四余度飞控系统信号表决算法研究

何瑶

（中国直升机设计研究所，江西 景德镇 333000）

余度技术，也叫冗余技术或容错技术，是飞控系统设计中常用的提高系统可靠性和安全性设计方法。余度技术就是引入多套相同或者相似的系统或者通道来完成同一指令或是同一项工作的任务。根据可靠性指标要求和特性要求，典型的有双余度、三余度和四余度系统。其中一条信号采集和处理单元构成一条通道，也可以称一条余度。余度之间可以监控其他余度的工作状态，识别出故障通道，输出正确的结果。虽然在正常工作的情况下，单个通道已经能够完成飞控任务。但在单个通道故障时，系统则无法正常工作甚至出现导致出现严重的安全事故。因此引入多个相同或相似通道，这样就可以通过增加可选择通道的方式来提高系统的可靠性。从收到的多个冗余输入中根据设定的表决条件（如表决门限值）产生一个结果作为输出，这个过程称为表决。输出的结果和采用的表决算法（硬件或软件）有直接关系。飞控系统是关系到飞机安全的重要系统，对于信号可靠性和安全性有极高的要求，因此对于飞控系统的多余度设计和表决算法研究具有重要意义。

本文提出的信号表决算法易于工程实现，具有以下优点：对于四余度系统能够输出安全可靠的表决值，并且能够快速定位故障数据，为系统安全工作提供了有力支撑。

1 飞控系统余度方案设计

飞控计算机实现飞控功能判别、余度管理、故障管理等功能，是整个系统数据输入输出的核心部件。通常情况下，计算机外部连接惯性测量组件，以获得飞机姿态、姿态角、加速度等信息；从驾驶杆获得飞行员的操纵信息；飞控操纵台提供飞行员与系统的人机操作界面。系统还和机上的航电设备进行交联。其中激光惯性测量组件和光纤惯性测量组件，作为惯性测量组件的二次备份。从大气机、无高表获得空速、高度等信息。综合显示系统则通过ARINC429、1553b 信号接收来自飞控计算机的故障信息。飞控系统应用软件综合上述信息，进行飞控系统控制模态的选择和控制律计算，通过直升机主旋翼、尾旋翼等操纵面，实现对直升机姿态和轨迹的控制。每个余度通道与其他余度之间的联系包括同步接口、故障逻辑接口、交叉传输(CCDL)接口，以实现系统余度工作，来提高飞控系统的可靠性和安全性。

简单概括飞控计算机的外部交联关系，可以认为前端为飞控计算机输入端，后端为飞控计算机输出端。我们以四余度飞控系统为例，飞控计算机交联关系可以概括为图1。我们已经知道，对于输入信号和输出信号，不管是在数量和来源上，都有着不同程度上的冗余。因此，对于飞控计算机来说，从这些冗余信息中筛选出合理的输入或者输出，并识别出有故障的入输出信号通道，是至关重要的。

图1 四余度飞控计算机交联图

冗余信号和多余度设计为系统提供了系统故障时重构系统和保证系统安全工作的可能性，是提高系统可靠性的重要设计手段。其中非相似余度设计是目前常用的技术方法。非相似余度技术采用完全不同的硬件或软件来组成余度通道，采集和监控飞行控制信号，从而可以避免多通道余度系统的共性故障。

国外的大型民用飞机飞控系统普遍采用非相似余度设计方法。例如，B777 采用的是3×3 非相似余度设计的飞控计算机，主控计算机是包含3 台完全相同的数字式飞行控制计算机。而主控计算机内的3 个CPU 则为非相似设计。其中每个主控计算机个3 条ARINC629 总线相连接。一台计算机获得外部三余度信号。通过系统表决算法对每个计算机采集外部信号进行表决，并完成控制律及余度管理的计算，最终输出指令舵机。控制指令同样通过ARINC629 总线输出。但每台主控计算机仅将指令传送给3 条总线中的其中一条。从输出端看，系统为三余度。且3 台计算机完全执行相同的任务，每套计算机是可以互换的。这可以确保在某台计算机出现问题时，系统正常工作。但在每个主计算机内部则包含3个非相似的CPU。他们运行的是采用不同的编译器完成编译的可执行代码。当触发了潜在的编译异常时，这可以防止因使用了相同编译器而发生3 个CPU 都失效的情况。

从图1 可以看出，输入飞控计算机的信号众多，因此采用和选择合理的输入信号，从而进行控制律计算输出舵机控制指令成为飞控软件的关键。

2 表决算法设计

从图1 可以看出，系统输入输出信号均为四余度冗余设计。在数据输入端，通过交叉传输的方式，构成系统四余度信号输入。在输入数据端采用表决算法，完成信号的选择和监控。同样在通道的输出端上设置表决，完成对多个输出的选择。因此构成了系统的多级表决，提高了系统的可靠性。对于冗余信号，我们主要利用信号监控方法获得可以信赖的余度信号。得到合理的系统输入或者输出。因此，本文设计以下的四余度表决算法。系统的输入表决和输出表决采用相同的表决算法。算法流程见图2。

图2 四余度飞控表决算法

2.1 信号监控

对于四余度系统，存在四余度表决、三余度表决、双余度表决、单余度工作的情况。信号监控技术实现系统数据故障判别和管理，从而决定表决余度。通常情况下，监控技术可分为以下几类。

（1）部件自身监控，例如，对于系统中的关键传感器，部件自身具有和值监控功能。对于离散量和模拟量可以使用采集状态来确定信号好坏。对于ARINC429信号可根据SSM 的状态来确定数据是否正常。软件通过采集ARINC429 部件中的SSM 状态，设置信号监控结果。

（2）某余度通道失效时，该余度所有的数据不参与表决。此时，该余度的所有表决链路失效。余度通道失效的情况可能是数字机失效，由通道故障逻辑电路监控输出获得。或是当某机CCDL 失效，其余余度无法获得该机数据。相应的系统的信号余度降级。以上都是自监控技术。

（3）比较监控，是通过把各余度信号进行相互比较的方法，实现对故障的检测和识别。好的余度表决算法可以达到准确定位故障的目的。相较自监控，比较监控直观简单、覆盖率高。很多自监控方法也是基于比较技术。在多余度系统中，二者通常配合使用。普遍采用的比较监控方法是门限比较法。门限的设置是非常重要的，过大的门限导致故障的漏检率大，过小的门限值使得虚警率大。一般情况下，通过工程实际和以往实验结果得出合理的门限值。

总之，需要合理设置系统信号监控器，这些信号监控器对于每个参与控制律运算或是系统故障管理的信号进行正常与故障的判断。通过这些监控器系统可以确定每个信号应该采用四余度、三余度、双余度或是单余度表决算法。最终为飞控计算机提供合理的输入或是输出。对于一路信号可以有多个监控器，如自身监控加比较监控相结合的方式。其中自身监控方法和又有多种方法可以采用。同样的一个监控器可以监控多个信号的好坏。例如，通常对于惯测信号来说，其中的姿态信号和角速率信号在硬件来源上有着很大的关联性。一般情况下，姿态信号是通过角速率信号不断积分得到的。所以，当姿态信号和角速率信号的状态应该是一致的。因此，对于这样的信号就可以使用同一个监控器。

软件中对于这些监控器进行实时监控，会消耗大量运行时间。所以合理的监控器设置是优化算法和软件的重要手段。优化监控器设置遵循下面的规则：监控器要监控到所有的输入输出信号。但这并不是意味着可以随着信号的增加而一味增加监控器的数量。实际上，要确保监控器设置不能冗余，避免为系统运行带来大量的时间消耗。

2.2 表决逻辑

由于不同信号的表决逻辑是相同的，差别只是在表决门限的设置考虑上。因此，下面以四余度模拟量表决为例阐述表决原理。

考虑到大概率事件是四余度信号无故障工作，信号故障时，也可以通过系统设置的自身比较监控器可以检测出其故障来。考虑到正常的信号之间应该呈聚集状态，所有信号应是趋同的。也就是说，所有的信号应在某个理想值的一定范围内聚集。这个理想值就是信号的真实值。那么对于二维线性分布来说，理想值就是这些信号的均值。这样我们就得到了正确的信号。

由于上述的信号特性，我们知道数据之间的差值变化是很小的。所以假设数据的变化应该不会超过既定的阈值ε。如果某两个或多个数据之间的差值较大，则有理由认为某个或多个信号源不可信。因此，对四个信号进行排序，依次为最大、次大、次小、最小，分别记为X1、X2、X3、X4。

检测相邻信号差值与阈值之间的关系：如果3 个差值均小于阈值ε，则四余度的信号均有效；如果某两个相邻信号差值超过了阈值ε，如最大值与次大值之间差值大于阈值，而其余信号差值均在阈值内，则认为最大值远离其他所有的信号，由于3 个信号同时故障属于小概率事件，由此可以相信偏离的信号属于故障信号。如果是次大值和次小值之间差值大于阈值，则认为四个信号成离散分布。均偏离了理论信号中心，此种情况认为四个信号均故障。根据以上理论，对相邻信号值进行比较所对应的信号状态和表决值如表1 所示(表中“1”表示不超差，“0”表示超差，Δ12表示最大信号与次大信号之间的差值，以此类推)。

表1 四余度表决算法

可以看到，表决算法是一种典型的门限比较监控方法。比较门限的确定通常有严格判等和常值比较。对于不同的信号特性采用不同的方法。如对于离散量信号，由于信号不同含义对输入有着极大影响，所以必须采取严格判等。也就是说，门限为0。对于模拟量，环境的影响会使其伴随着随机的噪声波动。即使是同一信号源输出的信号，通过滤波处理后还有着微小的差别，所以门限设置要考虑到信号的实际变化范围和信号来源的差别。合理的门限设置能大大提高监控结果的准确性。我们可以看到，表决监控结果反过来影响参与表决的信号链路个数。如果某余度监控结果正常，表明参与表决的该余度信号正常，这样使有着正确输出的信号源参与表决，能够确保信号来源的可靠性，从而得到可信的表决值。如果表决监控结果故障，在算法中将该余度信号剔除在表决值计算之外，达到了隔离故障信号的作用。

三余度表决算法。同样对信号进行排列，依次为，最大值、中间值、最小值，分别记为X1、X2、X3。三余度表决算法见表2。(表中“1”表示不超差，“0”表示超差，Δ12 表示最大信号与次大信号之间的差值，以此类推)。

表2 三余度表决算法

双余度表决算法。同样对信号进行排列，依次为最大值、最小值，分别记为X1、X2。双余度表决算法见表3(表中“1”表示不超差，“0”表示超差，Δ12表示最大信号与次大信号之间的差值，以此类推)。

表3 双余度表决算法

2.3 仿真及结果

基于PowerPC 的开发平台下构建了实验环境，其分为硬件平台、开发环境系统和软件平台3 个部分。

（1） 系统硬件平台， 主要包含微处理器PowerPC8247、SDRAM、Flash、网络模块、串口、电源模块。

（2）开发环境系统，使用的是Tornado2.2 进行软件开发和编译。

（3）系统软件平台，主要包括VxWorks 和文件系统的构建。驱动程飞控软件。驱动程序包含CPU的初始化、串口和相关文件系统所需要的驱动。

我们选择飞控系统中常见的位移传感器信号作为实验数据。可以看到真实的模拟量信号在时间分布上有着随机波动。图3 为四余度表决算法的仿真结果，图中连续线段为四余度传感器信号，点线为表决结果。数据在2.0处浮动，设计阈值ε 为0.6。从图中可以看出，本算法可以很好地输出较优的表决值，并且快速识别出故障情况。但还有不足是在表决时出现四余度信号均故障的情况下，无法识别出真实数据。这是算法后续需要改进的地方。

图3 四余度表决算法仿真结果

3 结语

本文提出了一种飞控四余度数据表决算法。此算法基于工程实践中的数据特征，使用简单快速的比较监控算法判别出信号的有效性。实践表明，该表决算法具有较好合理性、可靠性和简便性。随着电子技术与数字飞行控制系统的不断发展，四余度数字电传控制系统的余度管理功能也会不断地更新和完善，基于此算法的表决策略也将会不断发展和完善。