一種具有通用性的臨空飛艇航電系統設計

崔忠林 皇甫流成 朱承祥

（1.中國電子科技集團公司第三十八研究所 安徽省合肥市 230088 2.空裝駐合肥地區第一軍事代表室 安徽省合肥市 230088）

臨空飛艇是一種高空無人飛行平臺，體積從幾千立方米到幾十萬立方米不等，一般飛行在18km～20km 高度的平流層弱風層[1]，由太陽能電池、可充電電池為系統提供循環能源，攜帶通信基站、光電吊艙、雷達偵察等任務載荷，綜合利用大氣環流、高空動力進行機動飛行，可較長時間在指定區域駐留，具備“站得高、看得遠”、長航時、效費比高等優勢，受到國內外的廣泛關注，具有廣泛的民用、軍用價值。典型臨空飛艇的外形示意如圖1所示。

圖1：典型臨空飛艇外形示意圖

臨空飛艇主要由囊體結構、航電系統、動力推進、能源供給、壓力調節等構成，航電系統實現飛艇飛行參數檢測、飛行控制、空地數據傳輸、應急安控等，包括飛控計算機、導航定位、測控通信、安控裝置等。航電系統故障可能會導致飛行任務失敗，給飛艇平臺安全帶來嚴重風險，本文提出了一種基于設備交叉冗余的航電系統設計方法，該系統具有較好的通用性、高任務可靠性，全系統無確保無薄弱環節，其原理簡圖如圖2所示。

圖2：臨空飛艇航電系統原理簡圖

飛控計算機實時采集飛艇位置、航姿、速度、囊體差壓等飛行參數和系統狀態信息，根據當前飛行任務，進行控制律解算，對飛艇動力、風機/閥門實施控制，實現航線飛行或區域駐留飛行；維持飛艇囊體內外部壓差處于安全區間。正常/應急通信設備保證飛艇與地面的雙向數據通信；應急安控是臨空飛艇飛行試驗安全重要保證[2]，必要時按程序實施飛艇自毀降落，確保不發生次生災害。

1 空地通信

空地通信包括正常通信和應急通信，用于將飛艇飛行參數、狀態信息等實時傳輸到地面指控中心，將人工操縱指令上傳至艇載飛控計算機，支撐飛艇遠程飛行監控。

1.1 正常通信

臨空飛艇需長航時、大空域飛行，綜合數據帶寬、電磁環境等因素，空地正常通信設備采用L 頻段自組網電臺，具有無中心自組網、遠距離、大帶寬、低時延等優勢，用于飛艇平臺和任務載荷的數據傳輸。利用設備的自組網通信功能，部署多個地面測控站，進行接力傳輸，可實現更大空域的空地數據通信；也可支撐多個飛艇空中組網、協同應用。L 頻段自組網電臺實物如圖3所示。

圖3：L 頻段自組網電臺實物圖

1.2 應急通信

應急通信設備是保證臨空飛艇“全程可跟蹤”最后的“風箏線”，僅用于飛艇平臺飛行參數和主要狀態信息的遙測下傳，保證人工遙控指令的上行。應急通信采用天通通信終端，設備體積小、成本低，具有廣域通信、不受地形遮擋、方便部署等優勢。天通終端將飛艇遙控遙測數據按話音數據編碼，利用衛星電話的語音通信功能，實現空地窄帶數據傳輸。天通通信終端實物如圖4所示。

圖4：天通通信終端實物圖

2 飛行控制

飛行控制主要包括雙余度飛控計算機、導航定位、差壓檢測等設備，實現對飛艇的壓力調節、航線飛行、區域駐留飛行等。輕量化低功耗飛控計算機、抗干擾差壓檢測、任務高可靠是飛行控制硬件設計的關鍵。

2.1 飛控計算機設計

與無人機、導彈等高動態飛行平臺不同，飛艇平臺具有明顯的低動態、大慣性特性，降低了對飛控計算機性能的要求。飛控計算機采用FPGA+內嵌ARM 硬核架構，外擴PHY、AD、DIO、異步串口等接口芯片,設計接口濾波與保護電路，飛控計算機電路原理框圖如圖5所示。

圖5：飛控計算機電路原理框圖

飛控計算機主要性能和外部接口如下：

（1）處理器頻率：80MHz；

（2）網口：10M/100M 自適應網絡1 路；

（3）異步串口：RS422/485 接口13 路；

（4）AI：8 路；

（5）DIO：16 路；

圖10：安控計算機原理簡圖

（6）功耗：≤4W；

（7）重量：≤340g。

飛控計算機實物圖如圖6所示。

圖6：飛控計算機實物圖

2.2 抗干擾差壓檢測

臨空飛艇由多個軟式結構的空氣囊、氦氣囊構成，各氣囊內部由軟簾布分割，須維持囊體一定的超壓才能保證飛艇剛度和氣動外形。其中氦氣囊用于提供浮力，空氣囊用于調節飛艇高度和內外壓差。差壓檢測失效或錯誤可能會導致過量釋氦、囊體破損、囊體剛度不足等嚴重故障，因此高可靠抗干擾差壓檢測是臨空飛艇安全的前提。

臨空飛艇氣囊最大超壓不大于3000pa,只有采用微差壓傳感器才能保證檢測精度，而微差壓傳感器為電磁敏感設備，容易受到空間電磁輻射干擾、電源線和信號線傳導干擾。工程應用中，將微差壓傳感器安裝在電磁全屏蔽的差壓檢測盒體內，同時對差壓檢測電路板的供電、信號線接口進行電磁濾波設計，可滿足GJB151B‐2013 標準對設備級電磁兼容的要求。差壓檢測接口濾波設計電路如圖7所示，全屏蔽差壓檢測單元結構示意如圖8所示。

圖7：差壓檢測接口濾波設計電路

圖8：全屏蔽差壓檢測單元結構示意圖

電源接口采用四級濾波與防護設計，具有感應雷、電磁干擾防護能力。第一級的氣體放電管(GDT)用于快速泄放感應雷信號；第二級、第三級由共模電感、X 電容、Y 電容構成，可有效抑制電源線上耦合的的差模、共模干擾；第四級的瞬態抑制二極管(TVS)可對瞬時浪涌和GDT 泄放后的殘壓起到進一步抑制的作用。

通信接口也采用四級濾波與防護設計， 第一級的兩個Y 電容用于抑制信號線上的共模干擾；第二級的氣體放電管用于大量泄放感應雷信號；第三級的電阻起到限流的作用，并對感應雷信號有一定的延時作用；第四級的TVS 用于對差分信號正負之間、信號線與地之間的電壓進行防護，將信號線電壓抑制在接口芯片安全電壓范圍內。

2.3 任務高可靠設計

臨空飛艇要求具備連續幾十甚至幾百小時的較長航時飛行能力，這就對艇載電子設備的可靠性提出了很高的要求，而飛控計算機、導航等設備的自身復雜性制約了其單個設備的基本可靠性，本系統通過對飛行控制進行交叉冗余設計，實現了系統高任務可靠性，飛行控制交叉冗余設計原理簡圖如圖9所示。

圖9：飛行控制雙余度設計原理簡圖

由圖9，導航子系統采用異構交叉冗余設計，北斗接收機、GPS 接收機用于衛星定位，同時給主/輔光纖組合導航設備提供衛導數據，主/輔組合導航設備各自獨立實時解算，任意GNSS 接收機、慣導組合設備正常，都可以輸出有效的導航數據。主/輔差壓檢測單元分別對3 個氦氣囊和3 個空氣囊的內外壓差進行檢測，軟式隔艙的多氣囊間的差壓相互耦合，只要對任一氣囊的差壓能夠實時可靠測量，就可以保證艇體安全。

飛控計算機主/備機同時接收主/輔組合導航數據、主/輔差壓檢測數據，飛控主備機間進行數據交互，實施比較監控告警。系統默認優先采信主導航、主差壓檢測數據，執行飛控主機輸出的飛行控制指令。根據比較監控告警信息，人工判決，切換導航、差壓數據源和飛控主備機的控制權。按上述進行交叉冗余設計的飛行控制，全系統無單故障節點，經工程實際地面拷機測試中，系統連續工作15 天功能正常，實現了飛行控制任務高可靠。

3 應急安控

臨空飛艇是一個系統復雜、當前技術成熟度較低無人航空飛行器，關鍵設備故障會導致飛艇失聯、失控，進而對空域內民航、軍機等造成嚴重安全隱患；飛艇非受控墜毀還可能會對地面人員、設施造成災難性后果。應急安控是確保臨空飛艇“全程安全可控”的最后屏障，其核心任務就是在系統發生重大不可逆故障、超出安全飛行空域、飛行任務終止等情況下，通過導爆索、囊體加熱絲等手段撕毀飛艇囊體，快速釋放氦氣，確保飛艇盡快降落在安全區域內，避免產生次生災害。

3.1 應急安控設計準則

為提高應急安控的可靠性，確保不發生誤安控和漏安控，工程上將應急安控設計為功能單一、設備專用的子系統，由安控計算機、安控電池、安控鏈路和安控自毀機構構成。只有當飛艇與地面持續失聯超過設定時長，才會自動執行應急自主安控程序，其它情況都由地面指揮員按飛行預案決策，必要時進行遙控安控。

臨空飛艇大系統正常時，安控設備利用主電源和空地通信設備工作；主電源故障和空地通信故障時，安控設備利用安控電池、安控北斗設備工作，北斗短報文通信可保證應急安控遙控遙測[3]。

3.2 多冗余安控計算機

多模冗余的方式可有效提高計算機平臺的可靠性和安全性[4]，三模冗余基于三取二的表決原理，當且僅當2 個以上的模塊同時出現故障時（發生概率較低）才會輸出錯誤結果，由此系統在安全性得以保證的同時可靠性也得以提高[5]。本系統中的安控計算機就是采用基于三模冗余架構的設計，原理簡圖如圖10所示。

由圖10，主電源、安控電源為安控計算機提供冗余28VDC，3個DCDC 模塊組產生3 路3.3VDC，分別為3 個ARM 處理器芯片供電。3 個ARM 處理器同時接收、解析正常通信、應急通信、北斗通信全部鏈路數據，并進行故障診斷和倒計時，根據指令編碼或故障診斷結果，各自獨立產生兩組解鎖、自毀信號。只有解鎖信號經三模冗余電路自表決有效后，才會使能自毀信號的三取二表決功能；經三取二表決有效后的兩組自毀信號并聯驅動輸出，確保自毀有效執行。

3.3 可靠性設計

為進一步提高應急安控的任務可靠性，本系統中主要采用以下可靠性設計：

（1）自毀保護：軟件設計待機態、工作態、應急態，啟動默認為待機態，待機態不響應遙控自毀指令、不產生自控自毀信號。飛艇放飛后，人工切換為工作態，確保飛艇在地面試驗階段不發生誤自毀。

（2）雙冗余供電：主電源、安控電池并聯輸出，確保應急安控供電可靠。

（3）鏈路多通道：正常通信、應急通信、安控北斗3 條鏈路中的任意一條都可進行安控遙控遙測；安控計算機對上述3 條鏈路狀態獨立進行故障診斷，只有當全部鏈路持續故障才會觸發鏈路中斷倒計時，任一鏈路的通信恢復，會自動復位計數器；倒計時為零，將自動按程序執行飛艇自毀。

（4）3 通道獨立ARM 平臺： 3 套ARM 平臺的電源、時鐘、處理器等全部元器件完全獨立，運行軟件的代碼完全一樣，避免單個ARM 軟件死機、跑飛等故障對系統功能的影響。

（5）遙控指令編碼“5 判3”：遙控指令幀設置同步幀頭、CRC 校驗，對解鎖、自毀等關鍵指令，進行5 次重復編碼，只有解析出3 個及以上重復編碼，才判定遙控指令有效，由此提高遙控安控的可靠性和安全性。

（6）遙控指令連續 “5 判3”：遙控指令編幀中有幀序號，幀序號自動逐條累加，安控軟件識別并處理幀序號較大的最新遙控指令幀，只有在幀序號連續的5 條遙控指令幀中，解析出3 條及以上有效遙控指令，才執行安控，避免人為誤操作的可能。

（7）自毀控制并聯輸出：三取二表決后的兩路獨立自毀信號，由繼電器驅動轉換，并聯輸出，任意一路自毀控制有效，就可以驅動安控執行，確保應急安控無單故障節點。

4 結束語

本文給出了一種具有通用性的臨空飛艇航電系統設計方法，采用多鏈路空地數據通信、設備交叉冗余、電磁防護與抗干擾、安控三模冗余等設計技術和手段，使得航電系統具有較強的容錯性、高任務可靠性和擴展性。該航電系統已在多型臨空飛艇中應用，并經飛行試驗驗證。