王曉勇，李興智

（中國航空工業(yè)集團公司西安航空計算技術研究所，西安 710065）

隨著多電飛機的發(fā)展，機載機電系統進一步綜合化，綜合化的系統架構對電子設備的任務可靠性要求更高。在電子設備的設計過程中相應的出現了主備控制、雙余度控制和多余度控制的產品架構；根據模塊功能的區(qū)別，形成了同構型設計、非相似余度設計等產品配置；供電模塊也相應的分為分布式、綜合式供電等供電模式；各種架構設計均是為了通過硬件設計減少產品的共模故障，提高了任務執(zhí)行的可靠性。

本文以某機載機電子系統控制器為對象，進行了余度控制相關技術的研究分析。

1 產品架構設計

產品采用同構型主備控制架構設計，簡化設計工作，提升產品的三化水平，總體架構如圖1所示。

圖1 產品架構圖

2塊中央處理模塊為同構型設計，默認中央處理模塊1為主控狀態(tài)，中央處理模塊2為熱備份狀態(tài)，產品正常上電后，主備處理器模塊通過硬線連接進行同步，同步完成后，主處理器模塊故障時，主處理器模塊上的通道故障邏輯電路終止其對接口模塊的控制，備處理器模塊檢測到主模塊故障后，接管輸出控制任務。2塊電源模塊為同構型設計，一塊給中央處理器模塊1和接口模塊1提供二次電源，另一塊給中央處理器模塊2和接口模塊2供電，雙供電電路無交匯點。

2 主備同步設計

同步功能實現主備處理器模塊任務運行的實時匹配，通過硬線連接設計主備同步電路，在軟件中設計上電同步和周期同步，上電同步在模塊BIT 運行之后執(zhí)行，同步等待時間指標較長，保證主備處理器模塊接收的接口狀態(tài)和下發(fā)指令一致；周期同步每個任務周期執(zhí)行一次，同步等待時間指標較短，保證主備通道切換后，輸出控制任務的無縫接管。

同步過程采用硬線握手算法實現，具體如下：

（1）控制本通道同步信號輸出“1”，并等待對方通道同步控制信號。

（2）若檢測接收到對方通道同步控制信號為“1”，控制本通道同步信號輸出“0”并等待對方通道同步控制信號。

（3）若檢測接收到對方通道同步控制信號為“0”，則同步完成。

（4）若等待超時，則通道同步失敗，記錄該故障狀態(tài)后上報。

3 主備通道切換

主處理器模塊故障時，通道切換電路應保證備處理器模塊可以及時接管任務，實現和外部系統的通信。通道切換邏輯（CFL）負責采集模塊工作狀態(tài)，并將狀態(tài)信號發(fā)送給CPLD；CPLD 編程實現切換邏輯，并將邏輯輸出使能信號下發(fā)給輸出執(zhí)行電路。

通道故障應具有以下功能：

（1）上電自鎖功能：主備通道故障邏輯應保證本模塊接口在默認情況下均處于安全狀態(tài)。

（2）輸出控制：主備通道故障邏輯應保證本通道與剎車接口模塊和前輪轉彎接口模塊輸出執(zhí)行電路的關閉或使能。

CFL 硬件設計。通道切換邏輯的主要載體為CPLD 芯片，處理邏輯由CPLD 編程實現，使用VHDL 語言編碼。CFL 硬件設計如圖2所示。通道故障邏輯設計如圖3示。

圖2 CFL硬件設計

圖3 通道故障邏輯關系

4 交叉鏈路傳輸和心跳監(jiān)控

交叉鏈路傳輸（CCDL）和心跳監(jiān)控都是為了主備處理器之間進行相互工作狀態(tài)確認及數據備份交換。

交叉鏈路傳輸內容包括兩部分：一是CPU 工作狀態(tài)、本CPU 模塊的BIT 結果、輸出使能狀態(tài)；二是外部監(jiān)控總線和指令總線的通信數據。

其中，1項用于狀態(tài)監(jiān)控，主備切換；2項用于防止本CPU模塊與外部系統交聯的總線故障時，依舊可以獲取外部系統數據。當交叉鏈路傳輸故障時，主備處理器模塊的工作狀態(tài)通過彼此的心跳信號、輸出使能信號進行確認，交叉鏈路傳輸所傳輸的數據僅作為備份數據；同時，主備CPU 與外部系統的雙余度總線設計失效，降級為單路的總線通信。

心跳監(jiān)控用于自主獲取對方處理器工作狀態(tài)，定時器中斷開啟后，軟件按照N 個單任務周期的時間周期進行兩路心跳字接收檢測。當同時收到1或者同時受到0則心跳正常，否則心跳異常。心跳異常時，異常計數加1，心跳異常計數大于X 時報心跳故障。心跳故障時，再檢測CCDL 傳輸的對方工作狀態(tài)，若CCDL 數據同時故障，則進行自主通道切換。

5 結束語

為了提高機載電子設備綜合后的安全性和可靠性，該電子控制器設計為主備處理控制、接口獨立的余度架構，本文對其余度管理相關的同步、通道故障切換和交叉鏈路傳輸進行了研究，該余度架構技術已經過了多項系統綜合試驗，可以提高系統的任務可靠性。