电传飞行控制系统容错设计

电传飞行控制系统容错设计

摘要在过去几十年中，随着集成航电模块和先进数字总线技术在民用航空领域中的广泛应用，容错技术在电传飞控系统设计中得到广泛应用。本文先根据容错要求和经验数据定义飞控系统的容错等级，其次对波音777和空客320的飞控计算机冗余架构进行对比和分析；最后对电传飞控系统设计中采用的容错技术，包括比较监控，冗余信号表决和同步问题等进行了详细分析，分析结论可供实际设计参考。

关键词容错技术；电传；飞行控制系统；bit

中图分类号v5 文献标识码a 文章编号 1674-6708（2013）

96-0041-02

0引言

飞行控制系统是民用飞机的关键系统之一，将飞行员输入命令，传感器输入，经过控制律解算，产生驱动飞机舵面运动的指令，驱动飞机副翼，升降舵，方向舵等控制面的运动，改变飞机运动方向和速度。其涉及部件种类多，部件间交联关系复杂，功能安全性要求高（一般要求丧失控制的概率低于1e-9）。

典型飞控系统包括：飞行控制计算机，作动器控制，位置、角度传感器和飞机舵面等组成。飞控计算机、作动器和传感器间通过先进数字总线，包括点对点数字arinc429总线，可保证数据传输安全性的arinc664网络等连接起来，构成整个飞行控制系统的处理核心。

1 容错等级和安全性要求

设计中，为了防止部件或功能的故障导致飞机丧失控制，满足安全性要求。首先要列出飞控系统的主要部件清单，根据现场数据等方式对部件的主要故障模式和概率进行统计，预先确定各部件的容错要求。容错要求分为以下几类：

fail-operation：当部件发生故障时，系统工作可靠。

fail-passive：当部件发生故障时，系统工作可靠但性能有下降。fail-safe：当故障发生时，系统仍能够恢复到安全状态。

2国外飞机飞控系统架构

波音777飞控系统采用3台主飞控计算机（pfcs），每个pfc有3个独立支路，每个支路的cpu不同，分别为：命令支路，备用支路和监控支路。主飞控系统有三种运行模式：normal，secondary和direct。当各种输入正常时，主飞控系统运行在normal模式；当pfcs探测到丧失重要的空速和姿态数据时，进入secondary模式，自动飞行无法在此模式下运行。在direct模式，不用pfcs，飞行员可直接通过ace来进行飞机舵面控制。支路之间用arinc629总线，三条支路间互相监控。

空客320飞机中，其冗余架构为：飞机副翼控制和正常俯仰控制由两台升降舵和副翼控制（elacs）实现；两台elac计算机，一台工作在主动模式，另一台工作在阻尼模式，作为故障时的备份系统运行。每台elac为冗余双通道：即控制通道和监控通道，共四台计算机，包含四个不同的软件包。

扰流板控制和备份俯仰控制由三台扰流板升降舵（secs）执行。三台sec计算机相互独立，互为备份。

方向舵控制由两台飞行增强计算机（fac）实现。其架构和elac 一样，每台计算机包括控制通道和监控通道。

3 容错技术设计

3.1 冗余技术

冗余是用多个低可靠性部件构成高可靠性系统的常用方法。冗余技术一般分为四种：硬件冗余、软件冗余、时间冗余和信息冗余。硬件冗余通过相似或非相似的多个硬件，实现相似功能，以达到提高可靠性的目的。硬件冗余成本较高，一般只有最关键的功能才采用硬件冗余手段。在权衡是否采用硬件冗余时，主要应考虑：系统能耗，散热能力和空间等约束。硬件冗余用于架构级，如多台飞控计算机，多个舵面做动器等。

软件冗余是提高软件可靠性的措施，包括非相似软件，多版本软件等形式。由于软件和硬件产品具有完全不同的特性，传统提高软件可靠性主要通过过程审查方式，do-178b中对此进行详细指导。但依然对设计错误无能为力，因此通过软件冗余来减缓设计错误。但这两种方式的金钱和时间成本相当高，需要进行仔细权衡。

时间冗余：当任务调度周期较长时，一些任务如果需要，可以重新运行，这样仍能够满足任务时间要求。最简单的是retry，即重新执行失败的指令。还包括：返回到受影响计算的前一个检查点，继续开始；或从开始重新进行所有计算。时间冗余主要应用在软件

设计中，需要权衡的方面包括：程序储存检查点处的状态和信息所需的存储区。

信息冗余：这是在数据层级，即应用层数据传输时，为保持数据传输完整性，在数据载荷中可加入奇偶校验，或crc码，提高数据交付的完整性，探测传输中的错误。可以看出，信息冗余是这四种冗余手段中最低级的方式，只应用于信号层，以损失数据有效载荷来换取可靠性提高。

3.2 表决监控

冗余技术应用时，配合表决技术，从多个尤其是硬件冗余和软件冗余输出中选择一个，用于控制命令。飞控系统的表决监控点一般选择为：飞行员命令输入端；传感器输出数据处；控制律解算前；作动器命令输入点；告警命令显示输入。

监控器和表决器的正确性和可用性是冗余技术的关键环节。表决器的表决原则，包括：最简单按照预定顺序选择；中值表决，平均值表决甚至加权表决算法等。每类表决算法都各有优缺点，需要从多方面权衡，以选出的值可信度高，对系统其它相关功能影响最小为标准。

此外比较监控器也是双冗余飞控架构的重要技术，常采用交叉通道比较技术，这样可实现对本通道的监控，提高通道输出的可靠性。比较监控器即：将来自不同源的同一参数的两个值进行比较，如果其差值超过门限，时间超过设定延时，则认为两者不一致，有可能发生错误，因此可采用安全默认值或直接关闭输出。可见，监控门

限和设定延时的设定对故障探测和告警有重要影响。

仅采用比较监控和表决技术，依然无法满足对飞控系统的维修性和测试性，以及故障覆盖率的要求。此时，机内自检（bit）技术是不可或缺的补充，它能使系统架构更加简单。

飞行控制系统中，bit应用于三种情况：上电自检测（pbit）、维护自检测（mbit）和初始自检测（ibit）。

mbit是由操作人员发出命令，进入维护模式，检测系统新替换的部件，校准传感器，检测系统关键部件。mbit的检测结果有些由控制器直接做出判断，有些由操作人员根据控制器输出做出判断。pbit是飞控计算机上电后，对ram、flash和nvm等存储器和数字总线等电路进行的例行检测，用于确保飞控计算机硬件的完整性；ibit用于对飞控系统重要安全部件，如翼尖刹车和做动器马达刹车等部件进行的检测，以确保飞机无故障起飞。

4 结论

本文主要就电传飞行控制系统设计中，一系列关键技术进行了详细对比和分析。对飞控系统设计中，不同层级的容错技术进行优缺点分析，可作为工程设计之参考。目前，我国电传飞控系统研究刚刚起步，还需要进一步深入研究。

参考文献

[1]刘林，郭恩友.飞行控制系统的分系统[m].北京：国防工业出版社，2003，1.

[2]金星.系统可靠性与可用性分析方法[m].北京：国防工业出版