李天為 石鵬飛 劉宏明

摘要：在民用飛機電傳飛控系統(tǒng)架構(gòu)設(shè)計中，安全性需求占據(jù)著至關(guān)重要的地位。本文介紹了民用飛機適航規(guī)范和行業(yè)準則，梳理了系統(tǒng)架構(gòu)設(shè)計要求，從設(shè)計前的需求論證、設(shè)計中的權(quán)衡以及設(shè)計后的評估驗證三個方面，對適航安全性在飛控系統(tǒng)架構(gòu)設(shè)計中的具體體現(xiàn)進行了研究，并以滾轉(zhuǎn)軸（縱軸）基本控制功能為例，提出了滿足適航安全要求的設(shè)計考慮，為民用飛機電傳飛控系統(tǒng)架構(gòu)設(shè)計提供參考。

關(guān)鍵詞：民用飛機；電傳飛控系統(tǒng)；適航；安全性；架構(gòu)設(shè)計

中圖分類號：V249.1文獻標識碼：ADOI：10.19452/j.issn1007-5453.2021.03.004

民用飛機從需求設(shè)計到試飛取證再到最終進入市場，安全性是貫穿整個過程的重要需求，電傳飛控系統(tǒng)作為執(zhí)行飛行的主要控制設(shè)備，是決定飛機安全性的核心系統(tǒng)之一，其主要功能的失效或異常均會導(dǎo)致災(zāi)難性的事故。適航規(guī)范則針對安全性在飛機和機載設(shè)備的開發(fā)、制造、使用等方面提出了更多需求，對于系統(tǒng)研制中不同階段也提出了安全性方面的要求，包括需求捕獲、方案設(shè)計、分析與驗證工作，這些階段之間緊密銜接，為飛機安全提供保障。因此，如何將適航要求體現(xiàn)在飛控系統(tǒng)架構(gòu)設(shè)計中，針對安全性需求的原則，在架構(gòu)權(quán)衡中提出相應(yīng)的解決方案，成為現(xiàn)代民機飛控系統(tǒng)設(shè)計與研制面對的首要問題。

本文介紹了民用飛機電傳飛控系統(tǒng)架構(gòu)設(shè)計中需要考慮的適航規(guī)范要求，并從設(shè)計前的需求論證、設(shè)計中的權(quán)衡以及設(shè)計后的評估驗證三個方面進行闡述，通過滾轉(zhuǎn)軸副翼控制功能為例，給出了滿足適航安全要求的設(shè)計考慮。

1民用飛機適航規(guī)范安全性要求

1.1民用飛機適航標準

中國民用航空規(guī)章第25部（CCAR 25）是我國對于大型運輸類固定翼飛機進行適航審核的標準，在1985年首次頒布以來，先后經(jīng)過4次修訂，目前廣泛使用的是CCAR 25-R4[1]版本，由中國民用航空局制定而成。本文所研究的電傳飛控系統(tǒng)屬于重要的機載系統(tǒng)，由于其具備高度復(fù)雜與綜合的特點，所以在設(shè)計中需要嚴格遵守民用航空規(guī)章CCAR 25的要求，其中第1309條對于機載系統(tǒng)設(shè)備提出了通用安全性要求，第671條對于飛機操縱系統(tǒng)提出了具體安全性要求，以下分別進行介紹。

CCAR 25.1309對于大型民用飛機“設(shè)備、系統(tǒng)及安裝”提出了安全性適航通用要求，在機載設(shè)備與系統(tǒng)安全性設(shè)計中占據(jù)著重要地位。該條款不僅是飛機系統(tǒng)總體的要求，也是對機載系統(tǒng)（包括飛控系統(tǒng)）功能可靠性的要求，對飛機和系統(tǒng)的安全性目標進行了定義，規(guī)定了飛機某個單一系統(tǒng)或者多個系統(tǒng)同時考慮的情況下，對于可能發(fā)生的故障，需要滿足以下條件：（1）發(fā)生任何妨礙飛機繼續(xù)安全飛行與著陸的失效狀態(tài)的概率為極不可能；（2）發(fā)生任何降低飛機能力或機組處理不利運行條件能力的其他失效狀態(tài)概率為不可能。

CCAR 25.671是飛機操縱系統(tǒng)的總綱要求，明確提出飛控系統(tǒng)架構(gòu)設(shè)計中應(yīng)當注意的安全性問題。該條款提出操縱器件和操縱系統(tǒng)對應(yīng)其功能必須操作簡便、平穩(wěn)和確切的要求，當一個操縱動作發(fā)生時，不需要等待即可進行下一個操縱動作，這些動作不需要機組成員全程保持關(guān)注，且不同的動作順序都能夠滿足通用的操縱特性要求。對于電傳飛控系統(tǒng)，通過選取適當?shù)牧悴考?yōu)化機械結(jié)構(gòu)，使座艙操縱機構(gòu)符合駕駛員習(xí)慣，滿足條款操作簡便的要求；選取合理的控制構(gòu)型并采用合適的控制律參數(shù)，保證操作平穩(wěn)的要求；飛行包線內(nèi)相鄰飛行狀態(tài)點之間操作特性連續(xù)，且差異不能過大，滿足操作確切的要求。

飛控操縱系統(tǒng)需要具備防差錯功能，對于系統(tǒng)零部件要有明顯可辨的永久性標記、外形尺寸差異以及機械接口差異，保證系統(tǒng)安裝過程中不產(chǎn)生差錯情況；在安裝完成后加入測試與BIT環(huán)節(jié)，對整個系統(tǒng)進行檢測，確保安裝過程的準確。

對于飛行操縱系統(tǒng)在正常飛行包線內(nèi)產(chǎn)生故障情況后，不要特殊的駕駛技巧或體力，飛機仍能繼續(xù)安全飛行和著陸。而對于這些故障狀況，結(jié)合咨詢通告ARAC 25.671[3]文件，可以分為三類：

（1）針對飛機各種飛行階段產(chǎn)生的卡阻故障，包括操縱器件卡阻和舵面機構(gòu)卡阻，前者指駕駛盤/桿以及腳蹬的卡阻故障，后者分為舵面卡阻和閥卡阻兩類，舵面卡阻包括作動器故障或者軸承卡死，會導(dǎo)致機械斷裂并引起故障；閥卡阻屬于機械故障，包括閥芯摩擦力偏大和異物卡塞等，會引起舵面非指令偏轉(zhuǎn)。

（2）除了卡阻故障以外，系統(tǒng)可能出現(xiàn)單一故障，且即便被證明為極不可能發(fā)生事件也要考慮，體現(xiàn)適航條款對安全性的高要求，這些單一故障包括水平安定面連接斷裂、舵面脫鉤導(dǎo)致顫振等。

（3）除了卡阻故障以外，系統(tǒng)可能出現(xiàn)組合故障，同時這些組合是未表明概率極小的情況，在AC 25.1309中定義“概率極小”的概率為10-9，則可以判斷該條款考慮到的是發(fā)生概率大于10-9的故障類型，咨詢通告中也給出了定量要求，規(guī)定在任何單一故障發(fā)生后，任何對于飛行安全有影響故障的綜合概率應(yīng)當小于10-3（對第二次故障的安全裕度進行檢查）[4]。

對于人工機械操縱的飛機，兩臺發(fā)動機均失效導(dǎo)致動力操縱系統(tǒng)失效，從而可以轉(zhuǎn)到機械操縱系統(tǒng)對飛機進行控制；而對于本文所研究的電傳飛控系統(tǒng)，所有發(fā)動機失效會造成飛機液壓系統(tǒng)和電源系統(tǒng)的丟失，這就需要在設(shè)計階段考慮備用的能源系統(tǒng)，從而保證飛機的可操縱性。在對應(yīng)的咨詢通告中，也給出了在飛機全發(fā)失效下，完成進場并拉平著陸時應(yīng)該具備的操縱能力，為實際中出現(xiàn)發(fā)動機故障，使飛機具備安全著陸的適航要求。

1.2高安全系統(tǒng)的過程規(guī)范

隨著航空技術(shù)不斷發(fā)展，為了在研發(fā)階段充分滿足CCAR 25.1309“極不可能”的要求，美國汽車工程師學(xué)會（SAE）發(fā)布了ARP 4754A《民用飛機系統(tǒng)研制指南》[5]，主要論述了飛機功能的系統(tǒng)和整機的研發(fā)流程，提供了一套基于系統(tǒng)工程、強調(diào)安全性的飛機系統(tǒng)設(shè)計過程，一共可以分為三個部分，分別是計劃過程、研發(fā)過程和綜合過程，它們互為包含、相互約束、彼此協(xié)調(diào)，覆蓋整個飛機系統(tǒng)研發(fā)生命周期[6]。文件規(guī)定在飛機系統(tǒng)設(shè)計中提前制訂可實施的計劃，嚴格遵守這些計劃進行研發(fā)設(shè)計，同時并行開展安全性評估，制定研制保證等級（DAL），確保系統(tǒng)研制過程的規(guī)范性，降低研制中產(chǎn)生錯誤的可能性。ARP 4754A通過對系統(tǒng)研發(fā)流程的定義，并規(guī)定安全性評估和制定研制保證等措施，減少錯誤事件的發(fā)生，以滿足25.1309條款安全性的要求。

ARP 4761《民用飛機機載系統(tǒng)和設(shè)備安全性評估過程指南和方法》[7]對于飛機系統(tǒng)研發(fā)周期中開展的安全性評估流程和分析方法提供了詳細的指南，其中安全性評估過程一般分為三個步驟：功能危險性分析（FHA）、初步系統(tǒng)安全性評估（PSSA）和系統(tǒng)安全性評估（SSA）。前兩個步驟中，推薦使用故障樹分析法（FTA），通過布爾邏輯門表明故障影響與故障模式的關(guān)系，從頂層失效事件開始，系統(tǒng)地確定出所有可能的單一故障或者在較低層中能夠引起頂事件發(fā)生的系統(tǒng)功能失效組合，自上向下分層級依次展開，越往下分析過程就越詳細，直到找出主要事件或者滿足頂事件危險源事件的需求。在SSA中，推薦使用故障模式以及影響分析法（FMEA），自底向上識別故障模式，分析其對于當層以及更高層的影響。此外對于共因事件的分析應(yīng)當貫穿整個流程。ARP 4761通過詳細的安全性評估技術(shù)規(guī)范，以系統(tǒng)的方式確定失效狀態(tài)，并提供安全性分析方法進行論證，保證了系統(tǒng)能夠滿足25.1309“極不可能”的定性和定量要求。

此外，機載系統(tǒng)設(shè)備內(nèi)部電子硬件和軟件的詳細設(shè)計研發(fā)安全性要求則需要分別參考DO-254《機載電子硬件保證指南》和DO-178C《機載系統(tǒng)和設(shè)備合格審定中的軟件考慮》。以上過程規(guī)范文件之間的關(guān)系如圖1所示。這些適航規(guī)范共同協(xié)助技術(shù)人員對于飛控系統(tǒng)的開發(fā)以及局方的驗證，確保最終設(shè)計出的飛機安全可靠。

2電傳飛控系統(tǒng)架構(gòu)設(shè)計前的需求論證

在系統(tǒng)架構(gòu)設(shè)計之前主要考慮兩個方面內(nèi)容，一個是飛控系統(tǒng)功能性能需求，另一個是飛控系統(tǒng)架構(gòu)安全性需求。

2.1飛控系統(tǒng)功能性能需求

電傳飛控系統(tǒng)功能的增多以及系統(tǒng)復(fù)雜度的提高，會增加設(shè)計中出現(xiàn)錯誤或者非預(yù)期影響的可能性。由于安全是貫穿飛機全生命周期的重要因素，所以在設(shè)計之初應(yīng)該對整個系統(tǒng)進行需求的定義和確認，這樣才能保證飛控系統(tǒng)設(shè)計的高質(zhì)量和低錯誤，達到適航安全的要求。按照ARP 4754A文件中要求，需求確認的目的是保證需求的正確性和完整性[8]，依據(jù)確定的飛機級功能需求，逐級分解出系統(tǒng)級和部件級需求，保證每個層級需求的正確。同時考慮到需求自下而上的追溯性，即一個需求不僅可以從低層級追溯到上一層的某條需求，還能夠追溯到通過其衍生出來的一些設(shè)計需求，這樣可以確保較低層級的需求能夠滿足高一層級的需求，保證需求的完整。因此，飛控系統(tǒng)的功能需求通過飛機層面的功能需求分析得到。

飛機層面的功能一般由飛機主制造商提供，如飛機基本的三軸運動功能、長時間運行功能、復(fù)雜環(huán)境地形下的安全功能、抗氣流飛行功能等，為了滿足這些飛機功能性能需求，飛控系統(tǒng)需要具備三軸基本控制、控制增穩(wěn)、包線保護等功能。本文以飛機滾轉(zhuǎn)通道為例，參照以上列出的飛機功能和要求，分析得出以下飛控系統(tǒng)滾轉(zhuǎn)軸功能需求。

（1）具備基本的橫向控制與增穩(wěn)功能

應(yīng)根據(jù)駕駛員控制指令和飛機狀態(tài)參數(shù)反饋進行控制解算，并控制副翼偏轉(zhuǎn)，達到飛機橫向軸的目標響應(yīng)。此外，系統(tǒng)還應(yīng)進行擾流片控制，起到輔助滾轉(zhuǎn)的作用。

（2）具備控制指令接受和處理的功能

應(yīng)提供接受駕駛盤指令信號的輸入接口；應(yīng)對多余度駕駛盤位移信號進行表決并剔除故障信號，若有多個駕駛盤則需要對之前表決后的指令進行再表決，最終得到駕駛員滾轉(zhuǎn)操縱指令。

（3）具備接收和處理滾轉(zhuǎn)角和滾轉(zhuǎn)角速率反饋信號的功能

應(yīng)通過輸入接口獲得慣導(dǎo)系統(tǒng)和航姿系統(tǒng)傳來的控制反饋信號；應(yīng)對系統(tǒng)內(nèi)余度信號進行表決，剔除故障信號并生成控制系統(tǒng)所需要的表決信號。

（4）具備滾轉(zhuǎn)角保持與保護功能

應(yīng)在飛機滾轉(zhuǎn)角處于安全范圍時，在無駕駛盤操縱指令輸入情況下具備姿態(tài)保持功能；應(yīng)在滾轉(zhuǎn)角超過安全范圍時，生成附加的控制指令，使得滾轉(zhuǎn)角回到安全范圍內(nèi)，達到姿態(tài)保護的目的。

（5）具備準確傳送到對應(yīng)作動控制器的功能

在飛行模態(tài)轉(zhuǎn)換時，能夠正確選擇舵面控制指令，并準確傳送到對應(yīng)作動控制器；應(yīng)當具備淡化處理能力，防止飛機瞬態(tài)變化過大。

（6）具備良好的伺服和作動器控制功能

能夠以指令和作動筒位置的偏差作為誤差信號實施閉環(huán)控制；作動控制器應(yīng)滿足穩(wěn)定儲備要求。

（7）具備一定的控制性能

應(yīng)設(shè)定不同程度駕駛盤操縱指令和舵面偏轉(zhuǎn)位置的對應(yīng)關(guān)系；應(yīng)對操縱信號到舵面偏轉(zhuǎn)的等效時間延遲進行限制，以提升飛機橫向控制的飛行品質(zhì)。

2.2飛控系統(tǒng)架構(gòu)安全性需求

飛控系統(tǒng)架構(gòu)設(shè)計的核心是滿足相關(guān)安全性需求，而這些需求主要來源于兩個方面，一個是設(shè)計過程中需要滿足的適航規(guī)范，它們對于飛控系統(tǒng)架構(gòu)設(shè)計提出了安全性定量指標以及避免共模故障、獨立性等規(guī)定；另一個是飛控系統(tǒng)功能危害度分析，也就是系統(tǒng)FHA，它對于系統(tǒng)架構(gòu)設(shè)計提出了最頂層安全性要求。

2.2.1適航規(guī)范的滿足

適航規(guī)范對于系統(tǒng)架構(gòu)安全性設(shè)計的要求，大致可以分為兩個方面[8]。

（1）系統(tǒng)可用性

要求系統(tǒng)在某個給定時刻仍然處于功能狀態(tài)，架構(gòu)設(shè)計中采用余度設(shè)計方法，通過增設(shè)系統(tǒng)余度通道，當其中一個通道發(fā)生故障導(dǎo)致功能失效時，系統(tǒng)還能通過其他通道完成控制功能，有效提高整個系統(tǒng)的可用性。

（2）系統(tǒng)完整性

要求系統(tǒng)最終得到的結(jié)果準確可信，架構(gòu)設(shè)計中采用增設(shè)監(jiān)控器的方式，對錯誤信號或者故障部件及時識別并隔離，若隔離后對系統(tǒng)功能產(chǎn)生影響時，可以采用“故障容忍”策略，如迎角傳感器信號均失效后，通過其他傳感器信號重構(gòu)出迎角估計值；當一片擾流板極偏后，通過其他舵面偏轉(zhuǎn)以抵消其對飛機產(chǎn)生的影響，從而保證系統(tǒng)的完整性。

由于余度設(shè)計是一種基于故障獨立性的假設(shè)，即所有可能發(fā)生的功能失效狀態(tài)是相互獨立的。而實際中，由于飛控系統(tǒng)的高綜合性，一些特定的單一事件或者起因，會導(dǎo)致系統(tǒng)中產(chǎn)生聯(lián)合故障，即兩個或多個系統(tǒng)或者部件失效的故障，使得多余度系統(tǒng)的可用性大大降低，所以對于這種共模故障，在系統(tǒng)設(shè)計中要遵循兩項原則。

（1）獨立性原則

在余度系統(tǒng)的基礎(chǔ)上，對不同通道之間進行物理、電氣和功能上的隔離，使它們互相獨立，減少不同通道之間互相影響的可能，防止一個通道的故障蔓延到其他通道。

（2）非相似原則

對于多余度飛控系統(tǒng)，要盡量避免由于相同設(shè)計或者同批次部件組裝等問題導(dǎo)致全系統(tǒng)失效的情況，所以對能夠?qū)崿F(xiàn)同一種功能的不同余度通道，采用非相似設(shè)計實現(xiàn)，可以很好地抑制它們之間的共性故障。

2.2.2飛控系統(tǒng)功能危害度分析

根據(jù)ARP 4761中的要求，飛機安全性設(shè)計流程中的第一步就是FHA的建立，它對于新的設(shè)計構(gòu)型或者改進設(shè)計方案提供了安全性要求，依據(jù)系統(tǒng)功能清單，識別各項功能的故障狀態(tài)，根據(jù)不同故障的嚴重程度進行分類，為后面安全性分析提供定性和定量要求（見圖2）。

輸入的功能清單是飛控系統(tǒng)功能的集合，外部交聯(lián)指的是（電源、液壓源）航電系統(tǒng)、慣導(dǎo)系統(tǒng)、大氣系統(tǒng)等輸入到飛控系統(tǒng)的交聯(lián)功能框圖；功能危害性分析過程就是根據(jù)功能清單中各項功能，研究分析它們可能出現(xiàn)的失效狀態(tài)，如自身功能的喪失、與該功能有關(guān)部位的故障或者該部位做一些不希望的動作等，然后進行影響等級劃分和飛行階段確認；最終輸出系統(tǒng)架構(gòu)設(shè)計的安全性需求，對于在功能識別等過程中做出的假設(shè)，需要在最終輸出物中進行解決。

以飛機滾轉(zhuǎn)軸基本控制功能為例，簡要說明系統(tǒng)FHA分析的過程。

飛機滾轉(zhuǎn)運動主要依靠兩側(cè)副翼差動偏轉(zhuǎn)完成，那么橫滾軸基本控制功能失效主要是因為副翼控制功能失效，包括自身功能的喪失和舵面的故障。

（1）對于副翼自身控制功能的喪失，除了飛機低速滑跑和停機階段以外，其他飛行階段均要考慮。由于飛機副翼有兩片，所以副翼基本控制功能喪失可以分為以下兩種：雙側(cè)副翼基本控制功能喪失，對于飛機滾轉(zhuǎn)能力大大降低，對于一些影響飛機正常飛行姿態(tài)的擾動，飛機無法在一定時間內(nèi)糾正并恢復(fù)到自身飛行平衡，導(dǎo)致擾動產(chǎn)生的影響不斷發(fā)散下去，最終造成機組成員無法正常操縱飛機飛行，對于機上人員安全造成威脅。單側(cè)副翼基本控制功能喪失，飛機會通過另一側(cè)完好的副翼來控制飛機平衡，降低了飛機安全裕度的同時，也增加了駕駛員操縱飛機飛行的負擔，但飛機不會失去平衡，也不會對機上成員造成危險。

（2）對于飛機副翼故障產(chǎn)生的影響，在飛機全飛行階段都要考慮，故障類型可以分為控制系統(tǒng)卡阻、舵面非指令偏轉(zhuǎn)和振蕩超許可限制三類。這里只考慮單側(cè)副翼產(chǎn)生以上故障的情況，當單側(cè)故障概率滿足要求時，雙側(cè)同時故障的概率必然滿足。以下依次進行分析：單側(cè)副翼控制系統(tǒng)的卡阻，與單側(cè)副翼基本控制功能喪失產(chǎn)生的影響相似，飛機都可以通過另一側(cè)副翼保持平衡。單側(cè)副翼非指令偏轉(zhuǎn)超過許可限制，飛機會產(chǎn)生突發(fā)的滾轉(zhuǎn)力矩，可能導(dǎo)致飛機結(jié)構(gòu)受損，使得飛機難以控制而產(chǎn)生損毀等后果。單側(cè)副翼非指令振蕩超過許可限制，會讓飛機舵面來回振蕩，可能會對飛機結(jié)構(gòu)造成損壞，導(dǎo)致飛機失控。

綜上，可以得出滾轉(zhuǎn)軸基本控制功能對應(yīng)的FHA，見表1。

3電傳飛控系統(tǒng)架構(gòu)設(shè)計中的權(quán)衡

電傳飛行控制系統(tǒng)是指利用電氣信號形式，通過電線（電纜）實現(xiàn)駕駛員對飛機運動進行操縱（控制）的飛行控制系統(tǒng)[10]，主要由座艙操縱系統(tǒng)、飛控電子系統(tǒng)和伺服作動系統(tǒng)三部分組成。座艙操縱系統(tǒng)的駕駛柱/盤或腳蹬接收到駕駛員的操縱指令后，通過傳感器將操縱指令轉(zhuǎn)化為電信號并傳輸給飛控電子系統(tǒng)，飛控電子系統(tǒng)根據(jù)駕駛員的操縱指令，結(jié)合外部系統(tǒng)的反饋信息，進行控制律解算處理，生成操縱面的控制指令，對作動器位置進行控制，從而驅(qū)動相應(yīng)的操縱面偏轉(zhuǎn)[9-10]。

電傳飛控系統(tǒng)的核心是中間的飛控電子系統(tǒng)，也是系統(tǒng)控制與解算部分，一般包含接口處理單元、控制解算單元和伺服控制單元，由于系統(tǒng)包含眾多電子部件，所以需要配備電源調(diào)理與轉(zhuǎn)換模塊。由適航安全性要求可知，系統(tǒng)至少需要儲備兩種控制模式，包括正常控制解算模式和備份控制解算模式，它們分別通過接口處理單元獲取傳感器的指令，然后通過伺服控制單元把解算結(jié)果輸出到作動器等執(zhí)行機構(gòu)，所有能量由電源模塊提供，最終形成的電傳飛控系統(tǒng)功能單元組成如圖3所示。

3.1可更換單元（LRU）組合形式的權(quán)衡

LRU是外場可更換單元的英文縮寫，是在規(guī)定的維修級別上可整體更換的產(chǎn)品，所以設(shè)計好LRU可以大大減少飛機維修期間的時間和物力成本?；谶m航和安全性的考慮，正?？刂平馑銌卧蛡浞菘刂平馑銌卧獞?yīng)當相互獨立，在不同LRU中實現(xiàn)。對于其他單元，根據(jù)是否與對應(yīng)控制解算單元組合的原則，形成集成式和模塊化兩種劃分方式，前者的設(shè)計能夠更好滿足適航符合性中獨立性的要求，但重復(fù)的資源配置容易導(dǎo)致成本的提高和系統(tǒng)重量的增加，降低產(chǎn)品在民用航空市場競爭的能力。所以采用模塊化LRU設(shè)計方法，將不同功能單元按照獨立的LRU進行設(shè)計，不僅有利于后期系統(tǒng)維護，而且能夠降低重復(fù)開發(fā)的消耗。在模塊化LRU設(shè)計中，主要考慮兩個方面內(nèi)容。

（1）確定系統(tǒng)中實現(xiàn)相同功能處理的單元，有利于減少成本和重量（質(zhì)量）。圖3中屬于共性功能單元的是接口處理單元、伺服控制單元和電源模塊。

（2）確定可以復(fù)用的單元，在以后的項目研發(fā)中可以重復(fù)利用，減少開發(fā)成本和適航工作量。圖3中屬于可復(fù)用單元的是伺服控制單元。

根據(jù)以上設(shè)計原則，將不可復(fù)用的單元在一定程度上實施組合，并考慮實際機箱尺寸和重量限制等因素，得出系統(tǒng)控制解算部分主要包含三種部件：（1）主飛控計算機（FCM）執(zhí)行正常控制解算功能；（2）備份飛控計算機（ACE）執(zhí)行接口處理和備份控制解算功能，并接受機上電源，經(jīng)過電磁濾波和調(diào)理后分發(fā)到其他設(shè)備；（3）作動器控制電子（REU）負責(zé)作動器的伺服控制。形成組合形式如圖4所示。

3.2系統(tǒng)控制設(shè)備布局的選擇

在模塊化LRU設(shè)計的基礎(chǔ)上，需要考慮飛控計算機和作動系統(tǒng)的連接方式，可以分為集中式控制和分布式控制兩種方案。

集中式控制是將伺服控制單元整合在ACE中，再通過電纜分別控制不同位置的作動器，如圖5所示。

分布式控制是對每臺作動器配備了一臺REU，然后這些REU由飛控計算機通過數(shù)字總線進行指令控制，如圖6所示。

對于大型民用飛機，一般采取分布式控制方案，因為相比于集中式控制，增加的部件重量遠遠小于減少的電纜重量，可以減少飛機的燃油消耗，增大飛機航程，降低飛行成本；當REU出現(xiàn)故障，分布式控制只需要針對性地對故障REU進行維護和調(diào)換，而集中式控制需要更換整個ACE，并對所有與其相連的舵面重新進行調(diào)試，工作量巨大；分布式模式下，REU可以作為作動器的標準控制回路，更具備復(fù)用性。所以飛控系統(tǒng)采用分布式控制方案更佳。

3.3系統(tǒng)余度配置

系統(tǒng)余度配置的選擇，不僅需要滿足系統(tǒng)功能可靠度的要求，也要充分考慮經(jīng)濟性的影響。前者主要依靠系統(tǒng)FHA中對于不同失效狀態(tài)的定性和定量要求，后者則需要各通道盡可能采取同一類型設(shè)備，或者盡可能減少設(shè)備種類，同時各通道設(shè)備內(nèi)的資源利用率應(yīng)當盡可能均衡。

（1）舵面作動器余度配置

這里以飛機橫滾軸副翼基本控制通道為例，對副翼作動器余度配置進行分析。參考副翼基本控制功能對應(yīng)的FHA，其中要求雙側(cè)副翼基本控制功能喪失的概率小于10-9/FH，單側(cè)副翼控制功能失效的概率小于10-5/FH，同時作動器、伺服控制以及液壓源等會導(dǎo)致單個作動器失效的概率為10-3/FH～10-4/FH的等級，而且如果單個作動器控制副翼舵面偏轉(zhuǎn)，具有單點故障的風(fēng)險，在鉸鏈脫鉤的情況下會產(chǎn)生舵面非指令振蕩，這種失效狀況屬于災(zāi)難級別的。綜上，飛機每塊副翼配置兩臺作動器，兩側(cè)一共4臺。

（2）FCM余度數(shù)確定

飛控計算機儲備著最完備狀態(tài)下的控制與解算部分，所以它的失效風(fēng)險必須是最高級，即失效概率小于10-9/ FH。工程中根據(jù)以往經(jīng)驗數(shù)據(jù)，一臺FCM失效概率大約為10-4/FH，這遠遠不能滿足系統(tǒng)整體的安全性需求。根據(jù)前文對于適航可行性的研究，飛控系統(tǒng)至少需要設(shè)置三臺FCM。針對副翼滾轉(zhuǎn)通道，以及成本等其他因素，采用三余度的FCM設(shè)計。

（3）ACE余度數(shù)確定

與FCM余度數(shù)要求一樣，ACE也至少需要配備三臺。根據(jù)不同模塊之間的連接情況，可知ACE與作動器系統(tǒng)連接，由于副翼作動器一共設(shè)置了4個，分布式控制布局讓每臺作動器都擁有一臺REU，考慮到這些作動器控制分配的方便，采用四余度的ACE設(shè)計，這樣每臺ACE都可以控制副翼的一臺作動器，并滿足安全性要求。

3.4系統(tǒng)余度工作方式

系統(tǒng)在增加余度數(shù)的同時，也會帶來共模故障的影響，所以三臺FCM在設(shè)計中保證任意一臺都可以獨立完成運行、解算和控制功能，在這種情況下，三臺計算機不需要同步進行工作，考慮采用異步運行的工作方式，表明不同余度通道之間互相的獨立性，符合適航中獨立原則的要求。

FCM的輸入信號由4臺ACE提供，在進入控制律之前需要進行表決，一般采用所有有效信號的中值或者均值。然后每臺FCM都會獨立輸出一個結(jié)果，為了保證所有ACE接收到的信號一致，對三臺FCM交叉通信并表決出控制信息資源最完整的并進行標記，然后ACE優(yōu)先選擇指令有效且被標記的FCM輸出信號，并將其傳遞給作動器。綜上，該飛控系統(tǒng)擁有以下兩種信息傳遞模式。

（1）正常模式

駕駛員操作指令通過總線傳遞給ACE，經(jīng)過表決傳遞給FCM，再加上其他、航電、慣導(dǎo)、大氣等系統(tǒng)得到的飛機狀態(tài)等反饋信息，輸入控制律進行結(jié)算，控制結(jié)果通過ACE傳輸給REU控制作動器做出相應(yīng)動作。

（2）直接模式

當FCM全部失效后，ACE獲取操縱指令不再傳輸給FCM，而是根據(jù)內(nèi)部備份控制解算部分直接生成作動器控制指令。

3.5副翼滾轉(zhuǎn)通道架構(gòu)模型

以副翼滾轉(zhuǎn)通道為例，按照上面架構(gòu)設(shè)計中的決策，最終形成模型如圖7所示。

3.6架構(gòu)安全性的滿足

根據(jù)高安全系統(tǒng)的過程規(guī)范，系統(tǒng)在設(shè)計中必須考慮到架構(gòu)的可用性和完整性，以及對于共模故障抑制的考慮。

（1）可用性的滿足

系統(tǒng)多余度通道的設(shè)計滿足適航對于可用性的要求。

（2）完整性的滿足

按照適航完整性原則的要求，在基本架構(gòu)設(shè)計的基礎(chǔ)上，應(yīng)當加入合適的監(jiān)控環(huán)節(jié)，從駕駛艙系統(tǒng)的指令輸入，到飛控計算機解算與控制，再到執(zhí)行機構(gòu)作動器系統(tǒng)，所有部分都需要進行故障檢測，對發(fā)現(xiàn)的故障進行隔離切斷，讓系統(tǒng)能夠繼續(xù)使用其他余度通道的有效信息和資源進行控制，最終達到適航“故障-安全”的要求。

尋找設(shè)置監(jiān)控器的位置，一般通過分析其是否能夠引起系統(tǒng)FHA中Ⅲ類故障以上的失效狀態(tài)。對于整個系統(tǒng)架構(gòu)層次，主要有輸入信號監(jiān)控、架構(gòu)監(jiān)控、伺服控制和作動器監(jiān)控以及硬件狀態(tài)監(jiān)控，同時各個模塊內(nèi)部也需要設(shè)立相應(yīng)的自監(jiān)控。

（3）共模故障抑制措施

系統(tǒng)架構(gòu)設(shè)計中對于獨立原則的考慮有：所有具備余度數(shù)量的飛控電子產(chǎn)品均獨立或者分組安裝在不同機箱中；三臺FCM之間異步運行機制，分別可以獨立進行完整的控制解算功能；系統(tǒng)正常模式與直接模式分別在不同部件內(nèi)實現(xiàn)。

系統(tǒng)架構(gòu)設(shè)計中對于非相似原則的考慮有：正常與直接兩種工作模式采用不同方式實現(xiàn)，且它們的公共模塊REU采取非相似設(shè)計；模塊內(nèi)的指令支路與監(jiān)控支路采用不同的設(shè)計方案。

4電傳飛控系統(tǒng)架構(gòu)設(shè)計后的評估與驗證

按照適航ARP 4754A/4761的要求，在系統(tǒng)架構(gòu)設(shè)計階段要進行初步安全性評估與確認（PSSA），將確定的安全性目標（主要考慮系統(tǒng)FHA中Ⅰ類和Ⅱ類失效情況）作為安全性評估的頂層事件，采用故障樹分析（FTA）方法進一步分解，對于設(shè)計好的系統(tǒng)架構(gòu)是否滿足頂層安全性要求進行初步的確定，隨著系統(tǒng)架構(gòu)設(shè)計方案不斷地深入完善，PSSA分析也會逐漸向下分解至部件級層面，對各個層面的設(shè)計進行安全性評估。

當最底層軟/硬件設(shè)計完成后，進入設(shè)計確認和驗證階段，即系統(tǒng)安全性分析（SSA），主要工作是通過故障模式以及影響分析（FMEA）系統(tǒng)性的自底向上方法，識別每一層面的故障模式對當前層及更高層的影響，其定量分析結(jié)果將為SSA中的故障樹分析（基于PSSA的FTA）提供較低層級的事件信息，目的是驗證設(shè)計好的飛控系統(tǒng)是否滿足FHA的要求以及PSSA的衍生需求。若不能滿足，則尋找問題根源并返回系統(tǒng)架構(gòu)進行修改，這樣反復(fù)迭代，最終讓系統(tǒng)架構(gòu)滿足各項安全性要求。

5結(jié)束語

本文通過民用飛機適航規(guī)范對電傳飛控系統(tǒng)安全性設(shè)計的要求，從飛控系統(tǒng)功能性能需求入手，以滾轉(zhuǎn)軸基本控制功能為例，形成相應(yīng)系統(tǒng)FHA，并參考適航可用性、完整性以及共模故障抑制等要求，對飛控系統(tǒng)架構(gòu)進行初步的權(quán)衡和設(shè)計考慮，最后簡要闡述了后續(xù)安全性評估與驗證工作。

參考文獻

[1]CCAR-25-R4運輸類飛機適航標準[S].北京：中國民用航空局，2011. CCAR-25-R4Airworthiness standards of transport category aircraft[S]. Beijing：Civil Aviation Administration of China，2011.（in Chinese）

[2]AC 25.1309-1ASystem design and analysis[S]. USA：Federal AviationAdministration，1988.

[3]FAR/JAR 25.671. FCHWG-ARAC report[S]. USA：Federal AviationAdministration，2010.

[4]王偉達.運輸類飛機適航標準CCAR-25.671（c）條款要求與分析[J].科技創(chuàng)新導(dǎo)報，2015，12（21）：10-11. Wang Weida. Analysis of airworthiness requirement and validations for CCAR-25.671（c） [J]. Science and Technology Innovation Herald，2015，12（21）：10-11.（in Chinese）

[5]SAE ARP 4754AGuidelines for development of civil aircraft and systems[S]. USA：SAEAerospace，2010.

[6]董銳，王平利.一種基于ARP 4754A的民機機載系統(tǒng)研制項目風(fēng)險分析方法研究[J].航空科學(xué)技術(shù)，2019，30（12）：38-44. Dong Rui，Wang Pingli.Study of civil aircraft airborne system development project risk analysis method based on ARP 4754A[J].Aeronautical Science & Technology，2019，30（12）：38-44.（in Chinese）

[7]SAE ARP 4761 Safety assessment process guideline and methods[S]. USA：SAEAerospace，1996.

[8]沈迎春. ARP 4754A解讀[J].中國科技信息，2014（15）： 209-210. Shen Yingchun. Interpretation of ARP 4754A [J]. China Science and Technology Information， 2014（15）： 209-210. （in Chinese）

[9]石鵬飛，張航，陳潔.先進民機飛控系統(tǒng)安全性設(shè)計考慮[J].航空科學(xué)技術(shù)，2019，30（12）：52-58.ShiPengfei， ZhangHang， ChenJie.Safetydesign considerations for advanced civil aircraft flight control system[J]. Aeronautical Science & Technology，2019，30（12）：52-58.（in Chinese）

[10]宋翔貴.電傳飛行控制系統(tǒng)[M].北京：國防工業(yè)出版社，2003. Song Xianggui. Fly-By-Wire flight control system[M]. Beijing： National Defence Industry Press， 2003. （in Chinese）

（責(zé)任編輯余培紅）

作者簡介

李天為（1996-）男，學(xué)士，碩士研究生。主要研究方向：飛行控制系統(tǒng)與安全性。

Tel：18691050581E-mail：2685327091@qq.com

Architecture Design Consideration of Fly-by-Wire Flight Control System for Civil Aircraft Based on Airworthiness and Safety

Li Tianwei*，Shi Pengfei，Liu Hongming

AVIC Flight Automatic Control Research Institution，Xian 710065，China

Abstract： Safety requirements play an important role in the architecture design of the fly-by-wire flight control system of civil aircraft. This paper introduces civil aircraft airworthiness standards and industry standards， and analyzes their requirements for system architecture design.The embodiments of airworthiness and safety in flight control system architecture design are studied from the following three aspects： requirements demonstration， design tradeoff and verification.Taking the basic control function of the roll axis as an example，the design considerations to meet the airworthiness and safety requirements are put forward， providing a reference for the architecture design of the fly-bywire flight control system of civil aircraft.

Key Words： civil aircraft； fly-by-wire flight control system； airworthiness； safety； architecture design