蔡蔚榮

摘 要

依據(jù)運(yùn)輸類飛機(jī)適航規(guī)章25.1309條款，提出了大型客機(jī)系統(tǒng)安全性需求管理體系。重點(diǎn)論述系統(tǒng)安全性頂層設(shè)計(jì)需求自上而下細(xì)化和分配的過(guò)程和方法，從而在大型客機(jī)系統(tǒng)設(shè)計(jì)與研制過(guò)程中充分落實(shí)系統(tǒng)安全性設(shè)計(jì)需求。通過(guò)嚴(yán)謹(jǐn)?shù)男枨蠊芾眢w系確保系統(tǒng)安全性設(shè)計(jì)需求的完整性和可追溯性，從根本上提升大型客機(jī)的安全性設(shè)計(jì)水平。

關(guān)鍵詞

大型客機(jī);系統(tǒng)安全性;需求管理

中圖分類號(hào)： V271.1 ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼： A

DOI：10.19694/j.cnki.issn2095-2457 . 2020 . 17 . 58

0 引言

大型客機(jī)系統(tǒng)安全性設(shè)計(jì)過(guò)程即是安全性需求產(chǎn)生、傳遞和實(shí)現(xiàn)的過(guò)程。安全性需求產(chǎn)生于飛機(jī)/系統(tǒng)的安全性分析與評(píng)估過(guò)程，這些需求應(yīng)當(dāng)通過(guò)可控的過(guò)程傳遞到設(shè)計(jì)中，以確保安全性需求能夠得到滿足。對(duì)安全性需求的產(chǎn)生、傳遞和實(shí)現(xiàn)過(guò)程進(jìn)行嚴(yán)格的監(jiān)控和管理是十分重要的。

一方面，安全性是各系統(tǒng)在研制過(guò)程中必須關(guān)注的問(wèn)題。如果在設(shè)計(jì)早期，就能將安全性評(píng)估過(guò)程中捕獲的需求傳遞到系統(tǒng)的設(shè)計(jì)過(guò)程，系統(tǒng)就能在設(shè)計(jì)過(guò)程中考慮到安全性問(wèn)題，并能夠采取有效的設(shè)計(jì)措施保證相應(yīng)的安全性水平。系統(tǒng)的設(shè)計(jì)是反復(fù)迭代的過(guò)程，但明確的安全性需求，將有助于減少設(shè)計(jì)反復(fù)的工作量，提高系統(tǒng)設(shè)計(jì)效率。另一方面，適航當(dāng)局非常關(guān)注安全性需求在設(shè)計(jì)中實(shí)現(xiàn)的過(guò)程。飛機(jī)的安全涉及全機(jī)各個(gè)系統(tǒng)，飛機(jī)各系統(tǒng)之間的輸入輸出關(guān)系是十分繁雜的。只有建立嚴(yán)密的安全性要求管理體系，才能向局方表明安全性需求是如何逐級(jí)傳遞到系統(tǒng)設(shè)計(jì)以及如何實(shí)現(xiàn)的。

1 系統(tǒng)安全性需求體系

建立清晰明確的系統(tǒng)安全性需求體系是進(jìn)行需求管理的前提，根據(jù)大型客機(jī)研制過(guò)程，系統(tǒng)安全性設(shè)計(jì)需求一般分為四個(gè)層級(jí)：頂層安全性設(shè)計(jì)需求，飛機(jī)級(jí)安全性設(shè)計(jì)需求，系統(tǒng)級(jí)安全性設(shè)計(jì)需求和設(shè)備及安全性設(shè)計(jì)需求，如圖1所示。

在飛機(jī)概念設(shè)計(jì)階段，先根據(jù)當(dāng)時(shí)的適航要求、之前飛機(jī)研制的經(jīng)驗(yàn)教訓(xùn)以及競(jìng)爭(zhēng)飛機(jī)的對(duì)比分析，確定飛機(jī)的頂層的系統(tǒng)安全性設(shè)計(jì)需求，并通過(guò)充分論證確保頂層安全性需求的完整性、準(zhǔn)確性和合理性。隨著飛機(jī)研制進(jìn)度的推進(jìn)，頂層安全性需求自上而下不斷向下細(xì)化和分配，逐次形成飛機(jī)級(jí)安全性需求、系統(tǒng)安全性需求和設(shè)備級(jí)安全性需求。當(dāng)飛機(jī)詳細(xì)設(shè)計(jì)完成，底層安全性需求得以實(shí)現(xiàn)，應(yīng)自下而上逐級(jí)驗(yàn)證下層安全性需求的實(shí)現(xiàn)是否滿足了上層安全性需求，從而最終確保頂層安全性需求得到滿足。

2 頂層安全性設(shè)計(jì)需求

飛機(jī)頂層的安全性設(shè)計(jì)要求來(lái)源于適航規(guī)章、過(guò)去機(jī)型或者類似機(jī)型的經(jīng)驗(yàn)和教訓(xùn)以及飛機(jī)主制造商的指南和設(shè)計(jì)規(guī)章。適航對(duì)飛機(jī)安全性的要求是最低水平，飛機(jī)主制造商確定的飛機(jī)安全性目標(biāo)必須不低于適航要求的最低水平。然而飛機(jī)安全性與經(jīng)濟(jì)性通常是矛盾的，提高飛機(jī)安全性意味著也提高了飛機(jī)的設(shè)計(jì)成本，因此民用客機(jī)通常以滿足適航最低要求為飛機(jī)安全性設(shè)計(jì)的頂層需求。

民機(jī)系統(tǒng)安全性需求主要來(lái)源于CCAR25.1309條款[1]，頂層安全性需求可歸納為三個(gè)方面，如表1所示。

3 安全性設(shè)計(jì)需求的管理過(guò)程

安全性設(shè)計(jì)需求的管理過(guò)程即為頂層安全性設(shè)計(jì)需求逐層細(xì)化分配和確認(rèn)驗(yàn)證過(guò)程，這一過(guò)程與系統(tǒng)安全性分析與評(píng)估過(guò)程緊密聯(lián)系，以下從功能失效概率需求、共因需求、機(jī)組通告和操作需求三個(gè)方面分別論述系統(tǒng)安全性需求管理過(guò)程。

3.1 功能失效概率需求

功能失效概率需求針對(duì)飛機(jī)所有可能發(fā)生的功能失效狀態(tài)，主要通過(guò)功能危險(xiǎn)評(píng)估（FHA）過(guò)程逐級(jí)細(xì)化。在飛機(jī)級(jí)，飛機(jī)級(jí)功能危險(xiǎn)評(píng)估識(shí)別飛機(jī)功能的失效狀態(tài)，并確定這些失效狀態(tài)的影響等級(jí)，根據(jù)適航要求不同等級(jí)的失效狀態(tài)對(duì)應(yīng)相應(yīng)的定量概率需求。基于飛機(jī)的功能架構(gòu)，飛機(jī)級(jí)失效狀態(tài)的定量概率需求分配至系統(tǒng)級(jí)失效狀態(tài)概率需求。系統(tǒng)級(jí)也需開展功能危險(xiǎn)性評(píng)估，以同樣的方法確定系統(tǒng)級(jí)功能失效概率需求，系統(tǒng)級(jí)功能失效概率需求必須完全涵蓋飛機(jī)級(jí)分配至系統(tǒng)級(jí)的失效概率需求。系統(tǒng)設(shè)計(jì)架構(gòu)確定后，可通過(guò)故障樹的方法，將失效概率需求逐級(jí)分配至具體的設(shè)備，從而最終確定底層系統(tǒng)設(shè)備所應(yīng)滿足的可靠性要求。

在進(jìn)行功能危險(xiǎn)性評(píng)估過(guò)程，除了捕獲了失效狀態(tài)概率需求，也會(huì)捕獲功能研制保障的需求。在飛機(jī)級(jí)，功能研制保障等級(jí)與功能失效狀態(tài)最嚴(yán)酷的影響等級(jí)是一一對(duì)應(yīng)的。飛機(jī)級(jí)功能研制保障等級(jí)（FDAL）根據(jù)飛機(jī)功能架構(gòu)分配至系統(tǒng)功能，系統(tǒng)通過(guò)建立系統(tǒng)功能的差錯(cuò)樹將系統(tǒng)FDAL分配至設(shè)備軟硬件的項(xiàng)目研制保障等級(jí)（IDAL）。研制保障等級(jí)不是針對(duì)系統(tǒng)設(shè)備本身的需求，而是針對(duì)飛機(jī)、系統(tǒng)和設(shè)備研制過(guò)程的需求，不同的研制保障等級(jí)需滿足相應(yīng)的過(guò)程保證。

3.2 共因需求

共因需求是為了避免單點(diǎn)故障造成災(zāi)難性失效，在細(xì)化過(guò)程可分為特定風(fēng)險(xiǎn)需求、共模需求和區(qū)域安全性需求[2]。

在飛機(jī)級(jí)，應(yīng)先確定飛機(jī)研制項(xiàng)目中所需開展的特定風(fēng)險(xiǎn)事件（例如鳥撞、轉(zhuǎn)子爆破等），捕獲每項(xiàng)特定風(fēng)險(xiǎn)事件的設(shè)計(jì)需求。特定風(fēng)險(xiǎn)事件的設(shè)計(jì)需求一部分來(lái)源相應(yīng)適航條款以及之前飛機(jī)的經(jīng)驗(yàn)，另一部分來(lái)源于FHA過(guò)程。對(duì)于FHA中所識(shí)別的災(zāi)難性失效狀態(tài)，飛機(jī)級(jí)應(yīng)捕獲相應(yīng)的系統(tǒng)布置需求以避免特定風(fēng)險(xiǎn)事件導(dǎo)致這些災(zāi)難性的失效的發(fā)生。在系統(tǒng)級(jí)，應(yīng)根據(jù)飛機(jī)級(jí)特定風(fēng)險(xiǎn)需求，進(jìn)一步確定系統(tǒng)設(shè)備的布置需求，例如重要設(shè)備的布置位置，管路和線路的布置等。

共模需求同樣針對(duì)FHA中的災(zāi)難性失效狀態(tài)，在飛機(jī)級(jí)根據(jù)FHA分析結(jié)果識(shí)別系統(tǒng)與系統(tǒng)之間的共模需求。例如同時(shí)喪失方向舵控制和前輪轉(zhuǎn)彎會(huì)導(dǎo)致著陸時(shí)喪失方向控制，這個(gè)失效是災(zāi)難性的，則方向舵和前輪轉(zhuǎn)彎控制不能使用同樣的液壓源，以避免同一液壓?jiǎn)适г斐煞较蚨婧颓拜嗈D(zhuǎn)彎同時(shí)喪失。在系統(tǒng)級(jí)，根據(jù)系統(tǒng)的詳細(xì)架構(gòu)識(shí)別設(shè)備層級(jí)的共模需求，例如如果系統(tǒng)需要兩套冗余探測(cè)器，應(yīng)考慮使用不同類型的探測(cè)器以避免共模失效。

區(qū)域安全性需求包括設(shè)備設(shè)計(jì)安裝準(zhǔn)則和外部失效的需求。設(shè)備設(shè)計(jì)安裝準(zhǔn)則基于相應(yīng)的標(biāo)準(zhǔn)或者經(jīng)驗(yàn)直接提出了設(shè)備之間的安裝方位、安裝距離、防差錯(cuò)設(shè)計(jì)等需求。外部失效需求應(yīng)先識(shí)別具有外部失效模式的危險(xiǎn)源，根據(jù)危險(xiǎn)源的影響范圍和系統(tǒng)冗余的架構(gòu)，捕獲隔離或者防護(hù)的需求。區(qū)域安全性需求往往直接具體到系統(tǒng)設(shè)備的布置要求，可直接統(tǒng)一在飛機(jī)級(jí)或者系統(tǒng)級(jí)，無(wú)須進(jìn)行逐層級(jí)分解。

3.3 機(jī)組通告和操作的需求

系統(tǒng)不安全的工作情況應(yīng)通過(guò)恰當(dāng)?shù)姆绞礁嬷w行機(jī)組，并向機(jī)組提供清晰、明確、有效的糾正措施。系統(tǒng)不安全的工作情況通過(guò)FHA識(shí)別的失效狀態(tài)進(jìn)行確定，在飛機(jī)級(jí)應(yīng)初步確定機(jī)組發(fā)覺(jué)失效的方式和機(jī)組需采取的應(yīng)對(duì)措施。在系統(tǒng)級(jí)，應(yīng)在系統(tǒng)級(jí)設(shè)計(jì)方案中考慮不安全性失效狀態(tài)通告給機(jī)組的具體方式，方式包括機(jī)組告警、機(jī)組顯示、燈光提示或者振動(dòng)提示等，通告的方式首先要滿足相應(yīng)的適航要求，其次考慮系統(tǒng)的實(shí)現(xiàn)方案。初步的應(yīng)對(duì)措施在系統(tǒng)級(jí)應(yīng)進(jìn)一步細(xì)化為機(jī)組看到通告后的操作程序，這些操作程序經(jīng)仿真、模擬實(shí)驗(yàn)和飛行實(shí)驗(yàn)驗(yàn)證后落實(shí)到機(jī)組操作手冊(cè)中。

4 總結(jié)

本文根據(jù)25.1309條款提出了大型客機(jī)系統(tǒng)安全性設(shè)計(jì)需求體系，明確了大型客機(jī)頂層安全性設(shè)計(jì)需求，從功能失效概率需求、共因需求、機(jī)組通告和操作需求三個(gè)方面分別論述了系統(tǒng)安全性需求在飛機(jī)級(jí)、系統(tǒng)級(jí)和設(shè)備級(jí)逐層細(xì)化、分配和驗(yàn)證的管理過(guò)程，為大型客機(jī)系統(tǒng)安全性設(shè)計(jì)提供借鑒，確保飛機(jī)設(shè)計(jì)安全。

參考文獻(xiàn)

[1]CCAR-25R4，中國(guó)民用航空規(guī)章第25部運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn).2009：129.

[2]SAE 4761， GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT， 1996-12：156-157.