基于拜占庭故障模式的空天飛行器GNC系統架構研究

石慶峰,梁 君,郎鵬飛,李 然，李艷美

(中國運載火箭技術研究院研究發展中心，北京 100076)

基于拜占庭故障模式的空天飛行器GNC系統架構研究

石慶峰,梁 君,郎鵬飛,李 然，李艷美

(中國運載火箭技術研究院研究發展中心，北京 100076)

針對空天飛行器對GNC系統的高可靠性需求，開展了基于拜占庭故障模式的GNC系統架構研究，采用四機三總線架構設計方案，通過系統內總線實現輸入數據及輸出數據多機冗余比對，防止拜占庭故障的發生，提升了系統可靠性，實現了系統自檢測和故障的準確定位及隔離，并具有在線故障診斷、故障自修復功能，同時解決了高動態、強干擾環境下系統自主性較差的問題，提升了GNC系統可靠性和容錯性;經分析，該系統架構能夠滿足空天飛行器在軌、再入復雜任務需求。

空天飛行器 ；拜占庭故障；GNC系統；容錯設計

0 引言

空天飛行器是實現“快速、機動、廉價、可靠”進出空間的重要途徑，具備可重復使用、長期在軌運行和快速應急響應等特點。是一個涉及多學科、多領域技術的大型復雜系統。飛行器在軌飛行和再入返回面臨惡劣復雜的空間環境，加之我國在空天飛行器的研制方面還缺少充分的工程經驗，且元器件、原材料和加工水平與國外還有一定差距，在軌段與再入段發生故障的可能性較大，美國航空航天局(NASA)哥達德空間飛行中心對1990年至2001年間全世界主要國家和地區發射的764顆航天器進行了故障統計，有35顆發生了GNC系統故障，而這35顆中有13顆全失效，占發生GNC系統故障航天器數的37 %[1]。GNC系統作為飛行器的核心控制系統，其可靠性直接影響著整個飛行任務的成敗。美國在X-37B、“全球鷹”無人機等飛行器的控制系統上均采用了系統容錯和重構技術；因此，為了確保飛行器可靠運行，必須提高GNC系統的可靠性，確保在故障發生后，能夠及時檢測故障和準確定位故障源，從而采取重構措施使故障影響降至最低，因此故障情況下的重構控制設計將大大提高任務成功的概率。

1 提高系統可靠性的手段

在航天器多余度系統設計方面，國際上有多種不同的方法和理論，應對的問題和情況也各不相同?？仗祜w行屬于高性能、高可靠、高安全的任務，飛行器有較強的資源限制條件，因此在多余度體系結構和系統詳細設計方面應綜合考慮各方因素。提高系統可靠性目前主要有兩種措施，一是“避錯”設計，即在方案設計階段就要保證系統無缺陷、無故障發生，該方法實際上是要求系統完美無暇，不能出現絕對的差錯，從系統研制的角度來看該設計理念是一種理想行為，按照該方法不僅系統研制代價巨大，而且系統出故障概率為零也不現實。再一種設計方法就是“容錯”設計，顧名思義就是即使系統出現故障，但因自身具備強大的容錯能力，也能保證系統功能不受影響?？梢娤到y容錯設計是航天器應對故障問題最有效的措施。

在系統級故障容錯方面，由于空天飛行器需要進行高超聲速大氣層返回再入和機場著陸任務，因此要求GNC系統在多重故障情況下仍然可以正常連續工作，以保證飛行器關鍵任務安全。在系統級自動重構方面，目前國際上有幾種典型的系統重構策略，如美國噴氣推進實驗室研制成功的STAR容錯計算機，通過采用冗余技術，其可靠性比單一計算機高幾十倍，可以對系統出現的各種瞬時、永久、隨機和災難性的故障實現容錯。如國際空間站主要應對長期在軌和有人值守的飛行任務情況，優先保證系統長期工作可靠性，并可以通過人工維修和更換使系統二次重構，恢復系統因偶然故障失去的可靠性冗余；X-37主要考慮高速再入時系統的快速重構能力，保證系統在發生故障時可以無縫切換為新的構型，并保證飛行任務安全。

在國內，提高飛行器可靠性的主要手段大多基于“三取二表決機制”。即GNC系統采用三冗余設計方案，該方案雖然在一定程度上達到了容錯目的，但該容錯機制在系統出現兩度故障后將失效，系統容錯能力不足。對于空天飛行器來說，高動態連續工作和長期在軌都要求系統具有很高的可靠性，且具備應對多重故障的能力，為了保證系統在兩度故障模式下還仍具備容錯能力，容錯方案設計中必須考慮拜占庭故障模式。根據文獻[2]的證明，若要解決一重拜占庭故障，則需要至少4個計算機同時工作。

2 拜占庭故障模式簡介

拜占庭問題的最初描述是：n個將軍被分隔在不同地方，忠誠的將軍希望通過某種協議達成某個命令的一致，但其中一些背叛的將軍會通過發送錯誤的消息阻撓忠誠的將軍達成命令上的一致，拜占庭問題就此形成。美國計算機學家萊斯利·蘭伯特(Leslie Lamport)[3]證明了在將軍總數大于3n，背叛者為n個或更少時，忠誠的將軍可以達成命令上的一致。

從工程的角度來說，一個可靠的系統必須能夠應對多重故障模式，發生故障的部件可能會向系統中不同的對象發送相互矛盾的信息，該類故障便可以抽象為拜占庭將軍問題。在三模冗余系統中，拜占庭將軍問題可簡化為圖1。

圖1 三模冗余模式下的拜占庭問題

3 空天飛行器GNC系統架構設計

3.1 總體設計思路

(1)采用四機冗余及容錯設計，以最少部件實現最大冗余，以最少接口實現全周期GNC功能，增強接口匹配能力，減少接口之間的測試、協調；

(2)通過系統內總線實現輸入數據及輸出數據多機冗余比對，防止拜占庭故障的發生，提升系統可靠性，當某一模塊故障后，能夠實現自主檢測、準確定位。

3.2 系統方案設計

3.2.1 架構設計

空天飛行器GNC系統采用四機三總線架構，四個控制模塊和三條總線的結構實現了飛行器安全和高可靠運行。三條1553B總線，完成導航信息及控制指令的傳輸，實現飛控計算機與敏感器及執行機構的信息交互；采用四機冗余的飛控計算機進行全系統導航信息處理及制導控制指令的發出；采用雙冗余或三冗余敏感器完成航天器全任務段信息采集；采用三冗余執行機構來執行飛控計算機發出的控制指令，架構設計示意圖如圖2所示。

圖2 空天飛行器GNC系統架構示意圖

飛控計算機包括A、B、C、D四個相同的控制模塊(即四備份冗余設計)和仲裁模塊；飛控計算機的A、B和C三個控制模塊分別作為BC(總線控制器)管理GNC系統的三條1553B總線，D計算機處于溫備份狀態。A、B和C三個控制模塊中的任意一個模塊出現故障，D控制模塊能夠替代故障控制模塊作為BC管理故障模塊管理的1553B總線。

3.2.2 容錯設計

飛控計算機的A、B和C三個控制模塊分別接收通過對應1553B總線傳輸的敏感器信息，D控制模塊接收三條1553B總線傳輸的所有數據，A、B、C和D控制模塊將各自接收到的1553B總線傳輸的數據進行兩兩之間的信息交互，并將各自接收到的數據發送至仲裁模塊(該模塊對A、B、C和D控制模塊進行仲裁，不接收輸入信息，也不輸出指令，避免外接口對模塊的干擾，可靠性更高)；A、B、C、D四個控制模塊和仲裁模塊分別將交互后各自包含的系統信息進行處理，得到飛行器的實時位置、姿態、軌道信息，并各自結合執行機構狀態計算出控制指令，然后將各自形成的控制指令進行兩兩之間的指令交互，各控制模塊將交互完后包含的指令進行表決并通過1553B總線輸出最終的控制指令給執行機構；同時通過指令表決的方式判斷是否存在故障模塊，并將故障模塊進行隔離。數據交互比對具體說明如下：

(1)輸入比對：各模塊分別接收GNC系統1553B總線上的數據，把1553B總線數據轉換成飛控計算機內總線數據，通過內總線傳遞給仲裁模塊進行輸入數據交換；

(2)輸出比對：飛控計算機各模塊通過內總線接收仲裁模塊經過表決的輸出數據，并轉化成GNC系統1553B總線數據，經1553B總線輸出。

當四冗余飛控計算機中某一模塊同其它模塊不能同步，或雖能同步但連續多次表決數據不正確以及軟件看門狗溢出，則認為該控制模塊發生了嚴重故障，就要進行系統重試，對故障模塊進行重構。重試時，三個正?？刂颇K先將故障模塊從系統中切除，使系統降模為三模工作方式，然后將故障控制模塊復位或是再加電。

下面以一個具體例子說明飛控計算機內A、B、C、D四個控制模塊進行指令交互、表決和判斷故障模塊的具體實現方式：

假設將飛控計算機A、B、C控制模塊分別作為1553B總線1、總線2、總線3的BC，將備份的D控制模塊掛在三條總線上(能夠管理1553B總線1、總線2、總線3)。

(1)數據交換。

各控制模塊和仲裁模塊將各自形成的控制指令進行兩兩之間的指令交互，使得每個控制模塊都會生成一個信息矩陣。舉例說明：

假定飛控計算機A控制模塊發送數據1，B控制模塊發送數據2，C控制模塊發送數據3，D控制模塊發送數據4，而B控制模塊出現故障。各控制模塊發送自己的數據給對方，也同時發給仲裁模塊。其中A、C、D控制模塊發送的是其真實值，而B控制模塊可能對其他機發送不同的信息。則在第1輪數據交換后每個控制模塊和仲裁模塊都會有1個所有控制模塊的信息，即：

A控制模塊[1，a，3，4]，B控制模塊[1，2，3，4]，C控制模塊[1，b，3，4]，D控制模塊[1，c，3，4]，仲裁模塊[1，d，3，4]。

各控制模塊將自己接收到的數據再向其他控制模塊轉發，這樣每個控制模塊都會生成一個信息矩陣，即：

仲裁模塊

其中:a、b、c、d、e、f、g、h、r、s、t、u、v、w、x、y是B模塊向其他模塊發送的錯誤數據；以A模塊為例，第一行[1，a，3，4]是1輪數據交換后A模塊的數據，第一行的a是B模塊發送的，其余分別對應著A模塊自己的數和C、D模塊的發送的數據；第二輪數據交換是各模塊將各自擁有的數據發送給對方，[e、f、g、h]是B模塊發送的(因為B模塊發送的是錯誤數據，所以四個數全部是錯誤的)；[1、b、3、4]、[1、c、3、4]、[1、d、3、4]分別是C、D和仲裁模塊發送的；

(2)指令表決。

各控制模塊和仲裁模塊按照少數服從多數的原則進行表決，對信息矩陣的每一列進行選擇，如果在某一列中的某個指令的數量大于等于三個(在表決第i列時，應將對應第i行數除外，該行數為自身的數據)，則該指令為表決輸出的正確指令；如果某一列中不存在數量大于三個的指令，則認為該控制模塊故障，同時如果某一列中的指令的數量小于三個，則與其對應的控制模塊故障；

在上述例程中，通過表決得到結果如下：

A模塊：(1，UNKOWN，3，4)；C模塊：(1，UNKOWN，3，4)；

D模塊：(1，UNKOWN，3，4)；仲裁模塊：(1，UNKOWN，3，4)。

A、C、D三機和仲裁模塊一致認為B機發生故障，在表決B機的數據時，雖然沒有某個數占多數，但各機中參與表決的4個數是一樣的，都是(a，b，c，d)，那么各機表決結果也必定是一致的。至此，檢測出B機出現故障，并將其隔離。

(3)將步驟(2)判定故障的B控制模塊進行隔離。

3.2.3 同步策略

飛控計算機每個控制模塊都產生一個用于本地的軟時鐘信號，時鐘周期可根據具體控制方案確定。軟時鐘可通過模塊中的FPGA實現，并根據實際需求確定同步脈沖的占空比。

每個控制模塊在被復位后，都會向其他三個模塊發送一個“復位準備好標識”，表示本模塊已處于復位后待命狀態。當每個模塊通過FPGA讀取到其它三個模塊的“復位準備好標識”后，便開始啟動運行。這樣便實現了四模塊的起始同步。

由于每個模塊的軟時鐘都是基于本地鐘振產生，而每個鐘振之間又存在偏差，所以隨著時間的推移，通過FPGA計數器產生的軟時鐘之間的偏差就會越來越大，為了阻止這種偏差擴大，將其控制在一個可容忍的范圍之內，就要定期對四個模塊的軟時鐘進行同步。軟時鐘同步的主要內容有三項：首先獲得其他機器軟時鐘信息，然后根據這些信息計算得出本地時鐘與其他模塊軟時鐘之間的偏差，最后用所獲得的偏差對本地軟時鐘進行修正。

3.2.4 突破的關鍵技術

采用基于拜占庭故障模式的系統架構降低了飛行器進出空間過程中大過載、高速、高動態環境下GNC系統面臨的風險。突破了多余度快速自動重構關鍵技術?；陉P鍵技術建立的多余度、變結構GNC系統體系結構可以滿足系統全任務期間系統容錯使用需求，且系統在任意一重故障下能夠正常工作，在二重故障下保飛行任務安全；系統自動重構所需時間不大于一個系統控制周期；此外，系統具備自動故障恢復功能，長時間在軌運行可靠性不受偶發故障累積影響。通過對基于拜占庭故障模式的GNC系統架構進行仿真驗證，結果滿足可靠性要求。具體結果見表1。

表1 控制器單機故障仿真及重構驗證結果

4 結束語

基于拜占庭故障模式的架構設計技術是改善空天飛行器GNC系統可靠性的有效手段，基于該技術設計的系統具備高可靠性、多冗余自動重構能力,是發展“高精度、高可靠性、長壽命”GNC系統的關鍵技術之一。能夠滿足空天飛行器在軌、再入復雜環境下的任務要求，該設計理念可為后續同類航天器的設計提供參考 。

[1] 林來興，最近十年航天器制導、導航與控制(GNC ) 系統故障分析研究[J]. 控制工程，2004，(1)：1-2.

[2] K PKihlstrom，L E Moser，P M Melliar-Smith.Solving Consen-sus in a Byzantine Environment Using an Unreliable Fault Detector[A].Proceedings of the International Conference on Principles of Distributed Systems(OPODIS)[C].1997．

[3] Leslie Lamport，Robert Shostak，Marshall Pease.The byzantine generals problem[J].ACM Transactions on Programming Language and Systems，1982，4(3):382-401.

GNC System Architecture Research for Aerospace Vehicle Based on Byzantine Failure mode

Shi Qingfeng，Liang Jun，Lang Pengfei，Li Ran，Li Yanmei

(R&D Center，China Academy of Launch Vehicle Technology，Beijing 100076，China)

To meet the high reliability requirement of GNC system for aerospace vehicle (ASV),developing the GNC system architecture research based on the Byzantine failure mode.This architecture is based on four computer processing modules and three MIL-1553B data buses,The comparison of the IO data through the system bus based on multi-computers redundancy.Byzantine fault is avoided,and the system reliability is improved.The GNC system has the function of fault detection ,fault location ,fault isolation and fault self-healing.The architecture solves the high dynamic and strong interference environment problems of the poor autonomy system.In addition,the system architechture can meet On-orbit and Reentry requirements.

aerospace vehicle；Byzantine fault；GNC system；fault tolerance design

2016-10-26；

2016-12-15。

石慶峰(1975-)，男，山東臨沂人，碩士研究生，高級工程師，主要從事導航、制導與控制方向的研究。

1671-4598(2017)05-0029-03DOI：10.16526/j.cnki.11-4762/tp

TM

A