基于适航安全的民用飞机电传飞控系统架构设计考虑
2021-09-05李天为石鹏飞刘宏明
李天为 石鹏飞 刘宏明
摘要:在民用飞机电传飞控系统架构设计中,安全性需求占据着至关重要的地位。本文介绍了民用飞机适航规范和行业准则,梳理了系统架构设计要求,从设计前的需求论证、设计中的权衡以及设计后的评估验证三个方面,对适航安全性在飞控系统架构设计中的具体体现进行了研究,并以滚转轴(纵轴)基本控制功能为例,提出了满足适航安全要求的设计考虑,为民用飞机电传飞控系统架构设计提供参考。
关键词:民用飞机;电传飞控系统;适航;安全性;架构设计
中图分类号:V249.1文献标识码:ADOI:10.19452/j.issn1007-5453.2021.03.004
民用飞机从需求设计到试飞取证再到最终进入市场,安全性是贯穿整个过程的重要需求,电传飞控系统作为执行飞行的主要控制设备,是决定飞机安全性的核心系统之一,其主要功能的失效或异常均会导致灾难性的事故。适航规范则针对安全性在飞机和机载设备的开发、制造、使用等方面提出了更多需求,对于系统研制中不同阶段也提出了安全性方面的要求,包括需求捕获、方案设计、分析与验证工作,这些阶段之间紧密衔接,为飞机安全提供保障。因此,如何将适航要求体现在飞控系统架构设计中,针对安全性需求的原则,在架构权衡中提出相应的解决方案,成为现代民机飞控系统设计与研制面对的首要问题。
本文介绍了民用飞机电传飞控系统架构设计中需要考虑的适航规范要求,并从设计前的需求论证、设计中的权衡以及设计后的评估验证三个方面进行阐述,通过滚转轴副翼控制功能为例,给出了满足适航安全要求的设计考虑。
1民用飞机适航规范安全性要求
1.1民用飞机适航标准
中国民用航空规章第25部(CCAR 25)是我国对于大型运输类固定翼飞机进行适航审核的标准,在1985年首次颁布以来,先后经过4次修订,目前广泛使用的是CCAR 25-R4[1]版本,由中国民用航空局制定而成。本文所研究的电传飞控系统属于重要的机载系统,由于其具备高度复杂与综合的特点,所以在设计中需要严格遵守民用航空规章CCAR 25的要求,其中第1309条对于机载系统设备提出了通用安全性要求,第671条对于飞机操纵系统提出了具体安全性要求,以下分别进行介绍。
CCAR 25.1309对于大型民用飞机“设备、系统及安装”提出了安全性适航通用要求,在机载设备与系统安全性设计中占据着重要地位。该条款不仅是飞机系统总体的要求,也是对机载系统(包括飞控系统)功能可靠性的要求,对飞机和系统的安全性目标进行了定义,规定了飞机某个单一系统或者多个系统同时考虑的情况下,对于可能发生的故障,需要满足以下条件:(1)发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能;(2)发生任何降低飞机能力或机组处理不利运行条件能力的其他失效状态概率为不可能。
CCAR 25.671是飞机操纵系统的总纲要求,明确提出飞控系统架构设计中应当注意的安全性问题。该条款提出操纵器件和操纵系统对应其功能必须操作简便、平稳和确切的要求,当一个操纵动作发生时,不需要等待即可进行下一个操纵动作,这些动作不需要机组成员全程保持关注,且不同的动作顺序都能够满足通用的操纵特性要求。对于电传飞控系统,通过选取适当的零部件并优化机械结构,使座舱操纵机构符合驾驶员习惯,满足条款操作简便的要求;选取合理的控制构型并采用合适的控制律参数,保证操作平稳的要求;飞行包线内相邻飞行状态点之间操作特性连续,且差异不能过大,满足操作确切的要求。
飞控操纵系统需要具备防差错功能,对于系统零部件要有明显可辨的永久性标记、外形尺寸差异以及机械接口差异,保证系统安装过程中不产生差错情况;在安装完成后加入测试与BIT环节,对整个系统进行检测,确保安装过程的准确。
对于飞行操纵系统在正常飞行包线内产生故障情况后,不要特殊的驾驶技巧或体力,飞机仍能继续安全飞行和着陆。而对于这些故障状况,结合咨询通告ARAC 25.671[3]文件,可以分为三类:
(1)针对飞机各种飞行阶段产生的卡阻故障,包括操纵器件卡阻和舵面机构卡阻,前者指驾驶盘/杆以及脚蹬的卡阻故障,后者分为舵面卡阻和阀卡阻两类,舵面卡阻包括作动器故障或者轴承卡死,会导致机械断裂并引起故障;阀卡阻属于机械故障,包括阀芯摩擦力偏大和异物卡塞等,会引起舵面非指令偏转。
(2)除了卡阻故障以外,系统可能出现单一故障,且即便被证明为极不可能发生事件也要考虑,体现适航条款对安全性的高要求,这些单一故障包括水平安定面连接断裂、舵面脱钩导致颤振等。
(3)除了卡阻故障以外,系统可能出现组合故障,同时这些组合是未表明概率极小的情况,在AC 25.1309中定义“概率极小”的概率为10-9,则可以判断该条款考虑到的是发生概率大于10-9的故障类型,咨询通告中也给出了定量要求,规定在任何单一故障发生后,任何对于飞行安全有影响故障的综合概率应当小于10-3(对第二次故障的安全裕度进行检查)[4]。
对于人工机械操纵的飞机,两台发动机均失效导致动力操纵系统失效,从而可以转到机械操纵系統对飞机进行控制;而对于本文所研究的电传飞控系统,所有发动机失效会造成飞机液压系统和电源系统的丢失,这就需要在设计阶段考虑备用的能源系统,从而保证飞机的可操纵性。在对应的咨询通告中,也给出了在飞机全发失效下,完成进场并拉平着陆时应该具备的操纵能力,为实际中出现发动机故障,使飞机具备安全着陆的适航要求。
1.2高安全系统的过程规范
随着航空技术不断发展,为了在研发阶段充分满足CCAR 25.1309“极不可能”的要求,美国汽车工程师学会(SAE)发布了ARP 4754A《民用飞机系统研制指南》[5],主要论述了飞机功能的系统和整机的研发流程,提供了一套基于系统工程、强调安全性的飞机系统设计过程,一共可以分为三个部分,分别是计划过程、研发过程和综合过程,它们互为包含、相互约束、彼此协调,覆盖整个飞机系统研发生命周期[6]。文件规定在飞机系统设计中提前制订可实施的计划,严格遵守这些计划进行研发设计,同时并行开展安全性评估,制定研制保证等级(DAL),确保系统研制过程的规范性,降低研制中产生错误的可能性。ARP 4754A通过对系统研发流程的定义,并规定安全性评估和制定研制保证等措施,减少错误事件的发生,以满足25.1309条款安全性的要求。
ARP 4761《民用飞机机载系统和设备安全性评估过程指南和方法》[7]对于飞机系统研发周期中开展的安全性评估流程和分析方法提供了详细的指南,其中安全性评估过程一般分为三个步骤:功能危险性分析(FHA)、初步系统安全性评估(PSSA)和系统安全性评估(SSA)。前两个步骤中,推荐使用故障树分析法(FTA),通过布尔逻辑门表明故障影响与故障模式的关系,从顶层失效事件开始,系统地确定出所有可能的单一故障或者在较低层中能够引起顶事件发生的系统功能失效组合,自上向下分层级依次展开,越往下分析过程就越详细,直到找出主要事件或者满足顶事件危险源事件的需求。在SSA中,推荐使用故障模式以及影响分析法(FMEA),自底向上识别故障模式,分析其对于当层以及更高层的影响。此外对于共因事件的分析应当贯穿整个流程。ARP 4761通过详细的安全性评估技术规范,以系统的方式确定失效状态,并提供安全性分析方法进行论证,保证了系统能够满足25.1309“极不可能”的定性和定量要求。
此外,机载系统设备内部电子硬件和软件的详细设计研发安全性要求则需要分别参考DO-254《机载电子硬件保证指南》和DO-178C《机载系统和设备合格审定中的软件考虑》。以上过程规范文件之间的关系如图1所示。这些适航规范共同协助技术人员对于飞控系统的开发以及局方的验证,确保最终设计出的飞机安全可靠。
2电传飞控系统架构设计前的需求论证
在系统架构设计之前主要考虑两个方面内容,一个是飞控系统功能性能需求,另一个是飞控系统架构安全性需求。
2.1飞控系统功能性能需求
电传飞控系统功能的增多以及系统复杂度的提高,会增加设计中出现错误或者非预期影响的可能性。由于安全是贯穿飞机全生命周期的重要因素,所以在设计之初应该对整个系统进行需求的定义和确认,这样才能保证飞控系统设计的高质量和低错误,达到适航安全的要求。按照ARP 4754A文件中要求,需求确认的目的是保证需求的正确性和完整性[8],依据确定的飞机级功能需求,逐级分解出系统级和部件级需求,保证每个层级需求的正确。同时考虑到需求自下而上的追溯性,即一个需求不仅可以从低层级追溯到上一层的某条需求,还能够追溯到通过其衍生出来的一些设计需求,这样可以确保较低层级的需求能够满足高一层级的需求,保证需求的完整。因此,飞控系统的功能需求通过飞机层面的功能需求分析得到。
飞机层面的功能一般由飞机主制造商提供,如飞机基本的三轴运动功能、长时间运行功能、复杂环境地形下的安全功能、抗气流飞行功能等,为了满足这些飞机功能性能需求,飞控系统需要具备三轴基本控制、控制增稳、包线保护等功能。本文以飞机滚转通道为例,参照以上列出的飞机功能和要求,分析得出以下飞控系统滚转轴功能需求。
(1)具备基本的横向控制与增稳功能
应根据驾驶员控制指令和飞机状态参数反馈进行控制解算,并控制副翼偏转,达到飞机横向轴的目标响应。此外,系统还应进行扰流片控制,起到辅助滚转的作用。
(2)具备控制指令接受和处理的功能
应提供接受驾驶盘指令信号的输入接口;应对多余度驾驶盘位移信号进行表决并剔除故障信号,若有多个驾驶盘则需要对之前表决后的指令进行再表决,最终得到驾驶员滚转操纵指令。
(3)具备接收和处理滚转角和滚转角速率反馈信号的功能
应通过输入接口获得惯导系统和航姿系统传来的控制反馈信号;应对系统内余度信号进行表决,剔除故障信号并生成控制系统所需要的表决信号。
(4)具备滚转角保持与保护功能
应在飞机滚转角处于安全范围时,在无驾驶盘操纵指令输入情况下具备姿态保持功能;应在滚转角超过安全范围时,生成附加的控制指令,使得滚转角回到安全范围内,达到姿态保护的目的。
(5)具备准确传送到对应作动控制器的功能
在飞行模态转换时,能够正确选择舵面控制指令,并准确传送到对应作动控制器;应当具备淡化处理能力,防止飞机瞬态变化过大。
(6)具备良好的伺服和作动器控制功能
能够以指令和作动筒位置的偏差作为误差信号实施闭环控制;作动控制器应满足稳定储备要求。
(7)具备一定的控制性能
应设定不同程度驾驶盘操纵指令和舵面偏转位置的对应关系;应对操纵信号到舵面偏转的等效时间延迟进行限制,以提升飞机横向控制的飞行品质。
2.2飞控系统架构安全性需求
飞控系统架构设计的核心是满足相关安全性需求,而这些需求主要来源于两个方面,一个是设计过程中需要满足的适航规范,它们对于飞控系统架构设计提出了安全性定量指标以及避免共模故障、独立性等规定;另一个是飞控系统功能危害度分析,也就是系统FHA,它对于系统架构设计提出了最顶层安全性要求。
2.2.1适航规范的满足
适航规范对于系统架构安全性设计的要求,大致可以分为两个方面[8]。
(1)系统可用性
要求系统在某个给定时刻仍然处于功能状态,架构设计中采用余度设计方法,通过增设系统余度通道,当其中一个通道发生故障导致功能失效时,系统还能通过其他通道完成控制功能,有效提高整个系统的可用性。
(2)系统完整性
要求系统最终得到的结果准确可信,架构设计中采用增设监控器的方式,对错误信号或者故障部件及时识别并隔离,若隔离后对系统功能产生影响时,可以采用“故障容忍”策略,如迎角传感器信号均失效后,通過其他传感器信号重构出迎角估计值;当一片扰流板极偏后,通过其他舵面偏转以抵消其对飞机产生的影响,从而保证系统的完整性。
由于余度设计是一种基于故障独立性的假设,即所有可能发生的功能失效状态是相互独立的。而实际中,由于飞控系统的高综合性,一些特定的单一事件或者起因,会导致系统中产生联合故障,即两个或多个系统或者部件失效的故障,使得多余度系统的可用性大大降低,所以对于这种共模故障,在系统设计中要遵循两项原则。
(1)独立性原则
在余度系统的基础上,对不同通道之间进行物理、电气和功能上的隔离,使它们互相独立,减少不同通道之间互相影响的可能,防止一个通道的故障蔓延到其他通道。
(2)非相似原则
对于多余度飞控系统,要尽量避免由于相同设计或者同批次部件组装等问题导致全系统失效的情况,所以对能够实现同一种功能的不同余度通道,采用非相似设计实现,可以很好地抑制它们之间的共性故障。
2.2.2飞控系统功能危害度分析
根据ARP 4761中的要求,飞机安全性设计流程中的第一步就是FHA的建立,它对于新的设计构型或者改进设计方案提供了安全性要求,依据系统功能清单,识别各项功能的故障状态,根据不同故障的严重程度进行分类,为后面安全性分析提供定性和定量要求(见图2)。
输入的功能清单是飞控系统功能的集合,外部交联指的是(电源、液压源)航电系统、惯导系统、大气系统等输入到飞控系统的交联功能框图;功能危害性分析过程就是根据功能清单中各项功能,研究分析它们可能出现的失效状态,如自身功能的丧失、与该功能有关部位的故障或者该部位做一些不希望的动作等,然后进行影响等级划分和飞行阶段确认;最终输出系统架构设计的安全性需求,对于在功能识别等过程中做出的假设,需要在最终输出物中进行解决。
以飞机滚转轴基本控制功能为例,简要说明系统FHA分析的过程。
飞机滚转运动主要依靠两侧副翼差动偏转完成,那么横滚轴基本控制功能失效主要是因为副翼控制功能失效,包括自身功能的丧失和舵面的故障。
(1)对于副翼自身控制功能的丧失,除了飞机低速滑跑和停机阶段以外,其他飞行阶段均要考虑。由于飞机副翼有两片,所以副翼基本控制功能丧失可以分为以下两种:双侧副翼基本控制功能丧失,对于飞机滚转能力大大降低,对于一些影响飞机正常飞行姿态的扰动,飞机无法在一定时间内纠正并恢复到自身飞行平衡,导致扰动产生的影响不断发散下去,最终造成机组成员无法正常操纵飞机飞行,对于机上人员安全造成威胁。单侧副翼基本控制功能丧失,飞机会通过另一侧完好的副翼来控制飞机平衡,降低了飞机安全裕度的同时,也增加了驾驶员操纵飞机飞行的负担,但飞机不会失去平衡,也不会对机上成员造成危险。
(2)对于飞机副翼故障产生的影响,在飞机全飞行阶段都要考虑,故障类型可以分为控制系统卡阻、舵面非指令偏转和振荡超许可限制三类。这里只考虑单侧副翼产生以上故障的情况,当单侧故障概率满足要求时,双侧同时故障的概率必然满足。以下依次进行分析:单侧副翼控制系统的卡阻,与单侧副翼基本控制功能丧失产生的影响相似,飞机都可以通过另一侧副翼保持平衡。单侧副翼非指令偏转超过许可限制,飞机会产生突发的滚转力矩,可能导致飞机结构受损,使得飞机难以控制而产生损毁等后果。单侧副翼非指令振荡超过许可限制,会让飞机舵面来回振荡,可能会对飞机结构造成损坏,导致飞机失控。
综上,可以得出滚转轴基本控制功能对应的FHA,见表1。
3电传飞控系统架构设计中的权衡
電传飞行控制系统是指利用电气信号形式,通过电线(电缆)实现驾驶员对飞机运动进行操纵(控制)的飞行控制系统[10],主要由座舱操纵系统、飞控电子系统和伺服作动系统三部分组成。座舱操纵系统的驾驶柱/盘或脚蹬接收到驾驶员的操纵指令后,通过传感器将操纵指令转化为电信号并传输给飞控电子系统,飞控电子系统根据驾驶员的操纵指令,结合外部系统的反馈信息,进行控制律解算处理,生成操纵面的控制指令,对作动器位置进行控制,从而驱动相应的操纵面偏转[9-10]。
电传飞控系统的核心是中间的飞控电子系统,也是系统控制与解算部分,一般包含接口处理单元、控制解算单元和伺服控制单元,由于系统包含众多电子部件,所以需要配备电源调理与转换模块。由适航安全性要求可知,系统至少需要储备两种控制模式,包括正常控制解算模式和备份控制解算模式,它们分别通过接口处理单元获取传感器的指令,然后通过伺服控制单元把解算结果输出到作动器等执行机构,所有能量由电源模块提供,最终形成的电传飞控系统功能单元组成如图3所示。
3.1可更换单元(LRU)组合形式的权衡
LRU是外场可更换单元的英文缩写,是在规定的维修级别上可整体更换的产品,所以设计好LRU可以大大减少飞机维修期间的时间和物力成本。基于适航和安全性的考虑,正常控制解算单元和备份控制解算单元应当相互独立,在不同LRU中实现。对于其他单元,根据是否与对应控制解算单元组合的原则,形成集成式和模块化两种划分方式,前者的设计能够更好满足适航符合性中独立性的要求,但重复的资源配置容易导致成本的提高和系统重量的增加,降低产品在民用航空市场竞争的能力。所以采用模块化LRU设计方法,将不同功能单元按照独立的LRU进行设计,不仅有利于后期系统维护,而且能够降低重复开发的消耗。在模块化LRU设计中,主要考虑两个方面内容。
(1)确定系统中实现相同功能处理的单元,有利于减少成本和重量(质量)。图3中属于共性功能单元的是接口处理单元、伺服控制单元和电源模块。
(2)确定可以复用的单元,在以后的项目研发中可以重复利用,减少开发成本和适航工作量。图3中属于可复用单元的是伺服控制单元。
根据以上设计原则,将不可复用的单元在一定程度上实施组合,并考虑实际机箱尺寸和重量限制等因素,得出系统控制解算部分主要包含三种部件:(1)主飞控计算机(FCM)执行正常控制解算功能;(2)备份飞控计算机(ACE)执行接口处理和备份控制解算功能,并接受机上电源,经过电磁滤波和调理后分发到其他设备;(3)作动器控制电子(REU)负责作动器的伺服控制。形成组合形式如图4所示。
3.2系统控制设备布局的选择
在模块化LRU设计的基础上,需要考虑飞控计算机和作动系统的连接方式,可以分为集中式控制和分布式控制两种方案。
集中式控制是将伺服控制单元整合在ACE中,再通过电缆分别控制不同位置的作动器,如图5所示。
分布式控制是对每台作动器配备了一台REU,然后这些REU由飞控计算机通过数字总线进行指令控制,如图6所示。
对于大型民用飞机,一般采取分布式控制方案,因为相比于集中式控制,增加的部件重量远远小于减少的电缆重量,可以减少飞机的燃油消耗,增大飞机航程,降低飞行成本;当REU出现故障,分布式控制只需要针对性地对故障REU进行维护和调换,而集中式控制需要更换整个ACE,并对所有与其相连的舵面重新进行调试,工作量巨大;分布式模式下,REU可以作为作动器的标准控制回路,更具备复用性。所以飞控系统采用分布式控制方案更佳。
3.3系统余度配置
系统余度配置的选择,不仅需要满足系统功能可靠度的要求,也要充分考虑经济性的影响。前者主要依靠系统FHA中对于不同失效状态的定性和定量要求,后者则需要各通道尽可能采取同一类型设备,或者尽可能减少设备种类,同时各通道设备内的资源利用率应当尽可能均衡。
(1)舵面作动器余度配置
这里以飞机横滚轴副翼基本控制通道为例,对副翼作动器余度配置进行分析。参考副翼基本控制功能对应的FHA,其中要求双侧副翼基本控制功能丧失的概率小于10-9/FH,单侧副翼控制功能失效的概率小于10-5/FH,同时作动器、伺服控制以及液压源等会导致单个作动器失效的概率为10-3/FH~10-4/FH的等级,而且如果单个作动器控制副翼舵面偏转,具有单点故障的风险,在铰链脱钩的情况下会产生舵面非指令振荡,这种失效状况属于灾难级别的。综上,飞机每块副翼配置两台作动器,两侧一共4台。
(2)FCM余度数确定
飞控计算机储备着最完备状态下的控制与解算部分,所以它的失效风险必须是最高级,即失效概率小于10-9/ FH。工程中根据以往经验数据,一台FCM失效概率大约为10-4/FH,这远远不能满足系统整体的安全性需求。根据前文对于适航可行性的研究,飞控系统至少需要设置三台FCM。针对副翼滚转通道,以及成本等其他因素,采用三余度的FCM设计。
(3)ACE余度数确定
与FCM余度数要求一样,ACE也至少需要配备三台。根据不同模块之间的连接情况,可知ACE与作动器系统连接,由于副翼作动器一共设置了4个,分布式控制布局让每台作动器都拥有一台REU,考虑到这些作动器控制分配的方便,采用四余度的ACE设计,这样每台ACE都可以控制副翼的一台作动器,并满足安全性要求。
3.4系統余度工作方式
系统在增加余度数的同时,也会带来共模故障的影响,所以三台FCM在设计中保证任意一台都可以独立完成运行、解算和控制功能,在这种情况下,三台计算机不需要同步进行工作,考虑采用异步运行的工作方式,表明不同余度通道之间互相的独立性,符合适航中独立原则的要求。
FCM的输入信号由4台ACE提供,在进入控制律之前需要进行表决,一般采用所有有效信号的中值或者均值。然后每台FCM都会独立输出一个结果,为了保证所有ACE接收到的信号一致,对三台FCM交叉通信并表决出控制信息资源最完整的并进行标记,然后ACE优先选择指令有效且被标记的FCM输出信号,并将其传递给作动器。综上,该飞控系统拥有以下两种信息传递模式。
(1)正常模式
驾驶员操作指令通过总线传递给ACE,经过表决传递给FCM,再加上其他、航电、惯导、大气等系统得到的飞机状态等反馈信息,输入控制律进行结算,控制结果通过ACE传输给REU控制作动器做出相应动作。
(2)直接模式
当FCM全部失效后,ACE获取操纵指令不再传输给FCM,而是根据内部备份控制解算部分直接生成作动器控制指令。
3.5副翼滚转通道架构模型
以副翼滚转通道为例,按照上面架构设计中的决策,最终形成模型如图7所示。
3.6架构安全性的满足
根据高安全系统的过程规范,系统在设计中必须考虑到架构的可用性和完整性,以及对于共模故障抑制的考虑。
(1)可用性的满足
系统多余度通道的设计满足适航对于可用性的要求。
(2)完整性的满足
按照适航完整性原则的要求,在基本架构设计的基础上,应当加入合适的监控环节,从驾驶舱系统的指令输入,到飞控计算机解算与控制,再到执行机构作动器系统,所有部分都需要进行故障检测,对发现的故障进行隔离切断,让系统能够继续使用其他余度通道的有效信息和资源进行控制,最终达到适航“故障-安全”的要求。
寻找设置监控器的位置,一般通过分析其是否能够引起系统FHA中Ⅲ类故障以上的失效状态。对于整个系统架构层次,主要有输入信号监控、架构监控、伺服控制和作动器监控以及硬件状态监控,同时各个模块内部也需要设立相应的自监控。
(3)共模故障抑制措施
系统架构设计中对于独立原则的考虑有:所有具备余度数量的飞控电子产品均独立或者分组安装在不同机箱中;三台FCM之间异步运行机制,分别可以独立进行完整的控制解算功能;系统正常模式与直接模式分别在不同部件内实现。
系统架构设计中对于非相似原则的考虑有:正常与直接两种工作模式采用不同方式实现,且它们的公共模块REU采取非相似设计;模块内的指令支路与监控支路采用不同的设计方案。
4电传飞控系统架构设计后的评估与验证
按照适航ARP 4754A/4761的要求,在系统架构设计阶段要进行初步安全性评估与确认(PSSA),将确定的安全性目标(主要考虑系统FHA中Ⅰ类和Ⅱ类失效情况)作为安全性评估的顶层事件,采用故障树分析(FTA)方法进一步分解,对于设计好的系统架构是否满足顶层安全性要求进行初步的确定,随着系统架构设计方案不断地深入完善,PSSA分析也会逐渐向下分解至部件级层面,对各个层面的设计进行安全性评估。
当最底层软/硬件设计完成后,进入设计确认和验证阶段,即系统安全性分析(SSA),主要工作是通过故障模式以及影响分析(FMEA)系统性的自底向上方法,识别每一层面的故障模式对当前层及更高层的影响,其定量分析結果将为SSA中的故障树分析(基于PSSA的FTA)提供较低层级的事件信息,目的是验证设计好的飞控系统是否满足FHA的要求以及PSSA的衍生需求。若不能满足,则寻找问题根源并返回系统架构进行修改,这样反复迭代,最终让系统架构满足各项安全性要求。
5结束语
本文通过民用飞机适航规范对电传飞控系统安全性设计的要求,从飞控系统功能性能需求入手,以滚转轴基本控制功能为例,形成相应系统FHA,并参考适航可用性、完整性以及共模故障抑制等要求,对飞控系统架构进行初步的权衡和设计考虑,最后简要阐述了后续安全性评估与验证工作。
参考文献
[1]CCAR-25-R4运输类飞机适航标准[S].北京:中国民用航空局,2011. CCAR-25-R4Airworthiness standards of transport category aircraft[S]. Beijing:Civil Aviation Administration of China,2011.(in Chinese)
[2]AC 25.1309-1ASystem design and analysis[S]. USA:Federal AviationAdministration,1988.
[3]FAR/JAR 25.671. FCHWG-ARAC report[S]. USA:Federal AviationAdministration,2010.
[4]王伟达.运输类飞机适航标准CCAR-25.671(c)条款要求与分析[J].科技创新导报,2015,12(21):10-11. Wang Weida. Analysis of airworthiness requirement and validations for CCAR-25.671(c) [J]. Science and Technology Innovation Herald,2015,12(21):10-11.(in Chinese)
[5]SAE ARP 4754AGuidelines for development of civil aircraft and systems[S]. USA:SAEAerospace,2010.
[6]董锐,王平利.一种基于ARP 4754A的民机机载系统研制项目风险分析方法研究[J].航空科学技术,2019,30(12):38-44. Dong Rui,Wang Pingli.Study of civil aircraft airborne system development project risk analysis method based on ARP 4754A[J].Aeronautical Science & Technology,2019,30(12):38-44.(in Chinese)
[7]SAE ARP 4761 Safety assessment process guideline and methods[S]. USA:SAEAerospace,1996.
[8]沈迎春. ARP 4754A解读[J].中国科技信息,2014(15): 209-210. Shen Yingchun. Interpretation of ARP 4754A [J]. China Science and Technology Information, 2014(15): 209-210. (in Chinese)
[9]石鹏飞,张航,陈洁.先进民机飞控系统安全性设计考虑[J].航空科学技术,2019,30(12):52-58.ShiPengfei, ZhangHang, ChenJie.Safetydesign considerations for advanced civil aircraft flight control system[J]. Aeronautical Science & Technology,2019,30(12):52-58.(in Chinese)
[10]宋翔贵.电传飞行控制系统[M].北京:国防工业出版社,2003. Song Xianggui. Fly-By-Wire flight control system[M]. Beijing: National Defence Industry Press, 2003. (in Chinese)
(責任编辑余培红)
作者简介
李天为(1996-)男,学士,硕士研究生。主要研究方向:飞行控制系统与安全性。
Tel:18691050581E-mail:2685327091@qq.com
Architecture Design Consideration of Fly-by-Wire Flight Control System for Civil Aircraft Based on Airworthiness and Safety
Li Tianwei*,Shi Pengfei,Liu Hongming
AVIC Flight Automatic Control Research Institution,Xian 710065,China
Abstract: Safety requirements play an important role in the architecture design of the fly-by-wire flight control system of civil aircraft. This paper introduces civil aircraft airworthiness standards and industry standards, and analyzes their requirements for system architecture design.The embodiments of airworthiness and safety in flight control system architecture design are studied from the following three aspects: requirements demonstration, design tradeoff and verification.Taking the basic control function of the roll axis as an example,the design considerations to meet the airworthiness and safety requirements are put forward, providing a reference for the architecture design of the fly-bywire flight control system of civil aircraft.
Key Words: civil aircraft; fly-by-wire flight control system; airworthiness; safety; architecture design
