0 引言

电传飞控系统的发展经历了从模拟式到数字式再到兼容航电和机电系统控制功能的飞机管理系统的三个主要阶段，对于高安全性要求的飞控备份系统的发展也经历了从机械备份到模拟备份再到数字备份的三个阶段，因此飞控计算机子系统被赋予的功能越来越多，软件硬件的复杂度也越来越高。飞控系统是飞机的安全关键系统，计算机子系统是飞控系统的控制计算核心。使用机内测试（built in test，简称BIT）技术确保飞控计算机子系统的高安全性和高可靠性就显得至关重要，同时BIT技术可以降低维修成本，控制飞控系统的全生命周期的使用成本。

BIT是指系统和设备内部提供的检测、隔离故障的自动测试能力。BIT最新的发展融入了故障预测和健康管理的功能。

航空业内及高校针对BIT技术研究做了一些相关研究，但是也有以下问题：

1）缺少遵循系统工程方法的飞控计算机子系统BIT研制流程的研究用以指导工程设计开发。

2）飞控系统级的BIT设计仅体现在实现原理和顶层功能逻辑上，缺少系统级设计向计算机软硬件设计实现的延伸^[1-5]；飞控计算机的BIT设计仅体现在通用计算机的BIT设计上，缺少飞控系统的关联性^[6-11]。

3）飞控系统BIT设计已经从实时故障诊断发展到兼顾故障预测的健康管理（PHM）阶段，缺少飞控计算机子系统中相对应的软硬件设计研究^[12-13]。

本文针对以上问题提出了基于系统工程的飞控计算机子系统BIT设计流程方法，基于飞控系统的BIT功能需求研究了计算机子系统的BIT软件算法与硬件设计原理，同时论述了支持故障预测与健康管理的设计方法。

1 飞控计算机子系统的架构组成

电传飞控系统经过了多代的迭代发展，其组成一般可以分为四个子系统，包括计算机子系统、作动子系统、传感器子系统和控制显示子系统（无人机该功能由地面站完成）。

飞控系统的计算机子系统主要完成如下功能：

1）多余度供电的二次处理和转换；

2）系统控制、调度、容错及控制律计算；

3）外部接口信号的调制解调处理；

4）伺服控制、伺服控制律计算及伺服驱动。

电传飞控系统需要考虑安全性和任务可靠性的要求，通常采用多余度同步实时工作设计，因此计算机子系统被赋予的功能将更多。由于计算机机箱及板卡板载面积限制，在硬件实现上通常采用功能模块的形式存在，包括：电源处理模块（PS模块）、CPU模块、I/O模块和伺服控制模块，如图1所示。

将全部功能模块集中于一个机箱内，通过机箱内总线通信，机箱间多余度配置便形成集中式的电传飞控系统，第四代战斗机由于机身空间限制通常采用该形式。大型飞机由于接口和伺服控制通道数量较多，会形成CPU模块自带PS模块和I/O模块和伺服控制模块自带PS模块和I/O模块分布式飞控系统架构，大型飞机较多采用该形式。最新型的五代机的飞控系统兼容航电和机电控制功能，考虑飞控、机电及航电设备位置分布的固有特点，减重及全机系统信息融合的需求，通常采用分布采集、分布驱动和集中控制的架构方式，演化形成了飞机管理系统，即将CPU模块、I/O模块和伺服控制模块独立成机载设备的形式。

飞控系统虽然经历了不同架构形式的发展，但是计算机子系统的功能模块核心是不变的，区别在于模块间通过机箱内高速总线通信还是机箱外的低速总线通信。因此，本文飞机计算机子系统的BIT设计研究将围绕功能模块展开。

2 飞控计算机子系统的BIT特点及要求

2.1 BIT分类特点

BIT是利用飞控计算机子系统内部的软硬件资源完成计算机内的功能性能软硬件的自动检测技术，是飞控计算机子系统的一个组成部分。

计算机子系统的BIT工作模式承接飞控系统的BIT需求，分为与实时周期任务协同运行的周期BIT（PEBIT）和单独工作的BIT，单独工作的BIT又可以分为上电BIT（PUBIT）、飞行前BIT（PBIT）和维护BIT（MBIT）。

PEBIT属于飞控余度管理的一部分，主要完成飞行过程中故障的监控、恢复请求、记录与上报功能，为了保证实时任务的正常工作，无法采用故障的注入检测方式。

PUBIT在计算机上电完成软硬件初始化后，通过轮载及飞机速度信号判断飞机是否处在地面状态，如果在地面则进入PUBIT，PUBIT完成后自动进入实时任务同时协同运行PEBIT。PUBIT会将检测的故障记录于NVRAM中并上报航电显示系统。

PBIT/MBIT是独占式工作，可以通过监控器和施加激励进行故障注入的方式对计算机子系统进行较为全面检测。PBIT/MBIT启动需要设计专用的联锁条件，以免飞行时意外启动危及飞行安全，图2所示为三余度的启动联锁条件。PBIT启动后自动运行，MBIT兼容PBIT的同时可以单项测试项运行和实现传感器和作动器的调零及标定。

2.2 BIT设计通用要求

飞控计算机子系统的BIT设计贯穿计算机子系统设计的整个过程，通过分析BIT的特点，在BIT设计时会有以下的通用要求：

1）BIT的启动尤其是独占式工作的BIT需采用“严进宽出”原则，由联锁条件控制启动以确保飞行安全。

2）在飞控计算机子系统故障模式、影响及危害性分析（FMECA）中导致安全关键功能丧失及严重降级的故障都必须设计BIT监控^[8]。

3）为保证BIT专用硬件电路的可靠性高于功能性能硬件电路一个数量级，详细设计时需保证BIT专用电路的数量小于总电路的10%，因此应尽可能使用飞控计算机子系统的固有硬件资源实现BIT功能。

4）BIT硬件和被监控硬件应尽可能保持相互独立，以确保监控结果的置信度，同时确保BIT硬件损坏时不使计算机子系统的功能性能丧失或者降级。

5）需对BIT的故障检测率、隔离能力、虚警率和运行时间有明确的指标要求，以牵引飞控计算机子系统的BIT设计，并作为符合性检查的依据。

3 基于系统工程的飞控计算机子系统BIT设计流程

飞控计算机子系统的BIT设计工作主要在方案设计、初样设计和试样设计阶段完成。在确定了计算机子系统的总体设计思路之后，设计人员就需要结合计算机的方案特点制定BIT设计工作流程，将BIT设计工作流程与计算机子系统的具体研制特性相结合，形成融入计算机子系统研制总流程的BIT设计工作流程^[14]。

如图3所示为基于系统工程原理设计的飞控计算机子系统的BIT设计工作流程。BIT设计分为需求与方案设计、详细设计和装机件投产及验证三个阶段。

在需求与方案设计阶段，首先依据计算机子系统的方案的故障模式、影响及危险性分析（FMECA）的结果，故障检测率、隔离能力、虚警率及运行时间的指标需求，进行BIT需求的分配，进而形成飞控计算机子系统的BIT总体设计方案。通过BIT需求及符合性检查报告进行设计内部检查，通过第三方专家组的需求及方案审查进行外部检查，最终确保BIT需求及设计方案的完整性和正确性。

在详细设计阶段，依据计算机子系统BIT总体设计方案开展软硬件的详细设计，BIT的实现方法库主要分为在线监控法、注入激励法和回绕监控法三种，依据不同功能软硬件设计详细的专用的BIT软硬件。在BIT的软硬件详细设计时需统筹考虑并贯彻BIT设计的通用要求、可以采用测试性建模和分析软件TEAMS和eXpress对软硬件的详细设计进行分析评估并形成分析报告^[15-16]，最后得到BIT的测试性预计结果，用以设计内部检查BIT的软硬件详细设计是否满足BIT的故障检测率、隔离能力、虚警率和运行时间等指标要求，第三方专家组对BIT的详细设计的完整性和正确性进行外部审查。

在详细设计满足BIT要求之后进行试验件的投产，利用地面半物理试验环境进行BIT测试性试验，试验结果满足BIT要求后，即可进行装机件的生产，由于飞机设计是一个相互关联的复杂工程，因此通常详细设计和试验件会进行两轮的迭代，即初样和试样两个阶段后转入装机件生产。

4 飞控计算机子系统BIT详细设计

由于篇幅限制，本文着重于飞控计算机子系统BIT详细设计的研究，主要为BIT的启动初始化、工作模式的转换、BIT的测试项目、测试时序、软件算法及硬件电路的详细设计方法。

4.1 BIT的初始化

不同BIT工作模式的初始化是不一样的。PEBIT的初始化主要是进行余度管理的监控器的初始化，如果是空中启动，需先读取NVRAM中的永久故障记录，监控器初始化时需将永久故障信号从监控器剔除。对于启动初始化耗时较长的设备需延长该设备信号监控器的启动运行时间，比如惯性陀螺设备。如果是PUBIT、PBIT或MBIT结束后自动进入PEBIT，需将前者检测到的永久故障从监控器中剔除。

在地面启动硬件初始化后须先检查NVRAM，判断是否PBIT/MBIT电源测试导致的计算机复位，如果不是则进入PUBIT，执行PUBIT前需禁止实时任务及中断、将周期同步监控改为长同步、看门狗监控禁止、通道故障逻辑变量初始化为有效、非作动器测试项作动器伺服复位置为有效，进行PUBIT测试队列号及变量初始化。

PBIT和MBIT的初始化与PUBIT类似，在地面启动时若判断为PBIT或MBIT测试电源导致的重启，再自动进行下一测试项。

4.2 BIT的模态转换

BIT四种工作模式之间的切换逻辑如图4所示，在飞控计算机子系统完成上电的软硬件准备后，在NVRAM中检查是否为PBIT和MBIT的电源测试导致计算机重启。通过计算机接收到的轮载、飞机速度和发动机状态判断飞机是否处于地面状态。在实时任务的大帧周期中进行PBIT/MBIT的联锁条件检查。BIT的检测结果需记录在NVRAM中并向航电显示系统申报。

4.3 BIT测试项目设计

通过对飞控计算机子系统的故障模式、影响及危害性（FMECA）分析，梳理出会导致飞机坠毁、任务失败、任务延误和无影响的故障清单。BIT检测必须覆盖导致飞机坠毁和任务失败的故障，依据飞控系统分配的故障检测率指标对任务延误和无影响的故障进行选择性的不检测。在满足指标需求的前提下，检测项目越少，飞控计算机子系统复杂度越低，可靠性越高而成本越低。

由于飞控计算机子系统的功能模块相对确定，因此可以初步确定如表1所示的BIT的检测项目。

表1（续）

注：Y指必选的；Y/N指根据测试性指标要求，可以做部分删减的。

其中PUBIT为了兼顾飞控计算机子系统的启动速度要求，只对数字核心部分器件进行检测。PBIT启动时PUBIT已经执行完成，考虑到PBIT的运行时间要求，数字核心部分不再进行重复检测。MBIT则需要进行尽可能全面地检测以满足BIT的检测率要求，在满足检测率要求的前提下部分故障危害性较低的接口信号可以不检测。PEBIT与实时任务协同工作，主要实现余度管理的监控器功能。

4.4 BIT的测试项目执行时序

独占式工作的BIT在运行时需考虑时序，采用由内到外逐层展开的方式，首先进行模块的数字机内核测试、然后进行外围测试的激励工具DC_STIM和AC_STIM测试，最后进行外围的测试。如图5所示为检测层次，每一项后续检测均以已经被检测过的项目为基础，这样可以使故障诊断算法更加简单，结果更加准确。

4.5 BIT子项目的详细设计

对于飞控计算机子系统的BIT测试项目中计算机常规通用的测试项目，行业内和高校的相关文献^[6-11]已经做了充分的研究，本文着重于与飞控系统强相关的BIT测试项目的详细设计方法原理的介绍分析。

4.5.1 CPU的测试

现在主流飞控计算机的CPU是一个高度复杂的超大规模集成电路，厂家对CPU内部的电路也不公开，因此常规的硬件电路检测方法是无法有效进行CPU检测的，现在比较成熟有效的测试方法是围绕CPU实现的功能进行检测。

飞控系统需要CPU完成的任务为：系统软件的整型数运算和逻辑运算、余度及控制律软件的浮点数运算及逻辑运算。涉及到的CPU指令系统即为整型数的算术运算指令、浮点数的算术运算指令、逻辑运算和移位指令和传送指令等。

在独占式BIT测试CPU时采用激励方式，BIT软件通过使CPU运行飞控软件计算时涉及的指令系统，并将CPU运算结果和预定结果比较以判定CPU是否正常。考虑到BIT测试的时间需求，仅测试与飞控系统主飞控软件运行相关的指令系统，无法将CPU所有指令系统进行遍历式测试。

在PEBIT运行时主要采用通道内的自监控方式，包括自监控对间的比较监控和CPU自监控。即为控制律的纵向、横航向输出指令的比较监控，指令结果差值超出容差的幅值和时间门限，则判定为CPU故障。CPU自监控为软件的程序流监控。在帧周期开始运行时设置标志位为“1”，实时帧周期结束，设置标志位为“0”，下一帧周期实时任务开始运行时检查标志位是否为“0”，不为“0”则CPU运行超时，报程序流监控故障。

为了尽可能保证监控硬件和被监控硬件的独立性，数值计算由CPU自身执行，逻辑运算由专用电路完成。在进行PBIT和MBIT时通过逻辑电路设置的测试点（test point）对专用BIT逻辑电路进行测试和监控，以诊断故障原因。根据如图6的CPU测试原理BIT实时输出CPU有效性状态。

4.5.2 数字核心机的测试

飞控计算机子系统的I/O模块需进行接口信号的运算、伺服控制模块需进行伺服控制系统和控制律的运算，因此通常会配备运算用的CPU器件。对单个功能模块而言，BIT需要实现功能模块的数字机故障及有效性的检测。

如图7所示为数字机故障及有效性监控逻辑原理，通过对IO、MCPU和伺服（SA）模块的核心器件的测试结果和电源监控结果的“与”得到板卡数字机的有效性结果。通过测试点检测确定具体故障原因，在MBIT及PBIT时注入激励的方法进行BIT专用线路逻辑的正确性测试。

CCPU模块中，系统的主控制模块和通道故障逻辑融合在一起，数字核心机的测试主要为IO、MCPU和伺服（SA）模块的有效性，其中CPU_valid不包括监控对检测。

4.5.3 通道故障逻辑的测试

飞控计算机子系统为满足飞控系统的安全性需求通常采用多余度配置的方式。对于每一个通道而言，其正确性由通道内的自监控结果和通道间比较监控结果综合得到，并将本通道的有效性结果和对其他通道的有效性判定传输给其他通道。通道故障逻辑是通道有效性的专用监控软硬件，三余度飞控系统的通道故障逻辑原理如图8所示。

I/O模块数字机、电源、CPU、看门狗及同步状态综合出飞控计算机子系统的本通道的正确性判断意见。通道间通过本通道的比较监控结果和其他通道的比较监控结果综合出通道间的判断意见。逻辑综合使用独立于CPU的硬件实现，通过测试点的信号采集可以诊断算法更准确的定位隔离故障，MBIT和PBIT利用BIT的激励注入电路进行通道故障逻辑正确性的测试。当通道故障逻辑指示故障时，停止对外输出控制指令和激励，其他正常通道进行监控器、表决器、控制律等模块的重构。

4.5.4 BIT激励电路的设计与测试

飞控计算机子系统在进行PBIT和MBIT时不但需要进行软硬件工作状态的监控，同时通过注入激励的方式对同一软硬件进行多次不同方式的检测，提高检测结果的准确性并降低虚警率。对于直流模拟、离散信号和电源处理电路，采用在原电路的指定测试点注入直流偏置电压（DC_STIM）的方式。交流频率信号处理电路注入交流电压（AC_STIM）的方式。通过测得电压和预期结果比对，一致则功能电路正常无故障。

BIT需配备专用的BIT激励测试电路，并在飞控计算机子系统功能电路测试前首先确保BIT激励电路的正确性。图9为BIT直流激励实现原理。DC_STIM_OUT端接入信号的低端，BIT联锁条件不满足时，BIT_EN控制DC_STIM_OUT强制接地，避免激励测试电路影响功能性能电路的正常运行。当BIT联锁条件满足时，DC_STIM_OUT端的电压V_OUT=5.0+2 V_DA，通过改变V_DA实现直流激励信号的电压调节。

通过软件控制生成指定的V_DA，采集DC_STIM_TP的三个点的电压值，诊断算法即可完成直流激励电路的正确性检测和故障的定位隔离。交流频率信号的激励电路实现原理与直流类似。

4.5.5 电源转换电路的测试

飞控计算机子系统的电源转换电路的BIT检测主要是对输入的多路28 V电源，综合后的28 V通道电及二次转换后的15 V直流电、5 V直流电、7 V 1 800 Hz交流电等电源电压的监控，以及通过测试点检测监控电路的测试。电源监控和检测方法相似，图10为5 V电源电压的监控检测电路原理。

可以通过5 V_PS_valid为例进行监控原理分析，当STIM_5 V=5 V时，开始进行5 V电源电压监控，当被测5 V电源电压大于门限时，5 V_PS_valid=5 V BIT监控为有效，在PBIT和MBIT时通过TP测试点进行监控和激励注入的方法测试BIT监控电路和定位故障元器件。PEBIT时进行电源电压的有效性监控。

4.5.6 同步的测试

飞控系统为实时控制系统，多余度的飞控计算机子系统必须同步运行才能实现故障后无瞬态控制重构的协调工作。定时器在固定间隔时刻向中断控制器发送帧开始请求，CPU响应后执行通道间的同步，同步成功后执行系统和控制律软件的实时模块。中断/定时器是实时运行的调度基准，同步为监控通道间计算机是否同步实时运行。达到同步状态的同步运行机制包括了上电初始化时的长同步和正常运行过程中的主帧同步。初始化时的长同步用于各余度的飞控计算机在上电以及软硬件初始化完成后统一起点开始周期处理；正常运行过程中的主帧同步用于各个余度对时钟周期计数器进行校准，统一每个周期的开始时间点。飞控计算机子系统正常上电的同步流程图如图11所示。

同步算法为：1）首先飞控计算机向其他通道的飞控计算机发送高电平信号，如果规定时间内接收到其他通道的高电平信号则为高同步成功，否则为瞬时失步；2）高同步成功后，发送低同步信号，规定时间内接收到其他通道的低同步信号则为低同步成功，否则瞬时失步；3）高低同步都成功则为同步成功，失步次数超过门限值则判定失步，并进入相应的失步处理流程^[17]。

在进行PUBIT、PBIT和MBIT时进行长同步，长同步实现测试项目的同步执行，起到通道间BIT对齐运行的目的。

4.5.7 飞控系统主总线的测试

飞控计算机子系统在飞控系统采用分布式架构时，各功能模块将采用飞控系统的主总线进行通信。常见的飞控主总线为1553B、ARINC629、IMB/ADB、1394B等。总线通过在物理层、链路层和应用层分别设置的监控方法实现故障检测的精确隔离和定位，MBIT和PBIT时采用故障注入的方式，以检测BIT故障诊断算法能否正确识别和定位故障。

可以通过新一代飞机使用较多的1394B总线进行飞控主总线的检测设计原理的分析。1394B总线物理层链路层符合IEEE1394B-2002标准，应用层符合SAE-AS5643标准。常用速率为100 Mbps、200 Mbps、400 Mbps。STOF包实现环路的同步运行基准，异步流包执行数据的传输。异步流包的数据结构见表2。STOF包在数据结构上与之类似，故障检测方式相同。

1394B总线处理模块的硬件功能架构如图12所示。物理层通过变压器隔离接入主飞控总线，主要完成8B/10B编码和消息仲裁等功能。链路层完成数据的收、发和解析及消息校验。应用层依据用户协议进行总线数据编码和I/O模块之间的数据传输。

飞控计算机子系统软件通过接收异步流包的心跳字更新检测发送端的数字机是否进行了正常的数据刷新。软件将实际负载区的数据字逐个进行按位的异或计算，比较最终计算结果是否和软件VPC字相同，并进行接收的负载数据的校验。

1394B总线处理模块的链路层采用32位CRC校验方式对接收的包头数据和全包数据进行校验计算，计算结果和包头CRC和包尾CRC是否一致从而判断数据是否传输出错。链路层对接收的异步流包的数据字逐个进行累加，比较最终结果和垂直奇偶校验字是否相等从而双重校验数据包的正确性。

13 94B总线处理模块的物理层通过判断是否接收到交流频率信号以完成传输线路的断开检测。

1394B总线通过多层级多方式的数据包检测以确保数据传输的正确性。在进行PBIT和MBIT时通过软件和硬件链路层进行约定校验数据字的故障注入，检验接收端能否正确识别出约定的数据包故障，以此判断1394B总线的软硬件检测功能的正确性。

4.5.8 伺服控制驱动的监控和测试

现阶段较为成熟的液压作动系统分为DDV型和EHSV型，大型飞机由于舵面伺服控制通道较多和DDV型作动器需要较大的驱动控制电流导致伺服控制模块的设计难度较大，因此主流作动方案为EHSV型作动器。伺服控制的BIT系统主要包括控制回路、数字核心机和硬件驱动控制电路的监控和测试，其监控结果控制伺服阀的驱动电流开关的开合。

伺服控制监控测试原理如图13所示。伺服控制回路的监控核心为伺服阀的直线力马达的动力学模型，比较模型计算出的电流值和阀芯位移的差值，超过幅值和时间门限即为阀模型监控故障，通过综合作动筒和阀芯的LVDT传感器的和值监控得出伺服控制回路的监控结果。

数字核心机的监控综合了本通道的通道故障逻辑监控结果和伺服控制模块的数字机有效性。

伺服驱动电路的监控综合了数字指令的回绕监控和电流的转换监控。伺服驱动的原理如图14所示。TP1为DA电压的回绕监控测试点，TP2为伺服电流的监控测试点。

在进行PBIT和MBIT时，BIT的软硬件不但要进行伺服控制的状态监控，而且可以通过在测试点注入激励的方式检测BIT软硬件的正确性，以减少虚警的发生。

4.5.9 故障预测及健康管理设计

电子元器件、印制板及连接器件为飞控计算机子系统的核心组成部分，因此故障预测及健康管理主要针对以上要素。故障预测及健康管理通过提前定位即将在飞管计算机子系统运行中出现的故障部件，可以降低飞行中出现导致飞机坠毁和任务失败故障的概率，在不提高飞控计算机子系统复杂度的情况下，提高飞机的安全性。

由于飞控计算机子系统的故障预测及健康管理的数学模型比较复杂，对计算机的算力要求较高，通常运行在地面维护设备上，飞控计算机子系统负责特征数据的采集、记录和转发。飞控计算机子系统核心的特征参数包括：核心元器件和高发热元器件的温度采集、环境温度采集、电子元器件的供电电压的采集。可靠性较高的设计是通过热电偶采集温度参数，在元器件的供电端设置电压采集点采集供电电压。

飞控计算机子系统的故障预测及健康管理的数学模型为大数据复杂模型，如何使模型高准确度的进行故障预测是关键难点。

5 降低虚警率的设计

较多虚警不但会降低飞行员对飞控系统的信心，而且在执行任务时会导致控制重构，飞行品质下降，因此需要在BIT设计时考虑采用降虚警措施。以下措施是比较有效的实现方式：

1）适度增加测试点和测试次数。适度增加测试点既可减少虚警率也不至于使飞控计算机子系统的复杂度过高；适度增加测试次数不仅可以减少虚警率，还可以控制BIT的执行时间在要求范围内。

2）合理地确定硬件电路的监控幅值和时间容差门限，避免因瞬变状态引起的虚警。

3）尽可能降低BIT软硬件的复杂度，提高可靠性，减少由于BIT软硬件故障导致的虚警。

4）采用硬件滤波和软件数字滤波技术，减少外部干扰可能引起的虚警^[18]。

5）采用智能BIT故障诊断算法^[19]，比如专家系统、神经网络、知识余度等理论和方法，提高BIT的检测结果的置信度。

6 结论

1）基于系统工程的飞控计算机子系统BIT研制流程方法在某项目中得到了使用，需求传递清晰明确，符合性检查结果满足技术指标需求。

2）飞控计算机子系统的BIT详细设计的原理方法在某项目得到了应用，通过了综合地面试验验证。

3）对其他飞机的飞控计算机子系统BIT设计有一定的借鉴意义。

参考文献