本文探讨了波音787飞机在运行51天后必须关闭电源的适航指令背后的原因。问题源于CCS的过时数据监视功能可能丢失,导致CDN消息验证失败,影响飞行关键数据的准确性,如空速、高度等。FAA的指令揭示了飞机系统中可能存在的硬件问题,特别是与CDN和时间戳管理相关的硬件故障。尽管波音在2015年有过类似问题的报告,但目前的解决方案尚不明朗。
几周前,国际监管机构发布信息,波音787运营商在运行51天之时,必须不间断地完全关闭飞机的电源。美国联邦航空局发布了详细说明该问题的适航指令,我很好奇这份文件中包含了哪些细节。
我发现FAA指令中一些可用信息,有足够的信息使我步入正题以了解问题的根本原因。这篇博客文章将利用FAA指令中有趣的信息来获得有关某些航空电子概念的知识。
首先,我们需要介绍与该问题相关的787架构和系统的各个部分。FAA指令明确使用了诸如CDN或CCS之类的首字母缩写词,然后才需要进行根本原因分析。
0x01 通用核心系统介绍(CCS)
与使用分散式航空电子功能打包成独立单元的联邦航空电子体系结构相反,奇热集成模块化航空电子(IMA)体系结构采用了高完整性的分区环境,该环境可在一个飞机上承载多个具有不同关键性的航空电子功能——共享计算平台。波音工程师为787开发了通用核心系统(CCS),这是基于开放IMA航空电子技术的进一步增强版本。
本质上,CCS是一个硬件/软件平台,可提供计算、通信和输入/输出(I / O)服务,以实现实时嵌入式系统。
多个托管功能在虚拟系统环境中共享平台资源,该虚拟系统环境由依赖于VxWorks 653 3,4 OS 的分区机制组成,该分区机制是作为平台设计的一部分实施的。
这种虚拟系统分区环境可确保托管功能相互隔离,因此它支持高度关键的应用程序,还支持较低级别的应用程序完整性。国际法规将故障条件定义为五个级别,按其对飞机,机组人员和乘客的影响进行分类:
A级-Catastrophic
故障可能会导致多人丧生,通常会造成飞机损失。
B级–Hazardous
故障会对安全或性能造成很大的负面影响,会因身体不适或工作量增加而降低机组人员操作飞机的能力,或者会给乘客造成严重或致命的伤害。
C级-Major
故障会大大降低安全裕度,或者会大大增加机组人员的工作量。可能导致乘客不适(甚至轻伤)。
D级–Minor
故障会稍微降低安全裕度,或者会稍微增加机组人员的工作量,例如可能导致旅客不便或更改常规航班计划。
E级-No Effect
故障不会影响安全,飞机运行或机组人员的工作量。
批准为A,B或C级的软件高级认证,其中涉及用于验证和可追溯性的正式流程
DO-178B 6 Level-A软件可能与Level-E应用程序共存于同一物理共享资源中。
图1. VxWorks 653体系结构
理想情况下,无论托管功能或平台资源中是否可能发生故障,这些应用程序都不会相互干扰,这些功能是预先确定的,并通常通过XML或专有二进制格式的可加载配置文件传达给平台组件。
在CCS中,我们可以找到以下主要组成部分:
· 通用处理模块(GPM),可满足功能处理需求
· 支持系统模拟信号,模拟离散信号和串行数字接口(CAN总线8,A429 9等)的远程数据集中器(RDC )
· 航空电子全双工(A664-P7)交换式以太网10网络,用于平台元素之间的通信
· 这些元件可以包装为线路可更换单元(LRU),也可以模块或卡的形式包装,然后可以组合在机箱或集成的LRU中。
CCS由以下组成:
最低0.47元/天 解锁文章
2906
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
