王厲哲

（中國商飛上海飛機(jī)設(shè)計(jì)研究院，中國 上海 200000）

【關(guān)鍵字】民用飛機(jī)；動(dòng)力裝置系統(tǒng)；初步系統(tǒng)安全性評估

0 引言

在民用航空的設(shè)計(jì)研制過程中，確保飛機(jī)的安全性始終是設(shè)計(jì)方、審查方和使用方最為關(guān)注的，動(dòng)力裝置系統(tǒng)作為飛機(jī)動(dòng)力源，其安全性設(shè)計(jì)更是不容忽視。SAE ARP 4761[1-2]作為工業(yè)界中被廣泛認(rèn)可的安全性評估過程參考文件，為民用飛機(jī)復(fù)雜系統(tǒng)的安全性分析評估過程提供了指南和方法，評估過程由功能危險(xiǎn)性評估（FHA，F(xiàn)unctional Hazard Assessment）、 初步系統(tǒng)安全性評估（PSSA，Preliminary System Safety Assessment） 和 系 統(tǒng) 安 全 性評估（SSA，System Safety Assessment）組成。 其中民用飛機(jī)動(dòng)力裝置系統(tǒng)的功能危險(xiǎn)性評估（FHA）已由朱巖等人進(jìn)行了研究[3]，本文將主要研究民用飛機(jī)動(dòng)力裝置系統(tǒng)安全性評估過程中的第二階段，初步系統(tǒng)安全性評估（PSSA）。并以某型飛機(jī)動(dòng)力裝置系統(tǒng)為例，介紹其典型的案例和分析過程。

1 PSSA分析方法及過程

1.1 PSSA分析方法

PSSA是一個(gè)自上而下的分析方法，并在整個(gè)設(shè)計(jì)周期內(nèi)連續(xù)迭代進(jìn)行，它在SAE ARP 4754A[4]的雙“V”研制流程中屬于左半邊的確認(rèn)過程（Validation）。在系統(tǒng)設(shè)計(jì)早期通過對推薦的系統(tǒng)構(gòu)架進(jìn)行檢查，以確定故障是如何導(dǎo)致FHA中所確定的失效狀態(tài)的，以及如何能夠滿足FHA中所確定的定量與定性的安全性目標(biāo)與需求，同時(shí)將系統(tǒng)級功能危險(xiǎn)評估中產(chǎn)生的系統(tǒng)安全性需求（概率、研制保證等級等）分配給子系統(tǒng)/設(shè)備，將設(shè)備級安全性需求分配到軟件和硬件，從而確定系統(tǒng)各層次級設(shè)計(jì)的安全性需求和目標(biāo)，為系統(tǒng)設(shè)計(jì)與研制活動(dòng)、SSA等活動(dòng)提供必要的輸入[5]。

1.2 動(dòng)力裝置系統(tǒng)PSSA分析過程

結(jié)合SAE ARP 4761指導(dǎo)文件，民用飛機(jī)動(dòng)力裝置系統(tǒng)初步系統(tǒng)安全性評估主要包含以下方面的工作，PSSA分析過程和內(nèi)部關(guān)系可參考圖1所示。

a）識(shí)別飛機(jī)級和系統(tǒng)級的初始安全性需求，其輸入來源包括飛機(jī)級PASA （Preliminary Aircraft Safety Assessment），動(dòng)力裝置系統(tǒng)FHA、以及初步共因分析PCCA（Preliminary Common Cause Analysis）；

b）提出滿足初始安全性需求的設(shè)計(jì)決策，考慮包括功能冗余度、功能隔離和功能獨(dú)立性；

c）結(jié)合初始安全性需求和設(shè)計(jì)/架構(gòu)決策，產(chǎn)生一組完整的系統(tǒng)安全性需求；

d）通過 FTA、DDA和MA等分析方法對安全性需求進(jìn)行分析；

e）確立更低層次的安全性需求清單，包括組件級需求、軟硬件研制保證等級、對其他系統(tǒng)的需求、安裝需求和安全性維修需求；

f）在整個(gè)系統(tǒng)研制過程中，持續(xù)更新PSSA，最終得出系統(tǒng)安全性評估SSA。

圖1 初步系統(tǒng)安全性分析PSSA分析過程

2 動(dòng)力裝置系統(tǒng)PSSA分析實(shí)例

依據(jù)上述的初步系統(tǒng)安全性評估方法和過程，本文將通過實(shí)例分析，介紹民用飛機(jī)動(dòng)力裝置系統(tǒng)的系統(tǒng)初步安全性評估。

2.1 識(shí)別初始安全性需求

動(dòng)力裝置系統(tǒng)的初始安全性需求可從動(dòng)力裝置系統(tǒng)FHA和飛機(jī)級PASA中識(shí)別提取。某型飛機(jī)動(dòng)力裝置系統(tǒng)FHA定義了包括推力喪失、推力控制能力喪失、發(fā)動(dòng)機(jī)不能停車、不可控高推力、發(fā)動(dòng)機(jī)主要參數(shù)喪失、反推非指令打開、未通告的反推功能失效等共計(jì)十多條影響等級在III類或以上的失效狀態(tài)，并提出了相其對應(yīng)的安全性指標(biāo)要求。

舉例在某型飛機(jī)動(dòng)力裝置系統(tǒng)FHA中定義了如下需求，“在F1-F4/L階段，喪失單臺(tái)發(fā)動(dòng)機(jī)停車功能的概率應(yīng)小于1E-7每飛行小時(shí)”，同時(shí)在飛機(jī)級的PASA中也定義了如下相同需求 “在F1-F4/L階段，發(fā)動(dòng)機(jī)不能停車的概率應(yīng)小于1E-7每飛行小時(shí)”，并且對此功能分配了初步FDAL為B級。為了實(shí)現(xiàn)此條安全性需求，就需要檢查當(dāng)前系統(tǒng)初步設(shè)計(jì)方案中的系統(tǒng)構(gòu)架是如何滿足FHA的安全性指標(biāo)要求，并確定哪些子系統(tǒng)和組件的失效會(huì)最終導(dǎo)致FHA頂事件的發(fā)生。

2.2 檢查系統(tǒng)設(shè)計(jì)構(gòu)架

依據(jù)動(dòng)力裝置系統(tǒng)發(fā)動(dòng)機(jī)設(shè)計(jì)方案，發(fā)動(dòng)機(jī)將設(shè)計(jì)包含有一個(gè)高壓燃油切斷閥，可通過設(shè)計(jì)于駕駛艙油門臺(tái)上的燃油切斷開關(guān)實(shí)現(xiàn)燃油切斷功能并最終關(guān)閉發(fā)動(dòng)機(jī)。假設(shè)此時(shí)飛機(jī)上僅有此一種方式可以實(shí)現(xiàn)關(guān)發(fā)，那么無論高壓燃油切斷閥或者是燃油控制開關(guān)任一設(shè)備失效都將直接導(dǎo)致FHA頂事件的發(fā)生，因此分配給兩個(gè)設(shè)備的安全性要求都將是失效率小于1E-7每飛行小時(shí)。然而根據(jù)目前工業(yè)水平以及歷史數(shù)據(jù)分析，無論高壓燃油切斷閥或者是燃油控制開關(guān)都無法達(dá)到如此高的可靠性，因此僅有一種關(guān)發(fā)方式無法滿足頂事件安全性指標(biāo)要求。

此時(shí)，動(dòng)力裝置系統(tǒng)需要向飛機(jī)級和其他系統(tǒng)提出設(shè)計(jì)要求，即衍生安全性需求，例如在飛機(jī)上增加一套關(guān)斷發(fā)動(dòng)機(jī)的方式從而滿足安全性指標(biāo)要求。在某型飛機(jī)上，確認(rèn)飛機(jī)燃油系統(tǒng)針對每一臺(tái)發(fā)動(dòng)機(jī)還設(shè)計(jì)有一個(gè)低壓燃油切斷閥，也可通過油門臺(tái)上的燃油切斷開關(guān)單獨(dú)實(shí)現(xiàn)切油關(guān)發(fā)。此外駕駛艙頂部維護(hù)面板還設(shè)計(jì)有滅火開關(guān)，在遇到發(fā)動(dòng)機(jī)著火等緊急情況時(shí)可超控實(shí)現(xiàn)發(fā)動(dòng)機(jī)高壓燃油切斷閥和飛機(jī)低壓燃油切斷閥的同時(shí)關(guān)斷。由此在此設(shè)計(jì)構(gòu)架下，每臺(tái)發(fā)動(dòng)機(jī)具備兩個(gè)閥門兩種操作共計(jì)四種實(shí)現(xiàn)關(guān)發(fā)的方式。

2.3 共因分析CCA（Common Cause Analysis）

在完成如上設(shè)計(jì)構(gòu)架后，還需要進(jìn)行共因分析，找出潛在的獨(dú)立性要求。例如高壓燃油切斷閥和低壓燃油切斷閥的安裝，包括其設(shè)備本身和供電線纜的布置需隔離，避免由于同一區(qū)域內(nèi)發(fā)生的外部事件導(dǎo)致兩個(gè)閥門的供電控制喪失；針對高壓燃油切斷閥和低壓燃油切斷閥的供電需相互獨(dú)立，避免由于電源系統(tǒng)的單點(diǎn)故障導(dǎo)致兩個(gè)閥門同時(shí)喪失關(guān)斷能力。

2.4 向下分配安全性要求

依據(jù)上述的設(shè)計(jì)構(gòu)架，可繪制故障樹FTA如圖所示，并將頂事件的安全性指標(biāo)向下分配，產(chǎn)生一組詳細(xì)到每個(gè)部件的完整的系統(tǒng)安全性需求，并確定軟硬件的研制保證等級 DAL（Design Assurance Level）。在此過程中，需要大量參考工程經(jīng)驗(yàn)和相似機(jī)型資料，以避免分配的故障率過低不符合實(shí)際工業(yè)水平，或者分配的故障率過高從而對故障樹中其余設(shè)備帶來壓力。至此，一個(gè)典型的安全性需求“在F1-F4/L階段，喪失單臺(tái)發(fā)動(dòng)機(jī)停車功能的概率應(yīng)小于1E-7每飛行小時(shí)”的PSSA分析就完成了。這將作為動(dòng)力裝置系統(tǒng)系統(tǒng)安全性評估SSA的輸入，通過不斷的迭代，雙V流程中的確認(rèn)和驗(yàn)證，最終形成一個(gè)確定的可以滿足安全性要求的設(shè)計(jì)。

圖2 發(fā)動(dòng)機(jī)不能停車故障樹分析

2.5 其它分析

在上述實(shí)例分析中，通過動(dòng)力裝置系統(tǒng)PSSA分析，最后產(chǎn)生了包括對自身系統(tǒng)和其它交聯(lián)系統(tǒng)的要求、設(shè)備故障率的要求、針對軟硬件研制保障等級的要求、安裝要求、獨(dú)立性要求等等。

此外，在完成PSSA分析時(shí)，還可能產(chǎn)生相應(yīng)的維修檢查要求。例如由動(dòng)力裝置系統(tǒng)FHA中提出的安全性要求 “在T/F1-F4/L階段，反推力裝置非指令打開的概率應(yīng)小于1E-9每飛行小時(shí)”，在完成如上類似的PSSA分析后，通過故障樹發(fā)現(xiàn)用于鎖住反推力裝置的鎖，其隱蔽故障可能最終導(dǎo)致頂事件的發(fā)生。為此就需要產(chǎn)生相應(yīng)的維修檢查要求，將反推鎖納入候選審定維修項(xiàng)目CCMR，通過制定定期檢查計(jì)劃從而降低或排除隱蔽故障發(fā)生的可能性。

3 總結(jié)

本文在動(dòng)力裝置系統(tǒng)功能危險(xiǎn)性評估FHA的基礎(chǔ)上，進(jìn)一步對民用飛機(jī)動(dòng)力裝置系統(tǒng)的初步系統(tǒng)安全性評估工作進(jìn)行了研究，總結(jié)了PSSA的工作方法和流程，介紹了PSSA在動(dòng)力裝置系統(tǒng)安全性分析過程中的應(yīng)用情況，通過詳細(xì)案例為后續(xù)的分析工作提供的指導(dǎo)和建議。