第26卷　第6期2000年11月自　动　化　学　报A CT A A U T OM A T IC A SIN ICA V o l.26,N o.6N ov.,20001)国家自然科学基金、“八六三”计划与教育部资助项目.收稿日期　1999-03-08 收修改稿日期　1999-10-11综述容错控制理论及其应用1)周东华(清华大学自动化系　北京　100084)　Ding X (Lausitz 大学电气工程系　德国)(E-mail :ZDH @mail.au.tsingh )摘　要　介绍了经典容错控制的主要研究成果及近年来发展起来的鲁棒容错控制和非线性系统的故障诊断与容错控制,并给出了容错控制的一些典型应用成果.最后,指出了该领域亟待解决的一些热点与难点问题.关键词　动态系统,容错控制,故障诊断,集成,鲁棒性.THEORY AND APPLICATIONS OF FAULTTOLERANT C ONTROLZHO U Donghua(Dept .of Auto matio n ,Ts inghua University ,Beijing 100084)DIN G X(Dept .of EE ,Lausitz Un iv .,G erman y )Abstract　A survey of f ault t olerant cont rol f or dynamic systems is presented .The main results i n classical fault tolerant cont rol are first ly int roduced.Then,empha-sis is put on the robust f ault tolerant cont rol as w ell as the fault diag nosi s and faulttolerant cont rol of nonlinear syst ems dev eloped i n recent years.Some typical appli-cation results of faul t tolerant cont rol are discussed ,and finally ,some open ques-tions are point ed out .Key words Dynamic systems,f ault tolerant cont rol,fault diagnosis,i ntegratio n,robust ness .1　引言现代系统正朝着大规模、复杂化的方向发展,这类系统一旦发生事故就有可能造成人员和财产的巨大损失.如1998年8月到1999年5月的短短的10个月间,美国的3种运载火箭“大力神”、“雅典娜”、“德尔他”共发生了5次发射失败,造成了30多亿美元的直接经济损失,迫使美国航天局于1999年5月下令停止了所有的商业发射计划,对美国的航天计划造成了严重的打击.因此,人们迫切需要提高现代系统的可靠性与安全性.基于解析冗余的动态系统的故障诊断与容错控制则为提高复杂系统的可靠性开辟了一条新的途径.动态系统的容错控制(Fault Tolerant Control,FTC)是伴随着基于解析冗余的故障诊断技术的发展而发展起来的.如果在执行器、传感器或元部件发生故障时,闭环控制系统仍然是稳定的,并仍然具有较理想的特性,就称此闭环控制系统为容错控制系统[1].1991年,瑞典的Astro m 教授明确指出容错控制具有使系统的反馈对故障不敏感的作用.容错控制方法一般可以分成两大类,即被动容错控制(passiv e FTC)和主动容错控制(ac-tiv e FTC ).容错控制的思想最早可以追溯到1971年,以Niederlinski 提出完整性控制(integ ral control)的新概念为标志[2];Siljak [3]于1980年发表的关于可靠镇定的文章是最早开始专门研究容错控制的文章之一.然而,直到1993年,国际上才出现了由现任IFAC 技术过程的故障诊断与安全性专业委员会主席Pa tto n 教授撰写的容错控制的综述文章[1,4],目前尚未见到国外有容错控制的专著问世.值得指出的是,我国在容错控制理论上的研究基本上与国外同步.1987年叶银忠等就发表了容错控制的论文,并于次年发表了这方面的第一篇综述文章[5].1994年葛建华等出版了我国第一本容错控制的学术专著[5].国内发表的这方面的综述文章还有文[6].动态系统的故障检测与诊断(Fa ult Detectio n a nd Diag nosis,FDD)是容错控制的重要支撑技术之一.FDD 技术的发展已大大超前于容错控制的发展,其理论与应用成果也远远多于容错控制方面的成果.目前国际上每年发表的有关FDD 方面的论文与报告在数千篇以上.基于解析冗余的故障诊断技术被公认为起源于Beard 在1971年发表的博士论文[7].1976年,Willsky 在Automa tica 上发表了第一篇FDD 方面的综述文章[8].H im-m elblau 于1978年出版了国际上第一本FDD 方面的学术著作[9].随后报导的这方面的重要综述文章与著作参见文[10～16].我国开始FDD 技术的研究要比国外晚十年左右.清华大学的方崇智教授等从1983年起开始了FDD 技术的研究工作.1985年叶银忠等在《信息与控制》上发表了国内第一篇FDD 技术的综述文章[17].1994年周东华等在清华大学出版社出版了国内第一本FDD 技术的学术专著[18].随后几年出版的学术著作还有文[19]和文[20].国际自动控制界对容错控制的发展给予了高度重视.1986年9月在美国Santa Clara 大学举行的自动控制高峰会议上,把多变量鲁棒、自适应和容错控制列为控制科学面临的富有挑战性的研究课题[21].在国际上,领导着容错控制学科发展的是1993年成立的I -FAC 技术过程的故障诊断与安全性技术委员会.从1991年起IFAC 每三年定期召开FDD 与FTC 方面的国际专题学术会议.在近几届的IFAC 世界大会上,FDD 与FTC 方面的论文在不断增加.据笔者统计,1999年7月在北京召开的第14届IFAC 世界大会上,这方面的学术论文已达60篇,成为了最热门的几个研究方向之一[22～26].容错控制发展至今只有20年左右的历史,因此这是一门新兴交叉学科.促使这门学科789　6期周东华等:容错控制理论及其应用790自 动 化 学 报26卷迅速发展的一个最重要的动力来源于航空航天领域.美国空军从70年代起就不断投入巨资支持容错控制的发展,力求开发出具有高度容错能力的战斗机,甚至在多个翼面受损时,也能够保持战斗机的生存能力.做为一门交叉性学科,容错控制与鲁棒控制、故障检测与诊断、自适应控制、智能控制等有密切的联系.现代控制理论、信号处理、模式识别、最优化方法、决策论、统计数学等构成了容错控制的理论基础.2　经典容错控制方法2.1　被动容错控制被动容错控制大致可以分成可靠镇定,完整性,联立镇定三种类型.2.1.1　可靠镇定使用多个补偿器进行可靠镇定的概念是由Siljak于1980年最先提出的[3],随后一些学者又对其进行了深入研究[29～33].可靠镇定实际上是关于控制器的容错问题.针对单个被控对象,文[29]证明了当采用两个补偿器时,存在可靠镇定解的充要条件是被控对象是强可镇定的(stro ng ly stabilizable),即此对象可以被稳定的控制器所镇定.然而,当被控对象不满足强可镇定条件时,补偿器就会出现不稳定的极点,受过程噪声的影响,闭环系统就会出现不稳定.文[29]方法的另外一个缺点是,即使可靠镇定问题是可解的,怎样设计这两个补偿器也是一个非常困难的问题.文[31]部分解决了上述问题,给出了设计两个动态补偿器的参数化方法,以得到可靠镇定问题的解.此文还给出了把一个稳定的控制器分解成两个并联的动态补尝器,进而实现可靠镇定问题的有效方法,其前提仍然是被控对象必须是强可镇定的.文[32]进一步给出了一个新颖的可靠镇定问题的求解方法,即使对不是强可镇定的多变量系统依然有效,其设计思路是采用多个并列的动态补偿器(可大于两个).与传统方法不同的是,这里每个补偿器需要其它补偿器的输出信号,因此就需要辅助的传感器来观测其它执行器的运行状况[32].综上所述,可靠镇定问题已基本上趋于成熟.2.1.2　完整性完整性问题也称作完整性控制(integ ral control),它一直是被动容错控制中的热点研究问题.此问题之所以有很高的应用价值,是因为控制系统中传感器是最容易发生故障的部件.此问题研究的一般都是M IMO线性定常系统[34～39].文[35]研究了关于执行器断路故障的完整性问题,提出了求解静态反馈增益阵的一种简单的伪逆方法.然而,该方法并不能保证故障状态下的闭环系统是稳定的.基于n-线性特征系数理论及参数空间设计方法,文[37]给出了关于执行器断路故障的完整性问题的求解方法.该方法的一个特点是可以在实现完整性的同时,在执行器的各种故障下,都可以将系统的闭环极点配置在预定的区域内.因此,此方法在满足容错控制的条件下还可以兼顾闭环系统的动态特性.该方法的一个缺陷是,当系统的维数大于3时,解析解就不再存在,只能采用CAD技术来求数值解,并可能无解.此外,近年来分散大系统的完整性问题也受到了广泛关注[38,39].由此可见,完整性问题还远未彻底解决.缺乏有效地求解容错控制律的构造性方法,尤其是对高维多变量系统.2.1.3　联立镇定联立镇定有两个主要作用.其一,当被控对象发生故障时,可以使其仍然保持稳定,具有容错控制的功能;其二,对非线性对象,经常采用线性控制方法在某一工作点上对其进行控制.当工作点变动时,对应的线性模型也会发生变化.此时,具有联立镇定能力的控制器就仍然可以镇定被控对象.此问题十几年来已引起了许多学者的关注[40～44].1982年发表在IEEE AC 上的文[41]是最早开始研究联立镇定问题的文章之一.文[43]在此方向上取得了重要进展.基于广义的采样数据保持函数,该文得到了如下结果:a )给出了联立镇定问题有解的充分条件,及其控制律的构造方法;b)给出了在满足联立镇定的基础上同时实现线性二次型最优控制的充分条件,以及相应的控制律的构造方法.2.2　主动容错控制主动容错控制在故障发生后需要重新调整控制器的参数,也可能需要改变控制器的结构.多数主动容错控制需要FDD 子系统,少部分不需要FDD 子系统,但需要已知各种故障的先验知识.主动容错控制这一概念正是来源于需要对发生的故障进行主动处理这一事实.众多的FDD 方法可以分成基于定性模型的方法与定量模型的方法两大类.经过近30年的发展,FDD 技术已日趋成熟,所提出的各种方法详见文[7～20,23～28].主动容错控制大致可以分成三大类:1)控制律重新调度;2)控制器重构设计;3)模型跟随重组控制.2.2.1　控制律重新调度这是一类最简单的也是最近几年才发展起来的主动容错控制方法.其基本思想是离线计算出各种故障下所需的合适的控制律的增益参数,并列表储存在计算机中.当基于在线FDD 技术得到了最新的故障信息后,就可以挑选出一个合适的增益参数,得到容错控制律[45～49].显然,采用实时专家系统进行增益调度将会产生很好的效果.这类控制方法特别适合于具有多个冗余机翼的战斗机的容错控制[4,45].2.2.2　控制律重构设计在FDD 单元确诊故障后,在线重组或重构控制律.这是一个目前很受关注的研究方向,现有的成果还比较少[1,50～54].文[51]采用“控制混合器”的概念,设计了一个具有自修复功能的飞行控制系统,当诊断出某个机翼受损时,可以重新分配其应尽的作用到剩余的执行器中去.该文还提出了一种控制器的重新设计技术,通过极大化一个频域的性能指标,来重建控制律.文[54]给出了一种飞机的模型参考容错控制方法,针对飞机的元部件故障,该文用检测滤波器理论设计了相应的故障检测器和故障参数估计器.在此基础上,用Ly apunov 方法设计了模型参考容错控制律,保证在发生内部故障时,飞机稳定运行.该文还提出了一种分析这类容错控制系统稳定性的随机微分方程方法.其主要结果是,由于随机微分方程的参数是随时间的变化而随机变化的,所以此方程可以由马尔可夫过程来描述.文[55]提出了一种基于实时专家系统的容错监督控制方法.其基本思想是,采用基于影响图的实时专家系统监督系统的运行.系统正常运行时,采用模型参考学习自适应控制律,以提高控制精度;当检测到系统已处于不稳定的边沿时,将控制律实时切791　6期周东华等:容错控制理论及其应用792自 动 化 学 报26卷换到一种简单的PI控制器,仍然使系统保持稳定.2.2.3　模型跟随重组控制这类主动容错控制的基本原理是,采用模型参考自适应控制的思想,使得被控过程的输出始终自适应地跟踪参考模型的输出,而不管是否发生了故障.因此,这种容错控制不需要FDD单元.当发生故障后,实际被控过程会随之发生变动,控制律就会相应地自适应地进行重组,保持被控对象对参考模型输出的跟踪[56～58].可以看出,这类容错控制是采用隐含的方法来处理故障的.文[59]进一步提出了一种基于模糊学习系统的专家监督控制方法,用于F16战斗机的容错控制.其基本控制器是由参考模型、模糊控制器及模糊学习模块构成的,称为模糊模型参考学习控制器.模糊学习模块使这一控制器具有上述模型跟随重组控制的基本功能.在此基础上,通过与一个FDI模块相结合,可以在线选择合适的参考模型和模糊控制器的输出增益,进一步提高了容错控制能力.因此,该方法也可以看成是模型跟随重组控制与控制律重构设计的一种有机结合.3　鲁棒容错控制不管是主动容错控制,还是被动容错控制,都需要具有关于模型不确定性与外界扰动的鲁棒性.被动容错控制的核心就是鲁棒性,以使闭环系统对各类故障不敏感.目前主动容错控制面临的两个具有挑战性的问题就是[58]:1)基本控制器应具有鲁棒性,在控制律重构期间使系统保持稳定;2)FDD单元应具有鲁棒性,以减少误报与漏报,减少故障检测时间.因此,鲁棒容错控制问题近年来受到了高度重视[1,60～63],已成为目前容错控制领域的热点研究方向.针对连续线性定常系统的传感器失效故障,文[60]采用Lyapunov方法给出了一种具有关于模型不确定性鲁棒性的完整性控制器存在的充分条件,并给出了控制器的设计方法.文[61]讨论了离散线性定常系统的鲁棒完整性控制问题,通过求解Riccati方程,分别得到了一种传感器失效下的鲁棒容错线性调节器的设计方法,以及执行器失效下的鲁棒容错线性调节器的设计方法.文[62]进一步探讨了离散系统的D稳定鲁棒完整性控制问题.所谓的D稳定就是闭环系统的极点都要位于圆形区D(T,r)内.该文给出了关于传感器失效故障的存在D稳定鲁棒完整性控制的充分条件,以及控制律的求解方法.尚待进行的工作是,对高维系统,上述文章所给出的设计方法有待改进,以提高设计效率.4　非线性系统的故障诊断与容错控制由上面的分析可知,被动容错控制均不采用FDD技术,因此也就不能提供系统的故障信息.在发生故障后,与系统正常运行时相比,被动容错控制系统的性能(至少是动态性能)会有所下降.另外,经典的被动容错控制讨论的对象都是线性系统.为了克服上述缺陷,文[64,65]将FDD技术与被动容错控制相结合,提出了一种关于非线性系统传感器故障的集成故障诊断与容错控制方法.此方法的优点是:1)可处理多种传感器故障,包括断路、增益衰减、加性与乘性偏差等,因此克服了传统的完整性控制问题只能处理失效故障的缺陷;2)在发生故障时,闭环系统的性能指标几乎不受影响;3)适用于一大类(带随机噪声的)非线性系统;4)不管对低维还是高维系统,设计方法都同样简单[18,66].此外,文[27]采用非线性状态空间模型,提出了一种关于都市交通网络系统的容错控制方法,在系统发生某些故障时,可以保持系统的稳定;文[67]提出了一种基于预测控制的执行器容错控制方法,并用某一飞机操纵系统的模型进行了仿真研究;文[68]给出了一种基于自适应神经元网络的非线性系统的容错控制方法,通过采用一个辅助的回路,来补偿系统中较大的输入输出扰动.5　容错控制理论的应用成果尽管容错控制理论不像FDD 技术那样已经在众多的领域取得了大量应用成果,但仍然取得了一些重要的应用成果,由表1列出.表1　容错控制典型应用实例一览表序号应用对象采用方法发表时间文献1航天飞机控制律重构设计1982[74]2飞机模型跟随重组控制1988,1988[69,70]控制律重构设计1985,1988,1995,1998[52,77][78]控制律重新调度1989[45]3核反应堆控制律重构设计1991,1995[71,72]4液位系统完整性控制1991[73]5国产歼击机模型跟随重组控制1991[53]6地空导弹模型跟随重组控制1993[75]7精馏塔控制律重构设计1994[76]8人造卫星控制律重构设计1997[79]9液体冷却系统控制律重构设计1997[79]10化学反应釜集成故障诊断与容错控制1998[65]表1表明,容错控制取得应用成果最多的对象是飞机;主动容错控制的应用成果要远远多于被动容错控制所取得的成果,其中控制律重构设计方法应用得最多.这些应用成果的分布情况也从一个侧面验证了Pa tton 教授的一个著名论断(见文[4],pp.1050),即“离开了FDD 单元,容错控制所能发挥的作用就会非常有限,只能对一些特殊类型的故障起到容错的作用”.因此可以肯定,主动容错控制在总体上要优于被动容错控制.6　结束语容错控制做为一门新兴的交叉学科,其学科意义就是要尽量保证动态系统在发生故障时仍然可以稳定运行,并具有可以接受的性能指标.因此,容错控制为提高复杂动态系统的可靠性开辟了一条新的途径.由于任何系统都不可避免地会发生故障,因此,容错控制也可以看成为是保证系统安全运行的最后一道防线.除第3节介绍的鲁棒容错控制以外,当前容错控制中的热点问题还有以下一些.793　6期周东华等:容错控制理论及其应用794自 动 化 学 报26卷1)快速FDI方法的研究.故障检测与分离都需要一定时间,造成了一定的时延,这段时延越短,对控制律的重构设计就越有利.这段时延有可能会产生非常严重的稳定性问题,除非原来的基础控制器本身就具有很高的完整性和很强的鲁棒性[4].2)鲁棒故障检测与鲁棒控制的集成设计问题.鲁棒故障检测的目标是,在一定的模型不确定性下,检测出尽可能小的故障;鲁棒控制的目标是使得控制器对模型不确定性与微小的故障不敏感.因此,这两者存在着矛盾,而它们都是鲁棒容错控制的基本问题.所以说,把鲁棒故障检测与鲁棒控制进行统一设计,把上面的两种目标进行折衷,已成为热点研究课题[24].3)控制律的在线重组与重构方法.做为主动容错控制的一种最重要的方法,控制律的在线重组与重构已成为当前容错控制领域的热点研究方向之一.只有在被控对象发生变动时,实时调整控制器的结构与参数,才有可能达到最优的控制效果[56～58].4)　主动容错控制中的鲁棒性分析与综合方法.在主动容错控制中,需要同时做到:a)基础控制器具有鲁棒性,b)故障检测与诊断算法具有鲁棒性,c)重组或重建的控制律具有鲁棒性.这三个方面的相互作用使得对主动容错控制的整体鲁棒性分析变得非常困难[4].除了上述热点研究方向以外,因现有的理论结果还非常有限,容错控制领域还有一些难点问题.1)　非线性系统的容错控制.这里的主要难点是:a)对非线性系统缺乏一般性的控制器综合方法;b)非线性系统的FDD问题还没有得到完全解决.2)　时滞动态系统的容错控制.非线性时滞系统的容错控制还没有任何结果,线性时滞系统容错控制的结果还非常有限.3)　高维、时变多变量系统的完整性控制问题.此问题目前还没有任何结果,经典的完整性问题研究的对象都是线性定常系统.4)　自适应容错控制问题.其学术上的难点是,自适应控制系统是本质非线性系统,因此自适应容错控制属于非线性容错控制的范畴.此问题也还没有任何结果.经过20多年的发展,容错控制已经取得了很大的进展,并正处于快速发展之中.但容错控制还远未成熟,还没有建立起完整的理论体系,尤其在应用方面还有许多问题有待解决,还需要大家继续努力,可谓任重而道远.参考文献1　Patton R J.Robus tnes s is sues in fault tolerant control.In:Proc.of In ternational Conference on Fault Diagnosis, Toulouse,France,1993,1081～11172　Nied erlinski A.A h euristic approach to th e design of interacting multi-variable s ys tems.Automatica,1971,7: 691～7013　Saljak D D.R eliable control using multiple control s ystems.In t.J.Control,1980,31:303～3294　Patton R J.Fault-toleran t control:the1997situation.In:Proc.of IFAC/IM ACs Symposium on Fault Detection and Safety for Tech nical Process.Hull,England,1997,1033～10555　葛建华,孙优贤.容错控制系统的分析与综合.杭州:浙江大学出版社,19946　南英,陈士橹,戴冠中.容错控制进展.航空与航天,1993,(4),62～677　Beard R V.Failure accom modation in linear sys tems th rough s elf-reorganization.In:Repor t M V T-71-1,M an Vehicle Lab,M IT,Camb ridg e,M assach usetts,19718　Willsk y A S .A su rv ey of d esig n meth ods fo r failure detection in dynamic sys tems .Automatica ,1976,12:601～6119　Himm elb lau D M.Fault Detection and Diagnosis in Ch emical and Petrochemical Process.Amsterdam:Elsevier Pres s .197810　Gertler J J .Survey of mod el bas ed failu re detection and is olation in com plex plants.IE E E C ontr ol Systems Maga -z ine ,1988,8(6):3～1111　Iserman n R .Proces s fault detection based on mod eling and es tim ation m ethods :a s urv ey .Au tomatica ,1984,20:387～40412　Frank P M.Fault diag nosis in d ynamic sys tems using analytical and know ledge-bas ed red undancy ——a su rv eyand s ome new results .Au t omatica ,1990,26(3):459～47413　Is erman n R .Fault diag nosis of mach ines via param eter es timation and k now ledg e p roces sing:tu to rial paper.Au -tomatica ,1993,29(4):815～83514　Bas seville M .(eds .)Detection of Ab rupt Changes in Signal and Dynamic Systems .Berline :Sp ringer -V erlag ,198515　Patton R et al .(eds.)Fault Diagnosis in Dynamic Sys tems.New York :Pren tice Hall,198916　Zhang X J .Auxiliary Sig nal Design in Fault Detection and Diagnosis .Berlin :Sp ring er -Verlag ,199117　叶银忠,潘日芳,蒋慰孙.动态系统的故障检测与诊断方法.信息与控制,1985,14(6):27～3418　周东华,孙优贤.控制系统的故障检测与诊断技术.北京:清华大学出版社,199419　张育林,李东旭.动态系统故障诊断理论与应用.长沙:国防科技大学出版社,199720　闻新,张洪钺,周露.控制系统的故障诊断和容错控制.北京:机械工业出版社,199821　郑应平.控制科学面临的挑战:专家意见综述.控制理论与应用,1987,4(3):1～922　Astrom K J .Intelligent control .Proc .of 1st European Control Conference .Grenoble ,1991,2328～232923　周东华,王庆林.基于模型的控制系统故障诊断技术的最新进展.自动化学报,1995,21(2):244～24824　周东华,叶昊,王桂增,Ding X.基于观测器方法的故障诊断技术若干重要问题的探讨.自动化学报,1998,24(3):338～34425　周东华,席裕庚,张钟俊.故障检测与诊断技术.控制理论与应用,1991,8(1):1～1026　张洪钺,闻新,周露.国内控制系统故障诊断技术的现状与展望.火力与指挥控制,1997,22(3):1～627　Chen Z ,Ch ang T .M odeling and fault -tolerant con trol of larg e u rban traffic netw ork .In :Proc .of American Con-trol Con ference,1997,4,2469～247228　Iserman n R,Balle P.Trends in the application of model based fault d etection and diagnosis of technical p roces s.Control Eng .Practice ,1997,5(5):709～71929　Vidyasag ar M ,Vis wanadham N.Reliable s tabiliz ation u sing a multi-con troller configu ration.Au t omatica ,1985,21:599～60230　V eillette R J ,M edanic J V ,Perkins W R .Design of reliable control sys tems .IE EE Trans .Automatic Control ,1992,37(3):290～30431　Gundes A N.Controller d esig n for reliable stabil ization.In:Proc.of 12th IFAC W orld Congress,1993,4:1～432　Sebe N ,Kitamo ri T .Reliable s tabilization based on a multi -com pens ator configu ration .In :Proc .of 12th IFAC Wo rld Cong res s,1993,4:5～833　M edanicand J V,Perkins W R .Control sys tems pos ses sing reliability to con trol.In:Proc.of 12th IFAC W orldCongress ,1993,4:9～1234　M orari M.Robus t stability of sys tems with integ ral con trol.IE EE Trans .on Automatic Control ,1985,30:574～58835　葛建华,孙优贤,周春辉.故障系统容错能力判别的研究.信息与控制,1989,18(4):8～1136　Nw ok ah O D I,Yau C H,Perez R A.Robus t integ ral stabilization and regulation of uncertain multivariable s ys-tems.In:Proc.of 12th IFAC W orld Congress ,1993,4:13～1737　Ye Y Z .Fault toleran t pole assignment for multi -variable sys tems using a fix ed state feed back .控制理论与应用,795　6期周东华等:容错控制理论及其应用。