程俊強(qiáng)　楊菊平

摘 要： 在航空電子系統(tǒng)中，飛控計(jì)算機(jī)系統(tǒng)用于控制飛機(jī)的飛行功能，要求具有極高的可靠性，必須采用容錯(cuò)技術(shù)來滿足要求。容錯(cuò)的重要方法是冗余。目前的飛控計(jì)算機(jī)系統(tǒng)，大多采用雙余度、三余度及四余度的容錯(cuò)計(jì)算機(jī)。在余度計(jì)算機(jī)中，每一余度稱為一個(gè)通道，每個(gè)通道均具有輸出控制能力， 因此余度計(jì)算機(jī)輸出控制權(quán)的確定和交接就變得至關(guān)重要。介紹了道故障邏輯的功能需求和結(jié)構(gòu)，重點(diǎn)研究了一種3×2余度飛控計(jì)算機(jī)系統(tǒng)通道故障邏輯的設(shè)計(jì)。

關(guān)鍵詞： 飛控計(jì)算機(jī)系統(tǒng)； 雙余度容錯(cuò)計(jì)算機(jī)； 通道故障邏輯； 計(jì)算機(jī)輸出控制權(quán)

中圖分類號(hào)： TN911?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2014）10?0043?04

Abstract： In Avionics， the flight control computer system is used to control the flight functions of aircraft. The fault?tolerant technique should be adopted in the system to achieve high reliability. Redundancy is very important in fault?tolerant technique. The dual?redundancy， triplex?redundancy and four?redundancy fault?tolerant computers are used in most of the flight control computer system at present. In the redundancy computer， each redundancy is called a channel， and each channel has the output control ability， so it is very important for determination and hand?over of computer output control right. The function demands and configuration of CFL are introduced in this paper. The design of CFL used in 3×2 redundancy flight control computer system is researched emphatically.

Keywords： flight control computer system； multi?redundancy fault?tolerant computer； CFL； computer output control right

0 引 言

在航空電子系統(tǒng)中，飛控計(jì)算機(jī)系統(tǒng)用于控制飛機(jī)的飛行功能，是電傳飛行控制系統(tǒng)的“大腦”，直接關(guān)系到飛機(jī)的存亡，要求具有極高的可靠性[1]。因此單靠提高電子元器件的可靠性是遠(yuǎn)遠(yuǎn)不能達(dá)到要求的，必須采用容錯(cuò)技術(shù)。容錯(cuò)的重要方法是冗余，余度的設(shè)計(jì)直接決定飛控計(jì)算機(jī)的體系結(jié)構(gòu)、軟件管理方法，可靠度、和復(fù)雜度等。目前的飛控計(jì)算機(jī)系統(tǒng)普遍采用多余度容錯(cuò)體系結(jié)構(gòu)，如蘇27的四余度結(jié)構(gòu)，F(xiàn)22和F35的三余度結(jié)構(gòu)等[1?2]。

在余度計(jì)算機(jī)中，每一余度稱為一個(gè)通道[2]，每個(gè)通道均具有輸出控制能力，根據(jù)系統(tǒng)余度及控制策略的不同，需要設(shè)計(jì)余度計(jì)算機(jī)輸出控制權(quán)的確定和交接，這通常由邏輯上獨(dú)立于處理器及其他接口模塊的專用邏輯完成，這部分邏輯稱之為通道故障邏輯[3?5]。通道故障邏輯是余度計(jì)算機(jī)的重要組成部分，它根據(jù)各通道提供的自身狀態(tài)信息和其他通道信息來決定該通道是否應(yīng)該擁有輸出控制權(quán)。

1 通道故障邏輯的功能需求

1.1 計(jì)算機(jī)余度和系統(tǒng)余度數(shù)匹配性需求

根據(jù)余度計(jì)算機(jī)所處系統(tǒng)的余度狀態(tài)，通道故障邏輯可分為兩類：

（1） 系統(tǒng)余度和計(jì)算機(jī)余度數(shù)相同；

（2） 系統(tǒng)無余度或余度數(shù)少于計(jì)算機(jī)余度數(shù)。

下面以雙余度飛控計(jì)算機(jī)[3，5]為例，介紹通道故障邏輯的功能需求。

1.1.1 系統(tǒng)余度和計(jì)算機(jī)余度數(shù)相同

在計(jì)算機(jī)余度和系統(tǒng)余度數(shù)相同時(shí)，通道故障邏輯根據(jù)本通道自身狀態(tài)信息及其他通道指示本通道狀態(tài)信息進(jìn)行判斷，然后輸出本通道是否有效的指示信號(hào)，并“切斷”本通道輸出，“切斷”的通常做法為保持預(yù)先約定的故障安全值。

由系統(tǒng)的角度來看輸入/輸出的信號(hào)分配原則如圖1所示。

從圖中可以看出，不論是輸入信號(hào)還是輸出信號(hào)，均為雙余度信號(hào)，每一個(gè)計(jì)算機(jī)通道均連接有一個(gè)獨(dú)立的輸入接口和一個(gè)獨(dú)立的輸出接口。計(jì)算機(jī)的輸出接口控制需求為：通道有效時(shí)輸出，通道無效時(shí)禁止輸出，稱之為本通道自鎖邏輯。如果系統(tǒng)有一次故障安全的需求，則需要增加新的故障邏輯功能：任一通道失效，兩通道均禁止輸出，稱之為通道間互鎖邏輯，即本通道故障時(shí)，需要通過硬線通知另一通道的通道故障邏輯禁止其輸出。對(duì)于通道故障邏輯而言，與計(jì)算機(jī)余度設(shè)計(jì)相同。

1.1.2 系統(tǒng)無余度或余度數(shù)少于計(jì)算機(jī)余度數(shù)

對(duì)于系統(tǒng)無余度設(shè)計(jì)或通道個(gè)數(shù)少于計(jì)算機(jī)余度個(gè)數(shù)的情形，通道故障邏輯根據(jù)本通道自身狀態(tài)信息及其他通道指示本通道狀態(tài)信息進(jìn)行判斷，然后輸出本通道是否有效的指示信號(hào)，同時(shí)禁止故障通道或無控制權(quán)的通道輸出信號(hào)。在通道故障邏輯設(shè)計(jì)中，不僅需要考慮本通道是否具備輸出權(quán)，同時(shí)還需要考慮另一通道的輸出狀態(tài)。

由系統(tǒng)的角度來看輸入/輸出的信號(hào)分配原則如圖2所示。

從圖中可以看出，對(duì)于輸入信號(hào)而言，是一個(gè)輸出接口對(duì)應(yīng)兩個(gè)輸入接口，計(jì)算機(jī)中的兩個(gè)通道均可使用；對(duì)于輸出接口而言，計(jì)算機(jī)的兩個(gè)通道為兩個(gè)輸出接口，與系統(tǒng)的連接只有一個(gè)輸入接口，此時(shí)就需要對(duì)計(jì)算機(jī)的輸出接口進(jìn)行選擇，通道有效時(shí)輸出，通道無效時(shí)禁止輸出，稱之為本通道自鎖邏輯。如果本通道獲得輸出控制權(quán)，則通過自鎖邏輯，本通道輸出，但如果另一個(gè)通道也輸出，將造成輸出沖突的局面，這是不能容忍的，因此通道故障邏輯又需要具備另一個(gè)功能，在本通道輸出的同時(shí)禁止另一個(gè)通道輸出，稱通道間互鎖邏輯。通道故障邏輯與計(jì)算機(jī)余度設(shè)計(jì)相同。

1.2 安全性需求

故障邏輯的安全性需求主要來自于飛控系統(tǒng)的故障工作模式，也決定了故障邏輯對(duì)輸出控制權(quán)的切換和管理形式。

以駕駛儀系統(tǒng)的雙余度飛控計(jì)算機(jī)來說，安全性需求為關(guān)鍵故障一次故障安全，同時(shí)駕駛儀故障后允許切除駕駛儀對(duì)飛機(jī)的控制，改由飛行員通過機(jī)械或電傳方式進(jìn)行手動(dòng)控制，而不影響飛機(jī)的安全，此時(shí)對(duì)于故障邏輯而言，就需要通道自監(jiān)控完成本通道故障的切除，通道間的監(jiān)控完成另一通道的切除，即需要實(shí)現(xiàn)本通道的自鎖邏輯，和通道間的互鎖邏輯以保證本通道故障時(shí)和通道間互比不一致無法確定故障通道時(shí)完成飛控計(jì)算機(jī)的切除。

對(duì)于三余度的飛控計(jì)算機(jī)[4，6]而言，安全性需求為關(guān)鍵故障一次故障工作，二次故障安全，此時(shí)的通道間信息來自于三余度飛控計(jì)算機(jī)的表決，并采用少數(shù)服從多數(shù)的原則來確定故障通道，因此通道故障邏輯需要根據(jù)表決系統(tǒng)的結(jié)果，按照預(yù)定的原則進(jìn)行判斷，如本通道自監(jiān)控正常，另外兩個(gè)通道有一個(gè)通道指示本通道故障，則按照少數(shù)服從多數(shù)的原則，本通道正常；如果本通道自監(jiān)控正常，另外兩個(gè)通道均指示本通道故障，則按照少數(shù)服從多數(shù)的原則，本通道應(yīng)由通道故障邏輯完成切除。

1.3 關(guān)鍵故障覆蓋需求

故障邏輯作為硬件切除的最后手段，必須考慮需要切除通道的關(guān)鍵故障的覆蓋率問題。該問題的考慮可以將計(jì)算機(jī)進(jìn)行分割為多個(gè)故障包容區(qū)，并按照其故障形式及故障上報(bào)形式進(jìn)行分類，同時(shí)需要根據(jù)瞬態(tài)故障和永久故障的相應(yīng)特性設(shè)置硬件濾波或軟件濾波算法，避免虛警。

1.4 故障恢復(fù)需求

故障邏輯根據(jù)其所處系統(tǒng)及故障發(fā)生的時(shí)機(jī)和先后順序，確定是否進(jìn)行故障恢復(fù)。以雙余度自動(dòng)飛行控制計(jì)算機(jī)為例，一旦發(fā)生故障，通常是不允許故障恢復(fù)的，這是因?yàn)樽詣?dòng)飛行控制計(jì)算機(jī)的故障并不會(huì)影響飛行安全，由飛行員進(jìn)行駕駛飛行，也不會(huì)影響任務(wù)的完成。而在無備份的電傳飛控計(jì)算機(jī)系統(tǒng)中，則不允許所有通道全部切除，否則將導(dǎo)致飛機(jī)完全失去控制，導(dǎo)致災(zāi)難性后果。

1.5 獨(dú)立性需求

故障邏輯設(shè)計(jì)應(yīng)獨(dú)立于模塊的軟硬件設(shè)計(jì)，同時(shí)其設(shè)計(jì)應(yīng)當(dāng)簡單，其可靠性指標(biāo)應(yīng)遠(yuǎn)高于飛控計(jì)算機(jī)自身的可靠性。其獨(dú)立性的詳細(xì)分析依賴于FMECA分析結(jié)果，避免故障邏輯部分與模塊功能設(shè)計(jì)中有共源故障，導(dǎo)致模塊發(fā)生故障時(shí)，故障邏輯無法起到切除故障通道的作用。例如當(dāng)主處理器時(shí)鐘故障時(shí)，將導(dǎo)致軟件運(yùn)行故障，如果將主處理器時(shí)鐘用于故障邏輯設(shè)計(jì)，可能導(dǎo)致故障邏輯無法監(jiān)控到軟件的運(yùn)行故障。

2 通道故障邏輯的基本結(jié)構(gòu)

由通道故障邏輯的功能需求可知，飛控計(jì)算機(jī)的每一個(gè)通道都有通道故障邏輯電路，各通道的通道故障邏輯根據(jù)本地通道狀態(tài)輸出計(jì)算機(jī)的狀態(tài)信息，用于接通/切斷飛控計(jì)算機(jī)。圖3為通道故障邏輯的結(jié)構(gòu)圖，實(shí)際使用中可以根據(jù)實(shí)際情況進(jìn)行刪減。

通道故障邏輯輸入信息通常包括：

（1） 軟件自監(jiān)控信息；

（2） 硬件故障信息；

（3） 軟件看門狗信息；

（4） 其他通道指示信息。

故障邏輯設(shè)計(jì)具有通道互鎖和本通道自鎖功能，以防止在故障狀態(tài)下接通計(jì)算機(jī)控制系統(tǒng)。通道故障邏輯電路包括許多在線監(jiān)控的重要信號(hào)，因此這些信號(hào)中的任意一個(gè)出現(xiàn)故障都表示本通道出現(xiàn)故障，并且始終自鎖為故障狀態(tài)，除重新上電之外軟件不能復(fù)位，但是在每一次飛控計(jì)算機(jī)上電后進(jìn)行BIT測試的時(shí)間內(nèi)軟件可以復(fù)位由于BIT測試引起的故障狀態(tài)。鑒于飛控計(jì)算機(jī)的輸入和輸出信號(hào)為單余度的，所以飛控計(jì)算機(jī)的雙余度輸出必須對(duì)應(yīng)系統(tǒng)的單余度接口。

3 3×2余度計(jì)算機(jī)通道故障邏輯設(shè)計(jì)

飛控計(jì)算機(jī)系統(tǒng)的發(fā)展要求既保持高可靠性和高可用性，又要求在維護(hù)性、測試性、保障性、以及經(jīng)濟(jì)可承受性、研制周期等諸方面有所突破[4，6?7]。3×2余度飛控計(jì)算機(jī)能較好的滿足上述要求，圖4為3×2余度飛控計(jì)算機(jī)的總體結(jié)構(gòu)圖。

圖中可知體系結(jié)構(gòu)設(shè)計(jì)為同構(gòu)型三余度工作通道結(jié)構(gòu)，通道之間完全獨(dú)立，分為三個(gè)LRU，每個(gè)LRU定義為一個(gè)通道。不同通道之間通過CCDL和同步總線交換信息。通道內(nèi)采用主機(jī)雙余度（CPU1、CPU2）的容錯(cuò)結(jié)構(gòu)。每個(gè)通道只增加CPU的冗余，輸入/輸出接口并不增加。

在系統(tǒng)余度和計(jì)算機(jī)余度相同的系統(tǒng)中，CFL與上述系統(tǒng)有較大不同，這是因?yàn)橥ǖ纼?nèi)的I/O接口模塊在一個(gè)時(shí)刻只能由一個(gè)主機(jī)控制，規(guī)定每個(gè)通道在CPU1模塊無故障的情況下，由CPU1完成對(duì)I/O接口模塊的控制，否則控制權(quán)在通道故障邏輯的控制下切換到CPU2。如表1所示。

由通道故障邏輯決定當(dāng)前每個(gè)通道哪個(gè)CPU有效，每個(gè)通道設(shè)置專用通道故障邏輯電路，主要輸出通道有效信號(hào)、通道指示信號(hào)。這套電路設(shè)計(jì)在I/O接口模塊上。通道故障邏輯的邏輯電平為5 V，所有外部輸入的離散信號(hào)都應(yīng)調(diào)節(jié)為5 V電壓的邏輯電平，所有的輸出離散信號(hào)為15 V邏輯電平。邏輯應(yīng)至少包括如下內(nèi)容：

（1） 上電復(fù)位脈沖（PORP）；

（2） 主機(jī)有效：根據(jù)PSV、WDV、本CPU軟件計(jì)算結(jié)果、其他CPU計(jì)算結(jié)果，判斷CPU1及CPU2的可用性；

（3） CPU選擇：根據(jù)CPU的有效性，選定本通道控制I/O接口模塊的CPU；

（4） 通道有效：根據(jù)CPU的有效性進(jìn)行判斷；

（5） 電流開關(guān)接通：根據(jù)通道有效性，選擇是否接通本通道I/O接口模塊的輸出接口；

（6） 鎖存器清除；

（7） SOV高保持。

通道有效信號(hào)是指示主機(jī)自身有效的離散信號(hào)，各主機(jī)自監(jiān)控的結(jié)果通過通道有效信號(hào)向其他主機(jī)申報(bào)。自監(jiān)控包括：二次電源（3.3 V，5 V，+15 V）、看門狗、周期BIT等。通道有效報(bào)警是系統(tǒng)的嚴(yán)重故障，一旦故障申報(bào)，其他主機(jī)將進(jìn)行故障綜合處理，其一撤銷故障主機(jī)的控制權(quán)，其二不再和故障主機(jī)進(jìn)行同步和CCDL，其三記錄故障。通道有效信號(hào)是實(shí)時(shí)響應(yīng)申報(bào)信號(hào)，隨時(shí)發(fā)現(xiàn)故障隨時(shí)申報(bào)，并引發(fā)通道自鎖。

通道指示信號(hào)是指示其他主機(jī)狀態(tài)的信號(hào)。每個(gè)主機(jī)都可以接到其他主機(jī)的通道指示信號(hào)，如果多數(shù)主機(jī)指示某一主機(jī)正確，該主機(jī)就可以得到控制權(quán)，否則該主機(jī)將失去控制權(quán)。

4 結(jié) 語

通道故障邏輯是余度計(jì)算機(jī)的重要技術(shù)，安全性設(shè)計(jì)、關(guān)鍵故障的覆蓋率，故障恢復(fù)設(shè)計(jì)及獨(dú)立性設(shè)計(jì)等均為故障邏輯設(shè)計(jì)的重要組成部分。本文介紹了故障邏輯的功能需求分析及故障邏輯的結(jié)構(gòu)等內(nèi)容，并給出一種3×2余度飛控計(jì)算機(jī)系統(tǒng)的故障邏輯設(shè)計(jì)，對(duì)多余度飛控計(jì)算機(jī)系統(tǒng)的故障邏輯設(shè)計(jì)有一定的參考作用，對(duì)其他類別的余度計(jì)算機(jī)系統(tǒng)也有借鑒意義。

參考文獻(xiàn)

[1] 劉林，郭恩友.飛行控制系統(tǒng)的分系統(tǒng)[M].北京：國防工業(yè)出版社，2003.

[2] 姚一平，李沛瓊.可靠性及余度技術(shù)[M].北京：航空工業(yè)出版社，1991.

[3] 閆穩(wěn).機(jī)載供電系統(tǒng)雙余度控制器的容錯(cuò)控制[J].航空計(jì)算技術(shù)，2010，40（4）：86?88.

[4] 柳孔明，徐宏哲，黃俊.三余度飛控計(jì)算機(jī)構(gòu)架及其可靠性研究[J].現(xiàn)代電子技術(shù)，2012，35（6）：102?106.

[5] 周小超，陸熊.非相似余度飛控計(jì)算機(jī)設(shè)計(jì)及可靠性分析[J]. 計(jì)算機(jī)與現(xiàn)代化，2013（5）：135?137.

[6] AHLSTROM K， TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach， FL： IEEE， 2001： 1B5/1?1B5/10.

[7] 劉小雄，章衛(wèi)國.電傳飛行控制系統(tǒng)的余度設(shè)計(jì)技術(shù)[J].飛機(jī)設(shè)計(jì)，2006（3）：35?38.

1.2 安全性需求

故障邏輯的安全性需求主要來自于飛控系統(tǒng)的故障工作模式，也決定了故障邏輯對(duì)輸出控制權(quán)的切換和管理形式。

以駕駛儀系統(tǒng)的雙余度飛控計(jì)算機(jī)來說，安全性需求為關(guān)鍵故障一次故障安全，同時(shí)駕駛儀故障后允許切除駕駛儀對(duì)飛機(jī)的控制，改由飛行員通過機(jī)械或電傳方式進(jìn)行手動(dòng)控制，而不影響飛機(jī)的安全，此時(shí)對(duì)于故障邏輯而言，就需要通道自監(jiān)控完成本通道故障的切除，通道間的監(jiān)控完成另一通道的切除，即需要實(shí)現(xiàn)本通道的自鎖邏輯，和通道間的互鎖邏輯以保證本通道故障時(shí)和通道間互比不一致無法確定故障通道時(shí)完成飛控計(jì)算機(jī)的切除。

對(duì)于三余度的飛控計(jì)算機(jī)[4，6]而言，安全性需求為關(guān)鍵故障一次故障工作，二次故障安全，此時(shí)的通道間信息來自于三余度飛控計(jì)算機(jī)的表決，并采用少數(shù)服從多數(shù)的原則來確定故障通道，因此通道故障邏輯需要根據(jù)表決系統(tǒng)的結(jié)果，按照預(yù)定的原則進(jìn)行判斷，如本通道自監(jiān)控正常，另外兩個(gè)通道有一個(gè)通道指示本通道故障，則按照少數(shù)服從多數(shù)的原則，本通道正常；如果本通道自監(jiān)控正常，另外兩個(gè)通道均指示本通道故障，則按照少數(shù)服從多數(shù)的原則，本通道應(yīng)由通道故障邏輯完成切除。

1.3 關(guān)鍵故障覆蓋需求

故障邏輯作為硬件切除的最后手段，必須考慮需要切除通道的關(guān)鍵故障的覆蓋率問題。該問題的考慮可以將計(jì)算機(jī)進(jìn)行分割為多個(gè)故障包容區(qū)，并按照其故障形式及故障上報(bào)形式進(jìn)行分類，同時(shí)需要根據(jù)瞬態(tài)故障和永久故障的相應(yīng)特性設(shè)置硬件濾波或軟件濾波算法，避免虛警。

1.4 故障恢復(fù)需求

故障邏輯根據(jù)其所處系統(tǒng)及故障發(fā)生的時(shí)機(jī)和先后順序，確定是否進(jìn)行故障恢復(fù)。以雙余度自動(dòng)飛行控制計(jì)算機(jī)為例，一旦發(fā)生故障，通常是不允許故障恢復(fù)的，這是因?yàn)樽詣?dòng)飛行控制計(jì)算機(jī)的故障并不會(huì)影響飛行安全，由飛行員進(jìn)行駕駛飛行，也不會(huì)影響任務(wù)的完成。而在無備份的電傳飛控計(jì)算機(jī)系統(tǒng)中，則不允許所有通道全部切除，否則將導(dǎo)致飛機(jī)完全失去控制，導(dǎo)致災(zāi)難性后果。

1.5 獨(dú)立性需求

故障邏輯設(shè)計(jì)應(yīng)獨(dú)立于模塊的軟硬件設(shè)計(jì)，同時(shí)其設(shè)計(jì)應(yīng)當(dāng)簡單，其可靠性指標(biāo)應(yīng)遠(yuǎn)高于飛控計(jì)算機(jī)自身的可靠性。其獨(dú)立性的詳細(xì)分析依賴于FMECA分析結(jié)果，避免故障邏輯部分與模塊功能設(shè)計(jì)中有共源故障，導(dǎo)致模塊發(fā)生故障時(shí)，故障邏輯無法起到切除故障通道的作用。例如當(dāng)主處理器時(shí)鐘故障時(shí)，將導(dǎo)致軟件運(yùn)行故障，如果將主處理器時(shí)鐘用于故障邏輯設(shè)計(jì)，可能導(dǎo)致故障邏輯無法監(jiān)控到軟件的運(yùn)行故障。

2 通道故障邏輯的基本結(jié)構(gòu)

由通道故障邏輯的功能需求可知，飛控計(jì)算機(jī)的每一個(gè)通道都有通道故障邏輯電路，各通道的通道故障邏輯根據(jù)本地通道狀態(tài)輸出計(jì)算機(jī)的狀態(tài)信息，用于接通/切斷飛控計(jì)算機(jī)。圖3為通道故障邏輯的結(jié)構(gòu)圖，實(shí)際使用中可以根據(jù)實(shí)際情況進(jìn)行刪減。

通道故障邏輯輸入信息通常包括：

（1） 軟件自監(jiān)控信息；

（2） 硬件故障信息；

（3） 軟件看門狗信息；

（4） 其他通道指示信息。

故障邏輯設(shè)計(jì)具有通道互鎖和本通道自鎖功能，以防止在故障狀態(tài)下接通計(jì)算機(jī)控制系統(tǒng)。通道故障邏輯電路包括許多在線監(jiān)控的重要信號(hào)，因此這些信號(hào)中的任意一個(gè)出現(xiàn)故障都表示本通道出現(xiàn)故障，并且始終自鎖為故障狀態(tài)，除重新上電之外軟件不能復(fù)位，但是在每一次飛控計(jì)算機(jī)上電后進(jìn)行BIT測試的時(shí)間內(nèi)軟件可以復(fù)位由于BIT測試引起的故障狀態(tài)。鑒于飛控計(jì)算機(jī)的輸入和輸出信號(hào)為單余度的，所以飛控計(jì)算機(jī)的雙余度輸出必須對(duì)應(yīng)系統(tǒng)的單余度接口。

3 3×2余度計(jì)算機(jī)通道故障邏輯設(shè)計(jì)

飛控計(jì)算機(jī)系統(tǒng)的發(fā)展要求既保持高可靠性和高可用性，又要求在維護(hù)性、測試性、保障性、以及經(jīng)濟(jì)可承受性、研制周期等諸方面有所突破[4，6?7]。3×2余度飛控計(jì)算機(jī)能較好的滿足上述要求，圖4為3×2余度飛控計(jì)算機(jī)的總體結(jié)構(gòu)圖。

圖中可知體系結(jié)構(gòu)設(shè)計(jì)為同構(gòu)型三余度工作通道結(jié)構(gòu)，通道之間完全獨(dú)立，分為三個(gè)LRU，每個(gè)LRU定義為一個(gè)通道。不同通道之間通過CCDL和同步總線交換信息。通道內(nèi)采用主機(jī)雙余度（CPU1、CPU2）的容錯(cuò)結(jié)構(gòu)。每個(gè)通道只增加CPU的冗余，輸入/輸出接口并不增加。

在系統(tǒng)余度和計(jì)算機(jī)余度相同的系統(tǒng)中，CFL與上述系統(tǒng)有較大不同，這是因?yàn)橥ǖ纼?nèi)的I/O接口模塊在一個(gè)時(shí)刻只能由一個(gè)主機(jī)控制，規(guī)定每個(gè)通道在CPU1模塊無故障的情況下，由CPU1完成對(duì)I/O接口模塊的控制，否則控制權(quán)在通道故障邏輯的控制下切換到CPU2。如表1所示。

由通道故障邏輯決定當(dāng)前每個(gè)通道哪個(gè)CPU有效，每個(gè)通道設(shè)置專用通道故障邏輯電路，主要輸出通道有效信號(hào)、通道指示信號(hào)。這套電路設(shè)計(jì)在I/O接口模塊上。通道故障邏輯的邏輯電平為5 V，所有外部輸入的離散信號(hào)都應(yīng)調(diào)節(jié)為5 V電壓的邏輯電平，所有的輸出離散信號(hào)為15 V邏輯電平。邏輯應(yīng)至少包括如下內(nèi)容：

（1） 上電復(fù)位脈沖（PORP）；

（2） 主機(jī)有效：根據(jù)PSV、WDV、本CPU軟件計(jì)算結(jié)果、其他CPU計(jì)算結(jié)果，判斷CPU1及CPU2的可用性；

（3） CPU選擇：根據(jù)CPU的有效性，選定本通道控制I/O接口模塊的CPU；

（4） 通道有效：根據(jù)CPU的有效性進(jìn)行判斷；

（5） 電流開關(guān)接通：根據(jù)通道有效性，選擇是否接通本通道I/O接口模塊的輸出接口；

（6） 鎖存器清除；

（7） SOV高保持。

通道有效信號(hào)是指示主機(jī)自身有效的離散信號(hào)，各主機(jī)自監(jiān)控的結(jié)果通過通道有效信號(hào)向其他主機(jī)申報(bào)。自監(jiān)控包括：二次電源（3.3 V，5 V，+15 V）、看門狗、周期BIT等。通道有效報(bào)警是系統(tǒng)的嚴(yán)重故障，一旦故障申報(bào)，其他主機(jī)將進(jìn)行故障綜合處理，其一撤銷故障主機(jī)的控制權(quán)，其二不再和故障主機(jī)進(jìn)行同步和CCDL，其三記錄故障。通道有效信號(hào)是實(shí)時(shí)響應(yīng)申報(bào)信號(hào)，隨時(shí)發(fā)現(xiàn)故障隨時(shí)申報(bào)，并引發(fā)通道自鎖。

通道指示信號(hào)是指示其他主機(jī)狀態(tài)的信號(hào)。每個(gè)主機(jī)都可以接到其他主機(jī)的通道指示信號(hào)，如果多數(shù)主機(jī)指示某一主機(jī)正確，該主機(jī)就可以得到控制權(quán)，否則該主機(jī)將失去控制權(quán)。

4 結(jié) 語

通道故障邏輯是余度計(jì)算機(jī)的重要技術(shù)，安全性設(shè)計(jì)、關(guān)鍵故障的覆蓋率，故障恢復(fù)設(shè)計(jì)及獨(dú)立性設(shè)計(jì)等均為故障邏輯設(shè)計(jì)的重要組成部分。本文介紹了故障邏輯的功能需求分析及故障邏輯的結(jié)構(gòu)等內(nèi)容，并給出一種3×2余度飛控計(jì)算機(jī)系統(tǒng)的故障邏輯設(shè)計(jì)，對(duì)多余度飛控計(jì)算機(jī)系統(tǒng)的故障邏輯設(shè)計(jì)有一定的參考作用，對(duì)其他類別的余度計(jì)算機(jī)系統(tǒng)也有借鑒意義。

參考文獻(xiàn)

[1] 劉林，郭恩友.飛行控制系統(tǒng)的分系統(tǒng)[M].北京：國防工業(yè)出版社，2003.

[2] 姚一平，李沛瓊.可靠性及余度技術(shù)[M].北京：航空工業(yè)出版社，1991.

[3] 閆穩(wěn).機(jī)載供電系統(tǒng)雙余度控制器的容錯(cuò)控制[J].航空計(jì)算技術(shù)，2010，40（4）：86?88.

[4] 柳孔明，徐宏哲，黃俊.三余度飛控計(jì)算機(jī)構(gòu)架及其可靠性研究[J].現(xiàn)代電子技術(shù)，2012，35（6）：102?106.

[5] 周小超，陸熊.非相似余度飛控計(jì)算機(jī)設(shè)計(jì)及可靠性分析[J]. 計(jì)算機(jī)與現(xiàn)代化，2013（5）：135?137.

[6] AHLSTROM K， TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach， FL： IEEE， 2001： 1B5/1?1B5/10.

[7] 劉小雄，章衛(wèi)國.電傳飛行控制系統(tǒng)的余度設(shè)計(jì)技術(shù)[J].飛機(jī)設(shè)計(jì)，2006（3）：35?38.

1.2 安全性需求

故障邏輯的安全性需求主要來自于飛控系統(tǒng)的故障工作模式，也決定了故障邏輯對(duì)輸出控制權(quán)的切換和管理形式。

以駕駛儀系統(tǒng)的雙余度飛控計(jì)算機(jī)來說，安全性需求為關(guān)鍵故障一次故障安全，同時(shí)駕駛儀故障后允許切除駕駛儀對(duì)飛機(jī)的控制，改由飛行員通過機(jī)械或電傳方式進(jìn)行手動(dòng)控制，而不影響飛機(jī)的安全，此時(shí)對(duì)于故障邏輯而言，就需要通道自監(jiān)控完成本通道故障的切除，通道間的監(jiān)控完成另一通道的切除，即需要實(shí)現(xiàn)本通道的自鎖邏輯，和通道間的互鎖邏輯以保證本通道故障時(shí)和通道間互比不一致無法確定故障通道時(shí)完成飛控計(jì)算機(jī)的切除。

對(duì)于三余度的飛控計(jì)算機(jī)[4，6]而言，安全性需求為關(guān)鍵故障一次故障工作，二次故障安全，此時(shí)的通道間信息來自于三余度飛控計(jì)算機(jī)的表決，并采用少數(shù)服從多數(shù)的原則來確定故障通道，因此通道故障邏輯需要根據(jù)表決系統(tǒng)的結(jié)果，按照預(yù)定的原則進(jìn)行判斷，如本通道自監(jiān)控正常，另外兩個(gè)通道有一個(gè)通道指示本通道故障，則按照少數(shù)服從多數(shù)的原則，本通道正常；如果本通道自監(jiān)控正常，另外兩個(gè)通道均指示本通道故障，則按照少數(shù)服從多數(shù)的原則，本通道應(yīng)由通道故障邏輯完成切除。

1.3 關(guān)鍵故障覆蓋需求

故障邏輯作為硬件切除的最后手段，必須考慮需要切除通道的關(guān)鍵故障的覆蓋率問題。該問題的考慮可以將計(jì)算機(jī)進(jìn)行分割為多個(gè)故障包容區(qū)，并按照其故障形式及故障上報(bào)形式進(jìn)行分類，同時(shí)需要根據(jù)瞬態(tài)故障和永久故障的相應(yīng)特性設(shè)置硬件濾波或軟件濾波算法，避免虛警。

1.4 故障恢復(fù)需求

故障邏輯根據(jù)其所處系統(tǒng)及故障發(fā)生的時(shí)機(jī)和先后順序，確定是否進(jìn)行故障恢復(fù)。以雙余度自動(dòng)飛行控制計(jì)算機(jī)為例，一旦發(fā)生故障，通常是不允許故障恢復(fù)的，這是因?yàn)樽詣?dòng)飛行控制計(jì)算機(jī)的故障并不會(huì)影響飛行安全，由飛行員進(jìn)行駕駛飛行，也不會(huì)影響任務(wù)的完成。而在無備份的電傳飛控計(jì)算機(jī)系統(tǒng)中，則不允許所有通道全部切除，否則將導(dǎo)致飛機(jī)完全失去控制，導(dǎo)致災(zāi)難性后果。

1.5 獨(dú)立性需求

故障邏輯設(shè)計(jì)應(yīng)獨(dú)立于模塊的軟硬件設(shè)計(jì)，同時(shí)其設(shè)計(jì)應(yīng)當(dāng)簡單，其可靠性指標(biāo)應(yīng)遠(yuǎn)高于飛控計(jì)算機(jī)自身的可靠性。其獨(dú)立性的詳細(xì)分析依賴于FMECA分析結(jié)果，避免故障邏輯部分與模塊功能設(shè)計(jì)中有共源故障，導(dǎo)致模塊發(fā)生故障時(shí)，故障邏輯無法起到切除故障通道的作用。例如當(dāng)主處理器時(shí)鐘故障時(shí)，將導(dǎo)致軟件運(yùn)行故障，如果將主處理器時(shí)鐘用于故障邏輯設(shè)計(jì)，可能導(dǎo)致故障邏輯無法監(jiān)控到軟件的運(yùn)行故障。

2 通道故障邏輯的基本結(jié)構(gòu)

由通道故障邏輯的功能需求可知，飛控計(jì)算機(jī)的每一個(gè)通道都有通道故障邏輯電路，各通道的通道故障邏輯根據(jù)本地通道狀態(tài)輸出計(jì)算機(jī)的狀態(tài)信息，用于接通/切斷飛控計(jì)算機(jī)。圖3為通道故障邏輯的結(jié)構(gòu)圖，實(shí)際使用中可以根據(jù)實(shí)際情況進(jìn)行刪減。

通道故障邏輯輸入信息通常包括：

（1） 軟件自監(jiān)控信息；

（2） 硬件故障信息；

（3） 軟件看門狗信息；

（4） 其他通道指示信息。

故障邏輯設(shè)計(jì)具有通道互鎖和本通道自鎖功能，以防止在故障狀態(tài)下接通計(jì)算機(jī)控制系統(tǒng)。通道故障邏輯電路包括許多在線監(jiān)控的重要信號(hào)，因此這些信號(hào)中的任意一個(gè)出現(xiàn)故障都表示本通道出現(xiàn)故障，并且始終自鎖為故障狀態(tài)，除重新上電之外軟件不能復(fù)位，但是在每一次飛控計(jì)算機(jī)上電后進(jìn)行BIT測試的時(shí)間內(nèi)軟件可以復(fù)位由于BIT測試引起的故障狀態(tài)。鑒于飛控計(jì)算機(jī)的輸入和輸出信號(hào)為單余度的，所以飛控計(jì)算機(jī)的雙余度輸出必須對(duì)應(yīng)系統(tǒng)的單余度接口。

3 3×2余度計(jì)算機(jī)通道故障邏輯設(shè)計(jì)

飛控計(jì)算機(jī)系統(tǒng)的發(fā)展要求既保持高可靠性和高可用性，又要求在維護(hù)性、測試性、保障性、以及經(jīng)濟(jì)可承受性、研制周期等諸方面有所突破[4，6?7]。3×2余度飛控計(jì)算機(jī)能較好的滿足上述要求，圖4為3×2余度飛控計(jì)算機(jī)的總體結(jié)構(gòu)圖。

圖中可知體系結(jié)構(gòu)設(shè)計(jì)為同構(gòu)型三余度工作通道結(jié)構(gòu)，通道之間完全獨(dú)立，分為三個(gè)LRU，每個(gè)LRU定義為一個(gè)通道。不同通道之間通過CCDL和同步總線交換信息。通道內(nèi)采用主機(jī)雙余度（CPU1、CPU2）的容錯(cuò)結(jié)構(gòu)。每個(gè)通道只增加CPU的冗余，輸入/輸出接口并不增加。

在系統(tǒng)余度和計(jì)算機(jī)余度相同的系統(tǒng)中，CFL與上述系統(tǒng)有較大不同，這是因?yàn)橥ǖ纼?nèi)的I/O接口模塊在一個(gè)時(shí)刻只能由一個(gè)主機(jī)控制，規(guī)定每個(gè)通道在CPU1模塊無故障的情況下，由CPU1完成對(duì)I/O接口模塊的控制，否則控制權(quán)在通道故障邏輯的控制下切換到CPU2。如表1所示。

由通道故障邏輯決定當(dāng)前每個(gè)通道哪個(gè)CPU有效，每個(gè)通道設(shè)置專用通道故障邏輯電路，主要輸出通道有效信號(hào)、通道指示信號(hào)。這套電路設(shè)計(jì)在I/O接口模塊上。通道故障邏輯的邏輯電平為5 V，所有外部輸入的離散信號(hào)都應(yīng)調(diào)節(jié)為5 V電壓的邏輯電平，所有的輸出離散信號(hào)為15 V邏輯電平。邏輯應(yīng)至少包括如下內(nèi)容：

（1） 上電復(fù)位脈沖（PORP）；

（2） 主機(jī)有效：根據(jù)PSV、WDV、本CPU軟件計(jì)算結(jié)果、其他CPU計(jì)算結(jié)果，判斷CPU1及CPU2的可用性；

（3） CPU選擇：根據(jù)CPU的有效性，選定本通道控制I/O接口模塊的CPU；

（4） 通道有效：根據(jù)CPU的有效性進(jìn)行判斷；

（5） 電流開關(guān)接通：根據(jù)通道有效性，選擇是否接通本通道I/O接口模塊的輸出接口；

（6） 鎖存器清除；

（7） SOV高保持。

通道有效信號(hào)是指示主機(jī)自身有效的離散信號(hào)，各主機(jī)自監(jiān)控的結(jié)果通過通道有效信號(hào)向其他主機(jī)申報(bào)。自監(jiān)控包括：二次電源（3.3 V，5 V，+15 V）、看門狗、周期BIT等。通道有效報(bào)警是系統(tǒng)的嚴(yán)重故障，一旦故障申報(bào)，其他主機(jī)將進(jìn)行故障綜合處理，其一撤銷故障主機(jī)的控制權(quán)，其二不再和故障主機(jī)進(jìn)行同步和CCDL，其三記錄故障。通道有效信號(hào)是實(shí)時(shí)響應(yīng)申報(bào)信號(hào)，隨時(shí)發(fā)現(xiàn)故障隨時(shí)申報(bào)，并引發(fā)通道自鎖。

通道指示信號(hào)是指示其他主機(jī)狀態(tài)的信號(hào)。每個(gè)主機(jī)都可以接到其他主機(jī)的通道指示信號(hào)，如果多數(shù)主機(jī)指示某一主機(jī)正確，該主機(jī)就可以得到控制權(quán)，否則該主機(jī)將失去控制權(quán)。

4 結(jié) 語

通道故障邏輯是余度計(jì)算機(jī)的重要技術(shù)，安全性設(shè)計(jì)、關(guān)鍵故障的覆蓋率，故障恢復(fù)設(shè)計(jì)及獨(dú)立性設(shè)計(jì)等均為故障邏輯設(shè)計(jì)的重要組成部分。本文介紹了故障邏輯的功能需求分析及故障邏輯的結(jié)構(gòu)等內(nèi)容，并給出一種3×2余度飛控計(jì)算機(jī)系統(tǒng)的故障邏輯設(shè)計(jì)，對(duì)多余度飛控計(jì)算機(jī)系統(tǒng)的故障邏輯設(shè)計(jì)有一定的參考作用，對(duì)其他類別的余度計(jì)算機(jī)系統(tǒng)也有借鑒意義。

參考文獻(xiàn)

[1] 劉林，郭恩友.飛行控制系統(tǒng)的分系統(tǒng)[M].北京：國防工業(yè)出版社，2003.

[2] 姚一平，李沛瓊.可靠性及余度技術(shù)[M].北京：航空工業(yè)出版社，1991.

[3] 閆穩(wěn).機(jī)載供電系統(tǒng)雙余度控制器的容錯(cuò)控制[J].航空計(jì)算技術(shù)，2010，40（4）：86?88.

[4] 柳孔明，徐宏哲，黃俊.三余度飛控計(jì)算機(jī)構(gòu)架及其可靠性研究[J].現(xiàn)代電子技術(shù)，2012，35（6）：102?106.

[5] 周小超，陸熊.非相似余度飛控計(jì)算機(jī)設(shè)計(jì)及可靠性分析[J]. 計(jì)算機(jī)與現(xiàn)代化，2013（5）：135?137.

[6] AHLSTROM K， TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach， FL： IEEE， 2001： 1B5/1?1B5/10.

[7] 劉小雄，章衛(wèi)國.電傳飛行控制系統(tǒng)的余度設(shè)計(jì)技術(shù)[J].飛機(jī)設(shè)計(jì)，2006（3）：35?38.