0.前言
几年前,在与国内航空单位的一位副总工程师沟通时,他说:“与其他飞机系统不同,我们的飞控系统设计是失败的! ”。
被这样拨通,我突然觉得自己像是从梦中醒来一样,这证实了我心中一直以来的想法。 后来,我经常把这句话当成经典。
1.飞控与其他系统的区别
在一些机载系统的设计过程中,设计人员将80%的时间和精力都花在了“如何实现功能和性能指标”上。 至于功能丢失后如何降级和重构? 功能错误后如何检测和隔离? 不是其考虑的重点。
作为液压、电源、大气惯性导航等系统的最终用户,飞控设计人员80%的时间和精力都花在了“飞控单次故障或组合故障后该怎么办? 当向飞控提供能量或信号的接口系统发生故障时会发生什么? ”。
这些故障发生后,飞控系统还能满足“故障运行”和“故障安全”的设计要求吗? 如何在各个级别设置信号投票和故障监控? 这是飞控设计者考虑的关键点。
我认为系统设计思维差异的根本原因是飞控系统是直接关系到生死的关键系统。 确保您始终拥有飞行控制能力是飞机安全的底线、红线和生命线。
安全至关重要
因此,安全要求的差异主导着不同系统的设计思维。 对系统的安全要求越高,就越要考虑各种故障场景,迭代系统解决方案,确保万无一失。
2.高安全性
我经常说,“飞控系统是安全要求最高的系统”。 有些人可能不服气:“我们也是A类,FHA有灾难性的故障状态,软硬件的开发也应该遵循DO-254 DO-178。 你为什么安全? ”
1.根据模型实践,飞控系统的FDAL功能大多为A,FHA中的灾难性故障状态数量约占整架飞机的1 3,在许多机载系统中是“第一名”。 这在其高安全性功能中显而易见。
二、根据国际民航组织国际民航组织和商用航空安全小组对飞行事故的统计分析,以及波音公司对2012年至2021年商用飞机事故的统计,与“失控”相关的事故危害极为严重,造成近一半的飞行事故死亡。 其重要性不言而喻。
3、对于飞行控制等复杂的关键系统,国外有学者提出了“超A”或“A+”的概念。 除了应用最严格的开发保证流程(A 级)外,还需要做更多的工作,例如更多地使用架构缓解措施,例如非相似设计。
3. 应考虑的故障场景
与一些机载系统“功能驱动、性能驱动”的设计思路相比,飞控系统通常“安全驱动、故障驱动”。
其突出特点是在设计过程中,需要充分评估故障的影响,针对各种故障场景对系统架构进行迭代。
飞控系统需要考虑的故障场景包括(但不限于)以下情况及其组合:
单通道多通道驾驶舱控制信号故障; 单个单元中多个飞控电子设备出现故障; 单个单元中多个执行器的故障; 驾驶舱控制装置或舵面干扰; 舵面非指令急剧偏差或摆动; 单套多套液压系统故障; 单个多个电源母线发生故障; 单发和双发失败; 单组大气或惯性导航信号失效; EWIS电缆或信号传输故障; 温度、海拔、电磁等环境造成的故障; 系统和设备的共模故障; 在同一安装区域内,设备同时发生故障; 转子爆裂、轮胎爆裂、鸟击、特定风险等。 4.冗余设计
为了保证飞行器在这些故障场景中仍能继续安全飞行着陆(CSFL),飞控系统在架构设计中特别注重冗余设计(包括冗余配置和冗余管理)。
冗余侧重于物理架构设计。 你有几台电脑? 您设置了多少个传感器? 能否满足安全定量要求(例如,1e-9 fh)? 冗余度是否相互独立?
冗余管理侧重于逻辑架构设计。 例如,如何对多个信号进行投票? 如何实现故障监控和系统重构?
具体来说,我想提几点:
投票机应该考虑使用平均投票还是中位数投票? 您还需要一组数据吗? 如何选择投票机架构和参数? 监视器监控哪些参数? 如何确定监控阈值? 监控后如何隔离故障? 您如何在显示器的性能和坚固性之间做出权衡? (要检测故障,但也不要频繁报误报)。
三冗余投票体系结构的示例。
通过冗余配置和冗余管理,可以保证飞机和系统设计满足安全和适航要求。
良好的冗余设计是对飞控设计人员经验和能力的终极挑战。
5. 设计重点
飞控系统的冗余设计是一个具有多重设计目标和多设计要素的综合性问题,是一个权衡妥协的过程。
权衡
冗余设计的亮点,包括:
方向舵表面的空气动力学余量布置(飞机设计特征); 飞行控制驾驶舱传感器的冗余布置; 飞行控制电子设备(例如计算机)的冗余安排; 飞控系统工作模式设计; 飞控电子设备的主/备切换逻辑; 飞控电子设备内部指挥监控架构设计; 飞控系统信号投票与故障监测设计; 执行器的冗余布置; 执行器工作模式的设计; 执行器在同一舵面上的主/备用切换逻辑; 总线的冗余和工作方法; 大气惯性导航等传感器的冗余安排和投票逻辑; 电源的冗余安排和切换逻辑; 液压供应冗余布置及故障重构逻辑; 设备安装的隔断隔离设计; EWIS布线的隔离设计。 在飞行控制系统的设计中,应首先确定关键的安全要求,并在架构中加以考虑。 应在设计早期进行快速迭代,以避免在设计后期进行架构更改的风险。
6.“失效工作”和“失效安全”。
飞控系统通过冗余设计生成物理架构和逻辑架构。 并在不同的故障条件下,满足“失效工作”或“失效安全”的要求:
电脑宕机了?
主备切换,工作正常!
两台电脑宕机了?
主备切换,工作正常!
三台电脑宕机了?
系统退化,直接杆到舵控制!
主驾驶员的侧杆是否被挡住?
权限转让,副驾驶操作!
副翼执行器出现故障?
兄弟执行器在,正常驱动!
副翼两个执行器出现故障?
能力降级,剧透补偿!
所有的空气数据?
系统降级,有保障落地!
两组水力损失?
还剩一套,够我用了!
双重失败? RAT+电池,帮我延续我的生活!
7.总结
尽管航空业采取了各种措施来确保安全,但近年来,令人震惊的事件不断发生。
与飞行控制系统相关的典型航空事故包括:
2011年5月24日,猎鹰7X公务机平尾非指挥机运动事件。 2018 年 10 月 29 日和 2019 年 3 月 10 日,印度尼西亚狮航和埃塞俄比亚航空的 737max-8 坠毁。 2020年6月14日,中国台湾的华航空客A330的三台飞控计算机发生故障。
飞行控制系统作为力学、电液、液压高度融合的安全关键系统,对飞机安全和公共利益有着直接的影响。
三个敬畏
作为民航从业人员,我们应该从这些事件中吸取教训,并将其作为模型开发的参考。 始终牢记“敬畏生命、敬畏规矩、敬畏职责”,为民航业安全高质量发展贡献力量。
延伸阅读:民用航空器发展保障及新版ARP4754B 4761A初步研究。
介绍空客 A350 电传操纵飞行控制系统架构。
介绍空客 A380 电传操纵飞行控制系统架构。
介绍空客 A320 电传操纵飞行控制系统架构。
波音 787 电传操纵飞行控制系统架构简介。
波音 777 电传操纵系统架构简介。