民機電傳飛控系統CCAR 25.672符合性驗證思路研究

張 松 房 峰 李小光 / ZHANG Song FANG Feng LI Xiaoguang

(南京航空航天大學，南京 210016)

0 引言

民用大型客機適航取證是確保大型客機滿足按公眾要求制定的、可接受的最低安全標準(適航標準)的管理和技術實現過程[1]。適航規章是法律，而法律講求的是證據，民機產品研制過程包含了設計、制造和驗證等活動，必須用客觀記錄反映活動真實發生的數據，用詳實可靠的證據來表明所研制的民機產品及系統對適航規章的符合性。

隨著經驗的積累和技術的進步，適航條款也在不斷地補充、修改和完善。適航條款的符合性驗證是一項反復迭代的工作，貫穿于飛機及其系統研制的全壽命周期，覆蓋了從整機規劃階段提出安全性目標及設計要求、系統功能性需求及安全性需求的分配、系統架構研制，直至系統實現階段驗證系統設計能夠滿足預期的安全性要求。適航符合性工作的兩大支撐要素是其適用適航要求(即適航審定基礎)及相應的符合性驗證方法。適航審定基礎是適航當局對民用航空產品進行適航審定的技術依據，符合性方法是申請人表明其產品適航性的重要手段。只有準確解讀適航條款，合理運用符合性驗證方法，才能正確表明飛控系統的適航性。

1 電傳飛控系統適航符合性驗證定義

《型號合格審定程序》(AP-21-AA-2011-03-R4)中對型號產品的設計保證定義為：型號合格證(Type Certificate，簡稱TC)或型號設計批準書(Type Design Approval，簡稱TDA)申請人為表明其具有下列能力所需要開展的措施[2]：

1)設計的產品與其適用的規章要求及環境保護要求相符合；

2)表明同時證實產品符合適航規章及環境保護的要求；

3)向型號合格審定委員會(Type Certification Board，簡稱TCB)及型號合格審定審查組演示這種符合性。

從該定義可以引申出電傳飛控系統適航符合性驗證的定義：表明并證實電傳飛控系統的設計符合適用的適航要求，采用各種符合性驗證方法及驗證方案設計技術進行適航驗證符合性方法的選擇和匹配，制定合理的審定驗證方案，向適航部門演示這種符合性的過程即符合性驗證方法及驗證方案設計技術的應用過程。

2 民機電傳飛控系統適航符合性方法

型號合格審查過程中，為取得有效且足夠的數據來表明對適航要求的符合性，申請人通常需要采用不同的方法，而這些方法統稱為符合性驗證方法，簡稱為符合性方法(Means of Compliance，簡稱MOC)。從實際工作形式劃分，一般分為以下四大類：(1)工程評審；(2)試驗；(3)檢查；(4)設備鑒定。

依據《航空器型號合格審定程序》(AP-21-AA-2011-03-R4)，結合國內某型民用客機主飛控系統適航取證工作，歸納出十種經適航部門認可的符合性驗證方法MOC0～MOC9，具體定義見表 1。

表1 符合性方法定義

適航符合性驗證方法選取的一般原則是：

1)滿足條款要求的同時保證成本盡可能最低，采取方便實施的符合性方法。

2)對新型號采用MOC0是不足以表明適航符合性的。如果選擇MOC1來表明技術方案對相關條款的符合性時，則不需要再次使用MOC0。

3)MOC2 不僅指通過計算來表明符合性，同時可依據同型號進行驗證或根據使用經驗和相似性進行分析。而 MOC1 并不包括相似性分析。

4)當條款中出現 “失效”“故障影響”“概率”“危害”等描述，應采用MOC3 進行安全性分析。

5)當條款中明確指出“演示”“試驗”或“試驗與分析結合”等要求的，應采用 MOC4、MOC5 及 MOC8等。無需開展飛行試驗時，通常選用 MOC4或MOC8。

6)對于進行實驗室試驗即可滿足要求的，可選用MOC4和MOC8，盡量不選擇 MOC5和MOC6。對于已選用 MOC5 或 MOC6 來表明符合性的，為避免重復一般不再選擇MOC4。

7)MOC8用來評估操縱特性及駕駛特性。

3 CCAR 25.672條款適航符合性驗證思路

以國內某型民用飛機為研究對象，本節對電傳飛控系統的CCAR 25.672適航條款符合性驗證思路進行研究。

3.1 CCAR 25.672條款原文[6]

如果增穩系統或其它自動或帶動力的操縱系統的功能對于表明滿足本部的飛行特性要求是必要的，則這些系統必須符合第25.671 條和下列規定：

1)在增穩系統或任何其它自動或帶動力的操縱系統中，對于如駕駛員未察覺會導致不安全結果的任何故障，必須設置警告系統，該系統應在預期的飛行條件下無需駕駛員注意即可向駕駛員發出清晰可辨的警告。警告系統不得直接驅動操縱系統。

2)增穩系統或任何其它自動或帶動力的操縱系統的設計，必須使駕駛員對第25.671(c)條中規定的各種故障可以采取初步對策而無需特殊的駕駛技巧或體力，采取的對策可以是切斷該系統或出故障的一部分系統，也可以是以正常方式移動飛行操縱器件來超越故障。

3)必須表明，在增穩系統或任何其它自動或帶動力的操縱系統發生任何單個故障后，符合下列規定：

(1)當故障或功能不正常發生在批準的使用限制內且對于該故障類型是臨界的任何速度或高度上時，飛機仍能安全操縱。

(2)在飛機飛行手冊中規定的實際使用的飛行包線(例如速度、高度、法向加速度和飛機形態)內，仍能滿足本部所規定的操縱性和機動性要求。

(3)飛機的配平、穩定性以及失速特性不會降低到繼續安全飛行和著陸所必需的水平以下。

3.2 條款要點解析

3.2.1 25.672(a)條款

依據AC25.672-1，載荷減緩系統、增穩系統、顫振抑制系統等具有主動飛行控制功能系統都應當符合本條款的要求。

對于警告系統的設計要求，目前FAA(Federal Aviation Administration，簡稱FAA)已經修訂了FAR25.1322，在修改后的條款中對飛行機組乘員告警系統的定義、優先級、顏色、性能等做出明確規定，同時FAA 也起草了相關的咨詢通告，作為表明新FAR25.1322 條款要求的指導材料。

3.2.2 25.672(b)條款

一般認為，“無需特殊的駕駛技巧或體力”的含義是：按照相關標準選拔、培訓并取得民航管理當局認可的飛行執照的飛行員，能夠按照經批準的飛機正常操作程序或應急程序對飛機進行操作，不需要額外針對相關駕駛技術和處理方法進行培訓，也不需要駕駛員付出額外、甚至難以接受的體力以完成操作。

3.2.3 25.672(c)條款

條款25.672(c)說明增穩系統及自動和帶動力的操縱系統發生單個故障后應符合的規定。在任何單個故障發生后，仍然滿足CCAR-25部所規定的操縱性或機動性的要求可以通過設計達到，如采用冗余系統/軟件異性等措施，或者通過飛行手冊中規定的實際使用包線進行限制來達到。

這些故障的后果，用飛行試驗、模擬器試驗和試驗室試驗支持的系統安全性分析(SSA)進行評定。在對故障進行評定時，要考慮飛行品質要求的嚴格程度，分級方式應當同事件的發生概率相關。

在任何單個故障出現后，通過飛行手冊提供相關程序，使飛機的配平、穩定性以及失速特性允許飛機繼續安全飛行和著陸。

3.3 符合性驗證思路

3.3.1 25.672(a)條款

根據對已取證機型符合性方法的統計，該25.672(a)條款的符合性一般可采用設計說明、安全性評估、試驗室試驗、地面試驗、飛行試驗、模擬器試驗的方法進行。

申請人針對相關警告系統或警告信息的設計說明中應至少表明：警告系統能夠在預期的飛行條件下無需駕駛員注意，即可向駕駛員提供及時的、使人覺醒的、明顯的、清晰的和不含混的警告信號；警告信息能夠在導致不安全結果的故障時刻出現，以使駕駛員及時地采取糾正動作； 警告系統不會直接驅動操縱系統，也不會被飛機的正常操縱所觸發；文件中已提供警告信息列表等。

申請人針對警告系統進行的安全性評估應至少表明：能夠并已經識別在增穩系統或任何其它自動或帶動力的操縱系統中，對于如駕駛員未察覺會導致不安全結果的任何故障；警告系統本身具有符合CCAR-25部規章要求的完整性和可靠性；警告系統不會直接驅動操縱系統，也不會被飛機的正常操縱所觸發；警告系統提供的警告信息作為可靠的方法，足以使飛行員在接到告警后采取恰當的應對措施；警告系統的誤警告信息不會妨礙飛機繼續安全飛行及著陸等。

申請人采取的試驗室試驗和機上地面試驗，主要目的是確認系統設計說明和安全性評估中得到的結果，通過模擬故障，檢查警告系統工作情況。此外申請人還需要采用飛行試驗和/或模擬器試驗，通過駕駛員“人在回路”的工作方式，確認警告信息的適用性。

3.3.2 25.672(b)條款

25.672(b)條款的符合性一般可采用設計說明、安全性評估、試驗室試驗、地面試驗、飛行試驗、模擬器試驗的方法進行。

申請人應在系統設計說明中至少表明：增穩系統或任何其它自動或帶動力的操縱系統在設計時，已考慮到第25.671(c)條中規定的各種故障，駕駛員在面對這些故障時可以采取初步對策而無需特殊的駕駛技巧或體力；已提供應對25.671(c)條中規定的各種故障的對策和方式。

申請人在對相關系統進行安全性評估時，應考慮25.671(c)的要求、駕駛員的反應及對付失效影響的能力。

申請人采取的試驗室試驗及機上地面試驗，主要是對系統設計說明和安全性評估中得到的分析結果進行確認，通過模擬25.671(c)條中規定的各種故障，按照設計說明和安全性評估中得到的分析結果，檢查系統或者出現故障的一部分系統是否能夠被切斷，或故障被以正常方式移動飛行操縱器件而超越。需確認在故障被應對后，飛機仍是可操縱的。

申請人在采用飛行試驗進行符合性驗證時，可以通過在增穩系統及自動和帶動力的操縱系統中設置單個故障或故障組合，演示操縱的恢復。試驗過程中，飛機不應出現超過CCAR-25部規定的載荷或速度限制，同時試驗中應就駕駛員的反應及操作工作做出記錄和分析。

此外，考慮到飛行試驗的安全性，在飛行試驗前飛行員需首先通過模擬器演練，同時當模擬器試驗與飛行試驗的相似性得到局方認可以后，可以采用模擬器試驗替代部分飛行試驗，用于表明對25.672(b)條款的符合性。

3.3.3 25.672(c)條款

25.672(c)條款的符合性一般可采用設計說明、安全性評估、試驗室試驗、地面試驗、飛行試驗、模擬器試驗的方法進行。

申請人在系統設計說明中應至少表明已采用有效的設計措施，或者通過限制飛行手冊中實際使用包線，使得增穩系統及自動和帶動力的操縱系統在發生單個故障后，仍然滿足CCAR-25部所規定的要求，如采用冗余系統、隔離等措施。

申請人應對各個相關的系統進行安全性評估，并對出現的故障進行評定，評定中要參考25.671(c)及25.1309 的規定進行。

申請人應對系統設計說明和安全性評估中得到的分析結果進行確認，試驗方法包括試驗室試驗、機上地面試驗、飛行試驗和模擬器試驗。

4 結論

本文首先闡述民機電傳飛控系統適航符合性驗證的定義，隨后介紹了民機電傳飛控系統適航符合性方法和選擇原則，并以國內某型民用客機為研究對象，開展了針對25.672條款的符合性驗證思路的分析與研究，為后續民用飛機電傳飛控系統的適航條款符合性驗證思路研究奠定基礎。