電傳飛控系統飛行前自檢報故狀態下的放飛策略

王小陽，洪 彬

(陸裝航空軍代局駐西安地區航空軍代室，陜西 西安 710061)

0 引言

目前，某型直升機電傳飛控系統飛行前自檢測(PBIT)報故后，按照飛行手冊的規定，直升機不允許起飛執行任務，故障排除后方可放飛。這種方式可最大程度地保證放飛的安全性，確保裝備和人員安全；但一定程度上影響了直升機的出勤率，特別是在戰時或緊急情況下，甚至會限制裝備的能力發揮，影響戰局的發展。而實際上，為了保證直升機的任務可靠性，電傳飛控系統具備冗余架構，系統的大部分故障模式并不會影響飛行品質，絕大部分故障模式并不會影響飛行安全。因此，電傳飛控系統PBIT報故并非意味著直升機絕對不能起飛。面向戰時環境，有必要對電傳飛控系統報故情況下的放飛策略進行探討，在保證飛行安全的前提下，充分利用完好功能完成特定任務，發揮裝備的最大能力。

1 電傳飛控系統安全性設計及故障模式影響

1.1 基于安全性指標的系統架構

任一型飛機在設計初期，飛機總體設計會向電傳飛控系統下發系統的安全性設計指標要求，即因為電傳系統發生故障而造成災難性事件發生的概率不能大于某一規定值。戰斗機電傳飛控系統的安全性指標一般為10E-7，而大型運輸機的安全性指標一般為10E-9。電傳飛控系統的設計者需要根據這一指標來確定電傳飛控系統基本架構，包括系統余度配置和關鍵核心部件配置，例如飛控計算機、伺服控制器、舵機、傳感器等，以及核心部件之間的交聯關系。目前，根據電傳飛控系統各部件能夠達到的基本可靠性水平，要達到系統安全性指標，電傳飛控系統一般需要具備四余度架構[1]。

以飛控計算機為例，在工程上，構成飛控計算機所采用的基本器件均具有一定的失效概率(一般在10E-9～10E-5次/小時)，這決定了典型的飛控計算機失效概率一般在10E-4～10E-3次/小時，如果系統為單余度配置，則顯然無法滿足電傳飛控系統安全性指標小于10E-7的要求。在80年代初期，經過大量的理論研究人員和工程技術人員的合作，很好地解決了這個問題。其基本工程方法便是采用余度構架，通過表決、監控技術容忍故障、檢測故障、隔離故障，重構系統。對于典型的四余度系統設計，發生任意的二次故障不影響任務的完成。對故障模型的理論探討認為，表決策略的探討應形式化，證明了余度構架對于提升系統任務可靠性的有效性。一個典型的四余度電傳飛控系統架構如圖1所示。

圖1 四余度電傳飛控系統典型架構

對電傳飛控系統進行余度架構設計，使得系統能夠容忍任意二次故障而不影響飛行任務。實際上，從各類飛機的實際飛行數據也能總結出，在絕大多數情況下，電傳飛控系統在空中報故后，往往可以憑借其系統的冗余設計而保證飛機安全返航。

1.2 功能危害性分析

功能危害性分析是指系統地、全面地按層次檢查系統的各種功能，識別各種功能失效狀態，分析這些功能失效狀態對相關系統、人員等方面的各種潛在影響，以確定這些功能失效可能產生或促使誘發產生的潛在危險及其后果，并根據嚴酷程度確定危險的嚴重性等級。

對于電傳飛控系統而言，功能危害性分析需要對系統所提供的每一項功能(例如縱向、橫航向控制功能)在各個飛行階段(例如滑跑、爬升、巡航、下降、著陸等)發生失效后，對飛行操縱的影響進行分析。根據影響程度確定其嚴重性等級，并根據系統的安全性指標要求，確定該功能失效的概率要求。一般而言，功能失效對系統的危害度可以劃分為災難的、嚴重的、輕度的、輕微的、無安全影響五個等級。針對不同危害性的功能模式，系統對其發生失效概率的要求是不同的。例如，以某型機為例，喪失升降舵的俯仰控制功能，在飛行的任意階段，其危害度均為災難性的，產生該功能失效的故障模式的發生概率必須小于10E-8。而喪失航向配平位置指示功能，在飛行的任意階段，其危害度均為輕微的(該功能危險項不影響飛行安全，僅會導致駕駛員不能了解航向配平狀態，需謹慎使用航向配平，增加了駕駛員的工作負擔)，而對產生該功能失效的故障模式的發生概率在系統級并未做出強制性要求。

通過功能危害性分析可以看到，電傳飛控系統中各項功能失效對系統的危害性是存在區別的，部分功能的失效不會影響飛行安全。

1.3 故障模式影響及危害性分析

針對電傳飛控系統，開展故障模式影響及危害性分析，是對所實現系統進行安全性評估的有效方法，是證明系統設計滿足安全性要求的有效手段。其基本思想是梳理系統內每一項元件的故障模式，自底向上地分析其失效后對上一級功能模塊的影響，繼而分析功能模塊失效后對更上一級功能模塊的影響，直至分析至對系統功能的影響。同時，按照其所影響到的系統功能失效后的危害度，即可以定義出每一種元件的故障模式對系統的影響層級和危害度。

例如，單臺飛控計算機內部模擬量采集功能板的電源模塊失效，會導致該功能板的所有功能失效，即單余度飛控計算機的模擬量采集輸入無效，但不會影響該計算機內部其他功能板的功能，也不會影響其他三個余度飛控計算機的所有功能。因此，對于整個電傳飛控系統而言，該電源模塊的失效并不會影響電傳飛控系統的任何功能。該故障模式對系統的危害度影響可定義為無影響或者輕微影響(如果部分非關鍵模擬量的輸入配置為單余度，則會導致系統層面該功能受到影響，但這種余度配置的功能必須為不影響飛行安全的功能)。而如果單余度飛控計算機內部電源板的二次電源模塊失效，則會導致該余度計算機所有功能失效，但不會影響其他三個余度飛控計算機的所有功能，最終導致整個四余度電傳飛控系統降級為三余度系統。因此對于整個電傳飛控系統而言，該電源模塊的失效僅會造成系統降級，而不會影響電傳飛控系統的任何功能，該故障模式對系統的危害度影響可定義為輕微影響。

開展故障模式影響分析，能夠最終得到電傳飛控系統內部任一故障模式對系統的影響及危害度。從對多型直升機的故障模式影響分析的結果來看，單一故障模式直接影響飛行安全的情況是不允許存在的，而多次組合故障雖然可能影響飛行安全，但其發生的概率均被限制在可接受的范圍之內。

2 電傳飛控系統飛行前故障檢測機理

為了能夠確保及時有效地發現并隔離故障，電傳飛控系統設計了機內自檢測功能，能夠對影響系統功能的各個部件和互聯鏈路進行測試，確認其功能的完好性和有效性。當檢測到系統存在故障時，能夠通過故障代碼指示故障發生的部位以及對系統功能的影響及嚴重程度。

系統自檢測利用飛行控制系統內部具有自檢功能的硬件和軟件來完成對機載設備的檢測；對機載設備某特定模態下輸出數據的采集結果與這一模態下的期望值進行比較，若一致則認為正常，若不一致則向外申報故障。系統自檢測的組成包括硬件和軟件兩部分：硬件包括為被測系統及部件設置的用于檢測、激勵、故障監控、邏輯和數據存儲的線路和裝置，以及用于機內自檢測控制和顯示的設備；軟件包括完成自檢測的啟動、運行、控制、退出以及系統部件完好性判別和故障申報、記錄等模塊。

電傳飛控系統采用多種自檢測方式，一般而言，主要包括加電自檢測(PUBIT)、飛行前自檢測(PBIT)、飛行中自檢測(IFBIT)和維護自檢測(MBIT)[2]。其中加電自檢測在系統上電的時候自動執行，檢測內容為飛控計算機核心功能的檢測，如CPU、存儲器、定時器、看門狗、內總線、電源、軟件版本等基本功能的檢測。加電自檢測報故表明飛行控制系統的底層支持功能失效。飛行中自檢測在周期任務中執行，檢測系統基本功能、高級功能的完好性。IFBIT故障在綜顯“飛行員故障清單PFL”中有相對詳細的申報，并在飛控操縱臺上通過1-4級狀態指示燈來表征故障的嚴重程度。對于飛行中自檢測中申報的故障，在飛行手冊中有明確的處置措施。維護自檢測的用途主要為故障排查、定位、定檢、軟件升級等，為地勤人員使用，一般不作為放飛的憑據。飛行前自檢測是在地面上進行的一系列自動測試，用來檢測系統的飛行前狀態，以保證系統完好性滿足飛行狀態。PBIT是飛行員檢查飛控系統完好性的主要手段。通過飛行前自檢測，能夠有效識別出電傳飛控系統存在的故障，隔離出故障發生部位，對更換、維修故障部件起到指導性作用。

以某型機為例，飛行前自檢測的測試內容包含了電源、接口電路、內總線、邏輯電路、伺服系統、模擬備份電路、慣性測量組件、飛控操縱臺等。具體包括：①背板總線測試；②離散輸出信號鏈測試；③離散輸入信號鏈測試；④模擬輸入信號鏈測試；⑤系統電源測試；⑥通道故障邏輯測試；⑦伺服系統測試；⑧慣性測量組件測試；⑨EFCS控制律測試；⑩飛控操縱臺測試；蓄電池接入邏輯測試。

上述測試囊括了飛行控制系統全部組成部件，包括飛控操縱臺、飛控計算機、舵機、慣性測量組件、配電盒、以及外部供電的測試。以上各功能模塊之間交聯關系示意如圖 2。

圖2 某電傳飛控系統各功能模塊交聯關系示意圖

3 飛行前自檢測報故情況下的放飛策略

和平時期，為確保飛行足夠安全，“不帶故障放飛”是一種基于安全至上的理念的可行做法。但在戰時環境下，當遇到緊急飛行任務而系統飛行前自檢測報故的情況，則需要決策是否可以帶故障放飛。根據本文前述內容分析，飛行前自檢測報出的故障，大部分是不影響飛行安全的，但也存在極低概率的組合故障的情況可能會影響飛行安全。因此，針對不同的機型，需要針對性地開展故障影響分析并提前設計安全放飛策略，使得緊急情況下，系統可以自行決策或者僅需要飛行員稍加判斷即可決策是否可以放飛。

飛行前自檢測報故情況下放飛策略的制定應基于對所發生故障對系統的影響的分析，可以從系統任務可靠性及功能完整性兩方面著手。任務可靠性指系統成功完成既定任務的概率，取決于單余度系統的基本可靠性和余度配置，余度等級越高，任務可靠性越高，反之亦然[3]。而功能完整性指系統功能的完備性，主要取決于構成系統各個部件和組件的功能是否正常。若系統內影響飛行安全的功能損失，則整個飛控系統失效。

下文將基于對系統可靠性和功能完整性兩個方面的影響，對PBIT檢測到的故障進行分類分析，針對不同報故情況下的放飛策略給出建議。

3.1 故障影響系統任務可靠性情況下的放飛策略

1)單一或多個故障造成單余度功能損失或余度降級

由于電傳飛控系統從設計上極力避免了單點故障的存在，因此絕大多數情況下，系統不會因為單一故障而造成系統功能損失或影響飛行安全。從影響危害度來看，單一故障將導致其所在余度的部分功能喪失，而其對余度系統最嚴酷的影響是系統余度降級一次。

以飛控計算機為例，其余度配置示意圖如圖3。某些單一故障會導致其所在余度飛控計算機的某些功能失效。該類典型故障主要包括：

圖3 電傳飛控計算機子系統余度配置示意圖

① 單余度計算機模擬量輸入采集失效；

② 單余度計算機離散量輸入輸出失效；

③ 單余度計算機總線接口失效；

④ 單余度計算機伺服子系統失效。

發生以上單一故障時，故障余度計算機的部分功能喪失，但系統余度不會降級。而某些單一故障會導致其所在余度飛控計算機的全部功能失效，最終導致系統余度降級。該類典型故障主要包括：

① 單余度計算機一次或二次電源失效；

② 單余度計算機處理器模塊失效；

③ 單余度計算機通道故障邏輯失效；

④ 單余度計算機通道間交叉互傳功能失效；

⑤ 單余度計算機通道間同步功能失效。

發生以上單一故障時，故障余度計算機的所有功能喪失或者無法與其他正常余度計算機構成余度關系，造成系統余度降級一次。

當多個故障均發生在同一個余度時，多為關聯故障，其產生有可能由同一個源頭引起。例如系統內飛行控制計算機的二次電源±15 V若失效，將導致該計算機內的所有使用到±15 V電源的功能模塊故障，例如模擬量信號采集、ARINC429總線信號故障等。當多個故障發生在同一個余度但沒有關聯關系，也僅會造成該余度部分甚至全部功能的喪失，最多造成余度降級一次。因此，如果PBIT報出了多個故障，但所有故障都指向同一個余度，那么其產生的影響也最多為系統余度降級一次，不會對系統的功能和安全性造成影響，應該允許放飛。

結合電傳飛控系統余度設計架構來看，若飛行前自檢測報出單一故障，最多會造成系統降級一次，因此可認為單一故障不會影響飛行安全，應允許放飛。

2)多個故障造成系統余度多次降級

當多個故障發生在不同余度，有可能會造成系統余度多次降級，要視情分析其對系統安全性的影響。按照故障對系統余度降級的影響程度，將故障的嚴重程度依次劃分為1、2、3、4級。總體而言當，系統兩個通道故障(狀態為2)的情況下，主飛控系統仍能保持正常的功能。在主飛控系統三次故障的情況下，可使用模擬備份實現直升機的基本操縱。

從任務可靠性的角度考慮，當數字系統從四余度降級為三余度甚至兩余度時，其任務可靠性依然可以維持在相對較高水平，對飛行任務不會造成過大的影響。而如果PBIT出現三次故障，系統進入模擬備份模態，該情況下起飛后系統僅能支持一次故障工作，二次故障后直升機則將無法控制，此時系統的任務可靠性相對較低。因此，PBIT三次故障情況下的放飛決策需要慎重。在極端情況下，例如雖然PBIT三次故障，系統轉入模擬備份，但是如果不立即起飛就意味著整個任務的失敗或將造成人員犧牲等不可接受的損失，則該種情況下也應該允許放飛。

3.2 故障影響系統功能完整性情況下的放飛策略

當飛行前自檢測報出故障導致系統某項功能喪失(所有余度)時，應根據具體所喪失的功能對飛行安全是否造成影響來謹慎評估是否可以放飛。

以某型直升機為例，其電傳飛控系統具有基本操縱、姿態保持、航跡控制等功能。其中基本操縱功能為電傳系統核心功能，該功能損失意味著飛行員將無法操縱直升機。而姿態保持、航跡控制等功能為重要輔助功能，主要是為了減輕飛行員的操縱壓力，提升操縱體驗。以上幾種功能分別需要不同的系統資源來實現。基本操縱功能需要桿位移傳感器、慣性測量組件的角速率、模擬輸入信號鏈的角速率部分、EFCS/CPU、主尾槳伺服系統、平尾伺服系統功能正常。姿態保持功能除了前述系統外還需要慣性測量組件的姿態角、總線429輸入功能正常。航跡控制功能如高度、速度、航跡保持功能需要飛行控制系統接口電路更高的完好性，同時也需要外部傳感器功能正常。

當系統發生的故障導致基本操縱等影響飛行安全的功能喪失時，應不能予以放飛。例如所有余度桿位移傳感器信號采集喪失，或者所有余度主、尾漿伺服系統功能喪失等。

當系統發生的故障導致姿態保持或者航跡控制等輔助功能喪失時，應視情允許放飛，例如：所有余度無線電高度信號鏈報故時，無線電高度保持功能喪失，但是飛行系統基本功能不受影響，飛行員操縱負擔增加，但不影響飛行安全；或者所有余度并聯舵機伺服故障，但不影響基本功能及飛行安全，僅增加飛行員的負擔。

總之，當飛行前自檢測報出的故障可以導致飛控系統安全關鍵功能喪失時，應不予以放飛。反之，當飛行前自檢測報出的故障僅導致飛控系統非關鍵功能喪失時，應結合飛行員和飛行環境的實際情況確定是否予以放飛。

3.3 故障情況下放飛策略的實現機制

針對故障情況下的放飛策略，如果在飛行前自檢測報故之后需要飛行員通過手動查閱飛行手冊的方式來決策是否放飛，將大大影響放飛決策的效率，戰時環境下甚至有可能因此貽誤戰機。因此，可以在電傳飛控系統設計相應的硬件和軟件功能來實現對故障及故障影響的自動判斷，并向飛行員提供相應的決策信息[4]。

為了實現該功能，可在飛控計算機中增加健康管理模塊，對系統故障信息進行搜集和診斷，通過一系列放飛輔助決策算法，對是否能夠在故障情況下放飛給出建議，并將結果顯示在操縱臺顯示界面上。飛行員通過觀察顯示結果，并綜合考慮實際飛行環境后決策是否放飛。

4 結論

電傳飛控系統具備冗余架構設計以保證其安全性指標滿足要求，通過功能危險分析、故障模式影響及危害度分析等過程，可以確定不同故障模式對電傳飛控系統功能的危害性影響。面向戰時環境，當電傳飛控系統飛行前自檢測報故時，不應一概不允許放飛，應當根據所報故障對系統安全性、可靠性、飛行任務的影響，綜合決策是否放飛。