ARINC659总线多余度飞控计算机故障检测策略研究*

邓泽勇,曹 东,邵海龙

(南京航空航天大学自动化学院，江苏 南京 211100)

1 引言

无人机飞行控制系统主要由感知飞行状态的传感器、实时数据处理和执行控制功能的机载飞行控制计算机(简称“飞控计算机”)以及操纵舵面运动的伺服子系统组成[1]。飞控计算机是飞行控制系统的核心，负责无人机飞行任务的调度，管理无人机飞行控制系统的其它子模块[2]，根据无人机的飞行状态调整系统控制策略。无人机执行任务的环境复杂恶劣，任务载荷大，无人机机载设备长期遭受如强震、高低温、电磁干扰和硬部件结构损伤等因素影响；同时，由于飞控计算机自身的原因，例如飞控软件程序设计、测试不完善，电路结构、元器件老化等因素，长时间运行可能出现不可预知的错误，这些都可能导致无人机在执行任务期间飞控计算机出现各种类型的故障，从而导致无人机整个系统失效。利用容错技术可以显著提高飞控计算机的任务可靠性和安全性。容错技术是指系统在其组成部分出现特定故障或差错的情况下仍然能执行规定功能的一种特性[3]，主动容错控制技术需要在最短时间内捕获故障信息，因此实时、快速、准确地检测出故障是实现主动容错最主要、最基本的要求。为了提高系统的容错性，飞控计算机通常采用余度技术。作为各余度模块之间信息传递的通道，总线在余度技术中具有至关重要的作用。

ARINC659背板数据总线(简称ARINC659总线)是基于时间触发架构的双-双余度配置的容错串行总线[4]，支持鲁棒的时间分区和空间分区。相比其它总线，该基于时间表驱动的总线型多节点串行通信总线，具有完备的数据通信确定性和容错性、高数据传输量等特点，非常适合在对可靠性和冗余容错性要求较高的飞行器综合电子系统中作为标准背板总线使用。因此，在本文多余度飞控计算机的系统架构上采用ARINC659总线，并且设计针对该对象飞控计算机系统的故障检测方法，之后搭建半物理仿真平台，通过半物理仿真实验验证该策略的有效性。

Figure 1 Structure of ARINC659 bus图1 ARINC659 总线体系结构

2 具有高容错性的ARINC659总线

ARINC659总线是美国航空电子工程师协会(AEEC)在1993年颁布的民用航空电子系统的一种标准背板总线。该总线具有高可靠性、强容错能力、传输数据确定和高吞吐量等特点[5]。ARINC659总线采用表驱动比例访问的通信机制，通过表程序事先定义每个时间串口上发送、接收的模块单元和收发数据的长度，因此不存在数据传输冲突与硬件模块等待数据传输的问题。在传输量方面，ARINC659总线最大的数据传输速率为60 Mbps，传输效率达到98%[6]。在线可更换模块LRM(Line Replaceable Module)之间可以通过总线进行信息交互。ARINC659 总线体系架构如图1所示，ARINC659总线使用4条总线同时进行交叉检验和半双工传输[7]，1条ARINC659总线配置有双总线对(A与B)，每对总线具有“x总线”与“y总线”2条总线，共4条总线(Ax，Ay，Bx，By)。这4条总线上的数据传输由2个总线接口单元BIUx与BIUy控制，BIUx负责Ax和Bx总线数据的收发，BIUy负责Ay和By总线数据的收发，2个总线接口单元BIU(Basic Interface Unit)在对4条总线数据接收的同时，也对4条总线进行Ax=Ay，Bx=By，Ax=By，Bx=Ay的交叉检验。通过对4条总线之间传输的数据进行对比，选择正确的数据同时纠正错误的数据，因此ARINC659总线具有很强的容错性。

3 飞控计算机系统组成

Figure 2 Structure of flight control computer based on ARINC659 bus图2 ARINC659飞控计算机系统架构

ARINC659总线多余度飞控计算机系统架构如图2所示。该系统架构主要由3个模块组成，包括Zynq处理器模块ZPM(Zynq Processor Module)、接口模块IOM(Input and Output Module)和供电模块PSM(Power Supply Module)。ZPM负责控制律的计算、飞行任务的管理、故障的诊断与容错策略的实施。IOM用于外部数据输入输出，输入和输出的信号量包括模拟量(AD，DA)、开关量(DI，DO)、RS232/RS422数字量和PWM信号。IOM采集外部设备信号，通过ARINC659总线发送至ZPM，为ZPM提供导航信息与外部设备的工作状态。ZPM则通过ARINC659总线将计算结果发送给IOM。IOM与ZPM之间都可以通过ARINC659总线和通道故障逻辑信号CFL(Channel Fault Logic)进行数据交互。

ARINC659总线飞控计算机采用的是相似多余度结构，在硬件层面，采用的是n个独立的、硬件资源与结构完全一致的ZPM与m个IOM；软件层面上，n个ZPM运行相同的程序，通过表决确定各自优先级。ZPM的工作方式为主从热备份。对于飞控计算机而言，n个ZPM开机之后同时工作，响应完全相同的外部指令，执行相同的控制策略，运算相同的控制律算法，但是只有主控ZPM有权向外发出控制指令和数据，备份 ZPM只有监测权限不具有控制权限，只接收外部信息的输入，不控制指令和数据的输出。工作过程中，每个ZPM将自身的运行状态向其它节点透明传输，并共同监测计算机其它各个节点的状态。当检测到主控ZPM发生故障时，及时切断主控ZPM与机载设备的联系，由正常的备份ZPM接管控制权；当检测到备份ZPM故障时，不切换控制权限。该架构下飞控计算机指令输出时不需要经过多通道表决，1个ZPM就具备完整的对整个无人机系统的控制权。

CFL信号是用于支持余度通道之间同步及故障诊断的离散量，包括CHV和DPV(Differential Pulse Voltammetry)2种信号。CHV信号的特点是一对多，即1个ZPM或IOM发送2路CHV信号，其余ZPM与IOM同时接收发送的CHV信号;DPV信号的特点是一对一，即ZPM或IOM发送2路DPV信号，特定的某一个板卡接收该信号。因此,1个板卡上有2(m+n-1)路DPV信号发送端。这2个信号都可以用于支持余度通道之间的容错。以m=3，n=2为例，信号连接示意图如图3和图4所示。

Figure 3 CHV signal connection diagram图3 CHV信号连接示意图

Figure 4 DPV signal connection diagram图4 DPV信号连接示意图

4 飞控计算机故障检测

故障检测是指当系统有故障发生时，能够及时准确地判别发生的故障[8]。对于无人机的飞控计算机，可能发生的故障类型多种多样，不同的故障产生的现象可能相同。飞控计算机故障检测策略的侧重点在于故障的结果，不需要精确定位故障的位置，而是从模块层面上进行检测，关注点在于当故障出现时，设计的检测策略能否及时有效地检测出处于故障状态的模块，进而及时将故障模块进行隔离处理。

4.1 故障类型描述

飞控计算机系统故障主要分为软件故障和硬件故障，从故障的时长和可维护角度又可以分为间歇性故障、瞬态故障和永久故障[9,10]。飞控计算机中主要的故障模式及其产生的影响如表1所示。

通过上述故障模式分析可知，在无人机正常飞行过程中，飞控计算机发生的故障多种多样，且大多数故障是瞬时故障或者间歇故障，只有少数情况下会出现永久故障[11]。飞控计算机负责数据处理、控制律算法、航路规划和飞行任务管理等，控制无人机正常飞行与执行任务。由于飞控计算机的重要性，故应尽可能提高对飞控计算机故障检测的实时性和覆盖率，保障飞控计算机正常运行。因此，本文提出3种针对上述故障的检测方法：基于系统任务运行状态的故障检测、基于通道故障逻辑信号CFL的故障检测和基于自适应心跳信号的故障检测。

Table 1 Failure modes and the corresponding influence analysis of flight control computer表1 飞控计算机故障模式及其影响分析

4.2 基于系统任务运行状态的故障检测

ZPM中每个板卡的软件运行状态分为3种，分别为空闲状态、检测状态和控制状态，各状态之间可以相互转换。

(1)空闲状态：ZPM处于上电之后的空闲态，只执行最简单的数据交互任务。

(2)检测状态：无人机在地面时，飞控计算机处于检测无人机状态的模式，仍不进行与控制有关的任务调度算法。

(3)控制状态：ZPM的进行与控制有关的任务的调度算法，无人机处于从滑跑到着陆的某个阶段，在该阶段中ZPM负责控制无人机正常运行。

状态之间的转换需要指令，若在飞控计算机未收到相应指令的情况下发生ZPM状态转换，则可判断软件出现异常。

3个状态之间的转换关系如图5所示。

Figure 5 State transfer diagram of ZPM software图5 ZPM软件状态转移图

ZPM状态可以通过软件来表示，通过ARINC659总线传输至其余ZPM，其余ZPM通过将自身的运行状态与检测到的其余ZPM状态进行对比，既可以判断自身是否发生故障，又可以判断其他节点是否发生故障，是一种自检测与互检测相结合的检测方法。

4.3 基于通道故障逻辑信号CFL的故障检测

利用CFL信号进行故障检测的基本思想是：针对CFL信号，设置一种特定的信号发送逻辑，当系统软件或硬件出现故障时，CFL信号发送逻辑发生改变，与原设定发送方式不匹配。因此，可以通过检测CFL信号来判定系统是否发生故障。

每个ZPM与IOM上含有2路CHV信号，分别用CHV0和CHV1来表示，每个ZPM或IOM发出2路CHV信号，其余ZPM与IOM同时接收，2路CHV信号以周期50 ms的方波信号形式进行翻转，同时CHV0与CHV1信号电平相反，避免了偶然性，提高了检测的准确率，具体如图6所示。

Figure 6 Changes diagram of CFL signal 图6 CFL信号变化图

图6中的T为方波翻转周期，T1是采集CHV信号的周期。因为跳变沿处的电平是不稳定的，为了防止在采集CHV0与CHV1信号时恰好取到跳变沿，采集周期应当略大于方波的翻转周期，因此取T1=52 ms。具体的检测过程如下所示。

每个ZPM与IOM对采集到的来自其余ZPM与IOM的2路CHV信号，首先进行极性判断，以ZPMj为例，其余ZPM与IOM对ZPMj的CHV0与CHV1信号进行采集检测并进行判断。

条件1当ZPMj正常处于主控或热备份状态时，其余ZPM与IOM采集到的ZPMj的CHV0与CHV1信号电平应当相反。

条件2当前时刻ZMP与IOM采集到的ZPMj的CHV0和CHV1信号应当与上个时刻采集到的CHV0和CHV1信号电平相反。

只有当条件1与条件2都满足时，才能判定被检测的ZPMj处于正常状态。当条件1与条件2中有1个不满足时，故障次数加1，当同时满足条件1与条件2时，则将故障次数清零。当累积故障次数大于给定阈值时，则可以判定ZPMj发生了故障。

2.4.3 稳定性试验 取橘叶药材粉末（S14），按“2.1”项下方法制备供试品溶液，按“2.2”色谱条件，分别于0、2、4、6、12、24 h进样采集色谱图。以橙皮苷为参照峰，各共有峰相对保留时间RSD＜1.0%，相对峰面积的RSD＜5.0%。结果表明，样品在室温下24小时内保持稳定。

在CHV信号检测的基础上，引用DPV信号来进一步提高检测的可靠性。可以利用DPV信号来表征系统状态，每个ZPM有2路DPV信号发送端，可以表示4个状态，选用其中3个可以表示系统空闲状态、检测状态与控制状态，如表2示。

Table 2 State of the system represented by CFL表2 CFL表征的系统状态

DPV表征的系统状态根据CHV0与CHV1的变化而变化，避免了系统故障检测的偶然性。4.2节中基于系统任务运行状态检测是在软件层面上进行检测，通过ARINC659总线来进行数据交互。基于CFL信号的故障检测则是从硬件层面上，通过开关量进行信息交互，与基于总线传输的状态检测形成互补，对某个ZPM当前运行状态，其他ZPM既可通过总线获取状态信息，也可根据CFL信号来获取，当二者结果不一致时，会给出以下判断：

(1)被检测ZPM的CFL信号出现了故障；

(2)被检测ZPM的软件运行出现了故障；

(3)被检测ZPM的软件运行与CFL信号均出现了故障。

对于以上3种情况，无论哪种情况下，均认为此时被检测的ZPM不再可靠，判定该ZPM出现了故障，在之后的容错策略中会对故障进行隔离与系统重构。

4.4 基于自适应心跳信号的故障检测

在ZPM与IOM软件运行时创建心跳检测任务，每隔1个时间周期T，每个ZPM与IOM通过ARINC659总线向其余ZPM与IOM发送心跳包。以ZPM为例，心跳信号检测流程如图7所示。

Figure 7 Flow chart of fault detection based on adaptive heartbeat signal图7 基于自适应心跳信号的故障检测流程图

检测结果存在以下几种情况：

(1)其余ZPM与IOM在连续k个周期内收到某个ZPM的心跳包；

(2)其余ZPM与IOM在连续k个周期内未收到某个ZPM的心跳包；

(3)有一部分其余ZPM与IOM在连续k个周期内收到了某个ZPM的心跳包，另一部分仍未收到。

对于情况1，认定被检测ZPM心跳信号正常。

对于情况2，认定被检测ZPM心跳信号发生了故障，从而认定被检测ZPM软件运行发生了故障。

对于情况3，通过多数表决策略，并且结合上面2种故障检测策略来判定被检测ZPM是否正常。

4.5 多种故障检测策略的融合与准确性分析

如图8所示，本文利用软件检测与硬件检测相结合的检测策略来对飞控计算机进行故障检测。

Figure 8 Fault detection structure diagram图8 故障检测结构图

评判一个故障检测策略是否正确有效的重要指标包含故障检测可信度与准确率，现就针对表1中的故障模式对本文提出的故障检测方法进行分析。

对于每种单一的故障检测方法，都存在一定的局限性，对某一部分故障检测的准确率较低，对于故障类型的判断也存在一定误检率与虚警率，同时也可能存在对某种故障的检测结果出现冲突的现象，因此本文融合以上3种方法来对故障进行检测。具体方法是给予每种检测方法一定的权值α，通过权值α与每种检测方法检测的准确率的乘积来定量表征3种方法融合后对故障检测的准确率Pd，其计算方式如式(1)所示：

(1)

其中，Pdj表示对第j种故障检测的准确率；Pdij表示第i种检测方法对第j种故障的检测准确率；aij表示第i种故障检测方法对第j种故障检测的权值。

对于3种故障检测方法各自的可信度，可以结合C-F模型来表征。在C-F模型中知识不确定性表示为CF(H,E)，代表可信度因子，取值在[-1,1]。当相应证据的出现会增加结论H为真的可靠度时，则CF(H,E)>0，证据的出现越能证明H为真的可靠度越大，就使得CF(H,E)的值越大;反之CF(H,E)<0，证据的出现支持H为假的可靠度越大，CF(H,E)的值越小。

本文采用专家经验法，定量地确定各故障检测方法检测不同类型故障的可信度CF(H,E)，并通过可信度确定其加权值α。α应满足式(2)。

(2)

其中，CF(Hi,Ej)表示当第j种故障发生时，基于故障检测方法Hi检测出该故障的可信度因子。

本文通过专家经验法进行判别，得到的结果如表3所示。表3中，H1表示基于系统任务运行状态的检测；H2基于通道故障逻辑信号CFL的故障检测；H3表示基于自适应心跳信号的故障检测。

Table 3 Weight allocation table of fault detection method 表3 故障检测方法权值分配表

通过专家系统分析判断第i种故障检测方法检测第j种故障的准确率Pij，根据各检测方法所占的权重，由式(1)计算3种故障检测方法融合后对故障的检测准确率，结果如表4示。从表4可以看出，对于故障E1、E3、E7和E8这4种故障，3种检测方法融合后的检测准确率较高，而对于E4、E6、E11和E12的综合故障检测准确率次之。当诊断结果发生冲突时，可以根据不同检测方法的权值α的大小来确定是否发生了故障。

5 故障检测策略的仿真验证

为了验证故障检测策略的正确性，本文搭建了如图5所示的闭环半物理仿真测试环境，通过故障注入软件向某个ZPM(这里以ZPM1为例)注入特定软件故障。对于部分硬件故障，采用通道注入技术模拟硬件故障发生，通过系统反馈的参数对系统进行分析，得出故障检测的结果。通过观察主控ZPM状态与ZPM故障标识来判别综合以上3种检测方法的故障检测手段是否有效，检测结果如表6所示。

实验结果表明，在故障检测的实时性上，3种方法融合后针对E1、E3、E4、E6、E7、E8和E117种飞控计算机常见的故障，检测出故障的时间都在50 ms以内，具有良好的实时性；而对于E9和E122种故障，主要出现在无人机飞行控制计算机的研发测试阶段，在正式飞行过程中此类故障出现的可能性低，即使出现该类故障，150 ms的检测时间在工程中也能够满足绝大部分飞控计算机的故障检测实时性要求；对于E2、E5和E103种类型的故障，故障产生的影响具有一定的不确定性，因此对于故障检测实时性相比其他几种故障要差，但检测时间也基本维持在1 s内，能够满足大部分中低速无人机的故障检测实时性要求。

Table 5 Statistical results of fault detection表5 故障检测统计结果

Figure 9 Environment of semi-physical closed-loop simulation test 图9 半物理闭环仿真测试环境

对于故障检测的覆盖率，3种方法联合使用后，对于上述提到的飞控计算机故障类型基本可以实现全覆盖检测，故障检测覆盖率在工程上已达到所需标准。并且相对于单一的方法检测，3种方法联合后对于绝大多数故障的检测准确率高达90%以上。但是，对于某些少数特定故障类型，如E2和E5的存储器故障，E10和E12的应用层故障，由于故障影响的不确定性，仅仅联合使用以上3种检测方法在检测的准确性上仍具有一定局限性，故后续仍需针对以上故障设计特定的故障检测方法。

6 结束语

本文在基于ARINC659总线的多余度飞控计算机系统架构基础上，介绍了几种软硬件结合的故障检测策略，能够更加及时有效地检测系统模块的故障，以便及时对故障模块进行隔离切换，不仅保障了系统的安全性，同时也提高了系统可靠度。最后通过搭建半物理仿真平台，进行了故障注入验证，仿真实验结果表明，以上故障检测策略设计合理，具有良好的实时性与检测覆盖率，能够及时有效地检测模块故障，为系统余度管理和运行可靠性提供了保障。