鄧曉彬 譚小野 李廷中 萬成安

(北京衛(wèi)星制造廠,北京 100190)

1 引言

空間電源系統(tǒng)作為航天器能量核心,其工作可靠性對于航天器任務(wù)有效執(zhí)行、宇航員生命安全保證等具有至關(guān)重要的作用。由于航天器運行時間長(一般為10年左右),運行環(huán)境特殊(空間環(huán)境)等因素,在執(zhí)行任務(wù)期間,電源系統(tǒng)不可避免會發(fā)生故障,因此需要建立在軌故障診斷系統(tǒng),實現(xiàn)實時“故障檢測、診斷和修復(fù)”(Fault Detection, Isolation and Recovery, FDIR),防止故障傳播、蔓延和災(zāi)難性事故發(fā)生。研究表明,在電子系統(tǒng)中使用自測試(Built in Test,BIT)技術(shù)可以提高系統(tǒng)診斷能力,并至少可降低50%的維修時間,從而最終降低設(shè)備的總費用[1]。

對國內(nèi)外多個衛(wèi)星平臺綜合電子設(shè)備、供配電系統(tǒng)的調(diào)研結(jié)果表明:集成化、模塊化、通用化、智能化已經(jīng)成為衛(wèi)星平臺電子設(shè)備的發(fā)展趨勢。NASA和ESA 均對綜合電子技術(shù)(AVIONICS)進(jìn)行了深入的研究,并取得顯著的成果。航天器AVIONICS并不是將不同的分系統(tǒng)單機簡單地用電纜連接在一起,而是將全部的接口和電子設(shè)備通過微處理器和軟件技術(shù)完美整合在一起[2]。航天器通過設(shè)備的集成完成設(shè)計功能,設(shè)備按照系統(tǒng)總體劃分分別進(jìn)行研制。日益增長的集成化、小型化、高性能的需求對于單元的設(shè)計和生產(chǎn)提出了巨大的挑戰(zhàn)。

本文在對FDIR 的方法進(jìn)行研究的基礎(chǔ)上,提出了基于癥候模式匹配的方法。這個方法基于以下前提,有效的故障隔離算法必須具有在許多故障檢測數(shù)據(jù)中識別模式的能力,也就是識別故障癥候的能力。由典型測試結(jié)果組成的故障癥候需要與其它設(shè)備或系統(tǒng)的冗余信號、硬件自測試結(jié)果和狀態(tài)進(jìn)行比較。應(yīng)用這種方法的算法可以提高目前廣泛應(yīng)用的冗余、故障容錯架構(gòu)的相關(guān)性級別。系統(tǒng)中故障蔓延的癥候?qū)?yīng)唯一的模式,因此這個方法可以提供故障隔離的性能。這個方法的另外一個優(yōu)勢是判定模式的基礎(chǔ),可以通過系統(tǒng)中故障的依賴性追蹤獲得。系統(tǒng)中可以建立一種組件故障與癥候?qū)?yīng)關(guān)系的矩陣。通過這個矩陣可以確定癥候模式、排除有歧義的故障條件和冗余的故障檢測測試。通過CAD/CAE 等計算機輔助設(shè)計方法,可以推導(dǎo)出系統(tǒng)中的依賴性信息。通過在嵌入式系統(tǒng)中植入模式匹配算法對于系統(tǒng)的影響很小。它不會影響系統(tǒng)的成本、體積、重量或者可靠性。本文對于FDIR 性能的討論包括:1)間歇性故障;2)多態(tài)連續(xù)故障;3)未預(yù)見的癥候。

2 基于癥候模式匹配的FDIR 方法

FDIR 軟件技術(shù)隨著早期模擬控制系統(tǒng)自測試技術(shù)而逐步發(fā)展。由于模擬技術(shù)的特點,模擬自測試電路對與功能相關(guān)的一小組信號進(jìn)行測試;通過對這些信號的比較,判斷是否有故障發(fā)生。在某些情況下,這種自測試技術(shù)提供了自動重構(gòu)的能力,例如備份設(shè)備或組件的啟動等[3]。但是,這些自測試技術(shù)無法區(qū)分故障是由于硬件電路的缺陷還是由于傳感器或其它缺陷而產(chǎn)生。此外,特定的單點故障會導(dǎo)致多個自測試功能失效,導(dǎo)致不期望的系統(tǒng)重構(gòu)或者給用戶錯誤的提示等[4]。

FDIR 邏輯的典型設(shè)計過程是包括系統(tǒng)、電路、軟件等技術(shù)相互關(guān)聯(lián)、相互協(xié)調(diào)的一個連續(xù)的過程。對于模擬自測試而言,通常情況下FDIR 邏輯的起點是提出對于功能相關(guān)信號的分組測試。對于這些分組測試而言,開發(fā)相應(yīng)的算法來對發(fā)生的故障進(jìn)行隔離、對于系統(tǒng)進(jìn)行重構(gòu)并且上報這些問題[5]。通常情況下,系統(tǒng)中其它信號組和額外邏輯均可以提供有用的信息。這些信息對于提高分組測試的故障檢測和隔離準(zhǔn)確度均有好處。此外,不同分組測試結(jié)果的綜合,可以提供對于系統(tǒng)中更高級別故障檢測和隔離的判據(jù)[6],例如,電能缺失或者其它平臺功能的失效。除了以上這些優(yōu)點可以提高重構(gòu)和故障信息的準(zhǔn)確性以外,還可以暴露出其它信號由于測試限制而沒有檢測到的潛在的故障。由于識別信號組失效組合的邏輯是基于原有模擬信號組合邏輯基礎(chǔ)上進(jìn)行附加或增加的原因,允許附加邏輯去否定原有信號組的結(jié)論或行為就成為了軟件設(shè)計過程中的一個難題。此外,隨著系統(tǒng)變得越來越復(fù)雜,多通道的冗余和眾多的輸入輸出,導(dǎo)致系統(tǒng)級的相互影響也變得相當(dāng)復(fù)雜。這些復(fù)雜的相互影響,對設(shè)計者識別影響和充分利用這些影響的邏輯(至少避免產(chǎn)生不期望的行為)的能力和有效時間提出了挑戰(zhàn)。最后,隨著附加邏輯變得越來越復(fù)雜,FDIR 軟件對于計算資源的占用率也越來越大,都將直接導(dǎo)致系統(tǒng)成本的升高[7-8]。

基于上述原因,本文提出了一種新的方法——癥候模式匹配FDIR 方法,該方法可以簡化任務(wù)設(shè)計,提供優(yōu)化的FDIR 性能,并且限制FDIR 對于計算資源的過多利用。

2.1 傳統(tǒng)的FDIR方法

圖1 中描述了傳統(tǒng)的FDIR 方法的典型邏輯流程。它以一組相關(guān)故障檢測測試驅(qū)動本地隔離邏輯為特征。本地隔離邏輯為典型的邏輯狀態(tài)機。這個狀態(tài)機是組合邏輯,通過對于現(xiàn)有的輸入和從前輸入序列產(chǎn)生的歷史邏輯狀態(tài)機的共同應(yīng)用。本地隔離邏輯的輸出是全局隔離邏輯的輸入。全局邏輯的目的是說明本地故障信息的典型組合,全局邏輯本身也是一個狀態(tài)機。基于故障隔離的條件,通過對于本地或者全局隔離邏輯的分析,可以得出重構(gòu)和上報結(jié)果?；谥貥?gòu)和上報的信息,期望系統(tǒng)可以對于故障進(jìn)行正確的響應(yīng)。每個本地隔離邏輯單元接收的輸入,首先為本地自測試組合的故障檢測信息,有些時候來自其它單元的故障測試組合。這些流程是以設(shè)計者預(yù)先的定義為基礎(chǔ)。本地隔離邏輯也可以利用自身此前的狀態(tài)、其他單元隔離邏輯的狀態(tài)和全局隔離邏輯的狀態(tài)[9-16]。

圖1 傳統(tǒng)FDIR 方法流程圖Fig.1 Flow chart of traditional FDIR

2.2 癥候模式匹配方法

與傳統(tǒng)方法相比,圖2 描述了癥候模式匹配方法的概念。

圖2 癥候模式匹配的FDIR 方法Fig.2 FDIR method based on the symptom pattern matching

在圖2 中,傳統(tǒng)方法中的本地和全局隔離邏輯由癥候模式匹配邏輯替代。癥候模式匹配邏輯也是一種狀態(tài)機。通過中心邏輯結(jié)構(gòu)替代了傳統(tǒng)方法中不同邏輯元素相互影響的復(fù)雜性。通過模式匹配表的應(yīng)用,簡化了癥候匹配邏輯的輸入數(shù)量和邏輯復(fù)雜程度。

圖3 為癥候模式樣例,描述了模式匹配表的概念。它包括故障檢測結(jié)果組成的模式(癥候),產(chǎn)生這個模式所需的故障條件。癥候的測試結(jié)果由邏輯“真”(T)或“假”(F)來表示。針對每個模式對應(yīng)的故障條件,可能是由于一個特定組件導(dǎo)致,也可能是由一組組件導(dǎo)致。無法與輸入相匹配的模式可以標(biāo)記為不曾預(yù)料的故障條件,并且采取穩(wěn)妥的重構(gòu)和相應(yīng)的上報操作。

圖3 癥候模式樣例Fig.3 Example of symptom pattern

癥候模式匹配為FDIR 處理提供了一個效率和有效性都很高的簡化途徑。但是完成模式匹配表所需的分析過程是隱含的挑戰(zhàn)。對于一個簡單的系統(tǒng)或者系統(tǒng)中的一部分,模式匹配表可以通過對于假定故障的檢查過程和有關(guān)的癥候識別過程來完成。對于復(fù)雜系統(tǒng),則需要在定義癥候-故障匹配關(guān)系中應(yīng)用更多的系統(tǒng)分析方法。

以下進(jìn)行癥候-故障自測分析。

圖4 中描述了在一個簡單系統(tǒng)中通過自測產(chǎn)生癥候與故障匹配關(guān)系的例子。

該系統(tǒng)是一個雙通道采集系統(tǒng),由雙通道計算機和冗余模擬量傳感器組成。兩個傳感器,A 和B測量相同的模擬量。通過計算機配備的模數(shù)轉(zhuǎn)換芯片將傳感器測量的模擬量信號轉(zhuǎn)化為數(shù)字量。嵌入式軟件可以完成傳感器信號的采集任務(wù)。每個傳感器的輸出均傳遞給不同的嵌入式系統(tǒng),由嵌入式系統(tǒng)完成相應(yīng)的模數(shù)轉(zhuǎn)換。這是一個簡單的交叉測量的例子,這種冗余方法存在兩個好處:1)任何一個嵌入式系統(tǒng)的完全故障均不會影響模擬量的采集,另外一個嵌入式系統(tǒng)會完成同樣的功能;2)任意的單個測量電路故障均可以得到準(zhǔn)確的檢測、診斷和修復(fù)。

圖4 樣例系統(tǒng)結(jié)構(gòu)圖Fig.4 Structural figure of exam ple system

其中,A 傳感器在A 通道的測量電路用SC-A來表示;SC-XB 表示A 通道中對于B 傳感器的交叉測量;B 通道中對于B 傳感器的測量電路用SC-B來表示,SC-XA 表示B 通道中對于A 傳感器的交叉測量。每個通道通過軟件均可完成兩個傳感器對應(yīng)模擬量的測量。簡化考慮,在分析過程中假設(shè)嵌入式系統(tǒng)中的嵌入式硬件均采用故障容忍設(shè)計,不考慮嵌入式硬件的故障狀態(tài)。對于這個系統(tǒng)而言,共有四個不同的輸入,分別為A,XA,B,XB。對應(yīng)共有6 個可能的比較測試來檢測明顯的偏差,分別為A ≠B,A ≠XB,A ≠XA,B ≠XB,XA ≠XB 和B ≠XA 。如果在兩個輸入比較過程中,偏差超出允許的閾值,則測量過程中出現(xiàn)了明顯的偏差。如果兩個傳感器測量結(jié)果的比較超出允許的閾值,則可認(rèn)為滿足一個故障條件。故障癥候由6 個“真”或“假”的邏輯測試結(jié)果組成。

為了得出癥候-故障匹配表, 考慮A 傳感器在A 通道中的測量電路SC-A 故障的狀況。假設(shè)故障導(dǎo)致A 傳感器測量結(jié)果與正確值不同,則檢查A ≠B 為“假”(它們并不相同)。相似的是,與變量A 相關(guān)的全部檢查均為“假”(A ≠XA,B ≠XB)。其它沒有用到變量A 的測試全部為“真”(B ≠XB,XA ≠XB,B ≠XA)。同樣的,假設(shè)A 傳感器故障,則變量A 和XA 同樣受到影響,此時包含A 或者XA(除A≠XA 外)的測試均為“假”。因此,對應(yīng)的故障癥候是A ≠B,A ≠XB,XA ≠XB,B ≠XA 全部為“假”,而B ≠XB 和A ≠XA 為“真”。持續(xù)對B 傳感器和其它測量電路進(jìn)行檢查,可以完成如圖5 所示的故障癥候表。

圖5 樣例的故障癥候Fig.5 Fault symptom of exam ple

圖5 中的故障癥候檢查可以顯示系統(tǒng)框架故障隔離特性。首先,同樣模式的存在起到警示的作用,無法區(qū)分一個模式相聯(lián)系的兩個故障到底哪個發(fā)生,只能說明存在歧義。傳感器A 和傳感器B 對應(yīng)的癥候模式就是一個很明顯的例子。癥候模式完全相同,只能說明傳感器A 或者傳感器B 故障,但是無法說明到底哪一個發(fā)生了故障。如果故障癥候無法與任何一個單個故障模式相匹配,則表示成多個故障的組合、不曾預(yù)料的故障。在這個例子中共有64 個可能的模式,但是表中只列出了6 個模式對應(yīng)的故障。除去正常運行的狀態(tài),此外還有57 個不曾預(yù)料的故障模式。

在這個例子中,對于癥候-模式匹配表的確定是很簡單的。但是對于綜合電子中復(fù)雜結(jié)構(gòu)而言,這個方法就不是很充分,需要采用系統(tǒng)方法進(jìn)行分析。

2.3 癥候分析的系統(tǒng)方法

對于復(fù)雜結(jié)構(gòu),系統(tǒng)中故障結(jié)果的蔓延會影響很多癥候的測試。對于許多功能共享的資源而言,它的故障或者擾動就尤為明顯。例如供配電設(shè)備、數(shù)據(jù)總線或者多輸入/輸出(I/O)組件。對于設(shè)計師而言,這既提供了好處也帶來了挑戰(zhàn)。好處在于,可以在故障和癥候之間建立牢固的關(guān)聯(lián)。這是癥候匹配方法給FDIR 帶來的固有性能的提高。挑戰(zhàn)在于復(fù)雜故障蔓延的表述。對于復(fù)雜故障而言,很難分析其獨立性,導(dǎo)致潛在的錯誤可能性也增加了。為了解決這個問題,判定癥候匹配表需要開發(fā)相應(yīng)的系統(tǒng)方法。為了完成這個任務(wù),FDIR 癥候查表設(shè)計需要系統(tǒng)級、整體的考慮。

圖6 是癥候查表設(shè)計處理中的流程示意。分析處理包含了癥候表的產(chǎn)生和分析輸入的識別。如圖6 所示,系統(tǒng)處理的第一個步驟,是對于設(shè)計特性的理解和面向FDIR 設(shè)計的描述以及系統(tǒng)分析的表現(xiàn)等。對于故障分析而言,信號經(jīng)過的路徑、主要部分的信息是所關(guān)心的問題。這些重要信息只能從系統(tǒng)架構(gòu)和電路設(shè)計細(xì)節(jié)中提取。構(gòu)造的特性還包括路徑的終點和故障檢測的測試方法。

圖6 癥候查表設(shè)計處理流程Fig.6 Flow chart of symptom table design

3 結(jié)論

目前國外航天器綜合電子系統(tǒng)中已經(jīng)廣泛應(yīng)用了FDIR 技術(shù),該方法對于提高航天器在軌的穩(wěn)定、安全運行起到了重要的作用。我國航天器平臺設(shè)備目前還主要依賴于有限的遙測參數(shù)對航天器運行狀態(tài)進(jìn)行評估,主要通過硬件設(shè)備的冗余和可靠性設(shè)計來保證在軌安全,與國外相比差距較大。國內(nèi)在新型航天器的論證過程中,也明確提出了對于綜合電子產(chǎn)品的FDIR 設(shè)計要求,但距離工程應(yīng)用尚有一定的差距。硬件方面,由于國內(nèi)尚不能生產(chǎn)適合空間環(huán)境應(yīng)用的處理器等芯片,進(jìn)口的宇航級處理芯片性能和速度不能滿足實時FDIR 的需求;通信及相關(guān)邏輯器件嚴(yán)重依賴于進(jìn)口產(chǎn)品。軟件方面,目前國內(nèi)尚無成熟的嵌入式操作系統(tǒng)和嵌入式實時數(shù)據(jù)庫等基礎(chǔ)軟件作為支撐,而相關(guān)進(jìn)口產(chǎn)品也無大規(guī)模應(yīng)用。只有相關(guān)軟硬件產(chǎn)品得到較大發(fā)展后,航天器綜合電子FDIR 技術(shù)才能有更好的發(fā)展。

本文提出了基于綜合電子應(yīng)用背景的癥候模式匹配FDIR 方法,與傳統(tǒng)的FDIR 方法相比,這個方法具有下列優(yōu)點:

1)通過嵌入式軟件的應(yīng)用,可以實現(xiàn)系統(tǒng)設(shè)計中固有的潛在故障的檢測和隔離;

2)效率較高,并且占用計算資源較少;

3)采用系統(tǒng)級分析方法,基于硬件結(jié)構(gòu)進(jìn)行分析;

4)嵌入式軟件的邏輯結(jié)構(gòu)簡單,易于設(shè)計、測試和維護(hù)。

針對新型航天器綜合電子技術(shù)的需求,對于FIDR 技術(shù)進(jìn)行了廣泛的調(diào)研。通過對調(diào)研結(jié)果的分析和整理,結(jié)合我國國情,嘗試提出了一種癥候模式匹配方法,該方法對于提高我國FDIR 水平和綜合電子技術(shù)均有幫助,為相關(guān)技術(shù)在新型航天器中的應(yīng)用提供了基礎(chǔ),有益于提高我國新型航天器的可靠性和安全性。

)

[1]萬成安,于磊,劉建強.航天器直流電源系統(tǒng)穩(wěn)定性分析方法研究[J].航天器工程,2009,18(2):14-19

[2]譚小野.數(shù)據(jù)挖掘在電網(wǎng)安全中的應(yīng)用[J].東北電力技術(shù)[J].2005(8):40-44

[3]鄧曉彬, 譚小野,萬成安.信息融合與多Agent 技術(shù)在航天器能源管理系統(tǒng)在軌故障診斷中的應(yīng)用[J].計算機測量與控制,2009(1):22-27

[4]Deng Xiaobin, Tan Xiaoye, Wan Cheng'an.The fransient stability analysis of spacecraft power grid[C]//12th International Space Conference of Pasin-basin Societies, 2009

[5]Newman J S.Failure-Space:a systems engineering look at 50 space system failures[J].Acta Astronautica,2001,48(5-12):517-527

[6]Rogers J S.Object oriented fault diagnosis system for space shuttle main engine redlines[R].N90-27315, 1990

[7]H arrington J B.CLIPS as a know ledge based language[R].N88-16365,1988

[8]Iverson D L, Patterson H F A.A diagnosis system using object oriented fault tree models[R].N90-27313,1990

[9]Marsh C A.The ISA expert system:A prototype system for failure diagnosis on the space station[C]// Proceedings of the First International Conference on Industrial and Engineering Applications of Artificial Intelligence and Expert Systems, University of Tennessee Space Institute, Tullahom s, Tennessee, 1988:60-74

[10]Passani M, Brindle A.Automated diagnosis of attitude control anomalies [C]// Proceedings of the Annual Rocky M ountain Guidance and Control Conference,Keystone, Coloradom, 1986:255-262

[11]Merrill W C, Lorenzo C F.A reusable rocket engine intelligent control[R].AIAA-88-3114,1998

[12]Reiter R.A theory of diagnosis from first principles[J].Artificial Intelligence,1987,32:57-95

[13]Kleer J de, Williams B C.Diagnosing multiple faults[J].Artificial Intelligence,1987,32:97-130

[14]Quilan J R.Induction of Decision Trees[J].Machine Learning, 1986(1):81-106

[15]ZH U H ongwei, Basir O, Karray F.Data fusion for pattern classfication via the dempster-shafer evidence theory systems[J].Man and Cybernetics, 2002, 7(2):2-4

[16]Lee C , Alena R L , Robinson P .Tw o trees-migrating fault trees for real time fault detection on international space station[J].IEEE Computer Applications in Power, 1999, 12(3):19-25