一、什么是飞控冗余模块?
简单来说,飞控冗余模块是通过增加额外的硬件、软件或数据通路,在系统发生单一或部分故障时,仍能保证飞行控制系统持续、安全工作的设计。其核心目标是“故障-安全”,即系统在出现故障时,不会导致灾难性后果,而是能够降级运行或安全着陆。
核心理念:不依赖单个元件100%可靠,而是通过多重备份和智能管理,使整个系统的可靠性无限接近100%。
二、冗余设计的核心原理
1.故障隔离:确保一个模块的故障不会扩散到其他正常模块。通常通过物理隔离、电源独立、信号隔离(如使用光耦)来实现。
2.故障检测:系统必须能及时、准确地发现故障。常用方法包括:
自监控:模块内部进行heartbeat(心跳信号)、看门狗定时器、内存校验等。
交叉比对:多个冗余模块执行相同的计算,通过表决机制(如三取二)判断结果是否一致。
物理量合理性检查:例如,比较空速、高度、攻角等传感器数据,判断其是否在物理可能范围内。
3.故障切换/重构:检测到故障后,系统能无缝或安全地切换到备用模块或降级模式,并对故障模块进行隔离。
三、冗余的层级与实现方式
1.硬件冗余
传感器冗余:关键传感器(IMU惯性测量单元、气压计、GPS、空速管等)配置多套,安装在不同位置,采用不同原理(如激光陀螺+光纤陀螺)。
实现:三余度、四余度甚至更多。通过“中值选择”或“均值投票”算法输出最可靠的数据。
计算单元冗余:多个飞控计算机同时运行。
热备份:所有计算机同步运行,主控输出,备用机监控并准备接管。
冷备份:备用机不通电或待机,主控故障后激活。
温备份:备用机通电并运行基础自检,但不参与控制。
典型架构:
双机冗余:一主一备,简单经济,但切换瞬间可能存在风险。
三机冗余:三模冗余(TMR)是黄金标准。三台计算机同步运算,由一个“表决器”比较三者的输出,取两个相同的结果作为最终输出。即使一台完全失效,系统仍能正常工作。
四机冗余:在TMR基础上再加一个备用机,可靠性更高。
作动器/伺服机构冗余:关键舵面(如升降舵、副翼)可能由多个作动器共同驱动,或者有备份作动通道(如电动+液压)。
电源冗余:多路独立电源总线,互为备份,确保任何一路断电不影响核心系统。
数据总线冗余:采用多条通信总线(如双冗余CAN总线、ARINC629、AFDX),防止总线单点故障导致通信中断。
2.软件冗余
异构冗余:使用不同团队、不同编程语言、不同算法甚至不同编译器开发功能相同的软件,运行在相同的硬件上。这可以有效避免因共性设计错误(CommonModeFailure)导致的系统性故障。
例如:主飞控软件用C++编写,监控软件用Ada编写,两者计算结果交叉验证。
恢复块/N版本编程:准备多个功能等价的软件模块,主模块失败后,尝试执行备用模块。
3.时间/信息冗余
对关键指令或数据进行多次发送、重复执行、编码校验(如CRC),以对抗瞬时干扰或位翻转错误。
四、关键设计考量与权衡
1.余度等级:多少套备份?这是可靠性、重量、成本、功耗和复杂度的直接权衡。商用客机要求极高,通常为三余度或四余度;消费级无人机可能只有单余度或简单双余度。
2.同步与一致性:多个冗余模块之间如何保持状态同步(如导航解算位置)?这是技术难点,需要精密的时钟和通信协议。
3.故障诊断与覆盖:系统能检测出多大比例的故障?存在“潜伏故障”(LatentFault)的风险,即备用模块本身已坏但未被发现。需要定期进行内置测试(BIT)。
4.切换策略:是自动无缝切换,还是需要飞行员介入?切换过程是否平滑,是否会引起控制突跳?
5.共模故障:冗余最大的敌人。所有备份因同一原因同时失效(如雷击、设计缺陷、软件漏洞、相同批次元件的共性缺陷)。必须通过物理隔离、异构设计、多样性来抵御。
6.复杂度管理:冗余系统本身比单系统复杂得多,其管理逻辑(故障检测、表决、切换)的软件也成为了新的单点故障。这部分软件的可靠性要求极高。
:UE 中的锁)
