eVTOL飞控系统的安全性评估--从FHA谈起(上)
eVTOL飞控系统的安全性评估--从FHA谈起(上)
电动垂直起降飞行器(eVTOL)是航空领域的新物种,但作为审定类飞机,eVTOL的安全性指标和安全性评估方法与其它审定类民航载人飞机基本一致,安全性评估主要基于SAE发布的ARP 4754A和ARP 4761标准。同时,由于eVTOL的新技术特点,如起降方式、分布式电驱系统、动力电池等,在进行安全性评估时会遇到一些新的挑战。
本期,我们就针对eVTOL及其系统的安全性评估进行初步探讨,并主要以飞控系统的功能危害性评估(FHA)为例,介绍eVTOL安全性评估的一些新特点,希望能够帮到大家。
01
eVTOL安全性要求、标准/指南
适航规章
适航规章作为对飞机安全性的基础保障性文件,规定了飞机研制的最低安全性要求。其中1309或2510条(23/25/27和29部)为直接安全性要求,该条款的核心内容是:
“
保证飞机系统、设备、安装在各种可预期的运行条件下完成预定功能,对于妨碍飞机继续安全飞行与着陆的失效状态需要从发生概率上进行设计约束,并提供失效告警信息,帮助机组进行适当的纠正动作。
”
EASA基于现有规章并结合eVTOL的特点,率先发布了SC-VTOL-01、MOC SC-VTOL等规章指南,为eVTOL适航取证提供了参考路径。尽管CAAC和FAA暂未发布相应规章,但为了支持行业发展并保证技术领先,目前以发布专用条件/特殊类型适航标准的方式推进eVTOL适航审定工作,如下图所示。
其中,专用条件/特殊类型适航标准不仅参考了23部和27部相关适用条款,还结合具体构型,补充了诸如电机冷却、螺旋桨、地面控制站等部分的安全性分析要求。
为与VTOL飞机特定运行风险相匹配,EASA根据运行类型将其分为增强类和基本类(对于UAM运行场景为增强类)。其中VTOL.2510条提出了直接安全性目标,明确不同类型失效状态的发生概率约束要求。MOC VTOL.2250(c)条指出,单点失效不得引起增强类VTOL的灾难性事故。为确认设计满足概率化的安全性目标,以及满足无单点失效导致灾难性事故的要求,安全性评估必不可少。
安全性标准
适航规章提出了航空器安全性要求,而如何实现安全性目标,还需要结合相关技术标准/指南开展研制工作。目前民用航空的基本方法是按照ARP 4754A开展研制工作,并依据ARP 4761开展安全性评估。
随着新构型的飞机和新技术的机载系统的不断应用,新的流程和分析方法也持续更新。据我们知悉,新版SAE ARP 4754B/ARP 4761A已在编制中。从部分已确定的内容变更来看,ARP 4761A新添加初步飞机安全性评估(PASA)、飞机安全性评估(ASA)、基于模型的安全性评估(MBSA)、级联影响分析(CEA)等内容。PASA/ASA主要面向主机厂的评估进行补充,强调了飞机层面的评估工作。在飞机层面由于系统间的耦合关系复杂,添加了MBSA/CEA的介绍以适应复杂系统的评估。
针对VTOL类机型,EUROCAE于2022年年底发布了ED-300标准为VTOL飞机提供补充指南,指导申请人开展VTOL-AFHA和VTOL-PASA评估(PASA部分将在ED-300A版中补充完整),并提供了动力系统AFHA评估的案例。NASA于2022年4月发布了技术备忘录NASA/TM-20210024234,介绍了审定路线、目标安全等级、危害性评估基础、eVTOL飞机特点、运行场景(飞行阶段)、高等级安全性考虑等,并以导航、通信等飞机级功能展示了AFHA评估过程。
我们综合了上述各个新标准/指南的特点以及我们的实践经验,对飞控系统的功能危害性评估(FHA)过程进行探讨,并对一些eVTOL特有的差异进行说明。
02
面向eVTOL的FHA
Boundary.AI
安全性评估总体流程
与传统民机研制项目类似,eVTOL主机厂在需求阶段需要开展AFHA、PASA、飞机级CCA等评估,将捕获的飞机安全性需求分解到系统。由于FHA是安全性评估起始工作项,主机厂在该阶段即可考虑与适航审定部门建立合作并开展沟通确认。初步达成一致后,即可将AFHA相关内容提供给包括飞控系统在内的系统研制单位作为研发输入。系统研制单位基于主机厂提供的输入,开展SFHA评估和系统架构设计,并通过PSSA将安全性需求分配到更低层级的系统,同时基于功能/项目研制保证等级(FDAL/IDAL)的要求,参考DO-178C/DO-254开展软/硬件详细设计。在完成自上而下的安全性需求分解后,集成阶段再自下而上地对安全性目标进行综合验证,并向主机厂提供系统的SSA作为ASA的输入,如下图所示。
