几周前,国际监管机构发布消息称,波音787运营商必须在运行51天时不断完全关闭飞机电源。美国联邦航空局发布了详细的适航指令,我很好奇这份文件包含了哪些细节。
我发现FAA指令中有一些可用的信息,,了解问题的根本原因。这篇博客文章将被使用FAA指令中有趣的信息可以获一些关于航空电子概念的知识。
首先,我们需要介绍与这个问题相关的787架构和系统的各个部分。FAA指令明确使用了诸如CDN或CCS首字母缩写等,然后需要分析根本原因。
与使用分散式航空电子功能打包成独立单元的联邦航空电子系统结构相反,奇热集成模块化航空电子(IMA)系统结构采用高完整性的分区环境,可在飞机上携带多个不同关键的航空电子功能共享计算平台。波音工程师为787开发了通用核心系统(CCS),基于开放IMA进一步增强航空电子技术版本。
本质上,CCS可提供计算、通信、输入/输出的硬件/软件平台(I / O)实现实时嵌入式系统的服务。
虚拟系统环境中的多个托管功能共享平台资源VxWorks 653 3,4 OS 作为平台设计的一部分,实施了分区机制。
这种虚拟系统分区环境可以保证托管功能的相互隔离,因此它支持高度关键的应用程序和低级应用程序的完整性。根据对飞机、机组人员和乘客的影响,将故障条件定义为五个级别:
故障可能导致多人死亡,通常导致飞机损失。
故障会对安全或性能造成很大的负面影响,会因身体不适或工作量增加而降低机组人员操作飞机的能力,或者会给乘客造成严重或致命的伤害。
故障会大大降低安全裕度,或者大大增加机组人员的工作量。可能导致乘客不适(甚至轻伤)。
故障会稍微降低安全裕度,或者会稍微增加机组人员的工作量,比如可能给乘客带来不便或者改变常规航班计划。
飞机运行或机组人员的工作量不会影响安全。
批准为A,B或C级软件高级认证,涉及正式流程验证和可追溯性
DO-178B 6 Level-A软件可能与Level-E在同一物理共享资源中共存应用程序。
图1. VxWorks 653体系结构
理想情况下,这些应用程序不会相互干扰,无论托管功能或平台资源是否可能出现故障。这些功能是提前确定的,通常是通过的XML或专有二进制格式的可加载配置文件传达给平台组件。
在CCS我们可以找到以下主要部件:
通用处理模块(GPM),能满足功能处理的要求
支持系统模拟离散信号和串行数字接口(CAN总线8,A429 9等)远程数据集中器(RDC )
航空电子全双工(A664-P7)交换式以太网10网络,用于平台元素之间的通信
这些元件可以包装成线,可以更换单元(LRU),也可以以模块或卡的形式包装,然后组合在机箱或集成LRU中。
CCS由以下组成:
2(2)通用计算资源(CCR)机箱
通用数据网络(CDN)
21个RDC
图2. CCS体系结构A
每个CCR机箱具有:
2(2)个功率调节模块(PCM)
8(8)个通用处理模块(GPM)
两(2)个ARINC 664-P7网络机箱交换机(ACS)
2(2)光纤转换器模块(FOX)
2(2)图形生成器(Display and Alert Crew系统的一部分)
图3.波音787 CCR机箱
每个GPM它是一个独立的计算平台,可以承载飞机系统的运行软件,并基于承载的应用程序ARINC 653标准分区环境。GPM硬件和核心操作系统相同。
这些CCR机箱中的GPM远程配电系统等运行托管功能(RPDS),发电机/公共汽车电源控制单元(GCU / BPCU),13个断路器指示和控制、起落架指示和控制、推力管理和飞行管理。
CDN是使用IP寻址及相关传输协议(UDP)的高完整性IEEE 802.3以太网。作为一个符合A664-P该网络还实施了确定性定时和冗余管理协议。CDN直接或通过光纤电缆和铜线ACS,FOX或RDC移动系统信息在各种飞机系统之间连接。
图4. 787网络架构
CDN网络端系统由每个连接端节点托管(ES)它由多个网络交换机组成。
在按照A664-P我们发现:
终端系统(ES)其主要功能是提供服务,以确保与分区软件进行安全可靠的数据交换。
本质上,ES承担网络接口控制器(NIC)作为一个角色,它可以维护多个托管应用程序的通信端口(排队、采样或读取)SAP)。这是通过虚拟链路(VL)虚拟链路是一个概念通信对象,它定义了从一个源到一个或多个目标ES单向逻辑连接。VL业务流的形状应设置为不超过配置的带宽分配间隙(BAG),带宽表示两个连续帧的第一位之间的最小时间间隔。
图5. CDN中的ES通信
CDN(也在交换机中)ES物理上与主处理器分离,并通过PCI总线接口。从高层的角度来看,它包括:
一(1)个定制ASIC
两(2)个COTS以太网PHY收发器
两(二)串行配置存储器
内存
图6.最终系统板的高级概述
可以通过专有API从主机配置ES。之前已使用DO-178B A级工具(ESBIN)生成此配置数据,然后将其存储在自定义文件中(es_config.bin)中。
CDN交换机中的ES除了一些寻址和冗余操作,几乎实现了相同的功能。
CCS中有21个RDC。
图7.远程数据集中器
这些RDC该系统不支持飞机系统之间的接口CDN中的A664-P7。
RDC将这些信号转换为ARINC 相反,664数据有效地充当了传感器或阀门等各种模拟设备的网关,ARINC 429总线和CAN子网。
从A664-P从7的角度来看,这些RDC映射:
模拟信号到参数
A429至通讯端口
参数和通信端口CAN总线
因此,高级架构将如下。
图8. CCS的高级概述
为了更好地上更好地解释系统结构,我们可以简化托管函数之一,了解如何协调所有部分。
起落架控制软件在GPM分区托管的一个CCR中运行。托管功能分区通过CDN从21个RDC接收变速杆的上下数据和齿轮门的位置数据之一。然后,根据收到的信号,起落架控制软件可以通过CDN向适当的RDC发布起落架排序命令。然后,RDC特定信号可以传递给那些起动器,例如,它们可以向控制阀提供能量,以缩回和伸出起落架或打开和关闭起落架舱门。
FAA技术细节上的指令很少。它只包含对这个问题的高级描述;但它为读者提供了一些关键事实,有助于分析根本原因:
FAA已收到报告,指出连续打开51天后,CCS过时的数据监控功能可能会丢失。这可能会导致CDN未检测到或通知消息期限验证丢失,CDN切换失败。CDN处理所有对飞行至关重要的数据(包括空速、高度、姿势和发动机运行),并可能导致几个潜在的灾难性故障。潜在的后果包括:
显示两名飞行员误导性的主要姿态数据。
两名飞行员的主要飞行显示器(PFD)误导性高度显示在上面。
两名飞行员PFD误导性空速数据显示在上面,但没有通知
故障、失速警告丢失或超速警告。