基于共模故障的电传飞控系统终极备份设计.docx

?

?

基于共模故障的电传飞控系统终极备份设计

?

?

柳建锋

DOI：10.16660/j.cnki.1674-098X.2017.11.016

摘要：随着冗余技术在民用飞机电传飞控系统中应用的增加，飞控系统存在由于共模故障丧失的可用性，终极备份可被用以缓解共模故障的影响。该文在三余度飞控系统架构的基础上设计了双输入远程电子、双伺服回路作动器以及推力控制飞机三种终极备份方案，对三种方案进行了原理性的描述，同时对方案的优缺点进行了分析，分析结果可供实际设计参考。

关键词：电传飞控冗余共模故障终极备份

：V24：A：1674-098X（2017）04（b）-0016-03

飞控系统作为民机最重要的系统之一，在安全性、可靠性、维修性、可用性、稳定性以及舒适程度上对飞机都会产生直接的影响。为了提高安全性和可用性，硬件的冗余技术在电传飞控系统的设计中得到了应用。A380主飞控系统采用3台主飞控计算机和3台辅助飞控计算机的冗余配置，以提高飞控系统的可用性。Boeing777采用3台飞控计算机，每台配置3个非相似的硬件通道[1]。Boeing787飞机采用3台主飞控计算机与4台作动器电子装置的冗余配置[2]。

但是采用硬件冗余的电传飞控系统后，如果存在同时导致冗余系统或设备无法正常工作的故障，可能会导致整个系统丧失可用性，即共模故障。美国汽车工程师协会SAE的ARP4761《民用飞机机载系统和设备安全性评估过程的指南和方法》中明确，对于引起灾难性的或危险的/极其重大的失效状态的共模故障，应该被排除[3]。因此，在飞控系统方案设计初期就需要考虑如何缓解由于硬件冗余导致的共模故障。

缓解电传飞控系统共模故障的方式有很多种，采用非相似的设计可以缓解共模故障[4]，但会造成研制成本的提高；或者设计一个终极备份控制，当飞控系统由于共模故障丧失可用性后，其可以提供简单的控制。该文就以三余度计算机主飞控系统结构为基础，设计几种终极备份方案，并对这几种方案进行对比分析。

1三余度飞控系统描述

如图1所示，是一个三余度的飞控系统架构，包含3台相同的主飞控计算机、3台相同的作动器电子。在正常工作状态下，3台飞控计算机同时根据驾驶舱输入与外部接口信号提供飞机的正常控制律計算，并在作动器电子中进行指令表决；当主飞控计算机丧失可用性时，作动器电子根据驾驶舱输入提供简单的控制律计算，可以实现飞机安全的飞行和着陆。

由于该架构采用三余度的飞控计算机与作动器电子，因此，飞控计算机与作动器电子均存在共模故障的可能。当飞控计算机由于共模故障丧失可用性时，飞控系统可以通过作动器电子实现简单的控制，能够保证系统的可用性；当作动器电子由于共模故障失效时，飞控系统丧失可用性，属于灾难级故障，因此，针对作动器电子的共模故障，需设计有效的解决方式。

2终极备份设计

该文在终极备份设计过程中，主要考虑以下几点：尽可能的简单，降低系统的复杂程度；尽量保证飞机的MAC要求，提高对飞机的可控性。

2.1双输入远程电子设计终极备份

如图2所示，是基于远程电子双输入的终极备份原理图，其中红线连接了增加的终极备份。该方案在原有的飞机系统架构基础上，增加了一套终极备份控制计算机作为飞机的终极备份控制核心。终极备份直接接收驾驶舱的输入信号，同时根据飞控计算机与作动器电子有效性信号进行其激活逻辑的计算，当所有的飞控计算机和作动器电子失效后，终极备份开始控制飞机，并将计算指令发给远程电子实现对作动器的控制。为防止终极备份误激活，将其设计为硬件非相似的双通道，当双通道均判定为激活时终极备份才能激活。在飞控计算机中设置了对终极备份实时状态监控，并通过相应的告警信息以及维护信息告知机组以及维护人员。

相比于原有的飞控系统架构，该方案需要将MAC指定远程电子改装成双输入模式，其可以接收来自作动器电子的指令信号与来自终极备份的指令信号，其中前者具有更高级别的优先权。采用该设计需要在远程电子中正确的设计选择逻辑，防止终极备份指令信号被错误的选择，造成系统降级。

2.2双伺服回路作动器设计终极备份

如图3所示，是基于双伺服回路作动器设计的终极备份原理图。该方案与2.1中方案区别在于，将原有的单伺服回路作动器改装为双伺服回路作动器，远程电子保持不变，终极备份直接通过模拟信号输出控制伺服回路2。该方案对飞控系统电子部分改装要求较小，但是由于终极备份直接通过模拟信号控制作动器，可能会增加相应的电缆重量，同时由于采用双伺服回路作动器，对作动器的设计有了较高的要求，其重量变化还需进一步权衡分析。

2.3推力控制飞机（PCA）

NASA最早在20世纪90年代就开始进行了PCA的研究，目的是仅仅通过调节发动机的推力，实现飞机的姿态控制以及安全着陆，并在MD-11飞机上得到了验证[5]。

如图4所示，是基于P