程俊强 杨菊平
摘 要: 在航空电子系统中,飞控计算机系统用于控制飞机的飞行功能,要求具有极高的可靠性,必须采用容错技术来满足要求。容错的重要方法是冗余。目前的飞控计算机系统,大多采用双余度、三余度及四余度的容错计算机。在余度计算机中,每一余度称为一个通道,每个通道均具有输出控制能力, 因此余度计算机输出控制权的确定和交接就变得至关重要。介绍了道故障逻辑的功能需求和结构,重点研究了一种3×2余度飞控计算机系统通道故障逻辑的设计。
关键词: 飞控计算机系统; 双余度容错计算机; 通道故障逻辑; 计算机输出控制权
中图分类号: TN911?34 文献标识码: A 文章编号: 1004?373X(2014)10?0043?04
Abstract: In Avionics, the flight control computer system is used to control the flight functions of aircraft. The fault?tolerant technique should be adopted in the system to achieve high reliability. Redundancy is very important in fault?tolerant technique. The dual?redundancy, triplex?redundancy and four?redundancy fault?tolerant computers are used in most of the flight control computer system at present. In the redundancy computer, each redundancy is called a channel, and each channel has the output control ability, so it is very important for determination and hand?over of computer output control right. The function demands and configuration of CFL are introduced in this paper. The design of CFL used in 3×2 redundancy flight control computer system is researched emphatically.
Keywords: flight control computer system; multi?redundancy fault?tolerant computer; CFL; computer output control right
0 引 言
在航空电子系统中,飞控计算机系统用于控制飞机的飞行功能,是电传飞行控制系统的“大脑”,直接关系到飞机的存亡,要求具有极高的可靠性[1]。因此单靠提高电子元器件的可靠性是远远不能达到要求的,必须采用容错技术。容错的重要方法是冗余,余度的设计直接决定飞控计算机的体系结构、软件管理方法,可靠度、和复杂度等。目前的飞控计算机系统普遍采用多余度容错体系结构,如苏27的四余度结构,F22和F35的三余度结构等[1?2]。
在余度计算机中,每一余度称为一个通道[2],每个通道均具有输出控制能力,根据系统余度及控制策略的不同,需要设计余度计算机输出控制权的确定和交接,这通常由逻辑上独立于处理器及其他接口模块的专用逻辑完成,这部分逻辑称之为通道故障逻辑[3?5]。通道故障逻辑是余度计算机的重要组成部分,它根据各通道提供的自身状态信息和其他通道信息来决定该通道是否应该拥有输出控制权。
1 通道故障逻辑的功能需求
1.1 计算机余度和系统余度数匹配性需求
根据余度计算机所处系统的余度状态,通道故障逻辑可分为两类:
(1) 系统余度和计算机余度数相同;
(2) 系统无余度或余度数少于计算机余度数。
下面以双余度飞控计算机[3,5]为例,介绍通道故障逻辑的功能需求。
1.1.1 系统余度和计算机余度数相同
在计算机余度和系统余度数相同时,通道故障逻辑根据本通道自身状态信息及其他通道指示本通道状态信息进行判断,然后输出本通道是否有效的指示信号,并“切断”本通道输出,“切断”的通常做法为保持预先约定的故障安全值。
由系统的角度来看输入/输出的信号分配原则如图1所示。
从图中可以看出,不论是输入信号还是输出信号,均为双余度信号,每一个计算机通道均连接有一个独立的输入接口和一个独立的输出接口。计算机的输出接口控制需求为:通道有效时输出,通道无效时禁止输出,称之为本通道自锁逻辑。如果系统有一次故障安全的需求,则需要增加新的故障逻辑功能:任一通道失效,两通道均禁止输出,称之为通道间互锁逻辑,即本通道故障时,需要通过硬线通知另一通道的通道故障逻辑禁止其输出。对于通道故障逻辑而言,与计算机余度设计相同。
1.1.2 系统无余度或余度数少于计算机余度数
对于系统无余度设计或通道个数少于计算机余度个数的情形,通道故障逻辑根据本通道自身状态信息及其他通道指示本通道状态信息进行判断,然后输出本通道是否有效的指示信号,同时禁止故障通道或无控制权的通道输出信号。在通道故障逻辑设计中,不仅需要考虑本通道是否具备输出权,同时还需要考虑另一通道的输出状态。
由系统的角度来看输入/输出的信号分配原则如图2所示。
从图中可以看出,对于输入信号而言,是一个输出接口对应两个输入接口,计算机中的两个通道均可使用;对于输出接口而言,计算机的两个通道为两个输出接口,与系统的连接只有一个输入接口,此时就需要对计算机的输出接口进行选择,通道有效时输出,通道无效时禁止输出,称之为本通道自锁逻辑。如果本通道获得输出控制权,则通过自锁逻辑,本通道输出,但如果另一个通道也输出,将造成输出冲突的局面,这是不能容忍的,因此通道故障逻辑又需要具备另一个功能,在本通道输出的同时禁止另一个通道输出,称通道间互锁逻辑。通道故障逻辑与计算机余度设计相同。
1.2 安全性需求
故障逻辑的安全性需求主要来自于飞控系统的故障工作模式,也决定了故障逻辑对输出控制权的切换和管理形式。
以驾驶仪系统的双余度飞控计算机来说,安全性需求为关键故障一次故障安全,同时驾驶仪故障后允许切除驾驶仪对飞机的控制,改由飞行员通过机械或电传方式进行手动控制,而不影响飞机的安全,此时对于故障逻辑而言,就需要通道自监控完成本通道故障的切除,通道间的监控完成另一通道的切除,即需要实现本通道的自锁逻辑,和通道间的互锁逻辑以保证本通道故障时和通道间互比不一致无法确定故障通道时完成飞控计算机的切除。
对于三余度的飞控计算机[4,6]而言,安全性需求为关键故障一次故障工作,二次故障安全,此时的通道间信息来自于三余度飞控计算机的表决,并采用少数服从多数的原则来确定故障通道,因此通道故障逻辑需要根据表决系统的结果,按照预定的原则进行判断,如本通道自监控正常,另外两个通道有一个通道指示本通道故障,则按照少数服从多数的原则,本通道正常;如果本通道自监控正常,另外两个通道均指示本通道故障,则按照少数服从多数的原则,本通道应由通道故障逻辑完成切除。
1.3 关键故障覆盖需求
故障逻辑作为硬件切除的最后手段,必须考虑需要切除通道的关键故障的覆盖率问题。该问题的考虑可以将计算机进行分割为多个故障包容区,并按照其故障形式及故障上报形式进行分类,同时需要根据瞬态故障和永久故障的相应特性设置硬件滤波或软件滤波算法,避免虚警。
1.4 故障恢复需求
故障逻辑根据其所处系统及故障发生的时机和先后顺序,确定是否进行故障恢复。以双余度自动飞行控制计算机为例,一旦发生故障,通常是不允许故障恢复的,这是因为自动飞行控制计算机的故障并不会影响飞行安全,由飞行员进行驾驶飞行,也不会影响任务的完成。而在无备份的电传飞控计算机系统中,则不允许所有通道全部切除,否则将导致飞机完全失去控制,导致灾难性后果。
1.5 独立性需求
故障逻辑设计应独立于模块的软硬件设计,同时其设计应当简单,其可靠性指标应远高于飞控计算机自身的可靠性。其独立性的详细分析依赖于FMECA分析结果,避免故障逻辑部分与模块功能设计中有共源故障,导致模块发生故障时,故障逻辑无法起到切除故障通道的作用。例如当主处理器时钟故障时,将导致软件运行故障,如果将主处理器时钟用于故障逻辑设计,可能导致故障逻辑无法监控到软件的运行故障。
2 通道故障逻辑的基本结构
由通道故障逻辑的功能需求可知,飞控计算机的每一个通道都有通道故障逻辑电路,各通道的通道故障逻辑根据本地通道状态输出计算机的状态信息,用于接通/切断飞控计算机。图3为通道故障逻辑的结构图,实际使用中可以根据实际情况进行删减。
通道故障逻辑输入信息通常包括:
(1) 软件自监控信息;
(2) 硬件故障信息;
(3) 软件看门狗信息;
(4) 其他通道指示信息。
故障逻辑设计具有通道互锁和本通道自锁功能,以防止在故障状态下接通计算机控制系统。通道故障逻辑电路包括许多在线监控的重要信号,因此这些信号中的任意一个出现故障都表示本通道出现故障,并且始终自锁为故障状态,除重新上电之外软件不能复位,但是在每一次飞控计算机上电后进行BIT测试的时间内软件可以复位由于BIT测试引起的故障状态。鉴于飞控计算机的输入和输出信号为单余度的,所以飞控计算机的双余度输出必须对应系统的单余度接口。
3 3×2余度计算机通道故障逻辑设计
飞控计算机系统的发展要求既保持高可靠性和高可用性,又要求在维护性、测试性、保障性、以及经济可承受性、研制周期等诸方面有所突破[4,6?7]。3×2余度飞控计算机能较好的满足上述要求,图4为3×2余度飞控计算机的总体结构图。
图中可知体系结构设计为同构型三余度工作通道结构,通道之间完全独立,分为三个LRU,每个LRU定义为一个通道。不同通道之间通过CCDL和同步总线交换信息。通道内采用主机双余度(CPU1、CPU2)的容错结构。每个通道只增加CPU的冗余,输入/输出接口并不增加。
在系统余度和计算机余度相同的系统中,CFL与上述系统有较大不同,这是因为通道内的I/O接口模块在一个时刻只能由一个主机控制,规定每个通道在CPU1模块无故障的情况下,由CPU1完成对I/O接口模块的控制,否则控制权在通道故障逻辑的控制下切换到CPU2。如表1所示。
由通道故障逻辑决定当前每个通道哪个CPU有效,每个通道设置专用通道故障逻辑电路,主要输出通道有效信号、通道指示信号。这套电路设计在I/O接口模块上。通道故障逻辑的逻辑电平为5 V,所有外部输入的离散信号都应调节为5 V电压的逻辑电平,所有的输出离散信号为15 V逻辑电平。逻辑应至少包括如下内容:
(1) 上电复位脉冲(PORP);
(2) 主机有效:根据PSV、WDV、本CPU软件计算结果、其他CPU计算结果,判断CPU1及CPU2的可用性;
(3) CPU选择:根据CPU的有效性,选定本通道控制I/O接口模块的CPU;
(4) 通道有效:根据CPU的有效性进行判断;
(5) 电流开关接通:根据通道有效性,选择是否接通本通道I/O接口模块的输出接口;
(6) 锁存器清除;
(7) SOV高保持。
通道有效信号是指示主机自身有效的离散信号,各主机自监控的结果通过通道有效信号向其他主机申报。自监控包括:二次电源(3.3 V,5 V,+15 V)、看门狗、周期BIT等。通道有效报警是系统的严重故障,一旦故障申报,其他主机将进行故障综合处理,其一撤销故障主机的控制权,其二不再和故障主机进行同步和CCDL,其三记录故障。通道有效信号是实时响应申报信号,随时发现故障随时申报,并引发通道自锁。
通道指示信号是指示其他主机状态的信号。每个主机都可以接到其他主机的通道指示信号,如果多数主机指示某一主机正确,该主机就可以得到控制权,否则该主机将失去控制权。
4 结 语
通道故障逻辑是余度计算机的重要技术,安全性设计、关键故障的覆盖率,故障恢复设计及独立性设计等均为故障逻辑设计的重要组成部分。本文介绍了故障逻辑的功能需求分析及故障逻辑的结构等内容,并给出一种3×2余度飞控计算机系统的故障逻辑设计,对多余度飞控计算机系统的故障逻辑设计有一定的参考作用,对其他类别的余度计算机系统也有借鉴意义。
参考文献
[1] 刘林,郭恩友.飞行控制系统的分系统[M].北京:国防工业出版社,2003.
[2] 姚一平,李沛琼.可靠性及余度技术[M].北京:航空工业出版社,1991.
[3] 闫稳.机载供电系统双余度控制器的容错控制[J].航空计算技术,2010,40(4):86?88.
[4] 柳孔明,徐宏哲,黄俊.三余度飞控计算机构架及其可靠性研究[J].现代电子技术,2012,35(6):102?106.
[5] 周小超,陆熊.非相似余度飞控计算机设计及可靠性分析[J]. 计算机与现代化,2013(5):135?137.
[6] AHLSTROM K, TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach, FL: IEEE, 2001: 1B5/1?1B5/10.
[7] 刘小雄,章卫国.电传飞行控制系统的余度设计技术[J].飞机设计,2006(3):35?38.
1.2 安全性需求
故障逻辑的安全性需求主要来自于飞控系统的故障工作模式,也决定了故障逻辑对输出控制权的切换和管理形式。
以驾驶仪系统的双余度飞控计算机来说,安全性需求为关键故障一次故障安全,同时驾驶仪故障后允许切除驾驶仪对飞机的控制,改由飞行员通过机械或电传方式进行手动控制,而不影响飞机的安全,此时对于故障逻辑而言,就需要通道自监控完成本通道故障的切除,通道间的监控完成另一通道的切除,即需要实现本通道的自锁逻辑,和通道间的互锁逻辑以保证本通道故障时和通道间互比不一致无法确定故障通道时完成飞控计算机的切除。
对于三余度的飞控计算机[4,6]而言,安全性需求为关键故障一次故障工作,二次故障安全,此时的通道间信息来自于三余度飞控计算机的表决,并采用少数服从多数的原则来确定故障通道,因此通道故障逻辑需要根据表决系统的结果,按照预定的原则进行判断,如本通道自监控正常,另外两个通道有一个通道指示本通道故障,则按照少数服从多数的原则,本通道正常;如果本通道自监控正常,另外两个通道均指示本通道故障,则按照少数服从多数的原则,本通道应由通道故障逻辑完成切除。
1.3 关键故障覆盖需求
故障逻辑作为硬件切除的最后手段,必须考虑需要切除通道的关键故障的覆盖率问题。该问题的考虑可以将计算机进行分割为多个故障包容区,并按照其故障形式及故障上报形式进行分类,同时需要根据瞬态故障和永久故障的相应特性设置硬件滤波或软件滤波算法,避免虚警。
1.4 故障恢复需求
故障逻辑根据其所处系统及故障发生的时机和先后顺序,确定是否进行故障恢复。以双余度自动飞行控制计算机为例,一旦发生故障,通常是不允许故障恢复的,这是因为自动飞行控制计算机的故障并不会影响飞行安全,由飞行员进行驾驶飞行,也不会影响任务的完成。而在无备份的电传飞控计算机系统中,则不允许所有通道全部切除,否则将导致飞机完全失去控制,导致灾难性后果。
1.5 独立性需求
故障逻辑设计应独立于模块的软硬件设计,同时其设计应当简单,其可靠性指标应远高于飞控计算机自身的可靠性。其独立性的详细分析依赖于FMECA分析结果,避免故障逻辑部分与模块功能设计中有共源故障,导致模块发生故障时,故障逻辑无法起到切除故障通道的作用。例如当主处理器时钟故障时,将导致软件运行故障,如果将主处理器时钟用于故障逻辑设计,可能导致故障逻辑无法监控到软件的运行故障。
2 通道故障逻辑的基本结构
由通道故障逻辑的功能需求可知,飞控计算机的每一个通道都有通道故障逻辑电路,各通道的通道故障逻辑根据本地通道状态输出计算机的状态信息,用于接通/切断飞控计算机。图3为通道故障逻辑的结构图,实际使用中可以根据实际情况进行删减。
通道故障逻辑输入信息通常包括:
(1) 软件自监控信息;
(2) 硬件故障信息;
(3) 软件看门狗信息;
(4) 其他通道指示信息。
故障逻辑设计具有通道互锁和本通道自锁功能,以防止在故障状态下接通计算机控制系统。通道故障逻辑电路包括许多在线监控的重要信号,因此这些信号中的任意一个出现故障都表示本通道出现故障,并且始终自锁为故障状态,除重新上电之外软件不能复位,但是在每一次飞控计算机上电后进行BIT测试的时间内软件可以复位由于BIT测试引起的故障状态。鉴于飞控计算机的输入和输出信号为单余度的,所以飞控计算机的双余度输出必须对应系统的单余度接口。
3 3×2余度计算机通道故障逻辑设计
飞控计算机系统的发展要求既保持高可靠性和高可用性,又要求在维护性、测试性、保障性、以及经济可承受性、研制周期等诸方面有所突破[4,6?7]。3×2余度飞控计算机能较好的满足上述要求,图4为3×2余度飞控计算机的总体结构图。
图中可知体系结构设计为同构型三余度工作通道结构,通道之间完全独立,分为三个LRU,每个LRU定义为一个通道。不同通道之间通过CCDL和同步总线交换信息。通道内采用主机双余度(CPU1、CPU2)的容错结构。每个通道只增加CPU的冗余,输入/输出接口并不增加。
在系统余度和计算机余度相同的系统中,CFL与上述系统有较大不同,这是因为通道内的I/O接口模块在一个时刻只能由一个主机控制,规定每个通道在CPU1模块无故障的情况下,由CPU1完成对I/O接口模块的控制,否则控制权在通道故障逻辑的控制下切换到CPU2。如表1所示。
由通道故障逻辑决定当前每个通道哪个CPU有效,每个通道设置专用通道故障逻辑电路,主要输出通道有效信号、通道指示信号。这套电路设计在I/O接口模块上。通道故障逻辑的逻辑电平为5 V,所有外部输入的离散信号都应调节为5 V电压的逻辑电平,所有的输出离散信号为15 V逻辑电平。逻辑应至少包括如下内容:
(1) 上电复位脉冲(PORP);
(2) 主机有效:根据PSV、WDV、本CPU软件计算结果、其他CPU计算结果,判断CPU1及CPU2的可用性;
(3) CPU选择:根据CPU的有效性,选定本通道控制I/O接口模块的CPU;
(4) 通道有效:根据CPU的有效性进行判断;
(5) 电流开关接通:根据通道有效性,选择是否接通本通道I/O接口模块的输出接口;
(6) 锁存器清除;
(7) SOV高保持。
通道有效信号是指示主机自身有效的离散信号,各主机自监控的结果通过通道有效信号向其他主机申报。自监控包括:二次电源(3.3 V,5 V,+15 V)、看门狗、周期BIT等。通道有效报警是系统的严重故障,一旦故障申报,其他主机将进行故障综合处理,其一撤销故障主机的控制权,其二不再和故障主机进行同步和CCDL,其三记录故障。通道有效信号是实时响应申报信号,随时发现故障随时申报,并引发通道自锁。
通道指示信号是指示其他主机状态的信号。每个主机都可以接到其他主机的通道指示信号,如果多数主机指示某一主机正确,该主机就可以得到控制权,否则该主机将失去控制权。
4 结 语
通道故障逻辑是余度计算机的重要技术,安全性设计、关键故障的覆盖率,故障恢复设计及独立性设计等均为故障逻辑设计的重要组成部分。本文介绍了故障逻辑的功能需求分析及故障逻辑的结构等内容,并给出一种3×2余度飞控计算机系统的故障逻辑设计,对多余度飞控计算机系统的故障逻辑设计有一定的参考作用,对其他类别的余度计算机系统也有借鉴意义。
参考文献
[1] 刘林,郭恩友.飞行控制系统的分系统[M].北京:国防工业出版社,2003.
[2] 姚一平,李沛琼.可靠性及余度技术[M].北京:航空工业出版社,1991.
[3] 闫稳.机载供电系统双余度控制器的容错控制[J].航空计算技术,2010,40(4):86?88.
[4] 柳孔明,徐宏哲,黄俊.三余度飞控计算机构架及其可靠性研究[J].现代电子技术,2012,35(6):102?106.
[5] 周小超,陆熊.非相似余度飞控计算机设计及可靠性分析[J]. 计算机与现代化,2013(5):135?137.
[6] AHLSTROM K, TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach, FL: IEEE, 2001: 1B5/1?1B5/10.
[7] 刘小雄,章卫国.电传飞行控制系统的余度设计技术[J].飞机设计,2006(3):35?38.
1.2 安全性需求
故障逻辑的安全性需求主要来自于飞控系统的故障工作模式,也决定了故障逻辑对输出控制权的切换和管理形式。
以驾驶仪系统的双余度飞控计算机来说,安全性需求为关键故障一次故障安全,同时驾驶仪故障后允许切除驾驶仪对飞机的控制,改由飞行员通过机械或电传方式进行手动控制,而不影响飞机的安全,此时对于故障逻辑而言,就需要通道自监控完成本通道故障的切除,通道间的监控完成另一通道的切除,即需要实现本通道的自锁逻辑,和通道间的互锁逻辑以保证本通道故障时和通道间互比不一致无法确定故障通道时完成飞控计算机的切除。
对于三余度的飞控计算机[4,6]而言,安全性需求为关键故障一次故障工作,二次故障安全,此时的通道间信息来自于三余度飞控计算机的表决,并采用少数服从多数的原则来确定故障通道,因此通道故障逻辑需要根据表决系统的结果,按照预定的原则进行判断,如本通道自监控正常,另外两个通道有一个通道指示本通道故障,则按照少数服从多数的原则,本通道正常;如果本通道自监控正常,另外两个通道均指示本通道故障,则按照少数服从多数的原则,本通道应由通道故障逻辑完成切除。
1.3 关键故障覆盖需求
故障逻辑作为硬件切除的最后手段,必须考虑需要切除通道的关键故障的覆盖率问题。该问题的考虑可以将计算机进行分割为多个故障包容区,并按照其故障形式及故障上报形式进行分类,同时需要根据瞬态故障和永久故障的相应特性设置硬件滤波或软件滤波算法,避免虚警。
1.4 故障恢复需求
故障逻辑根据其所处系统及故障发生的时机和先后顺序,确定是否进行故障恢复。以双余度自动飞行控制计算机为例,一旦发生故障,通常是不允许故障恢复的,这是因为自动飞行控制计算机的故障并不会影响飞行安全,由飞行员进行驾驶飞行,也不会影响任务的完成。而在无备份的电传飞控计算机系统中,则不允许所有通道全部切除,否则将导致飞机完全失去控制,导致灾难性后果。
1.5 独立性需求
故障逻辑设计应独立于模块的软硬件设计,同时其设计应当简单,其可靠性指标应远高于飞控计算机自身的可靠性。其独立性的详细分析依赖于FMECA分析结果,避免故障逻辑部分与模块功能设计中有共源故障,导致模块发生故障时,故障逻辑无法起到切除故障通道的作用。例如当主处理器时钟故障时,将导致软件运行故障,如果将主处理器时钟用于故障逻辑设计,可能导致故障逻辑无法监控到软件的运行故障。
2 通道故障逻辑的基本结构
由通道故障逻辑的功能需求可知,飞控计算机的每一个通道都有通道故障逻辑电路,各通道的通道故障逻辑根据本地通道状态输出计算机的状态信息,用于接通/切断飞控计算机。图3为通道故障逻辑的结构图,实际使用中可以根据实际情况进行删减。
通道故障逻辑输入信息通常包括:
(1) 软件自监控信息;
(2) 硬件故障信息;
(3) 软件看门狗信息;
(4) 其他通道指示信息。
故障逻辑设计具有通道互锁和本通道自锁功能,以防止在故障状态下接通计算机控制系统。通道故障逻辑电路包括许多在线监控的重要信号,因此这些信号中的任意一个出现故障都表示本通道出现故障,并且始终自锁为故障状态,除重新上电之外软件不能复位,但是在每一次飞控计算机上电后进行BIT测试的时间内软件可以复位由于BIT测试引起的故障状态。鉴于飞控计算机的输入和输出信号为单余度的,所以飞控计算机的双余度输出必须对应系统的单余度接口。
3 3×2余度计算机通道故障逻辑设计
飞控计算机系统的发展要求既保持高可靠性和高可用性,又要求在维护性、测试性、保障性、以及经济可承受性、研制周期等诸方面有所突破[4,6?7]。3×2余度飞控计算机能较好的满足上述要求,图4为3×2余度飞控计算机的总体结构图。
图中可知体系结构设计为同构型三余度工作通道结构,通道之间完全独立,分为三个LRU,每个LRU定义为一个通道。不同通道之间通过CCDL和同步总线交换信息。通道内采用主机双余度(CPU1、CPU2)的容错结构。每个通道只增加CPU的冗余,输入/输出接口并不增加。
在系统余度和计算机余度相同的系统中,CFL与上述系统有较大不同,这是因为通道内的I/O接口模块在一个时刻只能由一个主机控制,规定每个通道在CPU1模块无故障的情况下,由CPU1完成对I/O接口模块的控制,否则控制权在通道故障逻辑的控制下切换到CPU2。如表1所示。
由通道故障逻辑决定当前每个通道哪个CPU有效,每个通道设置专用通道故障逻辑电路,主要输出通道有效信号、通道指示信号。这套电路设计在I/O接口模块上。通道故障逻辑的逻辑电平为5 V,所有外部输入的离散信号都应调节为5 V电压的逻辑电平,所有的输出离散信号为15 V逻辑电平。逻辑应至少包括如下内容:
(1) 上电复位脉冲(PORP);
(2) 主机有效:根据PSV、WDV、本CPU软件计算结果、其他CPU计算结果,判断CPU1及CPU2的可用性;
(3) CPU选择:根据CPU的有效性,选定本通道控制I/O接口模块的CPU;
(4) 通道有效:根据CPU的有效性进行判断;
(5) 电流开关接通:根据通道有效性,选择是否接通本通道I/O接口模块的输出接口;
(6) 锁存器清除;
(7) SOV高保持。
通道有效信号是指示主机自身有效的离散信号,各主机自监控的结果通过通道有效信号向其他主机申报。自监控包括:二次电源(3.3 V,5 V,+15 V)、看门狗、周期BIT等。通道有效报警是系统的严重故障,一旦故障申报,其他主机将进行故障综合处理,其一撤销故障主机的控制权,其二不再和故障主机进行同步和CCDL,其三记录故障。通道有效信号是实时响应申报信号,随时发现故障随时申报,并引发通道自锁。
通道指示信号是指示其他主机状态的信号。每个主机都可以接到其他主机的通道指示信号,如果多数主机指示某一主机正确,该主机就可以得到控制权,否则该主机将失去控制权。
4 结 语
通道故障逻辑是余度计算机的重要技术,安全性设计、关键故障的覆盖率,故障恢复设计及独立性设计等均为故障逻辑设计的重要组成部分。本文介绍了故障逻辑的功能需求分析及故障逻辑的结构等内容,并给出一种3×2余度飞控计算机系统的故障逻辑设计,对多余度飞控计算机系统的故障逻辑设计有一定的参考作用,对其他类别的余度计算机系统也有借鉴意义。
参考文献
[1] 刘林,郭恩友.飞行控制系统的分系统[M].北京:国防工业出版社,2003.
[2] 姚一平,李沛琼.可靠性及余度技术[M].北京:航空工业出版社,1991.
[3] 闫稳.机载供电系统双余度控制器的容错控制[J].航空计算技术,2010,40(4):86?88.
[4] 柳孔明,徐宏哲,黄俊.三余度飞控计算机构架及其可靠性研究[J].现代电子技术,2012,35(6):102?106.
[5] 周小超,陆熊.非相似余度飞控计算机设计及可靠性分析[J]. 计算机与现代化,2013(5):135?137.
[6] AHLSTROM K, TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach, FL: IEEE, 2001: 1B5/1?1B5/10.
[7] 刘小雄,章卫国.电传飞行控制系统的余度设计技术[J].飞机设计,2006(3):35?38.
