基于模型的民機液壓告警系統驗證方法研究

陳 楠 方俊偉 史 杰 傅 博 魏夢婕 / CHEN Nan FANG Junwei SHI Jie FU Bo WEI Mengjie

(上海飛機設計研究院，上海 201210)

基于模型的民機液壓告警系統驗證方法研究

陳 楠 方俊偉 史 杰 傅 博 魏夢婕 / CHEN Nan FANG Junwei SHI Jie FU Bo WEI Mengjie

(上海飛機設計研究院，上海 201210)

利用Simulink/Labview建立民用客機液壓系統告警邏輯模型，通過注入頂層定義的根源故障獲得可視化告警信息指示，符合設計分析結果，且具有故障疊加告警顯示等優點，為驗證復雜系統集成中面臨的根源-派生故障告警信息顯示抑制和排序功能提供一種有意義的方法。

基于模型；告警系統；液壓系統；故障場景注入

0 引言

民用飛機機組告警系統提供飛機非正常狀態消息以提示飛行員關注并采取相關操作。告警設計反映飛機在不同任務階段的自動化狀態評估，是人機交互界面的核心要素之一。當前告警系統已發展形成以波音、空客為代表的第三代發動機指示與機組告警系統[1](Engine Indication and Crew Alerting System，簡稱EICAS)和飛機電子中央監控系統(Electronic Centralised Aircraft Monitoring,簡稱ECAM)告警系統，在A380、A350、波音777、波音787及龐巴迪C系列等機型中得到廣泛應用。

告警系統收集全機海量信號，通過復雜的計算形成非正常狀態的原始描述。對告警消息的等級定義、排序和抑制是告警設計最為關鍵的問題。民用客機以往的空中事故表明[2]，如果對告警消息缺乏有效的抑制和排序機制，故障容易引發消息的堆棧，造成飛行員在飛機非正常狀態，特別是緊急狀態下，對故障辨識度模糊，增加飛行員駕駛負擔，甚至可能造成操作的無效和錯誤。

為了明確告警信息的根源-派生關系，實現有效的抑制和排序設計，經常采用根源-派生故障遞歸梳理、故障樹分析及機上試驗驗證等方式。本文提出依據系統告警設計邏輯建立告警模型，高效快捷地對告警信息進行檢查及優化設計。此外，采用建模的方式還能便于直觀顯示告警邏輯，疊加故障告警顯示等優點。

液壓系統為飛機舵面和起落架運動提供液壓能，兼具機械傳動和電子控制功能，因此，本文采用液壓作為研究對象進行告警梳理結果的確認和驗證研究。

1 民用飛機液壓系統工作原理[3]

飛機液壓系統常用于操縱襟翼、減速板和飛控舵面偏轉，收放起落架及操作機輪剎車。現代民用客機通常采用三套液壓系統，每套液壓系統采用主-備雙泵方案，2#液壓系統動力轉換組件(Power Transfer Unit，簡稱PTU)由液壓馬達和泵組合，工作由1#液壓系統驅動液壓馬達帶動液壓泵轉子加壓液壓油。除左右發動機驅動泵(Engine drive pump,簡稱EDP)，其余液壓泵采用電機驅動，可選擇在駕駛艙手動打開或通過自動模式啟動電動泵(Electric Motor Pump,簡稱EMP)。在自動模式下液壓系統電子控制單元根據飛機不同狀態下作動對液壓壓力和流量需求控制備份泵通斷。

液壓電子控制單元具有控制和監視的功能。液壓系統監測液壓輸出狀態、液壓泵及液壓活門開閉狀態，依據傳感器輸入及其他相關外部系統等信號進行告警邏輯判斷。當達到告警判決條件后，告警信息經過多路信號發至飛機機組告警系統(簡稱FDAS)，依據在FDAS中定義的告警等級和告警方式輸出至駕駛艙EICAS顯示，提示飛行員采取相關操作保證飛行安全。

2 民用客機液壓系統告警模型

模型以液壓系統告警邏輯和FDAS告警定義為基礎，利用Simulink軟件建立信號邏輯，通過Labview提供信號賦值及駕駛艙操作輸入，信號實時輸出至Simulink中計算得到告警輸出，由Labview仿真EICAS顯示包括CAS消息的文字信息，顏色(代表不同的等級)、告警聲音等告警信息。

液壓系統告警功能與駕駛艙指令、飛行階段、泵啟/停自動控制邏輯、電氣/物理環境、交聯系統功能等諸多因素相關。模型從下述三方面建立完整的信號層告警邏輯：

1) 輸入信號

歸納三類輸入信號定義，包括傳感器參數、駕駛艙控制面板開關和外部系統參數輸入；

2) 告警邏輯

依據大氣數據、輪載、發動機工作等信號提供飛機狀態及飛行階段，建立液壓泵控制邏輯，并結合傳感器指示建立告警信號邏輯方程，包括延時，閾值判決和邏輯運算模塊。告警邏輯方程中還具有根源-派生故障抑制邏輯。

3) EICAS顯示

液壓系統告警信息主要分為三類：液壓系統工作狀態告警，包括液壓壓力、溫度和油量，液壓泵/活門失效告警和非正常工況下泵啟停提示告警。依據FDAS定義的告警信息屬性按告警出現時間排序輸出顯示。

同時，圍繞系統告警功能分析，減少非必要的工作量，建模時遵循以下原則進行簡化：

1) 簡化多余度外部參數輸入，如襟/縫翼位置傳感器多路余度信號輸入簡化為一路；

2) 總線Valid信號參數默認為真(置為1)，即模型暫不能支持設備失效下告警仿真。

3) 物理過程的簡化。如繼電器開關，泵供電、管路壓力等模型在模型中做了簡化處理，以適應桌面仿真的需要。

圖1展示了液壓告警模型原理圖。

圖1 液壓告警模型原理圖

3 仿真實例

模型共43個輸入參數，通過對輸入參數進行初始賦值可實現飛行場景注入。液壓控制單元接收外部系統提供的飛機狀態參數，如空速、輪載、停機剎車、重要交流匯流條狀態、油門桿角度TLA等，以及液壓傳感器參數由Labview讀取外部初始賦值表完成注入(如表1所示)；控制面板控制指令參數仿真控制面板注入(如圖2所示)。MATALB中的OPC configure模塊可接收Labview輸入進行邏輯運算。

此處設定飛機以280節空中巡航，雙發正常工作狀態運行，其余傳感器參數和控制面板泵開關設置在默認正常范圍。運行模型，在Simulink告警輸出端顯示均為0，即在仿真EICAS上未有告警出現。

圖2 Labview仿真駕駛艙控制面板

表1列出部分輸入參數定義，在圖2中展示了駕駛艙仿真控制板開關預置位置。

表1 部分輸入參數定義

3.1 PTU人工開啟

當操縱仿真面板PTU開關置于2位(ON位)，此時在Labview仿真的EICAS上顯示出“HYD PTU ON”信息，指示當前PTU已經打開且PTU出口壓力處于高壓狀態。表明作為2#液壓系統備份泵在高壓狀態下打開為飛機非正常狀態，告警信息如圖3所示。

圖3 PTU人工開啟后CAS消息

3.2 液壓系統油箱溫度過熱

模型中設置RSVR1_TEMP溫度為300℃，經過邏輯運算，如圖4所示，EICAS上出現一個 “HYD1 OVERHEAT”告警和一個 “HYD1 SOV CLSD”告警。RSVR1_TEMP表示液壓油箱溫度，當超過113℃時，會觸發油箱溫度高的紅色告警，同時系統會自動關閉防火切斷閥從而切斷EDP1A的供油油路，防止潛在的火焰擴散。

圖4 1#液壓油箱溫度過熱CAS消息

可以看出，在顯示排序上，高級別告警顯示排列優先于次級別告警，且溫度過熱派生的閥門自動關閉也發出CAS消息提示飛行員EDP不可用。體現了飛機故障狀態，且系統自動防護并處理告警。

3.3 雙發失效

模型中設置L_ENG_RUNNING_EEC1A_R1、R_ENG_RUNNING_EEC1A_R1參數為0，表明左右發動機處于停車狀態。同時將電源參數R_BPCU_EMER_PWR_ONLY_R1置為1，飛機處于應急供電狀態，以隔離電源匯流條失效故障疊加影響。

如圖5所示，EICAS顯示“HYD1-2 LO PRESS”告警。雙發失效作為根源故障會派生1#、2#液壓系統低壓告警，與表2通過人工梳理的根源-派生故障狀態一致。這種狀態下，根據液壓系統工作原理，1#和2#液壓泵EDP、EMP全部失效，且管路液壓處于低壓狀態，此時飛機由3#液壓系統提供液壓能。

圖5 雙發失效故障派生的液壓系統CAS消息

可以看出，雙發失效下液壓系統的派生信息抑制了液壓泵不工作等失效告警。需要說明的是，EICAS頁面的導航顯示及起落架參數等均是模型中內置的靜態參數，僅是為了還原真實顯示器的狀態，與仿真無關。

表2 雙發失效根源故障的液壓系統派生消息梳理結果

5 結論

通過建立基于信號邏輯的告警模型，能夠簡單快捷地注入系統非正常操作和故障場景，并直觀顯示不同場景下的告警信息，極大地減少人為梳理的工作量和主觀不確定性。采用模型既可作為告警邏輯設計本身的一種驗證方式，也可作為告警設計中人為因素研究的一種有力工具，對飛行員告警辨識度研究具有重要意義，同時，有利于在復雜系統集成中告警排序和抑制形成統一規范，此外，利用模型中的告警邏輯也便于針對真實飛機中遇到的問題進行排故。

[1] 杜建勛.發動機指示和機組警告原理及應用[M]．北京：國防工業出版社，1994：90-95.

[2] Albert,J.Rehmann．Flightdeck Crew Alerting Issues:An Aviation Safety Reporting System Analysis[R].Springfield: National Technical Information Service,1996.

[3] 宋靜波．飛機構造基礎[M]．北京：航空工業出版社，2011：79-88．

Analysis of Civil Aircraft Hydraulic Alerting System Verification Based on Simulink Model

(Shanghai Aircraft Design and Research Institute, Shanghai 201210, China)

Based on Simulink and Labview the signal-level model was set up. A way was provided on analysis of civil-airplane hydraulic system’s alerting logic, and a visual display of crew alerting system(CAS) information with different abnormal or failure cases input. It supplied a meaningful method to solve the problem faced in complex system integration that the numerous source-derived failure CAS information inhibition and arrangement in display.

model based; flight deck alerting system (FDAS); hydraulic system; failure cases input

10.19416/j.cnki.1674-9804.2016.04.008

上海市科委“浦江人才”項目資助課題，項目編號：14PJ1433800。

V24

A