第1 / 8页 容错控制系统培训 2011年8月 第2 / 8页 3.1 容错控制系统 3.1.1 容错控制概述 容错原是计算机系统设计技术中的一个概念，指当系统在遭受到内部环节的局部故障或失效后，仍然可以继续正常运行的特性。将此概念引入到控制系统中，产生了容错控制的概念。

容错技术是指系统对故障的容忍技术，也就是指处于工作状态的系统中一个或多个关键部分发生故障时，能自动检测与诊断，并能采取相应措施保证系统维持其规定功能或保持其功能在可接受的范围内的技术。如果在执行器、传感器、元部件或分系统发生故障时，闭环控制系统仍然是稳定的，仍具有完成基本功能的能力，并仍然具有较理想的动态特性，就称此闭环控制系统为容错控制系统。

3.1.2 容错控制分类 根据不同的产品和客户需求，容错控制系统分类方式有多种，重点介绍两种：

 按设计分类：被动容错控制、主动容错控制；  按实现分类：硬件容错、功能容错和软件容错。 3.1.2.1 按设计分类的容错控制 1 被动容错控制介绍 被动容错控制是设计适当固定结构的控制器，该控制器除了考虑正常工作状态的参数值以外，还要考虑在故障情况下的参数值。被动容错控制是在故障发生前和发生后使用同样的控制策略，不进行调节。被动容错控制包括：同时镇定，完整性控制，鲁棒性容错控制，即可靠控制等几种类型。

2 主动容错控制介绍 主动容错控制是在故障发生后需要重新调整控制器参数，也可能改变控制器结构。主动容错控制包括：控制器重构，基于自适应控制的主动容错控制，智能容错控制器设计的方法。

3.1.2.2 按实现分类的容错控制 1 硬件容错技术 容错控制系统中通常采用的余度技术，主要涉及硬件方面，是指对计算机、传感器和执行机构进行硬件备份，如图3所示。在系统的一个或多个关键部件失效时，通过监控系统检测及监控隔离故障元件，并采用完全相同的备用元件来替代它们以维持系统的性能不变或略有降级(但在允许范 第3 / 8页

围之内)。硬件冗余技术虽然可以提高系统的可靠性，但增加了系统的备用部件，提高了控制系统的成本，也增加了元件故障的概率。

图3 简易三余度控制系统方框图 随着控制系统的规模日益增大，复杂性迅速提高，其结构也越来越复杂，对数量庞大的系统单元全部采用硬件冗余有时是不可能的。随之产生了基于解析余度的功能容错控制技术。

2 功能容错技术 功能容错技术是基于控制系统不同部件的内在联系和功能上的冗余性，当系统的某些部件失效时，用其余完好的部件部分甚至全部地承担起故障部件所丧失的作用，以维持系统的性能在允许范围之内。重构容错控制是容错控制的一种重要方法，它主要基于故障诊断技术，重新组合控制系统的结构，以达到容错控制的目的。如图4所示，重构控制是针对系统的各种结构损伤，充分利用系统的功能冗余来实现控制律的重构。重构控制实质上是减少了传统余度控制中多重硬件冗余和软件冗余的方法，依托系统自身的功能冗余，使系统性能在发生故障时能得以恢复或维持。以飞机控制系统为例，当飞机某些舵面发生故障后，通过重构控制策略，将失效舵面的控制效果分配给健全的舵面，以补偿失效舵面的影响，保证飞机安全飞行或着陆。

图4 重构飞行控制系统的典型结构 第4 / 8页

3 软件容错技术 软件容错的目的是屏蔽软件故障，恢复因出错而影响程序运行进程。这类系统对硬件瞬时干扰引起的故障也能起到一定的屏蔽作用。软件容错的实现中需要硬件的保证和协同，如果软件容错配合合理的硬件冗余，可以起到比各自独自考虑容错更好的作用。常用的软件容错技术包括：多版本编程技术，恢复块技术等。

(1) 多版本编程技术 多版本编程由V个实现相同功能的不同程序和一个管理程序组成，其结果经相互比较(表决)后输出，这种比较或表决可以采用多数决定、一致决定等方式。N个版本的程序产生的结果送管理程序中的比较向量，由管理程序的比较状态指示器发出表决指令，然后决定输出运算结果还是输出报警。

图5 多版本编程冗余基本结构 (2 ) 恢复块技术 恢复块技术首先认为程序是由若干个可以独立定义的块来构成，每个块都可以用一个根据同一需求说明设计的不同版本的备用块来替换，每个版本的模块和接受测试及恢复结构一起构成一个恢复块结构。其基本工作方式是:运行模块1，然后进行接收测试，如果通过测试便将输出结果给后续程序块:否则，调用模块2,⋯⋯直到调用模块N，在N个模块用完后仍未通过测试，便进行出错处理。

随着容错控制系统的发展，现在软件部分在控制系统中的地位越来越重要了，甚至很多时候是容错控制系统的核心。这样，控制系统的可靠性的特性就由原来的硬件为主，逐渐转变为软硬件相结合，软硬件同等重要的情况。 第5 / 8页

图6 恢复块冗余基本结构 3.1.3 容错控制特点 典型的容错控制系统一般由传感器、计算机和执行机构三大部分组成。在各个部分分别采用硬件余度通过表决监控方式提高系统可靠性的同时，通过容错计算机控制，可以采用复杂的重构控制策略，在不增加系统硬件复杂性的前提下提高系统的可靠性。容错计算机的主要功能是:完成控制律的计算、所有传感器和执行机构的监控和余度管理以及计算机自身的监控和测试。

容错控制系统具有以下特点： 3.1.3.1 系统的结构复杂 为了提高系统的可靠性，容错控制系统中无论是软件，还是硬件都采用了余度备份的方法，同时，还存在热备份和冷备份等许多情况，因此系统在结构上比实现相同功能的单通道系统复杂得多。

此外，通过比较监控装置和余度管理策略，当检测隔离某故障元部件后，系统结构会发生相应的变化，利用冗余元部件在余度降级情况下继续维持其功能或保持其功能在可接受的范围内，这些相比于传统的控制系统来说也较复杂。要对这样一个复杂结构的系统进行故障诊断和可靠性分析，困难是显而易见的。

3.1.3.2 软硬件的相关性 首先，软硬件之间的功能相关性。在控制系统中，软硬件所完成的功能相互渗透。有些功能既可以由硬件来完成，也可以由软件来完成。软件固化在硬件中实现实时控制功能和信号处理功能，软硬件的接口己相当模糊，很难将软件和硬件严格区分开来。虽然功能的分配必须将功能完整地分配给硬件或软件，但其功能实现是由软硬件协同作用完成的。同时软件对硬件、硬件对软件都有一定的要求，例如实时控制软件要求硬件有足够快的运算速度和与之匹配的时序配置:硬件又要求软件以尽量少的代码占用尽量少的硬件空间实现控制功能。因此必须协调好硬件和软件之间的各种匹配关系，这种特点构成了软硬件之间的功能相关性。 第6 / 8页

其次，软硬件的故障相关性。由于软硬件在功能上的相互渗透，软硬件在故障上必定存在一定的藕合关系。通常一个硬件(或软件)的故障可以引发一系列其它的硬件或软件的故障，即产生相关的多重故障。相关多重故障不仅可以发生在硬件内部、软件内部、接口，也会在硬件、软件之间交替发生。有些情况下，一个原因会造成多个故障，即共因故障；有些情况下，虽然某些故障不至于立刻导致系统失效，但却加大了系统失效的趋势；而有些故障的发生，却使另外一些故障没有了出现的机会。在软件容错设计中，有些硬件故障可以用软件来弥补，称之为允许硬件故障的软件设计；信息传输过程中可以用硬件或软件来实现纠错。硬件在软件工作和不工作时都有可能发生故障，软件的工作和维修活动会因硬件的故障而中断；而软件不工作就不会发生故障。以上的软硬件之间的关系体现了软硬件的故障相关性。

3.1.4 容错控制应用 容错控制为提高复杂动态系统系统的可靠性提供一条新的途径，可以看作是保证系统安全运行的最后一道防线，被广泛应用高可靠要求的工业控制领域，现介绍几个应用系统。

3.1.4.1 冗余表决系统 TRICONEX公司的TS3000三重冗余表决系统（TMR），是典型的冗余容错控制系统，参见6.1.4.3节，被广泛应用发电厂、石化、冶金等行业。

3.1.4.2 容错服务器 工业控制系统有多种服务器：数据服务器、画面服务器等，这些服务器对工业生产至关重要，因此，保证它们的可靠稳定运行，就需要容错服务器的支持。主流应用的容错服务器有三类：服务器群集、双机热备份和单机容错。它们各自所对应的容错级别是从低到高的，也就是说服务器群集技术容错级别最低，而单机容错技术级别最高。现重点介绍双机热备份和单机容错。

1. 双机热备份 双机热备份技术是一种软硬件结合的较高容错应用方案。该方案是由两台服务器系统和一个外接共享磁盘阵列柜(也可没有，而是在各自的服务器中采取RAID卡)及相应的双机热备份软件组成。

在这个容错方案中，操作系统和应用程序安装在两台服务器的本地系统盘上，整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据集中管理是通过双机热备份系统，将所有站点的数据直接从中央存储设备读取和存储，并由专业人员进行管理，极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中，在一台服务器出现故障时，备机主动替代主机工作，保证网络服务不间断。

双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”，指的是主从系统之间相互按照一定的时间间隔发送通讯信号，