唐志帥， 劉興華

(上海飛機(jī)設(shè)計(jì)研究院，上海 201210)

民機(jī)電子飛行控制系統(tǒng)安全性設(shè)計(jì)與驗(yàn)證

唐志帥， 劉興華

(上海飛機(jī)設(shè)計(jì)研究院，上海 201210)

目前CCAR(China Civil Aviation Regulations,中國(guó)民航規(guī)章)25部的規(guī)章要求主要針對(duì)傳統(tǒng)機(jī)械操縱飛機(jī)，隨著電子飛行控制系統(tǒng)(Electronic Flight Control System, EFCS)在現(xiàn)代民機(jī)上的廣泛應(yīng)用，在數(shù)字信號(hào)完整性、25.671條款、25.1309條款等方面產(chǎn)生了一些新的適航要求，以達(dá)到傳統(tǒng)設(shè)計(jì)相同的或等效的安全水平。介紹了民機(jī)EFCS安全性評(píng)估過(guò)程，然后針對(duì)EFCS安全性設(shè)計(jì)特點(diǎn)，總結(jié)了適用的適航要求和符合性驗(yàn)證方法，對(duì)國(guó)內(nèi)民機(jī)研制具有一定的借鑒意義。

飛機(jī)；電子飛行控制系統(tǒng)；安全性評(píng)估；適航；驗(yàn)證

0 引 言

民用飛機(jī)的主發(fā)動(dòng)機(jī)除了為飛機(jī)提供正/反推力，還為飛機(jī)上的液壓、氣壓、電氣、機(jī)械等次級(jí)功率系統(tǒng)提供源動(dòng)力。多種次級(jí)功率的存在造成飛機(jī)上接口繁多，可靠性和維修性較差，使用成本增高。因此多電飛機(jī)技術(shù)的研究成為飛機(jī)發(fā)展的重要方向，目前國(guó)內(nèi)外最新的民用飛機(jī)大多安裝了電子飛行控制系統(tǒng)，不僅駕駛艙和飛控電子設(shè)備實(shí)現(xiàn)了多電或全電，作動(dòng)系統(tǒng)也越來(lái)越多地使用機(jī)電作動(dòng)器替換之前的液壓作動(dòng)器。B787飛機(jī)飛控系統(tǒng)就采用了機(jī)電作動(dòng)器來(lái)控制兩對(duì)擾流板和水平安定面，當(dāng)喪失所有液壓源時(shí)，仍可通過(guò)機(jī)電作動(dòng)器完成俯仰和滾轉(zhuǎn)控制。

對(duì)于采用EFCS飛機(jī)的適航安全性設(shè)計(jì)，主要包括安全性需求的產(chǎn)生、分解和實(shí)現(xiàn)。民機(jī)EFCS的安全性設(shè)計(jì)過(guò)程需捕獲飛機(jī)級(jí)和適航規(guī)章中的安全性需求，通過(guò)功能危險(xiǎn)性評(píng)估(Functional Hazard Assessment, FHA)和初步系統(tǒng)安全性評(píng)估(Preliminary System Safety Assessment, PSSA)將定性和定量的需求分解到飛控系統(tǒng)各軟硬件[1]。然而，針對(duì)傳統(tǒng)機(jī)械操縱飛機(jī)所制定的適航規(guī)章要求(例如CCAR 25.1309)已不能完全適用于EFCS。根據(jù)近年來(lái)國(guó)內(nèi)外適航當(dāng)局的研究成果，針對(duì)EFCS的特點(diǎn)也產(chǎn)生了一些新的適航要求，這些新的適航要求及其符合性驗(yàn)證方法成為了當(dāng)前研究的熱點(diǎn)。

1 EFCS安全性評(píng)估過(guò)程

SAE(Society of Automotive Engineers, 美國(guó)汽車工程師協(xié)會(huì))ARP4761提供了民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備在合格審定過(guò)程中進(jìn)行安全性評(píng)估的指南和方法，其主要用于表明對(duì)25.1309，25.671等適航條款的符合性[2]。飛控系統(tǒng)設(shè)計(jì)中的安全性工作是飛機(jī)級(jí)安全性工作的繼續(xù)。系統(tǒng)安全性評(píng)估過(guò)程始于系統(tǒng)概念設(shè)計(jì)階段，建立安全性目標(biāo)以支持系統(tǒng)的設(shè)計(jì)工作。安全性評(píng)估過(guò)程結(jié)束的標(biāo)志是驗(yàn)證了系統(tǒng)設(shè)計(jì)滿足所有的安全性需求。

安全性評(píng)估內(nèi)容主要包括FHA、PSSA和系統(tǒng)安全性評(píng)估(System Safety Assessment, SSA)，其分析方法包括故障樹分析(Fault Tree Analysis, FTA)、關(guān)聯(lián)圖分析、馬爾可夫分析、失效模式與影響分析/摘要(Failure Modes and Effects Analysis/Summary, FMEA/FMES)和共因分析(Common Cause Analysis, CCA)。圖1所示給出了飛機(jī)研制周期內(nèi)安全性評(píng)估與系統(tǒng)研制過(guò)程的關(guān)系。在整個(gè)安全性工作中，主機(jī)單位和供應(yīng)商均參與其中，他們的大致分工也如圖1所示。

圖1 安全性評(píng)估與系統(tǒng)研制過(guò)程的關(guān)系

FHA在飛機(jī)/系統(tǒng)研制周期開始時(shí)進(jìn)行，此工作應(yīng)識(shí)別飛機(jī)/系統(tǒng)功能及其功能組合相關(guān)的失效狀態(tài)并進(jìn)行影響等級(jí)分類，然后建立相應(yīng)的安全性目標(biāo)。FHA的目的在于識(shí)別所有失效狀態(tài)，明確其影響等級(jí)和進(jìn)行等級(jí)分類的基本理由。FHA是安全性設(shè)計(jì)的頂層要求，它的輸出是PSSA的起點(diǎn)。

飛機(jī)級(jí)/系統(tǒng)級(jí)功能定義是飛機(jī)級(jí)/系統(tǒng)級(jí)FHA的重要輸入。一般情況下飛機(jī)級(jí)功能可劃分為飛機(jī)基礎(chǔ)功能(外部功能)、功能和子功能等三個(gè)或四個(gè)功能級(jí)別(具體劃分多少層級(jí)，無(wú)明確要求)。系統(tǒng)級(jí)功能可分為一個(gè)或兩個(gè)層級(jí)，第一層級(jí)為系統(tǒng)功能，可根據(jù)飛機(jī)級(jí)子功能完成定義；第二層為系統(tǒng)級(jí)子功能，可根據(jù)系統(tǒng)復(fù)雜程度確定是否需要定義。圖2所示給出了功能層級(jí)劃分的說(shuō)明。

圖2 飛機(jī)和系統(tǒng)功能層次與FHA的關(guān)系

在開展FHA的時(shí)候，需要選擇一個(gè)合適的層級(jí)。飛機(jī)級(jí)FHA可選擇圖2第二/三層功能定義開展功能危險(xiǎn)性評(píng)估，這樣能將FHA的失效狀態(tài)總數(shù)控制在一個(gè)合適的量級(jí)，同時(shí)兼顧一些組合失效對(duì)飛機(jī)的影響。如果選擇第四層功能開展功能危險(xiǎn)性評(píng)估，由于這一層飛機(jī)級(jí)子功能已涉及到具體的系統(tǒng)功能，因此難以覆蓋各系統(tǒng)之間組合失效的情況。

PSSA對(duì)所建議的系統(tǒng)架構(gòu)進(jìn)行系統(tǒng)性檢查，建立系統(tǒng)的安全性要求，并確定所建議的系統(tǒng)架構(gòu)能夠滿足FHA識(shí)別的安全性目標(biāo)。SSA是對(duì)所實(shí)現(xiàn)的系統(tǒng)進(jìn)行系統(tǒng)性和全面的評(píng)價(jià)，以表明滿足從FHA得到的安全性目標(biāo)以及從PSSA得到的衍生安全性要求。SSA應(yīng)包含相應(yīng)的共因分析結(jié)果。

CCA通過(guò)評(píng)價(jià)整個(gè)架構(gòu)對(duì)共因事件的敏感度，支持系統(tǒng)架構(gòu)的設(shè)計(jì)。這些共因事件通過(guò)完成下列分析來(lái)進(jìn)行評(píng)價(jià)：特定風(fēng)險(xiǎn)分析(Particular Risk Analysis, PRA)，共模分析(Common Mode Analysis, CMA)和區(qū)域安全性分析(Zonal Safety Analysis, ZSA)。

當(dāng)PSSA或SSA進(jìn)行FTA時(shí)，維修任務(wù)相關(guān)的故障檢測(cè)方法和暴露時(shí)間必須與飛機(jī)級(jí)規(guī)定的維修任務(wù)和時(shí)間間隔相一致。安全性評(píng)估過(guò)程不只是定量的，也包括研制保障等級(jí)、電磁/閃電防護(hù)要求等。

2 EFCS安全性設(shè)計(jì)的特點(diǎn)

飛控系統(tǒng)安全性設(shè)計(jì)過(guò)程中，應(yīng)捕獲25.1309，25.671等適航條款的要求。但隨著EFCS的廣泛應(yīng)用，針對(duì)EFCS的特點(diǎn)也產(chǎn)生了新的適航要求。

2.1 飛控系統(tǒng)指令信號(hào)完整性問(wèn)題

傳統(tǒng)的飛行控制系統(tǒng)采用機(jī)械或液壓-機(jī)械方式將指令信號(hào)傳輸?shù)礁骺刂贫婷?。其失效模式?shù)量有限且相對(duì)簡(jiǎn)單(如卡阻、脫開、液壓元件的結(jié)構(gòu)失效等)，因此能夠相對(duì)直接地確定干擾指令傳輸?shù)脑?。但電子飛行控制系統(tǒng)包含數(shù)字設(shè)備、軟件和電子接口，經(jīng)驗(yàn)表明來(lái)自內(nèi)部/外部的干擾源對(duì)電子數(shù)字傳輸線路上的信號(hào)可能產(chǎn)生干擾(例如數(shù)據(jù)位的丟失、傳輸延遲、傳感器噪聲、閃電、電磁干擾等)。同時(shí)考慮到EFCS設(shè)備的復(fù)雜性，失效模式也不像傳統(tǒng)機(jī)械控制系統(tǒng)那樣，容易被預(yù)測(cè)、分析和處理。

現(xiàn)行CCAR25.671和25.672等條款沒(méi)有對(duì)指令信號(hào)完整性做出專門要求[3]。因此為了保持與現(xiàn)行CCAR25部等效的安全水平。適航當(dāng)局通常會(huì)要求EFCS在設(shè)計(jì)時(shí)，應(yīng)該使用特殊的設(shè)計(jì)手段使系統(tǒng)完整性保持在至少等效于傳統(tǒng)的液壓-機(jī)械設(shè)計(jì)所具有的安全水平，而且可能背離預(yù)期特性的指令信號(hào)，不應(yīng)導(dǎo)致不可接受的系統(tǒng)響應(yīng)。

這些專門的設(shè)計(jì)手段需通過(guò)系統(tǒng)安全性分析過(guò)程進(jìn)行監(jiān)控。

2.2 25.671條款的修正案

25.671條款用于確保飛行控制系統(tǒng)的基本完整性和可用性，確保服役過(guò)程中曾發(fā)生的任何失效都是飛行機(jī)組能處理的，并不會(huì)妨礙飛機(jī)持續(xù)安全飛行和著陸。但其要求主要針對(duì)傳統(tǒng)機(jī)械操縱飛機(jī)，部分要求對(duì)于EFCS不能完全適用。

2002年，F(xiàn)AA(Federal Aviation Administration，美國(guó)聯(lián)邦航空管理局)下屬的一個(gè)飛控協(xié)調(diào)工作小組遞交了關(guān)于25.671條款修訂的新提案以及相關(guān)的咨詢通告。對(duì)飛機(jī)非正常姿態(tài)恢復(fù)、防止維修差錯(cuò)、飛行控制卡阻和失控、所有發(fā)動(dòng)機(jī)失效情況下的可控性、操縱權(quán)限極限位置的飛行機(jī)組告警等提出新的適航要求[4]。

例如修正案中提出當(dāng)已存在單個(gè)卡阻情況下，任何額外的、能夠妨礙持續(xù)安全飛行和著陸的失效狀態(tài)，其組合概率應(yīng)小于1/1000；飛機(jī)必須設(shè)計(jì)成所有發(fā)動(dòng)機(jī)在飛行中的任何點(diǎn)全部失效的情況下仍可操縱。這些新的適航要求應(yīng)落實(shí)到系統(tǒng)安全性分析和架構(gòu)設(shè)計(jì)中去。

2.3 25.1309的等效安全說(shuō)明

FAA于2003年4月29日在《聯(lián)邦注冊(cè)報(bào)》上刊登了一則關(guān)于FAA的航空規(guī)章制定咨詢委員會(huì)的建議稿(針對(duì)25.1301和25.1309條擬議的改動(dòng))的通告。此建議稿被認(rèn)為是一種對(duì)現(xiàn)有的25.1301條和25.1309條的改善，不會(huì)顯著地增加申請(qǐng)人額外的符合性驗(yàn)證成本，并且有益于FAA/EASA(European Aviation Safety Agency, 歐洲航空安全局)清晰的協(xié)調(diào)指南。

鑒于當(dāng)前CCAR 25.1309與FAA建議的規(guī)章FAR 25.1309修訂稿和EASA現(xiàn)行規(guī)章CS 25.1309中的要求存在差異，為了同時(shí)符合FAA/EASA/CAAC(Civil Aviation Administration of China, 中國(guó)民用航空管理總局)關(guān)于系統(tǒng)安全性的規(guī)章要求，可使用以下等效安全說(shuō)明[5]。

1)飛機(jī)的設(shè)備和系統(tǒng)必須設(shè)計(jì)及安裝成：

(1)那些型號(hào)合格審定或運(yùn)行規(guī)則所要求的，或者其功能不正常將降低安全性的系統(tǒng)或設(shè)備能在飛機(jī)運(yùn)行和環(huán)境條件下執(zhí)行預(yù)定功能；

(2)其它設(shè)備和系統(tǒng)不會(huì)對(duì)飛機(jī)或其乘員，或者對(duì)(a)(1)中所覆蓋系統(tǒng)或設(shè)備的正常工作造成不利的安全性影響。

2)飛機(jī)系統(tǒng)和相關(guān)組件，在單獨(dú)考慮或與其它系統(tǒng)一起考慮時(shí)，必須設(shè)計(jì)和安裝成：

(1)每一個(gè)災(zāi)難性的失效條件

①是極不可能的；

②不會(huì)由單個(gè)失效造成；

(2)每一個(gè)危險(xiǎn)的失效條件是極小可能的；

(3)每一個(gè)重大的失效條件是很小可能的。

3)有關(guān)系統(tǒng)不安全工作情況的信息必須提供給機(jī)組，以使得他們能夠采取適當(dāng)?shù)募m正行動(dòng)。如果需要立即采取糾正行動(dòng)，則必須提供警告指示。包括指示和通告在內(nèi)的系統(tǒng)和控制必須設(shè)計(jì)成盡量使可能導(dǎo)致額外危險(xiǎn)的機(jī)組錯(cuò)誤降至最低。

3 EFCS的符合性驗(yàn)證

針對(duì)本文第二節(jié)EFCS特點(diǎn)提出的新的設(shè)計(jì)要求，應(yīng)建立相應(yīng)的符合性驗(yàn)證方法。

3.1 飛控系統(tǒng)指令信號(hào)完整性問(wèn)題

采用EFCS的飛機(jī)，在系統(tǒng)架構(gòu)和監(jiān)控設(shè)計(jì)時(shí)，應(yīng)充分考慮“指令信號(hào)完整性”問(wèn)題所帶來(lái)的挑戰(zhàn)。在進(jìn)行符合性驗(yàn)證時(shí)，可對(duì)系統(tǒng)架構(gòu)設(shè)計(jì)進(jìn)行安全性分析，表明設(shè)備故障、內(nèi)部和外部干擾導(dǎo)致的系統(tǒng)失效可滿足相應(yīng)的概率要求。

同時(shí)有必要通過(guò)鑒定試驗(yàn)、鐵鳥試驗(yàn)等表明飛控系統(tǒng)在預(yù)期環(huán)境下均可正常工作。結(jié)合鐵鳥試驗(yàn)、飛行試驗(yàn)和模擬器試驗(yàn)的分析結(jié)果表明其符合性。

3.2 25.671條款的修正案

對(duì)于“25.671條款的修正案”的符合性驗(yàn)證，可采用描述和分析的方法，表明飛控系統(tǒng)操縱器件操作簡(jiǎn)便，相應(yīng)的機(jī)組告警設(shè)計(jì)符合要求；飛控系統(tǒng)的零部件在設(shè)計(jì)上采取措施能有效防止維修差錯(cuò)。

可通過(guò)描述分析和模擬器試驗(yàn)的方法，表明飛控系統(tǒng)在所有發(fā)動(dòng)機(jī)都失效情況下的電源/液壓源/作動(dòng)器配置，仍可提供操縱能力。3.3 25.1309的等效安全說(shuō)明

對(duì)于“25.1309等效安全說(shuō)明”各條款，可通過(guò)系統(tǒng)描述來(lái)表明飛控系統(tǒng)的設(shè)計(jì)能夠保證在飛機(jī)運(yùn)行和環(huán)境條件下完成預(yù)定功能，系統(tǒng)故障后可通過(guò)簡(jiǎn)圖頁(yè)、EICAS(Engine Indication and Crew Alerting System, 發(fā)動(dòng)機(jī)指示和機(jī)組告警系統(tǒng))、PFD(Primary Flight Display, 主飛行顯示)將系統(tǒng)的不安全工作情況提供給機(jī)組，系統(tǒng)已根據(jù)故障的緊急程度設(shè)置不同的告警級(jí)別。

可通過(guò)安全性分析的方法來(lái)表明飛控系統(tǒng)發(fā)生災(zāi)難性失效條件的概率為極不可能(≤1E-9/FH)，發(fā)生危險(xiǎn)失效條件的概率是極小可能的(≤1E-7/FH)，發(fā)生重大的失效條件是很小可能的(≤1E-5/FH)。

也可通過(guò)試驗(yàn)室試驗(yàn)、機(jī)上地面試驗(yàn)和飛行試驗(yàn)進(jìn)一步驗(yàn)證其符合性。

4 結(jié)束語(yǔ)

本文介紹了民機(jī)電子飛行控制系統(tǒng)的安全性評(píng)估過(guò)程，重點(diǎn)說(shuō)明了需開展的安全性活動(dòng)及飛機(jī)/系統(tǒng)功能層級(jí)劃分原則。然后針對(duì)EFCS安全性設(shè)計(jì)特點(diǎn)，總結(jié)了適用的適航要求及對(duì)應(yīng)的符合性驗(yàn)證方法，以達(dá)到傳統(tǒng)機(jī)械操縱系統(tǒng)相同的或等效的安全水平。

[1] Society of Automation Engineering. SAE ARP 4754A, Guidelines for development of civil aircraft and systems[S].USA: Society of Automation Engineering S-18 Committee, 2010.

[2] Society of Automation Engineering. SAE ARP 4761, Guidelines and methods for conducting the safety assessment process on civil airborne systems[S].USA: Society of Automation Engineering S-18 Committee, 1996.

[3] 中國(guó)民用航空局. CCAR-25-R4, 中國(guó)民用航空規(guī)章第25部運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)[S]. 中國(guó)：中國(guó)民用航空局，2011.

[4] Federal Aviation Administration. FAR/JAR 25.671 FCHWG-ARAC Report (Includes Rule, Advisory Material, & Alternate Recommendations) [R]. USA: Aviation Regulation Advisory Committee, 2011.

[5] Aviation Rulemaking Advisory Committee of Federal Aviation Administration. AC 25.1309-1B draft, system design and analysis[S].USA: Transport Airplane and Engine Issue Area Systems Design and Analysis Harmonization Working Group, 2002.

Safety Design and Verification of Electronic Flight Control System in Civil Aircraft

Tang Zhishuai， Liu Xinghua

(Shanghai Aircraft Design and Research Institute, Shanghai 201210, China)

Currently, the major part of regulatory requirements in 25 volumes of CCAR (China Civil Aviation Regulations) involves the traditional airplanes with mechanical control. Along with the extensive application of electronic flight control system (EFCS) in modern civil aircraft, some new airworthiness requirements are brought forth in terms of digital signal integrity, 25.671 provision, 25.1309 provision, etc. to achieve an identical and equivalent safety level as the traditional design. This article describes the EFCS safety assessment process for civil aircraft. Summarizing the applicable airworthiness requirements and compliance verification method against EFCS safety design features has certain significance for the development of domestic civil aircraft.

airplane；electronic flight control system；safety assessment；airworthiness；verification

10.3969/j.issn.1000-3886.2016.06.006

V37

A

1000-3886(2016)06-0017-03

唐志帥(1987-)，男，河南人，工程師，碩士，主要研究方向?yàn)槊駲C(jī)飛控系統(tǒng)設(shè)計(jì)、安全性分析。 劉興華(1981-)，男，山東人，高級(jí)工程師，博士，主要研究方向?yàn)槊駲C(jī)飛控系統(tǒng)設(shè)計(jì)、分析與驗(yàn)證。

定稿日期: 2016-04-15