某機(jī)載電子控制器余度控制技術(shù)研究

王曉勇，李興智

（中國航空工業(yè)集團(tuán)公司西安航空計(jì)算技術(shù)研究所，西安 710065）

隨著多電飛機(jī)的發(fā)展，機(jī)載機(jī)電系統(tǒng)進(jìn)一步綜合化，綜合化的系統(tǒng)架構(gòu)對電子設(shè)備的任務(wù)可靠性要求更高。在電子設(shè)備的設(shè)計(jì)過程中相應(yīng)的出現(xiàn)了主備控制、雙余度控制和多余度控制的產(chǎn)品架構(gòu)；根據(jù)模塊功能的區(qū)別，形成了同構(gòu)型設(shè)計(jì)、非相似余度設(shè)計(jì)等產(chǎn)品配置；供電模塊也相應(yīng)的分為分布式、綜合式供電等供電模式；各種架構(gòu)設(shè)計(jì)均是為了通過硬件設(shè)計(jì)減少產(chǎn)品的共模故障，提高了任務(wù)執(zhí)行的可靠性。

本文以某機(jī)載機(jī)電子系統(tǒng)控制器為對象，進(jìn)行了余度控制相關(guān)技術(shù)的研究分析。

1 產(chǎn)品架構(gòu)設(shè)計(jì)

產(chǎn)品采用同構(gòu)型主備控制架構(gòu)設(shè)計(jì)，簡化設(shè)計(jì)工作，提升產(chǎn)品的三化水平，總體架構(gòu)如圖1所示。

圖1 產(chǎn)品架構(gòu)圖

2塊中央處理模塊為同構(gòu)型設(shè)計(jì)，默認(rèn)中央處理模塊1為主控狀態(tài)，中央處理模塊2為熱備份狀態(tài)，產(chǎn)品正常上電后，主備處理器模塊通過硬線連接進(jìn)行同步，同步完成后，主處理器模塊故障時(shí)，主處理器模塊上的通道故障邏輯電路終止其對接口模塊的控制，備處理器模塊檢測到主模塊故障后，接管輸出控制任務(wù)。2塊電源模塊為同構(gòu)型設(shè)計(jì)，一塊給中央處理器模塊1和接口模塊1提供二次電源，另一塊給中央處理器模塊2和接口模塊2供電，雙供電電路無交匯點(diǎn)。

2 主備同步設(shè)計(jì)

同步功能實(shí)現(xiàn)主備處理器模塊任務(wù)運(yùn)行的實(shí)時(shí)匹配，通過硬線連接設(shè)計(jì)主備同步電路，在軟件中設(shè)計(jì)上電同步和周期同步，上電同步在模塊BIT 運(yùn)行之后執(zhí)行，同步等待時(shí)間指標(biāo)較長，保證主備處理器模塊接收的接口狀態(tài)和下發(fā)指令一致；周期同步每個(gè)任務(wù)周期執(zhí)行一次，同步等待時(shí)間指標(biāo)較短，保證主備通道切換后，輸出控制任務(wù)的無縫接管。

同步過程采用硬線握手算法實(shí)現(xiàn)，具體如下：

（1）控制本通道同步信號輸出“1”，并等待對方通道同步控制信號。

（2）若檢測接收到對方通道同步控制信號為“1”，控制本通道同步信號輸出“0”并等待對方通道同步控制信號。

（3）若檢測接收到對方通道同步控制信號為“0”，則同步完成。

（4）若等待超時(shí)，則通道同步失敗，記錄該故障狀態(tài)后上報(bào)。

3 主備通道切換

主處理器模塊故障時(shí)，通道切換電路應(yīng)保證備處理器模塊可以及時(shí)接管任務(wù)，實(shí)現(xiàn)和外部系統(tǒng)的通信。通道切換邏輯（CFL）負(fù)責(zé)采集模塊工作狀態(tài)，并將狀態(tài)信號發(fā)送給CPLD；CPLD 編程實(shí)現(xiàn)切換邏輯，并將邏輯輸出使能信號下發(fā)給輸出執(zhí)行電路。

通道故障應(yīng)具有以下功能：

（1）上電自鎖功能：主備通道故障邏輯應(yīng)保證本模塊接口在默認(rèn)情況下均處于安全狀態(tài)。

（2）輸出控制：主備通道故障邏輯應(yīng)保證本通道與剎車接口模塊和前輪轉(zhuǎn)彎接口模塊輸出執(zhí)行電路的關(guān)閉或使能。

CFL 硬件設(shè)計(jì)。通道切換邏輯的主要載體為CPLD 芯片，處理邏輯由CPLD 編程實(shí)現(xiàn)，使用VHDL 語言編碼。CFL 硬件設(shè)計(jì)如圖2所示。通道故障邏輯設(shè)計(jì)如圖3示。

圖2 CFL硬件設(shè)計(jì)

圖3 通道故障邏輯關(guān)系

4 交叉鏈路傳輸和心跳監(jiān)控

交叉鏈路傳輸（CCDL）和心跳監(jiān)控都是為了主備處理器之間進(jìn)行相互工作狀態(tài)確認(rèn)及數(shù)據(jù)備份交換。

交叉鏈路傳輸內(nèi)容包括兩部分：一是CPU 工作狀態(tài)、本CPU 模塊的BIT 結(jié)果、輸出使能狀態(tài)；二是外部監(jiān)控總線和指令總線的通信數(shù)據(jù)。

其中，1項(xiàng)用于狀態(tài)監(jiān)控，主備切換；2項(xiàng)用于防止本CPU模塊與外部系統(tǒng)交聯(lián)的總線故障時(shí)，依舊可以獲取外部系統(tǒng)數(shù)據(jù)。當(dāng)交叉鏈路傳輸故障時(shí)，主備處理器模塊的工作狀態(tài)通過彼此的心跳信號、輸出使能信號進(jìn)行確認(rèn)，交叉鏈路傳輸所傳輸?shù)臄?shù)據(jù)僅作為備份數(shù)據(jù)；同時(shí)，主備CPU 與外部系統(tǒng)的雙余度總線設(shè)計(jì)失效，降級為單路的總線通信。

心跳監(jiān)控用于自主獲取對方處理器工作狀態(tài)，定時(shí)器中斷開啟后，軟件按照N 個(gè)單任務(wù)周期的時(shí)間周期進(jìn)行兩路心跳字接收檢測。當(dāng)同時(shí)收到1或者同時(shí)受到0則心跳正常，否則心跳異常。心跳異常時(shí)，異常計(jì)數(shù)加1，心跳異常計(jì)數(shù)大于X 時(shí)報(bào)心跳故障。心跳故障時(shí)，再檢測CCDL 傳輸?shù)膶Ψ焦ぷ鳡顟B(tài)，若CCDL 數(shù)據(jù)同時(shí)故障，則進(jìn)行自主通道切換。

5 結(jié)束語

為了提高機(jī)載電子設(shè)備綜合后的安全性和可靠性，該電子控制器設(shè)計(jì)為主備處理控制、接口獨(dú)立的余度架構(gòu)，本文對其余度管理相關(guān)的同步、通道故障切換和交叉鏈路傳輸進(jìn)行了研究，該余度架構(gòu)技術(shù)已經(jīng)過了多項(xiàng)系統(tǒng)綜合試驗(yàn)，可以提高系統(tǒng)的任務(wù)可靠性。