三余度供电管理计算机

摘要：介绍了飞机供电管理设备余度设计技术的发展，描述了某型飞机的三余度供电管理计算机构型设计和余度管理策略、同步及通信、表决机制以及系统验证方法。

关键词：三余度；同步；CCDL；故障注入

1供电管理计算机基本任务

供电管理计算机是某型飞机分布式供配电系统的核心控制部件，它采集飞机电源系统的各种参数，判断当前飞机供配电系统的实际运行状态，按照预先设定的控制逻辑方程，产生相应的控制信号，送到配电系统的汇流条接触器，对配电系统的状态进行控制。另一方面，供电管理计算机与飞机机电管理系统、大气数据系统、综合数据管理系统、发电机控制器、地面维护设备等进行通信，接收机电管理系统通过总线送来的对配电系统的控制命令，接收其他系统设备送来的工作状态信息和参数，按照预定的控制规律输出相应的控制信号。同时，供电管理计算机对配电系统的工作状态进行监控，把配电系统当前的运行状态和故障情况通过总线上传机电管理系统和飞机的故障告警系统以及飞机其他系统。供电管理计算机通过总线与电气负载管理中心通信，向电气负载管理中心发送负载的配电控制命令，接收用电负载管理的状态信息并上报机电管理系统.

2飞机配电余度控制技术

从基本任务来看，飞机配电系统的管理计算机是一个典型的控制任务计算机，其基本构型是由微处理机、输人／输出接口、模拟电子部件以及电源部件等组成，是一个前后置处理接口加数字处理机的数模混合系统的构型。随着飞机对配电系统可靠性要求的不断提高，余度设计技术在飞机配电管理尤其是供电管理计算机研制中得到不断地发展和应用，从国内军用飞机供电管理设备的发展来看，相应地经历了单余度、双余度、三余度系统3种构型模式。在飞机电源管理应用计算机控制技术进行自动化管理后，早期主要是使用单余度的管理计算机，完成信号采集、逻辑计算、信号输出、BIT检査等功能，其内部故障的监测靠BIT完成，当管理计算机发生故障后，即向飞机报警，由飞行员采取相应的应急措施。单余度系统发生一次故障即被切掉，自身无法进行故障处理，系统的可靠性完全依赖于元器件及软件自身的可靠性等级，在元器件的可靠性等级不变的情况下无法提髙系统的工作可靠性。鉴于单余度系统在故障处理方面的不足，发展了两余度的控制计算机。两余度控制计算机主要采用主备构型，双机独立工作，在正常情况下由主机取得主控权，输出控制信号，备份机同时工作，但没有控制权，不输出控制信号。系统的故障诊断由各余度独立进行，当主机通过BIT监测到故障时，交出控制权，退出控制，这时系统的控制权交由备份机，由备份机输出控制信号。在两余度系统中，发生一次故障后，通过切换可以保证设备功能的实现，从而降低了系统的失效率，提高了系统的任务可靠性。两个余度可以用相似性余度设计，也可以采用非相似性余度设计。例如，某三代机的电源控制器就是一个采用非相似性余度设计的两余度电源管理设备，其中一个余度是计算机软件控制通道，另一个余度是数字逻辑控制通道，计算机控制通道是主控通道，在该通道故障后信号由数字逻辑控制通道控制输出。在两余度系统中，故障的监测主要还是通过各余度自身的BIT来完成，故障的诊断率依靠硬件检测的覆盖率，提髙硬件的检测覆盖率可以提髙BIT的检测率。有的两余度系统还通过两个余度间交换信息来加强系统的故障诊断能力。但是，由于机内检测和故障监控能力提高的局限性，两余度系统无法满足进一步提高系统可靠性的要求，因此，发展了三余度及多余度控制系统。在三余度控制系统中，各余度同步工作，并采用表决监控机制，对各余度的各工作点进行监控，对各余度的参数进行表决，通过表决机制可以屏蔽掉故障数据，保证系统数据的正确性，同时结合BIT可以实现故障定位与隔离，这种故障隔离的置信度可达1〇〇％。当系统发生一次通道故障变为两余度后，由于两个余度无法进行表决，因此这时系统按照两余度构型工作，主要依靠余度自身BIT进行故障检测。当通过自身BIT检测到故障时，把自身切掉，系统变为单余度。采用三余度系统构型，使系统具有故障－工作、故障－工作的能力，降低系统的失效率，大大提髙了系统的工作可靠性。某新型飞机的供电管理计算机正是采用三余度构型〇

3三余度控制系统结构

三余度供电管理计算机内部包括3个通道，每个通道包含有独立的电源模块、离散信号采样模块、模拟信号采样模块、处理器模块、输出模块。各通道间通过硬件同步信号进行工作同步，保证信号的一致性。通道间通过交叉数据链路进行数据交换，执行软件表决。各通道的输出数据送到表决输出模块，执行数出表决，表决后的数据再进行驱动输出。完善的余度设计应该包括余度结构配置和余度管理策略两个方面。在余度结构确定后，就应主要考虑系统余度管理策略，包括余度同步管理、数据交换、表决机制、故障诊断及余度切换机制等方面。下面介绍供电管理计算机的余度管理策略设计。

3．1同步

供电管理计算机的余度采用相似性余度设计，各通道的软硬件设计完全一致，所采用的元器件也相同。这样各通道工作特性是一致的。但是由于元器件的差异性，各通道在工作时并不能保证完全工作在同一时刻，会出现工作点上的微小时间差，但是该时间差会导致各通道工作状态的差异，从而使系统状态混乱。因此，必须建立同步机制，使各通道严格按照规定的时序点工作，这样才能使各通道的数据具有一致性。供电管理计算机采用握手－应答的同步机制，首先每个通道向其他通道发出同步请求信号，然后等待其他通道的同步信号，当接收到其他两个通道的同步应答信号后，3个通道同步成功，开始执行任务程序。如果有通道这时未应答，则其他通道等待一定的时间，在这时间内等到该通道的应答，则3个通道同时开始运行任务程序，如超过等待时间后还未等到应答，则由这两个通道开始运行任务程序，而另一个通道则继续等待与其他通道的同步。如果连续多个周期无法完成同步，由其他通道置该通道同步故障，切掉该通道。为降低供电管理计算机的复杂程度，其同步采用松同步方式，即在一个程序周期内实现一次同步，同步成功后即开始工作任务，首先开始进行信号采样，以保证同步通道的信号采样是同步的，从而保证数据的一致性。

3．2CCDL通信（交叉通信数据链）

对多余度系统来说，通道间的数据交换是非常重要的，只有实现了数据交换，才能进行表决和故障诊断及系统重构。对一个LRU内的多通道间的数据交换，一般有两种方式：①并行总线方式。各通道通过并行总线方式进行数据交换，两个通道间交换使用双口随机存储器作为交换接口，直接挂到各自通道的数据总线上，作为外设进行管理。该方式运行速度快，带宽较大，管理便捷，但是由于使用双口存储器，硬件成本高，另外，由于双口存储器直接与通道的数据总线连接，增加了2个通道的耦合程度，非关键部件故障可能传染到关键部件中去，加大了系统的共太故障风险。因此，通常不推荐使用该方式。②CCDL交叉通信数据链方式。各通道间通过串行总线进行数据交换，通道间耦合程度低，电气隔离性能好，通道的单点故障不会波及到其他通道，容易满足系统的可靠性和安全性要求。该方式接口硬件简单，容易实现，在现有技术条件下具有最佳的性能，也是目前在多余度系统中被广泛使用的数据交换方式。在供电管理计算机中，每个通道设计了2条全双工的通信总线，分别用于与其他2个通道交换数据。总线波特率为921．6kbit／s，数据缓冲区为400KB。总线接口在硬件上是独立的，保证单个总线接口故障不会传染到其他总线接口。CCDL交换的数据包括各通道采样输入数据、上一周期计算输出数据、通道及系统故障诊断数据。

3．3表决

多余度系统中一个重要功能是表决，通过表决可以有效抑制随机故障，保证三余度系统有效运行。表决形式包括软件表决、硬件表决形式，表决点包括输人表决、输出表决、状态表决等。根据供电系统的工作特点，其信号变化频率相对较低，同时对汇流条接触器的控制信号有逻辑上的关联性，因此，在其内部设置了两个表决点：输人表决和输出状态表决。输入表决采用软件表决方式，对3个通道的每一个信号进行2／3表决，屏蔽故障信号，用表决后的数据作为各通道的共用计算数据。输出状态表决采用硬件电路通道状态表决方式。通过CCDL数据交换后，各通道都得到了其他通道的输人采样数据，即进行软件表决。对输人的离散量信号，采用2／3表决。当3个采样信号相同时，表决输出值采用采样值。当两个采样值为“〇”而一个采样值为“1”时，表决输出值为“〇”，并对采样值为“1”的通道置一次采样故障。当两个采样值为“1”而一个采样值为“〇”时，表决输出值为“1”，并对采样值为“〇”的通道置一次采样故障。当连续出现5个周期的采样故障时，置该通道故障。对输人的模拟量信号，采用门限比较法，门限值设定为硬件的采样最大允许误差￡。当3个通道完好时，如果3个通道的最大值与最小值之差小于e，则表决后的值等于中间值或三者的平均值；如果有一个通道的值与其他两个通道的差值大于e而这两个通道值的差小于e，则用这两个通道的平均值；如果3个通道相互间的差值大于2e，则使用上个周期的值作为表决后的值。当有一个通道故障时，则使用髙优先级通道的值作为表决后的值；当两个通道故障时，直接使用该完好通道的值作为表决后的值。由于供电管理计算机的输出信号间有关联性要求，因此，在输出环节不对输出信号进行表决，而是对通道进行表决，由表决出的通道直接输出其信号。通道表决使用硬件表决电路，表决的输入信号有3个通道的工作状态信号、3个通道对其他通道的故障判断信号，表决结果为某一通道的选择信号，该信号具有唯一性。硬件表决电路如图4所示。

3．4余度管理

当多余度系统发生故障后，需要对余度通道进行管理，制定余度管理策略，保证产品在1次或2次故障时的正常工作。余度管理包括输入电路故障管理、同步故障管理、CCDL故障管理、通道故障管理等策略，每一种管理策略要根据产品的故障模式进行分析，针对故障模式提出相应的处理办法。余度管理的基础是故障探测。在供电管理计算机中故障探测主要使用BIT技术，对电源组件、离散量输人组件、模拟tt输人组件、处理器及存储器组件、输出模块、同步信号、CCDL总线接口等硬件进行检査，检査范围覆盖了全部的硬件模块，结合BIT软件，可以对供电管理计算机的整个功能组件进行检测。故障的判定则由BIT软件按照预定的逻辑设定，所有的故障判定都采用“延时判定”，即故障发生后连续10个周期继续判断该故障现象，如果该现象连续出现，才判定该故障，否则不设定该故障。3．4．1输入电路故障管理由于供电管理计算机对输人数据进行表决，表决结果可以屏蔽单个通道的故障，因此，通过输入表决即可判定该通道的输入电路是否故障。当该通道的输入通路故障数量＞5个时，认为该通道输入组件故障，设定该通道输人故障字，系统切掉该通道，变为两余度。如果输人通路故障数量矣5个，则只设定输人故障字，系统不切掉该通道，继续保持为三余度状态。3．4．2同步故障管理供电管理计算机的同步故障模式包括通道的单个同步信号故障、多个同步信号故障、通道同步故障等多种故障，同步管理策略要对各种同步故障模式进行处理。其中，单个通道信号故障只设置故障字，不对故障通道进行切换；而通道同步故障则要切掉该故障通道，系统降级。3．4．3CCDL故陣管理供电管理计算机的CCDL故障模式包括通道的单个CCDL故障、通道CCDL故障等模式。对CCDL故障的管理模式为：只要发生CCDL故障，即切掉该故障通道，使系统降级，以保证数据的正确性。当系统变为单余度时，不切掉该通道，使系统保持基本功能。3．4．4通道故障管理通道故障是指由于处理器故障、存储器故障、电源失效等原因导致的该通道不工作。当发生一个通道故障时，通过监控电路可以切掉该通道，系统变为两余度，这时两个通道间继续进行同步和CCDL数据交换，但软件不进行数据表决，而是直接使用本通道的输入采样数据，输出表决电路直接使用当前高优先级的通道进行输出。当发生两个通道故障时，这两个通道被切掉，系统直接使用剩下的通道执行任务。

4系统验证

供电系统管理计算机验证包括基本功能验证和余度管理功能验证两部分。对基本功能验证，按照产品规范要求提供输人信号，验证产品的输出信号是否满足要求。对余度管理功能验证，则进行故障注人，模拟故障发生，验证供电管理计算机是否实现了故障检测及余度管理功能。故障注人包括硬件故障注入和软件故障注人两种方式，首先要对产品故障模式分析报告中分析的故障模式进行分类，分析每一个故障模式的特性，确定相应的故障注入方式，在不改变硬件状态下首先考虑硬件故障注人，在硬件故障注人有困难时采用软件故障注人方式。供电管理计算机的通道故障采用硬件注人方式，具体方法是通过拉低各通道的复位信号，使处理器复位，通道停止工作，这时验证供电管理计算机的故障处理逻辑。由于其他故障模式的产生需要改变硬件状态，因此，其他故障模式的注人采用软件注人方式，具体方法是由地面维护设备通过产品的地面维护总线向产品发送故障注人命令，该命令包括故障模式代码和参数。产品接收到该命令后即用相应的故障数据代替正确的数据，或执行相应的动作模拟故障的发生。该故障送人到软件的故障处理模块或硬件处理电路，验证产品软件的故障处理模块及硬件的故障处理电路的功能。当验证完成后，再向产品发送故障撤销命令，使软件模拟故障撤销，产品恢复正常工作。为防止供电管理计算机在正常工作时产生误动作，在产品进人故障注人模式时设置了多个判定条件。首先在硬件上设置了硬线开关，只有这个开关接地有效时才允许地面维护总线信号接人产品，软件判断到这个开关有效后才允许进人故障注入模式。同时，软件还要判断轮载信号，轮载信号无效时不允许进人故障注人模式。软硬件多个限制条件有效保证供电管理计算机工作状态不会混乱。

参考文献：

［1］陈宗基，秦旭东，髙金源．非相似余度飞控计算机［J］．航空学报，2005，26（3）：320－327．

［2］石贤良．飞控计算机系统余度管理技术研究［D］．西安：西北工业大学，2006．

［3］王军强，朱章华？多余度机载计算机的余度管理［J］．弹箭与制导学报，2007，27（5）：197－199．

作者：李建勇 单位：航空工业成都凯天电子股份有限公司