一種起落架前輪轉(zhuǎn)彎系統(tǒng)的冗余控制邏輯設(shè)計

鄧志云，路紅偉，王佳琦

（中航飛機起落架有限責(zé)任公司，湖南 長沙 410200）

0 引言

起落架前輪轉(zhuǎn)彎操縱系統(tǒng)作為一種提高飛機地面滑行機動性和著陸安全性的裝置，主要用于飛機在地面低速機動滑跑時控制大角度轉(zhuǎn)彎，飛機起飛滑跑時控制小角度轉(zhuǎn)彎糾偏，還可以人工解除轉(zhuǎn)彎狀態(tài)，使其處于自由轉(zhuǎn)向模式，便于牽引飛機[1]。

余度設(shè)計是一種提高起落架前輪轉(zhuǎn)彎控制系統(tǒng)安全和可靠性的有效設(shè)計方法，使用一倍或幾倍的硬件及軟件資源，確保在關(guān)鍵部件故障時仍能實現(xiàn)系統(tǒng)的正常功能，且不削弱或少削弱系統(tǒng)性能，增加系統(tǒng)任務(wù)的可靠性和安全性，實現(xiàn)產(chǎn)品一次故障工作及二次故障安全等要求。國外起落架轉(zhuǎn)彎控制系統(tǒng)大多設(shè)計為雙余度、雙通道構(gòu)型，余度模塊采用局部總線、分布式控制，系統(tǒng)可擴展性及可靠性高，但系統(tǒng)架構(gòu)復(fù)雜、實現(xiàn)成本高。而國內(nèi)起落架轉(zhuǎn)彎控制系統(tǒng)則多設(shè)計為雙通道構(gòu)型，余度模塊采用集中式控制，如AG600 等機型，系統(tǒng)可擴展性及可靠性稍低，其系統(tǒng)架構(gòu)簡單、實現(xiàn)成本低。此外，國內(nèi)一些科研單位在余度管理的研究，如文獻[2-3]三控制器的雙余度設(shè)計、文獻[4-5]兩控制器的雙余度設(shè)計等都為本研究內(nèi)容也提供了大量可供借鑒成果。

根據(jù)某型飛機轉(zhuǎn)彎控制系統(tǒng)的數(shù)字電傳升級需求，在參考和借鑒了國內(nèi)外主流飛機轉(zhuǎn)彎控制構(gòu)型及國內(nèi)有關(guān)余度研究工作的基礎(chǔ)上，針對前輪轉(zhuǎn)彎系統(tǒng)外圍控制信號、轉(zhuǎn)彎指令輸入與反饋及核心控制等部件的冗余結(jié)構(gòu)，設(shè)計和實現(xiàn)了一種主、備冗余控制的單次切換邏輯并進行了仿真分析，并在此基礎(chǔ)上進一步優(yōu)化為循環(huán)切換邏輯及仿真分析。最后采用了軟件模擬故障注入的方式對系統(tǒng)主、備冗余切換邏輯進行了驗證用例設(shè)計，并在某型飛機轉(zhuǎn)彎試驗臺進行了綜合試驗。試驗結(jié)果表明，設(shè)計和實現(xiàn)的冗余切換邏輯有效地實現(xiàn)主、備控制通道的無縫切換，有效提升了系統(tǒng)的安全和可靠性能，對其他機型的前輪轉(zhuǎn)彎控制系統(tǒng)余度控制具有一定的借鑒意義。

1 系統(tǒng)冗余架構(gòu)

本研究涉及的起落架前輪轉(zhuǎn)彎系統(tǒng)為一種雙余度系統(tǒng)，是用于飛機進行前輪轉(zhuǎn)彎的控制系統(tǒng)，也是一種電氣控制一液壓驅(qū)動的位置伺服系統(tǒng)，主要由輸入機構(gòu)（主要包括手輪和腳蹬，通過在手輪和腳蹬上安裝的角度/位移傳感器，將機械位移轉(zhuǎn)換為轉(zhuǎn)彎角度的電信號，即轉(zhuǎn)彎指令）、伺服控制閥、轉(zhuǎn)彎反饋傳感器、綜合控制單元以及轉(zhuǎn)彎作動筒等組成，系統(tǒng)具備系統(tǒng)內(nèi)建自檢測BIT（Built- in-Test）功能，其雙余度架構(gòu)主要是指前起下到位、前起輪載、轉(zhuǎn)彎/減擺等控制開關(guān)信號以及轉(zhuǎn)彎指令輸入與反饋等功能部件均為雙余度構(gòu)型，核心控制邏輯為一個監(jiān)控通道、兩個控制通道的非相似冗余結(jié)構(gòu)，其控制冗余結(jié)構(gòu)如圖1 所示。

圖1 控制冗余結(jié)構(gòu)圖

其中，兩個控制通道作為前輪轉(zhuǎn)彎系統(tǒng)的中央控制單元，具備相同的功能，同時上電工作。主要負責(zé)對輸入機構(gòu)的轉(zhuǎn)彎指令和轉(zhuǎn)彎反饋傳感器的實際起落架前輪轉(zhuǎn)彎角度信號的采集，通過對兩個輸入信號進行轉(zhuǎn)彎控制的邏輯結(jié)算，得出適應(yīng)轉(zhuǎn)彎角度的伺服控制閥驅(qū)動信號，驅(qū)動伺服控制閥打開要求的開口角度，飛機液壓油路導(dǎo)通，從而驅(qū)動轉(zhuǎn)彎作動筒作動進行起落架前輪轉(zhuǎn)彎，具備系統(tǒng)BIT 功能，同時與監(jiān)控通道進行通信。

監(jiān)控通道作為前輪轉(zhuǎn)彎系統(tǒng)的仲裁單元，負責(zé)采集輸入機構(gòu)的轉(zhuǎn)彎指令和轉(zhuǎn)彎反饋傳感器的實際起落架前輪轉(zhuǎn)彎角度信號，同時接收兩個控制通道發(fā)送來的邏輯結(jié)算信息，對兩個控制通道發(fā)送的信息有效性決心仲裁，監(jiān)控兩個控制通道的工作狀態(tài)并對兩個控制通道輸出的伺服控制閥驅(qū)動信號進行選通，對出現(xiàn)故障的控制通道進行復(fù)位控制。

2 余度控制邏輯設(shè)計

2.1 余度切換觸發(fā)機制

控制（主、備）通道的切換邏輯主要由監(jiān)控通道負責(zé)實現(xiàn)，其核心是確定主/備通道，從而實現(xiàn)對主/備控制通道輸出的伺服控制閥驅(qū)動信號進行選通控制。系統(tǒng)上電后默認為主通道控制有效（即主控制通道輸出伺服控制閥驅(qū)動信號，備控制通道不輸出伺服控制閥驅(qū)動信號），當(dāng)檢測到當(dāng)前控制有效通道異常時，監(jiān)控通道自動將控制權(quán)切換到另一控制通道（成為主控制通道），并在檢測到影響系統(tǒng)正常轉(zhuǎn)彎功能的故障時，監(jiān)控通道將無條件切換到減擺模式（主備控制通道都不輸出伺服控制閥驅(qū)動信號），以確保系統(tǒng)安全。

切換觸發(fā)機制包括控制通道主動通知和監(jiān)控通道自動切換兩種，切換的觸發(fā)條件有：

（1）St1：當(dāng)前有效控制通道檢測到影響正常工作的因素時（指令及反饋傳感器工作異常等），主動停止心跳通信，屬主動通知類型；

（2）St2：監(jiān)控通道在系統(tǒng)設(shè)定的BIT 周期數(shù)內(nèi)，沒有檢測到當(dāng)前有效控制通道的心跳信息（St1 或通信故障），屬自動切換類型；

（3）St3：監(jiān)控通道對控制通道發(fā)送的輸入指令進行三方仲裁，判定當(dāng)前有效控制通道的輸入指令不可信（超誤差閥值），屬自動切換類型；

（4）St4：監(jiān)控通道對控制通道解算后發(fā)送的轉(zhuǎn)彎輸出指令信息進行三方仲裁，判定當(dāng)前控制有效通道的輸出指令不可信（超誤差閥值），屬自動切換類型。

2.2 控制邏輯狀態(tài)及信號定義

（1）控制狀態(tài)包括：

①MaBi：主通道有效，備通道空閑，為系統(tǒng)正常工作初始態(tài)；

于MiBa：主通道空閑，備通道有效；

③MiBi：主通道空閑，備通道空閑，為系統(tǒng)上電初始態(tài)（減擺模式）。

（2）觸發(fā)信號滿足的條件包括：

①Mok：主通道工作正常，

于Merr：主通道滿足St1～St4 中的一項或多項；

③Bok：備通道工作正常；

④Berr：備通道滿足St1～St4 中的一項或多項。

（3）觸發(fā)信號包括：

①Mr：檢測到Mok 的上升沿；

于Mf：發(fā)生Merr 的下降沿；

③Br：檢測到Bok 的上升沿；

④Bf：發(fā)生Berr 的下降沿。

2.3 切換邏輯狀態(tài)機設(shè)計

切換邏輯設(shè)計為單次切換，即主通道異常后自動切換到備通道，切換邏輯結(jié)束。狀態(tài)機設(shè)計如圖2 所示，觸發(fā)信號與條件見表1，切換邏輯流程是：

表1 單次切換觸發(fā)信號與條件列表

圖2 單次切換邏輯狀態(tài)機

（1）初始MaBi 狀態(tài)下，檢測到Mf 信號時，若有Bok則切換到MiBa 并轉(zhuǎn)入（2），若有Berr 則切換到MiBi 并轉(zhuǎn)入（3）；

（2）在MiBa 狀態(tài)下，檢測到Bf 信號時，若有Berr 則切換到MiBi 并轉(zhuǎn)入（3）；

（3）在MiBi 狀態(tài)下，整個切換邏輯結(jié)束。

2.4 單次切換邏輯驗證與仿真分析

單次切換邏輯驗證使用的測試用例包括：①主備通道都工作異常；于主通道工作正常，備通道工作不正常；③主通道工作不正常，備通道工作正常；④主備通道都工作正常。

仿真環(huán)境：Quartus Prime 17.1，ModelSim SE-64 10.5。仿真驗證的主要代碼段如下：

具體仿真分析見表2。

表2 單次切換邏輯仿真與分析

表中，CPU_WDT_M、CPU_WDT_B 是輸入的主備通道喂狗信號，isready 是系統(tǒng)準(zhǔn)備好信號，oCPU_M_RESERT、oCPU_B_RESERT 輸出的主備通道復(fù)位信號，oControl_STATE_M、oControl_STATE_B 是輸出的通道選通有效信號。MaBi 態(tài)對應(yīng)oControl_STATE_M=0、oControl_STATE_B=1，MiBi 態(tài)對應(yīng) oControl_STATE_M=1、oCon-trol_STATE_B=1，MiBa 態(tài) 對 應(yīng) oControl_STATE_M=1、oControl_STATE_B=0。

經(jīng)仿真分析，設(shè)計的單次切換邏輯工作正常，能夠有效實現(xiàn)主、備通道的一次切換。

3 余度切換邏輯優(yōu)化

3.1 存在問題及優(yōu)化思路

在將單次切換邏輯應(yīng)用到實際的系統(tǒng)綜合驗證過程中，由于部分傳感器模塊安裝在起落架的活動部位，會引起傳感器信號抖動導(dǎo)致的采集信息不準(zhǔn)確，而轉(zhuǎn)彎系統(tǒng)的控制精度要求比較高，在進行相關(guān)信號的有效性判定時容易出現(xiàn)對通道故障誤判，單次切換能完成主、備通道的一次切換，但不足以難以滿足實際的應(yīng)用需求。

可行的切換邏輯優(yōu)化思路是：在監(jiān)控通道判定控制通道故障時，對其進行自動功能復(fù)位，從而轉(zhuǎn)為備用通道，待下一次需要進行邏輯切換時，再將其作為工作正常的控制通道進行切換，如此循環(huán)切換工作直至系統(tǒng)斷電。

3.2 循環(huán)切換邏輯狀態(tài)機

在單次切換的基礎(chǔ)上，當(dāng)切換到備通道后，若備通道也發(fā)生工作異常，則將重新切回到主通道輸出。當(dāng)重新切回到主控制通道后，若主控制通道再次發(fā)生工作異常，則繼續(xù)切換到備通道輸出，如此循環(huán)直至系統(tǒng)停止工作。循環(huán)切換邏輯狀態(tài)機設(shè)計如圖3 所示，切換觸發(fā)信號與條件見表3，邏輯流程是：

表3 循環(huán)切換觸發(fā)信號與條件列表

圖3 循環(huán)切換邏輯狀態(tài)機

（1）初始MaBi 狀態(tài)下：

①檢測到Mf 信號時，若有Bok 則切換到MiBa 并轉(zhuǎn)入（2），若有Berr 則切換到MiBi 并轉(zhuǎn)入（3）；

于檢測到Br 信號時，若有Merr 則切換到MiBa 并轉(zhuǎn)入（2）；

③檢測到Bf 信號時，若有Merr 則切換到MiBi 并轉(zhuǎn)入3）；

（2）在MiBa 狀態(tài)下，

①檢測到Mr 信號時，若有Berr 則切換到MaBi 并轉(zhuǎn)入（1）；

于檢測到Mf 信號時，若有Berr 則切換到MiBi 并轉(zhuǎn)入（3）；

③檢測到Bf 信號時，若有Mok 則切換到MaBi 并轉(zhuǎn)入1），若有Merr 則切換到MiBi 并轉(zhuǎn)入（3）；

（3）在MiBi 狀態(tài)下，

①檢測到Mr 信號時，若有Mok 且Berr 則切換到MaBi 并轉(zhuǎn)入（1）；

于檢測到Mf 信號時，若有Bok 則切換到MiBi 并轉(zhuǎn)入（2）；

③檢測到Br 信號時，若有Merr 且Bok 則切換到MiBa 并轉(zhuǎn)入（2）；

④檢測到Bf 信號時，若有Mok 則切換到MaBi 并轉(zhuǎn)入（1）。

3.3 邏輯驗證與仿真分析

測試用例及仿真環(huán)境同上文。仿真驗證的主要代碼段在2.4 節(jié)的基礎(chǔ)上增加以下核心代碼：

其中，表4 中的信號含義與表2 的系統(tǒng)。

表4 循環(huán)切換邏輯仿真與分析

經(jīng)仿真分析，優(yōu)化后的循環(huán)切換邏輯工作正常，能夠有效實現(xiàn)主、備通道的循環(huán)切換。

4 綜合試驗驗證

在余度切換邏輯仿真分析的基礎(chǔ)上，參考文獻[6-8]，采用了一種軟件模擬故障注入的方式實現(xiàn)系統(tǒng)主、備冗余切換邏輯的功能驗證，即分別設(shè)置不同的軟件功能模塊來模擬系統(tǒng)硬件的各類故障及軟件異常并固化到系統(tǒng)硬件中，在系統(tǒng)工作的過程中觸發(fā)冗余切換機制，來判定切換結(jié)果是否符合預(yù)期設(shè)計。

（1）設(shè)計的控制通道模擬故障功能模塊包括：

①BIT 異常：包括5V、15V 電壓異常、內(nèi)存檢測異常、轉(zhuǎn)彎指令、反饋（轉(zhuǎn)彎角度、伺服閥開度）等傳感器工作異常；

于通信異常：包括通信模塊故障、停止心跳通信、停止發(fā)送通道工作狀態(tài)、停止發(fā)送通道輸出的指令信息；

③轉(zhuǎn)彎輸入與反饋指令異常：包括轉(zhuǎn)彎指令傳感器、轉(zhuǎn)彎角度反饋及閥開度等傳感器輸入信息異常；

④轉(zhuǎn)彎輸出指令異常：包括轉(zhuǎn)彎控制輸出指令信息異常；

（2）設(shè)計的監(jiān)控通道模擬故障功能模塊包括：

①監(jiān)控通道BIT 異常：包括5V、15V 電壓異常，轉(zhuǎn)彎指令、轉(zhuǎn)彎角度反饋及閥開度等傳感器工作異常；

控制通道BIT 異常：接收的控制通道BIT 信息異常；

于通信異常：包括通信模塊故障、在固定的BIT 周期數(shù)內(nèi)，無控制通道心跳信息；

③控制通道輸入指令異常：控制通道的輸入指令異常（超誤差閥值）；

④控制通道輸出指令異常：控制通道的輸入指令異常（超誤差閥值）；

（3）系統(tǒng)綜合驗證使用的測試用例與余度切換邏輯仿真的用例相同。

借助某型飛機轉(zhuǎn)彎試驗臺進行了轉(zhuǎn)彎系統(tǒng)綜合試驗驗證。經(jīng)驗證，在各異常觸發(fā)條件下，冗余邏輯狀態(tài)機工作正常，冗余切換邏輯功能正常，能夠完成主、備冗余及減擺模式之間的有效切換，符合預(yù)期設(shè)計。

5 結(jié)論

針對前輪轉(zhuǎn)彎系統(tǒng)外圍控制信號、轉(zhuǎn)彎指令輸入與反饋及核心控制等部件的冗余結(jié)構(gòu)，設(shè)計和實現(xiàn)了的一種主、備冗余控制的單次切換邏輯狀態(tài)機，并在此基礎(chǔ)上進一步優(yōu)化為循環(huán)切換邏輯。借用Quartus 硬件設(shè)計與ModelSim 仿真工具，設(shè)計了涵蓋實際情況的多種測試用例，完成了主、備切換邏輯及其狀態(tài)機的仿真分析，較好的實現(xiàn)了冗余邏輯的有效切換工作。最后采用了軟件模擬故障注入的方式對系統(tǒng)主、備冗余切換邏輯進行了驗證用例設(shè)計，并在某型飛機轉(zhuǎn)彎試驗臺進行了綜合試驗。試驗結(jié)果表明，設(shè)計和實現(xiàn)的冗余切換邏輯有效的實現(xiàn)主、備控制通道的無縫切換，有效提升了系統(tǒng)的安全和可靠性能，對其他機型的前輪轉(zhuǎn)彎控制系統(tǒng)余度控制具有一定的借鑒意義。