三判二冗余系统表决器电路可靠性设计方法

摘 要 为了提高电路设计可靠性，运载产品中会大量采用冗余电路设计。本文给出了两种三判二冗余系统表决器电路可靠性设计方法，同时计算出了这两种方法中表决器电路漏输出与误输出失效率。

【关键词】三判二冗余 表决器 可靠性设计

运载产品关系到火箭飞行的安全与可靠，为了防止误输出或漏输出的故障单点，运载产品中会大量使用冗余电路，而表决器电路的可靠性直接影响着整个冗余电路的可靠输出。本文从理论分析出发，给出了表决器电路的设计依据、设计原则与设计要求，并给出了两种表决器电路设计方法。

1 冗余设计方法

冗余设计是消除产品单点故障模式的重要手段，可以有效提高任务可靠性。冗余技术分为工作冗余和非工作冗余。常用的工作冗余设计方法包括串联冗余、并联冗余、混合冗余、表决冗余等。

串联冗余由功能相同的若干个工作单元串联构成，冗余单元的串联可预防由于单元短路而造成网络直接短路，降低系统误输出的概率。并联冗余由功能相同的若干工作单元并联构成，冗余单元的并联可预防由于单元开路而造成网络直接开路，降低系统漏输出的概率。混合冗余包含串并冗余和并串冗余，当冗余单元主要故障模式为开路时，可用并串冗余；当冗余单元主要故障模式为短路时，可用串并冗余。以上冗余方法可以有效降低由于单个单元故障造成的系统误输出或漏输出的概率，但对于传输信号故障无检测和屏蔽能力，不能防止故障蔓延。

表决冗余由n个相同功能的冗余单元并联构成，表决器按照规定的表决规则，对冗余单元的输出进行表决，通过比较和表决屏蔽故障单元的错误，保证系统正确输出。表决冗余功能框图如图1所示。当冗余单元输出模拟量时，通常采用取平均值或中间值的表决模型；当冗余单元输出数字量时，常采用n取k表决模型，即只要至少k个冗余单元工作正常，系统就能工作正常。

2 三判二冗余

综合考虑基本可靠性、功耗、成本、体积、重量等因素，三判二冗余是n取k表决冗余中较常用的一种冗余方法。三判二冗余由3个功能相同的单元并联组成，只要2个以上的单元正确工作，冗余系统就能输出正确结果。

假设三个冗余单元的失效率相同，三判二冗余系统任务可靠性数学模型见公式（1）：

2.1 并联冗余单元设计要点

并不是任何3个功能相同的单元进行并联后，可靠度就一定大于单个单元的可靠度。假设单个冗余单元的可靠度均为R1，根据公式（1），可以计算出并联冗余单元的可靠度R2，见公式（2）：

要满足并联冗余单元的可靠度大于单个冗余单元的可靠度，就必须满足R2>R1，即满足公式（3）：

经计算，当R1大于0.5时，并联冗余单元的可靠度才大于单个冗余单元的可靠度。

因此在进行三判二冗余设计时，应充分考虑单个冗余单元的可靠度，否则系统可靠度有可能反而会降低。

2.2 表决器电路设计要点

为了使整个三判二冗余系统的可靠度大于单个冗余单元的可靠度，表决器电路的可靠度必须大大高于单个冗余单元的可靠度。

假设单个冗余单元的可靠度均为R1，表决器电路的可靠度为Rg，根据公式（1），得出公式（4）：

3 三判二冗余系统表决器电路可靠性设计

3.1 三判二冗余系统表决器模型

三判二冗余系统表决器逻辑表达式见公式（5）：

X1、X2和X3分别代表三模冗余单元的3个输出信号，OUT代表表决器电路输出信号。在讨论表决器电路可靠性设计时，假设三模冗余单元输出无错误。

3.2 基于门电路的表决器电路设计

基于门电路的表决器电路就是通过与门、或门、非门、异或门等集成器件实现公式（5）的逻辑关系。通过对公式（5）进行等效变换，可以形成多种电路实现形式。图2为其中一种设计方式的电路简图。

图2中X1、X2、X3为三模冗余单元输出信号，OR1、OR2、OR3为二输入或门，AND1、AND2为三输入与门，OUT为表决器电路输出。电路中对三输入与门进行了并联冗余，可以消除单个与门失效导致的系统漏输出故障。

或门和与门存在以下几种失效模式，假设下述几种失效模式失效率相同都为λa：

（1）或门输出端输出错误逻辑“0”；

（2）或门输出端输出错误逻辑“1”；

（3）与门输出端输出错误逻辑“0”；

（4）与门输出端输出错误逻辑“1”。

假设驱动电路失效率为0，忽略3阶以上故障模式，表决器电路漏输出与误输出失效率分别见公式（6）和（7）：

从公式（6）和（7）可以看出，尽管该电路模型已在表决器末端增加与门冗余设计，但该电路仍旧存在漏输出与误输出的单点故障。通过对该电路的改进，可以消除表决器漏输出的单点故障，但由于三模冗余单元的3个输出信号直接在门电路之间进行传输，单靠门电路很难消除误输出的单点故障。

基于门电路的表决器电路的优点是成本较低、设计简单。缺点是存在漏输出和误输出单点故障，在具体设计时，通过对漏输出和误输出故障模式的影响危害分析，决定最终的电路实现形式。

3.3 基于开关电路的表决器电路设计

将三模冗余单元的3个输出信号作为控制信号，控制表决器电路中开关的通断，有效消除单点故障。基于开关电路的表决器电路模型如图3所示。

X1、X2和X3分别代表三模冗余单元的3个输出信号，IN代表表决器开关电路输入信号，OUT代表表决器输出信号，S1～S6为可控开关。信号X1控制开关S1、S5，信号X2控制开关S2、S3，信号X3控制开关S4、S6。

当X1、X2、X3为逻辑高（或低）电平时，所有开关接通，输入信号IN通过三路通路输出。此时三路通路中至少各有1个开关同时出现开路失效时，表决器电路才会发生漏输出故障。

当X1、X2、X3为逻辑低（或高）电平时，所有开关断开，OUT无输出。此时至少1路通路中的两个开关同时出现短路失效时，表决器电路才会发生误输出故障。

因此该模型消除了表决器电路漏输出和误输出单点故障，大大提高了表决器电路的可靠性。

基于开关电路的表决器电路实现方式有很多，例如开关电路部分可用三极管或继电器实现。一种表决器电路简图如图4所示。

JGC-3008是北京科通电子继电器厂生产的光伏继电器，达到航天可靠性增长工程公关要求。JGC-3008为双路常开直流输出，体积小，输出接通电阻呈线性。主要技术指标如表1所示。

当X1、X2、X3为低电平时，D1、D2、D3输出接通，28V-信号分别通过D1输出通道2和D3输出通道1、D2输出通道2和D1输出通道1、D3输出通道2和D2输出通道1这3个通路输出。当X1、X2、X3为高电平时，D1、D2、D3输出关断，OUT无输出。该电路必须至少有2个JCG-3008同时开路或短路失效时，表决器电路才会出现漏输出或误输出故障。

假设配置电阻失效率为0，JGC-3008开路和短路失效率相同都为λb，表决器电路漏输出与误输出失效率分别见公式（8）和（9）：

从公式（8）和（9）可以看出，该电路消除了漏输出和误输出的单点故障，大大提高了表决器电路的可靠性。

基于开关电路的表决器电路的优点是消除了表决器漏输出和误输出的单点故障，可靠性高。缺点是成本较高，或设计较复杂。

参考文献

[1]Q/QJA 71-2011航天型号单点故障模式识别与控制要求[Z].2011.

[2]GJB 451A-2005可靠性维修性保障性术语.

[3]QJ 3161-2002地（舰）空导弹武器系统冗余设计指南[Z].2002.

[4]GJB 813-90可靠性模型的建立和可靠性预计[Z].2001.

[5]GJB/Z 299C-2006电子设备可靠性预计手册[Z].2006.

作者单位

上海航天电子技术研究所 上海市 201109