机载机电管理系统通道故障逻辑设计

吴凌涵,杨雪巍,卢 毅,朱晓丹,邓 林

(中国航空工业集团 成都飞机设计研究所，成都 610041)

0 引言

飞机机电系统主要由燃油系统、环控系统、供电系统、液压系统、动力系统、应急动力系统、刹车系统等组成，是飞机的重要平台系统，用于保障飞机的正常运行[1-2]。

为了提高飞机可靠性、维修性和保障性，并为飞机减重、减体积[3]，需对飞机机电系统的功能进行整合，并采用机电系统综合化设计技术[4]，形成机载机电管理系统(utility-subsystem management system,UMS)。UMS通过整合资源提高了飞机机电系统综合化水平，但是系统故障失效时对飞机安全性的影响面也变得更大。因此为提高系统的可靠性和安全性[5]，结合经济性等系列因素权衡，UMS一般会采用双通道的余度设计。对于双通道冗余设计，如果系统不能正确识别故障通道，会导致输出错误指令，反而会降低系统的可靠性和安全性，因此通道故障逻辑(channel failure logic,CFL)的设计显得尤为重要。

然而，现阶段双通道系统的通道故障逻辑设计仍是短板，通常存在以下问题：①各通道只监控自身状态[6-7]，当故障状态下自监控失效时，可能出现本通道工作异常，但无法切除故障通道的情况，造成系统功能丧失；②对故障模式的考虑不够全面[8]，对故障的隔离能力有限；③通常不具备故障复位的能力。因此本文对通道故障逻辑的容错和重构技术进行研究，提出了一种新型的通道故障逻辑设计，可以有效地识别和隔离故障通道，保证双余度系统的高可靠性运行。

1 双通道机电管理系统架构

双通道UMS的系统架构如图1所示，核心为机电管理计算机(utility-subsystem management computer,UMC)。两台UMC与相关组件协同工作，实现机电系统控制、故障监测及综合告警、数据送显，以及维护等功能。

图1 机电管理系统架构图

两台UMC以完全对等的方式处理余度数据信息，运行机电监控和控制任务，信号以交叉数据链(cross channel data link,CCDL)互传的方式在2台UMC上形成完整的信号映射，实现数据共享。

机电各系统的状态信号，以双余度方式分别引入两台UMC，每台UMC会将自身采集的信号，和来自CCDL的它机采集信号进行比对，判断数据有效性，采信表决后的有效值，再进行系统控制律解算。

两台UMC的双余度任务运行方式，满足对机电各系统的监控和控制重要功能一次故障安全的要求。当一台UMC故障时，将自己的控制输出信号自锁，避免影响系统安全，此时对机电系统的监控和控制功能由另外一台UMC完成；当两台UMC均故障时，两台均将输出自锁，此时机电系统核心功能由座舱开关与电气控制盒实现，避免机电系统失控。

UMC将故障信息和采集的机电系统重要参数，通过高速数据总线和RS422串口送航电系统进行处理[9]。飞机架构决定了两台UMC共用一个输出告警和显示通道，因此两台UMC以主、备方式运行和航电系统的通讯任务。通过故障通道逻辑保证在同一时刻，仅一台UMC能向总线发送数据。通道故障逻辑设计的关键是要避免双机都抢总线权，和双机都放权这两种情况。

2 通道故障逻辑设计

本文基于对通道故障逻辑设计关键要素的分析，提出一种新型的通道故障逻辑设计，该设计以本机自监控为主，它机监控和强制切除为辅，有效地实现故障定位和隔离。

2.1 故障定位和隔离

本文提出的通道故障逻辑设计架构如图2所示。

图2 CFL电路架构

本设计增强了通道故障监控的完备性，覆盖了以下3种情况：①当本机故障时，若本机自监控有效，可自身进行故障隔离；②当本机故障，且本机自监控失效时，可通过它机监控强行切除本通道，并改由它机接管系统；③当双机失效时，可通过总线对系统的监控，进行故障提醒和故障自动复位。

2.1.1 本机自监控

本机自监控电路如图3所示。

图3 本机自监控示意图

本机自监控电路的输入包含了影响通道状态的所有关键要素，当所有输入均为正常状态时，本机自监控输出才为有效(正常)；一旦某个输入出现异常，可通过CFL正确定位到通道故障，并且可结合非易失存储器(non-volatile memory,NVM)中的故障记录信息，对故障原因进行排查。

该设计的关键输入包含以下内容。

1)处理器有效(central-processing-unit valid,CPUV)：

CFL对影响系统运行的关键状态进行了监控，包含主控任务、航电处理任务以及机位信息。

UMC通过定时器对自身软件的主控任务进行监控，若主控任务超时，则认为任务监控故障，会触发CFL报故，并将故障记入NVM。另外，两台UMC需正确识别自己的机位，以保证系统工作的时序性和确定性。

若UMC的航电处理任务出现异常，也会触发CFL报故。因为总线通讯任务的失效，可能会造成总线不能正确从该通道获取数据，需要CFL切换通道，由另外一台UMC将双机的重要信息发送到航电系统。航电处理任务的监控分为两方面，一方面若总线接口板(max bus interface,MBI)硬件BIT故障，会引发报故，另一方面，UMC自身会对总线通讯状态进行监控，若连续多拍未收到总线数据，或连续多拍数据发送失败，会引发报告航电处理任务异常，触发CFL报故。

2)电源监控有效(power supply valid,PSV)：

由电源模块对二、三次电源进行监控，并将监控到的电源信号值送往CFL进行处理，CFL将该信号与期望值进行比对，若差值在容差范围内，则认为正常，否则认为电源故障，触发CFL报故并将故障记入NVM。

3)看门狗有效(watchdog valid,WDV)：

若软件关键任务不及时喂狗，会触发看门狗叫。该设计的输入包含了表征关键任务运行状态的看门狗故障。

4)加载表征信号(GONOGO)：

本设计引入了用于表征UMC的处理器(central-processing-unit,CPU)是否已完成加载的GONOGO信号。该信号通过下拉电阻接地，UMC在上电复位的过程中，该信号保持为无效，UMC完成复位后信号为有效。将GONOGO作为CFL的输入，可保证UMC在逻辑加载过程中，置自身整机状态无效，不抢占总线权，不参与对它机监控。

2.1.2 它机对本机监控

它机对本机监控的架构如图4所示。本通道故障时，为防止本机不能正确识别自身状态，造成故障隔离失效，需要通过它机的监控结果进行故障隔离。

图4 它机对本机的监控示意图

它机监控是作为本机监控的备份使用，当它机监控到本通道故障时，可以强行切除本通道。为了避免它机误切除本通道的情况，它机监控的设计应该更为谨慎。因此本设计中，在它机自身整机工作正常的情况下，它机监控才有效，一旦它机整机状态输出异常，会直接关闭对本机的监控。它机通过CCDL获取本机的任务运行情况和PSV状态来进行监控，因此该设计是在监控到双机之间的CCDL传输通道正常的情况下，才采信收到的状态值，保证监控信息的有效性。

产品刚上电时，“它机监控上电复位指令”为无效，不参与对对方的监控；当产品进入正常工作模式后，再自身触发出复位指令，才开始监控对方。通过复位指令，避免了UMC上电复位期间，误切除对方通道的情况。

2.1.3 总线对系统监控

两台UMC与航电的总线通信采用热备份的余度方式。航电总线会周期查询UMC在线情况，UMC也周期回复状态。当UMC故障时，通过CFL的本机自监控或它机监控，切换故障通道，由另一台UMC完成与航电系统的总线通讯，并向航电上报通道故障告警。

当两台UMC均故障，或通道切换出现异常时，UMC无法给航电回复自身状态。航电未收到UMC回复的状态时，一方面在座舱指示UMC不在线告警；另一方面通过硬线触发UMC复位电路，进行CFL自动复位。

2.2 CFL复位功能

该设计具备CFL上电复位和故障复位功能。UMC完成上电加载后，会自动产生“CFL上电复位信号”，CFL上电复位信号与机位进行了关联，A机的CFL上电复位信号早于B机，从而保证A、B机同时上电时，由A机占取总线权；当双机上电不同步时，则由先上电的产品占取总线权。

工作过程中发生通道故障时，正常情况下CFL电路能自动定位和切除故障通道，并上报通道故障的提示。飞行员或机务人员，可根据当前实际工况进行判断，决定是否手动按压故障复位开关。收到“故障复位指令”后，若该通道故障已消除，则可清除本通道故障的指示，但不会抢占它通道总线权。若两台UMC均故障或通道切换出现异常时，航电系统会通过硬线触发UMC的CFL电路自动复位。

复位功能通过锁存器实现，图2中锁存器的功能如表1所示，具体设计原理见章节3.3。

表1 锁存器功能

2.3 安全态的保证

该设计能够保证CPU上电复位阶段和通道故障时，系统都处于安全态。

CPU上电复位阶段通过GONOGO信号置本通道故障为存在；上电或工作过程中通道异常时，可通过自监控或它机监控置本通道故障为存在。一旦通道故障存在，MBI使能状态输出为不使能状态，可保证不占取总线权。

另外，软件初始化时会将输出置于安全态；工作过程中检测到通道故障时，UMC软件会将通道输出锁定为无效状态，切断输出控制信号，避免对系统安全造成影响。

2.4 上电自检测

CFL上电时，会对自身状态进行自检测，保证CFL电路自身正常。若自检测失败，则向航电系统报出CFL失效故障，并将检测结果记录在NVM中。

3 通道故障逻辑工作原理

CFL主要应用于两个工作场景：①上电初始化阶段，通过CFL保证系统初态的稳定性；②工作过程中，若通道故障时，通过CFL正确定位和切除故障通道。

CFL同时存在于A机和B机中，下面结合图2～4，从A机的角度对通道故障逻辑的工作原理进行介绍。

3.1 上电复位阶段

A机上电复位过程中，通过GONOGO信号保证本机自监控输出结果D1为无效，因此本机有效性S无效，此时CFL复位信号R无效，A机本通道故障为存在，MBI使能输出为不占权。A机不会抢占总线权，并锁住本机控制输出，不参与对它机故障的判断。通过CFL保证了UMC在上电或复位过程中不影响系统的正常运行。

若A机成功完成复位，则本机自监控输出结果D1有效，此时包含以下两种情况：

1)B机复位不成功或B机在复位中，则B机不参与对A机故障的判断，此时S有效，A机自动进行CFL上电复位后，A机MBI使能输出为占权，A机本通道故障为不存在；

2)B机复位成功，并监控到A机工作正常，此时S有效，A机保持MBI使能输出为占权，A机本通道故障为不存在。

若A机复位不成功，此时包含以下两种情况：

1)B机复位成功并监控到A机工作异常，它机对本机监控D2无效，因此本机有效性S为无效，A机MBI使能输出为放权，A机本通道故障存在，B机通过CFL占取总线权和系统控制权；

2)B机复位不成功，总线检测到双机故障，给出故障提示，并进行CFL自动复位。

3.2 工作过程中

A机上电复位成功后占取总线权，然而工作过程中A机出现故障，此时包含以下3种情况：

1)A机自监控到自身故障，本机自监控输出结果D1无效，本机有效性S为无效，A机MBI使能输出为放权，A机本通道故障存在，由B机接管；

2)A机丧失自监控能力，B机监控到A机工作异常，它机对本机监控D2无效，本机有效性S为无效，A机MBI使能输出为放权，A机本通道故障存在，由B机接管；

3)B机工作异常，总线检测到双机故障，给出故障提示，并进行CFL自动复位。

A机工作异常后，可通过自监控或它机监控，保证A机放权。此时打开了对B机总线接口的锁定，若B机工作正常，可以接管总线权。

A机故障后，若收到故障复位指令，此时包含以下两种情况：

1)A机未恢复正常，本机有效性S为无效，此时进行CFL故障复位，A机本通道故障保持为存在；

2)A机恢复正常，本机有效性S为有效，此时进行CFL故障复位，A机本通道故障为不存在，可解除对A机控制输出的锁定。

不管A机是否恢复正常，此时B机已经占取总线，A机收到的它机MBI使能为占权，因此A机MBI使能输出保持为放权，不会抢占总线权。

3.3 锁存器设计

根据锁存器功能需求，写出锁存器的真值表，如表2所示。

表2 锁存器真值表

根据真值表，可写出逻辑表达式：

Q′=SR+SQ=S(R+Q)

(1)

其逻辑图如图5所示。

图5 锁存器设计原理图

4 仿真验证

前面主要从A机的角度对CFL的工作原理进行了介绍，下面通过Simulink搭建仿真模型[10]，对A机和B机协同工作的真实场景进行模拟，仿真架构如图6所示，其中图2～4所示的通道故障逻辑电路封装于仿真模块内。

图6 仿真架构图

4.1 上电中发生故障

模拟A机上电过程中发生故障的情况，仿真结果如图7所示。

图7 上电中发生故障的仿真结果

从图7看出，时刻①，A机CFL上电复位，同时注入A机故障，A机检测到自身故障，将A机通道故障状态保持为故障态，MBI使能状态保持为放权。时刻②，B机CFL上电复位成功后，B机通道故障切换为正常态，B机监测到A机未占权，B机MBI使能状态切换为占权。时刻③，故障注入结束，A机通道故障状态保持为故障态，MBI使能为放权。时刻④，进行A机故障复位，A机通道故障状态切换为正常态，B机已占权，A机MBI使能状态保持为放权。

仿真结果证明该设计可以在上电复位阶段通过本机监控实现故障定位和隔离；并具备故障通道复位功能。

4.2 工作中发生故障

模拟A机和B机均正常上电，A机取得输出权，工作过程中A机发生故障，然后进行故障复位操作。仿真结果如图8所示。

图8 工作中发生故障的仿真结果

从图8看出，时刻①，A机CFL上电复位成功后，A机通道故障状态从复位前的故障态切换为正常态，MBI使能状态切换为占权。时刻②，B机CFL上电复位成功后，B机从复位前的故障态切换为正常态，此时A机已占权，B机MBI使能状态保持为放权。时刻③，注入A机故障，A机通道故障状态切换为故障态，MBI使能状态切换为放权，B机抢占总线权。时刻④，故障注入结束，A机通道故障状态保持为故障态，MBI使能为放权。时刻⑤，进行A机故障复位，A机通道故障状态切换为正常态，此时B机已占权，A机MBI使能状态保持为放权。

仿真结果证明该设计在上电复位成功之前，可以保证通道输出为故障状态；在工作中发生故障后，能通过本机或它机监控实现故障定位和隔离，并进行总线权的切换；并且具备故障通道复位功能。

5 结束语

本文对通道故障逻辑的原理和设计要素进行了分析，开创性地提出了一种适用于机载双通道UMS的新型通道故障逻辑设计。分析和仿真结果表明，该设计能够正确定位故障通道，并有效进行故障隔离，切除故障通道；可在上电复位阶段和通道故障时，保证系统工作在安全态。该设计在不降低安全边界的情况下，极大地提升了高层级安全系统的双余度架构的容错能力和任务可靠性，保障机电管理系统正确地实现机电系统控制、故障监测及综合告警等功能，可为后续的改进提供重要的参考依据。本文的设计理念可推广到其他分布式机电综合系统的设计与应用中，具有广阔的应用前景。