司馬駿 /

(上海飛機設(shè)計研究院，上海201210)

0 引言

自20世紀60年代主動控制技術(shù)與隨控布局設(shè)計思想提出以來，電傳飛控系統(tǒng)(Electrical Flight Control System，以下簡稱EFCS)開始隨之發(fā)展，EFCS使用數(shù)字式計算機與電信號通信，為飛機減重、飛行品質(zhì)改善、飛機維護性改善等作出顯著貢獻。民機數(shù)字式EFCS最早應(yīng)用于空客公司A310(1982年)，僅用于控制擾流板、縫翼和襟翼。隨后空客公司在A320(1987年)機型中首次應(yīng)用了全權(quán)限EFCS。波音公司在波音777機型上首次使用EFCS，并于1995年成功取證[1]。中國首架按照國際標準設(shè)計的支線客機ARJ 21采用了EFCS。EFCS發(fā)展至今，大量先進的設(shè)計技術(shù)被不斷提出并成功應(yīng)用于民機研制中，以A380為代表的先進民機在故障檢測與容錯技術(shù)方面有了新的突破，但受限于計算機處理能力，一些復(fù)雜的非線性實時算法難以應(yīng)用。

隨著EFCS對飛機性能改善的要求不斷提高，其系統(tǒng)架構(gòu)的復(fù)雜性也隨之增長，系統(tǒng)設(shè)計中需考慮的故障模式也成倍增多。EFCS是關(guān)鍵的機載系統(tǒng)，需滿足嚴格的安全性與可靠性要求，保證飛機取證與運營可靠。Federal Aviation Administration (簡稱FAA)、European Aviation Safety Association (簡稱EASA)、Civil Aviation Administration of China (簡稱CAAC)適航規(guī)章(如CCAR 25.1309(b))要求飛機系統(tǒng)設(shè)計需保證發(fā)生妨礙飛機繼續(xù)安全飛行與著陸的失效狀態(tài)概率是極不可能的(概率小于10-9/飛行小時)。

故障檢測與容錯技術(shù)是實現(xiàn)高度安全可靠電傳飛控系統(tǒng)的關(guān)鍵，系統(tǒng)容錯能力是指在發(fā)生故障情況下，系統(tǒng)維持其正常功能或完成指定任務(wù)的能力[2]?，F(xiàn)代民機容錯系統(tǒng)設(shè)計主要是依賴于余度設(shè)計，如采用多套相互冗余的計算機、傳感器、作動器，以保證系統(tǒng)發(fā)生一次故障或二次故障后仍能安全執(zhí)行任務(wù)。故障檢測主要通過冗余設(shè)備之間的交叉比較、一致性檢查、信號表決等技術(shù)實現(xiàn)，實時監(jiān)控系統(tǒng)的工作狀態(tài)與故障狀態(tài)。本文重點介紹容錯系統(tǒng)設(shè)計中的余度技術(shù)與故障檢測技術(shù)。

1 容錯系統(tǒng)設(shè)計

民機EFCS屬于安全性級別很高的系統(tǒng)，系統(tǒng)設(shè)計要求發(fā)生任何導(dǎo)致飛機災(zāi)難級失效的故障必須是極不可能的(故障概率小于10-9/飛行小時)，典型的災(zāi)難級故障包括舵面極偏(如方向舵或水平安定面)、舵面振蕩超過飛機結(jié)構(gòu)限制、單發(fā)失效后喪失舵面控制等[3]。波音、空客公司在民用飛機設(shè)計領(lǐng)域走在世界前沿，為保證民機EFCS符合嚴格的適航取證要求，其飛機設(shè)計需遵循一套完整可靠的設(shè)計流程與方法，如空客公司針對飛機容錯設(shè)計提出了一套“黃金原則”[1]。

EFCS設(shè)計目標為高度安全可靠的容錯系統(tǒng)，系統(tǒng)設(shè)計應(yīng)考慮以下因素：

1)嚴格的設(shè)計流程

系統(tǒng)設(shè)計應(yīng)遵循嚴格的研制流程與行業(yè)規(guī)范，如ARP 4754A給出了復(fù)雜飛機系統(tǒng)的設(shè)計指南，軟件設(shè)計應(yīng)保證滿足DO-178規(guī)范，硬件設(shè)計應(yīng)滿足DO-254規(guī)范。這些設(shè)計指南與行業(yè)規(guī)范并不考慮系統(tǒng)具體的功能設(shè)計，而是重點規(guī)定了系統(tǒng)、軟硬件的研制過程，如研制計劃、驗證方法、構(gòu)型管理、質(zhì)量保證等。

2)安全性分析

安全性分析是基于系統(tǒng)架構(gòu)評估系統(tǒng)功能失效的影響，并采用故障樹的分析方法給出底層故障事件的發(fā)生概率與失效影響。系統(tǒng)安全性分析應(yīng)評估對系統(tǒng)存在重大影響的故障事件，包括單點故障、潛在故障、LRU故障組合等。安全性分析的結(jié)果會指導(dǎo)系統(tǒng)架構(gòu)優(yōu)化(如增加余度或監(jiān)控器)，從而保證系統(tǒng)的容錯能力滿足適航條款中的安全性要求。

3)余度設(shè)計

余度設(shè)計主要是采用多余度配置滿足系統(tǒng)安全性與可用性要求，如配置多余度的飛控計算機(A330/A340采用了5臺，A380采用了6臺，波音777采用了3臺)，為舵面分配不同的驅(qū)動源(A320/A340布置了三套液壓源、A380布置了兩套液壓源與兩套電源)[4-5]。余度設(shè)計還需考慮共因故障(如共模故障、發(fā)動機轉(zhuǎn)子爆破等)的影響，關(guān)鍵的冗余設(shè)備需采用非相似設(shè)計方法，且冗余設(shè)備的功能設(shè)計應(yīng)盡量獨立，安裝布置應(yīng)適當(dāng)隔離。

4)故障檢測與重構(gòu)

EFCS故障檢測主要是通過實時監(jiān)控器與設(shè)備自檢測(Built-In Test，簡稱BIT)完成，需監(jiān)控的系統(tǒng)狀態(tài)包括駕駛艙操縱器件傳感器位置、舵面作動器狀態(tài)、計算機指令完整性等。當(dāng)計算機探測到故障后，系統(tǒng)應(yīng)具備自動的故障管理能力，重構(gòu)系統(tǒng)硬件功能或軟件功能。如對于采用雙余度作動器配置的飛機舵面，當(dāng)單個作動器故障后，系統(tǒng)可繼續(xù)使用另一作動器執(zhí)行舵面操縱功能。

2 余度設(shè)計

余度技術(shù)是指采用多套系統(tǒng)/設(shè)備執(zhí)行同一項工作任務(wù)。民機余度設(shè)計主要依賴于硬件冗余，如采用多套計算機進行控制指令計算與監(jiān)控，同一塊舵面采用多套作動器進行控制等，互為冗余的設(shè)備具備同等的功能和任務(wù)執(zhí)行能力。20世紀90年代起，出現(xiàn)了大量關(guān)于解析余度的研究，與硬件余度不同，解析余度是一種基于模型的余度設(shè)計方法，通過在軟件中構(gòu)建與硬件具備相同輸出的數(shù)學(xué)模型，對硬件輸出的物理信號進行比較監(jiān)控。

為了避免共模故障對關(guān)鍵冗余設(shè)備的影響，現(xiàn)代民機廣泛采用了非相似的余度設(shè)計技術(shù)，即相互冗余的設(shè)備通過不同的研發(fā)團隊以不同設(shè)計方法與工具實現(xiàn)相同的功能。此外，為了避免共因故障(如發(fā)動機轉(zhuǎn)子爆破、區(qū)域性火災(zāi))同時影響到多套互為冗余的設(shè)備，需考慮冗余設(shè)備之間的隔離。

2.1 硬件冗余

EFCS的主要任務(wù)是執(zhí)行飛行控制律計算，并驅(qū)動舵面按期望的指令運動。圖1給出典型的EFCS控制回路原理圖，飛控計算機會同時接收到駕駛員操縱輸入和飛機狀態(tài)(如大氣數(shù)據(jù)、姿態(tài)角速率等)反饋，計算機執(zhí)行控制律運算并向作動器發(fā)出控制指令，作動器從而驅(qū)動飛機舵面運動?，F(xiàn)代民機設(shè)計中為了保證飛機控制安全性與可用性的高指標要求，會對控制回路中關(guān)鍵的傳感器、計算機、作動器采用多余度硬件配置，同時還需相應(yīng)配置多套電源或液壓源保證系統(tǒng)正常工作。

圖2給出了空客A340各操縱舵面上作動器的余度配置圖，對于非關(guān)鍵的控制舵面如擾流板，每個舵面僅配置一個作動器；對于關(guān)鍵的控制舵面如副翼、升降舵、方向舵和水平安定面，每塊舵面配置了兩個或三個作動器用于舵面控制。A340飛機配置了3套液壓源用于驅(qū)動作動器運動，每個作動器都對應(yīng)了一套液壓源驅(qū)動，圖2中H1、H2、H3分別代表了三套獨立的液壓源。此外，A340飛機配置了5臺飛控計算機，每個作動器都對應(yīng)了一臺或兩臺飛控計算機控制。圖2中P1、P2、P3代表三臺主計算機，S1、S2代表兩臺次級計算機。多余度硬件配置的目標是當(dāng)組成系統(tǒng)某部分設(shè)備出現(xiàn)故障后，系統(tǒng)可通過冗余信號的比較監(jiān)控探測到故障源，并進行故障重構(gòu)，保證系統(tǒng)仍能繼續(xù)安全執(zhí)行任務(wù)。

圖2 A340舵面余度配置

2.2 解析冗余

傳統(tǒng)的故障檢測是基于冗余的硬件傳感器進行交叉檢查，而解析冗余是一種基于模型的設(shè)計方法，通過構(gòu)建與真實硬件傳感器功能相當(dāng)?shù)臄?shù)學(xué)模型，實時計算期望的輸出信號，并與真實傳感器的物理信號進行比較監(jiān)控，以檢測系統(tǒng)故障。相比于基于硬件冗余的故障檢測方法，解析冗余對系統(tǒng)故障的覆蓋率更廣，且不依賴于額外的硬件來實現(xiàn)故障檢測，有利于飛機減重、硬件維護等。由于解析冗余通常依賴于實時、非線性的數(shù)學(xué)算法，如非線性濾波、矩陣轉(zhuǎn)換等，解析冗余應(yīng)用對計算機的運算處理能力提出了很大的挑戰(zhàn)，合理簡化數(shù)學(xué)模型以適應(yīng)計算機處理能力是解析冗余工程應(yīng)用的關(guān)鍵。

現(xiàn)代民機設(shè)計中仍然主要采用硬件冗余，解析冗余技術(shù)應(yīng)用相對較少，以空客A380為代表的先進民機EFCS設(shè)計中已經(jīng)成功應(yīng)用了解析冗余技術(shù)。A380由于在舵面上使用了新型電動舵機(Electro-Hydraulic Actuator，簡稱EHA)，傳統(tǒng)的基于硬件冗余的故障檢測方法不能完全覆蓋EHA的各類故障源，使用解析冗余的方法不但可以減少硬件設(shè)計，同時也能保證覆蓋EHA各類故障源[3]。圖3給出了解析冗余在A380上的應(yīng)用案例，A380使用解析冗余方法執(zhí)行舵面振蕩故障的檢測。飛控計算機輸出控制律指令驅(qū)動相應(yīng)作動器及舵面運動，同時計算機中構(gòu)建了作動器與舵面運動模型，模型根據(jù)控制律指令實時運算并輸出舵面期望的運動位置，飛控計算機中對模型輸出的期望位置與舵面?zhèn)鞲衅鞣答伒膶嶋H位置進行比較監(jiān)控，當(dāng)舵面出現(xiàn)超過監(jiān)控器容忍范圍的振蕩運動后，則系統(tǒng)會進行故障重構(gòu)，切斷故障作動器使用正常的作動器驅(qū)動舵面繼續(xù)正常運動。

圖3 A380解析冗余應(yīng)用實例

2.3 非相似冗余

適航條款要求單點故障不能導(dǎo)致災(zāi)難級失效狀態(tài)，EFCS設(shè)計中需避免關(guān)鍵部件如飛控計算機存在共模故障(單點故障)，以滿足適航條款要求?，F(xiàn)代飛機EFCS關(guān)鍵部件特別是飛控計算機廣泛采用非相似冗余設(shè)計方法，從而避免冗余部件之間存在共模故障，典型的共模故障包括需求解釋錯誤、硬件電路故障、軟件編碼錯誤、生產(chǎn)瑕疵等。非相似設(shè)計是為了保證互為冗余的關(guān)鍵部件之間的獨立性，開展非相似冗余設(shè)計主要依賴于不同的研發(fā)團隊進行底層需求開發(fā)，并采用非相似的工具方法實現(xiàn)具有相同功能的軟硬件。

以空客、波音為代表的民機先進EFCS中，關(guān)鍵冗余部件都采用了非相似設(shè)計?？湛偷闹饕獧C型都設(shè)計了兩種類型的飛控計算機：主計算機和次級計算機。兩種計算機采用了不同的硬件設(shè)計和軟件設(shè)計，次級計算機相對主計算機設(shè)計更簡單，飛控系統(tǒng)使用兩種計算機進行故障重構(gòu)。波音公司主要機型中通常采用三臺主計算機，每臺主計算機由三個非相似的處理器執(zhí)行計算。非相似設(shè)計同樣應(yīng)用于多余度的作動器中，A380中使用兩種類型的作動器：傳統(tǒng)的液壓作動器和新型的電動作動器。

2.4 余度隔離

除了共模故障外，EFCS設(shè)計中還需考慮共因因素(如發(fā)動機轉(zhuǎn)子爆破、鳥撞、區(qū)域性風(fēng)險、閃電環(huán)境、結(jié)構(gòu)損壞等)對冗余設(shè)備的影響，冗余設(shè)備需進行隔離，包括功能隔離和安裝隔離。

功能隔離要求執(zhí)行相同功能的冗余設(shè)備之間盡量使用不同的信號源、電源、液壓源等。以圖2給出的A340配置升降舵控制為例，兩塊升降舵配置了4個作動器，4個作動器由3套獨立的液壓源供壓和兩臺主計算機進行控制，同一塊升降舵舵面上的作動器分別使用了不同的液壓源和計算機指令。當(dāng)任意一個作動器失效或計算機失效后，兩塊升降舵舵面都仍然保證可控。

安裝隔離要求冗余設(shè)備的物理安裝位置應(yīng)在飛機各個區(qū)域合理布置，如飛控計算機應(yīng)布置在不同的電子設(shè)備艙，液壓管路、電源線路、信號總線等應(yīng)布置在不同的機身區(qū)域。當(dāng)發(fā)生如發(fā)動機轉(zhuǎn)子爆破時，轉(zhuǎn)子碰撞區(qū)域不會同時影響到所有冗余的管路、線纜或設(shè)備，從而保證飛機仍然安全可控。

3 故障檢測與重構(gòu)

3.1 故障檢測

EFCS故障檢測主要通過實時監(jiān)控器與設(shè)備自檢測(BIT)完成。BIT通常包括PBIT(上電自檢測，設(shè)備上電自動執(zhí)行)和IBIT(啟動自檢測，通過外部激勵執(zhí)行)?，F(xiàn)代民機電傳飛控系統(tǒng)監(jiān)控器類型主要包括：

1)冗余傳感器的監(jiān)控與表決

EFCS常用的冗余傳感器包括駕駛員指令傳感器、速率陀螺和加速度傳感器、大氣數(shù)據(jù)傳感器、迎角傳感器和舵面位置傳感器。冗余傳感器信號的監(jiān)控通常需設(shè)計兩個參數(shù)：監(jiān)控門限與故障確認時間。當(dāng)冗余信號誤差值大于監(jiān)控門限，且持續(xù)時間超過故障確認時間后，監(jiān)控器則標記相應(yīng)的信號為故障信號。監(jiān)控器設(shè)計應(yīng)具備足夠的魯棒性與安全性，避免由于門限值過小導(dǎo)致虛警，也要避免由于門限值過大導(dǎo)致低于門限的錯誤信號對飛機控制產(chǎn)生安全性影響。此外，解析冗余技術(shù)已應(yīng)用于先進機型，但應(yīng)用范圍有限，圖3給出了A380使用解析冗余執(zhí)行作動器振蕩故障監(jiān)控的實例。

2)飛控計算機指令完整性監(jiān)控

飛控計算機的主要任務(wù)是執(zhí)行控制律運算并輸出作動器控制指令，飛控計算機指令完整性需要滿足錯誤概率小于10-9要求。民機飛控計算機廣泛采用非相似的COM/MON(指令通道/監(jiān)控通道)架構(gòu)，COM與MON通道采用非相似設(shè)計，使用不同處理器或編程語言實現(xiàn)。此外，COM與MON兩個通道相互獨立執(zhí)行特定的任務(wù)，COM通道主要執(zhí)行包括控制律的各項功能運算，MON通道主要執(zhí)行系統(tǒng)監(jiān)控功能，COM與MON會同時運算控制律指令并進行比較監(jiān)控。僅當(dāng)COM與MON通道運算的控制律指令一致時，飛控計算機輸出有效的作動器控制指令。

3)單個傳感器有效性監(jiān)控

飛控計算機執(zhí)行冗余傳感器比較監(jiān)控之前，會對單個傳感器的有效性進行檢查，如傳感器輸出信號是否在有效范圍內(nèi)、設(shè)備供電是否正常、線路是否正常等。僅當(dāng)單個傳感器信號標記為有效時才會進入下一層級的冗余傳感器比較監(jiān)控。

4)總線信號完整性監(jiān)控

民機EFCS內(nèi)部設(shè)備之間的通信、與交聯(lián)系統(tǒng)的通信通常采用不同的總線信號，如ARINC629、ARINC429總線等。為了保證總線信號發(fā)送和傳輸過程中的完整性，飛控計算機通常會采用CRC(Cyclic Redundancy Check)校驗、信號刷新率檢查等方式進行監(jiān)控。

圖4給出了應(yīng)用于EFCS的3余度大氣數(shù)據(jù)與慣導(dǎo)設(shè)備(Air Data Inertial Reference Units，簡稱ADIRU)監(jiān)控與表決方法。ADIRU將飛機空速管、速率陀螺等傳感器信號轉(zhuǎn)換為數(shù)字信號發(fā)送給飛控計算機，每臺飛控計算機同時接收到3個ADIRU發(fā)出的飛機參數(shù)(如校正空速、飛機角速率、飛機加速度)，并對所有3余度的飛機參數(shù)進行比較監(jiān)控和表決，表決后生成唯一的飛機參數(shù)用于控制律計算。典型的3余度信號監(jiān)控與表決方法如下：

1)單個信號有效性檢查：檢查3個信號源均是有效(如檢查總線數(shù)據(jù)包的CRC、信號數(shù)值的有效范圍)，無效的信號不參與比較監(jiān)控與表決；

2)比較監(jiān)控：從3個信號中按數(shù)值大小選擇中值信號，將剩余的兩個信號與中值信號進行差值比較，任意一個信號與中值信號的誤差值大于監(jiān)控門限且持續(xù)時間超過故障確認時間后，則標記該信號失效，失效信號不參與表決；

3)表決計算：常用的表決計算為均值算法，即使用通過比較監(jiān)控的有效信號求平均值。表決后的信號用于控制律計算。

圖4 冗余傳感器監(jiān)控與表決

3.2 故障重構(gòu)

故障檢測是系統(tǒng)重構(gòu)的前提，系統(tǒng)檢測到故障后，會自動進行故障管理與重構(gòu)，故障重構(gòu)能力也是系統(tǒng)容錯能力的重要體現(xiàn)。電傳飛控系統(tǒng)故障重構(gòu)可分為兩個層級的重構(gòu)：硬件重構(gòu)和控制律重構(gòu)。

當(dāng)系統(tǒng)喪失有限余度的傳感器或作動器后，系統(tǒng)具備能力繼續(xù)使用剩余的傳感器或作動器繼續(xù)執(zhí)行任務(wù)，系統(tǒng)主要控制功能不受影響。圖5給出了系統(tǒng)硬件重構(gòu)的示例，同一塊升降舵舵面上配置了兩個液壓作動器，兩個作動器分別使用兩臺計算機P1、P2控制，且使用不同的液壓源驅(qū)動。正常狀態(tài)下，兩個作動器為主-備(Active-Standby)工作狀態(tài)，P1控制的為主動作動器，P2控制的備用作動器。當(dāng)主作動器故障、主作動器液壓源H1故障、P1計算機任意一個發(fā)生故障后，P1控制的作動器會被切斷變?yōu)槭顟B(tài)，不能繼續(xù)執(zhí)行升降舵控制。P2計算機探測到P1控制作動器失效后，會設(shè)置P2控制的作動器為主動狀態(tài)，控制升降舵運動，從而保證升降舵控制功能不受影響。多余度硬件配置保證了系統(tǒng)的重構(gòu)能力與可靠性。

圖5 系統(tǒng)硬件重構(gòu)實例

圖6 控制律重構(gòu)示意圖

EFCS控制律具備控制增穩(wěn)、包線保護、失速告警等功能，執(zhí)行完整控制律計算需要獲取如校正空速、迎角、角速率等飛機參數(shù)?，F(xiàn)代民機控制律設(shè)計通常包括多套控制律，圖6給出了控制律重構(gòu)的示意圖。正常狀態(tài)下，系統(tǒng)可執(zhí)行三軸控制、包線保護等完整的控制功能，定義為“正?？刂坡伞保划?dāng)系統(tǒng)出現(xiàn)特定故障，如喪失迎角信號和校正空速信號后，系統(tǒng)會降級為“次級控制律”，次級控制律仍然保證飛機三軸控制能力，但包線保護等控制功能將不具備；當(dāng)系統(tǒng)出現(xiàn)更為嚴酷的故障，如多臺主計算機全部喪失，系統(tǒng)會降級為“直接控制律”，直接控制律通過架構(gòu)簡單的次級計算機執(zhí)行，提供基本的舵面控制，控制品質(zhì)較差。

4 容錯技術(shù)發(fā)展方向

民機EFCS研制是一項復(fù)雜的系統(tǒng)工程，涉及到大量設(shè)備與交聯(lián)系統(tǒng)的集成設(shè)計。數(shù)十年來EFCS發(fā)展表明，改進系統(tǒng)故障檢測與容錯技術(shù)能有效地幫助改善飛機控制品質(zhì)、飛機結(jié)構(gòu)設(shè)計(結(jié)構(gòu)減重)、飛機運營成本(如飛機維護)等。國外學(xué)者研究了許多先進的容錯方法，如飛行參數(shù)預(yù)計、基于模型的故障檢測(如解析冗余)等[6]，這些方法不依賴于額外的傳感器硬件，而是通過軟件算法構(gòu)建虛擬的傳感器，用于系統(tǒng)故障檢測與重構(gòu)。此外，軟件相比于硬件更加容易控制與監(jiān)控。

以解析冗余為代表的先進方法對飛控計算機的實時運算能力要求很高，空客A340、A380等機型雖然已經(jīng)在個別監(jiān)控器設(shè)計中應(yīng)用了解析冗余技術(shù)，但都是采用簡化建模與開環(huán)計算方法，犧牲了模型計算精度。如何在未來民機設(shè)計中廣泛應(yīng)用這些先進的容錯技術(shù)需要解決以下問題：

1)在保證算法性能足夠的前提下，盡量優(yōu)化或簡化算法，降低對飛控計算機處理能力的要求，以及減少對變量參數(shù)的要求，使算法更加接近工程應(yīng)用；

2)現(xiàn)代民機使用的計算機處理能力相比于行業(yè)水平偏低，使用性能更高的計算機是未來的應(yīng)用方向，但前提是先進計算機在工業(yè)領(lǐng)域已經(jīng)廣泛應(yīng)用且證明具備很強的魯棒性和可靠性。

5 結(jié)論

本文介紹了國外先進民機EFCS容錯技術(shù)的成功經(jīng)驗，詳細闡述了國外民機在余度設(shè)計、故障檢測等方面的發(fā)展與應(yīng)用。大型民用客機研制是高度復(fù)雜的系統(tǒng)工程，以波音、空客為代表的國外民機工業(yè)經(jīng)過幾十年的發(fā)展積累了成熟研制流程與方法，國內(nèi)民機事業(yè)剛剛步入正軌，借鑒和學(xué)習(xí)國外先進技術(shù)與經(jīng)驗有助于推動國內(nèi)民機的快速發(fā)展。