尽管电动垂直起降飞行器(eVTOL)是航空领域的新物种,但作为审定类飞机,eVTOL的安全性指标和安全性评估方法与其它审定类民航载人飞机基本一致,安全性评估主要基于SAE发布的ARP 4754A和ARP 4761标准。同时,由于eVTOL的新技术特点,如起降方式、分布式电驱系统、动力电池等,在进行安全性评估时会遇到一些新的挑战。
边界智控成立之前的几年,多名创始团队成员在欧洲作为eVTOL主机厂的研发人员,进行了不少eVTOL安全性评估相关的工作,为EASA的SC-VTOL等规章指南做出一些微薄的贡献。去年年底EUROCAE发布的指导eVTOL研制单位进行安全性分析的ED-300指南,也有不少边界智控的老朋友参与。安全性评估也是边界智控在飞控系统研发以及项目交付中的一项关键工作,我们在各个阶段开展了相应的设计评估、失效仿真、测试验证等工作,充分将安全性融入系统设计。
本期,我们就针对eVTOL及其系统的安全性评估进行初步探讨,并主要以飞控系统的功能危害性评估(FHA)为例,介绍eVTOL安全性评估的一些新特点,希望能够帮到大家。
01 eVTOL安全性要求、标准/指南
适航规章
适航规章作为对飞机安全性的基础保障性文件,规定了飞机研制的最低安全性要求。其中1309或2510条(23/25/27和29部)为直接安全性要求,该条款的核心内容是:
“保证飞机系统、设备、安装在各种可预期的运行条件下完成预定功能,对于妨碍飞机继续安全飞行与着陆的失效状态需要从发生概率上进行设计约束,并提供失效告警信息,帮助机组进行适当的纠正动作。”
EASA基于现有规章并结合eVTOL的特点,率先发布了SC-VTOL-01、MOC SC-VTOL等规章指南,为eVTOL适航取证提供了参考路径。尽管CAAC和FAA暂未发布相应规章,但为了支持行业发展并保证技术领先,目前以发布专用条件/特殊类型适航标准的方式推进eVTOL适航审定工作,如下图所示。
其中,专用条件/特殊类型适航标准不仅参考了23部和27部相关适用条款,还结合具体构型,补充了诸如电机冷却、螺旋桨、地面控制站等部分的安全性分析要求。
为与VTOL飞机特定运行风险相匹配,EASA根据运行类型将其分为增强类和基本类(对于UAM运行场景为增强类)。其中VTOL.2510条提出了直接安全性目标,明确不同类型失效状态的发生概率约束要求。MOC VTOL.2250(c)条指出,单点失效不得引起增强类VTOL的灾难性事故。为确认设计满足概率化的安全性目标,以及满足无单点失效导致灾难性事故的要求,安全性评估必不可少。
.jpg)
安全性标准
适航规章提出了航空器安全性要求,而如何实现安全性目标,还需要结合相关技术标准/指南开展研制工作。目前民用航空的基本方法是按照ARP 4754A开展研制工作,并依据ARP 4761开展安全性评估。
随着新构型的飞机和新技术的机载系统的不断应用,新的流程和分析方法也持续更新。据我们知悉,新版SAE ARP 4754B/ARP 4761A已在编制中。从部分已确定的内容变更来看,ARP 4761A新添加初步飞机安全性评估(PASA)、飞机安全性评估(ASA)、基于模型的安全性评估(MBSA)、级联影响分析(CEA)等内容。PASA/ASA主要面向主机厂的评估进行补充,强调了飞机层面的评估工作。在飞机层面由于系统间的耦合关系复杂,添加了MBSA/CEA的介绍以适应复杂系统的评估。
.jpg)
针对VTOL类机型,EUROCAE于2022年年底发布了ED-300标准为VTOL飞机提供补充指南,指导申请人开展VTOL-AFHA和VTOL-PASA评估(PASA部分将在ED-300A版中补充完整),并提供了动力系统AFHA评估的案例。NASA于2022年4月发布了技术备忘录NASA/TM-20210024234,介绍了审定路线、目标安全等级、危害性评估基础、eVTOL飞机特点、运行场景(飞行阶段)、高等级安全性考虑等,并以导航、通信等飞机级功能展示了AFHA评估过程。
我们综合了上述各个新标准/指南的特点以及我们的实践经验,对飞控系统的功能危害性评估(FHA)过程进行探讨,并对一些eVTOL特有的差异进行说明。
02 面向eVTOL的FHA
安全性评估总体流程
与传统民机研制项目类似,eVTOL主机厂在需求阶段需要开展AFHA、PASA、飞机级CCA等评估,将捕获的飞机安全性需求分解到系统。由于FHA是安全性评估起始工作项,主机厂在该阶段即可考虑与适航审定部门建立合作并开展沟通确认。初步达成一致后,即可将AFHA相关内容提供给包括飞控系统在内的系统研制单位作为研发输入。系统研制单位基于主机厂提供的输入,开展SFHA评估和系统架构设计,并通过PSSA将安全性需求分配到更低层级的系统,同时基于功能/项目研制保证等级(FDAL/IDAL)的要求,参考DO-178C/DO-254开展软/硬件详细设计。在完成自上而下的安全性需求分解后,集成阶段再自下而上地对安全性目标进行综合验证,并向主机厂提供系统的SSA作为ASA的输入,如下图所示。
.jpg)
FHA总体流程
结合ARP 4761A优化后的FHA流程,主机厂和系统研制单位的主要工作区别是面向不同飞机/系统层级功能。飞控系统FHA则从主机厂提出的系统功能需求出发,结合AFHA评估,以及PASA分配给飞控系统的FDAL等级,对系统安全性需求进行分析与捕获,同时结合不同的飞行阶段,开展系统功能失效状态的评估。
.jpg)
FHA主要步骤包括:
收集输入(功能/性能需求、飞行阶段)
定义详细功能清单,评审并确认其完整性
识别每个功能的失效状态
评估每个失效状态的影响并分类(考虑飞行阶段、运行和环境条件、事件和机组)
捕获安全性需求并确认FHA涉及的假设条件
ED-300直接引用了ARP 4761A对整个AFHA过程的划分方法。如何确保FHA功能定义、失效状态分析、影响分类的正确性和完整性,是评价FHA工作质量的关键。对于eVTOL主机厂,功能定义、系统层级划分和接口识别将直接影响到安全性评估的完备性以及系统研制单位的后续评估,该过程需要进行充分识别和评审。尤其对于飞控系统,与其它系统需要较多交互接口,需要主机厂和系统研制单位在前期进行充分沟通。
FHA输入
FHA输入包括功能清单、飞行阶段定义和对应的功能适用性。
Part 1 功能清单
对于主机厂开展AFHA的输入,概念设计阶段并没有实际的飞机和设计方案,主要针对飞机级功能和系统级功能进行梳理分析,并定义eVTOL飞行阶段,这为后续的安全性目标分解和架构分析提供了基础。系统研制单位基于主机厂提供的功能需求,进一步对功能进行分解,得到系统的功能需求清单,并以此开展初步系统架构设计。
Part 2 飞行阶段定义
相比传统民航飞机,VTOL在飞行方式上有了革命性的创新。因此对不同飞行阶段的功能需求也有着较大的差别。在开展安全性评估时,需要针对不同的飞行阶段,以及相应功能需求,对失效状态的影响及风险进行评估。下图展现了VTOL的典型飞行阶段定义。
.jpg)
在ED-300标准中对VTOL飞行阶段稍有不同,除上述飞行阶段外,还定义了:地面、滑行(轮式起落架构型)等阶段,这需要结合具体的构型进行定义,并准确识别各个阶段对于各个飞机级功能的需求情况。
Part 3 各飞行阶段的功能适用性
结合上述飞行阶段,下表给出了复合翼构型VTOL对飞控系统在典型飞行阶段的控制功能需求的部分示例说明。
.jpg)
识别失效状态
基于以上的信息输入,接下来开展具体的失效状态评估。ARP 4761对失效状态划分为两大类:功能丧失和功能错误。ED-300又将失效类型中的功能错误进行了更详细的场景划分,如超出预定值、低于预定值、非预期激活、延迟动作、提前动作、无法停止、无法启动等(与AC-23.1309-1E中的失效划分类似)。并考虑环境和紧急构型清单(环境、构型状态)、失效状态是否能被机组察觉,进一步分为通告的和未通告的,该项主要针对BIT设计需求,即对于关键的失效状态需要及时诊断并告知机组进行相应的纠正措施。
参考ED-300对功能错误的划分,以飞控系统的速度控制功能为例,下图展示了部分失效状态的识别过程。
.jpg)
由于飞控系统(动力控制功能)与动力设备存在密切关联,此处引用ED-300中提供的功能失效模式适用性矩阵作为的参考,以识别失效状态,如下图所示。
.jpg)
评估失效影响及分类
评估失效状态的影响通常需要从对飞机、机组和乘客三方面进行考虑。对于在UAM场景运行的eVTOL,还需要考虑对地面影响。在新版的ARP 4761A草案中,评估需要从运行条件、运行事件、环境条件、环境事件、机组察觉等方面进行综合考虑。
在研制阶段评估失效影响,通常需要按最坏情况考虑以便充分地降低风险。对于部分能够建模仿真的功能失效,可以通过注入故障信号,对关联功能的响应进行仿真以评估其影响。大多失效影响则需要基于飞机正常飞行时对系统功能的需求情况进行定性分析。基于失效状态的严重性等级定义,对其进行功能危害性分类。而对失效状态的影响分类,也对应了安全性目标(FDAL和概率要求)。
考虑到所有导致增强类VTOL不能持续安全飞行和着陆的失效状态都定为灾难级的,结合VTOL的着陆方式,紧急迫降也被认为是灾难级的。在评估失效影响类别时,需要将上述要点进行综合考虑判定。
假设
开展上述失效影响分析时,通常需要设置一些假设。有的是为了简化分析,有的是保守考虑,有的是预期的设计动作,而且对于部分失效状态,需要对机组操作进行假设,以确保机组能够及时对失效状态进行纠正措施降低风险。有偏差的假设可能引入不安全因素,因此假设如何设置十分依赖工程师的项目经验。
假设可以大致分为三类:通用假设、特定假设以及机组动作假设,下图提供了典型的假设示例。
.jpg)
FHA输出
通过上述流程的各项分析,最终输出包含上述关键内容的FHA评估报告。核心内容即为FHA评估表格,具体包括:功能描述、失效状态、运行阶段、对飞机/机组/乘客的影响、分类、支撑材料和验证方法等。除了直接的安全性需求,派生的安全性需求也需要在FHA输出中体现。
03 FHA分析结果案例
基于上述面向eVTOL的FHA评估过程介绍,以下附上FHA输出的结果示例。
eVTOL动力系统AFHA示例
ED-300基于倾转旋翼构型的eVTOL,提供了AFHA评估案例。针对顶层飞机级的提供动力的功能需求,将功能分解到低一层级功能需求,包括提供动力升力(旋翼)、提供气动升力(固定翼)等,并逐项识别提供动力功能在各个阶段的失效状态、影响程度、分类以及假设条件等,如下图所示(局部内容,详情请参见ED-300附录B)。其中,在垂起、 转换、进近等关键阶段的动力丧失都为灾难级(CAT)。
.jpg)
对所有功能失效状态分析完成后,汇总得到下图中的AFHA概要,可以整体把握各个失效状态的严重性等级,以及相应的安全性目标。
.jpg)
eVTOL飞控系统SFHA示例
基于AFHA输出的飞控系统相关部分(此处隐去实际数据,仅以标准中案例为参考),基于上节FHA评估流程,对飞控系统功能进行捕获和细分,按照典型失效模式引起的功能失效状态,对不同飞行阶段进行影响评估并判定严重性等级,并限定假设条件,确定系统层级的安全性需求。
.jpg)
在完整地开展飞控系统SFHA评估后,结合上述与飞控系统关联的其他系统的影响分析,可以通过一些商用安全性评估软件工具,如Ansys Medini Analyze、Safety Commander、Isograph等,将系统功能失效状态的影响进行关联分析,在飞机层面进行安全性评估。
.jpg)
延伸阅读
FHA的目标是对飞机运行中可能出现的各种风险进行全面的识别、梳理和分级,FHA只是安全性评估工作的第一步。有了这一步,接下来针对每一项FHA梳理出的每个风险项的失效概率进行定量分析,就能得出是否符合开篇提到的局方对各类失效状态的要求,例如灾难性事故率是否低于10-9。
基于上述FHA评估,我们在飞控系统研发过程中会进一步考虑eVTOL主机厂的需求开展PSSA、SSA、CCA分析等工作,并参考DO-178C和DO-254进行软硬件开发。通过综合FMEA、FTA、失效仿真等计算分析,以及软硬件设计评审、测试和试验(DO-160G)等工作,我们在研发阶段充分暴露设计方案可能存在的潜在风险并持续改进设计,充分验证了飞控系统安全性,并表明对安全性要求的符合性。下图展现了对FHA输出的失效状态、进行计算验证过程示例。
.jpg)
结语
安全一直是航空工业发展的基石。面对eVTOL,应当充分考虑其设计特点以及新技术的应用情况,结合业内或相关领域的新标准、新方法、新工具开展安全性评估,尽可能地提高安全性水平。
目前我们在跟多家国内eVTOL主机厂合作,也与一些欧洲eVTOL研发团队保持沟通,随着研发工作的推进和工程经验的不断丰富,后续也会有更多相关的专业经验分享,包括行业的新动态、相关的新标准等,希望能够帮助到大家,共同促进行业的快速发展。
引用文献
1. ED-300 Guidance on Conducting an Aircraft Functional Hazard Assessment (AFHA) and Preliminary Aircraft Safety Assessment (PASA) for a VTOL using a Generic Example.
2. NASA/TM–20210024234 Functional Hazard Assessment for the eVTOL Aircraft Supporting Urban Air Mobility (UAM) Applications: Exploratory Demonstrations.
3. SAE ARP 4754A Guidelines for Development of Civil Aircraft and Systems.
4. SAE ARP 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment.
5. SC-VTOL-01 Special Condition for small-category VTOL aircraft.
6. Alexander Alexandrov Markov. A Framework for Integrating Advanced Air Mobility Vehicle Development, Safety and Certification.
7. Osita Ugwueze, Thomas Statheros, Nadjim Horri, Michael A. Bromfield, Jules Simo. An Efficient and Robust Sizing Method for eVTOL Aircraft Configurations in Conceptual Design.
8. 李凯, 陆崑,吴沂宁等. eVTOL航空器适航取证路径研究.
