发起的测试健康管理系统和方法
发起的测试健康管理系统和方法
【专利说明】发起的测试健康管理系统和方法
[0001]关于联邦资助的研宄或开发的声明
本发明在美国空军研宄实验室(AFRL)奖励的FA8650-08-D-7803下得到政府支持的情况下做出。政府在本发明中具有某些权利。
技术领域
[0002]本发明总体涉及健康管理,并且更具体地,涉及使用各种健康相关数据确定控制效应器(effector)的丧失的和/或剩余的功能能力的系统和方法。
【背景技术】
[0003]诸如各种类型的交通工具(vehicle)的各种系统和包括交通工具的系统与子系统可能经受潜在严峻的环境条件、冲击、震动和正常部件磨损。这些条件以及其它可能对交通工具的操作性具有有害的影响。这些有害影响如果在操作期间经历的话可能留下很少的时间用于纠正行动。因此,在交通工具的环境中最显著的是,健康监视/管理系统正与日俱增地被使用。交通工具健康监视/管理系统监视交通工具的各种健康相关特性。在一些实例中,这样的操作健康特性可以被进一步分解为交通工具的主要操作系统和子系统的健康特性。
[0004]一些目前已知的交通工具健康管理系统包括从传感器收集数据和其它机载信号以产生结果的监视器。这些结果然后被提供给推理器(reasoner),推理器尝试基于该信息诊断交通工具的健康。有时,该信息缓慢地到达或者根本未到达推理器。例如,在自主交通工具的发射(lift-off)之前,命令尚未被提供给控制效应器,并且健康管理具有的信息不足以用其来诊断效应器健康。为了克服该缺陷,往往执行飞行前检查,飞行前检查锻炼控制效应器以验证它们的操作。作为第二个示例,如果可疑的效应器故障在自主交通工具飞行期间发生,则将期望的是在开始之后尽可能快地评估效应器的健康。因为有时其中命令为最少的飞行期间,所以评估健康可能必须有意地锻炼可疑的效应器而同时注意维持控制。在健康信息的量和类型或者信息的生成速率方面的缺陷可能限制健康管理系统提供对交通工具能力的迅速评估的能力,从而潜在地使任务、交通工具或二者处于危险当中。
[0005]因此,存在对这样的系统和方法的需要,所述系统和方法将加速至健康管理系统的信息流,以能够提供对系统健康的更迅速的诊断。本发明至少解决了该需要。
【发明内容】
[0006]提供本概述来以简化形式描述在【具体实施方式】中进一步描述的选择概念。本概述并不意图标识所要求保护的主题的关键或必要特征,也不意图用作在确定所要求保护的主题的范围中的帮助。
[0007]在一个实施例中,一种用于验证控制效应器的响应能力的方法包括:在测试模块中至少处理命令数据和与控制效应器相关联的传感器数据,以生成代表控制效应器健康的控制效应器健康数据。在推理器中处理控制效应器健康数据以:选择性控诉(indict)和清除一个或多个故障,基于所控诉的一个或多个故障确定失效是不确定的,确定一个或多个测试激励信号以供应给所述控制效应器来验证不确定失效是存在还是不存在,以及向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
[0008]在另一实施例中,一种用于确定控制效应器的响应能力的系统,包括测试模块和推理器。测试模块被适配成至少接收命令数据和与控制效应器相关联的传感器数据。所述测试模块被配置为在接收这些数据时生成代表控制效应器健康的控制效应器健康数据。推理器被耦合来接收所述控制效应器健康数据并且被配置为响应于其而(i )选择性控诉和清除一个或多个故障,(ii )确定可被所控诉的一个或多个故障引起的可疑失效,(iii )确定一个或多个测试激励信号以供应给所述控制效应器来验证所述可疑失效是否是实际失效,以及(iv)向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
[0009]此外,根据后续的【具体实施方式】、结合附图和该背景,发起的测试健康管理系统和方法的其它期望特征和特性将变得清楚。
【附图说明】
[0010]后文将结合以下附图来描述本发明,其中,相同的附图标记表示相同的元素,并且其中:
图1描绘了示例交通工具引导和控制系统的实施例的功能框图;
图2描绘了可以在图1的系统中使用的子系统健康管理系统的示例性实施例的功能框图;
图3描绘了推理器的示例知识库,其图示了子系统健康管理系统的功能的一部分;
图4用图形描绘了子系统健康管理系统的总体功能的简化表示;
图5-8以ISO 10303-11 EXPRESS-G格式描绘了可以在子系统健康管理系统中使用的推理器的知识库的信息模型;
图9-11以流程图形式描绘了可以在图2的推理器中实现来验证可疑故障的不同过程;
以及
图12用图形描绘了用于图1的系统的数据,其中连续域控制效应器遭受降级域限制失效。
【具体实施方式】
[0011]以下【具体实施方式】本质上仅仅是示例性的并且不意图限制本发明或本发明的应用和使用。如本文所使用的,词语“示例性的”意指“充当示例、实例或说明”。因此,本文中描述为“示例性的”任何实施例不一定解释为对于其它实施例是优选或有利的。本文描述的所有实施例是示例性实施例,其提供来使本领域技术人员能够做出或使用本发明并且不限制权利要求所限定的本发明的范围。此外,不意图由前面的技术领域、【背景技术】、
【发明内容】
或以下【具体实施方式】中给出的任何明示或暗示的理论来限界。
[0012]交通工具引导和控制系统100的实施例的功能框图在图1中描绘,并且包括交通工具控制系统102和一个或多个子系统健康管理系统104 (例如,104-1、104-2、104-3……104-N)。交通工具控制系统102实现至少一个或多个自适应控制法则,其生成并向在例如交通工具110中或上的各种部件109供应各种命令106。这些部件可以不同,但是至少包括多个控制效应器(例如,109-1、109-2、109-3……109-N),所述控制效应器被配置为控制例如一个或多个设备的位置。
[0013]交通工具控制系统102还从例如交通工具110中或上的各种传感器接收反馈108,并从一个或多个子系统健康管理系统104接收数据112。交通工具控制系统102中的一个或多个控制法则是自适应控制法则,因为这些控制法则自适应地对从一个或多个子系统健康管理系统104供应的数据做出响应。交通工具控制系统102中实现的自适应控制法则的典型响应是将去往效应器的进一步命令限制为其减小的可用范围,并且当必要时更多地利用其它效应器以维持控制。进一步的响应可以包括改变交通工具的操作的包络(envelope)和改变任务计划。可以使用本领域公知的许多已知自适应控制法则方案中的任何一种来实现自适应控制法则。
[0014]子系统健康管理系统104中的一个或多个被耦合来接收各种输入,诸如供应到交通工具控制系统102和/或专用于健康监视的传感器的命令106和反馈108的至少一部分。这一个或多个子系统健康管理系统104部分基于这些输入被附加地配置为检测、隔离和量化可能在相关联的子系统内发生的各种故障、失效和降级,并且将代表其的数据供应到交通工具控制系统102中的自适应控制法则。为了向交通工具控制系统102提供最准确的信息,子系统健康管理系统104被配置为不仅报告全部功能失效,而且还报告能力的参数化降级。因此,这些子系统健康管理系统104被配置为处理各种诊断复杂性,包括但不限于:模糊性、等待时间、漏报和假警报。现在参照图2,描绘了子系统健康管理系统104的示例性实施例的功能框图,并且现在将对其进行描述。
[0015]示例性子系统健康管理系统104包括测试模块202和子系统推理器204。测试模块202被耦合来至少接收命令数据和与控制效应器109中的一个或多个相关联的传感器数据,并且被配置为在接收到这些数据时生成代表控制效应器健康的控制效应器健康数据。在具体实施例中,测试模块202被配置为连续或间歇地对相关联的子系统(例如,控制效应器)实现各种测试和/或测量,并且生成代表子系统健康的健康数据(例如,健康良好/健康差)。然后将健康数据供应到子系统推理器204。测试模块202生成和供应的健康数据可以改变,并且可以包括例如用以指示子系统的部件或部分是健康的/不健康的通过(PASS)/失败(FAIL)数据。健康数据可以附加地包括这样的数据,该数据指示特定的条件对于执行测试是不恰当的,诸如返回结果NOT_AVAILABLE (不可用)或保持静默。一些测试可以具有两个或更多失效准则。对于这样的测试,健康数据可以包括有限制的失败数据,诸如,例如通过/失败-HI/失败-LO等。如可以意识到的,不同的失效准则可能导致不同的失效结论。
[0016]将意识到,测试模块202可以不同地配置为实现其功能。然而,在所描绘的实施例中,测试模块202使用一个或多个内建测试模块206(例如,206-1、206-2、206-3……206-N)和一个或多个监视器模块208 (208-1,208-2,208-3……208-N)来实现其功能。如所公知的,内建测试(BIT)模块206被配置为在子系统和/或部件上实现一个或多个测试过程以确定子系统和/或部件是否在正确地起作用。
[0017]监视器模块208 (其在本文也可以称为参数化限制监视器模块)被配置为接收代表一个或多个子系统参数的各种数据,并且确定未被BIT模块206测试(或可能未被BIT模块206充分测试)的子系统和/或部件是否正确地起作用。此外,监视器模块208中的一个 或多个被附加地配置为供应代表降级程度的数据。具体地,在本文被称为参数化限制监视器模块208的这些监视器模块208被优选地配置为测量一个或多个参数化控制限制的降级。因此,除了确定通过/失败状态之外,参数化限制监视器模块208供应的健康数据包括代表例如一个或多个参数的数据。将意识到,特定参数可以改变。例如,参数可以包括输入命令和对该输入命令的响应。在致动器或由致动器移动的部件的环境中,感兴趣的参数化控制限制可以包括位置的上限和下限、最大转换速率、最大小信号带宽以及最大力/扭矩。监视器返回的命令和响应参数可以包括位置、速率、电流、电压和控制限制,等等。将意识到,与输入命令相关联的“通过”结果表意地指示适用的控制法则可以继续发出那些命令,而“失败”结果表意地指示控制法则不应再发出该命令。作为后者的示例,如果部件被命令以20单位/秒的速率移动但是却仅以10单位/秒的速率移动,则参数化限制监视器模块208将返回失败结果,并且20单位/秒被尝试但是仅实现10单位/秒。
[0018]子系统推理器204接收从测试功能202供应的健康数据,并确定存在哪个或哪些失效和/或降级,并且如果存在降级,则确定降级的程度。更具体地,推理器204被耦合来接收健康数据,并被配置为响应于其而选择性地控诉并清除一个或多个故障,确定引起所控诉的故障的一个或多个失效,并且基于所确定的一个或多个失效来确定控制效应器可以响应于的控制效应器命令的可用范围。在一些实例中,子系统推理器204可以附加地发出行动,该行动要被执行来防止故障/降级的子系统的进一步损坏,或者防止在其它子系统中的连锁性失效。实现子系统推理器204的方式允许其处理各种诊断复杂性,例如包括故障模糊性、等待时间、误报、漏报以及间歇性,等等。尽管在概念上人可以将来自特定测试的失败结果与特定故障或失效的存在进行关联,但是推理器是最后仲裁器。
[0019]作为对此的手段,子系统推理器204实现诊断推断以计算可能存在哪些故障。故障是推理器204中的中间结论,其计及这样的事实:给定故障/降级可以由产生不同的测试证据的各种基本起因导致。故障仅需要在其产生不同的测试证据的意义上被建模。例如,卡滞(stuck)致动器失效可能是由机械卡涩故障或通信故障引起,并且针对这两种故障的证据是不同的。
[0020]子系统推理器204跟踪从测试模块202供应的健康数据,并且基于累积收集的结果(即,累积证据)做出故障确定。这是因为跟踪累积结果将更准确地反映子系统健康状态,而非瞬时结果。对于非参数化测试,累积证据将优选地呈现离散状态,诸如,例如:未知(UNKNOWN)、通过、失败、失败-[限定符I]/失败_[限定符2]/等等。另外,可以使用离散状态有时通过(SOMEHMES-PASS)、有时失败(SOMEHMES-FAIL)、有时失败-[限定符]来跟踪正间歇性失败的测试的状态。如可以意识到的,一些故障产生这样的间歇性证据。
[0021]基于从参数化限制监视器模块208供应的健康数据的累积证据可以呈现离散状态,诸如,例如:未知、通过、失败,其中那些离散状态被指派给参数范围。例如,累积证据可以指示针对在-30与+10单位之间的位置的位置监视器通过,在+10与+15单位之间是未知,以及在+15与+30单位之间是失败。推理器204还可以向来自每个监视器模块208的累积证据指派总体离散状态。如果任何参数范围失败,则总体状态是失败。如果任何参数范围是未知并且没有范围是失败,则总体状态是未知。如果整个参数范围为通过,则总体状态为通过。另外,离散状态有时通过、有时失败可以用于跟踪正间歇性失败的参数化测试的总体状态。
[0022]在进一步继续之前,应当注意,至少一般地,控制参数具有标称上限和标称下限。一些控制参数预期仅经历上限降级,其它仅经历下限降级,以及再其它经历上限降级和下限降级二者。对于其中预期仅上限降级的参数化限制监视器模块208,累积证据通过跟踪已知产生通过结果的值的边界和已知产生失败结果的值的边界,来跟踪参数的未知、通过和失败区域。在那些边界之间,状态是未知。预期通过结果在标称下限与通过边界之间。预期失败结果在失败边界与标称上限之间。对于其中预期仅下限降级的参数化限制监视器,上述边界反转。对于双向参数化限制监视器,针对上限和下限二者跟踪上述边界。
[0023]在替代实现中,控制参数的范围可以被先验分区为固定区段,并且推理器累积证据向每个单独区段指派通过/失败/未知状态。
[0024]子系统推理器204将其输出的每个参数化控制能力与测量其的至少一个参数化监视器进行关联。子系统推理器204不会简单地因为相关联的参数化监视器208失败就报告参数化控制能力的降级。这是因为各种故障都可能引起监视器模块208产生失败结果,甚至可能是间歇性的,并非所有这些失败结果都应该表征为参数化控制能力的降级。因此,子系统推理器204实现诊断推断以将问题隔离到一个或多个故障的模糊性组。一旦模糊性组减小使得模糊性组中的所有故障都指向共同的失效/降级,推理器204得出结论:利用测量值使参数化控制能力降级。作为示例,假设设备具有作为控制能力的位置上限和下限,并且参数化位置限制监视器模块208观察到设备未能去到命令的位置。然而,速率和带宽问题也可能引起位置监视器间歇性地失败。在这样的实例中,子系统推理器204将不将其表征为对于控制效应器109的降级的位置限制,直到其首先排除了被表征为降级的速率或带宽限制的故障为止。出于对接到自适应控制器以进行自动故障恢复的目的,推理器204被设计为报告控制效应器109是有完全能力的,直到其可以将问题表征为特定失效或降级为止。这并未排除健康管理系统报告针对诸如人类操作员和维护系统的其它消费者的故障的早期指示。
[0025]为了更清楚地说明子系统推理器204如何实现上述功能,现在将参考图3,其描绘了推理器使用来进行诊断的知识库300的示例。知识库300包括多个列302(302-1、302-2、
302-3......302-N)和多个行 304 (304-1、304-2、304_3......304-N),每一列与测试相关联,并且每一行与特定故障相关联,由此形成在本文称为推断单元306 (306-1,306-2,306-3……306-N)的多个单元。还可以参考图5,其描绘了在用ISO 10303-11 EXPRESS-G格式表达的信息模型方案的环境中的推断单元。
[0026]每个推断单元306表示特定故障与特定测试之间的推断关系。空单元指示不存在推断关系。“清除”记号指示特定测试302通过免除特定故障。相反地,“控诉”记号指示特定测试302失败对特定故障发生怀疑。例如,如果测试I通过则其将仅清除故障1,而如果测试2通过则其将清除故障1、故障2和故障3。然而,一旦测试I和测试2失效,则它们中的每个控诉故障1、故障2和故障3为潜在怀疑。“失败清除(failClears)”记号指示特定测试302失败清除特定故障。“阻碍(blocks)”记号指示特定故障的存在将防止特定测试正确地检测其它故障。“等待时间”数指示故障传播到特定测试的时间上界,使得推理器应当允许指定等待时间在测试通过可以清除故障之前期满。“阈值”数指示如果测试所测得的参数的降级不满足阈值,则故障可被清除。
[0027]因此,贯穿子系统健康管理系统104的操作,子系统推理器204正从测试模块202接收健康数据,并且基于这些健康数据正持续清除和控诉故障。子系统推理器204附加地包括将每个故障(或故障的各种组合)与零个或更多故障进行关联的数据。子系统推理器204基于每个测试控诉的故障来确定一个或多个失效是否存在。失效也优选地分类为“二元”失效或“参数化”失效。二元失效是表示效应器能力的完全丧失的失效。相反地,参数化失效表示效应器能力的降级。因此,参数化失效也将提供附加信息来量化在对效应器能力的新限制方面的降级。应注意的是,在本段中描述的功能在图6中描绘的信息模型方案中被描绘。
[0028]图3中的故障列表可以包括物理地在效应器的外部的一些故障,因为这样的故障仍然可能影响效应器的能力。作为示例,在功率和分布系统中馈送效应器的故障可能导致效应器的“浮置(float)”故障。类似地,图3中的测试列表可以包括当控诉或清除影响效应器的能力的所述外部故障时主要验证在物理效应器的外部的系统的健康的一些测试。
[0029]二元和参数化失效的组合可以用于离散域效应器(接收离散命令值的那些)和用于连续域效应器(接收连续可变命令值的那些)。对失效的选择部分地通过自适应控制系统可以响应于什么来驱动。作为示例,诸如开/关推进器火箭之类的离散域效应器可以具有诸如“卡滞开(stuck on)”和“卡滞关(stuck off)”的二元失效,以及诸如“降级的带宽”、“降级的占空比”、“降级的最大开启时间”、“降级的最小开启时间”以及“降级的最小关闭时间”的参数化值。诸如空气动力学控制表面的连续域效应器可以具有诸如“卡滞”和“浮置”的二元失效,以及诸如“降级的位置限制”、“降级的速率限制”、“降级的带宽限制”和“降级的加载限制”的参数化失效。
[0030]在图4中描绘了子系统健康管理系统104的总体功能的简化表示,并且现在应当对其做出参考。该图用图形描绘了三列一一测试列402、故障列404以及失效列406。被使用的方案用椭圆形描绘了二元测试、二元故障和二元失效,并且用矩形描绘了参数化测试和参数化失效。应注意的是,每个矩形的垂直侧表示与该特定参数化测试相关联的参数化值产物。如所看到的,测试T4指示该测试贯穿其整个范围通过。因此,测试4清除故障F6和F7,并且还贯 穿其整个范围清除失效C3。此外,失效C3已经被清除了故障F1-F7的测试Tl清除。
[0031]相反地,测试T5被示出为在上和下范围部分二者中都失败,并从而控诉故障F7、F8和F9。此外,因为故障F9也被测试T8控诉(并且既未被测试T6清除也未被测试T6控诉),则失效C5被控诉为具有降级的上和下限。对于完整性,应注意的是,测试T2、T3和Τ6的结果是未知,并且测试Τ7是以未知的上限区域通过。作为结果,故障F8、F10、F11和F12以及失效C4和C6的一部分被描绘为既未被清除也未被控诉,这意味着这些失效和故障是可疑的,或者在失效C6的情况中是部分可疑的。
[0032]某些故障要求立即行动以防止对交通工具110的进一步危害。子系统推理器204基于隔离的故障按照需要供应命令。一些行动具有移除能力的效应,并且子系统推理器204向控制法则供应丧失/降级的能力。
[0033]子系统推理器204实现知识库以计算其结论。以ISO 10303-11 EXPRESS-G格式在图5-8中描绘了知识库的信息模型。如可以意识到的,供应给所描绘的信息模型的数据将被变换成取决于软件实现语言和实时执行的结构。
[0034]对于其状态是不确定的、含义未知或仅仅是可疑(或部分可疑)的失效(例如,在上述示例中的失效C4和C6)的那些失效,子系统推理器204需要获得附加信息来验证失效是存在还是不存在以确定参数化限制。为了这样做,子系统推理器204被附加地配置为实现在本文被称为发起的测试序列的内容。即,不是等待要由测试模块202生成和供应的附加信息,而是子系统推理器204将确定一个或多个测试激励信号以供应到可疑控制效应器109来验证可疑失效是否是实际失效。子系统推理器204然后将向交通工具控制系统102供应一个或多个测试激励信号。发起的测试可以改变,并且可以包括例如速率测试、位置测试或许多其它测试中的任一个。一个或多个发起的测试序列可以在系统操作期间或者在系统操作的发起时发生。
[0035]交通工具控制系统102在接收到测试激励信号时将向每个可疑控制效应器109供应测试激励信号。另外,如果必要的话,交通工具控制系统102将向其它控制效应器109中的一个或多个供应控制信号以补偿测试中的控制效应器109的运动。如可以意识到的,这样做是为了维持对交通工具的期望控制。例如,在具有用于控制效应器的若干控制表面的自主飞行交通工具的环境中,如果推理器204不确定关于一个控制效应器109-1的能力,则其可以命令该控制效应器109-1移动,从而获得足够信息来验证可疑故障是否确实存在并且确定可用运动范围的新上限和下限。同时,一个或多个其它控制效应器109-2到109-N可以被命令以抵消正经历发起的测试序列的控制效应器109-1产生的任何俯仰、翻滚或偏航时刻的方式移动。至其它控制效应器109-2到109-N的必要命令由交通工具控制系统来确定。为了进一步确保控制被维持,交通工具控制系统102可以将供应的测试激励信号视为仅“优选”命令信号,并且交通工具控制系统102可以在必要时从其到可疑控制效应器109-1的实际命令中的测试激励信号偏离以维持控制。
[0036]在图9-11中以流程图形式描绘了用于实行上述功能的推理器204中实现的过程,并且将立刻对其进行描述。在这样做之前,应注意的是,图9中描绘的过程900是对这样的过程的说明,推理器204实现该过程以确定是否需要测试激励信号用于连续域控制效应器109。即,对于可以被命令去往两个限制之间的任何位置的控制效应器109,诸如可以用于移动交通工具控制表面的控制效应器109。图10中描绘的过程1000是对这样的类似过程的说明,推理器204实现该过程来用于二元域控制效应器109。即,对于可以被命令为例如开和关的两个值中任一个的离散域控制效应器109,诸如交通工具姿态推进器。一般地,我们将把二元域效应器的两个命令值一般地称为“O”和“I”。图11中的流程图图示了过程1100,推理器204实现过程1100来管理由过程900和1000要求的测试激励信号,过程1100包括发起信号、更新信号参数、结束信号以及处理其中已要求多个测试激励信号的情形。过程900、1000和1100贯穿任务以高频率运行多次,使得健康管理系统可以迅速地接收其诊断系统的能力所需的信息。
[0037]推理器204首先在可能使用上述过程和直到当前时间点获得的信息的意义上确定每个控制效应器109的健康。然后,首先参考图9,看到的是,在通过过程900的每个周期的开始时将所需的测试激励信号的列表初始化为无(NONE) (902),并且循环被初始化(904)。即,通过过程900的每个周期“从头开始(from scratch)”重新计算需要的测试激励信号的列表。一旦测试激励信号产生推理器204需要的信息,它就将停止在后续周期中的列表中出现。对于在每个连续域控制效应器109上的每个已建模的失效,推理器204确定失效的类型(906)。但是如已经注意到的,在所描绘的实施例中,失效的类型可以改变,其中控制效应器109是用于交通工具的连续域效应器,失效的类型包括崩溃(collapsed)域失效(例如,卡滞或浮置或未加电)、降级域限制失效(例如,降级的上或位置下限)或降级速率限制失效。
[0038]对于给定类型的失效,推理器204然后确定是否在不存在或存在中有不确定性,并且对于一些类型确定在失效程度上是否有不确定性,其中确定(908、914、924、926)取决于所述类型。对于崩溃域失效,存在或不存在仅仅是问题,因此如果失效已知为坏(BAD)或已知为良好(GOOD),则其被认为(908 )是确定的,而如果失效是未知的或仅仅是可疑的,则其被认为是不确定的。如果推理器204确信失效,则过程900对已建模的失效与连续域控制效应器的下一组合进行迭代。然而,如果推理器204未确定失效是不确定的,则推理器204确定其是否应当要求至控制效应器109的一个或多个测试激励信号以解决不确定性(910)。
[0039]在进一步继续之前,应注意的是,对于推理器204存在在给定时间不要求测试激励信号的各种原因。例如,推理器204可以等待在监视器208上期满的等待时间,这将解决不确定性。推理器204可以确定不确定性归因于监视器204不能解决的诊断模糊性。推理器204可以被配置为在某些操作阶段期间由于那些阶段的灵敏性而排除某些发起的测试。推理器204可以确定测试的先决条件未被满足,从而测试将不能产生可用的信息。或者,推理器204可以被配置为防止测试被太频繁地执行以便限制有害物测试。
[0040]无论一个或多个特定原因为何,如果未要求测试激励信号,则过程900继续移动到已建模的失效与连续域控制效应器的下一组合。然而,如果要求测试信号,则推理器204确定一个或多个测试激励信号以供应给可疑控制效应器109。
[0041]如图9所进一步描绘的,如果不确定的失效是崩溃域失效,则推理器204将设置MOVEMENT_CHECK (移动检查)作为需要用于该控制效应器的测试激励信号(912)。当MOVEMENT_CHECK被执行时,推理器204将向交通工具控制器102供应时变测试激励信号,该时变测试激励信号将继而使得交通工具控制器102供应例如将使控制效应器109移动到指定位置的命令。然后,基于从测试模块202供应的健康数据,推理器204能够验证是否存在失效。
[0042]如果不确定的失效是降级域限制失效,则推理器204将要求UPPER_UMIT_CHECK(上限检查)(918)或LOWER_UMIT_CHECK (下限检查)(928)或二者作为测试激励信号。针对该失效类型的对应的不确定性确定(914和924)考虑失效是存在还是不存在的不确定性,和上限或下限的降级程度的不确定性。例如,推理器204有可能确信域被降级,但是不确信上限或下限的值。对 UPPER_UMIT_CHECK (918)、LOWER_UMIT_CHECK (928)、二者或没有一个的选择取决于上限(914)或下限(924)是否是不确定的。如果要求UPPER_UMIT_CHECK,则过程还确定UPPER_UMIT_CHECK的上值参数,其表示测试激励信号是否应当检查至标称上限的所有方式,或达不到它的某处(922)。这通过聚集被指定以测量对该效应器109的命令域限制的子系统健康管理系统104的累积观察来确定。命令域的区域由于各种原因可能是不可用的,所述原因诸如对命令无响应或者导致不可接受的能耗,其中每个原因由指定为测量失效的不同监视器208来检测。如果指定为测量失效的监视器208中的任何一个或多个确定域的区域是坏的,则对于推理器204而言这足以确定性地得出区域是坏的结论,并且不需要检查该区域。测试激励信号仅需要前往但是不包括已知为坏的上区域。需要检查的区域的上界用上参数来表示。如果没有上区已知为坏的,则上参数将指示文本激励信号应当转到标称上限。类似地,如果要求LOWER_UMIT_CHECK,则过程确定用于LOWER_LIMIT_CHECK的下值参数,其表示测试激励信号是否应当检查至标称下限的所有方式,或达不到它的某处(930)。
[0043]当执行UPPER_UMIT_CHECK时,推理器204将向交通工具控制器102供应时变测试激励信号,该时变测试激励信号将继而使得交通工具控制器102供应跟随该信号的命令(具有可能的偏离以维持控制),该命令将使控制效应器109移动到由上参数定义的位置上限。类似地,当执行LOWER_UMIT_CHECK时,推理器204将向交通工具控制器102供应测试激励信号波形,该测试激励信号波形将继而 使得交通工具控制器102供应命令,该命令将使控制效应器109移动到由下参数定义的位置下限。在这两种实例中,基于从测试模块202供应的健康数据,推理器204能够验证可疑失效是否是实际崩溃域限制失效。
[0044]对于MOVEMENT_CHECK、UPPER_UMIT_CHECK 或 LOWER_UMIT_CHECK,文本激励信号的改变速率应当相对慢,例如是控制效应器109的速率限制的1/3。这应当允许交通工具控制器102更容易补偿使用其它控制效应器109进行的测试的影响,由此减小对交通工具姿态的不希望干扰和在命令与测试激励信号之间的偏离的似然性。过度偏离可能阻止测试获得用于推理器204的意图信息,从而导致过程900再次要求测试。
[0045]如果可疑失效是降级速率限制失效,则推理器204将设置RATE_UMIT_CHECK (速率限制检查)作为测试激励信号(936)。当RATE_UMIT_CHECK被设置时,推理器204将向交通工具控制器102供应测试激励信号波形,该测试激励信号波形将继而使得交通工具控制器102供应例如命令,该命令将以指定速率在命令域的限制内的特定方向上移动控制效应器109。如通过聚集被指定测量对该效应器109的命令速率限制的子系统健康管理系统104的累积观察来确定的,指定速率可以是高至但是不包括任何已知坏速率限制的速率,或者如果没有速率限制已知为坏的,则高至标称速率限制。移动方向例如是承担从命令域内的当前位置的最大范围的移动的任何方向。然后,基于从测试模块202供应的健康数据,推理器204能够验证可疑失效是否是实际的降级域失效。如果要求RATE_UMIT_CHECK,则过程还确定针对RATE_UMIT_CHECK的值参数,其表示测试激励信号是否应当检查至标称速率限制的所有方式,或者达不到它的某处(938 )。
[0046]现在参考图10,如上文所提到的,所描绘的过程1000是推理器204实现来用于二元域控制效应器的过程。与图9描绘的过程900 —样,在通过过程1000的每个周期的开始时(1004)将所需的测试激励信号初始化为无(NONE) (1002)。对于在每个二元域控制效应器109上的每个已建模的失效,推理器204确定失效的类型(1006)。但是如已经注意到的,在所描绘的实施例中,失效的类型可以改变,其中控制效应器109是用于交通工具的二元域效应器,失效的类型包括崩溃域失效(例如,“O”或“I”的卡滞)、“0”处降级最小时间失效,或“ I”处降级最小时间失效。
[0047]对于每种类型的失效,推理器204然后确定在失效不存在或存在中是否有不确定性,并且对于一些类型确定在失效程度上是否有不确定性,其中确定(1008、1014、1020)取决于所述类型。如果没有不确定性,意指推理器204确信失效存在/不存在以及程度,则过程1000对已建模的失效与二元域效应器的下一组合进行迭代。然而,如果推理器204未确定存在不确定性失效,则推理器204确定是否向控制效应器109供应一个或多个测试激励信号以解决不确定性(1010、1016、1022)。如果否,则过程1000对已建模的失效与二元域效应器的下一组合进行迭代。然而,如果是,则推理器204确定一个或多个测试激励信号以供应给可疑控制效应器109。
[0048]如图10进一步描绘的,如果所述不确定失效是崩溃域失效,则推理器204将设置DOMAIN_CHECK (域检查)和合适的参数作为测试激励信号(1012、1013)。当执行DOMAIN_CHECK时,推理器204将向交通工具控制器102供应时变测试激励信号,该时变测试激励信号将继而使得交通工具控制器102供应例如将使控制效应器109移动到“O”或“ I ”或二者的命令。然后,基于从测试模块202供应的健康数据,推理器204能够验证是否存在崩溃域失效。
[0049]如果所述不确定失效是“O”处降级最小时间失效,则推理器204将设置ΜΙΝ_0_TIME_CHECK (最小O时间检查)和合适时间参数作为测试激励信号(1018、1019)。针对该失效类型的对应的不确定性确定考虑失效是存在还是不存在的不确定性,和降级程度的不确定性。例如,推理器有可能确信“O”处最小时间被降级,但是不确定最小时间的值。当执行MIN_0_TME_CHECK时,推理器204将向交通工具控制器102供应时变激励信号,该时变激励信号将继而使得交通工具控制器102向控制效应器109供应例如命令至“O”以将时间向下改变至预定时间。如通过聚集被指定测量对该效应器109的“O”处最小时间的子系统健康管理系统104的累积观察来确定的,预定时间可以是低至但是不包括任何已知坏时间的时间,或者如果没有时间已知为坏的,则低至标称最小时间。然后,基于从测试模块202供应的健康数据,推理器204能够验证是否存在“O”处实际降级最小时间失效以及降级的程度。
[0050]类似地,如果不确定失效是“ I ”处降级最小时间失效,则推理器204将设置MIN_1_TIME_CHECK (最小I时间检查)和合适时间参数作为测试激励信号(1024、1025)。当执行MIN_1_TIME_CHECK时,推理器204将向交通工具控制器102供应时变测试激励信号,该时变测试激励信号将继而使得交通工具控制器102向控制效应器109供应例如命令至“I”以将时间向下改变至预定时间。如通过聚集被指定测量对该效应器109的“I”处最小时间的子系统健康管理系统104的累积观察来确定的,预定时间可以是低至但是不包括任何已知坏时间的时间,或者如果没有时间已知为坏的,则低至标称最小时间。然后,基于从测试模块202供应的健康数据,推理器204能够验证是否存在“I”处实际降级最小时间失效以及降级的程度。
[0051]现在参考图11,只要图9中描绘的过程900或图10中描绘的过程1000确定要求测试激励信号,图11中描绘的过程1100就实现那些测试激励信号。具体地,对于每个控制效应器109,推理器204确定针对该控制效应器109的测试激励信号是否在进行中(1102)。如果是,则推理器204考虑是否仍然需要进行中的测试激励信号(1104),如通过过程900和1000所确定的。如果是,则推理器204根据过程900和/或1000中确定的任何更新的设定而按照需要更新进行中的测试激励信号的参数(1106)。如果否,则推理器204确定是否需要另一测试激励信号(1107)。如果是,则推理器204向交通工具控制系统102供应针对该控制效应器109的新测试激励信号,如通过过程900和/或1000所确定的(1112)。如果否,则终止进行中的测试激励信号(1108)。因此,一旦推理器204获得其需要的信息或者一旦测试信号达到其自然结论(任何一个首先到来),测试激励信号就终止。测试激励信号以优美地将控制效应器109返回常态的信号(1108)或者以过程900和/或1000要求的针对当前控制效应器109的一些其它激励信号的开始终止。
[0052]如果推理器204先前确定针对控制效应器109的测试激励信号不再在进行中(1102),则推理器204确定过程900和/或1000是否已经确定需要测试激励信号用于控制效应器109 (1110)。如果否,则过程1100对下一效应器进行迭代。如果是,则推理器204向交通工具控制系统102供应针对该控制效应器109的新测试激励信号,如通过过程900和/或1000所确定的(1112)。
[0053]在步骤1106、1108或1112之后,推理器204还检查以确定系统100是否被配置为允许多个控制效应器109被同时激励(1114)。如果是,则过程1100对接下来的一个或多个效应器109进行迭代(1116、1118)。如果否,则过程1100终止。
[0054]在给定时间,过程1100允许至多一个测试激励信号在给定控制效应器109上处于进行中。然而,过程900和1000可以要求在单个控制效应器109上的零个、一个或更多个测试激励信号,因为有可能具有不确定的多个失效类型。推理器204以若干方式处理多测试情形。一种方式是:一旦测试激励信号在进行中(1102、1104和1106),推理器204就将持续进行该测试激励直到其完成或者不再被需要为止,即使过程900和1000可能同时要求其它测试激励信号。另一种方式是:在步骤1112中,推理器204可以对测试激励信号进行优先化以在要求多于一个时首先执行,目的是加速诊断并且减小由测试激励信号引起的对交通工具的任何干扰。
[0055]例如,如果MOVEMENT_CHECK和UPPER_UMIT_CHECK 二者都被要求,则推理器204将选择UPPER_UMIT_CHECK首先执行,因为它潜在地解决不确定失效二者,使得可以不再需要 MOVEMENT_CHECKo 出于类似的原因,如果 MOVEMENT_CHECK 和 LOWER_UMIT_CHECK 二者都被要求,则推理器204将选择LOWER_UMIT_CHECK首先执行,如果MOVEMENT_CHECK、UPPER_LIMIT_CHECK和LOWER_UMIT_CHECK三者都被要求,则推理器204可以选择UPPER_LIMIT_CHECK或LOWER_LIMIT_CHECK首先执行,之后是另一个,在两者将最终都需要被执行并且任一个都可能导致不再需要MOVEMENT_CHECK的预期下。
[0056]如果与以上中的一个或多个同时要求RATE_UMIT_CHECK,则推理器204可以将RATE_LIMIT_CHECK推迟到最后,想法是其它检查可能成功完成,而不会遭遇降 级的速率限制。然后,可以以上或下方向是否具有执行RATE_UMIT_CHECK的更大范围的更好的知识来执行 RATE_UMIT_CHECK。
[0057]现在将描述系统100的操作的示例,包括以上描述的用于验证不确定失效的方法。在这样做时,应当参考在交通工具操作期间的上限和下限二者的图12,其用图形描绘了针对遭受降级域限制失效的连续域控制效应器109的数据。在所描绘的图表1200中,线1202表示实际控制效应器位置,线1204表示供应给控制效应器109的命令,线1206和1208分别描绘了健康管理子系统104认为是上和下限的内容。
[0058]在考虑该背景的情况下,在tl处发生实际失效。然后,其未持续到t2,在t2,推理器204怀疑失效并且因此供应测试激励信号以收集更多信息。如容易描绘的,尽管失效在tl处发生,但是控制效应器109未被命令朝向下限,直到在供应测试激励信号之后为止(在t2和t3之间)。在发起的测试得出结论时(例如,在t3),推理器204已经确定新的位置下限1208。一段短时间之后,在t4处,控制效应器109被命令朝上限移动,在该时间处,健康管理子系统104容易识别出上限1206也需要改变。
[0059]本文描述的系统和方法加速至健康管理系统中的信息流,从而能够提供对系统健康更迅速的诊断。
[0060]本领域技术人员将意识到,结合本文公开的实施例描述的各种说明性逻辑块、模块、电路和算法步骤可以实现为电子硬件、计算机软件或二者的组合。上文在功能和/或逻辑块部件(或模块)以及各种处理步骤方面描述了一些实施例和实现。然而,应当意识到的是,这样的块部件(或模块)可以通过配置为执行指定功能的任何数量的硬件、软件和/或固件部件来实现。为了清楚地说明硬件和软件的该可互换性,上文已经总地在它们的功能方面描述了各种说明性部件、块、模块、电路和步骤。这样的功能是实现为硬件还是软件取决于在整个系统上施加的特定应用和设计约束。本领域技术人员可以针对每个特定应用以不同的方式来实现所描述的功能,但是这样的实现决定不应解释为导致脱离本发明的范围。例如,系统或部件的实施例可以采用各种集成电路,例如,存储器元件、数字信号处理元件、逻辑元件、查找表等等,它们可以在一个或多个微处理器或其它控制设备的控制下执行各种功能。另外,本领域技术人员将意识到,本文所描述的实施例仅仅是示例性实现。
[0061]结合本文公开的实施例所描述的各种说明性逻辑块、模块和电路可以用以下来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件部件,或设计为执行本文描述的功能的它们的任何组合。通用处理器可以是微处理器,但是在替代中,处理器可以是任何常规处理器、控制器、微控制器或状态机。处理器还可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、与DSP核心结合的一个或多个微处理器,或者任何其它这样的配置。词语“示例性”在本文排他地用于意指“充当示例、实例或说明”。本文描述为“示例性”的任何实施例并不一定要被解释为相对于其它实施例是优选或有利的。
[0062]结合本文公开的实施例描述的方法或算法的步骤可以直接体现在硬件中、在由处理器执行的软件模块中或在两者的组合中。软件模块可以驻留在RAM存储器、闪速存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM或本领域已知的任何其它形式的存储介质中。示例性存储介质耦合到处理器,使得处理器可以从存储介质读取信息并向存储介质写信息。在替代中,存储介质可以与处理器集成。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在替代中,处理器和存储介质可以驻留为用户终端中的分立部件。
[0063]在本文档中,诸如第一和第二等的关系术语可只用于区分开一个实体或行动与另一实体或行动,而不一定需要或暗示在这样的实体或行动之间的任何实际的这种关系或次序。诸如“第一”、“第二”、“第三”等的数字序数仅仅表示多个事物中的不同单个事物,且并不暗示任何次序或顺序,除非由权利要求语言特别限定。在任何权利要求中的文本的顺序并不暗示过程步骤必须根据这样的顺序以时间或逻辑次序执行,除非由权利要求语言特别限定。过程步骤可以按任何次序互换,而不偏离本发明的范围,只要这样的互换不与权利要求语言矛盾和在逻辑上不是无意义的即可。
[0064]此外,取决于上下文,在描述不同元件之间的关系中使用的诸如“连接”或“耦合到”的词语并不暗示在这些元件之间必须做出直接物理连接。例如,两个元件可以彼此物理地、电气地、逻辑地连接,或者以任何其它方式、通过一个或多个附加元件彼此连接。
[0065]尽管在本发明的前述【具体实施方式】中已经给出了至少一个示例性实施例,但是应当意识到,存在大量变型。还应当意识到,一个或多个示例性实施例仅仅是示例,并且不意图以任何方式限制本发明的范围、适用性或配置。相反,前述【具体实施方式】将为本领域技术人员提供用于实现本发明的示例性实施例的方便路线图。应当理解,在不脱离本发明的范围的情况下,可以在示例性实施例中描述的元件的功能和配置方面做出各种改变。
【主权项】
1.一种用于确定控制效应器的响应能力的系统,包括: 测试模块,其被适配成至少接收命令数据和与控制效应器相关联的传感器数据,所述测试模块被配置为在接收到这些数据时生成代表控制效应器健康的控制效应器健康数据;以及 推理器,其被耦合来接收所述控制效应器健康数据并且被配置为响应于其而(i)选择性控诉和清除一个或多个故障,(ii)确定可被所控诉的一个或多个故障引起的可疑失效,(iii)确定一个或多个测试激励信号以供应给所述控制效应器来验证所述可疑失效是否是实际失效,以及(iv)向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
2.根据权利要求1所述的系统,其中,所述推理器还被配置为在确定一个或多个测试激励信号以供应给所述控制效应器之前,确定所述一个或多个测试激励信号对于验证不确定失效是存在还是不存在是否将是确实有用的。
3.根据权利要求1所述的系统,其中,所述控制器被配置为向所述控制效应器供应所述一个或多个测试激励信号。
4.根据权利要求1所述的系统,其中: 所述测试模块还被配置为处理与所述控制效应器相关联的传感器数据,同时根据供应给所述控制效应器的测试激励信号而被命令来生成更新的控制效应器健康数据;以及 所述推理器还被配置为处理更新的控制效应器健康数据以验证不确定失效是存在还是不存在。
5.根据权利要求4所述的系统,其中,所述推理器还被配置为基于实际失效而确定所述控制效应器能够响应于的控制效应器命令的可用范围。
6.根据权利要求1所述的系统,其中: 所述控制效应器是二元域效应器;以及 所述不确定失效是崩溃域和在特定值处的最小时间中的一个或多个。
7.根据权利要求1所述的系统,其中: 所述控制效应器是连续域效应器;以及 所述不确定失效是崩溃域、降级上限、降级下限和降级速率限制中的一个或多个。
8.一种用于验证控制效应器的响应能力的方法,所述方法包括以下步骤: 在测试模块中至少处理命令数据和与控制效应器相关联的传感器数据,以生成代表控制效应器健康的控制效应器健康数据;以及 在推理器中处理控制效应器健康数据以: (i)选择性控诉和清除一个或多个故障, (ii)基于所控诉的一个或多个故障确定失效是不确定的, (iii)确定一个或多个测试激励信号以供应给所述控制效应器来验证不确定失效是存在还是不存在,以及 (iv)向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
9.根据权利要求8所述的方法,还包括: 在确定一个或多个测试激励信号以供应给所述控制效应器之前,在所述推理器中确定所述一个或多个测试激励信号对于验证不确定失效是存在还是不存在是否将是确实有用的。
10.根据权利要求8所述的方法,还包括: 从所述控制器向所述控制效应器供应所述一个或多个测试激励信号; 在所述测试模块中处理与所述控制效应器相关联的传感器数据,同时根据供应给所述控制效应器的测试激励信号而被命令来生成更新的控制效应器健康数据; 在所述推理器中处理更新的控制效应器健康数据以验证不确定失效是存在还是不存在;以及 基于实际失效而确定所述控制效应器能够响应于的控制效应器命令的可用范围。
【专利摘要】本发明涉及发起的测试健康管理系统和方法。一种用于验证控制效应器的响应能力的系统和方法包括:在测试模块中至少处理命令数据和与控制效应器相关联的传感器数据,以生成代表控制效应器健康的控制效应器健康数据。在推理器中处理控制效应器健康数据以:选择性控诉和清除一个或多个故障,基于所控诉的一个或多个故障确定失效是不确定的,确定一个或多个测试激励信号以供应给所述控制效应器来验证不确定失效是存在还是不存在,以及向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
【IPC分类】G05B23-02
【公开号】CN104865949
【申请号】CN201410813928
【发明人】A.P.韦查特, D.布施, D.F.恩斯
【申请人】霍尼韦尔国际公司
【公开日】2015年8月26日
【申请日】2014年12月24日
【公告号】EP2911025A2, US20150241853
【专利说明】发起的测试健康管理系统和方法
[0001]关于联邦资助的研宄或开发的声明
本发明在美国空军研宄实验室(AFRL)奖励的FA8650-08-D-7803下得到政府支持的情况下做出。政府在本发明中具有某些权利。
技术领域
[0002]本发明总体涉及健康管理,并且更具体地,涉及使用各种健康相关数据确定控制效应器(effector)的丧失的和/或剩余的功能能力的系统和方法。
【背景技术】
[0003]诸如各种类型的交通工具(vehicle)的各种系统和包括交通工具的系统与子系统可能经受潜在严峻的环境条件、冲击、震动和正常部件磨损。这些条件以及其它可能对交通工具的操作性具有有害的影响。这些有害影响如果在操作期间经历的话可能留下很少的时间用于纠正行动。因此,在交通工具的环境中最显著的是,健康监视/管理系统正与日俱增地被使用。交通工具健康监视/管理系统监视交通工具的各种健康相关特性。在一些实例中,这样的操作健康特性可以被进一步分解为交通工具的主要操作系统和子系统的健康特性。
[0004]一些目前已知的交通工具健康管理系统包括从传感器收集数据和其它机载信号以产生结果的监视器。这些结果然后被提供给推理器(reasoner),推理器尝试基于该信息诊断交通工具的健康。有时,该信息缓慢地到达或者根本未到达推理器。例如,在自主交通工具的发射(lift-off)之前,命令尚未被提供给控制效应器,并且健康管理具有的信息不足以用其来诊断效应器健康。为了克服该缺陷,往往执行飞行前检查,飞行前检查锻炼控制效应器以验证它们的操作。作为第二个示例,如果可疑的效应器故障在自主交通工具飞行期间发生,则将期望的是在开始之后尽可能快地评估效应器的健康。因为有时其中命令为最少的飞行期间,所以评估健康可能必须有意地锻炼可疑的效应器而同时注意维持控制。在健康信息的量和类型或者信息的生成速率方面的缺陷可能限制健康管理系统提供对交通工具能力的迅速评估的能力,从而潜在地使任务、交通工具或二者处于危险当中。
[0005]因此,存在对这样的系统和方法的需要,所述系统和方法将加速至健康管理系统的信息流,以能够提供对系统健康的更迅速的诊断。本发明至少解决了该需要。
【发明内容】
[0006]提供本概述来以简化形式描述在【具体实施方式】中进一步描述的选择概念。本概述并不意图标识所要求保护的主题的关键或必要特征,也不意图用作在确定所要求保护的主题的范围中的帮助。
[0007]在一个实施例中,一种用于验证控制效应器的响应能力的方法包括:在测试模块中至少处理命令数据和与控制效应器相关联的传感器数据,以生成代表控制效应器健康的控制效应器健康数据。在推理器中处理控制效应器健康数据以:选择性控诉(indict)和清除一个或多个故障,基于所控诉的一个或多个故障确定失效是不确定的,确定一个或多个测试激励信号以供应给所述控制效应器来验证不确定失效是存在还是不存在,以及向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
[0008]在另一实施例中,一种用于确定控制效应器的响应能力的系统,包括测试模块和推理器。测试模块被适配成至少接收命令数据和与控制效应器相关联的传感器数据。所述测试模块被配置为在接收这些数据时生成代表控制效应器健康的控制效应器健康数据。推理器被耦合来接收所述控制效应器健康数据并且被配置为响应于其而(i )选择性控诉和清除一个或多个故障,(ii )确定可被所控诉的一个或多个故障引起的可疑失效,(iii )确定一个或多个测试激励信号以供应给所述控制效应器来验证所述可疑失效是否是实际失效,以及(iv)向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
[0009]此外,根据后续的【具体实施方式】、结合附图和该背景,发起的测试健康管理系统和方法的其它期望特征和特性将变得清楚。
【附图说明】
[0010]后文将结合以下附图来描述本发明,其中,相同的附图标记表示相同的元素,并且其中:
图1描绘了示例交通工具引导和控制系统的实施例的功能框图;
图2描绘了可以在图1的系统中使用的子系统健康管理系统的示例性实施例的功能框图;
图3描绘了推理器的示例知识库,其图示了子系统健康管理系统的功能的一部分;
图4用图形描绘了子系统健康管理系统的总体功能的简化表示;
图5-8以ISO 10303-11 EXPRESS-G格式描绘了可以在子系统健康管理系统中使用的推理器的知识库的信息模型;
图9-11以流程图形式描绘了可以在图2的推理器中实现来验证可疑故障的不同过程;
以及
图12用图形描绘了用于图1的系统的数据,其中连续域控制效应器遭受降级域限制失效。
【具体实施方式】
[0011]以下【具体实施方式】本质上仅仅是示例性的并且不意图限制本发明或本发明的应用和使用。如本文所使用的,词语“示例性的”意指“充当示例、实例或说明”。因此,本文中描述为“示例性的”任何实施例不一定解释为对于其它实施例是优选或有利的。本文描述的所有实施例是示例性实施例,其提供来使本领域技术人员能够做出或使用本发明并且不限制权利要求所限定的本发明的范围。此外,不意图由前面的技术领域、【背景技术】、
【发明内容】
或以下【具体实施方式】中给出的任何明示或暗示的理论来限界。
[0012]交通工具引导和控制系统100的实施例的功能框图在图1中描绘,并且包括交通工具控制系统102和一个或多个子系统健康管理系统104 (例如,104-1、104-2、104-3……104-N)。交通工具控制系统102实现至少一个或多个自适应控制法则,其生成并向在例如交通工具110中或上的各种部件109供应各种命令106。这些部件可以不同,但是至少包括多个控制效应器(例如,109-1、109-2、109-3……109-N),所述控制效应器被配置为控制例如一个或多个设备的位置。
[0013]交通工具控制系统102还从例如交通工具110中或上的各种传感器接收反馈108,并从一个或多个子系统健康管理系统104接收数据112。交通工具控制系统102中的一个或多个控制法则是自适应控制法则,因为这些控制法则自适应地对从一个或多个子系统健康管理系统104供应的数据做出响应。交通工具控制系统102中实现的自适应控制法则的典型响应是将去往效应器的进一步命令限制为其减小的可用范围,并且当必要时更多地利用其它效应器以维持控制。进一步的响应可以包括改变交通工具的操作的包络(envelope)和改变任务计划。可以使用本领域公知的许多已知自适应控制法则方案中的任何一种来实现自适应控制法则。
[0014]子系统健康管理系统104中的一个或多个被耦合来接收各种输入,诸如供应到交通工具控制系统102和/或专用于健康监视的传感器的命令106和反馈108的至少一部分。这一个或多个子系统健康管理系统104部分基于这些输入被附加地配置为检测、隔离和量化可能在相关联的子系统内发生的各种故障、失效和降级,并且将代表其的数据供应到交通工具控制系统102中的自适应控制法则。为了向交通工具控制系统102提供最准确的信息,子系统健康管理系统104被配置为不仅报告全部功能失效,而且还报告能力的参数化降级。因此,这些子系统健康管理系统104被配置为处理各种诊断复杂性,包括但不限于:模糊性、等待时间、漏报和假警报。现在参照图2,描绘了子系统健康管理系统104的示例性实施例的功能框图,并且现在将对其进行描述。
[0015]示例性子系统健康管理系统104包括测试模块202和子系统推理器204。测试模块202被耦合来至少接收命令数据和与控制效应器109中的一个或多个相关联的传感器数据,并且被配置为在接收到这些数据时生成代表控制效应器健康的控制效应器健康数据。在具体实施例中,测试模块202被配置为连续或间歇地对相关联的子系统(例如,控制效应器)实现各种测试和/或测量,并且生成代表子系统健康的健康数据(例如,健康良好/健康差)。然后将健康数据供应到子系统推理器204。测试模块202生成和供应的健康数据可以改变,并且可以包括例如用以指示子系统的部件或部分是健康的/不健康的通过(PASS)/失败(FAIL)数据。健康数据可以附加地包括这样的数据,该数据指示特定的条件对于执行测试是不恰当的,诸如返回结果NOT_AVAILABLE (不可用)或保持静默。一些测试可以具有两个或更多失效准则。对于这样的测试,健康数据可以包括有限制的失败数据,诸如,例如通过/失败-HI/失败-LO等。如可以意识到的,不同的失效准则可能导致不同的失效结论。
[0016]将意识到,测试模块202可以不同地配置为实现其功能。然而,在所描绘的实施例中,测试模块202使用一个或多个内建测试模块206(例如,206-1、206-2、206-3……206-N)和一个或多个监视器模块208 (208-1,208-2,208-3……208-N)来实现其功能。如所公知的,内建测试(BIT)模块206被配置为在子系统和/或部件上实现一个或多个测试过程以确定子系统和/或部件是否在正确地起作用。
[0017]监视器模块208 (其在本文也可以称为参数化限制监视器模块)被配置为接收代表一个或多个子系统参数的各种数据,并且确定未被BIT模块206测试(或可能未被BIT模块206充分测试)的子系统和/或部件是否正确地起作用。此外,监视器模块208中的一个 或多个被附加地配置为供应代表降级程度的数据。具体地,在本文被称为参数化限制监视器模块208的这些监视器模块208被优选地配置为测量一个或多个参数化控制限制的降级。因此,除了确定通过/失败状态之外,参数化限制监视器模块208供应的健康数据包括代表例如一个或多个参数的数据。将意识到,特定参数可以改变。例如,参数可以包括输入命令和对该输入命令的响应。在致动器或由致动器移动的部件的环境中,感兴趣的参数化控制限制可以包括位置的上限和下限、最大转换速率、最大小信号带宽以及最大力/扭矩。监视器返回的命令和响应参数可以包括位置、速率、电流、电压和控制限制,等等。将意识到,与输入命令相关联的“通过”结果表意地指示适用的控制法则可以继续发出那些命令,而“失败”结果表意地指示控制法则不应再发出该命令。作为后者的示例,如果部件被命令以20单位/秒的速率移动但是却仅以10单位/秒的速率移动,则参数化限制监视器模块208将返回失败结果,并且20单位/秒被尝试但是仅实现10单位/秒。
[0018]子系统推理器204接收从测试功能202供应的健康数据,并确定存在哪个或哪些失效和/或降级,并且如果存在降级,则确定降级的程度。更具体地,推理器204被耦合来接收健康数据,并被配置为响应于其而选择性地控诉并清除一个或多个故障,确定引起所控诉的故障的一个或多个失效,并且基于所确定的一个或多个失效来确定控制效应器可以响应于的控制效应器命令的可用范围。在一些实例中,子系统推理器204可以附加地发出行动,该行动要被执行来防止故障/降级的子系统的进一步损坏,或者防止在其它子系统中的连锁性失效。实现子系统推理器204的方式允许其处理各种诊断复杂性,例如包括故障模糊性、等待时间、误报、漏报以及间歇性,等等。尽管在概念上人可以将来自特定测试的失败结果与特定故障或失效的存在进行关联,但是推理器是最后仲裁器。
[0019]作为对此的手段,子系统推理器204实现诊断推断以计算可能存在哪些故障。故障是推理器204中的中间结论,其计及这样的事实:给定故障/降级可以由产生不同的测试证据的各种基本起因导致。故障仅需要在其产生不同的测试证据的意义上被建模。例如,卡滞(stuck)致动器失效可能是由机械卡涩故障或通信故障引起,并且针对这两种故障的证据是不同的。
[0020]子系统推理器204跟踪从测试模块202供应的健康数据,并且基于累积收集的结果(即,累积证据)做出故障确定。这是因为跟踪累积结果将更准确地反映子系统健康状态,而非瞬时结果。对于非参数化测试,累积证据将优选地呈现离散状态,诸如,例如:未知(UNKNOWN)、通过、失败、失败-[限定符I]/失败_[限定符2]/等等。另外,可以使用离散状态有时通过(SOMEHMES-PASS)、有时失败(SOMEHMES-FAIL)、有时失败-[限定符]来跟踪正间歇性失败的测试的状态。如可以意识到的,一些故障产生这样的间歇性证据。
[0021]基于从参数化限制监视器模块208供应的健康数据的累积证据可以呈现离散状态,诸如,例如:未知、通过、失败,其中那些离散状态被指派给参数范围。例如,累积证据可以指示针对在-30与+10单位之间的位置的位置监视器通过,在+10与+15单位之间是未知,以及在+15与+30单位之间是失败。推理器204还可以向来自每个监视器模块208的累积证据指派总体离散状态。如果任何参数范围失败,则总体状态是失败。如果任何参数范围是未知并且没有范围是失败,则总体状态是未知。如果整个参数范围为通过,则总体状态为通过。另外,离散状态有时通过、有时失败可以用于跟踪正间歇性失败的参数化测试的总体状态。
[0022]在进一步继续之前,应当注意,至少一般地,控制参数具有标称上限和标称下限。一些控制参数预期仅经历上限降级,其它仅经历下限降级,以及再其它经历上限降级和下限降级二者。对于其中预期仅上限降级的参数化限制监视器模块208,累积证据通过跟踪已知产生通过结果的值的边界和已知产生失败结果的值的边界,来跟踪参数的未知、通过和失败区域。在那些边界之间,状态是未知。预期通过结果在标称下限与通过边界之间。预期失败结果在失败边界与标称上限之间。对于其中预期仅下限降级的参数化限制监视器,上述边界反转。对于双向参数化限制监视器,针对上限和下限二者跟踪上述边界。
[0023]在替代实现中,控制参数的范围可以被先验分区为固定区段,并且推理器累积证据向每个单独区段指派通过/失败/未知状态。
[0024]子系统推理器204将其输出的每个参数化控制能力与测量其的至少一个参数化监视器进行关联。子系统推理器204不会简单地因为相关联的参数化监视器208失败就报告参数化控制能力的降级。这是因为各种故障都可能引起监视器模块208产生失败结果,甚至可能是间歇性的,并非所有这些失败结果都应该表征为参数化控制能力的降级。因此,子系统推理器204实现诊断推断以将问题隔离到一个或多个故障的模糊性组。一旦模糊性组减小使得模糊性组中的所有故障都指向共同的失效/降级,推理器204得出结论:利用测量值使参数化控制能力降级。作为示例,假设设备具有作为控制能力的位置上限和下限,并且参数化位置限制监视器模块208观察到设备未能去到命令的位置。然而,速率和带宽问题也可能引起位置监视器间歇性地失败。在这样的实例中,子系统推理器204将不将其表征为对于控制效应器109的降级的位置限制,直到其首先排除了被表征为降级的速率或带宽限制的故障为止。出于对接到自适应控制器以进行自动故障恢复的目的,推理器204被设计为报告控制效应器109是有完全能力的,直到其可以将问题表征为特定失效或降级为止。这并未排除健康管理系统报告针对诸如人类操作员和维护系统的其它消费者的故障的早期指示。
[0025]为了更清楚地说明子系统推理器204如何实现上述功能,现在将参考图3,其描绘了推理器使用来进行诊断的知识库300的示例。知识库300包括多个列302(302-1、302-2、
302-3......302-N)和多个行 304 (304-1、304-2、304_3......304-N),每一列与测试相关联,并且每一行与特定故障相关联,由此形成在本文称为推断单元306 (306-1,306-2,306-3……306-N)的多个单元。还可以参考图5,其描绘了在用ISO 10303-11 EXPRESS-G格式表达的信息模型方案的环境中的推断单元。
[0026]每个推断单元306表示特定故障与特定测试之间的推断关系。空单元指示不存在推断关系。“清除”记号指示特定测试302通过免除特定故障。相反地,“控诉”记号指示特定测试302失败对特定故障发生怀疑。例如,如果测试I通过则其将仅清除故障1,而如果测试2通过则其将清除故障1、故障2和故障3。然而,一旦测试I和测试2失效,则它们中的每个控诉故障1、故障2和故障3为潜在怀疑。“失败清除(failClears)”记号指示特定测试302失败清除特定故障。“阻碍(blocks)”记号指示特定故障的存在将防止特定测试正确地检测其它故障。“等待时间”数指示故障传播到特定测试的时间上界,使得推理器应当允许指定等待时间在测试通过可以清除故障之前期满。“阈值”数指示如果测试所测得的参数的降级不满足阈值,则故障可被清除。
[0027]因此,贯穿子系统健康管理系统104的操作,子系统推理器204正从测试模块202接收健康数据,并且基于这些健康数据正持续清除和控诉故障。子系统推理器204附加地包括将每个故障(或故障的各种组合)与零个或更多故障进行关联的数据。子系统推理器204基于每个测试控诉的故障来确定一个或多个失效是否存在。失效也优选地分类为“二元”失效或“参数化”失效。二元失效是表示效应器能力的完全丧失的失效。相反地,参数化失效表示效应器能力的降级。因此,参数化失效也将提供附加信息来量化在对效应器能力的新限制方面的降级。应注意的是,在本段中描述的功能在图6中描绘的信息模型方案中被描绘。
[0028]图3中的故障列表可以包括物理地在效应器的外部的一些故障,因为这样的故障仍然可能影响效应器的能力。作为示例,在功率和分布系统中馈送效应器的故障可能导致效应器的“浮置(float)”故障。类似地,图3中的测试列表可以包括当控诉或清除影响效应器的能力的所述外部故障时主要验证在物理效应器的外部的系统的健康的一些测试。
[0029]二元和参数化失效的组合可以用于离散域效应器(接收离散命令值的那些)和用于连续域效应器(接收连续可变命令值的那些)。对失效的选择部分地通过自适应控制系统可以响应于什么来驱动。作为示例,诸如开/关推进器火箭之类的离散域效应器可以具有诸如“卡滞开(stuck on)”和“卡滞关(stuck off)”的二元失效,以及诸如“降级的带宽”、“降级的占空比”、“降级的最大开启时间”、“降级的最小开启时间”以及“降级的最小关闭时间”的参数化值。诸如空气动力学控制表面的连续域效应器可以具有诸如“卡滞”和“浮置”的二元失效,以及诸如“降级的位置限制”、“降级的速率限制”、“降级的带宽限制”和“降级的加载限制”的参数化失效。
[0030]在图4中描绘了子系统健康管理系统104的总体功能的简化表示,并且现在应当对其做出参考。该图用图形描绘了三列一一测试列402、故障列404以及失效列406。被使用的方案用椭圆形描绘了二元测试、二元故障和二元失效,并且用矩形描绘了参数化测试和参数化失效。应注意的是,每个矩形的垂直侧表示与该特定参数化测试相关联的参数化值产物。如所看到的,测试T4指示该测试贯穿其整个范围通过。因此,测试4清除故障F6和F7,并且还贯 穿其整个范围清除失效C3。此外,失效C3已经被清除了故障F1-F7的测试Tl清除。
[0031]相反地,测试T5被示出为在上和下范围部分二者中都失败,并从而控诉故障F7、F8和F9。此外,因为故障F9也被测试T8控诉(并且既未被测试T6清除也未被测试T6控诉),则失效C5被控诉为具有降级的上和下限。对于完整性,应注意的是,测试T2、T3和Τ6的结果是未知,并且测试Τ7是以未知的上限区域通过。作为结果,故障F8、F10、F11和F12以及失效C4和C6的一部分被描绘为既未被清除也未被控诉,这意味着这些失效和故障是可疑的,或者在失效C6的情况中是部分可疑的。
[0032]某些故障要求立即行动以防止对交通工具110的进一步危害。子系统推理器204基于隔离的故障按照需要供应命令。一些行动具有移除能力的效应,并且子系统推理器204向控制法则供应丧失/降级的能力。
[0033]子系统推理器204实现知识库以计算其结论。以ISO 10303-11 EXPRESS-G格式在图5-8中描绘了知识库的信息模型。如可以意识到的,供应给所描绘的信息模型的数据将被变换成取决于软件实现语言和实时执行的结构。
[0034]对于其状态是不确定的、含义未知或仅仅是可疑(或部分可疑)的失效(例如,在上述示例中的失效C4和C6)的那些失效,子系统推理器204需要获得附加信息来验证失效是存在还是不存在以确定参数化限制。为了这样做,子系统推理器204被附加地配置为实现在本文被称为发起的测试序列的内容。即,不是等待要由测试模块202生成和供应的附加信息,而是子系统推理器204将确定一个或多个测试激励信号以供应到可疑控制效应器109来验证可疑失效是否是实际失效。子系统推理器204然后将向交通工具控制系统102供应一个或多个测试激励信号。发起的测试可以改变,并且可以包括例如速率测试、位置测试或许多其它测试中的任一个。一个或多个发起的测试序列可以在系统操作期间或者在系统操作的发起时发生。
[0035]交通工具控制系统102在接收到测试激励信号时将向每个可疑控制效应器109供应测试激励信号。另外,如果必要的话,交通工具控制系统102将向其它控制效应器109中的一个或多个供应控制信号以补偿测试中的控制效应器109的运动。如可以意识到的,这样做是为了维持对交通工具的期望控制。例如,在具有用于控制效应器的若干控制表面的自主飞行交通工具的环境中,如果推理器204不确定关于一个控制效应器109-1的能力,则其可以命令该控制效应器109-1移动,从而获得足够信息来验证可疑故障是否确实存在并且确定可用运动范围的新上限和下限。同时,一个或多个其它控制效应器109-2到109-N可以被命令以抵消正经历发起的测试序列的控制效应器109-1产生的任何俯仰、翻滚或偏航时刻的方式移动。至其它控制效应器109-2到109-N的必要命令由交通工具控制系统来确定。为了进一步确保控制被维持,交通工具控制系统102可以将供应的测试激励信号视为仅“优选”命令信号,并且交通工具控制系统102可以在必要时从其到可疑控制效应器109-1的实际命令中的测试激励信号偏离以维持控制。
[0036]在图9-11中以流程图形式描绘了用于实行上述功能的推理器204中实现的过程,并且将立刻对其进行描述。在这样做之前,应注意的是,图9中描绘的过程900是对这样的过程的说明,推理器204实现该过程以确定是否需要测试激励信号用于连续域控制效应器109。即,对于可以被命令去往两个限制之间的任何位置的控制效应器109,诸如可以用于移动交通工具控制表面的控制效应器109。图10中描绘的过程1000是对这样的类似过程的说明,推理器204实现该过程来用于二元域控制效应器109。即,对于可以被命令为例如开和关的两个值中任一个的离散域控制效应器109,诸如交通工具姿态推进器。一般地,我们将把二元域效应器的两个命令值一般地称为“O”和“I”。图11中的流程图图示了过程1100,推理器204实现过程1100来管理由过程900和1000要求的测试激励信号,过程1100包括发起信号、更新信号参数、结束信号以及处理其中已要求多个测试激励信号的情形。过程900、1000和1100贯穿任务以高频率运行多次,使得健康管理系统可以迅速地接收其诊断系统的能力所需的信息。
[0037]推理器204首先在可能使用上述过程和直到当前时间点获得的信息的意义上确定每个控制效应器109的健康。然后,首先参考图9,看到的是,在通过过程900的每个周期的开始时将所需的测试激励信号的列表初始化为无(NONE) (902),并且循环被初始化(904)。即,通过过程900的每个周期“从头开始(from scratch)”重新计算需要的测试激励信号的列表。一旦测试激励信号产生推理器204需要的信息,它就将停止在后续周期中的列表中出现。对于在每个连续域控制效应器109上的每个已建模的失效,推理器204确定失效的类型(906)。但是如已经注意到的,在所描绘的实施例中,失效的类型可以改变,其中控制效应器109是用于交通工具的连续域效应器,失效的类型包括崩溃(collapsed)域失效(例如,卡滞或浮置或未加电)、降级域限制失效(例如,降级的上或位置下限)或降级速率限制失效。
[0038]对于给定类型的失效,推理器204然后确定是否在不存在或存在中有不确定性,并且对于一些类型确定在失效程度上是否有不确定性,其中确定(908、914、924、926)取决于所述类型。对于崩溃域失效,存在或不存在仅仅是问题,因此如果失效已知为坏(BAD)或已知为良好(GOOD),则其被认为(908 )是确定的,而如果失效是未知的或仅仅是可疑的,则其被认为是不确定的。如果推理器204确信失效,则过程900对已建模的失效与连续域控制效应器的下一组合进行迭代。然而,如果推理器204未确定失效是不确定的,则推理器204确定其是否应当要求至控制效应器109的一个或多个测试激励信号以解决不确定性(910)。
[0039]在进一步继续之前,应注意的是,对于推理器204存在在给定时间不要求测试激励信号的各种原因。例如,推理器204可以等待在监视器208上期满的等待时间,这将解决不确定性。推理器204可以确定不确定性归因于监视器204不能解决的诊断模糊性。推理器204可以被配置为在某些操作阶段期间由于那些阶段的灵敏性而排除某些发起的测试。推理器204可以确定测试的先决条件未被满足,从而测试将不能产生可用的信息。或者,推理器204可以被配置为防止测试被太频繁地执行以便限制有害物测试。
[0040]无论一个或多个特定原因为何,如果未要求测试激励信号,则过程900继续移动到已建模的失效与连续域控制效应器的下一组合。然而,如果要求测试信号,则推理器204确定一个或多个测试激励信号以供应给可疑控制效应器109。
[0041]如图9所进一步描绘的,如果不确定的失效是崩溃域失效,则推理器204将设置MOVEMENT_CHECK (移动检查)作为需要用于该控制效应器的测试激励信号(912)。当MOVEMENT_CHECK被执行时,推理器204将向交通工具控制器102供应时变测试激励信号,该时变测试激励信号将继而使得交通工具控制器102供应例如将使控制效应器109移动到指定位置的命令。然后,基于从测试模块202供应的健康数据,推理器204能够验证是否存在失效。
[0042]如果不确定的失效是降级域限制失效,则推理器204将要求UPPER_UMIT_CHECK(上限检查)(918)或LOWER_UMIT_CHECK (下限检查)(928)或二者作为测试激励信号。针对该失效类型的对应的不确定性确定(914和924)考虑失效是存在还是不存在的不确定性,和上限或下限的降级程度的不确定性。例如,推理器204有可能确信域被降级,但是不确信上限或下限的值。对 UPPER_UMIT_CHECK (918)、LOWER_UMIT_CHECK (928)、二者或没有一个的选择取决于上限(914)或下限(924)是否是不确定的。如果要求UPPER_UMIT_CHECK,则过程还确定UPPER_UMIT_CHECK的上值参数,其表示测试激励信号是否应当检查至标称上限的所有方式,或达不到它的某处(922)。这通过聚集被指定以测量对该效应器109的命令域限制的子系统健康管理系统104的累积观察来确定。命令域的区域由于各种原因可能是不可用的,所述原因诸如对命令无响应或者导致不可接受的能耗,其中每个原因由指定为测量失效的不同监视器208来检测。如果指定为测量失效的监视器208中的任何一个或多个确定域的区域是坏的,则对于推理器204而言这足以确定性地得出区域是坏的结论,并且不需要检查该区域。测试激励信号仅需要前往但是不包括已知为坏的上区域。需要检查的区域的上界用上参数来表示。如果没有上区已知为坏的,则上参数将指示文本激励信号应当转到标称上限。类似地,如果要求LOWER_UMIT_CHECK,则过程确定用于LOWER_LIMIT_CHECK的下值参数,其表示测试激励信号是否应当检查至标称下限的所有方式,或达不到它的某处(930)。
[0043]当执行UPPER_UMIT_CHECK时,推理器204将向交通工具控制器102供应时变测试激励信号,该时变测试激励信号将继而使得交通工具控制器102供应跟随该信号的命令(具有可能的偏离以维持控制),该命令将使控制效应器109移动到由上参数定义的位置上限。类似地,当执行LOWER_UMIT_CHECK时,推理器204将向交通工具控制器102供应测试激励信号波形,该测试激励信号波形将继而 使得交通工具控制器102供应命令,该命令将使控制效应器109移动到由下参数定义的位置下限。在这两种实例中,基于从测试模块202供应的健康数据,推理器204能够验证可疑失效是否是实际崩溃域限制失效。
[0044]对于MOVEMENT_CHECK、UPPER_UMIT_CHECK 或 LOWER_UMIT_CHECK,文本激励信号的改变速率应当相对慢,例如是控制效应器109的速率限制的1/3。这应当允许交通工具控制器102更容易补偿使用其它控制效应器109进行的测试的影响,由此减小对交通工具姿态的不希望干扰和在命令与测试激励信号之间的偏离的似然性。过度偏离可能阻止测试获得用于推理器204的意图信息,从而导致过程900再次要求测试。
[0045]如果可疑失效是降级速率限制失效,则推理器204将设置RATE_UMIT_CHECK (速率限制检查)作为测试激励信号(936)。当RATE_UMIT_CHECK被设置时,推理器204将向交通工具控制器102供应测试激励信号波形,该测试激励信号波形将继而使得交通工具控制器102供应例如命令,该命令将以指定速率在命令域的限制内的特定方向上移动控制效应器109。如通过聚集被指定测量对该效应器109的命令速率限制的子系统健康管理系统104的累积观察来确定的,指定速率可以是高至但是不包括任何已知坏速率限制的速率,或者如果没有速率限制已知为坏的,则高至标称速率限制。移动方向例如是承担从命令域内的当前位置的最大范围的移动的任何方向。然后,基于从测试模块202供应的健康数据,推理器204能够验证可疑失效是否是实际的降级域失效。如果要求RATE_UMIT_CHECK,则过程还确定针对RATE_UMIT_CHECK的值参数,其表示测试激励信号是否应当检查至标称速率限制的所有方式,或者达不到它的某处(938 )。
[0046]现在参考图10,如上文所提到的,所描绘的过程1000是推理器204实现来用于二元域控制效应器的过程。与图9描绘的过程900 —样,在通过过程1000的每个周期的开始时(1004)将所需的测试激励信号初始化为无(NONE) (1002)。对于在每个二元域控制效应器109上的每个已建模的失效,推理器204确定失效的类型(1006)。但是如已经注意到的,在所描绘的实施例中,失效的类型可以改变,其中控制效应器109是用于交通工具的二元域效应器,失效的类型包括崩溃域失效(例如,“O”或“I”的卡滞)、“0”处降级最小时间失效,或“ I”处降级最小时间失效。
[0047]对于每种类型的失效,推理器204然后确定在失效不存在或存在中是否有不确定性,并且对于一些类型确定在失效程度上是否有不确定性,其中确定(1008、1014、1020)取决于所述类型。如果没有不确定性,意指推理器204确信失效存在/不存在以及程度,则过程1000对已建模的失效与二元域效应器的下一组合进行迭代。然而,如果推理器204未确定存在不确定性失效,则推理器204确定是否向控制效应器109供应一个或多个测试激励信号以解决不确定性(1010、1016、1022)。如果否,则过程1000对已建模的失效与二元域效应器的下一组合进行迭代。然而,如果是,则推理器204确定一个或多个测试激励信号以供应给可疑控制效应器109。
[0048]如图10进一步描绘的,如果所述不确定失效是崩溃域失效,则推理器204将设置DOMAIN_CHECK (域检查)和合适的参数作为测试激励信号(1012、1013)。当执行DOMAIN_CHECK时,推理器204将向交通工具控制器102供应时变测试激励信号,该时变测试激励信号将继而使得交通工具控制器102供应例如将使控制效应器109移动到“O”或“ I ”或二者的命令。然后,基于从测试模块202供应的健康数据,推理器204能够验证是否存在崩溃域失效。
[0049]如果所述不确定失效是“O”处降级最小时间失效,则推理器204将设置ΜΙΝ_0_TIME_CHECK (最小O时间检查)和合适时间参数作为测试激励信号(1018、1019)。针对该失效类型的对应的不确定性确定考虑失效是存在还是不存在的不确定性,和降级程度的不确定性。例如,推理器有可能确信“O”处最小时间被降级,但是不确定最小时间的值。当执行MIN_0_TME_CHECK时,推理器204将向交通工具控制器102供应时变激励信号,该时变激励信号将继而使得交通工具控制器102向控制效应器109供应例如命令至“O”以将时间向下改变至预定时间。如通过聚集被指定测量对该效应器109的“O”处最小时间的子系统健康管理系统104的累积观察来确定的,预定时间可以是低至但是不包括任何已知坏时间的时间,或者如果没有时间已知为坏的,则低至标称最小时间。然后,基于从测试模块202供应的健康数据,推理器204能够验证是否存在“O”处实际降级最小时间失效以及降级的程度。
[0050]类似地,如果不确定失效是“ I ”处降级最小时间失效,则推理器204将设置MIN_1_TIME_CHECK (最小I时间检查)和合适时间参数作为测试激励信号(1024、1025)。当执行MIN_1_TIME_CHECK时,推理器204将向交通工具控制器102供应时变测试激励信号,该时变测试激励信号将继而使得交通工具控制器102向控制效应器109供应例如命令至“I”以将时间向下改变至预定时间。如通过聚集被指定测量对该效应器109的“I”处最小时间的子系统健康管理系统104的累积观察来确定的,预定时间可以是低至但是不包括任何已知坏时间的时间,或者如果没有时间已知为坏的,则低至标称最小时间。然后,基于从测试模块202供应的健康数据,推理器204能够验证是否存在“I”处实际降级最小时间失效以及降级的程度。
[0051]现在参考图11,只要图9中描绘的过程900或图10中描绘的过程1000确定要求测试激励信号,图11中描绘的过程1100就实现那些测试激励信号。具体地,对于每个控制效应器109,推理器204确定针对该控制效应器109的测试激励信号是否在进行中(1102)。如果是,则推理器204考虑是否仍然需要进行中的测试激励信号(1104),如通过过程900和1000所确定的。如果是,则推理器204根据过程900和/或1000中确定的任何更新的设定而按照需要更新进行中的测试激励信号的参数(1106)。如果否,则推理器204确定是否需要另一测试激励信号(1107)。如果是,则推理器204向交通工具控制系统102供应针对该控制效应器109的新测试激励信号,如通过过程900和/或1000所确定的(1112)。如果否,则终止进行中的测试激励信号(1108)。因此,一旦推理器204获得其需要的信息或者一旦测试信号达到其自然结论(任何一个首先到来),测试激励信号就终止。测试激励信号以优美地将控制效应器109返回常态的信号(1108)或者以过程900和/或1000要求的针对当前控制效应器109的一些其它激励信号的开始终止。
[0052]如果推理器204先前确定针对控制效应器109的测试激励信号不再在进行中(1102),则推理器204确定过程900和/或1000是否已经确定需要测试激励信号用于控制效应器109 (1110)。如果否,则过程1100对下一效应器进行迭代。如果是,则推理器204向交通工具控制系统102供应针对该控制效应器109的新测试激励信号,如通过过程900和/或1000所确定的(1112)。
[0053]在步骤1106、1108或1112之后,推理器204还检查以确定系统100是否被配置为允许多个控制效应器109被同时激励(1114)。如果是,则过程1100对接下来的一个或多个效应器109进行迭代(1116、1118)。如果否,则过程1100终止。
[0054]在给定时间,过程1100允许至多一个测试激励信号在给定控制效应器109上处于进行中。然而,过程900和1000可以要求在单个控制效应器109上的零个、一个或更多个测试激励信号,因为有可能具有不确定的多个失效类型。推理器204以若干方式处理多测试情形。一种方式是:一旦测试激励信号在进行中(1102、1104和1106),推理器204就将持续进行该测试激励直到其完成或者不再被需要为止,即使过程900和1000可能同时要求其它测试激励信号。另一种方式是:在步骤1112中,推理器204可以对测试激励信号进行优先化以在要求多于一个时首先执行,目的是加速诊断并且减小由测试激励信号引起的对交通工具的任何干扰。
[0055]例如,如果MOVEMENT_CHECK和UPPER_UMIT_CHECK 二者都被要求,则推理器204将选择UPPER_UMIT_CHECK首先执行,因为它潜在地解决不确定失效二者,使得可以不再需要 MOVEMENT_CHECKo 出于类似的原因,如果 MOVEMENT_CHECK 和 LOWER_UMIT_CHECK 二者都被要求,则推理器204将选择LOWER_UMIT_CHECK首先执行,如果MOVEMENT_CHECK、UPPER_LIMIT_CHECK和LOWER_UMIT_CHECK三者都被要求,则推理器204可以选择UPPER_LIMIT_CHECK或LOWER_LIMIT_CHECK首先执行,之后是另一个,在两者将最终都需要被执行并且任一个都可能导致不再需要MOVEMENT_CHECK的预期下。
[0056]如果与以上中的一个或多个同时要求RATE_UMIT_CHECK,则推理器204可以将RATE_LIMIT_CHECK推迟到最后,想法是其它检查可能成功完成,而不会遭遇降 级的速率限制。然后,可以以上或下方向是否具有执行RATE_UMIT_CHECK的更大范围的更好的知识来执行 RATE_UMIT_CHECK。
[0057]现在将描述系统100的操作的示例,包括以上描述的用于验证不确定失效的方法。在这样做时,应当参考在交通工具操作期间的上限和下限二者的图12,其用图形描绘了针对遭受降级域限制失效的连续域控制效应器109的数据。在所描绘的图表1200中,线1202表示实际控制效应器位置,线1204表示供应给控制效应器109的命令,线1206和1208分别描绘了健康管理子系统104认为是上和下限的内容。
[0058]在考虑该背景的情况下,在tl处发生实际失效。然后,其未持续到t2,在t2,推理器204怀疑失效并且因此供应测试激励信号以收集更多信息。如容易描绘的,尽管失效在tl处发生,但是控制效应器109未被命令朝向下限,直到在供应测试激励信号之后为止(在t2和t3之间)。在发起的测试得出结论时(例如,在t3),推理器204已经确定新的位置下限1208。一段短时间之后,在t4处,控制效应器109被命令朝上限移动,在该时间处,健康管理子系统104容易识别出上限1206也需要改变。
[0059]本文描述的系统和方法加速至健康管理系统中的信息流,从而能够提供对系统健康更迅速的诊断。
[0060]本领域技术人员将意识到,结合本文公开的实施例描述的各种说明性逻辑块、模块、电路和算法步骤可以实现为电子硬件、计算机软件或二者的组合。上文在功能和/或逻辑块部件(或模块)以及各种处理步骤方面描述了一些实施例和实现。然而,应当意识到的是,这样的块部件(或模块)可以通过配置为执行指定功能的任何数量的硬件、软件和/或固件部件来实现。为了清楚地说明硬件和软件的该可互换性,上文已经总地在它们的功能方面描述了各种说明性部件、块、模块、电路和步骤。这样的功能是实现为硬件还是软件取决于在整个系统上施加的特定应用和设计约束。本领域技术人员可以针对每个特定应用以不同的方式来实现所描述的功能,但是这样的实现决定不应解释为导致脱离本发明的范围。例如,系统或部件的实施例可以采用各种集成电路,例如,存储器元件、数字信号处理元件、逻辑元件、查找表等等,它们可以在一个或多个微处理器或其它控制设备的控制下执行各种功能。另外,本领域技术人员将意识到,本文所描述的实施例仅仅是示例性实现。
[0061]结合本文公开的实施例所描述的各种说明性逻辑块、模块和电路可以用以下来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件部件,或设计为执行本文描述的功能的它们的任何组合。通用处理器可以是微处理器,但是在替代中,处理器可以是任何常规处理器、控制器、微控制器或状态机。处理器还可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、与DSP核心结合的一个或多个微处理器,或者任何其它这样的配置。词语“示例性”在本文排他地用于意指“充当示例、实例或说明”。本文描述为“示例性”的任何实施例并不一定要被解释为相对于其它实施例是优选或有利的。
[0062]结合本文公开的实施例描述的方法或算法的步骤可以直接体现在硬件中、在由处理器执行的软件模块中或在两者的组合中。软件模块可以驻留在RAM存储器、闪速存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM或本领域已知的任何其它形式的存储介质中。示例性存储介质耦合到处理器,使得处理器可以从存储介质读取信息并向存储介质写信息。在替代中,存储介质可以与处理器集成。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在替代中,处理器和存储介质可以驻留为用户终端中的分立部件。
[0063]在本文档中,诸如第一和第二等的关系术语可只用于区分开一个实体或行动与另一实体或行动,而不一定需要或暗示在这样的实体或行动之间的任何实际的这种关系或次序。诸如“第一”、“第二”、“第三”等的数字序数仅仅表示多个事物中的不同单个事物,且并不暗示任何次序或顺序,除非由权利要求语言特别限定。在任何权利要求中的文本的顺序并不暗示过程步骤必须根据这样的顺序以时间或逻辑次序执行,除非由权利要求语言特别限定。过程步骤可以按任何次序互换,而不偏离本发明的范围,只要这样的互换不与权利要求语言矛盾和在逻辑上不是无意义的即可。
[0064]此外,取决于上下文,在描述不同元件之间的关系中使用的诸如“连接”或“耦合到”的词语并不暗示在这些元件之间必须做出直接物理连接。例如,两个元件可以彼此物理地、电气地、逻辑地连接,或者以任何其它方式、通过一个或多个附加元件彼此连接。
[0065]尽管在本发明的前述【具体实施方式】中已经给出了至少一个示例性实施例,但是应当意识到,存在大量变型。还应当意识到,一个或多个示例性实施例仅仅是示例,并且不意图以任何方式限制本发明的范围、适用性或配置。相反,前述【具体实施方式】将为本领域技术人员提供用于实现本发明的示例性实施例的方便路线图。应当理解,在不脱离本发明的范围的情况下,可以在示例性实施例中描述的元件的功能和配置方面做出各种改变。
【主权项】
1.一种用于确定控制效应器的响应能力的系统,包括: 测试模块,其被适配成至少接收命令数据和与控制效应器相关联的传感器数据,所述测试模块被配置为在接收到这些数据时生成代表控制效应器健康的控制效应器健康数据;以及 推理器,其被耦合来接收所述控制效应器健康数据并且被配置为响应于其而(i)选择性控诉和清除一个或多个故障,(ii)确定可被所控诉的一个或多个故障引起的可疑失效,(iii)确定一个或多个测试激励信号以供应给所述控制效应器来验证所述可疑失效是否是实际失效,以及(iv)向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
2.根据权利要求1所述的系统,其中,所述推理器还被配置为在确定一个或多个测试激励信号以供应给所述控制效应器之前,确定所述一个或多个测试激励信号对于验证不确定失效是存在还是不存在是否将是确实有用的。
3.根据权利要求1所述的系统,其中,所述控制器被配置为向所述控制效应器供应所述一个或多个测试激励信号。
4.根据权利要求1所述的系统,其中: 所述测试模块还被配置为处理与所述控制效应器相关联的传感器数据,同时根据供应给所述控制效应器的测试激励信号而被命令来生成更新的控制效应器健康数据;以及 所述推理器还被配置为处理更新的控制效应器健康数据以验证不确定失效是存在还是不存在。
5.根据权利要求4所述的系统,其中,所述推理器还被配置为基于实际失效而确定所述控制效应器能够响应于的控制效应器命令的可用范围。
6.根据权利要求1所述的系统,其中: 所述控制效应器是二元域效应器;以及 所述不确定失效是崩溃域和在特定值处的最小时间中的一个或多个。
7.根据权利要求1所述的系统,其中: 所述控制效应器是连续域效应器;以及 所述不确定失效是崩溃域、降级上限、降级下限和降级速率限制中的一个或多个。
8.一种用于验证控制效应器的响应能力的方法,所述方法包括以下步骤: 在测试模块中至少处理命令数据和与控制效应器相关联的传感器数据,以生成代表控制效应器健康的控制效应器健康数据;以及 在推理器中处理控制效应器健康数据以: (i)选择性控诉和清除一个或多个故障, (ii)基于所控诉的一个或多个故障确定失效是不确定的, (iii)确定一个或多个测试激励信号以供应给所述控制效应器来验证不确定失效是存在还是不存在,以及 (iv)向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
9.根据权利要求8所述的方法,还包括: 在确定一个或多个测试激励信号以供应给所述控制效应器之前,在所述推理器中确定所述一个或多个测试激励信号对于验证不确定失效是存在还是不存在是否将是确实有用的。
10.根据权利要求8所述的方法,还包括: 从所述控制器向所述控制效应器供应所述一个或多个测试激励信号; 在所述测试模块中处理与所述控制效应器相关联的传感器数据,同时根据供应给所述控制效应器的测试激励信号而被命令来生成更新的控制效应器健康数据; 在所述推理器中处理更新的控制效应器健康数据以验证不确定失效是存在还是不存在;以及 基于实际失效而确定所述控制效应器能够响应于的控制效应器命令的可用范围。
【专利摘要】本发明涉及发起的测试健康管理系统和方法。一种用于验证控制效应器的响应能力的系统和方法包括:在测试模块中至少处理命令数据和与控制效应器相关联的传感器数据,以生成代表控制效应器健康的控制效应器健康数据。在推理器中处理控制效应器健康数据以:选择性控诉和清除一个或多个故障,基于所控诉的一个或多个故障确定失效是不确定的,确定一个或多个测试激励信号以供应给所述控制效应器来验证不确定失效是存在还是不存在,以及向能与所述控制效应器操作地通信的控制器供应所述一个或多个测试激励信号。
【IPC分类】G05B23-02
【公开号】CN104865949
【申请号】CN201410813928
【发明人】A.P.韦查特, D.布施, D.F.恩斯
【申请人】霍尼韦尔国际公司
【公开日】2015年8月26日
【申请日】2014年12月24日
【公告号】EP2911025A2, US20150241853
最新回复(0)