王厲哲

（中國商飛上海飛機設計研究院，中國 上海 200000）

【關鍵字】民用飛機；動力裝置系統(tǒng)；初步系統(tǒng)安全性評估

0 引言

在民用航空的設計研制過程中，確保飛機的安全性始終是設計方、審查方和使用方最為關注的，動力裝置系統(tǒng)作為飛機動力源，其安全性設計更是不容忽視。SAE ARP 4761[1-2]作為工業(yè)界中被廣泛認可的安全性評估過程參考文件，為民用飛機復雜系統(tǒng)的安全性分析評估過程提供了指南和方法，評估過程由功能危險性評估（FHA，F(xiàn)unctional Hazard Assessment）、 初步系統(tǒng)安全性評估（PSSA，Preliminary System Safety Assessment） 和 系 統(tǒng) 安 全 性評估（SSA，System Safety Assessment）組成。 其中民用飛機動力裝置系統(tǒng)的功能危險性評估（FHA）已由朱巖等人進行了研究[3]，本文將主要研究民用飛機動力裝置系統(tǒng)安全性評估過程中的第二階段，初步系統(tǒng)安全性評估（PSSA）。并以某型飛機動力裝置系統(tǒng)為例，介紹其典型的案例和分析過程。

1 PSSA分析方法及過程

1.1 PSSA分析方法

PSSA是一個自上而下的分析方法，并在整個設計周期內連續(xù)迭代進行，它在SAE ARP 4754A[4]的雙“V”研制流程中屬于左半邊的確認過程（Validation）。在系統(tǒng)設計早期通過對推薦的系統(tǒng)構架進行檢查，以確定故障是如何導致FHA中所確定的失效狀態(tài)的，以及如何能夠滿足FHA中所確定的定量與定性的安全性目標與需求，同時將系統(tǒng)級功能危險評估中產(chǎn)生的系統(tǒng)安全性需求（概率、研制保證等級等）分配給子系統(tǒng)/設備，將設備級安全性需求分配到軟件和硬件，從而確定系統(tǒng)各層次級設計的安全性需求和目標，為系統(tǒng)設計與研制活動、SSA等活動提供必要的輸入[5]。

1.2 動力裝置系統(tǒng)PSSA分析過程

結合SAE ARP 4761指導文件，民用飛機動力裝置系統(tǒng)初步系統(tǒng)安全性評估主要包含以下方面的工作，PSSA分析過程和內部關系可參考圖1所示。

a）識別飛機級和系統(tǒng)級的初始安全性需求，其輸入來源包括飛機級PASA （Preliminary Aircraft Safety Assessment），動力裝置系統(tǒng)FHA、以及初步共因分析PCCA（Preliminary Common Cause Analysis）；

b）提出滿足初始安全性需求的設計決策，考慮包括功能冗余度、功能隔離和功能獨立性；

c）結合初始安全性需求和設計/架構決策，產(chǎn)生一組完整的系統(tǒng)安全性需求；

d）通過 FTA、DDA和MA等分析方法對安全性需求進行分析；

e）確立更低層次的安全性需求清單，包括組件級需求、軟硬件研制保證等級、對其他系統(tǒng)的需求、安裝需求和安全性維修需求；

f）在整個系統(tǒng)研制過程中，持續(xù)更新PSSA，最終得出系統(tǒng)安全性評估SSA。

圖1 初步系統(tǒng)安全性分析PSSA分析過程

2 動力裝置系統(tǒng)PSSA分析實例

依據(jù)上述的初步系統(tǒng)安全性評估方法和過程，本文將通過實例分析，介紹民用飛機動力裝置系統(tǒng)的系統(tǒng)初步安全性評估。

2.1 識別初始安全性需求

動力裝置系統(tǒng)的初始安全性需求可從動力裝置系統(tǒng)FHA和飛機級PASA中識別提取。某型飛機動力裝置系統(tǒng)FHA定義了包括推力喪失、推力控制能力喪失、發(fā)動機不能停車、不可控高推力、發(fā)動機主要參數(shù)喪失、反推非指令打開、未通告的反推功能失效等共計十多條影響等級在III類或以上的失效狀態(tài)，并提出了相其對應的安全性指標要求。

舉例在某型飛機動力裝置系統(tǒng)FHA中定義了如下需求，“在F1-F4/L階段，喪失單臺發(fā)動機停車功能的概率應小于1E-7每飛行小時”，同時在飛機級的PASA中也定義了如下相同需求 “在F1-F4/L階段，發(fā)動機不能停車的概率應小于1E-7每飛行小時”，并且對此功能分配了初步FDAL為B級。為了實現(xiàn)此條安全性需求，就需要檢查當前系統(tǒng)初步設計方案中的系統(tǒng)構架是如何滿足FHA的安全性指標要求，并確定哪些子系統(tǒng)和組件的失效會最終導致FHA頂事件的發(fā)生。

2.2 檢查系統(tǒng)設計構架

依據(jù)動力裝置系統(tǒng)發(fā)動機設計方案，發(fā)動機將設計包含有一個高壓燃油切斷閥，可通過設計于駕駛艙油門臺上的燃油切斷開關實現(xiàn)燃油切斷功能并最終關閉發(fā)動機。假設此時飛機上僅有此一種方式可以實現(xiàn)關發(fā)，那么無論高壓燃油切斷閥或者是燃油控制開關任一設備失效都將直接導致FHA頂事件的發(fā)生，因此分配給兩個設備的安全性要求都將是失效率小于1E-7每飛行小時。然而根據(jù)目前工業(yè)水平以及歷史數(shù)據(jù)分析，無論高壓燃油切斷閥或者是燃油控制開關都無法達到如此高的可靠性，因此僅有一種關發(fā)方式無法滿足頂事件安全性指標要求。

此時，動力裝置系統(tǒng)需要向飛機級和其他系統(tǒng)提出設計要求，即衍生安全性需求，例如在飛機上增加一套關斷發(fā)動機的方式從而滿足安全性指標要求。在某型飛機上，確認飛機燃油系統(tǒng)針對每一臺發(fā)動機還設計有一個低壓燃油切斷閥，也可通過油門臺上的燃油切斷開關單獨實現(xiàn)切油關發(fā)。此外駕駛艙頂部維護面板還設計有滅火開關，在遇到發(fā)動機著火等緊急情況時可超控實現(xiàn)發(fā)動機高壓燃油切斷閥和飛機低壓燃油切斷閥的同時關斷。由此在此設計構架下，每臺發(fā)動機具備兩個閥門兩種操作共計四種實現(xiàn)關發(fā)的方式。

2.3 共因分析CCA（Common Cause Analysis）

在完成如上設計構架后，還需要進行共因分析，找出潛在的獨立性要求。例如高壓燃油切斷閥和低壓燃油切斷閥的安裝，包括其設備本身和供電線纜的布置需隔離，避免由于同一區(qū)域內發(fā)生的外部事件導致兩個閥門的供電控制喪失；針對高壓燃油切斷閥和低壓燃油切斷閥的供電需相互獨立，避免由于電源系統(tǒng)的單點故障導致兩個閥門同時喪失關斷能力。

2.4 向下分配安全性要求

依據(jù)上述的設計構架，可繪制故障樹FTA如圖所示，并將頂事件的安全性指標向下分配，產(chǎn)生一組詳細到每個部件的完整的系統(tǒng)安全性需求，并確定軟硬件的研制保證等級 DAL（Design Assurance Level）。在此過程中，需要大量參考工程經(jīng)驗和相似機型資料，以避免分配的故障率過低不符合實際工業(yè)水平，或者分配的故障率過高從而對故障樹中其余設備帶來壓力。至此，一個典型的安全性需求“在F1-F4/L階段，喪失單臺發(fā)動機停車功能的概率應小于1E-7每飛行小時”的PSSA分析就完成了。這將作為動力裝置系統(tǒng)系統(tǒng)安全性評估SSA的輸入，通過不斷的迭代，雙V流程中的確認和驗證，最終形成一個確定的可以滿足安全性要求的設計。

圖2 發(fā)動機不能停車故障樹分析

2.5 其它分析

在上述實例分析中，通過動力裝置系統(tǒng)PSSA分析，最后產(chǎn)生了包括對自身系統(tǒng)和其它交聯(lián)系統(tǒng)的要求、設備故障率的要求、針對軟硬件研制保障等級的要求、安裝要求、獨立性要求等等。

此外，在完成PSSA分析時，還可能產(chǎn)生相應的維修檢查要求。例如由動力裝置系統(tǒng)FHA中提出的安全性要求 “在T/F1-F4/L階段，反推力裝置非指令打開的概率應小于1E-9每飛行小時”，在完成如上類似的PSSA分析后，通過故障樹發(fā)現(xiàn)用于鎖住反推力裝置的鎖，其隱蔽故障可能最終導致頂事件的發(fā)生。為此就需要產(chǎn)生相應的維修檢查要求，將反推鎖納入候選審定維修項目CCMR，通過制定定期檢查計劃從而降低或排除隱蔽故障發(fā)生的可能性。

3 總結

本文在動力裝置系統(tǒng)功能危險性評估FHA的基礎上，進一步對民用飛機動力裝置系統(tǒng)的初步系統(tǒng)安全性評估工作進行了研究，總結了PSSA的工作方法和流程，介紹了PSSA在動力裝置系統(tǒng)安全性分析過程中的應用情況，通過詳細案例為后續(xù)的分析工作提供的指導和建議。