張光炯，孫軍帥

(航空工業(yè)慶安集團(tuán)有限公司 航空設(shè)備研究所，西安 710077)

0 引 言

隨著航空航天技術(shù)的不斷發(fā)展與進(jìn)步，民用飛機(jī)的設(shè)計和制造越來越復(fù)雜，而伴隨著系統(tǒng)工程及適航理念的不斷深入，飛機(jī)及其系統(tǒng)的高安全性也得到了生產(chǎn)制造商和使用運(yùn)營方的更多關(guān)注[1-2]。如何在產(chǎn)品設(shè)計之初得到輕量化、經(jīng)濟(jì)性與安全性的最佳權(quán)衡結(jié)果，是飛機(jī)及系統(tǒng)安全性分析的重點(diǎn)之一[3-4]。

某民用飛機(jī)根據(jù)其應(yīng)用場景分析，配置有高升力系統(tǒng)，按照駕駛員的機(jī)械操縱指令，實(shí)現(xiàn)襟翼的自動偏轉(zhuǎn)控制，改善飛機(jī)起降時的升阻力系數(shù)[5]；同時按照適航需求，系統(tǒng)應(yīng)具備必要的故障監(jiān)控告警和保護(hù)功能，以達(dá)到高安全性的目標(biāo)[6]。SAE ARP4761提出了復(fù)雜系統(tǒng)的安全性設(shè)計評估方法[7]，在產(chǎn)品設(shè)計之初實(shí)現(xiàn)對系統(tǒng)架構(gòu)評估、關(guān)鍵因素識別、潛在失效及過高的失效組合概率評定，通過進(jìn)行改進(jìn)設(shè)計，在保證安全性的基礎(chǔ)上降低產(chǎn)品的研制成本及試驗(yàn)驗(yàn)證成本。

國內(nèi)已有學(xué)者按照安全性評估方法從飛機(jī)整機(jī)級開展了設(shè)計研究，從控制邏輯、指標(biāo)分配、軟件設(shè)計等方面進(jìn)行了分析[8-10]。同時也有技術(shù)人員依據(jù)ARP4761的要求，對飛控系統(tǒng)及高升力控制系統(tǒng)開展了故障監(jiān)控、隱蔽失效分析、馬爾可夫方法應(yīng)用等方面的研究[11-13]，對電氣線路互聯(lián)系統(tǒng)(Electrical Wiring Interconnection System，簡稱EWIS)及航電系統(tǒng)開展了指標(biāo)分析及安全性評估實(shí)施研究[14-15]。但尚未有在高升力系統(tǒng)架構(gòu)設(shè)計階段尋找關(guān)鍵因素并提升安全性目標(biāo)的相關(guān)研究。

因此，本文著重對此開展工作，以某型高升力系統(tǒng)為研究對象，基于民用飛機(jī)系統(tǒng)安全性設(shè)計評估的思路和方法，通過對某一典型的失效工況進(jìn)行分析及關(guān)鍵因素識別改進(jìn)，得到能夠滿足安全性目標(biāo)的系統(tǒng)方案。

1 系統(tǒng)安全性評估思路

民用飛機(jī)系統(tǒng)安全性評估是全壽命周期設(shè)計過程的一部分，包含有系統(tǒng)安全性分析和驗(yàn)證兩項工作，評估工作分別從定性和定量兩方面進(jìn)行。系統(tǒng)安全性分析從頂層開始研究，逐層向下分析確認(rèn)。首先通過對系統(tǒng)失效形式進(jìn)行梳理，識別系統(tǒng)風(fēng)險點(diǎn)和危險源；然后通過對失效影響的評估，確定每個失效狀態(tài)的嚴(yán)酷度；最后按照失效成因和機(jī)理，將系統(tǒng)安全性指標(biāo)分配到部件級和軟硬件級。系統(tǒng)安全性驗(yàn)證基于底層部件/軟硬件的故障率數(shù)據(jù)，從底層開始，根據(jù)相應(yīng)的邏輯關(guān)系(與/或)逐層向上計算分析驗(yàn)證[1,7]。

按照ARP4761所述，復(fù)雜系統(tǒng)的安全性分析過程主要包括以下步驟(如圖1所示)：

(1) 了解復(fù)雜系統(tǒng)的基本功能和設(shè)計目標(biāo)；

(2) 梳理系統(tǒng)功能清單，識別各功能可能存在的失效工況；

(3) 運(yùn)用系統(tǒng)功能危害性分析方法(SFHA)，識別所有失效功能的嚴(yán)酷度、安全性設(shè)計目標(biāo)以及驗(yàn)證方法和證明資料；

(4) 運(yùn)用故障樹分析(FTA)方法或馬爾可夫方法等，對安全性指標(biāo)進(jìn)行分配，同時結(jié)合經(jīng)驗(yàn)值確認(rèn)故障樹分配結(jié)果的指標(biāo)分配是否合理，針對底事件中無法滿足分配的指標(biāo)，可作為影響系統(tǒng)安全性設(shè)計的關(guān)鍵因素，并按照其改進(jìn)難易程度提出改進(jìn)要求；

(5) 通過特定危險分析(PRA)和區(qū)域安全分析(ZSA)，確定單點(diǎn)故障消除、安裝區(qū)域識別、操作維護(hù)使用等要求。

圖1 系統(tǒng)安全性分析流程圖Fig.1 Flow chart of system safety analysis

根據(jù)AC25.1309-1A及ARP4761中給出的規(guī)定方法，每個失效工況需從 “對飛機(jī)功能性能實(shí)現(xiàn)”“機(jī)組人員執(zhí)行任務(wù)能力”及“乘客舒適度和生命安全”三個方面進(jìn)行評估，確定其嚴(yán)酷度等級。每個級別的安全性指標(biāo)至少應(yīng)滿足的要求如表1所示[6-7]。

在進(jìn)行復(fù)雜系統(tǒng)安全性驗(yàn)證工作前，需要根據(jù)系統(tǒng)所含各部件及其零組件/軟硬件的安全性預(yù)計結(jié)果，根據(jù)故障樹的邏輯分析思路，從底向上進(jìn)行系統(tǒng)安全性設(shè)計指標(biāo)符合性驗(yàn)證。由于災(zāi)難級(Ⅰ類)和危險級(Ⅱ類)失效工況的影響后果較為嚴(yán)重，因此著重對這兩類失效工況進(jìn)行安全性驗(yàn)證，對于重大的(Ⅲ類)和輕微的(Ⅳ類)失效工況，可通過故障模式影響分析等文件進(jìn)行驗(yàn)證確認(rèn)。

表1 各嚴(yán)酷度等級的安全性要求值

2 基于安全性分析的高升力系統(tǒng)設(shè)計

2.1 基于FHA的系統(tǒng)安全性需求識別

根據(jù)高升力系統(tǒng)的應(yīng)用場景，系統(tǒng)的主要功能為實(shí)現(xiàn)襟翼收放功能，同時具備襟翼不對稱運(yùn)動故障監(jiān)控及保護(hù)功能。由于在起飛或降落時，飛機(jī)會由于左右襟翼不對稱而產(chǎn)生較大的翻滾力矩，一旦不對稱超過預(yù)設(shè)門限，駕駛員將難以操控飛機(jī)安全飛行，因此按照AC25.1309-1A，該失效模式的影響等級為Ⅰ類，其安全性設(shè)計目標(biāo)為發(fā)生概率≤1×10-9/FH(飛行小時)，如表2所示。

表2 系統(tǒng)功能危害分析結(jié)果

2.2 基于安全性設(shè)計目標(biāo)的系統(tǒng)設(shè)計

為了實(shí)現(xiàn)高升力系統(tǒng)襟翼同步收放，系統(tǒng)配置了集中式動力驅(qū)動裝置，由其帶動兩側(cè)的傳動線系帶動襟翼收放。同時，為了保障傳動線系斷裂時能夠?qū)崿F(xiàn)不對稱運(yùn)動狀態(tài)監(jiān)控及保護(hù)，高升力系統(tǒng)配置了襟翼控制計算機(jī)、翼尖位置傳感器和翼尖制動器進(jìn)行故障監(jiān)控及保護(hù)，其架構(gòu)如圖2所示。

圖2 滿足不對稱保護(hù)要求的系統(tǒng)架構(gòu)Fig.2 System architecture meeting the asymmetry protection requirement

2.3 基于FTA的安全性設(shè)計要求分配

“襟翼不對稱運(yùn)動過限”在起飛和降落階段是災(zāi)難級失效工況，以此為例進(jìn)行故障樹分析，確定部件的安全性設(shè)計目標(biāo)。

(1) 以“襟翼不對稱運(yùn)動過限”為頂事件，從功能的角度進(jìn)行故障成因分析(主要由于傳動線系斷裂或作動機(jī)構(gòu)傳動軸斷裂出現(xiàn)左右不對稱運(yùn)動，同時系統(tǒng)喪失不對稱保護(hù)功能)，構(gòu)建的故障樹如圖3所示。

(2) 對頂事件的安全性設(shè)計指標(biāo)(即不大于1×10-9/FH)進(jìn)行分配。基于故障樹的指標(biāo)分配通常進(jìn)行兩輪，第一次分配主要是平均分配，即采用“與”邏輯的下層級事件設(shè)計指標(biāo)是上層級設(shè)計指標(biāo)的均方值、采用“或”邏輯的下層事件設(shè)計指標(biāo)是上層級設(shè)計指標(biāo)的均分值。

“或”邏輯指標(biāo)分配模型

(1)

“與”邏輯指標(biāo)分配模型

(2)

式中：F為故障樹中某一層事件第一輪指標(biāo)分配值；Xi,Yi分別為故障樹中該層事件的上一級和下一級事件；i為某層第i個因素；n為該層因素的數(shù)量總和。

第一輪指標(biāo)分配后，由于底事件結(jié)構(gòu)類型、產(chǎn)品復(fù)雜度、技術(shù)成熟度等因素，均分的指標(biāo)會增加設(shè)計難度和研制成本，因此需要對某些底事件的指標(biāo)值進(jìn)行適當(dāng)調(diào)整，使得故障樹中所有底事件均有較為合理的設(shè)計指標(biāo)。

(3) 根據(jù)上述思路對“襟翼不對稱運(yùn)動過限”失效工況采用故障樹進(jìn)行指標(biāo)分配和調(diào)整，結(jié)果如圖3和表3所示。

圖3 “襟翼不對稱運(yùn)動過限”故障樹(需求分配)Fig.3 Fault tree allocation for “flap asymmetry motion over limit” according to requirement allocation 表3 “襟翼不對稱運(yùn)動過限”安全性設(shè)計要求 Table 3 Safety design requirement for “flap asymmetry motion over limit”

編號失效工況描述目標(biāo)子集特點(diǎn)FC01-301左右側(cè)傳動線系扭力管斷裂≤5E-6機(jī)械部件(失效率低、數(shù)量多)FC01-302左右側(cè)傳動線系傳動軸斷裂≤5E-6機(jī)械部件(失效率低、數(shù)量多)FC01-303左襟翼位置傳感器電氣故障≤5E-6簡單電氣部件(失效率低)FC01-304右襟翼位置傳感器電氣故障≤5E-6簡單電氣部件(失效率低)FC01-305襟翼控制計算機(jī)故障監(jiān)控電路故障≤4E-5復(fù)雜電子部件(失效率高、元器件復(fù)雜)FC01-306襟翼控制計算機(jī)故障保護(hù)電路故障≤4E-5復(fù)雜電子部件(失效率高、元器件復(fù)雜)FC01-307左側(cè)翼尖制動器制動機(jī)構(gòu)故障≤5E-6機(jī)械部件(失效率一般)FC01-308右側(cè)翼尖制動器制動機(jī)構(gòu)故障≤5E-6機(jī)械部件(失效率一般)

3 基于安全性評估的高升力系統(tǒng)初步驗(yàn)證

3.1 基于部件初步預(yù)計結(jié)果第一輪驗(yàn)證

以2.3節(jié)構(gòu)建的故障樹為平臺，運(yùn)用布爾運(yùn)算法則，從底向上計算故障樹中各元素的失效概率(底事件的失效概率主要依據(jù)其所含零組件或電子元器件的配套數(shù)量、使用環(huán)境、質(zhì)量等級、結(jié)構(gòu)特點(diǎn)等因素，采用零部件計數(shù)法或修正系數(shù)法進(jìn)行各失效模式的計算分析)，預(yù)計結(jié)果如表4和圖4所示。

表4 “襟翼不對稱運(yùn)動過限”安全性設(shè)計結(jié)果

圖4 “襟翼不對稱運(yùn)動過限”故障樹(指標(biāo)驗(yàn)證)Fig.4 Fault tree allocation for “flap asymmetry motion over limit” according to requirement verification

3.2 系統(tǒng)關(guān)鍵因素及改進(jìn)措施

從圖4可以看出：當(dāng)前“襟翼不對稱運(yùn)動過限”的設(shè)計結(jié)果為1.209×10-9/FH，不滿足安全性設(shè)計目標(biāo)。從指標(biāo)符合性表可得：造成系統(tǒng)不滿足安全性設(shè)計目標(biāo)的關(guān)鍵因素主要為傳動線系斷裂以及襟翼控制計算機(jī)的功能喪失。這兩個因素的特點(diǎn)及改進(jìn)方法權(quán)衡如下：

(1) 傳動線系中單個傳動桿/傳動軸的機(jī)械斷裂失效率不高(約為10-7次/FH)，但由于傳動線系中配套數(shù)量較多，導(dǎo)致該因素總的失效率占空比上升。

(2) 襟翼控制計算機(jī)自身為復(fù)雜電子部件，其中實(shí)現(xiàn)故障監(jiān)控及保護(hù)功能的電路包含有很多不同型號、不同規(guī)格的繼電器、二極管等，且不同質(zhì)量等級的器件失效率不同，數(shù)量和高失效率最終引起該因素權(quán)重比較大。

參考國外系統(tǒng)安全性設(shè)計的方法和思路[7]，提高產(chǎn)品安全性的方法包括余度設(shè)計、提高質(zhì)量、監(jiān)控檢查等。針對失效因素及失效特點(diǎn)，各改進(jìn)措施的可實(shí)施情況如表5所示。

表5 引起系統(tǒng)安全性不滿足要求的因素

3.3 基于改進(jìn)方案的系統(tǒng)安全性迭代驗(yàn)證

按照系統(tǒng)提供的方法，綜合考慮飛機(jī)結(jié)構(gòu)布局、使用環(huán)境、系統(tǒng)重量、可靠性及成本等因素，對襟翼控制計算機(jī)監(jiān)控電路部分器件進(jìn)行余度設(shè)計，同時將保護(hù)電路中部分關(guān)鍵器件進(jìn)行高質(zhì)量等級元件替換。經(jīng)產(chǎn)品第二輪迭代分析，“襟翼控制計算機(jī)故障監(jiān)控電路故障”的發(fā)生概率由5.3×10-5次/FH降低為3.6×10-5次/FH；“襟翼控制計算機(jī)故障保護(hù)電路故障”的發(fā)生概率由4.9×10-5次/FH降低為4×10-5次/FH(依據(jù)GJB299C《電子設(shè)備可靠性預(yù)計手冊》“元器件應(yīng)力分析可靠性預(yù)計法”進(jìn)行計算，得到其故障發(fā)生概率結(jié)果)。

按照更新后的數(shù)據(jù)對“襟翼不對稱運(yùn)動過限”重新進(jìn)行迭代驗(yàn)證，結(jié)果如圖5所示。

圖5 “襟翼不對稱運(yùn)動過限”故障樹(指標(biāo)迭代驗(yàn)證)Fig.5 Fault tree allocation for “flap asymmetry motion over limit” according to requirement iteration verification

從圖5可以看出：通過對襟翼控制計算機(jī)的適當(dāng)改進(jìn)設(shè)計，當(dāng)前高升力系統(tǒng)“襟翼不對稱運(yùn)動過限”的發(fā)生概率為9.288×10-10/FH，能夠滿足小于等于1×10-9/FH的安全性定量要求。

4 結(jié) 論

(1) 本文運(yùn)用民用飛機(jī)機(jī)載復(fù)雜系統(tǒng)安全性評估思想和方法，對高升力系統(tǒng)進(jìn)行安全性定量評估，對系統(tǒng)安全性薄弱環(huán)節(jié)進(jìn)行識別，綜合考慮飛機(jī)布局、系統(tǒng)重量及可靠性等因素，對薄弱環(huán)節(jié)進(jìn)行改進(jìn)，得到了滿足安全性設(shè)計目標(biāo)的設(shè)計方案。

(2) 民用飛機(jī)系統(tǒng)安全性評估方法在高升力系統(tǒng)設(shè)計中的應(yīng)用，使得高升力系統(tǒng)提前識別出電子控制設(shè)備這一主要薄弱環(huán)節(jié)，通過對其進(jìn)行余度設(shè)計和質(zhì)量提升，有效提高了高升力系統(tǒng)的安全性水平。

(3) 本文僅對某一典型的失效工況進(jìn)行了分析及關(guān)鍵因素識別改進(jìn)，若要得到最優(yōu)的系統(tǒng)設(shè)計方案，還需進(jìn)行其他失效工況的安全性評估分析以及與可靠性、重量等因素的綜合權(quán)衡。