提高单处理机结构APS系统安全性的方法

摘要

本发明提供了一种提高单处理机结构APS系统安全性的方法，主要包括以下处理环节：（1）冗余路径传输、采样；（2）数据流分级监控：飞控计算机处理器通过互比两组采样数据以一致性为准则进行确认，互比后的数据进入逻辑有效性判决，经过逻辑有效性判决后的数据进入控制率计算，再通过与动态基准值比较实现对计算值结果正确性的识别，控制输出数据；（3）输出分级监控：输出数据的输出通道上设置有伺服放大环节和两级安全开关，采用输出数据回绕比较的方法确认数据在伺服放大环节上是否安全。本发明实现了在单处理机结构下满足APS系统的安全性需求，保证单通道飞控计算机的安全工作特性。

说明书

技术领域

本发明涉及一种提高单处理机结构APS系统安全性的方法。

背景技术

自动驾驶仪系统（APS—Automatic Pilot System）的一般组成原理如图1 所示，飞控计算机是APS系统内的核心部件，由于APS系统与飞行安全相关， 因此飞控计算机通常采用多处理机通道的冗余结构以保证系统的安全特性， 如基于“故障/安全”的双余度结构。但对于系统控制权限较低（不超过10%） 经济成本受限的情况下，APS系统采用单处理机通道结构也是一种选择，并 且具有低经济成本、较短的研制周期、低物理资源需求（包括：空间体积、 重量、功耗等要素）的特点，关键是需要通过技术途径提高单处理机通道的 安全性。

发明内容

本发明是以飞控计算机为核心提出一种提高单处理机结构APS系统安全 性的方法，以满足APS系统的安全性需求，保证单通道飞控计算机的安全工 作特性。

为实现以上发明目的，本发明提供如下基本技术方案：

提高单处理机结构APS系统安全性的方法，以飞控计算机处理器和飞控 计算机闩锁逻辑电路为硬件基础，进行以下处理环节：

（1）冗余路径传输、采样

信号源产生的数据经双传输路径并行传输，由相应的双采样接口采样；

（2）数据流分级监控

飞控计算机处理器通过互比两组采样数据以一致性为准则进行确认，互 比后的数据进入逻辑有效性判决，经过逻辑有效性判决后的数据进入控制率 计算，再通过与动态基准值比较实现对计算值结果正确性的识别，控制输出 数据；

（3）输出分级监控

输出数据的输出通道上设置有伺服放大环节和两级安全开关，采用输出 数据回绕比较的方法确认数据在伺服放大环节上是否安全；其中，两级安全 开关中的伺放前级开关在飞控计算机内部，当出现永久性故障时由飞控计算 机闩锁逻辑电路控制其断开；伺放后级开关在飞控放大器内部，飞控计算机 对伺放后级开关的前、后端信号实施外回绕监控，伺放后级开关也由飞控计 算机闩锁逻辑电路控制，以防止故障向舵机执行机构的蔓延。

基于以上基本技术方案，可以进一步优化限定以下技术特征：

上述的飞控计算机闩锁逻辑电路主要可以包括看门狗监控、电源监控、 软件监控、回绕监控和人工优先控制，其中每一种监控或控制均通过闩锁逻 辑形成对所述两级安全开关的控制。

上述的看门狗电路用于监控周期任务执行，其监控时间门限大于两倍的 帧周期但不超过控制收敛边界时间点的1/2。

上述的逻辑有效性判决的判决方法有内容校验、超差识别、数据合理性 分辨。

本发明具有以下技术效果：

本发明实现了在单处理机结构下满足APS系统的安全性需求，保证单通 道飞控计算机的安全工作特性。本发明的技术思想并不局限于在APS系统， 还可以被其他具有安全性需求的嵌入式控制系统所采用，使系统在保证基本 安全性的前提下有效降低设计成本。

附图说明

图1为自动驾驶仪系统体系结构原理图。

图2为本发明的单处理机结构APS系统安全性设计原理框图。

具体实施方式

以下给出了本发明的最佳实施例并结合附图详述，该实施例中对本发明 基本方案的完善和优化不应视为对本发明权利要求方案的限制。

如图2所示，本发明的方案主要包括：a.系统级安全，采用分级监控-故 障切除策略确保信号控制输出安全；b.物理路径双冗余确保信号可靠传输； c.关键信号采用双冗余接口以支持对获取信息的比较监控；d.数据流分级监 控，在控制信号输出前实现对错误信息的预先发现；e.采用多信息综合（电 源监控信息、看门狗监控信息、软件主动监控信息、人工优先控制等）的闩 锁逻辑电路抑制硬件故障蔓延；f.故障确切指示电路实现对故障的及时申报； g.时域安全性设计确保时间领域内飞控计算机的安全工作特性；h.降额设 计；i.健康预警。

路径冗余。对于系统关键类信号在机内布线时采用双传输路径，单条路 径出现物理开路故障时不会影响飞控计算机对关键数据的获取，在保证安全 性同时可有效提高系统可靠工作时间。冗余策略可以贯彻至飞控计算机箱体 连接器插针级，在资源允许情况下该策略可由关键信号向其他信号扩展实施。

双重采样。虽然飞控计算机采用单通道处理机，但类似路径冗余策略可 以在数据接口层采用双采样接口，通过互比监控可以及时发现单接口电路故 障，有效确保飞控计算机的安全工作特性。

数据流分级监控。当飞控计算机处理器获取到数据信息后在内部通过对 数据流过程分级监控确保信息安全有效抑制错误数据向后级蔓延，包括：数 据互比监控、有效性判决、运算值监控、输出回绕监控。数据互比监控以双 重接口为硬件基础通过比较两组采样数据以一致性为准则对所获取的数据进 行确认；互比后的数据进入逻辑有效性判决，判决方法一般有：内容校验、 超差识别、数据合理性分辨等；经过以上两级监控后的数据进入控制率计算， 再通过与动态基准值的比较实现对计算值结果正确性的识别，由于控制自驾 系统控制权限在10%以内，周期间计算数据具有一定的相关特征，当比较结 果超出特征门限时则可以确认计算值错误，通过此方法可及时识别处理器执 行控制率计算过程所出现的瞬态运算故障。

输出分级监控。对输出数据进行分级监控是数据流监控策略在系统一级 的拓展，采用输出数据回绕同预期值比较的方法确认数据在系统放大输出环 节上是否安全。输出控制设置两级开关，伺放前级开关在飞控计算机内部， 当出现永久性故障时由闩锁控制逻辑电路控制其断开，伺放后级开关在飞控 放大器内部飞控计算机对此级开关的前、后端信号实施外回绕监控，开关仍 然受飞控闩锁控制逻辑电路控制。这种分级监控的策略可以实现故障的定位 与隔离，有效防止故障向舵机执行机构的蔓延。

闩锁控制逻辑。飞控计算机内部闩锁控制逻辑综合多控制信息输入，包 括看门狗监控（监控结果指示软件是否按预定周期执行喂狗操作）、电源监控 （监控一次电源及内部二次电源工作状态，包括电压和电流）、软件监控（通 过执行自测试与监控形成判据结果）、回绕监控（对输出控制信号分级采集与 预期值比较形成监控结果）、人工优先控制（驾驶员通过座舱开关实现对飞控 计算机输出的控制），其中每一种监控都可以通过闩锁逻辑形成对系统级安全 开关的控制。

安全开关。在飞控计算机输出信号在伺放驱动环节从系统角度出发设置 两级安全开关可以实现故障的定位与隔离有效抑制故障控制信息向舵机执行 机构的蔓延，使系统的安全性得以保证。

故障申报。为保证座舱驾驶员能够更加及时地发现故障，可以基于故障 确切指示的思路再设计独立的故障申报途径向座舱实时指示故障。

时域安全。时域安全性设计可以确保时间领域内飞控计算机的安全工作 特性，涉及帧周期、看门狗定时、瞬态故障滤波等时间因素。帧周期是飞控 计算机任务的最小循环运行周期时间，该周期应远小于控制收敛的边界时间 点，同时在满足周期任务执行的基础上应有不低于20%的时间降额空间；看 门狗电路用于监控周期任务执行，其监控时间门限应大于2倍的帧周期但不 超过控制收敛边界时间点的1/2；瞬态故障滤波目的在于降低虚警，通过设定 故障计数门限滤除瞬态事件保证故障确认后执行申报和安全切断操作，故障 滤波的计数确认门限下界应大于2倍的帧周期，门限上界控制在收敛边界时 间的1/2以内。

健康预警。单通道的飞控计算机在进入工作任务状态前能够发现自身及 系统所存在的故障并及时预警申报是保证工作安全的有效方法。具体通过上 电自检测、飞行前自检测、维护检测三种途径实现健康预警功能，其中上电 自检测是飞控计算机通电后自动进入测试状态完成针对自身核心资源的检 测，测试中不应影响到其它外围设备的工作；飞行前自检测是飞行前在飞控 计算机进行自身检查的基础上，完成对自驾系统功能及相关设备的测试；维 护自检测用于自驾系统维护时的功能测试，联锁条件（机轮承载信号指示地 面、维护开关接通）具备后进入测试状态，测试在人机交互过程中进行，允 许操作者对各个检测对象进行选择性全面测试。