eVTOL飞控系统的安全性评估--从FHA谈起(下)

2023-05-06 10:19:11

eVTOL飞控系统的安全性评估--FHA谈起(下)

 

 

 

 

 

 

FHA总体流程

 

结合ARP 4761A优化后的FHA流程,主机厂和系统研制单位的主要工作区别是面向不同飞机/系统层级功能。飞控系统FHA则从主机厂提出的系统功能需求出发,结合AFHA评估,以及PASA分配给飞控系统的FDAL等级,对系统安全性需求进行分析与捕获,同时结合不同的飞行阶段,开展系统功能失效状态的评估。

 

 

 

 

 

FHA主要步骤包括:

 

收集输入(功能/性能需求、飞行阶段)

 

定义详细功能清单,评审并确认其完整性

 

识别每个功能的失效状态

 

评估每个失效状态的影响并分类(考虑飞行阶段、运行和环境条件、事件和机组)

 

捕获安全性需求并确认FHA涉及的假设条件

 

 

 

ED-300直接引用了ARP 4761A对整个AFHA过程的划分方法。如何确保FHA功能定义、失效状态分析、影响分类的正确性和完整性,是评价FHA工作质量的关键。对于eVTOL主机厂,功能定义、系统层级划分和接口识别将直接影响到安全性评估的完备性以及系统研制单位的后续评估,该过程需要进行充分识别和评审。尤其对于飞控系统,与其它系统需要较多交互接口,需要主机厂和系统研制单位在前期进行充分沟通。

 

FHA输入

 

FHA输入包括功能清单、飞行阶段定义和对应的功能适用性。

 

 

 

Part.1

 

功能清单

 

对于主机厂开展AFHA的输入,概念设计阶段并没有实际的飞机和设计方案,主要针对飞机级功能和系统级功能进行梳理分析,并定义eVTOL飞行阶段,这为后续的安全性目标分解和架构分析提供了基础。系统研制单位基于主机厂提供的功能需求,进一步对功能进行分解,得到系统的功能需求清单,并以此开展初步系统架构设计。

 

Part.2

 

飞行阶段定义

 

相比传统民航飞机,VTOL在飞行方式上有了革命性的创新。因此对不同飞行阶段的功能需求也有着较大的差别。在开展安全性评估时,需要针对不同的飞行阶段,以及相应功能需求,对失效状态的影响及风险进行评估。下图展现了VTOL的典型飞行阶段定义。

 

 

 

 

 

ED-300标准中对VTOL飞行阶段稍有不同,除上述飞行阶段外,还定义了:地面、滑行(轮式起落架构型)等阶段,这需要结合具体的构型进行定义,并准确识别各个阶段对于各个飞机级功能的需求情况。

 

 

 

Part.3

 

各飞行阶段的功能适用性

 

结合上述飞行阶段,下表给出了复合翼构型VTOL对飞控系统在典型飞行阶段的控制功能需求的部分示例说明。

 

 

 

识别失效状态

 

基于以上的信息输入,接下来开展具体的失效状态评估。ARP 4761对失效状态划分为两大类:功能丧失和功能错误。ED-300又将失效类型中的功能错误进行了更详细的场景划分,如超出预定值、低于预定值、非预期激活、延迟动作、提前动作、无法停止、无法启动等(与AC-23.1309-1E中的失效划分类似)。并考虑环境和紧急构型清单(环境、构型状态)、失效状态是否能被机组察觉,进一步分为通告的和未通告的,该项主要针对BIT设计需求,即对于关键的失效状态需要及时诊断并告知机组进行相应的纠正措施。

 

 

 

参考ED-300对功能错误的划分,以飞控系统的速度控制功能为例,下图展示了部分失效状态的识别过程。

 

 

 

 

 

 

由于飞控系统(动力控制功能)与动力设备存在密切关联,此处引用ED-300中提供的功能失效模式适用性矩阵作为的参考,以识别失效状态,如下图所示。

 

 

 

评估失效影响及分类

 

评估失效状态的影响通常需要从对飞机、机组和乘客三方面进行考虑。对于在UAM场景运行的eVTOL,还需要考虑对地面影响。在新版的ARP 4761A草案中,评估需要从运行条件、运行事件、环境条件、环境事件、机组察觉等方面进行综合考虑。

 

 

 

在研制阶段评估失效影响,通常需要按最坏情况考虑以便充分地降低风险。对于部分能够建模仿真的功能失效,可以通过注入故障信号,对关联功能的响应进行仿真以评估其影响。大多失效影响则需要基于飞机正常飞行时对系统功能的需求情况进行定性分析。基于失效状态的严重性等级定义,对其进行功能危害性分类。而对失效状态的影响分类,也对应了安全性目标(FDAL和概率要求)。

 

 

 

考虑到所有导致增强类VTOL不能持续安全飞行和着陆的失效状态都定为灾难级的,结合VTOL的着陆方式,紧急迫降也被认为是灾难级的。在评估失效影响类别时,需要将上述要点进行综合考虑判定。

 

假设

 

开展上述失效影响分析时,通常需要设置一些假设。有的是为了简化分析,有的是保守考虑,有的是预期的设计动作,而且对于部分失效状态,需要对机组操作进行假设,以确保机组能够及时对失效状态进行纠正措施降低风险。有偏差的假设可能引入不安全因素,因此假设如何设置十分依赖工程师的项目经验。

 

 

 

假设可以大致分为三类:通用假设、特定假设以及机组动作假设,下图提供了典型的假设示例。

 

 

 

FHA输出

 

通过上述流程的各项分析,最终输出包含上述关键内容的FHA评估报告。核心内容即为FHA评估表格,具体包括:功能描述、失效状态、运行阶段、对飞机/机组/乘客的影响、分类、支撑材料和验证方法等。除了直接的安全性需求,派生的安全性需求也需要在FHA输出中体现。

 

03

 

FHA分析结果案例

 

Boundary.AI

 

基于上述面向eVTOLFHA评估过程介绍,以下附上FHA输出的结果示例。

 

 

 

eVTOL动力系统AFHA示例

 

ED-300基于倾转旋翼构型的eVTOL,提供了AFHA评估案例。针对顶层飞机级的提供动力的功能需求,将功能分解到低一层级功能需求,包括提供动力升力(旋翼)、提供气动升力(固定翼)等,并逐项识别提供动力功能在各个阶段的失效状态、影响程度、分类以及假设条件等,如下图所示(局部内容,详情请参见ED-300附录B)。其中,在垂起、 转换、进近等关键阶段的动力丧失都为灾难级(CAT)。

 

 

 

 

 

对所有功能失效状态分析完成后,汇总得到下图中的AFHA概要,可以整体把握各个失效状态的严重性等级,以及相应的安全性目标。

 

 

 

eVTOL飞控系统SFHA示例

 

基于AFHA输出的飞控系统相关部分(此处隐去实际数据,仅以标准中案例为参考),基于上节FHA评估流程,对飞控系统功能进行捕获和细分,按照典型失效模式引起的功能失效状态,对不同飞行阶段进行影响评估并判定严重性等级,并限定假设条件,确定系统层级的安全性需求。

 

 

 


 

 

在完整地开展飞控系统SFHA评估后,结合上述与飞控系统关联的其他系统的影响分析,可以通过一些商用安全性评估软件工具,如Ansys Medini AnalyzeSafety CommanderIsograph等,将系统功能失效状态的影响进行关联分析,在飞机层面进行安全性评估。

 

 

 

延伸阅读

 

FHA的目标是对飞机运行中可能出现的各种风险进行全面的识别、梳理和分级,FHA只是安全性评估工作的第一步。有了这一步,接下来针对每一项FHA梳理出的每个风险项的失效概率进行定量分析,就能得出是否符合开篇提到的局方对各类失效状态的要求,例如灾难性事故率是否低于10-9

 

 

 

基于上述FHA评估,我们在飞控系统研发过程中会进一步考虑eVTOL主机厂的需求开展PSSASSACCA分析等工作,并参考DO-178CDO-254进行软硬件开发。通过综合FMEAFTA、失效仿真等计算分析,以及软硬件设计评审、测试和试验(DO-160G)等工作,我们在研发阶段充分暴露设计方案可能存在的潜在风险并持续改进设计,充分验证了飞控系统安全性,并表明对安全性要求的符合性。下图展现了对FHA输出的失效状态、进行计算验证过程示例。

 

 

 

 

 

(以上文章来源于边界智控,作者边界智控)