航空学报08大飞机专刊(29)

曝光台 注意防骗 网曝天猫店富美金盛家居专营店坑蒙拐骗欺诈消费者

2　余度结构的确定
相同的余度数 ,采用不同的余度结构 ,容错度和可靠度也会相应不同 [9 ]。假定余度飞控计算机共有 M个通道 ,每个通道 N个支路 (简称 M ×N余度系统 )。每个通道内只有一个支路作为指令支路 ,另外一个支路作为监控支路 ,其他 N -2个支路为备份支路。指令支路失效后 ,切除该支路 ,其功能由备用支路替换。通道内只剩 2个支路后 ,如果再次发生故障 ,则切除该通道的输出。因此每个通道在出现 N -1次故障后 ,将被切除。
假定余度飞控计算机在 Tol次故障后工作 ,
Tol +1次故障后失效 ,则该系统的容错度为 Tol。
Tol是衡量余度系统容错能力的一个标准。一般来说 ,Tol越大 ,系统容错能力越强 ,可靠度就越高。文献 [ 10 211 ]中详细地介绍了利用 Petri网关联矩阵分析法的基本方程来计算系统的容错度
Tol。利用 Petri网方法可计算出 M ×N余度系统的容错度 Tol = M ×N -M -1。因此 ,B777主飞行控制系统的容错度 Tol =5 , A320主飞行控制系统的容错度 Tol =4。
M ×N余度系统的容错度 Tol为 M和 N的函数。当支路的总数为定值时 ,即 M ×N = C,其中 C为一常值 ,此时 Tol为 M的函数 ,即
Tol = f(M) = C-M-1 (1)　　式 ( 1)表明 ,Tol为 M的线性函数 ,M越大 , Tol越小 ,系统的容错度越小 ,可靠度也相应降低 ; M越小 ,Tol越大 ,系统的容错度越大 ,可靠度也相
应增加。特别地 ,当 M =1时 ,系统的容错度为最大 ,即 max (Tol ) = C -2。
B777的主飞行控制系统中 ,C =9 ,若采用 1个通道 ,通道内使用 9个支路 ,系统的最大容错度 max (Tol ) =7 ; A320的主飞行控制系统中 ,C = 10 ,若采用一个通道 ,每个通道使用 10个支路 ,系统的最大容错度 max (Tol ) =8。采用 1个通道 ,虽然提高了系统的容错度 ,但系统可靠性又将会面临以下因素的挑战 :
(1)同态故障的威胁 ;

封装起来 ,建立部件之间的故障传染屏障 ,提高系统对同态故障 /同区域故障的抑制能力 ,把火灾、闪电或者战争等造成的物理损坏减少到最小。同时也能减少工作人员在安装和维修过程中 ,由于误操作造成的损坏。
下面给出确定通道数目的方法。定义 :f T为备用支路切换到指令状态时的切换失效概率 ;f c为单一通道由于同态 /同区域故障的失效概率。对于 M ×N余度系统 ,此时系统的失效概率为
F= F1 +F2 +F3 = (Nf N-1 r) M + N-2 f T ) i-1
f i(1 -f T M+f cM
∑
i= 1
其中 :
F1 = (Nf N-1 r) M N-2 f T ) i-1
F2 =

f i(1 -f T
M
∑
i= 1
fM
F3 = c F1为支路失效概率对系统失效概率的影响 ;F2为支路切换失败的概率对系统失效概率的影响 ; F3为同态 /同区域失效概率对系统失效概率的影响。
当 M ×N = C时 ,N = MC ,此时 ,
f C-M M
CM F1 (M)= r
MM
C

-2M
f T ) i-1F2 (M) = f i(1 -f T
M
∑
i= 1

. 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net

fM
F3 (M) = c
　　经分析 ,F1 ( M)为 M的增函数 ,F2 (M) ,
F3 ( M)为 M的减函数。文献 [5 ]中详细地讨论了当 C取不同值时 ,M,f T和 f c的变化对 F( M)的影响。
当 C =8时 ,M和 N的取值有以下 3种情况 : M =1 ,N =8 ;M =2 ,N =4 ;M =4 ,N =2。计算结果表明 F( M)的单调性与 f T和 f c的值相关。在余度系统的设计中 ,应均衡考虑各方面的因素对系统可靠性的影响 ,再确定合理的余度结构。
f c受到外界环境等不为人控的客观因素的影响 ,因此 f c的值很难确定。在讨论系统可靠性时 ,必须考虑 f c在某一范围内变化时对系统可靠性的影响。取 M =4 ,N =2 ,只要 f c ≤10 -3 ,系统就能满足可靠性指标和 FO/ FO/ FO容错等级。

 

这种结构。

建议 5　中国大型民机的余度飞控计算机新方案可采用 4余度 ,每个余度通道由两个支路构成比较监控结构。
3　新方案的设计初衷
31 1　软、硬件系统的可靠性均衡
软件可靠性与硬件可靠性有很大区别。为提高硬件可靠性可采用冗余技术 ,而同一软件的冗余不能提高可靠性。为了弥补软件可靠性方面的缺陷 ,可以适当增加处理器上软件版本数量 ,当一个版本的软件失效后 ,由备用的软件版本替代。同一处理器上 ,如何优化可靠性不同的软件版本的数量 ,版本的运行顺序和每个版本的运行时间 ,是必然面临的挑战 [12 ]。
设 RH和 RS分别为硬件系统和软件系统的可靠度 ,v为软件的版本数 ,λH和λS分别为硬件和软件的失效概率。为了保证软、硬件可靠度的均衡 ,必须 RH ≈ RS。如果 RH μ RS ,则软件部分成为系统可靠性的瓶颈 ;如果 RH ν RS ,则软件版本过多 ,开发成本增加。
处理器典型的永久性失效概率 λH在10 -5 /飞行小时的范围内 ,软件的可靠性要低 1～2个数量级 ,并假定不同版本软件的失效概率相等或者接近。采用差异性的软件设计方法 ,版本间发生相

. 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
　　软件系统的设计可按照下面 2个原则对可靠性和差异性进行均衡 :
(1)RS> R,即软件系统的可靠度必须大于系统的可靠性指标 ;
v
(2) ∑Ei < E,Ei为第 i版本软件的投入 ,E
i= 1
为成本预算上限。
在多版本程序设计中 ,必须在不超过成本预算上限的情况下 ,尽可能提高系统可靠性 [ 16 ]。在 B777的余度电传中 ,共使用了 3个版本的软件 ,通过先进的余度管理技术和自监控技术 ,很好地满足了系统可靠性要求。中国民机的电传系统也可采用 3个版本的软件。但是软件版本过多 ,会增加开发成本 ,而且过多的软件版本会使版本间的差异性削弱 ,版本间发生同态故障的概率增加 ;同时过度的追求差异性 ,如果某一或者某些版本设计工具和方法本身不合理 ,会使该版本可靠性降低 ,反而不能达到提高系统可靠性的目的 [17 ]。因此采用 3个版本的软件系统是比较合理的选择。
建议 7　中国大型民机的余度飞控计算机新方案的软件系统使用 3个版本的软件。
　
中国航空网 www.aero.cn
航空翻译 www.aviation.cn
本文链接地址：航空学报08大飞机专刊(29)