多余度飛控計算機通道故障邏輯技術研究

程俊強　楊菊平

摘 要： 在航空電子系統中，飛控計算機系統用于控制飛機的飛行功能，要求具有極高的可靠性，必須采用容錯技術來滿足要求。容錯的重要方法是冗余。目前的飛控計算機系統，大多采用雙余度、三余度及四余度的容錯計算機。在余度計算機中，每一余度稱為一個通道，每個通道均具有輸出控制能力， 因此余度計算機輸出控制權的確定和交接就變得至關重要。介紹了道故障邏輯的功能需求和結構，重點研究了一種3×2余度飛控計算機系統通道故障邏輯的設計。

關鍵詞： 飛控計算機系統； 雙余度容錯計算機； 通道故障邏輯； 計算機輸出控制權

中圖分類號： TN911?34 文獻標識碼： A 文章編號： 1004?373X（2014）10?0043?04

Abstract： In Avionics， the flight control computer system is used to control the flight functions of aircraft. The fault?tolerant technique should be adopted in the system to achieve high reliability. Redundancy is very important in fault?tolerant technique. The dual?redundancy， triplex?redundancy and four?redundancy fault?tolerant computers are used in most of the flight control computer system at present. In the redundancy computer， each redundancy is called a channel， and each channel has the output control ability， so it is very important for determination and hand?over of computer output control right. The function demands and configuration of CFL are introduced in this paper. The design of CFL used in 3×2 redundancy flight control computer system is researched emphatically.

Keywords： flight control computer system； multi?redundancy fault?tolerant computer； CFL； computer output control right

0 引 言

在航空電子系統中，飛控計算機系統用于控制飛機的飛行功能，是電傳飛行控制系統的“大腦”，直接關系到飛機的存亡，要求具有極高的可靠性[1]。因此單靠提高電子元器件的可靠性是遠遠不能達到要求的，必須采用容錯技術。容錯的重要方法是冗余，余度的設計直接決定飛控計算機的體系結構、軟件管理方法，可靠度、和復雜度等。目前的飛控計算機系統普遍采用多余度容錯體系結構，如蘇27的四余度結構，F22和F35的三余度結構等[1?2]。

在余度計算機中，每一余度稱為一個通道[2]，每個通道均具有輸出控制能力，根據系統余度及控制策略的不同，需要設計余度計算機輸出控制權的確定和交接，這通常由邏輯上獨立于處理器及其他接口模塊的專用邏輯完成，這部分邏輯稱之為通道故障邏輯[3?5]。通道故障邏輯是余度計算機的重要組成部分，它根據各通道提供的自身狀態信息和其他通道信息來決定該通道是否應該擁有輸出控制權。

1 通道故障邏輯的功能需求

1.1 計算機余度和系統余度數匹配性需求

根據余度計算機所處系統的余度狀態，通道故障邏輯可分為兩類：

（1） 系統余度和計算機余度數相同；

（2） 系統無余度或余度數少于計算機余度數。

下面以雙余度飛控計算機[3，5]為例，介紹通道故障邏輯的功能需求。

1.1.1 系統余度和計算機余度數相同

在計算機余度和系統余度數相同時，通道故障邏輯根據本通道自身狀態信息及其他通道指示本通道狀態信息進行判斷，然后輸出本通道是否有效的指示信號，并“切斷”本通道輸出，“切斷”的通常做法為保持預先約定的故障安全值。

由系統的角度來看輸入/輸出的信號分配原則如圖1所示。

從圖中可以看出，不論是輸入信號還是輸出信號，均為雙余度信號，每一個計算機通道均連接有一個獨立的輸入接口和一個獨立的輸出接口。計算機的輸出接口控制需求為：通道有效時輸出，通道無效時禁止輸出，稱之為本通道自鎖邏輯。如果系統有一次故障安全的需求，則需要增加新的故障邏輯功能：任一通道失效，兩通道均禁止輸出，稱之為通道間互鎖邏輯，即本通道故障時，需要通過硬線通知另一通道的通道故障邏輯禁止其輸出。對于通道故障邏輯而言，與計算機余度設計相同。

1.1.2 系統無余度或余度數少于計算機余度數

對于系統無余度設計或通道個數少于計算機余度個數的情形，通道故障邏輯根據本通道自身狀態信息及其他通道指示本通道狀態信息進行判斷，然后輸出本通道是否有效的指示信號，同時禁止故障通道或無控制權的通道輸出信號。在通道故障邏輯設計中，不僅需要考慮本通道是否具備輸出權，同時還需要考慮另一通道的輸出狀態。

由系統的角度來看輸入/輸出的信號分配原則如圖2所示。

從圖中可以看出，對于輸入信號而言，是一個輸出接口對應兩個輸入接口，計算機中的兩個通道均可使用；對于輸出接口而言，計算機的兩個通道為兩個輸出接口，與系統的連接只有一個輸入接口，此時就需要對計算機的輸出接口進行選擇，通道有效時輸出，通道無效時禁止輸出，稱之為本通道自鎖邏輯。如果本通道獲得輸出控制權，則通過自鎖邏輯，本通道輸出，但如果另一個通道也輸出，將造成輸出沖突的局面，這是不能容忍的，因此通道故障邏輯又需要具備另一個功能，在本通道輸出的同時禁止另一個通道輸出，稱通道間互鎖邏輯。通道故障邏輯與計算機余度設計相同。

1.2 安全性需求

故障邏輯的安全性需求主要來自于飛控系統的故障工作模式，也決定了故障邏輯對輸出控制權的切換和管理形式。

以駕駛儀系統的雙余度飛控計算機來說，安全性需求為關鍵故障一次故障安全，同時駕駛儀故障后允許切除駕駛儀對飛機的控制，改由飛行員通過機械或電傳方式進行手動控制，而不影響飛機的安全，此時對于故障邏輯而言，就需要通道自監控完成本通道故障的切除，通道間的監控完成另一通道的切除，即需要實現本通道的自鎖邏輯，和通道間的互鎖邏輯以保證本通道故障時和通道間互比不一致無法確定故障通道時完成飛控計算機的切除。

對于三余度的飛控計算機[4，6]而言，安全性需求為關鍵故障一次故障工作，二次故障安全，此時的通道間信息來自于三余度飛控計算機的表決，并采用少數服從多數的原則來確定故障通道，因此通道故障邏輯需要根據表決系統的結果，按照預定的原則進行判斷，如本通道自監控正常，另外兩個通道有一個通道指示本通道故障，則按照少數服從多數的原則，本通道正常；如果本通道自監控正常，另外兩個通道均指示本通道故障，則按照少數服從多數的原則，本通道應由通道故障邏輯完成切除。

1.3 關鍵故障覆蓋需求

故障邏輯作為硬件切除的最后手段，必須考慮需要切除通道的關鍵故障的覆蓋率問題。該問題的考慮可以將計算機進行分割為多個故障包容區，并按照其故障形式及故障上報形式進行分類，同時需要根據瞬態故障和永久故障的相應特性設置硬件濾波或軟件濾波算法，避免虛警。

1.4 故障恢復需求

故障邏輯根據其所處系統及故障發生的時機和先后順序，確定是否進行故障恢復。以雙余度自動飛行控制計算機為例，一旦發生故障，通常是不允許故障恢復的，這是因為自動飛行控制計算機的故障并不會影響飛行安全，由飛行員進行駕駛飛行，也不會影響任務的完成。而在無備份的電傳飛控計算機系統中，則不允許所有通道全部切除，否則將導致飛機完全失去控制，導致災難性后果。

1.5 獨立性需求

故障邏輯設計應獨立于模塊的軟硬件設計，同時其設計應當簡單，其可靠性指標應遠高于飛控計算機自身的可靠性。其獨立性的詳細分析依賴于FMECA分析結果，避免故障邏輯部分與模塊功能設計中有共源故障，導致模塊發生故障時，故障邏輯無法起到切除故障通道的作用。例如當主處理器時鐘故障時，將導致軟件運行故障，如果將主處理器時鐘用于故障邏輯設計，可能導致故障邏輯無法監控到軟件的運行故障。

2 通道故障邏輯的基本結構

由通道故障邏輯的功能需求可知，飛控計算機的每一個通道都有通道故障邏輯電路，各通道的通道故障邏輯根據本地通道狀態輸出計算機的狀態信息，用于接通/切斷飛控計算機。圖3為通道故障邏輯的結構圖，實際使用中可以根據實際情況進行刪減。

通道故障邏輯輸入信息通常包括：

（1） 軟件自監控信息；

（2） 硬件故障信息；

（3） 軟件看門狗信息；

（4） 其他通道指示信息。

故障邏輯設計具有通道互鎖和本通道自鎖功能，以防止在故障狀態下接通計算機控制系統。通道故障邏輯電路包括許多在線監控的重要信號，因此這些信號中的任意一個出現故障都表示本通道出現故障，并且始終自鎖為故障狀態，除重新上電之外軟件不能復位，但是在每一次飛控計算機上電后進行BIT測試的時間內軟件可以復位由于BIT測試引起的故障狀態。鑒于飛控計算機的輸入和輸出信號為單余度的，所以飛控計算機的雙余度輸出必須對應系統的單余度接口。

3 3×2余度計算機通道故障邏輯設計

飛控計算機系統的發展要求既保持高可靠性和高可用性，又要求在維護性、測試性、保障性、以及經濟可承受性、研制周期等諸方面有所突破[4，6?7]。3×2余度飛控計算機能較好的滿足上述要求，圖4為3×2余度飛控計算機的總體結構圖。

圖中可知體系結構設計為同構型三余度工作通道結構，通道之間完全獨立，分為三個LRU，每個LRU定義為一個通道。不同通道之間通過CCDL和同步總線交換信息。通道內采用主機雙余度（CPU1、CPU2）的容錯結構。每個通道只增加CPU的冗余，輸入/輸出接口并不增加。

在系統余度和計算機余度相同的系統中，CFL與上述系統有較大不同，這是因為通道內的I/O接口模塊在一個時刻只能由一個主機控制，規定每個通道在CPU1模塊無故障的情況下，由CPU1完成對I/O接口模塊的控制，否則控制權在通道故障邏輯的控制下切換到CPU2。如表1所示。

由通道故障邏輯決定當前每個通道哪個CPU有效，每個通道設置專用通道故障邏輯電路，主要輸出通道有效信號、通道指示信號。這套電路設計在I/O接口模塊上。通道故障邏輯的邏輯電平為5 V，所有外部輸入的離散信號都應調節為5 V電壓的邏輯電平，所有的輸出離散信號為15 V邏輯電平。邏輯應至少包括如下內容：

（1） 上電復位脈沖（PORP）；

（2） 主機有效：根據PSV、WDV、本CPU軟件計算結果、其他CPU計算結果，判斷CPU1及CPU2的可用性；

（3） CPU選擇：根據CPU的有效性，選定本通道控制I/O接口模塊的CPU；

（4） 通道有效：根據CPU的有效性進行判斷；

（5） 電流開關接通：根據通道有效性，選擇是否接通本通道I/O接口模塊的輸出接口；

（6） 鎖存器清除；

（7） SOV高保持。

通道有效信號是指示主機自身有效的離散信號，各主機自監控的結果通過通道有效信號向其他主機申報。自監控包括：二次電源（3.3 V，5 V，+15 V）、看門狗、周期BIT等。通道有效報警是系統的嚴重故障，一旦故障申報，其他主機將進行故障綜合處理，其一撤銷故障主機的控制權，其二不再和故障主機進行同步和CCDL，其三記錄故障。通道有效信號是實時響應申報信號，隨時發現故障隨時申報，并引發通道自鎖。

通道指示信號是指示其他主機狀態的信號。每個主機都可以接到其他主機的通道指示信號，如果多數主機指示某一主機正確，該主機就可以得到控制權，否則該主機將失去控制權。

4 結 語

通道故障邏輯是余度計算機的重要技術，安全性設計、關鍵故障的覆蓋率，故障恢復設計及獨立性設計等均為故障邏輯設計的重要組成部分。本文介紹了故障邏輯的功能需求分析及故障邏輯的結構等內容，并給出一種3×2余度飛控計算機系統的故障邏輯設計，對多余度飛控計算機系統的故障邏輯設計有一定的參考作用，對其他類別的余度計算機系統也有借鑒意義。

參考文獻

[1] 劉林，郭恩友.飛行控制系統的分系統[M].北京：國防工業出版社，2003.

[2] 姚一平，李沛瓊.可靠性及余度技術[M].北京：航空工業出版社，1991.

[3] 閆穩.機載供電系統雙余度控制器的容錯控制[J].航空計算技術，2010，40（4）：86?88.

[4] 柳孔明，徐宏哲，黃俊.三余度飛控計算機構架及其可靠性研究[J].現代電子技術，2012，35（6）：102?106.

[5] 周小超，陸熊.非相似余度飛控計算機設計及可靠性分析[J]. 計算機與現代化，2013（5）：135?137.

[6] AHLSTROM K， TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach， FL： IEEE， 2001： 1B5/1?1B5/10.

[7] 劉小雄，章衛國.電傳飛行控制系統的余度設計技術[J].飛機設計，2006（3）：35?38.

1.2 安全性需求

故障邏輯的安全性需求主要來自于飛控系統的故障工作模式，也決定了故障邏輯對輸出控制權的切換和管理形式。

以駕駛儀系統的雙余度飛控計算機來說，安全性需求為關鍵故障一次故障安全，同時駕駛儀故障后允許切除駕駛儀對飛機的控制，改由飛行員通過機械或電傳方式進行手動控制，而不影響飛機的安全，此時對于故障邏輯而言，就需要通道自監控完成本通道故障的切除，通道間的監控完成另一通道的切除，即需要實現本通道的自鎖邏輯，和通道間的互鎖邏輯以保證本通道故障時和通道間互比不一致無法確定故障通道時完成飛控計算機的切除。

對于三余度的飛控計算機[4，6]而言，安全性需求為關鍵故障一次故障工作，二次故障安全，此時的通道間信息來自于三余度飛控計算機的表決，并采用少數服從多數的原則來確定故障通道，因此通道故障邏輯需要根據表決系統的結果，按照預定的原則進行判斷，如本通道自監控正常，另外兩個通道有一個通道指示本通道故障，則按照少數服從多數的原則，本通道正常；如果本通道自監控正常，另外兩個通道均指示本通道故障，則按照少數服從多數的原則，本通道應由通道故障邏輯完成切除。

1.3 關鍵故障覆蓋需求

故障邏輯作為硬件切除的最后手段，必須考慮需要切除通道的關鍵故障的覆蓋率問題。該問題的考慮可以將計算機進行分割為多個故障包容區，并按照其故障形式及故障上報形式進行分類，同時需要根據瞬態故障和永久故障的相應特性設置硬件濾波或軟件濾波算法，避免虛警。

1.4 故障恢復需求

故障邏輯根據其所處系統及故障發生的時機和先后順序，確定是否進行故障恢復。以雙余度自動飛行控制計算機為例，一旦發生故障，通常是不允許故障恢復的，這是因為自動飛行控制計算機的故障并不會影響飛行安全，由飛行員進行駕駛飛行，也不會影響任務的完成。而在無備份的電傳飛控計算機系統中，則不允許所有通道全部切除，否則將導致飛機完全失去控制，導致災難性后果。

1.5 獨立性需求

故障邏輯設計應獨立于模塊的軟硬件設計，同時其設計應當簡單，其可靠性指標應遠高于飛控計算機自身的可靠性。其獨立性的詳細分析依賴于FMECA分析結果，避免故障邏輯部分與模塊功能設計中有共源故障，導致模塊發生故障時，故障邏輯無法起到切除故障通道的作用。例如當主處理器時鐘故障時，將導致軟件運行故障，如果將主處理器時鐘用于故障邏輯設計，可能導致故障邏輯無法監控到軟件的運行故障。

2 通道故障邏輯的基本結構

由通道故障邏輯的功能需求可知，飛控計算機的每一個通道都有通道故障邏輯電路，各通道的通道故障邏輯根據本地通道狀態輸出計算機的狀態信息，用于接通/切斷飛控計算機。圖3為通道故障邏輯的結構圖，實際使用中可以根據實際情況進行刪減。

通道故障邏輯輸入信息通常包括：

（1） 軟件自監控信息；

（2） 硬件故障信息；

（3） 軟件看門狗信息；

（4） 其他通道指示信息。

故障邏輯設計具有通道互鎖和本通道自鎖功能，以防止在故障狀態下接通計算機控制系統。通道故障邏輯電路包括許多在線監控的重要信號，因此這些信號中的任意一個出現故障都表示本通道出現故障，并且始終自鎖為故障狀態，除重新上電之外軟件不能復位，但是在每一次飛控計算機上電后進行BIT測試的時間內軟件可以復位由于BIT測試引起的故障狀態。鑒于飛控計算機的輸入和輸出信號為單余度的，所以飛控計算機的雙余度輸出必須對應系統的單余度接口。

3 3×2余度計算機通道故障邏輯設計

飛控計算機系統的發展要求既保持高可靠性和高可用性，又要求在維護性、測試性、保障性、以及經濟可承受性、研制周期等諸方面有所突破[4，6?7]。3×2余度飛控計算機能較好的滿足上述要求，圖4為3×2余度飛控計算機的總體結構圖。

圖中可知體系結構設計為同構型三余度工作通道結構，通道之間完全獨立，分為三個LRU，每個LRU定義為一個通道。不同通道之間通過CCDL和同步總線交換信息。通道內采用主機雙余度（CPU1、CPU2）的容錯結構。每個通道只增加CPU的冗余，輸入/輸出接口并不增加。

在系統余度和計算機余度相同的系統中，CFL與上述系統有較大不同，這是因為通道內的I/O接口模塊在一個時刻只能由一個主機控制，規定每個通道在CPU1模塊無故障的情況下，由CPU1完成對I/O接口模塊的控制，否則控制權在通道故障邏輯的控制下切換到CPU2。如表1所示。

由通道故障邏輯決定當前每個通道哪個CPU有效，每個通道設置專用通道故障邏輯電路，主要輸出通道有效信號、通道指示信號。這套電路設計在I/O接口模塊上。通道故障邏輯的邏輯電平為5 V，所有外部輸入的離散信號都應調節為5 V電壓的邏輯電平，所有的輸出離散信號為15 V邏輯電平。邏輯應至少包括如下內容：

（1） 上電復位脈沖（PORP）；

（2） 主機有效：根據PSV、WDV、本CPU軟件計算結果、其他CPU計算結果，判斷CPU1及CPU2的可用性；

（3） CPU選擇：根據CPU的有效性，選定本通道控制I/O接口模塊的CPU；

（4） 通道有效：根據CPU的有效性進行判斷；

（5） 電流開關接通：根據通道有效性，選擇是否接通本通道I/O接口模塊的輸出接口；

（6） 鎖存器清除；

（7） SOV高保持。

通道有效信號是指示主機自身有效的離散信號，各主機自監控的結果通過通道有效信號向其他主機申報。自監控包括：二次電源（3.3 V，5 V，+15 V）、看門狗、周期BIT等。通道有效報警是系統的嚴重故障，一旦故障申報，其他主機將進行故障綜合處理，其一撤銷故障主機的控制權，其二不再和故障主機進行同步和CCDL，其三記錄故障。通道有效信號是實時響應申報信號，隨時發現故障隨時申報，并引發通道自鎖。

通道指示信號是指示其他主機狀態的信號。每個主機都可以接到其他主機的通道指示信號，如果多數主機指示某一主機正確，該主機就可以得到控制權，否則該主機將失去控制權。

4 結 語

通道故障邏輯是余度計算機的重要技術，安全性設計、關鍵故障的覆蓋率，故障恢復設計及獨立性設計等均為故障邏輯設計的重要組成部分。本文介紹了故障邏輯的功能需求分析及故障邏輯的結構等內容，并給出一種3×2余度飛控計算機系統的故障邏輯設計，對多余度飛控計算機系統的故障邏輯設計有一定的參考作用，對其他類別的余度計算機系統也有借鑒意義。

參考文獻

[1] 劉林，郭恩友.飛行控制系統的分系統[M].北京：國防工業出版社，2003.

[2] 姚一平，李沛瓊.可靠性及余度技術[M].北京：航空工業出版社，1991.

[3] 閆穩.機載供電系統雙余度控制器的容錯控制[J].航空計算技術，2010，40（4）：86?88.

[4] 柳孔明，徐宏哲，黃俊.三余度飛控計算機構架及其可靠性研究[J].現代電子技術，2012，35（6）：102?106.

[5] 周小超，陸熊.非相似余度飛控計算機設計及可靠性分析[J]. 計算機與現代化，2013（5）：135?137.

[6] AHLSTROM K， TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach， FL： IEEE， 2001： 1B5/1?1B5/10.

[7] 劉小雄，章衛國.電傳飛行控制系統的余度設計技術[J].飛機設計，2006（3）：35?38.

1.2 安全性需求

故障邏輯的安全性需求主要來自于飛控系統的故障工作模式，也決定了故障邏輯對輸出控制權的切換和管理形式。

以駕駛儀系統的雙余度飛控計算機來說，安全性需求為關鍵故障一次故障安全，同時駕駛儀故障后允許切除駕駛儀對飛機的控制，改由飛行員通過機械或電傳方式進行手動控制，而不影響飛機的安全，此時對于故障邏輯而言，就需要通道自監控完成本通道故障的切除，通道間的監控完成另一通道的切除，即需要實現本通道的自鎖邏輯，和通道間的互鎖邏輯以保證本通道故障時和通道間互比不一致無法確定故障通道時完成飛控計算機的切除。

對于三余度的飛控計算機[4，6]而言，安全性需求為關鍵故障一次故障工作，二次故障安全，此時的通道間信息來自于三余度飛控計算機的表決，并采用少數服從多數的原則來確定故障通道，因此通道故障邏輯需要根據表決系統的結果，按照預定的原則進行判斷，如本通道自監控正常，另外兩個通道有一個通道指示本通道故障，則按照少數服從多數的原則，本通道正常；如果本通道自監控正常，另外兩個通道均指示本通道故障，則按照少數服從多數的原則，本通道應由通道故障邏輯完成切除。

1.3 關鍵故障覆蓋需求

故障邏輯作為硬件切除的最后手段，必須考慮需要切除通道的關鍵故障的覆蓋率問題。該問題的考慮可以將計算機進行分割為多個故障包容區，并按照其故障形式及故障上報形式進行分類，同時需要根據瞬態故障和永久故障的相應特性設置硬件濾波或軟件濾波算法，避免虛警。

1.4 故障恢復需求

故障邏輯根據其所處系統及故障發生的時機和先后順序，確定是否進行故障恢復。以雙余度自動飛行控制計算機為例，一旦發生故障，通常是不允許故障恢復的，這是因為自動飛行控制計算機的故障并不會影響飛行安全，由飛行員進行駕駛飛行，也不會影響任務的完成。而在無備份的電傳飛控計算機系統中，則不允許所有通道全部切除，否則將導致飛機完全失去控制，導致災難性后果。

1.5 獨立性需求

故障邏輯設計應獨立于模塊的軟硬件設計，同時其設計應當簡單，其可靠性指標應遠高于飛控計算機自身的可靠性。其獨立性的詳細分析依賴于FMECA分析結果，避免故障邏輯部分與模塊功能設計中有共源故障，導致模塊發生故障時，故障邏輯無法起到切除故障通道的作用。例如當主處理器時鐘故障時，將導致軟件運行故障，如果將主處理器時鐘用于故障邏輯設計，可能導致故障邏輯無法監控到軟件的運行故障。

2 通道故障邏輯的基本結構

由通道故障邏輯的功能需求可知，飛控計算機的每一個通道都有通道故障邏輯電路，各通道的通道故障邏輯根據本地通道狀態輸出計算機的狀態信息，用于接通/切斷飛控計算機。圖3為通道故障邏輯的結構圖，實際使用中可以根據實際情況進行刪減。

通道故障邏輯輸入信息通常包括：

（1） 軟件自監控信息；

（2） 硬件故障信息；

（3） 軟件看門狗信息；

（4） 其他通道指示信息。

故障邏輯設計具有通道互鎖和本通道自鎖功能，以防止在故障狀態下接通計算機控制系統。通道故障邏輯電路包括許多在線監控的重要信號，因此這些信號中的任意一個出現故障都表示本通道出現故障，并且始終自鎖為故障狀態，除重新上電之外軟件不能復位，但是在每一次飛控計算機上電后進行BIT測試的時間內軟件可以復位由于BIT測試引起的故障狀態。鑒于飛控計算機的輸入和輸出信號為單余度的，所以飛控計算機的雙余度輸出必須對應系統的單余度接口。

3 3×2余度計算機通道故障邏輯設計

飛控計算機系統的發展要求既保持高可靠性和高可用性，又要求在維護性、測試性、保障性、以及經濟可承受性、研制周期等諸方面有所突破[4，6?7]。3×2余度飛控計算機能較好的滿足上述要求，圖4為3×2余度飛控計算機的總體結構圖。

圖中可知體系結構設計為同構型三余度工作通道結構，通道之間完全獨立，分為三個LRU，每個LRU定義為一個通道。不同通道之間通過CCDL和同步總線交換信息。通道內采用主機雙余度（CPU1、CPU2）的容錯結構。每個通道只增加CPU的冗余，輸入/輸出接口并不增加。

在系統余度和計算機余度相同的系統中，CFL與上述系統有較大不同，這是因為通道內的I/O接口模塊在一個時刻只能由一個主機控制，規定每個通道在CPU1模塊無故障的情況下，由CPU1完成對I/O接口模塊的控制，否則控制權在通道故障邏輯的控制下切換到CPU2。如表1所示。

由通道故障邏輯決定當前每個通道哪個CPU有效，每個通道設置專用通道故障邏輯電路，主要輸出通道有效信號、通道指示信號。這套電路設計在I/O接口模塊上。通道故障邏輯的邏輯電平為5 V，所有外部輸入的離散信號都應調節為5 V電壓的邏輯電平，所有的輸出離散信號為15 V邏輯電平。邏輯應至少包括如下內容：

（1） 上電復位脈沖（PORP）；

（2） 主機有效：根據PSV、WDV、本CPU軟件計算結果、其他CPU計算結果，判斷CPU1及CPU2的可用性；

（3） CPU選擇：根據CPU的有效性，選定本通道控制I/O接口模塊的CPU；

（4） 通道有效：根據CPU的有效性進行判斷；

（5） 電流開關接通：根據通道有效性，選擇是否接通本通道I/O接口模塊的輸出接口；

（6） 鎖存器清除；

（7） SOV高保持。

通道有效信號是指示主機自身有效的離散信號，各主機自監控的結果通過通道有效信號向其他主機申報。自監控包括：二次電源（3.3 V，5 V，+15 V）、看門狗、周期BIT等。通道有效報警是系統的嚴重故障，一旦故障申報，其他主機將進行故障綜合處理，其一撤銷故障主機的控制權，其二不再和故障主機進行同步和CCDL，其三記錄故障。通道有效信號是實時響應申報信號，隨時發現故障隨時申報，并引發通道自鎖。

通道指示信號是指示其他主機狀態的信號。每個主機都可以接到其他主機的通道指示信號，如果多數主機指示某一主機正確，該主機就可以得到控制權，否則該主機將失去控制權。

4 結 語

通道故障邏輯是余度計算機的重要技術，安全性設計、關鍵故障的覆蓋率，故障恢復設計及獨立性設計等均為故障邏輯設計的重要組成部分。本文介紹了故障邏輯的功能需求分析及故障邏輯的結構等內容，并給出一種3×2余度飛控計算機系統的故障邏輯設計，對多余度飛控計算機系統的故障邏輯設計有一定的參考作用，對其他類別的余度計算機系統也有借鑒意義。

參考文獻

[1] 劉林，郭恩友.飛行控制系統的分系統[M].北京：國防工業出版社，2003.

[2] 姚一平，李沛瓊.可靠性及余度技術[M].北京：航空工業出版社，1991.

[3] 閆穩.機載供電系統雙余度控制器的容錯控制[J].航空計算技術，2010，40（4）：86?88.

[4] 柳孔明，徐宏哲，黃俊.三余度飛控計算機構架及其可靠性研究[J].現代電子技術，2012，35（6）：102?106.

[5] 周小超，陸熊.非相似余度飛控計算機設計及可靠性分析[J]. 計算機與現代化，2013（5）：135?137.

[6] AHLSTROM K， TORIN J. Future architecture for flight control systems [C]// Proceedings of IEEE 20th Digital Avionics Systems Conference. Daytona Beach， FL： IEEE， 2001： 1B5/1?1B5/10.

[7] 劉小雄，章衛國.電傳飛行控制系統的余度設計技術[J].飛機設計，2006（3）：35?38.