安全性分析在通用飛機航電系統(tǒng)架構(gòu)設(shè)計中的應(yīng)用

王焱濱* 曾 強

（中電科航空電子有限公司，成都 611731）

0 引言

據(jù)統(tǒng)計，目前全球通用飛機大約占民用飛機數(shù)量的90%，而90%的通用飛機注冊在美國和歐洲地區(qū)，尤其是美國，通用航空產(chǎn)業(yè)非常成熟。雖然我國的通用航空產(chǎn)業(yè)當(dāng)前還處于起步階段，但是在市場需求的推動下，隨著低空的逐步開放，通用航空產(chǎn)業(yè)面臨巨大的發(fā)展機遇。

航電系統(tǒng)是通用飛機的重要組成部分，安全可靠、經(jīng)濟舒適的航電系統(tǒng)是飛機市場競爭力的重要保證。目前國外有多家供應(yīng)商，可以提供通用飛機航電系統(tǒng)產(chǎn)品，比較典型的如Garmin 公司的G1000、Avidyne公司的Entegra、Honeywell公司的Primus Apex以及L-3 公司的SmartDeck 等。不同種類通用飛機的航電系統(tǒng)架構(gòu)差異很大[1-4]，如Honeywell的Primus Apex系統(tǒng)，采用集成模塊化航電(Integrated Modular Avionics，簡稱IMA)架構(gòu)，模塊化航電單元(Modular Avionics Units，簡稱MAU)是系統(tǒng)的處理核心；GARMIN的G1000 系統(tǒng)[5]采用顯示和處理功能合二為一的綜合顯示器，綜合顯示器是系統(tǒng)處理核心，通過綜合無線電設(shè)備外接大氣、航姿、航管等外圍傳感器；AVIDYNE的Entegra系統(tǒng)是以兩個綜合飛行顯示器(包含液晶顯示模塊與機箱，機箱中包括核心處理、大氣航姿、通信導(dǎo)航、接口等模塊)為核心，通過接口模塊擴展其他功能。因此，首先需要根據(jù)飛機的種類和特點以及用戶的不同需求，確定其航電系統(tǒng)架構(gòu)。不管是25 部飛機還是23 部飛機，其航電系統(tǒng)的開發(fā)時均是多階段反復(fù)迭代的V形過程[6]，在這個過程中，系統(tǒng)的設(shè)計就是各層需求的分解和定義過程，而安全性分析是系統(tǒng)需求分解和架構(gòu)設(shè)計中需要依據(jù)的重要手段。近年來國內(nèi)一些單位雖然開展了通用飛機航電的研究，但主要是針對國外典型產(chǎn)品；在系統(tǒng)架構(gòu)設(shè)計上，目前尚無文獻針對通用飛機航電系統(tǒng)的特點，從安全性分析的角度對其主要功能的冗余備份需求進行系統(tǒng)的論證。

本文按照適航研制要求，以對通用飛機航電系統(tǒng)的基本功能需求、系統(tǒng)特點和基本組成的研究為切入點，通過對CCAR-23 部適航規(guī)章[7]及其AC23.1309-1E咨詢通告[8]的分析，研究其功能失效狀態(tài)的分類要求；針對典型的II類渦輪螺旋槳式飛機，通過故障樹分析對系統(tǒng)各主要功能的備份策略進行研究，由此探討了通用飛機航電系統(tǒng)的基本邏輯架構(gòu)。

1 通用飛機航電系統(tǒng)功能需求及實現(xiàn)特點

1.1 功能需求

通用飛機航電系統(tǒng)主要包括駕駛艙顯示控制以及外圍傳感器等部分，其主要系統(tǒng)功能需求如表1 所示。

表1 系統(tǒng)功能需求

1.2 實現(xiàn)特點與系統(tǒng)組成

與運輸類飛機一樣，通用飛機航電系統(tǒng)同樣遵循飛機系統(tǒng)研發(fā)的一般規(guī)律。但由于通用飛機及其航電系統(tǒng)的技術(shù)門檻相對較低，從業(yè)單位眾多，競爭激烈，只有控制成本才能保證具有市場競爭力。為了最大限度地降低成本，通用飛機航電的實現(xiàn)一般有以下特點：

(1)綜合化設(shè)計。從減小體積重量、降低成本和實用的角度，充分考慮航電系統(tǒng)的綜合化。目前，主流的通用飛機航電系統(tǒng)均是綜合化的系統(tǒng)；

(2)采用常規(guī)系統(tǒng)總線。與大型飛機相比，通用飛機航電系統(tǒng)相對簡單，其數(shù)據(jù)傳輸要求不高，按照經(jīng)濟實用的原則，系統(tǒng)往往采用一些常規(guī)數(shù)字總線，如429/422/232/以太網(wǎng)等；

(3)可擴展性設(shè)計。采用可擴展的體系架構(gòu)，在保持基本架構(gòu)不變的基礎(chǔ)上，功能可以根據(jù)需要靈活配置。通過加載軟件或增減設(shè)備模塊，適應(yīng)不同的飛機需求；

(4)通用化設(shè)計。對于基本航電所需要的綜合顯示器、大氣、航姿、通信、導(dǎo)航、航管應(yīng)答等常規(guī)功能模塊，采用通用化設(shè)計思路，可適用于多種飛機，降低研發(fā)成本。

按照以上特點要求，參照國外典型通用飛機航電架構(gòu)，我們可以得出通用飛機航電的基本組成，主要包括綜合顯示、綜合接口處理、飛機傳感器、獨立儀表等幾個部分。綜合顯示器一般由兩部顯示器，主飛行顯示器(Primary Flight Display，簡稱PFD)和多功能顯示器(Multi-function Display，簡稱MFD)組成，實現(xiàn)綜合顯示、系統(tǒng)操作和核心處理三大功能，飛行員通過綜合顯示器執(zhí)行相關(guān)操作控制、感知和監(jiān)控飛機的飛行；綜合接口處理主要用于完成飛機傳感器與綜合顯示之間的數(shù)據(jù)接口和處理；飛機傳感器包括大氣數(shù)據(jù)、航向姿態(tài)、通信、導(dǎo)航和監(jiān)視等；獨立儀表主要作用是備份顯示重要飛行信息。系統(tǒng)主要組成如圖1 所示，每一個組成部分是否需要冗余備份，需要通過安全性分析等系統(tǒng)設(shè)計過程來確定。

圖1 系統(tǒng)主要組成

2 基于安全性分析的架構(gòu)研究

2.1 安全性分析簡介

在民用飛機系統(tǒng)開發(fā)活動中，按照SAE ARP 4754A《民用飛機和系統(tǒng)開發(fā)指南》要求，安全性分析過程融合到開發(fā)過程的各個階段。安全性分析按照SAE ARP4761《民用機載系統(tǒng)和設(shè)備的安全性評估指導(dǎo)和方法》所推薦的方法進行，主要包括功能危害性評估(Function Hazard Assessment，簡稱FHA)、初步系統(tǒng)安全性評估(Preliminary System Safety Assessment，簡稱PSSA)、系統(tǒng)安全性評估(System Safety Assessment，簡稱SSA)、共因分析(Common Cause Analysis，簡稱CCA)等方法[9]。FHA是功能危害性評估，用于檢查和評估飛機系統(tǒng)功能，并按照危害等級定義各功能失效狀態(tài)；PSSA是初步安全性評估，通過故障樹等手段分析影響系統(tǒng)功能失效狀態(tài)的各種失效條件的組合，將設(shè)計保證等級分配到系統(tǒng)各組成部分，確定所設(shè)計系統(tǒng)架構(gòu)能夠滿足系統(tǒng)安全性目標(biāo)；SSA是安全性評估，對系統(tǒng)研制結(jié)果的綜合分析，以評估是否滿足系統(tǒng)相關(guān)安全性要求；CCA是共因分析，用于分析系統(tǒng)的冗余、使用共同的組件、共同的作用機制等導(dǎo)致的失效。安全性分析過程在系統(tǒng)開發(fā)各個階段迭代進行，不斷改進完善，與系統(tǒng)的設(shè)計相互作用。

2.2 通用飛機航電系統(tǒng)安全性需求

民航規(guī)章第23 部的咨詢通告對于不同種類通用飛機的不同危害性級別失效狀態(tài)，給出了對應(yīng)的概率要求及軟件/復(fù)雜硬件研制保證等級要求，如表2 所示。

表2 不同飛機、失效類別對應(yīng)的概率和軟/硬件研制等級

按照AC23.1309-1E的飛機功能危害性等級建議，選擇影響系統(tǒng)架構(gòu)的一些重要功能失效狀態(tài)，并參照AC23.1309-1E中的失效狀態(tài)類別作為這些功能失效狀態(tài)的簡要FHA分析結(jié)果，如表3 所示。針對市場占有率較高的典型的渦輪螺旋槳式通用飛機(表2 中II類)確定其定量概率要求。通飛航電重要功能包括氣壓高度、姿態(tài)、主導(dǎo)航、空速、話音通信等，它們的功能喪失或誤導(dǎo)的概率要求將直接影響航姿傳感器、大氣數(shù)據(jù)計算機、GPS、ILS 等主要飛機傳感器設(shè)備的配置，同時通過對這些功能失效狀態(tài)的分析，也對飛機綜合顯示器、綜合接口處理等公共資源的配置提供指導(dǎo)。

表3 功能失效的危害性分類

2.3 安全性分析過程

PSSA分析將以FHA分析的結(jié)果作為輸入，對涉及到的功能失效進行分析，采用理論方法定量探究失效的因果關(guān)系，并指導(dǎo)系統(tǒng)架構(gòu)設(shè)計使其滿足安全性需求。分析的方法一般有故障樹分析法(Fault Tree Analysis，簡稱FTA)和馬爾科夫分析法(Markov Analysis，簡稱MA)等。這里采用故障樹分析法分別對姿態(tài)、空速、氣壓高度、主導(dǎo)航信息等幾個功能的失效狀態(tài)進行分析。通過對系統(tǒng)功能線程涉及到的設(shè)備故障概率的分配與評估，從滿足安全性需求的角度論證系統(tǒng)各功能設(shè)備是否需要冗余備份。為了簡化分析過程，以下FTA不考慮系統(tǒng)具體的聯(lián)接方式，僅從系統(tǒng)邏輯組成的角度進行分析。

2.3.1 姿態(tài)信息失效狀態(tài)的分析

姿態(tài)信息顯示功能包括綜合顯示器顯示和備份儀表顯示。向機組提供姿態(tài)信息功能喪失的故障樹圖如圖2 所示。從圖中可以看出，雖然有獨立的地平儀表，但是AC23.1309-1E規(guī)定姿態(tài)信息主顯示手段喪失的類別是MAJ，因此在故障樹中對顯示器喪失姿態(tài)信息分配的概率是1E-5，由此分解下去，基于現(xiàn)有設(shè)備可靠性水平，顯然一個航姿或一個綜合接口是無法滿足要求的。所以由姿態(tài)信息喪失的安全性分析可以得出系統(tǒng)至少需要兩個航姿和兩個綜合接口。

在研究提供誤導(dǎo)的姿態(tài)信息時，存在兩種情況，一種是由于顯示器顯示錯誤信息引起的誤導(dǎo)，另一種是在顯示器顯示信息喪失的情況下備份儀表導(dǎo)致的誤導(dǎo)。對于第一種情況，顯然一個航姿或一個綜合接口無法滿足顯示器顯示誤導(dǎo)信息的概率要求，采用兩個航姿和兩個綜合接口，系統(tǒng)可以通過對主備數(shù)據(jù)的比對，自動判斷姿態(tài)數(shù)據(jù)是否有誤，只有在主備數(shù)據(jù)均有誤的情況下才可能導(dǎo)致誤導(dǎo)發(fā)生，從而在必要時給出告警信息，極大地避免了顯示誤導(dǎo)信息的可能。故障樹如圖3 所示。

圖2 姿態(tài)信息喪失故障樹分析

圖3 姿態(tài)信息誤導(dǎo)故障樹分析

2.3.2 空速和氣壓高度信息失效狀態(tài)的分析

空速和氣壓高度的失效狀態(tài)采用與姿態(tài)失效狀態(tài)相同的分析方法。從功能喪失的角度分析，由于有空速表和氣壓高度表，而且顯示器功能喪失的類別僅是MIN，所以采用一套大氣數(shù)據(jù)機即可滿足系統(tǒng)安全性要求。從提供誤導(dǎo)信息的角度分析，因氣壓高度信息誤導(dǎo)的危害程度更高，為CAT類，所以此處對氣壓高度信息誤導(dǎo)進行故障樹分析，分析表明至少應(yīng)包含兩套大氣數(shù)據(jù)機，才能滿足安全性要求。氣壓高度誤導(dǎo)的故障樹分析如圖4 所示。

圖4 氣壓高度信息誤導(dǎo)故障樹分析

2.3.3 主導(dǎo)航信息失效狀態(tài)的分析

通用飛機航電系統(tǒng)主用導(dǎo)航手段主要是GPS、ILS 等，GPS 是飛機巡航階段主用導(dǎo)航手段，ILS 用于著陸階段。對于主導(dǎo)航信息的失效狀態(tài)，雖然其失效類別是MAJ，對應(yīng)概率要求是1E-5/FH，但是由于沒有獨立備份儀表，從故障樹分析來看，系統(tǒng)需要至少兩套主用導(dǎo)航源，才能滿足功能喪失狀態(tài)對應(yīng)的概率要求。主導(dǎo)航信息喪失的故障樹分析如圖5所示。

2.3.4 通信和監(jiān)視失效狀態(tài)的分析

系統(tǒng)架構(gòu)研究中，話音通信是一個重要功能。從安全性分析角度看，話音通信的安全性級別要求不高，功能喪失的失效類別僅是MIN，但是從使用的角度，CCAR-91 部第91.411 條款中[10]，明確要求航空器至少需要安裝兩套獨立的無線電通信接收機和發(fā)射機。航管應(yīng)答功能喪失和誤導(dǎo)失效狀態(tài)類別均是MIN，因此僅對喪失的失效狀態(tài)進行分析，分析表明，系統(tǒng)配備一套應(yīng)答機即可滿足安全性要求。航管應(yīng)答功能喪失的故障樹分析如圖6 所示。

3 系統(tǒng)基本邏輯架構(gòu)

通過以上分析，我們可以得出典型的II類渦輪螺旋槳式通用飛機航電系統(tǒng)各功能設(shè)備的基本配置要求，除配置兩臺綜合顯示器外，系統(tǒng)至少需要兩套綜合接口，兩套航姿、大氣數(shù)據(jù)、GPS 和ILS、通信電臺以及一套航管應(yīng)答機。分析結(jié)果與當(dāng)前主流通用飛機航電系統(tǒng)產(chǎn)品一致。系統(tǒng)基本邏輯架構(gòu)如圖7所示。

當(dāng)然，在系統(tǒng)實際設(shè)計中，還需要考慮具體的連接方式，通用飛機航電往往根據(jù)具體的數(shù)據(jù)傳輸需求采用低成本高可靠的常規(guī)總線，如429/422/232/以太網(wǎng)等。另外，設(shè)備可以設(shè)計成多種形態(tài)，比如：GARMIN的G1000 系統(tǒng)將一套接口處理、通信、導(dǎo)航等功能集成在一個GIA63 設(shè)備中；AVIDYNE的Entegra系統(tǒng)將一套顯示器、接口處理、大氣航姿以及通信導(dǎo)航等功能集成在一個IFD設(shè)備中，綜合化程度更高。關(guān)于這兩個方面，需要針對系統(tǒng)裝機實際情況和實際需求進行設(shè)計考慮，本文不對此進行深入探討。

圖5 主導(dǎo)航信息喪失故障樹分析

圖6 航管應(yīng)答功能喪失故障樹分析

圖7 系統(tǒng)基本邏輯架構(gòu)

4 結(jié)論

隨著技術(shù)的發(fā)展，通用飛機航電系統(tǒng)綜合化、智能化程度必然越來越高，為實現(xiàn)系統(tǒng)的安全性和經(jīng)濟性的平衡，必須對航電系統(tǒng)的架構(gòu)設(shè)計進行充分的論證。本文針對典型的II類渦輪螺旋槳式通用飛機，通過系統(tǒng)故障樹分析方法，研究了航電系統(tǒng)各主要功能配置的一般規(guī)律，可以為通用飛機航電系統(tǒng)設(shè)計和適航研制提供良好的思路和借鑒。