• 101
•
本文针对军工产品控制系统中安全性和可靠性的高要求,举例
目前,高铁、船舶及航空、航天、兵器等军工行业产品逐渐向智能化、无人化方向发展,系统越来越复杂,可靠性要求也越来越高。为提高系统可靠性,在组成系统时,增补一些工作单元或后备单元,即使其中之一发生故障,而整个系统仍能完成规定的任务,这类系统即成为冗余系统。冗余设计是提高系统可靠性的重要方式之一,虽然增加了成本并且降低了基本可靠性,但提高了系统的任务可靠性。
不过,冗余设计能否提高系统的可靠性和安全性,并不能一概而论。对军工产品来说,安全性是产品不可缺少的重要指标。所谓安全性,就是产品不发生导致人员伤亡、健康恶化、设施和环境毁坏等事故的能力。(安全件控制技术属于安全性工程范畴,虽然安全性工程与可靠性工程有一定的内在联系,但是两者分属互相独立的不同工程范畴。这里仅讨论与可靠性相关的安全性基本概念。)在复杂系统中同时保证可靠性、安全性的基本原则是:
(1)可靠性是安全性的基础,要保证安全性,首先要保证可靠性。
(2)在保证可靠性基础上,还要同时保证安全性,必须进一步控制可能存在的诸如火工品、推进剂、高能高压装置等一般危险源。
(3)在采取安全性控制措施时,不可引入降低可靠性的因素。
针对某一特定关键信号采用双传感器冗余方案,可以通过数字化手段进行信号特征建模和对传感器本身的信号分析,诊断出如信号中断、超界、噪声大、信号斜率超差等多种故障,即可用简单的判据判定大部分的传感器故障,从而可以确定控制系统选用哪个传感器的信号作为有效信号,大大提高该信号的可信度,这是采用双传感器冗余的技术基础,本文不对此进行分析。
本文的分析基于以下条件:一个双传感器冗余的孤立系统中,传感器信号均符合模型的预设边界条件,
无法通过信号分析手段判断传感器的有效性,如果两个传感器输出的信号不同,当没有外部其他参考条件参与判断时,不能从两个信号本身判断哪一个传感器是正确的。这可参考社会学领域与此类似手表定理:手表定理是指一个人有一块表时,可以知道当时是几点钟,当他同时拥有两块表时,却无法确定时间,两只手表并不能告诉一个人更准确的时间,反而会让看表的人陷入混乱,失去对准确时间的信心。
对于一个与安全相关的传感器信号,为提高系统的可靠性与安全性,增加一个完全相同的传感器,系统可靠性与安全性是否能提高呢?本文结合波音737MAX事故的实例对安全相关信号的冗余设计方案进行分析。1 波音737MAX飞机迎角传感器实例
2018年10月29日和2019年3月10日,狮航和埃航的波音公司737Max飞机两次发生严重坠毁事故,空难造成300多人死亡。根据网上披露(未经证实)的狮航调查报告资料,狮航飞机坠毁前进行了自杀式俯冲,共26次,而飞行员努力拉了33次机头,试图拯救飞机,最终没有成功。
鉴于飞机失速会对安全带来致命性的影响,避免失速坠毁,波音737Max飞机设计了2个攻角传感器,力图提高攻角传感器的可靠性;同时设计了MCAS系统,其功能是在飞机迎角过大时自动控制飞机俯冲恢复到安全姿态。对黑匣子数据的分析表明,造成这个悲剧的原因是飞机左侧的攻角传感器发生故障,送出了错误的攻角信号,引发MCAS系统作出俯冲的动作。
飞机右侧的攻角传感器数据是正常的,左侧攻角传感器数据大了20°左右。虽然攻角传感器输出的是连
续模拟量,但进行系统控制时可抽象转换为布尔代数运算:假设攻角过大为1,攻角正常为0。从最后的结果看,MCAS系统采信了左侧传感器的输出数据,这表明,或者MCAS系统把左侧的攻角传感器设为主传感器,或者是有任一传感器输出攻角过大信号MCAS系统即采纳。
检测迎角依靠机头两侧2个冗余的迎角传感器,本意是希望得到可靠的数据,但737MAX对此系统设计有漏洞,两个迎角传感器信号之间的处理不严密,导致任意一个迎角传感器出问题就能造成系统发生错误响应,飞机自动压机头保命。另外,MCAS系统在两个传感器数据不一致时对飞行员没有报警,由飞行员进行判断,手工操作,而是直接由控制系统按预定的不严密的判断逻辑进行飞机的控制。
从737MAX的案例可以得到以下结论:
(1)双传感器冗余不能100%解决可靠性问题,传感器仍有失效的可能;
(2)即使传感器发生了故障,也可能不立即输出错误结果,实现提前检查维修,而是随系统的运行状态和外界条件不同,表现出一定的失效概率。
2 传感器有效性的数学描述
2.1 单一传感器
对于一个检测关键安全因素的传感器,当检测到系统运行不安全时,应发生安全报警。虽然传感器输出的可能是连续模拟量,也可能是布尔型数据,但进行系统控制时可抽象转换为布尔代数运算,安全关键传感器的输出最终处理结果可归结为报警信息的有与无,表示为布尔型的数据为:1为有安全报警,0为无安全报警(正常状态)。
设某控制系统有检测安全状态的报警传感器A,系统运行在安全状态时A=0,其概率记为S,系统运行在不安全状态时A=1,其概
安全关键信号双传感器冗余处理方案实例分析中国北方车辆研究所 门义双 徐 静 雷 阳
• 102
•
率记为1-S 。理想情况下,传感器状态完全反映系统真实状态,则传感器输出A =1的概率为1-S ,A =0的概率为S 。
如果传感器因某种原因失效,则其输出不能完全反映系统的真实状态,定义以下概念:
虚报:系统运行在安全状态,传感器不应报警而发生了错误报警,称为虚报,其概率为虚报率P ;
漏报:系统运行不安全,传感器应报警而未报警,称为掉漏报,其概率为漏报率Q ;
误报:以上两种情况统称为传感器失效,传感器输出信息错误,称为误报,概率为误报率M ,误报率等于虚报率加上漏报率,即M =P +Q 。
当系统运行在安全状态时的概率为s 时,传感器输出结果为1和0的概率可按以下计算:
(1)输出为1的概率
输出为1的情况包括系统安全运行但发生虚报和运行不安全状态且未发生漏报两种情况。
安全状态发生虚报概率:S ×P 不安全状态未发生漏报:(1-S )×(1-Q )
因此,传感器输出为1的概率=安全状态发生虚报概率+不安全状态未发生漏报的概率,记为:
(1)
(2)输出为0的概率
安全状态未发生虚报概率:S ×(1-P )不安全状态发生漏报:(1-S )×Q
输出为0的概率=安全状态未发生虚报概率+不安全状态发生漏报概率,记为:
(2)根据贝叶斯定理,传感器输出为0和为1
时正确的概率分别为:
当传感器报警输出为1,其正确的概率为:
当传感器未报警输出为0,其值正确的概率为:
给上面的分析赋以实际数值,可以看到直观的结果。举例如下。例1:设某系统有80%概率运行在安全状态,即s =80%,虚报率为1%,漏报率1%,则传感器报警输出为1的概率为0.008+0.198=0.206,输出为1是真的概率为0.198/0.206=96.1%。输出为0的概率是0.792+0.002=0.794.,输出为0是真的概率是0.792/0.794=99.75%。可见,在传感器虚报和漏报概率相同时,虚报概率大于漏报概率。2.2 双传感器冗余
当系统安全关键信号采用双传感器冗余方案时,系统有两个冗余的传感器A ,B 采集同一数据量。以下讨论排除明显判定传感器故障的情况,如无信号、超界等。由于增加了部件,整系统的基本可靠性是降低的。设两个传感器误报概率为M 、N ,忽略其他附属环节的可靠性问题,两个传感器的同时误报的概率为
M ×N ,有一个误报的概率是{M ×(1-N )+N ×(1-M )},同时准确的概率是(1-M )×(1-N )。
两个传感器进行布尔代数运算,有四种可能,如表1所示。如果两个传感器的信号不同,控制系统在采信传感器数据时有三种处理方案:
(1)逻辑与运算:两个传感器均报警输出为1时按报警处理;(2)逻辑或运算:两个传感器有一个报警输出为1时就按报警处理;
(3)主从模式:默认传感器A (或B )为主传感器,采用其输出为有效信号。
表1 双传感器冗余真值表
传感器A
传感器B
逻辑与G=A &B
逻辑或G=A||B
主从(A 为主)G=A
1111110011010100
飞机黑匣子能记录多项关键数据因此,从直观看,如果传感器的失效模式(或在系统中有重大影响)是虚报,则应采取逻辑与运算,如果失效模式是漏报,应采取逻辑或运算。如果两个传感器失效概率差别较大,可以考虑采取主从模式处理。
现假定传感器B 的特性与A 完全相同,孤立系统除两个传感器的信息外无其他外界参考信息。设A 、B
虚报和漏报概率分别为P 、Q ,误报率M =P ×Q 。因为控制系统的安全保护策略是检测到传感器信号有效时执行特定的功能,系统可靠性与安全性与传感器的失效模式有关、与两个传感器发生故障时系统的处理方法有关,信号在系统中的作用机理有关。下面将两个传感器的输出按不同处理方式综合为一个传感器,对此展开分析。
【逻辑与处理】
两个传感器进行逻辑与运算,综合的虚报率和漏报率为:综合虚报率:综合漏报率:
套用(1)、(2)两式,可得综合输出为1和0的概率。综合结果G =1
的概率:
综合结果G =0
的概率:
根据贝叶斯定理,传感器输出为0和为1时正确的概率分别为:当传感器报警输出为1
,其正确的概率为:
当传感器未报警输出为0
,其值正确的概率为:
例2:例1中系统的其他条件不变,S =80%,虚报率为1%,漏报率1%,配置双冗余的传感器。当传感器按与逻辑处理时,报警输出为1的概率为0.0008+0.19602=0.1961,输出为1是真的概率为0.19602/0.1961=99.96%。输出为0的概率是0.79992+0.00398=0.8039,
• 103
•
输出为0是真的概率是0.79992/0.8039=99.5%。可见,在双传感器逻辑与运算,报警输出1为真实的概率有较大提高,不报警输出0为真实的概率有小幅降低。
例3:例1中系统的其他条件不变,有80%概率运行在安全状态,即S =80%,虚报率为1%,漏报率1%,配置双冗余的传感器,则传感器按逻辑或运算处理,报警输出为1的概率为0.19998+0.01592=0.2159,输出为1是真的概率为0.19998/0.2159=92.6%。输出为0的概率是0.78408+0.00002=0.7841,输出为0是真的概率是0.78408/0.7841=99.99%。可见,双传感器逻辑或运算,报警输出1为真实的概率降低,不报警输出0为真实的概率相当高。
三种不同的处理方式,报警和不报警的正确概率有所不同,如表2所示。
表2 概率实例表(S =80%,P =1%,Q =1%)
单传感器
双传感器逻辑与G =A &B 双传感器逻辑或G =A ||B 主从(A 为主)
G=A 虚报率1%0.01% 1.99%1%漏报率1% 1.99%0.01%1%输出为1是真的
概率96.1%99.96%92.6%96.1%输出为0是真的
概率
99.75%
99.5%
99.99%
99.75%
3 炮控系统角度限制功能双传感器实例分析
坦克炮控系统是以驱动和稳定火炮为任务的自动控制系统,是火控系统的重要组成部分,其状态好坏直接影响坦克是否能完成战斗任务。角度限制功能即是安全保护方面的典型功能。
目前,炮控系统采用角度限制器作为敏感火炮角度的传感器,是涉及安全保护的传感器。当火炮运动到仰角或俯时,根据系统预定的保护逻辑,如果角度限制器输出保护信号,切断瞄准信号和输出机构控制信号,系统进入保护状态,避免系统部件损坏。
如果角度限制器本身故障或由于安装问题导致不能输出保护信号,失效模式包括两种:到位没有保护信号,未在角度限制位置而错误输出保护信号。其后果一种是损坏系统设备,另一种是不能完成预定的功能。利用火控系统中的现有的耳轴解算器进行冗余是一个可行的方案。
在这种方案中,两个传感器的特性不同,从上面的分析再推广,设两个传感器A 、B 的虚报率分别为P a 、P b ,漏报率分别为Q a 、Q b 。
【逻辑与处理】
两个传感器进行逻辑与运算,综合的虚报率和漏报率为:综合虚报率:综合漏报率:综合结果G =1
的概率:
综合结果G =0
的概率:
当传感器报警输出为1
,其正确的概率为:
当传感器未报警输出为0
,其值正确的概率为:
【逻辑或处理】
两个传感器进行逻辑或运算,综合的虚报率和漏报率为:综合虚报率:
综合漏报率:
综合结果G =1
的概率:
综合结果G =0
的概率:
当传感器报警输出为1
,其正确的概率为:
当传感器未报警输出为0
,其值正确的概率为:
仍按例1中系统的条件,配置双冗余的传感器,系统有80%概率运行在安全状态,即S =80%,角度限制器虚报率为1%,漏报率1%,耳轴解算器虚报率为0.1%,漏报率0.1%。计算结果如表3所示。可见,按上面设定的条件,双传感器特性不同且相差一个量级时,逻辑与运算与主从方式的处理比较接近。
表3 角度限制器和耳轴传感器概率实例表
角度限制器耳轴解算器
双传感器
逻辑与G=A &B
双传感器逻辑或G=A||B 主从(耳轴解算器为主)虚报率1%0.1%0.001% 1.099%0.1%漏报率1%0.1% 1.099%0.001%0.1%输出为1是真的概率96.1%99.6%99.996%95.8%99.6%输出为0是真的概率
99.75%
99.97
99.726%
99.9997%
99.97%
总结:从上面的分析可见,如果控制系统对警报自动响应,无论虚报或漏报都会导致进行错误控制引起安全事故,则安全相关的关键信号增加双传感器冗余,并不能简单的确定是否能增加系统的安全性和可靠性。某些控制系统中,虚报和漏报的后果不同,虚报引起任务中断,漏报引起安全事故,在安全性大于任务可靠性的系统中,通常考虑采用逻辑或方式处理;在任务可靠性大于安全性的系统中,考虑采用逻辑与方式处理。无论如何处理,系统应该保留向操作人员或上层控制系统进行可视化报警的功能并允许操作人员进行更高优先级的人工控制。在硬件冗余的基础上,可以考虑对传感器和被测的物理量进行精确的建模,采用更有效的
斜率判别法、极值判别法等解析方法提高判断准确度,或者在数据处理加入其他相关数据进行对比判断,进行解析冗余。
作者简介:门义双(1972—),男,研究员,研究方向:武器系统控制。
发布评论