Методы резервирования

В настоящее время в литературе по надежности автоматических :истем управления [15], [16], [32], [37] обстоятельно изложены общие юпросы резервирования автоматических систем и элементов. Чита­

телей, подробно интересующихся этой проблемой, мы отсылаем к этой литературе. В данном параграфе будут кратко рассмотрены методы резервирования применительно к бортовой аппаратуре по­садочного комплекса.

Резервирование возможно лишь в том случае, если кроме основ­ных элементов, необходимых для выполнения предназначенной функции, имеются избыточные элементы. В конечном счете методы резервирования различаются способом использования этой избы­точности. Укажем, что под элементами здесь мы подразумеваем та­кие части системы автоматического управления, как функциональ­ные блоки (усилитель, датчик сигнала, рулевая машинка и т. п.) и отдельные каналы системы управления. Вопросы резервирования таких элементов, как например конденсаторов, реле, сопротивле­ний, нами специально не рассматриваются.

Резервирование может быть активным и пассивным. При актив­ном резервировании в случае отказа элемента системы происходит ее перестройка, в результате которой этот элемент отключается. Вы­ше, рассматривая систему автоматического управления, состоящую из п одинаковых автономно работающих каналов, мы полагали, что отключение неисправных каналов не сказывается на качестве стабилизации самолета системой управления. В действительности же такое отключение каналов приводит к исключению из работы части секций управляющей поверхности, что не может не сказаться на качестве стабилизации. Во избежание этого недостатка в про­цессе перестройки должно осуществляться соответствующее изме­нение законов управления (переключение передаточных чисел, порций) в исправных каналах. В некоторых типах систем перестрой­ка сводится к отключению отказавшего элемента. Заметим, что на время перестройки работа всей системы может нарушаться.

При пассивном резервировании перестройки системы не проис­ходит и отказавший элемент не отключается. В этом случае может происходить изменение режима работы исправных элементов, ко­торые поддерживают систему в работоспособном состоянии.

В бортовых системах автомати­ческого управления применяется в основном активное^ резервирование.

Пассивное резервирование исполь­зуется при построении некоторых электронных и релейно-контактных схем внутри функциональных бло­ков (внутриэлементное резервиро­вание) .

Резервированные системы по способу ‘ включения резерва могут быть разделены на две группы.

По первому способу включения Рис 431 к резервированию из числа п элементов одного назна — замещением

да*

ис. 4.32. Вероятность безотказной работы основного элемента р0 (0 и двух езервных элементов Ppt(t) и Ppa(t) в зависимости от вида резерва (tlH —мо­мент включения первого резервного элемента)

ения непосредственно в работе участвует только один (рис. 4.31). )стальные п— 1 элементов находятся в резерве. При отказе рабо — ающего элемента он отключается и заменяется одним из резерв- ых и т. д. Этот способ резервирования получил название резерви — ования замещением. Как правило, отключение неисправного подключение резервного элемента производятся автоматически. >днако имеются некоторые устройства, в которых при отказе ра — отающего элемента выдается сигнал отказа, а переключение осу — щствляется вручную. Разумеется, в обоих случаях каждый из лементов должен иметь свой блок контроля. В первом случае при тказе элемента блок контроля должен отключить его и выдать игнал на подключение резервного элемента. Во втором случае лок контроля служит лишь для выдачи сигнала отказа.

По условиям работы элементов, находящихся в резерве, разли — ают нагруженный («горячий») резерв, облегченный («теплый») и енагруженный («холодный»). Резерв называется нагружен — ы м, если резервные элементы находятся в таких же условиях, ак основные (работающие). Вероятность безотказной работы или ероятность отказа элемента, находящегося в резерве, такая же, ак и основного (рис. 4.32, а). Ресурс элемента, находящегося в езерве, расходуется с момента включения всей системы. При ис — ользовании «горячего» резерва перерывы в работе, вызываемые

отказами основных элементов, ми­нимальны. Они определяются временем срабатывания переклю­чающих устройств.

Если условия, в которых нахо­дятся резервные элементы, об­легчены, по сравнению с услови­ями основных элементов, резерв является облегченным. Ве­роятность безотказной работы резервного элемента тем больше отличается от вероятности без — Рис. 4.33. Схема безотказности сн — отказной работы основного эле — стемы с резервированием замещением мента, чем сильнее различаются

условия, в которых они находятся (рис. 4.32, 6). Как и в предыду­щем случае, ресурс элемента, находящегося в резерве, расходует­ся с момента включения всей системы. Однако интенсивность рас­ходования ресурса элемента во время нахождения в резерве зна­чительно меньше, чем во время работы. Благодаря этому при прочих равных условиях система с облегченным резервом, более надежна, чем система с нагруженным резервом. Однако перерывы в работе при отказах основных элементов в системах с облегчен­ным резервом оказываются большими.

Резерв считается ненагруженным, если резервные эле­менты до включения в работу находятся в выключенном состоянии. В идеализированном случае можно полагать, что ресурс резервных элементов до включения их в работу не расходуется (рис. 4.32; в). Очевидно, что надежность систем с ненагруженным резервом еще выше. Однако перерывы при отказах основных элементов стано­вятся еще большими. Иногда такие перерывы оказываются недо­пустимо большими.

Очень часто при резервировании замещением в бортовых систе­мах автоматического управления применяется нагруженный или об­легченный резерв.

При оценке надежности системы с резервированием замещени­ем необходимо учитывать надежность переключающих устройств. К ним необходимо отнести блоки контроля, выявляющие факт отка­за основного элемента, выключатель отказавшего и включатель резервного элементов. Обозначим вероятность безотказной работы функционального элемента рэ, а вероятность безотказной работы переключателя рп. Тогда — структурная схема безотказной системы с резервированием замещением имеет вид, показанный на рис. 4.33. Схема состоит из п каналов (цепей), в каждую из которых вклю­чены два звена, характеризуемых вероятностями безотказной ра­боты рэ и ри. Звенья включены последовательно, поскольку для функционирования элемента в системе необходимо одновременное выполнение условий: должен быть исправен сам функциональный

элемент и должен быть исправен переключатель. Вероятность без — этказной работы канала

Рк = РэРт

а вероятность его отказа

ЯК 1 РэРп*

Резервированная система исправно работает, пока исправен хо — гя бы один канал. Следовательно, вероятность отказа резервиро — 5анной замещением системы qc.3 равна произведению вероятностей этказа отдельных каналов

п

Яс’Э — ЯкіЯк2….. Якп — \ Як.’

1=1

Для случая нагруженного резерва <7K1 = <7K2 = … = <7K/I, тогда

Для случая облегченного резерва <7к1><7к2>->?к/1 ■ Значит

п

9с’3обл = П

Отсюда следует

обл

ле рС 5 =1—дс з —вероятность безотказной работы системы с нагру­

женным резервом;

Рс. зоб = * —?с. з — вероятность безотказной работы системы с облег-

ченным резервом.

Выигрыш в надежности при использовании облегченного ре­зерва

^.зобл 1

анагр

Теперь познакомимся со вторым способом включения резерва. 3 отличие от резервирования замещением, при котором в каждый ханный момент в работе участвует только один элемент, при этом способе в работе участвуют все исправные в данный момент эле­менты. Назовем этот способ резервированием с постоянным вклю — іением исправных элементов, или кратко, хотя и не очень точно,— юстоянным резервированием. Подчеркнем разницу между пос — гоянным и пассивным резервированием: при пассивном резервиро­вании включенными в работу могут оказаться не только исправ­ные, но и отказавшие элементы.

Итак, при постоянном резервировании необходимо отключать от­казавшие элементы. Это может быть достигнуто двумя методами.

л і Регулятор Сумматору-*- усиления

Выключатели

Компараторы Т—I

/

/-J — і

/-’ —і

/-J

Л

• <1

 

Рис. 4.34. К реализации принципа выбора по большинству

Первый — снабдить каждый элемент блоком контроля. Однако та­кой путь приводит к серьезному усложнению системы. Как было по­казано в предыдущем параграфе, блоки контроля с малым поро­гом срабатывания и с малой вероятностью ложных отключений — это блоки с компараторами, зачастую требующие установки толь­ко для целей контроля второго элемента или точного аналога. Поэ­тому такой метод отключения применяется лишь в тех случаях, ког­да удается обойтись простыми блоками контроля.

Второй метод основан на использовании принципа выбора по большинству, принципа мажоритарной логики. Суть этого принципа заключается в том, что выходные сигналы (состояния) большин­ства элементов считаются истинными, поскольку вероятность одно­временного отказа двух (или более) элементов значительно мень­ше, чем одного. Пусть, например, имеется система из трех элемен­тов одинакового назначения.

Если выходной сигнал одного из элементов отличается от двух других, то этот сигцал считается ложным, а элемент, с выхода ко­торого он снимается, — отказавшим.

Рассмотрим систему, построенную на этом принципе (рис. 4.34). Сигналы, снимаемые с выходов функциональных элементов, попар­но сравниваются друг с другом на компараторах 1—2, 2—3, 1—3. Порог срабатывания компараторов выбирается заведомо большим, чем разность сигналов исправно работающих функциональных эле­ментов. Сигналы с выхода компаратора, появляющиеся при его срабатывании, подаются на две схемы «И», причем на схему «Иі» подаются сигналы с компараторов 1—2 и 1—3, на схему «Иг» — с компараторов 1—2 и 2—3, на схему «И3» — с компараторов 1—3 и 2—3.

Со схем «И» сигналы снимаются на соответствующие выключа­ли сигналов функциональных элементов, на регулятор усиления і другие потребители.

Допустим, произошел отказ функционального элемента /. Эго іриведет к появлению разности сигналов на входе компараторов ‘—2 и 1—3. Компараторы сработают и выдадут сигналы на все три хемы «И». Однако только «на схему «Иі» поступят два сигнала, іеобходимьіе для ее срабатывания. Схемы «И2» и «И3», на которые юступят только по одному сигналу от компараторов 1—2 и 1—3 юответственно, не сработают. Благодаря этому сигнал на отклю — іение поступит лишь на выключатель функционального элемента I, который отказал.

Если после отказа элемента 1 произойдет отказ любого из двух клавшихся элементов, то это приведет к срабатыванию третьего компаратора 2—3. Сигнал с этого компаратора поступит на схемы <И2» и «И3», на которых уже ранее имелось по одному сигналу. Эбе схемы сработают и отключат оставшиеся элементы, хотя один гз них исправен. Таким образом рассматриваемая схема работает Ю второго отказа и потому является двухотказной.

В схеме (см. рис. 4.34) сигналы с исправных элементов посту — зают на сумматор. Очевидно, что при отказе одного элемента сум­марный сигнал уменьшится примерно на одну треть. Для компен — :ации этого уменьшения служит регулятор усиления, который соот — іетственно увеличивает этот сигнал в полтора раза. В некоторых случаях такая регулировка суммарного сигнала может не требо — заться.

В последние годы на гражданских самолетах начали применять гак называемые блоки сравнения гировертикалей. Они предназна­чены для сравнения между собой сигналов трех гировертикалей, каждая из которых работает на свои потребители. Принципиально :хема блока сравнения гировертикалей отличается от только что рассмотренной отсутствием сумматора и регулятора усиления. Уп­рощенная схема блока сравнения гировертикалей по одному каналу (тангажа) приведена на рис. 4.35.

Со щеток потенциометров гировертикалей, являющихся в дан­ном случае функциональными элементами, снимаются сигналы, пропорциональные углам тангажа. Пока гировертикали исправны, независимо от эволюций самолета сигналы, снимаемые с потенцио­метров, равны между собой. Попарное сравнение этих сигналов осуществляется с помощью трех релейных магнитных усилителей 1—2, 2—З, 1—3. Эти усилители срабатывают при превышении раз­ностью сигналов, снимаемых с потенциометров, заданного порога срабатывания.

В блоке сравнения гировертикалей типа БСГ-2П порог сраба­тывания соответствует расхождению углов, измеряемых гироверти­калями, около 4°. Срабатывание каждого из релейных магнитных усилителей приводит к замыканию двух пар контактов, через ко­торые подается питание на обмотки реле PI, Р2, РЗ. Заметим, что

Рис. 4.35. Блок контроля гировертикалей

каждое из этих реле питается через контакты двух релейных маг­нитных усилителей. Поэтому для размыкания реле необходимо снять питание по обеим цепям. Благодаря этому реализуется логи­ческая операция «И». При исправной работе гировертикалей об­мотки реле находятся подтоком, и через их замыкающие контакты подаются сигналы «Годен».

Допустим, произошел отказ ЦГВ2. Это приведет к срабатыва­нию релейных магнитных усилителей 1—2 и 2—3. Обесточится об­мотка реле Р2, которое и выдает сигнал отказа ЦГВ2.

Принцип действия блока контроля гировертикалей по каналу крена аналогичен. В блоке предусмотрена система тест-контроля, позволяющая проверить его исправность в полете.

В обеих вышерассмотренных схемах (рис. 4.34, 4.35) исправ­ность элементов определялась путем сравнения между собой их вы­ходных сигналов. Этот метод, иногда называемый способом «сличе­ния голосов» или «голосования», не является единственным мето­дом определения исправности элементов. На рис. 4.36 представлена схема, в которой сигналы функциональных элементов сравнивают­ся с сигналом на выходе регулятора усиления:

U р k р Lj с k р

где Uі, ІІ2у и3—сигналы функциональных элементов;

Uс —сигнал на выходе сумматора;

6Р —‘Коэффициент усиления регулятора усиления.

Рис. 4.36. Схема с определением отказавшего элемента методом сравнения вы­ходных сигналов с суммарным сигналом

Величина коэффициента усиления увеличивается в 1,5 раза при отказе любого элемента. В простейшем случае регулятор усиления представляет собой релейную схему, управляемую сигналами с по­роговых блоков.

При срабатывании реле шунтируются гасящие сопротивления в цепи сигнала на выходе сумматора.

Другой метод определения исправности элементов основан на использовании выбирающих устройств (рис. 4.37). Выбирающее устройство[28] из трех входных сигналов непрерывно выбирает и пе­редает сигнал, имеющий промежуточную амплитуду. Наибольший и наименьший сигналы отбрасываются. Поэтому если отказы со­провождаются выдачей больших сигналов или их пропаданием, вы­бирающее устройство такие сигналы не пропускает.

В работе выбирающего устройства используются логические операции выделения наибольшей и наименьшей из двух или не­скольких величин. Вначале рассмотрим схему выделения наимень­шей из двух величин, реализованную на диодах (рис. 4.38). Ток че­рез диод Д1 протекает при условии, что Ui<U0Ul а через диод Д2 — при условии, что U2<Uon.

При выполнении обоих условий ток протекает через диод Д1, если С/1<t/2, и через диод Д2, если U2<Uі. В первом случае Uвых — £Л, а во втором — ивых=и2. Схема выделения наименьшей из нескольких величин работает аналогично.

и, 0-

Рис. 4.38. Схема выделения наимень- шей из двух величин

Рис. 4.39. Схема выделения наиболь­шей из трех величин

Рис. 4.37. Схема с выбирающим уст­ройством

Теперь рассмотрим схему выделения наибольшей из трех ве­личин (рис. 4.39). При малых входных напряжениях Uu &2 и t/3 диоды Д1, Д2 и ДЗ заперты отрицательным опорным напряжением £/0п. В этом случае t/BbIX=0. При условии U{>U0n, U2>t/on, t/3> >0оп открыт диод, к которому приложено наиболее положитель­ное напряжение. Выходной сигнал равен этому напряжению.

Выбирающее устройство (рис. 4.40) состоит из трех схем выде­ления наименьшего из двух сигналов: «mini», «шіп2», «тіп3» и од­ной схемы выделения наибольшего из трех сигналов: «шах». Пусть на вход выбирающего устройства поступают сигналы t/i>t/2>t^3- Тогда во время положительного полупериода на выходе схемы «mini» выделится сигнал t/2, на выходе схем «тіп2» и «тіп3» — сиг­нал t/з. Из этих трех сигналов, поступивших на вход схемы «шах», наиболее положителен сигнал t/2, который и является выходным сигналом выбирающего устройства. Во время отрицательного полу — периода выходной сигнал схем «mini» и «тіп3» равен Uь а схемы «тіп2»—t/2. Выходной сигнал схемы «тах» во время отрицатель­ного полупериода равен t/2.

Таким образом, через выбирающее устройство во время всего периода проходит сигнал t/2, имеющий промежуточную величину. Рис. 4.41 иллюстрирует выделение выбирающим устройством про­межуточного в каждый данный момент напряжения из трех напря­жений Uи U2 и t/3, -подаваемых на его вход.

Важнейшим достоинством выбирающего устройства является отсутствие в нем контактных устройств. Таким же достоинством об-

ладает и другое устройство аналогичного назначения, так называе­мый кворум-элемент (рис. 4.42). Подобно выбирающему устройст­ву, кворум-элемент при больших различиях сигналов Uu U2 и и$ пропускает на выход сигнал промежуточной величины. Однако при небольших расхождениях сигналов Uy U2 и £/3 он работает в ре­жиме осреднения. Выходной сигнал в этом режиме равен среднему арифметическому трех сигналов

ц___ U 4- Ц2 + Цз

“ 3

Наконец, если один из сигналов, например сигнал f/3, отличается эт осредненного сигнала U более чем на некоторую заданную ве­

>Д£/), то он отключается. В этом

случае кворум-элемент выдает сигнал, равный среднему арифмети­ческому двух остальных сигналов. В нашем случае

ц_Цу+и2

2

Значение At/, при котором про­исходит запирание цепи сигнала, считающегося неисправным, уста­навливается соответствующим под­бором напряжений смещения, пода­ваемых на диодные мосты. Следует заметить, что принципиально выби­рающее устройство также может работать в режиме осреднения сиг­налов. Для этого необходимо на ди­оды выбирающего устройства подать соответствующее смещение.

Как видно из предыдущего, в принципах работы и реализации вы­бирающих устройств и кворум-эле­ментов много общего. Поэтому они могут рассматриваться как разно­видности логических избирательных схем, построенных на нелинейных элементах, в данном случае — на полупроводниковых диодах.

Как правило, схемы резервиро­вания, использующие выбирающие устройства, и кворум-элементы со­вершенно аналогичны. Поэтому схе­ма, показанная на рис. 4.37, будет работоспособной, если выбирающее устройство заменить кворум — элементом. И в том и в другом случае при отказе одного функцио­нального элемента резервированная схема имеет на выходе нор­мальный сигнал.

Одновременно выдается сигнал об отказе этого функционально­го элемента.

При возникновении неисправности еще в одном функциональ­ном элементе выдается второй сигнал отказа. Наличие двух любых сигналов отказа приводит к отключению всей системы. Этот вопрос будет подробно рассмотрен несколько позже. Здесь мы лишь ука­жем, что сигналы отказа проходят через устройство, запоминаю­щее отказ. Например, в схеме, показанной на рис. 4.29, для этой цели установлен триггер Шмитта. Необходимость в памяти на от­каз необходима на тот случай, если в системе произойдет второй отказ, похожий на первый. В этом случае сигналы отказавших элементов будут одинаковыми. В соответствии с правилами ма­жоритарной логики, положенными в основу работы системы, эти два сигнала будут считаться истинными, а сигнал исправного эле­мента— ложным. Если не предпринять специальные меры, для ко­торых как раз и нужна память на отказ, то это приведет к отклю­чению исправного элемента и выдаче сигнала с отказавших эле­ментов.

Рис. 4.43. Логическая избира-
тельная схема

Итак, только что рассмотренные нами устройства обеспечивают выдачу нормальных сигналов, если исправны по крайней мере два любых элемента из трех. На рис. 4.43 представлена схема, реали­зующая такую логическую функцию:

Учитывая, что U + U = l9 U2+U2=lf = в соответствии

с правилами алгебры логики запишем

U = UXU, (^3+t/3) + W3(^2 + t/2) + ^3(^l+^l) =

=U£Wb+UlUpz+UlUp% + U&lfl. (4.24)

Логическая функция такого вида реализуется схемой, изобра­женной на рис. 4.44. Для определения вероятности безотказной ра­боты резервированной системы, т. е. вероятности выдачи сигнала £/, воспользуемся зависимостью (4.24). Будем полагать, что веро­ятности исправной работы функциональных элементов одинаковы рт = Ри2 = риз = Ра — Тогда вероятность отказа функционального элемента равна (1— рэ). Вероятность безотказной работы системы

Pc^pl + 3pl( — p»)=pl(3 — 2pa). (4.25)

Рис. 4.44. Логическая изби-
рательная схема, реализую-
щая логическую функцию
(4.24)

Пока мы не учитывали надеж­ность переключающего устройст­ва, которым является логическая избирательная схема (выбираю­щее устройство, кворум-элемент и т. п.). Если надежность пере­ключающего устройства РпфУ то вероятность безотказной рабо­ты системы определится зависи­мостью

Рс = РпРэ(3-2рэ).

Для уменьшения вероятности отказов нз-за переключающих

устройств часто прибегают к их резервированию. Особенно целесо­образно это делать в системах с несколькими выходами. На рис. 4.45 в качестве подобного примера показана трехканальная система с тремя кворум-элементами.

Рассмотренный принцип резервирования с использованием ло­гических избирательных схем может быть распространен на систе­мы с большим количеством каналов. В принципе с помощью таких схем на базе малонадежных функциональных элементов может быть построена резервированная система с надежностью, сколь угодно близкой к единице[29]. Разумеется, это достигается за счет сильного усложнения систем.

Тот факт, что благодаря использованию логических избиратель­ных схем при отказах отдельных функциональных элементов вы­ходная информация все же полностью сохраняется, послужил осно­ванием называть такие устройства восстанавливающими органами. Этот термин довольно широко распространен в ли­тературе по надежности автоматических систем управления.

Теперь рассмотрим вопрос обработки информации об отказах функциональных элементов, получаемой от компараторов (см. рис. 4.36 и 4.37). Обычно целью этой обработки является выдача сигна­лов об отказе одного и двух элементов. Сигнал об отказе одного элемента нужен, чтобы информировать летчика об отсутствии ре­зерва. Сигнал об отказе двух элементов необходим для отключе­ния всей системы. При этом, как правило, нет необходимости сигна­лизировать, какие именно элементы отказали. Тогда логическая функция для события, заключающегося в отказе одного элемента, имеет вид:

(4.26)

где Ui, и? г Uз — сигналы отказа соответствующих функциональных элементов

1,2 пЗ.

Рис. 4.46. Логическая схема, реали-
зующая логические функции (4.26,
4.27)

Логическая функция для случая отказа двух элементов

0,=UiU2 + UiU* + U2UZ. (4.27)

Функции (4.26 и 4.27) реализуются схемой (рис. 4.46).

По такому же принципу обрабатывается информация об отка­зах функциональных элементов, когда число последних более трех. Если система состоит, например, из четырех одинаковых элементов, сигнал на отключение системы необходимо выдавать при отказе трех элементов (03). Сигналы отказа одного элемента Oj и двух элементов 02 используются для информации летчика об уменьше­нии и отсутствии резерва соответственно.

Логические функции:

Ог ~Пг —02 4-£73-j-£74; (4.28)

02 = ихи2+ихиъ + UiUa + Щ7з+V2Ua + UzUa; (4.29)

03 = Uxn2Uz + £^1^2^74 + UxUj)A + U2UzUAy (4.30)

где Uі, ІІ2, Uг, ІД — сигналы отказа соответствующих функциональных эле­ментов, реализуются схемой, представленной на рис. 4.47. Каждой из этих функций соответствует свой выход схемы.