-
0 引言
-
本文旨在提出一种健全的高安全性飞机舱门飞行锁解锁控制系统。飞行锁控制系统可在飞行阶段防止人为无意或者有意打开舱门。飞行锁安装在登机门(登机门/服务门和应急门)锁闩机构上,该系统通过对来自舱门控制系统和关联系统使能信号的综合逻辑判断,来实现飞行锁控制系统对全机八个登机门的自动上锁/解锁功能。作动器是飞行锁的驱动控制单元。当飞行锁控制系统接收到使能信号发出上锁指令时,飞行锁控制系统执行上锁控制。当收到使能信号发出解锁指令时,飞行锁控制系统执行解锁控制。
-
某国外民用飞机舱门飞行锁设计中,当飞行速度达到80节时,大气数据惯性基准装置(ADIRU)和第二大气数据姿态基准装置(SAARU)提供一个空速信号。接近传感器电子装置(PSEU)和一个电器负载管理系统(ELMS)使继电器接通,继电器给飞行锁电动机通电,飞行锁执行上锁控制。当飞行速度低于80节时,继电器断开,飞行锁马达断电,飞行锁执行解锁控制。该型飞机的登机门的飞行锁机构控制逻辑为:飞机速度达到148km/h时,每个门手柄自动锁定。飞行锁可限制门手柄的转动,只使泄压门部分打开,但防止门打开。有些客机控制逻辑为:当出现全部应急功能的舱门关闭后、发动机任何一个启动、空地逻辑判断处于空中模式或发动机左右推杆都向前推过53°情况之一时,飞行锁控制系统给飞行锁驱动器电磁阀通电,舱门内手柄被锁住,防止舱内人员无意或有意开门[1]。这种控制逻辑的问题为每个飞行锁都使用到了相同的接近传感器电子装置。当处于地面应急撤离阶段,应急逃生门是否能打开受制于同一接近传感器电子装置,存在I类安全性事件的隐患。
-
1 飞行锁控制系统设计要求
-
1.1 飞行锁控制系统适航条款的颁布
-
FAA于2004年发布了FAR25-114修正案,对舱门安全标准提出了非常严格的要求。飞行锁控制系统是针对此次适航条款变更后引入的一项新型舱门控制技术。根据最新条款的要求[2],在飞机的舱门设计过程中,必须有措施防止每一门在飞行中被人无意中打开[3],同时,如果这些预防措施包括使用辅助装置,则这些装置及其控制系统必须被设计成:
-
(1)单个失效不会妨碍多个出口被打开;
-
(2)着陆后妨碍出口打开的失效是微小的。
-
1.2 飞行锁控制系统适航条款解析
-
根据颁布的FAR25-114修正案和CS25-22修正案,飞行锁控制系统适航条款解析如下:
-
(1)条款文本:必须有措施防止每一门在飞行中被人无意中打开。
-
条款解析:本条款内容旨在加强飞机舱门在飞行过程中的管制措施,当加装飞行锁控制系统后,飞行锁控制系统和常规舱门机械关闭机构共同构成登机门的锁定机制,有效防止舱门在飞行过程中的误打开动作。
-
(2)条款文本:单个失效不会妨碍多个出口被打开。
-
条款解析:这里的单个失效是指硬件故障、维护或逻辑上(如软件)的错误。某些维护或逻辑错误对一个或多个舱门有潜在的影响[1]。本条款内容要求单个飞行锁的失效对其他舱门的正常打开不产生影响,在飞机处于地面或应急撤离阶段时,能够正常解锁。
-
在适航审定中,定义在应急撤离阶段,半数或半数以上的登机门(包括登机门、服务门和应急门)无法打开为I类安全性事件。
-
(3)条款文本:着陆后妨碍出口打开的失效是微小的。
-
条款解析:本条款内容要求单个飞行锁在飞机处于地面或应急撤离阶段时,能够正常解锁。即使单个飞行锁在断电或出故障时功能是失效的,不会影响地面应急开门动作。单个飞行锁正常解锁功能的失效概率小于1E-5/FH(对应于适航表述“微小的”)[4]。
-
1.3 飞行锁解锁控制系统技术要求
-
在适航审定中,存在应急状态无法打开半数或半数以上登机门的I类事件,对飞行锁控制系统的解锁能力提出了非常高的要求;某民用飞机飞行锁控制系统受控于接近传感器电子装置,因此对该设备的研制保证等级提出了很高的要求;从分析飞行锁相关适航条款得出,单个飞行锁的失效不会影响到其他舱门的打开,对飞行锁控制系统解锁过程的独立性提出了很高的要求。飞行锁控制系统设计要求:任何原因的作动器或电动机的断电,应确保飞行锁机构处于打开状态。在现有部分机型上使用的这种飞行锁在断电情况下的自动解锁设计,并不能完全保证飞机在应急撤离情况下飞行锁控制系统能够正确地解锁。当飞机处于应急撤离状态,飞行锁控制系统供电情况包括丧失供电或者错误供电。面对产生错误供电逻辑的情况,飞行锁该项设计并不能引导系统可靠解锁。因此,研发一个高安全性的具有独立解锁控制能力的飞行锁控制系统成为一个亟待解决的问题。
-
综上,目前飞行锁控制系统存在以下技术问题有待解决:
-
(1)应急撤离状态登机门无法打开的I类事件对飞行锁控制系统的研制保证等级提出很高的要求,其功能研制保证等级为A级,这为飞行锁控制系统带来很高的研制成本,同时消耗大量人员研制精力。
-
(2)每个飞行锁都使用到了接近传感器电子装置。在实际使用过程中,多个飞行锁可能共用同一个本地接近传感器电子装置。当该本地接近传感器电子装置出现功能丧失或者非指令性提供使能信号时,共用该本地接近传感器电子装置的若干个飞行锁会出现相同类型的解锁失效控制逻辑,为I类事件埋下安全隐患。
-
2 常规飞行锁控制系统的解锁控制
-
飞行锁控制系统控制逻辑使用到了舱门控制系统和交联系统的总线信号和硬线信号。这些输入信号包括起落架轮载信号、空速信号[5]、舱门上锁状态信号和舱门解锁状态信号等[6]。起落架轮载信号用于判断飞机是否位于地面。空速信号用于读取飞机的飞行速度,进而判断飞机的飞行阶段。舱门锁定信号用于判断每个登机门的锁定状态。总线信号构成了接近传感器电子装置的输入信号,起落架轮载硬线信号构成了外部输入信号。当总线信号在接近传感器电子装置内完成逻辑判断,其输出使能信号和起落架轮载硬线信号又构成了飞行锁逻辑单元的输入信号。当起落架轮载信号值不为真(飞机离地),空速信号大于一定数值(飞机处于飞行状态)并且舱门锁定状态为真三者同时成立时,飞行锁控制系统执行上锁指令。当三个条件中任意一个条件不成立时,飞行锁控制系统即实行解锁控制。
-
飞行锁逻辑单元用以处理上电逻辑信号。飞行锁逻辑单元在判断起落架轮载硬线信号和接近传感器电子装置输出使能信号为真后,接通内部驱动电机[7-8],从而使舱门飞行锁上锁。
-
飞行锁控制系统解锁采用较为宽松的逻辑控制。接近传感器电子装置发出的解锁使能信号由对起落架轮载信号、舱门锁定信号和空速信号的综合判断构成。当三个信号中有一个不成立时,接近传感器电子装置发出解锁使能信号,与起落架轮载硬线信号共同完成与门的逻辑判断,飞行锁控制系统完成解锁作动。
-
3 新型飞行锁解锁控制系统
-
3.1 系统概述
-
飞行锁解锁控制系统旨在研究和提供一种高安全性和使用性能的飞机舱门飞行锁解锁控制架构。该控制系统通过引入独立于常规飞行锁控制通道的自动解锁和手动解锁控制信号,作为飞行锁解锁控制系统的输入。经过有效地运用逻辑运算程序,保证在地面和应急撤离阶段不会妨碍舱门的正常打开;同时避免系统综合控制的舱门打开的单点失效不会影响到其他舱门的正常打开。从而使得该飞行锁解锁控制系统的控制逻辑能够充分地满足相关的舱门系统适航规章和解锁控制独立性要求。
-
飞行锁解锁控制系统实现驾驶舱对飞行锁控制系统的手动解锁功能以及在地面应急撤离状态舱门系统对飞行锁控制系统的自动解锁功能。自动解锁功能被设计成为与应急撤离使能信号相交联。在应急撤离情况下,飞行锁解锁控制系统自动接收到应急撤离使能信号,飞行锁作动器的解锁处理模块自动执行飞行锁控制系统解锁功能;除此以外,在驾驶舱设置手动按钮,还可以实现对飞行锁控制系统的手动解锁功能。
-
执行解锁控制系统功能的线路与所有其他控制飞行锁的舱门系统控制链路相独立,并且执行解锁系统功能的自动解锁和手动解锁控制线路之间互相独立。每一个飞行锁都具备独立的解锁控制系统线路,该线路与本地接近传感器电子装置所在的控制线路采取不同的通道,以实现本地接近传感器电子装置单点失效不会引发解锁控制系统功能的失效。
-
3.2 控制流程
-
飞行锁控制系统解锁控制流程如图1所示,当常规飞行锁解锁控制生效,飞行锁控制系统的解锁输入信号传输至舱门信号系统的接近传感器电子装置,由接近传感器电子装置来控制飞行锁的作动[9],其输出的使能信号控制飞行锁逻辑单元,飞行锁解除内部驱动电机上电,飞行锁作动器执行解锁作动。
-
图1 飞行锁控制系统解锁控制流程图
-
当常规飞行锁解锁控制未生效,为实现飞行锁解锁控制,飞机划分为两种状态:应急撤离状态和非应急撤离状态。判断飞机是否进入应急撤离状态,当飞机处于非应急撤离状态,位于驾驶舱的飞行员可以通过手动按钮实行手动解锁控制,将离散信号输入至飞行锁逻辑单元控制飞行锁作动器执行解锁作动;当飞机处于应急撤离状态,应急撤离系统发出应急撤离使能信号实行自动解锁控制。倘若自动解锁功能在应急撤离阶段仍未生效,飞行员还可以通过手动按钮执行手动解锁,从而全面实现飞行锁控制系统中每个飞行锁的独立解锁控制。
-
3.3 系统架构
-
如图2所示,飞行锁解锁控制系统使用两个控制通道,自动解锁通道和手动解锁通道。这两路通道与常规的接近传感器电子装置所使用的A429总线通道相独立,并且两者之间相互独立。
-
当飞机处于应急撤离状态,来自于应急撤离系统的应急撤离使能信号为真,该离散信号通过独立通道发送给全机各个飞行锁单元,飞行锁作动器收到解锁逻辑,停止为驱动电机供电并进行解锁作动,飞行锁控制系统实现解锁控制功能[10]。当飞行员在驾驶舱操作手动按钮时,解锁离散信号通过独立通道发送给全机各个飞行锁单元,飞行锁作动器收到解锁逻辑,飞行锁控制系统实现解锁控制功能。
-
图2 飞行锁控制系统解锁控制设计架构
-
4 系统实现
-
4.1 系统方案
-
飞行锁解锁控制系统原理如图3所示,在正常飞行锁解锁控制生效的情况下,实行常规解锁控制。飞行锁解锁输入信号经接近传感器电子装置处理后生成解锁使能信号,发送至飞行锁逻辑单元的常规控制模块进行处理。当正常飞行锁解锁控制未生效时,飞行员可以通过位于驾驶舱的手动按钮接通直流供电实行手动解锁,该离散信号发送至飞行锁逻辑单元的解锁处理模块进行处理并执行解锁;在应急撤离状态,应急撤离系统还可以自动发出使能信号实现自动解锁控制,该离散信号发送至飞行锁逻辑单元的解锁处理模块进行处理并执行解锁。
-
常规飞行锁控制系统控制通道使用本地接近传感器电子装置处理飞行锁作动器输入信号,飞行锁自动解锁和手动解锁线路不经过接近传感器电子装置处理数据,而是直接把解锁信号发送至飞行锁单元进行逻辑判断。通过这种方式有效实现飞行锁解锁控制系统线路和常规线路之间的独立。在实际飞行锁控制系统设计方案中,不排除若干个飞行锁作动器共用同一个本地接近传感器电子装置,这使得若干个飞行锁的运行状态正常与否受制于一个共用的本地接近传感器电子装置。通过飞行锁解锁控制系统中将解锁使能信号送至飞行锁单元的设计架构,消除了共用本地接近传感器电子装置的制约,提升了飞行锁解锁系统的可靠性。
-
图3 飞行锁控制系统解锁原理框图
-
4.2 系统物理安装
-
飞行锁解锁控制系统线路通道设置上采用独立于常规飞行锁控制的通道,作为典型实例,该通道设置在客舱行李架上方布置区域。并且,自动解锁线路和手动解锁线路之间互相独立。自动解锁线路设置在左(右)侧行李架上方,相应的,手动解锁线路设置在右(左)侧行李架上方。作为高安全性的方案,该通道设计可以有效应对出现应急撤离状态时,由飞机紧急迫降或者起落架未放下着陆等因素导致的客舱地板横梁下方区域设备失效的情形。上述典型独立线路通道用于将位于机头区域的解锁控制信号源发送至位于每个登机门的飞行锁逻辑单元。
-
5 飞行锁解锁控制系统的先进性分析
-
该飞行锁控制系统控制逻辑具备多方面的鲁棒性和可靠性,是一种先进的控制技术。首先,飞行锁控制系统的上锁逻辑采用数个输入信号的与门判断,上锁逻辑较为严格;而解锁逻辑采用常规解锁方法和飞行锁解锁控制系统方法,解锁逻辑较为宽松。严格的上锁逻辑使得飞行锁控制系统在起飞阶段按照使用需求执行上锁程序。宽松的解锁逻辑在地面或者应急撤离阶段能够为多个客舱门可靠地解锁,满足相应的适航条款要求。
-
5.1 研制保证等级
-
为解决在应急撤离情况下半数或超过半数登机门未能正常打开的I类事件,飞行锁解锁控制系统设计架构中运用飞行锁逻辑单元执行应急撤离使能信号和驾驶舱手动解锁信号的逻辑运算处理,该设计与正常的飞行锁控制系统解锁功能构成裕度关系。从而显著降低了飞行锁控制系统的研制保证等级要求,节省了舱门控制系统的研制成本和人员研制精力。由于在应急撤离情况下保证半数或超过半数的飞行锁正常打开为I类事件,对应的飞行锁控制系统功能研制保证等级为A级。即使采用两个接近传感器电子装置,每个控制单元的研制保证等级至少为B级。当引入自动解锁和手动解锁控制功能后,常规的飞行锁控制系统功能研制保证等级调整至C级,相应每个控制单元关于该功能的研制保证等级要求下调至C级(单个设备)或者D级(两个或以上设备)[11],从而显著降低了系统的研制成本和人员研制精力。
-
5.2 高安全性
-
本飞行锁控制系统设计有效避免了接近传感器电子装置的单点失效对飞行锁控制系统的影响。在实际使用过程中,通常出现一个接近传感器电子装置控制多个飞行锁的局面。本飞行锁控制系统设计使用集成在各个飞行锁内的飞行锁逻辑单元处理解锁控制系统运算数据,有效避免了单个接近传感器电子装置逻辑运算错误为飞行锁控制系统带来的影响;在飞行锁控制系统控制逻辑中,使用了接近传感器电子装置总线信号和一路外部硬线信号同时参与逻辑判断,该设计使得控制电路有效避免了因接近传感器电子装置的单点失效和非指令性上锁和解锁引起的控制失效。其中,起落架轮载硬线信号是独立于总线信号的一路输入控制信号,有效实现了硬线信号和总线信号之间的独立性。
-
飞行锁解锁控制系统功能的引入大大增强了飞机在地面正常打开舱门的能力和应急状态下紧急打开舱门的能力。在飞行锁控制系统常规解锁控制方法上,加入了应急撤离状态的自动解锁控制机制和非应急撤离状态的驾驶舱手动解锁机制。一旦飞机处于应急撤离状态,飞行锁控制系统自动实行解锁控制。即使应急撤离的自动解锁失效,同样能通过驾驶舱手动解锁执行强制解锁功能。该解锁控制机制大大增强飞行锁控制系统的常规解锁能力和在各种应急情况下的解锁能力。传统飞行锁控制系统解锁控制仅在满足外部输入信号的判定条件时自动解锁,缺少手动解锁控制功能。当引入解锁控制技术,飞行机组可按需实施手动解锁,并且强化了应急撤离情况的自动解锁能力,从而实现在常规情况和各种应急情况的全面解锁功能。同时,在物理通道上,解锁控制系统的自动解锁、手动解锁以及常规解锁线路之间互相独立,避免了飞行锁控制系统解锁控制时多个舱门的共同失效。
-
6 结论
-
本文提出一种高安全性和使用性能的飞行锁控制系统,并且考虑到I类事件的适航审查要求,引入飞行锁解锁控制系统,大大增强飞行锁在地面和应急撤离阶段的解锁能力,飞行锁控制系统和解锁系统结论如下:
-
(1)本飞行锁控制系统综合利用了起落架轮载信号、空速信号和舱门锁定信号作为接近传感器电子装置使能控制的总线输入信号,结合起落架轮载硬线信号,作为飞行锁控制系统逻辑控制的依据。上锁逻辑严格完整,解锁逻辑宽松,是一种健全的、高安全性舱门飞行锁控制系统上锁和解锁控制技术。
-
(2)经过有效地运用逻辑运算程序,在既保证舱门在飞机飞行过程中防止被人为误打开的同时,又保证舱门在地面和应急撤离阶段不会受到妨碍而无法正常打开;同时避免系统综合控制的舱门打开的单点失效不会影响到其他舱门的正常打开。该飞行锁控制系统控制逻辑能够充分地满足相关的舱门适航规章和实际使用需求。
-
(3)飞行锁控制系统设计架构进一步提高了飞机舱门的安全标准,避免接近传感器电子装置单点失效为系统带来的影响。在飞行锁控制系统中运用接近传感器电子装置总线信号和一路外部硬线信号同时参与逻辑判断,有效避免了因接近传感器电子装置的单点失效引起的系统控制失效;本飞行锁控制系统设计运用各个飞行锁内的飞行锁逻辑单元处理解锁控制系统信号,有效避免了单个接近传感器电子装置引起的系统解锁控制失效。
-
(4)飞行锁控制系统解锁控制功能提升了地面正常打开舱门的能力和应急状态下打开舱门的能力。在传统飞行锁控制系统基础上加入了解锁控制系统,包括应急撤离状态的自动解锁控制机制和非应急撤离状态的驾驶舱手动解锁机制。实现了在正常离机和应急撤离状态的全方位解锁功能,充分满足适航审查中I类事件的设计要求。
-
(5)飞行锁解锁控制系统有效降低了飞行锁控制系统功能的研制保证等级。飞行锁控制系统功能的研制保证等级为A级,当引入解锁控制系统后,解决了飞行锁控制系统研制保证等级高的焦点问题,将系统研制保证等级下调为C级。与此同时,接近传感器电子装置的研制保证等级相应调整至较低的级别,节省了研制成本和人员研制精力。
-
参考文献
-
[1] 姚雄华,邓军锋,冯蕴雯.运输类飞机舱门设计[M].北京:国防工业出版社,2017:178-181.
-
[2] 中国民用航空局.中国民用航空规章第25部运输类飞机适航标准:CCAR-25-R4[S].北京:中国民用航空局,2011.
-
[3] 陈浩.交互式民用飞机舱门信号系统设计研究[J].科技风,2015(21):79-80.
-
[4] European Aviation Safety Agency.Certification specifications and acceptable means of compliance for large aeroplanes:CS25-22[S].[S.l.:s.n.],2018.
-
[5] 袁涛,刘持胜,马强.双态自动开锁器中的步进电动机应用研究[J].海军航空工程学院学报,2005,20(2):208-210.
-
[6] 孙欢庆,赵健,程国华,等.用于飞行器的舱门飞行锁系统:CN201410106296.5[P].2014-06-25.
-
[7] 刘成业,黄振庭,周颖.民用飞机舱门飞行锁机构接触力计算分析[J].航空工程进展,2018,9(1):91-98.
-
[8] 严立浩.民用飞机登机门锁系统设计分析[J].科技展望,2017,27(20):166.
-
[9] 徐李云,孙欢庆.舱门信号控制系统设计[J].航空制造技术,2012(9):69-71;75.
-
[10] 李程,马瑞卿.无刷直流电动机航空电动锁控制系统研究[J].微特电机,2009,37(8):44-46;60.
-
[11] SAE International.Guidelines for development of civil aircraft and system:SAE ARP-4754A[S].[S.l.:s.n.],2010.
-
摘要
发展一种健全的高安全性飞行锁控制系统解锁控制架构在民用飞机舱门电控中是相当重要的。飞行锁控制系统用于防止飞机在飞行过程中人为意外打开旅客登机门、服务门和应急门的操作。在适航审查活动中,定义了飞行锁控制系统在地面应急撤离阶段无法解锁的I类安全性事件。按照飞行锁控制系统实际使用需求和适航规章要求,设置较为宽松的解锁逻辑。为了实现飞行锁控制系统在应急阶段的高安全性要求,提高系统的鲁棒性和可靠性,在飞行锁控制系统中引入应急撤离系统控制信号和驾驶舱手动控制信号使用机制以提升应急撤离情况下的自动控制以及飞行员对飞行锁控制系统的控制权限。该项飞行锁控制系统设计将飞行锁控制系统功能研制保证等级由A级下调至C级,有效降低了研制成本和人员研制精力,同时提升了飞行锁控制系统的安全性,达到飞行锁控制系统的全面控制和精细化管理。
Abstract
It is very important to develop a sound unlock control architecture of high safety flight lock control system in civil aircraft door electric control. The flight lock system is used to prevent the aircraft from human deliberately opening passenger door, service door or emergency exit door during flight. In airworthiness certification activities, Class I safety events that the flight lock system fail to unlock in the ground emergency evacuation phase are defined. According to the actual use requirements of the flight lock control system and airworthiness regulations, a relatively loose unlock logic was set. In order to meet the high safety requirements of flight lock system in emergency situation and improve the robustness and reliability of system, emergency evacuation system control signal and flight deck manual control signal mechanism were introduced into the flight lock system to improve the automatic control in the case of emergency evacuation and the pilot’s control authority over the flight lock control system. The design of the flight lock system reduces the Functional Development Assurance Level (FDAL) of flight lock system from A to C, effectively decreases development cost and personnel development energy, and improves the safety of flight lock system to reach total control and precise management of flight lock system.
Keywords
flight lock ; door system ; unlock ; emergency evacuation ; design assurance level
