運輸類飛機電傳飛控系統終極備份方法研究

戴閏志，楊士斌，馬立群，黃銘媛

(1. 中國民用航空上海航空器適航審定中心，上海 200335；2. 中國民航大學適航學院，天津 300300)

1 引言

當前運輸類飛機適航規章25.1309(b)(1)款規定[1]，飛機系統發生任何災難性失效狀態是極不可能的，且均不會因單個失效而引起，即要求飛機系統發生災難性失效狀態的概率應小于10-9，且要求不能發生單點失效，不論失效概率是否低于10-9。相應的咨詢通告中給出了滿足25.1309(b)(1)款的符合性方法：飛機系統應滿足“失效-安全”設計理念。“失效-安全”要求的目標為：在任何系統或子系統中，任何一次飛行期間的任何單個組件、部件或連接的故障都應該被假定，而不管其概率如何。這些單個故障不應造成災難性失效狀態。

當前主流運輸類飛機，如波音B777、B787和空客A380、A350等，普遍采用了電傳飛行控制系統。對飛控系統進行功能危害性分析(FHA)可得飛控系統喪失任一軸控制的影響等級都是災難性的，因而其失效概率應設計為極不可能(即失效概率小于1e-9)。通過分析和工程經驗總結得出影響這種綜合復雜系統安全性的故障來源包括隨機物理故障和設計差錯等。針對已知的隨機物理故障通過余度架構設計可實現失效概率要求[2]，而針對設計差錯采用ARP 4754建議的研制過程保證的方法進行差錯避免[3]，但不能消除差錯，仍有可能發生因未知故障或差錯引起共模故障而導致電傳系統整體失效，因此需要考慮電傳系統失效后的應對措施。另一方面根據“失效-安全”要求，不論概率如何任何系統都應假定其可能失效，因此需要考慮在電傳飛控系統喪失的情況下，運輸類飛機如何保證對飛機的持續控制。當前歐美運輸類飛機機型都設計有電傳飛控系統喪失后的終極備份控制系統，保證飛機繼續可控，以緩解電傳飛控由單點失效或共模故障[4]等事件引起的完全失效。

終極備份系統是指在電傳飛控系統失效的情況下對飛機可控的最終備份控制方法。本文首先介紹了當前波音和空客主流機型在電傳飛控系統失效后采用的終極備份情況，對比分析了波音和空客系列終極備份方法的區別。通過仿真某運輸類飛機機型在不同終極備份控制方法下飛機的穩定性和操縱性，分析終極備份的方法、目的和設計中的考慮。

2 終極備份應用情況介紹

2.1 波音系列機型

波音第一架電傳飛控機型B777的終極備份是機械備份，在全部電源喪失后，可以通過對4號和11號擾流板及水平安定面的機械鏈接提供控制，如圖1所示。飛行員通過駕駛艙內的駕駛盤機械操縱4號和11號擾流板液壓作動器的閥，直接驅動擾流板；通過備用平尾配平手柄機械操縱平尾控制模塊的閥，液壓作動水平安定面，以使駕駛員可以水平直線飛行，直到電源系統重新啟動[5]。

圖1 B777飛控系統舵面布置

B787飛控系統的終極備份形式同B777一致，采用水平安定面和一對擾流板保證對飛機俯仰和滾轉的控制，但采用了電備份的形式[6]。

對于俯仰軸，飛行員操縱中央控制臺上的備用俯仰配平開關，備份系統不經過作動器控制電子(ACE)和飛行控制模塊(FCM)，直接將開關信號發送給水平安定面的EMCU(電子馬達控制單元)，通過機電作動器(Electromechanical Actuator，EMA)驅動平尾運動。對于滾轉軸，飛行員操縱桿盤上的滾轉控制撥輪，備份系統不經過ACE和FCM，直接將對應的傳感器信號發送給兩塊擾流板的EMCU，通過馬達配平作動器(EMA)驅動擾流板運動。

圖2 B787飛控系統舵面布置

綜上可知：波音機型的終極備份系統，采用一對擾流板控制滾轉，采用水平安定面控制俯仰。這樣的備份系統，可在電傳飛控系統失效后，提供一定的控制能力，在短時間內維持飛機姿態，等待系統重啟。據有資料顯示波音的備份系統很難達到飛控系統最小可接受控制(MAC，Minimum Acceptable Control)的要求，并不能實現持續安全飛行和著陸。

2.2 空客系列機型

1) A320機型

空客第一架電傳飛控機型A320的終極備份形式為：在電傳飛控系統完全喪失后(或所有飛控計算機均失效)，采用了方向舵和水平安定面的機械備份形式[7]。

飛行員可通過腳蹬直接控制方向舵，通過平尾人工配平手輪控制水平安定面，為飛機提供一定的偏航和俯仰控制能力。對于偏航軸，飛行員操縱腳蹬，備份系統不經過飛控計算機，直接通過機械連接將飛行員指令發送給方向舵動力控制單元(PCU)，從而驅動方向舵運動；對于俯仰軸，飛行員撥動平尾人工配平手輪，備份系統不經過飛控計算機，直接通過機械連接實現平尾控制，且機械控制的權限高于電氣控制[8]。

A320終極備份設計為使得飛行員安全地穩定飛行軌跡，同時嘗試恢復控制律或重啟系統，但是這種構型下飛機不能進近和著陸。如圖3所示為A320飛控系統架構。

圖3 A320飛控系統架構

2) A340機型

A340飛機采用了同A320一致的終極備份系統，通過機械連接方向舵和水平安定面提供控制。2002年取證的A340-600機型需要精確進行方向舵控制來抑制結構振動，因此終極備份形式采用了完全電氣操縱方向舵，其帶有自主的能源轉換器(從液壓到電氣)，完全獨立于主和輔助飛控計算機。它綜合了偏航速率陀螺、腳蹬傳感器和方向舵伺服控制回路[8]。如圖4所示為A340飛控系統架構。

圖4 A340飛控系統架構

3) A380機型

A380的終極備份采用了電氣備份形式。在所有的主和備用計算機或者它們的電源供給失效情況下，由電氣備份系統控制飛機，取代了以往的直接機械備份操縱。備份控制模塊(BCM)對飛機的水平安定面、全部方向舵、內側副翼和內側升降舵提供應急電氣備份控制[9]。

圖5 A380飛控系統架構

A380采用模擬備份控制模塊(Backup Control Module，BCM)控制，接收側桿、腳蹬和俯仰配平開關的指令，控制一對內副翼、一對內升降舵、兩塊方向舵和水平安定面運動。因此，在完全喪失3臺PRIM和3臺SEC后，BCM可針對飛機三軸提供必要的飛行控制和穩定性。BCM電氣備份系統的控制律具有俯仰阻尼、偏航阻尼和直接滾轉功能，不僅能在空中維持飛機姿態，還可實現安全飛行和著陸。

4) A350機型

A350采用數字BCM控制，包含一對副翼、一對升降舵、方向舵。BCM內部有2個陀螺儀，可產生俯仰和偏航角速率信號，提供俯仰和偏航阻尼功能。BCM接收側桿和腳蹬的指令，進行直接控制律計算，控制部分液壓伺服作動器運動，對應的控制舵面有：左升降舵(外側作動器)、右升降舵(外側作動器)、方向舵(上作動器)、左內副翼(外側作動器)和右內副翼(外側作動器)。

圖6 A350飛控系統舵面作動架構

綜上所述，空客系列機型從A320/A340到A380/A350的終極備份發展從能源形式、控制舵面和功能上可以總結為以下：從機械備份形式發展到電氣模擬備份、再到A350的電氣數字備份；從采用方向舵控制偏航、水平安定面控制俯仰，擴展到采用方向舵、升降舵和副翼作為備份舵面，其安全余度達到了前所未有的高度；從僅能在空中維持飛機姿態，發展到還可實現安全飛行和著陸、以及必要的控制功能。

3 終極備份方法對比分析

下表展示了波音與空客機型的終極備份方法的匯總。

表1 波音與空客機型終極備份方法

通過以上對比分析終極備份的形式可得，波音和空客終極備份的相同處在于：

終極備份都在兩個軸上具備了控制能力；備份形式從機械發展到電氣備份；備份舵面和備份余度增加，功能也在增強。

不同的是：

1) 波音的終極備份系統通過俯仰和滾轉軸進行控制，采用水平安定面控制俯仰、一對擾流板控制滾轉。波音的備份系統很難達到飛控系統最小可接受控制(MAC， Minimum Acceptable Control)的要求，并不能實現持續安全飛行和著陸。這樣的備份系統，可在電傳飛控系統失效后，提供一定的控制能力，在短時間內維持飛機姿態，等待系統重啟。

2) 空客的終極備份系統通過俯仰和偏航進行控制，采用水平安定面控制俯仰、方向舵控制偏航，后擴展到采用副翼、升降舵和方向舵，同時執行直接控制律計算，終極備份控制功能更強。終極備份不僅能夠實現穩定飛機姿態，同時能執行基本控制功能，可以安全飛行和著陸。

由以上對比分析可得：

1) 當前服役的電傳飛控飛機無一例外均配備終極備份。

通常，主飛控系統喪失任一軸的控制其FHA分析的等級都是災難性的，因而其失效應是極不可能的(即失效概率小于1e-9)，針對已知的隨機物理故障通過架構設計可實現失效概率要求，通過過程保證可減少設計差錯，但無法完全避免。對于未知的故障或設計差錯仍需要考慮系統失效后的應對措施，因而即便系統失效概率已滿足安全目標，仍需有終極備份措施。

2) 終極備份設計上控制能力低于最小可接受控制，但至少是兩軸備份(俯仰+滾轉/偏航)。以下將通過數值仿真分析其內在原因。

3) 終極備份的目的和形式不同，取決于飛機特征。終極備份的目的是暫時保持穩定還是繼續安全飛行和著陸取決于飛機設計特征。采用電氣備份或機械備份也可能需考慮飛機特征，例如某些主動增穩或模態抑制功能對飛機至關重要，因此終極備份需要通過電氣備份保留該功能。同時終極備份用于穩定飛機時對于外部干擾的抵抗能力如何不可知。

4) 除了波音和空客這種依靠舵面進行兩軸或三軸控制的終極備份方式外，是否還有其他的方式也可用于控制飛機。終極備份對飛機的控制能力如何，以下將通過仿真進行分析。

4 終極備份方法仿真分析

下面將對通過飛行仿真對飛機的終極備份方式進行分析，以某型運輸類飛機為研究對象，通過建立飛機的6自由度非線性數學模型，研究分析在常規操縱舵面失效，即電傳系統失效情況下，通過終極備份操縱舵面，能否滿足正常的飛機穩定性和操縱性。本算例中備份的操縱面包含水平安定面、方向舵、一對擾流板，另外也可以通過發動機的左右差動(兩發協同控制)輔助飛機的橫航向控制。設定飛機在5km高度下平飛，速度為0.9mach，水平安定面的極限偏轉速率為0.3°/s，擾流板的物理偏轉范圍為0-45°。

4.1 終極備份控制仿真

建立 6自由度非線性數學模型如下所示[11][12]。

動力學方程組

(1)

運動學方程組

(2)

力矩方程組

(3)

導航方程組

(4)

p、q、r表示三個角速度；

通過橫縱向控制系統數學模型可知縱向和橫側向控制是解耦的，每一軸向都必須進行單獨控制。

仿真包括以下工況：

表2 仿真工況

仿真1：在仿真過程中保持升降舵零位，通過水平安定面控制，驗證縱向的抑制干擾能力。仿真在40s時加入峰值為15ft/s的離散垂直陣風，則飛行狀態如圖7所示。

圖7 縱向穩定性仿真

如上圖所示，在40s時加入陣風干擾后，對縱向的飛行狀態法向過載和迎角都有瞬時擾動量，后通過水平安定面的偏轉可以對陣風進行抑制，恢復到原來的穩定飛行狀態，說明水平安定面具有一定的抵御垂直陣風，保持穩定飛行的能力。

仿真2：在仿真過程中保持升降舵零位，通過備份水平安定面來控制法向過載，驗證剩余的控制能力。仿真初始保持過載指令為1，在40s時滾轉輸入為幅值為0.8g、1.3g，周期40秒的滾轉角方波信號，則飛行狀態如圖8所示。

圖8 縱向操縱性仿真

由以上仿真圖可以看出，備份水平安定面可以實現基本的滾轉控制功能，但由于水平安定面氣動力大、偏轉速率慢的特點，過載控制響應時間慢，上升時間長，俯仰姿態在控制過程中有較大的超調量，控制品質不佳。

仿真3：在仿真過程中，通過分別使用擾流板、方向舵、發動機差動控制，來驗證橫向抑制干擾的能力。在仿真中，40s時加入峰值為15ft/s的離散側向陣風，則飛行狀態如圖9所示。

圖9 橫側向穩定性仿真

從以上仿真可以看出，在橫側向不加控制時，機體通過自身的穩定性就可以抑制陣風的干擾，體現出收斂的趨勢，但收斂時間較長，長時間處于衰減振蕩過程中，這對于其他通道的飛行操縱和乘坐品質都會產生負面影響。利用備份舵面可以在一定程度上提升抑制側風能力，如上仿真所示，利用擾流板可以減小滾轉角振蕩幅值，利用方向舵可以減小衰減次數，而利用發動機差動抑制效果提升幅度不明顯。

仿真4：在仿真過程中保持副翼零位，分別通過備份擾流板、方向舵、發動機差動來控制滾轉角，驗證剩余滾轉控制能力。仿真初始保持滾轉角指令為0，在40s時滾轉輸入為正負30度，周期20秒的滾轉角方波信號，則飛行狀態如圖10所示。

圖10 橫側向操縱性仿真

由以上仿真圖可以看出，備份擾流板、方向舵、發動機差動都可以實現基本的滾轉控制功能，但從操縱時間來看，均未達到11s內由-30°到30°的適航性能要求。備份擾流板控制能力有限，給定30°的滾轉角指令，很快就使舵面達到45°的物理限幅；方向舵和發動機差動均可通過誘導來進行橫控制，方向舵的控制能力和控制品質要優于發動機差動控制。

4.2 結果分析

綜上仿真結果分析可以看出，在電傳飛控正常操縱舵面失效時，通過終極備份可以保證飛機具有一定的穩定性和操縱性，但部分飛行性能尚達不到適航的可控性和機動性要求。

1) 俯仰+滾轉或俯仰+偏航的兩軸終極備份均能獲得基本的穩定可操縱能力。通過水平安定面控制縱向，一對擾流板、方向舵或發動機差動控制橫側向作為終極備份可以實現飛機的穩定可操縱，但達不到繼續安全飛行和著陸的能力。在終極備份設計成穩定飛機姿態等待電傳系統重啟時，適航需要進行地面試驗以驗證可以重啟成功。若無法重啟，需考慮終極備份設計為具備繼續安全飛行和著陸能力，則需要進行三軸控制設計。

2) 采用發動機差動形式的終極備份理論上可行，但實踐較為困難。兩側發動機差動對駕駛員操作要求高，駕駛員需要特殊的特殊技巧和體力，經過特殊培訓；時間延遲很大，對發動機性能要求高；發動機差動會引起縱向狀態變化，對速度變化影響大。

3) “穩定可操縱”能力遠遠小于“繼續安全飛行和著陸”。從終極備份的目的來看，若終極備份僅用于實現穩定可操縱，可等待電傳系統重啟；若用于繼續安全飛行和著陸則對終極備份要求會更高，但系統設計會更復雜。因此需要綜合考量飛機設計各方面，包括能源供給、系統復雜度、飛控計算機的失效重啟時間、質量、維護性、安全性等，得到最優設計方案。

5 結論

本文從“失效-安全”的適航要求出發，通過總結當前波音和空客主流機型終極備份的應用情況，對比分析了終極備份方法的應用形式和目的。通過仿真某機型在終極備份情況下飛機的穩定性和操縱性，得到結論如下：飛機兩軸可控，如水平安定面控制縱向，一對擾流板、方向舵或發動機差動控制橫側向，這種兩軸的終極備份方式可以實現飛機的穩定可操縱，但達不到繼續安全飛行和著陸的能力。采用兩側發動機差動控制橫側向的方法理論可行，但實踐起來會很困難。終極備份的目的和系統設計方案取決于飛機本身特征，需要在飛機頂層設計時綜合考量。