基于共模故障的電傳飛控系統終極備份設計

柳建鋒

DOI：10.16660/j.cnki.1674-098X.2017.11.016

摘 要：隨著冗余技術在民用飛機電傳飛控系統中應用的增加，飛控系統存在由于共模故障喪失的可用性，終極備份可被用以緩解共模故障的影響。該文在三余度飛控系統架構的基礎上設計了雙輸入遠程電子、雙伺服回路作動器以及推力控制飛機三種終極備份方案，對三種方案進行了原理性的描述，同時對方案的優缺點進行了分析，分析結果可供實際設計參考。

關鍵詞：電傳飛控 冗余共模故障 終極備份

中圖分類號：V24 文獻標識碼：A 文章編號：1674-098X（2017）04（b）-0016-03

飛控系統作為民機最重要的系統之一，在安全性、可靠性、維修性、可用性、穩定性以及舒適程度上對飛機都會產生直接的影響。為了提高安全性和可用性，硬件的冗余技術在電傳飛控系統的設計中得到了應用。A380主飛控系統采用3臺主飛控計算機和3臺輔助飛控計算機的冗余配置，以提高飛控系統的可用性。Boeing777采用3臺飛控計算機，每臺配置3個非相似的硬件通道[1]。Boeing787飛機采用3臺主飛控計算機與4臺作動器電子裝置的冗余配置[2]。

但是采用硬件冗余的電傳飛控系統后，如果存在同時導致冗余系統或設備無法正常工作的故障，可能會導致整個系統喪失可用性，即共模故障。美國汽車工程師協會SAE的ARP4761《民用飛機機載系統和設備安全性評估過程的指南和方法》中明確，對于引起災難性的或危險的/極其重大的失效狀態的共模故障，應該被排除[3]。因此，在飛控系統方案設計初期就需要考慮如何緩解由于硬件冗余導致的共模故障。

緩解電傳飛控系統共模故障的方式有很多種，采用非相似的設計可以緩解共模故障[4]，但會造成研制成本的提高；或者設計一個終極備份控制，當飛控系統由于共模故障喪失可用性后，其可以提供簡單的控制。該文就以三余度計算機主飛控系統結構為基礎，設計幾種終極備份方案，并對這幾種方案進行對比分析。

1 三余度飛控系統描述

如圖1所示，是一個三余度的飛控系統架構，包含3臺相同的主飛控計算機、3臺相同的作動器電子。在正常工作狀態下，3臺飛控計算機同時根據駕駛艙輸入與外部接口信號提供飛機的正常控制律計算，并在作動器電子中進行指令表決；當主飛控計算機喪失可用性時，作動器電子根據駕駛艙輸入提供簡單的控制律計算，可以實現飛機安全的飛行和著陸。

由于該架構采用三余度的飛控計算機與作動器電子，因此，飛控計算機與作動器電子均存在共模故障的可能。當飛控計算機由于共模故障喪失可用性時，飛控系統可以通過作動器電子實現簡單的控制，能夠保證系統的可用性；當作動器電子由于共模故障失效時，飛控系統喪失可用性，屬于災難級故障，因此，針對作動器電子的共模故障，需設計有效的解決方式。

2 終極備份設計

該文在終極備份設計過程中，主要考慮以下幾點：盡可能的簡單，降低系統的復雜程度；盡量保證飛機的MAC要求，提高對飛機的可控性。

2.1 雙輸入遠程電子設計終極備份

如圖2所示，是基于遠程電子雙輸入的終極備份原理圖，其中紅線連接了增加的終極備份。該方案在原有的飛機系統架構基礎上，增加了一套終極備份控制計算機作為飛機的終極備份控制核心。終極備份直接接收駕駛艙的輸入信號，同時根據飛控計算機與作動器電子有效性信號進行其激活邏輯的計算，當所有的飛控計算機和作動器電子失效后，終極備份開始控制飛機，并將計算指令發給遠程電子實現對作動器的控制。為防止終極備份誤激活，將其設計為硬件非相似的雙通道，當雙通道均判定為激活時終極備份才能激活。在飛控計算機中設置了對終極備份實時狀態監控，并通過相應的告警信息以及維護信息告知機組以及維護人員。

相比于原有的飛控系統架構，該方案需要將MAC指定遠程電子改裝成雙輸入模式，其可以接收來自作動器電子的指令信號與來自終極備份的指令信號，其中前者具有更高級別的優先權。采用該設計需要在遠程電子中正確的設計選擇邏輯，防止終極備份指令信號被錯誤的選擇，造成系統降級。

2.2 雙伺服回路作動器設計終極備份

如圖3所示，是基于雙伺服回路作動器設計的終極備份原理圖。該方案與2.1中方案區別在于，將原有的單伺服回路作動器改裝為雙伺服回路作動器，遠程電子保持不變，終極備份直接通過模擬信號輸出控制伺服回路2。該方案對飛控系統電子部分改裝要求較小，但是由于終極備份直接通過模擬信號控制作動器，可能會增加相應的電纜重量，同時由于采用雙伺服回路作動器，對作動器的設計有了較高的要求，其重量變化還需進一步權衡分析。

2.3 推力控制飛機（PCA）

NASA最早在20世紀90年代就開始進行了PCA的研究，目的是僅僅通過調節發動機的推力，實現飛機的姿態控制以及安全著陸，并在MD-11飛機上得到了驗證[5]。

如圖4所示，是基于PCA的飛控系統應急控制方案。當共模故障導致作動器電子失效后，主飛控計算機切換到PCA控制律計算。駕駛員通過自動飛行控制面板輸入目標的航跡指令，以及目標空速。飛控計算機根據飛行模式控制板輸入的指令以及傳感器反饋當前飛機的飛行參數實現對兩側發動機推力的控制，通過推力的不對稱使飛機達到目標的航跡指令要求；飛控計算機同時通過對發動機推力大小的控制，疊加平尾運動引起的俯仰姿態變化，實現對飛機空速的調節。

該方案僅僅需要在主飛控計算機中進行PCA的控制律軟件實現，對整體的飛控系統架構硬件改裝要求較小。但由于該方案并未在民機有過應用案例，其適航性以及單發失效疊加作動器電子共模故障的安全性分析有待進一步研究，同時由于發動機具有延遲特性，PCA對飛機控制特性慢于正常情況。

3 結語

該文針對電傳飛控系統可能出現的共模故障情況，為了提高電傳飛行控制系統可用性設計了3種終極備份控制系統方案，并對這3種方案分別進行了分析，分析結果在進行飛機設計初步技術方案權衡過程有一定的參考性。后續將展開對各種方案的理論計算對比分析工作，對方案的可靠性、可用性、完整性與安全性等指標進行量化計算，為方案選擇提供可靠的理論依據。

參考文獻

[1] Yeh Y C. Triple-triple redundant 777primary flight computer[C].IEEE Aerospace Applications Conference proceedings，1996，1：293-307.

[2] 張大偉，徐東光.大型客機電傳飛控系統余度配置研究[J].飛機設計，2013，33（1）：59-63.

[3] SAE ARP 4761 Guideline and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[Z]. SAE，1996：159-168.

[4] 秦旭東，陳宗基，李衛琪.大型民機的非相似余度飛控計算機研究[J].航空學報，2008，29（3）：686-694.

[5] John J. Burken Trindel A，Maine Frank W. Burcham，Jr.Longitudinal Emergency Control System Using Thrust Modulation Demonstrated on an MD-11 Airplane[R].AIAA-96-3062，1996.