鄧志云，路紅偉，王佳琦

（中航飛機起落架有限責任公司，湖南 長沙 410200）

0 引言

起落架前輪轉彎操縱系統(tǒng)作為一種提高飛機地面滑行機動性和著陸安全性的裝置，主要用于飛機在地面低速機動滑跑時控制大角度轉彎，飛機起飛滑跑時控制小角度轉彎糾偏，還可以人工解除轉彎狀態(tài)，使其處于自由轉向模式，便于牽引飛機[1]。

余度設計是一種提高起落架前輪轉彎控制系統(tǒng)安全和可靠性的有效設計方法，使用一倍或幾倍的硬件及軟件資源，確保在關鍵部件故障時仍能實現(xiàn)系統(tǒng)的正常功能，且不削弱或少削弱系統(tǒng)性能，增加系統(tǒng)任務的可靠性和安全性，實現(xiàn)產品一次故障工作及二次故障安全等要求。國外起落架轉彎控制系統(tǒng)大多設計為雙余度、雙通道構型，余度模塊采用局部總線、分布式控制，系統(tǒng)可擴展性及可靠性高，但系統(tǒng)架構復雜、實現(xiàn)成本高。而國內起落架轉彎控制系統(tǒng)則多設計為雙通道構型，余度模塊采用集中式控制，如AG600 等機型，系統(tǒng)可擴展性及可靠性稍低，其系統(tǒng)架構簡單、實現(xiàn)成本低。此外，國內一些科研單位在余度管理的研究，如文獻[2-3]三控制器的雙余度設計、文獻[4-5]兩控制器的雙余度設計等都為本研究內容也提供了大量可供借鑒成果。

根據(jù)某型飛機轉彎控制系統(tǒng)的數(shù)字電傳升級需求，在參考和借鑒了國內外主流飛機轉彎控制構型及國內有關余度研究工作的基礎上，針對前輪轉彎系統(tǒng)外圍控制信號、轉彎指令輸入與反饋及核心控制等部件的冗余結構，設計和實現(xiàn)了一種主、備冗余控制的單次切換邏輯并進行了仿真分析，并在此基礎上進一步優(yōu)化為循環(huán)切換邏輯及仿真分析。最后采用了軟件模擬故障注入的方式對系統(tǒng)主、備冗余切換邏輯進行了驗證用例設計，并在某型飛機轉彎試驗臺進行了綜合試驗。試驗結果表明，設計和實現(xiàn)的冗余切換邏輯有效地實現(xiàn)主、備控制通道的無縫切換，有效提升了系統(tǒng)的安全和可靠性能，對其他機型的前輪轉彎控制系統(tǒng)余度控制具有一定的借鑒意義。

1 系統(tǒng)冗余架構

本研究涉及的起落架前輪轉彎系統(tǒng)為一種雙余度系統(tǒng)，是用于飛機進行前輪轉彎的控制系統(tǒng)，也是一種電氣控制一液壓驅動的位置伺服系統(tǒng)，主要由輸入機構（主要包括手輪和腳蹬，通過在手輪和腳蹬上安裝的角度/位移傳感器，將機械位移轉換為轉彎角度的電信號，即轉彎指令）、伺服控制閥、轉彎反饋傳感器、綜合控制單元以及轉彎作動筒等組成，系統(tǒng)具備系統(tǒng)內建自檢測BIT（Built- in-Test）功能，其雙余度架構主要是指前起下到位、前起輪載、轉彎/減擺等控制開關信號以及轉彎指令輸入與反饋等功能部件均為雙余度構型，核心控制邏輯為一個監(jiān)控通道、兩個控制通道的非相似冗余結構，其控制冗余結構如圖1 所示。

圖1 控制冗余結構圖

其中，兩個控制通道作為前輪轉彎系統(tǒng)的中央控制單元，具備相同的功能，同時上電工作。主要負責對輸入機構的轉彎指令和轉彎反饋傳感器的實際起落架前輪轉彎角度信號的采集，通過對兩個輸入信號進行轉彎控制的邏輯結算，得出適應轉彎角度的伺服控制閥驅動信號，驅動伺服控制閥打開要求的開口角度，飛機液壓油路導通，從而驅動轉彎作動筒作動進行起落架前輪轉彎，具備系統(tǒng)BIT 功能，同時與監(jiān)控通道進行通信。

監(jiān)控通道作為前輪轉彎系統(tǒng)的仲裁單元，負責采集輸入機構的轉彎指令和轉彎反饋傳感器的實際起落架前輪轉彎角度信號，同時接收兩個控制通道發(fā)送來的邏輯結算信息，對兩個控制通道發(fā)送的信息有效性決心仲裁，監(jiān)控兩個控制通道的工作狀態(tài)并對兩個控制通道輸出的伺服控制閥驅動信號進行選通，對出現(xiàn)故障的控制通道進行復位控制。

2 余度控制邏輯設計

2.1 余度切換觸發(fā)機制

控制（主、備）通道的切換邏輯主要由監(jiān)控通道負責實現(xiàn)，其核心是確定主/備通道，從而實現(xiàn)對主/備控制通道輸出的伺服控制閥驅動信號進行選通控制。系統(tǒng)上電后默認為主通道控制有效（即主控制通道輸出伺服控制閥驅動信號，備控制通道不輸出伺服控制閥驅動信號），當檢測到當前控制有效通道異常時，監(jiān)控通道自動將控制權切換到另一控制通道（成為主控制通道），并在檢測到影響系統(tǒng)正常轉彎功能的故障時，監(jiān)控通道將無條件切換到減擺模式（主備控制通道都不輸出伺服控制閥驅動信號），以確保系統(tǒng)安全。

切換觸發(fā)機制包括控制通道主動通知和監(jiān)控通道自動切換兩種，切換的觸發(fā)條件有：

（1）St1：當前有效控制通道檢測到影響正常工作的因素時（指令及反饋傳感器工作異常等），主動停止心跳通信，屬主動通知類型；

（2）St2：監(jiān)控通道在系統(tǒng)設定的BIT 周期數(shù)內，沒有檢測到當前有效控制通道的心跳信息（St1 或通信故障），屬自動切換類型；

（3）St3：監(jiān)控通道對控制通道發(fā)送的輸入指令進行三方仲裁，判定當前有效控制通道的輸入指令不可信（超誤差閥值），屬自動切換類型；

（4）St4：監(jiān)控通道對控制通道解算后發(fā)送的轉彎輸出指令信息進行三方仲裁，判定當前控制有效通道的輸出指令不可信（超誤差閥值），屬自動切換類型。

2.2 控制邏輯狀態(tài)及信號定義

（1）控制狀態(tài)包括：

①MaBi：主通道有效，備通道空閑，為系統(tǒng)正常工作初始態(tài)；

于MiBa：主通道空閑，備通道有效；

③MiBi：主通道空閑，備通道空閑，為系統(tǒng)上電初始態(tài)（減擺模式）。

（2）觸發(fā)信號滿足的條件包括：

①Mok：主通道工作正常，

于Merr：主通道滿足St1～St4 中的一項或多項；

③Bok：備通道工作正常；

④Berr：備通道滿足St1～St4 中的一項或多項。

（3）觸發(fā)信號包括：

①Mr：檢測到Mok 的上升沿；

于Mf：發(fā)生Merr 的下降沿；

③Br：檢測到Bok 的上升沿；

④Bf：發(fā)生Berr 的下降沿。

2.3 切換邏輯狀態(tài)機設計

切換邏輯設計為單次切換，即主通道異常后自動切換到備通道，切換邏輯結束。狀態(tài)機設計如圖2 所示，觸發(fā)信號與條件見表1，切換邏輯流程是：

表1 單次切換觸發(fā)信號與條件列表

圖2 單次切換邏輯狀態(tài)機

（1）初始MaBi 狀態(tài)下，檢測到Mf 信號時，若有Bok則切換到MiBa 并轉入（2），若有Berr 則切換到MiBi 并轉入（3）；

（2）在MiBa 狀態(tài)下，檢測到Bf 信號時，若有Berr 則切換到MiBi 并轉入（3）；

（3）在MiBi 狀態(tài)下，整個切換邏輯結束。

2.4 單次切換邏輯驗證與仿真分析

單次切換邏輯驗證使用的測試用例包括：①主備通道都工作異常；于主通道工作正常，備通道工作不正常；③主通道工作不正常，備通道工作正常；④主備通道都工作正常。

仿真環(huán)境：Quartus Prime 17.1，ModelSim SE-64 10.5。仿真驗證的主要代碼段如下：

具體仿真分析見表2。

表2 單次切換邏輯仿真與分析

表中，CPU_WDT_M、CPU_WDT_B 是輸入的主備通道喂狗信號，isready 是系統(tǒng)準備好信號，oCPU_M_RESERT、oCPU_B_RESERT 輸出的主備通道復位信號，oControl_STATE_M、oControl_STATE_B 是輸出的通道選通有效信號。MaBi 態(tài)對應oControl_STATE_M=0、oControl_STATE_B=1，MiBi 態(tài)對應 oControl_STATE_M=1、oCon-trol_STATE_B=1，MiBa 態(tài) 對 應 oControl_STATE_M=1、oControl_STATE_B=0。

經仿真分析，設計的單次切換邏輯工作正常，能夠有效實現(xiàn)主、備通道的一次切換。

3 余度切換邏輯優(yōu)化

3.1 存在問題及優(yōu)化思路

在將單次切換邏輯應用到實際的系統(tǒng)綜合驗證過程中，由于部分傳感器模塊安裝在起落架的活動部位，會引起傳感器信號抖動導致的采集信息不準確，而轉彎系統(tǒng)的控制精度要求比較高，在進行相關信號的有效性判定時容易出現(xiàn)對通道故障誤判，單次切換能完成主、備通道的一次切換，但不足以難以滿足實際的應用需求。

可行的切換邏輯優(yōu)化思路是：在監(jiān)控通道判定控制通道故障時，對其進行自動功能復位，從而轉為備用通道，待下一次需要進行邏輯切換時，再將其作為工作正常的控制通道進行切換，如此循環(huán)切換工作直至系統(tǒng)斷電。

3.2 循環(huán)切換邏輯狀態(tài)機

在單次切換的基礎上，當切換到備通道后，若備通道也發(fā)生工作異常，則將重新切回到主通道輸出。當重新切回到主控制通道后，若主控制通道再次發(fā)生工作異常，則繼續(xù)切換到備通道輸出，如此循環(huán)直至系統(tǒng)停止工作。循環(huán)切換邏輯狀態(tài)機設計如圖3 所示，切換觸發(fā)信號與條件見表3，邏輯流程是：

表3 循環(huán)切換觸發(fā)信號與條件列表

圖3 循環(huán)切換邏輯狀態(tài)機

（1）初始MaBi 狀態(tài)下：

①檢測到Mf 信號時，若有Bok 則切換到MiBa 并轉入（2），若有Berr 則切換到MiBi 并轉入（3）；

于檢測到Br 信號時，若有Merr 則切換到MiBa 并轉入（2）；

③檢測到Bf 信號時，若有Merr 則切換到MiBi 并轉入3）；

（2）在MiBa 狀態(tài)下，

①檢測到Mr 信號時，若有Berr 則切換到MaBi 并轉入（1）；

于檢測到Mf 信號時，若有Berr 則切換到MiBi 并轉入（3）；

③檢測到Bf 信號時，若有Mok 則切換到MaBi 并轉入1），若有Merr 則切換到MiBi 并轉入（3）；

（3）在MiBi 狀態(tài)下，

①檢測到Mr 信號時，若有Mok 且Berr 則切換到MaBi 并轉入（1）；

于檢測到Mf 信號時，若有Bok 則切換到MiBi 并轉入（2）；

③檢測到Br 信號時，若有Merr 且Bok 則切換到MiBa 并轉入（2）；

④檢測到Bf 信號時，若有Mok 則切換到MaBi 并轉入（1）。

3.3 邏輯驗證與仿真分析

測試用例及仿真環(huán)境同上文。仿真驗證的主要代碼段在2.4 節(jié)的基礎上增加以下核心代碼：

其中，表4 中的信號含義與表2 的系統(tǒng)。

表4 循環(huán)切換邏輯仿真與分析

經仿真分析，優(yōu)化后的循環(huán)切換邏輯工作正常，能夠有效實現(xiàn)主、備通道的循環(huán)切換。

4 綜合試驗驗證

在余度切換邏輯仿真分析的基礎上，參考文獻[6-8]，采用了一種軟件模擬故障注入的方式實現(xiàn)系統(tǒng)主、備冗余切換邏輯的功能驗證，即分別設置不同的軟件功能模塊來模擬系統(tǒng)硬件的各類故障及軟件異常并固化到系統(tǒng)硬件中，在系統(tǒng)工作的過程中觸發(fā)冗余切換機制，來判定切換結果是否符合預期設計。

（1）設計的控制通道模擬故障功能模塊包括：

①BIT 異常：包括5V、15V 電壓異常、內存檢測異常、轉彎指令、反饋（轉彎角度、伺服閥開度）等傳感器工作異常；

于通信異常：包括通信模塊故障、停止心跳通信、停止發(fā)送通道工作狀態(tài)、停止發(fā)送通道輸出的指令信息；

③轉彎輸入與反饋指令異常：包括轉彎指令傳感器、轉彎角度反饋及閥開度等傳感器輸入信息異常；

④轉彎輸出指令異常：包括轉彎控制輸出指令信息異常；

（2）設計的監(jiān)控通道模擬故障功能模塊包括：

①監(jiān)控通道BIT 異常：包括5V、15V 電壓異常，轉彎指令、轉彎角度反饋及閥開度等傳感器工作異常；

控制通道BIT 異常：接收的控制通道BIT 信息異常；

于通信異常：包括通信模塊故障、在固定的BIT 周期數(shù)內，無控制通道心跳信息；

③控制通道輸入指令異常：控制通道的輸入指令異常（超誤差閥值）；

④控制通道輸出指令異常：控制通道的輸入指令異常（超誤差閥值）；

（3）系統(tǒng)綜合驗證使用的測試用例與余度切換邏輯仿真的用例相同。

借助某型飛機轉彎試驗臺進行了轉彎系統(tǒng)綜合試驗驗證。經驗證，在各異常觸發(fā)條件下，冗余邏輯狀態(tài)機工作正常，冗余切換邏輯功能正常，能夠完成主、備冗余及減擺模式之間的有效切換，符合預期設計。

5 結論

針對前輪轉彎系統(tǒng)外圍控制信號、轉彎指令輸入與反饋及核心控制等部件的冗余結構，設計和實現(xiàn)了的一種主、備冗余控制的單次切換邏輯狀態(tài)機，并在此基礎上進一步優(yōu)化為循環(huán)切換邏輯。借用Quartus 硬件設計與ModelSim 仿真工具，設計了涵蓋實際情況的多種測試用例，完成了主、備切換邏輯及其狀態(tài)機的仿真分析，較好的實現(xiàn)了冗余邏輯的有效切換工作。最后采用了軟件模擬故障注入的方式對系統(tǒng)主、備冗余切換邏輯進行了驗證用例設計，并在某型飛機轉彎試驗臺進行了綜合試驗。試驗結果表明，設計和實現(xiàn)的冗余切換邏輯有效的實現(xiàn)主、備控制通道的無縫切換，有效提升了系統(tǒng)的安全和可靠性能，對其他機型的前輪轉彎控制系統(tǒng)余度控制具有一定的借鑒意義。