邓志云，路红伟，王佳琦

（中航飞机起落架有限责任公司，湖南 长沙 410200）

0 引言

起落架前轮转弯操纵系统作为一种提高飞机地面滑行机动性和着陆安全性的装置，主要用于飞机在地面低速机动滑跑时控制大角度转弯，飞机起飞滑跑时控制小角度转弯纠偏，还可以人工解除转弯状态，使其处于自由转向模式，便于牵引飞机[1]。

余度设计是一种提高起落架前轮转弯控制系统安全和可靠性的有效设计方法，使用一倍或几倍的硬件及软件资源，确保在关键部件故障时仍能实现系统的正常功能，且不削弱或少削弱系统性能，增加系统任务的可靠性和安全性，实现产品一次故障工作及二次故障安全等要求。国外起落架转弯控制系统大多设计为双余度、双通道构型，余度模块采用局部总线、分布式控制，系统可扩展性及可靠性高，但系统架构复杂、实现成本高。而国内起落架转弯控制系统则多设计为双通道构型，余度模块采用集中式控制，如AG600 等机型，系统可扩展性及可靠性稍低，其系统架构简单、实现成本低。此外，国内一些科研单位在余度管理的研究，如文献[2-3]三控制器的双余度设计、文献[4-5]两控制器的双余度设计等都为本研究内容也提供了大量可供借鉴成果。

根据某型飞机转弯控制系统的数字电传升级需求，在参考和借鉴了国内外主流飞机转弯控制构型及国内有关余度研究工作的基础上，针对前轮转弯系统外围控制信号、转弯指令输入与反馈及核心控制等部件的冗余结构，设计和实现了一种主、备冗余控制的单次切换逻辑并进行了仿真分析，并在此基础上进一步优化为循环切换逻辑及仿真分析。最后采用了软件模拟故障注入的方式对系统主、备冗余切换逻辑进行了验证用例设计，并在某型飞机转弯试验台进行了综合试验。试验结果表明，设计和实现的冗余切换逻辑有效地实现主、备控制通道的无缝切换，有效提升了系统的安全和可靠性能，对其他机型的前轮转弯控制系统余度控制具有一定的借鉴意义。

1 系统冗余架构

本研究涉及的起落架前轮转弯系统为一种双余度系统，是用于飞机进行前轮转弯的控制系统，也是一种电气控制一液压驱动的位置伺服系统，主要由输入机构（主要包括手轮和脚蹬，通过在手轮和脚蹬上安装的角度/位移传感器，将机械位移转换为转弯角度的电信号，即转弯指令）、伺服控制阀、转弯反馈传感器、综合控制单元以及转弯作动筒等组成，系统具备系统内建自检测BIT（Built- in-Test）功能，其双余度架构主要是指前起下到位、前起轮载、转弯/减摆等控制开关信号以及转弯指令输入与反馈等功能部件均为双余度构型，核心控制逻辑为一个监控通道、两个控制通道的非相似冗余结构，其控制冗余结构如图1 所示。

图1 控制冗余结构图

其中，两个控制通道作为前轮转弯系统的中央控制单元，具备相同的功能，同时上电工作。主要负责对输入机构的转弯指令和转弯反馈传感器的实际起落架前轮转弯角度信号的采集，通过对两个输入信号进行转弯控制的逻辑结算，得出适应转弯角度的伺服控制阀驱动信号，驱动伺服控制阀打开要求的开口角度，飞机液压油路导通，从而驱动转弯作动筒作动进行起落架前轮转弯，具备系统BIT 功能，同时与监控通道进行通信。

监控通道作为前轮转弯系统的仲裁单元，负责采集输入机构的转弯指令和转弯反馈传感器的实际起落架前轮转弯角度信号，同时接收两个控制通道发送来的逻辑结算信息，对两个控制通道发送的信息有效性决心仲裁，监控两个控制通道的工作状态并对两个控制通道输出的伺服控制阀驱动信号进行选通，对出现故障的控制通道进行复位控制。

2 余度控制逻辑设计

2.1 余度切换触发机制

控制（主、备）通道的切换逻辑主要由监控通道负责实现，其核心是确定主/备通道，从而实现对主/备控制通道输出的伺服控制阀驱动信号进行选通控制。系统上电后默认为主通道控制有效（即主控制通道输出伺服控制阀驱动信号，备控制通道不输出伺服控制阀驱动信号），当检测到当前控制有效通道异常时，监控通道自动将控制权切换到另一控制通道（成为主控制通道），并在检测到影响系统正常转弯功能的故障时，监控通道将无条件切换到减摆模式（主备控制通道都不输出伺服控制阀驱动信号），以确保系统安全。

切换触发机制包括控制通道主动通知和监控通道自动切换两种，切换的触发条件有：

（1）St1：当前有效控制通道检测到影响正常工作的因素时（指令及反馈传感器工作异常等），主动停止心跳通信，属主动通知类型；

（2）St2：监控通道在系统设定的BIT 周期数内，没有检测到当前有效控制通道的心跳信息（St1 或通信故障），属自动切换类型；

（3）St3：监控通道对控制通道发送的输入指令进行三方仲裁，判定当前有效控制通道的输入指令不可信（超误差阀值），属自动切换类型；

（4）St4：监控通道对控制通道解算后发送的转弯输出指令信息进行三方仲裁，判定当前控制有效通道的输出指令不可信（超误差阀值），属自动切换类型。

2.2 控制逻辑状态及信号定义

（1）控制状态包括：

①MaBi：主通道有效，备通道空闲，为系统正常工作初始态；

于MiBa：主通道空闲，备通道有效；

③MiBi：主通道空闲，备通道空闲，为系统上电初始态（减摆模式）。

（2）触发信号满足的条件包括：

①Mok：主通道工作正常，

于Merr：主通道满足St1～St4 中的一项或多项；

③Bok：备通道工作正常；

④Berr：备通道满足St1～St4 中的一项或多项。

（3）触发信号包括：

①Mr：检测到Mok 的上升沿；

于Mf：发生Merr 的下降沿；

③Br：检测到Bok 的上升沿；

④Bf：发生Berr 的下降沿。

2.3 切换逻辑状态机设计

切换逻辑设计为单次切换，即主通道异常后自动切换到备通道，切换逻辑结束。状态机设计如图2 所示，触发信号与条件见表1，切换逻辑流程是：

表1 单次切换触发信号与条件列表

图2 单次切换逻辑状态机

（1）初始MaBi 状态下，检测到Mf 信号时，若有Bok则切换到MiBa 并转入（2），若有Berr 则切换到MiBi 并转入（3）；

（2）在MiBa 状态下，检测到Bf 信号时，若有Berr 则切换到MiBi 并转入（3）；

（3）在MiBi 状态下，整个切换逻辑结束。

2.4 单次切换逻辑验证与仿真分析

单次切换逻辑验证使用的测试用例包括：①主备通道都工作异常；于主通道工作正常，备通道工作不正常；③主通道工作不正常，备通道工作正常；④主备通道都工作正常。

仿真环境：Quartus Prime 17.1，ModelSim SE-64 10.5。仿真验证的主要代码段如下：

具体仿真分析见表2。

表2 单次切换逻辑仿真与分析

表中，CPU_WDT_M、CPU_WDT_B 是输入的主备通道喂狗信号，isready 是系统准备好信号，oCPU_M_RESERT、oCPU_B_RESERT 输出的主备通道复位信号，oControl_STATE_M、oControl_STATE_B 是输出的通道选通有效信号。MaBi 态对应oControl_STATE_M=0、oControl_STATE_B=1，MiBi 态对应 oControl_STATE_M=1、oCon-trol_STATE_B=1，MiBa 态 对 应 oControl_STATE_M=1、oControl_STATE_B=0。

经仿真分析，设计的单次切换逻辑工作正常，能够有效实现主、备通道的一次切换。

3 余度切换逻辑优化

3.1 存在问题及优化思路

在将单次切换逻辑应用到实际的系统综合验证过程中，由于部分传感器模块安装在起落架的活动部位，会引起传感器信号抖动导致的采集信息不准确，而转弯系统的控制精度要求比较高，在进行相关信号的有效性判定时容易出现对通道故障误判，单次切换能完成主、备通道的一次切换，但不足以难以满足实际的应用需求。

可行的切换逻辑优化思路是：在监控通道判定控制通道故障时，对其进行自动功能复位，从而转为备用通道，待下一次需要进行逻辑切换时，再将其作为工作正常的控制通道进行切换，如此循环切换工作直至系统断电。

3.2 循环切换逻辑状态机

在单次切换的基础上，当切换到备通道后，若备通道也发生工作异常，则将重新切回到主通道输出。当重新切回到主控制通道后，若主控制通道再次发生工作异常，则继续切换到备通道输出，如此循环直至系统停止工作。循环切换逻辑状态机设计如图3 所示，切换触发信号与条件见表3，逻辑流程是：

表3 循环切换触发信号与条件列表

图3 循环切换逻辑状态机

（1）初始MaBi 状态下：

①检测到Mf 信号时，若有Bok 则切换到MiBa 并转入（2），若有Berr 则切换到MiBi 并转入（3）；

于检测到Br 信号时，若有Merr 则切换到MiBa 并转入（2）；

③检测到Bf 信号时，若有Merr 则切换到MiBi 并转入3）；

（2）在MiBa 状态下，

①检测到Mr 信号时，若有Berr 则切换到MaBi 并转入（1）；

于检测到Mf 信号时，若有Berr 则切换到MiBi 并转入（3）；

③检测到Bf 信号时，若有Mok 则切换到MaBi 并转入1），若有Merr 则切换到MiBi 并转入（3）；

（3）在MiBi 状态下，

①检测到Mr 信号时，若有Mok 且Berr 则切换到MaBi 并转入（1）；

于检测到Mf 信号时，若有Bok 则切换到MiBi 并转入（2）；

③检测到Br 信号时，若有Merr 且Bok 则切换到MiBa 并转入（2）；

④检测到Bf 信号时，若有Mok 则切换到MaBi 并转入（1）。

3.3 逻辑验证与仿真分析

测试用例及仿真环境同上文。仿真验证的主要代码段在2.4 节的基础上增加以下核心代码：

其中，表4 中的信号含义与表2 的系统。

表4 循环切换逻辑仿真与分析

经仿真分析，优化后的循环切换逻辑工作正常，能够有效实现主、备通道的循环切换。

4 综合试验验证

在余度切换逻辑仿真分析的基础上，参考文献[6-8]，采用了一种软件模拟故障注入的方式实现系统主、备冗余切换逻辑的功能验证，即分别设置不同的软件功能模块来模拟系统硬件的各类故障及软件异常并固化到系统硬件中，在系统工作的过程中触发冗余切换机制，来判定切换结果是否符合预期设计。

（1）设计的控制通道模拟故障功能模块包括：

①BIT 异常：包括5V、15V 电压异常、内存检测异常、转弯指令、反馈（转弯角度、伺服阀开度）等传感器工作异常；

于通信异常：包括通信模块故障、停止心跳通信、停止发送通道工作状态、停止发送通道输出的指令信息；

③转弯输入与反馈指令异常：包括转弯指令传感器、转弯角度反馈及阀开度等传感器输入信息异常；

④转弯输出指令异常：包括转弯控制输出指令信息异常；

（2）设计的监控通道模拟故障功能模块包括：

①监控通道BIT 异常：包括5V、15V 电压异常，转弯指令、转弯角度反馈及阀开度等传感器工作异常；

控制通道BIT 异常：接收的控制通道BIT 信息异常；

于通信异常：包括通信模块故障、在固定的BIT 周期数内，无控制通道心跳信息；

③控制通道输入指令异常：控制通道的输入指令异常（超误差阀值）；

④控制通道输出指令异常：控制通道的输入指令异常（超误差阀值）；

（3）系统综合验证使用的测试用例与余度切换逻辑仿真的用例相同。

借助某型飞机转弯试验台进行了转弯系统综合试验验证。经验证，在各异常触发条件下，冗余逻辑状态机工作正常，冗余切换逻辑功能正常，能够完成主、备冗余及减摆模式之间的有效切换，符合预期设计。

5 结论

针对前轮转弯系统外围控制信号、转弯指令输入与反馈及核心控制等部件的冗余结构，设计和实现了的一种主、备冗余控制的单次切换逻辑状态机，并在此基础上进一步优化为循环切换逻辑。借用Quartus 硬件设计与ModelSim 仿真工具，设计了涵盖实际情况的多种测试用例，完成了主、备切换逻辑及其状态机的仿真分析，较好的实现了冗余逻辑的有效切换工作。最后采用了软件模拟故障注入的方式对系统主、备冗余切换逻辑进行了验证用例设计，并在某型飞机转弯试验台进行了综合试验。试验结果表明，设计和实现的冗余切换逻辑有效的实现主、备控制通道的无缝切换，有效提升了系统的安全和可靠性能，对其他机型的前轮转弯控制系统余度控制具有一定的借鉴意义。