張 松 房 峰 李小光 / ZHANG Song FANG Feng LI Xiaoguang

(南京航空航天大學(xué)，南京 210016)

0 引言

民用大型客機適航取證是確保大型客機滿足按公眾要求制定的、可接受的最低安全標(biāo)準(zhǔn)(適航標(biāo)準(zhǔn))的管理和技術(shù)實現(xiàn)過程[1]。適航規(guī)章是法律，而法律講求的是證據(jù)，民機產(chǎn)品研制過程包含了設(shè)計、制造和驗證等活動，必須用客觀記錄反映活動真實發(fā)生的數(shù)據(jù)，用詳實可靠的證據(jù)來表明所研制的民機產(chǎn)品及系統(tǒng)對適航規(guī)章的符合性。

隨著經(jīng)驗的積累和技術(shù)的進(jìn)步，適航條款也在不斷地補充、修改和完善。適航條款的符合性驗證是一項反復(fù)迭代的工作，貫穿于飛機及其系統(tǒng)研制的全壽命周期，覆蓋了從整機規(guī)劃階段提出安全性目標(biāo)及設(shè)計要求、系統(tǒng)功能性需求及安全性需求的分配、系統(tǒng)架構(gòu)研制，直至系統(tǒng)實現(xiàn)階段驗證系統(tǒng)設(shè)計能夠滿足預(yù)期的安全性要求。適航符合性工作的兩大支撐要素是其適用適航要求(即適航審定基礎(chǔ))及相應(yīng)的符合性驗證方法。適航審定基礎(chǔ)是適航當(dāng)局對民用航空產(chǎn)品進(jìn)行適航審定的技術(shù)依據(jù)，符合性方法是申請人表明其產(chǎn)品適航性的重要手段。只有準(zhǔn)確解讀適航條款，合理運用符合性驗證方法，才能正確表明飛控系統(tǒng)的適航性。

1 電傳飛控系統(tǒng)適航符合性驗證定義

《型號合格審定程序》(AP-21-AA-2011-03-R4)中對型號產(chǎn)品的設(shè)計保證定義為：型號合格證(Type Certificate，簡稱TC)或型號設(shè)計批準(zhǔn)書(Type Design Approval，簡稱TDA)申請人為表明其具有下列能力所需要開展的措施[2]：

1)設(shè)計的產(chǎn)品與其適用的規(guī)章要求及環(huán)境保護(hù)要求相符合；

2)表明同時證實產(chǎn)品符合適航規(guī)章及環(huán)境保護(hù)的要求；

3)向型號合格審定委員會(Type Certification Board，簡稱TCB)及型號合格審定審查組演示這種符合性。

從該定義可以引申出電傳飛控系統(tǒng)適航符合性驗證的定義：表明并證實電傳飛控系統(tǒng)的設(shè)計符合適用的適航要求，采用各種符合性驗證方法及驗證方案設(shè)計技術(shù)進(jìn)行適航驗證符合性方法的選擇和匹配，制定合理的審定驗證方案，向適航部門演示這種符合性的過程即符合性驗證方法及驗證方案設(shè)計技術(shù)的應(yīng)用過程。

2 民機電傳飛控系統(tǒng)適航符合性方法

型號合格審查過程中，為取得有效且足夠的數(shù)據(jù)來表明對適航要求的符合性，申請人通常需要采用不同的方法，而這些方法統(tǒng)稱為符合性驗證方法，簡稱為符合性方法(Means of Compliance，簡稱MOC)。從實際工作形式劃分，一般分為以下四大類：(1)工程評審；(2)試驗；(3)檢查；(4)設(shè)備鑒定。

依據(jù)《航空器型號合格審定程序》(AP-21-AA-2011-03-R4)，結(jié)合國內(nèi)某型民用客機主飛控系統(tǒng)適航取證工作，歸納出十種經(jīng)適航部門認(rèn)可的符合性驗證方法MOC0～MOC9，具體定義見表 1。

表1 符合性方法定義

適航符合性驗證方法選取的一般原則是：

1)滿足條款要求的同時保證成本盡可能最低，采取方便實施的符合性方法。

2)對新型號采用MOC0是不足以表明適航符合性的。如果選擇MOC1來表明技術(shù)方案對相關(guān)條款的符合性時，則不需要再次使用MOC0。

3)MOC2 不僅指通過計算來表明符合性，同時可依據(jù)同型號進(jìn)行驗證或根據(jù)使用經(jīng)驗和相似性進(jìn)行分析。而 MOC1 并不包括相似性分析。

4)當(dāng)條款中出現(xiàn) “失效”“故障影響”“概率”“危害”等描述，應(yīng)采用MOC3 進(jìn)行安全性分析。

5)當(dāng)條款中明確指出“演示”“試驗”或“試驗與分析結(jié)合”等要求的，應(yīng)采用 MOC4、MOC5 及 MOC8等。無需開展飛行試驗時，通常選用 MOC4或MOC8。

6)對于進(jìn)行實驗室試驗即可滿足要求的，可選用MOC4和MOC8，盡量不選擇 MOC5和MOC6。對于已選用 MOC5 或 MOC6 來表明符合性的，為避免重復(fù)一般不再選擇MOC4。

7)MOC8用來評估操縱特性及駕駛特性。

3 CCAR 25.672條款適航符合性驗證思路

以國內(nèi)某型民用飛機為研究對象，本節(jié)對電傳飛控系統(tǒng)的CCAR 25.672適航條款符合性驗證思路進(jìn)行研究。

3.1 CCAR 25.672條款原文[6]

如果增穩(wěn)系統(tǒng)或其它自動或帶動力的操縱系統(tǒng)的功能對于表明滿足本部的飛行特性要求是必要的，則這些系統(tǒng)必須符合第25.671 條和下列規(guī)定：

1)在增穩(wěn)系統(tǒng)或任何其它自動或帶動力的操縱系統(tǒng)中，對于如駕駛員未察覺會導(dǎo)致不安全結(jié)果的任何故障，必須設(shè)置警告系統(tǒng)，該系統(tǒng)應(yīng)在預(yù)期的飛行條件下無需駕駛員注意即可向駕駛員發(fā)出清晰可辨的警告。警告系統(tǒng)不得直接驅(qū)動操縱系統(tǒng)。

2)增穩(wěn)系統(tǒng)或任何其它自動或帶動力的操縱系統(tǒng)的設(shè)計，必須使駕駛員對第25.671(c)條中規(guī)定的各種故障可以采取初步對策而無需特殊的駕駛技巧或體力，采取的對策可以是切斷該系統(tǒng)或出故障的一部分系統(tǒng)，也可以是以正常方式移動飛行操縱器件來超越故障。

3)必須表明，在增穩(wěn)系統(tǒng)或任何其它自動或帶動力的操縱系統(tǒng)發(fā)生任何單個故障后，符合下列規(guī)定：

(1)當(dāng)故障或功能不正常發(fā)生在批準(zhǔn)的使用限制內(nèi)且對于該故障類型是臨界的任何速度或高度上時，飛機仍能安全操縱。

(2)在飛機飛行手冊中規(guī)定的實際使用的飛行包線(例如速度、高度、法向加速度和飛機形態(tài))內(nèi)，仍能滿足本部所規(guī)定的操縱性和機動性要求。

(3)飛機的配平、穩(wěn)定性以及失速特性不會降低到繼續(xù)安全飛行和著陸所必需的水平以下。

3.2 條款要點解析

3.2.1 25.672(a)條款

依據(jù)AC25.672-1，載荷減緩系統(tǒng)、增穩(wěn)系統(tǒng)、顫振抑制系統(tǒng)等具有主動飛行控制功能系統(tǒng)都應(yīng)當(dāng)符合本條款的要求。

對于警告系統(tǒng)的設(shè)計要求，目前FAA(Federal Aviation Administration，簡稱FAA)已經(jīng)修訂了FAR25.1322，在修改后的條款中對飛行機組乘員告警系統(tǒng)的定義、優(yōu)先級、顏色、性能等做出明確規(guī)定，同時FAA 也起草了相關(guān)的咨詢通告，作為表明新FAR25.1322 條款要求的指導(dǎo)材料。

3.2.2 25.672(b)條款

一般認(rèn)為，“無需特殊的駕駛技巧或體力”的含義是：按照相關(guān)標(biāo)準(zhǔn)選拔、培訓(xùn)并取得民航管理當(dāng)局認(rèn)可的飛行執(zhí)照的飛行員，能夠按照經(jīng)批準(zhǔn)的飛機正常操作程序或應(yīng)急程序?qū)︼w機進(jìn)行操作，不需要額外針對相關(guān)駕駛技術(shù)和處理方法進(jìn)行培訓(xùn)，也不需要駕駛員付出額外、甚至難以接受的體力以完成操作。

3.2.3 25.672(c)條款

條款25.672(c)說明增穩(wěn)系統(tǒng)及自動和帶動力的操縱系統(tǒng)發(fā)生單個故障后應(yīng)符合的規(guī)定。在任何單個故障發(fā)生后，仍然滿足CCAR-25部所規(guī)定的操縱性或機動性的要求可以通過設(shè)計達(dá)到，如采用冗余系統(tǒng)/軟件異性等措施，或者通過飛行手冊中規(guī)定的實際使用包線進(jìn)行限制來達(dá)到。

這些故障的后果，用飛行試驗、模擬器試驗和試驗室試驗支持的系統(tǒng)安全性分析(SSA)進(jìn)行評定。在對故障進(jìn)行評定時，要考慮飛行品質(zhì)要求的嚴(yán)格程度，分級方式應(yīng)當(dāng)同事件的發(fā)生概率相關(guān)。

在任何單個故障出現(xiàn)后，通過飛行手冊提供相關(guān)程序，使飛機的配平、穩(wěn)定性以及失速特性允許飛機繼續(xù)安全飛行和著陸。

3.3 符合性驗證思路

3.3.1 25.672(a)條款

根據(jù)對已取證機型符合性方法的統(tǒng)計，該25.672(a)條款的符合性一般可采用設(shè)計說明、安全性評估、試驗室試驗、地面試驗、飛行試驗、模擬器試驗的方法進(jìn)行。

申請人針對相關(guān)警告系統(tǒng)或警告信息的設(shè)計說明中應(yīng)至少表明：警告系統(tǒng)能夠在預(yù)期的飛行條件下無需駕駛員注意，即可向駕駛員提供及時的、使人覺醒的、明顯的、清晰的和不含混的警告信號；警告信息能夠在導(dǎo)致不安全結(jié)果的故障時刻出現(xiàn)，以使駕駛員及時地采取糾正動作； 警告系統(tǒng)不會直接驅(qū)動操縱系統(tǒng)，也不會被飛機的正常操縱所觸發(fā)；文件中已提供警告信息列表等。

申請人針對警告系統(tǒng)進(jìn)行的安全性評估應(yīng)至少表明：能夠并已經(jīng)識別在增穩(wěn)系統(tǒng)或任何其它自動或帶動力的操縱系統(tǒng)中，對于如駕駛員未察覺會導(dǎo)致不安全結(jié)果的任何故障；警告系統(tǒng)本身具有符合CCAR-25部規(guī)章要求的完整性和可靠性；警告系統(tǒng)不會直接驅(qū)動操縱系統(tǒng)，也不會被飛機的正常操縱所觸發(fā)；警告系統(tǒng)提供的警告信息作為可靠的方法，足以使飛行員在接到告警后采取恰當(dāng)?shù)膽?yīng)對措施；警告系統(tǒng)的誤警告信息不會妨礙飛機繼續(xù)安全飛行及著陸等。

申請人采取的試驗室試驗和機上地面試驗，主要目的是確認(rèn)系統(tǒng)設(shè)計說明和安全性評估中得到的結(jié)果，通過模擬故障，檢查警告系統(tǒng)工作情況。此外申請人還需要采用飛行試驗和/或模擬器試驗，通過駕駛員“人在回路”的工作方式，確認(rèn)警告信息的適用性。

3.3.2 25.672(b)條款

25.672(b)條款的符合性一般可采用設(shè)計說明、安全性評估、試驗室試驗、地面試驗、飛行試驗、模擬器試驗的方法進(jìn)行。

申請人應(yīng)在系統(tǒng)設(shè)計說明中至少表明：增穩(wěn)系統(tǒng)或任何其它自動或帶動力的操縱系統(tǒng)在設(shè)計時，已考慮到第25.671(c)條中規(guī)定的各種故障，駕駛員在面對這些故障時可以采取初步對策而無需特殊的駕駛技巧或體力；已提供應(yīng)對25.671(c)條中規(guī)定的各種故障的對策和方式。

申請人在對相關(guān)系統(tǒng)進(jìn)行安全性評估時，應(yīng)考慮25.671(c)的要求、駕駛員的反應(yīng)及對付失效影響的能力。

申請人采取的試驗室試驗及機上地面試驗，主要是對系統(tǒng)設(shè)計說明和安全性評估中得到的分析結(jié)果進(jìn)行確認(rèn)，通過模擬25.671(c)條中規(guī)定的各種故障，按照設(shè)計說明和安全性評估中得到的分析結(jié)果，檢查系統(tǒng)或者出現(xiàn)故障的一部分系統(tǒng)是否能夠被切斷，或故障被以正常方式移動飛行操縱器件而超越。需確認(rèn)在故障被應(yīng)對后，飛機仍是可操縱的。

申請人在采用飛行試驗進(jìn)行符合性驗證時，可以通過在增穩(wěn)系統(tǒng)及自動和帶動力的操縱系統(tǒng)中設(shè)置單個故障或故障組合，演示操縱的恢復(fù)。試驗過程中，飛機不應(yīng)出現(xiàn)超過CCAR-25部規(guī)定的載荷或速度限制，同時試驗中應(yīng)就駕駛員的反應(yīng)及操作工作做出記錄和分析。

此外，考慮到飛行試驗的安全性，在飛行試驗前飛行員需首先通過模擬器演練，同時當(dāng)模擬器試驗與飛行試驗的相似性得到局方認(rèn)可以后，可以采用模擬器試驗替代部分飛行試驗，用于表明對25.672(b)條款的符合性。

3.3.3 25.672(c)條款

25.672(c)條款的符合性一般可采用設(shè)計說明、安全性評估、試驗室試驗、地面試驗、飛行試驗、模擬器試驗的方法進(jìn)行。

申請人在系統(tǒng)設(shè)計說明中應(yīng)至少表明已采用有效的設(shè)計措施，或者通過限制飛行手冊中實際使用包線，使得增穩(wěn)系統(tǒng)及自動和帶動力的操縱系統(tǒng)在發(fā)生單個故障后，仍然滿足CCAR-25部所規(guī)定的要求，如采用冗余系統(tǒng)、隔離等措施。

申請人應(yīng)對各個相關(guān)的系統(tǒng)進(jìn)行安全性評估，并對出現(xiàn)的故障進(jìn)行評定，評定中要參考25.671(c)及25.1309 的規(guī)定進(jìn)行。

申請人應(yīng)對系統(tǒng)設(shè)計說明和安全性評估中得到的分析結(jié)果進(jìn)行確認(rèn)，試驗方法包括試驗室試驗、機上地面試驗、飛行試驗和模擬器試驗。

4 結(jié)論

本文首先闡述民機電傳飛控系統(tǒng)適航符合性驗證的定義，隨后介紹了民機電傳飛控系統(tǒng)適航符合性方法和選擇原則，并以國內(nèi)某型民用客機為研究對象，開展了針對25.672條款的符合性驗證思路的分析與研究，為后續(xù)民用飛機電傳飛控系統(tǒng)的適航條款符合性驗證思路研究奠定基礎(chǔ)。