基于模型的民机液压告警系统验证方法研究

陈 楠 方俊伟 史 杰 傅 博 魏梦婕 / CHEN Nan FANG Junwei SHI Jie FU Bo WEI Mengjie

(上海飞机设计研究院，上海 201210)

基于模型的民机液压告警系统验证方法研究

陈 楠 方俊伟 史 杰 傅 博 魏梦婕 / CHEN Nan FANG Junwei SHI Jie FU Bo WEI Mengjie

(上海飞机设计研究院，上海 201210)

利用Simulink/Labview建立民用客机液压系统告警逻辑模型，通过注入顶层定义的根源故障获得可视化告警信息指示，符合设计分析结果，且具有故障叠加告警显示等优点，为验证复杂系统集成中面临的根源-派生故障告警信息显示抑制和排序功能提供一种有意义的方法。

基于模型；告警系统；液压系统；故障场景注入

0 引言

民用飞机机组告警系统提供飞机非正常状态消息以提示飞行员关注并采取相关操作。告警设计反映飞机在不同任务阶段的自动化状态评估，是人机交互界面的核心要素之一。当前告警系统已发展形成以波音、空客为代表的第三代发动机指示与机组告警系统[1](Engine Indication and Crew Alerting System，简称EICAS)和飞机电子中央监控系统(Electronic Centralised Aircraft Monitoring,简称ECAM)告警系统，在A380、A350、波音777、波音787及庞巴迪C系列等机型中得到广泛应用。

告警系统收集全机海量信号，通过复杂的计算形成非正常状态的原始描述。对告警消息的等级定义、排序和抑制是告警设计最为关键的问题。民用客机以往的空中事故表明[2]，如果对告警消息缺乏有效的抑制和排序机制，故障容易引发消息的堆栈，造成飞行员在飞机非正常状态，特别是紧急状态下，对故障辨识度模糊，增加飞行员驾驶负担，甚至可能造成操作的无效和错误。

为了明确告警信息的根源-派生关系，实现有效的抑制和排序设计，经常采用根源-派生故障递归梳理、故障树分析及机上试验验证等方式。本文提出依据系统告警设计逻辑建立告警模型，高效快捷地对告警信息进行检查及优化设计。此外，采用建模的方式还能便于直观显示告警逻辑，叠加故障告警显示等优点。

液压系统为飞机舵面和起落架运动提供液压能，兼具机械传动和电子控制功能，因此，本文采用液压作为研究对象进行告警梳理结果的确认和验证研究。

1 民用飞机液压系统工作原理[3]

飞机液压系统常用于操纵襟翼、减速板和飞控舵面偏转，收放起落架及操作机轮刹车。现代民用客机通常采用三套液压系统，每套液压系统采用主-备双泵方案，2#液压系统动力转换组件(Power Transfer Unit，简称PTU)由液压马达和泵组合，工作由1#液压系统驱动液压马达带动液压泵转子加压液压油。除左右发动机驱动泵(Engine drive pump,简称EDP)，其余液压泵采用电机驱动，可选择在驾驶舱手动打开或通过自动模式启动电动泵(Electric Motor Pump,简称EMP)。在自动模式下液压系统电子控制单元根据飞机不同状态下作动对液压压力和流量需求控制备份泵通断。

液压电子控制单元具有控制和监视的功能。液压系统监测液压输出状态、液压泵及液压活门开闭状态，依据传感器输入及其他相关外部系统等信号进行告警逻辑判断。当达到告警判决条件后，告警信息经过多路信号发至飞机机组告警系统(简称FDAS)，依据在FDAS中定义的告警等级和告警方式输出至驾驶舱EICAS显示，提示飞行员采取相关操作保证飞行安全。

2 民用客机液压系统告警模型

模型以液压系统告警逻辑和FDAS告警定义为基础，利用Simulink软件建立信号逻辑，通过Labview提供信号赋值及驾驶舱操作输入，信号实时输出至Simulink中计算得到告警输出，由Labview仿真EICAS显示包括CAS消息的文字信息，颜色(代表不同的等级)、告警声音等告警信息。

液压系统告警功能与驾驶舱指令、飞行阶段、泵启/停自动控制逻辑、电气/物理环境、交联系统功能等诸多因素相关。模型从下述三方面建立完整的信号层告警逻辑：

1) 输入信号

归纳三类输入信号定义，包括传感器参数、驾驶舱控制面板开关和外部系统参数输入；

2) 告警逻辑

依据大气数据、轮载、发动机工作等信号提供飞机状态及飞行阶段，建立液压泵控制逻辑，并结合传感器指示建立告警信号逻辑方程，包括延时，阈值判决和逻辑运算模块。告警逻辑方程中还具有根源-派生故障抑制逻辑。

3) EICAS显示

液压系统告警信息主要分为三类：液压系统工作状态告警，包括液压压力、温度和油量，液压泵/活门失效告警和非正常工况下泵启停提示告警。依据FDAS定义的告警信息属性按告警出现时间排序输出显示。

同时，围绕系统告警功能分析，减少非必要的工作量，建模时遵循以下原则进行简化：

1) 简化多余度外部参数输入，如襟/缝翼位置传感器多路余度信号输入简化为一路；

2) 总线Valid信号参数默认为真(置为1)，即模型暂不能支持设备失效下告警仿真。

3) 物理过程的简化。如继电器开关，泵供电、管路压力等模型在模型中做了简化处理，以适应桌面仿真的需要。

图1展示了液压告警模型原理图。

图1 液压告警模型原理图

3 仿真实例

模型共43个输入参数，通过对输入参数进行初始赋值可实现飞行场景注入。液压控制单元接收外部系统提供的飞机状态参数，如空速、轮载、停机刹车、重要交流汇流条状态、油门杆角度TLA等，以及液压传感器参数由Labview读取外部初始赋值表完成注入(如表1所示)；控制面板控制指令参数仿真控制面板注入(如图2所示)。MATALB中的OPC configure模块可接收Labview输入进行逻辑运算。

此处设定飞机以280节空中巡航，双发正常工作状态运行，其余传感器参数和控制面板泵开关设置在默认正常范围。运行模型，在Simulink告警输出端显示均为0，即在仿真EICAS上未有告警出现。

图2 Labview仿真驾驶舱控制面板

表1列出部分输入参数定义，在图2中展示了驾驶舱仿真控制板开关预置位置。

表1 部分输入参数定义

3.1 PTU人工开启

当操纵仿真面板PTU开关置于2位(ON位)，此时在Labview仿真的EICAS上显示出“HYD PTU ON”信息，指示当前PTU已经打开且PTU出口压力处于高压状态。表明作为2#液压系统备份泵在高压状态下打开为飞机非正常状态，告警信息如图3所示。

图3 PTU人工开启后CAS消息

3.2 液压系统油箱温度过热

模型中设置RSVR1_TEMP温度为300℃，经过逻辑运算，如图4所示，EICAS上出现一个 “HYD1 OVERHEAT”告警和一个 “HYD1 SOV CLSD”告警。RSVR1_TEMP表示液压油箱温度，当超过113℃时，会触发油箱温度高的红色告警，同时系统会自动关闭防火切断阀从而切断EDP1A的供油油路，防止潜在的火焰扩散。

图4 1#液压油箱温度过热CAS消息

可以看出，在显示排序上，高级别告警显示排列优先于次级别告警，且温度过热派生的阀门自动关闭也发出CAS消息提示飞行员EDP不可用。体现了飞机故障状态，且系统自动防护并处理告警。

3.3 双发失效

模型中设置L_ENG_RUNNING_EEC1A_R1、R_ENG_RUNNING_EEC1A_R1参数为0，表明左右发动机处于停车状态。同时将电源参数R_BPCU_EMER_PWR_ONLY_R1置为1，飞机处于应急供电状态，以隔离电源汇流条失效故障叠加影响。

如图5所示，EICAS显示“HYD1-2 LO PRESS”告警。双发失效作为根源故障会派生1#、2#液压系统低压告警，与表2通过人工梳理的根源-派生故障状态一致。这种状态下，根据液压系统工作原理，1#和2#液压泵EDP、EMP全部失效，且管路液压处于低压状态，此时飞机由3#液压系统提供液压能。

图5 双发失效故障派生的液压系统CAS消息

可以看出，双发失效下液压系统的派生信息抑制了液压泵不工作等失效告警。需要说明的是，EICAS页面的导航显示及起落架参数等均是模型中内置的静态参数，仅是为了还原真实显示器的状态，与仿真无关。

表2 双发失效根源故障的液压系统派生消息梳理结果

5 结论

通过建立基于信号逻辑的告警模型，能够简单快捷地注入系统非正常操作和故障场景，并直观显示不同场景下的告警信息，极大地减少人为梳理的工作量和主观不确定性。采用模型既可作为告警逻辑设计本身的一种验证方式，也可作为告警设计中人为因素研究的一种有力工具，对飞行员告警辨识度研究具有重要意义，同时，有利于在复杂系统集成中告警排序和抑制形成统一规范，此外，利用模型中的告警逻辑也便于针对真实飞机中遇到的问题进行排故。

[1] 杜建勋.发动机指示和机组警告原理及应用[M]．北京：国防工业出版社，1994：90-95.

[2] Albert,J.Rehmann．Flightdeck Crew Alerting Issues:An Aviation Safety Reporting System Analysis[R].Springfield: National Technical Information Service,1996.

[3] 宋静波．飞机构造基础[M]．北京：航空工业出版社，2011：79-88．

Analysis of Civil Aircraft Hydraulic Alerting System Verification Based on Simulink Model

(Shanghai Aircraft Design and Research Institute, Shanghai 201210, China)

Based on Simulink and Labview the signal-level model was set up. A way was provided on analysis of civil-airplane hydraulic system’s alerting logic, and a visual display of crew alerting system(CAS) information with different abnormal or failure cases input. It supplied a meaningful method to solve the problem faced in complex system integration that the numerous source-derived failure CAS information inhibition and arrangement in display.

model based; flight deck alerting system (FDAS); hydraulic system; failure cases input

10.19416/j.cnki.1674-9804.2016.04.008

上海市科委“浦江人才”项目资助课题，项目编号：14PJ1433800。

V24

A