楊鵬

【摘 要】本文針對(duì)民機(jī)中重要、關(guān)鍵和高度復(fù)雜集成的剎車(chē)系統(tǒng)，介紹了SAE ARP 4754A的雙V方法在民機(jī)剎車(chē)系統(tǒng)研制過(guò)程中的應(yīng)用，詳細(xì)介紹了需求傳遞和滿(mǎn)足路徑及FDAL/IDAL分配方法，并基于實(shí)際工程經(jīng)驗(yàn)，提出和分析了一些需要重點(diǎn)關(guān)注的問(wèn)題。通過(guò)介紹可以看出，SAE ARP 4754A對(duì)于復(fù)雜的民機(jī)及其系統(tǒng)的研制具有重要的指導(dǎo)作用。

【關(guān)鍵詞】剎車(chē)系統(tǒng)；SAE ARP 4754A；需求；DAL；確認(rèn)；驗(yàn)證

Introduction of Requirement Oriented Development Process for Brake System of Civil Aircraft based on SAE ARP 4754A

YANG Peng

（Brake Control System of Hydraulic Department， Shanghai Aircraft Design and Research Institute， Shanghai 201210， China）

【Abstract】Towards the important， critical and highly complex brake system of civil aircraft， V&V method of SAE ARP 4754A implemented in the development process is introduced. The requirement allocation and compliance route and FDAL/IDAL allocation method are introduced in detail. Based on real engineering experience， several critical problems are proposed and analyzed. Per the introduction， the importance of SAE ARP 4754A guidance to complex civil aircraft and systems development is clear.

【Key words】Brake system； SAE ARP 4754A； Requirement； DAL； Validation； Verification

0 引言

在民用飛機(jī)的發(fā)展過(guò)程中，由于重要性和關(guān)鍵性，剎車(chē)系統(tǒng)的設(shè)計(jì)研發(fā)水平一致在不斷進(jìn)步。比如，起初的剎車(chē)系統(tǒng)并無(wú)防滑保護(hù)功能[1]，在速度和重量都較大的著陸或中止起飛情況下，飛行員大力踩剎車(chē)時(shí)，很容易造成輪胎爆死而爆破，爆破的輪胎碎片能量非常大，可能打壞主起落架支柱上的液壓管路和電纜，甚至打穿機(jī)翼三角區(qū)或整流罩的蒙皮而破壞其內(nèi)安裝的設(shè)備元件，導(dǎo)致單側(cè)或全部剎車(chē)功能喪失，使飛機(jī)偏出跑道或無(wú)法在跑道盡頭停止而沖出跑道，出現(xiàn)機(jī)毀人亡的災(zāi)難級(jí)事故。因此在后來(lái)的剎車(chē)系統(tǒng)中引入了防滑保護(hù)功能，防止輪胎爆破。后續(xù)隨著對(duì)剎車(chē)系統(tǒng)安全性、制動(dòng)效率等各種需求的不斷提高，又陸續(xù)增加了接地保護(hù)、滑水保護(hù)、鎖輪保護(hù)等功能，從而發(fā)展形成了當(dāng)前主流具有高安全性、高制動(dòng)性、高經(jīng)濟(jì)型、高舒適性的高度集成的民機(jī)剎車(chē)系統(tǒng)。

對(duì)于民機(jī)及如剎車(chē)系統(tǒng)這樣高度復(fù)雜集成的系統(tǒng)，研制過(guò)程可能持續(xù)5～10年。為了在漫長(zhǎng)的研制過(guò)程中盡量避免少出現(xiàn)錯(cuò)誤、降低研制成本，美國(guó)汽車(chē)工程師協(xié)會(huì)SAE出版了ARP 4754 《Guidelines for development of Civil Aircraft and Systems（民用飛機(jī)與系統(tǒng)研制指南）》[2]，用于指導(dǎo)民機(jī)及其系統(tǒng)在開(kāi)始設(shè)計(jì)到最終取得型號(hào)合格證的整個(gè)研制過(guò)程，目前最新版本為A版，及SAE ARP 4754A。本文即針對(duì)民機(jī)剎車(chē)系統(tǒng)根據(jù)SAE ARP 4754A進(jìn)行研制的過(guò)程進(jìn)行淺析，重點(diǎn)為SAE ARP 4754A的核心——需求分配與滿(mǎn)足。

1 以需求為導(dǎo)向的設(shè)計(jì)要求傳遞及滿(mǎn)足路徑

如前所述，當(dāng)前民機(jī)剎車(chē)系統(tǒng)高度復(fù)雜集成，各種設(shè)計(jì)要求/指標(biāo)多且互有關(guān)聯(lián)，如果僅采用傳統(tǒng)的設(shè)計(jì)手段，容易造成設(shè)計(jì)要求/指標(biāo)在傳遞過(guò)程中的丟失，或者設(shè)計(jì)出的系統(tǒng)無(wú)法完全滿(mǎn)足制定的設(shè)計(jì)要求/指標(biāo)，這樣不僅會(huì)造成設(shè)計(jì)工作的重復(fù)性，延長(zhǎng)研制流程，也會(huì)帶來(lái)成本的大大增加。而根據(jù)SAE ARP 4754A指導(dǎo)的需求管理方法，就可以比較清晰地完成設(shè)計(jì)要求/指標(biāo)自上而下的層層分配和自下而上的層層滿(mǎn)足。

SAE ARP 4754A需求管理的核心為雙V，即需求確認(rèn)Validation和需求驗(yàn)證Verification，如圖1所示。

其中需求確認(rèn)為需求自上而下的分配過(guò)程，在每個(gè)層級(jí)的需求分配中，都確認(rèn)所傳遞的需求是正確的，避免將錯(cuò)誤的需求傳遞至下游研制過(guò)程中。需求驗(yàn)證為需求自下而上的滿(mǎn)足過(guò)程，在每個(gè)層級(jí)的需求滿(mǎn)足中，都驗(yàn)證所完成的設(shè)備/系統(tǒng)是能夠滿(mǎn)足所分配的每條需求的，避免最終設(shè)計(jì)出的產(chǎn)品無(wú)法滿(mǎn)足頂層目標(biāo)。這樣通過(guò)自上而下和自下而上的雙保險(xiǎn)，就可以保證整個(gè)研制流程的正確性和有效性。

對(duì)于剎車(chē)系統(tǒng)，以人工剎車(chē)功能為例，詳細(xì)介紹需求傳遞與滿(mǎn)足的路徑。

民機(jī)需要具有減速功能，這是設(shè)計(jì)要求，轉(zhuǎn)換為需求描述語(yǔ)言即“飛機(jī)需要具有減速功能，通過(guò)剎車(chē)、發(fā)動(dòng)機(jī)反推和地面破升功能實(shí)現(xiàn)”。此需求傳遞至剎車(chē)系統(tǒng)后表達(dá)為“剎車(chē)系統(tǒng)需要具有剎車(chē)減速功能”，可分解為兩條需求，即“剎車(chē)系統(tǒng)需要具有人工剎車(chē)功能”和“剎車(chē)系統(tǒng)需要具有自動(dòng)剎車(chē)功能”。對(duì)于“剎車(chē)系統(tǒng)需要具有人工剎車(chē)功能”這條需求，傳遞至剎車(chē)控制子系統(tǒng)后表達(dá)為“剎車(chē)控制系統(tǒng)需要具有人工剎車(chē)功能”，此需求繼續(xù)向下傳遞至軟硬件級(jí)，成為剎車(chē)系統(tǒng)機(jī)載軟件和復(fù)雜電子硬件的各項(xiàng)需求，如“剎車(chē)控制軟件需要具有通過(guò)控制剎車(chē)控制閥的開(kāi)口大小，從而控制剎車(chē)壓力大小的能力”、“剎車(chē)控制復(fù)雜電子硬件需要具有硬件鎖來(lái)防止剎車(chē)切斷閥非指令打開(kāi)”、“剎車(chē)控制軟件IDAL需要為A級(jí)”等。然后剎車(chē)機(jī)載軟件和復(fù)雜電子硬件就可以分別參照航空無(wú)線(xiàn)電技術(shù)委員會(huì)RTCA組織的兩份文件RTCA DO 178《Software Considerations in Airborne Systems and Equipment Certification（機(jī)載系統(tǒng)和設(shè)備合格審定中的軟件考慮）》[3]和RTCA DO 254《Design Assurance Guidance for Airborne Electronic Hardware（機(jī)載電子硬件設(shè)計(jì)保證指南）》[4]進(jìn)行設(shè)計(jì)開(kāi)發(fā)。

通過(guò)以上的需求傳遞路徑，清晰地將每條設(shè)計(jì)需求由虛擬的飛機(jī)/系統(tǒng)頂層傳遞至可以具體設(shè)計(jì)實(shí)現(xiàn)的軟硬件層級(jí)。在每個(gè)層級(jí)，都可能產(chǎn)生新的衍生需求，對(duì)于所有這些無(wú)法向上追溯的需求，都需要通過(guò)需求確認(rèn)的方法確認(rèn)其正確性。在軟硬件開(kāi)發(fā)完成后，需要以其為基礎(chǔ)自下而上驗(yàn)證之前分配/衍生的每條需求是否都得到了實(shí)現(xiàn)。

2 研制保證等級(jí)FDAL/IDAL

在需求雙V過(guò)程中，需要根據(jù)每條需求的重要性，稱(chēng)其為嚴(yán)酷度，來(lái)判斷其確認(rèn)和驗(yàn)證的方法，即嚴(yán)酷度高的需求特別予以關(guān)注，需要通過(guò)多種方法或流程的組合進(jìn)行需求的確認(rèn)和驗(yàn)證，而嚴(yán)酷度低的需求確認(rèn)和驗(yàn)證的方法或流程可以少一些。此嚴(yán)酷度的等級(jí)，在SAE ARP 4754A中定義為DAL（Design Assurance Level，研制保證等級(jí)），在系統(tǒng)層級(jí)為FDAL（Functional Design Assurance Level，功能研制保證等級(jí)），在軟硬件層級(jí)為IDAL（Item Design Assurance Level，項(xiàng)目研制保證等級(jí)）。實(shí)際上，F(xiàn)DAL和IDAL均與安全性相關(guān)，安全性影響高的需求，其FDAL/IDAL相對(duì)高，安全性影響低的需求，其FDAL/IDAL相對(duì)就低。根據(jù)FAR 25部《Airworthiness Standards： Transport Category Airplanes （運(yùn)輸類(lèi)飛機(jī)適航標(biāo)準(zhǔn)）》的AC 25.1309和SAE ARP 4761《GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT（民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備的安全型評(píng)估過(guò)程的指南和方法）》[5]，功能故障影響等級(jí)FHA分為5個(gè)等級(jí)，依次為災(zāi)難級(jí)（I級(jí)）、危險(xiǎn)級(jí)（II級(jí)）、較大影響級(jí)（III級(jí)）、較小影響級(jí)（IV級(jí)）和無(wú)安全性影響級(jí)（V級(jí)），其失效概率要求依次為小于1E-9、小于1E-7、小于1E-5、小于1E-3、無(wú)，一般對(duì)應(yīng)的功能FDAL為A、B、C、D、E，如表1所示。

表1 頂層功能的FDAL分配

實(shí)際上，I～V級(jí)的故障影響等級(jí)與FDAL的A～E級(jí)并非總是一一對(duì)應(yīng)，有些特殊情況，如外部獨(dú)立事件可能降低嚴(yán)酷度要求等，本文僅分析一般情況，對(duì)此特殊情況不一一分析。當(dāng)功能的FDAL確定后，就可以根據(jù)SAE ARP 4754A中的分配原則，將嚴(yán)酷度要求分配到用來(lái)實(shí)現(xiàn)此功能的每個(gè)項(xiàng)目（軟硬件），形成各自的IDAL。當(dāng)對(duì)應(yīng)的軟硬件IDAL等級(jí)分配好后，就可以根據(jù)SAE ARP 4754A中的需求確認(rèn)/驗(yàn)證表選擇對(duì)應(yīng)的方法進(jìn)行需求的雙V工作。同時(shí)，也就可以根據(jù)其IDAL，按照SAE DO 178/SAE DO 254中的對(duì)應(yīng)研制流程進(jìn)行軟硬件的開(kāi)發(fā)。FDAL/IDAL分配過(guò)程如圖2所示。

以人工剎車(chē)功能為例，此功能喪失后可能導(dǎo)致飛機(jī)在著陸或中止起飛過(guò)程中缺少足夠的減速能力而沖出跑道，此影響為災(zāi)難級(jí)，即I級(jí)；同時(shí)，在起飛時(shí)，當(dāng)飛機(jī)達(dá)到?jīng)Q斷速度后，如果此時(shí)發(fā)生非指令剎車(chē)，則飛機(jī)就會(huì)減速，由于此時(shí)跑道長(zhǎng)度不夠，也會(huì)發(fā)生沖出跑道的災(zāi)難級(jí)事故，也為I級(jí)。因此，人工剎車(chē)功能的FDAL為A級(jí)。人工剎車(chē)功能通過(guò)剎車(chē)控制板卡中的剎車(chē)控制軟件和剎車(chē)控制復(fù)雜電子硬件（如FPGA，即現(xiàn)場(chǎng)可編程門(mén)陣列）實(shí)現(xiàn)，因此其各自的IDAL也為A，剎車(chē)控制軟件和剎車(chē)控制復(fù)雜電子硬件需要分別根據(jù)RTCA DO 178和RTCA DO 254中的最高要求進(jìn)行開(kāi)發(fā)。

3 民機(jī)剎車(chē)系統(tǒng)實(shí)際雙V過(guò)程中需要關(guān)注問(wèn)題

雖然SAE ARP 4754A給出了相對(duì)詳細(xì)的雙V流程，但在實(shí)際的民機(jī)剎車(chē)系統(tǒng)研制過(guò)程中，仍存在一些問(wèn)題，需要給與特別關(guān)注。根據(jù)實(shí)際設(shè)計(jì)經(jīng)驗(yàn)，本文列舉出了一些需要特別關(guān)注的問(wèn)題。

3.1 人員獨(dú)立性問(wèn)題

需求的雙V過(guò)程中，有多種方法可供選擇，如工程評(píng)審、安全性分析、試驗(yàn)、仿真等，當(dāng)根據(jù)FDAL/IDAL等級(jí)要求，需要選擇兩種以上方法進(jìn)行需求的雙V時(shí)，需要保證方法之間的獨(dú)立性，以及設(shè)計(jì)人員與雙V人員的獨(dú)立性。尤其是對(duì)于工程評(píng)審這類(lèi)依靠評(píng)審人員主觀(guān)工程經(jīng)驗(yàn)進(jìn)行雙V的方法，更需要關(guān)注獨(dú)立性問(wèn)題。

3.2 PSSA的地位及迭代過(guò)程

安全性評(píng)估與系統(tǒng)研制過(guò)程息息相關(guān)，如圖3所示。

PSSA為Preliminary System Safety Analysis，即初步系統(tǒng)安全性分析，用于針對(duì)FHA進(jìn)行分析，以定義系統(tǒng)架構(gòu)和對(duì)對(duì)下游子系統(tǒng)/元件的安全性要求，指導(dǎo)后續(xù)的設(shè)計(jì)和安全性分析工作。原則上先有PSSA，才有系統(tǒng)架構(gòu)。但在實(shí)際民機(jī)剎車(chē)系統(tǒng)研制過(guò)程中，一般在設(shè)計(jì)初就已根據(jù)先前經(jīng)驗(yàn)定義了初步的系統(tǒng)架構(gòu)，這樣似乎與上述原則相悖。但實(shí)際上，雙V流程并非單向的一次性流程，而是雙向的迭代過(guò)程。因此，在有了PSSA后，可以去驗(yàn)證初步定義的系統(tǒng)架構(gòu)是否可以滿(mǎn)足安全性需求，如無(wú)法滿(mǎn)足則需要進(jìn)行相應(yīng)的系統(tǒng)架構(gòu)修正，直至與 PSSA分析出的安全性需求相匹配。

3.3 FHA等級(jí)的確認(rèn)

對(duì)于FHA分析的功能故障等級(jí)要求，屬于安全性需求類(lèi)別，其驗(yàn)證比較簡(jiǎn)單，只需要在系統(tǒng)開(kāi)發(fā)完成后進(jìn)行系統(tǒng)安全性分析SSA，自下而上地通過(guò)故障樹(shù)分析FHA驗(yàn)證所設(shè)計(jì)的元件失效概率可以滿(mǎn)足頂層FHA安全性概率要求即可。但對(duì)于FHA等級(jí)的確認(rèn)就比較復(fù)雜，尤其是對(duì)于II級(jí)和III級(jí)的FHA等級(jí)，需要重點(diǎn)確認(rèn)其為何不會(huì)導(dǎo)致I級(jí)事件，因而比較關(guān)鍵。而對(duì)于I級(jí)FHA，因?yàn)橐呀?jīng)對(duì)其是最高要求，其對(duì)應(yīng)的子系統(tǒng)和軟硬件也是按照最嚴(yán)苛要求進(jìn)行設(shè)計(jì)，反而在需求確認(rèn)上無(wú)需關(guān)注太多。根據(jù)工程實(shí)際經(jīng)驗(yàn)，對(duì)于I、II級(jí)的FHA等級(jí)，由于進(jìn)行試驗(yàn)確認(rèn)的危險(xiǎn)性比較高，一般通過(guò)工程模擬器或飛行模擬器進(jìn)行仿真確認(rèn)，對(duì)于III、IV、V級(jí)的FHA等級(jí)，一般通過(guò)飛行試驗(yàn)進(jìn)行確認(rèn)。

4 總結(jié)

本文簡(jiǎn)要介紹了SAE ARP 4754A的雙V方法在民機(jī)剎車(chē)系統(tǒng)中的應(yīng)用，其對(duì)于需求的確認(rèn)和驗(yàn)證流程可以較為有效、快速、成本低地進(jìn)行設(shè)計(jì)需求的傳遞和滿(mǎn)足，為民機(jī)和如剎車(chē)系統(tǒng)類(lèi)高度復(fù)雜集成的系統(tǒng)的設(shè)計(jì)過(guò)程理清了脈絡(luò)，起到了綱舉目張的作用。事實(shí)上，針對(duì)當(dāng)前的民機(jī)研制，國(guó)際主流的主機(jī)場(chǎng)和系統(tǒng)供應(yīng)商均采用了SAE ARP 4754A的方法作為指導(dǎo)。國(guó)內(nèi)的民機(jī)甚至軍機(jī)研制，也在逐步學(xué)習(xí)采用此套方法，期望本文可以起到一些幫助作用。

【參考文獻(xiàn)】

[1]Young D W. “Aircraft Landing Gears -The Past， Present and Future”， Proceedings of the Institution of Mechanical Engineers， Part D Transport Engineering，1986：75-92.

[2] SAE. ARP 4754A- Guidelines for development of Civil Aircraft and Systems[Z]. Society of Automotive Engineers， 1996.

[3]RTCA. DO 178C- Software Considerations in Airborne Systems and Equipment Certification[Z].Radio Technical Commission for Aeronautics， 2012.

[4]RTCA. DO 254- Design Assurance Guidance for Airborne Electronic Hardware[Z].Radio Technical Commission for Aeronautics， 2000.

[5]SAE. ARP 4761-Guidelines And Methods For Conducting The Safety Assessment Process On Civil Airborne Systems And Equipment[Z]. Society of Automotive Engineers， 1996.

[責(zé)任編輯：朱麗娜]