李天為 石鵬飛 劉宏明

摘要：在民用飛機(jī)電傳飛控系統(tǒng)架構(gòu)設(shè)計(jì)中，安全性需求占據(jù)著至關(guān)重要的地位。本文介紹了民用飛機(jī)適航規(guī)范和行業(yè)準(zhǔn)則，梳理了系統(tǒng)架構(gòu)設(shè)計(jì)要求，從設(shè)計(jì)前的需求論證、設(shè)計(jì)中的權(quán)衡以及設(shè)計(jì)后的評估驗(yàn)證三個(gè)方面，對適航安全性在飛控系統(tǒng)架構(gòu)設(shè)計(jì)中的具體體現(xiàn)進(jìn)行了研究，并以滾轉(zhuǎn)軸（縱軸）基本控制功能為例，提出了滿足適航安全要求的設(shè)計(jì)考慮，為民用飛機(jī)電傳飛控系統(tǒng)架構(gòu)設(shè)計(jì)提供參考。

關(guān)鍵詞：民用飛機(jī)；電傳飛控系統(tǒng)；適航；安全性；架構(gòu)設(shè)計(jì)

中圖分類號(hào)：V249.1文獻(xiàn)標(biāo)識(shí)碼：ADOI：10.19452/j.issn1007-5453.2021.03.004

民用飛機(jī)從需求設(shè)計(jì)到試飛取證再到最終進(jìn)入市場，安全性是貫穿整個(gè)過程的重要需求，電傳飛控系統(tǒng)作為執(zhí)行飛行的主要控制設(shè)備，是決定飛機(jī)安全性的核心系統(tǒng)之一，其主要功能的失效或異常均會(huì)導(dǎo)致災(zāi)難性的事故。適航規(guī)范則針對安全性在飛機(jī)和機(jī)載設(shè)備的開發(fā)、制造、使用等方面提出了更多需求，對于系統(tǒng)研制中不同階段也提出了安全性方面的要求，包括需求捕獲、方案設(shè)計(jì)、分析與驗(yàn)證工作，這些階段之間緊密銜接，為飛機(jī)安全提供保障。因此，如何將適航要求體現(xiàn)在飛控系統(tǒng)架構(gòu)設(shè)計(jì)中，針對安全性需求的原則，在架構(gòu)權(quán)衡中提出相應(yīng)的解決方案，成為現(xiàn)代民機(jī)飛控系統(tǒng)設(shè)計(jì)與研制面對的首要問題。

本文介紹了民用飛機(jī)電傳飛控系統(tǒng)架構(gòu)設(shè)計(jì)中需要考慮的適航規(guī)范要求，并從設(shè)計(jì)前的需求論證、設(shè)計(jì)中的權(quán)衡以及設(shè)計(jì)后的評估驗(yàn)證三個(gè)方面進(jìn)行闡述，通過滾轉(zhuǎn)軸副翼控制功能為例，給出了滿足適航安全要求的設(shè)計(jì)考慮。

1民用飛機(jī)適航規(guī)范安全性要求

1.1民用飛機(jī)適航標(biāo)準(zhǔn)

中國民用航空規(guī)章第25部（CCAR 25）是我國對于大型運(yùn)輸類固定翼飛機(jī)進(jìn)行適航審核的標(biāo)準(zhǔn)，在1985年首次頒布以來，先后經(jīng)過4次修訂，目前廣泛使用的是CCAR 25-R4[1]版本，由中國民用航空局制定而成。本文所研究的電傳飛控系統(tǒng)屬于重要的機(jī)載系統(tǒng)，由于其具備高度復(fù)雜與綜合的特點(diǎn)，所以在設(shè)計(jì)中需要嚴(yán)格遵守民用航空規(guī)章CCAR 25的要求，其中第1309條對于機(jī)載系統(tǒng)設(shè)備提出了通用安全性要求，第671條對于飛機(jī)操縱系統(tǒng)提出了具體安全性要求，以下分別進(jìn)行介紹。

CCAR 25.1309對于大型民用飛機(jī)“設(shè)備、系統(tǒng)及安裝”提出了安全性適航通用要求，在機(jī)載設(shè)備與系統(tǒng)安全性設(shè)計(jì)中占據(jù)著重要地位。該條款不僅是飛機(jī)系統(tǒng)總體的要求，也是對機(jī)載系統(tǒng)（包括飛控系統(tǒng)）功能可靠性的要求，對飛機(jī)和系統(tǒng)的安全性目標(biāo)進(jìn)行了定義，規(guī)定了飛機(jī)某個(gè)單一系統(tǒng)或者多個(gè)系統(tǒng)同時(shí)考慮的情況下，對于可能發(fā)生的故障，需要滿足以下條件：（1）發(fā)生任何妨礙飛機(jī)繼續(xù)安全飛行與著陸的失效狀態(tài)的概率為極不可能；（2）發(fā)生任何降低飛機(jī)能力或機(jī)組處理不利運(yùn)行條件能力的其他失效狀態(tài)概率為不可能。

CCAR 25.671是飛機(jī)操縱系統(tǒng)的總綱要求，明確提出飛控系統(tǒng)架構(gòu)設(shè)計(jì)中應(yīng)當(dāng)注意的安全性問題。該條款提出操縱器件和操縱系統(tǒng)對應(yīng)其功能必須操作簡便、平穩(wěn)和確切的要求，當(dāng)一個(gè)操縱動(dòng)作發(fā)生時(shí)，不需要等待即可進(jìn)行下一個(gè)操縱動(dòng)作，這些動(dòng)作不需要機(jī)組成員全程保持關(guān)注，且不同的動(dòng)作順序都能夠滿足通用的操縱特性要求。對于電傳飛控系統(tǒng)，通過選取適當(dāng)?shù)牧悴考?yōu)化機(jī)械結(jié)構(gòu)，使座艙操縱機(jī)構(gòu)符合駕駛員習(xí)慣，滿足條款操作簡便的要求；選取合理的控制構(gòu)型并采用合適的控制律參數(shù)，保證操作平穩(wěn)的要求；飛行包線內(nèi)相鄰飛行狀態(tài)點(diǎn)之間操作特性連續(xù)，且差異不能過大，滿足操作確切的要求。

飛控操縱系統(tǒng)需要具備防差錯(cuò)功能，對于系統(tǒng)零部件要有明顯可辨的永久性標(biāo)記、外形尺寸差異以及機(jī)械接口差異，保證系統(tǒng)安裝過程中不產(chǎn)生差錯(cuò)情況；在安裝完成后加入測試與BIT環(huán)節(jié)，對整個(gè)系統(tǒng)進(jìn)行檢測，確保安裝過程的準(zhǔn)確。

對于飛行操縱系統(tǒng)在正常飛行包線內(nèi)產(chǎn)生故障情況后，不要特殊的駕駛技巧或體力，飛機(jī)仍能繼續(xù)安全飛行和著陸。而對于這些故障狀況，結(jié)合咨詢通告ARAC 25.671[3]文件，可以分為三類：

（1）針對飛機(jī)各種飛行階段產(chǎn)生的卡阻故障，包括操縱器件卡阻和舵面機(jī)構(gòu)卡阻，前者指駕駛盤/桿以及腳蹬的卡阻故障，后者分為舵面卡阻和閥卡阻兩類，舵面卡阻包括作動(dòng)器故障或者軸承卡死，會(huì)導(dǎo)致機(jī)械斷裂并引起故障；閥卡阻屬于機(jī)械故障，包括閥芯摩擦力偏大和異物卡塞等，會(huì)引起舵面非指令偏轉(zhuǎn)。

（2）除了卡阻故障以外，系統(tǒng)可能出現(xiàn)單一故障，且即便被證明為極不可能發(fā)生事件也要考慮，體現(xiàn)適航條款對安全性的高要求，這些單一故障包括水平安定面連接斷裂、舵面脫鉤導(dǎo)致顫振等。

（3）除了卡阻故障以外，系統(tǒng)可能出現(xiàn)組合故障，同時(shí)這些組合是未表明概率極小的情況，在AC 25.1309中定義“概率極小”的概率為10-9，則可以判斷該條款考慮到的是發(fā)生概率大于10-9的故障類型，咨詢通告中也給出了定量要求，規(guī)定在任何單一故障發(fā)生后，任何對于飛行安全有影響故障的綜合概率應(yīng)當(dāng)小于10-3（對第二次故障的安全裕度進(jìn)行檢查）[4]。

對于人工機(jī)械操縱的飛機(jī)，兩臺(tái)發(fā)動(dòng)機(jī)均失效導(dǎo)致動(dòng)力操縱系統(tǒng)失效，從而可以轉(zhuǎn)到機(jī)械操縱系統(tǒng)對飛機(jī)進(jìn)行控制；而對于本文所研究的電傳飛控系統(tǒng)，所有發(fā)動(dòng)機(jī)失效會(huì)造成飛機(jī)液壓系統(tǒng)和電源系統(tǒng)的丟失，這就需要在設(shè)計(jì)階段考慮備用的能源系統(tǒng)，從而保證飛機(jī)的可操縱性。在對應(yīng)的咨詢通告中，也給出了在飛機(jī)全發(fā)失效下，完成進(jìn)場并拉平著陸時(shí)應(yīng)該具備的操縱能力，為實(shí)際中出現(xiàn)發(fā)動(dòng)機(jī)故障，使飛機(jī)具備安全著陸的適航要求。

1.2高安全系統(tǒng)的過程規(guī)范

隨著航空技術(shù)不斷發(fā)展，為了在研發(fā)階段充分滿足CCAR 25.1309“極不可能”的要求，美國汽車工程師學(xué)會(huì)（SAE）發(fā)布了ARP 4754A《民用飛機(jī)系統(tǒng)研制指南》[5]，主要論述了飛機(jī)功能的系統(tǒng)和整機(jī)的研發(fā)流程，提供了一套基于系統(tǒng)工程、強(qiáng)調(diào)安全性的飛機(jī)系統(tǒng)設(shè)計(jì)過程，一共可以分為三個(gè)部分，分別是計(jì)劃過程、研發(fā)過程和綜合過程，它們互為包含、相互約束、彼此協(xié)調(diào)，覆蓋整個(gè)飛機(jī)系統(tǒng)研發(fā)生命周期[6]。文件規(guī)定在飛機(jī)系統(tǒng)設(shè)計(jì)中提前制訂可實(shí)施的計(jì)劃，嚴(yán)格遵守這些計(jì)劃進(jìn)行研發(fā)設(shè)計(jì)，同時(shí)并行開展安全性評估，制定研制保證等級（DAL），確保系統(tǒng)研制過程的規(guī)范性，降低研制中產(chǎn)生錯(cuò)誤的可能性。ARP 4754A通過對系統(tǒng)研發(fā)流程的定義，并規(guī)定安全性評估和制定研制保證等措施，減少錯(cuò)誤事件的發(fā)生，以滿足25.1309條款安全性的要求。

ARP 4761《民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備安全性評估過程指南和方法》[7]對于飛機(jī)系統(tǒng)研發(fā)周期中開展的安全性評估流程和分析方法提供了詳細(xì)的指南，其中安全性評估過程一般分為三個(gè)步驟：功能危險(xiǎn)性分析（FHA）、初步系統(tǒng)安全性評估（PSSA）和系統(tǒng)安全性評估（SSA）。前兩個(gè)步驟中，推薦使用故障樹分析法（FTA），通過布爾邏輯門表明故障影響與故障模式的關(guān)系，從頂層失效事件開始，系統(tǒng)地確定出所有可能的單一故障或者在較低層中能夠引起頂事件發(fā)生的系統(tǒng)功能失效組合，自上向下分層級依次展開，越往下分析過程就越詳細(xì)，直到找出主要事件或者滿足頂事件危險(xiǎn)源事件的需求。在SSA中，推薦使用故障模式以及影響分析法（FMEA），自底向上識(shí)別故障模式，分析其對于當(dāng)層以及更高層的影響。此外對于共因事件的分析應(yīng)當(dāng)貫穿整個(gè)流程。ARP 4761通過詳細(xì)的安全性評估技術(shù)規(guī)范，以系統(tǒng)的方式確定失效狀態(tài)，并提供安全性分析方法進(jìn)行論證，保證了系統(tǒng)能夠滿足25.1309“極不可能”的定性和定量要求。

此外，機(jī)載系統(tǒng)設(shè)備內(nèi)部電子硬件和軟件的詳細(xì)設(shè)計(jì)研發(fā)安全性要求則需要分別參考DO-254《機(jī)載電子硬件保證指南》和DO-178C《機(jī)載系統(tǒng)和設(shè)備合格審定中的軟件考慮》。以上過程規(guī)范文件之間的關(guān)系如圖1所示。這些適航規(guī)范共同協(xié)助技術(shù)人員對于飛控系統(tǒng)的開發(fā)以及局方的驗(yàn)證，確保最終設(shè)計(jì)出的飛機(jī)安全可靠。

2電傳飛控系統(tǒng)架構(gòu)設(shè)計(jì)前的需求論證

在系統(tǒng)架構(gòu)設(shè)計(jì)之前主要考慮兩個(gè)方面內(nèi)容，一個(gè)是飛控系統(tǒng)功能性能需求，另一個(gè)是飛控系統(tǒng)架構(gòu)安全性需求。

2.1飛控系統(tǒng)功能性能需求

電傳飛控系統(tǒng)功能的增多以及系統(tǒng)復(fù)雜度的提高，會(huì)增加設(shè)計(jì)中出現(xiàn)錯(cuò)誤或者非預(yù)期影響的可能性。由于安全是貫穿飛機(jī)全生命周期的重要因素，所以在設(shè)計(jì)之初應(yīng)該對整個(gè)系統(tǒng)進(jìn)行需求的定義和確認(rèn)，這樣才能保證飛控系統(tǒng)設(shè)計(jì)的高質(zhì)量和低錯(cuò)誤，達(dá)到適航安全的要求。按照ARP 4754A文件中要求，需求確認(rèn)的目的是保證需求的正確性和完整性[8]，依據(jù)確定的飛機(jī)級功能需求，逐級分解出系統(tǒng)級和部件級需求，保證每個(gè)層級需求的正確。同時(shí)考慮到需求自下而上的追溯性，即一個(gè)需求不僅可以從低層級追溯到上一層的某條需求，還能夠追溯到通過其衍生出來的一些設(shè)計(jì)需求，這樣可以確保較低層級的需求能夠滿足高一層級的需求，保證需求的完整。因此，飛控系統(tǒng)的功能需求通過飛機(jī)層面的功能需求分析得到。

飛機(jī)層面的功能一般由飛機(jī)主制造商提供，如飛機(jī)基本的三軸運(yùn)動(dòng)功能、長時(shí)間運(yùn)行功能、復(fù)雜環(huán)境地形下的安全功能、抗氣流飛行功能等，為了滿足這些飛機(jī)功能性能需求，飛控系統(tǒng)需要具備三軸基本控制、控制增穩(wěn)、包線保護(hù)等功能。本文以飛機(jī)滾轉(zhuǎn)通道為例，參照以上列出的飛機(jī)功能和要求，分析得出以下飛控系統(tǒng)滾轉(zhuǎn)軸功能需求。

（1）具備基本的橫向控制與增穩(wěn)功能

應(yīng)根據(jù)駕駛員控制指令和飛機(jī)狀態(tài)參數(shù)反饋進(jìn)行控制解算，并控制副翼偏轉(zhuǎn)，達(dá)到飛機(jī)橫向軸的目標(biāo)響應(yīng)。此外，系統(tǒng)還應(yīng)進(jìn)行擾流片控制，起到輔助滾轉(zhuǎn)的作用。

（2）具備控制指令接受和處理的功能

應(yīng)提供接受駕駛盤指令信號(hào)的輸入接口；應(yīng)對多余度駕駛盤位移信號(hào)進(jìn)行表決并剔除故障信號(hào)，若有多個(gè)駕駛盤則需要對之前表決后的指令進(jìn)行再表決，最終得到駕駛員滾轉(zhuǎn)操縱指令。

（3）具備接收和處理滾轉(zhuǎn)角和滾轉(zhuǎn)角速率反饋信號(hào)的功能

應(yīng)通過輸入接口獲得慣導(dǎo)系統(tǒng)和航姿系統(tǒng)傳來的控制反饋信號(hào)；應(yīng)對系統(tǒng)內(nèi)余度信號(hào)進(jìn)行表決，剔除故障信號(hào)并生成控制系統(tǒng)所需要的表決信號(hào)。

（4）具備滾轉(zhuǎn)角保持與保護(hù)功能

應(yīng)在飛機(jī)滾轉(zhuǎn)角處于安全范圍時(shí)，在無駕駛盤操縱指令輸入情況下具備姿態(tài)保持功能；應(yīng)在滾轉(zhuǎn)角超過安全范圍時(shí)，生成附加的控制指令，使得滾轉(zhuǎn)角回到安全范圍內(nèi)，達(dá)到姿態(tài)保護(hù)的目的。

（5）具備準(zhǔn)確傳送到對應(yīng)作動(dòng)控制器的功能

在飛行模態(tài)轉(zhuǎn)換時(shí)，能夠正確選擇舵面控制指令，并準(zhǔn)確傳送到對應(yīng)作動(dòng)控制器；應(yīng)當(dāng)具備淡化處理能力，防止飛機(jī)瞬態(tài)變化過大。

（6）具備良好的伺服和作動(dòng)器控制功能

能夠以指令和作動(dòng)筒位置的偏差作為誤差信號(hào)實(shí)施閉環(huán)控制；作動(dòng)控制器應(yīng)滿足穩(wěn)定儲(chǔ)備要求。

（7）具備一定的控制性能

應(yīng)設(shè)定不同程度駕駛盤操縱指令和舵面偏轉(zhuǎn)位置的對應(yīng)關(guān)系；應(yīng)對操縱信號(hào)到舵面偏轉(zhuǎn)的等效時(shí)間延遲進(jìn)行限制，以提升飛機(jī)橫向控制的飛行品質(zhì)。

2.2飛控系統(tǒng)架構(gòu)安全性需求

飛控系統(tǒng)架構(gòu)設(shè)計(jì)的核心是滿足相關(guān)安全性需求，而這些需求主要來源于兩個(gè)方面，一個(gè)是設(shè)計(jì)過程中需要滿足的適航規(guī)范，它們對于飛控系統(tǒng)架構(gòu)設(shè)計(jì)提出了安全性定量指標(biāo)以及避免共模故障、獨(dú)立性等規(guī)定；另一個(gè)是飛控系統(tǒng)功能危害度分析，也就是系統(tǒng)FHA，它對于系統(tǒng)架構(gòu)設(shè)計(jì)提出了最頂層安全性要求。

2.2.1適航規(guī)范的滿足

適航規(guī)范對于系統(tǒng)架構(gòu)安全性設(shè)計(jì)的要求，大致可以分為兩個(gè)方面[8]。

（1）系統(tǒng)可用性

要求系統(tǒng)在某個(gè)給定時(shí)刻仍然處于功能狀態(tài)，架構(gòu)設(shè)計(jì)中采用余度設(shè)計(jì)方法，通過增設(shè)系統(tǒng)余度通道，當(dāng)其中一個(gè)通道發(fā)生故障導(dǎo)致功能失效時(shí)，系統(tǒng)還能通過其他通道完成控制功能，有效提高整個(gè)系統(tǒng)的可用性。

（2）系統(tǒng)完整性

要求系統(tǒng)最終得到的結(jié)果準(zhǔn)確可信，架構(gòu)設(shè)計(jì)中采用增設(shè)監(jiān)控器的方式，對錯(cuò)誤信號(hào)或者故障部件及時(shí)識(shí)別并隔離，若隔離后對系統(tǒng)功能產(chǎn)生影響時(shí)，可以采用“故障容忍”策略，如迎角傳感器信號(hào)均失效后，通過其他傳感器信號(hào)重構(gòu)出迎角估計(jì)值；當(dāng)一片擾流板極偏后，通過其他舵面偏轉(zhuǎn)以抵消其對飛機(jī)產(chǎn)生的影響，從而保證系統(tǒng)的完整性。

由于余度設(shè)計(jì)是一種基于故障獨(dú)立性的假設(shè)，即所有可能發(fā)生的功能失效狀態(tài)是相互獨(dú)立的。而實(shí)際中，由于飛控系統(tǒng)的高綜合性，一些特定的單一事件或者起因，會(huì)導(dǎo)致系統(tǒng)中產(chǎn)生聯(lián)合故障，即兩個(gè)或多個(gè)系統(tǒng)或者部件失效的故障，使得多余度系統(tǒng)的可用性大大降低，所以對于這種共模故障，在系統(tǒng)設(shè)計(jì)中要遵循兩項(xiàng)原則。

（1）獨(dú)立性原則

在余度系統(tǒng)的基礎(chǔ)上，對不同通道之間進(jìn)行物理、電氣和功能上的隔離，使它們互相獨(dú)立，減少不同通道之間互相影響的可能，防止一個(gè)通道的故障蔓延到其他通道。

（2）非相似原則

對于多余度飛控系統(tǒng)，要盡量避免由于相同設(shè)計(jì)或者同批次部件組裝等問題導(dǎo)致全系統(tǒng)失效的情況，所以對能夠?qū)崿F(xiàn)同一種功能的不同余度通道，采用非相似設(shè)計(jì)實(shí)現(xiàn)，可以很好地抑制它們之間的共性故障。

2.2.2飛控系統(tǒng)功能危害度分析

根據(jù)ARP 4761中的要求，飛機(jī)安全性設(shè)計(jì)流程中的第一步就是FHA的建立，它對于新的設(shè)計(jì)構(gòu)型或者改進(jìn)設(shè)計(jì)方案提供了安全性要求，依據(jù)系統(tǒng)功能清單，識(shí)別各項(xiàng)功能的故障狀態(tài)，根據(jù)不同故障的嚴(yán)重程度進(jìn)行分類，為后面安全性分析提供定性和定量要求（見圖2）。

輸入的功能清單是飛控系統(tǒng)功能的集合，外部交聯(lián)指的是（電源、液壓源）航電系統(tǒng)、慣導(dǎo)系統(tǒng)、大氣系統(tǒng)等輸入到飛控系統(tǒng)的交聯(lián)功能框圖；功能危害性分析過程就是根據(jù)功能清單中各項(xiàng)功能，研究分析它們可能出現(xiàn)的失效狀態(tài)，如自身功能的喪失、與該功能有關(guān)部位的故障或者該部位做一些不希望的動(dòng)作等，然后進(jìn)行影響等級劃分和飛行階段確認(rèn)；最終輸出系統(tǒng)架構(gòu)設(shè)計(jì)的安全性需求，對于在功能識(shí)別等過程中做出的假設(shè)，需要在最終輸出物中進(jìn)行解決。

以飛機(jī)滾轉(zhuǎn)軸基本控制功能為例，簡要說明系統(tǒng)FHA分析的過程。

飛機(jī)滾轉(zhuǎn)運(yùn)動(dòng)主要依靠兩側(cè)副翼差動(dòng)偏轉(zhuǎn)完成，那么橫滾軸基本控制功能失效主要是因?yàn)楦币砜刂乒δ苁?，包括自身功能的喪失和舵面的故障?/p>

（1）對于副翼自身控制功能的喪失，除了飛機(jī)低速滑跑和停機(jī)階段以外，其他飛行階段均要考慮。由于飛機(jī)副翼有兩片，所以副翼基本控制功能喪失可以分為以下兩種：雙側(cè)副翼基本控制功能喪失，對于飛機(jī)滾轉(zhuǎn)能力大大降低，對于一些影響飛機(jī)正常飛行姿態(tài)的擾動(dòng)，飛機(jī)無法在一定時(shí)間內(nèi)糾正并恢復(fù)到自身飛行平衡，導(dǎo)致擾動(dòng)產(chǎn)生的影響不斷發(fā)散下去，最終造成機(jī)組成員無法正常操縱飛機(jī)飛行，對于機(jī)上人員安全造成威脅。單側(cè)副翼基本控制功能喪失，飛機(jī)會(huì)通過另一側(cè)完好的副翼來控制飛機(jī)平衡，降低了飛機(jī)安全裕度的同時(shí)，也增加了駕駛員操縱飛機(jī)飛行的負(fù)擔(dān)，但飛機(jī)不會(huì)失去平衡，也不會(huì)對機(jī)上成員造成危險(xiǎn)。

（2）對于飛機(jī)副翼故障產(chǎn)生的影響，在飛機(jī)全飛行階段都要考慮，故障類型可以分為控制系統(tǒng)卡阻、舵面非指令偏轉(zhuǎn)和振蕩超許可限制三類。這里只考慮單側(cè)副翼產(chǎn)生以上故障的情況，當(dāng)單側(cè)故障概率滿足要求時(shí)，雙側(cè)同時(shí)故障的概率必然滿足。以下依次進(jìn)行分析：單側(cè)副翼控制系統(tǒng)的卡阻，與單側(cè)副翼基本控制功能喪失產(chǎn)生的影響相似，飛機(jī)都可以通過另一側(cè)副翼保持平衡。單側(cè)副翼非指令偏轉(zhuǎn)超過許可限制，飛機(jī)會(huì)產(chǎn)生突發(fā)的滾轉(zhuǎn)力矩，可能導(dǎo)致飛機(jī)結(jié)構(gòu)受損，使得飛機(jī)難以控制而產(chǎn)生損毀等后果。單側(cè)副翼非指令振蕩超過許可限制，會(huì)讓飛機(jī)舵面來回振蕩，可能會(huì)對飛機(jī)結(jié)構(gòu)造成損壞，導(dǎo)致飛機(jī)失控。

綜上，可以得出滾轉(zhuǎn)軸基本控制功能對應(yīng)的FHA，見表1。

3電傳飛控系統(tǒng)架構(gòu)設(shè)計(jì)中的權(quán)衡

電傳飛行控制系統(tǒng)是指利用電氣信號(hào)形式，通過電線（電纜）實(shí)現(xiàn)駕駛員對飛機(jī)運(yùn)動(dòng)進(jìn)行操縱（控制）的飛行控制系統(tǒng)[10]，主要由座艙操縱系統(tǒng)、飛控電子系統(tǒng)和伺服作動(dòng)系統(tǒng)三部分組成。座艙操縱系統(tǒng)的駕駛柱/盤或腳蹬接收到駕駛員的操縱指令后，通過傳感器將操縱指令轉(zhuǎn)化為電信號(hào)并傳輸給飛控電子系統(tǒng)，飛控電子系統(tǒng)根據(jù)駕駛員的操縱指令，結(jié)合外部系統(tǒng)的反饋信息，進(jìn)行控制律解算處理，生成操縱面的控制指令，對作動(dòng)器位置進(jìn)行控制，從而驅(qū)動(dòng)相應(yīng)的操縱面偏轉(zhuǎn)[9-10]。

電傳飛控系統(tǒng)的核心是中間的飛控電子系統(tǒng)，也是系統(tǒng)控制與解算部分，一般包含接口處理單元、控制解算單元和伺服控制單元，由于系統(tǒng)包含眾多電子部件，所以需要配備電源調(diào)理與轉(zhuǎn)換模塊。由適航安全性要求可知，系統(tǒng)至少需要儲(chǔ)備兩種控制模式，包括正?？刂平馑隳Ｊ胶蛡浞菘刂平馑隳Ｊ?，它們分別通過接口處理單元獲取傳感器的指令，然后通過伺服控制單元把解算結(jié)果輸出到作動(dòng)器等執(zhí)行機(jī)構(gòu)，所有能量由電源模塊提供，最終形成的電傳飛控系統(tǒng)功能單元組成如圖3所示。

3.1可更換單元（LRU）組合形式的權(quán)衡

LRU是外場可更換單元的英文縮寫，是在規(guī)定的維修級別上可整體更換的產(chǎn)品，所以設(shè)計(jì)好LRU可以大大減少飛機(jī)維修期間的時(shí)間和物力成本?；谶m航和安全性的考慮，正?？刂平馑銌卧蛡浞菘刂平馑銌卧獞?yīng)當(dāng)相互獨(dú)立，在不同LRU中實(shí)現(xiàn)。對于其他單元，根據(jù)是否與對應(yīng)控制解算單元組合的原則，形成集成式和模塊化兩種劃分方式，前者的設(shè)計(jì)能夠更好滿足適航符合性中獨(dú)立性的要求，但重復(fù)的資源配置容易導(dǎo)致成本的提高和系統(tǒng)重量的增加，降低產(chǎn)品在民用航空市場競爭的能力。所以采用模塊化LRU設(shè)計(jì)方法，將不同功能單元按照獨(dú)立的LRU進(jìn)行設(shè)計(jì)，不僅有利于后期系統(tǒng)維護(hù)，而且能夠降低重復(fù)開發(fā)的消耗。在模塊化LRU設(shè)計(jì)中，主要考慮兩個(gè)方面內(nèi)容。

（1）確定系統(tǒng)中實(shí)現(xiàn)相同功能處理的單元，有利于減少成本和重量（質(zhì)量）。圖3中屬于共性功能單元的是接口處理單元、伺服控制單元和電源模塊。

（2）確定可以復(fù)用的單元，在以后的項(xiàng)目研發(fā)中可以重復(fù)利用，減少開發(fā)成本和適航工作量。圖3中屬于可復(fù)用單元的是伺服控制單元。

根據(jù)以上設(shè)計(jì)原則，將不可復(fù)用的單元在一定程度上實(shí)施組合，并考慮實(shí)際機(jī)箱尺寸和重量限制等因素，得出系統(tǒng)控制解算部分主要包含三種部件：（1）主飛控計(jì)算機(jī)（FCM）執(zhí)行正?？刂平馑愎δ埽唬?）備份飛控計(jì)算機(jī)（ACE）執(zhí)行接口處理和備份控制解算功能，并接受機(jī)上電源，經(jīng)過電磁濾波和調(diào)理后分發(fā)到其他設(shè)備；（3）作動(dòng)器控制電子（REU）負(fù)責(zé)作動(dòng)器的伺服控制。形成組合形式如圖4所示。

3.2系統(tǒng)控制設(shè)備布局的選擇

在模塊化LRU設(shè)計(jì)的基礎(chǔ)上，需要考慮飛控計(jì)算機(jī)和作動(dòng)系統(tǒng)的連接方式，可以分為集中式控制和分布式控制兩種方案。

集中式控制是將伺服控制單元整合在ACE中，再通過電纜分別控制不同位置的作動(dòng)器，如圖5所示。

分布式控制是對每臺(tái)作動(dòng)器配備了一臺(tái)REU，然后這些REU由飛控計(jì)算機(jī)通過數(shù)字總線進(jìn)行指令控制，如圖6所示。

對于大型民用飛機(jī)，一般采取分布式控制方案，因?yàn)橄啾扔诩惺娇刂?，增加的部件重量遠(yuǎn)遠(yuǎn)小于減少的電纜重量，可以減少飛機(jī)的燃油消耗，增大飛機(jī)航程，降低飛行成本；當(dāng)REU出現(xiàn)故障，分布式控制只需要針對性地對故障REU進(jìn)行維護(hù)和調(diào)換，而集中式控制需要更換整個(gè)ACE，并對所有與其相連的舵面重新進(jìn)行調(diào)試，工作量巨大；分布式模式下，REU可以作為作動(dòng)器的標(biāo)準(zhǔn)控制回路，更具備復(fù)用性。所以飛控系統(tǒng)采用分布式控制方案更佳。

3.3系統(tǒng)余度配置

系統(tǒng)余度配置的選擇，不僅需要滿足系統(tǒng)功能可靠度的要求，也要充分考慮經(jīng)濟(jì)性的影響。前者主要依靠系統(tǒng)FHA中對于不同失效狀態(tài)的定性和定量要求，后者則需要各通道盡可能采取同一類型設(shè)備，或者盡可能減少設(shè)備種類，同時(shí)各通道設(shè)備內(nèi)的資源利用率應(yīng)當(dāng)盡可能均衡。

（1）舵面作動(dòng)器余度配置

這里以飛機(jī)橫滾軸副翼基本控制通道為例，對副翼作動(dòng)器余度配置進(jìn)行分析。參考副翼基本控制功能對應(yīng)的FHA，其中要求雙側(cè)副翼基本控制功能喪失的概率小于10-9/FH，單側(cè)副翼控制功能失效的概率小于10-5/FH，同時(shí)作動(dòng)器、伺服控制以及液壓源等會(huì)導(dǎo)致單個(gè)作動(dòng)器失效的概率為10-3/FH～10-4/FH的等級，而且如果單個(gè)作動(dòng)器控制副翼舵面偏轉(zhuǎn)，具有單點(diǎn)故障的風(fēng)險(xiǎn)，在鉸鏈脫鉤的情況下會(huì)產(chǎn)生舵面非指令振蕩，這種失效狀況屬于災(zāi)難級別的。綜上，飛機(jī)每塊副翼配置兩臺(tái)作動(dòng)器，兩側(cè)一共4臺(tái)。

（2）FCM余度數(shù)確定

飛控計(jì)算機(jī)儲(chǔ)備著最完備狀態(tài)下的控制與解算部分，所以它的失效風(fēng)險(xiǎn)必須是最高級，即失效概率小于10-9/ FH。工程中根據(jù)以往經(jīng)驗(yàn)數(shù)據(jù)，一臺(tái)FCM失效概率大約為10-4/FH，這遠(yuǎn)遠(yuǎn)不能滿足系統(tǒng)整體的安全性需求。根據(jù)前文對于適航可行性的研究，飛控系統(tǒng)至少需要設(shè)置三臺(tái)FCM。針對副翼滾轉(zhuǎn)通道，以及成本等其他因素，采用三余度的FCM設(shè)計(jì)。

（3）ACE余度數(shù)確定

與FCM余度數(shù)要求一樣，ACE也至少需要配備三臺(tái)。根據(jù)不同模塊之間的連接情況，可知ACE與作動(dòng)器系統(tǒng)連接，由于副翼作動(dòng)器一共設(shè)置了4個(gè)，分布式控制布局讓每臺(tái)作動(dòng)器都擁有一臺(tái)REU，考慮到這些作動(dòng)器控制分配的方便，采用四余度的ACE設(shè)計(jì)，這樣每臺(tái)ACE都可以控制副翼的一臺(tái)作動(dòng)器，并滿足安全性要求。

3.4系統(tǒng)余度工作方式

系統(tǒng)在增加余度數(shù)的同時(shí)，也會(huì)帶來共模故障的影響，所以三臺(tái)FCM在設(shè)計(jì)中保證任意一臺(tái)都可以獨(dú)立完成運(yùn)行、解算和控制功能，在這種情況下，三臺(tái)計(jì)算機(jī)不需要同步進(jìn)行工作，考慮采用異步運(yùn)行的工作方式，表明不同余度通道之間互相的獨(dú)立性，符合適航中獨(dú)立原則的要求。

FCM的輸入信號(hào)由4臺(tái)ACE提供，在進(jìn)入控制律之前需要進(jìn)行表決，一般采用所有有效信號(hào)的中值或者均值。然后每臺(tái)FCM都會(huì)獨(dú)立輸出一個(gè)結(jié)果，為了保證所有ACE接收到的信號(hào)一致，對三臺(tái)FCM交叉通信并表決出控制信息資源最完整的并進(jìn)行標(biāo)記，然后ACE優(yōu)先選擇指令有效且被標(biāo)記的FCM輸出信號(hào)，并將其傳遞給作動(dòng)器。綜上，該飛控系統(tǒng)擁有以下兩種信息傳遞模式。

（1）正常模式

駕駛員操作指令通過總線傳遞給ACE，經(jīng)過表決傳遞給FCM，再加上其他、航電、慣導(dǎo)、大氣等系統(tǒng)得到的飛機(jī)狀態(tài)等反饋信息，輸入控制律進(jìn)行結(jié)算，控制結(jié)果通過ACE傳輸給REU控制作動(dòng)器做出相應(yīng)動(dòng)作。

（2）直接模式

當(dāng)FCM全部失效后，ACE獲取操縱指令不再傳輸給FCM，而是根據(jù)內(nèi)部備份控制解算部分直接生成作動(dòng)器控制指令。

3.5副翼滾轉(zhuǎn)通道架構(gòu)模型

以副翼滾轉(zhuǎn)通道為例，按照上面架構(gòu)設(shè)計(jì)中的決策，最終形成模型如圖7所示。

3.6架構(gòu)安全性的滿足

根據(jù)高安全系統(tǒng)的過程規(guī)范，系統(tǒng)在設(shè)計(jì)中必須考慮到架構(gòu)的可用性和完整性，以及對于共模故障抑制的考慮。

（1）可用性的滿足

系統(tǒng)多余度通道的設(shè)計(jì)滿足適航對于可用性的要求。

（2）完整性的滿足

按照適航完整性原則的要求，在基本架構(gòu)設(shè)計(jì)的基礎(chǔ)上，應(yīng)當(dāng)加入合適的監(jiān)控環(huán)節(jié)，從駕駛艙系統(tǒng)的指令輸入，到飛控計(jì)算機(jī)解算與控制，再到執(zhí)行機(jī)構(gòu)作動(dòng)器系統(tǒng)，所有部分都需要進(jìn)行故障檢測，對發(fā)現(xiàn)的故障進(jìn)行隔離切斷，讓系統(tǒng)能夠繼續(xù)使用其他余度通道的有效信息和資源進(jìn)行控制，最終達(dá)到適航“故障-安全”的要求。

尋找設(shè)置監(jiān)控器的位置，一般通過分析其是否能夠引起系統(tǒng)FHA中Ⅲ類故障以上的失效狀態(tài)。對于整個(gè)系統(tǒng)架構(gòu)層次，主要有輸入信號(hào)監(jiān)控、架構(gòu)監(jiān)控、伺服控制和作動(dòng)器監(jiān)控以及硬件狀態(tài)監(jiān)控，同時(shí)各個(gè)模塊內(nèi)部也需要設(shè)立相應(yīng)的自監(jiān)控。

（3）共模故障抑制措施

系統(tǒng)架構(gòu)設(shè)計(jì)中對于獨(dú)立原則的考慮有：所有具備余度數(shù)量的飛控電子產(chǎn)品均獨(dú)立或者分組安裝在不同機(jī)箱中；三臺(tái)FCM之間異步運(yùn)行機(jī)制，分別可以獨(dú)立進(jìn)行完整的控制解算功能；系統(tǒng)正常模式與直接模式分別在不同部件內(nèi)實(shí)現(xiàn)。

系統(tǒng)架構(gòu)設(shè)計(jì)中對于非相似原則的考慮有：正常與直接兩種工作模式采用不同方式實(shí)現(xiàn)，且它們的公共模塊REU采取非相似設(shè)計(jì)；模塊內(nèi)的指令支路與監(jiān)控支路采用不同的設(shè)計(jì)方案。

4電傳飛控系統(tǒng)架構(gòu)設(shè)計(jì)后的評估與驗(yàn)證

按照適航ARP 4754A/4761的要求，在系統(tǒng)架構(gòu)設(shè)計(jì)階段要進(jìn)行初步安全性評估與確認(rèn)（PSSA），將確定的安全性目標(biāo)（主要考慮系統(tǒng)FHA中Ⅰ類和Ⅱ類失效情況）作為安全性評估的頂層事件，采用故障樹分析（FTA）方法進(jìn)一步分解，對于設(shè)計(jì)好的系統(tǒng)架構(gòu)是否滿足頂層安全性要求進(jìn)行初步的確定，隨著系統(tǒng)架構(gòu)設(shè)計(jì)方案不斷地深入完善，PSSA分析也會(huì)逐漸向下分解至部件級層面，對各個(gè)層面的設(shè)計(jì)進(jìn)行安全性評估。

當(dāng)最底層軟/硬件設(shè)計(jì)完成后，進(jìn)入設(shè)計(jì)確認(rèn)和驗(yàn)證階段，即系統(tǒng)安全性分析（SSA），主要工作是通過故障模式以及影響分析（FMEA）系統(tǒng)性的自底向上方法，識(shí)別每一層面的故障模式對當(dāng)前層及更高層的影響，其定量分析結(jié)果將為SSA中的故障樹分析（基于PSSA的FTA）提供較低層級的事件信息，目的是驗(yàn)證設(shè)計(jì)好的飛控系統(tǒng)是否滿足FHA的要求以及PSSA的衍生需求。若不能滿足，則尋找問題根源并返回系統(tǒng)架構(gòu)進(jìn)行修改，這樣反復(fù)迭代，最終讓系統(tǒng)架構(gòu)滿足各項(xiàng)安全性要求。

5結(jié)束語

本文通過民用飛機(jī)適航規(guī)范對電傳飛控系統(tǒng)安全性設(shè)計(jì)的要求，從飛控系統(tǒng)功能性能需求入手，以滾轉(zhuǎn)軸基本控制功能為例，形成相應(yīng)系統(tǒng)FHA，并參考適航可用性、完整性以及共模故障抑制等要求，對飛控系統(tǒng)架構(gòu)進(jìn)行初步的權(quán)衡和設(shè)計(jì)考慮，最后簡要闡述了后續(xù)安全性評估與驗(yàn)證工作。

參考文獻(xiàn)

[1]CCAR-25-R4運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)[S].北京：中國民用航空局，2011. CCAR-25-R4Airworthiness standards of transport category aircraft[S]. Beijing：Civil Aviation Administration of China，2011.（in Chinese）

[2]AC 25.1309-1ASystem design and analysis[S]. USA：Federal AviationAdministration，1988.

[3]FAR/JAR 25.671. FCHWG-ARAC report[S]. USA：Federal AviationAdministration，2010.

[4]王偉達(dá).運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)CCAR-25.671（c）條款要求與分析[J].科技創(chuàng)新導(dǎo)報(bào)，2015，12（21）：10-11. Wang Weida. Analysis of airworthiness requirement and validations for CCAR-25.671（c） [J]. Science and Technology Innovation Herald，2015，12（21）：10-11.（in Chinese）

[5]SAE ARP 4754AGuidelines for development of civil aircraft and systems[S]. USA：SAEAerospace，2010.

[6]董銳，王平利.一種基于ARP 4754A的民機(jī)機(jī)載系統(tǒng)研制項(xiàng)目風(fēng)險(xiǎn)分析方法研究[J].航空科學(xué)技術(shù)，2019，30（12）：38-44. Dong Rui，Wang Pingli.Study of civil aircraft airborne system development project risk analysis method based on ARP 4754A[J].Aeronautical Science & Technology，2019，30（12）：38-44.（in Chinese）

[7]SAE ARP 4761 Safety assessment process guideline and methods[S]. USA：SAEAerospace，1996.

[8]沈迎春. ARP 4754A解讀[J].中國科技信息，2014（15）： 209-210. Shen Yingchun. Interpretation of ARP 4754A [J]. China Science and Technology Information， 2014（15）： 209-210. （in Chinese）

[9]石鵬飛，張航，陳潔.先進(jìn)民機(jī)飛控系統(tǒng)安全性設(shè)計(jì)考慮[J].航空科學(xué)技術(shù)，2019，30（12）：52-58.ShiPengfei， ZhangHang， ChenJie.Safetydesign considerations for advanced civil aircraft flight control system[J]. Aeronautical Science & Technology，2019，30（12）：52-58.（in Chinese）

[10]宋翔貴.電傳飛行控制系統(tǒng)[M].北京：國防工業(yè)出版社，2003. Song Xianggui. Fly-By-Wire flight control system[M]. Beijing： National Defence Industry Press， 2003. （in Chinese）

（責(zé)任編輯余培紅）

作者簡介

李天為（1996-）男，學(xué)士，碩士研究生。主要研究方向：飛行控制系統(tǒng)與安全性。

Tel：18691050581E-mail：2685327091@qq.com

Architecture Design Consideration of Fly-by-Wire Flight Control System for Civil Aircraft Based on Airworthiness and Safety

Li Tianwei*，Shi Pengfei，Liu Hongming

AVIC Flight Automatic Control Research Institution，Xian 710065，China

Abstract： Safety requirements play an important role in the architecture design of the fly-by-wire flight control system of civil aircraft. This paper introduces civil aircraft airworthiness standards and industry standards， and analyzes their requirements for system architecture design.The embodiments of airworthiness and safety in flight control system architecture design are studied from the following three aspects： requirements demonstration， design tradeoff and verification.Taking the basic control function of the roll axis as an example，the design considerations to meet the airworthiness and safety requirements are put forward， providing a reference for the architecture design of the fly-bywire flight control system of civil aircraft.

Key Words： civil aircraft； fly-by-wire flight control system； airworthiness； safety； architecture design