林家冠

【摘 要】本文在SAE ARP5150標準的基礎(chǔ)上，總結(jié)了事件安全性評估的方法，詳細介紹了液壓系統(tǒng)可燃液體泄露問題的風險分析的過程，為進一步制定飛機/機隊改正措施提供參考和依據(jù)。

【關(guān)鍵詞】液壓系統(tǒng)；可燃液體；持續(xù)適航；風險

0 引言

液壓系統(tǒng)是飛機上的重要能源系統(tǒng)，其元件、管路分布在飛機各大區(qū)域，整個系統(tǒng)內(nèi)的液壓油是可燃液體的重要來源。民用飛機主流的液壓系統(tǒng)仍然采用液壓油傳動，易出現(xiàn)油液泄露，如果還存在點火源，那么對于飛機安全是極大的威脅。為了減小該風險，一方面在設(shè)計之初就考慮了液壓油泄露的防火設(shè)計要求；另一方面在飛機交付后的運營階段，對使用過程中出現(xiàn)的可能導致液壓系統(tǒng)出現(xiàn)泄露的故障、磨損、干涉、變形等問題進行風險評估，給出風險的大小，制定改正的措施，保證機隊運行安全。本文通過在某型號民用飛機實際運營中出現(xiàn)的可能影響液壓系統(tǒng)可燃液體泄露問題的事件進行分析，總結(jié)了對于該類問題的風險分析方法，為制定飛機/機隊改正改進措施提供參考。

1 風險分析方法簡介

保證飛行安全是民用航空永恒的主題。飛機在投入運行后，會不斷暴露出各種對安全有潛在影響的缺陷，從而降低飛機的適航性。例如實際運行過程中遇到的可能導致液壓油泄露的事件，如液壓導管變形、磨損，導管連接頭滲漏，導管和周圍結(jié)構(gòu)干涉或間距過小等問題。通過調(diào)查分析，這些問題的原因可能是設(shè)計缺陷、質(zhì)量逃逸、制造偏離等。對于這類問題，如何保持它在設(shè)計制造時獲得的固有安全性，使其能始終處于安全運行狀態(tài)，是保障飛機安全運行的重要條件。

型號合格證持有人在飛機適航性缺陷修正工作負有極其重要的責任，承擔的工作有：缺陷收集、風險分析和調(diào)查、制定修正措施并更新相應(yīng)技術(shù)資料。其中風險分析是關(guān)鍵步驟，是開展后續(xù)制定修正措施工作的前提條件。通常情況下，風險分析過程包括四個步驟：

1）潛在不安全狀態(tài)確定；

2）后果嚴重性等級確定；

3）發(fā)生可能性概率確定；

4）風險水平確定。

1.1 潛在不安全狀態(tài)確定

不安全狀態(tài)是指通過運行經(jīng)驗、分析或?qū)嶒灠l(fā)現(xiàn)有以下實際證據(jù)，則認為存在不安全狀態(tài)：

1）安全邊際量或功能大幅降低；

2）機組身體不適或超負荷工作以至于不能精確地執(zhí)行器任務(wù)；

3）對機上人員造成嚴重或致命的傷害。

潛在不安全狀態(tài)就是指未經(jīng)驗證的、但很可能存在的不安全狀態(tài)。

液壓系統(tǒng)的液壓油泄露可能會對飛機、系統(tǒng)造成安全影響。根據(jù)泄露量大小和泄露位置的不同，可能造成：液壓油耗盡導致液壓系統(tǒng)本身失效；液壓油遇到點火源使得某區(qū)域著火；結(jié)構(gòu)被液壓油腐蝕而失效；導致相關(guān)液壓用戶（飛行操縱、反推、剎車、起落架收放、轉(zhuǎn)彎）系統(tǒng)的安全裕度降低或失效等不安全后果。

根據(jù)在飛機實際運行過程中收集到的事件，分析事件可能造成的不安全后果（可能是一個或多個）。如果中間過程難理解，可以增加中間事件環(huán)節(jié)（事件之間相互獨立），由此可以建立事件鏈。一般情況下我們把收集到的事件本身作為初因事件，如果隨著原因調(diào)查的深入，可進行調(diào)整。

例如某事件信息：某型號飛機在一次維護中對液壓系統(tǒng)打壓，發(fā)現(xiàn)后設(shè)備艙2#液壓系統(tǒng)電動泵與壓力油濾組件之間的彎管抖動，并和附近的電動泵固定支架發(fā)生摩擦，進一步檢查發(fā)現(xiàn)在導管內(nèi)側(cè)出現(xiàn)磨損。

對這個事件信息初步分析，該導管位于電動泵壓力出口位置，導管振動和支架發(fā)生摩擦，使得導管損傷，長期磨損會導致破損，造成大量液壓油泄露。因此初因事件是液壓導管磨損，產(chǎn)生的不安全后果有兩個：一個是液壓油過多的外部泄露導致液壓系統(tǒng)本身失效（不安全狀態(tài)A），另一個是液壓油泄露在后設(shè)備艙遇點火源導致著火（不安全狀態(tài)B）。

1.2 后果嚴重性等級確定

對于潛在不安全狀態(tài)事件的后果嚴重性等級，通常采用定性的方法來確定，主要通過該不安全狀態(tài)對飛機、機組和乘客等人員的實際影響或潛在影響來判斷。對于液壓系統(tǒng)或其它相關(guān)系統(tǒng)的危害性影響可以參考系統(tǒng)級的SSA，F(xiàn)HA，F(xiàn)MEA等安全性分析報告。

比如在上述例子中，飛機的液壓能源系統(tǒng)采用多套互相獨立的液壓構(gòu)架，泄露只會導致單套液壓系統(tǒng)失效，其它備份的液壓系統(tǒng)可以保證飛機主要的液壓能源需求，因此造成的嚴重性等級較小（Marginal）。第二種情況，如果泄露的液壓油在艙內(nèi)聚集，遇到點火源會發(fā)生燃燒，導致艙內(nèi)著火，可能會波及到艙內(nèi)其它系統(tǒng)設(shè)備，造成多個系統(tǒng)的功能失效，嚴重情況下會導致飛機失控，保守考慮嚴重性等級為災(zāi)難性的（Catastrophic）。

1.3 發(fā)生可能性概率

發(fā)生可能性概率可以通過定性和定量兩種方法得到。

當很難獲取有效數(shù)據(jù)時，可以采用定性的方法。該方法基于工程判斷和使用經(jīng)驗，可參考下圖MIL-STD-882D中對不同危害發(fā)生可能性概率的定義。

不同于定性的判斷，定量方法是根據(jù)前述潛在不安全狀態(tài)的事件鏈示意圖，分別計算初因事件和每個中間事件的發(fā)生概率，取它們的乘積作為不安全狀態(tài)A和B發(fā)生的可能性概率，公式如下：

PA=P0×PA1×PA2×PA3

PB=P0×PB1×PB2×PB3

上式中，PAi，PBi為中間事件的概率，P0為初因事件發(fā)生的概率。

例如，在液壓系統(tǒng)的故障模式和影響分析（FMEA）中已經(jīng)考慮了電動泵壓力管路打破、磨損或連接件缺陷等因素造成液壓油大量泄漏的情況，參考其概率的量級P0=10-6，得到該液壓導管磨損事件導致2#液壓系統(tǒng)失效的發(fā)生可能性概率PA=10-6，相當于OCCASIONAL。

上例中的第二種情況，考慮泄露的液壓油在艙內(nèi)遇到點火源著火的概率。在缺少有效數(shù)據(jù)的情況下，采用定性分析。例如，通過分析液壓管出現(xiàn)磨損的位置在底部，該區(qū)域設(shè)有排液口，可以有效防止可燃液體積聚，同時可能產(chǎn)生電火花的電氣設(shè)備、線纜都在其上方，因此定性的判斷泄露的液壓油遇電火花點燃的概率是微小的，相對應(yīng)的概率量級為PB1=10-5。綜合考慮，導致艙內(nèi)著火的可能性概率PB=P0×PB1=10-11，即IMPROBABLE。

1.4 風險水平的確定

風險水平使用風險矩陣來確定，在風險矩陣的不（下轉(zhuǎn)第33頁）（上接第10頁）同位置代表了不同的風險水平。橫向是后果嚴重程度，縱向是發(fā)生的可能性概率，表1是ARP5150工業(yè)標準中的風險等級矩陣樣例。

表1 風險等級矩陣樣例

如果風險等級結(jié)果為“OK”，則表明該事件是一個安全事件，不需要采取措施；如果風險等級結(jié)果為“WORK”，則可以采取一些改進性的措施，將風險等級改善到“OK”狀態(tài)；如果風險等級結(jié)果為“IMMEDIATE”，則必須采取一些緊急改正措施。一般情況下，這種緊急措施可以包括：強制性檢查或其他臨時措施。如果這個緊急措施是一個臨時性的解決方案，則需要同時開展研究制定最終改正措施的工作。

將前述的液壓系統(tǒng)導管發(fā)生磨損事件的風險分析結(jié)果帶入表1，可以得到不安全狀態(tài)A的風險水平是“OK”，不安全狀態(tài)B的風險水平是“WORK”，不安全狀態(tài)B的風險水平相對較高，可以采取改進措施，例如可以對該處導管和支架之間的間距進行增大，或者在支架上增加卡箍，用于固定液壓導管，防止其抖動。

2 結(jié)束語

本文依據(jù)某型號飛機的持續(xù)適航工作經(jīng)驗，簡述了一般潛在不安全事件風險分析過程，同時研究了液壓系統(tǒng)可燃液體泄露事件的風險分析方法，為后續(xù)制定飛機改正改進措施提供參考。

【參考文獻】

[1]CCAR-25-R4.中國民用航空規(guī)章第25部運輸類飛機適航標準[S].

[2]SAE ARP5150.Safety Assessment of Transport Airplanes in Commercial Service[S].

[責任編輯：田吉捷]