基于适航要求的襟缝翼控制计算机硬件架构设计与实践

张昭 秦怀磊 隋立军 李元元 刘敏 王宇

摘 要：本文分析了民用适航规章当中对于襟缝翼控制计算机的适航要求，提出了针对襟缝翼控制计算机硬件架构和余度设计要求，以及选用复杂电子硬件的额外设计要求。以某型襟缝翼控制计算机硬件架构设计为例，详细阐述了硬件架构和余度设计要求的实现与落实，为襟缝翼控制计算机的设计工作提供了参考与借鉴，也为飞控系统控制计算机的设计提供了思路与指导。

关键词：襟缝翼控制计算机； 硬件； 架构设计； 适航； 符合性

中图分类号：V249 文献标识码：A DOI：10.19452/j.issn1007-5453.2023.04.008

民用飞机高升力系统作为飞行控制系统的重要组成部分，是直接影响飞机飞行安全的关键系统，襟缝翼控制计算机（SFCC）作为民用飞机高升力系统的控制单元，其故障和失效将给高升力系统的正常工作带来严重后果[1]。因此，满足适航与安全性要求的SFCC设计是高升力系统设计的关键技术之一。

国外对SFCC的相关研究公开资料较少，目前仅见波音777[1-2]、787[1-2]以及空客A320[2-4]、A350[1-2]、A380[1-2]系列飞机襟缝翼控制的相关介绍，且仅从维修和使用角度讲述，未能全面掌握SFCC设计原理与架构。国内对SFCC的研究主要集中在余度设计[5-8]、容错技术[9-10]、架构设计[11-12]、系统故障分析与保护[13-16]等方面，研制及验证经验较少，且未能从适航与安全性角度提出SFCC架构设计的顶层要求。

本文从适航规章要求出发，阐述与SFCC相关的适航规章要求，并提出SFCC架构设计的顶层要求，以某型民机为例，介绍SFCC的架构设计与考虑，为其他国产SFCC架构设计提供参考与借鉴。

1 襟缝翼控制计算机适航要求

民用航空规章是民用飞机设计与验证依据的最低标准。以民用运输类飞机为例，目前国际上主要有美国联邦航空局（FAA）发布的FAR-25部[17]、欧洲航空安全局发布的CS-25部[18]标准，我国民用运输类飞机依据的适航规章为CCAR-25部[19]，其内容与FAR-25部、CS-25部基本一致。

在CCAR-25部当中，对民用飞机襟缝翼控制系统有着明确的要求，第25.671条要求襟缝翼控制系统在任何单点故障或者极不可能概率的组合失效情况下，仍能工作，确保飞机能够继续安全飞行和着陆；第25.1301条规定，襟缝翼控制系统应在安装后功能正常；第25.1309条规定，襟缝翼控制系统应能在飞机预期运行条件下实现系统预定的功能，同时襟缝翼控制系统任何可能的失效模式或组合失效情况导致发生飞机不能继续安全飞行与着陆、机组工作负荷的显著增大、乘客死亡的事件概率是极不可能的。

对于民用飞机襟缝翼控制系统，要求系统的架构和功能性能设计应能保证，在飞机的预期正常运行情况和任何单点故障或者极不可能概率的组合失效情况下，系统功能正常，能够提供襟缝翼控制功能，进而满足飞机整机的飞行和操作要求。襟縫翼控制系统应按照自飞机分解到系统的安全性需求，进行安全性分析与系统架构设计，将预期的安全性要求分解并落实到构成系统的子系统和设备上。SFCC作为构成系统的设备，就是要在设计中满足安全性要求和分解的系统研制要求，并开展设备鉴定试验和功能性能试验，证明已经落实并满足分解而来的适航要求。具体到SFCC，其包含了软件的内容和硬件的模块，同时，SFCC内部还存在电源供应、信号传输等接口，虽然适航规章没有具体对SFCC提出详细的适航要求，但安全性需求经过分解已经从襟缝翼控制系统传递到了SFCC，直至软件与硬件层级。对于机载软件和电子硬件，适航规章要求通过枚举法或者过程保证的方法来证明软件和硬件满足对应的安全性等级要求。枚举法主要针对简单软件与简单电子硬件，目前对于民用飞机系统，枚举法已基本不再使用，故目前多是通过过程保证的方法来证明软件与硬件满足安全性要求。

以机载硬件为例，目前针对机载电子硬件主要过程保证方法的依据是RTCA DO-254[20]标准，通过分阶段的开发与验证来保证电子硬件的开发满足对应的安全性要求。

2 襟缝翼控制计算机设计要求

2.1 架构与余度设计

对于民用飞机襟缝翼控制系统这一类复杂系统，适航要求的本质是系统应能预期功能正常和失效—安全，预期功能正常就是系统要能通过设计实现预期的功能性能，而失效—安全就是要求系统一旦丧失部分功能，必须确保系统仍然能够实现核心或主要的功能性能，并且不能因为部分功能的丧失而导致系统功能明显降级。对于构成系统的子系统和设备，同样也必须满足预期功能正常和失效—安全的要求。对于SFCC，就是要求SFCC必须满足预期的控制功能，同时，当SFCC发生故障后，SFCC应能提供规定的功能，确保系统基本功能正常，SFCC通常是使用备份、冗余、隔离或分区等架构设计手段，利用余度设计，实现预期功能正常和失效—安全的要求，进而满足适航条款第25.671条、第25.1301条、第25.1309条当中对于安全性和功能的要求。

因此，为了避免功能交联，SFCC通常内部是将襟翼、缝翼功能隔离，分为了襟翼通道与缝翼通道。为了提高通道内的安全性水平，防止单点故障发生，通道内采用监控对，至少分为命令模块和监控模块，对于安全性水平要求高的飞机，还可以设置备份模块，命令模块、监控模块和备份模块形成了表决监控策略；同时为了防止共模故障的发生，命令模块、监控模块和备份模块多采用不同的软件和/或硬件设计，构成了非相似余度。

SFCC的硬件部分要实现计算功能、存储功能、通信协议解析、传感器信号激励、电气信号处理等功能，软件部分要实现硬件初始化、硬件配置、数据解算与传输等功能。SFCC内外部还存在数据与通信接口，在设计这些接口时，应能够对传输的数据进行有效校验。

除了主要的硬件和软件外，SFCC还应该设置有电磁防护模块，为整台计算机提供电磁防护，防止高强辐射场降低计算机功能和性能。

2.2 复杂电子硬件的开发设计

根据RTCA DO-254标准，对于包含了可编程逻辑器件（PLD）、现场可编程门阵列（FPGA）、专用集成电路（ASIC）和数字信号处理器（DSP）等器件的复杂电子硬件，如果其研制保证等级（DAL）为A、B、C级，需要按照RTCA DO-254标准的要求，按阶段开展复杂电子硬件的符合性表明。

对于襟缝翼控制计算机中包含的复杂电子硬件，根据安全性分析结论，其DAL等级通常为A级或者B级，因此应在器件的每个逻辑部件（逻辑门、节点、寄存器、锁存器）表明在所有可能的排列组合包括动态情况及其并发在内的输入条件下的运行状态，并且需要考虑时序分析中的不利条件。若硬件设计选用了商用货架（CTOS）的微处理器，应能证明COTS微处理器能够执行预期功能并满足适航要求。

除此之外，大气中存在的高能中子流可能会穿透SFCC计算机机箱结构壳体，撞击到电子硬件的计算单元或者存储单元，产生单粒子效应（SEE），引发软错误和/或硬错误，可能造成器件设备死机、复位、重启、数据丢失、命令丢失等危害，造成安全性等级降低，因此电子硬件需要根据系统安全性分析结果，采用单粒子缓和措施，如上电校验、周期校验、逻辑冗余或者选择高可靠的抗SEE的器件。

3 某型襟缝翼控制计算机设计实践

某型飞机襟缝翼控制系统采用了2×2余度设计，左右各有一台SFCC；两台SFCC采用了双机双工工作模式，且均处于工作状态，同时执行相同的功能，每台SFCC分别接收襟缝翼控制手柄激励并采集位置传感器（PSU）、倾斜传感器（SSU）和翼尖制动器（WTB）信号，经解调运算后输出给襟翼组件和缝翼组件的动力驱动单元（PDU）。襟缝翼控制系统架构如图1所示。

每台SFCC具有闭环控制与监控功能，内部分为襟翼通道与缝翼通道，每个通道内采用监控对，分为命令模块（COM）和监控模块（MON）。因此，一台SFCC内部划分了4个独立的模块，分别是襟翼命令模块（FCOM）、襟翼监控模块（FMOM）、缝翼命令模块（SCOM）和缝翼监控模块（SMOM），SFCC的4个模块之间存在离散量输入/输出接口，COM模块与MON模块之间通过串行数据总线实现交叉比较，当出现故障信息或不一致信息时，4个模块都可以单独关断作动器，实现了COM与MON的非相似架构设计。

整体上，COM模块实现驱动控制与监控功能，MON模块实现关断控制与监控功能，采用两个模块间相互监控表决工作方式，COM和MON均提供外部传感器接口，实现电源转换、数字处理与存储、传感器激励及交叉通信数据链路（cross channel data link，CCDL）数据交换，模块间设置同步接口实现任务同步。

当任何一台SFCC的襟翼通道或缝翼通道的COM模块或者MON模块支路硬件或软件出现故障后，该台SFCC将进入故障—安全（fail-safe）状态，并通过故障指示信号告知PDU，同时通过航电系统反馈给驾驶舱，报给驾驶员，与此同时，襟翼或缝翼的控制将由另一台SFCC计算机完成，實现了负载均衡和互为备份。具体的模块硬件架构如图2所示。

为防止COM模块与MON模块发生共模故障失效，COM模块与MON模块硬件架构采用了非相似硬件设计，选用了不同厂家的处理器和FPGA器件，从硬件上消除了共模故障，克服了硬件设计缺陷。

COM和MON还考虑了单粒子翻转故障对功能的影响，ARINC429总线发送和接收逻辑中单个ARINC429总线数据采用了奇偶校验，实现了校验代码传输的正确性，可以有效检测出单粒子翻转故障。当任何一台SFCC发生SEE故障，系统内部通过交叉监控检测出SEE故障，同时停止该台故障SFCC对PDU的控制，由另一台SFCC完成对PDU的控制。同时，在器件选择上，MON模块的器件选择为FLASH型FPGA，不容易受到SEE的影响，其与COM模块中的FPGA实现了功能冗余与监控，可以有效检测出COM和MON中的SEE故障，及时停止故障SFCC对PDU的控制，实现PDU的控制切换。

4 结论

通过研究，得到以下结论：

（1）详细分析了民航适航规章中对于襟缝翼控制计算机的设计要求，结合襟缝翼控制计算机的架构设计与余度设计，给出了相关的适航设计考虑，以及襟缝翼控制计算机选用复杂电子硬件的附加考虑和开发设计要求。

（2）根据以上研究结果，以某型襟缝翼控制计算机为例，介绍了相关适航设计与验证要求的实现，为襟缝翼控制计算机设计与验证提供了有效参考。

参考文献

[1]史佑民，杨新团. 大型飞机高升力系统的发展及关键技术分析[J]. 航空制造技术，2016（10）： 74-78. Shi Youmin， Yang Xintuan. Development and critical technolo‐gy analysis for high lift system of large aircraft[J]. Aeronauti‐cal Manufacturing Technology， 2016（10）： 74-78.（in Chinese）

[2]张新慧，李晶，任宝平. 大型先进民用飞机高升力控制系统架构研究[J]. 测控技术，2020，39（10）：124-129. Zhang Xinhui， Li Jing， Ren Baoping. Research on architecture of high lift control system for large advanced civil aircraft[J]. Measurement & Control Technology， 2020，39（10）：124-129.（in Chinese）

[3]蒋双奇. A320襟缝翼系统原理及排故措施[J]. 价值工程，

2015，34（2）：45-46. Jiang Shuangqi. Principles and troubleshooting measures of slots flaps system of A320[J]. Value Engineering，2015，34 （2）： 45-46.（in Chinese）

[4]韩冬. 空客A320系列飞机襟/缝翼翼尖刹车监控信息的分析[J]. 航空维修与工程，2016 （9）： 73-75. Han Dong. Analysis on weird fault message about monitoring WTB circuit of SFCC on A320s aircraft[J]. Aviation Maintenance & Engineering，2016 （9）：73-75.（in Chinese）

[5]張大伟，徐东光. 大型客机电传飞控系统余度配置研究[J].飞机设计，2013，33（1）： 59-63. Zhang Dawei， Xu Dongguang. Research on the redundant analysis of fly-by-wire flight control system for trunk line aircrafts[J]. Aircraft Design，2013，33 （1）：59-63.（in Chinese）

[6]刘小雄，章卫国，李广文. 电传飞行控制系统的余度设计技术[J]. 飞机设计， 2006，26（1） ： 35-38. Liu Xiaoxiong， Zhang Weiguo， Li Guangwen. Redundancy techniques for fly-by-wire flight control systems[J]. Aircraft Design，2006，26 （1）：35-38.（in Chinese）

[7]丁倩. 民机飞行控制计算机的余度设计[J]. 黑龙江科技信息，2014（2）： 100-101. Ding Qian. Redundancy design of flight control computer for civil aircraft[J]. Heilongjiang Science and Technology Information，2014 （2）：100-101.（in Chinese）

[8]臧红伟，韩炜，高德远. 非相似余度计算机系统及其可靠性分析[J]. 哈尔滨工业大学学报，2008，40（3） ： 492-494. Zang Hongwei， Han Wei， Gao Deyuan. A dissimilar redundancy computer system and reliability analysis[J]. Journal of Harbin Institute of Technology，2008，40 （3）：492-494.（in Chinese）

[9]徐奡，夏德天，郑久寿. 高升力系统控制计算机容错技术研究[J]. 微电子学与计算机，2015，32（6） ： 36-40+45. Xu Ao， Xia Detian， Zheng Jiushou. The study of fault tolerance technical in civil aircrafts slat flap control computer[J].Micro‐electronics & Computer，2015，32（6）：36-40+45.（in Chinese）

[10]朱妍，郭润兆，安刚. 大型运输机高升力系统安全控制策略研究[J]. 航空科学技术，2016，27（9）： 40-44. Zhu Yan， Guo Runzhao， An Gang. High-lift system control strategy for large transport aircraft[J].Aeronautical Science & Technology，2016，27 （9）：40-44.（in Chinese）

[11]李丽雅.大型飞机增升装置技术发展综述[J]. 航空科学技术，2015，26（5）： 1-10. Li Liya. Review of high-lift device technology development on large aircrafts[J]. Aeronautical Science & Technology，2015，26（5）：1-10.（in Chinese）

[12]杜永良，高亚奎. 某运输机高升力控制系统设计[J]. 中国科学（技术科学），2018，48（3） ： 289-298. Du Yongliang， Gao Yakui. High lift control system design for a transport aircraft[J]. Scientia Sinica（Technologica），2018，48（3）： 289-298.（in Chinese）

[13]韩赛，化东胜. 民用飞机襟翼电子控制装置需求及控制仿真[J]. 航空工程进展，2016，7（1） ： 62-69. Han Sai， Hua Dongsheng. Requirements and control simulation of flap electronic control unit for civil aircraft[J]. Advances in Aeronautical Science and Engineering，2016，7（1）： 62-69.（in Chinese）

[14]程科.飞机操纵系统状态监测与故障预测方法研究[D]. 南京：南京航空航天大学，2015. Cheng Ke. Aircraft control system condition monitoring and fault forecast method research[D]. Nanjing： Nanjing University of Aeronautics and Astronautics，2015. （in Chinese）

[15]孟巍. EMB145襟翼系统的故障分析[J]. 航空维修与工程，2007（1）：51-53. Meng Wei. Brief talks on the flap system of EMB145 regional jet airplanes[J]. Aviation Maintenance & Engineering，2007（1）： 51-53. （in Chinese）

[16]段容宜，刘英.襟翼故障分析与维护[J]. 科技视界，2013（35）：89-90. Duan Rongyi， Liu Ying. Flap failure analysis and maintenance[J]. Science & Technology Vision， 2013 （35）： 89-90. （in Chinese）

[17]Federal Aviation Administration.FAR-25：Airworthiness stan‐dards： Transport category airplanes[S]. FAA，2022.

[18]European Aviation Safety Agency. CS-25： Certification specifi‐ cation： Large aeroplanes[S]. EASA， 2019.

[19]中國民用航空局. CCAR-25-R4中国民用航空规章第25部运输类飞机适航标准[S]. 北京：中国民用航空局，2011. Civil Aviation Administration of China. CCAR-25-R4 Civil aviation regulations of China， Part 25 airworthiness standards for transport aircraft [S]. Beijing： Civil Aviation Administration of China， 2011.（in Chinese）

[20]RTCA.DO-254 Design assurance guidance for airborne elec‐tronic hardware[S]. RTCA， 2000.

Design and Practice of Hardware Architecture of Slat Flap Control Computer Based on Airworthiness Requirements

Zhang Zhao1， Qin Huailei2， Sui Lijun3， Li Yuanyuan4， Liu Min2， Wang Yu1

1. AVIC China Aero-Polytechnology Establishment， Beijing 100028， China

2. AVIC Qing’an Group Co.， Ltd.， Xi’an 710077， China

3. AVIC Xi’an Flight Automatic Control Research Institute， Xi’an 710076， China

4. Xi’an Aircraft Certification Center， Airworthiness Certification Center of CAAC， Xi’an 710065， China

Abstract： This paper analyzes the airworthiness requirements of Slat Flup Control Computer （SFCC） in civil airworthiness regulations， and put forward the hardware architecture and redundancy design requirements for the SFCC， as well as the additional design requirements for the selection of complex electronic hardware. The realization and implementation of hardware architecture and redundancy design requirements are described in detail by taking the hardware architecture design of a certain type of SFCC as an example， which provides reference for the design of SFCC， and also guidance for the design of flight control system control computer.

Key Words： SFCC； hardware； architecture design； airworthiness； compliance