唐志帥， 劉興華

(上海飛機(jī)設(shè)計研究院，上海 201210)

民機(jī)電子飛行控制系統(tǒng)安全性設(shè)計與驗證

唐志帥， 劉興華

(上海飛機(jī)設(shè)計研究院，上海 201210)

目前CCAR(China Civil Aviation Regulations,中國民航規(guī)章)25部的規(guī)章要求主要針對傳統(tǒng)機(jī)械操縱飛機(jī)，隨著電子飛行控制系統(tǒng)(Electronic Flight Control System, EFCS)在現(xiàn)代民機(jī)上的廣泛應(yīng)用，在數(shù)字信號完整性、25.671條款、25.1309條款等方面產(chǎn)生了一些新的適航要求，以達(dá)到傳統(tǒng)設(shè)計相同的或等效的安全水平。介紹了民機(jī)EFCS安全性評估過程，然后針對EFCS安全性設(shè)計特點，總結(jié)了適用的適航要求和符合性驗證方法，對國內(nèi)民機(jī)研制具有一定的借鑒意義。

飛機(jī)；電子飛行控制系統(tǒng)；安全性評估；適航；驗證

0 引 言

民用飛機(jī)的主發(fā)動機(jī)除了為飛機(jī)提供正/反推力，還為飛機(jī)上的液壓、氣壓、電氣、機(jī)械等次級功率系統(tǒng)提供源動力。多種次級功率的存在造成飛機(jī)上接口繁多，可靠性和維修性較差，使用成本增高。因此多電飛機(jī)技術(shù)的研究成為飛機(jī)發(fā)展的重要方向，目前國內(nèi)外最新的民用飛機(jī)大多安裝了電子飛行控制系統(tǒng)，不僅駕駛艙和飛控電子設(shè)備實現(xiàn)了多電或全電，作動系統(tǒng)也越來越多地使用機(jī)電作動器替換之前的液壓作動器。B787飛機(jī)飛控系統(tǒng)就采用了機(jī)電作動器來控制兩對擾流板和水平安定面，當(dāng)喪失所有液壓源時，仍可通過機(jī)電作動器完成俯仰和滾轉(zhuǎn)控制。

對于采用EFCS飛機(jī)的適航安全性設(shè)計，主要包括安全性需求的產(chǎn)生、分解和實現(xiàn)。民機(jī)EFCS的安全性設(shè)計過程需捕獲飛機(jī)級和適航規(guī)章中的安全性需求，通過功能危險性評估(Functional Hazard Assessment, FHA)和初步系統(tǒng)安全性評估(Preliminary System Safety Assessment, PSSA)將定性和定量的需求分解到飛控系統(tǒng)各軟硬件[1]。然而，針對傳統(tǒng)機(jī)械操縱飛機(jī)所制定的適航規(guī)章要求(例如CCAR 25.1309)已不能完全適用于EFCS。根據(jù)近年來國內(nèi)外適航當(dāng)局的研究成果，針對EFCS的特點也產(chǎn)生了一些新的適航要求，這些新的適航要求及其符合性驗證方法成為了當(dāng)前研究的熱點。

1 EFCS安全性評估過程

SAE(Society of Automotive Engineers, 美國汽車工程師協(xié)會)ARP4761提供了民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備在合格審定過程中進(jìn)行安全性評估的指南和方法，其主要用于表明對25.1309，25.671等適航條款的符合性[2]。飛控系統(tǒng)設(shè)計中的安全性工作是飛機(jī)級安全性工作的繼續(xù)。系統(tǒng)安全性評估過程始于系統(tǒng)概念設(shè)計階段，建立安全性目標(biāo)以支持系統(tǒng)的設(shè)計工作。安全性評估過程結(jié)束的標(biāo)志是驗證了系統(tǒng)設(shè)計滿足所有的安全性需求。

安全性評估內(nèi)容主要包括FHA、PSSA和系統(tǒng)安全性評估(System Safety Assessment, SSA)，其分析方法包括故障樹分析(Fault Tree Analysis, FTA)、關(guān)聯(lián)圖分析、馬爾可夫分析、失效模式與影響分析/摘要(Failure Modes and Effects Analysis/Summary, FMEA/FMES)和共因分析(Common Cause Analysis, CCA)。圖1所示給出了飛機(jī)研制周期內(nèi)安全性評估與系統(tǒng)研制過程的關(guān)系。在整個安全性工作中，主機(jī)單位和供應(yīng)商均參與其中，他們的大致分工也如圖1所示。

圖1 安全性評估與系統(tǒng)研制過程的關(guān)系

FHA在飛機(jī)/系統(tǒng)研制周期開始時進(jìn)行，此工作應(yīng)識別飛機(jī)/系統(tǒng)功能及其功能組合相關(guān)的失效狀態(tài)并進(jìn)行影響等級分類，然后建立相應(yīng)的安全性目標(biāo)。FHA的目的在于識別所有失效狀態(tài)，明確其影響等級和進(jìn)行等級分類的基本理由。FHA是安全性設(shè)計的頂層要求，它的輸出是PSSA的起點。

飛機(jī)級/系統(tǒng)級功能定義是飛機(jī)級/系統(tǒng)級FHA的重要輸入。一般情況下飛機(jī)級功能可劃分為飛機(jī)基礎(chǔ)功能(外部功能)、功能和子功能等三個或四個功能級別(具體劃分多少層級，無明確要求)。系統(tǒng)級功能可分為一個或兩個層級，第一層級為系統(tǒng)功能，可根據(jù)飛機(jī)級子功能完成定義；第二層為系統(tǒng)級子功能，可根據(jù)系統(tǒng)復(fù)雜程度確定是否需要定義。圖2所示給出了功能層級劃分的說明。

圖2 飛機(jī)和系統(tǒng)功能層次與FHA的關(guān)系

在開展FHA的時候，需要選擇一個合適的層級。飛機(jī)級FHA可選擇圖2第二/三層功能定義開展功能危險性評估，這樣能將FHA的失效狀態(tài)總數(shù)控制在一個合適的量級，同時兼顧一些組合失效對飛機(jī)的影響。如果選擇第四層功能開展功能危險性評估，由于這一層飛機(jī)級子功能已涉及到具體的系統(tǒng)功能，因此難以覆蓋各系統(tǒng)之間組合失效的情況。

PSSA對所建議的系統(tǒng)架構(gòu)進(jìn)行系統(tǒng)性檢查，建立系統(tǒng)的安全性要求，并確定所建議的系統(tǒng)架構(gòu)能夠滿足FHA識別的安全性目標(biāo)。SSA是對所實現(xiàn)的系統(tǒng)進(jìn)行系統(tǒng)性和全面的評價，以表明滿足從FHA得到的安全性目標(biāo)以及從PSSA得到的衍生安全性要求。SSA應(yīng)包含相應(yīng)的共因分析結(jié)果。

CCA通過評價整個架構(gòu)對共因事件的敏感度，支持系統(tǒng)架構(gòu)的設(shè)計。這些共因事件通過完成下列分析來進(jìn)行評價：特定風(fēng)險分析(Particular Risk Analysis, PRA)，共模分析(Common Mode Analysis, CMA)和區(qū)域安全性分析(Zonal Safety Analysis, ZSA)。

當(dāng)PSSA或SSA進(jìn)行FTA時，維修任務(wù)相關(guān)的故障檢測方法和暴露時間必須與飛機(jī)級規(guī)定的維修任務(wù)和時間間隔相一致。安全性評估過程不只是定量的，也包括研制保障等級、電磁/閃電防護(hù)要求等。

2 EFCS安全性設(shè)計的特點

飛控系統(tǒng)安全性設(shè)計過程中，應(yīng)捕獲25.1309，25.671等適航條款的要求。但隨著EFCS的廣泛應(yīng)用，針對EFCS的特點也產(chǎn)生了新的適航要求。

2.1 飛控系統(tǒng)指令信號完整性問題

傳統(tǒng)的飛行控制系統(tǒng)采用機(jī)械或液壓-機(jī)械方式將指令信號傳輸?shù)礁骺刂贫婷?。其失效模式?shù)量有限且相對簡單(如卡阻、脫開、液壓元件的結(jié)構(gòu)失效等)，因此能夠相對直接地確定干擾指令傳輸?shù)脑颉５娮语w行控制系統(tǒng)包含數(shù)字設(shè)備、軟件和電子接口，經(jīng)驗表明來自內(nèi)部/外部的干擾源對電子數(shù)字傳輸線路上的信號可能產(chǎn)生干擾(例如數(shù)據(jù)位的丟失、傳輸延遲、傳感器噪聲、閃電、電磁干擾等)。同時考慮到EFCS設(shè)備的復(fù)雜性，失效模式也不像傳統(tǒng)機(jī)械控制系統(tǒng)那樣，容易被預(yù)測、分析和處理。

現(xiàn)行CCAR25.671和25.672等條款沒有對指令信號完整性做出專門要求[3]。因此為了保持與現(xiàn)行CCAR25部等效的安全水平。適航當(dāng)局通常會要求EFCS在設(shè)計時，應(yīng)該使用特殊的設(shè)計手段使系統(tǒng)完整性保持在至少等效于傳統(tǒng)的液壓-機(jī)械設(shè)計所具有的安全水平，而且可能背離預(yù)期特性的指令信號，不應(yīng)導(dǎo)致不可接受的系統(tǒng)響應(yīng)。

這些專門的設(shè)計手段需通過系統(tǒng)安全性分析過程進(jìn)行監(jiān)控。

2.2 25.671條款的修正案

25.671條款用于確保飛行控制系統(tǒng)的基本完整性和可用性，確保服役過程中曾發(fā)生的任何失效都是飛行機(jī)組能處理的，并不會妨礙飛機(jī)持續(xù)安全飛行和著陸。但其要求主要針對傳統(tǒng)機(jī)械操縱飛機(jī)，部分要求對于EFCS不能完全適用。

2002年，F(xiàn)AA(Federal Aviation Administration，美國聯(lián)邦航空管理局)下屬的一個飛控協(xié)調(diào)工作小組遞交了關(guān)于25.671條款修訂的新提案以及相關(guān)的咨詢通告。對飛機(jī)非正常姿態(tài)恢復(fù)、防止維修差錯、飛行控制卡阻和失控、所有發(fā)動機(jī)失效情況下的可控性、操縱權(quán)限極限位置的飛行機(jī)組告警等提出新的適航要求[4]。

例如修正案中提出當(dāng)已存在單個卡阻情況下，任何額外的、能夠妨礙持續(xù)安全飛行和著陸的失效狀態(tài)，其組合概率應(yīng)小于1/1000；飛機(jī)必須設(shè)計成所有發(fā)動機(jī)在飛行中的任何點全部失效的情況下仍可操縱。這些新的適航要求應(yīng)落實到系統(tǒng)安全性分析和架構(gòu)設(shè)計中去。

2.3 25.1309的等效安全說明

FAA于2003年4月29日在《聯(lián)邦注冊報》上刊登了一則關(guān)于FAA的航空規(guī)章制定咨詢委員會的建議稿(針對25.1301和25.1309條擬議的改動)的通告。此建議稿被認(rèn)為是一種對現(xiàn)有的25.1301條和25.1309條的改善，不會顯著地增加申請人額外的符合性驗證成本，并且有益于FAA/EASA(European Aviation Safety Agency, 歐洲航空安全局)清晰的協(xié)調(diào)指南。

鑒于當(dāng)前CCAR 25.1309與FAA建議的規(guī)章FAR 25.1309修訂稿和EASA現(xiàn)行規(guī)章CS 25.1309中的要求存在差異，為了同時符合FAA/EASA/CAAC(Civil Aviation Administration of China, 中國民用航空管理總局)關(guān)于系統(tǒng)安全性的規(guī)章要求，可使用以下等效安全說明[5]。

1)飛機(jī)的設(shè)備和系統(tǒng)必須設(shè)計及安裝成：

(1)那些型號合格審定或運行規(guī)則所要求的，或者其功能不正常將降低安全性的系統(tǒng)或設(shè)備能在飛機(jī)運行和環(huán)境條件下執(zhí)行預(yù)定功能；

(2)其它設(shè)備和系統(tǒng)不會對飛機(jī)或其乘員，或者對(a)(1)中所覆蓋系統(tǒng)或設(shè)備的正常工作造成不利的安全性影響。

2)飛機(jī)系統(tǒng)和相關(guān)組件，在單獨考慮或與其它系統(tǒng)一起考慮時，必須設(shè)計和安裝成：

(1)每一個災(zāi)難性的失效條件

①是極不可能的；

②不會由單個失效造成；

(2)每一個危險的失效條件是極小可能的；

(3)每一個重大的失效條件是很小可能的。

3)有關(guān)系統(tǒng)不安全工作情況的信息必須提供給機(jī)組，以使得他們能夠采取適當(dāng)?shù)募m正行動。如果需要立即采取糾正行動，則必須提供警告指示。包括指示和通告在內(nèi)的系統(tǒng)和控制必須設(shè)計成盡量使可能導(dǎo)致額外危險的機(jī)組錯誤降至最低。

3 EFCS的符合性驗證

針對本文第二節(jié)EFCS特點提出的新的設(shè)計要求，應(yīng)建立相應(yīng)的符合性驗證方法。

3.1 飛控系統(tǒng)指令信號完整性問題

采用EFCS的飛機(jī)，在系統(tǒng)架構(gòu)和監(jiān)控設(shè)計時，應(yīng)充分考慮“指令信號完整性”問題所帶來的挑戰(zhàn)。在進(jìn)行符合性驗證時，可對系統(tǒng)架構(gòu)設(shè)計進(jìn)行安全性分析，表明設(shè)備故障、內(nèi)部和外部干擾導(dǎo)致的系統(tǒng)失效可滿足相應(yīng)的概率要求。

同時有必要通過鑒定試驗、鐵鳥試驗等表明飛控系統(tǒng)在預(yù)期環(huán)境下均可正常工作。結(jié)合鐵鳥試驗、飛行試驗和模擬器試驗的分析結(jié)果表明其符合性。

3.2 25.671條款的修正案

對于“25.671條款的修正案”的符合性驗證，可采用描述和分析的方法，表明飛控系統(tǒng)操縱器件操作簡便，相應(yīng)的機(jī)組告警設(shè)計符合要求；飛控系統(tǒng)的零部件在設(shè)計上采取措施能有效防止維修差錯。

可通過描述分析和模擬器試驗的方法，表明飛控系統(tǒng)在所有發(fā)動機(jī)都失效情況下的電源/液壓源/作動器配置，仍可提供操縱能力。3.3 25.1309的等效安全說明

對于“25.1309等效安全說明”各條款，可通過系統(tǒng)描述來表明飛控系統(tǒng)的設(shè)計能夠保證在飛機(jī)運行和環(huán)境條件下完成預(yù)定功能，系統(tǒng)故障后可通過簡圖頁、EICAS(Engine Indication and Crew Alerting System, 發(fā)動機(jī)指示和機(jī)組告警系統(tǒng))、PFD(Primary Flight Display, 主飛行顯示)將系統(tǒng)的不安全工作情況提供給機(jī)組，系統(tǒng)已根據(jù)故障的緊急程度設(shè)置不同的告警級別。

可通過安全性分析的方法來表明飛控系統(tǒng)發(fā)生災(zāi)難性失效條件的概率為極不可能(≤1E-9/FH)，發(fā)生危險失效條件的概率是極小可能的(≤1E-7/FH)，發(fā)生重大的失效條件是很小可能的(≤1E-5/FH)。

也可通過試驗室試驗、機(jī)上地面試驗和飛行試驗進(jìn)一步驗證其符合性。

4 結(jié)束語

本文介紹了民機(jī)電子飛行控制系統(tǒng)的安全性評估過程，重點說明了需開展的安全性活動及飛機(jī)/系統(tǒng)功能層級劃分原則。然后針對EFCS安全性設(shè)計特點，總結(jié)了適用的適航要求及對應(yīng)的符合性驗證方法，以達(dá)到傳統(tǒng)機(jī)械操縱系統(tǒng)相同的或等效的安全水平。

[1] Society of Automation Engineering. SAE ARP 4754A, Guidelines for development of civil aircraft and systems[S].USA: Society of Automation Engineering S-18 Committee, 2010.

[2] Society of Automation Engineering. SAE ARP 4761, Guidelines and methods for conducting the safety assessment process on civil airborne systems[S].USA: Society of Automation Engineering S-18 Committee, 1996.

[3] 中國民用航空局. CCAR-25-R4, 中國民用航空規(guī)章第25部運輸類飛機(jī)適航標(biāo)準(zhǔn)[S]. 中國：中國民用航空局，2011.

[4] Federal Aviation Administration. FAR/JAR 25.671 FCHWG-ARAC Report (Includes Rule, Advisory Material, & Alternate Recommendations) [R]. USA: Aviation Regulation Advisory Committee, 2011.

[5] Aviation Rulemaking Advisory Committee of Federal Aviation Administration. AC 25.1309-1B draft, system design and analysis[S].USA: Transport Airplane and Engine Issue Area Systems Design and Analysis Harmonization Working Group, 2002.

Safety Design and Verification of Electronic Flight Control System in Civil Aircraft

Tang Zhishuai， Liu Xinghua

(Shanghai Aircraft Design and Research Institute, Shanghai 201210, China)

Currently, the major part of regulatory requirements in 25 volumes of CCAR (China Civil Aviation Regulations) involves the traditional airplanes with mechanical control. Along with the extensive application of electronic flight control system (EFCS) in modern civil aircraft, some new airworthiness requirements are brought forth in terms of digital signal integrity, 25.671 provision, 25.1309 provision, etc. to achieve an identical and equivalent safety level as the traditional design. This article describes the EFCS safety assessment process for civil aircraft. Summarizing the applicable airworthiness requirements and compliance verification method against EFCS safety design features has certain significance for the development of domestic civil aircraft.

airplane；electronic flight control system；safety assessment；airworthiness；verification

10.3969/j.issn.1000-3886.2016.06.006

V37

A

1000-3886(2016)06-0017-03

唐志帥(1987-)，男，河南人，工程師，碩士，主要研究方向為民機(jī)飛控系統(tǒng)設(shè)計、安全性分析。 劉興華(1981-)，男，山東人，高級工程師，博士，主要研究方向為民機(jī)飛控系統(tǒng)設(shè)計、分析與驗證。

定稿日期: 2016-04-15