四余度飞控计算机设计及基于马尔可夫模型的可靠性分析

中图分类号:V247.12
文献标识码:A
文章编号：1673-1131(2019)10-0010-02
0引言
飞控计算机是飞行控制系统的核心部件，完成控制状态 选择、控制律计算和余度管理等工作，其性能和可靠性直接影 响到飞机的飞行安全。为提高飞控计算机的安全性和可靠性, 普遍釆用余度技术设计多余度体系架构的方法，为飞机的飞 行安全提供保障。
X At(l- e )
1- X At
图1四余度飞控计算机系统状态转移过程
根据图1四余度飞控计算机系统状态转移过程，可以得
到马尔可夫链模型状态可靠度方程描述，如式(1)所示。
P,(/+A/)=(l-4^V)P0(/) P, (Z+A/) = 4沁P° (/)+(l-3AA/)P, (/)
Pj(«+A/) = 32ay(P, (r)+P,(/))+(l- 2AAt) P2(r) P, (r+A/) = 2沁(P： (r)+P< (r))+(1 -心)P, (r)
余度数的选择要从飞控系统执行任务的可靠性指标出发, 综合考虑系统的重量、体积、成本和余度管理的方式。过多的 冗余通道，不仅不会使飞控系统的可靠性大幅提高，还会带来 硬件成本的增加，提高余度管理软件的复杂度。研究发现国 内外许多飞机的飞控系统均釆用四余度体系架构，故本文只 针对四余度飞控计算机提出详细的系统设计，并对其可靠性 这一特性问题，利用马尔可夫模型进行余度计算机过程分析 及多通道状态组合转换。
1四余度飞控计算机架构
飞控计算机釆用4X1的体系结构，即飞控计算机由4个
完全相同的余度通道组成，每个余度通道的硬件配置完全相
同，包括主处理器模块(CPU)、接口模块(IOM)、通道接口模块 (IOC)。CPU模块完成飞控系统余度管理、控制律计算、工作 模式转换、系统状态申报、故障告警、负责自检测和对本通道 的其他各子模块进行检测。IOM模块主要接受外部信号源的 数据,将接收的数据通过内部总线传输给CPU使用；同时通过 内部总线接收CPU模块的指令输出信号，发送给外部伺服舵 机进行飞行控制。IOC模块主要完成四余度计算机的同步和 交叉传输(CCDL)等功能。
• P,(r+M) = /kMP,(r)+P,(r))+Байду номын сангаас,(r)
IOC软件驻留在IOC模块上，主要根据CPU的命令完成 余度计算机之间的同步和交叉传输,IOM模块与IOC模块通 过内部总线进行信息交换,IOC模块之间通过CCDL总线实
现余度计算机之间的交叉传输功能，通过同步总线实现余度 计算机之间的同步。
10
3系统可靠性建模及分析
3.1建模分析 在一个离散事件随机变化过程中，在给定当前知识或者
信息的情况下，过去对于预测将来是无关的，则此过程可称为 马尔可夫过程，并且时间和状态都是离散的马尔可夫过程称 为马尔可夫链。在马尔可夫链的每一步,系统根据概率分布, 可以从一个状态变化到另一个状态，也可以保持当前状态。状 态的改变叫做转移，与不同的状态改变相关的概率叫做转移 概率，其中所有的状态的总和可以称为“状态空间”。本文所 介绍的四余度飞控计算机架构设计，其系统状态的转移没有 时间项，状态转移是离散的非连续的，因此使用马尔科夫链对 该系统的可靠性进行分析是非常适合的。
2019年第10期 (总第 202 期)
信息通信
INFORMATION & COMMUNICATIONS
2019 (Sum. No 202)
四余度飞控计算机设计及基于马尔可夫模型的可靠性分析
马超，戴小氐,郭勇 (中国航空工业集团公司西安航空计算技术研究所，陕西西安710065)
摘要:飞控计算机是面向飞行控制应用的计算机，主要完成控制律计算和余度管理等工作，是安全关键部件。因衣匕，设 计高安全、高可靠性的飞控计算机系统对于提高飞机的飞行安全有着至关重要的影响。文章提出一种同构型四余度 飞控计算机设计方案，描述其硬件架构和软件工作方式，并利用马尔可夫模型对其可靠性进行建模分析。研究结果表 明，四余度同构型飞控计算机结构设计满足飞控系统对可靠性的要求，可作为高可靠性长航时飞控计算机设计的参考 方案。 关键词:马尔可夫模型;飞控计算机;可靠性;余度
2软件工作方式
CPU处理器软件驻留在CPU模块上，功能包括系统引导、 操作系统、任务调度、余度管理、BIT软件。
IOM软件驻留在IOM模块上,IOM模块作为输入输出接 口处理模块负责外部信号源信号的采集和自身状态的监控, 将釆集结果和自身状态通过内部总线传输给CPU模块，同时 通过内部总线接收CPU的控制指令并进行输出控制。
来表示系统的状态，则四余度飞控计算机系统状态表示如 下：
(1) t = o表示四通道正常工作，飞控计算机无故障； (2) t= 1表示某第一通道出现可测性故障，并被检测切除, 其余三通道正常工作；
(3) t=2表示某第二通道出现可测性故障，并被检测切除,
其余二通道正常工作；
(4) t=3表示某第三通道出现可测性故障，并被检测切除,
其余单通道正常工作；
(9) t = 8表示某第四通道出现不可测性故障，并被切除,
信息通信
马超等:四余度飞控计算机设计及基于马尔可夫模型的可靠性分析
系统失效； 在明确了通道失效率和通道故障检测覆盖率后，状态转
移过程如图1所示。
1-4 X At
1-3 X At
1-2 X At
1— 3 A At
5
6
XAt(l-e)
考虑到四余度飞控计算机采用同构性硬件结构，运行相 同的软件程序，且各个通道之间相互独立，所以假设其通道失 效率相同，且为常数入，每个通道故障检测覆盖率为并且在 某一通道发生故障时，立马切除，不考虑瞬态故障，切除后不 考虑故障恢复。
3.2可靠性建模 利用马尔可夫链对四余度飞控系统建模,首先要确定系
统的全状态，和状态之间转移的条件。釆用枚举变量X(t)
其余单通道正常工作；
(5) t=4表示某第四通道出现可测性故障，并被检测切除, 系统故障安全；
(6) t = 5表示某第一通道出现不可测性故障，并被切除,
其余三通道正常工作；
(7) t = 6表示某第二通道出现不可测性故障，并被切除,
其余二通道正常工作；
(8) t = 7表示某第三通道出现不可测性故障，并被切除，