民用飛機(jī)飛控系統(tǒng)重要適航要求研究

于維倩

摘 要 適航審定對(duì)于民用飛機(jī)的研制和商業(yè)成功至關(guān)重要，值得工程人員在研制和設(shè)計(jì)過程中給予足夠的重視。飛行控制系統(tǒng)作為民用飛機(jī)的關(guān)鍵組成部分，面臨諸多適航方面的關(guān)鍵技術(shù)。本文對(duì)民用飛機(jī)飛控系統(tǒng)的重要適航要求進(jìn)行了研究。

關(guān)鍵詞 飛控系統(tǒng) 適航要求 ARAC25.671

中圖分類號(hào)：F273.2；V249.11 文獻(xiàn)標(biāo)識(shí)碼：A

取得適航當(dāng)局頒發(fā)的型號(hào)合格證是民用飛機(jī)研制和商業(yè)成功的基礎(chǔ)。飛控系統(tǒng)作為民用飛機(jī)的關(guān)鍵組成部分，直接關(guān)系飛機(jī)的安全運(yùn)行。因此，對(duì)于飛控系統(tǒng)有著極為嚴(yán)格的適航要求。美國(guó)聯(lián)邦航空規(guī)章和歐洲聯(lián)合航空規(guī)章FAR/JAR25.671是針對(duì)飛控系統(tǒng)的主要適航要求，其目標(biāo)是保證飛控系統(tǒng)具有足夠的安全性等級(jí)，具有一般性的指導(dǎo)意義。

隨著航空科學(xué)技術(shù)的進(jìn)步、航空工業(yè)和航空運(yùn)輸業(yè)的發(fā)展以及人們對(duì)航空安全性認(rèn)識(shí)的深化，適航標(biāo)準(zhǔn)自身也在不斷發(fā)展和更新。近年來，國(guó)際上對(duì)運(yùn)輸類飛機(jī)的適航性研究和標(biāo)準(zhǔn)制定又有了新的進(jìn)展。針對(duì)電傳飛行控制系統(tǒng)，美國(guó)聯(lián)邦航空咨詢委員會(huì)（ARAC）給出了25.671的審查指導(dǎo)建議，即ARAC25.671報(bào)告，用來協(xié)調(diào)美國(guó)聯(lián)邦航空局（FAA）和歐洲航空安全局（EASA）的要求和提供符合FAR/JAR 25.671的指導(dǎo)建議。規(guī)定中主要描述了什么是潛在的安全性問題，從需求的角度介紹了潛在安全性問題原理。該規(guī)定的要求確保了飛行控制系統(tǒng)基本的完整性和可用性，同時(shí)進(jìn)一步保證了在服役中任何經(jīng)驗(yàn)表明會(huì)影響持續(xù)安全飛行和著陸的故障都應(yīng)受到飛行機(jī)組的控制。此規(guī)則的制定由FAR和JAR協(xié)調(diào)努力促進(jìn)，美國(guó)國(guó)家運(yùn)輸安全委員會(huì)（NTSB）以故障調(diào)查的結(jié)果作為推薦性建議，同時(shí)規(guī)則的更新滿足了使其符合電傳飛行控制系統(tǒng)專用條件的需求。

下面針對(duì)ARAC25.671報(bào)告，對(duì)AR/JAR 25.671的變化、25.671（c）控制系統(tǒng)故障的評(píng)估和FAA與EASA審查的不同點(diǎn)進(jìn)行了分析。

1 FAR/JAR 25.671的變化

ARAC建議標(biāo)準(zhǔn)擴(kuò)展了存在卡阻例證的飛行包線，定義了“連續(xù)的安全飛行和著陸”的標(biāo)準(zhǔn)，并要求明確單個(gè)故障后的特殊剩余安全性等級(jí)。這些標(biāo)準(zhǔn)的增加提高了飛控系統(tǒng)的安全性等級(jí)。同時(shí)，對(duì)飛機(jī)制造商在新機(jī)試飛和取證方面存在一定的影響。

下面針對(duì)各項(xiàng)要求的變化和安全性等級(jí)的提高進(jìn)行詳細(xì)的說明。

25.671（a）要求的更改來自近期需要在任意姿態(tài)下操縱的電傳飛控系統(tǒng)的證明材料。該更改通過提供目前FAR/JAR缺失要求的覆蓋增加了安全性等級(jí)。

25.671（b）的修訂是為了阻止只有一種保證正確裝配的方法。該更改將通過促使保證正確裝配的設(shè)計(jì)特征的大量使用來增加安全性。

25.671（c）（1）闡明哪種卡阻被排除在“任意單個(gè)故障”之外。作為符合性方法刪除“極不可能”。因?yàn)樗械膯蝹€(gè)故障必須現(xiàn)在考慮，所以該更改將增加安全性。25.671（c）（2）增加1/1000特殊的風(fēng)險(xiǎn)到數(shù)值分析。闡明哪種卡阻將被排除。FCHWG的建議刪除25.671（c）（2）中不明確的，應(yīng)用不一致的單個(gè)和可能故障組合并用1/1000特殊風(fēng)險(xiǎn)證明替換它。提出的標(biāo)準(zhǔn)是比當(dāng)前標(biāo)準(zhǔn)更加保守的和嚴(yán)格的。除了單個(gè)故障，當(dāng)前標(biāo)準(zhǔn)要求包含任意可能故障，使用 10-5故障率作為決定因素。新標(biāo)準(zhǔn)要求除了任意單個(gè)故障，包含組合概率大于1/1000的任意故障組合。新標(biāo)準(zhǔn)因此描述了一個(gè)更加適度的剩余故障概率，但是應(yīng)用于所有可能故障條件，包括隱蔽故障。新標(biāo)準(zhǔn)在清晰度方面也比現(xiàn)存的需求更有優(yōu)勢(shì)。25.671（c）（3）提供（c）（3）卡阻定義。將“極不可能”作為符合性方法刪除。增加1/1000特殊風(fēng)險(xiǎn)分析到額外的故障狀態(tài)。這些更改將通過要求考慮所有的卡阻，使卡阻后仍保證最小安全等級(jí)和通過澄清（c）（3）涵蓋下的卡組的類型而導(dǎo)致安全性增加。25.671（c）（4）突出解決失控的需求。要求解決單個(gè)故障而不考慮概率。該更改將通過突出解決能夠?qū)е率У乃袉蝹€(gè)故障的需要來增加安全性。

25.671（d）說明需要在整個(gè)飛行過程中的任意點(diǎn)考慮所有發(fā)動(dòng)機(jī)失效的情況。該更改通過強(qiáng)調(diào)在整個(gè)飛行過程中必須提供足夠的能力以實(shí)現(xiàn)有效的拉平飛行來提高安全性等級(jí)。

25.671（e）根據(jù)近期電傳飛機(jī)的審定，增加了對(duì)權(quán)限限制控制方法的要求。該更改通過提供目前FAR/JAR缺失要求的覆蓋增加了安全性等級(jí)。

25.671（f） 根據(jù)近期電傳飛機(jī)的審定，增加模式通告的需求。該更改通過提供目前FAR/JAR缺失要求的覆蓋增加了安全性等級(jí)。

2 25.671（c）控制系統(tǒng)故障的評(píng)估

在咨詢材料中為25.671（c）提供的指導(dǎo)不是為了標(biāo)識(shí)需求錯(cuò)誤，設(shè)計(jì)錯(cuò)誤，軟件錯(cuò)誤或者執(zhí)行錯(cuò)誤。而是通過研發(fā)程序或者系統(tǒng)結(jié)構(gòu)對(duì)它們進(jìn)行管理，并通過SAE ARP 4754、DO-178和AC/AMJ 25.1309進(jìn)行處理。FAR/JAR 25.671（c）要求通過分析、試驗(yàn)或者兩者兼用表明在一般飛行包線內(nèi)發(fā)生飛行控制系統(tǒng)或舵面（包括配平，升力，阻力和感覺系統(tǒng)）故障時(shí)，飛機(jī)具有能夠繼續(xù)安全飛行和著陸的能力，并且不需要特殊的飛行員技巧或者體力。

2.1 25.671 （c）（1）

（c）（1）小段要求除了（c）（3）小段中提出的卡阻類型外的任意單一故障的評(píng)估。（c）（1）小段要求考慮任意單一故障，建議發(fā)生該故障時(shí)提供一個(gè)控制飛機(jī)的備選方法或者備選載荷路徑。必須考慮所有的單一故障，即使它們被證明是極不可能的。

2.2 25.671 （c）（2）

（c）（2）小段要求對(duì)除了（c）（3）小段中說明的卡阻類型外的未表明是極不可能的任意單個(gè)故障進(jìn)行評(píng)估。對(duì)于這個(gè)應(yīng)用，根據(jù)AC/AMJ 25.1309建立了極不可能的標(biāo)準(zhǔn)定義。另外，（c）（2）小段聲明飛行控制系統(tǒng)中任意單一故障發(fā)生后，可能妨礙繼續(xù)安全飛行和著陸的額外故障狀態(tài)的聯(lián)合概率應(yīng)該小于1/1000。小于1/1000的概率不是故障率，而是為了在單個(gè)飛行控制系統(tǒng)故障發(fā)生后，提供滿足要求的最小剩余飛機(jī)能力中關(guān)于時(shí)間的可能性變量。

為了符合ARAC25.671c（2）的安全性評(píng)估要求，需要進(jìn)行以下兩類不同的分析：

第一類分析要求：不能表明概率是極不可能的任意故障組合發(fā)生后飛機(jī)能夠繼續(xù)安全飛行和著陸。為滿足這個(gè)初始要求，應(yīng)按照AC/AMJ25.1309規(guī)定的方法進(jìn)行安全性分析。對(duì)這類未表明是極不可能的故障組合，在設(shè)計(jì)上要有故障監(jiān)控和指示，不應(yīng)該用定期維修或由飛行機(jī)組檢查代替。在這里故障發(fā)生后需要采取糾正措施的，還要表明這種措施的有效性。對(duì)不滿足上述要求的地方，應(yīng)在系統(tǒng)層面和部件層面上進(jìn)行分析，并且分析應(yīng)突出那些導(dǎo)致飛機(jī)某一災(zāi)難性故障條件的所有重要潛在故障。

第二類分析應(yīng)該表明，在飛控系統(tǒng)發(fā)生任意單一故障（不考慮其概率大?。┖?，與該單一故障組合時(shí)能夠阻止繼續(xù)安全飛行和著陸的任一附加故障狀態(tài)（后來的或之前存在的）的發(fā)生概率必須小于千分之一。如果發(fā)生單一故障，這個(gè)附加要求保證存在最低水平的安全性。例如，即使主系統(tǒng)有非常低的故障概率，還是要為主系統(tǒng)的備份系統(tǒng)建立最低可靠性要求。如一個(gè)1E-8的主系統(tǒng)建立一個(gè)1E-1的備份系統(tǒng)是不允許的。本要求的單一故障情況應(yīng)包括25.671c3的卡阻故障。

2.3 25.671 （c）（3）

（c）（3）小段要求對(duì)由飛行控制舵面或者飛行員控制卡阻導(dǎo)致的任意故障或者事件進(jìn)行評(píng)估。本小段的目的是提出由于物理干涉發(fā)生故障并導(dǎo)致操縱面或者飛行員操縱卡阻的故障模式。發(fā)生卡阻時(shí)候的位置應(yīng)該在起飛、爬升、巡航、正常轉(zhuǎn)彎、降落和著陸階段的任意通常遇到的操縱位置。在一些結(jié)構(gòu)中，系統(tǒng)內(nèi)組件卡阻也許會(huì)導(dǎo)致除了固定操縱面或者飛行員操縱外的故障模式；那些卡阻類型在（c）（1），（c）（2），和（c）（4）小段中給與考慮。

過去，為通常遇到的控制位置下一個(gè)一致的和合理的定義是困難的。對(duì)至今為止的機(jī)隊(duì)運(yùn)行經(jīng)驗(yàn)的回顧表明了控制舵面卡阻的整個(gè)故障率大約在每飛行小時(shí)10E-6到10E-7之間?？紤]這些運(yùn)行數(shù)據(jù)，在規(guī)章中確定的每個(gè)飛行階段中，通常遇到的位置的一個(gè)合理的定義描述了不考慮其他故障，預(yù)期在1000個(gè)隨機(jī)操縱飛行中發(fā)生的控制舵面偏轉(zhuǎn)的范圍（從中立位置到最大偏度）。

建立可接受操縱舵面偏度的一種方法是在AC中論述的基于性能的標(biāo)準(zhǔn)。AC的建立是為了消除飛機(jī)類型之間的任何不同?；谛阅艿臉?biāo)準(zhǔn)描述了環(huán)境的和操縱的機(jī)動(dòng)條件，同時(shí)引起的偏度可能被認(rèn)為是為了符合FAR/JAR 25.671（c）（3）中通常遇到的位置。

緩和方法可以用來表明符合（c）（3）小段。為了這個(gè)目的，緩和方法包括系統(tǒng)重新配置、預(yù)防卡阻設(shè)計(jì)特征或者任意其他的消除或者減少卡阻結(jié)果的，或者允許繼續(xù)飛行和著陸特征。

（c）（3）小段也陳述了當(dāng)發(fā)生由飛行操縱面或者飛行員控制的固定位置引起的卡阻時(shí)，可能妨礙繼續(xù)安全飛行和著陸的其它的故障狀態(tài)的組合概率應(yīng)該小于1/1000。與（c）（2）小段相同，小于1/1000的概率不是故障率，而是為了在單個(gè)飛行控制系統(tǒng)故障發(fā)生后，提供滿足要求的最小剩余飛機(jī)能力中關(guān)于時(shí)間的可能性變量。

2.4 25.671 （c）（4）

（c）（4）小段要求任意使飛行操縱到不利位置的飛控系統(tǒng)的失效應(yīng)該被說明是否這樣的失效是由于單一故障或者由于未表明是極不可能的故障組合所導(dǎo)致。利用重新配置控制系統(tǒng)、去除無效的系統(tǒng)（或者其中的一個(gè)失效部分）、在正常范圍內(nèi)的飛控系統(tǒng)的運(yùn)動(dòng)來擺脫失效、排除失效的結(jié)果以保證繼續(xù)安全飛行和著陸，并通過這些方法來說明符合性。如果沒有適當(dāng)?shù)姆椒p輕或阻止失效，那么這些系統(tǒng)的運(yùn)行將很難被核準(zhǔn)和認(rèn)可。

3 FAA與EASA審查的主要不同點(diǎn)

通過對(duì)比FAR/JAR 25.671的要求和相關(guān)的材料，可以發(fā)現(xiàn)FAA與EASA在適航審查上的不同點(diǎn)。但這些要求基本上是一致的。

值得特殊說明的是，F(xiàn)AA允許某些被證明是極不可能的單個(gè)故障，而EASA是不允許。FAA允許使用AC25-7的操縱品質(zhì)等級(jí)進(jìn)行符合性演示，而EASA不允許。在FAR/JAR25.671（c）（2）中的 “極不可能”術(shù)語使用上。FAR和CS-25部都確定了 “未表明是概率極不可能故障的任意組合” 的例子，這些例子中的一個(gè)是任何單個(gè)故障與任一可能故障的組合。FAA已經(jīng)確認(rèn)這個(gè)例子就是審定要求，申請(qǐng)人應(yīng)遵照?qǐng)?zhí)行，而EASA認(rèn)為它只是一個(gè)例子，而這個(gè)例子不是特定必需的。

但在實(shí)際中，由于要求的相似性，F(xiàn)AR和JAR的條款在符合性方法上幾乎沒有不同之處。只要符合其中一個(gè)標(biāo)準(zhǔn)的要求，對(duì)于另一個(gè)標(biāo)準(zhǔn)的審查，在成本和安全性方面的影響都很小。