王厲哲

（中國商飛上海飛機設(shè)計研究院，中國 上海 200000）

【關(guān)鍵字】民用飛機；動力裝置系統(tǒng)；初步系統(tǒng)安全性評估

0 引言

在民用航空的設(shè)計研制過程中，確保飛機的安全性始終是設(shè)計方、審查方和使用方最為關(guān)注的，動力裝置系統(tǒng)作為飛機動力源，其安全性設(shè)計更是不容忽視。SAE ARP 4761[1-2]作為工業(yè)界中被廣泛認可的安全性評估過程參考文件，為民用飛機復雜系統(tǒng)的安全性分析評估過程提供了指南和方法，評估過程由功能危險性評估（FHA，F(xiàn)unctional Hazard Assessment）、 初步系統(tǒng)安全性評估（PSSA，Preliminary System Safety Assessment） 和 系 統(tǒng) 安 全 性評估（SSA，System Safety Assessment）組成。 其中民用飛機動力裝置系統(tǒng)的功能危險性評估（FHA）已由朱巖等人進行了研究[3]，本文將主要研究民用飛機動力裝置系統(tǒng)安全性評估過程中的第二階段，初步系統(tǒng)安全性評估（PSSA）。并以某型飛機動力裝置系統(tǒng)為例，介紹其典型的案例和分析過程。

1 PSSA分析方法及過程

1.1 PSSA分析方法

PSSA是一個自上而下的分析方法，并在整個設(shè)計周期內(nèi)連續(xù)迭代進行，它在SAE ARP 4754A[4]的雙“V”研制流程中屬于左半邊的確認過程（Validation）。在系統(tǒng)設(shè)計早期通過對推薦的系統(tǒng)構(gòu)架進行檢查，以確定故障是如何導致FHA中所確定的失效狀態(tài)的，以及如何能夠滿足FHA中所確定的定量與定性的安全性目標與需求，同時將系統(tǒng)級功能危險評估中產(chǎn)生的系統(tǒng)安全性需求（概率、研制保證等級等）分配給子系統(tǒng)/設(shè)備，將設(shè)備級安全性需求分配到軟件和硬件，從而確定系統(tǒng)各層次級設(shè)計的安全性需求和目標，為系統(tǒng)設(shè)計與研制活動、SSA等活動提供必要的輸入[5]。

1.2 動力裝置系統(tǒng)PSSA分析過程

結(jié)合SAE ARP 4761指導文件，民用飛機動力裝置系統(tǒng)初步系統(tǒng)安全性評估主要包含以下方面的工作，PSSA分析過程和內(nèi)部關(guān)系可參考圖1所示。

a）識別飛機級和系統(tǒng)級的初始安全性需求，其輸入來源包括飛機級PASA （Preliminary Aircraft Safety Assessment），動力裝置系統(tǒng)FHA、以及初步共因分析PCCA（Preliminary Common Cause Analysis）；

b）提出滿足初始安全性需求的設(shè)計決策，考慮包括功能冗余度、功能隔離和功能獨立性；

c）結(jié)合初始安全性需求和設(shè)計/架構(gòu)決策，產(chǎn)生一組完整的系統(tǒng)安全性需求；

d）通過 FTA、DDA和MA等分析方法對安全性需求進行分析；

e）確立更低層次的安全性需求清單，包括組件級需求、軟硬件研制保證等級、對其他系統(tǒng)的需求、安裝需求和安全性維修需求；

f）在整個系統(tǒng)研制過程中，持續(xù)更新PSSA，最終得出系統(tǒng)安全性評估SSA。

圖1 初步系統(tǒng)安全性分析PSSA分析過程

2 動力裝置系統(tǒng)PSSA分析實例

依據(jù)上述的初步系統(tǒng)安全性評估方法和過程，本文將通過實例分析，介紹民用飛機動力裝置系統(tǒng)的系統(tǒng)初步安全性評估。

2.1 識別初始安全性需求

動力裝置系統(tǒng)的初始安全性需求可從動力裝置系統(tǒng)FHA和飛機級PASA中識別提取。某型飛機動力裝置系統(tǒng)FHA定義了包括推力喪失、推力控制能力喪失、發(fā)動機不能停車、不可控高推力、發(fā)動機主要參數(shù)喪失、反推非指令打開、未通告的反推功能失效等共計十多條影響等級在III類或以上的失效狀態(tài)，并提出了相其對應的安全性指標要求。

舉例在某型飛機動力裝置系統(tǒng)FHA中定義了如下需求，“在F1-F4/L階段，喪失單臺發(fā)動機停車功能的概率應小于1E-7每飛行小時”，同時在飛機級的PASA中也定義了如下相同需求 “在F1-F4/L階段，發(fā)動機不能停車的概率應小于1E-7每飛行小時”，并且對此功能分配了初步FDAL為B級。為了實現(xiàn)此條安全性需求，就需要檢查當前系統(tǒng)初步設(shè)計方案中的系統(tǒng)構(gòu)架是如何滿足FHA的安全性指標要求，并確定哪些子系統(tǒng)和組件的失效會最終導致FHA頂事件的發(fā)生。

2.2 檢查系統(tǒng)設(shè)計構(gòu)架

依據(jù)動力裝置系統(tǒng)發(fā)動機設(shè)計方案，發(fā)動機將設(shè)計包含有一個高壓燃油切斷閥，可通過設(shè)計于駕駛艙油門臺上的燃油切斷開關(guān)實現(xiàn)燃油切斷功能并最終關(guān)閉發(fā)動機。假設(shè)此時飛機上僅有此一種方式可以實現(xiàn)關(guān)發(fā)，那么無論高壓燃油切斷閥或者是燃油控制開關(guān)任一設(shè)備失效都將直接導致FHA頂事件的發(fā)生，因此分配給兩個設(shè)備的安全性要求都將是失效率小于1E-7每飛行小時。然而根據(jù)目前工業(yè)水平以及歷史數(shù)據(jù)分析，無論高壓燃油切斷閥或者是燃油控制開關(guān)都無法達到如此高的可靠性，因此僅有一種關(guān)發(fā)方式無法滿足頂事件安全性指標要求。

此時，動力裝置系統(tǒng)需要向飛機級和其他系統(tǒng)提出設(shè)計要求，即衍生安全性需求，例如在飛機上增加一套關(guān)斷發(fā)動機的方式從而滿足安全性指標要求。在某型飛機上，確認飛機燃油系統(tǒng)針對每一臺發(fā)動機還設(shè)計有一個低壓燃油切斷閥，也可通過油門臺上的燃油切斷開關(guān)單獨實現(xiàn)切油關(guān)發(fā)。此外駕駛艙頂部維護面板還設(shè)計有滅火開關(guān)，在遇到發(fā)動機著火等緊急情況時可超控實現(xiàn)發(fā)動機高壓燃油切斷閥和飛機低壓燃油切斷閥的同時關(guān)斷。由此在此設(shè)計構(gòu)架下，每臺發(fā)動機具備兩個閥門兩種操作共計四種實現(xiàn)關(guān)發(fā)的方式。

2.3 共因分析CCA（Common Cause Analysis）

在完成如上設(shè)計構(gòu)架后，還需要進行共因分析，找出潛在的獨立性要求。例如高壓燃油切斷閥和低壓燃油切斷閥的安裝，包括其設(shè)備本身和供電線纜的布置需隔離，避免由于同一區(qū)域內(nèi)發(fā)生的外部事件導致兩個閥門的供電控制喪失；針對高壓燃油切斷閥和低壓燃油切斷閥的供電需相互獨立，避免由于電源系統(tǒng)的單點故障導致兩個閥門同時喪失關(guān)斷能力。

2.4 向下分配安全性要求

依據(jù)上述的設(shè)計構(gòu)架，可繪制故障樹FTA如圖所示，并將頂事件的安全性指標向下分配，產(chǎn)生一組詳細到每個部件的完整的系統(tǒng)安全性需求，并確定軟硬件的研制保證等級 DAL（Design Assurance Level）。在此過程中，需要大量參考工程經(jīng)驗和相似機型資料，以避免分配的故障率過低不符合實際工業(yè)水平，或者分配的故障率過高從而對故障樹中其余設(shè)備帶來壓力。至此，一個典型的安全性需求“在F1-F4/L階段，喪失單臺發(fā)動機停車功能的概率應小于1E-7每飛行小時”的PSSA分析就完成了。這將作為動力裝置系統(tǒng)系統(tǒng)安全性評估SSA的輸入，通過不斷的迭代，雙V流程中的確認和驗證，最終形成一個確定的可以滿足安全性要求的設(shè)計。

圖2 發(fā)動機不能停車故障樹分析

2.5 其它分析

在上述實例分析中，通過動力裝置系統(tǒng)PSSA分析，最后產(chǎn)生了包括對自身系統(tǒng)和其它交聯(lián)系統(tǒng)的要求、設(shè)備故障率的要求、針對軟硬件研制保障等級的要求、安裝要求、獨立性要求等等。

此外，在完成PSSA分析時，還可能產(chǎn)生相應的維修檢查要求。例如由動力裝置系統(tǒng)FHA中提出的安全性要求 “在T/F1-F4/L階段，反推力裝置非指令打開的概率應小于1E-9每飛行小時”，在完成如上類似的PSSA分析后，通過故障樹發(fā)現(xiàn)用于鎖住反推力裝置的鎖，其隱蔽故障可能最終導致頂事件的發(fā)生。為此就需要產(chǎn)生相應的維修檢查要求，將反推鎖納入候選審定維修項目CCMR，通過制定定期檢查計劃從而降低或排除隱蔽故障發(fā)生的可能性。

3 總結(jié)

本文在動力裝置系統(tǒng)功能危險性評估FHA的基礎(chǔ)上，進一步對民用飛機動力裝置系統(tǒng)的初步系統(tǒng)安全性評估工作進行了研究，總結(jié)了PSSA的工作方法和流程，介紹了PSSA在動力裝置系統(tǒng)安全性分析過程中的應用情況，通過詳細案例為后續(xù)的分析工作提供的指導和建議。