民機剎車系統根據SAE ARP4754A以需求為導向的研制流程簡介

楊鵬

【摘 要】本文針對民機中重要、關鍵和高度復雜集成的剎車系統，介紹了SAE ARP 4754A的雙V方法在民機剎車系統研制過程中的應用，詳細介紹了需求傳遞和滿足路徑及FDAL/IDAL分配方法，并基于實際工程經驗，提出和分析了一些需要重點關注的問題。通過介紹可以看出，SAE ARP 4754A對于復雜的民機及其系統的研制具有重要的指導作用。

【關鍵詞】剎車系統；SAE ARP 4754A；需求；DAL；確認；驗證

Introduction of Requirement Oriented Development Process for Brake System of Civil Aircraft based on SAE ARP 4754A

YANG Peng

（Brake Control System of Hydraulic Department， Shanghai Aircraft Design and Research Institute， Shanghai 201210， China）

【Abstract】Towards the important， critical and highly complex brake system of civil aircraft， V&V method of SAE ARP 4754A implemented in the development process is introduced. The requirement allocation and compliance route and FDAL/IDAL allocation method are introduced in detail. Based on real engineering experience， several critical problems are proposed and analyzed. Per the introduction， the importance of SAE ARP 4754A guidance to complex civil aircraft and systems development is clear.

【Key words】Brake system； SAE ARP 4754A； Requirement； DAL； Validation； Verification

0 引言

在民用飛機的發展過程中，由于重要性和關鍵性，剎車系統的設計研發水平一致在不斷進步。比如，起初的剎車系統并無防滑保護功能[1]，在速度和重量都較大的著陸或中止起飛情況下，飛行員大力踩剎車時，很容易造成輪胎爆死而爆破，爆破的輪胎碎片能量非常大，可能打壞主起落架支柱上的液壓管路和電纜，甚至打穿機翼三角區或整流罩的蒙皮而破壞其內安裝的設備元件，導致單側或全部剎車功能喪失，使飛機偏出跑道或無法在跑道盡頭停止而沖出跑道，出現機毀人亡的災難級事故。因此在后來的剎車系統中引入了防滑保護功能，防止輪胎爆破。后續隨著對剎車系統安全性、制動效率等各種需求的不斷提高，又陸續增加了接地保護、滑水保護、鎖輪保護等功能，從而發展形成了當前主流具有高安全性、高制動性、高經濟型、高舒適性的高度集成的民機剎車系統。

對于民機及如剎車系統這樣高度復雜集成的系統，研制過程可能持續5～10年。為了在漫長的研制過程中盡量避免少出現錯誤、降低研制成本，美國汽車工程師協會SAE出版了ARP 4754 《Guidelines for development of Civil Aircraft and Systems（民用飛機與系統研制指南）》[2]，用于指導民機及其系統在開始設計到最終取得型號合格證的整個研制過程，目前最新版本為A版，及SAE ARP 4754A。本文即針對民機剎車系統根據SAE ARP 4754A進行研制的過程進行淺析，重點為SAE ARP 4754A的核心——需求分配與滿足。

1 以需求為導向的設計要求傳遞及滿足路徑

如前所述，當前民機剎車系統高度復雜集成，各種設計要求/指標多且互有關聯，如果僅采用傳統的設計手段，容易造成設計要求/指標在傳遞過程中的丟失，或者設計出的系統無法完全滿足制定的設計要求/指標，這樣不僅會造成設計工作的重復性，延長研制流程，也會帶來成本的大大增加。而根據SAE ARP 4754A指導的需求管理方法，就可以比較清晰地完成設計要求/指標自上而下的層層分配和自下而上的層層滿足。

SAE ARP 4754A需求管理的核心為雙V，即需求確認Validation和需求驗證Verification，如圖1所示。

其中需求確認為需求自上而下的分配過程，在每個層級的需求分配中，都確認所傳遞的需求是正確的，避免將錯誤的需求傳遞至下游研制過程中。需求驗證為需求自下而上的滿足過程，在每個層級的需求滿足中，都驗證所完成的設備/系統是能夠滿足所分配的每條需求的，避免最終設計出的產品無法滿足頂層目標。這樣通過自上而下和自下而上的雙保險，就可以保證整個研制流程的正確性和有效性。

對于剎車系統，以人工剎車功能為例，詳細介紹需求傳遞與滿足的路徑。

民機需要具有減速功能，這是設計要求，轉換為需求描述語言即“飛機需要具有減速功能，通過剎車、發動機反推和地面破升功能實現”。此需求傳遞至剎車系統后表達為“剎車系統需要具有剎車減速功能”，可分解為兩條需求，即“剎車系統需要具有人工剎車功能”和“剎車系統需要具有自動剎車功能”。對于“剎車系統需要具有人工剎車功能”這條需求，傳遞至剎車控制子系統后表達為“剎車控制系統需要具有人工剎車功能”，此需求繼續向下傳遞至軟硬件級，成為剎車系統機載軟件和復雜電子硬件的各項需求，如“剎車控制軟件需要具有通過控制剎車控制閥的開口大小，從而控制剎車壓力大小的能力”、“剎車控制復雜電子硬件需要具有硬件鎖來防止剎車切斷閥非指令打開”、“剎車控制軟件IDAL需要為A級”等。然后剎車機載軟件和復雜電子硬件就可以分別參照航空無線電技術委員會RTCA組織的兩份文件RTCA DO 178《Software Considerations in Airborne Systems and Equipment Certification（機載系統和設備合格審定中的軟件考慮）》[3]和RTCA DO 254《Design Assurance Guidance for Airborne Electronic Hardware（機載電子硬件設計保證指南）》[4]進行設計開發。

通過以上的需求傳遞路徑，清晰地將每條設計需求由虛擬的飛機/系統頂層傳遞至可以具體設計實現的軟硬件層級。在每個層級，都可能產生新的衍生需求，對于所有這些無法向上追溯的需求，都需要通過需求確認的方法確認其正確性。在軟硬件開發完成后，需要以其為基礎自下而上驗證之前分配/衍生的每條需求是否都得到了實現。

2 研制保證等級FDAL/IDAL

在需求雙V過程中，需要根據每條需求的重要性，稱其為嚴酷度，來判斷其確認和驗證的方法，即嚴酷度高的需求特別予以關注，需要通過多種方法或流程的組合進行需求的確認和驗證，而嚴酷度低的需求確認和驗證的方法或流程可以少一些。此嚴酷度的等級，在SAE ARP 4754A中定義為DAL（Design Assurance Level，研制保證等級），在系統層級為FDAL（Functional Design Assurance Level，功能研制保證等級），在軟硬件層級為IDAL（Item Design Assurance Level，項目研制保證等級）。實際上，FDAL和IDAL均與安全性相關，安全性影響高的需求，其FDAL/IDAL相對高，安全性影響低的需求，其FDAL/IDAL相對就低。根據FAR 25部《Airworthiness Standards： Transport Category Airplanes （運輸類飛機適航標準）》的AC 25.1309和SAE ARP 4761《GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT（民用飛機機載系統和設備的安全型評估過程的指南和方法）》[5]，功能故障影響等級FHA分為5個等級，依次為災難級（I級）、危險級（II級）、較大影響級（III級）、較小影響級（IV級）和無安全性影響級（V級），其失效概率要求依次為小于1E-9、小于1E-7、小于1E-5、小于1E-3、無，一般對應的功能FDAL為A、B、C、D、E，如表1所示。

表1 頂層功能的FDAL分配

實際上，I～V級的故障影響等級與FDAL的A～E級并非總是一一對應，有些特殊情況，如外部獨立事件可能降低嚴酷度要求等，本文僅分析一般情況，對此特殊情況不一一分析。當功能的FDAL確定后，就可以根據SAE ARP 4754A中的分配原則，將嚴酷度要求分配到用來實現此功能的每個項目（軟硬件），形成各自的IDAL。當對應的軟硬件IDAL等級分配好后，就可以根據SAE ARP 4754A中的需求確認/驗證表選擇對應的方法進行需求的雙V工作。同時，也就可以根據其IDAL，按照SAE DO 178/SAE DO 254中的對應研制流程進行軟硬件的開發。FDAL/IDAL分配過程如圖2所示。

以人工剎車功能為例，此功能喪失后可能導致飛機在著陸或中止起飛過程中缺少足夠的減速能力而沖出跑道，此影響為災難級，即I級；同時，在起飛時，當飛機達到決斷速度后，如果此時發生非指令剎車，則飛機就會減速，由于此時跑道長度不夠，也會發生沖出跑道的災難級事故，也為I級。因此，人工剎車功能的FDAL為A級。人工剎車功能通過剎車控制板卡中的剎車控制軟件和剎車控制復雜電子硬件（如FPGA，即現場可編程門陣列）實現，因此其各自的IDAL也為A，剎車控制軟件和剎車控制復雜電子硬件需要分別根據RTCA DO 178和RTCA DO 254中的最高要求進行開發。

3 民機剎車系統實際雙V過程中需要關注問題

雖然SAE ARP 4754A給出了相對詳細的雙V流程，但在實際的民機剎車系統研制過程中，仍存在一些問題，需要給與特別關注。根據實際設計經驗，本文列舉出了一些需要特別關注的問題。

3.1 人員獨立性問題

需求的雙V過程中，有多種方法可供選擇，如工程評審、安全性分析、試驗、仿真等，當根據FDAL/IDAL等級要求，需要選擇兩種以上方法進行需求的雙V時，需要保證方法之間的獨立性，以及設計人員與雙V人員的獨立性。尤其是對于工程評審這類依靠評審人員主觀工程經驗進行雙V的方法，更需要關注獨立性問題。

3.2 PSSA的地位及迭代過程

安全性評估與系統研制過程息息相關，如圖3所示。

PSSA為Preliminary System Safety Analysis，即初步系統安全性分析，用于針對FHA進行分析，以定義系統架構和對對下游子系統/元件的安全性要求，指導后續的設計和安全性分析工作。原則上先有PSSA，才有系統架構。但在實際民機剎車系統研制過程中，一般在設計初就已根據先前經驗定義了初步的系統架構，這樣似乎與上述原則相悖。但實際上，雙V流程并非單向的一次性流程，而是雙向的迭代過程。因此，在有了PSSA后，可以去驗證初步定義的系統架構是否可以滿足安全性需求，如無法滿足則需要進行相應的系統架構修正，直至與 PSSA分析出的安全性需求相匹配。

3.3 FHA等級的確認

對于FHA分析的功能故障等級要求，屬于安全性需求類別，其驗證比較簡單，只需要在系統開發完成后進行系統安全性分析SSA，自下而上地通過故障樹分析FHA驗證所設計的元件失效概率可以滿足頂層FHA安全性概率要求即可。但對于FHA等級的確認就比較復雜，尤其是對于II級和III級的FHA等級，需要重點確認其為何不會導致I級事件，因而比較關鍵。而對于I級FHA，因為已經對其是最高要求，其對應的子系統和軟硬件也是按照最嚴苛要求進行設計，反而在需求確認上無需關注太多。根據工程實際經驗，對于I、II級的FHA等級，由于進行試驗確認的危險性比較高，一般通過工程模擬器或飛行模擬器進行仿真確認，對于III、IV、V級的FHA等級，一般通過飛行試驗進行確認。

4 總結

本文簡要介紹了SAE ARP 4754A的雙V方法在民機剎車系統中的應用，其對于需求的確認和驗證流程可以較為有效、快速、成本低地進行設計需求的傳遞和滿足，為民機和如剎車系統類高度復雜集成的系統的設計過程理清了脈絡，起到了綱舉目張的作用。事實上，針對當前的民機研制，國際主流的主機場和系統供應商均采用了SAE ARP 4754A的方法作為指導。國內的民機甚至軍機研制，也在逐步學習采用此套方法，期望本文可以起到一些幫助作用。

【參考文獻】

[1]Young D W. “Aircraft Landing Gears -The Past， Present and Future”， Proceedings of the Institution of Mechanical Engineers， Part D Transport Engineering，1986：75-92.

[2] SAE. ARP 4754A- Guidelines for development of Civil Aircraft and Systems[Z]. Society of Automotive Engineers， 1996.

[3]RTCA. DO 178C- Software Considerations in Airborne Systems and Equipment Certification[Z].Radio Technical Commission for Aeronautics， 2012.

[4]RTCA. DO 254- Design Assurance Guidance for Airborne Electronic Hardware[Z].Radio Technical Commission for Aeronautics， 2000.

[5]SAE. ARP 4761-Guidelines And Methods For Conducting The Safety Assessment Process On Civil Airborne Systems And Equipment[Z]. Society of Automotive Engineers， 1996.

[責任編輯：朱麗娜]