本发明涉及管理燃气涡轮的领域,特别是用于推进,例如直升机、飞行器、导弹或无人机发动机,或者也用于动力产生,例如辅助动力单元(auxiliarypowerunit,apu)。
更确切地说,本发明涉及用于燃气涡轮的全权限电子调整系统。
这些系统的名称为“全权限数字发动机控制”(fullauthoritydigitalenginecontrol,fadec),并且用于例如根据来自传感器或指令的数据来控制和调整燃气涡轮。
更一般地,这些调整系统属于燃气涡轮的通常称为“发动机电子控制单元(electronicenginecontrolunit,eecu)”的电子控制单元的领域。
背景技术:
fadec必须遵守操作可靠性限制要求。这例如是,“失效前平均时间”(meantimebeforefailure,mtbf)以确保没有运行事故,或者还可以是用于“双发动机延程运行性能标准”(extended–rangetwin–engineoperationperformancestandards,etops,即,用于从应急机场运行超过一小时的飞行)应用或者用于应急操作的apu的可靠率,该可靠率关于飞行故障中的“停止飞行”或“非启动”必须超过10-6/小时(运行每小时的故障率)。
有一种称为“双通道”的特殊fadec架构,可实现所要求的可靠性。文献ep2592253,gb2355081和us2005217274描述了具有一些变体的该架构。
参考图1,双通道控制系统10包括两个冗余的电子控制单元11、12以及在两个单元11、12之间的选择和切换模块设备13,两个电子控制单元各自具有输入和输出。这两个单元在制造、结构、架构、部件和功能方面是相同的。在两个单元中的一个损坏的情况下,选择和切换模块设备13执行转换到另一个,以确保数据处理的连续性。
为此,来自传感器14的输入也是加倍的,电源15也是如此。单元11、12中的每一个包括其自身的控制输出16、17。每个单元11、12尤其包括电转换接口。
因此,单元和数据处理链具有完全物理冗余。这意味着第一单元11和第二单元12可以以完全相同的方式处理信息。
实际上,每个单元11、12可以由控制卡和监视卡构成,一个单元的监视卡监控另一个单元的控制卡。当监视卡检测到异常时,监视卡控制选择和切换模块设备13以引起转换。
为了控制操作(检测闲置损坏)并扩展两个单元11、12的使用,每次启动涡轮时都改变单元。
与单通道fadec相比,这些双通道fadec具有更高的操作可靠性,对于前面提到的特定应用,它具有10-5/小时的不可接受的可靠率。
然而,与单通道fadec相比,双通道fadec开发复杂且成本高。此外,双通道fadec仍存在常见故障的风险,这与两个通道在结构和制造方面相同这一事实有关。
技术实现要素:
本发明的目的是通过提出一种如下的燃气涡轮的非对称电子控制系统来简化现有fadec的开发和制造,该非对称电子控制系统被配置成控制与逻辑的或者来自传感器的输入数据相关联并且与尤其是用于至少一个致动器的输出数据相关联的功能组,所述系统包括:
-主电子控制单元,所述主电子控制单元被配置为处理整个功能组,
-次级电子控制单元,所述次级电子控制单元与所述主单元部分冗余、并被配置为仅处理功能的严格子组,该功能的严格子组足够用于根据在所述主单元处于故障中时可接受的降级模式来维持操作或启动所述燃气涡轮,
-选择和切换模块,所述选择和切换模块用于选择和切换主单元和次级单元中的一个或另一个,以便根据所述主单元的操作状态调节所述燃气涡轮。
因此,本发明提出了一种具有两个不对称通道的控制系统,该控制系统适于在主单元发生故障时仅处理功能中的一些功能。与双通道fadec相比,这种特定的架构降低了操作复杂性,同时针对形成冗余的功能保持了等同的可靠率。此外,对电子设备、功能和部件产生影响的结构不对称免除了与双通道fadec的两个单元之间的相似性相关的共模故障。
本发明可以包括以下单独或组合使用的特征:
-足够的功能的严格子组对应于燃气涡轮的重要功能;
-主单元和次级单元不但在架构方面不同,而且在部件和处理数据方面不同;
-主单元由数字电路实现,而次级单元由模拟电路实现;
-主单元包括由软件解决方案控制的微控制器,而次级单元包括在没有软件的情况下可编程的逻辑电路;
-次级单元被配置为控制主单元的操作状态,并且其中选择和切换模块设备被包括在次级单元中;
-次级单元包括比主单元更少的部件,以实现改进的可靠性;
-次级单元不处理以下输入(不详尽的列表):
涡轮空气输入温度传感器,
燃气输出温度传感器,
油屑传感器,
油过滤器堵塞传感器,
油液位传感器
油压力传感器,
油温度传感器,
燃料过滤器堵塞传感器,
燃料温度传感器,
环境压力传感器,
环境温度传感器,
逻辑信息:
地面飞行
设备“警报”信息(点火单元、燃料泵、交流发电机控制器等),
-次级单元仅处理下述输入(非详尽的列表):
速度传感器,
逻辑信息:涡轮的启动/停止,
和控制下述输出:
启动发动机、
点火器、
油清除阀、
“燃气涡轮开启”和“燃气涡轮关闭”指示灯,
并且调节燃料计量器。
-每个单元包括用于电源的管理接口,该管理接口被配置为提供适合于它们各自单元的操作的电压和强度。
-这两个单元具有单独的循环时间/计算时间,以具有单独的电磁敏感点。
本发明还涉及一种组件,该组件包括燃气涡轮和如前所述的不对称控制系统。
最后,本发明还涉及包括如前所述的组件的飞行器、直升机、无人驾驶飞机、导弹或车辆。
附图说明
根据仅为说明性的且非限制性的以下说明并且必须参考附图考虑,本发明的其他特征、目的和优点将显露,在附图中:
-图1已经示意性地示出了双通道fadec,该双通道fadec包括两个相同的并行单元,以允许数据处理的完全冗余;
-图2示意性地示出了根据本发明的控制系统,该控制系统具有形成主单元的部分冗余的次级单元;
-图3示出了图2的控制系统的更详细的实施例。
具体实施方式
图2是燃气涡轮50的不对称电子控制系统100的示意图。详细描述将通过由燃气涡轮50推进的飞行器说明。
类似地,该详细描述适用于apu(辅助动力单元),或者也适用于由全权限系统(直升机、无人驾驶飞机、导弹等)控制的任何燃气涡轮50。
非对称电子控制系统100在输入端接收不同类型的数据60,并且借助于这些数据控制或调节不同种类的输出70。更一般地,这些是用于指定与燃气涡轮或飞行器的特定功能相关的输出数据和输入数据的“功能”。关于燃气涡轮定义了功能组,并且针对该功能组,控制单元100具有作为无故障操作的全部权限。
输入数据60可以是关于点火、启动、停止、关机等的逻辑信息62或来自传感器64的测量结果。图2示出了数据来自存在于燃气涡轮50上的传感器64,但是这些传感器可以是相对于飞行器的其他元件找到数据的传感器。
输出数据70可以是关于用于致动器、尤其是用于燃气涡轮(燃料阀、润滑阀等)的命令的指令或者是指示信息(指示灯等)。
下文将给出在说明书的范围内可以考虑的输入数据和输出数据的细节。
控制系统100包括定义主数据处理通道的主电子控制单元120和定义次级数据处理通道的次级电子控制单元140。
主单元120被配置为处理经典的控制系统必须处理的整个功能组,这意味着所有的输入数据60都可以经由主通道传输并且主单元120可以控制所有的输出70。这样,次级单元140被配置为仅处理先前定义的功能组的严格子组,即,关于输入60和输出70的功能的子组。换句话说,次级单元140仅接收输入数据60的一个严格子组,因此仅控制输出数据70的一个严格子组。为此,次级单元140被设计为与主单元120不同,即不相似。
因此,控制系统100提供了在功能的处理方面并且因此在输入数据60和输出数据70的处理方面是不对称的两个电子控制单元120、140。
下文将给出更多细节。
这些上述的输入数据和输出数据的严格子组包括根据可接受的降级模式足以维持燃气涡轮50操作或启动的功能。换句话说,根据降级模式,这些子组不包括对飞行器或燃气涡轮的操作来说是不必要的功能。
降级模式是如下一种模式:在该模式中,启动或调整燃气涡轮确保了飞行器的重要操作所需的最低性能。
例如,在降级模式中,燃气涡轮启动时不考虑海拔高度或空气温度。
设置选择和切换模块160,用以根据主单元120的操作状态选择次级通道140。在主单元120发生故障或失效的情况下,次级单元将接替对涡轮50进行控制和调整。下面将说明次级单元失效的情况。
“故障中”表示“发生故障(défaillante)”。
与使所有功能冗余因此使其相关的输入数据60和输出数据70冗余的双通道fadec相反,控制系统100通过次级单元140仅对上述功能执行冗余,称为“部分冗余”。
当主单元120发生故障时,这种部分冗余或简化的冗余确保了以降级模式启动发动机或将发动机维持为降级操作的功能。
实际上,可以在不必使用所有可用信息的情况下控制飞行器及其燃气涡轮50。于是,飞行器将不以最佳模式运行,但是飞行器还有数种其他的操作模式,例如仅需要一些输入来产生相应的输出的降级模式。这些输入和这些输出与称为“重要”或“必要”或者甚至称为“关键”的功能的严格子组相关联。称为“重要”的输入60v和输出70v和称为“非重要”的输入60n和输出70n是相关联的。在最小的监视功能保证系统安全的程度上,可将最小的监视功能视为重要。
控制系统100具有在主通道失效的情况下通过次级通道进行传输的重要功能,即,当主单元120不能够处理这些功能时,次级单元140必须能够处理这些功能。例如,当在主通道120上观察到故障时,次级通道140再次接管被识别为重要的致动器。
这种切换必须限制与从一个通道到另一个通道的转换相关的短暂状态。
为了验证fadec100的操作,单元120、140中的每一个包括相应的监视模块170、180(参见图3),也称为“监控”。
每个监视模块170、180可以监控其单元120、140的状态并建立可操作性状态。
此外,设置选择和切换模块160,以使得在第一通道被识别为处于故障中时从第一通道转换到第二通道。模块160与主单元120的监视模块170通信。
模块160包括两个子设备:选择设备164以及切换设备166,选择设备经由通信设备162从监视模块170接收信息,切换设备由选择设备164控制。
因此,一旦选择设备164接收到由监视模块170检测到的与主单元120的区域中的异常有关的信息,监视模块就控制选择设备164,这导致两个通道之间的切换。只要主单元120未处于故障中,主单元120就被选择成调整涡轮50。一旦针对主单元120检测到故障,则切换到次级单元140以控制和调整燃气涡轮50。
如前所述,次级单元140形成与主单元120不同的冗余通道。不存在相似性可以表现为不同的并且可以组合的形式:不同的功能块、不同的架构、不同的部件,……。
然而,不仅仅是关于例如在上文中给出的双通道fadec的次级通道的软件重新配置:次级单元140在实质上也不同于主单元120。
在一个实施例中,正如所知道的,主单元120通过数字电路实现,数字电路通常具有执行软件代码的微控制器122,并且次级单元140通过在没有软件142的情况下可编程的逻辑电路或模拟电路(即不执行代码行的部件)来实现。主单元120基本上存在于双通道fadec中。
不同性也可以表现在循环时间和计算时间方面。由于次级单元140相对于主单元120的简单性,次级单元140有利地表现出比主单元120的时间特征短的时间特征。两个通道的这种时间去同步化或频率去同步化相对于干扰器(perturbateurs)电磁兼容性(emc)而言不具有相同的敏感点:因此两个单元相对于时间或频率干扰emc而言将是不同的。实际上,由于主单元120和次级单元140的电路以不同的频率工作,相对于干扰器emc而言,它们的行为也将是不同的。这种时间或频率的不同增强了在整个fadec级别100对干扰器emc的耐受:如果主单元因为干扰器emc而发生故障,则次级单元140将接替并且不会受到该同一干扰器的影响。
使用不同且简化的次级单元140的事实限制了与主通道和次级通道之间的常见原因相关的故障以及与部件的数量相关的故障的风险。
在限制部件的数量及其复杂性时,改善了次级单元140的固有可靠性。具体来讲,次级单元140包括严格少于主单元120的部件或者由于其复杂性较低而更加严格可靠的部件。
两个单元120、140根据标准化方法开发和制造,目的是防止因构思发生和引入故障。
与其共模故障(即,相对于设计和制造的故障)可能影响两个单元11、12(见图1)并因此影响两个通道的双通道fadec相反,设计和制造方面的不同保护控制系统100免受这种类型的失效。
两个单元120和140可以独立地处理重要功能,使得能够防止主通道的错误状态传播到次级通道,反之亦然。
电力馈送是是fadec中的重要失效因素,原因尤其是fadec可能经历的电压和电流的变化。
优选的原理是将主单元120和次级140单元的电源130、150加倍,以防止与电源不足相关的单点失效。
如图3所示,电源130、150的两个管理接口在来自源55的输入端接收功率,并将该功率转换成适合于其相应单元120、140的电压和强度。接口130、150有利地集成到单元120、140中。
源55通常是机载网络,机载网络又由主发电机供电或由通过燃气涡轮50驱动的次级发电机供电或由电池供电。
在主单元120中,设置了沿着主通道分别在微控制器122的上游和下游的输入调节模块126和输出调节模块128。输入调节模块126的功能是调整输入数据60,并且输出调节模块128的功能是调整输出数据70,以便输出数据之后可以控制例如致动器。图3对该实施例进行了说明。
通常,主单元120的调节模块126将信号60n和60v转换成数字数据,以便这些信号可以由控制器122处理。
主单元120的调节模块128将来自模块122的信号转换成能够控制致动器的功率信号70v和70n。
次级单元140包括次级控制器142,以及沿着次级通道分别在控制器142的上游和下游的输入调节模块146和输出调节模块148。
通常,在模块142由可编程逻辑电路构成的情况下,次级单元140的调节模块146将信号60v转换为数字数据,或者在模块142由模拟功能构成的情况下,次级单元140的调节模块146对信号60v进行调整和整形。
次级单元140的调节模块148将来自模块142的信号转换成能够控制致动器的功率信号70v。
显然,两个单元122和142之间的部件本质上是不同的。
在控制系统100内没有失效的情况下,仅有主单元120控制和调整机器。然而,如果次级单元140可操作则有必要知道该情况,以便在必要时刻发生功能单元切换。因此,有必要使次级单元140处于操作状态并执行与机器的调整或控制相关的计算,就好像次级单元是一种在控制机器时是有效的次级单元。
此外,次级单元140通过监视模块180验证其正确操作。主单元120可以访问次级单元140的状态。该信息是已知的,发生故障的次级单元140可以在维护操作期间被替换,然后开始需要10-6的操作可靠性的任务(用于apu……的任务etops)。
次级通道的监视模块180分析次级通道和次级单元140的可操作性状态。
设置次级通道与主通道的通信172:该通信通常是监视模块180和监视模块170之间的信息交换。
因此,当主通道被请求时,监视单元170仍然通过通信172和监视单元180来检索与次级单元140的状态(即,可操作性状态)有关的信息。然后,这些数据通过主单元140、并且通常通过监视单元170发送到本身常规地已知的航空电子设备或维护总线200。然后可以从该总线检索该信息,以便如果次级单元140已经被识别为有故障,则告知操作者需要更换次级单元。在这方面,应当注意的是,在执行切换到次级单元140之前主单元120必须识别为有故障。
但是,在两个通道之间切换时不考虑次级通道的状态:除非检测到失效否则主通道始终是有效的,在失效的情况下次级通道接替。在次级通道上存在缺陷的情况下,信息将通过主通道发送到总线200,但这对切换事件没有影响。
监视模块170、180进行自动测试,即在各自的通道上进行测试以确定它们的可操作性状态:例程、监视器、可自动测试的电路等。如果检测到异常,则在主通道的情况下将信息发送到选择和切换模块160,或者在次级通道的情况下将信息发送到主单元120的监视模块170。
选择和切换模块160的切换模块166通常控制两个电源开关167和168(参见图3)。电源开关167将主通道连接到系统100的输出,并且电源开关168将次级通道连接到系统100的同一输出。这两个电源开关167、168绝不同时处于相同的状态。
选择设备164的功能尤其是确定如下最相关的时刻:从该时刻起,次级单元140接替主单元120。它还涉及避免对燃气涡轮的性能产生任何重大过渡影响。
替代地,主单元120可能包括两个输入和两个输出,分别为重要输入60v/非重要输入60n和重要输出70c/非重要输出70n(参见图3)。以这种方式,只有主单元120的重要输出可以通过电源开关167被停用,非重要输出永远不会断开。由于关于非重要输出70n的失效并不重要,因此这种架构是非常可能的。
两个单元之间的通信优选地限于严格的最小值,以使两个单元120、140尽可能独立并因此包含故障。
控制方法可以与非对称控制系统100相关联。
重要参数和非重要参数、或者主参数和次级参数、或者必要参数和非必要参数的定义
为了使次级单元140更可靠,其架构被简化并且不再接收所有的输入数据60并且不再控制所有的输出70。
次级单元140被配置为仅接收称为“重要”的数据。
飞行器的速度和燃料控制的获取是被认为重要的参数。因此,它们的相关数据通过第二通道变为冗余。
通常,认为在主单元发生故障的情况下以至少降级的方式转动涡轮50所需的那些参数是重要的。
可以通过数种方式对重要特征或非重要特征的参数进行归类。
存在已知的且标准化的分析方法,以确定对燃气涡轮的操作来说重要的功能。示例为fmea(“失效模式与影响分析”,也称为“失效模式”)、fmeca(“失效模式、影响及危害性分析”)其被译为amdec(“失效模式、其影响及其危害性的分析”),或者还有fma(“失效模式规避”)。
认为具有足以在整个范围内但在降级模式下操作燃气涡轮50的回退值(valeursderepli)的参数是非重要的。这些回退值可以是最后测量的值,也可以是因为故障而固定的值。例如,选择最严重的值,使得无论实际值如何,控制系统100实际上都考虑了不太有利的值。
在失去所述参数的情况下不引起机器停止或不启动的参数也不是冗余的。
要形成冗余(即,在主单元120失效的情况下必须能够由次级单元140处理)的关键功能的列表对应于所有在发生故障的情况下导致燃气涡轮50停止或不启动的功能。
对于燃气涡轮50的操作具有微小影响(即不引起停止或不启动)的其他功能并不是冗余的。
以下是必要参数的非详尽列表:
-输入:
o速度传感器,
o逻辑信息:涡轮的启动/停止,
-输出:
o启动发动机,
o点火器,
o燃料计量器,
o油清除阀,
o“燃气涡轮开启”和“燃气涡轮关闭”指示灯。
以下是非必要参数的非详尽列表:
-输入:
o涡轮空气输入温度传感器,
o燃气输出温度传感器,
o油屑传感器(capteurdelimaillehuile),
o油过滤器堵塞传感器,
o油液位传感器,
o油压力传感器,
o油温度传感器,
o燃料过滤器堵塞传感器,
o燃料温度传感器,
o环境压力传感器,
o环境温度传感器,
o逻辑信息:
■地面飞行
■设备“警报”信息(点火单元、燃料泵、交流发电机控制器等),
-输出:
o“燃气涡轮就绪”和“燃气涡轮启动”指示灯,
o仪表链接。
例如,如果空气输入温度的数据未知,则控制系统100将考虑回退温度(示例温度为60℃,这是机器的最严格的温度)。