基于ARP4754A的航空发动机控制系统设计流程研究_刘佳.pdf

36航空标准化与质量/2022-06Aeronautic Standardization&Quality适航性技术与安全性研究 Airworthiness Technique Studies基于 ARP4754A 的航空发动机控制系统设计流程研究刘佳 杨琴 郭彬彬 蔡丹(中国航发湖南动力机械研究所，湖南 株洲 412002）摘要 介绍了 ARP 4754A 标准的发展过程和目的，结合工作实践开展了基于 ARP 4754A 的民用航空发动机控制系统设计过程研究，并重点介绍了需求分析和定义阶段、系统架构设计、附件需求捕获、附件实现、试制与验证阶段的目的和工作内容。关键词 ARP 4754A；控制系统；设计过程 中图分类号 V233.7 文献标识码 C 文章编号 1003-6660（2022）06-3640-05DOI 编码 10.13237/ki.asq.2022.06.080 引言随着飞机功能和执行功能的系统之间的集成水平不断提高，尤其是使用电子技术或软件技术的高集成系统后，随之增加的复杂度也导致出现错误的可能性增大，尤其是那些由多系统共同执行的功能。对于复杂或高度综合的系统，由于不能确定所有的系统状态，因而彻底的试验可能是无法进行的；或者由于需完成的试验数目过多，彻底的试验是不切实际的。发动机电子控制系统（EECS）含有软件和电子硬件，不能被归为“简单”系统，为了表明对 CCAR 33.28（b）（1）和 CCAR 33.75（a）的符合性，AC33.28-3 中提出申请人可以使用ARP 4754A（民用飞机和系统研制指南）作为发动机控制系统建立研制保证过程的可接受方法。SAE ARP 4754A 讨论了基于整个飞机运行环境和功能的飞机以及系统的研制过程，这些研制过程包括需求确认以及对审查和过程保证的设计实施的验证。1 SAEARP4754A 介绍1.1 ARP 4754A 演变历史在 20 世纪 90 年代初，美国联邦航空局（FAA）请求自动机工程师协会（SAE，国内也有人译为汽车工程师协会）制定一份指南，用于定义飞机系统级信息适当的特征和范围，以证明高度综合或复杂航电系统对适航规章的符合性，1996 年的 ARP 4754 Certification Consideration for Integrated or Complex Aircraft System(高 度综合或复杂飞机系统的审定考虑)发布。随着ARP 4754 被越来越多使用，工业界对其部分内容的解读和应用产生了分歧（尤其是旧版 ARP 4754 的第 5.4 节：研制保证等级的分配），SAE对此进行了修订升版，这就是 ARP 4754A。FAA在 2011 年 9 月的咨询通告 AC-20-174 中，专门对 ARP-4754A 进行认可。ARP 4754A 版对旧版文件进行了更新，主要体现在如下方面：1）名字变成了 民用飞机和系统研制指南，适用范围不再局限于高度集成或复杂系统。2）对于 ARP 4754/ED-79 与 ARP 4761 之间的关系，以及这两份文件与 DO-178B/ED-12B和 DO-254/ED80 两份文件之间的关系进行了巩固，也对各文件之间的差异性进行了确认和标注。3）扩展了在飞机级与系统级所应用的“研制保证”的概念，并且也规范了“研制保证”这一术语的使用。4）对于飞机和系统的研制引入了功能研制 保 证 等 级（Function Development Assurance Level，FDAL）这 一 概 念，设 计 保 证 等 级 这一术语也被重命名为项目研制保证等级（Item 37航空标准化与质量/2022-06Aeronautic Standardization&Quality Airworthiness Technique Studies 适航性技术与安全性研究Development Assurance Level,IDAL）。5）另外，S-18/WG-63 与 RTCA 特别委员会 205（SC-205）/EUROCAE WG-71 进行协调，以确保所采用的术语和方法与 DO-178B/ED-12B更新中所使用的相一致。6）最后，在文件的内容架构上做了些调整。1.2 ARP 4754A 目的ARP 4754A 目的是提供飞机和系统的研制指南,这些系统需要增加设计规范和研制保证体系，以确保安全性和运行需求完全被实现并被验证。研制保证的目的是：保证飞机和系统是在严谨的、被严格规定的方法和流程中研制的，确保系统研制过程中：错误和遗漏都被识别和纠正（特别对于不能通过穷举来实现安全性的要求）；适用的适航要求都被贯彻；安全性评估与系统研制紧密耦合。2 控制系统设计过程在 ARP4754A 中强调从飞机级、系统级至项目级（Item level）的逐层分解，发动机控制系统研制是通过采用自上而下的分解与自下而上的验证、集成综合来进行，以此来揭示飞机/发动机安全性与系统研制之间的必然联系。根据 SAE ARP4754A 中所描述的系统研制过程，航空发动机控制系统研制层级可以划分为：发动机整机级、控制系统级，以及附件/软硬件级。因此，控制系统研制以计划制定、功能研制、架构设计、需求分配、系统实现等活动为主线，融合系统安全性评估、需求捕获、研制保证等级（DAL）分配、需求确认/验证、构型管理、过程保证、审定联络等整体过程，形成一个完整的研制过程。2.1 需求分析与定义阶段ARP4754A 强调在开展任何活动之前都应先制定计划，约束过程中的活动，并不断评估活动是否遵循计划，控制过程风险。因此，ARP 4754A 第 3 章给出了系统计划制定的详细指南，计划过程的目标数据详见 ARP 4754A 附录表A-1。在研制一个控制系统之前，需要开展计划过程，计划需全面涵盖研制活动各个方面（见图1）。在系统研制过程中，这些计划有可能需要根据研制过程进行迭代完善，包括研制计划、需求管理计划、安全性大纲、验证计划、确认计划、构型图 1 飞机/系统研制流程双 V 图发动机系统研制流程 38航空标准化与质量/2022-06Aeronautic Standardization&Quality适航性技术与安全性研究 Airworthiness Technique Studies图 2 系统生命周期过程ARP4754AARP4761开发计划（DP）确认计划（ValP）验证计划（VerP）构型管理计划（CMP）过程保证计划（PAP）安全性工作计划（SPP）合格审定计划（CP）计 划 过 程计 划 过 程审 查（Certification）过 程 保 证（Process Assurance）构 型 管 理（Configuration Management）评 审（Review）系统需求分析与定义系统需求分析与定义系统架构和设计系统架构和设计系统需求分配（附件需求捕获）系统需求分配（附件需求捕获）附件实现需求捕获指定确认/验证方法架构PSSA设计需求捕获确认需求设计&架构实现验证&安全性系统完成总结执行验证SSA不属于系统研制过程不属于系统研制过程确认需求FHA系统试制与验证系统试制与验证需求管理计划（RMP）管理计划、过程保证计划、合格审定计划等：定义研制过程和研制寿命周期集成过程，描述飞机/系统要求、功能研制保证等级和项目（附件/软硬件）研制保证等级。确定和描述需求如何捕获和管理，可以与确认过程相结合。定义研制寿命周期，包括过程、程序、反馈装置和过渡准则间的内部联系。选择寿命周期环境，包括每一寿命周期过程活动的方法和工具。定义与计划生产的飞机/系统安全性目标相一致的研制标准。研制和每一集成过程目标一致的计划。当计划阶段的所有计划完成评审，建立了系统研制计划基线后，控制系统研制团队需要配合发动机总体一起捕获发动机整机基本性能、功能及运行需求，并建立飞机需求与发动机需求的可追溯性，同时，确定与发动机外部物理的和运行环境的功能接口（见图 2）。根据确定的发动机整机需求，确立发动机整39航空标准化与质量/2022-06Aeronautic Standardization&Quality Airworthiness Technique Studies 适航性技术与安全性研究机架构、边界以及边界内限定条件，结合飞机的需求为下一阶段在此架构和边界内实施具体系统/设备/软硬件的设计奠定基础，以满足所有已确立的安全性和技术性能需求，并将发动机整机级需求和飞机需求分配到系统（包括风扇增压级、压气机、燃烧室、涡轮、控制系统、健康管理系统、空气系统、机械系统等），为控制系统设计实现提供依据，形成系统初步研制需求。系统研制团队应对发动机、飞机和适航当局等利益相关者需求进行追溯和分析，所有的非衍生需求需要与其上层级需求建立链接。对于非安全性需求，可追溯性可以作为默认的需求确认方法；对于安全性需求，目前通常使用分析的确认方法进行需求确认；而对于衍生需求，则需要说明设计决策依据以及评价其是否合理，并反馈至上层级进行安全性评估。ARP 4754A 第 4.1.4、4.1.5、5.3 章给出了需求捕获和需求分配的详细指南，需求捕获过程的目标数据详见 ARP 4754A 附录表 A-2。2.2 系统架构设计阶段完成系统需求捕获过程后进入系统架构设计阶段，目的是完成系统需求的确认，并开展控制系统的整体架构设计，确立系统结构及边界，在该结构及边界内，实施具体的附件/软硬件设计以满足已建立的需求。可以考虑多个候选系统架构用于实现设计，而候选的系统架构可以通过技术成熟度、设计实施进度、生产能力、合同义务、经济性、以往经验及行业领先状况进行评估，为下一阶段在此架构和边界内实施具体附件/软硬件的设计奠定基础。同时，对于各候选系统架构，应通过使用功能和性能分析（FHA）、初步系统安全性评估（PSSA）和共因分析（CCA）等过程对系统架构进行迭代式的评估，以确定在满足分配到系统的功能和顶层安全性需求方面的可行性。此阶段有可能产生新的衍生需求，这些衍生需求同样需要说明设计决策依据以及评价其是否合理，并反馈至上层级进行安全性评估。ARP 4754A 第 4.1.6、5.1、5.4 章给出了系统架构研制、安全性评估、需求确认过程的详细指南，其目标数据详见 ARP 4754A 附录表 A-3 和表 A-4。2.3 系统需求分配阶段进入初步设计阶段后，需要将控制系统需求分配到附件/软硬件，为附件/软硬件的设计实现提供依据。系统架构的制定和系统需求至附件/软硬件需求的分配是紧密联系的、反复迭代的过程。此过程有可能使系统架构进一步更新，每次循环迭代都可能产生新的衍生需求，并且会加深对衍生需求的理解和确定，系统需求到附件/软硬件的分配原理也变得更加清晰。当在最终架构中满足了所有需求时，该过程即完成。向附件/软硬件分配和分解需求时，需要保证附件/软硬件可以完全实现所分配的需求。在此过程中需要基于飞机级和发动机级失效状态的严重程度，并结合控制系统的技术成熟度和研制经验完成研制保证等级的分配。将研制保证等级分配到系统功能和实现该功能的附件/软硬件，由此借助于恰当的确认和验证过程以减少研制过程中的差错。分配的研制保证等级不意味着硬件的具体随机失效概率，即当需要表明对安全性要求的符合性时，也要进行失效状态的概率分析。需要理解的是，系统功能或附件/软硬件研制保证的严格程度是通过研制保证等级的分配来建立的，系统功能所对应的是功能研制保证等级 FDAL，而附件/软硬件则对应的是项目研制保证等级 IDAL。在控制系统研制期间，可以将功能的 FDAL作为 IDAL 分配给附件/软硬件。如果几个附件/软硬件组合失效会导致失效事件，则可以根据ARP 4754A 表 3 和 ARP 4754A 中第 5.2.1 章节的规则将 IDAL 分配给附件/软硬件，在控制系统 PSSA 中应给出分配的逻辑依据。IDAL 分配的正确性的验证将在需求确认过程中完成。ARP 4754A 第 4.1.7、5.2、5.4 章给出了系统需求分配到附件/软硬件、研制保证等