马超 郭勇 刘意 王亮 马倩
摘 要:飞控计算机是自动飞行控制系统数据处理、控制和综合的核心,其可靠性对飞机的飞行安全有着至关重要的影响。通常采用余度设计提升飞行控制系统的可靠性和容错能力,余度设计的关键技术就是余度管理策略和方法,系统的故障容错能力主要是通过余度管理功能来实现的。针对本文提出的双双余度飞控计算机架构,详细描述了其余度管理算法的设计流程,采用这样的设计模式使得系统软件架构清晰,结构明确,大大提高了飞控系统安全性和可靠性的要求。
关键词:双双余度;飞控计算机;余度管理;容错性
飞控计算机是面向飞行控制系统应用的计算机,主要任务是完成控制率计算、余度管理和机内自检测[ 1 ]。
飞行控制系统是安全关键系统,为此,对飞控计算机的安全性和可靠性提出了极高的要求,军用飞机飞控系统的可靠性要求为1.0×10-7/飞行小时以上(民机为10-9/飞行小时)[ 2 ],同时还必须满足一次故障工作、二次故障安全的安全等级。因此,飞控计算机通常采用余度技术以满足上述要求。
本文提出的飞控计算机采用了双双余度架构,其容错系统的关键技术就是余度管理,余度管理是决定系统可靠性的关键因素,也是容错管理的主要功能。系统的故障容错能力主要是通过系统的余度管理来实现的。
本文概要介绍了双双余度飞控计算机系统软件的架构设计,并对余度管理算法做出了详细的描述,该设计方法很好的应用于飞控系统软件的开发中,大大提高了飞控系统的容错性和可靠性。
1 系统概述
1.1 体系结构设计
双双余度飞控计算机采用2×2相似余度构型,系统包含2台相同构型的飞控计算机,每台飞控计算机机箱内包含命令通道(A通道)和监控通道(B通道)两个通道。2台飞控计算机间可互换,计算机内命令通道和监控通道具有相同的硬件设计,运行相同软件。两台计算机之间采用松耦合的交联方式,不设置同步总线。单台飞控计算机内的命令通道和监控通道采用同步工作方式,命令通道和监控通道分别独立接受总线信息,两通道之间通过交叉传输链路实现数据分享,数据经过交叉表决后进行控制律计算,对计算结果进行交叉表决后将表決值发送给伺服器。单个通道内的各个模块之间通过局部总线互相访问。
1.2 软件组成
飞控计算机软件的功能根据系统需求完成自动驾驶、飞行指引、自动油门及调效机构配平系统功能。飞控计算机软件由地面支持部件、操作系统部件、飞行操作部件、自测试部件四部分组成。
1.3 软件控制流程
飞控计算机加电进入正常工作后,根据不同速率组周期采集相关部件的离散量、模拟量、数字量信号,交叉传输后进行数据表决,表决后的值进行控制律计算,将控制律计算的结果通过429总线传输给伺服放大器计算机和油门杆伺服放大器,分别完成自动驾驶及自动油门的功能,同时实现系统测试及信息监控。
2 软件设计
2.1 操作系统软件
计算机操作系统软件是计算机的核心程序,由实时多任务操作系统Vxworks和设备驱动程序功能模块组成,负责整机资源的调度和管理,包括处理器、内外存、中断、接口和任务管理等,使全系统可靠运行,为计算机应用软件的运行提供支持,并为计算机提供软件开发及系统维护平台。
2.2 飞行操作软件
飞行操作软件分为自动驾驶仪飞行操作软件和自动油门飞行操作软件。自动飞行控制系统飞行操作软件利用系统软件提供的支持,根据自动驾驶仪的状态、飞行员操纵信号和传感器测量到的飞机运动状态进行控制律计算,以完成对控制舵机的控制。自动油门控制系统飞行操作软件利用系统软件提供的支持,根据自动油门控制系统的状态、传感器测量到的飞机速度、姿态信号以及发动机状态的进行控制律计算,以完成对油门杆的控制。
2.3 自测试软件
自测试软件驻留在飞控计算机中,按不同阶段将自测试软件分为四种:上电BIT(PUBIT)、飞行前BIT(PBIT)、飞行中BIT(IFBIT)、维护BIT(MBIT),每一个模式有不同的启动方式,每一个模式测试不同的设备和资源。
1)上电BIT是计算机在上电启动过程中进行的一种皆在检测计算机的基本硬件完好成程度的机内自检侧模态。
2)飞行前BIT是飞机处于地面,系统处于工作状态下,飞行员扳动系统自测开关,计算机在地面所做的一系列自动或半自动的检测。
3)IFBIT由两部分组成,即系统的余度管理和系统的在线自监控,两种功能的结合,构成了系统飞行中对故障的检测与监控。
4)MBIT是一个人机交互过程,用来协助维护人员对系统的故障进行检测、定位与故障显示。在MBIT的执行过程中,操作者可以选择不同的检测模式、测试项目。
2.4 地面支持软件
地面支持软件包括Tornado开发环境及在线编程。Tornado开发环境支持用户开发程序,并支持完成程序的编译、连接、加载、运行以及符号调试。在线编程用于在开发状态将软件固化在flash中。
3 余度管理算法具体设计
余度管理的主要任务是进行系统故障检测和对故障部件的隔离,另外还应负责故障的记录、申报和处理。余度管理软件管理着驾驶仪系统有余度配置的信号源、计算机和伺服机构等部件。
3.1 同步设计
同步算法采用软件控制为主,硬件链路为辅的设计策略,利用双握手同步算法实现通道间的同步。同步过程主要分为初始同步和周期同步。
初始同步:系统完成初始化、PUBIT后,在进入周期任务之前,飞控计算机的两通道间首次握手同步,初始同步的两次握手最大等待时限为1秒。该过程要清看门狗计时器。当初始同步失败后,软件不再执行周期任务,在NVM中记录初始同步故障,此台飞控计算机失去接通控制的权限。
周期同步:在每个小帧周期任务执行之前,飞控计算机的两通道间要进行周期同步。周期同步的最大允许等待时间为240微秒。该过程不清看门狗计时器。如果本地通道与另一个通道同步失败,在NVM中记录周期同步故障,继续执行周期任务,若连续超过故障门限均同步失败将不再执行周期任务,此台飞控计算机失去接通控制的权限。
3.2 交叉传输(CCDL)设计
飞控计算机之间以及计算机内部通道之间采用CCDL通讯链路实现数据共享,实现输入信号进行交叉表决和输出指令信号进行交叉表决。通道间的通讯链路CCDL采用串行2M bit/s,曼彻斯特编码格式,串行差分传输的形式,具有CCDL数据包校验测试功能。
3.3 表决监控设计
3.3.1 表决管理
系统表决管理是余度管理的核心,绝大多数的故障均是由多数表决发现的。主要分为信号源的表决管理、飞控计算机的表决管理、伺服器的表决管理。
1)信号源的表决管理。信号源包括单余度信号源和双余度信号源。对于单余度信号源,两通道进行交叉传输后获得的值进行比较,如果正常,则取A通道的值作为表决值,否则取故障安全值。单套信号源在故障标定后不允许故障恢复。对于双余度信号源根据余度表决原则取值,三余度排序取中值,两余度取均值,允许故障恢复。信号源表决根据信号源自监控、互比监控的结果选取有效的信号源。
2)飞控计算机表决管理。计算机内运行相同的软件,采用相同的工作程序,采集来自系统的信号(离散量、模拟量和数字量)、并进行相应的处理和计算,输出相同的指令。
飞控计算机的表决管理主要监控系统采集处理过程和计算输出过程中的故障。采集处理过程总是对应具体的硬件接口,永久故障将被标定在相应的接口上,称为接口余度管理。计算结果的余度管理主要标定的是核心处理资源的故障如CPU、RAM等。
3)伺服器表决管理。伺服器是控制指令的执行单元,提供舵机位置反馈信号,接受舵面控制信号。伺服器的表决管理主要采用多数表决舵机位置反馈信号的策略。
3.3.2 监控管理
监控管理实现对输入信号、输出信号和舵机指令进行故障的监控、隔离和抑制。系统的监控管理采用多种监控手段,主要分为:信号源监控、计算机监控、伺服回路监控。
1)信号源监控。当前小帧的监控结果应对下一小帧的表决产生影响,信号源的监控分配到多个小帧共同完成(基于不同的判定条件及时限),每帧形成信号源监控离散量LIM,下一帧表决取值时通过读取该离散量决定信号源是否参加表决任务。
监控还将生成监控数据结构体,故障处理任务将对该数据分析并且进行相应处理。如果信号源故障,故障信息还应记录在NVRAM中,同时上报告警系统。
信号源的监控策略主要有以下组成:通讯故障判断、数据有效位监控、数据监控(信号源的互比监控)、信号源性能监控、信号源设备有效信号判断。
2)计算机监控。计算机监控包括模拟量互比监控、离散量互比监控、数字量互比监控、在线监控。
在线监控主要是建立在系统硬件的平台上的监控,包括故障逻辑监控、指令输出回绕监控、软件控制流监控、主帧同步监控、CCDL监控、二次电源精度监控、通道自监控(IFBIT)。
3)伺服回路监控。伺服回路监控包括:伺服放大器AB通道互比监控、离合器电源的监控。
伺服放大器AB通道互比监控:对伺服回路的反馈信号进行门限设置监控。
离合器电源的监控:对舵机离合器接通和释放电压进行监控。
3.4 故障
按照故障特性可以将飞控系统故障分为瞬时故障和永久故障。瞬时故障是在系统能够容忍的时间内出现的故障,并能在容忍时间内恢复正常,瞬时故障出现时仅作故障记录。当瞬时故障超过系统容忍时间时转为永久性故障,永久性故障出现时要作故障记录,并根据故障等级做相应的处理。
1)故障等级分类。飞控系统故障状态按其对飞行安全影响的程度进行分类:
Ⅰ类故障:危及飞行安全的不可控故障以及导致系统工作无法进行的故障;
Ⅱ类故障:危及飞行安全的可控故障;
Ⅲ类故障:影响系统功能完整而不会危及飞行安全的可控故障,此类故障发生飞控计算机可禁止某些功能或模态的使用。
2)故障处理流程。故障处理流程有如下几部分:故障检测、故障申报、故障计数、故障等级判定、故障隔离、故障恢复、故障告警及故障记录。以上各处理环节均在动态速率组任务中执行。图1为故障处理流程示意图。
4 結论
飞行操作软件是飞控计算机软件的核心程序,完成对自动驾驶子系统、飞行指引子系统和自动油门子系统的控制。其中的余度管理模块软件提供对主/从飞控计算机和单机双通道的管理,是容错飞控系统的关键技术。
针对本文特定的双双余度飞控计算机架构,为了增强系统的配置、调度性能,同时使控制系统具备机内自检测功能,提高系统的可测试性,减少维护时间,特设计了此余度的飞控计算机系统软件。该系统软件架构清晰,结构明确,减少了开发成本和时间,并且提高了系统的可靠性,为飞机的再次出动率和生存能力起着重要作用。
参考文献:
[1] 牛文生.机载计算机技术[M].北京:航空工业出版社,2013.
[2] 王道彬,陈怀民,康芳,吴成富.三余度飞控系统余度管理算法设计与实现[J].计算机测量与控制,2007,15(11):1621-1623.
基金项目:
本课题由国家重大专项项目资助,得到航空科学基金:基于BIP的机载多级安全形式化证明理论和方法研究的资助。
作者简介:
马超,男,汉族,陕西西安人,硕士,工程师,研究方向:机载计算机嵌入式航空软件。