民用飛機飛控系統，如果對感測器信號進行投票表決？

電傳飛控系統（Fly By Wire， FBW）通過感測器餘度配置，提高了信號可用性和完整性。

這裡介紹了幾類常見的感測器餘度配置方案及其表決邏輯，設計了三餘度感測器表決架構，對其中比較器、計數器進行了詳細描述。

然後通過一個模擬算例，驗證了表決器設計的正確性。對於國內民機感測器餘度配置和表決管理具有指導意義。

關鍵字：電傳飛控系統，餘度管理，表決器，感測器

01 背景介紹

電傳飛控系統，使用冗餘硬體（感測器、計算單元等），以滿足高可靠性、高安全性要求。

目前很多感測器具備內部監控器（電壓/電流監控、頻率監控等），可提供 90-95% 以上的故障檢測率。一旦檢測到故障，該感測器資料將被標記為 “無效”。

然而有效性標記並不能覆蓋感測器的所有故障，針對感測器不能自己檢測到的故障，需要設計外部監控器對多餘度感測器進行表決（餘度管理），以隔離錯誤感測器信號，

避免對飛機產生不良影響。

這裡對二餘度、三餘度、四餘度、混雜餘度的感測器表決邏輯進行了研究，分析了可應用於工程實踐的表決器設計方法。對於飛控系統的關鍵感測器表決設計（側杆、腳蹬、大氣資料、慣導感測器等），具有指導意義。

02 表決邏輯

信號表決的目的是為了提高信號的可用性或完整性，或二者兼有。

表決的源信號並非越多越好，余度增加會帶來硬體成本、架構複雜度、維護工作和重量的增加。

源信號的數量及表決邏輯，取決於飛機/系統對信號的要求，民用飛機設計過程中常見的感測器餘度設計主要有二餘度、三餘度、四餘度、混雜餘度這幾類。

下圖總結了不同的表決邏輯所帶來的收益。

注意：根據目前工業水準，假設單個感測器信號可用性為 1E-4/FH ，完整性為 1E-5/FH 。假設飛行暴露時間為 3 小時，多感測器之間相互獨立。

當感測器輸出信號超出公差範圍的次數大於定義值（持續故障時間），表決器需檢測到故障並隔離相應感測器信號。

表決器需根據已確定的表決邏輯進行設計，同時定義相關的表決門限和允許的持續故障時間。

表決門限過低會導致感測器輸出在誤差帶邊緣時被斷開，門限過高則可能導致故障鎖存時，感測器已出現不可接受的瞬變，因此表決器門限的選擇非常重要。

同時為了避免信號跳變導致表決器頻繁誤觸發，提高系統魯棒性，需要允許感測器信號的 “錯誤” 持續一段時間，工程上一般採用計數器的方法，一旦錯誤計數達到定義值，則鎖存感測器故障，隔離錯誤信號。

以飛控系統常見的三餘度配置為例，設計表決器如下圖所示。

比較器對三路感測器信號 A、B、C 進行兩兩比較，若兩個感測器信號之差超出門限，比較器輸出 1 至邏輯及閘，表示這一組信號不匹配。

若 A 與 B 不匹配且 A 與 C 不匹配（及閘輸出為 1），則可判定感測器 A 出現一次故障，相應的計數器記錄故障資訊。

比較器門限的設計需綜合考慮感測器、傳輸匯流排、飛控電子設備的誤差和延遲，並根據試驗結果進行修正。

計數器記錄感測器故障資訊，對每路感測器的故障次數進行統計，出現一次故障計數器加 X，出現一次正常資料計數器減 Y，當計數值大於 Z，則判定相應感測器出現故障，監控器隔離並鎖存故障信號。X、Y、Z 的定義更多依賴於工程經驗，同時考慮表決器性能要求。

最後表決器根據感測器信號值和故障鎖存資訊，對剩餘有效信號取均值，輸出表決信號，用於控制律計算。

03 模擬算例

根據上面設計的表決器架構，使用 MATLAB / Simulink 建立模型，進行三餘度表決器的模擬研究。

假設某機型慣導系統通過資料匯流排，發給飛控系統的三路偏航角信號如下圖左側所示。

注意：三路信號均疊加了高斯白色雜訊，以測試表決器的魯棒性；偏航角信號 A 在第 4s 至 5s 注入故障，偏航角信號 B 和 C 為正常有效信號。

根據上圖右側模擬結果：表決器在偏航角 A 信號發生故障後的 450ms 內，偏航角 A 對應的計數值超過 500，其故障鎖存信號由 0 變為 1，表決器成功實現了故障信號鎖存。

在實際設計中如對表決器性能有更高要求，可通過調整 X、Y、Z 參數實現。

04 總結

這裡分析了電傳飛控系統常見的感測器信號表決邏輯，完成了三餘度感測器信號的表決器設計，並通過模擬算例證明瞭表決器設計的正確性。

對於國內民機感測器餘度配置和表決設計，具有指導意義。