馬超　郭勇　劉意　王亮　馬倩

摘 要：飛控計(jì)算機(jī)是自動(dòng)飛行控制系統(tǒng)數(shù)據(jù)處理、控制和綜合的核心，其可靠性對飛機(jī)的飛行安全有著至關(guān)重要的影響。通常采用余度設(shè)計(jì)提升飛行控制系統(tǒng)的可靠性和容錯(cuò)能力，余度設(shè)計(jì)的關(guān)鍵技術(shù)就是余度管理策略和方法，系統(tǒng)的故障容錯(cuò)能力主要是通過余度管理功能來實(shí)現(xiàn)的。針對本文提出的雙雙余度飛控計(jì)算機(jī)架構(gòu)，詳細(xì)描述了其余度管理算法的設(shè)計(jì)流程，采用這樣的設(shè)計(jì)模式使得系統(tǒng)軟件架構(gòu)清晰，結(jié)構(gòu)明確，大大提高了飛控系統(tǒng)安全性和可靠性的要求。

關(guān)鍵詞：雙雙余度；飛控計(jì)算機(jī)；余度管理；容錯(cuò)性

飛控計(jì)算機(jī)是面向飛行控制系統(tǒng)應(yīng)用的計(jì)算機(jī)，主要任務(wù)是完成控制率計(jì)算、余度管理和機(jī)內(nèi)自檢測[ 1 ]。

飛行控制系統(tǒng)是安全關(guān)鍵系統(tǒng)，為此，對飛控計(jì)算機(jī)的安全性和可靠性提出了極高的要求，軍用飛機(jī)飛控系統(tǒng)的可靠性要求為1.0×10-7/飛行小時(shí)以上（民機(jī)為10-9/飛行小時(shí)）[ 2 ]，同時(shí)還必須滿足一次故障工作、二次故障安全的安全等級。因此，飛控計(jì)算機(jī)通常采用余度技術(shù)以滿足上述要求。

本文提出的飛控計(jì)算機(jī)采用了雙雙余度架構(gòu)，其容錯(cuò)系統(tǒng)的關(guān)鍵技術(shù)就是余度管理，余度管理是決定系統(tǒng)可靠性的關(guān)鍵因素，也是容錯(cuò)管理的主要功能。系統(tǒng)的故障容錯(cuò)能力主要是通過系統(tǒng)的余度管理來實(shí)現(xiàn)的。

本文概要介紹了雙雙余度飛控計(jì)算機(jī)系統(tǒng)軟件的架構(gòu)設(shè)計(jì)，并對余度管理算法做出了詳細(xì)的描述，該設(shè)計(jì)方法很好的應(yīng)用于飛控系統(tǒng)軟件的開發(fā)中，大大提高了飛控系統(tǒng)的容錯(cuò)性和可靠性。

1 系統(tǒng)概述

1.1 體系結(jié)構(gòu)設(shè)計(jì)

雙雙余度飛控計(jì)算機(jī)采用2×2相似余度構(gòu)型，系統(tǒng)包含2臺相同構(gòu)型的飛控計(jì)算機(jī)，每臺飛控計(jì)算機(jī)機(jī)箱內(nèi)包含命令通道（A通道）和監(jiān)控通道（B通道）兩個(gè)通道。2臺飛控計(jì)算機(jī)間可互換，計(jì)算機(jī)內(nèi)命令通道和監(jiān)控通道具有相同的硬件設(shè)計(jì)，運(yùn)行相同軟件。兩臺計(jì)算機(jī)之間采用松耦合的交聯(lián)方式，不設(shè)置同步總線。單臺飛控計(jì)算機(jī)內(nèi)的命令通道和監(jiān)控通道采用同步工作方式，命令通道和監(jiān)控通道分別獨(dú)立接受總線信息，兩通道之間通過交叉?zhèn)鬏旀溌穼?shí)現(xiàn)數(shù)據(jù)分享，數(shù)據(jù)經(jīng)過交叉表決后進(jìn)行控制律計(jì)算，對計(jì)算結(jié)果進(jìn)行交叉表決后將表決值發(fā)送給伺服器。單個(gè)通道內(nèi)的各個(gè)模塊之間通過局部總線互相訪問。

1.2 軟件組成

飛控計(jì)算機(jī)軟件的功能根據(jù)系統(tǒng)需求完成自動(dòng)駕駛、飛行指引、自動(dòng)油門及調(diào)效機(jī)構(gòu)配平系統(tǒng)功能。飛控計(jì)算機(jī)軟件由地面支持部件、操作系統(tǒng)部件、飛行操作部件、自測試部件四部分組成。

1.3 軟件控制流程

飛控計(jì)算機(jī)加電進(jìn)入正常工作后，根據(jù)不同速率組周期采集相關(guān)部件的離散量、模擬量、數(shù)字量信號，交叉?zhèn)鬏敽筮M(jìn)行數(shù)據(jù)表決，表決后的值進(jìn)行控制律計(jì)算，將控制律計(jì)算的結(jié)果通過429總線傳輸給伺服放大器計(jì)算機(jī)和油門桿伺服放大器，分別完成自動(dòng)駕駛及自動(dòng)油門的功能，同時(shí)實(shí)現(xiàn)系統(tǒng)測試及信息監(jiān)控。

2 軟件設(shè)計(jì)

2.1 操作系統(tǒng)軟件

計(jì)算機(jī)操作系統(tǒng)軟件是計(jì)算機(jī)的核心程序，由實(shí)時(shí)多任務(wù)操作系統(tǒng)Vxworks和設(shè)備驅(qū)動(dòng)程序功能模塊組成，負(fù)責(zé)整機(jī)資源的調(diào)度和管理，包括處理器、內(nèi)外存、中斷、接口和任務(wù)管理等，使全系統(tǒng)可靠運(yùn)行，為計(jì)算機(jī)應(yīng)用軟件的運(yùn)行提供支持，并為計(jì)算機(jī)提供軟件開發(fā)及系統(tǒng)維護(hù)平臺。

2.2 飛行操作軟件

飛行操作軟件分為自動(dòng)駕駛儀飛行操作軟件和自動(dòng)油門飛行操作軟件。自動(dòng)飛行控制系統(tǒng)飛行操作軟件利用系統(tǒng)軟件提供的支持，根據(jù)自動(dòng)駕駛儀的狀態(tài)、飛行員操縱信號和傳感器測量到的飛機(jī)運(yùn)動(dòng)狀態(tài)進(jìn)行控制律計(jì)算，以完成對控制舵機(jī)的控制。自動(dòng)油門控制系統(tǒng)飛行操作軟件利用系統(tǒng)軟件提供的支持，根據(jù)自動(dòng)油門控制系統(tǒng)的狀態(tài)、傳感器測量到的飛機(jī)速度、姿態(tài)信號以及發(fā)動(dòng)機(jī)狀態(tài)的進(jìn)行控制律計(jì)算，以完成對油門桿的控制。

2.3 自測試軟件

自測試軟件駐留在飛控計(jì)算機(jī)中，按不同階段將自測試軟件分為四種：上電BIT（PUBIT）、飛行前BIT（PBIT）、飛行中BIT（IFBIT）、維護(hù)BIT（MBIT），每一個(gè)模式有不同的啟動(dòng)方式，每一個(gè)模式測試不同的設(shè)備和資源。

1）上電BIT是計(jì)算機(jī)在上電啟動(dòng)過程中進(jìn)行的一種皆在檢測計(jì)算機(jī)的基本硬件完好成程度的機(jī)內(nèi)自檢側(cè)模態(tài)。

2）飛行前BIT是飛機(jī)處于地面，系統(tǒng)處于工作狀態(tài)下，飛行員扳動(dòng)系統(tǒng)自測開關(guān)，計(jì)算機(jī)在地面所做的一系列自動(dòng)或半自動(dòng)的檢測。

3）IFBIT由兩部分組成，即系統(tǒng)的余度管理和系統(tǒng)的在線自監(jiān)控，兩種功能的結(jié)合，構(gòu)成了系統(tǒng)飛行中對故障的檢測與監(jiān)控。

4）MBIT是一個(gè)人機(jī)交互過程，用來協(xié)助維護(hù)人員對系統(tǒng)的故障進(jìn)行檢測、定位與故障顯示。在MBIT的執(zhí)行過程中，操作者可以選擇不同的檢測模式、測試項(xiàng)目。

2.4 地面支持軟件

地面支持軟件包括Tornado開發(fā)環(huán)境及在線編程。Tornado開發(fā)環(huán)境支持用戶開發(fā)程序，并支持完成程序的編譯、連接、加載、運(yùn)行以及符號調(diào)試。在線編程用于在開發(fā)狀態(tài)將軟件固化在flash中。

3 余度管理算法具體設(shè)計(jì)

余度管理的主要任務(wù)是進(jìn)行系統(tǒng)故障檢測和對故障部件的隔離，另外還應(yīng)負(fù)責(zé)故障的記錄、申報(bào)和處理。余度管理軟件管理著駕駛儀系統(tǒng)有余度配置的信號源、計(jì)算機(jī)和伺服機(jī)構(gòu)等部件。

3.1 同步設(shè)計(jì)

同步算法采用軟件控制為主，硬件鏈路為輔的設(shè)計(jì)策略，利用雙握手同步算法實(shí)現(xiàn)通道間的同步。同步過程主要分為初始同步和周期同步。

初始同步：系統(tǒng)完成初始化、PUBIT后，在進(jìn)入周期任務(wù)之前，飛控計(jì)算機(jī)的兩通道間首次握手同步，初始同步的兩次握手最大等待時(shí)限為1秒。該過程要清看門狗計(jì)時(shí)器。當(dāng)初始同步失敗后，軟件不再執(zhí)行周期任務(wù)，在NVM中記錄初始同步故障，此臺飛控計(jì)算機(jī)失去接通控制的權(quán)限。

周期同步：在每個(gè)小幀周期任務(wù)執(zhí)行之前，飛控計(jì)算機(jī)的兩通道間要進(jìn)行周期同步。周期同步的最大允許等待時(shí)間為240微秒。該過程不清看門狗計(jì)時(shí)器。如果本地通道與另一個(gè)通道同步失敗，在NVM中記錄周期同步故障，繼續(xù)執(zhí)行周期任務(wù)，若連續(xù)超過故障門限均同步失敗將不再執(zhí)行周期任務(wù)，此臺飛控計(jì)算機(jī)失去接通控制的權(quán)限。

3.2 交叉?zhèn)鬏敚–CDL）設(shè)計(jì)

飛控計(jì)算機(jī)之間以及計(jì)算機(jī)內(nèi)部通道之間采用CCDL通訊鏈路實(shí)現(xiàn)數(shù)據(jù)共享，實(shí)現(xiàn)輸入信號進(jìn)行交叉表決和輸出指令信號進(jìn)行交叉表決。通道間的通訊鏈路CCDL采用串行2M bit/s，曼徹斯特編碼格式，串行差分傳輸?shù)男问?，具有CCDL數(shù)據(jù)包校驗(yàn)測試功能。

3.3 表決監(jiān)控設(shè)計(jì)

3.3.1 表決管理

系統(tǒng)表決管理是余度管理的核心，絕大多數(shù)的故障均是由多數(shù)表決發(fā)現(xiàn)的。主要分為信號源的表決管理、飛控計(jì)算機(jī)的表決管理、伺服器的表決管理。

1）信號源的表決管理。信號源包括單余度信號源和雙余度信號源。對于單余度信號源，兩通道進(jìn)行交叉?zhèn)鬏敽螳@得的值進(jìn)行比較，如果正常，則取A通道的值作為表決值，否則取故障安全值。單套信號源在故障標(biāo)定后不允許故障恢復(fù)。對于雙余度信號源根據(jù)余度表決原則取值，三余度排序取中值，兩余度取均值，允許故障恢復(fù)。信號源表決根據(jù)信號源自監(jiān)控、互比監(jiān)控的結(jié)果選取有效的信號源。

2）飛控計(jì)算機(jī)表決管理。計(jì)算機(jī)內(nèi)運(yùn)行相同的軟件，采用相同的工作程序，采集來自系統(tǒng)的信號（離散量、模擬量和數(shù)字量）、并進(jìn)行相應(yīng)的處理和計(jì)算，輸出相同的指令。

飛控計(jì)算機(jī)的表決管理主要監(jiān)控系統(tǒng)采集處理過程和計(jì)算輸出過程中的故障。采集處理過程總是對應(yīng)具體的硬件接口，永久故障將被標(biāo)定在相應(yīng)的接口上，稱為接口余度管理。計(jì)算結(jié)果的余度管理主要標(biāo)定的是核心處理資源的故障如CPU、RAM等。

3）伺服器表決管理。伺服器是控制指令的執(zhí)行單元，提供舵機(jī)位置反饋信號，接受舵面控制信號。伺服器的表決管理主要采用多數(shù)表決舵機(jī)位置反饋信號的策略。

3.3.2 監(jiān)控管理

監(jiān)控管理實(shí)現(xiàn)對輸入信號、輸出信號和舵機(jī)指令進(jìn)行故障的監(jiān)控、隔離和抑制。系統(tǒng)的監(jiān)控管理采用多種監(jiān)控手段，主要分為：信號源監(jiān)控、計(jì)算機(jī)監(jiān)控、伺服回路監(jiān)控。

1）信號源監(jiān)控。當(dāng)前小幀的監(jiān)控結(jié)果應(yīng)對下一小幀的表決產(chǎn)生影響，信號源的監(jiān)控分配到多個(gè)小幀共同完成（基于不同的判定條件及時(shí)限），每幀形成信號源監(jiān)控離散量LIM，下一幀表決取值時(shí)通過讀取該離散量決定信號源是否參加表決任務(wù)。

監(jiān)控還將生成監(jiān)控?cái)?shù)據(jù)結(jié)構(gòu)體，故障處理任務(wù)將對該數(shù)據(jù)分析并且進(jìn)行相應(yīng)處理。如果信號源故障，故障信息還應(yīng)記錄在NVRAM中，同時(shí)上報(bào)告警系統(tǒng)。

信號源的監(jiān)控策略主要有以下組成：通訊故障判斷、數(shù)據(jù)有效位監(jiān)控、數(shù)據(jù)監(jiān)控（信號源的互比監(jiān)控）、信號源性能監(jiān)控、信號源設(shè)備有效信號判斷。

2）計(jì)算機(jī)監(jiān)控。計(jì)算機(jī)監(jiān)控包括模擬量互比監(jiān)控、離散量互比監(jiān)控、數(shù)字量互比監(jiān)控、在線監(jiān)控。

在線監(jiān)控主要是建立在系統(tǒng)硬件的平臺上的監(jiān)控，包括故障邏輯監(jiān)控、指令輸出回繞監(jiān)控、軟件控制流監(jiān)控、主幀同步監(jiān)控、CCDL監(jiān)控、二次電源精度監(jiān)控、通道自監(jiān)控（IFBIT）。

3）伺服回路監(jiān)控。伺服回路監(jiān)控包括：伺服放大器AB通道互比監(jiān)控、離合器電源的監(jiān)控。

伺服放大器AB通道互比監(jiān)控：對伺服回路的反饋信號進(jìn)行門限設(shè)置監(jiān)控。

離合器電源的監(jiān)控：對舵機(jī)離合器接通和釋放電壓進(jìn)行監(jiān)控。

3.4 故障

按照故障特性可以將飛控系統(tǒng)故障分為瞬時(shí)故障和永久故障。瞬時(shí)故障是在系統(tǒng)能夠容忍的時(shí)間內(nèi)出現(xiàn)的故障，并能在容忍時(shí)間內(nèi)恢復(fù)正常，瞬時(shí)故障出現(xiàn)時(shí)僅作故障記錄。當(dāng)瞬時(shí)故障超過系統(tǒng)容忍時(shí)間時(shí)轉(zhuǎn)為永久性故障，永久性故障出現(xiàn)時(shí)要作故障記錄，并根據(jù)故障等級做相應(yīng)的處理。

1）故障等級分類。飛控系統(tǒng)故障狀態(tài)按其對飛行安全影響的程度進(jìn)行分類：

Ⅰ類故障：危及飛行安全的不可控故障以及導(dǎo)致系統(tǒng)工作無法進(jìn)行的故障；

Ⅱ類故障：危及飛行安全的可控故障；

Ⅲ類故障：影響系統(tǒng)功能完整而不會危及飛行安全的可控故障，此類故障發(fā)生飛控計(jì)算機(jī)可禁止某些功能或模態(tài)的使用。

2）故障處理流程。故障處理流程有如下幾部分：故障檢測、故障申報(bào)、故障計(jì)數(shù)、故障等級判定、故障隔離、故障恢復(fù)、故障告警及故障記錄。以上各處理環(huán)節(jié)均在動(dòng)態(tài)速率組任務(wù)中執(zhí)行。圖1為故障處理流程示意圖。

4 結(jié)論

飛行操作軟件是飛控計(jì)算機(jī)軟件的核心程序，完成對自動(dòng)駕駛子系統(tǒng)、飛行指引子系統(tǒng)和自動(dòng)油門子系統(tǒng)的控制。其中的余度管理模塊軟件提供對主/從飛控計(jì)算機(jī)和單機(jī)雙通道的管理，是容錯(cuò)飛控系統(tǒng)的關(guān)鍵技術(shù)。

針對本文特定的雙雙余度飛控計(jì)算機(jī)架構(gòu)，為了增強(qiáng)系統(tǒng)的配置、調(diào)度性能，同時(shí)使控制系統(tǒng)具備機(jī)內(nèi)自檢測功能，提高系統(tǒng)的可測試性，減少維護(hù)時(shí)間，特設(shè)計(jì)了此余度的飛控計(jì)算機(jī)系統(tǒng)軟件。該系統(tǒng)軟件架構(gòu)清晰，結(jié)構(gòu)明確，減少了開發(fā)成本和時(shí)間，并且提高了系統(tǒng)的可靠性，為飛機(jī)的再次出動(dòng)率和生存能力起著重要作用。

參考文獻(xiàn)：

[1] 牛文生.機(jī)載計(jì)算機(jī)技術(shù)[M].北京：航空工業(yè)出版社，2013.

[2] 王道彬，陳懷民，康芳，吳成富.三余度飛控系統(tǒng)余度管理算法設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)測量與控制，2007，15（11）：1621-1623.

基金項(xiàng)目：

本課題由國家重大專項(xiàng)項(xiàng)目資助，得到航空科學(xué)基金：基于BIP的機(jī)載多級安全形式化證明理論和方法研究的資助。

作者簡介：

馬超，男，漢族，陜西西安人，碩士，工程師，研究方向：機(jī)載計(jì)算機(jī)嵌入式航空軟件。