吳凌涵,楊雪巍,盧 毅,朱曉丹,鄧 林

(中國航空工業(yè)集團(tuán) 成都飛機(jī)設(shè)計(jì)研究所，成都 610041)

0 引言

飛機(jī)機(jī)電系統(tǒng)主要由燃油系統(tǒng)、環(huán)控系統(tǒng)、供電系統(tǒng)、液壓系統(tǒng)、動力系統(tǒng)、應(yīng)急動力系統(tǒng)、剎車系統(tǒng)等組成，是飛機(jī)的重要平臺系統(tǒng)，用于保障飛機(jī)的正常運(yùn)行[1-2]。

為了提高飛機(jī)可靠性、維修性和保障性，并為飛機(jī)減重、減體積[3]，需對飛機(jī)機(jī)電系統(tǒng)的功能進(jìn)行整合，并采用機(jī)電系統(tǒng)綜合化設(shè)計(jì)技術(shù)[4]，形成機(jī)載機(jī)電管理系統(tǒng)(utility-subsystem management system,UMS)。UMS通過整合資源提高了飛機(jī)機(jī)電系統(tǒng)綜合化水平，但是系統(tǒng)故障失效時對飛機(jī)安全性的影響面也變得更大。因此為提高系統(tǒng)的可靠性和安全性[5]，結(jié)合經(jīng)濟(jì)性等系列因素權(quán)衡，UMS一般會采用雙通道的余度設(shè)計(jì)。對于雙通道冗余設(shè)計(jì)，如果系統(tǒng)不能正確識別故障通道，會導(dǎo)致輸出錯誤指令，反而會降低系統(tǒng)的可靠性和安全性，因此通道故障邏輯(channel failure logic,CFL)的設(shè)計(jì)顯得尤為重要。

然而，現(xiàn)階段雙通道系統(tǒng)的通道故障邏輯設(shè)計(jì)仍是短板，通常存在以下問題：①各通道只監(jiān)控自身狀態(tài)[6-7]，當(dāng)故障狀態(tài)下自監(jiān)控失效時，可能出現(xiàn)本通道工作異常，但無法切除故障通道的情況，造成系統(tǒng)功能喪失；②對故障模式的考慮不夠全面[8]，對故障的隔離能力有限；③通常不具備故障復(fù)位的能力。因此本文對通道故障邏輯的容錯和重構(gòu)技術(shù)進(jìn)行研究，提出了一種新型的通道故障邏輯設(shè)計(jì)，可以有效地識別和隔離故障通道，保證雙余度系統(tǒng)的高可靠性運(yùn)行。

1 雙通道機(jī)電管理系統(tǒng)架構(gòu)

雙通道UMS的系統(tǒng)架構(gòu)如圖1所示，核心為機(jī)電管理計(jì)算機(jī)(utility-subsystem management computer,UMC)。兩臺UMC與相關(guān)組件協(xié)同工作，實(shí)現(xiàn)機(jī)電系統(tǒng)控制、故障監(jiān)測及綜合告警、數(shù)據(jù)送顯，以及維護(hù)等功能。

圖1 機(jī)電管理系統(tǒng)架構(gòu)圖

兩臺UMC以完全對等的方式處理余度數(shù)據(jù)信息，運(yùn)行機(jī)電監(jiān)控和控制任務(wù)，信號以交叉數(shù)據(jù)鏈(cross channel data link,CCDL)互傳的方式在2臺UMC上形成完整的信號映射，實(shí)現(xiàn)數(shù)據(jù)共享。

機(jī)電各系統(tǒng)的狀態(tài)信號，以雙余度方式分別引入兩臺UMC，每臺UMC會將自身采集的信號，和來自CCDL的它機(jī)采集信號進(jìn)行比對，判斷數(shù)據(jù)有效性，采信表決后的有效值，再進(jìn)行系統(tǒng)控制律解算。

兩臺UMC的雙余度任務(wù)運(yùn)行方式，滿足對機(jī)電各系統(tǒng)的監(jiān)控和控制重要功能一次故障安全的要求。當(dāng)一臺UMC故障時，將自己的控制輸出信號自鎖，避免影響系統(tǒng)安全，此時對機(jī)電系統(tǒng)的監(jiān)控和控制功能由另外一臺UMC完成；當(dāng)兩臺UMC均故障時，兩臺均將輸出自鎖，此時機(jī)電系統(tǒng)核心功能由座艙開關(guān)與電氣控制盒實(shí)現(xiàn)，避免機(jī)電系統(tǒng)失控。

UMC將故障信息和采集的機(jī)電系統(tǒng)重要參數(shù)，通過高速數(shù)據(jù)總線和RS422串口送航電系統(tǒng)進(jìn)行處理[9]。飛機(jī)架構(gòu)決定了兩臺UMC共用一個輸出告警和顯示通道，因此兩臺UMC以主、備方式運(yùn)行和航電系統(tǒng)的通訊任務(wù)。通過故障通道邏輯保證在同一時刻，僅一臺UMC能向總線發(fā)送數(shù)據(jù)。通道故障邏輯設(shè)計(jì)的關(guān)鍵是要避免雙機(jī)都搶總線權(quán)，和雙機(jī)都放權(quán)這兩種情況。

2 通道故障邏輯設(shè)計(jì)

本文基于對通道故障邏輯設(shè)計(jì)關(guān)鍵要素的分析，提出一種新型的通道故障邏輯設(shè)計(jì)，該設(shè)計(jì)以本機(jī)自監(jiān)控為主，它機(jī)監(jiān)控和強(qiáng)制切除為輔，有效地實(shí)現(xiàn)故障定位和隔離。

2.1 故障定位和隔離

本文提出的通道故障邏輯設(shè)計(jì)架構(gòu)如圖2所示。

圖2 CFL電路架構(gòu)

本設(shè)計(jì)增強(qiáng)了通道故障監(jiān)控的完備性，覆蓋了以下3種情況：①當(dāng)本機(jī)故障時，若本機(jī)自監(jiān)控有效，可自身進(jìn)行故障隔離；②當(dāng)本機(jī)故障，且本機(jī)自監(jiān)控失效時，可通過它機(jī)監(jiān)控強(qiáng)行切除本通道，并改由它機(jī)接管系統(tǒng)；③當(dāng)雙機(jī)失效時，可通過總線對系統(tǒng)的監(jiān)控，進(jìn)行故障提醒和故障自動復(fù)位。

2.1.1 本機(jī)自監(jiān)控

本機(jī)自監(jiān)控電路如圖3所示。

圖3 本機(jī)自監(jiān)控示意圖

本機(jī)自監(jiān)控電路的輸入包含了影響通道狀態(tài)的所有關(guān)鍵要素，當(dāng)所有輸入均為正常狀態(tài)時，本機(jī)自監(jiān)控輸出才為有效(正常)；一旦某個輸入出現(xiàn)異常，可通過CFL正確定位到通道故障，并且可結(jié)合非易失存儲器(non-volatile memory,NVM)中的故障記錄信息，對故障原因進(jìn)行排查。

該設(shè)計(jì)的關(guān)鍵輸入包含以下內(nèi)容。

1)處理器有效(central-processing-unit valid,CPUV)：

CFL對影響系統(tǒng)運(yùn)行的關(guān)鍵狀態(tài)進(jìn)行了監(jiān)控，包含主控任務(wù)、航電處理任務(wù)以及機(jī)位信息。

UMC通過定時器對自身軟件的主控任務(wù)進(jìn)行監(jiān)控，若主控任務(wù)超時，則認(rèn)為任務(wù)監(jiān)控故障，會觸發(fā)CFL報故，并將故障記入NVM。另外，兩臺UMC需正確識別自己的機(jī)位，以保證系統(tǒng)工作的時序性和確定性。

若UMC的航電處理任務(wù)出現(xiàn)異常，也會觸發(fā)CFL報故。因?yàn)榭偩€通訊任務(wù)的失效，可能會造成總線不能正確從該通道獲取數(shù)據(jù)，需要CFL切換通道，由另外一臺UMC將雙機(jī)的重要信息發(fā)送到航電系統(tǒng)。航電處理任務(wù)的監(jiān)控分為兩方面，一方面若總線接口板(max bus interface,MBI)硬件BIT故障，會引發(fā)報故，另一方面，UMC自身會對總線通訊狀態(tài)進(jìn)行監(jiān)控，若連續(xù)多拍未收到總線數(shù)據(jù)，或連續(xù)多拍數(shù)據(jù)發(fā)送失敗，會引發(fā)報告航電處理任務(wù)異常，觸發(fā)CFL報故。

2)電源監(jiān)控有效(power supply valid,PSV)：

由電源模塊對二、三次電源進(jìn)行監(jiān)控，并將監(jiān)控到的電源信號值送往CFL進(jìn)行處理，CFL將該信號與期望值進(jìn)行比對，若差值在容差范圍內(nèi)，則認(rèn)為正常，否則認(rèn)為電源故障，觸發(fā)CFL報故并將故障記入NVM。

3)看門狗有效(watchdog valid,WDV)：

若軟件關(guān)鍵任務(wù)不及時喂狗，會觸發(fā)看門狗叫。該設(shè)計(jì)的輸入包含了表征關(guān)鍵任務(wù)運(yùn)行狀態(tài)的看門狗故障。

4)加載表征信號(GONOGO)：

本設(shè)計(jì)引入了用于表征UMC的處理器(central-processing-unit,CPU)是否已完成加載的GONOGO信號。該信號通過下拉電阻接地，UMC在上電復(fù)位的過程中，該信號保持為無效，UMC完成復(fù)位后信號為有效。將GONOGO作為CFL的輸入，可保證UMC在邏輯加載過程中，置自身整機(jī)狀態(tài)無效，不搶占總線權(quán)，不參與對它機(jī)監(jiān)控。

2.1.2 它機(jī)對本機(jī)監(jiān)控

它機(jī)對本機(jī)監(jiān)控的架構(gòu)如圖4所示。本通道故障時，為防止本機(jī)不能正確識別自身狀態(tài)，造成故障隔離失效，需要通過它機(jī)的監(jiān)控結(jié)果進(jìn)行故障隔離。

圖4 它機(jī)對本機(jī)的監(jiān)控示意圖

它機(jī)監(jiān)控是作為本機(jī)監(jiān)控的備份使用，當(dāng)它機(jī)監(jiān)控到本通道故障時，可以強(qiáng)行切除本通道。為了避免它機(jī)誤切除本通道的情況，它機(jī)監(jiān)控的設(shè)計(jì)應(yīng)該更為謹(jǐn)慎。因此本設(shè)計(jì)中，在它機(jī)自身整機(jī)工作正常的情況下，它機(jī)監(jiān)控才有效，一旦它機(jī)整機(jī)狀態(tài)輸出異常，會直接關(guān)閉對本機(jī)的監(jiān)控。它機(jī)通過CCDL獲取本機(jī)的任務(wù)運(yùn)行情況和PSV狀態(tài)來進(jìn)行監(jiān)控，因此該設(shè)計(jì)是在監(jiān)控到雙機(jī)之間的CCDL傳輸通道正常的情況下，才采信收到的狀態(tài)值，保證監(jiān)控信息的有效性。

產(chǎn)品剛上電時，“它機(jī)監(jiān)控上電復(fù)位指令”為無效，不參與對對方的監(jiān)控；當(dāng)產(chǎn)品進(jìn)入正常工作模式后，再自身觸發(fā)出復(fù)位指令，才開始監(jiān)控對方。通過復(fù)位指令，避免了UMC上電復(fù)位期間，誤切除對方通道的情況。

2.1.3 總線對系統(tǒng)監(jiān)控

兩臺UMC與航電的總線通信采用熱備份的余度方式。航電總線會周期查詢UMC在線情況，UMC也周期回復(fù)狀態(tài)。當(dāng)UMC故障時，通過CFL的本機(jī)自監(jiān)控或它機(jī)監(jiān)控，切換故障通道，由另一臺UMC完成與航電系統(tǒng)的總線通訊，并向航電上報通道故障告警。

當(dāng)兩臺UMC均故障，或通道切換出現(xiàn)異常時，UMC無法給航電回復(fù)自身狀態(tài)。航電未收到UMC回復(fù)的狀態(tài)時，一方面在座艙指示UMC不在線告警；另一方面通過硬線觸發(fā)UMC復(fù)位電路，進(jìn)行CFL自動復(fù)位。

2.2 CFL復(fù)位功能

該設(shè)計(jì)具備CFL上電復(fù)位和故障復(fù)位功能。UMC完成上電加載后，會自動產(chǎn)生“CFL上電復(fù)位信號”，CFL上電復(fù)位信號與機(jī)位進(jìn)行了關(guān)聯(lián)，A機(jī)的CFL上電復(fù)位信號早于B機(jī)，從而保證A、B機(jī)同時上電時，由A機(jī)占取總線權(quán)；當(dāng)雙機(jī)上電不同步時，則由先上電的產(chǎn)品占取總線權(quán)。

工作過程中發(fā)生通道故障時，正常情況下CFL電路能自動定位和切除故障通道，并上報通道故障的提示。飛行員或機(jī)務(wù)人員，可根據(jù)當(dāng)前實(shí)際工況進(jìn)行判斷，決定是否手動按壓故障復(fù)位開關(guān)。收到“故障復(fù)位指令”后，若該通道故障已消除，則可清除本通道故障的指示，但不會搶占它通道總線權(quán)。若兩臺UMC均故障或通道切換出現(xiàn)異常時，航電系統(tǒng)會通過硬線觸發(fā)UMC的CFL電路自動復(fù)位。

復(fù)位功能通過鎖存器實(shí)現(xiàn)，圖2中鎖存器的功能如表1所示，具體設(shè)計(jì)原理見章節(jié)3.3。

表1 鎖存器功能

2.3 安全態(tài)的保證

該設(shè)計(jì)能夠保證CPU上電復(fù)位階段和通道故障時，系統(tǒng)都處于安全態(tài)。

CPU上電復(fù)位階段通過GONOGO信號置本通道故障為存在；上電或工作過程中通道異常時，可通過自監(jiān)控或它機(jī)監(jiān)控置本通道故障為存在。一旦通道故障存在，MBI使能狀態(tài)輸出為不使能狀態(tài)，可保證不占取總線權(quán)。

另外，軟件初始化時會將輸出置于安全態(tài)；工作過程中檢測到通道故障時，UMC軟件會將通道輸出鎖定為無效狀態(tài)，切斷輸出控制信號，避免對系統(tǒng)安全造成影響。

2.4 上電自檢測

CFL上電時，會對自身狀態(tài)進(jìn)行自檢測，保證CFL電路自身正常。若自檢測失敗，則向航電系統(tǒng)報出CFL失效故障，并將檢測結(jié)果記錄在NVM中。

3 通道故障邏輯工作原理

CFL主要應(yīng)用于兩個工作場景：①上電初始化階段，通過CFL保證系統(tǒng)初態(tài)的穩(wěn)定性；②工作過程中，若通道故障時，通過CFL正確定位和切除故障通道。

CFL同時存在于A機(jī)和B機(jī)中，下面結(jié)合圖2～4，從A機(jī)的角度對通道故障邏輯的工作原理進(jìn)行介紹。

3.1 上電復(fù)位階段

A機(jī)上電復(fù)位過程中，通過GONOGO信號保證本機(jī)自監(jiān)控輸出結(jié)果D1為無效，因此本機(jī)有效性S無效，此時CFL復(fù)位信號R無效，A機(jī)本通道故障為存在，MBI使能輸出為不占權(quán)。A機(jī)不會搶占總線權(quán)，并鎖住本機(jī)控制輸出，不參與對它機(jī)故障的判斷。通過CFL保證了UMC在上電或復(fù)位過程中不影響系統(tǒng)的正常運(yùn)行。

若A機(jī)成功完成復(fù)位，則本機(jī)自監(jiān)控輸出結(jié)果D1有效，此時包含以下兩種情況：

1)B機(jī)復(fù)位不成功或B機(jī)在復(fù)位中，則B機(jī)不參與對A機(jī)故障的判斷，此時S有效，A機(jī)自動進(jìn)行CFL上電復(fù)位后，A機(jī)MBI使能輸出為占權(quán)，A機(jī)本通道故障為不存在；

2)B機(jī)復(fù)位成功，并監(jiān)控到A機(jī)工作正常，此時S有效，A機(jī)保持MBI使能輸出為占權(quán)，A機(jī)本通道故障為不存在。

若A機(jī)復(fù)位不成功，此時包含以下兩種情況：

1)B機(jī)復(fù)位成功并監(jiān)控到A機(jī)工作異常，它機(jī)對本機(jī)監(jiān)控D2無效，因此本機(jī)有效性S為無效，A機(jī)MBI使能輸出為放權(quán)，A機(jī)本通道故障存在，B機(jī)通過CFL占取總線權(quán)和系統(tǒng)控制權(quán)；

2)B機(jī)復(fù)位不成功，總線檢測到雙機(jī)故障，給出故障提示，并進(jìn)行CFL自動復(fù)位。

3.2 工作過程中

A機(jī)上電復(fù)位成功后占取總線權(quán)，然而工作過程中A機(jī)出現(xiàn)故障，此時包含以下3種情況：

1)A機(jī)自監(jiān)控到自身故障，本機(jī)自監(jiān)控輸出結(jié)果D1無效，本機(jī)有效性S為無效，A機(jī)MBI使能輸出為放權(quán)，A機(jī)本通道故障存在，由B機(jī)接管；

2)A機(jī)喪失自監(jiān)控能力，B機(jī)監(jiān)控到A機(jī)工作異常，它機(jī)對本機(jī)監(jiān)控D2無效，本機(jī)有效性S為無效，A機(jī)MBI使能輸出為放權(quán)，A機(jī)本通道故障存在，由B機(jī)接管；

3)B機(jī)工作異常，總線檢測到雙機(jī)故障，給出故障提示，并進(jìn)行CFL自動復(fù)位。

A機(jī)工作異常后，可通過自監(jiān)控或它機(jī)監(jiān)控，保證A機(jī)放權(quán)。此時打開了對B機(jī)總線接口的鎖定，若B機(jī)工作正常，可以接管總線權(quán)。

A機(jī)故障后，若收到故障復(fù)位指令，此時包含以下兩種情況：

1)A機(jī)未恢復(fù)正常，本機(jī)有效性S為無效，此時進(jìn)行CFL故障復(fù)位，A機(jī)本通道故障保持為存在；

2)A機(jī)恢復(fù)正常，本機(jī)有效性S為有效，此時進(jìn)行CFL故障復(fù)位，A機(jī)本通道故障為不存在，可解除對A機(jī)控制輸出的鎖定。

不管A機(jī)是否恢復(fù)正常，此時B機(jī)已經(jīng)占取總線，A機(jī)收到的它機(jī)MBI使能為占權(quán)，因此A機(jī)MBI使能輸出保持為放權(quán)，不會搶占總線權(quán)。

3.3 鎖存器設(shè)計(jì)

根據(jù)鎖存器功能需求，寫出鎖存器的真值表，如表2所示。

表2 鎖存器真值表

根據(jù)真值表，可寫出邏輯表達(dá)式：

Q′=SR+SQ=S(R+Q)

(1)

其邏輯圖如圖5所示。

圖5 鎖存器設(shè)計(jì)原理圖

4 仿真驗(yàn)證

前面主要從A機(jī)的角度對CFL的工作原理進(jìn)行了介紹，下面通過Simulink搭建仿真模型[10]，對A機(jī)和B機(jī)協(xié)同工作的真實(shí)場景進(jìn)行模擬，仿真架構(gòu)如圖6所示，其中圖2～4所示的通道故障邏輯電路封裝于仿真模塊內(nèi)。

圖6 仿真架構(gòu)圖

4.1 上電中發(fā)生故障

模擬A機(jī)上電過程中發(fā)生故障的情況，仿真結(jié)果如圖7所示。

圖7 上電中發(fā)生故障的仿真結(jié)果

從圖7看出，時刻①，A機(jī)CFL上電復(fù)位，同時注入A機(jī)故障，A機(jī)檢測到自身故障，將A機(jī)通道故障狀態(tài)保持為故障態(tài)，MBI使能狀態(tài)保持為放權(quán)。時刻②，B機(jī)CFL上電復(fù)位成功后，B機(jī)通道故障切換為正常態(tài)，B機(jī)監(jiān)測到A機(jī)未占權(quán)，B機(jī)MBI使能狀態(tài)切換為占權(quán)。時刻③，故障注入結(jié)束，A機(jī)通道故障狀態(tài)保持為故障態(tài)，MBI使能為放權(quán)。時刻④，進(jìn)行A機(jī)故障復(fù)位，A機(jī)通道故障狀態(tài)切換為正常態(tài)，B機(jī)已占權(quán)，A機(jī)MBI使能狀態(tài)保持為放權(quán)。

仿真結(jié)果證明該設(shè)計(jì)可以在上電復(fù)位階段通過本機(jī)監(jiān)控實(shí)現(xiàn)故障定位和隔離；并具備故障通道復(fù)位功能。

4.2 工作中發(fā)生故障

模擬A機(jī)和B機(jī)均正常上電，A機(jī)取得輸出權(quán)，工作過程中A機(jī)發(fā)生故障，然后進(jìn)行故障復(fù)位操作。仿真結(jié)果如圖8所示。

圖8 工作中發(fā)生故障的仿真結(jié)果

從圖8看出，時刻①，A機(jī)CFL上電復(fù)位成功后，A機(jī)通道故障狀態(tài)從復(fù)位前的故障態(tài)切換為正常態(tài)，MBI使能狀態(tài)切換為占權(quán)。時刻②，B機(jī)CFL上電復(fù)位成功后，B機(jī)從復(fù)位前的故障態(tài)切換為正常態(tài)，此時A機(jī)已占權(quán)，B機(jī)MBI使能狀態(tài)保持為放權(quán)。時刻③，注入A機(jī)故障，A機(jī)通道故障狀態(tài)切換為故障態(tài)，MBI使能狀態(tài)切換為放權(quán)，B機(jī)搶占總線權(quán)。時刻④，故障注入結(jié)束，A機(jī)通道故障狀態(tài)保持為故障態(tài)，MBI使能為放權(quán)。時刻⑤，進(jìn)行A機(jī)故障復(fù)位，A機(jī)通道故障狀態(tài)切換為正常態(tài)，此時B機(jī)已占權(quán)，A機(jī)MBI使能狀態(tài)保持為放權(quán)。

仿真結(jié)果證明該設(shè)計(jì)在上電復(fù)位成功之前，可以保證通道輸出為故障狀態(tài)；在工作中發(fā)生故障后，能通過本機(jī)或它機(jī)監(jiān)控實(shí)現(xiàn)故障定位和隔離，并進(jìn)行總線權(quán)的切換；并且具備故障通道復(fù)位功能。

5 結(jié)束語

本文對通道故障邏輯的原理和設(shè)計(jì)要素進(jìn)行了分析，開創(chuàng)性地提出了一種適用于機(jī)載雙通道UMS的新型通道故障邏輯設(shè)計(jì)。分析和仿真結(jié)果表明，該設(shè)計(jì)能夠正確定位故障通道，并有效進(jìn)行故障隔離，切除故障通道；可在上電復(fù)位階段和通道故障時，保證系統(tǒng)工作在安全態(tài)。該設(shè)計(jì)在不降低安全邊界的情況下，極大地提升了高層級安全系統(tǒng)的雙余度架構(gòu)的容錯能力和任務(wù)可靠性，保障機(jī)電管理系統(tǒng)正確地實(shí)現(xiàn)機(jī)電系統(tǒng)控制、故障監(jiān)測及綜合告警等功能，可為后續(xù)的改進(jìn)提供重要的參考依據(jù)。本文的設(shè)計(jì)理念可推廣到其他分布式機(jī)電綜合系統(tǒng)的設(shè)計(jì)與應(yīng)用中，具有廣闊的應(yīng)用前景。