编者注:本文作者是丰翼科技(深圳)有限公司的张建军,“适航思维”在此衷心感谢他无私的知识和经验分享,以及对本公众号的大力支持!
2024年1月1日及以后设计和制造的中大型民用无人驾驶航空器系统(以下简称无人机系统),均应当依据CCAR-92部获得适航批准。对于无人机系统设计和制造厂家而言,确定无人机系统的安全性目标并开展适航性设计是表明无人机系统适航符合性所必不可少的工作。本文首先研究了AAIB Bulletin: 10/2023公布的一起大型无人机系统C2链路中断事件调查报告。其次,从适航审定视角对这起事件进行深入分析后发现——无人机系统C2链路可接受的安全性目标至少应当定为:失效状态发生的概率小于1×10-4每飞行小时,可接受的最低DAL为D级。最后,结合案例对无人机系统C2链路的适航性设计顶层需求提出了三方面的建议:符合适航规章的要求是基础、过往经验已经表明技术可实现和决定最终成功的关键在于适航成本管理。2024年是民用无人驾驶航空器系统(Unmanned Aircraft System,UAS,也称无人机系统)适航管理元年。[1]各中大型无人机系统企业,已经在紧锣密鼓地开展无人机系统的适航审定工作。当前对于较复杂场景,无人机飞行仍高度依赖人工操控和外部导航。[2]作为无人机与有人机的最大区别——指挥和控制链路(Command and Control Link,C2链路),是地面控制站(Ground Control Station,GCS)或者操控设备与民用无人驾驶航空器(Unmanned Aircraft,UA,也称无人机)之间唯一的连接通道,C2链路故障或失效意味着无人机失去控制,甚至会发生灾难性事故。因此,对于,远程操控航空器系统(Remote Pilot Aircraft System,RPAS)C2链路而言,在相同外部条件下,无人机所对应的指标要求应该比有人机更严苛。[3]故而,在中大型无人机系统适航审定中,C2链路应当是被重点关注的子系统之一。
一个案例胜过一打文件。[4]英国民用飞机事故调查处——AAIB(Air Accidents Investigation Branch)2023年10月份发布的通告(AAIB Bulletin: 10/2023,AAIB-28937)公布了1起大型无人机在飞行中C2链路中断的事件调查报告。C2链路中断是中大型无人机系统领域的典型故障之一,因此研究该案例对后续开展中大型民用无人机系统C2链路的适航审定工作具有重要参考意义。2023年1月17日,国籍注册号为G-TEKV的大型无人机于05:38(UTC时间,下同)起飞,远程操控员(Remote Pilot,RP)通过GCS操控其飞行。超出视距无线电(Radio Line of Sight, RLOS)通信链路覆盖范围后,无人机通过超视距无线电(Beyond Radio Line of Sight, BRLOS)通信链路——卫星通信(Satcom)系统建立C2链路与GCS保持联接。13:46左右,在英吉利海峡临时危险区(Temporary Danger Area, TDA)EG D098上空飞行的过程中,主Satcom系统通信中断、C2链路中断、RP完全丧失对无人机的直接操控能力。RP执行Satcom中断程序,包括在GCS重置了Satcom页面。大约13:48,备用Satcom系统上线,C2链路重新建立;RP操控该无人机往回飞,并通过RLOS和4G信道建立更多的可用C2链路。14:16左右,主Satcom C2链路重新建立。无人机正常完成剩下的飞行任务,并于15:21降落。综上所述,G-TEKV无人机发生了持续大约2分钟的C2链路中断故障;主Satcom C2链路在中断大概30分钟后重新恢复联接。
G-TEKV无人机的型号是Tekever AR5 Evolution Mk 2(以下简称AR5)。AR5无人机系统由人工操控的GCS、C2链路和AR5无人机构成(AR5无人机如图1所示),其最大设计起飞全重:180kg,英国民航局CAA批准的运行限制最大起飞全重:165kg,属于大型无人机,其他信息如表1所示。[5]表1 G-TEKV无人机信息
![]()
![]()
图1 G-TEKV无人机
注:表1数据和图1均来自AAIB Bulletin: 10/2023.
根据飞行距离的不同,远程操控员通过GCS对AR5无人机的指挥和控制(C2)是通过视距无线电(Radio Line of Sight,RLOS)或超视距无线电(Beyond Radio Line of Sight, BRLOS)通信链路完成的。AR5无人机一共具备6条C2链路功能,其中5条具备RLOS和BRLOS的主、备功能。在不同的飞行阶段,可能同时有多个C2链路处于联接状态。其中,主RLOS系统工作的特定频段能够覆盖最大3km的半径;备用RLOS系统工作在另外的频段,最大能够覆盖4km的半径。BRLOS系统使用4G和Satcom通信信道来维持与飞机的通信联接。Satcom是卫星通信系统;主Satcom系统支持AR5无人机与GCS之间的C2链路、遥测和视频数据交换功能;备用Satcom服务由不同于主Satcom系统的服务商提供,优先保证C2链路功能,无法传输数据。当C2链路中断的情况发生时,AR5无人机能够进入保持模式并尝试重新建立C2链路通信联接。如果在规定的时间内通信无法恢复,AR5无人机会沿飞行计划内预设的“召回航线”自动返回指定的安全地点。预设的“召回航线”是运营人在AR5无人机起飞前,为避免与其他空中交通相冲突,并能够在飞行中根据天气和其他空中交通情况等不可控因素更改,与空中交通管制中心(ATC)协调划设的。一旦AR5无人机返航进入RLOS信号覆盖范围,即可通过RLOS信道重新建立C2链路联接,恢复GCS对无人机的远程操控。另外,AR5无人机还具备这样的功能——即使所有C2链路均中断、无法及时恢复的情况发生,也可以执行自动降落。本起事件的运营人(同时也是AR5无人机的设计和制造人)获得了英国CAA的运行批准,许可其在超视距(Beyond Visual Line of Sight, BLOVS)条件下开展特定类运行。运行许可的条件之一是,无人机必须具备在其任何控制系统(包括C2链路)中断或故障的情况下着陆的能力。运营人在申请运行批准时,提交了一份运行安全案例(Operational Safety Case, OSC)作为支持材料。OSC通过风险评估识别到了C2链路中断的风险,以及对应的空中碰撞安全风险;并针对C2链路中断的风险制定了如下风险缓解措施:远程操控员培训,
C2链路中断后的运行程序制定,
设计多冗余的C2链路通道,
在无人机上安装Mode S ADS-B应答机,
无人机自动RTH返航模式。
事件发生后,运营人向局方报告的同时,将AR5无人机的飞行日志文件发送给卫星通信(Satcom)服务提供商进行分析。通过飞行数据分析后发现,C2链路中断后,G-TEKV无人机自动返航模式(Return to Home,RTH)被激活,并根据预设的通信中断航路保持在TDA空域内飞行。而对于故障原因,初步分析认为,未预先提示的计划维修或者卫星服务功能退化可能是导致本起C2链路中断的原因。近一步分析表明,5:58至13:46期间,主Satcom终端按预期运行;13:46,天线控制单元接收到天线上报的发射块上变频器(TRANSMIT BLOCK UPCONVERTER, TXB)故障信息,主Satcom终端停止运行。主Satcom服务提供商表示,TXB故障的可能原因包括天线超温或天线发射接口与卫星调制解调器之间线缆上的10MHz参考信号中断2种情况。在确认天线工作温度并未超标之后,更换线缆并没有解决问题,并在随后的地面测试中再一次发生TXB故障。最后更换了主Satcom天线。更换主Satcom天线后,主Satcom服务提供商对G-TEKV无人机2023年3月6日飞行后的日志数据进行了分析,并未发现主Satcom故障的信息。运营人在随后的5次飞行中也没有监测到主Satcom中断的情况再次发生。最终,确定主Satcom天线故障是导致本起AR5无人机飞行中C2链路中断的原因。主Satcom天线故障导致AR5无人机飞行中发生间歇性的C2链路中断;随后,AR5无人机RTH自动返航模式被激活,以及多冗余的C2链路使得故障发生后2分钟左右又重新建立起C2链路联接;C2链路恢复之后,后续的飞行过程一切正常;最终本起C2链路中断事件并未造成飞行事故或其他严重后果。运营人表示,虽然本起事件并未造成严重后果,但是为了进一步缓解C2链路中断的风险,将执行改进措施——在后续AR5无人机的改型中,将增加功能:当可用的C2链路少于2条时,备用Satcom系统自动激活。
案例分析之适航审定视角
Airworthiness Perspective
从上述案例可知,C2链路对无人机系统的适航性具有显著影响,而且在实际运行中发生的故障比试验室测试或理论推测更具有代表性,对其进行研究能够为无人机系统的适航审定提供指导。
适航不是目的本身,而是保证安全运行的一种手段。无人机系统的适航管理正在经历从无到有的阶段,伴随的是从“要我适航”到“我要适航”的观念转变。
在上述C2链路中断事件案例中,运营人获得了英国CAA的特定类运行批准。与之相似,我国《民用无人驾驶航空器运行安全管理规则》(CCAR-92)第92.7条按照面向运行场景、基于运行风险、分级分类管理的原则,将无人机的运行分为开发类、特定类和审定类共三类运行。其中,特定类运行是指经运营安全评估,确定相应运行场景存在一定的风险,运行人除满足局方规定的一般运行要求外,还应当在运行前制定相应的风险缓解措施,以实现防范相应运行风险的运行模式。[6]运营安全评估的落脚点在特定类运行风险评估(Specific category Operations Risk Assessment, SORA)。如果特定类运行风险评估确定为低风险,那么就可以申请开发类运行;如果确定为高风险,那么就应当申请审定类运行。因此,我国适航管理当局(CAAC)和欧盟航空安全局(EASA)均发布了关于如何开展特定类运行风险评估的指导材料,比如CAAC飞标司、适航司和空管办三部门联合印发的《特定类无人机试运行管理规程(暂行)》(AC-92-2019-01)。[7]通过特定类运行风险评估,能够识别出特定运行场景下的地面风险和空中风险,并通过制定战略和战术风险缓解措施,防范相应运行风险。比如在上述C2链路中断事件案例中,运营人在申请运行批准时,已经通过运行风险评估识别到了C2链路中断的风险,并制定了相应的风险缓解措施。
无人机系统运行使用的前置活动是设计和制造。根据CCAR-92的要求,2024年1月1日及以后针对中大型民用无人机系统开展的设计及其后的制造活动,应当分别通过型号合格审定获得设计批准(型号合格证,Type Certificate, TC)和生产许可审定获得生产批准(生产许可证,Product Certificate, PC)。根据《民用无人驾驶航空器系统适航审定分级分类和系统安全性分析指南》(字号:民航适发〔2022〕18号,文号:AC-21-AA-2022-40,以下简称AC-21-40)的规定,在民用无人机系统设计批准适航审定过程中,应基于运行风险进行分级分类管理和确定可接受的安全性水平。划分民用无人机系统的运行风险等级,主要从民用无人机系统运行过程中潜在的危害性影响出发,综合危害的严重性和可能性两个要素判断。[8]一方面,民用无人机系统潜在危害的严重性以其无人机的最大审定起飞重量为基准,并结合最大使用限制速度计算的动能得出。在上述C2链路中断事件案例中,AR5无人机的最大起飞重量为180kg,根据AC-21-40关于危害严重性的分类标准,其危害严重性应当至少定为III级。另一方面,民用无人机系统潜在危害的可能性与申请开展的运行种类相关。在上述C2链路中断事件案例中,结合AR5无人机的信息和运行区域可知,该无人机系统在人口稀疏区域(英吉利海峡上空)、隔离空域(安装Mode S ADS-B应答机并与ATC协调空域)进行非载人(航拍)运行。综上所述,结合III级危害严重性,根据AC-21-40关于运行风险等级的划分标准,上述C2链路中断事件案例中,AR5无人机系统的运行风险等级应当至少划分为F级。
划分运行风险等级之后,应当确定对应可接受的安全性目标和适用的适航标准。安全性目标的确定,应当进行民用无人机系统的安全性分析,而安全性分析的首要问题,是明确失效状态影响。根据AC-21-40,民用无人机系统失效状态影响的严重程度由高到低依次分为:灾难性的、危险的、重大的、轻微的和无安全影响的共5类,如表2所示。表2 民用无人机系统失效状态影响的严重程度分类
![]()
由上可见,民用无人机系统失控是造成危害的关键,分析失效状态影响的严重程度应以此为出发点。在上述C2链路中断事件案例中,C2链路中断的大约2分钟内,RP完全丧失对AR5无人机的操纵能力,但是AR5无人机终止继续飞行、应急程序自动激活,保持在预设的TDA空域内飞行,并安全返航进入RLOS信号覆盖空域重新建立C2链路联接后,RP恢复对AR5无人机系统的操纵能力,并按预期正常执行完任务后安全降落。综上所述,在上述C2链路中断事件案例中,从AR5无人机系统整体角度来看,C2链路失效状态影响应当是重大的。根据AC-21-40的标准,AR5无人机C2链路系统可接受的安全性目标应当是:失效状态发生的概率小于1×10-4每飞行小时,可接受的最低研制保证等级(Design Assurance Level,DAL)为D。
案例启发之C2链路适航性设计顶层输入
Inspiration
案例研究的主要目的之一,是为后继的新产品设计提供指导,避免新产品具有类似不安全特征或特性而影响新产品的适航性。它山之石可以攻玉,虽然这是一起国外的大型无人机系统C2链路中断事件案例,但是其经验教训仍然能够为我所用。
首先,适航规章作为面向适航设计研发的飞机产品应当符合的强制性标准,是适航性设计活动顶层输入的基本来源。一方面,对于初始适航。CCAR-92部第92.617条(d)款规定,无人机系统应当具有符合局方要求的有效空地无人机C2链路功能。因为第92.617条是一般运行要求,属于从运行的角度对民用无人机系统及设备提出的适航要求,所以对于拟用于开展民用无人机系统运行(包括开发类、特定类和审定类),以及拟通过型号合格审定获得设计批准的中大型无人机系统,均应在设计时考虑这一运行要求。对于审定类运行,适航规章还对C2链路提出了更高的适航要求。第92.679条规定,运行人应当使用符合局方要求的服务水平协议,对其直接控制的C2链路,或者C2链路通信服务提供方提供的服务进行管理,以确保C2链路符合与运行相适合的通信业务处理时间、连续性、可用性和完好性要求。综上所述,对用于特定类运行的民用无人机系统,具备C2链路功能即可满足适航规章的要求,而对于审定类运行的,还需要在C2链路的性能方面满足适航规章的要求。另一方面,对于持续适航。第92.619条(a)款第(3)项规定,运营人应当对持续保持民用无人机系统的适航状态负责,并在实施运行时保证C2链路设施设备处于确保无人机安全飞行的工作状态。第92.619条也是一般运行要求,从持续适航的角度对运营人提出了适航要求。而运营人对C2链路的持续适航状态保持,离不开C2链路设施设备设计和制造厂家的支持,包括初始适航审定和持续适航维护手册等。例如,在上述C2链路中断事件案例中,主Satcom服务提供商在事件调查和设计改进中提供了大力帮助。同样地,对于审定类运行,适航规章还对运营人的C2链路运行提出了附加的管理要求。第92.697条规定,运营人应当按照局方要求,制定民用无人机C2链路的建立、保障和终止程序,确保体验服务质量满足RP安全控制民用无人机的所需性能;并制定C2链路非正常和紧急程序,以确保在C2链路故障时,民用无人机能够按照预设程序和可预期的飞行轨迹飞行。例如,在上述C2链路中断事件案例中,AR5无人机在C2链路中断后,自动激活RTH程序按照预设航线在预定空域内返航。
其次,飞机的设计研制是反复迭代、反复更改、逐步完善的过程。历史经验和教训是设计和制造厂家获取新产品设计研发阶段顶层安全性需求,避免由类似原因再次引起飞行不安全事件的重要来源。一方面,根据《国际民用航空公约》附件13发布的调查报告,会以简明的语言陈述发生事故的原因、相关设备的信息等,而且还会为预防类似事故再次发生而提出安全性建议和改正措施,并作出相关说明。考虑这类信息并将其作为新产品安全性顶层输入有助于有效规避类似原因引发的风险,提高飞机安全性水平。[9]在上述C2链路中断事件的案例中,从调查报告可以看出,AR5无人机的备用Satcom系统并非热备份,而是当所有C2链路均不可用时才会激活,因此发生了持续大约2分钟的C2链路中断不安全事件。经过本事件,AR5无人机厂家更改了设计——当C2有效链路少于2条时,备用Satcom系统自动激活,这一设计更改能够有效减少C2链路再次中断的不安全事件。另一方面,对于设计和制造厂家而言,先前飞机的设计和运营经验可以为在研产品提供广泛且可利用的数据,尤其在使用相似性分析作为适航审定的符合性验证方法之一时,不仅能够有效缩短新产品的研制周期,还可以有效减少研发成本。另外,隐性故障和共因风险会随着飞机运营时长的增加和经验的积累而被暴露。此外,由于在飞机定量安全性评估所使用的部分数值是以历史数据为基础、采用故障树之类的分析方法得出的。此类根据历史数据预测的数值具有随着样本的增大而愈发准确的特性,因此,将过往飞机的设计和运营经验科学地纳入到新研项目,作为适航性顶层输入之一有助于设计和制造出适航性更优的飞机。
最后,成本是决定民用无人机系统取得最终商业成功的关键因素。与大飞机一样,民用无人机系统激烈的市场竞争使得经济性成为在保证安全性前提下的最重要评价要素;经济性的优劣往往直接决定了民用无人机系统的成败,最终会影响到民用无人机系统设计和制造厂家的自己的生存状态。[10]因此,民用无人机系统的设计应当在符合最低安全性需求(适航性)和满足市场要求的前提下,根据飞机目标销售价格,将目标成本(主要包括预防成本、设计符合性成本、制造符合性成本、适航损失成本等适航成本,以及运营成本)作为设计的顶层输入之一,并着力处理好安全和发展的关系。一言以蔽之,为了满足适航管理的要求而不计成本,企业的发展是不可持续的;反之,只注重成本管理而忽视适航管理的要求,会给企业造成毁灭性的打击,也是不可取的。[11]在民用无人机系统中,C2链路与其他子系统不同——除了设备设施的设计、制造、采购和维保等成本,C2链路还需要考虑通信资费问题。而民用无人机系统运营过程中C2链路通信资费的高低,很大程度上是由设计和制造时所选择的C2链路实现路径所决定的。例如,传统短信每条仅需1毛钱,但是Satcom短信却需要5元。[12]在上述C2链路中断事件的案例中,BLOVS有4G和Satcom两种方式就是一个考虑运营成本的鲜明例子。
综上所述,虽然AAIB Bulletin: 10/2023公布的这起大型无人机系统C2链路中断事件并未造成严重后果,但是该事件依然得到AR5无人机系统设计和制造厂家的高度重视,并在详细调查分析后,主动通过设计更改的方式进一步降低该无人机系统的运营风险,这种认真和谨慎的态度是值得我们学习的。进一步,从适航审定的视角对这起事件进行分析,可以基本确定,民用中大型无人机系统C2链路可接受的安全性目标至少应当定为:失效状态发生的概率小于1×10-4每飞行小时,可接受的最低DAL为D级。最后,结合案例和我国刚颁布生效施行的CCAR-92部可知,民用中大型无人机系统C2链路的适航性设计至少应当考虑如下三个方面:适航规章、过往经验和适航成本管理。
参考文献
[1] 张建军,周沐.适航成本管理在无人机企业的推行及应用[J].民航管理,2024,(03):89-93.
[2] 刘欢,郝茜茜,刘文慧等.无人机智能测控技术发展趋势[J].中国科技信息,2023(19):67-71.
[3] 周强,卫永安,刘广才等. 未来空域下无人机通信性能指标研究[C]//中国公路学会,世界交通运输大会执委会,西安市人民政府,陕西省科学技术协会.世界交通运输工程技术论坛(WTC2021)论文集(上).人民交通出版社股份有限公司,2021:4. DOI:10.26914/c.cnkihy.2021.010686.
[4] 方舢. “一个案例胜过一打文件”[N]. 安徽日报, 2024-01-15(002). DOI:10.27996/n.cnki.nahrb.2024.000236.
[5] AAIB Bulletin: 10/2023, [EB/OL].(2023-10-12) [2024-05-18].
[6] 中国民用航空局政策法规司.民用无人驾驶航空器运行安全管理规则[EB/OL].(2024-01-01)[2024-05-19].
[7] 中国民用航空局空管行业管理办公室.特定类无人机试运行管理规程(暂行)[EB/OL].(2019-02-01) [2024-05-19].
[8] 中国民用航空局航空器适航审定司.民用无人驾驶航空器系统适航审定分级分类和系统安全性分析指南[EB/OL].(2022-12-21) [2024-05-19].
[9] 郭博智,王敏芹,阮宏泽主编. 民用飞机安全性设计与验证技术[M]. 北京: 航空工业出版社,2015.8:23.
[10] 陈迎春作;顾诵芬主编. 大型客机设计制造与使用经济性研究[M]. 上海:上海交通大学出版社, 2011.06:126-138.
[11] 张建军,周沐.适航成本管理初探[J].民航管理,2022,(10):37-41.
[12] 赵妍. 卫星电话:香不香[N]. 通信产业报,2023-09-18(003). DOI:10.28806/n.cnki.ntxcy.2023.000331.
![]()
欢迎关注和转发![]()
![]()
