基于非相似架构的民机起落架收放控制单元设计研究
作者: 李建勇
摘要:为满足民用飞机高安全性要求,文章设计了一种基于非相似架构的双通道起落架收放控制单元(LGCU) 。该控制单元采用不同的处理器和硬件电路,以及不同的软件设计,实现了控制通道和监控通道在功能和结构上的独立和非相似,显著提高了起落架收放控制系统的安全性。该设计方法对国内民机的起落架收放控制系统及设备研制具有重要参考价值,并可以推广应用。
关键词:非相似架构;控制单元;控制通道;监控通道;安全性
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2025)08-0093-04
开放科学(资源服务) 标识码(OSID)
0 引言
起落架收放控制系统是飞机重要的控制系统之一,负责在飞机起飞和着陆阶段控制起落架完成收起和放下动作,保证飞机安全起降。起落架在飞机起飞、着陆阶段的故障将可能导致灾难性事件发生。历史上,国内外曾发生过多起由于起落架系统故障导致飞机无法正常放下全部起落架,最终引发一等事故的案例。因此,民用飞机对起落架相关的安全性要求极高,一般将起落架收放控制系统定义为A级系统,对其失效率要求小于1×10^-9。
在国内,虽然已有MA-60、Y12、ARJ-21、C919等多个型号的民用运输类飞机的研发经历,但是关键机载控制系统仍主要由国外供应商提供,国内的机载设备供应商在研制水平和过程保证上与国外先进水平还有不小的差距。随着国内民用航空市场的不断扩大,国内机载设备供应商也在积极探索,努力提升民机机载设备的研制能力,助力国内民用航空制造业的跨越式发展。本文基于国内某新型涡桨支线客机的研制背景,依据ARP4754A、ARP4761A等国际通用的民机研制流程及方法指南,以设备需求为牵引,按照正向研制流程,开展了起落架收发控制单元研制。探索了一种基于非相似架构的起落架收放控制单元设计方法,进行了工程实现,并在某型涡桨飞机上装机应用。通过仿真、试验及试飞验证,表明采用该架构的控制单元的安全性相比以往产品有显著提升,证明了该设计方法的有效性和先进性。本文的研究内容对国内其他民机机载系统的研制也有参考价值。
1 安全性需求
1.1 系统组成
某型民用涡桨支线飞机的起落架收放控制及位置告警系统由位置传感器、起落架控制手柄、起落架选择阀、安全阀、起落架收放控制单元等设备组成。该系统实现对起落架正常收起和放下的控制功能,以及对前、主起落架位置状态和轮载状态的指示及告警功能。系统所有的信号解算、控制逻辑处理及输出、位置指示逻辑处理及输出均由收放控制单元实现[1]。
1.2 关键安全性需求
飞机对起落架收放控制及位置告警系统的安全性需求中,涉及的主要的灾难性事件有以下几种。
1) 在地面及滑行过程中,系统意外地发出收起指令,属于灾难级故障,发生概率应小于1×10-9/FH。
2) 进近过程中,系统丧失起落架正常收放控制功能,导致不能正常放下所有起落架且未发出“起落架未放下”告警信息,属于灾难级故障,发生概率应小于1×10^-9/FH。
“意外发出收起指令”事件需要以下任一独立的失效事件发生[2]。
1) 收放控制单元错误发出选择阀收起线圈正端驱动命令,且控制手柄的收起线圈负端开关错误接地。
2) 或者控制手柄错误的向控制单元发出收起命令,且提供了选择阀的收起线圈负端接地。
3) 或者选择阀和安全阀的机械部件同时失效,导致收起油路接通。
按照ARP4754A的5.2.1[3]节所述,对该故障事件所涉及各子功能的研制保证等级(FDAL) 分配如下。
1) 收放控制单元提供收起线圈正端驱动功能=A,控制手柄提供收起线圈负端接地功能=C。
2) 控制手柄提供收起命令功能=A,控制手柄提供收起线圈负端接地功能=C。
3) 选择阀油路接通功能=B,安全阀油路接通功能=B。
两个液压阀的研制保证等级分配为B,是由于这两个设备是独立的设备且工作原理不同。
由此形成的FDAL分配见图1所示。
“在进近过程中,系统丧失起落架正常收放控制功能,且未发出‘起落架未放下’告警信息”事件需要以下的失效事件同时发生。
1) 收放控制功能失效。
2) 提供起落架未放下指示功能失效。
按照ARP4754A的5.2.1节所述,起落架收放控制功能和起落架位置指示功能的功能研制保证等级应分配为以下三种中的一种。
1) 起落架收放控制功能=A,起落架位置指示功能=C。
2) 起落架收放控制功能=C,起落架位置指示功能=A。
3) 起落架收放控制功能=B,起落架位置指示功能=B。
由此在系统设计中,将起落架收放控制功能分配为A级,将起落架位置指示功能分配为C级。
由于两个液压阀、控制手柄的功能失效均会导致收放控制功能失效,因此,把这一A级功能关联的子功能均分配为A。
形成的FDAL分配见图2所示。
2 收放控制单元架构设计
收放控制单元是收放控制及位置告警系统中的关键部件,其主要功能是采集手柄及位置传感器信号,按照预定的控制逻辑向液压阀发出驱动信号,驱动起落架完成收起和放下动作;同时,收放控制单元通过总线向飞机其他系统发送起落架位置和告警信息。根据2.2节中对功能FDAL分配的结果,控制单元中的收放控制功能和位置指示功能是两个不同研制保证等级的功能,从产品安全性设计中的共因设计考虑,这两个功能应独立实现,实现这两个功能的硬件和软件应非相似,据此确定控制单元的总体架构。控制单元内部由控制通道和监控通道两个独立的功能模块组成,控制通道主要完成起落架收放控制功能,输出液压阀驱动命令和硬线的轮载指示信号;监控通道主要完成总线形式的起落架位置指示及告警,以及对控制通道的工作状态进行机内自检测(BIT) 等功能。
两个功能模块在结构上是独立的。这两个模块采用非相似的硬件电路和软件设计[4],并由不同的软硬件团队开发,消除共模因素的影响。两个模块间仅通过一条UART串行总线进行数据传递。收放控制单元架构原理图如图3所示。
2.1 控制通道
2.1.1 功能
控制通道完成以下功能。
1) 接收起落架控制手柄提供的收上或放下指令。
2) 采集上位锁、下位锁、轮载以及舱门传感器信号。
3) 按照预定的控制逻辑,发出选择阀、安全阀、手柄解锁的驱动信号。
4) 输出硬线形式的轮载状态信号。
5) 执行本通道的硬件BIT检测。
6) 通过UART串行总线向监控通道提供所检测的输入和输出信号数据以及工作状态数据。
2.1.2 硬件
控制通道硬件电路由电源电路、中央处理器电路、信号采集电路、输出驱动电路、维护调试电路和BIT电路组成。
电源电路:将28 V直流电源转化成控制通道所需的+5 V、±15 V、+3.3 V、+2.5 V等二次电源,并设计瞬态电压抑制、EMI滤波等电磁干扰抑制电路。飞机向收放控制单元并行提供正常和应急两路不同的28 V直流电源,以提高供电的安全性。电源电路通过隔离二极管选择较高电压的28 V电源送到转换电路。
中央处理器电路:采用数字信号处理器(DSP) 芯片作为处理器,该处理器集成了FLASH存储器、SRAM存储器以及UART总线接口,通过扩展少量的外围电路,实现数据采集、计算、逻辑处理、输出、BIT监测、看门狗复位等功能。软件驻留在该芯片FLASH存储器中。从非相似性设计考虑,控制通道的处理器型号和相应的软件指令集与监控通道不同。
信号采集电路:将接近传感器的电感信号、控制手柄和位置编码的离散信号、用于BIT的各种电源信号进行信号转换,并处理成数字信号,送到处理器进行信息处理。其中对多路接近传感器信号采用分时采样、集中解算方式,首先通过A/D转换器将传感器电压信号转换成数字信号,再经过软件的DFT计算,解算出各接近传感器的电感值,由软件判断出接近传感器相应的接近/远离状态信息。
输出驱动电路:接收处理器送出的控制信号,经过驱动转换,输出28 V电压到起落架液压阀,输出离散轮载信号到飞机其他系统。
维护调试电路:当控制单元在地面时,维护人员可以通过维护调试电路实现控制单元故障数据的下载、应用软件的加载等功能。维护调试时控制单元通过RS-232总线与地面设备通信。
BIT电路:对控制通道的二次电源、处理器、A/D转换电路、输出驱动电路等功能电路进行检查确定其有效性,并把检查结果通过UART总线送到监控通道。
2.1.3 软件
控制通道软件包括Boot软件、Load软件和应用软件三个部分。软件驻留在DSP芯片的FLASH存储器中。
Boot软件:负责上电后对控制通道硬件电路的基本初始化,根据外部命令使控制通道转入到加载模式行Load软件,或转入到正常模式运行应用软件。DAL等级为C。
Load软件:负责在地面对控制通道应用软件的加载,下载故障数据等。DAL等级为C。
应用软件:负责完成控制通道的起落架控制功能。DAL等级为A。
控制通道软件在TI公司的DSP集成开发环境下进行开发,源代码采用C语言编码,编译后形成基于DSP器件指令集的可执行代码。该软件开发环境与软件指令与监控通道是完全不同的,实现了软件层面的非相似设计。
2.2 监控通道
2.2.1 功能
监控通道完成以下功能。
1) 接收起落架控制手柄提供的起落架收上或放下指令。
2) 采集上位锁、下位锁、轮载以及舱门传感器信号。
3) 对控制通道发出的线圈驱动信号和硬线轮载信号进行回检。
4) 通过ARINC429总线向航电系统提供起落架位置、轮载和舱门状态信息。
5) 通过ARINC429总线接收航电系统发送的航班及时间信息。
6) 通过RS-422总线与另一台控制单元交换传感器状态信息和手柄位置信息,进行传感器的信息的综合处理。
7) 执行本通道的硬件BIT检测,并结合控制通道通过UART总线送来的信息,形成控制单元的BIT及CAS告警信息,通过ARINC429总线上报。
2.2.2 硬件
监控通道硬件电路由电源电路、中央处理器电路、信号采集电路、总线接口电路、维护调试电路和BIT电路组成。
电源电路:将28 V直流电转化成监控通道需要的+5 V、±15 V、+3.3 V、+2.5 V等各种二次电源,并设计瞬态电压抑制、EMI滤波等电磁干扰抑制电路。电路结构与控制通道电源电路基本相同,只是主要的电源转换模块选用与控制通道不同型号的器件,以消除电源模块的共模影响。
中央处理器电路:采用ARM架构的处理器芯片作为处理器,该处理器集成了FLASH存储器、SRAM存储器以及UART总线接口,通过扩展少量的外围电路即可实现数据采集、计算、逻辑处理、输出、BIT监测、看门狗复位等功能。软件驻留在FLASH存储器中。ARM芯片在处理器架构、指令代码集、制造商等方面与DSP处理器均不相同,因此这两款处理器具有非相似性。
信号采集电路:将接近传感器的电压信号、控制手柄和位置编码的离散信号、控制通道输出的信号、用于BIT的各种电源信号进行信号转换,处理成数字信号,送到处理器进行信息处理。信号采集电路基本与控制通道信号采集电路相同,主要元器件如A/D转换器选用与控制通道不同型号的元器件,以实现电路的非相似。