基于適航要求的襟縫翼控制計算機硬件架構設計與實踐

張昭 秦懷磊 隋立軍 李元元 劉敏 王宇

摘 要：本文分析了民用適航規章當中對于襟縫翼控制計算機的適航要求，提出了針對襟縫翼控制計算機硬件架構和余度設計要求，以及選用復雜電子硬件的額外設計要求。以某型襟縫翼控制計算機硬件架構設計為例，詳細闡述了硬件架構和余度設計要求的實現與落實，為襟縫翼控制計算機的設計工作提供了參考與借鑒，也為飛控系統控制計算機的設計提供了思路與指導。

關鍵詞：襟縫翼控制計算機； 硬件； 架構設計； 適航； 符合性

中圖分類號：V249 文獻標識碼：A DOI：10.19452/j.issn1007-5453.2023.04.008

民用飛機高升力系統作為飛行控制系統的重要組成部分，是直接影響飛機飛行安全的關鍵系統，襟縫翼控制計算機（SFCC）作為民用飛機高升力系統的控制單元，其故障和失效將給高升力系統的正常工作帶來嚴重后果[1]。因此，滿足適航與安全性要求的SFCC設計是高升力系統設計的關鍵技術之一。

國外對SFCC的相關研究公開資料較少，目前僅見波音777[1-2]、787[1-2]以及空客A320[2-4]、A350[1-2]、A380[1-2]系列飛機襟縫翼控制的相關介紹，且僅從維修和使用角度講述，未能全面掌握SFCC設計原理與架構。國內對SFCC的研究主要集中在余度設計[5-8]、容錯技術[9-10]、架構設計[11-12]、系統故障分析與保護[13-16]等方面，研制及驗證經驗較少，且未能從適航與安全性角度提出SFCC架構設計的頂層要求。

本文從適航規章要求出發，闡述與SFCC相關的適航規章要求，并提出SFCC架構設計的頂層要求，以某型民機為例，介紹SFCC的架構設計與考慮，為其他國產SFCC架構設計提供參考與借鑒。

1 襟縫翼控制計算機適航要求

民用航空規章是民用飛機設計與驗證依據的最低標準。以民用運輸類飛機為例，目前國際上主要有美國聯邦航空局（FAA）發布的FAR-25部[17]、歐洲航空安全局發布的CS-25部[18]標準，我國民用運輸類飛機依據的適航規章為CCAR-25部[19]，其內容與FAR-25部、CS-25部基本一致。

在CCAR-25部當中，對民用飛機襟縫翼控制系統有著明確的要求，第25.671條要求襟縫翼控制系統在任何單點故障或者極不可能概率的組合失效情況下，仍能工作，確保飛機能夠繼續安全飛行和著陸；第25.1301條規定，襟縫翼控制系統應在安裝后功能正常；第25.1309條規定，襟縫翼控制系統應能在飛機預期運行條件下實現系統預定的功能，同時襟縫翼控制系統任何可能的失效模式或組合失效情況導致發生飛機不能繼續安全飛行與著陸、機組工作負荷的顯著增大、乘客死亡的事件概率是極不可能的。

對于民用飛機襟縫翼控制系統，要求系統的架構和功能性能設計應能保證，在飛機的預期正常運行情況和任何單點故障或者極不可能概率的組合失效情況下，系統功能正常，能夠提供襟縫翼控制功能，進而滿足飛機整機的飛行和操作要求。襟縫翼控制系統應按照自飛機分解到系統的安全性需求，進行安全性分析與系統架構設計，將預期的安全性要求分解并落實到構成系統的子系統和設備上。SFCC作為構成系統的設備，就是要在設計中滿足安全性要求和分解的系統研制要求，并開展設備鑒定試驗和功能性能試驗，證明已經落實并滿足分解而來的適航要求。具體到SFCC，其包含了軟件的內容和硬件的模塊，同時，SFCC內部還存在電源供應、信號傳輸等接口，雖然適航規章沒有具體對SFCC提出詳細的適航要求，但安全性需求經過分解已經從襟縫翼控制系統傳遞到了SFCC，直至軟件與硬件層級。對于機載軟件和電子硬件，適航規章要求通過枚舉法或者過程保證的方法來證明軟件和硬件滿足對應的安全性等級要求。枚舉法主要針對簡單軟件與簡單電子硬件，目前對于民用飛機系統，枚舉法已基本不再使用，故目前多是通過過程保證的方法來證明軟件與硬件滿足安全性要求。

以機載硬件為例，目前針對機載電子硬件主要過程保證方法的依據是RTCA DO-254[20]標準，通過分階段的開發與驗證來保證電子硬件的開發滿足對應的安全性要求。

2 襟縫翼控制計算機設計要求

2.1 架構與余度設計

對于民用飛機襟縫翼控制系統這一類復雜系統，適航要求的本質是系統應能預期功能正常和失效—安全，預期功能正常就是系統要能通過設計實現預期的功能性能，而失效—安全就是要求系統一旦喪失部分功能，必須確保系統仍然能夠實現核心或主要的功能性能，并且不能因為部分功能的喪失而導致系統功能明顯降級。對于構成系統的子系統和設備，同樣也必須滿足預期功能正常和失效—安全的要求。對于SFCC，就是要求SFCC必須滿足預期的控制功能，同時，當SFCC發生故障后，SFCC應能提供規定的功能，確保系統基本功能正常，SFCC通常是使用備份、冗余、隔離或分區等架構設計手段，利用余度設計，實現預期功能正常和失效—安全的要求，進而滿足適航條款第25.671條、第25.1301條、第25.1309條當中對于安全性和功能的要求。

因此，為了避免功能交聯，SFCC通常內部是將襟翼、縫翼功能隔離，分為了襟翼通道與縫翼通道。為了提高通道內的安全性水平，防止單點故障發生，通道內采用監控對，至少分為命令模塊和監控模塊，對于安全性水平要求高的飛機，還可以設置備份模塊，命令模塊、監控模塊和備份模塊形成了表決監控策略；同時為了防止共模故障的發生，命令模塊、監控模塊和備份模塊多采用不同的軟件和/或硬件設計，構成了非相似余度。

SFCC的硬件部分要實現計算功能、存儲功能、通信協議解析、傳感器信號激勵、電氣信號處理等功能，軟件部分要實現硬件初始化、硬件配置、數據解算與傳輸等功能。SFCC內外部還存在數據與通信接口，在設計這些接口時，應能夠對傳輸的數據進行有效校驗。

除了主要的硬件和軟件外，SFCC還應該設置有電磁防護模塊，為整臺計算機提供電磁防護，防止高強輻射場降低計算機功能和性能。

2.2 復雜電子硬件的開發設計

根據RTCA DO-254標準，對于包含了可編程邏輯器件（PLD）、現場可編程門陣列（FPGA）、專用集成電路（ASIC）和數字信號處理器（DSP）等器件的復雜電子硬件，如果其研制保證等級（DAL）為A、B、C級，需要按照RTCA DO-254標準的要求，按階段開展復雜電子硬件的符合性表明。

對于襟縫翼控制計算機中包含的復雜電子硬件，根據安全性分析結論，其DAL等級通常為A級或者B級，因此應在器件的每個邏輯部件（邏輯門、節點、寄存器、鎖存器）表明在所有可能的排列組合包括動態情況及其并發在內的輸入條件下的運行狀態，并且需要考慮時序分析中的不利條件。若硬件設計選用了商用貨架（CTOS）的微處理器，應能證明COTS微處理器能夠執行預期功能并滿足適航要求。

除此之外，大氣中存在的高能中子流可能會穿透SFCC計算機機箱結構殼體，撞擊到電子硬件的計算單元或者存儲單元，產生單粒子效應（SEE），引發軟錯誤和/或硬錯誤，可能造成器件設備死機、復位、重啟、數據丟失、命令丟失等危害，造成安全性等級降低，因此電子硬件需要根據系統安全性分析結果，采用單粒子緩和措施，如上電校驗、周期校驗、邏輯冗余或者選擇高可靠的抗SEE的器件。

3 某型襟縫翼控制計算機設計實踐

某型飛機襟縫翼控制系統采用了2×2余度設計，左右各有一臺SFCC；兩臺SFCC采用了雙機雙工工作模式，且均處于工作狀態，同時執行相同的功能，每臺SFCC分別接收襟縫翼控制手柄激勵并采集位置傳感器（PSU）、傾斜傳感器（SSU）和翼尖制動器（WTB）信號，經解調運算后輸出給襟翼組件和縫翼組件的動力驅動單元（PDU）。襟縫翼控制系統架構如圖1所示。

每臺SFCC具有閉環控制與監控功能，內部分為襟翼通道與縫翼通道，每個通道內采用監控對，分為命令模塊（COM）和監控模塊（MON）。因此，一臺SFCC內部劃分了4個獨立的模塊，分別是襟翼命令模塊（FCOM）、襟翼監控模塊（FMOM）、縫翼命令模塊（SCOM）和縫翼監控模塊（SMOM），SFCC的4個模塊之間存在離散量輸入/輸出接口，COM模塊與MON模塊之間通過串行數據總線實現交叉比較，當出現故障信息或不一致信息時，4個模塊都可以單獨關斷作動器，實現了COM與MON的非相似架構設計。

整體上，COM模塊實現驅動控制與監控功能，MON模塊實現關斷控制與監控功能，采用兩個模塊間相互監控表決工作方式，COM和MON均提供外部傳感器接口，實現電源轉換、數字處理與存儲、傳感器激勵及交叉通信數據鏈路（cross channel data link，CCDL）數據交換，模塊間設置同步接口實現任務同步。

當任何一臺SFCC的襟翼通道或縫翼通道的COM模塊或者MON模塊支路硬件或軟件出現故障后，該臺SFCC將進入故障—安全（fail-safe）狀態，并通過故障指示信號告知PDU，同時通過航電系統反饋給駕駛艙，報給駕駛員，與此同時，襟翼或縫翼的控制將由另一臺SFCC計算機完成，實現了負載均衡和互為備份。具體的模塊硬件架構如圖2所示。

為防止COM模塊與MON模塊發生共模故障失效，COM模塊與MON模塊硬件架構采用了非相似硬件設計，選用了不同廠家的處理器和FPGA器件，從硬件上消除了共模故障，克服了硬件設計缺陷。

COM和MON還考慮了單粒子翻轉故障對功能的影響，ARINC429總線發送和接收邏輯中單個ARINC429總線數據采用了奇偶校驗，實現了校驗代碼傳輸的正確性，可以有效檢測出單粒子翻轉故障。當任何一臺SFCC發生SEE故障，系統內部通過交叉監控檢測出SEE故障，同時停止該臺故障SFCC對PDU的控制，由另一臺SFCC完成對PDU的控制。同時，在器件選擇上，MON模塊的器件選擇為FLASH型FPGA，不容易受到SEE的影響，其與COM模塊中的FPGA實現了功能冗余與監控，可以有效檢測出COM和MON中的SEE故障，及時停止故障SFCC對PDU的控制，實現PDU的控制切換。

4 結論

通過研究，得到以下結論：

（1）詳細分析了民航適航規章中對于襟縫翼控制計算機的設計要求，結合襟縫翼控制計算機的架構設計與余度設計，給出了相關的適航設計考慮，以及襟縫翼控制計算機選用復雜電子硬件的附加考慮和開發設計要求。

（2）根據以上研究結果，以某型襟縫翼控制計算機為例，介紹了相關適航設計與驗證要求的實現，為襟縫翼控制計算機設計與驗證提供了有效參考。

參考文獻

[1]史佑民，楊新團. 大型飛機高升力系統的發展及關鍵技術分析[J]. 航空制造技術，2016（10）： 74-78. Shi Youmin， Yang Xintuan. Development and critical technolo‐gy analysis for high lift system of large aircraft[J]. Aeronauti‐cal Manufacturing Technology， 2016（10）： 74-78.（in Chinese）

[2]張新慧，李晶，任寶平. 大型先進民用飛機高升力控制系統架構研究[J]. 測控技術，2020，39（10）：124-129. Zhang Xinhui， Li Jing， Ren Baoping. Research on architecture of high lift control system for large advanced civil aircraft[J]. Measurement & Control Technology， 2020，39（10）：124-129.（in Chinese）

[3]蔣雙奇. A320襟縫翼系統原理及排故措施[J]. 價值工程，

2015，34（2）：45-46. Jiang Shuangqi. Principles and troubleshooting measures of slots flaps system of A320[J]. Value Engineering，2015，34 （2）： 45-46.（in Chinese）

[4]韓冬. 空客A320系列飛機襟/縫翼翼尖剎車監控信息的分析[J]. 航空維修與工程，2016 （9）： 73-75. Han Dong. Analysis on weird fault message about monitoring WTB circuit of SFCC on A320s aircraft[J]. Aviation Maintenance & Engineering，2016 （9）：73-75.（in Chinese）

[5]張大偉，徐東光. 大型客機電傳飛控系統余度配置研究[J].飛機設計，2013，33（1）： 59-63. Zhang Dawei， Xu Dongguang. Research on the redundant analysis of fly-by-wire flight control system for trunk line aircrafts[J]. Aircraft Design，2013，33 （1）：59-63.（in Chinese）

[6]劉小雄，章衛國，李廣文. 電傳飛行控制系統的余度設計技術[J]. 飛機設計， 2006，26（1） ： 35-38. Liu Xiaoxiong， Zhang Weiguo， Li Guangwen. Redundancy techniques for fly-by-wire flight control systems[J]. Aircraft Design，2006，26 （1）：35-38.（in Chinese）

[7]丁倩. 民機飛行控制計算機的余度設計[J]. 黑龍江科技信息，2014（2）： 100-101. Ding Qian. Redundancy design of flight control computer for civil aircraft[J]. Heilongjiang Science and Technology Information，2014 （2）：100-101.（in Chinese）

[8]臧紅偉，韓煒，高德遠. 非相似余度計算機系統及其可靠性分析[J]. 哈爾濱工業大學學報，2008，40（3） ： 492-494. Zang Hongwei， Han Wei， Gao Deyuan. A dissimilar redundancy computer system and reliability analysis[J]. Journal of Harbin Institute of Technology，2008，40 （3）：492-494.（in Chinese）

[9]徐奡，夏德天，鄭久壽. 高升力系統控制計算機容錯技術研究[J]. 微電子學與計算機，2015，32（6） ： 36-40+45. Xu Ao， Xia Detian， Zheng Jiushou. The study of fault tolerance technical in civil aircrafts slat flap control computer[J].Micro‐electronics & Computer，2015，32（6）：36-40+45.（in Chinese）

[10]朱妍，郭潤兆，安剛. 大型運輸機高升力系統安全控制策略研究[J]. 航空科學技術，2016，27（9）： 40-44. Zhu Yan， Guo Runzhao， An Gang. High-lift system control strategy for large transport aircraft[J].Aeronautical Science & Technology，2016，27 （9）：40-44.（in Chinese）

[11]李麗雅.大型飛機增升裝置技術發展綜述[J]. 航空科學技術，2015，26（5）： 1-10. Li Liya. Review of high-lift device technology development on large aircrafts[J]. Aeronautical Science & Technology，2015，26（5）：1-10.（in Chinese）

[12]杜永良，高亞奎. 某運輸機高升力控制系統設計[J]. 中國科學（技術科學），2018，48（3） ： 289-298. Du Yongliang， Gao Yakui. High lift control system design for a transport aircraft[J]. Scientia Sinica（Technologica），2018，48（3）： 289-298.（in Chinese）

[13]韓賽，化東勝. 民用飛機襟翼電子控制裝置需求及控制仿真[J]. 航空工程進展，2016，7（1） ： 62-69. Han Sai， Hua Dongsheng. Requirements and control simulation of flap electronic control unit for civil aircraft[J]. Advances in Aeronautical Science and Engineering，2016，7（1）： 62-69.（in Chinese）

[14]程科.飛機操縱系統狀態監測與故障預測方法研究[D]. 南京：南京航空航天大學，2015. Cheng Ke. Aircraft control system condition monitoring and fault forecast method research[D]. Nanjing： Nanjing University of Aeronautics and Astronautics，2015. （in Chinese）

[15]孟巍. EMB145襟翼系統的故障分析[J]. 航空維修與工程，2007（1）：51-53. Meng Wei. Brief talks on the flap system of EMB145 regional jet airplanes[J]. Aviation Maintenance & Engineering，2007（1）： 51-53. （in Chinese）

[16]段容宜，劉英.襟翼故障分析與維護[J]. 科技視界，2013（35）：89-90. Duan Rongyi， Liu Ying. Flap failure analysis and maintenance[J]. Science & Technology Vision， 2013 （35）： 89-90. （in Chinese）

[17]Federal Aviation Administration.FAR-25：Airworthiness stan‐dards： Transport category airplanes[S]. FAA，2022.

[18]European Aviation Safety Agency. CS-25： Certification specifi‐ cation： Large aeroplanes[S]. EASA， 2019.

[19]中國民用航空局. CCAR-25-R4中國民用航空規章第25部運輸類飛機適航標準[S]. 北京：中國民用航空局，2011. Civil Aviation Administration of China. CCAR-25-R4 Civil aviation regulations of China， Part 25 airworthiness standards for transport aircraft [S]. Beijing： Civil Aviation Administration of China， 2011.（in Chinese）

[20]RTCA.DO-254 Design assurance guidance for airborne elec‐tronic hardware[S]. RTCA， 2000.

Design and Practice of Hardware Architecture of Slat Flap Control Computer Based on Airworthiness Requirements

Zhang Zhao1， Qin Huailei2， Sui Lijun3， Li Yuanyuan4， Liu Min2， Wang Yu1

1. AVIC China Aero-Polytechnology Establishment， Beijing 100028， China

2. AVIC Qing’an Group Co.， Ltd.， Xi’an 710077， China

3. AVIC Xi’an Flight Automatic Control Research Institute， Xi’an 710076， China

4. Xi’an Aircraft Certification Center， Airworthiness Certification Center of CAAC， Xi’an 710065， China

Abstract： This paper analyzes the airworthiness requirements of Slat Flup Control Computer （SFCC） in civil airworthiness regulations， and put forward the hardware architecture and redundancy design requirements for the SFCC， as well as the additional design requirements for the selection of complex electronic hardware. The realization and implementation of hardware architecture and redundancy design requirements are described in detail by taking the hardware architecture design of a certain type of SFCC as an example， which provides reference for the design of SFCC， and also guidance for the design of flight control system control computer.

Key Words： SFCC； hardware； architecture design； airworthiness； compliance