張美仙 宣曉剛 楊飛 賈少龍 魏璐達(dá)

（太原航空儀表有限公司 山西省太原市 030006）

為了阻止飛機(jī)進(jìn)入大迎角狀態(tài)進(jìn)而防止其失速，中國民用航空局（CAAC）和美國聯(lián)邦航空管理局（FAA）規(guī)定，失速告警系統(tǒng)是民用運(yùn)輸類飛機(jī)必不可少的機(jī)載系統(tǒng)。歐美國家的飛機(jī)設(shè)計(jì)、制造業(yè)對失速告警系統(tǒng)的研究和應(yīng)用開展較早也較為深入，隨著我國民用飛機(jī)產(chǎn)業(yè)的發(fā)展，將失速告警系統(tǒng)國產(chǎn)化已是迫切之需，其中，失速告警計(jì)算機(jī)作為失速告警系統(tǒng)的核心處理控制設(shè)備，其適航性、高完整性、高安全性、高可靠性的設(shè)計(jì)不僅是整個(gè)系統(tǒng)的關(guān)鍵環(huán)節(jié)，而且也有利于提高我國機(jī)載設(shè)備的自主研制能力，帶動(dòng)國內(nèi)民機(jī)產(chǎn)業(yè)鏈發(fā)展。

本文以相關(guān)適航規(guī)章、標(biāo)準(zhǔn)、指南及設(shè)備需求為出發(fā)點(diǎn)，結(jié)合工程實(shí)踐，從五個(gè)方面分析了失速告警計(jì)算機(jī)數(shù)據(jù)完整性的設(shè)計(jì)考慮。

1 失速告警計(jì)算機(jī)功能概述

失速告警系統(tǒng)在飛機(jī)全飛行過程中采集迎角、飛行速度、姿態(tài)、襟縫翼狀態(tài)、結(jié)冰狀態(tài)等信息，計(jì)算飛機(jī)當(dāng)前升力迎角及臨界迎角。當(dāng)飛機(jī)達(dá)到失速告警判定條件或存在失速趨勢時(shí)，系統(tǒng)通過燈光、聲音和振桿器向機(jī)組人員發(fā)出燈光、聲音和抖桿告警信號(hào)，并通過標(biāo)準(zhǔn)數(shù)字總線向其它機(jī)載設(shè)備發(fā)送相關(guān)參數(shù)。典型的失速告警系統(tǒng)構(gòu)型由2 只迎角傳感器（AOA-Angle Of Attack Sensor）、2 臺(tái)失速告警計(jì)算機(jī)（SWC-Stall Warning Cmoputer）和2 只振桿器（SSA-Stick Shaker Actuator）組成，AOA 安裝在飛機(jī)的機(jī)身蒙皮，SWC安裝在E/E艙設(shè)備架內(nèi)，SSA安裝在駕駛桿上，單機(jī)配置1套，系統(tǒng)中配套部件的數(shù)量也可由系統(tǒng)構(gòu)型進(jìn)行調(diào)整。系統(tǒng)交聯(lián)關(guān)系見圖1。對該系統(tǒng)的安全性進(jìn)行一個(gè)簡要的分析評估，F(xiàn)HA（Functional Hazard Analysis）列表如表1所示。

圖1：失速告警系統(tǒng)交聯(lián)關(guān)系圖

表1：失速告警系統(tǒng)功能危害清單

SWC 作為失速告警系統(tǒng)的核心處理控制設(shè)備，根據(jù)以上功能危害分析，SWC 功能研制保證等級(jí)為B，它主要接收AOA 輸出的兩路迎角信號(hào)，根據(jù)AOA 傳感器特性完成局部迎角計(jì)算；根據(jù)AOA 的工作狀態(tài)及飛機(jī)的姿態(tài)信息對左、右局部迎角進(jìn)行數(shù)據(jù)融合和修正后得到真實(shí)迎角；根據(jù)外部系統(tǒng)輸入的馬赫數(shù)、襟翼機(jī)構(gòu)狀態(tài)、輪載狀態(tài)和結(jié)冰狀態(tài)信息完成臨界迎角計(jì)算；根據(jù)外部系統(tǒng)輸入的垂直過載、油量信息、大氣密度、翼面信息、慣導(dǎo)數(shù)據(jù)，結(jié)合最大升力系數(shù)，完成失速速度計(jì)算；當(dāng)真實(shí)迎角接近臨界迎角時(shí)，或空速接近失速速度時(shí)，輸出告警驅(qū)動(dòng)信號(hào)給同側(cè)SSA和燈光、音響系統(tǒng)，提醒飛行員；同時(shí)輸出告警狀態(tài)離散量給機(jī)組告警系統(tǒng)。

在SWC 的基礎(chǔ)上進(jìn)行功能擴(kuò)展，即可實(shí)現(xiàn)失速保護(hù)，在民機(jī)全部階段中未通告的喪失失速保護(hù)功能和除了巡航階段的非指令性地失速保護(hù)，將造成災(zāi)難性的后果，因此將SWC 作為A 級(jí)設(shè)備開展研制工作。

2 失速告警計(jì)算機(jī)設(shè)計(jì)約束

本節(jié)簡要描述在研制SWC 過程中遵循或使用的相關(guān)適航規(guī)章、工業(yè)標(biāo)準(zhǔn)和指南等，具體的適用場景將在后續(xù)章節(jié)中描述，力求選擇最優(yōu)的技術(shù)路徑和符合性方法，在技術(shù)和過程兩方面保證SWC 的適航性、完整性、安全性和可靠性。

2.1 適航規(guī)章

針對運(yùn)輸類飛機(jī)，F(xiàn)AR.25 和CCAR-25 規(guī)定了與失速相關(guān)的專用條款：25.103 失速速度、25.201 演示失速、25.203失速特性、25.207 失速警告，還有關(guān)于安全性、結(jié)構(gòu)、材料和EWIS 等的通用條款。

TSO-C54 和CTSO-C54 對失速告警儀的技術(shù)要求和符合性驗(yàn)證方法做了規(guī)定。

2.2 工業(yè)標(biāo)準(zhǔn)

SAE AS 403A 作為失速告警儀的最低性能標(biāo)準(zhǔn)，被TSO-C54 和CTSO-C54 引用。

RTCA DO-160G 為民用機(jī)載設(shè)備定義了一系列的最低性能環(huán)境試驗(yàn)條件（類別）和相應(yīng)的試驗(yàn)方法，SWC 結(jié)合自身使用環(huán)境和功能特性，在DO-160G 的指導(dǎo)下完成環(huán)境試驗(yàn)。

使用SAE ARP 4754A 指導(dǎo)SWC 設(shè)備級(jí)的研制，制定與落實(shí)相應(yīng)的研制流程要求，可消除或減少SWC 研制過程中可能產(chǎn)生的差錯(cuò)。

SWC 滿足AC25.1309-1B 安全性要求，并按照SAE ARP 4761 方法評估。

在軟硬件級(jí)使用RTCA DO-178C 和RTCA DO-254，軟件設(shè)計(jì)中還涉及模型和雙核處理器，另需使用RTCA DO-331 和CAST-32；目前我國航空工業(yè)領(lǐng)域，尚缺乏嚴(yán)格按照DO-254 設(shè)計(jì)的機(jī)載電子硬件順利獲得適航批準(zhǔn)的案例，盡早地將其用于指導(dǎo)SWC 硬件的研制，雖會(huì)增大成本，但對于探究DO-254 的應(yīng)用和理解機(jī)載電子硬件的適航審定要求具有極大意義。

在SWC 處理器的選用時(shí)，著重使用ISO 26262 研究其功能安全，該標(biāo)準(zhǔn)涵蓋了系統(tǒng)、軟硬件、安全性、生產(chǎn)制造等各個(gè)方面，與上述民機(jī)領(lǐng)域常用的標(biāo)準(zhǔn)均可逐一映射。

3 失速告警計(jì)算機(jī)的數(shù)據(jù)完整性設(shè)計(jì)

3.1 設(shè)計(jì)總述

根據(jù)以上適航規(guī)章、標(biāo)準(zhǔn)、指南的約束以及對失速告警系統(tǒng)及SWC 的需求分析，只有保證SWC 整個(gè)數(shù)據(jù)鏈的完整性才能確保系統(tǒng)的安全，而數(shù)據(jù)的完整性需要關(guān)注它的三個(gè)關(guān)鍵要素：傳輸過程、存儲(chǔ)和處理，本研究以三個(gè)關(guān)鍵要素為出發(fā)點(diǎn)，從五個(gè)方面考慮失速告警計(jì)算機(jī)數(shù)據(jù)完整性的設(shè)計(jì)，分別為高安全性電路的設(shè)計(jì)、高完整性處理器的應(yīng)用、存儲(chǔ)器訪問的安全機(jī)制、合理的內(nèi)存分配和嵌入式軟件的設(shè)計(jì)考慮，前兩個(gè)方面?zhèn)戎赜谟布?jí)，后三個(gè)方面偏重于軟件級(jí)。下面將從各方面展開進(jìn)行論述。

3.2 高安全性電路的設(shè)計(jì)

本文對SWC 的原理設(shè)計(jì)不再詳細(xì)描述，僅通過如圖2所示的示意圖，分析在對電路進(jìn)行高安全性設(shè)計(jì)時(shí)的幾個(gè)著重點(diǎn)，特別注意地，所有非阻容元器件均選用已鑒定的國產(chǎn)化芯片。

圖2：SWC 原理示意圖

3.2.1 迎角信號(hào)及其激勵(lì)信號(hào)的檢測電路

保證SWC 給AOA 提供工作激勵(lì)信號(hào)和高精度解算迎角信號(hào)的同時(shí)，設(shè)計(jì)相應(yīng)的故障檢測電路，監(jiān)視迎角的信號(hào)丟失、超范圍輸入、輸入失配及位置跟蹤丟失，監(jiān)視激勵(lì)信號(hào)的頻率超差、電壓超范圍和相位匹配；由于使用機(jī)身兩側(cè)的迎角信號(hào)，會(huì)有兩側(cè)不一致的現(xiàn)象（例如鳥撞對風(fēng)標(biāo)葉片損傷后造成氣動(dòng)誤差），為了克服這種問題，采用了慣性迎角作為監(jiān)測數(shù)據(jù)。

3.2.2 AOA 加溫檢測與控制電路

AOA 加溫實(shí)現(xiàn)防除冰功能，加溫電源由SWC 提供，為了保證AOA 加溫部件的可靠性，SWC 根據(jù)飛機(jī)運(yùn)行環(huán)境實(shí)現(xiàn)加溫邏輯的調(diào)控，并通過監(jiān)測加溫電流實(shí)時(shí)監(jiān)測AOA 加溫狀態(tài)。

3.2.3 總線數(shù)據(jù)、離散量數(shù)據(jù)的檢測電路

SWC對外進(jìn)行信息交互的總線接口和離散量接口較多，為了保證數(shù)據(jù)的穩(wěn)定可靠，對每個(gè)輸入輸出通道進(jìn)行內(nèi)回繞自檢和外回繞自檢，各通道檢測相互獨(dú)立，故障定位快速準(zhǔn)確。

3.2.4 過流保護(hù)電路

SWC 對外提供功率驅(qū)動(dòng)的失速告警控制類信號(hào)，對該接口設(shè)計(jì)過流保護(hù)，可以實(shí)現(xiàn)內(nèi)部控制信號(hào)與外部電路的電氣隔離。

3.2.5 電壓檢測電路

實(shí)時(shí)監(jiān)測供電電壓值，與處理器配合可實(shí)現(xiàn)瞬時(shí)斷電保護(hù)，同時(shí)也可為設(shè)備的冷、熱啟動(dòng)判斷提供必要的數(shù)據(jù)。

3.2.6 關(guān)鍵信號(hào)的可靠輸出路徑

對于失速告警、失速保護(hù)等關(guān)鍵輸出指令，信號(hào)喪失或非指令地輸出，對飛機(jī)安全的影響是重大的甚至是災(zāi)難性的，在該類信號(hào)的輸出路徑上做如圖3所示的兩種保障措施，可避免誤輸出。

圖3：關(guān)鍵信號(hào)輸出路徑示意圖

（1）串聯(lián)保護(hù)：異構(gòu)雙核處理器的兩個(gè)CPU 都發(fā)出閉合信號(hào)時(shí)構(gòu)成環(huán)路，指令方能正常輸出；

（2）交叉檢查：將核間通訊來的信號(hào)與外部采集的信號(hào)進(jìn)行對比核查。

3.2.7 看門狗模塊的監(jiān)測

硬件看門狗模塊可以監(jiān)測軟件和硬件的運(yùn)行狀態(tài)，提高系統(tǒng)的可靠性，而當(dāng)看門狗異常時(shí)，就無法起到其監(jiān)控和保護(hù)作用，參考發(fā)明專利的自檢方法，在設(shè)備上電自檢測中完成對看門狗模塊的檢測。

3.2.8 環(huán)境適應(yīng)性設(shè)計(jì)

環(huán)境適應(yīng)性設(shè)計(jì)除了通常的耐機(jī)械、耐溫度、耐高度、耐腐蝕、防雷電、防靜電、防電磁干擾設(shè)計(jì)等，還采用ECC、表決等抗輻射加固措施防止單粒子翻轉(zhuǎn)現(xiàn)象，以減緩環(huán)境對設(shè)備的影響和提高自身抗環(huán)境能力。

3.3 高完整性處理器的應(yīng)用

以系統(tǒng)對SWC 高安全性要求為出發(fā)點(diǎn)，將處理模塊設(shè)定成“處理+監(jiān)控”模式，并從性能、功耗和成本三個(gè)因素上均衡考慮，選定高完整性異構(gòu)雙核架構(gòu)的處理器作為SWC 的核心處理部件。多核處理器在民用飛機(jī)機(jī)載設(shè)備上的應(yīng)用前景非常廣，行業(yè)內(nèi)各方均已從各自關(guān)注的角度（如審定、應(yīng)用、安全性等）開展了相應(yīng)的工作。

雙核處理器的任務(wù)分配架構(gòu)見圖4（除2.3.2 節(jié)第(6)條）。雙核處理器除了優(yōu)異的性能和豐富的資源外，還符合ISO 26262 標(biāo)準(zhǔn)的硬件開發(fā)流程，并內(nèi)置安全機(jī)制，應(yīng)用其對SWC 數(shù)據(jù)完整性設(shè)計(jì)主要有以下三個(gè)方面的貢獻(xiàn)。

圖4：雙核處理器的任務(wù)分配示意圖

3.3.1 安全特性

SWC 利用處理器提供的以下幾種安全特性規(guī)避運(yùn)行中可能存在的風(fēng)險(xiǎn)：寄存器的寫保護(hù)、OSCCLK（振蕩器時(shí)鐘）缺少時(shí)鐘檢測、PLLSLIP 檢測（PLL 鎖定時(shí)PLL 參考時(shí)鐘是否變得太高或太慢）、CPU1 和CPU2 PIE 矢量地址有效性檢查、支持ECC 和奇偶檢驗(yàn)的RAM、可啟用ECC 的閃存和ERRORSTS 引腳（芯片內(nèi)檢測到錯(cuò)誤時(shí)輸出）。

3.3.2 核間通訊的安全

圖4中所示利用IPC 進(jìn)行核間通訊，IPC 機(jī)制不僅可以保證通訊數(shù)據(jù)的準(zhǔn)確完整，還可以避免讀/寫沖突卡死在中斷過程，如從CPU1 向CPU2 發(fā)送數(shù)據(jù)，首先發(fā)送方申請對共享RAM 的寫權(quán)限，寫好數(shù)據(jù)后產(chǎn)生中斷，同時(shí)將雙方都關(guān)注的一個(gè)標(biāo)志執(zhí)行置位，CPU2 接收到中斷后，查看對應(yīng)標(biāo)志已經(jīng)置位，取數(shù)據(jù)并將標(biāo)志復(fù)位，為下一次中斷做準(zhǔn)備，這樣就有效地完成了一次數(shù)據(jù)傳遞。

3.3.3 片上資源的自檢測

處理器支持用戶使用HWBIST(Hardware Built-In Self-Test)作為設(shè)備級(jí)自檢測的一部分，以測試CPU 的完整性，幫助檢測和預(yù)防由隨機(jī)硬件故障造成的影響。

3.4 存儲(chǔ)器訪問的安全機(jī)制

CPU 內(nèi)核通過數(shù)據(jù)和地址總線訪問芯片內(nèi)部集成的或者外部擴(kuò)展的存儲(chǔ)器，就涉及到訪問安全問題，除了按照處理器存儲(chǔ)器映射圖和SWC 的實(shí)際需求，在CMD 文件中合理規(guī)劃各數(shù)據(jù)空間、程序空間，也可適時(shí)選用DCSM（雙碼安全模塊）加密功能，此外，以下兩點(diǎn)也是保證存儲(chǔ)器訪問安全的必要機(jī)制。

3.4.1 訪問仲裁

對于共享RAM，在給定時(shí)間是可以發(fā)生多個(gè)訪問的，采用固定優(yōu)先級(jí)與輪詢相結(jié)合的方案在任何給定時(shí)間內(nèi)仲裁多址接入，如圖5所示同一CPU 的訪問以固定優(yōu)先級(jí)方式仲裁，使用循環(huán)方案來仲裁來自不同CPU 的訪問。

圖5：全局共享存儲(chǔ)器的仲裁方案

3.4.2 存儲(chǔ)空間校驗(yàn)

為了避免數(shù)據(jù)在存儲(chǔ)過程中出現(xiàn)差錯(cuò)，對存儲(chǔ)空間中的數(shù)據(jù)進(jìn)行檢錯(cuò)以及糾錯(cuò)尤為重要。SWC 中使用的有FLASH、RAM、共享RAM、外部數(shù)據(jù)存儲(chǔ)單元等，需要結(jié)合數(shù)據(jù)量、訪問速度等選用如ECC（錯(cuò)誤檢查和糾正技術(shù)）、CRC（循環(huán)冗余校驗(yàn)）和奇偶校驗(yàn)等檢驗(yàn)方法。ECC 可自行發(fā)現(xiàn)和糾正數(shù)據(jù)傳輸過程發(fā)生的錯(cuò)誤，但算法比較復(fù)雜，盡量選用硬件方式，硬件實(shí)現(xiàn)的速度比較高，要比軟件快幾個(gè)數(shù)量級(jí)；CRC 算法適用于驗(yàn)證大數(shù)據(jù)塊、通信分組或代碼段上的數(shù)據(jù)完整性，是數(shù)據(jù)通信領(lǐng)域中最常用的一種查錯(cuò)校驗(yàn)碼；奇偶校驗(yàn)是應(yīng)用最廣泛、最簡單的一種方法。

3.5 合理的內(nèi)存分配

以空間使用安全和不浪費(fèi)空間為原則，采用“CMD 文件+Memory Map”的形式規(guī)劃內(nèi)存的使用，避免因數(shù)據(jù)堵塞、內(nèi)存溢出等問題造成的數(shù)據(jù)混亂。CMD 文件用于指示存儲(chǔ)空間并分配段到存儲(chǔ)空間，“Memory Map”用于做SWC內(nèi)部數(shù)據(jù)與具體地址的映射關(guān)系，如總線解析數(shù)據(jù)的存放（圖6所示）、雙核通訊數(shù)據(jù)的存放、故障信息的存放等。

圖6：Memory Map

3.6 嵌入式軟件的設(shè)計(jì)考慮

3.6.1 基于模型的設(shè)計(jì)方法采用近年來在民機(jī)系統(tǒng)和軟件研制領(lǐng)域廣泛關(guān)注的新技術(shù)--基于模型的開發(fā)和驗(yàn)證，它是對實(shí)際問題進(jìn)行建模，并轉(zhuǎn)換、精化模型直至生成可執(zhí)行目標(biāo)代碼的方法，該方法由四個(gè)步驟組成，如圖7所示。該方法不僅使SWC 軟件的開發(fā)不再依賴于文字描述的需求和設(shè)計(jì)，同時(shí)將仿真方法引入到軟件生命周期過程中，將其應(yīng)用在失速告警計(jì)算機(jī)軟件的研制和驗(yàn)證中，為了達(dá)到軟件研制等級(jí)的要求，除了要滿足DO-178C 中相應(yīng)過程的目標(biāo)外，還需要滿足補(bǔ)充文件DO-331 中新增的目標(biāo)。

圖7：基于模型的研制和驗(yàn)證

3.6.2 并行算法設(shè)計(jì)

圖4所示CPU1 負(fù)責(zé)對外的數(shù)據(jù)通信，數(shù)據(jù)處理與邏輯運(yùn)算是兩個(gè)CPU 需要并行執(zhí)行的任務(wù)，雙核并行算法過程一般分為四步：任務(wù)劃分、通信、組合和映射，前述章節(jié)已涉及到前兩步，組合是將運(yùn)算需求低、耦合度高的模塊合并在一起，運(yùn)算需求大、通信代價(jià)大的模塊拆分成更小的模塊，減少通信損失，使并行處理更有效；映射是指定每個(gè)任務(wù)到哪里去執(zhí)行。為了提高任務(wù)的并行處理性能，解除數(shù)據(jù)依賴關(guān)系、避免數(shù)據(jù)爭用、各個(gè)核負(fù)載均衡、數(shù)據(jù)和傳輸并行等是多核并行設(shè)計(jì)的關(guān)鍵技術(shù)要點(diǎn)。

運(yùn)行在雙核處理器中的軟件按照DO-178C 開發(fā)，但DO-178C 無法解決多核特征引入的新問題，所以還要結(jié)合CAST-32，CAST-32A 從計(jì)劃、配置設(shè)置、干擾通道資源使用、軟件驗(yàn)證、安全網(wǎng)等方面提出相應(yīng)的目標(biāo)及活動(dòng)，可以指導(dǎo)開展多核軟件的適航符合性工作。

4 結(jié)論

本文總結(jié)了在SWC 數(shù)據(jù)完整性設(shè)計(jì)過程中五個(gè)方面的設(shè)計(jì)考慮，并將全部設(shè)計(jì)理念應(yīng)用在失速告警計(jì)算機(jī)的研制中，滿足系統(tǒng)對該設(shè)備的實(shí)際需求外，極大程度上提高了設(shè)備的測試性、安全性，具有較好的適用性和應(yīng)用前景。