徐偉程，羅秋鳳，張銳，楊忠清

南京航空航天大學(xué) 無人機(jī)研究院，江蘇 南京 210000

介紹了針對無人機(jī)系統(tǒng)適航性的文件AMC RPAS 1309的背景、意義及適用范圍，然后對該文件提出的可接受符合性方法進(jìn)行了詳細(xì)說明。依次闡述復(fù)雜性等級劃分、故障狀態(tài)分類、研制保證過程三部分內(nèi)容，重點(diǎn)闡述了研制保證等級分配的方法。最后，對系統(tǒng)可用性與完整性進(jìn)行了詳細(xì)解讀。

近年來，我國民用無人機(jī)產(chǎn)業(yè)快速發(fā)展，在物流貨運(yùn)、農(nóng)林植保、航拍攝影、能源管線巡檢、警用執(zhí)法、救援搶險、遙感探測、基礎(chǔ)設(shè)施與環(huán)境監(jiān)測、個人娛樂消費(fèi)等民用領(lǐng)域廣泛應(yīng)用。據(jù)民用無人機(jī)實(shí)名登記信息系統(tǒng)統(tǒng)計(jì)，截至2019年1月24日，已登記約29.5萬架無人機(jī)，其中，最大起飛重量25～150kg的無人機(jī)為2.5萬架，150公斤以上的為571架，650kg以上的為49架。無人機(jī)擁有者約26.8萬個，各類無人機(jī)型號3720個，制造廠家和代理商注冊數(shù)1239家。2018年度參加民航局試運(yùn)行的8個無人機(jī)云系統(tǒng)，飛行小時合計(jì)約98.9萬小時。然而，隨著無人機(jī)數(shù)量的快速增長，無人機(jī)干擾民航運(yùn)輸?shù)氖录r有發(fā)生，無人機(jī)安全管理問題凸顯。2019年初始，我國民航局密集地發(fā)布了3份文件，1月4日，發(fā)布了《輕小型無人機(jī)運(yùn)行規(guī)定》修訂稿的征求意見通知；23日適航司印發(fā)了《基于運(yùn)行風(fēng)險的無人機(jī)適航審定指導(dǎo)意見》（民航適發(fā)[2019]3號）；2月1日飛標(biāo)司、適航司、空管辦又聯(lián)合下發(fā)了咨詢通告《特定類無人機(jī)試運(yùn)行管理規(guī)程 （暫行）》（編號：AC-92-2019-01），專門針對安全風(fēng)險較高的無人機(jī)運(yùn)行使用特定運(yùn)行風(fēng)險評估（SORA)方法。我國民用無人機(jī)通用航空政策對基于風(fēng)險分類的適航管理模式達(dá)成共識，并對其相關(guān)的可接受的符合性方法類的管理規(guī)章建立具有強(qiáng)烈需求。

無人機(jī)系統(tǒng)規(guī)章制定聯(lián)合局（JARUS）的WG-6工作組于2014年1月發(fā)布AMC RPAS 1309第一版，并于2015年11月發(fā)布該文件的第二版。JARUS基于無人機(jī)系統(tǒng)特點(diǎn)，對現(xiàn)有的CS/FAR xx.1309等條款進(jìn)行了適當(dāng)修改剪裁，逐步建立了無人機(jī)系統(tǒng)適航認(rèn)證的可接受符合性方法。該文件既可作為無人機(jī)系統(tǒng)適航認(rèn)證的一種方法，又可作為無人機(jī)系統(tǒng)型式認(rèn)證的一種思路。因此，研究學(xué)習(xí)該文件可為我國無人機(jī)系統(tǒng)的適航管理提供借鑒和參考。

AMC RPAS 1309共分為緒論、術(shù)語解釋、參考文獻(xiàn)、適用性、復(fù)雜性等級、飛機(jī)安全飛行和著陸的系統(tǒng)可用性和完整性、失效狀況分類及概率目標(biāo)、飛機(jī)安全分離的系統(tǒng)可用性與完整性、系統(tǒng)安全性評估過程十個章節(jié)。前四個章節(jié)簡要介紹了該文件制定的背景及意義，對文件中涉及的專業(yè)術(shù)語進(jìn)行了明確定義，對文件的適用范圍做了明確說明。第五章提出一種新的基于系統(tǒng)復(fù)雜性等級的無人機(jī)劃分方法，并詳細(xì)解釋了劃分的依據(jù)。第六到八章對無人機(jī)系統(tǒng)故障狀態(tài)進(jìn)行分類，提出使用載人機(jī)事故歷史統(tǒng)計(jì)數(shù)據(jù)來近似估計(jì)無人機(jī)系統(tǒng)事故概率的思路、方法及依據(jù)，并據(jù)此進(jìn)行研制保證等級分配；最后對“檢測與避障”功能故障進(jìn)行了概述與研制保證等級分配。第十章概述了ARP4754A/ED-79A中提出的研制保證過程。

背景介紹

傳統(tǒng)的有人駕駛飛機(jī)系統(tǒng)安全評估標(biāo)準(zhǔn)被稱為“1309”標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)作為載人機(jī)型式認(rèn)證的一般適航要求，旨在確保飛機(jī)出現(xiàn)單一故障或多重故障時，可繼續(xù)保持安全飛行和著陸。該標(biāo)準(zhǔn)關(guān)注的側(cè)重點(diǎn)是保護(hù)機(jī)上人員安全及為地面人員和財(cái)產(chǎn)提供第三方保護(hù)。第三方保護(hù)由保證飛機(jī)持續(xù)安全飛行和著陸提供。由于無人機(jī)沒有機(jī)上人員，必須對無人機(jī)的安全評估標(biāo)準(zhǔn)和側(cè)重點(diǎn)進(jìn)行調(diào)整。

JARUS的WG-6工作組在充分考慮到無人機(jī)系統(tǒng)特點(diǎn)的情況下，對載人機(jī)的“1309”標(biāo)準(zhǔn)進(jìn)行剪裁修改，最終制定出針對無人機(jī)系統(tǒng)安全評估的可接受符合性方法AMC RPAS 1309。該文件概述了一種民用無人機(jī)系統(tǒng)與適航規(guī)章要求1309安全性評估一致的可接受的符合性方法，幫助申請人獲得型式認(rèn)證許可；并指出所有類型的無人機(jī)系統(tǒng)的安全性評估都可以在相同的一般系統(tǒng)安全評估原則下得到解決。

適用范圍

在制定AMC RPAS 1309的同時，JARUS也在計(jì)劃制定一種基于風(fēng)險的無人機(jī)系統(tǒng)監(jiān)管方法?；谠摫O(jiān)管方法，JARUS將無人機(jī)系統(tǒng)分為三大類：

(1)開放類：操作風(fēng)險非常低的無人機(jī)系統(tǒng)。無適航性規(guī)定，1309不適用；

(2)特許類：操作風(fēng)險可能對人員或財(cái)產(chǎn)造成一定影響的無人機(jī)系統(tǒng)。主要通過操作限制來減輕風(fēng)險。根據(jù)操作類型和風(fēng)險性質(zhì)，可以使用1309進(jìn)行型式認(rèn)證；

(3)管制類：遵循傳統(tǒng)的飛機(jī)管制方法，包括強(qiáng)制遵守1309的型式認(rèn)證。

因此，AMC RPAS 1309主要適用于管制類無人機(jī)系統(tǒng)的型式認(rèn)證工作。同時，AMC RPAS 1309的適用性是無限制的，除了作為管制類無人機(jī)系統(tǒng)的符合性手段，也可對其它類別的無人機(jī)系統(tǒng)運(yùn)用該方法（不論大小或重量）。

復(fù)雜性等級分類

根據(jù)載人航空器現(xiàn)有的初始適航要求，目前主要使用諸如重量、乘客數(shù)量、發(fā)動機(jī)類型/數(shù)量和性能等參數(shù)來區(qū)分飛機(jī)等級。然而，隨著無人機(jī)系統(tǒng)復(fù)雜度與集成度的提高，傳統(tǒng)載人機(jī)的等級分類方法已不再適用。為了更好地適應(yīng)無人機(jī)的新特點(diǎn)，同時考慮到便于后續(xù)研制保證等級(DAL)的分配，RPAS AMC 1309提出了一種基于系統(tǒng)復(fù)雜性等級(CL)的分類方案。根據(jù)該方案將無人機(jī)系統(tǒng)分為以下三類：

(1)復(fù)雜性等級 I(CL I)：無人機(jī)系統(tǒng)在飛行管理和自動執(zhí)行任務(wù)功能上具有一定的自主權(quán)限。始終提供獨(dú)立的手動控制功能。軟件和機(jī)載電子硬件(AEH)的復(fù)雜度較低；

(2)復(fù)雜性等級II(CL II)：不能歸類為CL I的其他無人機(jī)系統(tǒng)。無人機(jī)系統(tǒng)在飛行管理和自動執(zhí)行任務(wù)功能上具有較高的自主權(quán)限。遇到緊急情況時，允許遠(yuǎn)程機(jī)組手動控制。軟件和機(jī)載電子硬件(AEH)的復(fù)雜度較高；

(3)復(fù)雜性等級III(CL III)：具有完全自主權(quán)限的無人機(jī)系統(tǒng)。這一類無人機(jī)系統(tǒng)不在本文件的考慮范圍之內(nèi)。

此外，CS-25部，CS-29部，CS-23部中的第IV類無人機(jī)不受該分類的影響。

故障狀態(tài)分類

AMC RPAS 1309采用載人航空領(lǐng)域的通用標(biāo)準(zhǔn)，將無人機(jī)系統(tǒng)故障狀態(tài)劃分為五類：

（1）無影響的

對無人機(jī)系統(tǒng)的安全沒有影響；

（2）輕微的

無人機(jī)系統(tǒng)的安全裕度或操縱特性輕微降低，遠(yuǎn)程機(jī)組工作負(fù)荷輕微增加；

（3）嚴(yán)重的

無人機(jī)系統(tǒng)的安全裕度、操縱特性或分離保障有大幅度降低。遠(yuǎn)程機(jī)組的工作量大幅度增加，或遠(yuǎn)程機(jī)組的工作效率降低；

（4）危險的

無人機(jī)系統(tǒng)的安全裕度、操縱特性或分離保障顯著降低，其程度如下：無人機(jī)功能顯著喪失；安全裕度或操縱特性的顯著降低；工作負(fù)荷過高以至于不能依靠遠(yuǎn)程機(jī)組準(zhǔn)確地完成任務(wù)。

（5）災(zāi)難的

無人機(jī)墜毀。

研制保證過程

研制保證過程包括確定需求和驗(yàn)證需求是否滿足，以及必要的配置管理和過程保證活動。RPAS AMC 1309采用了DO-178C/ED-12C、DO-254/ED-80和ARP4754A/ED-79A中提出的研制保證過程。由于研制保證等級的分配取決于故障狀態(tài)的分類，因此安全分析過程應(yīng)與研制保證過程一起進(jìn)行，以識別故障狀態(tài)類別，從而確定相應(yīng)的研制保證等級。在研制保證過程中，通過應(yīng)用保證過程（DAL）進(jìn)行測試和檢查來確保功能檢查覆蓋率/測試覆蓋率分配到全部失效狀態(tài)類別，從而保證故障狀態(tài)類別與安全目標(biāo)水平相匹配。綜合上述文件的DAL分配方案，可得表1。

總之，研制保證是一種基于過程的方法，該方法通過足夠嚴(yán)格的標(biāo)準(zhǔn)，將可能影響飛機(jī)安全的故障的概率值限制在可接受的安全性水平之內(nèi)，從而保證系統(tǒng)的安全性，其采用的嚴(yán)格性度量由DAL等級決定。

系統(tǒng)可用性與完整性

無人機(jī)系統(tǒng)的可用性與完整性要求與載人機(jī)有所不同。由于無人機(jī)系統(tǒng)可以分別處理不同的頂級風(fēng)險，因此，無人機(jī)系統(tǒng)的可用性與完整性分為兩部分：維持安全飛行和著陸的系統(tǒng)可用性與完整性、維持飛機(jī)安全分離所需的系統(tǒng)可用性和完整性。前者的側(cè)重點(diǎn)是強(qiáng)制著陸或墜毀的系統(tǒng)故障，主要針對地面風(fēng)險；后者的側(cè)重點(diǎn)是“檢測和避障”系統(tǒng)的可用性與完整性要求，主要針對空中碰撞風(fēng)險。

表1 復(fù)雜性等級，概率，故障嚴(yán)重程度和軟件之間的關(guān)系以及維持安全飛行和降落到等效有人駕駛飛機(jī)所需的復(fù)雜硬件DAL（不包括失去安全分離）

維持安全飛行和著陸的系統(tǒng)可用性與完整性(地面風(fēng)險)

根據(jù)經(jīng)驗(yàn)公式，風(fēng)險=f(事故率、人口密度、沖擊動力學(xué)、沖擊面積)。其中，人口密度和沖擊面積不能作為影響適航性的因素，因?yàn)闊o人機(jī)融入載人機(jī)空域的理念是無人機(jī)系統(tǒng)在空域中的操作是不受限制的。其次，沖擊動力學(xué)與飛機(jī)型式認(rèn)證相關(guān)，故也不能歸為影響因素。因此，無人機(jī)系統(tǒng)的適航風(fēng)險僅是事故率（每一類飛機(jī)的事故率）的函數(shù)，即風(fēng)險 = g(事故率/種類)。

AC-23.1309-1E指出：在評估設(shè)計(jì)的可接受性時，需要建立合理的定量概率值。歷史證據(jù)表明，在能見度受限的情況下，飛機(jī)發(fā)生致命事故的概率值大約為每萬飛行小時1次，即事故率為1x 10-4/h。此外，根據(jù)事故數(shù)據(jù)庫的統(tǒng)計(jì)數(shù)據(jù)，飛機(jī)系統(tǒng)自身故障導(dǎo)致的事故大約占事故總數(shù)的10%?？梢院侠淼仡A(yù)期，對于新設(shè)計(jì)的飛機(jī)，發(fā)生致命事故的概率值不大于1×10-5/h。根據(jù)過去的飛機(jī)服役歷史可以假定一架飛機(jī)大約有10種潛在的災(zāi)難性失效狀態(tài)。因此，將每飛行小時1x10-5/h的概率值平均分配給上述災(zāi)難性失效狀態(tài)，每種失效狀態(tài)分配的概率值不大于1x 10-6/h。對于潛在災(zāi)難性失效狀態(tài)，每飛行小時平均概率值的上限是1×10-6/h，這為定性概率“極不可能”建立了近似定量概率值。類似地，可為定性概率建立一一對應(yīng)的定量近似概率值(近似事故率)。

AMC 25.1309和AC 23.1309-1E對多種機(jī)型建立了相應(yīng)的近似事故率，對于無近似事故率的機(jī)型，使用最新的實(shí)際事故率統(tǒng)計(jì)數(shù)據(jù)。表2中列出的數(shù)據(jù)說明了實(shí)際事故率和近似事故率之間的關(guān)系，本表中使用了來自UK-CAA CAP 780統(tǒng)計(jì)的實(shí)際事故率數(shù)據(jù)。

對表2進(jìn)行對比分析，可以發(fā)現(xiàn)：CS-25(1x10-6/h)中大型運(yùn)輸飛機(jī)的近似事故率與真實(shí)事故率(4.8x10-6/h)具有相同的數(shù)量級，該近似值還提供了保守的安全裕度；對于CS-23 I類飛機(jī)，近似事故率(1x10-4/h)接近非公共交通類常規(guī)飛機(jī)的真實(shí)事故率(1.79x10-4/h)。由此可見，使用歷史統(tǒng)計(jì)數(shù)據(jù)建立的近似事故率來表征飛機(jī)的事故發(fā)生情況是可行的。

結(jié)合前述的復(fù)雜性等級劃分，可將這種方法運(yùn)用到無人機(jī)上。需要注意的是：對于無人機(jī)系統(tǒng)，由于CL I無人機(jī)系統(tǒng)復(fù)雜度不高，可以按照等效載人機(jī)對待。而CL II無人機(jī)系統(tǒng)的復(fù)雜度遠(yuǎn)遠(yuǎn)超過CL I無人機(jī)系統(tǒng)，可以合理假設(shè)CL II無人機(jī)系統(tǒng)具有100種潛在失效狀態(tài)，近似事故率為1x10-2/h。表3演示了這種方法如何使用。

對表3進(jìn)行對比分析，可以發(fā)現(xiàn)：

(1)為了保證與載人飛機(jī)的安全等效，不允許無人機(jī)系統(tǒng)的事故率高于等效載人飛機(jī)的事故率，因此，與載人機(jī)CS-23 I類等效的無人機(jī)系統(tǒng)的事故率不超過1×10-4/h；

(2)對于不存在等效載人飛機(jī)的無人機(jī)系統(tǒng)，應(yīng)以1x10-4/h作為最小目標(biāo)事故率；

(3)灰色部分顯示了無人機(jī)系統(tǒng)與載人機(jī)在潛在災(zāi)難性失效模式數(shù)量上的差異。

表2 載人機(jī)事故率

表3 結(jié)合復(fù)雜性等級劃分的無人機(jī)事故率

維持飛機(jī)安全分離所需的系統(tǒng)可用性和完整性（空中碰撞風(fēng)險）

在被允許進(jìn)入非隔離空域之前，安全分離和避免空中碰撞的能力是無人機(jī)系統(tǒng)的必備功能。通常認(rèn)為空中碰撞對所有類型的飛機(jī)都具有災(zāi)難性后果，無論其大小或重量如何。即使是體積小，重量輕的無人機(jī)撞擊也可能導(dǎo)致?lián)p壞，從而影響兩架飛機(jī)的安全。然而，檢測和避障(DAA)技術(shù)目前仍是世界各國的共同難題。為了允許無人機(jī)系統(tǒng)在非隔離空域飛行，一些管理當(dāng)局已經(jīng)允許接受其他方法，如使用追逐機(jī)、觀察員、強(qiáng)制空中交通管制監(jiān)視等，以達(dá)到檢測和避障的目標(biāo)。

RPAS AMC 1309采用EUROCAE ED-79A/SAE ARP 4754A中包含的方法進(jìn)行功能性DAL（FDAL）分配，并對外部事件進(jìn)行了評估。在這種方法下，DAA功能可以被視為對無人機(jī)系統(tǒng)外部事件的保護(hù)功能，圖1描述了作為外部事件保護(hù)函數(shù)FDAL的分配情況。外部事件是指兩架處于沖突軌道上的飛機(jī)，無人機(jī)未能與另一架飛機(jī)分離。除了考慮錯誤操作或保護(hù)功能激活相關(guān)的故障外，對此類事件的安全分析還應(yīng)至少考慮以下兩種故障情況：

(1)DAA功能故障與外部事件相結(jié)合；

(2)僅DAA功能故障。

上面定義的第一種故障情況被劃分為災(zāi)難性的。盡管DAA功能故障本身沒有直接的安全效果，但該功能故障將導(dǎo)致安全裕度的降低，如果不能及時采取補(bǔ)救措施，外部事件可能會導(dǎo)致災(zāi)難性的空中碰撞。因此，從圖1中可以看出，將FDAL A級分配給DAA系統(tǒng)是合適的。

圖1 作為外部事件概率函數(shù)的保護(hù)函數(shù)FDAL 分配

圖2 可能導(dǎo)致兩架飛機(jī)在沖突軌道上發(fā)生空中碰撞的故障示例

對于第二種故障情況，僅DAA功能故障會導(dǎo)致安全裕度顯著減少，根據(jù)ED-79A/ARP 4754A的指導(dǎo)方針，將該故障情況歸類到危險的是恰當(dāng)?shù)摹Ｓ忠驗(yàn)楦黝惪沼虻牟僮鞫挤闲褪秸J(rèn)可，因此不能排除無人機(jī)系統(tǒng)與大型運(yùn)輸機(jī)發(fā)生空中碰撞的可能性。因此，危險的故障情形需要滿足與大型運(yùn)輸機(jī)相當(dāng)?shù)亩扛怕室?CS-25/29)。因此，1×10-7/h的概率值被認(rèn)為適用于僅DAA功能故障情形。

此外，DAA功能的故障可能直接導(dǎo)致空中碰撞，即無人機(jī)被錯誤引導(dǎo)至另一架飛機(jī)的路徑上而不是遠(yuǎn)離另一架飛機(jī)的路徑，其概率應(yīng)保證不超過1x10-9/h，分配DAL A級。圖2中的示例演示了一種可能導(dǎo)致兩架飛機(jī)在沖突軌道上發(fā)生空中碰撞的情況。

對我國民用無人機(jī)系統(tǒng)適航的啟示

總體來說，RPAS AMC 1309對目前民用無人機(jī)系統(tǒng)適航安全的主要思路進(jìn)行了高度概括和提煉。該文件充分體現(xiàn)了民用無人機(jī)系統(tǒng)適航安全的三大理念：(1)民用無人機(jī)系統(tǒng)必須保證較高的安全性水平(2)無人機(jī)系統(tǒng)不能造成比同等類型載人飛機(jī)更大的風(fēng)險(3)無人機(jī)系統(tǒng)的適航技術(shù)應(yīng)基于載人機(jī)適航技術(shù)?；诖巳齻€理念，本文件最終得出結(jié)論“所有類型的無人機(jī)系統(tǒng)的安全性評估都可以在相同的一般系統(tǒng)安全評估原則下得到解決”，并在此結(jié)論的指導(dǎo)下，提出了一種可接受符合性方法。

因此，我國在制定民用無人機(jī)適航標(biāo)準(zhǔn)時，沒有必要單獨(dú)建立一套新的標(biāo)準(zhǔn)，可以效仿JARUS的經(jīng)驗(yàn)，在載人航空器適航標(biāo)準(zhǔn)的基礎(chǔ)上建立一般性安全評估原則，并據(jù)此衍伸出相應(yīng)的無人機(jī)系統(tǒng)適航標(biāo)準(zhǔn)或方法。這樣，既減輕了建立新標(biāo)準(zhǔn)的難度，又便于早日實(shí)現(xiàn)無人機(jī)系統(tǒng)融入載人機(jī)空域的目標(biāo)。

結(jié)束語

RPAS AMC 1309為無人機(jī)系統(tǒng)適航驗(yàn)證提供了全新的思路和方法。基于“等效安全”的理念，運(yùn)用統(tǒng)計(jì)學(xué)方法對載人機(jī)歷史事故數(shù)據(jù)進(jìn)行整合建立定量概率值，并據(jù)此對無人機(jī)系統(tǒng)進(jìn)行“等效安全評估”，最后根據(jù)評估結(jié)果進(jìn)行DAL分配。整個流程層層遞進(jìn)、邏輯清晰，具有很強(qiáng)的實(shí)踐指導(dǎo)意義。■