楊波 周華鵬 諶昱

摘 要：針對某民用渦軸發(fā)動機“緊急停車”信號的采集機理，對發(fā)動機FADEC系統(tǒng)進行容錯性分析和驗證，研究發(fā)現該渦軸發(fā)動機FADEC系統(tǒng)對于虛假信號的識別能力不足。通過增加雙通道采集信號比對和二次電源監(jiān)控等措施，對系統(tǒng)關鍵信號故障識別邏輯進行優(yōu)化改進。結果表明，改進后的FADEC系統(tǒng)可以有效增強系統(tǒng)容錯能力，為今后發(fā)動機FADEC系統(tǒng)關鍵信號的采集與通道控制邏輯設計提供了參考。

關鍵詞：全權限數字電子控制系統(tǒng);虛假信號;容錯能力;邏輯優(yōu)化

中圖分類號：TB 文獻標識碼：A doi：10.19311/j.cnki.1672-3198.2021.30.077

0 引言

現代航空發(fā)動機的一個顯著特點是采用全權限數字電子控制（FADEC）系統(tǒng)。與傳統(tǒng)機械液壓控制系統(tǒng)相比，FADEC系統(tǒng)無論對提高航空發(fā)動機性能潛力、減輕重量，還是易于改變控制方案和規(guī)律、實現飛/發(fā)綜合控制等方面都有顯著優(yōu)勢。目前國內外主流FADEC系統(tǒng)均采用雙通道架構，兩個通道具有相互獨立的軟硬件。系統(tǒng)能夠對自身及采集參數的有效性進行實時判斷，并根據判斷結果進行主控通道的選擇，當主控通道出現故障時，能夠自動切換到備份通道并穩(wěn)定工作。

隨著FADEC系統(tǒng)軟、硬件的發(fā)展，系統(tǒng)可靠性問題越來越得到重視。容錯設計是提高以計算機為基礎的系統(tǒng)可靠性的主要手段，因此系統(tǒng)容錯設計將是未來FADEC系統(tǒng)的一個重點研究內容。同時，在現有渦軸發(fā)動機使用過程中，暴露出FADEC系統(tǒng)的容錯能力不足的問題。以一起單通道虛假停車信號造成某民用渦軸發(fā)動機空中停車故障為例。該渦軸發(fā)動機在某次試飛運轉過程中，FADEC系統(tǒng)A通道主控，當A通道異常采集到“緊急停車”信號后，即控制發(fā)動機停車電磁閥接通，導致發(fā)動機停車。整個過程B通道始終未采集到“緊急停車”信號。通過對故障的排查分析，發(fā)現是A通道開關量采集模塊上電容器件燒蝕，引發(fā)A通道二次電源異常，從而導致A通道“緊急停車”信號采集異常。

本文以該虛假信號導致的發(fā)動機停車故障為例，通過對故障進行分析，提出有效改進方案。同時，從故障引發(fā)對FADEC系統(tǒng)容錯能力不足的探討，為今后國內發(fā)動機FADEC系統(tǒng)設計提供參考。

1 虛假信號產生機理

該渦軸發(fā)動機電子控制器內部的A、B通道采用了二次電源采集電路，其作用是將外部輸入的28V電源轉換成A、B通道內部信號處理電路需要使用的15V電源。15V電源用于向開關量輸入采集電路進行二次供電。為了保證電源穩(wěn)定，電路中使用了電容器件對15V二次電源進行濾波。當濾波電容失效短路時，二次電源負載阻抗下降、輸出電流增大，在轉換器自身的過流保護作用下，使輸出的15V 二次電源電壓下降，導致A 通道“緊急停車”開關量信號的采集異常。

緊急停車功能是發(fā)動機在特殊情況下實現快速停車的應急功能，它受駕駛艙內的“緊急停車”開關控制。開關產生的開關量信號通過電子控制器采集、調理后作用到發(fā)動機停車電磁閥上，進行燃油切斷，實現發(fā)動機緊急停車。該渦軸發(fā)動機“緊急停車”信號采集及控制原理見圖1。

正常情況下，直升機“緊急停車”開關KG1處于斷開狀態(tài)，A點電壓為外部28V電壓，B點電壓經R1與R2電阻對15V二次電源進行分壓，電壓為10V，大于基準電壓9V，比較器輸出高電平。處理器經總線數據采集該信號，并通過該信號狀態(tài)判斷“緊急停車”開關狀態(tài)。比較器輸出高電平時，判斷為開關斷開，外部無“緊急停車”信號輸入;當直升機“緊急停車”開關KG1處于閉合狀態(tài)時，A點通過開關接地，A點電壓為0V，B點電壓小于基準電壓9V，比較器輸出低電平。處理器經總線數據采集該信號，并通過該信號狀態(tài)判斷“緊急停車”開關狀態(tài)。比較器輸出低電平時，判斷為開關閉合，外部“緊急停車”信號輸入。

當15V二次電源濾波電容異常時，電容阻抗下降，導致15V二次電源電壓下降，當二次電源電壓下降至低于13.5V時，圖1中B點電壓小于9V，比較器輸出低電平。處理器誤判定為“緊急停車”信號，發(fā)動機停車電磁閥A線圈接通，發(fā)動機斷油停車。

“緊急停車”信號誤采集邏輯框圖如圖2所示。

2 系統(tǒng)容錯性分析

系統(tǒng)容錯性是指元器件出現故障時，系統(tǒng)仍具有完成基本功能的能力。容錯性是系統(tǒng)安全性和可靠性的一種體現。本案例中FADEC系統(tǒng)同樣采用了雙通道余度設計，但主控通道的電容元器件失效，導致了發(fā)動機異常停車，表明系統(tǒng)在容錯設計方面存在一定不足。為了進一步驗證，對該發(fā)動機FADEC系統(tǒng)進行了半物理試驗。

將電子控制器A通道濾波電容取下，接入滑動變阻器，模擬電容失效阻抗下降效應，進行故障注入試驗。在半物理模擬試驗臺上，設定A通道主控，并將發(fā)動機起動到飛行狀態(tài)。緩慢調整滑動變阻器阻值，在此過程FADEC系統(tǒng)采集到“緊急停車”信號，并執(zhí)行發(fā)動機停車控制。在此狀態(tài)下手動切換至B通道主控，重新起動發(fā)動機，FADEC系統(tǒng)能夠控制發(fā)動機正常起動和工作。整個過程出現的信號異?，F象與機理分析預期一致。

從故障機理分析可以看出，該發(fā)動機的“緊急停車”信號經過了FADEC系統(tǒng)內部的二次電源電路調理，而二次電源的異常導致了“緊急停車”關鍵信號的異常采集。另外，從試驗結果可以看出，主控通道異常采集到“緊急停車”信號，而此時備份通道信號正常，仍可以控制發(fā)動機正常工作，但數控系統(tǒng)未能識別出主控通道的信號異常，從而未能及時進行通道切換，導致了發(fā)動機異常停車。綜上，該FADEC系統(tǒng)在容錯設計方面至少存在以下兩點不足：

（1）關鍵信號引入了二次處理，導致了系統(tǒng)故障模式增加。

（2）雙通道之間信號相互獨立，但對于關鍵開關量信號通道間無比對、表決等故障識別措施，系統(tǒng)自診斷以及容錯能力不足。

3 FADEC系統(tǒng)容錯設計改進及驗證

3.1 容錯性設計改進