■ 陈霄阳/中国民用航空飞行学院

1 AE300 发动机概况

奥地利AustroEngine 公司生产的E4 型（商用名称AE300）航空煤油活塞发动机基于EASA（欧洲航空安全局）CS-E 标准，在奔驰OM640 型汽车发动机基础上改装而成，用于DA40NG（E4A）和DA42NG（E4C）飞机。

AE300 发动机采用液冷、四冲程四气缸，气缸总容积1991cm3，搭配双顶置凸轮轴（DOHC），通过凸轮从动组件驱动四气缸共16 个气门。发动机采用燃油共轨技术实现燃油直喷，通过涡轮增压器与中冷器实现进气增压。发动机作动部件均由电子发动机控制组件（EECU）系统控制，峰值输出功率为123.5kW（168hp）。

2 AE300 发动机ECU 系统介绍

AE300 发动机与传统航空活塞发动机最大的不同是采用了EECU 系统，这是实现飞行员单杆控制发动机的关键。发动机配备的ECU 硬件和软件均由博世公司提供，是基于博世汽车柴油发动机编写的源控制代码，在保留适用于航空煤油发动机的模块和功能后应用于通用航空领域。

每台发动机都配有一个ECU组件，包含ECU A、ECU B、选择器（Voter）和继电器矩阵，该组件为发动机核心控制元件。组件中的ECU A 和ECU B 互为备份，接收三类传感器信号，分别为功率杆传感器、专供传感器和共享传感器，对信号内容进行分析计算，通过选择器挑选其中一个ECU 的指令发送给继电器矩阵，从而操作各作动器工作，控制逻辑如图1 所示。选择器实时监控两个ECU 的运行情况，任一ECU 出现故障，另一ECU 会立刻接管发动机的控制，且选择器会尽量平衡两个ECU的使用总时间。对于重要等级较高的参数，发动机将配备两个相同且独立的专供传感器，分别供给ECU A 和ECU B分析计算。这是根据航空安全冗余的需要，在普通民用汽车发动机的基础上对某些重要传感器进行备份处理。例如，在OM640 发动机的基础上，AE300 发动机在喷嘴附近机匣壳体处另开一孔，加装了一个表征发动机气门位置信号的凸轮轴传感器。

图1 EECU组件控制逻辑

总地来说，ECU 的控制逻辑是从发动机端或飞机端采集传感器信号，经过ECU 分析计算后，通过选择器输出至对应继电器，从而完成作动器的工作。其中，ECU 专供传感器（有备份）包括凸轮轴传感器、曲轴传感器、进气温度传感器、进气压力传感器、功率杆传感器；ECU 共享传感器包括齿轮箱温度传感器、滑油温度传感器、燃油温度传感器、共轨压力传感器、滑油压力传感器、冷却液温度传感器、燃油温度传感器；作动器包括燃油喷嘴、进气压力控制器、共轨压力控制阀、调速器电机作动器、燃油计量组件、电动燃油泵、警戒灯。这些传感器和作动器在EECU 系统这个“大脑”的计算和指挥下，实现发动机进气系统、燃油系统、发动机扭矩转速、螺旋桨调速等关键系统的正常工作，保证发动机平稳运转。

2.1 ECU FAIL 警戒指示

ECU FAIL 是显示在主飞行显示器（PFD）上的一种琥珀色警戒信息，用于提示飞行和机务人员发动机的某种异常状态，是对超过100 种发动机异常状态的统一的警戒提示信息，警戒灯（Caution lamp）可以理解为作动器的一种。

根据触发ECU FAIL 的具体故障原因，ECU FAIL 警戒指示分为“非锁存”和“锁存”两类。非锁存ECU FAIL 警戒指示可以在故障信号恢复正常后消失，锁存警戒指示要在完成相应维修工作后才能消失。

根据已知的文献和故障信息，触发ECU FAIL警戒指示的原因有以下三类。

2.1.1 传感器/作动器故障

1）ECU 通电自测试不通过。每次ECU 通电后，ECU 将根据预设检查清单自动发起自测试，如发现传感器或作动器连接存在问题，触发ECU FAIL。

举例：在地面发动机燃油共轨压力控制阀（PCV）未安装到位的情况下打开发动机主电门，ECU 自动发起通电自检不通过，将直接触发ECU FAIL 警戒指示，且发动机无法起动，故障代码可能为“2500”压力控制阀供电失效（Pressure control valve power stage failure）。

2）发动机各系统传感器参数不匹配。发动机运行过程中，需要多个传感器向ECU 同时提供实时参数进行计算以输出控制信号，当协同信号源明显不匹配或相互合理性缺失时，将触发ECU FAIL 警戒指示。

举例：ECU 实时感受到发动机转速和位置信号时，每一个ECU 各有一套专供的位置传感器，曲轴传感器获取增量信号，凸轮轴传感器获取相位信号，ECU 获取这两个信号后将执行合理性检测，检测增量和相位信号的相互合理性。在该例中，两个周期的增量信号必须对应一个周期的相位信号，增量信号和相位信号之间的时间差必须保持在给定容差范围内（容差取决于发动机机械布局和凸轮轴传动的扭转振动），如果超出容差，将触发ECU FAIL 警戒指示，故障代码可能为“2606”凸轮轴及曲轴同步故障。

2.1.2 传感器反馈信号值与ECU 设置值（set point）对比异常

运行过程中传感器实时与ECU 进行信息沟通，传感器反馈信号值异常可定义为4 种情况：MIN、MAX、SIG、NPL。根据信号值异常的严重程度，其中一些情况可能触发ECU FAIL 警戒指示。信号异常类型如表1 所示 。

表1 信号异常类型

2.1.3 ECU 本体硬件、软件失效

如果ECU 本体硬件组装或软件安装出现异常，根据问题的严重程度，可能触发ECU FAIL 警戒指示。

举例：如出现ECU 硬件封装导致的工作异常，将触发ECU FAIL 警戒指示，故障代码为“2386”ECU 硬件封装失效（ECU hardware encapsulation failure）。如ECU 软件安装出现异常，将触发ECU FAIL 警戒指示，故障代码为“1D11”ECU 身份识别失效（ECU identity failure）。

综上所述，ECU FAIL 警戒指示触发的原因存在多种类型故障可能。这些问题包括传感器故障，空气、燃油、滑油系统性能衰退，电气供给不足等，也包含ECU 内部的问题。

2.2 ECU 失效安全设计

如前所述，触发ECU FAIL 警戒指示的原因和情况众多，而ECU 本身也具备一些失效安全和冗余设计。

2.2.1 双ECU 备份系统

每台AE300 发动机配装的ECU 组件包含两个相互备份的ECU A 和ECU B，通过选择器（Voter）和继电器矩阵实现信号输出控制。当任一ECU 检测到发动机故障时，通常选择器自动切换至另一ECU 接管发动机控制，从而提高安全裕度。

2.2.2 防止ECU 断电

稳定的ECU 供电系统对于ECU 工作以及发动机的正常运转具有决定性作用。正常情况下，每台发动机带动一台交流发电机向各自发动机的ECU 汇流条供电，当发电机失效时，飞机主电瓶和ECU 备用电瓶接管供电。左ECU备用电瓶位于乘客座椅下部，由两个12V、7.2Ah 的密封铅酸电瓶（P/N：LC-R127R2PG）串联组成；右ECU 备用电瓶位于飞机尾鳍（tail fin）中，由两个12V、12Ah 的密封铅酸电瓶（P/N：LC-RA1212P1）串联组成。当飞机主电源全部失效时，每侧的ECU 备用电瓶可经同侧的ECU 汇流条为同侧ECU 及其控制的电动燃油泵继续供电，也能经异侧ECU B 汇流条为异侧ECU B 通道和燃油泵B 供电。备用电瓶可支持供电约30min。

ECU 供电系统包含三级冗余，即发电机、主电瓶和备用电瓶，备用电瓶可交叉供电。

2.2.3 防止发动机传感器信号丢失、异常

当发动机运行过程中出现传感器信号丢失或异常时，ECU 系统会自动给出该失效传感器对应信号的默认值，供系统计算后继续输出控制信号。具体参数如表2 所示。

表2 出现故障时的发动机状态

从表2 可以看出，即使这些与发动机运转有关的重要传感器失效故障，ECU 系统也会分配一个默认参数来确保发动机处于至少80%可用功率的性能状态，可靠性较高。

综上三点失效安全设计，在AE300发动机EECU 系统供电正常且发动机无严重机械损伤的前提下，因ECU FAIL警戒指示燃亮导致运行过程中发动机停车的可能性较低。

3 典型ECU FAIL 故障介绍

本文采集了与ECU FAIL 警戒指示有关的故障事件135 起，具体分布为：地面试车/起飞前ECU 自检测试故障73 起，调速器本体故障12 起，废气活门控制器故障33 起，滑油压力传感器故障11 起，燃油压力传感器故障5 起，燃油共轨压力控制阀故障1 起。故障分布如图2 所示 。

图2 ECU FAIL故障分布

3.1 试车/起飞前ECU 自检测试故障

故障描述：手册规定，起飞前和定检后需执行ECU 自检测试程序。ECU自检测试用于模拟由传统螺旋桨控制手柄（机械式变距机构）实现的人工加速减速功能，并通过不同ECU 通道的切换控制来检测ECU 通道控制功能。ECU自检测试对于确保发动机性能至关重要。

在整个ECU 自检测试过程中，若任一ECU 系统给定的检测标准不满足（超时、执行某任务时间过长等），ECU 将终止自检，给出ECU FAIL 警戒指示。地面读取ECU 数据，显示非锁存ECU 故障代码“1D07”ECU 自检超时故障和非锁存ECU 故障代码“1C01”螺旋桨自检故障。

故障原因：

1）调速器硬件和ECU 软件给出错误信号，机械部件宏观表现为螺旋桨变距较为迟滞，导致螺旋桨自测试超时。地面清除ECU 故障代码后重新试车，通常可恢复正常。

2）螺旋桨变距机构卡阻，离心锁机构卡阻，转速增加后离心锁不能分离，活塞杆体锁死，齿轮箱油压和螺旋桨弹簧不能使螺旋桨桨缸活塞作动，螺旋桨转速控制不灵敏。

小结：地面ECU 自测试故障大多数为自检软件参数与测试情况不匹配所致，消除故障代码重新试车通常可以恢复正常。如存在部件真实机械故障，可通过地面调节或换件的方式排除。AustroEngine 公司已更新ECU 软件，从软件控制角度减少了该类故障的发生。

另外，试车人员应了解引起ECU自检中断的几种情况：测试按钮被松开；空地电门释放超过1s；功率杆移动超过5%功率的位置；EECU 检测到系统错误。

3.2 调速器本体故障

故障描述：

1）地面试车后执行渗漏检查，发现调速器壳体有齿轮箱油渗漏。

2）螺旋桨转速到达2300rpm 后不随功率降低而下降。ECU 故障代码为“1c04”螺旋桨调速器止动开关失效或“1c03”螺旋桨调速器作动器故障。

故障原因：

1）调速器密封状况不好，质量不佳。

2）调速器电机卡在最大转速位，杠杆压在飞重弹簧上的压力始终很大，调速器处于欠速（underspeed）状态，齿轮箱油持续输送给变距机构变小距，致使收油门时变大距功能失效，螺旋桨转速保持在2300rpm，最终收至接近慢车位时，发动机功率不足以维持2300rpm，转速下降。分析认为，调速器内部存在大转速位置卡阻现象，可按照调速器调节程序进行排故。拆开调速器后盖发现最大转速止动螺钉压紧螺帽松动，未在压紧位置，最大转速止动螺钉疑似退出。

小结：除本体漏油等质量问题外，调速器电机作动器的工作可靠性以及ECU 软件控制与调速器机构匹配问题仍在改进优化中。调速器本体为无定期维护项目，目前用户只能通过地面试车对调速器性能加强监控，在地面大车和ECU 自检测试时应加强对螺旋桨调速系统的监控，出现相关故障后及时采取对应排故措施。

3.3 废气活门控制器故障

故障描述：飞机起飞抬轮时，发动机ECU 的A、B 通道出现ECU FAIL 警戒指示，其余发动机参数及飞机操控均正常。读取发动机ECU 代码为“2359”进气压力调节失效，对应进气压力超限故障，地面测试废气活门控制器组件不能作动，膜盒漏气，涡轮增压器废气活门不能打开，进气压力超高限。

故障原因：发动机通过进气压力传感器反馈信号至ECU，使进气压力作动器（BPA）组件作动，BPA 组件通过引气控制废气活门控制器组件改变涡轮增压器的转速来控制发动机进气量。在滑跑起飞时，发动机转速和涡轮转速都是最大状态，随着飞机速度的增加，进气压力进一步增加，BPA 组件根据ECU 作动信号降低涡轮转速以减小进气压力，但由于废气活门控制器组件失效，涡轮增压器废气活门不能打开，涡轮不能降低转速，导致在滑跑起飞时发动机进气压力过高，出现ECU 警戒指示。

该废气活门控制器组件来源于汽车工业，由于设计安装原因，控制杆运动轨迹与膜盒平面无法达到完全垂直，存在一定偏磨。高频变换气压长时间作用在膜盒上，膜盒一侧与金属壳体相磨，导致橡胶膜片破损漏气，膜盒失效。

小结：AustroEngine 公司已改装BPA 组件限流器，对进气压力作动器至废气活门控制器段的引气管进行了改装，以缓冲进气压力的振荡。改装后故障率有一定下降，但废气活门控制器膜盒橡胶件与金属相磨的结构未改变，改装仅能延长膜盒使用寿命，不能杜绝故障的发生。应继续加强对100h 废气活门控制器组件测试工作的监控，及时发现控制组件缺陷，同时做好地面试车数据监控。

3.4 燃油共轨压力控制阀故障

故障描述：一架飞机起飞爬升至500ft（152m）左右，在设置爬升功率时左发螺旋桨转速下降至2000rpm，功率下降至63%，出现ECU FAIL 警戒指示。机组报告塔台后沿起落航线着陆。飞机正常着陆后，在滑行过程中左发停车。地面读取ECU 数据，发动机有两条故障代码：“2017”共轨计量组件失效3（最小共轨压力超限）以及“2500”压力控制阀供电故障（压力控制阀PCV供电开路）。

故障原因：共轨压力控制阀是发动机燃油系统的一部分，是调节共轨压力的组合阀，ECU 通过控制阀门的开闭调节回油量从而调节共轨压力。当共轨压力控制阀无电信号时，该阀处于常开状态，共轨回油量最大，共轨压力下降。当发动机在较高转速时，发动机供油充足，并在转动惯量的作用下能够保持发动机较正常的运转，转速功率受影响较小。当发动机处于低转速时，燃油供给绝对量不足，共轨的燃油量小于发动机需求，且发动机转速不能保持在维持发动机正常运转的最低转速，最终导致发动机停车。

该故障的直接原因是共轨压力控制阀插头未安装到位，发动机工作过程中，由于振动导致插头松动断开，共轨压力控制阀失效，触发ECU FAIL 警戒指示，最终收油门至慢车状态时发动机停车。

小结：这是一起由机务人员维护过程中未将共轨压力控制阀插头安装到位引发的故障。机务人员在定期检查中应加强对发动机各作动器、传感器插头固定可靠、锁定到位情况的检查。

4 总结

AE300 发动机ECU FAIL 警戒指示用于提示飞行和机务人员发动机的异常状态，是对超过100 种发动机异常状态的统一的警戒提示信息，不代表ECU本体失效或故障。针对ECU FAIL 警戒故障，AustroEngine 公司开发了Wizard发动机数据读取软件，但仍缺乏对应不同ECU 故障代码的排故程序。AE300发动机的用户应向发动机生产厂家反馈运行中的典型故障，积极督促厂家指导、支持和设计改进，同时收集整理ECU FAIL 故障数据及排故信息，为AE300发动机可靠性分析、重点故障研究建立数据基础。