)都會(huì)導(dǎo)致進(jìn)行錯(cuò)誤控制引起安全事故，則安全相關(guān)的關(guān)鍵信號(hào)增加雙傳感器冗余，并不能簡(jiǎn)單的確定是否能增加系統(tǒng)的安全性和可靠性。某些控制系統(tǒng)中，虛報(bào)和漏報(bào)的后果不同，虛報(bào)引起任務(wù)中斷，漏報(bào)引起安全事故，在安全性大于任務(wù)可靠性的系統(tǒng)中，通?？紤]采用邏輯或方式處理；在任務(wù)可靠性大于安全性的系統(tǒng)中，考慮采用邏輯與方式處理。無論如何處理，系統(tǒng)應(yīng)該保留向操作人員或上層控制系統(tǒng)進(jìn)行可視化報(bào)警的功能并允許操作人員進(jìn)行更高優(yōu)先級(jí)的人工控制。在硬件冗余的基礎(chǔ)上，可以考慮對(duì)傳感器和被測(cè)的物理量進(jìn)行精確的建模，采用更有效的斜率判別法、極值判別法等解析方法提高判斷準(zhǔn)確度，或者在數(shù)據(jù)處理加入其他相關(guān)數(shù)據(jù)進(jìn)行對(duì)比判斷，進(jìn)行解析冗余。