面向航空發動機推力控制的大氣參數測量系統設計

李 琛，郝彬彬，左 偉，何佳音，吳 新，高 凱

（中國航發沈陽發動機研究所，沈陽 110015）

0 引言

隨著電子技術的迅速發展，在航空發動機控制領域，結構復雜且笨重的機械液壓控制系統已逐步被更加先進的全權限數字電子控制系統代替[1-2]。采用全權限數字電子控制系統后，能夠實現的功能越來越多，復雜程度也越來越高，因此對其安全性和可靠性提出了更高的要求，在不增加系統硬件的前提下，提升系統的可靠性和安全性成為研究重點。推力控制是控制系統重要的控制功能之一，發動機推力的設定一般與飛機油門桿直接相關，同時依據外界環境大氣數據修正后得到最終的推力設定值，對于多發飛機，涉及各發動機之間的推力匹配問題，因此在油門桿角度相同的條件下，大氣環境參數測量的可靠性和穩定性直接影響著發動機推力控制的穩定性及飛機飛行的安全。為了提升大氣環境參數測量的可靠性和安全性，必須在測量系統設計過程中采用故障診斷與容錯設計技術，容錯的重要手段即采用余度（冗余）設計[3-5]。杜永良等[6]基于硬件冗余的方式，提出了一種3 余度模擬信號表決方案；蔣平國等[7]采用基于數學模型的故障診斷方法，提升了傳感器故障診斷的準確性和快速性；魏志遠[8]以某型民用齒輪傳動風扇發動機為對象，基于卡曼濾波器開展了傳感器的故障診斷、隔離與重構研究，并根據傳感器無故障的故障指示信號特征，設計了故障診斷閾值。就故障診斷與容錯而言，診斷是基礎，容錯是目的。由最早的基于硬件冗余的故障診斷，到硬件冗余+軟件故障診斷算法，再到基于解析余度的智能診斷，故障診斷與容錯技術已成為近年研究的熱點技術之一[9-10]。航空發動機的工作過程是一個非常復雜的非線性熱力學過程，要獲取準確的解析模型非常困難，簡化后的模型又與真實對象之間存在較大差異，因此在目前的航空發動機工程設計中多采用硬件冗余+軟件故障診斷的模式。

本文以不增加硬件冗余為前提條件，針對提升機載環境參數測量的可靠性和安全性問題，以及多發飛機推力匹配問題，提出了一種大氣環境參數測量系統冗余架構，設計了一套信號故障診斷與表決邏輯和一種多源信號的切換邏輯，并對該邏輯開展了仿真和試驗驗證。

1 設計的基本原則

航空發動機的主要作用是為飛機提供可靠穩定的推力，而對于多發飛機，在正常的平飛過程中，希望多臺發動機產生的推力盡量保持一致，以實現飛機左右推力相同，有利于飛行的穩定控制。發動機的推力是按油門桿位置信號和給定的控制規律，經過環境的總壓、靜壓和總溫修正后確定的，當油門桿位置相同時，發動機的推力只與外界環境參數相關。同時，在飛行顯示中，若飛機不同系統之間采用不同的環境參數，在計算推力時會出現推力差異，會對飛行員造成困擾?；谏鲜鲈颍枰y一多發飛機的飛發推力計算參數。

在適航規章中要求發動機的控制不能依賴于飛機信號，要保證在飛機數據失效時不會導致發動機功率或推力產生不可接受的變化，或妨礙發動機安全穩定運轉[11-13]。在控制系統設計過程中，要保證在任何電氣或電子部件發生單一失效或故障以及組合失效時，發動機仍能保持安全控制[14-16]。

基于上述2 項原則開展環境大氣參數信號測量系統設計，主要包括系統的余度設計及信號故障診斷與表決邏輯設計。

2 余度設計

環境大氣參數主要包括大氣靜壓、總壓以及總溫，參數采集來源主要包括飛機大氣計算機（Atmosphere Data Computer，ADC）和發動機環境大氣參數傳感器，在民用飛行器上一般至少會設有2 臺大氣數據計算機，同時對于發動機上的關鍵控制參數傳感器一般設置2個余度。

分別將ADC 采集的環境大氣數據（靜壓Pamb、總壓Ptotal、總溫TAT）通過數據總線傳遞給數字電子控制器（Electronic Control Unit，ECU）的A、B 控制通道，通道之間通過通訊可以分別獲取對方通道的數據，這樣每個通道都可以獲得4 個大氣數據。發動機測量的大氣環境數據（靜壓P0、總壓P2、總溫T2）也可通過ECU 雙通道之間的通訊傳遞給對方通道。余度架構如圖1所示。

圖1 余度架構

采用此余度架構既未增加系統的復雜度，又可提升環境參數測量的可靠性和安全性。依據此架構，ECU將采集到的數據進行故障診斷、隔離、表決后，選出優選信號作為發動機推力控制參數，用于發動機的推力控制。

3 信號故障診斷算法與表決邏輯設計

信號處理流程如圖2所示。從圖中可見，ADC 測量的信號和發動機采集的信號分別經過信號處理、故障診斷以及信號表決3個步驟。

圖2 信號處理流程

故障診斷與容錯算法包含信號的故障診斷與隔離、信號的表決2 個主要模塊。分析傳感器故障模式，確定對應故障模式的診斷算法，實現故障的實時檢測和隔離；將相關故障信息傳遞給信號表決模塊，通過設計合理的表決算法，在多余度信號中選取最優的信號，用于發動機的推力控制。

3.1 飛機信號

飛機信號處理流程如圖3所示。

圖3 飛機信號處理流程

3.1.1 通訊校驗

目前在國際商用客機上多采用ARINC 429 總線作為通訊傳輸形式，國內對應的總線標準為HB 6096數據總線。通訊校驗主要包含奇偶校驗（Parity，P）、狀態矩陣校驗（Sign Status Matrix，SSM）、數據存儲區校驗、標識位（Source Destination Identifier，SDI）和數據標志位（Label），通過通訊校驗得到傳輸的總線數據狀態（ADC_ARINC）作為后續信號表決的輸入條件之一。

3.1.2 總線BIT檢測

BIT 檢測可通過硬件或軟件來實現，在設計過程中應盡量減少額外增加的硬件元件或軟件代碼，且應保證BIT 電路的可靠性。通過BIT 對ECU 與飛機之間的數據總線模塊進行檢測，獲得數據總線硬件電路狀態（ADC_BIT）。

3.1.3 故障診斷

在工程實踐中，較常遇到的傳感器故障模式有斷路、短路、信號偏差、虛連、信號干擾等，這些故障模式占傳感器故障的95%以上，因此故障診斷算法應至少覆蓋上述故障模式，傳感器故障的模式、表現形式及診斷方法見表1。

表1 傳感器故障的模式、表現形式及診斷方法

3.1.3.1 極值診斷

極值診斷用于判斷測量參數是否在正常工作范圍內。對輸入信號進行參數范圍判定，設定極大值、極小值，當被測參數超出判定閾值的極大值或極小值時，判定出現極值故障。

3.1.3.2 交叉診斷

交叉診斷用于判斷不同余度之間的偏差程度。對同一信號的雙通道測量值進行對比，當2 個通道的信號差異在設定閾值范圍內時，認為雙通道交叉診斷正常，超出設定閾值范圍時判定出現故障。

3.1.3.3 斜率診斷

斜率診斷用于判斷信號瞬時跳變故障。根據輸入信號與前一周期的變化量來診斷是否出現故障，當連續若干周期每一周期與前一周期相比信號的差值都大于1個設定的閾值，則認為出現信號故障。

3.1.3.4 故障積分診斷

故障積分診斷用于確認故障是否真正發生。以信號的故障信息作為輸入，當信號連續出現故障，或在一定時間內出現故障次數超過限制值時才判定該故障為真實故障。故障積分診斷用于確認傳感器是否真的出現故障，避免由于傳感器虛連、信號干擾等原因導致誤判傳感器故障。

通過故障診斷算法得到各故障狀態信息，以極值（ADC1_A_RANGE）、斜率（ADC1_A_SLOPE）故障檢測結果為輸入，當極值或斜率出現任意故障時，認為該通道獲取的數據出現故障，獲取ADC 數據故障狀態（ADC1_A_F），見表2，T 表示未發生故障，F 表示發生故障。

表2 通道數據故障狀態（以ECU A獲得的ADC1數據為例）

3.1.4 信號表決

依據通訊校驗結果（ADC1_A_ARINC）、BIT 檢測結果（ADC1_A_BIT）和數據故障狀態（ADC1_A_F）進行通道狀態驗證，獲取通道故障狀態（ADC1_A_S），當任一檢測結果出現故障則判定該通道數據存在故障，判斷邏輯見表3。

表3 通道故障狀態驗證（以ADC1 A通道為例）

數據選用原則：

（1）優先選擇ECU 在控通道的數據，當在控通道數據損壞時使用備份通道數據；

（2）優先選擇ADC1 數據，其次選擇ADC2 數據，在現在多數飛機設計方案中，ADC1 數據是提供給主駕駛員的，優先級更高。

ADC1 數據表決邏輯見表4，優選次選表決邏輯見表5，依據上述原則，按表4 獲取ADC 的測量表決值（ADC1_SED）和故障狀態（ADC1_S）。按表5 邏輯獲取優選信號（ADC1_PRE）、次選信號（ADC1_SEC）及對應的故障狀態（ADC1_PRE_S、ADC1_SEC_S）。

表4 ADC1數據表決邏輯（以ADC1為例）

表5 優選次選表決邏輯

3.2 發動機信號處理

發動機信號處理流程如圖4所示。

圖4 發動機信號處理流程

3.2.1 硬件處理

將發動機環境大氣數據測量傳感器測量的信號傳遞給數字電子控制器，通過控制器內部設置的BIT檢測電路獲取傳感器硬件的健康狀態，同時將傳感器的測量信號轉化為物理測量值（ENGA、ENGB）。

3.2.2 故障診斷

發動機信號的故障診斷與飛機信號的相同。通過故障診斷算法得到極值（ENGA_RANGE）、斜率（ENGA_SLOPE）故障信息，與BIT 檢測結果（ENGA_BIT）一起輸入以判斷通道健康狀態（ENGA_S），見表6。

表6 通道健康狀態（以ECU A通道為例）

3.2.3 信號表決

依據交叉診斷結果（ENG_CR）和通道健康狀態表決得到最終的發動機信號（ENG_SED）和信號狀態（ENG_S），發動機信號表決邏輯見表7。當交叉診斷結果為“F”時，應從保證發動機安全的角度確定選取較大值或較小值。

表7 發動機信號表決邏輯

3.3 信號綜合表決

為了保證多發飛機的推力相同以及各飛機系統中顯示的推力數據一致，在飛機正常平飛時，應采用相同的大氣環境參數，由于不同發動機所處飛機位置不同，環境參數測量存在偏差，此時應優先選擇ADC測量的環境參數數據。但ADC 數據更容易受到飛機姿態等外界因素的影響，特別在大機動飛行時，沒有進氣道的整流，ADC 測量的傳感器數據會失真，此時應選擇發動機測量的參數用于發動機控制。為此設計了一種切換方案用于解決此類問題。信號選擇邏輯如圖5所示。

圖5 信號選擇邏輯

在適航條款中規定[11]，由于參數切換引起的發動機推力變化不超過最大起飛推力的3%時，是可接受的，因此在切換過程中應保持推力變化滿足該要求，通過反算可得到各大氣環境信號允許的最大偏差范圍。從圖5中可見，當ADC與發動機測量的數據偏差在Δ 之內時，選擇ADC 的測量信號用于推力控制；當二者偏差超出允許范圍時，選擇發動機測量的數據，但這樣處理會導致發動機推力產生階躍。為了避免信號切換時產生較大的階躍變化或者在臨界狀態信號頻繁切換，設置Δ～2Δ 過渡區域，在此范圍內采用飛機與發動機測量數據線性插值。當差值大于2Δ時放棄使用ADC 數據，選用發動機自身的測量數據。信號綜合表決邏輯見表8，表中的判斷邏輯按先后次序依次判斷。

表8 信號綜合表決邏輯

4 仿真驗證

本文采用Matlab/Simulink 搭建了故障診斷邏輯和表決算法，仿真邏輯關系如圖6 所示。分別模擬斜坡、隨機、正弦和階躍變化，對仿真模型進行了校驗，仿真分析結果如圖7所示。

圖6 仿真邏輯關系

圖7 各類型故障仿真分析結果

從圖中可見，對于斜坡模擬信號漂移故障、隨機模擬信號干擾、正弦模擬信號脈動和階躍模擬信號的突然短路或斷路，仿真結果表明，當飛機優選信號出現故障時，可切換至次選信號，次選信號出現故障后，采用發動機雙通道表決值保證信號在較小范圍內波動，信號不會出現大幅度的變化，提升了系統的容錯能力，保證了發動機安全控制，仿真結果符合設計方案的設想。

5 試驗驗證

以大氣總溫信號為例，在試車過程中出現ADC大氣總溫信號故障，信號選擇如圖8 所示。在出現總溫故障前，由于ADC 采集的大氣總溫與發動機采集的大氣總溫相差小于設定的Δ，大氣總溫表決值（T_SED）為ADC 采集值；當ADC 采集總溫出現故障（雙余度ADC 均故障，總溫降至253 K 后恢復），并且變化值未超過設定的2Δ 時，總溫表決值選取為ADC與發動機測量值的插值，當變化值超過2Δ時，總溫表決值選取為發動機測量值；總溫恢復過程亦如此。試驗結果與仿真結果一致，與設計方案的設想一致，且在故障過程中信號未出現大幅波動。

圖8 故障時信號選擇

信號故障對發動機推力影響如圖9 所示。從圖中可見，在信號波動過程中，推力未出現明顯波動。

圖9 故障時推力變化

由此可見，本文建立的機載多余度環境大氣參數測量系統架構合理，表決方案有效，在雙余度ADC 數據均出現故障的情況下，仍可實現發動機推力的穩定控制，并且在信號切換過程中未對推力產生明顯擾動，滿足適航規定中推力波動不大于最大起飛推力的3%的要求，提升了環境參數測量的可靠性和安全性。

6 結論

（1）建立了一種適用于航空發動機的機載環境參數測量系統，以飛機ADC 大氣參數計算機測量參數和發動機機載測量參數為基礎，在不增加硬件冗余的前提下，構建了系統余度架構，采用此架構可提升環境參數測量的可靠性和安全性。

（2）分別提出了對ADC 測量信號和機載信號的故障診斷算法和表決算法，具備故障檢測和故障信號隔離功能，可檢測并隔離95%的故障模式。

（3）對于多發推力匹配問題，針對多源信號，提出了一種飛發信號綜合表決邏輯算法，該算法可以篩選出最優信號用于發動機控制，且在參數切換過程中，推力變化小于3%。

（4）仿真分析和臺架試車驗證證明了所建立的系統余度設計合理，故障診斷算法和信號表決邏輯有效，可以實現對故障信號的有效隔離和重構，并能保證在多源信號切換過程中信號測量的穩定性，從而提升參數測量的可靠性和安全性。