民機電傳飛控系統故障檢測與容錯技術

司馬駿 /

(上海飛機設計研究院，上海201210)

0 引言

自20世紀60年代主動控制技術與隨控布局設計思想提出以來，電傳飛控系統(Electrical Flight Control System，以下簡稱EFCS)開始隨之發展，EFCS使用數字式計算機與電信號通信，為飛機減重、飛行品質改善、飛機維護性改善等作出顯著貢獻。民機數字式EFCS最早應用于空客公司A310(1982年)，僅用于控制擾流板、縫翼和襟翼。隨后空客公司在A320(1987年)機型中首次應用了全權限EFCS。波音公司在波音777機型上首次使用EFCS，并于1995年成功取證[1]。中國首架按照國際標準設計的支線客機ARJ 21采用了EFCS。EFCS發展至今，大量先進的設計技術被不斷提出并成功應用于民機研制中，以A380為代表的先進民機在故障檢測與容錯技術方面有了新的突破，但受限于計算機處理能力，一些復雜的非線性實時算法難以應用。

隨著EFCS對飛機性能改善的要求不斷提高，其系統架構的復雜性也隨之增長，系統設計中需考慮的故障模式也成倍增多。EFCS是關鍵的機載系統，需滿足嚴格的安全性與可靠性要求，保證飛機取證與運營可靠。Federal Aviation Administration (簡稱FAA)、European Aviation Safety Association (簡稱EASA)、Civil Aviation Administration of China (簡稱CAAC)適航規章(如CCAR 25.1309(b))要求飛機系統設計需保證發生妨礙飛機繼續安全飛行與著陸的失效狀態概率是極不可能的(概率小于10-9/飛行小時)。

故障檢測與容錯技術是實現高度安全可靠電傳飛控系統的關鍵，系統容錯能力是指在發生故障情況下，系統維持其正常功能或完成指定任務的能力[2]。現代民機容錯系統設計主要是依賴于余度設計，如采用多套相互冗余的計算機、傳感器、作動器，以保證系統發生一次故障或二次故障后仍能安全執行任務。故障檢測主要通過冗余設備之間的交叉比較、一致性檢查、信號表決等技術實現，實時監控系統的工作狀態與故障狀態。本文重點介紹容錯系統設計中的余度技術與故障檢測技術。

1 容錯系統設計

民機EFCS屬于安全性級別很高的系統，系統設計要求發生任何導致飛機災難級失效的故障必須是極不可能的(故障概率小于10-9/飛行小時)，典型的災難級故障包括舵面極偏(如方向舵或水平安定面)、舵面振蕩超過飛機結構限制、單發失效后喪失舵面控制等[3]。波音、空客公司在民用飛機設計領域走在世界前沿，為保證民機EFCS符合嚴格的適航取證要求，其飛機設計需遵循一套完整可靠的設計流程與方法，如空客公司針對飛機容錯設計提出了一套“黃金原則”[1]。

EFCS設計目標為高度安全可靠的容錯系統，系統設計應考慮以下因素：

1)嚴格的設計流程

系統設計應遵循嚴格的研制流程與行業規范，如ARP 4754A給出了復雜飛機系統的設計指南，軟件設計應保證滿足DO-178規范，硬件設計應滿足DO-254規范。這些設計指南與行業規范并不考慮系統具體的功能設計，而是重點規定了系統、軟硬件的研制過程，如研制計劃、驗證方法、構型管理、質量保證等。

2)安全性分析

安全性分析是基于系統架構評估系統功能失效的影響，并采用故障樹的分析方法給出底層故障事件的發生概率與失效影響。系統安全性分析應評估對系統存在重大影響的故障事件，包括單點故障、潛在故障、LRU故障組合等。安全性分析的結果會指導系統架構優化(如增加余度或監控器)，從而保證系統的容錯能力滿足適航條款中的安全性要求。

3)余度設計

余度設計主要是采用多余度配置滿足系統安全性與可用性要求，如配置多余度的飛控計算機(A330/A340采用了5臺，A380采用了6臺，波音777采用了3臺)，為舵面分配不同的驅動源(A320/A340布置了三套液壓源、A380布置了兩套液壓源與兩套電源)[4-5]。余度設計還需考慮共因故障(如共模故障、發動機轉子爆破等)的影響，關鍵的冗余設備需采用非相似設計方法，且冗余設備的功能設計應盡量獨立，安裝布置應適當隔離。

4)故障檢測與重構

EFCS故障檢測主要是通過實時監控器與設備自檢測(Built-In Test，簡稱BIT)完成，需監控的系統狀態包括駕駛艙操縱器件傳感器位置、舵面作動器狀態、計算機指令完整性等。當計算機探測到故障后，系統應具備自動的故障管理能力，重構系統硬件功能或軟件功能。如對于采用雙余度作動器配置的飛機舵面，當單個作動器故障后，系統可繼續使用另一作動器執行舵面操縱功能。

2 余度設計

余度技術是指采用多套系統/設備執行同一項工作任務。民機余度設計主要依賴于硬件冗余，如采用多套計算機進行控制指令計算與監控，同一塊舵面采用多套作動器進行控制等，互為冗余的設備具備同等的功能和任務執行能力。20世紀90年代起，出現了大量關于解析余度的研究，與硬件余度不同，解析余度是一種基于模型的余度設計方法，通過在軟件中構建與硬件具備相同輸出的數學模型，對硬件輸出的物理信號進行比較監控。

為了避免共模故障對關鍵冗余設備的影響，現代民機廣泛采用了非相似的余度設計技術，即相互冗余的設備通過不同的研發團隊以不同設計方法與工具實現相同的功能。此外，為了避免共因故障(如發動機轉子爆破、區域性火災)同時影響到多套互為冗余的設備，需考慮冗余設備之間的隔離。

2.1 硬件冗余

EFCS的主要任務是執行飛行控制律計算，并驅動舵面按期望的指令運動。圖1給出典型的EFCS控制回路原理圖，飛控計算機會同時接收到駕駛員操縱輸入和飛機狀態(如大氣數據、姿態角速率等)反饋，計算機執行控制律運算并向作動器發出控制指令，作動器從而驅動飛機舵面運動。現代民機設計中為了保證飛機控制安全性與可用性的高指標要求，會對控制回路中關鍵的傳感器、計算機、作動器采用多余度硬件配置，同時還需相應配置多套電源或液壓源保證系統正常工作。

圖2給出了空客A340各操縱舵面上作動器的余度配置圖，對于非關鍵的控制舵面如擾流板，每個舵面僅配置一個作動器；對于關鍵的控制舵面如副翼、升降舵、方向舵和水平安定面，每塊舵面配置了兩個或三個作動器用于舵面控制。A340飛機配置了3套液壓源用于驅動作動器運動，每個作動器都對應了一套液壓源驅動，圖2中H1、H2、H3分別代表了三套獨立的液壓源。此外，A340飛機配置了5臺飛控計算機，每個作動器都對應了一臺或兩臺飛控計算機控制。圖2中P1、P2、P3代表三臺主計算機，S1、S2代表兩臺次級計算機。多余度硬件配置的目標是當組成系統某部分設備出現故障后，系統可通過冗余信號的比較監控探測到故障源，并進行故障重構，保證系統仍能繼續安全執行任務。

圖2 A340舵面余度配置

2.2 解析冗余

傳統的故障檢測是基于冗余的硬件傳感器進行交叉檢查，而解析冗余是一種基于模型的設計方法，通過構建與真實硬件傳感器功能相當的數學模型，實時計算期望的輸出信號，并與真實傳感器的物理信號進行比較監控，以檢測系統故障。相比于基于硬件冗余的故障檢測方法，解析冗余對系統故障的覆蓋率更廣，且不依賴于額外的硬件來實現故障檢測，有利于飛機減重、硬件維護等。由于解析冗余通常依賴于實時、非線性的數學算法，如非線性濾波、矩陣轉換等，解析冗余應用對計算機的運算處理能力提出了很大的挑戰，合理簡化數學模型以適應計算機處理能力是解析冗余工程應用的關鍵。

現代民機設計中仍然主要采用硬件冗余，解析冗余技術應用相對較少，以空客A380為代表的先進民機EFCS設計中已經成功應用了解析冗余技術。A380由于在舵面上使用了新型電動舵機(Electro-Hydraulic Actuator，簡稱EHA)，傳統的基于硬件冗余的故障檢測方法不能完全覆蓋EHA的各類故障源，使用解析冗余的方法不但可以減少硬件設計，同時也能保證覆蓋EHA各類故障源[3]。圖3給出了解析冗余在A380上的應用案例，A380使用解析冗余方法執行舵面振蕩故障的檢測。飛控計算機輸出控制律指令驅動相應作動器及舵面運動，同時計算機中構建了作動器與舵面運動模型，模型根據控制律指令實時運算并輸出舵面期望的運動位置，飛控計算機中對模型輸出的期望位置與舵面傳感器反饋的實際位置進行比較監控，當舵面出現超過監控器容忍范圍的振蕩運動后，則系統會進行故障重構，切斷故障作動器使用正常的作動器驅動舵面繼續正常運動。

圖3 A380解析冗余應用實例

2.3 非相似冗余

適航條款要求單點故障不能導致災難級失效狀態，EFCS設計中需避免關鍵部件如飛控計算機存在共模故障(單點故障)，以滿足適航條款要求。現代飛機EFCS關鍵部件特別是飛控計算機廣泛采用非相似冗余設計方法，從而避免冗余部件之間存在共模故障，典型的共模故障包括需求解釋錯誤、硬件電路故障、軟件編碼錯誤、生產瑕疵等。非相似設計是為了保證互為冗余的關鍵部件之間的獨立性，開展非相似冗余設計主要依賴于不同的研發團隊進行底層需求開發，并采用非相似的工具方法實現具有相同功能的軟硬件。

以空客、波音為代表的民機先進EFCS中，關鍵冗余部件都采用了非相似設計?？湛偷闹饕獧C型都設計了兩種類型的飛控計算機：主計算機和次級計算機。兩種計算機采用了不同的硬件設計和軟件設計，次級計算機相對主計算機設計更簡單，飛控系統使用兩種計算機進行故障重構。波音公司主要機型中通常采用三臺主計算機，每臺主計算機由三個非相似的處理器執行計算。非相似設計同樣應用于多余度的作動器中，A380中使用兩種類型的作動器：傳統的液壓作動器和新型的電動作動器。

2.4 余度隔離

除了共模故障外，EFCS設計中還需考慮共因因素(如發動機轉子爆破、鳥撞、區域性風險、閃電環境、結構損壞等)對冗余設備的影響，冗余設備需進行隔離，包括功能隔離和安裝隔離。

功能隔離要求執行相同功能的冗余設備之間盡量使用不同的信號源、電源、液壓源等。以圖2給出的A340配置升降舵控制為例，兩塊升降舵配置了4個作動器，4個作動器由3套獨立的液壓源供壓和兩臺主計算機進行控制，同一塊升降舵舵面上的作動器分別使用了不同的液壓源和計算機指令。當任意一個作動器失效或計算機失效后，兩塊升降舵舵面都仍然保證可控。

安裝隔離要求冗余設備的物理安裝位置應在飛機各個區域合理布置，如飛控計算機應布置在不同的電子設備艙，液壓管路、電源線路、信號總線等應布置在不同的機身區域。當發生如發動機轉子爆破時，轉子碰撞區域不會同時影響到所有冗余的管路、線纜或設備，從而保證飛機仍然安全可控。

3 故障檢測與重構

3.1 故障檢測

EFCS故障檢測主要通過實時監控器與設備自檢測(BIT)完成。BIT通常包括PBIT(上電自檢測，設備上電自動執行)和IBIT(啟動自檢測，通過外部激勵執行)?，F代民機電傳飛控系統監控器類型主要包括：

1)冗余傳感器的監控與表決

EFCS常用的冗余傳感器包括駕駛員指令傳感器、速率陀螺和加速度傳感器、大氣數據傳感器、迎角傳感器和舵面位置傳感器。冗余傳感器信號的監控通常需設計兩個參數：監控門限與故障確認時間。當冗余信號誤差值大于監控門限，且持續時間超過故障確認時間后，監控器則標記相應的信號為故障信號。監控器設計應具備足夠的魯棒性與安全性，避免由于門限值過小導致虛警，也要避免由于門限值過大導致低于門限的錯誤信號對飛機控制產生安全性影響。此外，解析冗余技術已應用于先進機型，但應用范圍有限，圖3給出了A380使用解析冗余執行作動器振蕩故障監控的實例。

2)飛控計算機指令完整性監控

飛控計算機的主要任務是執行控制律運算并輸出作動器控制指令，飛控計算機指令完整性需要滿足錯誤概率小于10-9要求。民機飛控計算機廣泛采用非相似的COM/MON(指令通道/監控通道)架構，COM與MON通道采用非相似設計，使用不同處理器或編程語言實現。此外，COM與MON兩個通道相互獨立執行特定的任務，COM通道主要執行包括控制律的各項功能運算，MON通道主要執行系統監控功能，COM與MON會同時運算控制律指令并進行比較監控。僅當COM與MON通道運算的控制律指令一致時，飛控計算機輸出有效的作動器控制指令。

3)單個傳感器有效性監控

飛控計算機執行冗余傳感器比較監控之前，會對單個傳感器的有效性進行檢查，如傳感器輸出信號是否在有效范圍內、設備供電是否正常、線路是否正常等。僅當單個傳感器信號標記為有效時才會進入下一層級的冗余傳感器比較監控。

4)總線信號完整性監控

民機EFCS內部設備之間的通信、與交聯系統的通信通常采用不同的總線信號，如ARINC629、ARINC429總線等。為了保證總線信號發送和傳輸過程中的完整性，飛控計算機通常會采用CRC(Cyclic Redundancy Check)校驗、信號刷新率檢查等方式進行監控。

圖4給出了應用于EFCS的3余度大氣數據與慣導設備(Air Data Inertial Reference Units，簡稱ADIRU)監控與表決方法。ADIRU將飛機空速管、速率陀螺等傳感器信號轉換為數字信號發送給飛控計算機，每臺飛控計算機同時接收到3個ADIRU發出的飛機參數(如校正空速、飛機角速率、飛機加速度)，并對所有3余度的飛機參數進行比較監控和表決，表決后生成唯一的飛機參數用于控制律計算。典型的3余度信號監控與表決方法如下：

1)單個信號有效性檢查：檢查3個信號源均是有效(如檢查總線數據包的CRC、信號數值的有效范圍)，無效的信號不參與比較監控與表決；

2)比較監控：從3個信號中按數值大小選擇中值信號，將剩余的兩個信號與中值信號進行差值比較，任意一個信號與中值信號的誤差值大于監控門限且持續時間超過故障確認時間后，則標記該信號失效，失效信號不參與表決；

3)表決計算：常用的表決計算為均值算法，即使用通過比較監控的有效信號求平均值。表決后的信號用于控制律計算。

圖4 冗余傳感器監控與表決

3.2 故障重構

故障檢測是系統重構的前提，系統檢測到故障后，會自動進行故障管理與重構，故障重構能力也是系統容錯能力的重要體現。電傳飛控系統故障重構可分為兩個層級的重構：硬件重構和控制律重構。

當系統喪失有限余度的傳感器或作動器后，系統具備能力繼續使用剩余的傳感器或作動器繼續執行任務，系統主要控制功能不受影響。圖5給出了系統硬件重構的示例，同一塊升降舵舵面上配置了兩個液壓作動器，兩個作動器分別使用兩臺計算機P1、P2控制，且使用不同的液壓源驅動。正常狀態下，兩個作動器為主-備(Active-Standby)工作狀態，P1控制的為主動作動器，P2控制的備用作動器。當主作動器故障、主作動器液壓源H1故障、P1計算機任意一個發生故障后，P1控制的作動器會被切斷變為失效狀態，不能繼續執行升降舵控制。P2計算機探測到P1控制作動器失效后，會設置P2控制的作動器為主動狀態，控制升降舵運動，從而保證升降舵控制功能不受影響。多余度硬件配置保證了系統的重構能力與可靠性。

圖5 系統硬件重構實例

圖6 控制律重構示意圖

EFCS控制律具備控制增穩、包線保護、失速告警等功能，執行完整控制律計算需要獲取如校正空速、迎角、角速率等飛機參數。現代民機控制律設計通常包括多套控制律，圖6給出了控制律重構的示意圖。正常狀態下，系統可執行三軸控制、包線保護等完整的控制功能，定義為“正常控制律”；當系統出現特定故障，如喪失迎角信號和校正空速信號后，系統會降級為“次級控制律”，次級控制律仍然保證飛機三軸控制能力，但包線保護等控制功能將不具備；當系統出現更為嚴酷的故障，如多臺主計算機全部喪失，系統會降級為“直接控制律”，直接控制律通過架構簡單的次級計算機執行，提供基本的舵面控制，控制品質較差。

4 容錯技術發展方向

民機EFCS研制是一項復雜的系統工程，涉及到大量設備與交聯系統的集成設計。數十年來EFCS發展表明，改進系統故障檢測與容錯技術能有效地幫助改善飛機控制品質、飛機結構設計(結構減重)、飛機運營成本(如飛機維護)等。國外學者研究了許多先進的容錯方法，如飛行參數預計、基于模型的故障檢測(如解析冗余)等[6]，這些方法不依賴于額外的傳感器硬件，而是通過軟件算法構建虛擬的傳感器，用于系統故障檢測與重構。此外，軟件相比于硬件更加容易控制與監控。

以解析冗余為代表的先進方法對飛控計算機的實時運算能力要求很高，空客A340、A380等機型雖然已經在個別監控器設計中應用了解析冗余技術，但都是采用簡化建模與開環計算方法，犧牲了模型計算精度。如何在未來民機設計中廣泛應用這些先進的容錯技術需要解決以下問題：

1)在保證算法性能足夠的前提下，盡量優化或簡化算法，降低對飛控計算機處理能力的要求，以及減少對變量參數的要求，使算法更加接近工程應用；

2)現代民機使用的計算機處理能力相比于行業水平偏低，使用性能更高的計算機是未來的應用方向，但前提是先進計算機在工業領域已經廣泛應用且證明具備很強的魯棒性和可靠性。

5 結論

本文介紹了國外先進民機EFCS容錯技術的成功經驗，詳細闡述了國外民機在余度設計、故障檢測等方面的發展與應用。大型民用客機研制是高度復雜的系統工程，以波音、空客為代表的國外民機工業經過幾十年的發展積累了成熟研制流程與方法，國內民機事業剛剛步入正軌，借鑒和學習國外先進技術與經驗有助于推動國內民機的快速發展。