電傳飛控系統(tǒng)飛行前自檢報故狀態(tài)下的放飛策略

王小陽，洪 彬

(陸裝航空軍代局駐西安地區(qū)航空軍代室，陜西 西安 710061)

0 引言

目前，某型直升機電傳飛控系統(tǒng)飛行前自檢測(PBIT)報故后，按照飛行手冊的規(guī)定，直升機不允許起飛執(zhí)行任務(wù)，故障排除后方可放飛。這種方式可最大程度地保證放飛的安全性，確保裝備和人員安全；但一定程度上影響了直升機的出勤率，特別是在戰(zhàn)時或緊急情況下，甚至?xí)拗蒲b備的能力發(fā)揮，影響戰(zhàn)局的發(fā)展。而實際上，為了保證直升機的任務(wù)可靠性，電傳飛控系統(tǒng)具備冗余架構(gòu)，系統(tǒng)的大部分故障模式并不會影響飛行品質(zhì)，絕大部分故障模式并不會影響飛行安全。因此，電傳飛控系統(tǒng)PBIT報故并非意味著直升機絕對不能起飛。面向戰(zhàn)時環(huán)境，有必要對電傳飛控系統(tǒng)報故情況下的放飛策略進行探討，在保證飛行安全的前提下，充分利用完好功能完成特定任務(wù)，發(fā)揮裝備的最大能力。

1 電傳飛控系統(tǒng)安全性設(shè)計及故障模式影響

1.1 基于安全性指標(biāo)的系統(tǒng)架構(gòu)

任一型飛機在設(shè)計初期，飛機總體設(shè)計會向電傳飛控系統(tǒng)下發(fā)系統(tǒng)的安全性設(shè)計指標(biāo)要求，即因為電傳系統(tǒng)發(fā)生故障而造成災(zāi)難性事件發(fā)生的概率不能大于某一規(guī)定值。戰(zhàn)斗機電傳飛控系統(tǒng)的安全性指標(biāo)一般為10E-7，而大型運輸機的安全性指標(biāo)一般為10E-9。電傳飛控系統(tǒng)的設(shè)計者需要根據(jù)這一指標(biāo)來確定電傳飛控系統(tǒng)基本架構(gòu)，包括系統(tǒng)余度配置和關(guān)鍵核心部件配置，例如飛控計算機、伺服控制器、舵機、傳感器等，以及核心部件之間的交聯(lián)關(guān)系。目前，根據(jù)電傳飛控系統(tǒng)各部件能夠達到的基本可靠性水平，要達到系統(tǒng)安全性指標(biāo)，電傳飛控系統(tǒng)一般需要具備四余度架構(gòu)[1]。

以飛控計算機為例，在工程上，構(gòu)成飛控計算機所采用的基本器件均具有一定的失效概率(一般在10E-9～10E-5次/小時)，這決定了典型的飛控計算機失效概率一般在10E-4～10E-3次/小時，如果系統(tǒng)為單余度配置，則顯然無法滿足電傳飛控系統(tǒng)安全性指標(biāo)小于10E-7的要求。在80年代初期，經(jīng)過大量的理論研究人員和工程技術(shù)人員的合作，很好地解決了這個問題。其基本工程方法便是采用余度構(gòu)架，通過表決、監(jiān)控技術(shù)容忍故障、檢測故障、隔離故障，重構(gòu)系統(tǒng)。對于典型的四余度系統(tǒng)設(shè)計，發(fā)生任意的二次故障不影響任務(wù)的完成。對故障模型的理論探討認為，表決策略的探討應(yīng)形式化，證明了余度構(gòu)架對于提升系統(tǒng)任務(wù)可靠性的有效性。一個典型的四余度電傳飛控系統(tǒng)架構(gòu)如圖1所示。

圖1 四余度電傳飛控系統(tǒng)典型架構(gòu)

對電傳飛控系統(tǒng)進行余度架構(gòu)設(shè)計，使得系統(tǒng)能夠容忍任意二次故障而不影響飛行任務(wù)。實際上，從各類飛機的實際飛行數(shù)據(jù)也能總結(jié)出，在絕大多數(shù)情況下，電傳飛控系統(tǒng)在空中報故后，往往可以憑借其系統(tǒng)的冗余設(shè)計而保證飛機安全返航。

1.2 功能危害性分析

功能危害性分析是指系統(tǒng)地、全面地按層次檢查系統(tǒng)的各種功能，識別各種功能失效狀態(tài)，分析這些功能失效狀態(tài)對相關(guān)系統(tǒng)、人員等方面的各種潛在影響，以確定這些功能失效可能產(chǎn)生或促使誘發(fā)產(chǎn)生的潛在危險及其后果，并根據(jù)嚴酷程度確定危險的嚴重性等級。

對于電傳飛控系統(tǒng)而言，功能危害性分析需要對系統(tǒng)所提供的每一項功能(例如縱向、橫航向控制功能)在各個飛行階段(例如滑跑、爬升、巡航、下降、著陸等)發(fā)生失效后，對飛行操縱的影響進行分析。根據(jù)影響程度確定其嚴重性等級，并根據(jù)系統(tǒng)的安全性指標(biāo)要求，確定該功能失效的概率要求。一般而言，功能失效對系統(tǒng)的危害度可以劃分為災(zāi)難的、嚴重的、輕度的、輕微的、無安全影響五個等級。針對不同危害性的功能模式，系統(tǒng)對其發(fā)生失效概率的要求是不同的。例如，以某型機為例，喪失升降舵的俯仰控制功能，在飛行的任意階段，其危害度均為災(zāi)難性的，產(chǎn)生該功能失效的故障模式的發(fā)生概率必須小于10E-8。而喪失航向配平位置指示功能，在飛行的任意階段，其危害度均為輕微的(該功能危險項不影響飛行安全，僅會導(dǎo)致駕駛員不能了解航向配平狀態(tài)，需謹慎使用航向配平，增加了駕駛員的工作負擔(dān))，而對產(chǎn)生該功能失效的故障模式的發(fā)生概率在系統(tǒng)級并未做出強制性要求。

通過功能危害性分析可以看到，電傳飛控系統(tǒng)中各項功能失效對系統(tǒng)的危害性是存在區(qū)別的，部分功能的失效不會影響飛行安全。

1.3 故障模式影響及危害性分析

針對電傳飛控系統(tǒng)，開展故障模式影響及危害性分析，是對所實現(xiàn)系統(tǒng)進行安全性評估的有效方法，是證明系統(tǒng)設(shè)計滿足安全性要求的有效手段。其基本思想是梳理系統(tǒng)內(nèi)每一項元件的故障模式，自底向上地分析其失效后對上一級功能模塊的影響，繼而分析功能模塊失效后對更上一級功能模塊的影響，直至分析至對系統(tǒng)功能的影響。同時，按照其所影響到的系統(tǒng)功能失效后的危害度，即可以定義出每一種元件的故障模式對系統(tǒng)的影響層級和危害度。

例如，單臺飛控計算機內(nèi)部模擬量采集功能板的電源模塊失效，會導(dǎo)致該功能板的所有功能失效，即單余度飛控計算機的模擬量采集輸入無效，但不會影響該計算機內(nèi)部其他功能板的功能，也不會影響其他三個余度飛控計算機的所有功能。因此，對于整個電傳飛控系統(tǒng)而言，該電源模塊的失效并不會影響電傳飛控系統(tǒng)的任何功能。該故障模式對系統(tǒng)的危害度影響可定義為無影響或者輕微影響(如果部分非關(guān)鍵模擬量的輸入配置為單余度，則會導(dǎo)致系統(tǒng)層面該功能受到影響，但這種余度配置的功能必須為不影響飛行安全的功能)。而如果單余度飛控計算機內(nèi)部電源板的二次電源模塊失效，則會導(dǎo)致該余度計算機所有功能失效，但不會影響其他三個余度飛控計算機的所有功能，最終導(dǎo)致整個四余度電傳飛控系統(tǒng)降級為三余度系統(tǒng)。因此對于整個電傳飛控系統(tǒng)而言，該電源模塊的失效僅會造成系統(tǒng)降級，而不會影響電傳飛控系統(tǒng)的任何功能，該故障模式對系統(tǒng)的危害度影響可定義為輕微影響。

開展故障模式影響分析，能夠最終得到電傳飛控系統(tǒng)內(nèi)部任一故障模式對系統(tǒng)的影響及危害度。從對多型直升機的故障模式影響分析的結(jié)果來看，單一故障模式直接影響飛行安全的情況是不允許存在的，而多次組合故障雖然可能影響飛行安全，但其發(fā)生的概率均被限制在可接受的范圍之內(nèi)。

2 電傳飛控系統(tǒng)飛行前故障檢測機理

為了能夠確保及時有效地發(fā)現(xiàn)并隔離故障，電傳飛控系統(tǒng)設(shè)計了機內(nèi)自檢測功能，能夠?qū)τ绊懴到y(tǒng)功能的各個部件和互聯(lián)鏈路進行測試，確認其功能的完好性和有效性。當(dāng)檢測到系統(tǒng)存在故障時，能夠通過故障代碼指示故障發(fā)生的部位以及對系統(tǒng)功能的影響及嚴重程度。

系統(tǒng)自檢測利用飛行控制系統(tǒng)內(nèi)部具有自檢功能的硬件和軟件來完成對機載設(shè)備的檢測；對機載設(shè)備某特定模態(tài)下輸出數(shù)據(jù)的采集結(jié)果與這一模態(tài)下的期望值進行比較，若一致則認為正常，若不一致則向外申報故障。系統(tǒng)自檢測的組成包括硬件和軟件兩部分：硬件包括為被測系統(tǒng)及部件設(shè)置的用于檢測、激勵、故障監(jiān)控、邏輯和數(shù)據(jù)存儲的線路和裝置，以及用于機內(nèi)自檢測控制和顯示的設(shè)備；軟件包括完成自檢測的啟動、運行、控制、退出以及系統(tǒng)部件完好性判別和故障申報、記錄等模塊。

電傳飛控系統(tǒng)采用多種自檢測方式，一般而言，主要包括加電自檢測(PUBIT)、飛行前自檢測(PBIT)、飛行中自檢測(IFBIT)和維護自檢測(MBIT)[2]。其中加電自檢測在系統(tǒng)上電的時候自動執(zhí)行，檢測內(nèi)容為飛控計算機核心功能的檢測，如CPU、存儲器、定時器、看門狗、內(nèi)總線、電源、軟件版本等基本功能的檢測。加電自檢測報故表明飛行控制系統(tǒng)的底層支持功能失效。飛行中自檢測在周期任務(wù)中執(zhí)行，檢測系統(tǒng)基本功能、高級功能的完好性。IFBIT故障在綜顯“飛行員故障清單PFL”中有相對詳細的申報，并在飛控操縱臺上通過1-4級狀態(tài)指示燈來表征故障的嚴重程度。對于飛行中自檢測中申報的故障，在飛行手冊中有明確的處置措施。維護自檢測的用途主要為故障排查、定位、定檢、軟件升級等，為地勤人員使用，一般不作為放飛的憑據(jù)。飛行前自檢測是在地面上進行的一系列自動測試，用來檢測系統(tǒng)的飛行前狀態(tài)，以保證系統(tǒng)完好性滿足飛行狀態(tài)。PBIT是飛行員檢查飛控系統(tǒng)完好性的主要手段。通過飛行前自檢測，能夠有效識別出電傳飛控系統(tǒng)存在的故障，隔離出故障發(fā)生部位，對更換、維修故障部件起到指導(dǎo)性作用。

以某型機為例，飛行前自檢測的測試內(nèi)容包含了電源、接口電路、內(nèi)總線、邏輯電路、伺服系統(tǒng)、模擬備份電路、慣性測量組件、飛控操縱臺等。具體包括：①背板總線測試；②離散輸出信號鏈測試；③離散輸入信號鏈測試；④模擬輸入信號鏈測試；⑤系統(tǒng)電源測試；⑥通道故障邏輯測試；⑦伺服系統(tǒng)測試；⑧慣性測量組件測試；⑨EFCS控制律測試；⑩飛控操縱臺測試；蓄電池接入邏輯測試。

上述測試囊括了飛行控制系統(tǒng)全部組成部件，包括飛控操縱臺、飛控計算機、舵機、慣性測量組件、配電盒、以及外部供電的測試。以上各功能模塊之間交聯(lián)關(guān)系示意如圖 2。

圖2 某電傳飛控系統(tǒng)各功能模塊交聯(lián)關(guān)系示意圖

3 飛行前自檢測報故情況下的放飛策略

和平時期，為確保飛行足夠安全，“不帶故障放飛”是一種基于安全至上的理念的可行做法。但在戰(zhàn)時環(huán)境下，當(dāng)遇到緊急飛行任務(wù)而系統(tǒng)飛行前自檢測報故的情況，則需要決策是否可以帶故障放飛。根據(jù)本文前述內(nèi)容分析，飛行前自檢測報出的故障，大部分是不影響飛行安全的，但也存在極低概率的組合故障的情況可能會影響飛行安全。因此，針對不同的機型，需要針對性地開展故障影響分析并提前設(shè)計安全放飛策略，使得緊急情況下，系統(tǒng)可以自行決策或者僅需要飛行員稍加判斷即可決策是否可以放飛。

飛行前自檢測報故情況下放飛策略的制定應(yīng)基于對所發(fā)生故障對系統(tǒng)的影響的分析，可以從系統(tǒng)任務(wù)可靠性及功能完整性兩方面著手。任務(wù)可靠性指系統(tǒng)成功完成既定任務(wù)的概率，取決于單余度系統(tǒng)的基本可靠性和余度配置，余度等級越高，任務(wù)可靠性越高，反之亦然[3]。而功能完整性指系統(tǒng)功能的完備性，主要取決于構(gòu)成系統(tǒng)各個部件和組件的功能是否正常。若系統(tǒng)內(nèi)影響飛行安全的功能損失，則整個飛控系統(tǒng)失效。

下文將基于對系統(tǒng)可靠性和功能完整性兩個方面的影響，對PBIT檢測到的故障進行分類分析，針對不同報故情況下的放飛策略給出建議。

3.1 故障影響系統(tǒng)任務(wù)可靠性情況下的放飛策略

1)單一或多個故障造成單余度功能損失或余度降級

由于電傳飛控系統(tǒng)從設(shè)計上極力避免了單點故障的存在，因此絕大多數(shù)情況下，系統(tǒng)不會因為單一故障而造成系統(tǒng)功能損失或影響飛行安全。從影響危害度來看，單一故障將導(dǎo)致其所在余度的部分功能喪失，而其對余度系統(tǒng)最嚴酷的影響是系統(tǒng)余度降級一次。

以飛控計算機為例，其余度配置示意圖如圖3。某些單一故障會導(dǎo)致其所在余度飛控計算機的某些功能失效。該類典型故障主要包括：

圖3 電傳飛控計算機子系統(tǒng)余度配置示意圖

① 單余度計算機模擬量輸入采集失效；

② 單余度計算機離散量輸入輸出失效；

③ 單余度計算機總線接口失效；

④ 單余度計算機伺服子系統(tǒng)失效。

發(fā)生以上單一故障時，故障余度計算機的部分功能喪失，但系統(tǒng)余度不會降級。而某些單一故障會導(dǎo)致其所在余度飛控計算機的全部功能失效，最終導(dǎo)致系統(tǒng)余度降級。該類典型故障主要包括：

① 單余度計算機一次或二次電源失效；

② 單余度計算機處理器模塊失效；

③ 單余度計算機通道故障邏輯失效；

④ 單余度計算機通道間交叉互傳功能失效；

⑤ 單余度計算機通道間同步功能失效。

發(fā)生以上單一故障時，故障余度計算機的所有功能喪失或者無法與其他正常余度計算機構(gòu)成余度關(guān)系，造成系統(tǒng)余度降級一次。

當(dāng)多個故障均發(fā)生在同一個余度時，多為關(guān)聯(lián)故障，其產(chǎn)生有可能由同一個源頭引起。例如系統(tǒng)內(nèi)飛行控制計算機的二次電源±15 V若失效，將導(dǎo)致該計算機內(nèi)的所有使用到±15 V電源的功能模塊故障，例如模擬量信號采集、ARINC429總線信號故障等。當(dāng)多個故障發(fā)生在同一個余度但沒有關(guān)聯(lián)關(guān)系，也僅會造成該余度部分甚至全部功能的喪失，最多造成余度降級一次。因此，如果PBIT報出了多個故障，但所有故障都指向同一個余度，那么其產(chǎn)生的影響也最多為系統(tǒng)余度降級一次，不會對系統(tǒng)的功能和安全性造成影響，應(yīng)該允許放飛。

結(jié)合電傳飛控系統(tǒng)余度設(shè)計架構(gòu)來看，若飛行前自檢測報出單一故障，最多會造成系統(tǒng)降級一次，因此可認為單一故障不會影響飛行安全，應(yīng)允許放飛。

2)多個故障造成系統(tǒng)余度多次降級

當(dāng)多個故障發(fā)生在不同余度，有可能會造成系統(tǒng)余度多次降級，要視情分析其對系統(tǒng)安全性的影響。按照故障對系統(tǒng)余度降級的影響程度，將故障的嚴重程度依次劃分為1、2、3、4級。總體而言當(dāng)，系統(tǒng)兩個通道故障(狀態(tài)為2)的情況下，主飛控系統(tǒng)仍能保持正常的功能。在主飛控系統(tǒng)三次故障的情況下，可使用模擬備份實現(xiàn)直升機的基本操縱。

從任務(wù)可靠性的角度考慮，當(dāng)數(shù)字系統(tǒng)從四余度降級為三余度甚至兩余度時，其任務(wù)可靠性依然可以維持在相對較高水平，對飛行任務(wù)不會造成過大的影響。而如果PBIT出現(xiàn)三次故障，系統(tǒng)進入模擬備份模態(tài)，該情況下起飛后系統(tǒng)僅能支持一次故障工作，二次故障后直升機則將無法控制，此時系統(tǒng)的任務(wù)可靠性相對較低。因此，PBIT三次故障情況下的放飛決策需要慎重。在極端情況下，例如雖然PBIT三次故障，系統(tǒng)轉(zhuǎn)入模擬備份，但是如果不立即起飛就意味著整個任務(wù)的失敗或?qū)⒃斐扇藛T犧牲等不可接受的損失，則該種情況下也應(yīng)該允許放飛。

3.2 故障影響系統(tǒng)功能完整性情況下的放飛策略

當(dāng)飛行前自檢測報出故障導(dǎo)致系統(tǒng)某項功能喪失(所有余度)時，應(yīng)根據(jù)具體所喪失的功能對飛行安全是否造成影響來謹慎評估是否可以放飛。

以某型直升機為例，其電傳飛控系統(tǒng)具有基本操縱、姿態(tài)保持、航跡控制等功能。其中基本操縱功能為電傳系統(tǒng)核心功能，該功能損失意味著飛行員將無法操縱直升機。而姿態(tài)保持、航跡控制等功能為重要輔助功能，主要是為了減輕飛行員的操縱壓力，提升操縱體驗。以上幾種功能分別需要不同的系統(tǒng)資源來實現(xiàn)?；静倏v功能需要桿位移傳感器、慣性測量組件的角速率、模擬輸入信號鏈的角速率部分、EFCS/CPU、主尾槳伺服系統(tǒng)、平尾伺服系統(tǒng)功能正常。姿態(tài)保持功能除了前述系統(tǒng)外還需要慣性測量組件的姿態(tài)角、總線429輸入功能正常。航跡控制功能如高度、速度、航跡保持功能需要飛行控制系統(tǒng)接口電路更高的完好性，同時也需要外部傳感器功能正常。

當(dāng)系統(tǒng)發(fā)生的故障導(dǎo)致基本操縱等影響飛行安全的功能喪失時，應(yīng)不能予以放飛。例如所有余度桿位移傳感器信號采集喪失，或者所有余度主、尾漿伺服系統(tǒng)功能喪失等。

當(dāng)系統(tǒng)發(fā)生的故障導(dǎo)致姿態(tài)保持或者航跡控制等輔助功能喪失時，應(yīng)視情允許放飛，例如：所有余度無線電高度信號鏈報故時，無線電高度保持功能喪失，但是飛行系統(tǒng)基本功能不受影響，飛行員操縱負擔(dān)增加，但不影響飛行安全；或者所有余度并聯(lián)舵機伺服故障，但不影響基本功能及飛行安全，僅增加飛行員的負擔(dān)。

總之，當(dāng)飛行前自檢測報出的故障可以導(dǎo)致飛控系統(tǒng)安全關(guān)鍵功能喪失時，應(yīng)不予以放飛。反之，當(dāng)飛行前自檢測報出的故障僅導(dǎo)致飛控系統(tǒng)非關(guān)鍵功能喪失時，應(yīng)結(jié)合飛行員和飛行環(huán)境的實際情況確定是否予以放飛。

3.3 故障情況下放飛策略的實現(xiàn)機制

針對故障情況下的放飛策略，如果在飛行前自檢測報故之后需要飛行員通過手動查閱飛行手冊的方式來決策是否放飛，將大大影響放飛決策的效率，戰(zhàn)時環(huán)境下甚至有可能因此貽誤戰(zhàn)機。因此，可以在電傳飛控系統(tǒng)設(shè)計相應(yīng)的硬件和軟件功能來實現(xiàn)對故障及故障影響的自動判斷，并向飛行員提供相應(yīng)的決策信息[4]。

為了實現(xiàn)該功能，可在飛控計算機中增加健康管理模塊，對系統(tǒng)故障信息進行搜集和診斷，通過一系列放飛輔助決策算法，對是否能夠在故障情況下放飛給出建議，并將結(jié)果顯示在操縱臺顯示界面上。飛行員通過觀察顯示結(jié)果，并綜合考慮實際飛行環(huán)境后決策是否放飛。

4 結(jié)論

電傳飛控系統(tǒng)具備冗余架構(gòu)設(shè)計以保證其安全性指標(biāo)滿足要求，通過功能危險分析、故障模式影響及危害度分析等過程，可以確定不同故障模式對電傳飛控系統(tǒng)功能的危害性影響。面向戰(zhàn)時環(huán)境，當(dāng)電傳飛控系統(tǒng)飛行前自檢測報故時，不應(yīng)一概不允許放飛，應(yīng)當(dāng)根據(jù)所報故障對系統(tǒng)安全性、可靠性、飛行任務(wù)的影響，綜合決策是否放飛。