杨鹏

【摘 要】本文针对民机中重要、关键和高度复杂集成的刹车系统，介绍了SAE ARP 4754A的双V方法在民机刹车系统研制过程中的应用，详细介绍了需求传递和满足路径及FDAL/IDAL分配方法，并基于实际工程经验，提出和分析了一些需要重点关注的问题。通过介绍可以看出，SAE ARP 4754A对于复杂的民机及其系统的研制具有重要的指导作用。

【关键词】刹车系统；SAE ARP 4754A；需求；DAL；确认；验证

Introduction of Requirement Oriented Development Process for Brake System of Civil Aircraft based on SAE ARP 4754A

YANG Peng

（Brake Control System of Hydraulic Department， Shanghai Aircraft Design and Research Institute， Shanghai 201210， China）

【Abstract】Towards the important， critical and highly complex brake system of civil aircraft， V&V method of SAE ARP 4754A implemented in the development process is introduced. The requirement allocation and compliance route and FDAL/IDAL allocation method are introduced in detail. Based on real engineering experience， several critical problems are proposed and analyzed. Per the introduction， the importance of SAE ARP 4754A guidance to complex civil aircraft and systems development is clear.

【Key words】Brake system； SAE ARP 4754A； Requirement； DAL； Validation； Verification

0 引言

在民用飛机的发展过程中，由于重要性和关键性，刹车系统的设计研发水平一致在不断进步。比如，起初的刹车系统并无防滑保护功能[1]，在速度和重量都较大的着陆或中止起飞情况下，飞行员大力踩刹车时，很容易造成轮胎爆死而爆破，爆破的轮胎碎片能量非常大，可能打坏主起落架支柱上的液压管路和电缆，甚至打穿机翼三角区或整流罩的蒙皮而破坏其内安装的设备元件，导致单侧或全部刹车功能丧失，使飞机偏出跑道或无法在跑道尽头停止而冲出跑道，出现机毁人亡的灾难级事故。因此在后来的刹车系统中引入了防滑保护功能，防止轮胎爆破。后续随着对刹车系统安全性、制动效率等各种需求的不断提高，又陆续增加了接地保护、滑水保护、锁轮保护等功能，从而发展形成了当前主流具有高安全性、高制动性、高经济型、高舒适性的高度集成的民机刹车系统。

对于民机及如刹车系统这样高度复杂集成的系统，研制过程可能持续5～10年。为了在漫长的研制过程中尽量避免少出现错误、降低研制成本，美国汽车工程师协会SAE出版了ARP 4754 《Guidelines for development of Civil Aircraft and Systems（民用飞机与系统研制指南）》[2]，用于指导民机及其系统在开始设计到最终取得型号合格证的整个研制过程，目前最新版本为A版，及SAE ARP 4754A。本文即针对民机刹车系统根据SAE ARP 4754A进行研制的过程进行浅析，重点为SAE ARP 4754A的核心——需求分配与满足。

1 以需求为导向的设计要求传递及满足路径

如前所述，当前民机刹车系统高度复杂集成，各种设计要求/指标多且互有关联，如果仅采用传统的设计手段，容易造成设计要求/指标在传递过程中的丢失，或者设计出的系统无法完全满足制定的设计要求/指标，这样不仅会造成设计工作的重复性，延长研制流程，也会带来成本的大大增加。而根据SAE ARP 4754A指导的需求管理方法，就可以比较清晰地完成设计要求/指标自上而下的层层分配和自下而上的层层满足。

SAE ARP 4754A需求管理的核心为双V，即需求确认Validation和需求验证Verification，如图1所示。

其中需求确认为需求自上而下的分配过程，在每个层级的需求分配中，都确认所传递的需求是正确的，避免将错误的需求传递至下游研制过程中。需求验证为需求自下而上的满足过程，在每个层级的需求满足中，都验证所完成的设备/系统是能够满足所分配的每条需求的，避免最终设计出的产品无法满足顶层目标。这样通过自上而下和自下而上的双保险，就可以保证整个研制流程的正确性和有效性。

对于刹车系统，以人工刹车功能为例，详细介绍需求传递与满足的路径。

民机需要具有减速功能，这是设计要求，转换为需求描述语言即“飞机需要具有减速功能，通过刹车、发动机反推和地面破升功能实现”。此需求传递至刹车系统后表达为“刹车系统需要具有刹车减速功能”，可分解为两条需求，即“刹车系统需要具有人工刹车功能”和“刹车系统需要具有自动刹车功能”。对于“刹车系统需要具有人工刹车功能”这条需求，传递至刹车控制子系统后表达为“刹车控制系统需要具有人工刹车功能”，此需求继续向下传递至软硬件级，成为刹车系统机载软件和复杂电子硬件的各项需求，如“刹车控制软件需要具有通过控制刹车控制阀的开口大小，从而控制刹车压力大小的能力”、“刹车控制复杂电子硬件需要具有硬件锁来防止刹车切断阀非指令打开”、“刹车控制软件IDAL需要为A级”等。然后刹车机载软件和复杂电子硬件就可以分别参照航空无线电技术委员会RTCA组织的两份文件RTCA DO 178《Software Considerations in Airborne Systems and Equipment Certification（机载系统和设备合格审定中的软件考虑）》[3]和RTCA DO 254《Design Assurance Guidance for Airborne Electronic Hardware（机载电子硬件设计保证指南）》[4]进行设计开发。

通过以上的需求传递路径，清晰地将每条设计需求由虚拟的飞机/系统顶层传递至可以具体设计实现的软硬件层级。在每个层级，都可能产生新的衍生需求，对于所有这些无法向上追溯的需求，都需要通过需求确认的方法确认其正确性。在软硬件开发完成后，需要以其为基础自下而上验证之前分配/衍生的每条需求是否都得到了实现。

2 研制保证等级FDAL/IDAL

在需求双V过程中，需要根据每条需求的重要性，称其为严酷度，来判断其确认和验证的方法，即严酷度高的需求特别予以关注，需要通过多种方法或流程的组合进行需求的确认和验证，而严酷度低的需求确认和验证的方法或流程可以少一些。此严酷度的等级，在SAE ARP 4754A中定义为DAL（Design Assurance Level，研制保证等级），在系统层级为FDAL（Functional Design Assurance Level，功能研制保证等级），在软硬件层级为IDAL（Item Design Assurance Level，项目研制保证等级）。实际上，FDAL和IDAL均与安全性相关，安全性影响高的需求，其FDAL/IDAL相对高，安全性影响低的需求，其FDAL/IDAL相对就低。根据FAR 25部《Airworthiness Standards： Transport Category Airplanes （运输类飞机适航标准）》的AC 25.1309和SAE ARP 4761《GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT（民用飞机机载系统和设备的安全型评估过程的指南和方法）》[5]，功能故障影响等级FHA分为5个等级，依次为灾难级（I级）、危险级（II级）、较大影响级（III级）、较小影响级（IV级）和无安全性影响级（V级），其失效概率要求依次为小于1E-9、小于1E-7、小于1E-5、小于1E-3、无，一般对应的功能FDAL为A、B、C、D、E，如表1所示。

表1 頂层功能的FDAL分配

实际上，I～V级的故障影响等级与FDAL的A～E级并非总是一一对应，有些特殊情况，如外部独立事件可能降低严酷度要求等，本文仅分析一般情况，对此特殊情况不一一分析。当功能的FDAL确定后，就可以根据SAE ARP 4754A中的分配原则，将严酷度要求分配到用来实现此功能的每个项目（软硬件），形成各自的IDAL。当对应的软硬件IDAL等级分配好后，就可以根据SAE ARP 4754A中的需求确认/验证表选择对应的方法进行需求的双V工作。同时，也就可以根据其IDAL，按照SAE DO 178/SAE DO 254中的对应研制流程进行软硬件的开发。FDAL/IDAL分配过程如图2所示。

以人工刹车功能为例，此功能丧失后可能导致飞机在着陆或中止起飞过程中缺少足够的减速能力而冲出跑道，此影响为灾难级，即I级；同时，在起飞时，当飞机达到决断速度后，如果此时发生非指令刹车，则飞机就会减速，由于此时跑道长度不够，也会发生冲出跑道的灾难级事故，也为I级。因此，人工刹车功能的FDAL为A级。人工刹车功能通过刹车控制板卡中的刹车控制软件和刹车控制复杂电子硬件（如FPGA，即现场可编程门阵列）实现，因此其各自的IDAL也为A，刹车控制软件和刹车控制复杂电子硬件需要分别根据RTCA DO 178和RTCA DO 254中的最高要求进行开发。

3 民机刹车系统实际双V过程中需要关注问题

虽然SAE ARP 4754A给出了相对详细的双V流程，但在实际的民机刹车系统研制过程中，仍存在一些问题，需要给与特别关注。根据实际设计经验，本文列举出了一些需要特别关注的问题。

3.1 人员独立性问题

需求的双V过程中，有多种方法可供选择，如工程评审、安全性分析、试验、仿真等，当根据FDAL/IDAL等级要求，需要选择两种以上方法进行需求的双V时，需要保证方法之间的独立性，以及设计人员与双V人员的独立性。尤其是对于工程评审这类依靠评审人员主观工程经验进行双V的方法，更需要关注独立性问题。

3.2 PSSA的地位及迭代过程

安全性评估与系统研制过程息息相关，如图3所示。

PSSA为Preliminary System Safety Analysis，即初步系统安全性分析，用于针对FHA进行分析，以定义系统架构和对对下游子系统/元件的安全性要求，指导后续的设计和安全性分析工作。原则上先有PSSA，才有系统架构。但在实际民机刹车系统研制过程中，一般在设计初就已根据先前经验定义了初步的系统架构，这样似乎与上述原则相悖。但实际上，双V流程并非单向的一次性流程，而是双向的迭代过程。因此，在有了PSSA后，可以去验证初步定义的系统架构是否可以满足安全性需求，如无法满足则需要进行相应的系统架构修正，直至与 PSSA分析出的安全性需求相匹配。

3.3 FHA等级的确认

对于FHA分析的功能故障等级要求，属于安全性需求类别，其验证比较简单，只需要在系统开发完成后进行系统安全性分析SSA，自下而上地通过故障树分析FHA验证所设计的元件失效概率可以满足顶层FHA安全性概率要求即可。但对于FHA等级的确认就比较复杂，尤其是对于II级和III级的FHA等级，需要重点确认其为何不会导致I级事件，因而比较关键。而对于I级FHA，因为已经对其是最高要求，其对应的子系统和软硬件也是按照最严苛要求进行设计，反而在需求确认上无需关注太多。根据工程实际经验，对于I、II级的FHA等级，由于进行试验确认的危险性比较高，一般通过工程模拟器或飞行模拟器进行仿真确认，对于III、IV、V级的FHA等级，一般通过飞行试验进行确认。

4 总结

本文简要介绍了SAE ARP 4754A的双V方法在民机刹车系统中的应用，其对于需求的确认和验证流程可以较为有效、快速、成本低地进行设计需求的传递和满足，为民机和如刹车系统类高度复杂集成的系统的设计过程理清了脉络，起到了纲举目张的作用。事实上，针对当前的民机研制，国际主流的主机场和系统供应商均采用了SAE ARP 4754A的方法作为指导。国内的民机甚至军机研制，也在逐步学习采用此套方法，期望本文可以起到一些帮助作用。

【参考文献】

[1]Young D W. “Aircraft Landing Gears -The Past， Present and Future”， Proceedings of the Institution of Mechanical Engineers， Part D Transport Engineering，1986：75-92.

[2] SAE. ARP 4754A- Guidelines for development of Civil Aircraft and Systems[Z]. Society of Automotive Engineers， 1996.

[3]RTCA. DO 178C- Software Considerations in Airborne Systems and Equipment Certification[Z].Radio Technical Commission for Aeronautics， 2012.

[4]RTCA. DO 254- Design Assurance Guidance for Airborne Electronic Hardware[Z].Radio Technical Commission for Aeronautics， 2000.

[5]SAE. ARP 4761-Guidelines And Methods For Conducting The Safety Assessment Process On Civil Airborne Systems And Equipment[Z]. Society of Automotive Engineers， 1996.

[責任编辑：朱丽娜]