解读AMC RPAS 1309
2019-07-30徐伟程罗秋凤张锐杨忠清
徐伟程,罗秋凤,张锐,杨忠清
南京航空航天大学 无人机研究院,江苏 南京 210000
介绍了针对无人机系统适航性的文件AMC RPAS 1309的背景、意义及适用范围,然后对该文件提出的可接受符合性方法进行了详细说明。依次阐述复杂性等级划分、故障状态分类、研制保证过程三部分内容,重点阐述了研制保证等级分配的方法。最后,对系统可用性与完整性进行了详细解读。
近年来,我国民用无人机产业快速发展,在物流货运、农林植保、航拍摄影、能源管线巡检、警用执法、救援抢险、遥感探测、基础设施与环境监测、个人娱乐消费等民用领域广泛应用。据民用无人机实名登记信息系统统计,截至2019年1月24日,已登记约29.5万架无人机,其中,最大起飞重量25~150kg的无人机为2.5万架,150公斤以上的为571架,650kg以上的为49架。无人机拥有者约26.8万个,各类无人机型号3720个,制造厂家和代理商注册数1239家。2018年度参加民航局试运行的8个无人机云系统,飞行小时合计约98.9万小时。然而,随着无人机数量的快速增长,无人机干扰民航运输的事件时有发生,无人机安全管理问题凸显。2019年初始,我国民航局密集地发布了3份文件,1月4日,发布了《轻小型无人机运行规定》修订稿的征求意见通知;23日适航司印发了《基于运行风险的无人机适航审定指导意见》(民航适发[2019]3号);2月1日飞标司、适航司、空管办又联合下发了咨询通告《特定类无人机试运行管理规程 (暂行)》(编号:AC-92-2019-01),专门针对安全风险较高的无人机运行使用特定运行风险评估(SORA)方法。我国民用无人机通用航空政策对基于风险分类的适航管理模式达成共识,并对其相关的可接受的符合性方法类的管理规章建立具有强烈需求。
无人机系统规章制定联合局(JARUS)的WG-6工作组于2014年1月发布AMC RPAS 1309第一版,并于2015年11月发布该文件的第二版。JARUS基于无人机系统特点,对现有的CS/FAR xx.1309等条款进行了适当修改剪裁,逐步建立了无人机系统适航认证的可接受符合性方法。该文件既可作为无人机系统适航认证的一种方法,又可作为无人机系统型式认证的一种思路。因此,研究学习该文件可为我国无人机系统的适航管理提供借鉴和参考。
AMC RPAS 1309共分为绪论、术语解释、参考文献、适用性、复杂性等级、飞机安全飞行和着陆的系统可用性和完整性、失效状况分类及概率目标、飞机安全分离的系统可用性与完整性、系统安全性评估过程十个章节。前四个章节简要介绍了该文件制定的背景及意义,对文件中涉及的专业术语进行了明确定义,对文件的适用范围做了明确说明。第五章提出一种新的基于系统复杂性等级的无人机划分方法,并详细解释了划分的依据。第六到八章对无人机系统故障状态进行分类,提出使用载人机事故历史统计数据来近似估计无人机系统事故概率的思路、方法及依据,并据此进行研制保证等级分配;最后对“检测与避障”功能故障进行了概述与研制保证等级分配。第十章概述了ARP4754A/ED-79A中提出的研制保证过程。
背景介绍
传统的有人驾驶飞机系统安全评估标准被称为“1309”标准。该标准作为载人机型式认证的一般适航要求,旨在确保飞机出现单一故障或多重故障时,可继续保持安全飞行和着陆。该标准关注的侧重点是保护机上人员安全及为地面人员和财产提供第三方保护。第三方保护由保证飞机持续安全飞行和着陆提供。由于无人机没有机上人员,必须对无人机的安全评估标准和侧重点进行调整。
JARUS的WG-6工作组在充分考虑到无人机系统特点的情况下,对载人机的“1309”标准进行剪裁修改,最终制定出针对无人机系统安全评估的可接受符合性方法AMC RPAS 1309。该文件概述了一种民用无人机系统与适航规章要求1309安全性评估一致的可接受的符合性方法,帮助申请人获得型式认证许可;并指出所有类型的无人机系统的安全性评估都可以在相同的一般系统安全评估原则下得到解决。
适用范围
在制定AMC RPAS 1309的同时,JARUS也在计划制定一种基于风险的无人机系统监管方法。基于该监管方法,JARUS将无人机系统分为三大类:
(1)开放类:操作风险非常低的无人机系统。无适航性规定,1309不适用;
(2)特许类:操作风险可能对人员或财产造成一定影响的无人机系统。主要通过操作限制来减轻风险。根据操作类型和风险性质,可以使用1309进行型式认证;
(3)管制类:遵循传统的飞机管制方法,包括强制遵守1309的型式认证。
因此,AMC RPAS 1309主要适用于管制类无人机系统的型式认证工作。同时,AMC RPAS 1309的适用性是无限制的,除了作为管制类无人机系统的符合性手段,也可对其它类别的无人机系统运用该方法(不论大小或重量)。
复杂性等级分类
根据载人航空器现有的初始适航要求,目前主要使用诸如重量、乘客数量、发动机类型/数量和性能等参数来区分飞机等级。然而,随着无人机系统复杂度与集成度的提高,传统载人机的等级分类方法已不再适用。为了更好地适应无人机的新特点,同时考虑到便于后续研制保证等级(DAL)的分配,RPAS AMC 1309提出了一种基于系统复杂性等级(CL)的分类方案。根据该方案将无人机系统分为以下三类:
(1)复杂性等级 I(CL I):无人机系统在飞行管理和自动执行任务功能上具有一定的自主权限。始终提供独立的手动控制功能。软件和机载电子硬件(AEH)的复杂度较低;
(2)复杂性等级II(CL II):不能归类为CL I的其他无人机系统。无人机系统在飞行管理和自动执行任务功能上具有较高的自主权限。遇到紧急情况时,允许远程机组手动控制。软件和机载电子硬件(AEH)的复杂度较高;
(3)复杂性等级III(CL III):具有完全自主权限的无人机系统。这一类无人机系统不在本文件的考虑范围之内。
此外,CS-25部,CS-29部,CS-23部中的第IV类无人机不受该分类的影响。
故障状态分类
AMC RPAS 1309采用载人航空领域的通用标准,将无人机系统故障状态划分为五类:
(1)无影响的
对无人机系统的安全没有影响;
(2)轻微的
无人机系统的安全裕度或操纵特性轻微降低,远程机组工作负荷轻微增加;
(3)严重的
无人机系统的安全裕度、操纵特性或分离保障有大幅度降低。远程机组的工作量大幅度增加,或远程机组的工作效率降低;
(4)危险的
无人机系统的安全裕度、操纵特性或分离保障显著降低,其程度如下:无人机功能显著丧失;安全裕度或操纵特性的显著降低;工作负荷过高以至于不能依靠远程机组准确地完成任务。
(5)灾难的
无人机坠毁。
研制保证过程
研制保证过程包括确定需求和验证需求是否满足,以及必要的配置管理和过程保证活动。RPAS AMC 1309采用了DO-178C/ED-12C、DO-254/ED-80和ARP4754A/ED-79A中提出的研制保证过程。由于研制保证等级的分配取决于故障状态的分类,因此安全分析过程应与研制保证过程一起进行,以识别故障状态类别,从而确定相应的研制保证等级。在研制保证过程中,通过应用保证过程(DAL)进行测试和检查来确保功能检查覆盖率/测试覆盖率分配到全部失效状态类别,从而保证故障状态类别与安全目标水平相匹配。综合上述文件的DAL分配方案,可得表1。
总之,研制保证是一种基于过程的方法,该方法通过足够严格的标准,将可能影响飞机安全的故障的概率值限制在可接受的安全性水平之内,从而保证系统的安全性,其采用的严格性度量由DAL等级决定。
系统可用性与完整性
无人机系统的可用性与完整性要求与载人机有所不同。由于无人机系统可以分别处理不同的顶级风险,因此,无人机系统的可用性与完整性分为两部分:维持安全飞行和着陆的系统可用性与完整性、维持飞机安全分离所需的系统可用性和完整性。前者的侧重点是强制着陆或坠毁的系统故障,主要针对地面风险;后者的侧重点是“检测和避障”系统的可用性与完整性要求,主要针对空中碰撞风险。
表1 复杂性等级,概率,故障严重程度和软件之间的关系以及维持安全飞行和降落到等效有人驾驶飞机所需的复杂硬件DAL(不包括失去安全分离)
维持安全飞行和着陆的系统可用性与完整性(地面风险)
根据经验公式,风险=f(事故率、人口密度、冲击动力学、冲击面积)。其中,人口密度和冲击面积不能作为影响适航性的因素,因为无人机融入载人机空域的理念是无人机系统在空域中的操作是不受限制的。其次,冲击动力学与飞机型式认证相关,故也不能归为影响因素。因此,无人机系统的适航风险仅是事故率(每一类飞机的事故率)的函数,即风险 = g(事故率/种类)。
AC-23.1309-1E指出:在评估设计的可接受性时,需要建立合理的定量概率值。历史证据表明,在能见度受限的情况下,飞机发生致命事故的概率值大约为每万飞行小时1次,即事故率为1x 10-4/h。此外,根据事故数据库的统计数据,飞机系统自身故障导致的事故大约占事故总数的10%。可以合理地预期,对于新设计的飞机,发生致命事故的概率值不大于1×10-5/h。根据过去的飞机服役历史可以假定一架飞机大约有10种潜在的灾难性失效状态。因此,将每飞行小时1x10-5/h的概率值平均分配给上述灾难性失效状态,每种失效状态分配的概率值不大于1x 10-6/h。对于潜在灾难性失效状态,每飞行小时平均概率值的上限是1×10-6/h,这为定性概率“极不可能”建立了近似定量概率值。类似地,可为定性概率建立一一对应的定量近似概率值(近似事故率)。
AMC 25.1309和AC 23.1309-1E对多种机型建立了相应的近似事故率,对于无近似事故率的机型,使用最新的实际事故率统计数据。表2中列出的数据说明了实际事故率和近似事故率之间的关系,本表中使用了来自UK-CAA CAP 780统计的实际事故率数据。
对表2进行对比分析,可以发现:CS-25(1x10-6/h)中大型运输飞机的近似事故率与真实事故率(4.8x10-6/h)具有相同的数量级,该近似值还提供了保守的安全裕度;对于CS-23 I类飞机,近似事故率(1x10-4/h)接近非公共交通类常规飞机的真实事故率(1.79x10-4/h)。由此可见,使用历史统计数据建立的近似事故率来表征飞机的事故发生情况是可行的。
结合前述的复杂性等级划分,可将这种方法运用到无人机上。需要注意的是:对于无人机系统,由于CL I无人机系统复杂度不高,可以按照等效载人机对待。而CL II无人机系统的复杂度远远超过CL I无人机系统,可以合理假设CL II无人机系统具有100种潜在失效状态,近似事故率为1x10-2/h。表3演示了这种方法如何使用。
对表3进行对比分析,可以发现:
(1)为了保证与载人飞机的安全等效,不允许无人机系统的事故率高于等效载人飞机的事故率,因此,与载人机CS-23 I类等效的无人机系统的事故率不超过1×10-4/h;
(2)对于不存在等效载人飞机的无人机系统,应以1x10-4/h作为最小目标事故率;
(3)灰色部分显示了无人机系统与载人机在潜在灾难性失效模式数量上的差异。
表2 载人机事故率
表3 结合复杂性等级划分的无人机事故率
维持飞机安全分离所需的系统可用性和完整性(空中碰撞风险)
在被允许进入非隔离空域之前,安全分离和避免空中碰撞的能力是无人机系统的必备功能。通常认为空中碰撞对所有类型的飞机都具有灾难性后果,无论其大小或重量如何。即使是体积小,重量轻的无人机撞击也可能导致损坏,从而影响两架飞机的安全。然而,检测和避障(DAA)技术目前仍是世界各国的共同难题。为了允许无人机系统在非隔离空域飞行,一些管理当局已经允许接受其他方法,如使用追逐机、观察员、强制空中交通管制监视等,以达到检测和避障的目标。
RPAS AMC 1309采用EUROCAE ED-79A/SAE ARP 4754A中包含的方法进行功能性DAL(FDAL)分配,并对外部事件进行了评估。在这种方法下,DAA功能可以被视为对无人机系统外部事件的保护功能,图1描述了作为外部事件保护函数FDAL的分配情况。外部事件是指两架处于冲突轨道上的飞机,无人机未能与另一架飞机分离。除了考虑错误操作或保护功能激活相关的故障外,对此类事件的安全分析还应至少考虑以下两种故障情况:
(1)DAA功能故障与外部事件相结合;
(2)仅DAA功能故障。
上面定义的第一种故障情况被划分为灾难性的。尽管DAA功能故障本身没有直接的安全效果,但该功能故障将导致安全裕度的降低,如果不能及时采取补救措施,外部事件可能会导致灾难性的空中碰撞。因此,从图1中可以看出,将FDAL A级分配给DAA系统是合适的。
图1 作为外部事件概率函数的保护函数FDAL 分配
图2 可能导致两架飞机在冲突轨道上发生空中碰撞的故障示例
对于第二种故障情况,仅DAA功能故障会导致安全裕度显著减少,根据ED-79A/ARP 4754A的指导方针,将该故障情况归类到危险的是恰当的。又因为各类空域的操作都符合型式认可,因此不能排除无人机系统与大型运输机发生空中碰撞的可能性。因此,危险的故障情形需要满足与大型运输机相当的定量概率要求(CS-25/29)。因此,1×10-7/h的概率值被认为适用于仅DAA功能故障情形。
此外,DAA功能的故障可能直接导致空中碰撞,即无人机被错误引导至另一架飞机的路径上而不是远离另一架飞机的路径,其概率应保证不超过1x10-9/h,分配DAL A级。图2中的示例演示了一种可能导致两架飞机在冲突轨道上发生空中碰撞的情况。
对我国民用无人机系统适航的启示
总体来说,RPAS AMC 1309对目前民用无人机系统适航安全的主要思路进行了高度概括和提炼。该文件充分体现了民用无人机系统适航安全的三大理念:(1)民用无人机系统必须保证较高的安全性水平(2)无人机系统不能造成比同等类型载人飞机更大的风险(3)无人机系统的适航技术应基于载人机适航技术。基于此三个理念,本文件最终得出结论“所有类型的无人机系统的安全性评估都可以在相同的一般系统安全评估原则下得到解决”,并在此结论的指导下,提出了一种可接受符合性方法。
因此,我国在制定民用无人机适航标准时,没有必要单独建立一套新的标准,可以效仿JARUS的经验,在载人航空器适航标准的基础上建立一般性安全评估原则,并据此衍伸出相应的无人机系统适航标准或方法。这样,既减轻了建立新标准的难度,又便于早日实现无人机系统融入载人机空域的目标。
结束语
RPAS AMC 1309为无人机系统适航验证提供了全新的思路和方法。基于“等效安全”的理念,运用统计学方法对载人机历史事故数据进行整合建立定量概率值,并据此对无人机系统进行“等效安全评估”,最后根据评估结果进行DAL分配。整个流程层层递进、逻辑清晰,具有很强的实践指导意义。■