蔡蔚榮

摘 要

依據(jù)運輸類飛機適航規(guī)章25.1309條款，提出了大型客機系統(tǒng)安全性需求管理體系。重點論述系統(tǒng)安全性頂層設(shè)計需求自上而下細化和分配的過程和方法，從而在大型客機系統(tǒng)設(shè)計與研制過程中充分落實系統(tǒng)安全性設(shè)計需求。通過嚴謹?shù)男枨蠊芾眢w系確保系統(tǒng)安全性設(shè)計需求的完整性和可追溯性，從根本上提升大型客機的安全性設(shè)計水平。

關(guān)鍵詞

大型客機;系統(tǒng)安全性;需求管理

中圖分類號： V271.1 ? ? ? ? ? ? ? ? ? ? 文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457 . 2020 . 17 . 58

0 引言

大型客機系統(tǒng)安全性設(shè)計過程即是安全性需求產(chǎn)生、傳遞和實現(xiàn)的過程。安全性需求產(chǎn)生于飛機/系統(tǒng)的安全性分析與評估過程，這些需求應(yīng)當通過可控的過程傳遞到設(shè)計中，以確保安全性需求能夠得到滿足。對安全性需求的產(chǎn)生、傳遞和實現(xiàn)過程進行嚴格的監(jiān)控和管理是十分重要的。

一方面，安全性是各系統(tǒng)在研制過程中必須關(guān)注的問題。如果在設(shè)計早期，就能將安全性評估過程中捕獲的需求傳遞到系統(tǒng)的設(shè)計過程，系統(tǒng)就能在設(shè)計過程中考慮到安全性問題，并能夠采取有效的設(shè)計措施保證相應(yīng)的安全性水平。系統(tǒng)的設(shè)計是反復迭代的過程，但明確的安全性需求，將有助于減少設(shè)計反復的工作量，提高系統(tǒng)設(shè)計效率。另一方面，適航當局非常關(guān)注安全性需求在設(shè)計中實現(xiàn)的過程。飛機的安全涉及全機各個系統(tǒng)，飛機各系統(tǒng)之間的輸入輸出關(guān)系是十分繁雜的。只有建立嚴密的安全性要求管理體系，才能向局方表明安全性需求是如何逐級傳遞到系統(tǒng)設(shè)計以及如何實現(xiàn)的。

1 系統(tǒng)安全性需求體系

建立清晰明確的系統(tǒng)安全性需求體系是進行需求管理的前提，根據(jù)大型客機研制過程，系統(tǒng)安全性設(shè)計需求一般分為四個層級：頂層安全性設(shè)計需求，飛機級安全性設(shè)計需求，系統(tǒng)級安全性設(shè)計需求和設(shè)備及安全性設(shè)計需求，如圖1所示。

在飛機概念設(shè)計階段，先根據(jù)當時的適航要求、之前飛機研制的經(jīng)驗教訓以及競爭飛機的對比分析，確定飛機的頂層的系統(tǒng)安全性設(shè)計需求，并通過充分論證確保頂層安全性需求的完整性、準確性和合理性。隨著飛機研制進度的推進，頂層安全性需求自上而下不斷向下細化和分配，逐次形成飛機級安全性需求、系統(tǒng)安全性需求和設(shè)備級安全性需求。當飛機詳細設(shè)計完成，底層安全性需求得以實現(xiàn)，應(yīng)自下而上逐級驗證下層安全性需求的實現(xiàn)是否滿足了上層安全性需求，從而最終確保頂層安全性需求得到滿足。

2 頂層安全性設(shè)計需求

飛機頂層的安全性設(shè)計要求來源于適航規(guī)章、過去機型或者類似機型的經(jīng)驗和教訓以及飛機主制造商的指南和設(shè)計規(guī)章。適航對飛機安全性的要求是最低水平，飛機主制造商確定的飛機安全性目標必須不低于適航要求的最低水平。然而飛機安全性與經(jīng)濟性通常是矛盾的，提高飛機安全性意味著也提高了飛機的設(shè)計成本，因此民用客機通常以滿足適航最低要求為飛機安全性設(shè)計的頂層需求。

民機系統(tǒng)安全性需求主要來源于CCAR25.1309條款[1]，頂層安全性需求可歸納為三個方面，如表1所示。

3 安全性設(shè)計需求的管理過程

安全性設(shè)計需求的管理過程即為頂層安全性設(shè)計需求逐層細化分配和確認驗證過程，這一過程與系統(tǒng)安全性分析與評估過程緊密聯(lián)系，以下從功能失效概率需求、共因需求、機組通告和操作需求三個方面分別論述系統(tǒng)安全性需求管理過程。

3.1 功能失效概率需求

功能失效概率需求針對飛機所有可能發(fā)生的功能失效狀態(tài)，主要通過功能危險評估（FHA）過程逐級細化。在飛機級，飛機級功能危險評估識別飛機功能的失效狀態(tài)，并確定這些失效狀態(tài)的影響等級，根據(jù)適航要求不同等級的失效狀態(tài)對應(yīng)相應(yīng)的定量概率需求?；陲w機的功能架構(gòu)，飛機級失效狀態(tài)的定量概率需求分配至系統(tǒng)級失效狀態(tài)概率需求。系統(tǒng)級也需開展功能危險性評估，以同樣的方法確定系統(tǒng)級功能失效概率需求，系統(tǒng)級功能失效概率需求必須完全涵蓋飛機級分配至系統(tǒng)級的失效概率需求。系統(tǒng)設(shè)計架構(gòu)確定后，可通過故障樹的方法，將失效概率需求逐級分配至具體的設(shè)備，從而最終確定底層系統(tǒng)設(shè)備所應(yīng)滿足的可靠性要求。

在進行功能危險性評估過程，除了捕獲了失效狀態(tài)概率需求，也會捕獲功能研制保障的需求。在飛機級，功能研制保障等級與功能失效狀態(tài)最嚴酷的影響等級是一一對應(yīng)的。飛機級功能研制保障等級（FDAL）根據(jù)飛機功能架構(gòu)分配至系統(tǒng)功能，系統(tǒng)通過建立系統(tǒng)功能的差錯樹將系統(tǒng)FDAL分配至設(shè)備軟硬件的項目研制保障等級（IDAL）。研制保障等級不是針對系統(tǒng)設(shè)備本身的需求，而是針對飛機、系統(tǒng)和設(shè)備研制過程的需求，不同的研制保障等級需滿足相應(yīng)的過程保證。

3.2 共因需求

共因需求是為了避免單點故障造成災(zāi)難性失效，在細化過程可分為特定風險需求、共模需求和區(qū)域安全性需求[2]。

在飛機級，應(yīng)先確定飛機研制項目中所需開展的特定風險事件（例如鳥撞、轉(zhuǎn)子爆破等），捕獲每項特定風險事件的設(shè)計需求。特定風險事件的設(shè)計需求一部分來源相應(yīng)適航條款以及之前飛機的經(jīng)驗，另一部分來源于FHA過程。對于FHA中所識別的災(zāi)難性失效狀態(tài)，飛機級應(yīng)捕獲相應(yīng)的系統(tǒng)布置需求以避免特定風險事件導致這些災(zāi)難性的失效的發(fā)生。在系統(tǒng)級，應(yīng)根據(jù)飛機級特定風險需求，進一步確定系統(tǒng)設(shè)備的布置需求，例如重要設(shè)備的布置位置，管路和線路的布置等。

共模需求同樣針對FHA中的災(zāi)難性失效狀態(tài)，在飛機級根據(jù)FHA分析結(jié)果識別系統(tǒng)與系統(tǒng)之間的共模需求。例如同時喪失方向舵控制和前輪轉(zhuǎn)彎會導致著陸時喪失方向控制，這個失效是災(zāi)難性的，則方向舵和前輪轉(zhuǎn)彎控制不能使用同樣的液壓源，以避免同一液壓喪失造成方向舵和前輪轉(zhuǎn)彎同時喪失。在系統(tǒng)級，根據(jù)系統(tǒng)的詳細架構(gòu)識別設(shè)備層級的共模需求，例如如果系統(tǒng)需要兩套冗余探測器，應(yīng)考慮使用不同類型的探測器以避免共模失效。

區(qū)域安全性需求包括設(shè)備設(shè)計安裝準則和外部失效的需求。設(shè)備設(shè)計安裝準則基于相應(yīng)的標準或者經(jīng)驗直接提出了設(shè)備之間的安裝方位、安裝距離、防差錯設(shè)計等需求。外部失效需求應(yīng)先識別具有外部失效模式的危險源，根據(jù)危險源的影響范圍和系統(tǒng)冗余的架構(gòu)，捕獲隔離或者防護的需求。區(qū)域安全性需求往往直接具體到系統(tǒng)設(shè)備的布置要求，可直接統(tǒng)一在飛機級或者系統(tǒng)級，無須進行逐層級分解。

3.3 機組通告和操作的需求

系統(tǒng)不安全的工作情況應(yīng)通過恰當?shù)姆绞礁嬷w行機組，并向機組提供清晰、明確、有效的糾正措施。系統(tǒng)不安全的工作情況通過FHA識別的失效狀態(tài)進行確定，在飛機級應(yīng)初步確定機組發(fā)覺失效的方式和機組需采取的應(yīng)對措施。在系統(tǒng)級，應(yīng)在系統(tǒng)級設(shè)計方案中考慮不安全性失效狀態(tài)通告給機組的具體方式，方式包括機組告警、機組顯示、燈光提示或者振動提示等，通告的方式首先要滿足相應(yīng)的適航要求，其次考慮系統(tǒng)的實現(xiàn)方案。初步的應(yīng)對措施在系統(tǒng)級應(yīng)進一步細化為機組看到通告后的操作程序，這些操作程序經(jīng)仿真、模擬實驗和飛行實驗驗證后落實到機組操作手冊中。

4 總結(jié)

本文根據(jù)25.1309條款提出了大型客機系統(tǒng)安全性設(shè)計需求體系，明確了大型客機頂層安全性設(shè)計需求，從功能失效概率需求、共因需求、機組通告和操作需求三個方面分別論述了系統(tǒng)安全性需求在飛機級、系統(tǒng)級和設(shè)備級逐層細化、分配和驗證的管理過程，為大型客機系統(tǒng)安全性設(shè)計提供借鑒，確保飛機設(shè)計安全。

參考文獻

[1]CCAR-25R4，中國民用航空規(guī)章第25部運輸類飛機適航標準.2009：129.

[2]SAE 4761， GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT， 1996-12：156-157.