失速告警计算机数据完整性设计

张美仙 宣晓刚 杨飞 贾少龙 魏璐达

（太原航空仪表有限公司 山西省太原市 030006）

为了阻止飞机进入大迎角状态进而防止其失速，中国民用航空局（CAAC）和美国联邦航空管理局（FAA）规定，失速告警系统是民用运输类飞机必不可少的机载系统。欧美国家的飞机设计、制造业对失速告警系统的研究和应用开展较早也较为深入，随着我国民用飞机产业的发展，将失速告警系统国产化已是迫切之需，其中，失速告警计算机作为失速告警系统的核心处理控制设备，其适航性、高完整性、高安全性、高可靠性的设计不仅是整个系统的关键环节，而且也有利于提高我国机载设备的自主研制能力，带动国内民机产业链发展。

本文以相关适航规章、标准、指南及设备需求为出发点，结合工程实践，从五个方面分析了失速告警计算机数据完整性的设计考虑。

1 失速告警计算机功能概述

失速告警系统在飞机全飞行过程中采集迎角、飞行速度、姿态、襟缝翼状态、结冰状态等信息，计算飞机当前升力迎角及临界迎角。当飞机达到失速告警判定条件或存在失速趋势时，系统通过灯光、声音和振杆器向机组人员发出灯光、声音和抖杆告警信号，并通过标准数字总线向其它机载设备发送相关参数。典型的失速告警系统构型由2 只迎角传感器（AOA-Angle Of Attack Sensor）、2 台失速告警计算机（SWC-Stall Warning Cmoputer）和2 只振杆器（SSA-Stick Shaker Actuator）组成，AOA 安装在飞机的机身蒙皮，SWC安装在E/E舱设备架内，SSA安装在驾驶杆上，单机配置1套，系统中配套部件的数量也可由系统构型进行调整。系统交联关系见图1。对该系统的安全性进行一个简要的分析评估，FHA（Functional Hazard Analysis）列表如表1所示。

图1：失速告警系统交联关系图

表1：失速告警系统功能危害清单

SWC 作为失速告警系统的核心处理控制设备，根据以上功能危害分析，SWC 功能研制保证等级为B，它主要接收AOA 输出的两路迎角信号，根据AOA 传感器特性完成局部迎角计算；根据AOA 的工作状态及飞机的姿态信息对左、右局部迎角进行数据融合和修正后得到真实迎角；根据外部系统输入的马赫数、襟翼机构状态、轮载状态和结冰状态信息完成临界迎角计算；根据外部系统输入的垂直过载、油量信息、大气密度、翼面信息、惯导数据，结合最大升力系数，完成失速速度计算；当真实迎角接近临界迎角时，或空速接近失速速度时，输出告警驱动信号给同侧SSA和灯光、音响系统，提醒飞行员；同时输出告警状态离散量给机组告警系统。

在SWC 的基础上进行功能扩展，即可实现失速保护，在民机全部阶段中未通告的丧失失速保护功能和除了巡航阶段的非指令性地失速保护，将造成灾难性的后果，因此将SWC 作为A 级设备开展研制工作。

2 失速告警计算机设计约束

本节简要描述在研制SWC 过程中遵循或使用的相关适航规章、工业标准和指南等，具体的适用场景将在后续章节中描述，力求选择最优的技术路径和符合性方法，在技术和过程两方面保证SWC 的适航性、完整性、安全性和可靠性。

2.1 适航规章

针对运输类飞机，FAR.25 和CCAR-25 规定了与失速相关的专用条款：25.103 失速速度、25.201 演示失速、25.203失速特性、25.207 失速警告，还有关于安全性、结构、材料和EWIS 等的通用条款。

TSO-C54 和CTSO-C54 对失速告警仪的技术要求和符合性验证方法做了规定。

2.2 工业标准

SAE AS 403A 作为失速告警仪的最低性能标准，被TSO-C54 和CTSO-C54 引用。

RTCA DO-160G 为民用机载设备定义了一系列的最低性能环境试验条件（类别）和相应的试验方法，SWC 结合自身使用环境和功能特性，在DO-160G 的指导下完成环境试验。

使用SAE ARP 4754A 指导SWC 设备级的研制，制定与落实相应的研制流程要求，可消除或减少SWC 研制过程中可能产生的差错。

SWC 满足AC25.1309-1B 安全性要求，并按照SAE ARP 4761 方法评估。

在软硬件级使用RTCA DO-178C 和RTCA DO-254，软件设计中还涉及模型和双核处理器，另需使用RTCA DO-331 和CAST-32；目前我国航空工业领域，尚缺乏严格按照DO-254 设计的机载电子硬件顺利获得适航批准的案例，尽早地将其用于指导SWC 硬件的研制，虽会增大成本，但对于探究DO-254 的应用和理解机载电子硬件的适航审定要求具有极大意义。

在SWC 处理器的选用时，着重使用ISO 26262 研究其功能安全，该标准涵盖了系统、软硬件、安全性、生产制造等各个方面，与上述民机领域常用的标准均可逐一映射。

3 失速告警计算机的数据完整性设计

3.1 设计总述

根据以上适航规章、标准、指南的约束以及对失速告警系统及SWC 的需求分析，只有保证SWC 整个数据链的完整性才能确保系统的安全，而数据的完整性需要关注它的三个关键要素：传输过程、存储和处理，本研究以三个关键要素为出发点，从五个方面考虑失速告警计算机数据完整性的设计，分别为高安全性电路的设计、高完整性处理器的应用、存储器访问的安全机制、合理的内存分配和嵌入式软件的设计考虑，前两个方面侧重于硬件级，后三个方面偏重于软件级。下面将从各方面展开进行论述。

3.2 高安全性电路的设计

本文对SWC 的原理设计不再详细描述，仅通过如图2所示的示意图，分析在对电路进行高安全性设计时的几个着重点，特别注意地，所有非阻容元器件均选用已鉴定的国产化芯片。

图2：SWC 原理示意图

3.2.1 迎角信号及其激励信号的检测电路

保证SWC 给AOA 提供工作激励信号和高精度解算迎角信号的同时，设计相应的故障检测电路，监视迎角的信号丢失、超范围输入、输入失配及位置跟踪丢失，监视激励信号的频率超差、电压超范围和相位匹配；由于使用机身两侧的迎角信号，会有两侧不一致的现象（例如鸟撞对风标叶片损伤后造成气动误差），为了克服这种问题，采用了惯性迎角作为监测数据。

3.2.2 AOA 加温检测与控制电路

AOA 加温实现防除冰功能，加温电源由SWC 提供，为了保证AOA 加温部件的可靠性，SWC 根据飞机运行环境实现加温逻辑的调控，并通过监测加温电流实时监测AOA 加温状态。

3.2.3 总线数据、离散量数据的检测电路

SWC对外进行信息交互的总线接口和离散量接口较多，为了保证数据的稳定可靠，对每个输入输出通道进行内回绕自检和外回绕自检，各通道检测相互独立，故障定位快速准确。

3.2.4 过流保护电路

SWC 对外提供功率驱动的失速告警控制类信号，对该接口设计过流保护，可以实现内部控制信号与外部电路的电气隔离。

3.2.5 电压检测电路

实时监测供电电压值，与处理器配合可实现瞬时断电保护，同时也可为设备的冷、热启动判断提供必要的数据。

3.2.6 关键信号的可靠输出路径

对于失速告警、失速保护等关键输出指令，信号丧失或非指令地输出，对飞机安全的影响是重大的甚至是灾难性的，在该类信号的输出路径上做如图3所示的两种保障措施，可避免误输出。

图3：关键信号输出路径示意图

（1）串联保护：异构双核处理器的两个CPU 都发出闭合信号时构成环路，指令方能正常输出；

（2）交叉检查：将核间通讯来的信号与外部采集的信号进行对比核查。

3.2.7 看门狗模块的监测

硬件看门狗模块可以监测软件和硬件的运行状态，提高系统的可靠性，而当看门狗异常时，就无法起到其监控和保护作用，参考发明专利的自检方法，在设备上电自检测中完成对看门狗模块的检测。

3.2.8 环境适应性设计

环境适应性设计除了通常的耐机械、耐温度、耐高度、耐腐蚀、防雷电、防静电、防电磁干扰设计等，还采用ECC、表决等抗辐射加固措施防止单粒子翻转现象，以减缓环境对设备的影响和提高自身抗环境能力。

3.3 高完整性处理器的应用

以系统对SWC 高安全性要求为出发点，将处理模块设定成“处理+监控”模式，并从性能、功耗和成本三个因素上均衡考虑，选定高完整性异构双核架构的处理器作为SWC 的核心处理部件。多核处理器在民用飞机机载设备上的应用前景非常广，行业内各方均已从各自关注的角度（如审定、应用、安全性等）开展了相应的工作。

双核处理器的任务分配架构见图4（除2.3.2 节第(6)条）。双核处理器除了优异的性能和丰富的资源外，还符合ISO 26262 标准的硬件开发流程，并内置安全机制，应用其对SWC 数据完整性设计主要有以下三个方面的贡献。

图4：双核处理器的任务分配示意图

3.3.1 安全特性

SWC 利用处理器提供的以下几种安全特性规避运行中可能存在的风险：寄存器的写保护、OSCCLK（振荡器时钟）缺少时钟检测、PLLSLIP 检测（PLL 锁定时PLL 参考时钟是否变得太高或太慢）、CPU1 和CPU2 PIE 矢量地址有效性检查、支持ECC 和奇偶检验的RAM、可启用ECC 的闪存和ERRORSTS 引脚（芯片内检测到错误时输出）。

3.3.2 核间通讯的安全

图4中所示利用IPC 进行核间通讯，IPC 机制不仅可以保证通讯数据的准确完整，还可以避免读/写冲突卡死在中断过程，如从CPU1 向CPU2 发送数据，首先发送方申请对共享RAM 的写权限，写好数据后产生中断，同时将双方都关注的一个标志执行置位，CPU2 接收到中断后，查看对应标志已经置位，取数据并将标志复位，为下一次中断做准备，这样就有效地完成了一次数据传递。

3.3.3 片上资源的自检测

处理器支持用户使用HWBIST(Hardware Built-In Self-Test)作为设备级自检测的一部分，以测试CPU 的完整性，帮助检测和预防由随机硬件故障造成的影响。

3.4 存储器访问的安全机制

CPU 内核通过数据和地址总线访问芯片内部集成的或者外部扩展的存储器，就涉及到访问安全问题，除了按照处理器存储器映射图和SWC 的实际需求，在CMD 文件中合理规划各数据空间、程序空间，也可适时选用DCSM（双码安全模块）加密功能，此外，以下两点也是保证存储器访问安全的必要机制。

3.4.1 访问仲裁

对于共享RAM，在给定时间是可以发生多个访问的，采用固定优先级与轮询相结合的方案在任何给定时间内仲裁多址接入，如图5所示同一CPU 的访问以固定优先级方式仲裁，使用循环方案来仲裁来自不同CPU 的访问。

图5：全局共享存储器的仲裁方案

3.4.2 存储空间校验

为了避免数据在存储过程中出现差错，对存储空间中的数据进行检错以及纠错尤为重要。SWC 中使用的有FLASH、RAM、共享RAM、外部数据存储单元等，需要结合数据量、访问速度等选用如ECC（错误检查和纠正技术）、CRC（循环冗余校验）和奇偶校验等检验方法。ECC 可自行发现和纠正数据传输过程发生的错误，但算法比较复杂，尽量选用硬件方式，硬件实现的速度比较高，要比软件快几个数量级；CRC 算法适用于验证大数据块、通信分组或代码段上的数据完整性，是数据通信领域中最常用的一种查错校验码；奇偶校验是应用最广泛、最简单的一种方法。

3.5 合理的内存分配

以空间使用安全和不浪费空间为原则，采用“CMD 文件+Memory Map”的形式规划内存的使用，避免因数据堵塞、内存溢出等问题造成的数据混乱。CMD 文件用于指示存储空间并分配段到存储空间，“Memory Map”用于做SWC内部数据与具体地址的映射关系，如总线解析数据的存放（图6所示）、双核通讯数据的存放、故障信息的存放等。

图6：Memory Map

3.6 嵌入式软件的设计考虑

3.6.1 基于模型的设计方法采用近年来在民机系统和软件研制领域广泛关注的新技术--基于模型的开发和验证，它是对实际问题进行建模，并转换、精化模型直至生成可执行目标代码的方法，该方法由四个步骤组成，如图7所示。该方法不仅使SWC 软件的开发不再依赖于文字描述的需求和设计，同时将仿真方法引入到软件生命周期过程中，将其应用在失速告警计算机软件的研制和验证中，为了达到软件研制等级的要求，除了要满足DO-178C 中相应过程的目标外，还需要满足补充文件DO-331 中新增的目标。

图7：基于模型的研制和验证

3.6.2 并行算法设计

图4所示CPU1 负责对外的数据通信，数据处理与逻辑运算是两个CPU 需要并行执行的任务，双核并行算法过程一般分为四步：任务划分、通信、组合和映射，前述章节已涉及到前两步，组合是将运算需求低、耦合度高的模块合并在一起，运算需求大、通信代价大的模块拆分成更小的模块，减少通信损失，使并行处理更有效；映射是指定每个任务到哪里去执行。为了提高任务的并行处理性能，解除数据依赖关系、避免数据争用、各个核负载均衡、数据和传输并行等是多核并行设计的关键技术要点。

运行在双核处理器中的软件按照DO-178C 开发，但DO-178C 无法解决多核特征引入的新问题，所以还要结合CAST-32，CAST-32A 从计划、配置设置、干扰通道资源使用、软件验证、安全网等方面提出相应的目标及活动，可以指导开展多核软件的适航符合性工作。

4 结论

本文总结了在SWC 数据完整性设计过程中五个方面的设计考虑，并将全部设计理念应用在失速告警计算机的研制中，满足系统对该设备的实际需求外，极大程度上提高了设备的测试性、安全性，具有较好的适用性和应用前景。