于維倩

摘 要 適航審定對于民用飛機的研制和商業(yè)成功至關重要，值得工程人員在研制和設計過程中給予足夠的重視。飛行控制系統(tǒng)作為民用飛機的關鍵組成部分，面臨諸多適航方面的關鍵技術。本文對民用飛機飛控系統(tǒng)的重要適航要求進行了研究。

關鍵詞 飛控系統(tǒng) 適航要求 ARAC25.671

中圖分類號：F273.2；V249.11 文獻標識碼：A

取得適航當局頒發(fā)的型號合格證是民用飛機研制和商業(yè)成功的基礎。飛控系統(tǒng)作為民用飛機的關鍵組成部分，直接關系飛機的安全運行。因此，對于飛控系統(tǒng)有著極為嚴格的適航要求。美國聯(lián)邦航空規(guī)章和歐洲聯(lián)合航空規(guī)章FAR/JAR25.671是針對飛控系統(tǒng)的主要適航要求，其目標是保證飛控系統(tǒng)具有足夠的安全性等級，具有一般性的指導意義。

隨著航空科學技術的進步、航空工業(yè)和航空運輸業(yè)的發(fā)展以及人們對航空安全性認識的深化，適航標準自身也在不斷發(fā)展和更新。近年來，國際上對運輸類飛機的適航性研究和標準制定又有了新的進展。針對電傳飛行控制系統(tǒng)，美國聯(lián)邦航空咨詢委員會（ARAC）給出了25.671的審查指導建議，即ARAC25.671報告，用來協(xié)調美國聯(lián)邦航空局（FAA）和歐洲航空安全局（EASA）的要求和提供符合FAR/JAR 25.671的指導建議。規(guī)定中主要描述了什么是潛在的安全性問題，從需求的角度介紹了潛在安全性問題原理。該規(guī)定的要求確保了飛行控制系統(tǒng)基本的完整性和可用性，同時進一步保證了在服役中任何經驗表明會影響持續(xù)安全飛行和著陸的故障都應受到飛行機組的控制。此規(guī)則的制定由FAR和JAR協(xié)調努力促進，美國國家運輸安全委員會（NTSB）以故障調查的結果作為推薦性建議，同時規(guī)則的更新滿足了使其符合電傳飛行控制系統(tǒng)專用條件的需求。

下面針對ARAC25.671報告，對AR/JAR 25.671的變化、25.671（c）控制系統(tǒng)故障的評估和FAA與EASA審查的不同點進行了分析。

1 FAR/JAR 25.671的變化

ARAC建議標準擴展了存在卡阻例證的飛行包線，定義了“連續(xù)的安全飛行和著陸”的標準，并要求明確單個故障后的特殊剩余安全性等級。這些標準的增加提高了飛控系統(tǒng)的安全性等級。同時，對飛機制造商在新機試飛和取證方面存在一定的影響。

下面針對各項要求的變化和安全性等級的提高進行詳細的說明。

25.671（a）要求的更改來自近期需要在任意姿態(tài)下操縱的電傳飛控系統(tǒng)的證明材料。該更改通過提供目前FAR/JAR缺失要求的覆蓋增加了安全性等級。

25.671（b）的修訂是為了阻止只有一種保證正確裝配的方法。該更改將通過促使保證正確裝配的設計特征的大量使用來增加安全性。

25.671（c）（1）闡明哪種卡阻被排除在“任意單個故障”之外。作為符合性方法刪除“極不可能”。因為所有的單個故障必須現(xiàn)在考慮，所以該更改將增加安全性。25.671（c）（2）增加1/1000特殊的風險到數(shù)值分析。闡明哪種卡阻將被排除。FCHWG的建議刪除25.671（c）（2）中不明確的，應用不一致的單個和可能故障組合并用1/1000特殊風險證明替換它。提出的標準是比當前標準更加保守的和嚴格的。除了單個故障，當前標準要求包含任意可能故障，使用 10-5故障率作為決定因素。新標準要求除了任意單個故障，包含組合概率大于1/1000的任意故障組合。新標準因此描述了一個更加適度的剩余故障概率，但是應用于所有可能故障條件，包括隱蔽故障。新標準在清晰度方面也比現(xiàn)存的需求更有優(yōu)勢。25.671（c）（3）提供（c）（3）卡阻定義。將“極不可能”作為符合性方法刪除。增加1/1000特殊風險分析到額外的故障狀態(tài)。這些更改將通過要求考慮所有的卡阻，使卡阻后仍保證最小安全等級和通過澄清（c）（3）涵蓋下的卡組的類型而導致安全性增加。25.671（c）（4）突出解決失控的需求。要求解決單個故障而不考慮概率。該更改將通過突出解決能夠導致失效的所有單個故障的需要來增加安全性。

25.671（d）說明需要在整個飛行過程中的任意點考慮所有發(fā)動機失效的情況。該更改通過強調在整個飛行過程中必須提供足夠的能力以實現(xiàn)有效的拉平飛行來提高安全性等級。

25.671（e）根據近期電傳飛機的審定，增加了對權限限制控制方法的要求。該更改通過提供目前FAR/JAR缺失要求的覆蓋增加了安全性等級。

25.671（f） 根據近期電傳飛機的審定，增加模式通告的需求。該更改通過提供目前FAR/JAR缺失要求的覆蓋增加了安全性等級。

2 25.671（c）控制系統(tǒng)故障的評估

在咨詢材料中為25.671（c）提供的指導不是為了標識需求錯誤，設計錯誤，軟件錯誤或者執(zhí)行錯誤。而是通過研發(fā)程序或者系統(tǒng)結構對它們進行管理，并通過SAE ARP 4754、DO-178和AC/AMJ 25.1309進行處理。FAR/JAR 25.671（c）要求通過分析、試驗或者兩者兼用表明在一般飛行包線內發(fā)生飛行控制系統(tǒng)或舵面（包括配平，升力，阻力和感覺系統(tǒng)）故障時，飛機具有能夠繼續(xù)安全飛行和著陸的能力，并且不需要特殊的飛行員技巧或者體力。

2.1 25.671 （c）（1）

（c）（1）小段要求除了（c）（3）小段中提出的卡阻類型外的任意單一故障的評估。（c）（1）小段要求考慮任意單一故障，建議發(fā)生該故障時提供一個控制飛機的備選方法或者備選載荷路徑。必須考慮所有的單一故障，即使它們被證明是極不可能的。

2.2 25.671 （c）（2）

（c）（2）小段要求對除了（c）（3）小段中說明的卡阻類型外的未表明是極不可能的任意單個故障進行評估。對于這個應用，根據AC/AMJ 25.1309建立了極不可能的標準定義。另外，（c）（2）小段聲明飛行控制系統(tǒng)中任意單一故障發(fā)生后，可能妨礙繼續(xù)安全飛行和著陸的額外故障狀態(tài)的聯(lián)合概率應該小于1/1000。小于1/1000的概率不是故障率，而是為了在單個飛行控制系統(tǒng)故障發(fā)生后，提供滿足要求的最小剩余飛機能力中關于時間的可能性變量。

為了符合ARAC25.671c（2）的安全性評估要求，需要進行以下兩類不同的分析：

第一類分析要求：不能表明概率是極不可能的任意故障組合發(fā)生后飛機能夠繼續(xù)安全飛行和著陸。為滿足這個初始要求，應按照AC/AMJ25.1309規(guī)定的方法進行安全性分析。對這類未表明是極不可能的故障組合，在設計上要有故障監(jiān)控和指示，不應該用定期維修或由飛行機組檢查代替。在這里故障發(fā)生后需要采取糾正措施的，還要表明這種措施的有效性。對不滿足上述要求的地方，應在系統(tǒng)層面和部件層面上進行分析，并且分析應突出那些導致飛機某一災難性故障條件的所有重要潛在故障。

第二類分析應該表明，在飛控系統(tǒng)發(fā)生任意單一故障（不考慮其概率大?。┖?，與該單一故障組合時能夠阻止繼續(xù)安全飛行和著陸的任一附加故障狀態(tài)（后來的或之前存在的）的發(fā)生概率必須小于千分之一。如果發(fā)生單一故障，這個附加要求保證存在最低水平的安全性。例如，即使主系統(tǒng)有非常低的故障概率，還是要為主系統(tǒng)的備份系統(tǒng)建立最低可靠性要求。如一個1E-8的主系統(tǒng)建立一個1E-1的備份系統(tǒng)是不允許的。本要求的單一故障情況應包括25.671c3的卡阻故障。

2.3 25.671 （c）（3）

（c）（3）小段要求對由飛行控制舵面或者飛行員控制卡阻導致的任意故障或者事件進行評估。本小段的目的是提出由于物理干涉發(fā)生故障并導致操縱面或者飛行員操縱卡阻的故障模式。發(fā)生卡阻時候的位置應該在起飛、爬升、巡航、正常轉彎、降落和著陸階段的任意通常遇到的操縱位置。在一些結構中，系統(tǒng)內組件卡阻也許會導致除了固定操縱面或者飛行員操縱外的故障模式；那些卡阻類型在（c）（1），（c）（2），和（c）（4）小段中給與考慮。

過去，為通常遇到的控制位置下一個一致的和合理的定義是困難的。對至今為止的機隊運行經驗的回顧表明了控制舵面卡阻的整個故障率大約在每飛行小時10E-6到10E-7之間?？紤]這些運行數(shù)據，在規(guī)章中確定的每個飛行階段中，通常遇到的位置的一個合理的定義描述了不考慮其他故障，預期在1000個隨機操縱飛行中發(fā)生的控制舵面偏轉的范圍（從中立位置到最大偏度）。

建立可接受操縱舵面偏度的一種方法是在AC中論述的基于性能的標準。AC的建立是為了消除飛機類型之間的任何不同?；谛阅艿臉藴拭枋隽谁h(huán)境的和操縱的機動條件，同時引起的偏度可能被認為是為了符合FAR/JAR 25.671（c）（3）中通常遇到的位置。

緩和方法可以用來表明符合（c）（3）小段。為了這個目的，緩和方法包括系統(tǒng)重新配置、預防卡阻設計特征或者任意其他的消除或者減少卡阻結果的，或者允許繼續(xù)飛行和著陸特征。

（c）（3）小段也陳述了當發(fā)生由飛行操縱面或者飛行員控制的固定位置引起的卡阻時，可能妨礙繼續(xù)安全飛行和著陸的其它的故障狀態(tài)的組合概率應該小于1/1000。與（c）（2）小段相同，小于1/1000的概率不是故障率，而是為了在單個飛行控制系統(tǒng)故障發(fā)生后，提供滿足要求的最小剩余飛機能力中關于時間的可能性變量。

2.4 25.671 （c）（4）

（c）（4）小段要求任意使飛行操縱到不利位置的飛控系統(tǒng)的失效應該被說明是否這樣的失效是由于單一故障或者由于未表明是極不可能的故障組合所導致。利用重新配置控制系統(tǒng)、去除無效的系統(tǒng)（或者其中的一個失效部分）、在正常范圍內的飛控系統(tǒng)的運動來擺脫失效、排除失效的結果以保證繼續(xù)安全飛行和著陸，并通過這些方法來說明符合性。如果沒有適當?shù)姆椒p輕或阻止失效，那么這些系統(tǒng)的運行將很難被核準和認可。

3 FAA與EASA審查的主要不同點

通過對比FAR/JAR 25.671的要求和相關的材料，可以發(fā)現(xiàn)FAA與EASA在適航審查上的不同點。但這些要求基本上是一致的。

值得特殊說明的是，F(xiàn)AA允許某些被證明是極不可能的單個故障，而EASA是不允許。FAA允許使用AC25-7的操縱品質等級進行符合性演示，而EASA不允許。在FAR/JAR25.671（c）（2）中的 “極不可能”術語使用上。FAR和CS-25部都確定了 “未表明是概率極不可能故障的任意組合” 的例子，這些例子中的一個是任何單個故障與任一可能故障的組合。FAA已經確認這個例子就是審定要求，申請人應遵照執(zhí)行，而EASA認為它只是一個例子，而這個例子不是特定必需的。

但在實際中，由于要求的相似性，F(xiàn)AR和JAR的條款在符合性方法上幾乎沒有不同之處。只要符合其中一個標準的要求，對于另一個標準的審查，在成本和安全性方面的影響都很小。