某型涡扇发动机分布式容错控制系统设计与试验验证

刘 旭 ，张天宏 ，陈 飞

（1.南京航空航天大学能源与动力学院，南京210016；2.中国航发控制系统研究所，江苏无锡214063）

0 引言

航空发动机控制系统的任何部件的故障或失效都可能对发动机的安全造成危害，影响其安全可靠运行。因此，必须要提高控制系统的可靠性，降低控制系统部件故障或失效对发动机的危害。提高发动机控制系统可靠性的1个重要途径就是采取容错控制技术。容错控制技术通过余度和重构等方法，可以容忍单个部件或组合的故障或失效，维持发动机的有效运行，避免对发动机安全产生危害性后果[1]。因此，为了提高发动机的安全性和可靠性，有必要对发动机控制系统进行容错设计。

目前国内外发动机全权限数字电子控制（FADEC）系统广泛采用基于硬件余度的容错控制思想，应用双通道冗余架构使控制系统能容忍单个通道的硬件故障[2]，但一般只能实现热备份和整体切换的重构方法，余度配置的灵活性不足。近年来，国内学者针对智能容错技术开展了一系列研究，包括神经网络理论、模糊理论和自适应理论等智能容错方法[3-5]，基于机载实时模型以及平衡流形的故障信号重构技术也取得了初步成果[6-7]，但考虑到航空发动机的工作特性与算法的适应性等问题，这些方法大多停留于理论研究层面，距离工程应用还存在一些差距。

本文提出1种分布式架构下结合硬件冗余和控制律重构的容错控制方案。针对某型双轴混排式涡扇发动机，基于TTP/C总线设计包含7个智能节点的分布式容错控制系统，采用模型参考变结构控制算法设计了容错控制器。搭建硬件在环仿真试验环境，通过智能节点故障的容错控制试验，对本文设计的分布式容错控制系统进行试验验证。

1 分布式容错控制系统总体方案

分布式控制系统在灵活性、可靠性和维护性等方面远优于传统的集中式控制系统，是航空发动机控制系统的重要发展方向[8]。在分布式控制系统中，数据采集程序和执行机构控制程序分散在各智能传感器节点和智能执行机构节点中，控制、容错和健康管理等程序集中在中央控制器节点上，每个节点都含有独立的处理器，通过数据总线相互连接以交换数据信息[9]。分布式架构下各智能节点的数据通过总线全局共享，且都可以进行模块化的冗余设计，适合容错技术的实现。本文在分布式架构下基于TTP/C总线设计了容错控制系统。

1.1 TTP/C总线

TTP/C总线是1种基于时间触发协议（Timer Trigger Protocol，TTP）的数据总线，具有严格时间确定性、安全关键性和完全分布式的特点[10-11]，比TTCAN和Flex Ray总线具有更完备的容错机制，比ARINC659总线具有体积小、可用性高和价格低的优势。在TTP/C总线协议下，分布式集群根据成员协议（GMP）在1个任务周期内快速实现故障节点的检测和隔离[12]。瞬时故障的节点在下几个任务周期内再整合进入集群，若连续4个任务周期不能通过再整合进入集群，该节点进入故障模式将被集群冻结。若故障节点存在备份节点，则快速启用备份节点代替原故障节点。TTP/C总线的这种总线容错机制为本文的分布式容错控制系统奠定了基础。

1.2 容错控制系统硬件架构

参考工程中的双转子涡扇发动机的控制方法，将高压转速nH、低压转速nL和涡轮落压比πt作为可供选择的被控变量，主燃油量wfb和尾喷管喉道截面面积A8作为可供选择的控制变量。根据发动机被控变量和控制变量的选择，本文设计的某型涡扇发动机分布式容错控制系统的架构如图1所示。包含7个智能节点，节点1为低压转速节点，负责采集低压轴转子转速；节点2为高压转速节点，负责采集高压轴转子转速；节点3为压力采集节点，负责采集高压涡轮进口总压和低压涡轮出口总压，从而计算出涡轮落压比；节点4为核心控制节点，负责发动机控制任务和容错策略的执行；节点5为油针位置控制节点，负责主燃油量的小闭环控制；节点6为尾喷管面积控制节点，负责尾喷管喉道截面面积的小闭环控制；节点7为节点4的备份节点，在节点4故障时启用备份节点7，保证系统的正常工作。TTP/C总线采用双通道冗余总线结构，提高系统的可靠性。在分布式架构下，可以灵活地增加硬件备份节点的数量，进一步提高系统可靠性。

图1 某型涡扇发动机分布式容错控制系统架构

分布式容错控制系统中智能节点按照时间轴（如图2所示）发送控制数据和自身的成员关系列表，控制系统的控制步长为20 ms。其中，控制节点4需要进行控制律计算和容错策略执行，因此预留了较长的时间片；备份节点7采用热备份方式，在集群中正常接收数据和处理数据，但未分配时间片不能发送数据，当控制节点4发生故障时，直接占据节点4的时间片，快速替换故障节点。由于本文节点数目较少，因此未对时间轴进行严格划分，若节点数目增加，可以适当缩小各节点的时间片。

图2 TTP/C总线任务调度时间轴

1.3 容错控制方案

在上节分布式容错控制系统硬件架构的基础上，提出1种结合控制律重构和硬件冗余的容错控制方案。当传感器或执行机构节点故障时，控制器根据节点故障情况，利用控制律重构在线改变控制结构，切换至无故障节点的控制回路中；当核心控制节点故障时，无法采用控制律重构进行容错控制，此时利用硬件冗余快速启用备份节点代替故障节点。

智能节点故障的容错控制策略见表1。在分布式容错控制系统正常运行时，采用wfb和A8控制nH和πt的多变量控制方案。当1号低压转速节点发生故障时，nL的数据不再更新，但不影响发动机的正常控制；当2号高压转速节点发生故障时，nH的数据不再更新，控制律切换为wfb和A8控制nL和πt的多变量控制律；当3号压力信号节点和6号尾喷管控制节点发生故障时，控制系统切换为wfb控制nH的单变量控制；当4号核心控制节点发生故障时，利用容错控制系统的硬件冗余，启用备份节点代替故障节点；当5号油针控制节点发生故障时，wfb的数据不再更新，由于A8对nL的影响比较明显，理论上可以采用A8控制nL的单变量控制律，但在实际工程中，A8对发动机状态的调节范围较窄，故针对5号节点故障采用硬件冗余设置备份节点，可以达到更好的容错效果。

表1 智能节点故障容错控制策略

容错控制系统结构如图3所示。该结构包括传感器信号采集节点、执行机构控制节点、核心控制节点和备份节点。TTP/C总线控制器在每个智能节点中实时运行，用于判断当前集群的工作状态。控制律切换单元与4个变结构控制器组成了容错控制器，4个变结构控制器根据容错控制策略设计，对应不同故障情况下的控制回路；控制律切换单元根据总线控制器输出的成员关系列表进行逻辑判断，从而选择相应的变结构控制器。当控制系统中传感器信号采集节点或执行机构控制节点故障时，该故障节点在20 ms的任务周期内被集群快速诊断并隔离，若在规定时间80 ms内无法再整合进入集群，核心控制节点的控制律切换单元根据TTP/C总线控制器输出的各节点工作状态选择相应的变结构控制器，实现容错控制；若核心控制节点故障，则在无法再整合后立即启用其备份节点。

图3 容错控制系统结构

2 模型参考变结构控制器设计

模型参考变结构控制算法具有结构简单、物理实现方便、对摄动和外部干扰不敏感等优点，还可以借助参考模型设计性能指标，实现多变量控制回路的解耦，适用于容错控制器设计[13]。其系统结构如图4所示。

图4 模型参考变结构控制系统结构

某型涡扇发动机在稳态工作点处的线性化模型为

式中:xp、yp、up分别为状态、输出及输入矢量，其数值为稳态工作点相应变量的相对增量；A、B、C、D为适维矩阵。

为了满足变结构控制的设计要求，将线性模型的输入量增广到状态量中，得到设计对象模型

参考模型为系统（2）的同阶系统

式中:xm为参考模型的状态变量；r为参考模型的外部输入量。

采用状态反馈解耦法设计参考模型[14]，利用极点配置得到参考模型动态系数矩阵

式中:K1和K2为参考模型需配置的矩阵。

被控对象与参考模型之间的误差系统模型为

式中:e=xm-xa，为误差系统的状态变量。

针对误差系统设计变结构控制的切换函数为

式中:G=[K I]，为滑动模态矩阵；K通过极点配置求解。

取s=0，根据式（5）和（6）可得

若矩阵GB非奇异，可以得到滑动模态的等效控制

其 中 :ψ1= （GBa）-1G （Am-Aa）；ψ2=（GBa）-1GAm；ψ3=（GBa）-1GBm。

为了保证变结构控制到达条件成立，采用等速趋近律设计切换控制律

式中:ε为对角正定矩阵，其对角元素为εi，调节εi可以调节趋近速度。

针对线性模型设计的控制器在远离线性化点处控制效果不佳，被控对象会与参考模型之间存在静差，因此在控制器中增加了带积分分离的积分补偿项

式中:ey=ym-ya；k为积分常数。

最终得到增广后的系统控制量ua=ueq+usw+uc，对ua积分得到实际系统控制量up。

对于某型涡扇发动机，以wfb和A8控制nH和πt的多变量方案为例，状态量xp=[nLnH]T，控制量up=[wfbA8]T，被控量yp=[nHπt]T。通过最小二乘法拟合得到其线性系统模型为

解得控制器参数

取 ε=diag[0.2 0.1]，k=10，得到该多变量控制方案下的变结构控制器。

根据控制律重构方案改变控制量up和被控制量yp中的参数，通过最小二乘拟合得到对应的线性化模型，按照上述控制器的设计方法求解得到另外3个变结构控制器，求解过程不再赘述。

由于最终控制量up通过积分得到，离散化后积分量通过累加得到，所以变结构控制器实际是1种增量式控制器。为了保证控制器切换过程中发动机的平稳过渡，控制器切换后的输出量保持为前一时刻输出量，然后再进行积分累加。

3 硬件在环仿真试验

与数字仿真试验相比，硬件在环仿真试验使用了真实的控制器硬件，尽可能逼真地模拟传感器与执行机构信号，因此更接近实际系统[15]。为验证上述容错控制系统的有效性，本文建立了分布式容错控制系统硬件在环仿真试验环境，并开展仿真试验验证。

3.1 硬件在环仿真平台构建

图5 硬件在环仿真平台总体结构

硬件在环仿真试验平台总体方案如图5所示，包括分布式控制系统和接口模拟系统2部分。接口模拟系统由接口模拟电路和NI公司的myRIO嵌入式开发平台2部分组成。接口模拟电路模拟真实的传感器和执行机构，接收分布式控制系统输出的电流控制信号并调理为电压信号传送给myRIO，同时在myRIO控制下输出相应的传感器模拟信号，包括转速信号、压力信号和线性可变差动变压器（LVDT）信号；myRIO作为接口模拟系统的核心，实时运行涡扇发动机部件级模型，采集经过接口模拟电路调理后的主燃油量和尾喷管喉道面积模拟电压信号输入给发动机模型，经过模型计算输出对应发动机高低压转速和相应截面出口压力的控制信号，并控制接口模拟电路输出相应的传感器模拟信号。分布式容错控制系统负责信号的采集与容错控制，将计算出来的控制量以驱动电流的形式传输给接口模拟系统，同时利用上位机监控软件显示当前发动机的运行状态并发送控制指令。硬件在环仿真试验平台实物如图6所示。

图6 硬件在环仿真平台实物

3.2 容错控制试验

3.2.1 传感器信号采集节点故障容错试验

传感器信号采集节点包括节点1、2、3，现以3号压力采集节点故障为例进行说明。节点3在发动机稳态控制过程中出现故障的仿真试验结果如图7所示。

图7 压力采集节点故障容错试验响应曲线

从图中可见，在第2.4 s时节点3发生故障且无法再整合进入集群，此后涡轮落压比的数据不再更新保持不变。容错控制系统将控制方案从wfb和A8控制nH和πt的多变量方案切换为wfb控制nH的单变量控制方案，在整个过程中发动机状态量和输出量几乎不变。在第9 s时将发动机高压转速调节到95%，重构后的系统在3 s内完成状态调节，此时不再调节。由于发动机处于稳态，因此当节点3发生故障时，发动机控制量的增量为0，各状态量无波动。发生故障后，容错控制系统仍能使发动机有效、稳定地控制，也验证了模型参考变结构控制器的控制效果。

3.2.2 执行机构控制节点故障容错试验

执行机构控制节点包括节点5、6，现以6号尾喷管控制节点故障为例进行说明。节点6在发动机动态控制过程中发生故障的仿真试验结果如图8所示。从图中可见，在第31 s左右调节发动机状态，期望在保持落压比不变的情况下，将高压转速调节至95%。在第32.5 s左右节点6发生故障且无法再整合进入集群，此后A8数据不再更新，并保持不变，容错控制系统将控制方案从wfb和A8控制nH和πt的多变量方案切换为wfb控制nH的单变量控制方案。在第35 s左右发动机完成状态调节，但由于发生故障后为单变量控制，涡轮落压比略微减小。在整个动态过程中未出现发动机状态量的较大波动，仅高压转速的上升趋势发生了变化，容错控制效果较好。从局部放大图中可见，发生故障后A8不再调节，在原控制律作用下，供油量的变化趋势增大，在第32.6 s时完成切换，此时由于单变量控制律的增益矩阵选取较大，供油量的上升趋势进一步变大，影响高压转速上升趋势变化，整个重构过程大约耗时80 ms左右，80 ms主要用于等待故障节点再整合进入集群，避免瞬时故障引起误操作。由于总线控制器能够在20 ms内检测和隔离故障节点，整个容错过程在100 ms以内。

图8 尾喷管控制节点故障容错试验响应曲线

3.2.3 控制节点故障容错试验

4号控制节点在发动机动态控制过程中出现故障的仿真试验结果如图9所示。从图中可见，在第16 s调节发动机状态，期望在保持落压比不变的情况下，将高压转速调节至93%。在第17 s时节点4发生故障，容错控制系统在确认节点4无法再整合进入集群后，立即启用备份节点7，状态量和控制量仅在故障发生时有微小波动，备份节点可以成功控制发动机到达目标状态，体现了硬件冗余的优越性。从局部放大图中可见，节点4发生故障后目标油针位置和目标A8作动筒位置保持不变，执行机构节点控制实际油针位置和实际A8作动筒位置也保持不变，但备份节点仍在实时计算这2个目标量，因此备份节点替换完成后目标值发生小幅跳变。从故障发生到备份节点正常工作约耗时100 ms，除了等待故障节点再整合耗时80 ms外，切换至热备份节点需要1个控制周期20 ms，整个容错过程在120 ms以内。

图9 控制节点故障容错试验响应曲线

4 结论

本文提出1种结合控制律重构和硬件冗余的容错控制方案，设计了分布式架构下的容错控制系统，并针对智能节点故障问题进行容错控制系统的硬件在环仿真试验。

（1）在传感器或执行机构节点故障时，容错控制系统可以快速切换控制回路进行容错控制，保证发动机的平稳过渡和可靠运行。

（2）在核心控制节点故障时，容错控制系统可以快速启用热备份节点代替故障节点。

（3）若在工程应用中根据实际需求对硬件冗余进行灵活配置并增加智能节点的数量，可以进一步提高控制系统的可靠性。

（4）若将控制律切换的参考依据以发动机推力代替发动机的状态量，还将进一步提高该容错控制系统的工程应用价值。