基于拜占庭容錯(cuò)體系構(gòu)架的航天器控制系統(tǒng)測試性設(shè)計(jì)與分析

唐 寧，劉智勇，高亞楠，何英姿

(北京控制工程研究所，北京 100190)

基于拜占庭容錯(cuò)體系構(gòu)架的航天器控制系統(tǒng)測試性設(shè)計(jì)與分析

唐 寧，劉智勇，高亞楠，何英姿

(北京控制工程研究所，北京 100190)

飛行控制系統(tǒng)作為航天飛行器的關(guān)鍵機(jī)載系統(tǒng)，其運(yùn)行情況直接關(guān)系到飛行任務(wù)的成敗.通過良好的測試性設(shè)計(jì)，可以提高系統(tǒng)的可靠性和安全性，減少維修人力及其他保障資源，降低壽命周期費(fèi)用.對(duì)拜占庭容錯(cuò)體系結(jié)構(gòu)的航天器控制系統(tǒng)和分層多信號(hào)流圖模型的測試性設(shè)計(jì)和建模方法進(jìn)行了詳細(xì)的敘述，并對(duì)基于拜占庭容錯(cuò)體系結(jié)構(gòu)的航天器控制系統(tǒng)進(jìn)行了測試性建模，通過測試性建模和分析系統(tǒng)(TMAS軟件)驗(yàn)證控制系統(tǒng)測試性設(shè)計(jì)的正確性和有效性.

飛行控制系統(tǒng)；拜占庭容錯(cuò)系統(tǒng)結(jié)構(gòu)；多信號(hào)流圖；測試性設(shè)計(jì)和建模

0 引 言

飛行控制系統(tǒng)作為航天飛行器的關(guān)鍵機(jī)載系統(tǒng)，其運(yùn)行情況直接關(guān)系到飛行任務(wù)的成敗.隨著航天技術(shù)的發(fā)展，飛行控制系統(tǒng)日趨復(fù)雜.功能性能的提升伴隨著系統(tǒng)結(jié)構(gòu)復(fù)雜程度加劇，也必然導(dǎo)致復(fù)雜回路的增加和故障模式的增多.受到通道資源和傳輸速率的限制，飛行器不可能大規(guī)模傳輸遙測數(shù)據(jù)，而且有時(shí)會(huì)長時(shí)間的工作在非測控區(qū)域內(nèi)，不能進(jìn)行遙測傳輸，當(dāng)系統(tǒng)故障失效時(shí)，維護(hù)人員僅憑有限的遙測信息很難將故障隔離到具體的模塊或回路.因此在系統(tǒng)設(shè)計(jì)時(shí)，必須考慮系統(tǒng)的測試性.在設(shè)計(jì)初期通常采用基于模型的設(shè)計(jì)方法，提高系統(tǒng)的測試性.

隨著人類探索宇宙的不斷深入，世界各航天大國提出了各種創(chuàng)新的概念和方案，其中可重復(fù)使用多次返回的航天技術(shù)日益成為各國爭相追逐的熱點(diǎn).為了實(shí)現(xiàn)這種航天技術(shù)，必須研制高可靠的控制系統(tǒng).控制系統(tǒng)設(shè)計(jì)人員據(jù)此開發(fā)了基于拜占庭容錯(cuò)體系結(jié)構(gòu)的航天器控制系統(tǒng)，本文在分析控制系統(tǒng)結(jié)構(gòu)和組成的基礎(chǔ)上，給出了控制系統(tǒng)測試性設(shè)計(jì)的分析流程，建立了可測試性設(shè)計(jì)的模型，最后利用專業(yè)軟件，進(jìn)行了可測試性設(shè)計(jì)的仿真評(píng)估.

1 測試性定義與分析流程

測試性是一種設(shè)計(jì)特性，根據(jù)國軍標(biāo)GJB 2547A-1995將測試性定義為產(chǎn)品能及時(shí)準(zhǔn)確地確定其狀態(tài)(可工作、不可工作或性能下降)并隔離其內(nèi)部故障的一種設(shè)計(jì)特性.測試性具有與可靠性、維修性、保障性同等重要地位，是構(gòu)成系統(tǒng)質(zhì)量特性的重要組成部分.通過良好的測試性設(shè)計(jì)，可以提高系統(tǒng)的可靠性、任務(wù)成功性和安全性，減少維修人力及其他保障資源，降低壽命周期費(fèi)用[1].

測試性分析都是根據(jù)系統(tǒng)的設(shè)備組成、信號(hào)流程和工作原理來構(gòu)建模型，并通過詳細(xì)的信號(hào)關(guān)聯(lián)關(guān)系分析，確定功能子模塊或設(shè)備的故障傳播方向和影響范圍，由功能子模塊到設(shè)備再到系統(tǒng)逐步完成系統(tǒng)的測試性分析[2].

2 測試性模型設(shè)計(jì)方法

測試性模型采用單元模塊節(jié)點(diǎn)和測試節(jié)點(diǎn)來描述其組成單元.單元模塊節(jié)點(diǎn)代表系統(tǒng)中的LRU(外場可更換單元)或SRU(車間可更換單元)，用方框表示；測試節(jié)點(diǎn)即系統(tǒng)中添加的測試節(jié)點(diǎn)，用圓圈表示.在測試性模型中，單元模塊節(jié)點(diǎn)與單元模塊節(jié)點(diǎn)之間、單元模塊節(jié)點(diǎn)與測試節(jié)點(diǎn)通過帶有單箭頭的連接線(即有向邊)兩兩連接起來，以表示故障或者信號(hào)在系統(tǒng)中的傳播路徑和傳播方向，這種傳播方向是不可逆的，因此有向邊連接的兩個(gè)節(jié)點(diǎn)之間的關(guān)系是固定不變的[1].從形式上講，測試性模型由以下單元組成:

1)有限的單元模塊集：Fn={F1,F2,F3,…，F(xiàn)n};

2)n維的測試節(jié)點(diǎn)集：TPn={tp1,tp2,tp3,…，tpn};

3)相互獨(dú)立的系統(tǒng)信號(hào)集：Sn={s1,s2,s3,…，sn};

4)m維的測試集：Tm={t1,t2,t3,…，tm};

5)有限的有向邊集：E={eij};元素eij表示有向圖中連接節(jié)點(diǎn)i和節(jié)點(diǎn)j，且由節(jié)點(diǎn)i指向節(jié)點(diǎn)j的有向邊；

6)測試節(jié)點(diǎn)tpn的信號(hào)集：SP(tpn)；

7)系統(tǒng)結(jié)構(gòu)有向圖：DG={F,TP,E},有向圖的邊E表示系統(tǒng)的物理連接.

可以用一個(gè)簡單的有向圖表示上述結(jié)構(gòu)單元，如圖1所示.

3 基于拜占庭容錯(cuò)體系結(jié)構(gòu)的航天器控制系統(tǒng)構(gòu)成

基于拜占庭容錯(cuò)體系結(jié)構(gòu)的航天器控制系統(tǒng)構(gòu)成如圖2所示.系統(tǒng)共設(shè)計(jì)有4條總線，分別為3條GNC總線，1條數(shù)管總線.GNC控制器A、B、C三機(jī)分別設(shè)計(jì)有1條GNC總線，D機(jī)設(shè)計(jì)有3條GNC總線，分別連接在3條GNC總線上.其中與GNC系統(tǒng)相關(guān)的敏感器、執(zhí)行機(jī)構(gòu)和接口裝置分別連接在3條GNC總線上.GNC控制器A、B、C三機(jī)分別控制1條GNC總線，D機(jī)負(fù)責(zé)在故障情況下對(duì)GNC總線進(jìn)行統(tǒng)一調(diào)整.數(shù)管總線負(fù)責(zé)遙測數(shù)據(jù)、數(shù)管指令和注入數(shù)據(jù)的傳輸.正常情況下，GNC控制器A、B、C三機(jī)作為3條GNC總線的BC端， D機(jī)工作在MT模式，故障情況下，可作為任一條GNC總線的BC端，各敏感器、執(zhí)行機(jī)構(gòu)和接口裝置作為GNC總線的RT端.數(shù)管計(jì)算機(jī)作為數(shù)管總線的BC端，GNC控制器A、B、D機(jī)作為數(shù)管總線的RT端.

4 基于1553B總線的控制系統(tǒng)構(gòu)架

目前比較流行的航天器主要采用基于內(nèi)部1553B總線的控制系統(tǒng)體系結(jié)構(gòu).系統(tǒng)的基本組成如下：兩條外部1553B總線(其中一條是備份)連接控制計(jì)算機(jī)與星上數(shù)據(jù)管理系統(tǒng)(OBDH，on board data handling)．兩條內(nèi)部1553B總線(其中一條為備份)，連接控制計(jì)算機(jī)與控制系統(tǒng)各組成部件，包括各敏感器、各執(zhí)行機(jī)構(gòu)．控制計(jì)算機(jī)由應(yīng)急控制器和AOCC組成.AOCC為內(nèi)1553B總線的總線控制器(BC，bus controller)，控制系統(tǒng)其它部件是內(nèi)總線的遠(yuǎn)程單元(RT，remote terminal)，當(dāng)AOCC發(fā)生故障時(shí)，容錯(cuò)模塊通過切機(jī)信號(hào)將應(yīng)急計(jì)算機(jī)作為當(dāng)班機(jī)，將同AOCC一樣完成系統(tǒng)正常功能所要求的操作[3]．系統(tǒng)結(jié)構(gòu)如圖3所示.

5 兩種航天器控制系統(tǒng)構(gòu)架的測試性設(shè)計(jì)與分析

根據(jù)測試性模型設(shè)計(jì)方法，在基于拜占庭容錯(cuò)體系結(jié)構(gòu)的GNC控制器的A、B、C、D機(jī)中分別設(shè)置

一個(gè)測試節(jié)點(diǎn)，慣性測量單元設(shè)置一個(gè)測試節(jié)點(diǎn)，星敏感器設(shè)置一個(gè)測試節(jié)點(diǎn)，伺服子系統(tǒng)設(shè)置一個(gè)測試節(jié)點(diǎn)，具體見圖2.在基于1553B總線體系的GNC控制器的應(yīng)急線路和AOCC中分別設(shè)置一個(gè)測試節(jié)點(diǎn)，慣性測量單元設(shè)置一個(gè)測試節(jié)點(diǎn)，星敏感器設(shè)置一個(gè)測試節(jié)點(diǎn)，伺服子系統(tǒng)設(shè)置一個(gè)測試節(jié)點(diǎn)，具體見圖3.

根據(jù)測點(diǎn)與故障傳遞關(guān)系，可建立該系統(tǒng)的故障-測試相關(guān)矩陣，D矩陣可表示為

表1 兩種體系結(jié)構(gòu)的航天器控制系統(tǒng)的故障-測試相關(guān)矩陣對(duì)比Tab.1 The compare of two architecture control systems on D matrix

通過觀察，基于拜占庭體系的航天控制器相對(duì)于基于主備冗余的1553B總線體系的航天控制器輸出的D矩陣中測點(diǎn)和部件之間的相關(guān)關(guān)系更強(qiáng)，在考慮“一重故障”的情況下，任一部件故障，都至少有4個(gè)檢測點(diǎn)可以檢出，而對(duì)于基于主備冗余的1553B總線體系的控制器而言，任一部件故障，都只有2個(gè)檢測點(diǎn)可以檢出，通過TMAS輸出的D矩陣中測點(diǎn)和部件之間的相關(guān)關(guān)系，與實(shí)際系統(tǒng)分析所得結(jié)果是一致的，驗(yàn)證了系統(tǒng)模型建立的正確性，基于拜占庭體系航天控制器的測試性設(shè)計(jì)能極大提高系統(tǒng)的故障檢測率.

6 控制系統(tǒng)測試性建模與分析

根據(jù)前面介紹的測試性分析流程與測試性模型設(shè)計(jì)方法和控制系統(tǒng)的組成框圖，對(duì)該控制系統(tǒng)進(jìn)行測試性設(shè)計(jì)建模與分析.

為了展現(xiàn)單元與測試之間的關(guān)系，本文設(shè)計(jì)了控制系統(tǒng)的多信號(hào)流圖的層次化圖形模型，此圖形形式具有表達(dá)直觀、便于理解的優(yōu)點(diǎn)，可以比較清楚的表明被測對(duì)象的各個(gè)測試點(diǎn)與各個(gè)組成單元之間的邏輯關(guān)系.

6.1多信號(hào)流圖的層次化圖形模型的設(shè)計(jì)方法

根據(jù)系統(tǒng)的功能和結(jié)構(gòu)分析，基于拜占庭容錯(cuò)體系結(jié)構(gòu)的航天器控制系統(tǒng)自頂向下可分為系統(tǒng)級(jí)、子系統(tǒng)級(jí)(單機(jī))和模塊級(jí)(功能子電路級(jí))3個(gè)層次.具體結(jié)構(gòu)層次劃分見圖4.

當(dāng)系統(tǒng)發(fā)生某種故障時(shí)，系統(tǒng)相關(guān)層級(jí)就會(huì)表現(xiàn)出某種與之對(duì)應(yīng)的征兆，較低層級(jí)表現(xiàn)為某些結(jié)構(gòu)單元失效或損壞，較高層級(jí)則表現(xiàn)為某些組件功能失常、性能下降，或各功能組件運(yùn)轉(zhuǎn)不協(xié)調(diào)等，低層級(jí)子故障總是其高層級(jí)父故障的特例，高層級(jí)父故障則是其低層級(jí)子故障的概括.故障診斷推理是按照自頂向下的原則先隔離高層級(jí)單元再定位低層級(jí)單元，故障最終定位到可更換的模塊，維修時(shí)利用備份的子模塊直接替換可能發(fā)生故障的單元.

6.2控制系統(tǒng)測試性模型設(shè)計(jì)

測試性建模與分析系統(tǒng)(testability modeling and analysis system，TMAS)，是由北京航空航天大學(xué)可靠性工程研究所，結(jié)合多年在測試性領(lǐng)域研究和應(yīng)用的專業(yè)優(yōu)勢，針對(duì)當(dāng)前科研項(xiàng)目及工程型號(hào)任務(wù)的迫切需求，自主研發(fā)了具有自主知識(shí)產(chǎn)權(quán)的工具軟件.

TMAS集測試性建模、測試性分析和診斷推理三大功能于一體，旨在幫助用戶在產(chǎn)品或系統(tǒng)設(shè)計(jì)階段優(yōu)化和改進(jìn)產(chǎn)品或系統(tǒng)的測試性設(shè)計(jì)和故障診斷方案.TMAS支持用戶根據(jù)系統(tǒng)結(jié)構(gòu)組成和工作原理，快速地建立符合相關(guān)性理論和多信號(hào)流圖的層次化圖形模型.TMAS支持建立標(biāo)準(zhǔn)化的測試性模型，包含系統(tǒng)組成單元、故障模式、故障率、測試點(diǎn)及測試類型、工作模式和系統(tǒng)配置等測試性信息.TMAS支持對(duì)測試性模型進(jìn)行測試性分析輸出測試性分析報(bào)告，報(bào)告涵蓋相關(guān)性矩陣、測試性指標(biāo)、診斷樹等測試性信息.用戶可根據(jù)測試性分析結(jié)果指導(dǎo)和優(yōu)化產(chǎn)品或系統(tǒng)的測試性設(shè)計(jì)，以提高系統(tǒng)的測試性設(shè)計(jì)水平.

現(xiàn)以基于拜占庭容錯(cuò)體系結(jié)構(gòu)的航天器控制系統(tǒng)為例，利用TMAS軟件基于多信號(hào)流圖的層次化圖形模型的設(shè)計(jì)方法進(jìn)行可測試性仿真評(píng)估.控制系統(tǒng)主要由GNC控制器(GNCC)、慣性測量單元(IMU)、星敏感器(STS)和伺服子系統(tǒng)(SS)組成.圖5為以控制器的電源模塊為例的模塊級(jí)多信號(hào)流圖模型.

6.3控制系統(tǒng)測試性評(píng)估

根據(jù)建立的分層多信號(hào)模型，對(duì)基于拜占庭體系的航天控制系統(tǒng)進(jìn)行分析.正常情況下GNCC的A、B、C 3個(gè)單機(jī)每條單機(jī)控制一條GNC總線，通過數(shù)據(jù)交換比對(duì)使每個(gè)單機(jī)均獲得3條GNC總線的部件健康數(shù)據(jù)， D機(jī)具有3個(gè)1553B控制器作為MT分別與3條控制總線相連，作為備份.當(dāng)A、B、C 3個(gè)單機(jī)GNC總線狀態(tài)故障情況下，D機(jī)掛在相應(yīng)總線上的1553B控制器被配置為BC，代替故障單機(jī)接替相應(yīng)GNC總線控制權(quán).從拜占庭體系控制器的使用策略可以看出，在GNC控制器的A、B、C 3個(gè)單機(jī)分別設(shè)置一個(gè)檢測點(diǎn)，即可檢測出總線上所有部件的故障情況.按照上述原則設(shè)置了6個(gè)檢測點(diǎn)，分別為GNC控制器的A機(jī)檢測點(diǎn)，GNC控制器的B機(jī)檢測點(diǎn)，GNC控制器的C機(jī)檢測點(diǎn)，慣性測量單元檢測點(diǎn)，星敏感器檢測點(diǎn)和伺服子系統(tǒng)檢測點(diǎn)，利用TMAS軟件針對(duì)該系統(tǒng)進(jìn)行測試性分析，在此6個(gè)測點(diǎn)的模型中，故障檢測率為90.4%，故障隔離率為68.34%，顯然不能滿足診斷和隔離要求，必須對(duì)其進(jìn)行測試性改進(jìn)設(shè)計(jì).故障檢測率低，說明有效測點(diǎn)的數(shù)量較少，需要在適當(dāng)?shù)奈恢迷黾訙y點(diǎn)，提高檢測率.故障隔離率較低，說明控制器中有單機(jī)故障，其所控總線上部件的健康數(shù)據(jù)無法獲得，而引起故障無法隔離，因此在控制器的D機(jī)再設(shè)置一個(gè)測點(diǎn)，保證在控制器中的某個(gè)單機(jī)故障，依然可以得到相應(yīng)總線上部件的健康數(shù)據(jù).通過TMAS軟件針對(duì)該7個(gè)測點(diǎn)的系統(tǒng)進(jìn)行測試性分析，可知該系統(tǒng)的故障檢測率為99.8%，故障隔離率為78.6%，各項(xiàng)指標(biāo)得到了極大的改善，大大提高了系統(tǒng)的診斷能力.表2為該系統(tǒng)改進(jìn)設(shè)計(jì)后的測試性仿真分析結(jié)果.

序號(hào)參數(shù)名稱值1故障檢測率99.8%2故障隔離率78.6%3診斷樹測試數(shù)量104未使用的測試及數(shù)量425平均模糊度2.6666676診斷平均測試步驟數(shù)4.0909097模糊組總數(shù)68診斷樹節(jié)點(diǎn)數(shù)219診斷樹葉節(jié)點(diǎn)數(shù)1110系統(tǒng)MTBF603883.458277203

7 結(jié) 論

測試性設(shè)計(jì)與分析是一門新興學(xué)科，目前正逐步推廣到航天領(lǐng)域，以測試性為主的診斷、預(yù)測與健康管理技術(shù)將極大的提高航天器的保障能力，確保航天任務(wù)的順利完成.

本文介紹了系統(tǒng)測試性的定義與分析流程，重點(diǎn)敘述了分層多信號(hào)圖形化測試性模型的設(shè)計(jì)方法，以基于拜占庭容錯(cuò)體系結(jié)構(gòu)航天器控制系統(tǒng)測試性建模為例，利用TMAS專業(yè)軟件，對(duì)該系統(tǒng)進(jìn)行了定量的測試性評(píng)價(jià)，驗(yàn)證了該系統(tǒng)測試性設(shè)計(jì)的有效性.

[1] 石君友. 測試性設(shè)計(jì)分析與驗(yàn)證[M]. 長沙： 國防工業(yè)出版社， 2011.

[2] 黃成, 禚輝, 車夢(mèng)虎. 基于TEAMS和IETM的武器控制系統(tǒng)故障診斷與維修設(shè)備的設(shè)計(jì)[J]. 計(jì)算機(jī)測量與控制, 2014, 22(7): 2131-04.

HUANG C, ZHUO H, CHE M. Design of weapon control system’s fault diagnosis and maintenance equipment based on TEAMS and IETM[J]. Computer Measurement and Control, 2014, 22(7): 2131-04.

[3] 王海博, 袁利. 基于內(nèi)部1553B總線的航天器控制系統(tǒng)可測試性框架設(shè)計(jì)與驗(yàn)證[J]. 空間控制技術(shù)與應(yīng)用， 2014, 40(2): 26-31.

WANG H B, YUAN L. Frame design and verification of DFT technique for control system of spacecraft based on 1553B bus architecture[J]. Aerospace Control and Application, 2014, 40(2): 26-31.

[4] 張強(qiáng), 胡駿, 胡政, 等. 基于多信號(hào)模型的航天器供電系統(tǒng)測試性建模與分析[J]. 載人航天, 2012, 18(6): 39-47.

ZHANG Q, HU J, HU Z, et al. Testability modeling and analysis of spacecraft power supply system based on multi-signal flow diagram[J]. Manned Spaceflight, 2012, 18(6): 39-47.

[5] 高亞楠, 賈英民, 藺玥. 基于數(shù)據(jù)總線的故障容錯(cuò)體系結(jié)構(gòu)的仿真研究[J]. 計(jì)算機(jī)仿真, 2014(5): 17-23.

GAO Y N, JIA Y M, LIN Y. Simulation study on data bus based fault-tolerant architecture[J]. Compurter Simulation, 2014(5): 17-23.

DesignandAnalysisofDFTofSpacecraftControlSystemBasedonByzantineFaultTolerantArchitecture

TANG Ning, LIU Zhiyong, GAO Yanan, HE Yingzi

(BeijingInstituteofControlEngineering，Beijing100190，China)

Flight control system is a very important part of the spacecraft on-board systems. Good design for testability (DFT) of flight control system can improve the system reliability and security, and reduce manufacturing cost. The methods of DFT of flight control system and multi-signal flow graph model are introduced in detail. Then, based on Byzantine fault tolerant architecture, the verification of DFT of flight control system is demonstrated via software TMAS (testability modeling and analysis system).

flight control system；Byzantine fault tolerant architecture；multi-signal flow graph model； design for testability and modeling

2016-09-27

TP391.9

A

1674-1579(2017)05-0055-06

10.3969/j.issn.1674-1579.2017.05.009

唐寧(1977—)，男，高級(jí)工程師，研究方向?yàn)楹教炱飨到y(tǒng)集成與技術(shù)設(shè)計(jì)；劉智勇(1984—)，男，工程師，研究方向?yàn)楹教炱髯藨B(tài)與軌道控制；高亞楠(1977—)，男，研究員，研究方向?yàn)镚NC系統(tǒng)級(jí)總體設(shè)計(jì)；何英姿(1970—)，女，研究員，研究方向?yàn)閺?fù)雜航天器高精度高穩(wěn)定度姿態(tài)控制技術(shù)和空天飛行器GNC技術(shù)等.