高清可复制 HB 8485-2014(2017) 民用飞机环境控制系统故障隔离要求

ICS 49.090 V 44

HB 8485-2014

民用飞机环境控制系统故障隔离要求

Requirements for fault isolation in environmental control system of civil aircraft

2014-07-09 发布 2014-11-01 实施

中华人民共和国工业和信息化部发布

前言

本标准按照 GB/T 1.1-2009 给出的规则起草。

本标准由中国航空综合技术研究所归口。

本标准起草单位：中国商用飞机有限责任公司上海飞机设计研究院、中国航空综合技术研究所。本标准主要起草人：辛旭东、简夕忠、南国鹏、苏利焱、田力伟、楼林、况薇、舒秀丽。

民用飞机环境控制系统故障隔离要求

1 范围

本标准规定了民用飞机环境控制系统故障隔离的一般要求。

本标准适用于民用飞机环境控制系统故障隔离的设计与验证。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件， 仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

HB 7489-2014 民用飞机环境控制系统通用要求

ARINC 604 机内测试设备的设计和使用指南(Guidance for design and use of built-in test equipment)

ARINC 624 机载维修系统设计指南(Design guidance for onboard maintenance system)

3 术语和定义、缩略语

3.1 术语和定义

下列术语及定义适用于本文件。

3.1.1

故障 fault

系统不能执行规定功能的状态，预防性维修或其他计划性活动或缺乏外部资源的情况除外。

3.1.2

故障隔离 fault isolation

在系统中识别故障单元、装配件和单个零件的系统程序和措施。

3.1.3

故障隔离分析 fault isolation analysis

对故障原因、指示以及在系统设计中确定故障隔离率等级的系统性评估。

3.1.4

平均非计划拆卸间隔时间 mean time between unscheduled removals

与支援资源有关的一种可靠性参数。其基本度量方法为： 在规定的条件下和规定的时间内，累积的总设备飞行时间除以同一时间内设备的非计划拆卸次数。

3.1.5

航线可更换单元 line replaceable unit

可以作为整个单元移除和更换的设备或由设备组成的装配件。

3.1.6

地面支援设备 ground support equipment

用于支援飞机及其机载设备使用与维修所需的地面设备。

3.1.7

主最低设备清单 master minimum equipment list

由中国民用航空局批准的、在某些运行条件下可以不工作， 但仍可以提供可接受安全水平的项目清单。

3.1.8

中央故障显示系统 centralized fault display system

恢复和显示 BITE 数据的中央故障命令/显示终端，是 ARINC 604 中描述的系统。

3.1.9

机载维护系统 on-board maintenance system

用于存储飞机上所有维护信息的系统，是 ARINC 624 中描述的系统。

3.1.10

发动机指示与机组告警系统 engine indication and crew alerting system

显示发动机和飞机系统状态以及提供机组告警信息的系统。

3.2 缩略语

下列缩略语适用于本文件。

ATA——航空运输协会(Air Transport Association)

BIT——机内测试(built-in-test)

BITE——机内测试设备(built-in-test equipment)

CFDS——中央故障显示系统(centralized fault display system)

EICAS——发动机指示与机组告警系统(engine indication and crew alerting system)

FIA——故障隔离分析(fault isolation analysis)

GSE——地面支援设备(ground support equipment)

LRU——航线可更换单元(line replaceable unit)

MMEL——主最低设备清单(master minimum equipment list)

MTBF——平均故障间隔时间(mean time between failure)

MTBUR——平均非计划拆卸间隔时间(mean time between unscheduled removals)

OMS——机载维护系统(on-board maintenance system)

4 要求

4.1 功能

环境控制系统一般应具有以下故障隔离功能：

a) 提供快速和准确的措施来隔离环境控制系统中的故障 LRU 以延长 MTBUR;

b) 合理识别飞行中环境控制系统发生故障的分系统或 LRU，以便机组成员能够自动或手动运行备份的分系统或 LRU。

4.2 设计方法

4.2.1 确定目标

设计带有有效故障隔离功能的环境控制系统时，应通过以下项目来合理定义系统要求：

a) 环境控制系统的主要工作按 HB 7489-2014 第四章中的加热与冷却、流量和压力控制等相关规定。

b) 环境控制系统设计的边界条件：

1) 型号专用规范中定义的飞机高度—温度包线;

2) 环境控制系统性能的高度—温度包线，按 HB 7489—2014 中表 2 的规定;

3) 系统可接受的工作范围(座舱压力高度的容差，空调系统流量控制的容差等)。

c) 其他要求包括但不限于：

1) 系统、分系统及 LRU 的 MTBUR 和 MTBF 的保证：故障隔离准确率=MTBUR/MTBF× 100%，环境控制系统故障隔离准确率一般宜达到 90%或由型号专用规范确定;

2) 故障隔离的时间限制、往返飞行再次离站时间的保证(包括故障隔离、移除以及替换 LRU的时间)，通常环境控制系统的 LRU 过站更换时间宜不大于 20min，不包括接近被更换件的时间;

3) 影响故障隔离设计的特定安装环境条件(位置、通道和温度);

4) 提供给 CFDS/OMS 或者其他系统状态(如座舱压力高度、座舱压力变化率、引气温度与压力、电子设备舱冷却温度与流量信息等)指示要求;

5) 环境控制系统及设备的虚警率一般应不大于 3%。

4.2.2 权衡分析

设计环境控制系统，应在进行权衡分析时考虑以下因素：

a) 系统运行要求;

b) 故障隔离的有效性——要求进行初步的 FIA，按 4.2.3 的规定;

c) 系统 LRU 清单;

d) 系统可靠性(MTBF);

e) 系统 MTBUR(要求进行初步的 FIA);

f) 系统或 LRU 简化;

g) MMEL 限制;

h) 研发风险;

i) 研发时间;

j) 客户可接受度;

k) 驾驶舱和安装空间分配以及驾驶舱操作和显示体系;

l) 安装重量;

m) 机组成员的工作负担(要求进行初步的 FIA);

n) 现有系统的通用性(影响运营和培训);

o) 操作和维修培训要求(包括维修人员技术水平的考虑);

p) 设备和系统容差的预测及成本效益控制;

q) 航线中设备供给(备件要求)。

4.2.3 初步分析

环境控制系统初步设计时，应进行系统 FIA，分析结果与系统设计方案反复迭代，以完善系统的设计，一般应包括以下步骤：

a) 列出系统中的 LRU;

b) 对每个 LRU 执行故障模式与影响分析(FMEA)，应说明每一故障模式对系统的影响(常见的环境控制系统故障模式包括活门在开位或关位失效、引气超温和低温、引气流量或压力低等);

c) 对每个 LRU，列出可能出现在航线服役中的初步系统故障模式;

d) 对每一主要的界面接口系统，应考虑每一种可以用于分析的明显的系统故障指示(机组成员可觉察到);

e) 对每个 LRU 的故障模式，列出故障模式在系统故障中的百分比;

f) 对每个 LRU 的故障模式，列出初步的较明显的指示(机组成员可觉察到);

g) 初步的 FIA 完成时，应评判故障隔离程序是否符合系统设计要求;如不符合，应发现并更改系统设计中的缺陷，重复步骤 a)～f)直到设计或故障隔离程序的更改符合系统设计要求。

4.2.4 详细分析

4.2.4.1 容差分析

在环境控制系统设计方案冻结前，应从设备级到系统级进行容差分析。系统容差的确定可利用下述两种方法之一：

a) 当故障监测存在三个或三个以下参数，应取每个控制检查点最大容差的绝对值之和;

b) 当故障监测存在三个以上参数，应使用均方根方法，并监控实际的结果，采取扩大容差或改变设计方法以满足设计要求。

4.2.4.2 界面综合

进行环境控制系统的 FIA 时，应考虑以下界面综合的要求：

a) 应对环境控制系统主要分系统的界面进行说明(如果引气系统或空调系统的故障将导致座舱压力控制系统出现故障，在座舱压力控制系统的故障隔离设计中应考虑此情况);

b) 应明确环境控制系统的输入及输出信息;

c) 环境控制系统和其他系统的界面以及与飞机的界面综合，均应考虑不同构型下系统的稳态与动态性能。

4.2.4.3 信息最小化

为实现信息最小化，环境控制系统可利用来自其他系统或设备的数据来进行故障隔离(如大气数据计算机、自动飞行控制系统、发动机控制系统等)。

应进行权衡分析来判断使用这些数据是否有效，并考虑可靠性要求以及是否会增加线路的重量和费用。

4.2.4.4 硬件因素

进行环境控制系统的 FIA 时应考虑以下硬件因素：

a) LRU 的可靠性——在满足系统安全性、可靠性、系统设计等要求下，应尽量减少 LRU 数量;

b) 移除与替换时间——应有效辨别故障的 LRU，LRU 应易接近、易移除和易替换;

c) 故障状态显示——可在驾驶舱控制面板或中央维护面板上显示。

4.3 故障监测

4.3.1 监测准备

监测准备应与系统性能监测并行开展，并满足以下要求：

a) 应将影响起飞决策的系统故障通告给机组成员，通告方式可采用自动读出或询问的形式;

b) 应通过 MMEL 确定环境控制系统中功能降低的分系统，获得允许派遣的相关数据;

c) 在某些存在的故障影响飞行条件之前，系统能够根据修正指令完成系统故障状态下的重构。

4.3.2 系统性能监测

系统性能监测应满足以下要求：

a) 将所选环境控制系统的分系统性能以数字或图形的形式显示在屏幕上;

b) 容差范围之内的系统性能数据一般以绿色显示，超出容差范围的数据一般以红色或琥珀色显示(如当机翼防冰系统的功能不正常时，应有琥珀色戒备灯或等效戒备信息向机组成员报警);

c) 可利用其他常规的图形使机组成员能够获知系统性能的状态。

4.3.3 系统性能降低趋势的监测

系统性能降低趋势的监测应满足以下要求：

a) 通常在地面检查试验时进行;

b) 应周期性自动或手动记录所选择的性能参数，用于地面分析或超出容差范围的性能诊断。

4.3.4 数据记录

应通过分析各种 LRU 的故障模式来确定 LRU 故障。LRU 故障数据的记录应满足以下要求：

a) 数据可用并被储存在控制器中;

b) 数据可由所存储的控制器读出，用于分析故障并进行维护;

c) 当被连接到自动测试设备上时，可实现 LRU 自诊断。

4.3.5 信息传递

环境控制系统的故障隔离数据可通过以下三种方式记录和存储：

a) 中央维护计算机——两种基本实现方式为 CFDS 和OMS，采用 CFDS 的应按 ARINC 604 的规定，采用 OMS 的应按 ARINC 624 的规定;

b) EICAS;

c) 健康管理系统。

4.4 故障隔离

4.4.1 故障模式的分类原则

环境控制系统故障模式的分类应满足以下要求：

a) 当故障发生不带来任何妨碍飞机营运能力或增加机组成员工作负担的安全性影响时，记录报告应被记录到中央维护计算机里，不予通报;

b) 当故障发生不影响飞机安全，机组的操作仍在其能力范围内，或会降低飞机的能力，或降低机组成员处理不利操作情况的能力时，提示或警戒信息将通过 EICAS 告知机组成员，提醒机组成员采取措施;

c) 当故障发生妨碍继续安全飞行和着陆时，警告信息将被保留在中央维护计算机里，同时通过EICAS 告知机组成员立即采取纠正措施。

环境控制系统常见的主要故障模式分类及相应措施的示例可参见附录 A。

4.4.2 基本方法

环境控制系统的故障隔离一般应通过以下方法实现：

a) 人工 BIT——维修人员使用单个开关、电磁开关指示器、灯、仪表以及它们的组合进行性能测试来识别故障的 LRU(环境控制系统分系统的故障隔离采用人工 BIT 的示例可参见附录 B)。

b) 自动 BIT，包括以下三种可执行的基本方法(通常环境控制系统及其 LRU 可采用这三种自动BIT 方法的组合)：

1) 全自动——当系统在不需要人员参与情况下工作时，应进行连续或周期性测试;

2) 人工查询——手动启动自测时，可查询非易失性存储器和识别已经失效的 LRU，并且故障指示应储存在非易失性存储器以及直到维修人员要求才会显示;

3) 人工启动自动测试——可由维修人员手动启动自动测试(通常按下按钮)。

c) GSE 测试方法——当使用GSE 进行测试时，GSE 应可靠、操作简单、体积小和便于携带， 且GSE 应作为最后采用的排除故障方法。

d) 技术出版物方法——对于一些简单或者具有高度可靠性的系统，可通过在技术出版物的软件逻辑程序进行系统故障隔离。

4.4.3 纠正措施

4.4.3.1 自动纠正措施

可采取以下自动纠正措施：

a) 在地面或飞行连续 BIT 监控期间，当故障被探测和隔离至最小运行功能等级，可以引入备份控制功能;

b) 当不影响飞行安全或对乘客和机组成员的舒适性不造成显著影响时，对于特定的一些故障模式也可以使用降低性能的运行状态;

c) 对于具有自动备份功能、手动备份功能或者无备份功能的系统故障模式， 应进行权衡分析和决策来确定其要求的范围，并考虑飞行安全和机组成员的工作负荷。

4.4.3.2 机组成员的纠正措施

驾驶舱显示器应显示不同类型信息，告知飞行机组成员环境控制系统发生故障或其他状态，一般可分为警告、警戒、提示和状态四个等级：

a) 对于警告等级，机组成员应立即知晓警告信息，并立即采取纠正或补偿行动;

b) 对于警戒等级，机组成员应立即知晓警戒信息，随后根据需要采取纠正或补偿行动;

c) 对于提示等级，机组成员应知道飞机能力降低的提示信息，随后根据需要采取纠正或补偿行动;

d) 对于状态等级，机组成员应知道飞机非正常的系统配置的状态信息，但不需采取纠正行动或补偿行动。

4.4.3.3 维修人员的纠正措施

维修人员应考虑飞行航线的环境和限制条件，并采取以下纠正措施：

a) 在进行系统故障隔离程序前，应对当前存储在 OMS 中的相关系统维修信息进行查阅;

b) 按照故障报告手册和维修手册中规定的程序进行系统故障隔离。

5 验证

5.1 试验室试验和机上地面试验

应对系统故障隔离设计的有效性以及系统容差分析的结果进行验证。在进行部件级和系统级鉴定试验时，应对系统故障隔离程序和相关 BITE 的功能进行验证，在试验中应复现系统 FIA 中注明的故障。

使用 BITE 进行检测应满足以下要求：

a) 试验中在可接受的容差范围内复现所有故障模式，BITE 不应产生错误的故障指示;

b) 当遭受电磁干扰和电源瞬态变化发生时，BITE 不应产生错误的故障指示;

c) 当关联系统出现故障时，BITE 不应产生错误的故障指示。

5.2 飞行试验

在试验室试验和机上地面试验后，应通过飞行试验来验证系统能够在预期飞行环境下完成预定功能，通过飞行试验验证系统故障与相关纠正措施相互关联，来确保系统故障隔离运行正常。

5.3 初期航线运行

在初期航线运行前，在运营方的维修场地，飞机制造商和系统供应商应共同建立验证计划和操作流程。

在初期航线运行中，应收集与硬件、软件及纠正操作程序相关的故障隔离信息， 并验证故障隔离准确率等设计目标。

附录 A

(资料性附录)

民用飞机环境控制系统常见的主要故障模式与采取的措施

A.1 范围

本附录规定了民用飞机环境控制系统常见的主要故障模式及出现故障后相应采取的措施。

A.2 民用飞机环境控制系统的 EICAS 信息表

一个完善和成熟的环境控制系统应能对系统可能出现的各种失效状态进行准确定位和反馈，使机组成员和地面维护人员根据系统的告警或提示信息迅速判断出现故障的系统和功能甚至是设备，并对相应的故障进行隔离。

民用飞机环境控制系统常见的主要故障模式包括对系统功能级的 EICAS 告警信息可参见表 A.1。

机组成员可以根据表 A.1 迅速对系统定位发生故障的系统和功能，然后根据飞行手册要求对故障系统进行隔离。

地面维修人员可以根据 OMS 信息表迅速判断发生故障的设备，然后根据故障隔离手册要求对故障设备进行隔离。

表 A.1 环境控制系统常见的主要 EICAS 信息表

表 A.1 环境控制系统常见的主要 EICAS 信息表(续)

表 A.1 环境控制系统常见的主要 EICAS 信息表(续)

附录 B

(资料性附录)

民用飞机环境控制系统故障隔离采用人工 BIT 方法的示例

B.1 范围

本附录以空调温度控制分系统为例，给出了环境控制系统故障隔离方法之一—人工 BIT 的示例。

B.2 具体设计

B.2.1 系统描述

空调温度控制系统主要包括空调组件温度传感器、导管温度传感器、区域温度传感器、配平空气活门、系统控制器、环境控制系统/辅助动力装置接口控制器、空调组件冲压空气活门和涡轮旁通活门以及温度选择器。

B.2.2 系统运行

空调系统从发动机或者辅助动力装置或者地面气源车引气。两套空调组件给三个温度控制区域供气，每个温控区域单独控制：

a) 自动温度控制——来自驾驶舱面板上的温度选择器(分为：驾驶舱、前客舱和后客舱)以及从每个区域及区域供气管温度传感器的输入和系统控制器相连。系统控制器控制配平空气活门， 同时给空调组件控制和辅助动力装置控制器发送需求信号。通过调节配平空气活门和冲压空气活门及涡轮旁通活门控制空调组件出口温度来满足区域温度要求。

b) 手动温度控制——手动备份提供区域和空调组件温度控制。

B.2.3 区域和空调组件温度控制系统的飞行管理

为了合理地管理该系统，采用一套最低数量配置的按钮和指示信息来使机组成员监测系统性能和评估手动操作。读取这些数据也是系统故障隔离方案中的组成部分， 并知道用于故障检测的不同条件下可接受的系统性能极限：

a) 驾驶舱面板——在驾驶舱面板上通过一定的合理方式从上到下布置配平空气按钮、空调组件开或关按钮和流量选择按钮;

b) 空调系统简图页——在简图页显示冲压空气活门、空调组件出口温度、区域温度、导管温度和配平活门工作状态等信息;

c) 容差范围之外的指示器——用于容差范围之外的情况，如三个区域导管进口超温、配平系统失效等。

B.2.4 故障隔离初步设计

B.2.4.1 总则

初步设计按 4.2 中的方法，之后再确定更为详细的设计要求。初步设计时，硬件设计需考虑如下：

a) 应该考虑主动失效和被动失效。其中， 主动失效是指在驾驶舱面板上显示的失效，被动失效是指不在驾驶舱面板上显示的失效。

b) 采用基本的设计原理，使用比测试中的控制单元明显更可靠的 BITE，尽可能多使用简单的测试方案和简单的电路来实现高可靠性。BITE 应设计成在地面气源关闭和仅电源打开的情况下

可由地面维修人员运行。因此， 可直接检测所有的电子设备，但必须通过检查软件逻辑程序的方法检测。

c) BITE 设计成在所有的情况下当单个LRU 失效宜不隔离多个LRU 失效(可靠性的另一种设计简化)。

d) BITE 应设计成在地面极端的飞机温度和压力条件下能运行，这样当检查一些 LRU(如温度传感器)时，一些特殊问题将显现出来。

e) 当主动的系统失效被机组成员检测出来时，可采用 BITE 的设计原理。

B.2.4.2 初步设计成果—软件

在驾驶舱合理地使用空调系统控制面板和简图页的方法，对于环境控制系统绝大多数分系统是种有效的故障隔离方法。系统供应商和飞机制造商可以共同提供详细的设计数据，编制合适的软件逻辑程序。

B.2.4.3 初步设计成果—硬件

系统供应商可使用 GSE 实施程序。BITE 的电路设计应足够灵活，以及可以通过包含所有 BITE 电路的单个 LRU 检测一些邻近的 LRU，而不是每个 LRU 都重复 BITE 电路的设计。

B.2.5 设计执行

B.2.5.1 总则

完整的故障隔离设计可使用软件逻辑流程程序，该程序是根据从机组成员处获得的信息编写成地面维修人员的工作流程，并且该工作流程高度依赖于 BITE 硬件作为故障隔离工具。

B.2.5.2 维修手册使用

使用维修手册进行故障隔离时，需要在驾驶舱的仪表板上安装足够的仪器，以使机组成员可以检测飞机系统的故障、采取必要的纠正措施以及在飞行日志里记录可疑的故障; 随后，地面维修人员可以利用飞行日志来判定在飞行中存在故障的系统，并利用驾驶舱的仪表板上的仪器以及 BITE 来隔离故障的LRU。

某些故障(如管道和热交换器中的故障或飞机线路系统故障)无法直接使用 BITE 进行隔离，需要检索到维修手册中的特定信息后再进行隔离。

在详细设计阶段，需要编制表格，列出飞行控制面板可能会提示的系统故障和出现提示的可能原因，利用提示的系统故障信息生成故障树，来表明定位正确的故障单元的排故流程。完整数据应记录在 FIA文件。

B.2.5.3 硬件设计

所有系统控制器的设计应带有类似的电路。必要的 BITE 操作指示印刷在装有 BITE 的元器件的正面。该指示按逐个操作步骤编写， 以确保在所有的操作情况都不需要手动查询系统设备就可以按步骤操作。

B.2.5.4 运行中操作

根据前述数据，编制完整的机组成员及地面维修人员手册，将飞机运行中系统的故障隔离到单个LRU。