民机电传飞控系统CCAR 25.672符合性验证思路研究

2019-01-19 02:33李小光ZHANGSongFANGFengLIXiaoguang
民用飞机设计与研究 2018年4期
关键词:设计说明控系统申请人

张 松 房 峰 李小光 / ZHANG Song FANG Feng LI Xiaoguang

(南京航空航天大学,南京 210016)

0 引言

民用大型客机适航取证是确保大型客机满足按公众要求制定的、可接受的最低安全标准(适航标准)的管理和技术实现过程[1]。适航规章是法律,而法律讲求的是证据,民机产品研制过程包含了设计、制造和验证等活动,必须用客观记录反映活动真实发生的数据,用详实可靠的证据来表明所研制的民机产品及系统对适航规章的符合性。

随着经验的积累和技术的进步,适航条款也在不断地补充、修改和完善。适航条款的符合性验证是一项反复迭代的工作,贯穿于飞机及其系统研制的全寿命周期,覆盖了从整机规划阶段提出安全性目标及设计要求、系统功能性需求及安全性需求的分配、系统架构研制,直至系统实现阶段验证系统设计能够满足预期的安全性要求。适航符合性工作的两大支撑要素是其适用适航要求(即适航审定基础)及相应的符合性验证方法。适航审定基础是适航当局对民用航空产品进行适航审定的技术依据,符合性方法是申请人表明其产品适航性的重要手段。只有准确解读适航条款,合理运用符合性验证方法,才能正确表明飞控系统的适航性。

1 电传飞控系统适航符合性验证定义

《型号合格审定程序》(AP-21-AA-2011-03-R4)中对型号产品的设计保证定义为:型号合格证(Type Certificate,简称TC)或型号设计批准书(Type Design Approval,简称TDA)申请人为表明其具有下列能力所需要开展的措施[2]:

1)设计的产品与其适用的规章要求及环境保护要求相符合;

2)表明同时证实产品符合适航规章及环境保护的要求;

3)向型号合格审定委员会(Type Certification Board,简称TCB)及型号合格审定审查组演示这种符合性。

从该定义可以引申出电传飞控系统适航符合性验证的定义:表明并证实电传飞控系统的设计符合适用的适航要求,采用各种符合性验证方法及验证方案设计技术进行适航验证符合性方法的选择和匹配,制定合理的审定验证方案,向适航部门演示这种符合性的过程即符合性验证方法及验证方案设计技术的应用过程。

2 民机电传飞控系统适航符合性方法

型号合格审查过程中,为取得有效且足够的数据来表明对适航要求的符合性,申请人通常需要采用不同的方法,而这些方法统称为符合性验证方法,简称为符合性方法(Means of Compliance,简称MOC)。从实际工作形式划分,一般分为以下四大类:(1)工程评审;(2)试验;(3)检查;(4)设备鉴定。

依据《航空器型号合格审定程序》(AP-21-AA-2011-03-R4),结合国内某型民用客机主飞控系统适航取证工作,归纳出十种经适航部门认可的符合性验证方法MOC0~MOC9,具体定义见表 1。

表1 符合性方法定义

适航符合性验证方法选取的一般原则是:

1)满足条款要求的同时保证成本尽可能最低,采取方便实施的符合性方法。

2)对新型号采用MOC0是不足以表明适航符合性的。如果选择MOC1来表明技术方案对相关条款的符合性时,则不需要再次使用MOC0。

3)MOC2 不仅指通过计算来表明符合性,同时可依据同型号进行验证或根据使用经验和相似性进行分析。而 MOC1 并不包括相似性分析。

4)当条款中出现 “失效”“故障影响”“概率”“危害”等描述,应采用MOC3 进行安全性分析。

5)当条款中明确指出“演示”“试验”或“试验与分析结合”等要求的,应采用 MOC4、MOC5 及 MOC8等。无需开展飞行试验时,通常选用 MOC4或MOC8。

6)对于进行实验室试验即可满足要求的,可选用MOC4和MOC8,尽量不选择 MOC5和MOC6。对于已选用 MOC5 或 MOC6 来表明符合性的,为避免重复一般不再选择MOC4。

7)MOC8用来评估操纵特性及驾驶特性。

3 CCAR 25.672条款适航符合性验证思路

以国内某型民用飞机为研究对象,本节对电传飞控系统的CCAR 25.672适航条款符合性验证思路进行研究。

3.1 CCAR 25.672条款原文[6]

如果增稳系统或其它自动或带动力的操纵系统的功能对于表明满足本部的飞行特性要求是必要的,则这些系统必须符合第25.671 条和下列规定:

1)在增稳系统或任何其它自动或带动力的操纵系统中,对于如驾驶员未察觉会导致不安全结果的任何故障,必须设置警告系统,该系统应在预期的飞行条件下无需驾驶员注意即可向驾驶员发出清晰可辨的警告。警告系统不得直接驱动操纵系统。

2)增稳系统或任何其它自动或带动力的操纵系统的设计,必须使驾驶员对第25.671(c)条中规定的各种故障可以采取初步对策而无需特殊的驾驶技巧或体力,采取的对策可以是切断该系统或出故障的一部分系统,也可以是以正常方式移动飞行操纵器件来超越故障。

3)必须表明,在增稳系统或任何其它自动或带动力的操纵系统发生任何单个故障后,符合下列规定:

(1)当故障或功能不正常发生在批准的使用限制内且对于该故障类型是临界的任何速度或高度上时,飞机仍能安全操纵。

(2)在飞机飞行手册中规定的实际使用的飞行包线(例如速度、高度、法向加速度和飞机形态)内,仍能满足本部所规定的操纵性和机动性要求。

(3)飞机的配平、稳定性以及失速特性不会降低到继续安全飞行和着陆所必需的水平以下。

3.2 条款要点解析

3.2.1 25.672(a)条款

依据AC25.672-1,载荷减缓系统、增稳系统、颤振抑制系统等具有主动飞行控制功能系统都应当符合本条款的要求。

对于警告系统的设计要求,目前FAA(Federal Aviation Administration,简称FAA)已经修订了FAR25.1322,在修改后的条款中对飞行机组乘员告警系统的定义、优先级、颜色、性能等做出明确规定,同时FAA 也起草了相关的咨询通告,作为表明新FAR25.1322 条款要求的指导材料。

3.2.2 25.672(b)条款

一般认为,“无需特殊的驾驶技巧或体力”的含义是:按照相关标准选拔、培训并取得民航管理当局认可的飞行执照的飞行员,能够按照经批准的飞机正常操作程序或应急程序对飞机进行操作,不需要额外针对相关驾驶技术和处理方法进行培训,也不需要驾驶员付出额外、甚至难以接受的体力以完成操作。

3.2.3 25.672(c)条款

条款25.672(c)说明增稳系统及自动和带动力的操纵系统发生单个故障后应符合的规定。在任何单个故障发生后,仍然满足CCAR-25部所规定的操纵性或机动性的要求可以通过设计达到,如采用冗余系统/软件异性等措施,或者通过飞行手册中规定的实际使用包线进行限制来达到。

这些故障的后果,用飞行试验、模拟器试验和试验室试验支持的系统安全性分析(SSA)进行评定。在对故障进行评定时,要考虑飞行品质要求的严格程度,分级方式应当同事件的发生概率相关。

在任何单个故障出现后,通过飞行手册提供相关程序,使飞机的配平、稳定性以及失速特性允许飞机继续安全飞行和着陆。

3.3 符合性验证思路

3.3.1 25.672(a)条款

根据对已取证机型符合性方法的统计,该25.672(a)条款的符合性一般可采用设计说明、安全性评估、试验室试验、地面试验、飞行试验、模拟器试验的方法进行。

申请人针对相关警告系统或警告信息的设计说明中应至少表明:警告系统能够在预期的飞行条件下无需驾驶员注意,即可向驾驶员提供及时的、使人觉醒的、明显的、清晰的和不含混的警告信号;警告信息能够在导致不安全结果的故障时刻出现,以使驾驶员及时地采取纠正动作; 警告系统不会直接驱动操纵系统,也不会被飞机的正常操纵所触发;文件中已提供警告信息列表等。

申请人针对警告系统进行的安全性评估应至少表明:能够并已经识别在增稳系统或任何其它自动或带动力的操纵系统中,对于如驾驶员未察觉会导致不安全结果的任何故障;警告系统本身具有符合CCAR-25部规章要求的完整性和可靠性;警告系统不会直接驱动操纵系统,也不会被飞机的正常操纵所触发;警告系统提供的警告信息作为可靠的方法,足以使飞行员在接到告警后采取恰当的应对措施;警告系统的误警告信息不会妨碍飞机继续安全飞行及着陆等。

申请人采取的试验室试验和机上地面试验,主要目的是确认系统设计说明和安全性评估中得到的结果,通过模拟故障,检查警告系统工作情况。此外申请人还需要采用飞行试验和/或模拟器试验,通过驾驶员“人在回路”的工作方式,确认警告信息的适用性。

3.3.2 25.672(b)条款

25.672(b)条款的符合性一般可采用设计说明、安全性评估、试验室试验、地面试验、飞行试验、模拟器试验的方法进行。

申请人应在系统设计说明中至少表明:增稳系统或任何其它自动或带动力的操纵系统在设计时,已考虑到第25.671(c)条中规定的各种故障,驾驶员在面对这些故障时可以采取初步对策而无需特殊的驾驶技巧或体力;已提供应对25.671(c)条中规定的各种故障的对策和方式。

申请人在对相关系统进行安全性评估时,应考虑25.671(c)的要求、驾驶员的反应及对付失效影响的能力。

申请人采取的试验室试验及机上地面试验,主要是对系统设计说明和安全性评估中得到的分析结果进行确认,通过模拟25.671(c)条中规定的各种故障,按照设计说明和安全性评估中得到的分析结果,检查系统或者出现故障的一部分系统是否能够被切断,或故障被以正常方式移动飞行操纵器件而超越。需确认在故障被应对后,飞机仍是可操纵的。

申请人在采用飞行试验进行符合性验证时,可以通过在增稳系统及自动和带动力的操纵系统中设置单个故障或故障组合,演示操纵的恢复。试验过程中,飞机不应出现超过CCAR-25部规定的载荷或速度限制,同时试验中应就驾驶员的反应及操作工作做出记录和分析。

此外,考虑到飞行试验的安全性,在飞行试验前飞行员需首先通过模拟器演练,同时当模拟器试验与飞行试验的相似性得到局方认可以后,可以采用模拟器试验替代部分飞行试验,用于表明对25.672(b)条款的符合性。

3.3.3 25.672(c)条款

25.672(c)条款的符合性一般可采用设计说明、安全性评估、试验室试验、地面试验、飞行试验、模拟器试验的方法进行。

申请人在系统设计说明中应至少表明已采用有效的设计措施,或者通过限制飞行手册中实际使用包线,使得增稳系统及自动和带动力的操纵系统在发生单个故障后,仍然满足CCAR-25部所规定的要求,如采用冗余系统、隔离等措施。

申请人应对各个相关的系统进行安全性评估,并对出现的故障进行评定,评定中要参考25.671(c)及25.1309 的规定进行。

申请人应对系统设计说明和安全性评估中得到的分析结果进行确认,试验方法包括试验室试验、机上地面试验、飞行试验和模拟器试验。

4 结论

本文首先阐述民机电传飞控系统适航符合性验证的定义,随后介绍了民机电传飞控系统适航符合性方法和选择原则,并以国内某型民用客机为研究对象,开展了针对25.672条款的符合性验证思路的分析与研究,为后续民用飞机电传飞控系统的适航条款符合性验证思路研究奠定基础。

猜你喜欢
设计说明控系统申请人
关于DALI灯控系统的问答精选
多型号车控系统统型设计实践
参加2018年江西省图书馆新馆馆徽(LOGO)设计
Unit6 I’m going to study computer science.Section A 1a—1c
基于单片机的智能门控系统
数字电视播控系统关键技术探究
7月1日起澳洲签证费将全面涨价上调幅度达到5.4%
澳大利亚7月1日起移民签证新规将生效
“次氯酸分解的数字化实验”设计说明
航次租船合同争议案