三余度飞行控制计算机系统重构与恢复研究

王双双， 陈 欣， 曹 东

(南京航空航天大学自动化学院，南京 211106)

0 引言

由于无人机具有性价比高,没有驾驶人员安全、生存条件限制的特点,故应用范围与环境更加广泛。保证无人机自动飞行的飞行控制系统因长期受到恶劣运行环境如电磁辐射、温度、压力、震动以及外部损伤等的影响，发生故障的概率大幅提高[1]。飞行控制计算机作为无人机飞行控制系统的核心，对无人机的性能和安全起着决定性的作用[2]。为提高飞行控制系统的可靠性，降低故障发生对其功能和性能的影响，通常会对飞行控制计算机中的关键设备采用硬件冗余备份的设计。

由于硬件的冗余设计必须和相应的系统重构策略与故障恢复算法配合使用，才能达到增强飞行控制系统鲁棒性的目的[3]。因此，对系统重构与恢复的研究具有非常重要的意义。

国内外针对余度飞行控制计算机系统重构与恢复的研究大多是针对舵面故障进行的控制律重构[4]或者针对功能单元故障进行余度降级的重构[5],对故障恢复后系统重构的研究比较少，特别是对飞行状态恢复的研究。因此，本文主要针对三余度飞行控制计算机系统架构下不同功能单元的故障，给出相应的系统重构策略与故障恢复算法。最后在仿真环境下，通过故障注入的方法验证了本文设计的系统重构策略与故障恢复算法的正确性，通过故障恢复可以有效地提高系统的可靠性。

1 三余度飞行控制计算机系统架构

三余度飞行控制计算机系统的余度架构体现在3个方面：1)内部功能模块的余度；2)外部连接的传感器的余度；3)外部连接的执行机构的余度。

1.1 飞行控制计算机的余度

本文设计的三余度飞行控制计算机由控制单元(Control Unit，CU)、接口单元(Interface Unit，IU)和总线组成。CU主要负责飞行控制律解算、控制逻辑解算、导航解算、任务管理以及余度管理的实现；IU通过自身数字量、模拟量以及串口通讯的接口，负责对外部的传感器和执行机构等设备进行输入输出的管理；总线负责CU和CU之间，CU和IU之间的数据交互。

本文对CU，IU和总线进行冗余备份，样例余度飞行控制计算机由3个CU、2个IU和2条总线构成，系统架构如图1所示。

图1 系统结构图Fig.1 System structure diagram

1.2 传感器的余度

传感器的余度配置采用非相似余度[6]的设计思想，能够一定程度上避免共性故障。采用不同的传感器对相同的飞行信息进行采集，能够保证飞行控制计算机计算所需关键飞行信息的安全性。传感器测量信息如表1所示。

由表1可知，所有的姿态、位置、高度、速度信息都可以通过不同的传感器测得，构成了传感器信息的冗余。当某个传感器出现故障时，可从冗余的传感器设备中获得相应的信息。

表1 传感器冗余信息一览表

1.3 执行机构的余度

执行机构的余度配置采用功能余度[7]的设计思想。样例无人机的执行机构包括气动舵面、发动机、刹车、起落架等，每个执行机构都是由单独的舵机驱动，而所有的执行机构中只有气动舵面具有功能余度的特性——气动舵面关于纵平面对称(左/右内副翼、左/右外副翼、左/右内V尾、左/右外V尾、左/右襟翼)。在某一个舵面发生故障时，可以通过控制律重构的技术实现系统的重构,所以本文只考虑了执行机构中气动舵面的余度配置,如图2所示。

图2 样例无人机舵面分布图Fig.2 UAV rudder distribution

2 系统重构与恢复

系统的重构[8]是指在故障发生后，对故障进行屏蔽和隔离，对系统内部的结构进行重新调整，使系统的功能不受故障的影响。系统重构研究的重点是重构策略的设计。

系统的重构分为物理层面的重构和逻辑意义上的重构。鉴于研究对象三余度飞行控制计算机的硬件条件，本文采用的是逻辑意义上的重构方式。即在硬件配置和网络拓扑结构不变的情况下，当检测到故障发生时，对故障模块实施暂时的隔离与屏蔽，在保证系统功能不受影响的情况下，完成系统的重构。

2.1 系统的重构

由第1章系统的余度架构可知：完备的系统的重构包括CU，IU，总线，输入设备和输出设备的重构，其中CU的重构是本文研究的重点。在假定IU、总线、外部输入输出设备均无故障的条件下，结合系统的硬件体系结构，当CU发生整体失效故障时，研究了CU的重构策略。而IU、总线、输入设备和输出设备故障的重构，由于篇幅限制，只是通过设备分配做简要介绍。

2.1.1 CU的重构

由1.1节介绍可知：飞行控制计算机内部有3个CU，分别是CU_A，CU_B，CU_C,设定它们的优先级分别为CU_A>CU_B>CU_C。当通过心跳检测机制[9]检测到CU发生整体失效的故障时，系统根据设定的优先级顺序依次抢夺总线的输出控制权；当更高优先级的CU从故障状态中恢复时，控制权将被交还给优先级更高的CU。控制权切换逻辑如图3所示，图中接管控制权的CU用加粗和带下划线的字母表示。

图3 控制权切换逻辑Fig.3 Control switching logic

当3个CU均正常工作时，系统为三余度表决的工作模式。由优先级最高的CU_A掌握总线的输出控制权，CU_B，CU_C将各自控制律解算的结果通过总线交叉传输给CU_A，由CU_A对输出信息进行表决，构成了三模冗余的系统。

当只有2个CU正常工作时，系统降级为主从热备份的工作模式。优先级较高的CU成为主CU，接管总线输出控制权，优先级较低的CU成为备CU。系统以主CU输出的解算信息为准，不再进行表决。主、备CU通过对互相之间的控制律计算结果和心跳信息进行比较和监测，来判断对方的工作状态，从而构成了双机比较容错系统。

当只有1个CU正常工作时，系统降级为单机工作模式，当前的CU为主CU，系统以主CU的控制律解算结果为准，构成单余度的系统。

在主从热备份和单机的工作模式下，主CU会按照优先级依次对故障的CU进行恢复。若恢复成功，控制权交给此时优先级最高的CU，如果此时还有故障的CU，则由此时最高优先级的CU对其进行恢复。CU恢复重构逻辑如图4所示。

图4 恢复重构逻辑Fig.4 Recovery reconstruction logic

2.1.2 其他单元的重构

由第1章的介绍可知传感器、气动舵面IU和总线均具有硬件冗余的特性,当其发生故障时，关于它们的重构可以通过设备分配方案来体现，如图5所示。

1) 传感器的重构。根据测量的传感器信息冗余的特性，将传感器分为两组：第一组为惯导和大气机；第二组为AHRS，GPS和无线电高度表。两组传感器分别和不同的IU连接，能够减小某一个IU整体故障带来的影响。当发生传感器故障时，可根据传感器信息源优先级的高低(表1“可测传感器”一栏，优先级高的传感器排在前面)，按照由高到低的顺序依次切换，实现对传感器故障的重构。

2) 气动舵面的重构。由于10块气动舵面是由10个独立的舵机来驱动，根据舵面功能冗余的特性，将10个舵机分别挂接在不同的IU，可以有效地避免出现某一个IU整体故障时，相同能力的舵面同时失效的情况。分配方案遵循“一左一右”和“一外一内”[10]的原则，保证在发生舵面故障时，可以利用控制律重构[11]的方法，实现对舵面故障的重构。

3) IU的重构。正常情况下IU_1和IU_2同时工作。IU上某个模块(模拟量、数字量、串口量)发生故障后的重构，可根据故障后的表现形式一致的特点，将它分别归结到对应传感器、舵面故障的重构，在此不再赘述。本文IU的重构特指的是IU整体的重构。根据图3的设备分配方案，当某个IU发生整体失效故障时，通过暂时隔离故障的IU，启动单IU工作模式可以保证无人机继续正常飞行，实现了对IU故障的重构。

4) 总线的重构。正常情况下，总线1负责所有数据的传输工作，总线2处于热备份状态。当总线1出现故障时，数据传输工作由总线2接替，实现了总线的重构。

2.2 系统的恢复

系统的恢复是指对故障单元进行恢复操作，让故障单元重新加入正常工作队列。系统恢复的研究重点是恢复算法的设计。由第1章系统的余度架构可知：完备的系统的恢复包括CU，IU，总线，输入设备和输出设备的恢复。本文只针对CU的恢复做了研究。当发生CU整体失效故障后，正常的CU在空闲时间内对故障的CU进行状态恢复操作，使之能恢复到正常的运行状态，重新加入工作队列，提高系统的可靠性。

由于CU负担了全部飞行控制的解算任务，其工作状态与无人机的飞行状态密切相关，具有记忆效应。当CU发生整体失效的故障时，CU的软件状态回到了初始化状态，记忆的数据全部被抹去，进而导致无人机失控。因此，对系统状态的恢复就是对CU软件的工作状态进行恢复，即对关键的控制状态数据进行恢复。

故障恢复方式有前向恢复和后向恢复两种[12]。

1) 前向恢复：通过将正常CU的控制状态数据通过数据交叉传输链路“拷贝”到故障恢复后的CU的手段，以达到恢复其正常控制工作状态的目的。

2) 后向恢复：在CU正常运行的过程中，定期地将其工作状态(检查点)保存在非易失存储器中，当CU故障后重启时，根据最后一次储存的检查点对其状态进行恢复。

由于后向恢复只能在CU故障时间很短的情况达到较好的恢复效果，而前向恢复对CU故障时间没有严格要求，结合研究对象具有3CU的特点，本文采用的恢复方式是前向恢复。

选取的控制状态数据的优劣决定了前向恢复效果的好坏，而控制状态数据的选取是和无人机当前的飞行状态息息相关的。因为在不同飞行模态下，控制律的结构是不同的，需要恢复的数据也是不同的，所以必须仔细筛选需要恢复的数据，制定相应的恢复协议。

本文仅对无人机自主飞行模式下的爬升、平飞以及下滑状态的恢复进行了研究。在这几种状态下，需要恢复的关键数据如表2所示。

表2 恢复的关键数据

根据筛选的关键数据，制定数据恢复包。数据恢复包包括：类型字、长度字、目标地址、源地址、数据区、校验和。类型字用来识别数据恢复包的类型，长度字表示数据恢复包的长度，目标地址和源地址分别是接收和发送数据恢复包的CU，数据区是表2筛选出的关键数据，校验和是从帧头到数据区所有字节累加计算出的结果，用于接收方对数据包进行正确性校验。

数据恢复包制定好之后，需要确定故障恢复的流程。对于正常CU，当检测到故障CU，主动进入以下恢复流程。

1) 判断自身优先级是否最高：若不是，不做任何操作；若是，执行2)。

2) 对故障CU的恢复失败计数是否大于5：若是，永久故障标志置1，退出恢复逻辑；若不是，转3)。

3) 置故障CU标志位，对故障CU发送数据恢复包。检测故障CU的心跳信息：若正常，恢复成功，清除故障CU标志位，恢复失败计数清零；若仍旧异常，恢复失败计数加1，转1)。

对于故障CU，重启和其他CU同步成功后，首先进入恢复流程。

1) 判断自身心跳信息和其他CU心跳信息：若一致，跳过恢复流程；若不一致，进入恢复流程，转2)。

2) 收到数据恢复包后，按照校验协议判定恢复数据包的有效性：若无效，继续等待下一个数据恢复包；若有效，转3)。

3) 按照数据恢复协议进行解析，恢复软件的工作状态。直到收到恢复结束的数据包，退出恢复操作。

3 实验验证

为了验证本文设计的系统重构策略和故障恢复算法的可行性，需要搭建仿真环境进行相应的仿真实验。仿真环境由飞行控制计算机、飞行仿真计算机、遥控遥测软件、仿真控制台软件、故障注入软件等构成，其结构如图6所示。故障注入软件以串口通讯的方式设置相应的故障模型参数，对目标系统进行故障注入。通过系统反馈的参数对系统状态进行分析得出故障注入结果。

图6 仿真结构图Fig.6 Simulation structure

3.1 CU系统重构算法验证

通过故障注入软件对控制单元CU_A，CU_B，CU_C依次注入复位故障，再依次恢复，验证CU的重构算法。重构测试记录如表3所示。

表3 重构测试记录表

实验结果表明:当主CU发生故障时，冗余的CU按照优先级顺序及时进行控制权的接管。在故障恢复后，能够将控制权交还给优先级最高的CU，CU的重构算法正确。

3.2 CU状态恢复算法验证

在全过程仿真验证时，在正常爬升过程中对CU_A注入“软件复位”故障，然后重启CU_A，通过和“无故障”仿真结果进行比较，来验证故障恢复算法。无人机从滑跑起飞到爬升过程中，俯仰角、高度、升降舵输出如图7～图9所示。

图7 俯仰角Fig.7 Angle of pitch

图8 高度Fig.8 Altitude

图9 升降舵Fig.9 Elevator

在3 s时，无人机接收到起飞指令，开始在水面滑跑，44 s以后，无人机离开水面进入空中爬升，在120 s时，CU_A发生掉电故障，在122 s时，CU_B监测到CU_A心跳故障，触发视图更换协议[13]，总线控制权由CU_B接管，系统由3CU多数表决模式切换为2CU主从热备份的工作模式。由图7～图9可以看出，由于无人机当前处于爬升状态，在完成控制权切换后，俯仰角继续保持在6°，高度持续平稳增加，升降舵输出保持在-7.5°，验证了心跳检测算法检测故障的有效性，表明正常CU及时从故障CU处接管了控制权。

在140 s时，CU_A重新上电。CU_B在监测到CU_A心跳信息恢复正常的情况下，对CU_A飞行过程中的关键数据进行恢复，重新把控制权交还给CU_A。由图7～图9可以看出，在CU_A故障恢复后，无人机的俯仰角和升降舵输出基本保持平稳，高度持续平稳增加，能继续按照预定航线完成飞行，证明了恢复选取关键数据的有效性，验证了故障恢复算法的正确性。

4 结束语

本文完成了三余度飞行控制计算机的故障重构策略和恢复算法设计，在保证系统可用性的基础上提高了系统可靠性。通过对CU依次注入故障，验证了系统重构策略的有效性；通过对飞行过程中关键数据的恢复，验证了故障恢复算法的有效性。实验结果表明本文设计的故障重构策略和故障恢复算法合理，能够有效提高系统的可靠性，具有一定的工程实用价值。

[1] 宣源,田晓凌,程德胜,等.战场电磁环境对无人机系统的干扰分析[J].装备环境工程,2008,5(1):99-102.

[2] KRISHNAMURTHY K,WARD D.An intelligent flight director for autonomous aircraft[J].AIAA Journal,2006:AIAA2000-0168.

[3] 罗峰,丁凯峰,邓建华.可重构飞行控制系统研究[J].飞行力学,2001,19(4):6-10.

[4] 艾剑良,王鹏,高明.飞行控制系统的重构技术研究[J].火力与指挥控制,2006,31(1):1-3.

[5] 周月平.无人机余度飞行控制软件的设计与研究[D].南京：南京航空航天大学,2010.

[6] 刘小雄,章卫国,李广文.电传飞行控制系统的余度设计技术[J].飞机设计,2006(1):35-38.

[7] 孟维杰,关英勇,郝大琦.飞机操纵面功能余度研究[J].飞机设计,2006(1):56-60.

[8] RAZA S,SILVERTHORN J.Use of the pseudo-inverse for design of a reconfigurable flight control system[C]//Guidance,Navigation and Control Conference Snowmass,1981:349-362.

[9] 张水平,李有峰,童样,等.云数据中心心跳检测与故障评估[J].计算机工程与设计,2014,35(10):3386-3391.

[10] 陈云.CAN总线飞控计算机设计与开发[D].南京：南京航空航天大学,2016.

[11] 王少萍,李沛琼,裴英.飞控系统功能重构技术研究[J].航空学报,1998,19(s1):113-115.

[12] 文梅,李宏亮,张春元,等.分布式系统故障卷回恢复技术研究与实践[J].计算机工程与科学,2000,22(5):52-55.

[13] 范捷,易乐天,舒继武.拜占庭系统技术研究综述[J].软件学报,2013,24(6):1346-1360.