民用飞机飞控系统重要适航要求研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇民用飞机飞控系统重要适航要求研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要 适航审定对于民用飞机的研制和商业成功至关重要，值得工程人员在研制和设计过程中给予足够的重视。飞行控制系统作为民用飞机的关键组成部分，面临诸多适航方面的关键技术。本文对民用飞机飞控系统的重要适航要求进行了研究。

关键词 飞控系统 适航要求 ARAC25.671

中图分类号：F273.2；V249.11 文献标识码：A

取得适航当局颁发的型号合格证是民用飞机研制和商业成功的基础。飞控系统作为民用飞机的关键组成部分，直接关系飞机的安全运行。因此，对控系统有着极为严格的适航要求。美国联邦航空规章和欧洲联合航空规章FAR/JAR25.671是针对飞控系统的主要适航要求，其目标是保证飞控系统具有足够的安全性等级，具有一般性的指导意义。

随着航空科学技术的进步、航空工业和航空运输业的发展以及人们对航空安全性认识的深化，适航标准自身也在不断发展和更新。近年来，国际上对运输类飞机的适航性研究和标准制定又有了新的进展。针对电传飞行控制系统，美国联邦航空咨询委员会（ARAC）给出了25.671的审查指导建议，即ARAC25.671报告，用来协调美国联邦航空局（FAA）和欧洲航空安全局（EASA）的要求和提供符合FAR/JAR 25.671的指导建议。规定中主要描述了什么是潜在的安全性问题，从需求的角度介绍了潜在安全性问题原理。该规定的要求确保了飞行控制系统基本的完整性和可用性，同时进一步保证了在服役中任何经验表明会影响持续安全飞行和着陆的故障都应受到飞行机组的控制。此规则的制定由FAR和JAR协调努力促进，美国国家运输安全委员会（NTSB）以故障调查的结果作为推荐性建议，同时规则的更新满足了使其符合电传飞行控制系统专用条件的需求。

下面针对ARAC25.671报告，对AR/JAR 25.671的变化、25.671（c）控制系统故障的评估和FAA与EASA审查的不同点进行了分析。

1 FAR/JAR 25.671的变化

ARAC建议标准扩展了存在卡阻例证的飞行包线，定义了“连续的安全飞行和着陆”的标准，并要求明确单个故障后的特殊剩余安全性等级。这些标准的增加提高了飞控系统的安全性等级。同时，对飞机制造商在新机试飞和取证方面存在一定的影响。

下面针对各项要求的变化和安全性等级的提高进行详细的说明。

25.671（a）要求的更改来自近期需要在任意姿态下操纵的电传飞控系统的证明材料。该更改通过提供目前FAR/JAR缺失要求的覆盖增加了安全性等级。

25.671（b）的修订是为了阻止只有一种保证正确装配的方法。该更改将通过促使保证正确装配的设计特征的大量使用来增加安全性。

25.671（c）（1）阐明哪种卡阻被排除在“任意单个故障”之外。作为符合性方法删除“极不可能”。因为所有的单个故障必须现在考虑，所以该更改将增加安全性。25.671（c）（2）增加1/1000特殊的风险到数值分析。阐明哪种卡阻将被排除。FCHWG的建议删除25.671（c）（2）中不明确的，应用不一致的单个和可能故障组合并用1/1000特殊风险证明替换它。提出的标准是比当前标准更加保守的和严格的。除了单个故障，当前标准要求包含任意可能故障，使用 10-5故障率作为决定因素。新标准要求除了任意单个故障，包含组合概率大于1/1000的任意故障组合。新标准因此描述了一个更加适度的剩余故障概率，但是应用于所有可能故障条件，包括隐蔽故障。新标准在清晰度方面也比现存的需求更有优势。25.671（c）（3）提供（c）（3）卡阻定义。将“极不可能”作为符合性方法删除。增加1/1000特殊风险分析到额外的故障状态。这些更改将通过要求考虑所有的卡阻，使卡阻后仍保证最小安全等级和通过澄清（c）（3）涵盖下的卡组的类型而导致安全性增加。25.671（c）（4）突出解决失控的需求。要求解决单个故障而不考虑概率。该更改将通过突出解决能够导致失效的所有单个故障的需要来增加安全性。

25.671（d）说明需要在整个飞行过程中的任意点考虑所有发动机失效的情况。该更改通过强调在整个飞行过程中必须提供足够的能力以实现有效的拉平飞行来提高安全性等级。

25.671（e）根据近期电传飞机的审定，增加了对权限限制控制方法的要求。该更改通过提供目前FAR/JAR缺失要求的覆盖增加了安全性等级。

25.671（f） 根据近期电传飞机的审定，增加模式通告的需求。该更改通过提供目前FAR/JAR缺失要求的覆盖增加了安全性等级。

2 25.671（c）控制系统故障的评估

在咨询材料中为25.671（c）提供的指导不是为了标识需求错误，设计错误，软件错误或者执行错误。而是通过研发程序或者系统结构对它们进行管理，并通过SAE ARP 4754、DO-178和AC/AMJ 25.1309进行处理。FAR/JAR 25.671（c）要求通过分析、试验或者两者兼用表明在一般飞行包线内发生飞行控制系统或舵面（包括配平，升力，阻力和感觉系统）故障时，飞机具有能够继续安全飞行和着陆的能力，并且不需要特殊的飞行员技巧或者体力。

2.1 25.671 （c）（1）

（c）（1）小段要求除了（c）（3）小段中提出的卡阻类型外的任意单一故障的评估。（c）（1）小段要求考虑任意单一故障，建议发生该故障时提供一个控制飞机的备选方法或者备选载荷路径。必须考虑所有的单一故障，即使它们被证明是极不可能的。

2.2 25.671 （c）（2）

（c）（2）小段要求对除了（c）（3）小段中说明的卡阻类型外的未表明是极不可能的任意单个故障进行评估。对于这个应用，根据AC/AMJ 25.1309建立了极不可能的标准定义。另外，（c）（2）小段声明飞行控制系统中任意单一故障发生后，可能妨碍继续安全飞行和着陆的额外故障状态的联合概率应该小于1/1000。小于1/1000的概率不是故障率，而是为了在单个飞行控制系统故障发生后，提供满足要求的最小剩余飞机能力中关于时间的可能性变量。

为了符合ARAC25.671c（2）的安全性评估要求，需要进行以下两类不同的分析：

第一类分析要求：不能表明概率是极不可能的任意故障组合发生后飞机能够继续安全飞行和着陆。为满足这个初始要求，应按照AC/AMJ25.1309规定的方法进行安全性分析。对这类未表明是极不可能的故障组合，在设计上要有故障监控和指示，不应该用定期维修或由飞行机组检查代替。在这里故障发生后需要采取纠正措施的，还要表明这种措施的有效性。对不满足上述要求的地方，应在系统层面和部件层面上进行分析，并且分析应突出那些导致飞机某一灾难性故障条件的所有重要潜在故障。

第二类分析应该表明，在飞控系统发生任意单一故障（不考虑其概率大小）后，与该单一故障组合时能够阻止继续安全飞行和着陆的任一附加故障状态（后来的或之前存在的）的发生概率必须小于千分之一。如果发生单一故障，这个附加要求保证存在最低水平的安全性。例如，即使主系统有非常低的故障概率，还是要为主系统的备份系统建立最低可靠性要求。如一个1E-8的主系统建立一个1E-1的备份系统是不允许的。本要求的单一故障情况应包括25.671c3的卡阻故障。

2.3 25.671 （c）（3）

（c）（3）小段要求对由飞行控制舵面或者飞行员控制卡阻导致的任意故障或者事件进行评估。本小段的目的是提出由于物理干涉发生故障并导致操纵面或者飞行员操纵卡阻的故障模式。发生卡阻时候的位置应该在起飞、爬升、巡航、正常转弯、降落和着陆阶段的任意通常遇到的操纵位置。在一些结构中，系统内组件卡阻也许会导致除了固定操纵面或者飞行员操纵外的故障模式；那些卡阻类型在（c）（1），（c）（2），和（c）（4）小段中给与考虑。

过去，为通常遇到的控制位置下一个一致的和合理的定义是困难的。对至今为止的机队运行经验的回顾表明了控制舵面卡阻的整个故障率大约在每飞行小时10E-6到10E-7之间。考虑这些运行数据，在规章中确定的每个飞行阶段中，通常遇到的位置的一个合理的定义描述了不考虑其他故障，预期在1000个随机操纵飞行中发生的控制舵面偏转的范围（从中立位置到最大偏度）。

建立可接受操纵舵面偏度的一种方法是在AC中论述的基于性能的标准。AC的建立是为了消除飞机类型之间的任何不同。基于性能的标准描述了环境的和操纵的机动条件，同时引起的偏度可能被认为是为了符合FAR/JAR 25.671（c）（3）中通常遇到的位置。

缓和方法可以用来表明符合（c）（3）小段。为了这个目的，缓和方法包括系统重新配置、预防卡阻设计特征或者任意其他的消除或者减少卡阻结果的，或者允许继续飞行和着陆特征。

（c）（3）小段也陈述了当发生由飞行操纵面或者飞行员控制的固定位置引起的卡阻时，可能妨碍继续安全飞行和着陆的其它的故障状态的组合概率应该小于1/1000。与（c）（2）小段相同，小于1/1000的概率不是故障率，而是为了在单个飞行控制系统故障发生后，提供满足要求的最小剩余飞机能力中关于时间的可能性变量。

2.4 25.671 （c）（4）

（c）（4）小段要求任意使飞行操纵到不利位置的飞控系统的失效应该被说明是否这样的失效是由于单一故障或者由于未表明是极不可能的故障组合所导致。利用重新配置控制系统、去除无效的系统（或者其中的一个失效部分）、在正常范围内的飞控系统的运动来摆脱失效、排除失效的结果以保证继续安全飞行和着陆，并通过这些方法来说明符合性。如果没有适当的方法减轻或阻止失效，那么这些系统的运行将很难被核准和认可。

3 FAA与EASA审查的主要不同点

通过对比FAR/JAR 25.671的要求和相关的材料，可以发现FAA与EASA在适航审查上的不同点。但这些要求基本上是一致的。

值得特殊说明的是，FAA允许某些被证明是极不可能的单个故障，而EASA是不允许。FAA允许使用AC25-7的操纵品质等级进行符合性演示，而EASA不允许。在FAR/JAR25.671（c）（2）中的 “极不可能”术语使用上。FAR和CS-25部都确定了 “未表明是概率极不可能故障的任意组合” 的例子，这些例子中的一个是任何单个故障与任一可能故障的组合。FAA已经确认这个例子就是审定要求，申请人应遵照执行，而EASA认为它只是一个例子，而这个例子不是特定必需的。

但在实际中，由于要求的相似性，FAR和JAR的条款在符合性方法上几乎没有不同之处。只要符合其中一个标准的要求，对于另一个标准的审查，在成本和安全性方面的影响都很小。