李春秀 陳圣斌

摘? 要：本文基于SAE ARP 4761共模故障分析的基本原理和要求，結(jié)合以往型號(hào)設(shè)計(jì)及相應(yīng)飛機(jī)共模故障分析的經(jīng)驗(yàn)教訓(xùn)，提出了共模故障分析的數(shù)學(xué)基礎(chǔ)、共模故障分析程序和定性定量分析方法。

關(guān)鍵詞：共模故障;分析程序;定性定量

中圖分類號(hào)：V263? ? ? ? 文獻(xiàn)標(biāo)志碼：A

0 概述

在直升機(jī)型號(hào)設(shè)計(jì)中，為了確保系統(tǒng)功能的可靠性和安全性，對(duì)一些關(guān)鍵和重要的系統(tǒng)都采用了余度或冗余的設(shè)計(jì)技術(shù)。而導(dǎo)致余度或冗余系統(tǒng)或裝置無法正常工作的故障/失效稱之為共模故障（Common Mode Failure CMF）。這種共模故障也會(huì)導(dǎo)致關(guān)鍵和重要功能喪失造成安全性事件。

因此，從直升機(jī)安全性的完整性來考慮，除了分析系統(tǒng)中的獨(dú)立故障之外，還應(yīng)分析包括共模故障、特殊風(fēng)險(xiǎn)在內(nèi)的共因故障對(duì)直升機(jī)安全性的影響，并采取相應(yīng)措施消除這種共模故障狀態(tài)，或?qū)⑵淇刂圃诳山邮艿姆秶?/p>

20世紀(jì)90年代美國(guó)提出ARP 4761《民用機(jī)載系統(tǒng)和設(shè)備安全性評(píng)估過程的指南和方法》文件中給出了共模故障分析的相應(yīng)要求，無疑這將使以往設(shè)計(jì)中對(duì)共模故障不自主或無意識(shí)的分析研究轉(zhuǎn)化為基于ARP 4761的程序方法，實(shí)現(xiàn)對(duì)共模故障有條不紊的系統(tǒng)全面分析研究，從而避免了因缺乏相應(yīng)要求方法，為提高安全性而必須采取的設(shè)計(jì)方法和改進(jìn)措施的盲目性。

同時(shí)也須指出，盡管ARP 4761給出了這種共模故障相應(yīng)的分析方法、實(shí)施程序及共模分析實(shí)例，但從總體上看，它是偏于概念及實(shí)施原則等頂層要求和內(nèi)容的闡述，在實(shí)際應(yīng)用中難以具體實(shí)施和操作。

本文按照ARP 4761的總體思路并結(jié)合型號(hào)研制中的經(jīng)驗(yàn)教訓(xùn)，將ARP 4761的要求轉(zhuǎn)化為型號(hào)研制中易于實(shí)施可具體操作的系統(tǒng)應(yīng)用。

1 共模故障的分析目標(biāo)

正如前所述，現(xiàn)代直升機(jī)為確保其飛行的安全性和可靠性，其關(guān)鍵和重要系統(tǒng)都采用了余度或冗余設(shè)計(jì)，然而，其共模故障狀態(tài)破壞了系統(tǒng)故障的獨(dú)立性，對(duì)余度或冗余系統(tǒng)的正面效果產(chǎn)生了一定的負(fù)面影響，即降低了系統(tǒng)的安全性和可靠性。另外，這些系統(tǒng)往往又是通過計(jì)算機(jī)將它們綜合成更為復(fù)雜的系統(tǒng)，它們的狀態(tài)不能完全地測(cè)試和試驗(yàn)驗(yàn)證。他們的生產(chǎn)制造質(zhì)量也難以做到全面有效的控制。對(duì)于由此而產(chǎn)生的共模故障，要從設(shè)計(jì)、生產(chǎn)制造、使用維護(hù)按程序一步一步的檢查分析，以確認(rèn)共模故障對(duì)系統(tǒng)獨(dú)立性的破壞，并確認(rèn)對(duì)直升機(jī)/系統(tǒng)安全性產(chǎn)生的風(fēng)險(xiǎn)，從而采取相應(yīng)措施消除風(fēng)險(xiǎn)或?qū)L(fēng)險(xiǎn)控制在可接受范圍。

為此，首先應(yīng)從設(shè)計(jì)上對(duì)余度系統(tǒng)/裝置采取非相似性設(shè)計(jì)技術(shù)，之后采取相應(yīng)的安全裝置和/或告警方式來控制降低風(fēng)險(xiǎn)。當(dāng)以上措施難以奏效時(shí)，可采取使用維修或有效生產(chǎn)制造工藝以控制或降低風(fēng)險(xiǎn)。

共模故障分析起始于方案研制階段，隨著設(shè)計(jì)的發(fā)展深入和信息豐富，反復(fù)迭代，不斷完善，將這種包括共模分析在內(nèi)的所有安全性分析，通過研制的全過程控制以期消除或降低共模故障對(duì)安全性的影響和風(fēng)險(xiǎn)。

2 共模故障分析的基礎(chǔ)及數(shù)學(xué)表達(dá)

在傳統(tǒng)的可靠性和安全性分析中，無論是建模預(yù)計(jì)、分配還是FMEA和FTA通?？偸羌僭O(shè)A、B事件或故障都是獨(dú)立的，而忽視共模故障對(duì)可靠性和安全性的影響或退化作用。盡管共模故障是一小概率事件，但是從安全性分析和研究的完整性來看，共模故障的研究分析是不應(yīng)或缺的。這種共模故障狀態(tài)破壞了裕度或冗余系統(tǒng)故障的獨(dú)立性，給余度或冗余系統(tǒng)增大了故障率，降低了他們的可靠性。使這種系統(tǒng)存在安全隱患。通過共模故障的分析研究，消除或降低共模故障對(duì)安全性風(fēng)險(xiǎn)影響。

如果從系統(tǒng)安全性可靠性來看，考慮共模故障在內(nèi)的兩個(gè)組成相同的余度或冗余系統(tǒng)故障應(yīng)表述為：

P（S）=P（A）P（B）+P（AB） （1）

對(duì)于3個(gè)或更多個(gè)余度或冗余系統(tǒng)

P（S）=P（A）P（B）P（C）…+P（ABC…） （2）

式中第一項(xiàng)為每一相同余度分系統(tǒng)獨(dú)立故障的安全概率，而第二項(xiàng)為共模故障發(fā)生概率。

由（1）式（2）式顯見，共模故障的發(fā)生增大了系統(tǒng)的故障概率，或有可能增大系統(tǒng)安全風(fēng)險(xiǎn)。

3 共模故障的原因及防護(hù)措施

正如故障模式及影響分析（FMEA）一樣，共模故障分析不僅要分析共模故障的發(fā)生及對(duì)可靠性和安全性的影響，而且必須確定其故障原因及采取相應(yīng)措施，以消除或降低共模故障對(duì)安全性的風(fēng)險(xiǎn)。

按照ARP 4761的要求以及EC175/Z15的經(jīng)驗(yàn)，共模故障的原因可考慮如下問題：

軟件的開發(fā)錯(cuò)誤

硬件設(shè)計(jì)的差錯(cuò)/缺陷

生產(chǎn)制造的差錯(cuò)/缺陷

使用維護(hù)的問題

與應(yīng)力相關(guān)事件

安裝的錯(cuò)誤

要求的錯(cuò)誤

環(huán)境因素

盡管上面列舉了共模故障安全的多種問題，但歸根到底仍是余度或冗余系統(tǒng)它們的功能構(gòu)型特征的相關(guān)性——相同/相似的固有特征造成的。因?yàn)檫@種余度或冗余系統(tǒng)中，這些相同/相似的部件/設(shè)備，不僅它們的功能、物理結(jié)構(gòu)、生產(chǎn)制造、使用維護(hù)相同/相似，而且，它們存在的差錯(cuò)、缺陷造成的故障也必然是相同/相似的。只是這種相同的故障——共模故障在一定的條件下才能激發(fā)出來。

為了消除或減少由上述原因?qū)τ喽然蛉哂嘞到y(tǒng)之間的故障獨(dú)立性破壞，應(yīng)從根本或者設(shè)計(jì)上采取相應(yīng)的防護(hù)措施。通常包括：

（1）非相似或差異性設(shè)計(jì)，即余度或冗余系統(tǒng)采用功能相同但構(gòu)型不同的部件/設(shè)備。

（2）健壯設(shè)計(jì)或堅(jiān)固化設(shè)計(jì)，不言而喻這種健壯設(shè)計(jì)使余度或冗余系統(tǒng)的相同部件/設(shè)備它們具有很高的強(qiáng)度，使它們對(duì)性能、使用環(huán)境等因素的變化具有很高抵御共模故障的能力。例如部件/設(shè)備采取降額設(shè)計(jì)，無疑是提高了這些部件/設(shè)備遭受共模故障的極限，或減少了共模故障的發(fā)生。

（3）隔離防護(hù)設(shè)計(jì)：這是為避免包括共模故障、特殊風(fēng)險(xiǎn)、確保區(qū)域安全在內(nèi)的共因分析常用的設(shè)計(jì)方法。為消除或減少因相似的環(huán)境應(yīng)力、電應(yīng)力、機(jī)械應(yīng)力（振動(dòng)）所激發(fā)的共模故障，那么余度或冗余系統(tǒng)的相同部件/設(shè)備應(yīng)各自布置在獨(dú)立的箱體內(nèi)且設(shè)置在不同的機(jī)上位置。

（4）防差錯(cuò)設(shè)計(jì)：為防止空勤人員意外操作而采取的設(shè)計(jì)措施。例如為防止空勤人員意外作動(dòng)“應(yīng)急切斷電源”開關(guān)，此開關(guān)用保險(xiǎn)絲鎖定在“接通”位置，只有機(jī)上應(yīng)急著火時(shí)，空勤人員以一定作動(dòng)力才能將開關(guān)轉(zhuǎn)移到斷開位置。同樣，機(jī)上的燃油切斷開關(guān)，有一保險(xiǎn)蓋罩住，只有發(fā)動(dòng)機(jī)著火時(shí)才打開保險(xiǎn)罩，作動(dòng)開關(guān)，這樣也就防止了意外造成發(fā)動(dòng)機(jī)斷油停車。

（5）容錯(cuò)設(shè)計(jì)：70年代以前的大型旅客機(jī)如波音707、康維爾880、三叉戟等旅客機(jī)，當(dāng)時(shí)一方面大功率發(fā)動(dòng)機(jī)尚未問世，另一方面，當(dāng)時(shí)發(fā)動(dòng)機(jī)空中停車率或故障率較高，為防止共模故障造成雙發(fā)停車，機(jī)上裝有3臺(tái)、4臺(tái)渦噴發(fā)動(dòng)機(jī)。盡管多余度容錯(cuò)系統(tǒng)的共模故障率較低，但是余度的增加將導(dǎo)致系統(tǒng)重量的加大、控制復(fù)雜、基本可靠性降低。因此余度容差系統(tǒng)的選擇必須權(quán)衡考慮，慎重決策。

4 共模故障分析

為使共模故障分析有條不紊的實(shí)施，必須制定相應(yīng)的分析流程，以便對(duì)共模故障分析過程進(jìn)行控制，最終實(shí)現(xiàn)消除共模故障，或?qū)⑵淇刂圃诳山邮艿姆秶?。在直升機(jī)系統(tǒng)級(jí)的共模故障分析中，一般按圖1所示的流程實(shí)施。

按圖1流程圖，整個(gè)分析過程主要由下面3個(gè)步驟組成：

第一步：分析準(zhǔn)備，圖中的前3個(gè)方框中的工作內(nèi)容，包括系統(tǒng)特征、CMA檢查單、FHA/FTA結(jié)果。在這三項(xiàng)工作的基礎(chǔ)上得到與共模故障相關(guān)的功能故障及共模故障分析檢查單。

第二步：共模故障分析，包括定性和定量分析。

第三步：評(píng)審，確認(rèn)/驗(yàn)證分析結(jié)果是否滿足要求。

4.1 分析準(zhǔn)備工作

（1）系統(tǒng)特征：應(yīng)根據(jù)系統(tǒng)原理、系統(tǒng)組成、系統(tǒng)的機(jī)上布置及空地勤人員的操作等，給出系統(tǒng)的相關(guān)特征，它包括系統(tǒng)構(gòu)型（余度或冗余）相同的部件/設(shè)備他們?cè)跈C(jī)上的布置、使用維護(hù)、生產(chǎn)制造等相同/相似性。這些信息用于編制共模故障分析檢查單（CMA），應(yīng)便于評(píng)審，確認(rèn)CMA檢查單的適用性。

（2）編制系統(tǒng)CMA檢查單，按ARP 4761的CMA檢查單模板，結(jié)合系統(tǒng)特征，給出系統(tǒng)共模故障分析檢查單。

（3）按照ARP 4761的要求，將功能危險(xiǎn)分析中所確定的災(zāi)難性和危險(xiǎn)性的事件，并以“與門”輸入的功能故障狀態(tài)作為研究對(duì)象以便確認(rèn)/驗(yàn)證在考慮共模故障情況下對(duì)安全性造成的風(fēng)險(xiǎn)。

工作結(jié)果：

（1）給出表1所示的系統(tǒng)共模故障檢查單。

表1 共模故障分析檢查單

共模類型 共模分類型 共模源 共模故障簡(jiǎn)要說明

限于篇幅，表1中4個(gè)欄目的內(nèi)容可參見ARP 4761中共模故障類型、來源和失效/差錯(cuò)檢查單示例的內(nèi)容便易于理解了。

（2）給出共模分析的功能故障

按表2形式給出共模故障分析相關(guān)的功能故障。表2中的內(nèi)容均引自功能危險(xiǎn)分析結(jié)果。

表2 共模故障分析相關(guān)的功能故障

編號(hào) 不希望事件/FC描述 最壞情況下的安全性目標(biāo)值 邏輯門（與門）

4.2 共模故障的詳細(xì)分析

（1）識(shí)別和確定共模故障源

應(yīng)按照表3方式對(duì)表1（共模故障分析檢查單）所確定的共模故障進(jìn)行分析，以識(shí)別和確定共模故障源。

表3 共模故障識(shí)別

不希望事件編號(hào) 共模故障源識(shí)別

共模類型 共模故障源 產(chǎn)生共模故障的部件/設(shè)備 差異性 相同/相似性（共模源）

·

表3中：

不希望事件編號(hào)，即與表2所確定的共模分析相關(guān)的功能故障編號(hào)一致。

共模類型和共模故障源，它引自表1共模故障分析檢查單的內(nèi)容。

部件/設(shè)備名稱，即是不希望事件中會(huì)產(chǎn)生共模故障設(shè)備/部件名稱。

差異性是指所分析的相同部件/設(shè)備可能存在的原理、電氣、機(jī)械和安裝的差異性。這種差異性可能不會(huì)造成共模故障。

相似性，與差異性相反，它是指相同部件/設(shè)備在原理、電氣、機(jī)械和安裝等存在的同一或相似性，可能造成共模故障。

（2）確認(rèn)/驗(yàn)證共模故障源的可接受性

應(yīng)按照表4的方式對(duì)表3所識(shí)別和確定具有相似/相同的共模故障作進(jìn)一步分析，以確定設(shè)計(jì)、生產(chǎn)制造、使用維修等采取的防護(hù)措施，是否能夠消除或降低共模故障對(duì)安全性產(chǎn)生的風(fēng)險(xiǎn)。

表4 共模故障的可接受性分析

共模源 共模故障與狀態(tài)說明 采取的防護(hù)措施 共模故障嗎 進(jìn)一步確認(rèn)/驗(yàn)證說明

表4中：

共模源：即是表3中“相同/相似性（共模源）”所確定的內(nèi)容。

共模故障與狀態(tài)說明：對(duì)故障狀態(tài)的描述

采取的防護(hù)措施：對(duì)共模故障在設(shè)計(jì)上、生產(chǎn)制造、使用維修等而采取的措施。

共模故障嗎：采取的防護(hù)措施如能有限地消除或減少共模故障對(duì)安全性的風(fēng)險(xiǎn)，就認(rèn)為“無共模故障”，否則，采取其他方式如FTA分析，進(jìn)一步確認(rèn)/驗(yàn)證其風(fēng)險(xiǎn)滿足最壞情況下安全性要求。即小于10-9/小時(shí)或10-7/小時(shí)。

4.3 評(píng)審

根據(jù)4.2節(jié)的共模故障分析，確認(rèn)/驗(yàn)證分析結(jié)果是否滿足要求。

如滿足要求，分析結(jié)果作為輸入進(jìn)入系統(tǒng)的安全性分析報(bào)告中。

如不能滿足要求，找出影響安全性要求的主要影響因素，采取相應(yīng)措施，重新分析。

參考文獻(xiàn)

[1] SAE ARP 4761 民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備安全性評(píng)估過程的指南方法[S] .

[2]李閑平.概率論基礎(chǔ)[M].北京：高等教育出版社，2001.

[3] K.GRIB System Safety Assessment EC175/Z15 Fuel System[R]. 2010.1 P162.