运输类飞机电传飞控系统终极备份方法研究
2022-06-14戴闰志杨士斌马立群黄铭媛
戴闰志,杨士斌,马立群,黄铭媛
(1. 中国民用航空上海航空器适航审定中心,上海 200335;2. 中国民航大学适航学院,天津 300300)
1 引言
当前运输类飞机适航规章25.1309(b)(1)款规定[1],飞机系统发生任何灾难性失效状态是极不可能的,且均不会因单个失效而引起,即要求飞机系统发生灾难性失效状态的概率应小于10-9,且要求不能发生单点失效,不论失效概率是否低于10-9。相应的咨询通告中给出了满足25.1309(b)(1)款的符合性方法:飞机系统应满足“失效-安全”设计理念。“失效-安全”要求的目标为:在任何系统或子系统中,任何一次飞行期间的任何单个组件、部件或连接的故障都应该被假定,而不管其概率如何。这些单个故障不应造成灾难性失效状态。
当前主流运输类飞机,如波音B777、B787和空客A380、A350等,普遍采用了电传飞行控制系统。对飞控系统进行功能危害性分析(FHA)可得飞控系统丧失任一轴控制的影响等级都是灾难性的,因而其失效概率应设计为极不可能(即失效概率小于1e-9)。通过分析和工程经验总结得出影响这种综合复杂系统安全性的故障来源包括随机物理故障和设计差错等。针对已知的随机物理故障通过余度架构设计可实现失效概率要求[2],而针对设计差错采用ARP 4754建议的研制过程保证的方法进行差错避免[3],但不能消除差错,仍有可能发生因未知故障或差错引起共模故障而导致电传系统整体失效,因此需要考虑电传系统失效后的应对措施。另一方面根据“失效-安全”要求,不论概率如何任何系统都应假定其可能失效,因此需要考虑在电传飞控系统丧失的情况下,运输类飞机如何保证对飞机的持续控制。当前欧美运输类飞机机型都设计有电传飞控系统丧失后的终极备份控制系统,保证飞机继续可控,以缓解电传飞控由单点失效或共模故障[4]等事件引起的完全失效。
终极备份系统是指在电传飞控系统失效的情况下对飞机可控的最终备份控制方法。本文首先介绍了当前波音和空客主流机型在电传飞控系统失效后采用的终极备份情况,对比分析了波音和空客系列终极备份方法的区别。通过仿真某运输类飞机机型在不同终极备份控制方法下飞机的稳定性和操纵性,分析终极备份的方法、目的和设计中的考虑。
2 终极备份应用情况介绍
2.1 波音系列机型
波音第一架电传飞控机型B777的终极备份是机械备份,在全部电源丧失后,可以通过对4号和11号扰流板及水平安定面的机械链接提供控制,如图1所示。飞行员通过驾驶舱内的驾驶盘机械操纵4号和11号扰流板液压作动器的阀,直接驱动扰流板;通过备用平尾配平手柄机械操纵平尾控制模块的阀,液压作动水平安定面,以使驾驶员可以水平直线飞行,直到电源系统重新启动[5]。
图1 B777飞控系统舵面布置
B787飞控系统的终极备份形式同B777一致,采用水平安定面和一对扰流板保证对飞机俯仰和滚转的控制,但采用了电备份的形式[6]。
对于俯仰轴,飞行员操纵中央控制台上的备用俯仰配平开关,备份系统不经过作动器控制电子(ACE)和飞行控制模块(FCM),直接将开关信号发送给水平安定面的EMCU(电子马达控制单元),通过机电作动器(Electromechanical Actuator,EMA)驱动平尾运动。对于滚转轴,飞行员操纵杆盘上的滚转控制拨轮,备份系统不经过ACE和FCM,直接将对应的传感器信号发送给两块扰流板的EMCU,通过马达配平作动器(EMA)驱动扰流板运动。
图2 B787飞控系统舵面布置
综上可知:波音机型的终极备份系统,采用一对扰流板控制滚转,采用水平安定面控制俯仰。这样的备份系统,可在电传飞控系统失效后,提供一定的控制能力,在短时间内维持飞机姿态,等待系统重启。据有资料显示波音的备份系统很难达到飞控系统最小可接受控制(MAC,Minimum Acceptable Control)的要求,并不能实现持续安全飞行和着陆。
2.2 空客系列机型
1) A320机型
空客第一架电传飞控机型A320的终极备份形式为:在电传飞控系统完全丧失后(或所有飞控计算机均失效),采用了方向舵和水平安定面的机械备份形式[7]。
飞行员可通过脚蹬直接控制方向舵,通过平尾人工配平手轮控制水平安定面,为飞机提供一定的偏航和俯仰控制能力。对于偏航轴,飞行员操纵脚蹬,备份系统不经过飞控计算机,直接通过机械连接将飞行员指令发送给方向舵动力控制单元(PCU),从而驱动方向舵运动;对于俯仰轴,飞行员拨动平尾人工配平手轮,备份系统不经过飞控计算机,直接通过机械连接实现平尾控制,且机械控制的权限高于电气控制[8]。
A320终极备份设计为使得飞行员安全地稳定飞行轨迹,同时尝试恢复控制律或重启系统,但是这种构型下飞机不能进近和着陆。如图3所示为A320飞控系统架构。
图3 A320飞控系统架构
2) A340机型
A340飞机采用了同A320一致的终极备份系统,通过机械连接方向舵和水平安定面提供控制。2002年取证的A340-600机型需要精确进行方向舵控制来抑制结构振动,因此终极备份形式采用了完全电气操纵方向舵,其带有自主的能源转换器(从液压到电气),完全独立于主和辅助飞控计算机。它综合了偏航速率陀螺、脚蹬传感器和方向舵伺服控制回路[8]。如图4所示为A340飞控系统架构。
图4 A340飞控系统架构
3) A380机型
A380的终极备份采用了电气备份形式。在所有的主和备用计算机或者它们的电源供给失效情况下,由电气备份系统控制飞机,取代了以往的直接机械备份操纵。备份控制模块(BCM)对飞机的水平安定面、全部方向舵、内侧副翼和内侧升降舵提供应急电气备份控制[9]。
图5 A380飞控系统架构
A380采用模拟备份控制模块(Backup Control Module,BCM)控制,接收侧杆、脚蹬和俯仰配平开关的指令,控制一对内副翼、一对内升降舵、两块方向舵和水平安定面运动。因此,在完全丧失3台PRIM和3台SEC后,BCM可针对飞机三轴提供必要的飞行控制和稳定性。BCM电气备份系统的控制律具有俯仰阻尼、偏航阻尼和直接滚转功能,不仅能在空中维持飞机姿态,还可实现安全飞行和着陆。
4) A350机型
A350采用数字BCM控制,包含一对副翼、一对升降舵、方向舵。BCM内部有2个陀螺仪,可产生俯仰和偏航角速率信号,提供俯仰和偏航阻尼功能。BCM接收侧杆和脚蹬的指令,进行直接控制律计算,控制部分液压伺服作动器运动,对应的控制舵面有:左升降舵(外侧作动器)、右升降舵(外侧作动器)、方向舵(上作动器)、左内副翼(外侧作动器)和右内副翼(外侧作动器)。
图6 A350飞控系统舵面作动架构
综上所述,空客系列机型从A320/A340到A380/A350的终极备份发展从能源形式、控制舵面和功能上可以总结为以下:从机械备份形式发展到电气模拟备份、再到A350的电气数字备份;从采用方向舵控制偏航、水平安定面控制俯仰,扩展到采用方向舵、升降舵和副翼作为备份舵面,其安全余度达到了前所未有的高度;从仅能在空中维持飞机姿态,发展到还可实现安全飞行和着陆、以及必要的控制功能。
3 终极备份方法对比分析
下表展示了波音与空客机型的终极备份方法的汇总。
表1 波音与空客机型终极备份方法
通过以上对比分析终极备份的形式可得,波音和空客终极备份的相同处在于:
终极备份都在两个轴上具备了控制能力;备份形式从机械发展到电气备份;备份舵面和备份余度增加,功能也在增强。
不同的是:
1) 波音的终极备份系统通过俯仰和滚转轴进行控制,采用水平安定面控制俯仰、一对扰流板控制滚转。波音的备份系统很难达到飞控系统最小可接受控制(MAC, Minimum Acceptable Control)的要求,并不能实现持续安全飞行和着陆。这样的备份系统,可在电传飞控系统失效后,提供一定的控制能力,在短时间内维持飞机姿态,等待系统重启。
2) 空客的终极备份系统通过俯仰和偏航进行控制,采用水平安定面控制俯仰、方向舵控制偏航,后扩展到采用副翼、升降舵和方向舵,同时执行直接控制律计算,终极备份控制功能更强。终极备份不仅能够实现稳定飞机姿态,同时能执行基本控制功能,可以安全飞行和着陆。
由以上对比分析可得:
1) 当前服役的电传飞控飞机无一例外均配备终极备份。
通常,主飞控系统丧失任一轴的控制其FHA分析的等级都是灾难性的,因而其失效应是极不可能的(即失效概率小于1e-9),针对已知的随机物理故障通过架构设计可实现失效概率要求,通过过程保证可减少设计差错,但无法完全避免。对于未知的故障或设计差错仍需要考虑系统失效后的应对措施,因而即便系统失效概率已满足安全目标,仍需有终极备份措施。
2) 终极备份设计上控制能力低于最小可接受控制,但至少是两轴备份(俯仰+滚转/偏航)。以下将通过数值仿真分析其内在原因。
3) 终极备份的目的和形式不同,取决于飞机特征。终极备份的目的是暂时保持稳定还是继续安全飞行和着陆取决于飞机设计特征。采用电气备份或机械备份也可能需考虑飞机特征,例如某些主动增稳或模态抑制功能对飞机至关重要,因此终极备份需要通过电气备份保留该功能。同时终极备份用于稳定飞机时对于外部干扰的抵抗能力如何不可知。
4) 除了波音和空客这种依靠舵面进行两轴或三轴控制的终极备份方式外,是否还有其他的方式也可用于控制飞机。终极备份对飞机的控制能力如何,以下将通过仿真进行分析。
4 终极备份方法仿真分析
下面将对通过飞行仿真对飞机的终极备份方式进行分析,以某型运输类飞机为研究对象,通过建立飞机的6自由度非线性数学模型,研究分析在常规操纵舵面失效,即电传系统失效情况下,通过终极备份操纵舵面,能否满足正常的飞机稳定性和操纵性。本算例中备份的操纵面包含水平安定面、方向舵、一对扰流板,另外也可以通过发动机的左右差动(两发协同控制)辅助飞机的横航向控制。设定飞机在5km高度下平飞,速度为0.9mach,水平安定面的极限偏转速率为0.3°/s,扰流板的物理偏转范围为0-45°。
4.1 终极备份控制仿真
建立 6自由度非线性数学模型如下所示[11][12]。
动力学方程组
(1)
运动学方程组
(2)
力矩方程组
(3)
导航方程组
(4)
p、q、r表示三个角速度;
通过横纵向控制系统数学模型可知纵向和横侧向控制是解耦的,每一轴向都必须进行单独控制。
仿真包括以下工况:
表2 仿真工况
仿真1:在仿真过程中保持升降舵零位,通过水平安定面控制,验证纵向的抑制干扰能力。仿真在40s时加入峰值为15ft/s的离散垂直阵风,则飞行状态如图7所示。
图7 纵向稳定性仿真
如上图所示,在40s时加入阵风干扰后,对纵向的飞行状态法向过载和迎角都有瞬时扰动量,后通过水平安定面的偏转可以对阵风进行抑制,恢复到原来的稳定飞行状态,说明水平安定面具有一定的抵御垂直阵风,保持稳定飞行的能力。
仿真2:在仿真过程中保持升降舵零位,通过备份水平安定面来控制法向过载,验证剩余的控制能力。仿真初始保持过载指令为1,在40s时滚转输入为幅值为0.8g、1.3g,周期40秒的滚转角方波信号,则飞行状态如图8所示。
图8 纵向操纵性仿真
由以上仿真图可以看出,备份水平安定面可以实现基本的滚转控制功能,但由于水平安定面气动力大、偏转速率慢的特点,过载控制响应时间慢,上升时间长,俯仰姿态在控制过程中有较大的超调量,控制品质不佳。
仿真3:在仿真过程中,通过分别使用扰流板、方向舵、发动机差动控制,来验证横向抑制干扰的能力。在仿真中,40s时加入峰值为15ft/s的离散侧向阵风,则飞行状态如图9所示。
图9 横侧向稳定性仿真
从以上仿真可以看出,在横侧向不加控制时,机体通过自身的稳定性就可以抑制阵风的干扰,体现出收敛的趋势,但收敛时间较长,长时间处于衰减振荡过程中,这对于其他通道的飞行操纵和乘坐品质都会产生负面影响。利用备份舵面可以在一定程度上提升抑制侧风能力,如上仿真所示,利用扰流板可以减小滚转角振荡幅值,利用方向舵可以减小衰减次数,而利用发动机差动抑制效果提升幅度不明显。
仿真4:在仿真过程中保持副翼零位,分别通过备份扰流板、方向舵、发动机差动来控制滚转角,验证剩余滚转控制能力。仿真初始保持滚转角指令为0,在40s时滚转输入为正负30度,周期20秒的滚转角方波信号,则飞行状态如图10所示。
图10 横侧向操纵性仿真
由以上仿真图可以看出,备份扰流板、方向舵、发动机差动都可以实现基本的滚转控制功能,但从操纵时间来看,均未达到11s内由-30°到30°的适航性能要求。备份扰流板控制能力有限,给定30°的滚转角指令,很快就使舵面达到45°的物理限幅;方向舵和发动机差动均可通过诱导来进行横控制,方向舵的控制能力和控制品质要优于发动机差动控制。
4.2 结果分析
综上仿真结果分析可以看出,在电传飞控正常操纵舵面失效时,通过终极备份可以保证飞机具有一定的稳定性和操纵性,但部分飞行性能尚达不到适航的可控性和机动性要求。
1) 俯仰+滚转或俯仰+偏航的两轴终极备份均能获得基本的稳定可操纵能力。通过水平安定面控制纵向,一对扰流板、方向舵或发动机差动控制横侧向作为终极备份可以实现飞机的稳定可操纵,但达不到继续安全飞行和着陆的能力。在终极备份设计成稳定飞机姿态等待电传系统重启时,适航需要进行地面试验以验证可以重启成功。若无法重启,需考虑终极备份设计为具备继续安全飞行和着陆能力,则需要进行三轴控制设计。
2) 采用发动机差动形式的终极备份理论上可行,但实践较为困难。两侧发动机差动对驾驶员操作要求高,驾驶员需要特殊的特殊技巧和体力,经过特殊培训;时间延迟很大,对发动机性能要求高;发动机差动会引起纵向状态变化,对速度变化影响大。
3) “稳定可操纵”能力远远小于“继续安全飞行和着陆”。从终极备份的目的来看,若终极备份仅用于实现稳定可操纵,可等待电传系统重启;若用于继续安全飞行和着陆则对终极备份要求会更高,但系统设计会更复杂。因此需要综合考量飞机设计各方面,包括能源供给、系统复杂度、飞控计算机的失效重启时间、质量、维护性、安全性等,得到最优设计方案。
5 结论
本文从“失效-安全”的适航要求出发,通过总结当前波音和空客主流机型终极备份的应用情况,对比分析了终极备份方法的应用形式和目的。通过仿真某机型在终极备份情况下飞机的稳定性和操纵性,得到结论如下:飞机两轴可控,如水平安定面控制纵向,一对扰流板、方向舵或发动机差动控制横侧向,这种两轴的终极备份方式可以实现飞机的稳定可操纵,但达不到继续安全飞行和着陆的能力。采用两侧发动机差动控制横侧向的方法理论可行,但实践起来会很困难。终极备份的目的和系统设计方案取决于飞机本身特征,需要在飞机顶层设计时综合考量。