民机自动驾驶仪系统的设计支撑标准研究
2010-06-05李哲
李 哲
(飞行自动控制研究所,陕西 西安 710065)
民用飞机机载产品的适航取证是其进入民机市场的基本条件。而适航取证中应遵循标准,尤其是对设计有支撑作用的标准,是保证产品符合适航要求的有力手段。
本文以民用飞机的自动驾驶仪系统为例,以适航审定要求为牵引,以中国民用航空规章第25部CCAR 25《运输类飞机适航标准》为出发点,整理了相关的主要标准,分析了标准间的相互关系,并针对典型设计论述了各项标准在系统设计中所起的主要作用。
1 民机自动驾驶仪系统简介
自动驾驶仪系统是自动飞行控制系统中一个不可缺少的子系统,通过驾驶员的选择,提供飞机姿态、航向和高度等的自动控制。
典型的自动驾驶仪系统组成主要包括计算单元和模式控制单元。先进的计算单元均为数字式设备,主要用来实现控制模式调度逻辑和各模式下控制律的计算;模式控制单元是驾驶员与系统之间的接口单元,为驾驶员提供模式选择和参数调整的手段。此外,对于小型飞机(非电传飞行控制系统配置)通常还包括自动驾驶仪的作动器,用来驱动对应的操纵面。
为实现功能,系统的主要交联设备有机载的显示单元,如PFD(主飞行显示器)和/或EFIS(电子飞行仪表系统),用于显示系统的工作模式、设备健康状态等信息;与自动驾驶仪控制相关的机上开关(如驾驶盘/杆上的自动驾驶仪断开开关、油门杆上的复飞开关等),以及提供所需飞机运动信息的部分机载传感器(如大气数据系统和姿态航向系统)。
对于民用飞机,自动驾驶仪系统的典型模式设置包括:俯仰姿态保持、倾斜姿态保持、航向给定与保持、高度给定与保持,辅以自动推力控制,还可以有速度/马赫数给定与保持、垂直速度保持等。
2 主要设计支撑标准
2.1 设计支撑标准涵义
通常,一个完整的标准体系由管理标准、技术标准和客户服务标准3部分组成,其中技术标准又包括产品标准、基础标准、专业工程标准、工艺/工装标准、计量/理化标准,以及材料和制造标准等[1]。
上述标准中对产品方案设计起主要影响作用的是产品标准(包括产品设计规范、软件规范和试验规范等)、部分基础标准(如术语符号标记)和专业工程标准(关于安全性、可靠性、维修性、环境适应性、人机因素等),本文将这几类标准定义为设计支撑标准。
2.2 民机自动驾驶仪系统的设计支撑标准
2.2.1 CCAR 25
对于民机产品,适航规章是适航审定的基础。大型民用运输机适用的适航规章是FAR 25部/CCAR 25部,与自动驾驶仪系统相关的适用条款主要有以下几项:
● §25.777驾驶舱操纵器件,对操纵器件的布局、位置、操纵感觉等提出了要求;
● §25.779驾驶舱操纵器件的动作和效果,指出不同操纵器件的运动形式及所产生的控制效果;
● §25.901(动力装置)安装,与机载设备的维护性有关;
● §25.1301(设备)功能和安装,对标牌、安装限制的原则性描述;
● §25.1309设备、系统及安装,提出了安全性要求;
● §25.1322警告灯、戒备灯和提示灯,规定了各种不同作用的灯的颜色;
● §25.1329自动驾驶仪系统,对自动驾驶仪系统的作用、权限、切断以及其它与安全性相关的部分提出了要求。
2.2.2 其它标准
因为适航规章仅是原则性的规定,具体如何实现上述CCAR 25部条款描述的要求,需参考一些辅助性标准,如相关条款的AC(咨询通告),有对应TSO(技术标准规定)的产品还须参考相应TSO/CTSO,以及国际上各标准化组织所制定的行业标准,如SAE(美国汽车工程师学会)的AS(航空[航天]标准)、ARP(航空[航天]实践推荐草案),RTCA(航空无线电技术委员会)以及ARINC(美国航空无线电公司)的相关标准。
与民机自动驾驶仪系统相关的主要标准见表1。
2.3 标准间的相互关系
以CCAR 25部相关条款为基础,上述标准与各条款的对应说明关系如表2。
CCAR 25部中的有些条款较明确,比较容易理解并找到对应的符合性方法,而有些条款则不然。对于这样的条款,为指导适航取证申请人提出可被局方接受的符合性证明方法,会发布相关的咨询通告,如AC25.1309–1B等。
若在CCAR 25部中指明某设备“必须经过批准”,则表示此设备有对应的TSO/CTSO,即此种设备的最低性能要求。在装机批准之前,可完成设备的TSOA/CTSOA取证工作。
而在AC或TSO/CTSO中,通常也会引用到某些国际标准化组织所制定的行业标准。如对应TSO C9c,就引用了SAE AS 402B,SAE AS 402B又引用了RTCA DO–178B和RTCA DO–160。AC25.1329–1X中对应自动驾驶仪还引用了SAE ARP 5366和RTCA DO–254等。
这种层层指引、层层补充的标准网络构成了保证产品符合适航要求的设计“规矩”。
3 标准作用分析
以一个典型的民机自动驾驶仪系统的设计为例,在系统方案设计中需考虑的主要设计方面如图1。
在图1所示的每个方面,都能找到相应的设计支撑标准。
3.1 功能、性能的设计
自动驾驶仪系统功能、性能设计主要包括以下几项内容:系统接通/断开逻辑、控制模式设置及切换逻辑设计、控制权限,以及控制性能。约束这部分方案设计的标准主要有SAE AS402B、AC25.1329–1X、SAE ARP5366和ARINC417。
表1 民机自动驾驶仪系统相关的主要标准
表2 标准对应关系表
图1 自动驾驶仪系统设计考虑
3.1.1 系统接通/断开逻辑
SAE AS402B的4.2.1和4.2.2原则性地提出了自动驾驶仪断开及其操纵力快速释放的要求,而在SAE ARP5366的3.2.1和3.2.2以及AC25.1329–1X第10章的A中,分别详细描述了系统接通和系统断开的逻辑需求。
3.1.2 控制模式设置
参考AC25.1329–1X第13章、 SAE ARP 5366的3.2.4.1和3.2.4.2以及 ARINC 417中第4章的描述,自动驾驶仪系统常用控制模式见表3。
根据不同的用户需求,可对上述控制模式进行裁剪、补充、分解或组合。
AC25.1329–1X第11章规定了模式选择和模式改变的操作原则,为模式切换逻辑的设计提供指导。
3.1.3 控制权限
自动驾驶仪非全权限控制系统,在SAE AS 402B的4.4中给出了自动驾驶仪修正控制和指令控制的姿态角和偏航角的最大范围。
3.1.4 控制性能
ARINC417的第12章规定了自动驾驶仪各控制模式的性能,包括过渡过程响应、稳态剩余振荡、控制精度、接通/断开瞬态、操纵限制等。
3.2 硬件的设计
先进民机自动驾驶仪系统中的硬件主要包括计算单元(或为LRU,或为模块(LRM))和控制装置。这些硬件产品在设计中需参照RTCA DO-160(具体版本需根据项目申请时间确定)中的环境要求考虑必要的电磁防护设计和/或恰当的材料、元器件及紧固件选择等,至少应能满足SAE AS402B中的环境条件。若硬件产品含有复杂电子硬件如CPLD(复杂可编程逻辑器件)、ASIC(特定用途集成电路)、FPGA(现场可编程门阵列)等,根据AC 20–152的指导,还需遵循RTCA DO–254开展全寿命周期的过程受控的研制活动。控制装置因位于驾驶舱且涉及人机交互作用,还需参考SAE ARP4102和SAE ARP4105B等标准。
硬件产品中以控制装置,尤其是控制面板部分的设计对标准的体现最为直接。下面以某型BOEING飞机上的MCP(模式控制面板)为例来说明标准在面板方案设计中的作用,见图2。
3.2.1 F/D开关
根据SAE ARP 5366中3.2.1.1的要求,“任一驾驶员应能通过单个动作单独选择独立的IFGS(综合飞行导引系统)的飞行指引仪功能。”,因此,控制面板上设有两个F/D双位开关,可供两个驾驶员分别接通和/或断开各自对应的飞行指引仪。开关向上推时为“ON”,表示飞行指引仪接通,与SAE ARP 4102中5.3.3对拨动开关的操作定义一致。
表3 自动驾驶仪系统常用控制模式
3.2.2 参数选择旋钮
通常用旋转式控制器进行参数选择。按照SAE ARP 4102中5.3.1.1的要求,当旋转式控制器顺时针旋转时,参数应增加,而当其逆时针旋转时参数减小。
图2 控制面板的设计支撑标准示意
3.2.3 模式控制旋钮
作为模式控制使用的旋钮,按照SAE ARP 4102中5.1.1.4和5.3.1.3的要求,在每个标记的控制位置都应具有明显的槽位以使驾驶员能清晰地分辨出所选择的控制模式和参数。
3.2.4 面板布局
SAE ARP 4102的3.1.5要求控制面板应设计成一种有序的、功能分割的形式以避免误操作。因此,在面板上,各功能模式相关的控制器和显示单元分别集中布局,如与垂直速度相关的模式按钮、基准显示模块和基准调节拨轮集中在一起,且拨轮与模式按钮之间还利用连线标识强调了对应关系。
3.2.5 面板上的标识
SAE ARP 4102中2.3要求使用的缩写词应符合SAE ARP 4105,图2中各功能按钮的标识均可在ARP 4105B中找到依据。
3.2.6 A/P开关
SAE ARP 5366中3.2.1.2要求“每个驾驶员应能通过单个动作接通IFGS的自动驾驶仪功能,且多个自动驾驶仪可分别单独接通。”,因此,对左(L)、中(C)、右(R)3个自动驾驶仪分别设置了3个瞬时接通型按钮。
3.3 软件的设计
根据系统方案设计分配给软件的功能,利用ARP 4754的程序指导以及ARP 4761方法说明,在系统安全性评估的基础上,需先对软件架构进行设计,并最终确定各模块软件的设计保证等级。
在RTCA DO–178B相应设计保证等级对应的各阶段过程目标指导下,开展相应的过程活动,形成必要的过程证据,来保证软件的安全性。
如何能够通过软件的适航审查,可参考中国民用航空总局于2000年发布的AC–21–02,即机载系统和设备合格审定中的软件审查方法,其中对RTCA DO–178B的部分要求进行了较细致的说明。
AC 20–148是特殊类型软件(即可重用软件组件)的设计指南,考虑后续项目中通用化软件的重用,在首次设计时应参考其中第5章的相关指导。
3.4 非功能性要求考虑
在考虑功能相关设计因素之外,还须考虑对系统方案有重大影响(如余度配置、基本可靠性要求、测试线路与逻辑设计、维修接口预置等)的非功能性要求。
SAE AS 402B中4.5和4.6分别针对安全性和可靠性提出了定性要求;依据AC25.1309–1B,引起飞机灾难性事故的失效率应低于10-9,引起飞机危险事故的失效率应低于10-7。同时,AC25.1309–1B给出了§25.1309的符合性证明方法,可用于系统安全措施、告警信号形式与逻辑等的设计。
AC25.1329–1X第15章“安全性评估”给出了系统的失效状态定义、可能影响的功能、失效状态类型、失效原因以及严酷程度,提出了减轻失效影响的方法,为系统安全性设计提供了依据。
4 结束语
标准是民机发展的技术保障,国际上各个组织依据长期积累的知识和经验而制定的民机相关标准是研制民机产品的最佳指导性文件,也是参与国际合作必备的技术基础。因此,民机产品研制的相关单位应尽快熟悉并掌握产品对应的各种标准,提高产品的设计起点,提升我国民机产品在激烈的国际市场中的竞争力。
[1]张晓静,梁勇,赵谦等.新涡桨支线飞机标准体系规划方案[J].航空标准化与质量,2008,5.