民机刹车系统根据SAEARP4754A以需求为导向的研制流程简介

1、民机刹车系统根据SAEARP4754Az需求为导向的研制流程简介IntroductionofRequirementOrientedDevelopmentProcessforBrakeSystemofCivilAircraftbasedonSAEARP4754AYANGPeng(BrakeControlSystemofHydraulicDepartment，ShanghaiAircraftDesignandResearchInstitute，Shanghai201210，China)【】Towardstheimportant，criticalandhighlycomplexbrakesystem

2、ofcivilaircraft，V&VmethodofSAEARP4754Aimplementedinthedevelopmentprocessisintroduced.TherequirementallocationandcompliancerouteandFDAL/IDALallocationmethodareintroducedindetail.Basedonrealengineeringexperience，severalcriticalproblemsareproposedandanalyzed.Pertheintroduction，theimportanceofSAEARP4754

3、Aguidancetocomplexcivilaircraftandsystemsdevelopmentisclear.0引言在民用?w机的发展过程中，由于重要性和关键性，刹车系统的设计研发水平一致在不断进步。比如，起初的刹车系统并无防滑保护功能1，在速度和重量都较大的着陆或中止起飞情况下，飞行员大力踩刹车时，很容易造成轮胎爆死而爆破，爆破的轮胎碎片能量非常大，可能打坏主起落架支柱上的液压管路和电缆，甚至打穿机翼三角区或整流罩的蒙皮而破坏其内安装的设备元件，导致单侧或全部刹车功能丧失，使飞机偏出跑道或无法在跑道尽头停止而冲出跑道，出现机毁人亡的灾难级事故。因此在后来的刹车系统中引入了防滑保护功

4、能，防止轮胎爆破。后续随着对刹车系统安全性、制动效率等各种需求的不断提高，又陆续增加了接地保护、滑水保护、锁轮保护等功能，从而发展形成了当前主流具有高安全性、高制动性、高经济型、高舒适性的高度集成的民机刹车系统。对于民机及如刹车系统这样高度复杂集成的系统，研制过程可能持续510年。为了在漫长的研制过程中尽量避免少出现错误、降低研制成本，美国汽车工程师协会SAE出版了ARP4754GuidelinesfordevelopmentofCivilAircraftandSystems（民用飞机与系统研制指南）2，用于指导民机及其系统在开始设计到最终取得型号合格证的整个研制过程，目前最新版本为A版，及S

5、AEARP4754A。本文即针对民机刹车系统根据SAEARP4754A进行研制的过程进行浅析，重点为SAEARP4754A的核心需求分配与满足。1 以需求为导向的设计要求传递及满足路径如前所述，当前民机刹车系统高度复杂集成，各种设计要求/指标多且互有关联，如果仅采用传统的设计手段，容易造成设计要求/指标在传递过程中的丢失，或者设计出的系统无法完全满足制定的设计要求/指标，这样不仅会造成设计工作的重复性，延长研制流程，也会带来成本的大大增加。而根据SAEARP4754A指导的需求管理方法，就可以比较清晰地完成设计要求/指标自上而下的层层分配和自下而上的层层满足。SAEARP4754As求管理的核

6、心为双V,即需求确认Validation和需求验证Verification，如图1所示。其中需求确认为需求自上而下的分配过程，在每个层级的需求分配中，都确认所传递的需求是正确的，避免将错误的需求传递至下游研制过程中。需求验证为需求自下而上的满足过程，在每个层级的需求满足中，都验证所完成的设备/系统是能够满足所分配的每条需求的，避免最终设计出的产品无法满足顶层目标。这样通过自上而下和自下而上的双保险，就可以保证整个研制流程的正确性和有效性。对于刹车系统，以人工刹车功能为例，详细介绍需求传递与满足的路径。民机需要具有减速功能，这是设计要求，转换为需求描述语言即“飞机需要具有减速功能，通过刹车、发动

7、机反推和地面破升功能实现”。此需求传递至刹车系统后表达为“刹车系统需要具有刹车减速功能”，可分解为两条需求，即“刹车系统需要具有人工刹车功能”和“刹车系统需要具有自动刹车功能”。对于“刹车系统需要具有人工刹车功能”这条需求，传递至刹车控制子系统后表达为“刹车控制系统需要具有人工刹车功能”，此需求继续向下传递至软硬件级，成为刹车系统机载软件和复杂电子硬件的各项需求，如“刹车控制软件需要具有通过控制刹车控制阀的开口大小，从而控制刹车压力大小的能力”、“刹车控制复杂电子硬件需要具有硬件锁来防止刹车切断阀非指令打开”、“刹车控制软件IDAL需要为A级”等。然后刹车机载软件和复杂电子硬件就可以分别参照航

8、空无线电技术委员会RTCAI织的两份文件RTCADO178SoftwareConsiderationsinAirborneSystemsandEquipmentCertification（机载系统和设备合格审定中的软件考虑）3和RTCADO254DesignAssuranceGuidanceforAirborneElectronicHardware（机载电子硬件设计保证指南）4进行设计开发。通过以上的需求传递路径，清晰地将每条设计需求由虚拟的飞机/系统顶层传递至可以具体设计实现的软硬件层级。在每个层级，都可能产生新的衍生需求，对于所有这些无法向上追溯的需求，都需要通过需求确认的方法确认其正确性

9、。在软硬件开发完成后，需要以其为基础自下而上验证之前分配/衍生的每条需求是否都得到了实现。2 研制保证等级FDAL/IDAL在需求双V过程中，需要根据每条需求的重要性，称其为严酷度，来判断其确认和验证的方法，即严酷度高的需求特别予以关注，需要通过多种方法或流程的组合进行需求的确认和验证，而严酷度低的需求确认和验证的方法或流程可以少一些。此严酷度的等级，在SAEARP4754A中定义为DAL（DesignAssuranceLevel，研制保证等级），在系统层级为FDA（LFunctionalDesignAssuranceLevel，功能研制保证等级），在软硬件层级为IDAL（ItemDesign

10、AssuranceLevel，项目研制保证等级）。实际上，FDAL和IDAL均与安全性相关，安全性影响高的需求，其FDAL/IDAL相对高，安全性影响低的需求，其FDAL/IDAL相对就低。根据FAR25部AirworthinessStandards：TransportCategoryAirplanes（运输类飞机适航标准）的AC25.1309和SAEARP4761GUIDELINESANDMETHODFSORCONDUCTINTGHESAFETYASSESSMENTPROCESSONCIVILAIRBORNESYSTEMSANDEQUIPMENT民用飞机机载系统和设备的安全型评估过程的指南和

11、方法）5,功能故障影响等级FHA分为5个等级，依次为灾难级（I级）、危险级（II级）、较大影响级（III级）、较小影响级（IV级）和无安全性影响级（V级），其失效概率要求依次为小于1E-9、小于1E-7、小于1E-5、小于1E-3、无，一般对应的功能FDAL为AB、C、DE,如表1所示。表1?层功能的FDAL分配实际上，IV级的故障影响等级与FDAL的AE级并非总是一一对应，有些特殊情况，如外部独立事件可能降低严酷度要求等，本文仅分析一般情况，对此特殊情况不一一分析。当功能的FDAL确定后，就可以根据SAEARP4754A中的分配原则，将严酷度要求分配到用来实现此功能的每个项目（软硬件），形成

12、各自的IDAL。当对应的软硬件IDAL等级分配好后，就可以根据SAEARP4754A中的需求确认/验证表选择对应的方法进行需求的双V工作。同时，也就可以根据其IDAL,按照SAEDO178/SAEDO254中的对应研制流程进行软硬件的开发。FDAL/IDAL分配过程如图2所示。以人工刹车功能为例，此功能丧失后可能导致飞机在着陆或中止起飞过程中缺少足够的减速能力而冲出跑道，此影响为灾难级，即I级；同时，在起飞时，当飞机达到决断速度后，如果此时发生非指令刹车，则飞机就会减速，由于此时跑道长度不够，也会发生冲出跑道的灾难级事故，也为I级。因此，人工刹车功能的FDAL为A级。人工刹车功能通过刹车控制板

13、卡中的刹车控制软件和刹车控制复杂电子硬件（如FPGA即现场可编程门阵列）实现，因此其各自的IDAL也为A,刹车控制软件和刹车控制复杂电子硬件需要分别根据RTCADO178和RTCADO254中的最高要求进行开发。3 民机刹车系统实际双V过程中需要关注问题虽然SAEARP4754A给出了相对详细的双V流程，但在实际的民机刹车系统研制过程中，仍存在一些问题，需要给与特别关注。根据实际设计经验，本文列举出了一些需要特别关注的问题。3.1 人员独立性问题需求的双V过程中，有多种方法可供选择，如工程评审、安全性分析、试验、仿真等，当根据FDAL/IDAL等级要求，需要选择两种以上方法进行需求的双V时，需

14、要保证方法之间的独立性，以及设计人员与双V人员的独立性。尤其是对于工程评审这类依靠评审人员主观工程经验进行双V的方法，更需要关注独立性问题。3.2 PSSA的地位及迭代过程安全性评估与系统研制过程息息相关，如图3所示。PSSAJPreliminarySystemSafetyAnalysis,即初步系统安全性分析，用于针对FHA进行分析，以定义系统架构和对对下游子系统/元件的安全性要求，指导后续的设计和安全性分析工作。原则上先有PSSA才有系统架构。但在实际民机刹车系统研制过程中，一般在设计初就已根据先前经验定义了初步的系统架构，这样似乎与上述原则相悖。但实际上，双V流程并非单向的一次性流程，而

15、是双向的迭代过程。因此，在有了PSSAt,可以去验证初步定义的系统架构是否可以满足安全性需求，如无法满足则需要进行相应的系统架构修正，直至与PSSA分析出的安全性需求相匹配。3.3 FHA等级的确认对于FHA分析的功能故障等级要求，属于安全性需求类别，其验证比较简单，只需要在系统开发完成后进行系统安全性分析SSA自下而上地通过故障树分析FHA验证所设计的元件失效概率可以满足顶层FHA安全性概率要求即可。但对于FHA等级的确认就比较复杂，尤其是对于II级和III级的FHA等级，需要重点确认其为何不会导致I级事件，因而比较关键。而对于I级FHA因为已经对其是最高要求，其对应的子系统和软硬件也是按照最严苛要求进行设计，反而在需求确认上无需关注太多。根据工程实际经验，对于I、II级的FHA等级，由于进行试验确认的危险性比较高，一般通过工程模拟器或飞行模拟器进行仿真确认，