新一代大型運載火箭控制系統(tǒng)全數(shù)字動態(tài)重構(gòu)技術(shù)

楊岫婷，蘇 磊，權(quán) 赫，張嗣鋒，李學(xué)鋒

（北京航天自動控制研究所，北京，100854）

0 引 言

運載火箭飛行控制系統(tǒng)通常采用硬件冗余來提高系統(tǒng)的可靠性。文獻[1]指出以長征二號、長征三號為代表的中國老一代運載火箭，控制系統(tǒng)采用硬件冗余及故障吸收式容錯設(shè)計。這種方式是以冗余資源為代價換取可靠性，往往增加了硬件成本和系統(tǒng)的復(fù)雜性。對于新一代大型運載火箭，控制系統(tǒng)飛行可靠性指標0.998，是目前中國運載火箭中可靠性指標要求最高的。單以冗余設(shè)計提高的可靠性是有限的，必須結(jié)合重構(gòu)控制技術(shù)提高系統(tǒng)容錯能力，從而提高系統(tǒng)可靠性。

重構(gòu)控制是由傳統(tǒng)余度控制理論發(fā)展而來。區(qū)別于傳統(tǒng)余度控制，重構(gòu)控制是一種主動容錯控制技術(shù)，即針對系統(tǒng)中的冗余結(jié)構(gòu)，利用部件的冗余特性，通過設(shè)計控制算法或策略，來提高系統(tǒng)的容錯能力[2]。將控制策略與硬件冗余進行有機結(jié)合，可在不增加系統(tǒng)成本和復(fù)雜度基礎(chǔ)上，使得提高系統(tǒng)可靠性成為可能。

新一代大型運載火箭飛行控制系統(tǒng)采用了全新的“雙通道總線+三冗余”智能終端的全數(shù)字分布式系統(tǒng)架構(gòu)[3]，實現(xiàn)了從模擬控制向數(shù)字式控制的跨越，同時也為實現(xiàn)系統(tǒng)重構(gòu)提供平臺和條件。本文的研究目標即針對新一代大型運載火箭的冗余架構(gòu)開展動態(tài)重構(gòu)技術(shù)研究，提出有效的重構(gòu)策略。

1 運載火箭控制系統(tǒng)冗余架構(gòu)現(xiàn)狀

1.1 國外現(xiàn)狀

國外主流運載火箭普遍采用總線技術(shù)，并通過硬件冗余提高系統(tǒng)可靠性。

阿里安5：控制系統(tǒng)計算機、慣性測量裝置、1553B總線系統(tǒng)等關(guān)鍵系統(tǒng)，采取了雙通道主備設(shè)計[4]。

德爾它4：采用冗余慣性飛行控制裝置 （Redundant Inertial Flight Control Assembly, RIFCA），通過雙冗余慣性測量組合測量3個軸的角速度和加速度，使用3臺MIL-STD-1750處理機評估信息并進行表決[5]。

宇宙神5：采用容錯慣性導(dǎo)航裝置（Fault Tolerant Inertial Navigation Unit, FTINU），由冗余的慣性測量系統(tǒng)（Inertial Measurement System，IMS）和雙通路飛行控制系統(tǒng)（Flight Control System，F(xiàn)CS）組成，系統(tǒng)設(shè)計上多采用雙冗余設(shè)計[6]。

Falcon 9：采用三冗余箭機，總線使用了交換式冗余網(wǎng)絡(luò)通信架構(gòu)，采用GPS 加雙慣性測量裝置復(fù)合制導(dǎo)[7]。

H-IIA：控制計算機（GCC2）為三冗余結(jié)構(gòu)，慣性測量單元以及伺服機構(gòu)也為冗余結(jié)構(gòu)；控制系統(tǒng)采用兩條符合MIL-STD-1553B 標準的數(shù)據(jù)總線。一子級的GCC1和二子級的GCC2通過一條1553B總線連接在一起，依靠該總線傳遞數(shù)據(jù)、指令和時序；另一條1553B總線將GCC2與慣性測量單元連接起來，用于姿態(tài)數(shù)據(jù)傳輸[8]。

SLS：全箭主通信鏈路采用多級、三冗余1553B總線方式，部分設(shè)備間通信仍采用點對點通信（如RS422）；全箭冗余方式以三冗余（飛控計算機、慣組）、雙冗余（供配電系統(tǒng)）為主；箭上電氣設(shè)備采用綜合電子集成化設(shè)計和根據(jù)實際需求的分布式設(shè)計相結(jié)合；采用基于ARINC 653標準的VxWorks653分時分區(qū)實時操作系統(tǒng)（Time and Space Partition Real-time Operation System）作為箭載飛控計算機操作系統(tǒng)[5,9]。

Ariane 6：與Ariane 5類似采用雙冗余架構(gòu)，采用TTE實時以太網(wǎng)總線作為全箭主干網(wǎng)絡(luò)通信數(shù)據(jù)總線[10,11]。

國外運載火箭冗余架構(gòu)及其可重構(gòu)性見表1。雙冗余可實現(xiàn)主備切換，但無法實現(xiàn)容錯重構(gòu)。三冗余具有可重構(gòu)性，通過多數(shù)表決設(shè)計、故障吸收等容錯控制方法，可實現(xiàn)系統(tǒng)故障診斷與重構(gòu)[12,13]。

表1 國外運載火箭控制系統(tǒng)冗余架構(gòu)比對Tab.1 Comparative Analysis of International Rocket Multi-modular Degisn

1.2 中國現(xiàn)狀

載人航天工程、探月工程、可靠性工程推動了航天可靠性設(shè)計和容錯控制技術(shù)的研究。對比長征系列火箭控制系統(tǒng)冗余方案發(fā)展變化，除均采用三冗余箭機外，慣性器件冗余方式及系統(tǒng)通信方式存在差異。

a）老一代運載火箭：長征二號F、長征二號C、長征三號A 3型火箭先后研制了“平臺+慣組主從冗余”[14]、“雙慣組[15]冗余”方案。雙慣組方案采用兩套同構(gòu)或異構(gòu)七表慣組，此配置可識別故障，故障隔離則需用內(nèi)部冗余配置的測量軸信息實現(xiàn)自診斷[16]。系統(tǒng)采用點對點直連線的通信方式傳輸開關(guān)量和模擬量信號，通過接點冗余和線路冗余保證信號傳輸?shù)目煽啃浴?/p>

b）新一代運載火箭：長征五號、長征七號采用“兩套激光+1套光纖”的三冗余六表慣組，通過“三取二”判別，實現(xiàn)某故障慣組或某故障單表的隔離。此配置可通過對整套慣組信息及單表信息進行表決組合，實現(xiàn)慣組信息重構(gòu)。長征八號、遠征上面級采用“單套十表”慣組，采用多表斜置實現(xiàn)信息冗余，利用彼此間的投影關(guān)系進行故障判別與重構(gòu)[17]。系統(tǒng)通信采用1553B總線，總線制標準化各智能設(shè)備的接口[5]，通過控制計算機（內(nèi)含總線控制器）進行全箭信息綜合。采用高實時性數(shù)據(jù)規(guī)劃和調(diào)度分配、基于總線的箭測和綜合測試技術(shù)[18]，實現(xiàn)了全數(shù)字控制。圖1為新一代大型運載火箭控制系統(tǒng)架構(gòu)示意。

圖1 新一代大型運載火箭控制系統(tǒng)架構(gòu)示意Fig.1 The Architecture of Large Launch-scale Vehicle Control System

長征運載火箭冗余架構(gòu)及其可重構(gòu)性的比對情況見表2。由表2可以看出，新一代運載火箭中，長征七號采用余度總線構(gòu)成三余度控制系統(tǒng)，簡化了軟硬件實現(xiàn)的復(fù)雜度[5]，也具備故障檢測隔離與系統(tǒng)重構(gòu)的可實現(xiàn)性。以長征五號為代表的“單總線+三冗余”終端控制系統(tǒng)，三冗余總線控制器內(nèi)部設(shè)計冗余表決電路，可實現(xiàn)對自身的健康識別與重構(gòu)，以及對系統(tǒng)架構(gòu)的重構(gòu)容錯。兩種總線架構(gòu)均具有實現(xiàn)系統(tǒng)故障重構(gòu)的條件，重構(gòu)控制策略設(shè)計是實現(xiàn)的關(guān)鍵。

表2 長征運載火箭控制系統(tǒng)冗余架構(gòu)比對Tab.2 Comparative Analysis of Long March Rocket Multi-modular Degisn

2 重構(gòu)控制策略研究

2.1 可重構(gòu)控制方法及應(yīng)用分析

文獻[19]給出了可重構(gòu)控制技術(shù)發(fā)展產(chǎn)生的偽逆法、特征值配置法、自適應(yīng)控制方法、控制分配技術(shù)等重構(gòu)方法。其中，控制分配技術(shù)隨著研究的深入日益成熟，文獻[20]將控制分配方法應(yīng)用于重型運載火箭伺服機構(gòu)故障情況下的重構(gòu)；文獻[3]研究了多操縱面戰(zhàn)斗機飛行控制系統(tǒng)的重構(gòu)控制問題；文獻[21]將控制分配算法應(yīng)用到 X-35B飛機的飛行控制系統(tǒng)設(shè)計中。關(guān)于冗余重構(gòu)的文獻極少涉及總線架構(gòu)重構(gòu)的研究，本文針對新一代大型運載火箭總線架構(gòu)，提出基于控制分配的總線架構(gòu)變結(jié)構(gòu)重構(gòu)策略。

對于全數(shù)字總線系統(tǒng)，總線控制器不僅執(zhí)行著全系統(tǒng)的數(shù)據(jù)規(guī)劃和調(diào)度分配管理，還負責對總線狀態(tài)及全部通信數(shù)據(jù)進行實時監(jiān)測，所以，總線控制器的容錯重構(gòu)策略設(shè)計是整個控制系統(tǒng)實現(xiàn)動態(tài)重構(gòu)的關(guān)鍵，直接關(guān)系到系統(tǒng)架構(gòu)可重構(gòu)、總線控制器自身狀態(tài)的實時動態(tài)健康識別與管理的實現(xiàn)。關(guān)于總線控制器重構(gòu)的文獻較少，文獻[22]提出了飛行控制系統(tǒng)三通道容錯硬件設(shè)計方法，介紹了模塊實現(xiàn)、模塊間同步及故障監(jiān)控表決設(shè)計。但是未包含三通道的重構(gòu)策略及判別原則，本文對新一代運載火箭的三冗余總線控制器提出表決切換重構(gòu)策略。

慣組是控制系統(tǒng)的重要設(shè)備之一。針對運載火箭飛行中發(fā)生的、與控制系統(tǒng)相關(guān)的19例典型故障案例的機理進行剖析，20%的故障原因與慣性設(shè)備相關(guān)，僅少于電纜網(wǎng)故障。因而，針對慣組的冗余配置方式設(shè)置專門的重構(gòu)策略是系統(tǒng)設(shè)計的重點。關(guān)于冗余慣組的文獻多為多信息融合方法研究，策略研究偏工程化，文獻相對較少。文獻[16]介紹了七表雙撓性慣組冗余設(shè)計及管理方案；文獻[23]針對三正交一斜置慣組提出在工程實踐中正交為主的信息重構(gòu)策略，并提出雙三正交架構(gòu)。本文的研究對象是新一代運載火箭的三套三正交六表慣組，在文獻[24]給出的慣組工程應(yīng)用的三整機重構(gòu)策略基礎(chǔ)上，提出三機冗余與單機多表相結(jié)合的表決重構(gòu)策略。

2.2 基于控制分配的總線架構(gòu)重構(gòu)策略

新一代大型運載火箭總線架構(gòu)控制鏈路為：總線控制器架構(gòu)控制指令→控制通道選擇→設(shè)備選擇→系統(tǒng)架構(gòu)實現(xiàn)。對控制通道選擇、設(shè)備選擇模塊增加控制分配矩陣，將輸出狀態(tài)結(jié)合重構(gòu)策略進行動態(tài)控制，可實現(xiàn)故障時控制通道、設(shè)備的動態(tài)選擇，從而實現(xiàn)系統(tǒng)架構(gòu)的動態(tài)變結(jié)構(gòu)重構(gòu)。實現(xiàn)原理如圖2所示。

圖2 基于控制分配的系統(tǒng)架構(gòu)重構(gòu)原理Fig.2 The Logic of the System Architecture Reconfigurable Strategies based on Allocation

正常情況下，控制分配模塊采用缺省分配模式，根據(jù)初始定義的分配策略分配控制指令；當控制輸出異常后，控制分配模塊根據(jù)重構(gòu)策略，更改控制矩陣，實現(xiàn)控制指令的重新分配，保證系統(tǒng)架構(gòu)的穩(wěn)定性?？刂品峙涔綖?/p>

式中L為系統(tǒng)架構(gòu)實現(xiàn)；T為通道控制矩陣；R為終端矩陣；1L為T的控制分配矩陣，為n×2階矩陣；2L為R的控制分配矩陣，為n×n階矩陣。

系統(tǒng)架構(gòu)初始狀態(tài)：

此時，L1、L2簡化為L10、L20，L10＝(10)，1×2階矩陣，L20＝(11…1)，1×n階矩陣。

系統(tǒng)工作過程中，在每個控制周期，L1、L2根據(jù)控制分配的結(jié)果實時動態(tài)變化，則控制輸出的系統(tǒng)架構(gòu)L也實現(xiàn)動態(tài)變結(jié)構(gòu)重構(gòu)。系統(tǒng)架構(gòu)重構(gòu)前后的結(jié)構(gòu)變化如圖3所示。

圖3 系統(tǒng)架構(gòu)重構(gòu)Fig.3 The System Architecture Reconfigured

2.3 總線控制器的重構(gòu)策略

總線控制器采用三冗余熱備份實現(xiàn)系統(tǒng)級冗余容錯控制與故障隔離。主機（BC）進行總線數(shù)據(jù)流的調(diào)度和管理，另外2臺備份機作為總線監(jiān)視器（MT）負責對總線狀態(tài)及全部通信數(shù)據(jù)進行實時監(jiān)測。圖4中，A機作為總線控制器，B、C作為總線監(jiān)視器，A機進行動態(tài)健康識別與管理的信號交互示意圖。B、C作為總線控制器時交互信號同A。

圖4中，三機間交互的信號包括：a）BC權(quán)使能信號：A_EN_A、B_EN_A、C_EN_A；b）時鐘使能信號：A_enT、B_enT、C_enT；c）定時“心跳”信號。B、C通過實時監(jiān)聽總線通訊及定時接收A的定時“心跳”信號，同時A機也對本機實時監(jiān)測，三機共同診斷A的工作狀態(tài)，對其進行動態(tài)健康識別，根據(jù)判定結(jié)果對A發(fā)出BC權(quán)使能信號、時鐘使能信號。

圖4 總線控制器動態(tài)健康識別與管理Fig.4 Dynamic Identification and Redundant Processing of the Bus-controller

對A的健康識別原則如下：

a）A機。

A機作為BC，A機認為本機出錯而發(fā)出切除本機BC的依據(jù)是：A機本機定時“心跳”信號異常；A機監(jiān)測到本機總線通信異常；A機監(jiān)測到本機功能異常。

以上3種異常情況中任意2種同時存在時，發(fā)出切換指令：A_EN_A=0，A_EN_B=1，A_enA=0；

b）B機或C機。

B機或C機作為MT，認為A機出錯而發(fā)出切除A機BC的依據(jù)是：監(jiān)測到A機定時“心跳”信號異常；監(jiān)測到A機總線通信異常；則認為A機故障，進而發(fā)出切換指令：

B機：B_EN_A=0，B_EN_B=1，B_enA=0；

C機：C_EN_A=0，C_EN_B=1，C_enA=0。

依據(jù)上述原則，當前總線控制器被判定為工作異常時，則總線監(jiān)視器通過重構(gòu)策略對當前總線控制器進行故障隔離，同時在三機優(yōu)先級設(shè)置下按順序獲取總線BC控制權(quán)，實現(xiàn)總控制器的動態(tài)隔離重構(gòu)。圖5給出了優(yōu)先級順序為A機→B機→C機的BC控制權(quán)重構(gòu)策略邏輯。

圖5 三冗余總線控制器動態(tài)重構(gòu)策略Fig.5 The Dynamic Reconfigurable Strategies of the Triple-modular Bus-controller

三冗余總線控制器硬件設(shè)計相同，通過設(shè)計不同的重構(gòu)策略，可實現(xiàn)不同的優(yōu)先級順序及BC權(quán)交接邏輯。表3給出了一種三冗余控制器的優(yōu)先級鏈及對應(yīng)BC權(quán)的傳遞關(guān)系。

表3 總線控制器三機優(yōu)先級及BC權(quán)Tab.3 The Priority and BC Right of the Bus-controller

2.4 多源慣組信息重構(gòu)策略

新一代運載火箭采用三套六表冗余的慣組配置。基于此配置，提出慣組三機冗余與單機多表相結(jié)合的重構(gòu)策略：利用多源信息，三套慣組信息均正常時，執(zhí)行三機表決策略；當某慣組信息不完整時，選擇單機多表搭配組合，構(gòu)成完整觀測矩陣，執(zhí)行單機多表表決策略。通過將多源測量信息進行重組，完成慣組信息重構(gòu)。

慣組冗余策略邏輯圖如圖6。

圖6 慣組三機冗余+單機多表相結(jié)合重構(gòu)策略Fig.6 The Triple-modular Redundancy Inertial Device and Multi-sensor Data Fusion Reconfigurable Strategies

三機表決過程如下：

a）設(shè)1x、2x、3x為同一觀測物理量的三機輸出結(jié)果；

c）設(shè)定閾值ED，依據(jù)表決原則進行故障診斷：

d）如某機連續(xù)報故障多次，則認為此機發(fā)生了永久故障，將其永久隔離。

表4給出了1種3套慣組三機表決后的輸出結(jié)果：當判別本機正常時，輸出本機測試值；當判別出故障機時，將其輸出結(jié)果設(shè)置為其他兩機的均值。

表4 慣組三機表決后輸出Tab.4 The Result of Triple-modular Inertial Device

單機多表表決策略及過程同三機表決，區(qū)別在于信息源來自不同單機的多表。

3 測試與評估

本文采用故障模擬注入方法[25]，進行各級重構(gòu)策略的系統(tǒng)驗證。搭建測試平臺，在不改變總線系統(tǒng)各終端的前提下，在系統(tǒng)中串入故障注入測試設(shè)備，通過軟件界面進行故障模式配置，實現(xiàn)在總線設(shè)備正常通信中實時加入各種故障的功能。測試平臺如圖7所示。

圖7 測試平臺示意Fig.7 The Testing Platform

故障注入測試平臺可模擬總線系統(tǒng)中可能出現(xiàn)的電氣層和鏈路層故障、以及部分協(xié)議層和應(yīng)用層的故障現(xiàn)象。基于此平臺，重構(gòu)策略的系統(tǒng)驗證可通過以下過程實現(xiàn)：

a）模擬總線通道通斷、終端接口通斷、終端通信異常等故障，通過測試總線通信數(shù)據(jù)與設(shè)計預(yù)期的復(fù)合性，驗證系統(tǒng)架構(gòu)策略的正確性；

b）模擬三冗余總線控制器接口通斷、通信異常、供電異常的故障，通過測試總線控制器數(shù)據(jù)調(diào)配結(jié)果、主備切換實現(xiàn)與設(shè)計預(yù)期的復(fù)合性，驗證總線控制器策略的正確性；

c）模擬三冗余慣組接口通斷、通信異常、供電異常的故障，通過測試慣組通信數(shù)據(jù)及冗余表決結(jié)果與設(shè)計預(yù)期的復(fù)合性，驗證慣組信息冗余策略的正確性；

d）在策略驗證過程，若結(jié)果與預(yù)期不符或不正確，則對策略進行優(yōu)化調(diào)整后再驗證，并對系統(tǒng)性能進行驗證效果評估。

驗證方案及流程如圖8所示。部分測試數(shù)據(jù)列于表5、評估結(jié)果列于表6。

圖8 系統(tǒng)驗證方案與流程Fig.8 The System Verification Scheme

表5 系統(tǒng)測試數(shù)據(jù)結(jié)果Tab.5 The Results of System Test Data

表6 驗證效果評估Tab.6 The Results of Assessment

在故障注入測試平臺上，系統(tǒng)架構(gòu)重構(gòu)策略、總線控制器重構(gòu)策略、慣組信息重構(gòu)策略得到了驗證，系統(tǒng)驗證評估結(jié)果及測試結(jié)果均滿足設(shè)計預(yù)期。

4 結(jié)束語

本文針對新一代大型運載火箭“雙通道總線+三冗余”智能終端的全數(shù)字架構(gòu)，提出基于控制分配技術(shù)的可變結(jié)構(gòu)系統(tǒng)架構(gòu)重構(gòu)策略、三冗余總線控制器重構(gòu)策略、慣組三冗余與單機多表相結(jié)合的重構(gòu)策略，通過系統(tǒng)冗余配置結(jié)合重構(gòu)策略，實現(xiàn)了飛行異常狀態(tài)的智能故障識別與動態(tài)重構(gòu)，有效提升了系統(tǒng)可靠性。新一代大型運載火箭控制系統(tǒng)的全數(shù)字架構(gòu)，也為智慧控制技術(shù)的應(yīng)用提供平臺。隨著未來運載火箭任務(wù)復(fù)雜程度的提升，總體、控制、動力等多學(xué)科交叉融合的趨勢越來越強，智能技術(shù)將引入飛行的各個環(huán)節(jié)，使火箭更加具備自主容錯和故障適應(yīng)能力。