安全关键信号双传感器冗余处理方案实例分析

admin管理员组

文章数量:1567258

2024年6月24日发(作者：)

ELECTRONICS WORLD

・

探索与观察

安全关键信号双传感器冗余处理方案实例分析

中国北方车辆研究所 门义双 徐 静 雷 阳

本文针对军工产品控制系统中安全性和可靠性的高要求，举例

分析了波音飞机迎角传感器安全关键信号采用双传感器冗余的技术

问题，双传感器的处理办法对系统可靠性的影响。提出坦克炮控系

统角度限制功能的双传感器冗余处理方法。

目前，高铁、船舶及航空、航天、兵器等军工行业产品逐渐向

智能化、无人化方向发展，系统越来越复杂，可靠性要求也越来越

高。为提高系统可靠性，在组成系统时，增补一些工作单元或后

备单元，即使其中之一发生故障，而整个系统仍能完成规定的任

务，这类系统即成为冗余系统。冗余设计是提高系统可靠性的重

要方式之一，虽然增加了成本并且降低了基本可靠性，但提高了

系统的任务可靠性。

不过，冗余设计能否提高系统的可靠性和安全性，并不能一概

而论。对军工产品来说，安全性是产品不可缺少的重要指标。所谓

安全性，就是产品不发生导致人员伤亡、健康恶化、设施和环境毁

坏等事故的能力。（安全件控制技术属于安全性工程范畴，虽然安

全性工程与可靠性工程有一定的内在联系，但是两者分属互相独立

的不同工程范畴。这里仅讨论与可靠性相关的安全性基本概念。）

在复杂系统中同时保证可靠性、安全性的基本原则是：

（1）

可靠性是安全性的基础，要保证安全性，首先要保证可靠性。

（2）在保证可靠性基础上，还要同时保证安全性，必须进一步控

制可能存在的诸如火工品、推进剂、高能高压装置等一般危险源。

（3）在采取安全性控制措施时，不可引入降低可靠性的因素。

针对某一特定关键信号采用双传感器冗余方案，可以通过数字

化手段进行信号特征建模和对传感器本身的信号分析，诊断出如信

号中断、超界、噪声大、信号斜率超差等多种故障，即可用简单的

判据判定大部分的传感器故障，从而可以确定控制系统选用哪个传

感器的信号作为有效信号，大大提高该信号的可信度，这是采用双

传感器冗余的技术基础，本文不对此进行分析。

本文的分析基于以下条件：一个双传感器冗余的孤立系统中，

传感器信号均符合模型的预设边界条件，无法通过信号分析手段判

断传感器的有效性，如果两个传感器输出的信号不同，当没有外部

其他参考条件参与判断时，不能从两个信号本身判断哪一个传感器

是正确的。这可参考社会学领域与此类似手表定理：手表定理是指

一个人有一块表时，可以知道当时是几点钟，当他同时拥有两块表

时，却无法确定时间，两只手表并不能告诉一个人更准确的时间，

反而会让看表的人陷入混乱，失去对准确时间的信心。

对于一个与安全相关的传感器信号，为提高系统的可靠性与安

全性，增加一个完全相同的传感器，系统可靠性与安全性是否能提

高呢？本文结合波音737MAX事故的实例对安全相关信号的冗余设

计方案进行分析。

1 波音737MAX飞机迎角传感器实例

2018年10月29日和2019年3月10日，狮航和埃航的波音公司737Max飞

机两次发生严重坠毁事故，空难造成300多人死亡。根据网上披露（未经

证实）的狮航调查报告资料，狮航

飞机坠毁前进行了自杀式俯冲，共

26次，而飞行员努力拉了33次机头，试图拯救飞机，最

终没有成功。

鉴于飞机失速会对安全带来致命性的影响，避免失速坠毁，波

音737Max飞机设计了2个攻角传感器，力图提高攻角传感器的可靠

性；同时设计了MCAS系统，其功能是在飞机迎角过大时自动控制

飞机俯冲恢复到安全姿态。对黑匣子数据的分析表明，造成这个

悲剧的原因是飞机左侧的攻角传感器发生故障，送出了错误的攻

角信号，引发MCAS系统作出俯冲的动作。

飞机右侧的攻角传感器数据是正常的，左侧攻角传感器数据大

了20°左右。虽然攻角传感器输出的是连续模拟量，但进行系统控

制时可抽象转换为布尔代数运算：假设攻角过大为1，攻角正常为

0。从最后的结果看，MCAS系统采信了左侧传感器的输出数据，

这表明，或者MCAS系统把左侧的攻角传感器设为主传感器，或者

是有任一传感器输出攻角过大信号MCAS系统即采纳。

检测迎角依靠机头两侧2个冗余的迎角传感器，本意是希望得到可

靠的数据，但737MAX对此系统设计有漏洞，两个迎角传感器信号之

间的处理不严密，导致任意一个迎角传感器出问题就能造成系统发生

错误响应，飞机自动压机头保命。另外，MCAS系统在两个传感器

数据不一致时对飞行员没有报警，由飞行员进行判断，手工操作，

而是直接由控制系统按预定的不严密的判断逻辑进行飞机的控制。

从737MAX的案例可以得到以下结论：

（1）双传感器冗余不能100%解决可靠性问题，传感器仍有失

效的可能；

（2）即使传感器发生了故障，也可能不立即输出错误结果，

实现提前检查维修，而是随系统的运行状态和外界条件不同，表现

出一定的失效概率。

2 传感器有效性的数学描述

2.1 单一传感器

对于一个检测关键安全因素的传感器，当检测到系统运行不安

全时，应发生安全报警。虽然传感器输出的可能是连续模拟量，也可

能是布尔型数据，但进行系统控制时可抽象转换为布尔代数运算，安

全关键传感器的输出最终处理结果可归结为报警信息的有与无，表示

为布尔型的数据为：1为有安全报警，0为无安全报警（正常状态）。

设某控制系统有检测安全状态的报警传感器

A

，系统运行在安

全状态时

A

=0，其概率记为

S

，系统运行在不安全状态时

A

=1，其概

•

101

•

ELECTRONICS WORLD

・

探索与观察

率记为1-

S

。理想情况下，传感器状态完全反映系统真实状态，则

传感器输出

A

=1的概率为1-

S

，

A

=0的概率为

S

。

如果传感器因某种原因失效，则其输出不能完全反映系统的真

实状态，定义以下概念：

虚报：系统运行在安全状态，传感器不应报警而发生了错误报

警，称为虚报，其概率为虚报率

P

；

漏报：系统运行不安全，传感器应报警而未报警，称为掉漏

报，其概率为漏报率

Q

；

误报：以上两种情况统称为传感器失效，传感器输出信息错

误，称为误报，概率为误报率

M

，误报率等于虚报率加上漏报率，

即

M

=

P

+

Q

。

当系统运行在安全状态时的概率为

s

时，传感器输出结果为1和

0的概率可按以下计算：

（1）输出为1的概率

输出为1的情况包括系统安全运行但发生虚报和运行不安全状

态且未发生漏报两种情况。

安全状态发生虚报概率：

S

×

P

不安全状态未发生漏报：(1-

S

)×(1-

Q

)

因此，传感器输出为1的概率=安全状态发生虚报概率+不安全

状态未发生漏报的概率，记为：

(1)

（2）输出为0的概率

安全状态未发生虚报概率：

S

×(1-

P

)

不安全状态发生漏报：(1-

S

)×

Q

输出为0的概率=安全状态未发生虚报概率+不安全状态发生漏

报概率，记为：

(2)

根据贝叶斯定理，传感器输出为0和为1时正确的概率分别为：

当传感器报警输出为1，其正确的概率为：

当传感器未报警输出为0，其值正确的概率为：

给上面的分析赋以实际数值，可以看到直观的结果。举例如下。

例1：设某系统有80%概率运行在安全状态，即

s

=80%，虚报率为

1%，漏报率1%，则传感器报警输出为1的概率为0.008+0.198=0.206，

输出为1是真的概率为0.198/0.206=96.1%。输出为0的概率是

0.792+0.002=0.794.，输出为0是真的概率是0.792/0.794=99.75%。可

见，在传感器虚报和漏报概率相同时，虚报概率大于漏报概率。

2.2 双传感器冗余

当系统安全关键信号采用双传感器冗余方案时，系统有两个

冗余的传感器A，B采集同一数据量。以下讨论排除明显判定传

感器故障的情况，如无信号、超界等。由于增加了部件，整系统

的基本可靠性是降低的。设两个传感器误报概率为

M

、

N

，忽略

其他附属环节的可靠性问题，两个传感器的同时误报的概率为

•

102

•

M

×

N

，有一个误报的概率是{

M

×(1-

N

)+

N

×(1-

M

)}，同时准确的概

率是(1-

M

)×(1-

N

)。

两个传感器进行布尔代数运算，有四种可能，如表1所示。如果两

个传感器的信号不同，控制系统在采信传感器数据时有三种处理方案：

（1）逻辑与运算：两个传感器均报警输出为1时按报警处理；

（2）逻辑或运算：两个传感器有一个报警输出为1时就按报警

处理；

（3）主从模式：默认传感器

A

（或

B

）为主传感器，采用其输

出为有效信号。

表1 双传感器冗余真值表

传感器A传感器B逻辑与G=A&B逻辑或G=A||B主从（A为主）G=A

11111

10011

01010

00000

因此，从直观看，如果传感器的失效模式（或在系统中有重大

影响）是虚报，则应采取逻辑与运算，如果失效模式是漏报，应采

取逻辑或运算。如果两个传感器失效概率差别较大，可以考虑采取

主从模式处理。

现假定传感器

B

的特性与

A

完全相同，孤立系统除两个传感器

的信息外无其他外界参考信息。设

A

、

B

虚报和漏报概率分别为

P

、

Q

，误报率

M

=

P

×

Q

。因为控制系统的安全保护策略是检测到传感

器信号有效时执行特定的功能，系统可靠性与安全性与传感器的

失效模式有关、与两个传感器发生故障时系统的处理方法有关，

信号在系统中的作用机理有关。下面将两个传感器的输出按不同

处理方式综合为一个传感器，对此展开分析。

【逻辑与处理】

两个传感器进行逻辑与运算，综合的虚报率和漏报率为：

综合虚报率：

综合漏报率：

套用(1)、(2)两式，可得综合输出为1和0的概率。

综合结果

G

=1的概率：

综合结果

G

=0的概率：

根据贝叶斯定理，传感器输出为0和为1时正确的概率分别为：

当传感器报警输出为1，其正确的概率为：

当传感器未报警输出为0，其值正确的概率为：

例2：例1中系统的其他条件不变，

S

=80%，虚报率为1%，漏

报率1%，配置双冗余的传感器。当传感器按与逻辑处理时，报警

输出为1的概率为0.0008+0.19602=0.1961，输出为1是真的概率为

0.19602/0.1961=99.96%。输出为0的概率是0.79992+0.00398=0.8039，

ELECTRONICS WORLD

・

探索与观察

输出为0是真的概率是0.79992/0.8039=99.5%。可见，在双传感器逻辑

与运算，报警输出1为真实的概率有较大提高，不报警输出0为真实

的概率有小幅降低。

例3：例1中系统的其他条件不变，有80%概率运行在安全状态，

即

S

=80%，虚报率为1%，漏报率1%，配置双冗余的传感器，则传感

器按逻辑或运算处理，报警输出为1的概率为0.19998+0.01592=0.2159，

输出为1是真的概率为0.19998/0.2159=92.6%。输出为0的概率是

0.78408+0.00002=0.7841，输出为0是真的概率是0.78408/0.7841=99.99%。

可见，双传感器逻辑或运算，报警输出1为真实的概率降低，不报

警输出0为真实的概率相当高。

三种不同的处理方式，报警和不报警的正确概率有所不同，如

表2所示。

表2 概率实例表（

S=80%

，

P=1%

，

Q=1%

）

单传感器

双传感器逻辑双传感器逻辑主从（A为主）

与G=A&B或G=A||B

G=A

虚报率

1%0.01%1.99%1%

漏报率

1%1.99%0.01%1%

输出为1是真的

概率

96.1%99.96%92.6%96.1%

输出为0是真的

概率

99.75%99.5%99.99%99.75%

3 炮控系统角度限制功能双传感器实例分析

坦克炮控系统是以驱动和稳定火炮为任务的自动控制系统，是

火控系统的重要组成部分，其状态好坏直接影响坦克是否能完成战

斗任务。角度限制功能即是安全保护方面的典型功能。

目前，炮控系统采用角度限制器作为敏感火炮角度的传感器，

是涉及安全保护的传感器。当火炮运动到仰角或俯时，根据系统预

定的保护逻辑，如果角度限制器输出保护信号，切断瞄准信号和输

出机构控制信号，系统进入保护状态，避免系统部件损坏。

如果角度限制器本身故障或由于安装问题导致不能输出保护信号，

失效模式包括两种：到位没有保护信号，未在角度限制位置而错误输出

保护信号。其后果一种是损坏系统设备，另一种是不能完成预定的功

能。利用火控系统中的现有的耳轴解算器进行冗余是一个可行的方案。

在这种方案中，两个传感器的特性不同，从上面的分析再推广，

设两个传感器

A

、

B

的虚报率分别为

P

a

、

P

b

，漏报率分别为

Q

a

、

Q

b

。

【逻辑与处理】

两个传感器进行逻辑与运算，综合的虚报率和漏报率为：

综合虚报率：

综合漏报率：

综合结果

G

=1的概率：

综合结果

G

=0的概率：

当传感器报警输出为1，其正确的概率为：

当传感器未报警输出为0，其值正确的概率为：

【逻辑或处理】

两个传感器进行逻辑或运算，综合的虚报率和漏报率为：

综合虚报率：

综合漏报率：

综合结果

G

=1的概率：

综合结果

G

=0的概率：

当传感器报警输出为1，其正确的概率为：

当传感器未报警输出为0，其值正确的概率为：

仍按例1中系统的条件，配置双冗余的传感器，系统有80%概

率运行在安全状态，即

S

=80%，角度限制器虚报率为1%，漏报率

1%，耳轴解算器虚报率为0.1%，漏报率0.1%。计算结果如表3所

示。可见，按上面设定的条件，双传感器特性不同且相差一个量级

时，逻辑与运算与主从方式的处理比较接近。

表3 角度限制器和耳轴传感器概率实例表

双传感器

角度限制器耳轴解算器逻辑与

双传感器逻主从（耳轴解

G=A&B

辑或G=A||B算器为主）

虚报率

1%0.1%0.001%1.099%0.1%

漏报率

1%0.1%1.099%0.001%0.1%

输出为1是

真的概率

96.1%99.6%99.996%95.8%99.6%

输出为0是

真的概率

99.75%99.9799.726%99.9997%99.97%

总结：从上面的分析可见，如果控制系统对警报自动响应，无

论虚报或漏报都会导致进行错误控制引起安全事故，则安全相关的

关键信号增加双传感器冗余，并不能简单的确定是否能增加系统的

安全性和可靠性。某些控制系统中，虚报和漏报的后果不同，虚报

引起任务中断，漏报引起安全事故，在安全性大于任务可靠性的

系统中，通常考虑采用逻辑或方式处理；在任务可靠性大于安全

性的系统中，考虑采用逻辑与方式处理。无论如何处理，系统应

该保留向操作人员或上层控制系统进行可视化报警的功能并允许

操作人员进行更高优先级的人工控制。在硬件冗余的基础上，可

以考虑对传感器和被测的物理量进行精确的建模，采用更有效的

斜率判别法、极值判别法等解析方法提高判断准确度，或者在数

据处理加入其他相关数据进行对比判断，进行解析冗余。

作者简介：门义双（1972—），男，研究员，研究方向：武器

系统控制。

•

103

•

本文标签： 传感器系统信号输出进行