电传飞控系统飞行前自检报故状态下的放飞策略

王小阳，洪 彬

(陆装航空军代局驻西安地区航空军代室，陕西 西安 710061)

0 引言

目前，某型直升机电传飞控系统飞行前自检测(PBIT)报故后，按照飞行手册的规定，直升机不允许起飞执行任务，故障排除后方可放飞。这种方式可最大程度地保证放飞的安全性，确保装备和人员安全；但一定程度上影响了直升机的出勤率，特别是在战时或紧急情况下，甚至会限制装备的能力发挥，影响战局的发展。而实际上，为了保证直升机的任务可靠性，电传飞控系统具备冗余架构，系统的大部分故障模式并不会影响飞行品质，绝大部分故障模式并不会影响飞行安全。因此，电传飞控系统PBIT报故并非意味着直升机绝对不能起飞。面向战时环境，有必要对电传飞控系统报故情况下的放飞策略进行探讨，在保证飞行安全的前提下，充分利用完好功能完成特定任务，发挥装备的最大能力。

1 电传飞控系统安全性设计及故障模式影响

1.1 基于安全性指标的系统架构

任一型飞机在设计初期，飞机总体设计会向电传飞控系统下发系统的安全性设计指标要求，即因为电传系统发生故障而造成灾难性事件发生的概率不能大于某一规定值。战斗机电传飞控系统的安全性指标一般为10E-7，而大型运输机的安全性指标一般为10E-9。电传飞控系统的设计者需要根据这一指标来确定电传飞控系统基本架构，包括系统余度配置和关键核心部件配置，例如飞控计算机、伺服控制器、舵机、传感器等，以及核心部件之间的交联关系。目前，根据电传飞控系统各部件能够达到的基本可靠性水平，要达到系统安全性指标，电传飞控系统一般需要具备四余度架构[1]。

以飞控计算机为例，在工程上，构成飞控计算机所采用的基本器件均具有一定的失效概率(一般在10E-9～10E-5次/小时)，这决定了典型的飞控计算机失效概率一般在10E-4～10E-3次/小时，如果系统为单余度配置，则显然无法满足电传飞控系统安全性指标小于10E-7的要求。在80年代初期，经过大量的理论研究人员和工程技术人员的合作，很好地解决了这个问题。其基本工程方法便是采用余度构架，通过表决、监控技术容忍故障、检测故障、隔离故障，重构系统。对于典型的四余度系统设计，发生任意的二次故障不影响任务的完成。对故障模型的理论探讨认为，表决策略的探讨应形式化，证明了余度构架对于提升系统任务可靠性的有效性。一个典型的四余度电传飞控系统架构如图1所示。

图1 四余度电传飞控系统典型架构

对电传飞控系统进行余度架构设计，使得系统能够容忍任意二次故障而不影响飞行任务。实际上，从各类飞机的实际飞行数据也能总结出，在绝大多数情况下，电传飞控系统在空中报故后，往往可以凭借其系统的冗余设计而保证飞机安全返航。

1.2 功能危害性分析

功能危害性分析是指系统地、全面地按层次检查系统的各种功能，识别各种功能失效状态，分析这些功能失效状态对相关系统、人员等方面的各种潜在影响，以确定这些功能失效可能产生或促使诱发产生的潜在危险及其后果，并根据严酷程度确定危险的严重性等级。

对于电传飞控系统而言，功能危害性分析需要对系统所提供的每一项功能(例如纵向、横航向控制功能)在各个飞行阶段(例如滑跑、爬升、巡航、下降、着陆等)发生失效后，对飞行操纵的影响进行分析。根据影响程度确定其严重性等级，并根据系统的安全性指标要求，确定该功能失效的概率要求。一般而言，功能失效对系统的危害度可以划分为灾难的、严重的、轻度的、轻微的、无安全影响五个等级。针对不同危害性的功能模式，系统对其发生失效概率的要求是不同的。例如，以某型机为例，丧失升降舵的俯仰控制功能，在飞行的任意阶段，其危害度均为灾难性的，产生该功能失效的故障模式的发生概率必须小于10E-8。而丧失航向配平位置指示功能，在飞行的任意阶段，其危害度均为轻微的(该功能危险项不影响飞行安全，仅会导致驾驶员不能了解航向配平状态，需谨慎使用航向配平，增加了驾驶员的工作负担)，而对产生该功能失效的故障模式的发生概率在系统级并未做出强制性要求。

通过功能危害性分析可以看到，电传飞控系统中各项功能失效对系统的危害性是存在区别的，部分功能的失效不会影响飞行安全。

1.3 故障模式影响及危害性分析

针对电传飞控系统，开展故障模式影响及危害性分析，是对所实现系统进行安全性评估的有效方法，是证明系统设计满足安全性要求的有效手段。其基本思想是梳理系统内每一项元件的故障模式，自底向上地分析其失效后对上一级功能模块的影响，继而分析功能模块失效后对更上一级功能模块的影响，直至分析至对系统功能的影响。同时，按照其所影响到的系统功能失效后的危害度，即可以定义出每一种元件的故障模式对系统的影响层级和危害度。

例如，单台飞控计算机内部模拟量采集功能板的电源模块失效，会导致该功能板的所有功能失效，即单余度飞控计算机的模拟量采集输入无效，但不会影响该计算机内部其他功能板的功能，也不会影响其他三个余度飞控计算机的所有功能。因此，对于整个电传飞控系统而言，该电源模块的失效并不会影响电传飞控系统的任何功能。该故障模式对系统的危害度影响可定义为无影响或者轻微影响(如果部分非关键模拟量的输入配置为单余度，则会导致系统层面该功能受到影响，但这种余度配置的功能必须为不影响飞行安全的功能)。而如果单余度飞控计算机内部电源板的二次电源模块失效，则会导致该余度计算机所有功能失效，但不会影响其他三个余度飞控计算机的所有功能，最终导致整个四余度电传飞控系统降级为三余度系统。因此对于整个电传飞控系统而言，该电源模块的失效仅会造成系统降级，而不会影响电传飞控系统的任何功能，该故障模式对系统的危害度影响可定义为轻微影响。

开展故障模式影响分析，能够最终得到电传飞控系统内部任一故障模式对系统的影响及危害度。从对多型直升机的故障模式影响分析的结果来看，单一故障模式直接影响飞行安全的情况是不允许存在的，而多次组合故障虽然可能影响飞行安全，但其发生的概率均被限制在可接受的范围之内。

2 电传飞控系统飞行前故障检测机理

为了能够确保及时有效地发现并隔离故障，电传飞控系统设计了机内自检测功能，能够对影响系统功能的各个部件和互联链路进行测试，确认其功能的完好性和有效性。当检测到系统存在故障时，能够通过故障代码指示故障发生的部位以及对系统功能的影响及严重程度。

系统自检测利用飞行控制系统内部具有自检功能的硬件和软件来完成对机载设备的检测；对机载设备某特定模态下输出数据的采集结果与这一模态下的期望值进行比较，若一致则认为正常，若不一致则向外申报故障。系统自检测的组成包括硬件和软件两部分：硬件包括为被测系统及部件设置的用于检测、激励、故障监控、逻辑和数据存储的线路和装置，以及用于机内自检测控制和显示的设备；软件包括完成自检测的启动、运行、控制、退出以及系统部件完好性判别和故障申报、记录等模块。

电传飞控系统采用多种自检测方式，一般而言，主要包括加电自检测(PUBIT)、飞行前自检测(PBIT)、飞行中自检测(IFBIT)和维护自检测(MBIT)[2]。其中加电自检测在系统上电的时候自动执行，检测内容为飞控计算机核心功能的检测，如CPU、存储器、定时器、看门狗、内总线、电源、软件版本等基本功能的检测。加电自检测报故表明飞行控制系统的底层支持功能失效。飞行中自检测在周期任务中执行，检测系统基本功能、高级功能的完好性。IFBIT故障在综显“飞行员故障清单PFL”中有相对详细的申报，并在飞控操纵台上通过1-4级状态指示灯来表征故障的严重程度。对于飞行中自检测中申报的故障，在飞行手册中有明确的处置措施。维护自检测的用途主要为故障排查、定位、定检、软件升级等，为地勤人员使用，一般不作为放飞的凭据。飞行前自检测是在地面上进行的一系列自动测试，用来检测系统的飞行前状态，以保证系统完好性满足飞行状态。PBIT是飞行员检查飞控系统完好性的主要手段。通过飞行前自检测，能够有效识别出电传飞控系统存在的故障，隔离出故障发生部位，对更换、维修故障部件起到指导性作用。

以某型机为例，飞行前自检测的测试内容包含了电源、接口电路、内总线、逻辑电路、伺服系统、模拟备份电路、惯性测量组件、飞控操纵台等。具体包括：①背板总线测试；②离散输出信号链测试；③离散输入信号链测试；④模拟输入信号链测试；⑤系统电源测试；⑥通道故障逻辑测试；⑦伺服系统测试；⑧惯性测量组件测试；⑨EFCS控制律测试；⑩飞控操纵台测试；蓄电池接入逻辑测试。

上述测试囊括了飞行控制系统全部组成部件，包括飞控操纵台、飞控计算机、舵机、惯性测量组件、配电盒、以及外部供电的测试。以上各功能模块之间交联关系示意如图 2。

图2 某电传飞控系统各功能模块交联关系示意图

3 飞行前自检测报故情况下的放飞策略

和平时期，为确保飞行足够安全，“不带故障放飞”是一种基于安全至上的理念的可行做法。但在战时环境下，当遇到紧急飞行任务而系统飞行前自检测报故的情况，则需要决策是否可以带故障放飞。根据本文前述内容分析，飞行前自检测报出的故障，大部分是不影响飞行安全的，但也存在极低概率的组合故障的情况可能会影响飞行安全。因此，针对不同的机型，需要针对性地开展故障影响分析并提前设计安全放飞策略，使得紧急情况下，系统可以自行决策或者仅需要飞行员稍加判断即可决策是否可以放飞。

飞行前自检测报故情况下放飞策略的制定应基于对所发生故障对系统的影响的分析，可以从系统任务可靠性及功能完整性两方面着手。任务可靠性指系统成功完成既定任务的概率，取决于单余度系统的基本可靠性和余度配置，余度等级越高，任务可靠性越高，反之亦然[3]。而功能完整性指系统功能的完备性，主要取决于构成系统各个部件和组件的功能是否正常。若系统内影响飞行安全的功能损失，则整个飞控系统失效。

下文将基于对系统可靠性和功能完整性两个方面的影响，对PBIT检测到的故障进行分类分析，针对不同报故情况下的放飞策略给出建议。

3.1 故障影响系统任务可靠性情况下的放飞策略

1)单一或多个故障造成单余度功能损失或余度降级

由于电传飞控系统从设计上极力避免了单点故障的存在，因此绝大多数情况下，系统不会因为单一故障而造成系统功能损失或影响飞行安全。从影响危害度来看，单一故障将导致其所在余度的部分功能丧失，而其对余度系统最严酷的影响是系统余度降级一次。

以飞控计算机为例，其余度配置示意图如图3。某些单一故障会导致其所在余度飞控计算机的某些功能失效。该类典型故障主要包括：

图3 电传飞控计算机子系统余度配置示意图

① 单余度计算机模拟量输入采集失效；

② 单余度计算机离散量输入输出失效；

③ 单余度计算机总线接口失效；

④ 单余度计算机伺服子系统失效。

发生以上单一故障时，故障余度计算机的部分功能丧失，但系统余度不会降级。而某些单一故障会导致其所在余度飞控计算机的全部功能失效，最终导致系统余度降级。该类典型故障主要包括：

① 单余度计算机一次或二次电源失效；

② 单余度计算机处理器模块失效；

③ 单余度计算机通道故障逻辑失效；

④ 单余度计算机通道间交叉互传功能失效；

⑤ 单余度计算机通道间同步功能失效。

发生以上单一故障时，故障余度计算机的所有功能丧失或者无法与其他正常余度计算机构成余度关系，造成系统余度降级一次。

当多个故障均发生在同一个余度时，多为关联故障，其产生有可能由同一个源头引起。例如系统内飞行控制计算机的二次电源±15 V若失效，将导致该计算机内的所有使用到±15 V电源的功能模块故障，例如模拟量信号采集、ARINC429总线信号故障等。当多个故障发生在同一个余度但没有关联关系，也仅会造成该余度部分甚至全部功能的丧失，最多造成余度降级一次。因此，如果PBIT报出了多个故障，但所有故障都指向同一个余度，那么其产生的影响也最多为系统余度降级一次，不会对系统的功能和安全性造成影响，应该允许放飞。

结合电传飞控系统余度设计架构来看，若飞行前自检测报出单一故障，最多会造成系统降级一次，因此可认为单一故障不会影响飞行安全，应允许放飞。

2)多个故障造成系统余度多次降级

当多个故障发生在不同余度，有可能会造成系统余度多次降级，要视情分析其对系统安全性的影响。按照故障对系统余度降级的影响程度，将故障的严重程度依次划分为1、2、3、4级。总体而言当，系统两个通道故障(状态为2)的情况下，主飞控系统仍能保持正常的功能。在主飞控系统三次故障的情况下，可使用模拟备份实现直升机的基本操纵。

从任务可靠性的角度考虑，当数字系统从四余度降级为三余度甚至两余度时，其任务可靠性依然可以维持在相对较高水平，对飞行任务不会造成过大的影响。而如果PBIT出现三次故障，系统进入模拟备份模态，该情况下起飞后系统仅能支持一次故障工作，二次故障后直升机则将无法控制，此时系统的任务可靠性相对较低。因此，PBIT三次故障情况下的放飞决策需要慎重。在极端情况下，例如虽然PBIT三次故障，系统转入模拟备份，但是如果不立即起飞就意味着整个任务的失败或将造成人员牺牲等不可接受的损失，则该种情况下也应该允许放飞。

3.2 故障影响系统功能完整性情况下的放飞策略

当飞行前自检测报出故障导致系统某项功能丧失(所有余度)时，应根据具体所丧失的功能对飞行安全是否造成影响来谨慎评估是否可以放飞。

以某型直升机为例，其电传飞控系统具有基本操纵、姿态保持、航迹控制等功能。其中基本操纵功能为电传系统核心功能，该功能损失意味着飞行员将无法操纵直升机。而姿态保持、航迹控制等功能为重要辅助功能，主要是为了减轻飞行员的操纵压力，提升操纵体验。以上几种功能分别需要不同的系统资源来实现。基本操纵功能需要杆位移传感器、惯性测量组件的角速率、模拟输入信号链的角速率部分、EFCS/CPU、主尾桨伺服系统、平尾伺服系统功能正常。姿态保持功能除了前述系统外还需要惯性测量组件的姿态角、总线429输入功能正常。航迹控制功能如高度、速度、航迹保持功能需要飞行控制系统接口电路更高的完好性，同时也需要外部传感器功能正常。

当系统发生的故障导致基本操纵等影响飞行安全的功能丧失时，应不能予以放飞。例如所有余度杆位移传感器信号采集丧失，或者所有余度主、尾浆伺服系统功能丧失等。

当系统发生的故障导致姿态保持或者航迹控制等辅助功能丧失时，应视情允许放飞，例如：所有余度无线电高度信号链报故时，无线电高度保持功能丧失，但是飞行系统基本功能不受影响，飞行员操纵负担增加，但不影响飞行安全；或者所有余度并联舵机伺服故障，但不影响基本功能及飞行安全，仅增加飞行员的负担。

总之，当飞行前自检测报出的故障可以导致飞控系统安全关键功能丧失时，应不予以放飞。反之，当飞行前自检测报出的故障仅导致飞控系统非关键功能丧失时，应结合飞行员和飞行环境的实际情况确定是否予以放飞。

3.3 故障情况下放飞策略的实现机制

针对故障情况下的放飞策略，如果在飞行前自检测报故之后需要飞行员通过手动查阅飞行手册的方式来决策是否放飞，将大大影响放飞决策的效率，战时环境下甚至有可能因此贻误战机。因此，可以在电传飞控系统设计相应的硬件和软件功能来实现对故障及故障影响的自动判断，并向飞行员提供相应的决策信息[4]。

为了实现该功能，可在飞控计算机中增加健康管理模块，对系统故障信息进行搜集和诊断，通过一系列放飞辅助决策算法，对是否能够在故障情况下放飞给出建议，并将结果显示在操纵台显示界面上。飞行员通过观察显示结果，并综合考虑实际飞行环境后决策是否放飞。

4 结论

电传飞控系统具备冗余架构设计以保证其安全性指标满足要求，通过功能危险分析、故障模式影响及危害度分析等过程，可以确定不同故障模式对电传飞控系统功能的危害性影响。面向战时环境，当电传飞控系统飞行前自检测报故时，不应一概不允许放飞，应当根据所报故障对系统安全性、可靠性、飞行任务的影响，综合决策是否放飞。