羅秋鳳，高艷輝，張 銳，徐偉程，王海龍

(1.南京航空航天大學 無人機研究院，南京 211106；2.中小型無人機先進技術工業(yè)和信息化部重點實驗室,南京 211106；3.山東長城計算機系統(tǒng)有限公司，山東 煙臺 264003)

0 引言

2018年12月和2019年1月，英國倫敦希斯羅和蓋特威克機場因無人機擾航而關閉，數(shù)萬名旅客滯留在機場。2017年4月，我國西南地區(qū)多個民用機場遭無人機擾航，造成數(shù)百個航班取消和延誤。截止2019年5月，我國無人機登記數(shù)量已達33萬多架，最大起飛重量25公斤至150公斤的無人機近3萬架。

針對龐大數(shù)量的民用無人機航空活動的自身安全與民機空域安全問題，世界各國航空機構主要從“運行管理”、“適航審定”兩個角度進行管理?！斑\行管理”的研究側重空中交通管理，從空域劃分、運行限制、空中交通規(guī)則等方面研究無人機的飛行安全性?！斑m航審定”的研究側重無人機系統(tǒng)的設計和制造質量提高、過程質量保證、適航性驗證等方面，主要關注無人機的設計和制造是否符合適航審定要求[1-5]。

我國把起飛全重25公斤至150公斤的無人機歸類到輕小無人機的第四類(IV)[6]，隨著機體材料、動力裝置、飛行控制與導航技術的發(fā)展，該類無人機的飛行區(qū)域可完全融入民機的飛行空域。

2000年至2013年美國空軍無人機系統(tǒng)的MQ-1/MQ-9 Predator捕食者、RQ-4 Global Hawk全球鷹和MQ-9 Reaper收割者三類無人機災難性事故數(shù)據(jù)表明，無人機系統(tǒng)本體故障是災難性事故的主要誘因，占比近七成，本體故障的主要來源又是機載設備故障[7]。在無人機系統(tǒng)中，飛行控制系統(tǒng)負責無人機的飛行控制、自主導航、飛行管理、任務管理、動力裝置控制、信息交匯等，涉及的機載設備一般包括：姿態(tài)角傳感器、姿態(tài)角速度傳感器、高度傳感器、速度傳感器、航向傳感器、導航定位傳感器、多個伺服作動器、飛控計算機、檢測與避障裝置等主要10種機載設備。飛行控制系統(tǒng)設備種類多，占比大，對無人機系統(tǒng)飛行安全影響大，因此有必要研究飛行控制系統(tǒng)期望安全性水平、飛控機載設備失效對輕型無人機飛行安全性的影響。其中的檢測與避障裝置基本在文中不對其討論分析。

1 LUAV的期望安全水平

JARUS的WG6工作組在充分考慮到無人機系統(tǒng)特點的情況下，對載人航空器(簡稱 “有人機”)的“1309”標準進行剪裁，于2015年11月發(fā)布了第二版的無人機系統(tǒng)安全評估的可接受符合性方法AMC RPAS1309[8]。

1.1 復雜性等級分類

根據(jù)載人航空器現(xiàn)有的初始適航要求，目前主要使用諸如重量、乘客數(shù)量、發(fā)動機類型/數(shù)量和性能等參數(shù)來區(qū)分飛機等級。為了更好地適應無人機的新特點，同時考慮到便于后續(xù)研制保證等級(DAL)的分配，AMC RPAS1309提出了一種基于系統(tǒng)復雜性等級(CL)的分類方案。根據(jù)該方案將無人機系統(tǒng)分為以下四類：

1)復雜性等級I(CL I)：自動駕駛與自主執(zhí)行任務的功能具有一定的權限，并始終提供無人機駕駛員的手動操控權限。軟件和機載電子硬件(AEH)的使用是有限的比CL I的高；

2)復雜性等級II(CL II)：控制系統(tǒng)可具備無人機系統(tǒng)飛行管理的全部權限，能自主執(zhí)行任務。萬一出現(xiàn)失效，如果需要的化，無人機駕駛員可以介入，除非故障條件可以證明是極不可能的。軟件和機載電子硬件(AEH)被廣泛地大量使用；

3)復雜性等級III (CL III )：具有完全的自主控制權限，這一類無人機系統(tǒng)在RPAS1309中不探討。

1.2 期望安全水平

數(shù)據(jù)統(tǒng)計表明，具體見表1，歐洲航空安全局頒布的CS-25大型運輸類飛機的目標安全水平1×10-6/h(來源AMC 25.1309)與真實事故率4.8×10-6/h具有相同的數(shù)量級，并提供了保守的安全裕度；對于CS-23 I正常類飛機目標安全水平1×10-4/h(AC 23.1309-1E)接近非公共交通類常規(guī)飛機的真實事故率1.79×10-4/h[9-11]。

表1 有人機實際事故率與適航安全目標水平的對比表

正常類有人機發(fā)生致命事故的概率值大約為每萬飛行小時1次，即事故率為1×10-4/h。其中飛機自身故障導致的事故大約占事故總數(shù)的10%，并且一般假定一架飛機大約有10種潛在的災難性失效，如果是復雜度高的，或者大型飛機一般假定100種災難性失效，因此有人機目標安全水平定為1×10-6/h，復雜度高的或大型飛機目標安全水平定為1×10-7/h?？紤]到無人機適航安全的最終目的是融入民航空域，所以JARUS的WG6工作組基于等效安全原則推定復雜度CL I 輕型固定翼或旋翼無人機的目標安全水平為1×10-6/h，復雜度CL II 輕型固定翼或旋翼的目標安全水平為1×10-7/h。

2 無人機系統(tǒng)失效狀態(tài)分類

無人機系統(tǒng)的失效影響嚴重程度分為輕微的、重大的、危險的、災難的共4種類型，定義內(nèi)容因無人機特性而與有人機略有不同，具體如表2所示，從安全性邊界、操縱特性、遠程機組工作負荷、任務完成情況、致命情況5個方面進行評估。

表2 無人機系統(tǒng)失效狀態(tài)嚴重程度定義

3 飛行控制系統(tǒng)對飛行安全性的影響

3.1 飛行控制系統(tǒng)組成架構

飛行控制系統(tǒng)一般包括飛控計算機、傳感器和伺服作動設備。傳感器用于感受無人機的姿態(tài)、航向、角速度、位置、速度等信息；飛控計算機進行飛行和任務設備信息的采集與處理，形成控制信號；伺服作動設備,包括舵回路板和舵機兩部分，接收飛控計算機輸出的控制信息，進行功率放大，驅動舵面和發(fā)動機節(jié)風門等機構進行相應的動作。飛行控制系統(tǒng)是典型的閉環(huán)反饋控制系統(tǒng)。相對有人機而言，無人機的飛行控制系統(tǒng)是全時限、全權限的[12]。

以某輕型無人機系統(tǒng)為例，飛機最大起飛重量為150公斤，巡航速度每小時180公里，巡航高度5 000米。飛行控制系統(tǒng)包括：飛控計算機、升降舵機、副翼舵機(1左1右)、方向舵機、油門舵機、傘降舵機、垂直陀螺、速率陀螺、衛(wèi)星接收機、大氣數(shù)據(jù)計算機、磁力計等，具體組成與接口關系如圖1所示。圖中遙控遙測屬于測控分系統(tǒng)，該無人機還具備傘降回收控制能力。飛行控制系統(tǒng)把舵回路板融合進了飛控計算機，無人機飛控計算機是無人機的指揮中樞；垂直陀螺輸出無人機的實時俯仰角、滾轉角；速率陀螺輸出三軸姿態(tài)角速度；衛(wèi)星接收機輸出經(jīng)度、緯度、速度、高度、高度變化率、航跡角等；大氣數(shù)據(jù)計算機輸出大氣高度、指示空速、真空速等；磁力計輸出航向角；舵機是無人機舵面偏轉的執(zhí)行機構。

因此，以整體整合一體化自主調(diào)控為核心，整合基礎醫(yī)學各學科內(nèi)容，構建了系統(tǒng)整合課程。例如將呼吸系統(tǒng)、心血管系統(tǒng)和血液系統(tǒng)充分整合，將消化系統(tǒng)、內(nèi)分泌系統(tǒng)、泌尿生殖系統(tǒng)充分整合，課程以整體整合的理念，將形態(tài)結構、功能和治療緊密結合，密切結合臨床應用，希望打破傳統(tǒng)教學中學科間的壁壘，使醫(yī)學知識更加系統(tǒng)與完整，以求打破學科界限以實現(xiàn)各學科、各系統(tǒng)知識點的橫向整合，打通基礎課程與臨床課程界限，以實現(xiàn)融會貫通的縱向整合。

圖1 某型無人機飛行控制系統(tǒng)接口關系圖

3.2 飛行控制方式

無人機飛行控制方式采用程控、遙控與自主飛行3種模式，以三維自主飛行方式為主[13]。飛行控制可以分為相對獨立的縱向控制通道和橫航向控制通道，該型無人機的縱向控制通道的控制原理如圖2所示，采用經(jīng)典的比例—積分—微分(PID)控制方法，圖示中沒有體現(xiàn)積分環(huán)節(jié)，因為該環(huán)節(jié)在特定條件下加入。該無人機的縱向運動主要包括俯仰和升降運動，通過升降舵來實現(xiàn)的。由于無人機沿縱向平面具有對稱性，橫航向控制通道工作原理同理。

圖2 某型無人機縱向控制通道的控制原理圖

3.3 功能危險分析

飛行控制系統(tǒng)的功能是產(chǎn)生控制指令，穩(wěn)定飛行姿態(tài)角(俯仰角、滾轉角、航向角)，控制發(fā)動機轉速和飛行航跡(爬升、巡航、左右盤旋、高度保持、下降)，使無人機達到給定的飛行狀態(tài)、按期望的軌跡飛行，并實現(xiàn)對干擾的抑制。

該型無人機的飛行包絡線為起飛(T)、空中自主飛行(F)，和傘降回收(L)三個階段。起飛階段，以程控模式，按規(guī)定航向爬升切入航線的初始航點，起飛段封鎖橫向遙控指令?？罩凶灾黠w行段按航路設置進行爬升、或下滑、拐彎、平飛飛行，并按要求執(zhí)行任務。傘降回收段分兩段，從航路的末航點調(diào)整飛行至指定空域的開傘高度和航向，然后彈出降落傘，關閉發(fā)動機。對飛行控制系統(tǒng)進行功能危險分析，具體見表3，表中的“短時不足”、“持續(xù)不足”中的不足定義為，期望值與實際值存在固定的或隨機的偏差。

表3 某型無人機飛行控制系統(tǒng)的飛行控制FHA

表3說明，俯仰或滾轉姿態(tài)控制的失效、偏航姿態(tài)控制的持續(xù)失效對無人機飛行影響等級為I、II級。起飛段出現(xiàn)俯仰、或滾轉控制的短時失效，無人機掉高，可能致使無人機墜地，一旦進行空中飛行階段后，其影響程度降低。

3.4 部件FMEA

由于俯仰或滾轉姿態(tài)控制對無人機飛行安全影響至關重要，首先分析姿態(tài)傳感器，如垂直陀螺(輸出俯仰角、滾轉角)故障模式對飛行安全的影響，具體見表4，其他部件依此進行。

表4 垂直陀螺部件FMEA

速率陀螺輸出的三軸姿態(tài)角速度，被用于縱橫向控制中微分環(huán)節(jié)的輸入信號。當發(fā)生姿態(tài)角速度振蕩、完全不工作時，無人機遇風等抗干擾能力大大下降，安全邊界大幅顯著降低，對飛行安全的影響等級為II級。

升降舵、副翼舵、方向舵驅動飛機舵面的偏轉，若發(fā)生信號振蕩、飽和或卡死、不工作、時工作時不工作的故障時，飛機姿態(tài)與軌跡完全不受控，對飛行安全的影響等級為I級。該型無人機的發(fā)動機油門開度一旦為零，發(fā)動機就停止工作。所以其故障模式影響分析與升降舵、副翼舵、方向舵的故障模式影響分析類似，達到I級影響故障模式存在4種。

衛(wèi)星接收機輸出的無人機飛行實時經(jīng)度、緯度、航跡角、速度等信息，被用于自主導航控制解算、平飛時縱向控制率解算。發(fā)生信號振蕩、飽和、不工作、時工作時不工作故障時，可采用磁力計和大氣數(shù)據(jù)計算機信息進行計算[15]，并切換至遙控方式飛行，但無人機的三維自主飛行功能顯著喪失，遠程機組工作負荷顯著增加，故障影響程度為II級。大氣數(shù)據(jù)計算機、磁力計發(fā)生故障時，因這兩者為自主導航飛行時衛(wèi)星接收機的備份傳感器，故障影響程度為III或IV級，漂移故障對飛行安全沒有影響。

某輕型無人機飛行控制系統(tǒng)部件發(fā)生故障后對飛行安全影響程度清單見表5。

表5 某輕型無人機飛行控制系統(tǒng)部件失效影響嚴重程度清單

3.5 安全關鍵清單和期望安全水平

通過飛行控制系統(tǒng)FHA和FMEA分析，對無人機飛行安全產(chǎn)生重要影響的飛行控制系統(tǒng)關鍵部件為飛控計算機、姿態(tài)角傳感器、舵面執(zhí)行機構和衛(wèi)星接收機。

我國輕小型無人機中的IV類規(guī)定最大起飛重量不超過150公斤，由于起飛重量大，飛機機艙空間也大，機載設備隨著技術的進步體積已越來越微小型化，無人機的自主控制能力逐步增強，其復雜度越來越高，因此可設定未來起飛全重25公斤至150公斤的輕型無人機的適航安全水平為復雜度CL II級的目標安全水平，具體期望指標為1×10-7/h。基于飛行控制系統(tǒng)的FHA與部件的FMEA分析，飛行控制系統(tǒng)在研制過程中目標安全水平為1×10-7/h，飛控計算機、姿態(tài)角傳感器、舵面執(zhí)行機構這類對飛行安全起關鍵作用的部件的目標安全水平為1×10-7/h，衛(wèi)星接收機、角速率傳感器目標安全水平為1×10-6/h，高度/速度傳感器、航向傳感器的安全性水平與其使用方式有關，鑒于目前無人機自主導航控制信息來源一般為衛(wèi)星接收機(GPS/BD/GLONASS)，高度/速度傳感器、航向傳感器的安全性水平被降低等級，具體如表6所示。根據(jù)ARP4754A的研制保證等級(DAL)的分配原則[14]和JARUS 2015年11月發(fā)布的關于無人機安全評估標準RPAS1309，“失效狀態(tài)嚴重性越高，對應的DAL等級越高”。研制過程的質量保證等級分為5個等級：A、B、C、D、E，A等級最高。輕型無人機的期望安全水平經(jīng)分析為1×10-7/h，沒有達到1×10-9/h的民航客機要求，所以飛控計算機、姿態(tài)角傳感器、舵面執(zhí)行機構研制過程的質量保證等級建議為B。

表6 輕型無人機飛行控制系統(tǒng)期望安全水平

4 實驗結果與分析

由于飛行控制系統(tǒng)部件多，下面選兩個部件姿態(tài)傳感器和飛控計算機故障進行驗證分析?；谠撦p型無人機系統(tǒng)，在飛行控制系統(tǒng)半實物仿真平臺進行仿真飛行試驗。在自主飛行的平飛段注入姿態(tài)角傳感器的滾轉角信號輸出故障(圖4)，試驗發(fā)現(xiàn)無人機俯仰姿態(tài)劇烈振蕩，并逐漸開始發(fā)散，如圖5所示。

圖4 平飛段滾轉角異常曲線

圖5 平飛段俯仰角曲線

某次外場飛行試驗的中，不明原因導致無人機機上27伏供電電源被拉低，飛控計算機復位，無人機俯仰、滾轉姿態(tài)劇烈變化，飛行試驗險些失敗。飛控計算機復位后無人機姿態(tài)曲線如圖6所示。

圖6 飛控計算機復位后無人機姿態(tài)曲線

飛行控制系統(tǒng)半實物仿真中的滾轉角故障和空中飛行試驗中飛控計算機復位問題，驗證了兩個設備對無人機飛行安全具有重要作用。安全關鍵清單中的舵面執(zhí)行機構、衛(wèi)星接收機的失效影響也可依此進行仿真驗證。

5 結束語

從民機事故統(tǒng)計的角度討論了民機目標安全水平的確定方法，通過FHA和FMEA確定了輕型無人機飛行控制系統(tǒng)影響飛行安全的關鍵部件為飛控計算機、舵面執(zhí)行機構、姿態(tài)角傳感器、衛(wèi)星接收機，飛行控制系統(tǒng)及其重要部件的目標安全水平為1×10-7/h。

起飛全重25公斤至150公斤的無人機系統(tǒng)，可飛行至民機的飛行空域執(zhí)行復雜任務，其飛控計算機，軟硬件功能強大而復雜，接口信號可達百路之多，飛行控制軟件源程序代碼也上萬行。飛控計算機的故障種類多、數(shù)量多，是影響無人機飛行安全的關鍵要素中的關鍵，其研制過程中質量保證等級建議提高到最高等級A級。