機載機電管理系統通道故障邏輯設計

吳凌涵,楊雪巍,盧 毅,朱曉丹,鄧 林

(中國航空工業集團 成都飛機設計研究所，成都 610041)

0 引言

飛機機電系統主要由燃油系統、環控系統、供電系統、液壓系統、動力系統、應急動力系統、剎車系統等組成，是飛機的重要平臺系統，用于保障飛機的正常運行[1-2]。

為了提高飛機可靠性、維修性和保障性，并為飛機減重、減體積[3]，需對飛機機電系統的功能進行整合，并采用機電系統綜合化設計技術[4]，形成機載機電管理系統(utility-subsystem management system,UMS)。UMS通過整合資源提高了飛機機電系統綜合化水平，但是系統故障失效時對飛機安全性的影響面也變得更大。因此為提高系統的可靠性和安全性[5]，結合經濟性等系列因素權衡，UMS一般會采用雙通道的余度設計。對于雙通道冗余設計，如果系統不能正確識別故障通道，會導致輸出錯誤指令，反而會降低系統的可靠性和安全性，因此通道故障邏輯(channel failure logic,CFL)的設計顯得尤為重要。

然而，現階段雙通道系統的通道故障邏輯設計仍是短板，通常存在以下問題：①各通道只監控自身狀態[6-7]，當故障狀態下自監控失效時，可能出現本通道工作異常，但無法切除故障通道的情況，造成系統功能喪失；②對故障模式的考慮不夠全面[8]，對故障的隔離能力有限；③通常不具備故障復位的能力。因此本文對通道故障邏輯的容錯和重構技術進行研究，提出了一種新型的通道故障邏輯設計，可以有效地識別和隔離故障通道，保證雙余度系統的高可靠性運行。

1 雙通道機電管理系統架構

雙通道UMS的系統架構如圖1所示，核心為機電管理計算機(utility-subsystem management computer,UMC)。兩臺UMC與相關組件協同工作，實現機電系統控制、故障監測及綜合告警、數據送顯，以及維護等功能。

圖1 機電管理系統架構圖

兩臺UMC以完全對等的方式處理余度數據信息，運行機電監控和控制任務，信號以交叉數據鏈(cross channel data link,CCDL)互傳的方式在2臺UMC上形成完整的信號映射，實現數據共享。

機電各系統的狀態信號，以雙余度方式分別引入兩臺UMC，每臺UMC會將自身采集的信號，和來自CCDL的它機采集信號進行比對，判斷數據有效性，采信表決后的有效值，再進行系統控制律解算。

兩臺UMC的雙余度任務運行方式，滿足對機電各系統的監控和控制重要功能一次故障安全的要求。當一臺UMC故障時，將自己的控制輸出信號自鎖，避免影響系統安全，此時對機電系統的監控和控制功能由另外一臺UMC完成；當兩臺UMC均故障時，兩臺均將輸出自鎖，此時機電系統核心功能由座艙開關與電氣控制盒實現，避免機電系統失控。

UMC將故障信息和采集的機電系統重要參數，通過高速數據總線和RS422串口送航電系統進行處理[9]。飛機架構決定了兩臺UMC共用一個輸出告警和顯示通道，因此兩臺UMC以主、備方式運行和航電系統的通訊任務。通過故障通道邏輯保證在同一時刻，僅一臺UMC能向總線發送數據。通道故障邏輯設計的關鍵是要避免雙機都搶總線權，和雙機都放權這兩種情況。

2 通道故障邏輯設計

本文基于對通道故障邏輯設計關鍵要素的分析，提出一種新型的通道故障邏輯設計，該設計以本機自監控為主，它機監控和強制切除為輔，有效地實現故障定位和隔離。

2.1 故障定位和隔離

本文提出的通道故障邏輯設計架構如圖2所示。

圖2 CFL電路架構

本設計增強了通道故障監控的完備性，覆蓋了以下3種情況：①當本機故障時，若本機自監控有效，可自身進行故障隔離；②當本機故障，且本機自監控失效時，可通過它機監控強行切除本通道，并改由它機接管系統；③當雙機失效時，可通過總線對系統的監控，進行故障提醒和故障自動復位。

2.1.1 本機自監控

本機自監控電路如圖3所示。

圖3 本機自監控示意圖

本機自監控電路的輸入包含了影響通道狀態的所有關鍵要素，當所有輸入均為正常狀態時，本機自監控輸出才為有效(正常)；一旦某個輸入出現異常，可通過CFL正確定位到通道故障，并且可結合非易失存儲器(non-volatile memory,NVM)中的故障記錄信息，對故障原因進行排查。

該設計的關鍵輸入包含以下內容。

1)處理器有效(central-processing-unit valid,CPUV)：

CFL對影響系統運行的關鍵狀態進行了監控，包含主控任務、航電處理任務以及機位信息。

UMC通過定時器對自身軟件的主控任務進行監控，若主控任務超時，則認為任務監控故障，會觸發CFL報故，并將故障記入NVM。另外，兩臺UMC需正確識別自己的機位，以保證系統工作的時序性和確定性。

若UMC的航電處理任務出現異常，也會觸發CFL報故。因為總線通訊任務的失效，可能會造成總線不能正確從該通道獲取數據，需要CFL切換通道，由另外一臺UMC將雙機的重要信息發送到航電系統。航電處理任務的監控分為兩方面，一方面若總線接口板(max bus interface,MBI)硬件BIT故障，會引發報故，另一方面，UMC自身會對總線通訊狀態進行監控，若連續多拍未收到總線數據，或連續多拍數據發送失敗，會引發報告航電處理任務異常，觸發CFL報故。

2)電源監控有效(power supply valid,PSV)：

由電源模塊對二、三次電源進行監控，并將監控到的電源信號值送往CFL進行處理，CFL將該信號與期望值進行比對，若差值在容差范圍內，則認為正常，否則認為電源故障，觸發CFL報故并將故障記入NVM。

3)看門狗有效(watchdog valid,WDV)：

若軟件關鍵任務不及時喂狗，會觸發看門狗叫。該設計的輸入包含了表征關鍵任務運行狀態的看門狗故障。

4)加載表征信號(GONOGO)：

本設計引入了用于表征UMC的處理器(central-processing-unit,CPU)是否已完成加載的GONOGO信號。該信號通過下拉電阻接地，UMC在上電復位的過程中，該信號保持為無效，UMC完成復位后信號為有效。將GONOGO作為CFL的輸入，可保證UMC在邏輯加載過程中，置自身整機狀態無效，不搶占總線權，不參與對它機監控。

2.1.2 它機對本機監控

它機對本機監控的架構如圖4所示。本通道故障時，為防止本機不能正確識別自身狀態，造成故障隔離失效，需要通過它機的監控結果進行故障隔離。

圖4 它機對本機的監控示意圖

它機監控是作為本機監控的備份使用，當它機監控到本通道故障時，可以強行切除本通道。為了避免它機誤切除本通道的情況，它機監控的設計應該更為謹慎。因此本設計中，在它機自身整機工作正常的情況下，它機監控才有效，一旦它機整機狀態輸出異常，會直接關閉對本機的監控。它機通過CCDL獲取本機的任務運行情況和PSV狀態來進行監控，因此該設計是在監控到雙機之間的CCDL傳輸通道正常的情況下，才采信收到的狀態值，保證監控信息的有效性。

產品剛上電時，“它機監控上電復位指令”為無效，不參與對對方的監控；當產品進入正常工作模式后，再自身觸發出復位指令，才開始監控對方。通過復位指令，避免了UMC上電復位期間，誤切除對方通道的情況。

2.1.3 總線對系統監控

兩臺UMC與航電的總線通信采用熱備份的余度方式。航電總線會周期查詢UMC在線情況，UMC也周期回復狀態。當UMC故障時，通過CFL的本機自監控或它機監控，切換故障通道，由另一臺UMC完成與航電系統的總線通訊，并向航電上報通道故障告警。

當兩臺UMC均故障，或通道切換出現異常時，UMC無法給航電回復自身狀態。航電未收到UMC回復的狀態時，一方面在座艙指示UMC不在線告警；另一方面通過硬線觸發UMC復位電路，進行CFL自動復位。

2.2 CFL復位功能

該設計具備CFL上電復位和故障復位功能。UMC完成上電加載后，會自動產生“CFL上電復位信號”，CFL上電復位信號與機位進行了關聯，A機的CFL上電復位信號早于B機，從而保證A、B機同時上電時，由A機占取總線權；當雙機上電不同步時，則由先上電的產品占取總線權。

工作過程中發生通道故障時，正常情況下CFL電路能自動定位和切除故障通道，并上報通道故障的提示。飛行員或機務人員，可根據當前實際工況進行判斷，決定是否手動按壓故障復位開關。收到“故障復位指令”后，若該通道故障已消除，則可清除本通道故障的指示，但不會搶占它通道總線權。若兩臺UMC均故障或通道切換出現異常時，航電系統會通過硬線觸發UMC的CFL電路自動復位。

復位功能通過鎖存器實現，圖2中鎖存器的功能如表1所示，具體設計原理見章節3.3。

表1 鎖存器功能

2.3 安全態的保證

該設計能夠保證CPU上電復位階段和通道故障時，系統都處于安全態。

CPU上電復位階段通過GONOGO信號置本通道故障為存在；上電或工作過程中通道異常時，可通過自監控或它機監控置本通道故障為存在。一旦通道故障存在，MBI使能狀態輸出為不使能狀態，可保證不占取總線權。

另外，軟件初始化時會將輸出置于安全態；工作過程中檢測到通道故障時，UMC軟件會將通道輸出鎖定為無效狀態，切斷輸出控制信號，避免對系統安全造成影響。

2.4 上電自檢測

CFL上電時，會對自身狀態進行自檢測，保證CFL電路自身正常。若自檢測失敗，則向航電系統報出CFL失效故障，并將檢測結果記錄在NVM中。

3 通道故障邏輯工作原理

CFL主要應用于兩個工作場景：①上電初始化階段，通過CFL保證系統初態的穩定性；②工作過程中，若通道故障時，通過CFL正確定位和切除故障通道。

CFL同時存在于A機和B機中，下面結合圖2～4，從A機的角度對通道故障邏輯的工作原理進行介紹。

3.1 上電復位階段

A機上電復位過程中，通過GONOGO信號保證本機自監控輸出結果D1為無效，因此本機有效性S無效，此時CFL復位信號R無效，A機本通道故障為存在，MBI使能輸出為不占權。A機不會搶占總線權，并鎖住本機控制輸出，不參與對它機故障的判斷。通過CFL保證了UMC在上電或復位過程中不影響系統的正常運行。

若A機成功完成復位，則本機自監控輸出結果D1有效，此時包含以下兩種情況：

1)B機復位不成功或B機在復位中，則B機不參與對A機故障的判斷，此時S有效，A機自動進行CFL上電復位后，A機MBI使能輸出為占權，A機本通道故障為不存在；

2)B機復位成功，并監控到A機工作正常，此時S有效，A機保持MBI使能輸出為占權，A機本通道故障為不存在。

若A機復位不成功，此時包含以下兩種情況：

1)B機復位成功并監控到A機工作異常，它機對本機監控D2無效，因此本機有效性S為無效，A機MBI使能輸出為放權，A機本通道故障存在，B機通過CFL占取總線權和系統控制權；

2)B機復位不成功，總線檢測到雙機故障，給出故障提示，并進行CFL自動復位。

3.2 工作過程中

A機上電復位成功后占取總線權，然而工作過程中A機出現故障，此時包含以下3種情況：

1)A機自監控到自身故障，本機自監控輸出結果D1無效，本機有效性S為無效，A機MBI使能輸出為放權，A機本通道故障存在，由B機接管；

2)A機喪失自監控能力，B機監控到A機工作異常，它機對本機監控D2無效，本機有效性S為無效，A機MBI使能輸出為放權，A機本通道故障存在，由B機接管；

3)B機工作異常，總線檢測到雙機故障，給出故障提示，并進行CFL自動復位。

A機工作異常后，可通過自監控或它機監控，保證A機放權。此時打開了對B機總線接口的鎖定，若B機工作正常，可以接管總線權。

A機故障后，若收到故障復位指令，此時包含以下兩種情況：

1)A機未恢復正常，本機有效性S為無效，此時進行CFL故障復位，A機本通道故障保持為存在；

2)A機恢復正常，本機有效性S為有效，此時進行CFL故障復位，A機本通道故障為不存在，可解除對A機控制輸出的鎖定。

不管A機是否恢復正常，此時B機已經占取總線，A機收到的它機MBI使能為占權，因此A機MBI使能輸出保持為放權，不會搶占總線權。

3.3 鎖存器設計

根據鎖存器功能需求，寫出鎖存器的真值表，如表2所示。

表2 鎖存器真值表

根據真值表，可寫出邏輯表達式：

Q′=SR+SQ=S(R+Q)

(1)

其邏輯圖如圖5所示。

圖5 鎖存器設計原理圖

4 仿真驗證

前面主要從A機的角度對CFL的工作原理進行了介紹，下面通過Simulink搭建仿真模型[10]，對A機和B機協同工作的真實場景進行模擬，仿真架構如圖6所示，其中圖2～4所示的通道故障邏輯電路封裝于仿真模塊內。

圖6 仿真架構圖

4.1 上電中發生故障

模擬A機上電過程中發生故障的情況，仿真結果如圖7所示。

圖7 上電中發生故障的仿真結果

從圖7看出，時刻①，A機CFL上電復位，同時注入A機故障，A機檢測到自身故障，將A機通道故障狀態保持為故障態，MBI使能狀態保持為放權。時刻②，B機CFL上電復位成功后，B機通道故障切換為正常態，B機監測到A機未占權，B機MBI使能狀態切換為占權。時刻③，故障注入結束，A機通道故障狀態保持為故障態，MBI使能為放權。時刻④，進行A機故障復位，A機通道故障狀態切換為正常態，B機已占權，A機MBI使能狀態保持為放權。

仿真結果證明該設計可以在上電復位階段通過本機監控實現故障定位和隔離；并具備故障通道復位功能。

4.2 工作中發生故障

模擬A機和B機均正常上電，A機取得輸出權，工作過程中A機發生故障，然后進行故障復位操作。仿真結果如圖8所示。

圖8 工作中發生故障的仿真結果

從圖8看出，時刻①，A機CFL上電復位成功后，A機通道故障狀態從復位前的故障態切換為正常態，MBI使能狀態切換為占權。時刻②，B機CFL上電復位成功后，B機從復位前的故障態切換為正常態，此時A機已占權，B機MBI使能狀態保持為放權。時刻③，注入A機故障，A機通道故障狀態切換為故障態，MBI使能狀態切換為放權，B機搶占總線權。時刻④，故障注入結束，A機通道故障狀態保持為故障態，MBI使能為放權。時刻⑤，進行A機故障復位，A機通道故障狀態切換為正常態，此時B機已占權，A機MBI使能狀態保持為放權。

仿真結果證明該設計在上電復位成功之前，可以保證通道輸出為故障狀態；在工作中發生故障后，能通過本機或它機監控實現故障定位和隔離，并進行總線權的切換；并且具備故障通道復位功能。

5 結束語

本文對通道故障邏輯的原理和設計要素進行了分析，開創性地提出了一種適用于機載雙通道UMS的新型通道故障邏輯設計。分析和仿真結果表明，該設計能夠正確定位故障通道，并有效進行故障隔離，切除故障通道；可在上電復位階段和通道故障時，保證系統工作在安全態。該設計在不降低安全邊界的情況下，極大地提升了高層級安全系統的雙余度架構的容錯能力和任務可靠性，保障機電管理系統正確地實現機電系統控制、故障監測及綜合告警等功能，可為后續的改進提供重要的參考依據。本文的設計理念可推廣到其他分布式機電綜合系統的設計與應用中，具有廣闊的應用前景。