民機電傳飛控系統安全性設計與驗證

唐志帥 劉興華 / TANG Zhishuai LIU Xinghua

(上海飛機設計研究院，上海201210))

?

民機電傳飛控系統安全性設計與驗證

唐志帥 劉興華 / TANG Zhishuai LIU Xinghua

(上海飛機設計研究院，上海201210))

目前CCAR25部的規章要求主要針對傳統機械操縱飛機，隨著電傳飛控系統(Fly by Wire，以下簡稱FBW)在現代民機上的廣泛應用，在控制指令的數字信號完整性、AC 25.1309等效安全等方面產生了一些新的適航要求，以達到傳統設計相同的或等效的安全水平。介紹了民機電傳飛控系統安全性評估過程，然后針對電傳飛控系統安全性設計特點，總結了適用的適航要求和符合性驗證方法。

電傳飛控系統；安全性評估；適航；驗證

0 引言

民機的發動機除了為飛機提供正/反推力外，還為飛機上的液壓、氣壓等次級功率系統提供源動力。多種次級功率的存在造成飛機上接口繁多，可靠性、維修性較差，使用成本增高。因此多電飛機技術的研究成為飛機發展的重要方向，目前國內外最新的民用飛機(例如A320/A350/A380/波音777/波音787等)大多安裝了電傳飛控系統，不僅駕駛艙操縱設備和飛控電子設備實現了多電或全電，作動系統也越來越多地使用機電作動器(Electromechanical Actuator，以下簡稱EMA)替換之前的液壓作動器。例如A380飛機的副翼/方向舵/升降舵/平尾，均采用了電備份，當喪失所有液壓源時，仍可通過EMA完成俯仰和滾轉方向的控制。

對于采用FBW飛控系統的安全性設計，需捕獲飛機級和適航規章中的安全性需求，通過功能危險性評估(Functional Hazard Assessment，以下簡稱FHA)和初步系統安全性評估(Preliminary System Safety Assessment，以下簡稱PSSA)等安全性評估過程將定性和定量的需求分解到飛控系統各軟硬件[1]。然而，針對傳統機械操縱飛機所制定的適航規章要求(例如CCAR 25.1309)已不能完全適用于電傳飛控系統。根據近年來國內外適航當局的研究成果，針對FBW的特點也產生了一些新的適航要求，這些新的適航要求及其符合性驗證方法成為了當前研究的熱點。

1 FBW安全性評估過程

飛控系統設計中的安全性工作是飛機級安全性工作的繼續。SAE ARP4761提供了民用飛機機載系統和設備在合格審定過程中進行安全性評估的指南和方法，其主要用于表明對25.1309，25.671等適航條款的符合性[2]。

安全性評估內容主要包括FHA、PSSA和系統安全性評估(System Safety Assessment，以下簡稱SSA)，其分析方法包括故障樹分析(Fault Tree Analysis，以下簡稱FTA)、失效模式與影響分析/摘要(Failure Modes and Effects Analysis/Summary，以下簡稱FMEA/FMES)和共因分析(Common Cause Analysis，以下簡稱CCA)。圖1給出了飛機研制周期內安全性評估與系統研制過程的關系。

FHA在飛機/系統研制開始時進行，此工作應識別功能及功能組合相關的失效狀態并進行影響等級分類，建立相應的安全性目標。FHA的目的在于識別所有失效狀態，明確其影響等級和進行等級分類的基本理由，它的輸出是PSSA的起點。

飛機級/系統級功能定義是飛機級/系統級FHA的重要輸入。一般情況下飛機級功能可劃分為飛機基礎功能(外部功能)、功能和子功能等三個或四個功能級別。系統級功能可分為一個或兩個層級，第一層級為系統功能，可根據飛機級子功能完成定義；第二層為系統級子功能，可根據系統復雜程度確定是否需要定義。圖2給出了功能層級劃分的說明。

飛機級FHA可選擇圖2第二/三層功能定義，這樣能將FHA的失效狀態總數控制在一個合適的量級，同時兼顧組合失效的影響。如果選擇第四層功能開展FHA，由于這一層飛機級子功能已涉及到具體的系統功能，因此難以覆蓋各系統之間組合失效的情況。

PSSA對所建議的系統架構進行系統性檢查，建立系統的安全性要求，并確定所建議的系統架構能夠滿足FHA識別的安全性目標。SSA是對所實現的系統進行系統性和全面的評價，以表明滿足從FHA得到的安全性目標以及從PSSA得到的衍生安全性要求。

CCA應通過評價整個架構對共因事件的敏感度，支持系統架構的設計。這些共因事件通過完成下列分析來進行評價：特定風險分析(Particular Risk Analysis，以下簡稱PRA)，共模分析(Common Mode Analysis，以下簡稱CMA)和區域安全性分析(Zonal Safety Analysis，以下簡稱ZSA)。

當為PSSA或SSA進行FTA時，維修任務相關的故障檢測方法和暴露時間必須與飛機級規定的維修任務和時間間隔相一致。安全性評估過程不只是定量的，也包括研制保障等級、HIRF/Lighting要求等定性內容。

2 FBW安全性設計的特點

2.1 飛控系統數字信號完整性問題

傳統的飛控系統采用機械或液壓-機械方式將指令信號傳輸到各控制舵面。其失效模式數量有限且相對簡單(如卡阻、脫開等)，因此能夠相對直接地確定干擾指令傳輸的原因。但電傳飛控系統包含數字設備、軟件和電子接口，可能受到來自內/外部的干擾源的影響(例如數據位的丟失、傳輸延遲、電磁干擾等)。同時考慮到FBW系統設備的復雜性，失效模式也不像傳統機械控制系統那樣，容易被分析和處理。

現行CCAR25.671和25.672等條款沒有對指令信號完整性做出專門要求[3]。因此為了保持與現行CCAR25部等效的安全水平，適航當局通常會要求FBW在設計時，應該使用特殊的設計手段使系統完整性保持在至少等效于傳統的液壓-機械設計所具有的安全水平。

2.2 25.671條款的修正案

25.671條款用于確保飛控系統的基本完整性和可用性，確保服役過程中發生的任何失效都是飛行機組能處理的，并不會妨礙飛機持續安全飛行和著陸。但其要求主要針對傳統機械操縱飛機，部分要求對于FBW不能完全適用。

2002年，FAA下屬的一個飛控協調工作小組遞交了關于25.671條款修訂的新提案以及相關的AC咨詢材料。對飛機非正常姿態恢復、防止維修差錯、飛控卡阻和失控、所有發動機失效情況下的可控性、操縱權限極限位置的飛行機組告警等提出新的適航要求[4]。

例如修正案中提出當已存在單個卡阻情況下，任何額外的、能夠妨礙持續安全飛行和著陸的失效狀態，其組合概率應小于1/1 000；飛機必須設計成所有發動機在飛行中的任何點全部失效的情況下仍可操縱。這些新的適航要求應落實到系統安全性分析和架構設計中去。

2.3 25.1309的等效安全說明

FAA于2003年4月29日在《聯邦注冊報》上刊登了一則關于FAA的航空規章制定咨詢委員會的建議稿(針對25.1301和25.1309條擬議的改動)的通告。此建議稿被認為是一種對現有的25.1301條和25.1309條的改善，不會顯著地增加申請人額外的符合性驗證成本，并且有益于FAA/EASA清晰的協調指南。

鑒于當前CCAR 25.1309與FAA的ARAC建議的規章FAR 25.1309修訂稿和EASA現行規章CS 25.1309中的要求存在差異，為了同時符合FAA/EASA/CAAC關于系統安全性的規章要求，可使用以下等效安全說明[5]。

1)飛機的設備和系統必須設計及安裝成：

①那些型號合格審定或運行規則所要求的，或者其功能不正常將降低安全性的系統或設備能在飛機運行和環境條件下執行預定功能；

②其它設備和系統不會對飛機或其乘員，或者對1)①中所覆蓋系統或設備的正常工作造成不利的安全性影響。

2)飛機系統和相關組件，在單獨考慮或與其它系統一起考慮時，必須設計和安裝成：

①每一個災難性的失效條件

i. 是極不可能的；并且

ii. 不會由單個失效造成；并且

②每一個危險的失效條件是極小可能的；并且

③每一個重大的失效條件是很小可能的。

3)有關系統不安全工作情況的信息必須提供給機組，以使得他們能夠采取適當的糾正行動。如果需要立即采取糾正行動，則必須提供警告指示。包括指示和通告在內的系統和控制必須設計成盡量使可能導致額外危險的機組錯誤降至最低。

3 FBW的符合性驗證

針對本文第二節FBW特點提出的新的設計要求，應建立相應的符合性驗證方法。

3.1 飛控系統數字信號完整性問題

采用FBW的飛機，在系統架構和監控設計時，應充分考慮“指令信號完整性”問題所帶來的挑戰。在進行符合性驗證時，可對系統架構設計進行安全性分析，表明設備故障、內部和外部干擾導致的系統失效可滿足相應的概率要求。

同時有必要通過鑒定試驗、鐵鳥試驗等表明飛控系統在預期環境下均可正常工作。結合鐵鳥試驗、飛行試驗和模擬器試驗的分析結果表明其符合性。

3.2 25.671條款的修正案

對于“25.671條款的修正案”的符合性驗證，可采用描述和分析的方法，表明飛控系統操縱器件操作簡便，相應的機組告警設計符合要求；飛控系統的零部件在設計上采取措施能有效防止維修差錯。

可通過描述分析和模擬器試驗的方法，表明飛控系統在所有發動機都失效情況下的電源/液壓源/作動器配置，仍可提供操縱能力。

3.3 25.1309的等效安全說明

對于“25.1309等效安全說明”各條款，可通過系統描述來表明飛控系統的設計能夠保證在飛機運行和環境條件下完成預定功能，系統故障后可通過簡圖頁、EICAS信息、PFD信息將系統的不安全工作情況提供給機組，系統已根據故障的緊急程度設置不同的告警級別。

可通過安全性分析的方法來表明飛控系統發生災難性失效條件的概率為極不可能(≤1E-9/FH)，發生危險失效條件的概率是極小可能的(≤1E-7/FH)，發生重大的失效條件是很小可能的(≤1E-5/FH)。

4 結論

本文介紹了民機電傳飛控系統的安全性評估過程，重點說明了需開展的安全性活動及飛機/系統功能層級劃分原則。然后針對FBW安全性設計特點，總結了適用的適航要求及對應的符合性驗證方法。

[1] Society of Automotive Engineers. ARP4754A Guidelines for Development of Civil Aircraft and Systems [S]. 2010.

[2] Society of Automotive Engineers. ARP4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment [S].1996.

[3] 中國民用航空局. CCAR25-R4運輸類飛機適航標準[S]. 北京: 中國民用航空局，2011.

[4] Federal Aviation Administration. FAR/JAR 25.671 FCHWG-ARAC Report (Includes Rule, Advisory Material, & Alternate Recommendations) [R].2011.

[5] Federal Aviation Administration. AC 25.1309-1A-System Design and Analysis [R]. 1988.

The Safety Design and Verification of Fly by Wire Flight Control System for Civil Aircraft

(Shanghai Aircraft Design and Research Institute，Shanghai 201210，China)

The regulations and requirements of current CCAR 25 aim at the traditional aircrafts which use mechanical flight control system. With the widespread use of Fly-by-Wire (FBW) flight control system, some new airworthiness requirements are generated about the integrity of digital signals, and AC 25.1309 provisions, in order to achieve the same or equivalent safety level of traditional design. This paper introduces the FBW safety assessment process of civil aircraft, and the applicable airworthiness requirements and verification methods were presented based on the features of FBW safety design.

fly-by-wire flight control system;safety assessment;airworthiness; verification

10.19416/j.cnki.1674-9804.2016.03.017

V249.1

A