控制网

1  引言

    现代系统正朝着大规模,复杂化的方向发展，这类系统一旦发生事故就有可能造成人员和财产的巨大损失。如：1998年8月到1999年5月的短短的10个月间，美国的3种运载火箭：“大力神”，“雅典娜”，“德尔他”共发生了5次发射失败，造成了30多亿美元的直接经济损失，迫使美国航天局于1999年5月下令停止了所有的商业发射计划。对美国的航天计划造成了严重的打击。人们迫切需要提高现代系统的可靠性与安全性。基于解析冗余的动态系统的故障诊断与容错控制则为提高复杂系统的可靠性开辟了一条新的途径。

    动态系统的容错控制(Fault Tolerant Control――FTC)是伴随着基于解析冗余的故障诊断技术的发展而发展起来的。如果在执行器、传感器或元部件发生故障时，闭环控制系统仍然是稳定的，并仍然具有较理想的特性，就称此闭环控制系统为容错控制系统[1]。1991年，瑞典的Astrom教授明确指出了，容错控制具有使系统的反馈对故障不敏感的作用。容错控制方法一般可以分成两大类，即：被动容错控制(passive FTC)和主动容错控制(active FTC)。

    容错控制的思想最早可以追溯到1971年，以Niederlinski 提出完整性控制(integral control)的新概念为标志，Siljak于1980年发表的关于可靠镇定的文章是最早开始专门研究容错控制的文章之一。然而，直到1993年，国际上才出现了由现任IFAC技术过程的故障诊断与安全性专业委员会主席，英国的Patton教授撰写的容错控制的综述文章[1,2]，目前尚未见到国际上有容错控制的专著问世。值得骄傲的是，我国在容错控制理论上的研究基本上与国外同步。1987年，叶银忠等就发表了容错控制的论文，并且于次年发表了这方面的第一篇综述文章。1994年，葛建华等出版了我国第一本容错控制的学术专著。

    动态系统的故障检测与诊断(Fault detection and diagnosis―FDD)是容错控制的重要支撑技术之一。 FDD技术的发展已大大超前于容错控制的发展，FDD技术的理论与应用成果也远远多于容错控制方面的成果。目前国际上每年发表的有关FDD方面的论文与报告在数千篇以上。基于解析冗余的故障诊断技术被公认为起源于Beard 于1971年发表的博士论文。1976年， Willsky在Automatica上发表了第一篇FDD方面的综述文章。Himmelblau 于1978年出版了国际上第一本FDD方面的学术著作。

    我国开始动态系统FDD技术的研究要比国外晚十年左右。清华大学的方崇智教授等从1983年起开始了FDD技术的研究工作。1986年，叶银忠等在<<信息与控制>>上发表了国内第一篇FDD技术的综述文章。1994年周东华等在清华大学出版社出版了国内第一本FDD技术的学术专著[5,6]。

    国际自动控制界对容错控制的发展给予了高度重视。1986年9月在美国Santa Clara大学举行的自动控制高峰会议上，把多变量鲁棒，自适应和容错控制列为控制科学面临的富有挑战性的研究课题。 在国际上，领导着容错控制学科发展的是1993年成立的IFAC技术过程的故障诊断与安全性技术委员会。从1991年起IFAC每三年定期召开FDD与FTC方面的国际专题学术会议。在近几届的IFAC世界大会上，FDD与FTC方面的论文在不断增加。据笔者统计，1999年7月在北京召开的第14届IFAC世界大会上，这方面的学术论文已达60篇，成为了最热门的几个研究方向之一。

    容错控制发展至今只有20年左右的历史，因此这是一门新兴交叉学科。促使这门学科迅速发展的一个最重要的动力来源于航空航天领域。美国空军从七十年代起就不断投入巨资支持容错控制的发展，力求开发出具有高度容错能力的战斗机，甚至在多个翼面受损时，也能够保持战斗机的生存能力。

    做为一门交叉性学科,容错控制与鲁棒控制、故障检测与诊断、自适应控制、智能控制等有密切的联系。现代控制理论、信号处理、模式识别、最优化方法、决策论、统计数学等构成了容错控制的理论基础。

2  经典容错控制方法

2.1  被动容错控制

被动容错控制大致可以分成可靠镇定，完整性，与联立镇定三种类型。

(1)  可靠镇定

    使用多个补偿器进行可靠镇定的概念是由Siljak于1980年最先提出的，随后一些学者又对其进行了深入研究。可靠镇定实际上是关于控制器的容错问题。针对单个被控对象，现已证明，当采用两个补偿器时，存在可靠镇定解的充要条件是被控对象是强可镇定的(strongly stabilizable)(即，此对象可以被稳定的控制器所镇定)。然而，当被控对象不满足强可镇定条件时， 补偿器就会出现不稳定的极点，受过程噪声的影响，闭环系统就会出现不稳定。后来的研究者部分解决了上述问题，给出了设计两个动态补偿器的参数化方法，来得到可靠镇定问题的解。此文还给出了把一个稳定的控制器分解成两个并联的动态补尝器，进而实现可靠镇定问题的有效方法。其前提仍然是被控对象必须是强可镇定的。
综上所述，可靠镇定问题已基本上趋于成熟。

(2)  完整性

    完整性问题也称作完整性控制(integral control)，一直是被动容错控制中的热点研究问题。此问题有很高的应用价值，这是因为控制系统中传感器是最容易发生故障的部件。此问题研究的一般都是MIMO线性定常系统，难度很大。主要问题是对高维系统缺乏有效的综合方法。人们已研究了关于执行器断路故障的完整性问题，提出了求解静态反馈增益阵的一种简单的伪逆方法。然而，该方法并不能保证故障状态下的闭环系统是稳定的。基于n-线性特征系数理论及参数空间设计方法，有学者给出了关于执行器断路故障的完整性问题的求解方法。该方法的一个特点是可以在实现完整性的同时，在执行器的各种故障下，都可以将系统的闭环极点配置在预定的区域内。因此，此方法在满足容错控制的条件下还可以兼顾闭环系统的动态特性。该方法的一个缺陷是，当系统的维数大于3时，解析解就不再存在，只能采用CAD技术来求数值解，并可能无解。此外，近年来，分散大系统的完整性问题也受到了广泛关注。

    由此可见，完整性问题还远未彻底解决。缺乏有效地求解容错控制律的构造性方法，尤其是对高维多变量系统。

(3)  联立镇定

    联立镇定有两个主要作用。其一，当被控对象发生故障时，可以使其仍然保持稳定，具有容错控制的功能；其二，对非线性对象，经常采用线性控制方法在某一工作点上对其进行控制。当工作点变动时，对应的线性模型也会发生变化。此时，具有联立镇定能力的控制器就仍然可以镇定被控对象。

    此问题十几年来已引起了许多学者的关注。1982年发表在IEEE AC上的文章是最早开始研究联立镇定问题的文章之一。在此方向上取得了主要进展是：基于广义的采样数据保持函数(generalized sampled-data hold function―GSHF)，人们已得到如下结果：(a) 给出了联立镇定问题有解的充分条件，并给出了此控制律的构造方法；(b) 给出了在满足联立镇定的基础上，同时实现线性二次型最优控制的充分条件，以及相应的控制律的构造方法。

2.2  主动容错控制

    主动容错控制在故障发生后需要重新调整控制器的参数，也可能需要改变控制器的结构。多数主动容错控制需要FDD子系统，少部分不需要FDD子系统，但需要已知各种故障的先验知识。主动容错控制这一概念正是来源于需要对发生的故障进行主动处理这一事实。众多的FDD方法可以分成基于定性模型的方法与定量模型的方法两大类。经过近30年的发展，FDD技术已日趋成熟，所提出的各种方法详见[1-8]。主动容错控制大致可以分成三大类，即：1) 控制律重新调度，2) 控制器重构设计，3) 模型跟随重组控制。

(1)  控制律重新调度

    这是一类最简单的也是最近几年才发展起来的主动容错控制方法。其基本思想是离线计算出各种故障下所需的合适的控制律的增益参数，并列表储存在计算机中。当基于在线FDD技术得到了最新的故障信息后，就可以挑选出一个合适的增益参数，得到容错控制律。显然，采用实时专家系统进行增益调度将会产生很好的效果。这类控制方法特别适合于具有多个冗余机翼的战斗机的容错控制。

(2)  控制律重构设计

    即在FDD单元确诊故障后，在线重组或重构控制律。这是一个目前很受关注的研究方向，现有的成果还比较少。有人采用了“控制混合器”的概念，设计了一个具有自修复功能的飞行控制系统。当诊断出某个机翼受损时，可以重新分配其应尽的作用到剩余的执行器中去。随后有人提出了一种控制器的重新设计技术，通过极大化一个频域的性能指标，来重建控制律。一些学者还 给出了一种飞机的模型参考容错控制方法。针对飞机的元部件故障，该文用检测滤波器理论设计了相应的故障检测器和故障参数估计器。在此基础上，用Lyapunov方法设计了模型参考容错控制律，保证在发生内部故障时，飞机稳定运行。

(3)  模型跟随重组控制

    这类主动容错控制的基本原理是，采用模型参考自适应控制的思想，使得被控过程的输出始终自适应地跟踪参考模型的输出，而不管是否发生了故障。因此，这种容错控制不需要FDD单元。当发生故障后，实际被控过程会随之发生变动，控制律就会相应地自适应地进行重组，保持被控对象对参考模型输出的跟踪。可以看出，这类容错控制是采用隐含的方法来处理故障的。

    人们已提出了一种基于模糊学习系统的专家监督控制方法，用于F16战斗机的容错控制。其基本控制器是由参考模型，模糊控制器，及模糊学习模块构成的，称为模糊模型参考学习控制器。模糊学习模块使这一控制器具有了上述模型跟随重组控制的基本功能。在此基础上，通过与一个FDI模块相结合，可以在线选择合适的参考模型和模糊控制器的输出增益，进一步提高了容错控制能力。因此，此方法也可以看成是模型跟随重组控制与控制律重构设计的一种有机结合。

3  鲁棒容错控制

    不管是主动容错控制，还是被动容错控制，都需要具有关于模型不确定性与外界扰动的鲁棒性。这是容错控制可以应用于实际系统的重要前提之一。被动容错控制的核心就是鲁棒性，以使闭环系统对各类故障不敏感。目前主动容错控制面临的两个具有挑战性的问题就是：① 基本控制器应具有鲁棒性，在控制律重构期间使系统保持稳定；② FDD单元应具有鲁棒性，以减少误报与漏报，减少故障检测时间。因此鲁棒容错控制问题近年来受到了高度重视，已成为了目前容错控制领域的热点研究方向。

    针对连续线性定常系统的传感器失效故障，孙金生等[9]采用Lyapunov方法给出了一种具有关于模型不确定性鲁棒性的完整性控制器存在的充分条件，并给出了控制器的设计方法。他们还讨论了离散线性定常系统的鲁棒完整性控制问题， 通过求解Riccati方程，分别得到了一种传感器失效下的鲁棒容错线性调节器的设计方法，以及执行器失效下的鲁棒容错线性调节器的设计方法。他们进一步探讨了离散系统的D稳定鲁棒完整性控制问题。所谓的“D稳定”就是闭环系统的极点都要位于圆形区 内。该文给出了关于传感器失效故障的存在D稳定鲁棒完整性控制的充分条件，以及控制律的求解方法。上述新颖结果具有系统性，对鲁棒被动容错控制作出了重要贡献。尚待进行的工作是，对高维系统，上述文章所给出的设计方法有待改进，以提高设计效率。

4  非线性系统的集成故障诊断与容错控制

    由上面的分析得知，被动容错控制均不采用FDD技术，因此也就不能提供系统的故障信息。另外，在发生故障后，与系统正常运行时相比，被动容错控制系统的性能(至少是动态性能)会有所下降。另外，经典的被动容错控制讨论的对象都是线性系统。

    为了克服上述缺陷，文[10]将FDD技术与被动容错控制相结合，提出了一种关于非线性系统传感器故障的集成故障诊断与容错控制方法。此方法的优点是：

    ① 可处理多种传感器故障，包括，断路，增益衰减，加性与乘性偏差等，因此克服了传统的完整性控制问题只能处理失效故障的缺陷；

    ② 在发生故障时，闭环系统的性能指标几乎不受影响；

    ③ 适用于一大类(带随机噪声的)非线性系统；

    ④ 不管对低维还是高维系统，设计方法都同样简单。

5  容错控制理论的应用成果

    尽管容错控制理论不象FDD技术那样已经在众多的领域取得了大量应用成果，但仍然取得了一些应用成果。一些重要的应用成果由表1列出。

    表1表明容错控制取得应用成果最多的对象是飞机，主动容错控制的应用成果要远远多于被动容错控制所取得的成果，其中，控制律重构设计方法应用得最多。这些应用成果的分布情况也从一个侧面验证了Patton 教授的一个著名论断([2], pp.1050)，即：“离开了FDD单元，容错控制所能发挥的作用就会非常有限，只能对一些特殊类型的故障起到容错的作用”。因此可以肯定，主动容错控制在总体上要优于被动容错控制。

6  结语

    容错控制做为一门新兴的交叉学科，其学科意义就是要尽量保证动态系统在发生故障时仍然可以稳定运行，并具有可以接受的性能指标。因此，容错控制为提高复杂动态系统的可靠性开辟了一条新的途径。由于任何系统都不可避免地会发生故障，因此，容错控制也可以看成为是保证系统安全运行的最后一道防线。

    除了第3节介绍的鲁棒容错控制以外，当前容错控制中的热点问题还有一些，如：

    (1)  快速FDI方法的研究。故障检测与分离都需要一定时间，造成了一定的时延，这段时延越短，对控制律的重构设计就越有利。这段时延有可能会产生非常严重的稳定性问题，除非原来的基础控制器本身就具有很高的完整性和很强的鲁棒性[2]。

    (2)  鲁棒故障检测与鲁棒控制的集成设计问题。鲁棒故障检测的目标是：在一定的模型不确定性下，检测出尽可能小的故障；鲁棒控制的目标是使得控制器对模型不确定性与微小的故障不敏感。因此，这两者存在着矛盾。而它们都是鲁棒容错控制的基本问题。所以说，把鲁棒故障检测与鲁棒控制进行统一设计，把上面的两种目标进行折衷，已成为热点研究课题[6]。

    (3)  控制律的在线重组与重构方法。做为主动容错控制的一种最重要的方法，控制律的在线重组与重构已成为当前容错控制领域的热点研究方向之一。只有在被控对象发生变动时，实时调整控制器的结构与参数，才有可能达到最优的控制效果[6]。

    (4)  主动容错控制中的鲁棒性分析与综合方法。在主动容错控制中，需要同时做到：

    ① 基础控制器具有鲁棒性，

    ② 故障检测与诊断算法具有鲁棒性，

    ③ 重组或重建的控制律具有鲁棒性。这3个方面的相互作用使得对主动容错控制的整体鲁棒性分析变得非常困难[5,6]。

    除了上述的热点研究方向以外，容错控制领域还有一些难点问题，现有的理论结果还非常有限，如：

    1)  非线性系统的容错控制。这里的主要难点是：

    a) 对非线性系统缺乏一般性的控制器综合方法，

    b) 非线性系统的FDD问题还没有得到完全解决[10]。

    2)  时滞动态系统的容错控制。非线性时滞系统的容错控制还没有任何结果，线性时滞系统容错控制的结果还非常有限。

    3)  高维，时变多变量系统的完整性控制问题。此问题目前还没有任何结果，经典的完整性问题研究的对象都是线性定常系统。

    4)  自适应容错控制问题。此问题也还没有任何结果。其学术上的难点是，自适应控制系统是本质非线性系统，因此，自适应容错控制属于非线性容错控制的范畴。

    经过20多年的发展，容错控制已经取得了很大的进展，并正处于快速发展之中。但容错控制还远未成熟，还没有建立起完整的理论体系，尤其在应用方面还有许多问题有待解决，还需要大家继续努力，可谓“任重而道远”。

参考文献：

    [1]  Patton R J. Robustness issues in fault tolerant control. Proc. of International Conference on fault Diagnosis, 1993, Toulouse,
France, pp.1081-1117.

    [2]  Patton R J. Fault-tolerant control: the 1997 situation. Proc. of IFAC/IMACs Symposium  on  Fault Detection, Supervision and Safety for Technical Process. 1997, Hull, England,  pp.1033-1055.

    [3]  Frank P M. Fault diagnosis in dynamic systems using analytical and knowledge-based  redundancy-a survey and some new results. Automatica, 1990, 26(3):459-474.

    [4]  Isermann R. Fault diagnosis of machines via parameter estimation and knowledge processing--tutorial paper. Automatica, 1993, 29(4):815-835.

    [5]  周东华，孙优贤．控制系统的故障检测与诊断技术．1994, 北京：清华大学出版社.

    [6]  周东华, 叶银忠。现代故障诊断与容错控制。2000, 北京: 清华大学出版社.

    [7]  周东华，叶昊，王桂增，Ding X. 基于观测器方法的故障诊断技术若干重要问题的探讨。自动化学报，1998, 24(3):338-344.

    [8]  周东华, 席裕庚, 张钟俊. 故障检测与诊断技术. 控制理论与应用,1991, 8(1): 1-10.

    [9]  孙金生，李军，胡寿松．鲁棒容错控制系统设计．控制理论与应用，1994, 11(3):376-380.

    [10]  Zhou D H, Frank PM.  Fault Diagnostics and Fault Tolerant Control. IEEE Trans. on Aerospace and Electronic Systems ,1998，34(2):420-427.