解讀AMC RPAS 1309

徐偉程，羅秋鳳，張銳，楊忠清

南京航空航天大學 無人機研究院，江蘇 南京 210000

介紹了針對無人機系統(tǒng)適航性的文件AMC RPAS 1309的背景、意義及適用范圍，然后對該文件提出的可接受符合性方法進行了詳細說明。依次闡述復雜性等級劃分、故障狀態(tài)分類、研制保證過程三部分內容，重點闡述了研制保證等級分配的方法。最后，對系統(tǒng)可用性與完整性進行了詳細解讀。

近年來，我國民用無人機產業(yè)快速發(fā)展，在物流貨運、農林植保、航拍攝影、能源管線巡檢、警用執(zhí)法、救援搶險、遙感探測、基礎設施與環(huán)境監(jiān)測、個人娛樂消費等民用領域廣泛應用。據(jù)民用無人機實名登記信息系統(tǒng)統(tǒng)計，截至2019年1月24日，已登記約29.5萬架無人機，其中，最大起飛重量25～150kg的無人機為2.5萬架，150公斤以上的為571架，650kg以上的為49架。無人機擁有者約26.8萬個，各類無人機型號3720個，制造廠家和代理商注冊數(shù)1239家。2018年度參加民航局試運行的8個無人機云系統(tǒng)，飛行小時合計約98.9萬小時。然而，隨著無人機數(shù)量的快速增長，無人機干擾民航運輸?shù)氖录r有發(fā)生，無人機安全管理問題凸顯。2019年初始，我國民航局密集地發(fā)布了3份文件，1月4日，發(fā)布了《輕小型無人機運行規(guī)定》修訂稿的征求意見通知；23日適航司印發(fā)了《基于運行風險的無人機適航審定指導意見》（民航適發(fā)[2019]3號）；2月1日飛標司、適航司、空管辦又聯(lián)合下發(fā)了咨詢通告《特定類無人機試運行管理規(guī)程 （暫行）》（編號：AC-92-2019-01），專門針對安全風險較高的無人機運行使用特定運行風險評估（SORA)方法。我國民用無人機通用航空政策對基于風險分類的適航管理模式達成共識，并對其相關的可接受的符合性方法類的管理規(guī)章建立具有強烈需求。

無人機系統(tǒng)規(guī)章制定聯(lián)合局（JARUS）的WG-6工作組于2014年1月發(fā)布AMC RPAS 1309第一版，并于2015年11月發(fā)布該文件的第二版。JARUS基于無人機系統(tǒng)特點，對現(xiàn)有的CS/FAR xx.1309等條款進行了適當修改剪裁，逐步建立了無人機系統(tǒng)適航認證的可接受符合性方法。該文件既可作為無人機系統(tǒng)適航認證的一種方法，又可作為無人機系統(tǒng)型式認證的一種思路。因此，研究學習該文件可為我國無人機系統(tǒng)的適航管理提供借鑒和參考。

AMC RPAS 1309共分為緒論、術語解釋、參考文獻、適用性、復雜性等級、飛機安全飛行和著陸的系統(tǒng)可用性和完整性、失效狀況分類及概率目標、飛機安全分離的系統(tǒng)可用性與完整性、系統(tǒng)安全性評估過程十個章節(jié)。前四個章節(jié)簡要介紹了該文件制定的背景及意義，對文件中涉及的專業(yè)術語進行了明確定義，對文件的適用范圍做了明確說明。第五章提出一種新的基于系統(tǒng)復雜性等級的無人機劃分方法，并詳細解釋了劃分的依據(jù)。第六到八章對無人機系統(tǒng)故障狀態(tài)進行分類，提出使用載人機事故歷史統(tǒng)計數(shù)據(jù)來近似估計無人機系統(tǒng)事故概率的思路、方法及依據(jù)，并據(jù)此進行研制保證等級分配；最后對“檢測與避障”功能故障進行了概述與研制保證等級分配。第十章概述了ARP4754A/ED-79A中提出的研制保證過程。

背景介紹

傳統(tǒng)的有人駕駛飛機系統(tǒng)安全評估標準被稱為“1309”標準。該標準作為載人機型式認證的一般適航要求，旨在確保飛機出現(xiàn)單一故障或多重故障時，可繼續(xù)保持安全飛行和著陸。該標準關注的側重點是保護機上人員安全及為地面人員和財產提供第三方保護。第三方保護由保證飛機持續(xù)安全飛行和著陸提供。由于無人機沒有機上人員，必須對無人機的安全評估標準和側重點進行調整。

JARUS的WG-6工作組在充分考慮到無人機系統(tǒng)特點的情況下，對載人機的“1309”標準進行剪裁修改，最終制定出針對無人機系統(tǒng)安全評估的可接受符合性方法AMC RPAS 1309。該文件概述了一種民用無人機系統(tǒng)與適航規(guī)章要求1309安全性評估一致的可接受的符合性方法，幫助申請人獲得型式認證許可；并指出所有類型的無人機系統(tǒng)的安全性評估都可以在相同的一般系統(tǒng)安全評估原則下得到解決。

適用范圍

在制定AMC RPAS 1309的同時，JARUS也在計劃制定一種基于風險的無人機系統(tǒng)監(jiān)管方法?；谠摫O(jiān)管方法，JARUS將無人機系統(tǒng)分為三大類：

(1)開放類：操作風險非常低的無人機系統(tǒng)。無適航性規(guī)定，1309不適用；

(2)特許類：操作風險可能對人員或財產造成一定影響的無人機系統(tǒng)。主要通過操作限制來減輕風險。根據(jù)操作類型和風險性質，可以使用1309進行型式認證；

(3)管制類：遵循傳統(tǒng)的飛機管制方法，包括強制遵守1309的型式認證。

因此，AMC RPAS 1309主要適用于管制類無人機系統(tǒng)的型式認證工作。同時，AMC RPAS 1309的適用性是無限制的，除了作為管制類無人機系統(tǒng)的符合性手段，也可對其它類別的無人機系統(tǒng)運用該方法（不論大小或重量）。

復雜性等級分類

根據(jù)載人航空器現(xiàn)有的初始適航要求，目前主要使用諸如重量、乘客數(shù)量、發(fā)動機類型/數(shù)量和性能等參數(shù)來區(qū)分飛機等級。然而，隨著無人機系統(tǒng)復雜度與集成度的提高，傳統(tǒng)載人機的等級分類方法已不再適用。為了更好地適應無人機的新特點，同時考慮到便于后續(xù)研制保證等級(DAL)的分配，RPAS AMC 1309提出了一種基于系統(tǒng)復雜性等級(CL)的分類方案。根據(jù)該方案將無人機系統(tǒng)分為以下三類：

(1)復雜性等級 I(CL I)：無人機系統(tǒng)在飛行管理和自動執(zhí)行任務功能上具有一定的自主權限。始終提供獨立的手動控制功能。軟件和機載電子硬件(AEH)的復雜度較低；

(2)復雜性等級II(CL II)：不能歸類為CL I的其他無人機系統(tǒng)。無人機系統(tǒng)在飛行管理和自動執(zhí)行任務功能上具有較高的自主權限。遇到緊急情況時，允許遠程機組手動控制。軟件和機載電子硬件(AEH)的復雜度較高；

(3)復雜性等級III(CL III)：具有完全自主權限的無人機系統(tǒng)。這一類無人機系統(tǒng)不在本文件的考慮范圍之內。

此外，CS-25部，CS-29部，CS-23部中的第IV類無人機不受該分類的影響。

故障狀態(tài)分類

AMC RPAS 1309采用載人航空領域的通用標準，將無人機系統(tǒng)故障狀態(tài)劃分為五類：

（1）無影響的

對無人機系統(tǒng)的安全沒有影響；

（2）輕微的

無人機系統(tǒng)的安全裕度或操縱特性輕微降低，遠程機組工作負荷輕微增加；

（3）嚴重的

無人機系統(tǒng)的安全裕度、操縱特性或分離保障有大幅度降低。遠程機組的工作量大幅度增加，或遠程機組的工作效率降低；

（4）危險的

無人機系統(tǒng)的安全裕度、操縱特性或分離保障顯著降低，其程度如下：無人機功能顯著喪失；安全裕度或操縱特性的顯著降低；工作負荷過高以至于不能依靠遠程機組準確地完成任務。

（5）災難的

無人機墜毀。

研制保證過程

研制保證過程包括確定需求和驗證需求是否滿足，以及必要的配置管理和過程保證活動。RPAS AMC 1309采用了DO-178C/ED-12C、DO-254/ED-80和ARP4754A/ED-79A中提出的研制保證過程。由于研制保證等級的分配取決于故障狀態(tài)的分類，因此安全分析過程應與研制保證過程一起進行，以識別故障狀態(tài)類別，從而確定相應的研制保證等級。在研制保證過程中，通過應用保證過程（DAL）進行測試和檢查來確保功能檢查覆蓋率/測試覆蓋率分配到全部失效狀態(tài)類別，從而保證故障狀態(tài)類別與安全目標水平相匹配。綜合上述文件的DAL分配方案，可得表1。

總之，研制保證是一種基于過程的方法，該方法通過足夠嚴格的標準，將可能影響飛機安全的故障的概率值限制在可接受的安全性水平之內，從而保證系統(tǒng)的安全性，其采用的嚴格性度量由DAL等級決定。

系統(tǒng)可用性與完整性

無人機系統(tǒng)的可用性與完整性要求與載人機有所不同。由于無人機系統(tǒng)可以分別處理不同的頂級風險，因此，無人機系統(tǒng)的可用性與完整性分為兩部分：維持安全飛行和著陸的系統(tǒng)可用性與完整性、維持飛機安全分離所需的系統(tǒng)可用性和完整性。前者的側重點是強制著陸或墜毀的系統(tǒng)故障，主要針對地面風險；后者的側重點是“檢測和避障”系統(tǒng)的可用性與完整性要求，主要針對空中碰撞風險。

表1 復雜性等級，概率，故障嚴重程度和軟件之間的關系以及維持安全飛行和降落到等效有人駕駛飛機所需的復雜硬件DAL（不包括失去安全分離）

維持安全飛行和著陸的系統(tǒng)可用性與完整性(地面風險)

根據(jù)經(jīng)驗公式，風險=f(事故率、人口密度、沖擊動力學、沖擊面積)。其中，人口密度和沖擊面積不能作為影響適航性的因素，因為無人機融入載人機空域的理念是無人機系統(tǒng)在空域中的操作是不受限制的。其次，沖擊動力學與飛機型式認證相關，故也不能歸為影響因素。因此，無人機系統(tǒng)的適航風險僅是事故率（每一類飛機的事故率）的函數(shù)，即風險 = g(事故率/種類)。

AC-23.1309-1E指出：在評估設計的可接受性時，需要建立合理的定量概率值。歷史證據(jù)表明，在能見度受限的情況下，飛機發(fā)生致命事故的概率值大約為每萬飛行小時1次，即事故率為1x 10-4/h。此外，根據(jù)事故數(shù)據(jù)庫的統(tǒng)計數(shù)據(jù)，飛機系統(tǒng)自身故障導致的事故大約占事故總數(shù)的10%?？梢院侠淼仡A期，對于新設計的飛機，發(fā)生致命事故的概率值不大于1×10-5/h。根據(jù)過去的飛機服役歷史可以假定一架飛機大約有10種潛在的災難性失效狀態(tài)。因此，將每飛行小時1x10-5/h的概率值平均分配給上述災難性失效狀態(tài)，每種失效狀態(tài)分配的概率值不大于1x 10-6/h。對于潛在災難性失效狀態(tài)，每飛行小時平均概率值的上限是1×10-6/h，這為定性概率“極不可能”建立了近似定量概率值。類似地，可為定性概率建立一一對應的定量近似概率值(近似事故率)。

AMC 25.1309和AC 23.1309-1E對多種機型建立了相應的近似事故率，對于無近似事故率的機型，使用最新的實際事故率統(tǒng)計數(shù)據(jù)。表2中列出的數(shù)據(jù)說明了實際事故率和近似事故率之間的關系，本表中使用了來自UK-CAA CAP 780統(tǒng)計的實際事故率數(shù)據(jù)。

對表2進行對比分析，可以發(fā)現(xiàn)：CS-25(1x10-6/h)中大型運輸飛機的近似事故率與真實事故率(4.8x10-6/h)具有相同的數(shù)量級，該近似值還提供了保守的安全裕度；對于CS-23 I類飛機，近似事故率(1x10-4/h)接近非公共交通類常規(guī)飛機的真實事故率(1.79x10-4/h)。由此可見，使用歷史統(tǒng)計數(shù)據(jù)建立的近似事故率來表征飛機的事故發(fā)生情況是可行的。

結合前述的復雜性等級劃分，可將這種方法運用到無人機上。需要注意的是：對于無人機系統(tǒng)，由于CL I無人機系統(tǒng)復雜度不高，可以按照等效載人機對待。而CL II無人機系統(tǒng)的復雜度遠遠超過CL I無人機系統(tǒng)，可以合理假設CL II無人機系統(tǒng)具有100種潛在失效狀態(tài)，近似事故率為1x10-2/h。表3演示了這種方法如何使用。

對表3進行對比分析，可以發(fā)現(xiàn)：

(1)為了保證與載人飛機的安全等效，不允許無人機系統(tǒng)的事故率高于等效載人飛機的事故率，因此，與載人機CS-23 I類等效的無人機系統(tǒng)的事故率不超過1×10-4/h；

(2)對于不存在等效載人飛機的無人機系統(tǒng)，應以1x10-4/h作為最小目標事故率；

(3)灰色部分顯示了無人機系統(tǒng)與載人機在潛在災難性失效模式數(shù)量上的差異。

表2 載人機事故率

表3 結合復雜性等級劃分的無人機事故率

維持飛機安全分離所需的系統(tǒng)可用性和完整性（空中碰撞風險）

在被允許進入非隔離空域之前，安全分離和避免空中碰撞的能力是無人機系統(tǒng)的必備功能。通常認為空中碰撞對所有類型的飛機都具有災難性后果，無論其大小或重量如何。即使是體積小，重量輕的無人機撞擊也可能導致?lián)p壞，從而影響兩架飛機的安全。然而，檢測和避障(DAA)技術目前仍是世界各國的共同難題。為了允許無人機系統(tǒng)在非隔離空域飛行，一些管理當局已經(jīng)允許接受其他方法，如使用追逐機、觀察員、強制空中交通管制監(jiān)視等，以達到檢測和避障的目標。

RPAS AMC 1309采用EUROCAE ED-79A/SAE ARP 4754A中包含的方法進行功能性DAL（FDAL）分配，并對外部事件進行了評估。在這種方法下，DAA功能可以被視為對無人機系統(tǒng)外部事件的保護功能，圖1描述了作為外部事件保護函數(shù)FDAL的分配情況。外部事件是指兩架處于沖突軌道上的飛機，無人機未能與另一架飛機分離。除了考慮錯誤操作或保護功能激活相關的故障外，對此類事件的安全分析還應至少考慮以下兩種故障情況：

(1)DAA功能故障與外部事件相結合；

(2)僅DAA功能故障。

上面定義的第一種故障情況被劃分為災難性的。盡管DAA功能故障本身沒有直接的安全效果，但該功能故障將導致安全裕度的降低，如果不能及時采取補救措施，外部事件可能會導致災難性的空中碰撞。因此，從圖1中可以看出，將FDAL A級分配給DAA系統(tǒng)是合適的。

圖1 作為外部事件概率函數(shù)的保護函數(shù)FDAL 分配

圖2 可能導致兩架飛機在沖突軌道上發(fā)生空中碰撞的故障示例

對于第二種故障情況，僅DAA功能故障會導致安全裕度顯著減少，根據(jù)ED-79A/ARP 4754A的指導方針，將該故障情況歸類到危險的是恰當?shù)?。又因為各類空域的操作都符合型式認可，因此不能排除無人機系統(tǒng)與大型運輸機發(fā)生空中碰撞的可能性。因此，危險的故障情形需要滿足與大型運輸機相當?shù)亩扛怕室?CS-25/29)。因此，1×10-7/h的概率值被認為適用于僅DAA功能故障情形。

此外，DAA功能的故障可能直接導致空中碰撞，即無人機被錯誤引導至另一架飛機的路徑上而不是遠離另一架飛機的路徑，其概率應保證不超過1x10-9/h，分配DAL A級。圖2中的示例演示了一種可能導致兩架飛機在沖突軌道上發(fā)生空中碰撞的情況。

對我國民用無人機系統(tǒng)適航的啟示

總體來說，RPAS AMC 1309對目前民用無人機系統(tǒng)適航安全的主要思路進行了高度概括和提煉。該文件充分體現(xiàn)了民用無人機系統(tǒng)適航安全的三大理念：(1)民用無人機系統(tǒng)必須保證較高的安全性水平(2)無人機系統(tǒng)不能造成比同等類型載人飛機更大的風險(3)無人機系統(tǒng)的適航技術應基于載人機適航技術。基于此三個理念，本文件最終得出結論“所有類型的無人機系統(tǒng)的安全性評估都可以在相同的一般系統(tǒng)安全評估原則下得到解決”，并在此結論的指導下，提出了一種可接受符合性方法。

因此，我國在制定民用無人機適航標準時，沒有必要單獨建立一套新的標準，可以效仿JARUS的經(jīng)驗，在載人航空器適航標準的基礎上建立一般性安全評估原則，并據(jù)此衍伸出相應的無人機系統(tǒng)適航標準或方法。這樣，既減輕了建立新標準的難度，又便于早日實現(xiàn)無人機系統(tǒng)融入載人機空域的目標。

結束語

RPAS AMC 1309為無人機系統(tǒng)適航驗證提供了全新的思路和方法?；凇暗刃О踩钡睦砟睿\用統(tǒng)計學方法對載人機歷史事故數(shù)據(jù)進行整合建立定量概率值，并據(jù)此對無人機系統(tǒng)進行“等效安全評估”，最后根據(jù)評估結果進行DAL分配。整個流程層層遞進、邏輯清晰，具有很強的實踐指導意義。■