摘 要：本文提供了民用飛機及其相關系統(tǒng)與設備進行安全性評估過程中，實施飛機級功能危害性評估的過程和方法，用于指導相關設計人員在飛機研制初期實施飛機級功能危害性評估。
　　關鍵詞：飛機級功能危害評估 安全性評估 失效狀態(tài)
　　中圖分類號：TB47 文獻標識碼：A 文章編號：1672-3791(2011)10(b)-0000-00
　　
　　從民用飛機設計角度，CCAR/FAR/CS 25是飛機設計應滿足的基本規(guī)章。在飛機設計過程中，除了關于系統(tǒng)、部件、性能等相關的條款外，飛機還應滿足特定的與安全性相關的要求，表明對CCAR/FAR/CS 25.1309條款的符合性。因此，民機適航合格審定過程中，需要對飛機整機進行安全性評估，以期證明飛機設計滿足既定的安全性要求。
　　1 AFHA的作用和目的
　　AFHA是系統(tǒng)、綜合地按層次檢查飛機級功能的安全性評估方法，以確定在其故障、以及正常工作時可能產(chǎn)生或潛在的危險及后果。該評估方法起始于飛機概念設計階段，并為飛機后續(xù)研制提供設計要求和安全性要求的重要依據(jù)。分析結(jié)果是下一步安全性評估流程（例如：初步系統(tǒng)安全性評估PSSA和系統(tǒng)安全性評估SSA）的必要輸入，也為后續(xù)系統(tǒng)、子系統(tǒng)設計架構提出安全性設計需求，幫助確認系統(tǒng)架構的可接受性，發(fā)現(xiàn)潛在問題和所需的設計更改，確定所需的進一步分析的要求及范圍。
　　AFHA將整機視為研究對象，研究飛機設計的整個飛行包線和不同飛行階段內(nèi)，可能影響飛機持續(xù)、安全飛行的功能失效狀態(tài)。AFHA是在飛機設計的初始階段對飛機的基本功能在高層次上進行的定性評估，對識別所有與飛機有關的失效狀態(tài)，并進行危害等級的劃分，分析結(jié)果將形成飛機設計必須滿足的安全性要求。AFHA提供對安全性至關重要的那些潛在功能失效狀態(tài)的相關信息，這些信息可用來確立所需系統(tǒng)的結(jié)構方案、軟件完整性水平要求、系統(tǒng)分離和隔離要求以及最低限度設備清單(MEL)要求。
　　2 AFHA的分析假設
　　AFHA評估的首要條件是進行飛行場景描述。通常情況下，安全性分析人員通過對飛機、系統(tǒng)功能的理解，結(jié)合同類機型的設計經(jīng)驗以及飛機特定的飛行階段和環(huán)境條件，描述不同的飛行場景，該飛行場景是定義相應失效狀態(tài)影響等級的重要依據(jù)。
　　3 AFHA的分析流程
　　AFHA采用自上而下的功能危害評估方法，確定失效狀態(tài)并評估其影響及危害類別，對系統(tǒng)提出安全性設計目標。
　　AFHA分析過程如圖2所示，包括：定義飛機功能、分析功能失效、確定失效狀態(tài)、輸出安全性需求和目標以及其他需求（安全性需求及假設的確認和驗證）。
　　3.1 定義飛機功能
　　飛機功能一般分為內(nèi)部功能和外部功能。內(nèi)部功能指飛機的主要功能及飛機內(nèi)部系統(tǒng)之間的接口功能；外部功能指飛機與其他飛機或地面系統(tǒng)的接口功能[1]。
　　定義完飛機功能之后，要進行確定飛機功能，通常情況下，按照逐層展開的方式實施功能分析，找出所有工作狀態(tài)和模式下可能的所有功能或子功能。僅針對分析對象進行分析，不涉及實現(xiàn)功能的具體系統(tǒng)、設備或架構。為了保證需求的可追溯性，飛機級底層功能可以與預期飛機系統(tǒng)對應，這取決于分析人員對飛機設計方案熟悉程度和飛機研制的進度。應有各相關專業(yè)的專家參與。同時可參考相似機型的功能清單。
　　飛機功能確定完畢之后，實施AFHA過程的第一步是獲取必要的原始資料。通常，原始資料包括:：飛機定義、飛機功能描述、飛機運行、適航規(guī)章要求以及其他。
　　3.2 功能失效分析
　　分析飛機功能清單中每個功能失效的各種情況，確定功能的失效模式。分析這些失效模式的影響、失效探測方法和機組糾正措施以及機組采取措施后飛機的狀態(tài)，并考慮飛行階段、環(huán)境事件以及外部關聯(lián)系統(tǒng)功能的影響。之后確定失效模式的影響類別，并給出相關的證明材料。功能失效分析與環(huán)境事件和飛機應急構型緊密相關。在必要時，功能失效分析應考慮環(huán)境事件和飛機應急構型對失效模式的影響。
　　通常外部關聯(lián)系統(tǒng)功能包含在飛機功能清單中，一般不需要單獨考慮。若在飛機功能清單之外專門列出關聯(lián)系統(tǒng)清單，或是為了強調(diào)某一飛機功能失效受外部關聯(lián)系統(tǒng)功能失效的影響，可專門列出以便分析功能失效時考慮。
　　
　　3.3 功能失效模式分析
　　按照飛機功能清單，對每一項功能進行功能失效分析，確定飛機功能失效的清單。對于每一個功能失效，應確定可能的模式清單及相關的影響。
　　對于每一個功能失效，分析單個功能失效之外，還要假定不同的組合模式，考慮可能使情況惡化的所有其它可能的失效、事件或特定構型，以形成飛機FHA中確定的失效狀態(tài)或形成新的失效狀態(tài)。
　　3.4 失效狀態(tài)影響分析
　　首先確定失效模式對飛機和運行的影響。這里只需考慮所有直接和立即的影響，不包括后續(xù)影響。如果在飛行的不同階段影響不同，則應列出所有情況。同時，應說明該失效或/故障給飛行機組或地勤人員的指示，通過這些指示可探測或更容易發(fā)現(xiàn)失效。應具體說明預期的機組糾正措施。如有關聯(lián)，應確定或引用（若存在）任何特定的機組訓練內(nèi)容。
　　3.5 失效模式影響等級
　　失效模式的影響類別分為災難性的、危險的、重大的、微小的和無安全性影響。判斷失效模式的影響類別時，可根據(jù)事故/事件數(shù)據(jù)分析，查閱指導性的規(guī)章材料，參考以往的設計經(jīng)驗，還可咨詢機組人員。
　　4 分析結(jié)論以及注意事項
　　AFHA分析過程必須制定成報告，以便AFHA分析過程發(fā)展的每一步都做到有據(jù)可查。AFHA過程中還需要特別關注有失效狀態(tài)分析得出的安全性需求及相關假設的確認和驗證工作。由于需求和假設的確認與驗證工作應貫穿在整個飛機研發(fā)過程中，應關注相關確認和驗證計劃與AFHA之間的相互追蹤與反饋，保證AFHA最終結(jié)果的正確性和完整性。
　　
　　參考文獻
　　[1] SAE ARP4754A Guidelines for Development of Civil Aircraft and Systems，December，2010；
　　[2] SAE ARP4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipm