民用飛機飛行鎖解鎖控制系統設計與研究

朱兆宇 鄧 楊

(上海飛機設計研究院，上海 201210)

0 引言

本文旨在提出一種健全的高安全性飛機艙門飛行鎖解鎖控制系統。飛行鎖控制系統可在飛行階段防止人為無意或者有意打開艙門。飛行鎖安裝在登機門(登機門/服務門和應急門)鎖閂機構上，該系統通過對來自艙門控制系統和關聯系統使能信號的綜合邏輯判斷，來實現飛行鎖控制系統對全機八個登機門的自動上鎖/解鎖功能。作動器是飛行鎖的驅動控制單元。當飛行鎖控制系統接收到使能信號發出上鎖指令時，飛行鎖控制系統執行上鎖控制。當收到使能信號發出解鎖指令時，飛行鎖控制系統執行解鎖控制。

某國外民用飛機艙門飛行鎖設計中，當飛行速度達到80節時，大氣數據慣性基準裝置(ADIRU)和第二大氣數據姿態基準裝置(SAARU)提供一個空速信號。接近傳感器電子裝置(PSEU)和一個電器負載管理系統(ELMS)使繼電器接通，繼電器給飛行鎖電動機通電，飛行鎖執行上鎖控制。當飛行速度低于80節時，繼電器斷開，飛行鎖馬達斷電，飛行鎖執行解鎖控制。該型飛機的登機門的飛行鎖機構控制邏輯為：飛機速度達到148 km/h時，每個門手柄自動鎖定。飛行鎖可限制門手柄的轉動，只使泄壓門部分打開，但防止門打開。有些客機控制邏輯為：當出現全部應急功能的艙門關閉后、發動機任何一個啟動、空地邏輯判斷處于空中模式或發動機左右推桿都向前推過53°情況之一時，飛行鎖控制系統給飛行鎖驅動器電磁閥通電，艙門內手柄被鎖住，防止艙內人員無意或有意開門[1]。這種控制邏輯的問題為每個飛行鎖都使用到了相同的接近傳感器電子裝置。當處于地面應急撤離階段，應急逃生門是否能打開受制于同一接近傳感器電子裝置，存在I類安全性事件的隱患。

1 飛行鎖控制系統設計要求

1.1 飛行鎖控制系統適航條款的頒布

FAA于2004年發布了FAR25-114修正案，對艙門安全標準提出了非常嚴格的要求。飛行鎖控制系統是針對此次適航條款變更后引入的一項新型艙門控制技術。根據最新條款的要求[2]，在飛機的艙門設計過程中，必須有措施防止每一門在飛行中被人無意中打開[3]，同時，如果這些預防措施包括使用輔助裝置，則這些裝置及其控制系統必須被設計成：

(1)單個失效不會妨礙多個出口被打開；

(2)著陸后妨礙出口打開的失效是微小的。

1.2 飛行鎖控制系統適航條款解析

根據頒布的FAR25-114修正案和CS25-22修正案，飛行鎖控制系統適航條款解析如下：

(1)條款文本：必須有措施防止每一門在飛行中被人無意中打開。

條款解析：本條款內容旨在加強飛機艙門在飛行過程中的管制措施，當加裝飛行鎖控制系統后，飛行鎖控制系統和常規艙門機械關閉機構共同構成登機門的鎖定機制，有效防止艙門在飛行過程中的誤打開動作。

(2)條款文本：單個失效不會妨礙多個出口被打開。

條款解析：這里的單個失效是指硬件故障、維護或邏輯上(如軟件)的錯誤。某些維護或邏輯錯誤對一個或多個艙門有潛在的影響[1]。本條款內容要求單個飛行鎖的失效對其他艙門的正常打開不產生影響，在飛機處于地面或應急撤離階段時，能夠正常解鎖。

在適航審定中，定義在應急撤離階段，半數或半數以上的登機門(包括登機門、服務門和應急門)無法打開為I類安全性事件。

(3)條款文本：著陸后妨礙出口打開的失效是微小的。

條款解析：本條款內容要求單個飛行鎖在飛機處于地面或應急撤離階段時，能夠正常解鎖。即使單個飛行鎖在斷電或出故障時功能是失效的，不會影響地面應急開門動作。單個飛行鎖正常解鎖功能的失效概率小于1E-5/FH(對應于適航表述“微小的”)[4]。

1.3 飛行鎖解鎖控制系統技術要求

在適航審定中，存在應急狀態無法打開半數或半數以上登機門的I類事件，對飛行鎖控制系統的解鎖能力提出了非常高的要求；某民用飛機飛行鎖控制系統受控于接近傳感器電子裝置，因此對該設備的研制保證等級提出了很高的要求；從分析飛行鎖相關適航條款得出，單個飛行鎖的失效不會影響到其他艙門的打開，對飛行鎖控制系統解鎖過程的獨立性提出了很高的要求。飛行鎖控制系統設計要求：任何原因的作動器或電動機的斷電，應確保飛行鎖機構處于打開狀態。在現有部分機型上使用的這種飛行鎖在斷電情況下的自動解鎖設計，并不能完全保證飛機在應急撤離情況下飛行鎖控制系統能夠正確地解鎖。當飛機處于應急撤離狀態，飛行鎖控制系統供電情況包括喪失供電或者錯誤供電。面對產生錯誤供電邏輯的情況，飛行鎖該項設計并不能引導系統可靠解鎖。因此，研發一個高安全性的具有獨立解鎖控制能力的飛行鎖控制系統成為一個亟待解決的問題。

綜上，目前飛行鎖控制系統存在以下技術問題有待解決：

(1)應急撤離狀態登機門無法打開的I類事件對飛行鎖控制系統的研制保證等級提出很高的要求，其功能研制保證等級為A級，這為飛行鎖控制系統帶來很高的研制成本，同時消耗大量人員研制精力。

(2)每個飛行鎖都使用到了接近傳感器電子裝置。在實際使用過程中，多個飛行鎖可能共用同一個本地接近傳感器電子裝置。當該本地接近傳感器電子裝置出現功能喪失或者非指令性提供使能信號時，共用該本地接近傳感器電子裝置的若干個飛行鎖會出現相同類型的解鎖失效控制邏輯，為I類事件埋下安全隱患。

2 常規飛行鎖控制系統的解鎖控制

飛行鎖控制系統控制邏輯使用到了艙門控制系統和交聯系統的總線信號和硬線信號。這些輸入信號包括起落架輪載信號、空速信號[5]、艙門上鎖狀態信號和艙門解鎖狀態信號等[6]。起落架輪載信號用于判斷飛機是否位于地面。空速信號用于讀取飛機的飛行速度，進而判斷飛機的飛行階段。艙門鎖定信號用于判斷每個登機門的鎖定狀態。總線信號構成了接近傳感器電子裝置的輸入信號，起落架輪載硬線信號構成了外部輸入信號。當總線信號在接近傳感器電子裝置內完成邏輯判斷，其輸出使能信號和起落架輪載硬線信號又構成了飛行鎖邏輯單元的輸入信號。當起落架輪載信號值不為真(飛機離地)，空速信號大于一定數值(飛機處于飛行狀態)并且艙門鎖定狀態為真三者同時成立時，飛行鎖控制系統執行上鎖指令。當三個條件中任意一個條件不成立時，飛行鎖控制系統即實行解鎖控制。

飛行鎖邏輯單元用以處理上電邏輯信號。飛行鎖邏輯單元在判斷起落架輪載硬線信號和接近傳感器電子裝置輸出使能信號為真后，接通內部驅動電機[7-8]，從而使艙門飛行鎖上鎖。

飛行鎖控制系統解鎖采用較為寬松的邏輯控制。接近傳感器電子裝置發出的解鎖使能信號由對起落架輪載信號、艙門鎖定信號和空速信號的綜合判斷構成。當三個信號中有一個不成立時，接近傳感器電子裝置發出解鎖使能信號，與起落架輪載硬線信號共同完成與門的邏輯判斷，飛行鎖控制系統完成解鎖作動。

3 新型飛行鎖解鎖控制系統

3.1 系統概述

飛行鎖解鎖控制系統旨在研究和提供一種高安全性和使用性能的飛機艙門飛行鎖解鎖控制架構。該控制系統通過引入獨立于常規飛行鎖控制通道的自動解鎖和手動解鎖控制信號，作為飛行鎖解鎖控制系統的輸入。經過有效地運用邏輯運算程序，保證在地面和應急撤離階段不會妨礙艙門的正常打開；同時避免系統綜合控制的艙門打開的單點失效不會影響到其他艙門的正常打開。從而使得該飛行鎖解鎖控制系統的控制邏輯能夠充分地滿足相關的艙門系統適航規章和解鎖控制獨立性要求。

飛行鎖解鎖控制系統實現駕駛艙對飛行鎖控制系統的手動解鎖功能以及在地面應急撤離狀態艙門系統對飛行鎖控制系統的自動解鎖功能。自動解鎖功能被設計成為與應急撤離使能信號相交聯。在應急撤離情況下，飛行鎖解鎖控制系統自動接收到應急撤離使能信號，飛行鎖作動器的解鎖處理模塊自動執行飛行鎖控制系統解鎖功能；除此以外，在駕駛艙設置手動按鈕，還可以實現對飛行鎖控制系統的手動解鎖功能。

執行解鎖控制系統功能的線路與所有其他控制飛行鎖的艙門系統控制鏈路相獨立，并且執行解鎖系統功能的自動解鎖和手動解鎖控制線路之間互相獨立。每一個飛行鎖都具備獨立的解鎖控制系統線路，該線路與本地接近傳感器電子裝置所在的控制線路采取不同的通道，以實現本地接近傳感器電子裝置單點失效不會引發解鎖控制系統功能的失效。

3.2 控制流程

飛行鎖控制系統解鎖控制流程如圖1所示，當常規飛行鎖解鎖控制生效，飛行鎖控制系統的解鎖輸入信號傳輸至艙門信號系統的接近傳感器電子裝置，由接近傳感器電子裝置來控制飛行鎖的作動[9]，其輸出的使能信號控制飛行鎖邏輯單元，飛行鎖解除內部驅動電機上電，飛行鎖作動器執行解鎖作動。

圖1 飛行鎖控制系統解鎖控制流程圖

當常規飛行鎖解鎖控制未生效，為實現飛行鎖解鎖控制，飛機劃分為兩種狀態：應急撤離狀態和非應急撤離狀態。判斷飛機是否進入應急撤離狀態，當飛機處于非應急撤離狀態，位于駕駛艙的飛行員可以通過手動按鈕實行手動解鎖控制，將離散信號輸入至飛行鎖邏輯單元控制飛行鎖作動器執行解鎖作動；當飛機處于應急撤離狀態，應急撤離系統發出應急撤離使能信號實行自動解鎖控制。倘若自動解鎖功能在應急撤離階段仍未生效，飛行員還可以通過手動按鈕執行手動解鎖，從而全面實現飛行鎖控制系統中每個飛行鎖的獨立解鎖控制。

3.3 系統架構

如圖2所示，飛行鎖解鎖控制系統使用兩個控制通道，自動解鎖通道和手動解鎖通道。這兩路通道與常規的接近傳感器電子裝置所使用的A429總線通道相獨立，并且兩者之間相互獨立。

當飛機處于應急撤離狀態，來自于應急撤離系統的應急撤離使能信號為真，該離散信號通過獨立通道發送給全機各個飛行鎖單元，飛行鎖作動器收到解鎖邏輯，停止為驅動電機供電并進行解鎖作動，飛行鎖控制系統實現解鎖控制功能[10]。當飛行員在駕駛艙操作手動按鈕時，解鎖離散信號通過獨立通道發送給全機各個飛行鎖單元，飛行鎖作動器收到解鎖邏輯，飛行鎖控制系統實現解鎖控制功能。

圖2 飛行鎖控制系統解鎖控制設計架構

4 系統實現

4.1 系統方案

飛行鎖解鎖控制系統原理如圖3所示，在正常飛行鎖解鎖控制生效的情況下，實行常規解鎖控制。飛行鎖解鎖輸入信號經接近傳感器電子裝置處理后生成解鎖使能信號，發送至飛行鎖邏輯單元的常規控制模塊進行處理。當正常飛行鎖解鎖控制未生效時，飛行員可以通過位于駕駛艙的手動按鈕接通直流供電實行手動解鎖，該離散信號發送至飛行鎖邏輯單元的解鎖處理模塊進行處理并執行解鎖；在應急撤離狀態，應急撤離系統還可以自動發出使能信號實現自動解鎖控制，該離散信號發送至飛行鎖邏輯單元的解鎖處理模塊進行處理并執行解鎖。

圖3 飛行鎖控制系統解鎖原理框圖

常規飛行鎖控制系統控制通道使用本地接近傳感器電子裝置處理飛行鎖作動器輸入信號，飛行鎖自動解鎖和手動解鎖線路不經過接近傳感器電子裝置處理數據，而是直接把解鎖信號發送至飛行鎖單元進行邏輯判斷。通過這種方式有效實現飛行鎖解鎖控制系統線路和常規線路之間的獨立。在實際飛行鎖控制系統設計方案中，不排除若干個飛行鎖作動器共用同一個本地接近傳感器電子裝置，這使得若干個飛行鎖的運行狀態正常與否受制于一個共用的本地接近傳感器電子裝置。通過飛行鎖解鎖控制系統中將解鎖使能信號送至飛行鎖單元的設計架構，消除了共用本地接近傳感器電子裝置的制約，提升了飛行鎖解鎖系統的可靠性。

4.2 系統物理安裝

飛行鎖解鎖控制系統線路通道設置上采用獨立于常規飛行鎖控制的通道，作為典型實例，該通道設置在客艙行李架上方布置區域。并且，自動解鎖線路和手動解鎖線路之間互相獨立。自動解鎖線路設置在左(右)側行李架上方，相應的，手動解鎖線路設置在右(左)側行李架上方。作為高安全性的方案，該通道設計可以有效應對出現應急撤離狀態時，由飛機緊急迫降或者起落架未放下著陸等因素導致的客艙地板橫梁下方區域設備失效的情形。上述典型獨立線路通道用于將位于機頭區域的解鎖控制信號源發送至位于每個登機門的飛行鎖邏輯單元。

5 飛行鎖解鎖控制系統的先進性分析

該飛行鎖控制系統控制邏輯具備多方面的魯棒性和可靠性，是一種先進的控制技術。首先，飛行鎖控制系統的上鎖邏輯采用數個輸入信號的與門判斷，上鎖邏輯較為嚴格；而解鎖邏輯采用常規解鎖方法和飛行鎖解鎖控制系統方法，解鎖邏輯較為寬松。嚴格的上鎖邏輯使得飛行鎖控制系統在起飛階段按照使用需求執行上鎖程序。寬松的解鎖邏輯在地面或者應急撤離階段能夠為多個客艙門可靠地解鎖，滿足相應的適航條款要求。

5.1 研制保證等級

為解決在應急撤離情況下半數或超過半數登機門未能正常打開的I類事件，飛行鎖解鎖控制系統設計架構中運用飛行鎖邏輯單元執行應急撤離使能信號和駕駛艙手動解鎖信號的邏輯運算處理，該設計與正常的飛行鎖控制系統解鎖功能構成裕度關系。從而顯著降低了飛行鎖控制系統的研制保證等級要求，節省了艙門控制系統的研制成本和人員研制精力。由于在應急撤離情況下保證半數或超過半數的飛行鎖正常打開為I類事件，對應的飛行鎖控制系統功能研制保證等級為A級。即使采用兩個接近傳感器電子裝置，每個控制單元的研制保證等級至少為B級。當引入自動解鎖和手動解鎖控制功能后，常規的飛行鎖控制系統功能研制保證等級調整至C級，相應每個控制單元關于該功能的研制保證等級要求下調至C級(單個設備)或者D級(兩個或以上設備)[11],從而顯著降低了系統的研制成本和人員研制精力。

5.2 高安全性

本飛行鎖控制系統設計有效避免了接近傳感器電子裝置的單點失效對飛行鎖控制系統的影響。在實際使用過程中，通常出現一個接近傳感器電子裝置控制多個飛行鎖的局面。本飛行鎖控制系統設計使用集成在各個飛行鎖內的飛行鎖邏輯單元處理解鎖控制系統運算數據，有效避免了單個接近傳感器電子裝置邏輯運算錯誤為飛行鎖控制系統帶來的影響；在飛行鎖控制系統控制邏輯中，使用了接近傳感器電子裝置總線信號和一路外部硬線信號同時參與邏輯判斷，該設計使得控制電路有效避免了因接近傳感器電子裝置的單點失效和非指令性上鎖和解鎖引起的控制失效。其中，起落架輪載硬線信號是獨立于總線信號的一路輸入控制信號，有效實現了硬線信號和總線信號之間的獨立性。

飛行鎖解鎖控制系統功能的引入大大增強了飛機在地面正常打開艙門的能力和應急狀態下緊急打開艙門的能力。在飛行鎖控制系統常規解鎖控制方法上，加入了應急撤離狀態的自動解鎖控制機制和非應急撤離狀態的駕駛艙手動解鎖機制。一旦飛機處于應急撤離狀態，飛行鎖控制系統自動實行解鎖控制。即使應急撤離的自動解鎖失效，同樣能通過駕駛艙手動解鎖執行強制解鎖功能。該解鎖控制機制大大增強飛行鎖控制系統的常規解鎖能力和在各種應急情況下的解鎖能力。傳統飛行鎖控制系統解鎖控制僅在滿足外部輸入信號的判定條件時自動解鎖，缺少手動解鎖控制功能。當引入解鎖控制技術，飛行機組可按需實施手動解鎖，并且強化了應急撤離情況的自動解鎖能力，從而實現在常規情況和各種應急情況的全面解鎖功能。同時，在物理通道上，解鎖控制系統的自動解鎖、手動解鎖以及常規解鎖線路之間互相獨立，避免了飛行鎖控制系統解鎖控制時多個艙門的共同失效。

6 結論

本文提出一種高安全性和使用性能的飛行鎖控制系統，并且考慮到I類事件的適航審查要求，引入飛行鎖解鎖控制系統，大大增強飛行鎖在地面和應急撤離階段的解鎖能力，飛行鎖控制系統和解鎖系統結論如下：

(1)本飛行鎖控制系統綜合利用了起落架輪載信號、空速信號和艙門鎖定信號作為接近傳感器電子裝置使能控制的總線輸入信號，結合起落架輪載硬線信號，作為飛行鎖控制系統邏輯控制的依據。上鎖邏輯嚴格完整，解鎖邏輯寬松，是一種健全的、高安全性艙門飛行鎖控制系統上鎖和解鎖控制技術。

(2)經過有效地運用邏輯運算程序，在既保證艙門在飛機飛行過程中防止被人為誤打開的同時，又保證艙門在地面和應急撤離階段不會受到妨礙而無法正常打開；同時避免系統綜合控制的艙門打開的單點失效不會影響到其他艙門的正常打開。該飛行鎖控制系統控制邏輯能夠充分地滿足相關的艙門適航規章和實際使用需求。

(3)飛行鎖控制系統設計架構進一步提高了飛機艙門的安全標準，避免接近傳感器電子裝置單點失效為系統帶來的影響。在飛行鎖控制系統中運用接近傳感器電子裝置總線信號和一路外部硬線信號同時參與邏輯判斷，有效避免了因接近傳感器電子裝置的單點失效引起的系統控制失效；本飛行鎖控制系統設計運用各個飛行鎖內的飛行鎖邏輯單元處理解鎖控制系統信號，有效避免了單個接近傳感器電子裝置引起的系統解鎖控制失效。

(4)飛行鎖控制系統解鎖控制功能提升了地面正常打開艙門的能力和應急狀態下打開艙門的能力。在傳統飛行鎖控制系統基礎上加入了解鎖控制系統，包括應急撤離狀態的自動解鎖控制機制和非應急撤離狀態的駕駛艙手動解鎖機制。實現了在正常離機和應急撤離狀態的全方位解鎖功能，充分滿足適航審查中I類事件的設計要求。

(5)飛行鎖解鎖控制系統有效降低了飛行鎖控制系統功能的研制保證等級。飛行鎖控制系統功能的研制保證等級為A級，當引入解鎖控制系統后，解決了飛行鎖控制系統研制保證等級高的焦點問題，將系統研制保證等級下調為C級。與此同時，接近傳感器電子裝置的研制保證等級相應調整至較低的級別，節省了研制成本和人員研制精力。