無人機(jī)自駕儀硬件加固方案設(shè)計(jì)與可靠性分析*

郭天豪，侯中喜，姜晶菲，姜漢卿(.國防科技大學(xué)航天科學(xué)與工程學(xué)院，湖南長沙40073；.國防科技大學(xué)計(jì)算機(jī)學(xué)院，湖南長沙40073)

無人機(jī)自駕儀硬件加固方案設(shè)計(jì)與可靠性分析*

郭天豪1，侯中喜1，姜晶菲2，姜漢卿1
(1.國防科技大學(xué)航天科學(xué)與工程學(xué)院，湖南長沙410073；2.國防科技大學(xué)計(jì)算機(jī)學(xué)院，湖南長沙410073)

自駕儀是無人機(jī)實(shí)現(xiàn)自主飛行與自主完成各項(xiàng)任務(wù)的核心器件?，F(xiàn)有商用無人機(jī)自駕儀大多沒有進(jìn)行硬件加固，直接用來執(zhí)行重大任務(wù)時有一定風(fēng)險。通過分析可知自駕儀組成模塊中對安全性和可靠性影響最大的模塊為控制解算器。根據(jù)逐步提高的容錯需求，使用復(fù)位器、計(jì)數(shù)器、反相器、選擇器等簡單器件以及在芯片內(nèi)部添加簡單代碼，分別設(shè)計(jì)了單機(jī)復(fù)位加固方案、雙機(jī)熱備加固方案、硬件切換和軟件切換雙機(jī)互備加固方案。重點(diǎn)研究了加固方案的可靠性隨時間的變化關(guān)系，并進(jìn)行了對比分析。對加固方案的工作機(jī)制進(jìn)行了模擬，分析了這些方案在處理故障時的系統(tǒng)異常輸出時間等容錯特性。計(jì)算表明，這些加固方案可以顯著提高系統(tǒng)的可靠性，其中雙機(jī)互備加固方案的可靠性最高。該研究對于指導(dǎo)高可靠性自駕儀設(shè)計(jì)時在容錯效果與復(fù)雜度、成本等方面進(jìn)行折中具有較大的參考意義。

自駕儀；控制解算器；硬件加固；容錯設(shè)計(jì)；可靠性增長

無人機(jī)(Unmanned Aerial Vehicle，UAV)是一種由無線電遙控設(shè)備或自身程序控制裝置操縱的無人駕駛飛行器［1］。自主性是無人機(jī)系統(tǒng)區(qū)別于有人駕駛飛機(jī)最重要的技術(shù)特征和發(fā)展趨勢［2］。自駕儀是無人機(jī)實(shí)現(xiàn)自主飛行控制及自主完成各項(xiàng)任務(wù)的核心器件，設(shè)計(jì)安全可靠的無人機(jī)自駕儀具有十分重要的現(xiàn)實(shí)意義［3］。

無人機(jī)自駕儀通常由傳感器組、控制解算器和執(zhí)行機(jī)構(gòu)三部分組成。傳感器組用于采集無人機(jī)的速度、加速度、姿態(tài)、位置等狀態(tài)信息?？刂平馑闫饔煽删幊绦酒蛢?nèi)部的控制程序組成，主要用于根據(jù)無人機(jī)狀態(tài)信息和預(yù)先設(shè)定好的控制算法，實(shí)時解算出各控制面需要執(zhí)行的操縱量，以及與地面設(shè)備進(jìn)行通信。無人機(jī)的自主性主要通過可編程芯片內(nèi)部的程序來實(shí)現(xiàn)。執(zhí)行機(jī)構(gòu)用于對各控制面進(jìn)行操縱。

相對于傳感器組和執(zhí)行機(jī)構(gòu)，控制解算器內(nèi)部結(jié)構(gòu)更為復(fù)雜，并且運(yùn)行著控制程序，其出錯的可能性也更大。一旦控制解算器出現(xiàn)故障，沒有容錯處理的無人機(jī)將立即失控且無法和地面進(jìn)行通信，有極大的概率墜毀。由于器件和內(nèi)部程序等多方面原因，控制解算器出現(xiàn)故障總是難以避免［4-5］。對自駕儀的容錯設(shè)計(jì)分為軟件加固和硬件加固兩種。通常的容錯控制系統(tǒng)研究主要針對前者，通過優(yōu)化控制解算器的內(nèi)部程序，避免和處理一些程序級的故障和少部分有冗余信息的傳感器故障［6-7］?，F(xiàn)有的無人機(jī)商用自駕儀大多沒有進(jìn)行硬件加固，一方面降低復(fù)雜性及能耗，另一方面無人機(jī)在一個飛行架次之內(nèi)各器件出錯的概率較小，并且造價相對較低，發(fā)生故障產(chǎn)生的損失不大。然而，無人機(jī)有時會執(zhí)行一些重大的任務(wù)或裝有昂貴的機(jī)載設(shè)備，對可靠性和安全性的要求遠(yuǎn)高于平常。此時有必要對無人機(jī)自駕儀進(jìn)行硬件加固，以此提高無人機(jī)的可靠性以及遇到故障時的生存概率［8］。

根據(jù)逐漸提高的可靠性要求，針對控制解算器硬件，即可編程芯片，以常用的數(shù)字信號處理器(Digital Signal Processor，DSP)為例，設(shè)計(jì)了不同的無人機(jī)自駕儀硬件加固方案，對其工作機(jī)制進(jìn)行了模擬分析，重點(diǎn)對其可靠性進(jìn)行了分析和比較。

1 加固硬件基礎(chǔ)

1.1 所用的主要器件

1)可編程芯片。采用TMS320F28335浮點(diǎn)DSP控制器，可內(nèi)置程序、擁有豐富的通用輸入/輸出接口(General Purpose Input Output，GPIO)的數(shù)字處理芯片。

2)復(fù)位器。采用MAX6746芯片，帶有看門狗定時器，可產(chǎn)生直接復(fù)位信號的多功能復(fù)位器。其接口如圖1(a)所示，SWT端進(jìn)行定時器的啟動及閾值設(shè)置，WDI端進(jìn)行計(jì)時器的清零，當(dāng)計(jì)時器達(dá)到閾值時，RESET端會產(chǎn)生一個持續(xù)300ms的復(fù)位信號。

3)計(jì)數(shù)器。采用74161計(jì)數(shù)器，其接口如圖1(b)所示。Q i(i=1，2，3，4)為輸出端，啟動時全為邏輯“0”。CT為使能端，為“1”時，進(jìn)行正常計(jì)數(shù)，為“0”時，停止計(jì)數(shù)；CP為時鐘端，正常計(jì)數(shù)時，每接收到一個上升沿，Q1進(jìn)行一次翻轉(zhuǎn)；每當(dāng)Q i從“1”變?yōu)椤?”時，Q(i+1)進(jìn)行一次翻轉(zhuǎn)。

4)反相門。采用NLU1G04單通道非門。其接口如圖1(c)所示，A為輸入端，Y為輸出端。當(dāng)A為“0”時，Y為“1”；反之Y為“0”。

5)選擇器。采用CD74HC257四路2選1選擇器。其接口如圖1(d)所示，S為公共選擇端，i I0與i I1為輸入端，i Y為輸出端(i=1，2，3，4)。當(dāng)S為“0”時，i Y等于i I0，當(dāng)S為“1”時，i Y等于i I1。

圖1 加固所用主要器件Fig.1 Themain devices used in the reinforcements

1.2 器件的可靠性

評價系統(tǒng)能否可靠工作有眾多指標(biāo)，如可用度、可靠性、平均無故障時間、平均故障間隔時間、瞬時故障率等［8-9］?？煽啃允侵赶到y(tǒng)在某時間段內(nèi)沒有發(fā)生故障的概率。對于一旦發(fā)生故障會產(chǎn)生嚴(yán)重?fù)p失的系統(tǒng)，用可靠性作為評價指標(biāo)更為合適［8］。

對于電子器件，在遠(yuǎn)小于其壽命的一個時間段內(nèi)，通常認(rèn)為瞬時故障率為常值。

設(shè)未經(jīng)加固的DSP的瞬時故障率為λ，可靠性為R0(t)。根據(jù)定義:

R0(t)=P(?τ∈(0，t)，DSP在τ刻正常工作)則DSP恰好在t時刻發(fā)生故障的概率為

DSP在(0，t)時間段發(fā)生故障的概率為

文中所用的復(fù)位器、計(jì)數(shù)器、反相門和選擇器為簡單邏輯硬件，其可靠性通常遠(yuǎn)高于DSP芯片，因而忽略這些器件出錯的情形。

1.3 模擬驗(yàn)證方式

在MATLAB的Simulink仿真環(huán)境中，搭建自定義函數(shù)模塊模擬各器件的功能，針對一路需要DSP處理的信號進(jìn)行模擬。模擬中設(shè)定DSP的輸入信號為x(t)=sin(πt)，輸出信號為

模擬的目的是為了驗(yàn)證各加固方案的可用性以及其特點(diǎn)，在模擬驗(yàn)證中暫不考慮DSP啟動或重啟失敗的狀況。

給DSP在t=1s注入一次故障，模擬輸出結(jié)果如圖2所示。圖中實(shí)線表示DSP實(shí)際輸出數(shù)據(jù)，虛線表示DSP正常工作時的輸出數(shù)據(jù)(期望輸出數(shù)據(jù))。

圖2 單DSP故障模擬輸出Fig.2 The outputwith the DSP fault

2 加固方案設(shè)計(jì)

2.1 單機(jī)復(fù)位加固方案

2.1.1 加固方案

設(shè)計(jì)思路:當(dāng)DSP出現(xiàn)故障時，用復(fù)位器對其進(jìn)行重啟。方案如圖3所示。

圖3 單機(jī)復(fù)位加固方案Fig.3 The single resolver reset reinforcement

在自駕儀上電時，DSP會進(jìn)行初始化，通過一個GPIO端口，對復(fù)位器進(jìn)行設(shè)置，使定時器啟動并設(shè)置閾值為30ms。

在DSP內(nèi)部添加一小段程序，使其每過20ms (自駕儀控制周期)產(chǎn)生一個心跳信號，通過另一個GPIO端口，使得復(fù)位器內(nèi)部的看門狗定時器清零并重新計(jì)時。

當(dāng)DSP出現(xiàn)故障時，無法提供心跳信號，看門狗定時器會達(dá)到設(shè)定的閾值，復(fù)位器就會對DSP進(jìn)行重啟。

2.1.2 可靠性

故障發(fā)生后，復(fù)位器幾乎立即對DSP進(jìn)行重啟。電子器件的故障有可能是由于過熱造成，而這種重啟發(fā)生時DSP仍然處于高溫，因此有一定的失敗率。稱這樣的重啟方式為熱重啟，設(shè)其使系統(tǒng)恢復(fù)正常的概率為PR。

設(shè)該加固方案的可靠性為R1(t)，則系統(tǒng)恰好在t時刻發(fā)生故障的概率為

對比式(4)和式(7)可見，該加固方案的工作機(jī)理相當(dāng)于降低了DSP的瞬間故障率，即在每一瞬間，系統(tǒng)發(fā)生故障的條件變?yōu)镈SP發(fā)生故障且重啟失敗。

2.1.3 模擬驗(yàn)證

給DSP在t=1s，t=6s分別注入一次故障，系統(tǒng)輸出結(jié)果如圖4所示。

圖4 單機(jī)復(fù)位加固模擬輸出Fig.4 The output of the single resolverreset reinforcement

由圖4可見，當(dāng)DSP發(fā)生故障后，輸出異常值。30ms后DSP接收到復(fù)位信號并持續(xù)300ms，然后重啟并需要100ms進(jìn)行初始化，這段時間輸出為0。初始化完成后，DSP恢復(fù)正常，輸出正常信號。

該方案有兩個不可避免的問題:①DSP發(fā)生故障后，需要430ms才可能恢復(fù)正常，這對于自身具有良好穩(wěn)定性的無人機(jī)通常是可以接受的，但對于高機(jī)動性無人機(jī)則有很大風(fēng)險；②熱重啟有一定的失敗率。為了增強(qiáng)克服以上問題的能力，設(shè)計(jì)了雙機(jī)熱備加固方案。

2.2 雙機(jī)熱備加固方案

2.2.1 加固方案

設(shè)計(jì)思路:為原系統(tǒng)DSP(記為DSPA)設(shè)置一個熱備份(記為DSPB)。二者同時接收各路數(shù)據(jù)并進(jìn)行輸出解算。當(dāng)DSPA正常工作時，選擇DSPA的輸出數(shù)據(jù)；當(dāng)DSPA發(fā)生故障時，對其進(jìn)行一次復(fù)位，如果復(fù)位不成功，或者DSPA再次發(fā)生故障，則選擇DSPB的輸出數(shù)據(jù)。由于DSPB在作為備份時也是加電工作的，因而這種備份方式稱為熱備份。

在雙機(jī)備份系統(tǒng)中，每1路DSP的輸入信號都需要同時引入DSPA和DSPB中；每1路DSP的輸出信號都需要引入選擇器，根據(jù)兩個DSP故障情況，選擇其中1個輸出作為系統(tǒng)的輸出信號。方案如圖5所示。

在自駕儀上電時，DSPA會進(jìn)行初始化，并對復(fù)位器進(jìn)行設(shè)置。計(jì)數(shù)器初始化，Q2為“0”，因此選擇器的S端為“0”，輸出來自DSPA的數(shù)據(jù)。

圖5 雙機(jī)熱備加固方案Fig.5 The dual resolver hot backup reinforcement

當(dāng)DSPA出現(xiàn)故障時，無法提供心跳信號，復(fù)位器會對DSPA進(jìn)行復(fù)位，同時該復(fù)位信號被計(jì)數(shù)器接收，使得Q1為“1”。如果復(fù)位沒有成功，或復(fù)位成功后再次故障，復(fù)位器會再次發(fā)出復(fù)位信號，使得Q2為“1”，反相門輸出“0”給計(jì)數(shù)器的使能端，令其停止計(jì)數(shù)，始終保持Q2為“1”，選擇器S端為“1”，輸出來自DSPB的數(shù)據(jù)。

2.2.2 可靠性

設(shè)該加固方案的可靠性為R2(t)。系統(tǒng)恰好在t時刻出現(xiàn)故障有以下幾種情形:

1)DSPA恰好在t時刻發(fā)生故障且復(fù)位失敗，DSPB在(0，t)時間段發(fā)生故障，其概率為:

2)DSPA在(0，t)時間段僅發(fā)生一次故障且復(fù)位成功，在t時刻又發(fā)生故障，DSPB在(0，t)時間段發(fā)生故障，其概率為:

3)DSPA在(0，t)時間段發(fā)生過故障且第一次復(fù)位失敗，DSPB恰好在t時刻發(fā)生故障，其概率為:

4)DSPA在(0，t)時間段發(fā)生多于一次故障且第一次復(fù)位成功，DSPB恰好在t時刻發(fā)生故障，其概率為:

2.2.3 模擬驗(yàn)證

給DSPA在t=1s，t=6s分別注入一次故障，給DSPB在t=8s注入一次故障。模擬結(jié)果如圖6所示。圖中yA(t)與yB(t)分別為來自DSPA與DSPB的輸出數(shù)據(jù)，y2(t)為系統(tǒng)輸出數(shù)據(jù)。

當(dāng)DSPA第一次出現(xiàn)故障且成功重啟前后，系統(tǒng)仍然選擇DSPA的數(shù)據(jù)作為輸出，在其重啟并初始化過程中，系統(tǒng)輸出0。當(dāng)DSPA第二次發(fā)生故障后，系統(tǒng)選擇工作正常的DSPB的數(shù)據(jù)作為輸出，立即恢復(fù)正常輸出。當(dāng)系統(tǒng)已經(jīng)啟用DSPB的數(shù)據(jù)而DSPB發(fā)生故障時，由于沒有進(jìn)一步的容錯措施，系統(tǒng)崩潰。

圖6 雙機(jī)熱備加固模擬輸出Fig.6 The output of the dual resolver hot backup reinforcement

考慮到電子系統(tǒng)故障很大一部分是由過熱引起，當(dāng)系統(tǒng)啟用DSPB的數(shù)據(jù)后，如果將發(fā)生故障的DSPA冷卻一段時間然后再重啟，則其有相當(dāng)大的概率恢復(fù)工作，將其作為DSPB的備份可以很好地提高系統(tǒng)可靠性?；谶@一想法，設(shè)計(jì)了雙機(jī)互備加固方案。

2.3 硬件切換雙機(jī)互備加固方案

2.3.1 加固方案

設(shè)計(jì)思路:為DSP設(shè)置雙機(jī)互備系統(tǒng)，當(dāng)DSPA故障時，選擇DSPB的輸出，同時將DSPA冷卻作為備份；之后如果DSPB發(fā)生故障，重新啟動DSPA并選擇其輸出，同時將DSPB冷卻作為備份。這樣的備份方式稱為冷備份。方案如圖7所示。

圖7 硬件切換雙機(jī)互備加固方案Fig.7 The dual host system switched by hardware

在自駕儀上電時，計(jì)數(shù)器初始化使Q1為“0”，因此選擇器(圖中未畫出)的S端為“0”，輸出來自DSPA的數(shù)據(jù)。

當(dāng)DSPA故障時，復(fù)位器A發(fā)出的復(fù)位信號使計(jì)數(shù)器A的Q1變?yōu)椤?”，經(jīng)過反相門引到使能端后，計(jì)數(shù)器A停止計(jì)數(shù)，保持Q1始終為“1”。Q1引到DSPA的復(fù)位端使其保持冷卻，同時引到選擇器的S端使系統(tǒng)輸出來自DSPB的數(shù)據(jù)?？梢?，這里的計(jì)數(shù)器實(shí)質(zhì)上是起到了保持器的功能。

此后，如果DSPB也發(fā)生故障，復(fù)位器B發(fā)出的復(fù)位信號將計(jì)數(shù)器A清零，Q1重置為“0”，則DSPA重啟，同時選擇器的S端為“0”，輸出來自DSPA的數(shù)據(jù)。

2.3.2 可靠性

在故障發(fā)生后，復(fù)位器對DSP進(jìn)行冷卻一段時間然后重啟，稱這樣的重啟方式為冷重啟。設(shè)冷重啟的成功率為PC。

設(shè)該加固方案的可靠性為R3(t)。系統(tǒng)恰好在t時刻出現(xiàn)故障有以下幾種情形:

1)DSPA恰好在t時刻發(fā)生故障，DSPB在(0，t)時間段發(fā)生故障，冷卻一段時間后在t時刻重啟失敗。其概率為

2)DSPA在(0，t)時間段發(fā)生過故障并順利切換到DSPB，然后系統(tǒng)進(jìn)入這樣一種穩(wěn)定模式:作為備份的DSP都處于故障并等待冷卻重啟。其恰好在t時刻發(fā)生故障的概率為

其中，上述穩(wěn)定模式與單機(jī)復(fù)位方案類似，相當(dāng)于將系統(tǒng)的瞬間故障率降為λ(1-PC)，其可靠性為

2.3.3 模擬驗(yàn)證

給DSPA在t=1s，t=6s分別注入一次故障，給DSPB在t=3s，t=8s分別注入一次故障。系統(tǒng)輸出結(jié)果如圖8所示。

圖8 硬件切換雙機(jī)互備加固模擬輸出Fig.8 The output of the dual host system switched by hardware

可見，自駕儀上電時兩個主備DSP均輸出正常信號，當(dāng)DSPA第一次故障時，系統(tǒng)輸出切換到DSPB，由于此時DSPB處于正常工作狀態(tài)，因此一經(jīng)切換系統(tǒng)立即輸出正常信號。

此后系統(tǒng)對備份DSP的復(fù)位信號一直持續(xù)，使其冷卻不進(jìn)行運(yùn)算。主DSP故障時，備份DSP重啟并初始化，而此時系統(tǒng)輸出已經(jīng)切換到備份DSP，因此初始化完成前系統(tǒng)輸出為0。

如果在此基礎(chǔ)上，使備份DSP不等主DSP發(fā)生故障，而是冷卻一段時間就自動重啟，則在發(fā)生故障時系統(tǒng)可以立即輸出正常值，達(dá)到最佳的加固效果。然而，這一功能用簡單硬件實(shí)現(xiàn)起來較為復(fù)雜，考慮到可以在DSP內(nèi)部加一小段程序來實(shí)現(xiàn)，因而設(shè)計(jì)了軟件切換雙機(jī)互備加固方案。

2.4 軟件切換雙機(jī)互備加固方案

2.4.1 加固方案

設(shè)計(jì)思路:為DSP設(shè)置雙機(jī)互備，當(dāng)DSPA發(fā)生故障時，選擇DSPB的輸出，同時將DSPA冷卻，一段時間后自動重啟，但仍使用DSPB的數(shù)據(jù)，直到其發(fā)生故障再切換到DSPA。設(shè)計(jì)方案如圖9所示。

兩個DSP芯片都可以監(jiān)測對方的心跳信號，并通過復(fù)位電路(圖中用黑色圓點(diǎn)表示)相互重啟。復(fù)位電路由電阻、電容、三極管等簡單元件組成，主要起到提供穩(wěn)定復(fù)位電壓的作用。具體切換的邏輯通過DSP中的程序?qū)崿F(xiàn)。

圖9 軟件切換雙機(jī)互備方案Fig.9 The dual host system switched by software

自駕儀上電時，DSPA先啟動，作為主機(jī)，DSPB稍后啟動，作為備機(jī)。DSP在啟動時，首先檢測對方是否為主機(jī):如果不是，則自己作為主機(jī)，進(jìn)行正常驅(qū)動解算并輸出；如果是，則自己作為備份，檢測主機(jī)的心跳信號，如果發(fā)現(xiàn)主機(jī)故障，則給主機(jī)發(fā)出長度為10s的復(fù)位信號(即將主機(jī)冷卻10s然后啟動)，同時自己切換為主機(jī)。

將DSPA是否為主機(jī)的信號接到選擇器的S端。DSPA為主機(jī)時，輸出來自DSPA的信號；否則輸出來自DSPB的信號。

由于本方案和硬件切換雙機(jī)互備加固方案的切換流程是相同的，且都是冷重啟，因而二者的可靠性相同。

2.4.2 模擬驗(yàn)證

為了較明晰地看到發(fā)生故障時的數(shù)據(jù)細(xì)節(jié)，模擬總時長不宜太大，因而在模擬驗(yàn)證中，將方案中的冷卻10s減為冷卻0.5s。給DSPA在t=1s，t =6s分別注入一次故障，給DSPB在t=3s，t=8s分別注入一次故障。系統(tǒng)輸出結(jié)果如圖10所示。

圖10 軟件切換雙機(jī)互備方案模擬輸出Fig.10 The output of the dual host systemswitched by software

可見，自駕儀上電后DSPA為主，系統(tǒng)選擇其數(shù)據(jù)進(jìn)行輸出。DSPB作為備份，監(jiān)測DSPA并輸出0。當(dāng)DSPA發(fā)生故障后，DSPB給DSPA發(fā)出復(fù)位信號并聲明自己為主。DSPA被冷卻一段時間，期間不進(jìn)行運(yùn)算。之后進(jìn)行初始化，初始化成功時會輸出1幀解算信號，同時檢測到DSPB為主后將自己作為備份。

通過模擬驗(yàn)證可以看出，系統(tǒng)在故障后切換時備份已經(jīng)初始化完畢，故系統(tǒng)的非正常輸出時間要更短，因而容錯效果最優(yōu)。

但應(yīng)當(dāng)指出，雖然軟件切換雙機(jī)互備方案在容錯效果和硬件成本等方面要優(yōu)于硬件切換，但是增加了原DSP的工作負(fù)荷以及程序出現(xiàn)BUG的風(fēng)險。

3 加固方案可靠性比較

圖11 各加固方案可靠性對比圖Fig.11 The reliabilities of the reinforcements

設(shè)置λ=2×10-5/s，PR=0.8，PC=0.95，模擬時長為15h，圖11顯示了各加固方案的可靠性R(t)隨時間的變化。

由圖11可以看出，加固后的系統(tǒng)可靠性明顯大于原系統(tǒng)；雙機(jī)互備方案的可靠性最高；雙機(jī)熱備方案的可靠性在仿真前期大于單機(jī)復(fù)位方案，超過一段時間(該組參數(shù)下為11.4h)后，其可靠性會低于單機(jī)復(fù)位方案，其原因是切換到備份DSP后，系統(tǒng)沒有進(jìn)一步的容錯措施。

4 結(jié)論

根據(jù)逐步提高的加固要求，先后設(shè)計(jì)了四個自駕儀硬件加固方案，推導(dǎo)了這些方案的可靠性，并研究了這些方案在處理故障時的一些特點(diǎn)。通過理論推導(dǎo)與模擬分析的對比研究，得出以下結(jié)論:

1)在所設(shè)計(jì)的四個加固方案中，單機(jī)復(fù)位方案的復(fù)雜性與成本最低，雖然容錯效果低于其他方案，但也能大幅提高系統(tǒng)的可靠性。

2)在所設(shè)計(jì)的四個加固方案中，雙機(jī)互備系統(tǒng)的可靠性最高，其中軟件切換方案處理故障時的系統(tǒng)異常輸出時間最短。

本文對各加固方案的評價主要基于理論上的可靠性增長及處理故障時的系統(tǒng)異常輸出時間。這些方案在實(shí)際工程應(yīng)用時，還需要進(jìn)行相應(yīng)的供電電路設(shè)計(jì)、電路板布局設(shè)計(jì)。本文研究可以作為對無人機(jī)自駕儀進(jìn)行硬件加固的參考。在具體選用哪種方案時，應(yīng)當(dāng)根據(jù)控制解算器工作負(fù)荷以及系統(tǒng)對可靠性、復(fù)雜度與成本的要求綜合考慮。

References)

［1］Department of Defense.Unmanned systems roadmap 2007-2032［R］.USA:Washington D.C.，2007.

［2］朱華勇，牛軼峰，沈林成，等.無人機(jī)系統(tǒng)自主控制技術(shù)研究現(xiàn)狀與發(fā)展趨勢［J］.國防科技大學(xué)學(xué)報，2010，32(3):115-120.ZHU Huayong，NIU Yifeng，SHEN Lincheng，et al.State of the art and trends of autonomous control of UAV systems［J］.Journal of National University of Defense Technology，2010，32(3):115-120.(in Chinese)

［3］Zugaj M，Narkiewicz J.Autopilot for reconfigurable flight control system［J］.Journal of Aerospace Engineering，2009，22(1):78-84.

［4］Bentley R M.Validating the pentium 4 microprocessor［C］// Proceedings of the International Conference on Dependable Systems and Networks，2001:493-498.

［5］Zielger JF，Puchner H.SER-history，trends and challenges［R］.Cypress Semiconductor Corporation，2004.

［6］DeLima PG，Yen G G.Tuning of fault tolerant control design parameters［J］.ISA Transactions，2008，47(1):127-142.

［7］Goloubeva O，Rebaudengo M，Reorda M S，et al.Software implemented hardware fault tolerance CRC-TR 00-9［R］.USA:Center for Reliable Computing，2000.

［8］Sorin D.Fault tolerant computer architecture［M］.USA: Morgan＆Claypool Publishers，2009.

［9］Mukherjee S.Architecture design for soft errors［M］.USA: Morgan Kaufmann Publishers，2008.

Hardware reinforcement designs and reliability analysis of unmanned aerial vehicle autopilots

GUO Tianhao1，HOU Zhongxi1，JIANG Jingfei2，JIANG Hanqing1
(1.College of Aerospace Sciences and Engineering，National University of Defense Technology，Changsha 410073，China；2.College of Computer，National University of Defense Technology，Changsha 410073，China)

The autopilot is the crucial device for a unmanned aerial vehicle to implementautonomous flights andmissions.Most of the existing commercial autopilots have no hardware reinforcement，which will lead to a risk in carrying out some significant tasks.The analysis reveals that the control resolver is themodule which performs the greatest impact on the security and the reliability in the composing of an autopilot.With the increasing fault-tolerance requirements，4 reinforcements were respectively designed，namely，the single resolver reset reinforcement，the dual resolver hot backup reinforcement，and the dual host systems switched by hardware and software.Several simple devices such as repositors，counters，inverters，selectors，and additional codes inside the resolverswere used to build the reinforcements.The reliabilities varyingwith time of the reinforcements were emphatically studied and comparatively analyzed.With the simulation of the working mechanisms，the fault-tolerance performances，such as the abnormal output durations，of the reinforcements in fault treatments were analyzed.The calculations show that all the reinforcements can obviously enhance the reliability of the autopilot，of which the dual host systems increase themost.This research provides a meaningful direction to the tradeoff of the fault-tolerance performance，complexity，and cost in high reliability autopilot designs.

autopilot；control resolver；hardware reinforcement；fault-tolerance design；reliability enhancement

V241.4

A

1001-2486(2015)05-097-07

10.11887/j.cn.201505015

http://journal.nudt.edu.cn

2014-11-10

國家863計(jì)劃資助項(xiàng)目(2014AA7052002)

郭天豪(1989—)，男，陜西漢中人，博士研究生，E-mail:upspark@qq.com；侯中喜(通信作者)，男，教授，博士，博士生導(dǎo)師，E-mail:hzx@nudt.edu.cn