民機電傳飛控計算機非相似余度體系結構研究

摘 要:非相似余度設計是提高電傳飛行控制系統安全性與任務可靠性的一種重要手段。本文分析了非相似余度技術在波音，空客系列飛機電傳飛控計算機中的應用，結合適航安全性要求，給出了三種適合我國民機電傳飛控計算機系統的非相似余度體系結構方案，為我國民機電傳飛控計算機系統的進一步研究提供思路。

關鍵詞:電傳 飛行控制系統 飛控計算機 非相似余度 體系結構

中圖分類號:V247文獻標識碼:A文章編號:1674-098X(2011)10(c)-0050-02

根據國外先進民機電傳飛控系統的應用和技術發展趨勢，及適航安全性要求，非相似余度技術已成為電傳飛控計算機系統必不可少的關鍵技術之一。非相似余度技術能夠提高系統的任務可靠性、安全性和派遣率，抑制共模故障。

1 非相似余度技術在現代民機飛控計算機體系中的應用

1.1 非相似余度技術在空客飛機中的應用

A320是第一架采用電傳控制的民航客機，其電傳飛行控制系統引入了非相似余度設計概念。

A320飛控計算機采用7×2結構，7個飛控計算機根據正常、備用或直接模式處理飛行員和自動駕駛儀的輸入，完成電傳操縱:2個升降舵/副翼計算機(ELAC)，控制副翼和升降舵舵機，控制兩個水平安定面(THS)的電動馬達;3個擾流板/升降舵計算機(SEC)，控制所有擾流板舵機，控制第三個水平安定面(THS)的馬達，SEC也作為ELAC計算機備份;2個飛行增穩計算機(FAC)，提供航向阻尼功能，完成自動配平極限值監控功能;它們均可在自己的權限內，通過相關操縱面去控制飛機運動[1]。

ELAC和SEC計算機都有兩個獨立的處理器，分別為命令支路和監控支路。ELAC和SEC計算機分別采用Motorola 68010微處理器和Intel 80186微處理器，構成硬件非相似，以確保能夠容忍設計或者生產故障。

ELAC和SEC計算機的監控支路和命令支路上運行的軟件不同，命令支路采用Pascal編寫，監控支路采用Assembly語言編寫，每個軟件包均獨立開發。支路間差值超過規定閾值時，則該計算機與外圍設備的連接將被切斷，由備用計算機替換。

與A320類似，A330/A340系列飛控計算機也采用了非相似余度設計，主輔飛控計算機處理器分別為Motorola 68010微處理器和 Intel 80186微處理器。主輔計算機各支路上運行的軟件不同，命令支路均采用匯編語言編寫，監控支路分別采用PL/M和PASCAL語言，開發工具分別為自動編碼工具(主飛控計算機，但命令支路和監控支路的工具不同)和手動編碼(輔助飛控計算機)，均由不同的開發小組開發。

同A330/340相比，A380飛控計算機的基本結構沒變。A380飛控計算機內部結構沒有確切資料，推測其余度結構應該與A320/330/340相同。

綜上，空客不同飛控計算機功能不同，計算機內部都包括2個處理器，形成自監控對，監控算法簡單，依靠監控支路來確認該計算機通道的正確性，當輸出不一致時，整個計算機從系統中脫開，沒有表決問題的出現，系統可靠性得到提高。

1.2 非相似余度技術在波音飛機中的應用

B777是波音公司推出的第一架電傳飛機，其電傳飛控系統采用主飛控計算機系統(PFC)+作動器控制電子(ACE)+數字總線(ARINC629)的結構[2]，計算機仍采用非相似余度技術。其PFC是非相似3×3余度系統，包含3個完全相同的數字式主飛控計算機通道，PFC之間采用ARINC629數字總線通訊。

每個PFC有3個非相似支路，分別為命令支路、備用支路和監控支路。三個支路采用不同生產廠家設計生產的非相似處理器，分別為AMD 29050、MOTOROLA 68040、INTEL 80486處理器。處理器的硬件接口及其外圍電路也不同，從而克服了使用相同廠家生產的硬件設備而帶來的共模故障。每個支路的軟件相同，都采用Ada編寫，但采用三種不同的Ada編譯器編譯(分別為Verdix VADS，Scicon XDADA和DDC-I DACS 80×86)以提供軟件非相似性，避免了使用相同編譯器產生的共模故障。

B787飛控計算機系統同B777相似，仍然采用PFC+ACE+總線的結構。但B787將3×3余度的PFC簡化為3×2余度的FCM，FCM由命令支路和監控支路組成，命令支路是采用LockStep技術的PowerPC比較監控對，包含兩個相同的CPU，監控支路采用單個MIPS處理器，支路間構成非相似余度。

為滿足完整性要求，波音系列飛機采用了多級表決面。第一級，每個支路依靠自監控和在線監控確認其硬件的正確性。第二級，執行支路余度管理功能。第三級，中值選擇防止來自故障PFC輸出的錯誤控制信號的干擾。

1.3 波音與空客電傳飛控計算機體系結構小結

波音和空客的電傳飛控計算機均采用非相似余度技術，不同程度的使用了硬件非相似和軟件非相似，但在計算機功能分配、余度結構編排、容錯能力、軟件差異性設計、表決算法等方面有其各自特點。

空客系列，主輔飛控計算機的功能非相似，可以解決波音采用相似軟件的共模問題，但為了提高飛機的安全性和余度等級，采用的計算機比較多。

波音采用相似軟件和非相似硬件，通過復雜的通道內和通道間監控，來提高飛控系統的可靠性。

中國民機飛控計算機可以將空客和波音系列的優點結合起來。如采用波音的計算機體系，同時采用空客自監控對的方式。

2 適航安全性相關要求

適航安全性要求包括:功能危害性評估、共因故障、潛伏性故障、故障要求、可操作性、人身安全、安全性檢查和持續適航。

飛控系統適航條款中，和安全性相關的要求有[3]:

條款“CCAR 25.671 總則(操縱系統)”的(1)、(2)條對飛機在故障狀態下的可操縱性做了定性的描述:1)每個操縱器件和操縱系統對應其功能必須操作簡便、平穩和確切;2)飛行操縱系統的每一個原件必須在設計上采取措施，或在元件上制出明顯可辨的永久性標記，使由于裝配不當而導致系統功能不正常的概率減至最小。

適航條款“CCAR 25.1309 (b)”中指出，飛機系統與有關部件的設計，在單獨考慮及與其它系統一同考慮的情況下，必須符合下列規定:1)發生任何妨礙飛機繼續安全飛行與著陸的失效條件的概率極小;2)發生任何降低飛機能力或機組處理不利運行條件能力的其它失效條件的概率微小。

為確保安全性設計，飛控計算機運用故障安全設計概念，采用非相似余度體系架構，確保主要故障情況是不可能的，而災難性故障是極不可能的。

結合前面的分析以及適航安全性要求，對民機飛控計算機的非相似體系架構進行分析。

3 飛控計算機的非相似體系結構分析

空客和波音系列飛機電傳操縱系統都采用了非相似余度設計概念，表現在:1)飛控計算機各通道間采用非相似的硬件和/或軟件，構成按非相似余度思想設計的分系統;2)按相似余度設計的主控計算機配置非相似的備份計算機。

目前，非相似余度技術更多的工程技術應用是硬件非相似。軟件的非相似技術，由于設計和適航過程需要投入的人力、財力眾多，組織繁雜，需要經過反復充分論證，才能決定取舍。

3.1 余度等級的確定

美軍標MIL-F-9490D中對關鍵系統電氣電子的余度等級定義為二次故障工作，由于特定實施過程中可靠性、飛行安全性或其他考慮，現代民機電傳飛控計算機的余度等級通常要提高一級。例如，A320和B777電傳飛控計算機系統的余度等級均為三次故障工作。初步確定，大型民機的飛控計算機系統的余度等級要達到三次故障工作。

3.2 余度數和余度結構的確定

采用余度技術可以滿足電傳飛控系統的安全、任務可靠性指標要求，但并不是余度數越大越好。余度系統的設計需從可靠性、重量、空間、費用、復雜性、維修性及設計時間等因素全面權衡考慮[4]。

文獻[5]對幾種常用余度模型所需要的通道數進行了分析討論，最后提出為了滿足可靠性要求，中國大型民用客機飛控計算機系統需要使用比較監控和表決技術;同時余度數要大于等于4。

美國空軍飛行動力實驗室對某三重數字式電傳飛控系統進行了研究，通過表決/監控面的設置，可以大大降低系統故障概率。表1是三余度代替四余度帶來的優越性。

綜上，我國民機電傳飛控計算機系統可采用三余度，每個余度通道由兩個支路構成比較監控結構，結構簡單，節約硬件資源。

4 飛控計算機的非相似體系結構設計

根據前面的分析，提出以下三種可以滿足故障失效率1.0E-10的非相似余度結構:

方案一:3×2結構，每個基本飛控計算機內(即一個通道)有兩個支路，采用不同的處理器，分別工作在命令和監控模式，同時通道間非相似，通過采用非相似技術，有效克制系統的共模故障。結構示意圖如圖1方案一所示。

方案二:2×3結構，每個基本飛控計算機內有三個支路，采用不同的處理器，三個支路分別工作在工作，監控和備用模式，工作模式的確定是隨機的，這是B777結構的變形。兩個通道間采用相同的結構，均工作在工作狀態，因為共模故障僅需考慮一次，所以通道采用相似技術，但是通道內支路之間的非相似性，同樣有效地克服了數字系統的共模故障。結構示意圖如圖1方案二所示。

方案三:3×2結構，是前兩種方案的變形，三個飛控計算機分別工作在工作，工作和備用狀態，工作狀態的飛控計算機采用相似結構，但通道內的支路間采用非相似結構，兩個支路使用兩個非相似的處理器;對于備用通道，其內兩個支路的處理器和工作模式的兩個處理器均不同，也達到了有效抑制共模故障的目的。結構示意圖如圖1所示。

以上三種方案都可以滿足設計要求，但各有利弊。方案一方案三通道內部都只有兩個支路，通道內的同步問題只需要處理好兩個支路間的同步就可以了，但是方案二飛控計算機內部結構更復雜，需要處理三個支路之間的同步關系;對于通道之間，方案一最復雜，方案一的三個通道之間均為非相似的，方案三中兩個工作通道是相似處理的，備用通道跟兩個工作通道則為完全的非相似結構，但方案一比方案三少用了一種處理器，方案二通道間的關系最簡單，兩個通道間是相似結構。

上述三種設計方案均可以滿足設計要求，每種設計方案各有優劣，方案的選取則需要根據實際情況進行取舍。

5 結語

飛控計算機是電傳飛行控制系統的核心，其可靠性對整個飛控系統的可靠性有著重要影響。

結合國外先進民機電傳飛控系統的應用和技術發展趨勢，及適航安全性要求，對飛控計算機的非相似體系結構進行分析，最后給出了三種適合民機電傳飛控計算機系統的非相似余度體系結構方案，為開展我國民機電傳飛控計算機系統進一步研究提供了思路。

參考文獻

[1]Briere D，Traverse P.Airbus A320/A330/A340 electrical flight control - A family of fault- tolerant system[C]. France:1993.616-623.

[2]Yeh Y C.Triple-triple redundant 777 primary flight computer[C].IEEE Aerospace Applications Conference proceedings，1996，1:293-307.

[3]CCAR–25運輸類飛機適航標準[S].

[4]姚一平，李沛瓊.可靠性及余度技術[M].北京:航空工業出版社.1991.

[5]秦旭東，陳宗基，李衛琪.大型民機的非相似余度飛控計算機研究[J].航空學報，2008，29(3):686-694.