郭放 吳晶峰 楊子江 楊慧赟 劉嘉偉 閆文輝

摘要：航空發(fā)動機(jī)研制是一個反復(fù)迭代的過程，安全性評估是研制過程不可缺少的部分。在航空發(fā)動機(jī)“正向”研制過程中，通過系統(tǒng)性、規(guī)范化的分析、設(shè)計和驗證等工作，可以有效預(yù)防災(zāi)難事故的發(fā)生和減少事故損失，降低發(fā)動機(jī)運營時的風(fēng)險，提高航空發(fā)動機(jī)的安全性。本文依據(jù)基于系統(tǒng)工程的航空發(fā)動機(jī)的安全性評估過程建立追溯模型框架，可以與發(fā)動機(jī)研制相結(jié)合，保證安全性需求的設(shè)計實現(xiàn)。

關(guān)鍵詞：系統(tǒng)工程;航空發(fā)動機(jī);安全性評估;追溯模型框架

1? 背景和意義

航空發(fā)動機(jī)系統(tǒng)安全性評估是對航空發(fā)動機(jī)安全性進(jìn)行系統(tǒng)性的綜合評價。國外發(fā)達(dá)的航空工業(yè)國家把航空發(fā)動機(jī)的安全性評估工作放在特別重要的位置。隨著民航事故的發(fā)生頻率越來越高，為了確保民用航空的安全，美國聯(lián)邦航空局（Federal Aviation Administration，F(xiàn)AA）制定頒布了一系列聯(lián)邦航空法（Federal Aviation Regulation，F(xiàn)AR）和咨詢通告（Advisory Circular，AC）[1]，歐洲航空安全局（European Aviation Safety Agency，EASA）發(fā)布了合格審定規(guī)范（CS）、可接受符合性方法（AMC）和指導(dǎo)材料（GM）。我國也頒布了一系列的航空規(guī)章和咨詢通告。

在以上適航標(biāo)準(zhǔn)中，F(xiàn)AR-33、CCAR-33的33.75條款及CS-E510條款專門針對發(fā)動機(jī)及其子系統(tǒng)提出安全性評估的總體要求，明確指出在航空發(fā)動機(jī)設(shè)計階段申請人必須對發(fā)動機(jī)及其控制系統(tǒng)進(jìn)行安全性評估，以確保航空發(fā)動機(jī)的安全水平[2]。航空發(fā)動機(jī)的研制必須滿足適航規(guī)章的規(guī)定，才能通過適航審定，進(jìn)入民用市場。美國汽車工程師協(xié)會（Society of Automotive Engineers，SAE）發(fā)布了一系列與 FAR 相符合的標(biāo)準(zhǔn)和規(guī)范，包括SAE ARP4761、SAE ARP4754A等[1]。

但是，在具體的安全性評估過程中很難直接使用這些規(guī)章、標(biāo)準(zhǔn)和規(guī)范中的安全性評估內(nèi)容，因為它們沒有針對航空發(fā)動機(jī)提供具體的安全性評估過程，而且安全性評估模型及相關(guān)研究都沒有對航空發(fā)動機(jī)所需的安全性數(shù)據(jù)及其與研制中其他活動數(shù)據(jù)之間的關(guān)聯(lián)進(jìn)行說明[1]，導(dǎo)致目前型號安全性工作中仍存在以下問題：一是航空發(fā)動機(jī)系統(tǒng)安全性評估與產(chǎn)品研制脫節(jié)，系統(tǒng)工程V模型左臂缺失，安全性工作難以發(fā)揮其在產(chǎn)品研制過程中應(yīng)有的作用;二是安全性評估結(jié)果缺乏可追溯性，難以準(zhǔn)確判斷安全性評估工作的有效性和準(zhǔn)確性，增大了工作的技術(shù)難度[3]。

本文分析了系統(tǒng)工程在航空發(fā)動機(jī)研制過程中的應(yīng)用、基于系統(tǒng)工程的安全性評估過程，建立安全性評估過程追溯模型框架，能夠有效解決航空發(fā)動機(jī)研制過程中V模型左臂缺失以及安全性評估結(jié)果缺乏可追溯性的問題。

2? 系統(tǒng)安全性評估

安全性理論發(fā)展至今形成了基于系統(tǒng)工程理論的安全性評估方法，在復(fù)雜系統(tǒng)的研制過程中，將“安全性”作為一項非功能性需求在研制之初加以考慮，安全性評估與系統(tǒng)研制密不可分，評估過程是安全性需求識別、分解、確認(rèn)、設(shè)計實現(xiàn)（包括圖紙、計算和試驗）和驗證的過程，實現(xiàn)系統(tǒng)的安全性設(shè)計。為完成各項評估工作需要采用具體的評估方法，常用的評估方法包括功能危險性分析（Functional Hazard Assessment，F(xiàn)HA）、初步系統(tǒng)安全性評估（Preliminary System Safety Assessment，PSSA）、系統(tǒng)安全性評估（System Safety Assessment，SSA）、故障模式及影響分析（Failure Mode and Effects Analysis，F(xiàn)MEA）、故障樹分析（Fault Tree Analysis，F(xiàn)TA）以及共因分析（Common Cause Analysis，CCA）等[3]。安全性評估工作與系統(tǒng)研制活動相輔相成，相互依存，其關(guān)系可以用圖1模型表示。模型左側(cè)，自上向下利用安全性分析方法完成安全性需求的識別、分解和確認(rèn)，這一過程覆蓋發(fā)動機(jī)概念設(shè)計階段和初步設(shè)計階段;模型低端進(jìn)行零組件的設(shè)計制造，對應(yīng)系統(tǒng)研制的詳細(xì)設(shè)計階段;模型右側(cè)，自下向上進(jìn)行系統(tǒng)集成和試驗驗證，是產(chǎn)品實現(xiàn)過程，每一層級的集成和試驗都對左側(cè)相應(yīng)層級的設(shè)計安全性進(jìn)行驗證。安全性評估伴隨系統(tǒng)研制進(jìn)程是一個反復(fù)迭代的過程，也在需求的識別-分配-確認(rèn)-驗證過程中實現(xiàn)需求的可追溯，最終確保系統(tǒng)設(shè)計滿足安全性需求。

3? 安全性評估過程追溯模型框架

參考文獻(xiàn)中民用飛機(jī)適航安全性數(shù)據(jù)追溯性分析與建模[3]中的追溯模型框架，基于梳理的安全性評估過程，建立安全性評估過程追溯模型框架如圖3所示。

各文件間關(guān)系及追溯性說明如下：

T1：FHA報告對AFHA（飛機(jī)級功能危險性評估）報告的追溯性關(guān)系。

FHA報告的頂層需求來自于AFHA衍生的安全性需求及適用的規(guī)章。

T2：SFHA報告對FHA報告的追溯性關(guān)系。

SFHA報告對FHA報告的追溯性關(guān)系主要關(guān)注整機(jī)級功能清單和系統(tǒng)級功能清單間的追溯性和一致性，整機(jī)級失效狀態(tài)清單和系統(tǒng)級失效狀態(tài)清單間的追溯性和一致性。整機(jī)級的頂層需求來自于飛機(jī)級FHA衍生的安全性需求及部分規(guī)章。

T3：SFHA/FHA報告對失效材料支撐文件的追溯性關(guān)系。

SFHA/FHA報告中各失效狀態(tài)類別的劃分應(yīng)該有對應(yīng)的支撐材料支持，該材料可以是地面試驗、分析計算、仿真模擬等。在SFHA/FHA報告中， 應(yīng)對各失效狀態(tài)的支撐數(shù)據(jù)進(jìn)行索引。

T4：FTA報告對SFHA/FHA告的追溯性關(guān)系。

結(jié)合系統(tǒng)架構(gòu)，PSSA文件中的FTA以SFHA/FHA中的安全性目標(biāo)和需求自上而下的分配給子系統(tǒng)/設(shè)備，再將設(shè)備級需求分配到軟件和硬件，設(shè)定一個初步的發(fā)動機(jī)的安全性指標(biāo)體系。

T5：SFHA/FHA報告和PSSA/SSA文件對共因分析的追溯性關(guān)系。

SFHA/FHA報告中，由于各功能之間的交互作用，某功能失效或故障有可能對其他系統(tǒng)造成一定影響，在進(jìn)行評估過程中需要考慮該功能故障對其他系統(tǒng)的耦合影響。

PSSA/SSA過程的部分初始安全性需求來源于共因分析，需要對災(zāi)難類失效狀態(tài)下“與” 門事件開展分析。根據(jù)目前的適航要求，災(zāi)難級失效狀態(tài)是不允許出現(xiàn)“單點故障”的。而共因分析就是通過特定風(fēng)險分析（Particular Risk Analysis， PRA）、區(qū)域安全性分析（Zonal Safety Analysis， ZSA）和共模分析（Common Mode Analysis， CMA）驗證失效狀態(tài)故障樹是否存在“單點故障”。各個系統(tǒng)中的PSSA/SSA都會用到共因分析的結(jié)果。

T6：PSSA/SSA文件對SFHA/FHA報告的追溯性關(guān)系[3]。

PSSA/SSA文件對SFHA/FHA報告的追溯性關(guān)系主要體現(xiàn)在：

①PSSA/SSA分析需要以SFHA/FHA報告和PASA（飛機(jī)級初步系統(tǒng)安全性評估）的輸出結(jié)果為初始安全性需求，包括相關(guān)失效影響、定性需求、概率預(yù)算等，比如PSSA/SSA分析應(yīng)該以SFHA/FHA報告中確定的安全性需求為頂事件進(jìn)行故障樹定性定量分析，SSA需驗證是否滿足了SFHA中的安全性需求。

②PSSA/SSA分析的深度依據(jù)SFHA/FHA報告中的結(jié)果，隨著分析系統(tǒng)的相關(guān)設(shè)計、復(fù)雜性和失效狀態(tài)影響等級變化。比如危害和重要的失效狀態(tài)以及高度復(fù)雜系統(tǒng)的輕微失效狀態(tài)需要進(jìn)行定性定量的故障樹分析;而非高度復(fù)雜系統(tǒng)的輕微失效狀態(tài)和無影響的失效狀態(tài)只需要進(jìn)行定性的分析。

因此在PSSA/SSA文件中需要對SFHA/FHA報告進(jìn)行索引，并引用SFHA/FHA失效狀態(tài)及其列表。

T7：FTA報告對設(shè)計文件的追溯性關(guān)系。

FTA在安全性評估中可以量化頂事件（FHA中確定的失效狀態(tài)）發(fā)生的概率;將頂層的安全性目標(biāo)向下分配給較低層;通過定性評估和定量評估的結(jié)合，查看設(shè)計錯誤的影響;評估設(shè)計更改對安全性的影響等。故障樹描述系統(tǒng)中各事件的因果關(guān)系，表明系統(tǒng)哪些組成部分的故障或外界事件或它們的組合將導(dǎo)致系統(tǒng)發(fā)生一種給定故障的邏輯圖。以設(shè)計文件中的設(shè)計需求為基礎(chǔ)建立故障樹。

T8：PSSA/SSA文件對FTA報告的追溯性關(guān)系。

FTA是實施PSSA/SSA的重要分析方法和有力工具。PSSA根據(jù)初步的數(shù)據(jù)、信息和設(shè)計架構(gòu)，證明與失效狀態(tài)相關(guān)的安全性需求得到滿足，PSSA過程的輸入包括上一級的FTA。SSA自下而上的驗證可實現(xiàn)的設(shè)計方案是否滿足定性和定量的安全性需求，基于PSSA中已有的FTA為基礎(chǔ)進(jìn)行分析。

T9：SSA文件對PSSA文件的追溯性關(guān)系。

在SSA文件中需驗證PSSA文件中確定的需求和失效狀態(tài)。包括但不限于系統(tǒng)需求、軟件需求和硬件需求。

T10：DAL符合性驗證文件對PSSA的追溯性關(guān)系。

PSSA文件應(yīng)結(jié)合系統(tǒng)架構(gòu)，對軟件和硬件研制中產(chǎn)生的重要衍生需求進(jìn)行評估，確定相關(guān)軟件和硬件的研制保證等級。RTCA DO-178B標(biāo)準(zhǔn)用來驗證軟件實現(xiàn)是否滿足要求的研制保證等級。RTCA DO-254標(biāo)準(zhǔn)用來驗證硬件實現(xiàn)是否滿足要求的研制保證等級。根據(jù)RTCA DO-254和DO-178B中相應(yīng)等級要求，形成符合性驗證文件。

T11：SSA文件對DAL符合性驗證文件追溯性關(guān)系。

SSA根據(jù)PSSA中確定的相關(guān)軟件和硬件的研制保證等級，對各部件DAL符合性驗證文件進(jìn)行索引。

T12：FMEA文件對FTA文件的追溯性關(guān)系。

FMEA是分析系統(tǒng)中每一功能、組件及零部件所有可能產(chǎn)生的故障模式及其對系統(tǒng)造成的所有可能影響?？膳cFTA一起進(jìn)行定量分析，自下而上的提供故障模式列表。

T13：FMEA對設(shè)備需求及設(shè)計文件的追溯性關(guān)系。

初步設(shè)計結(jié)束前應(yīng)完成系統(tǒng)和設(shè)備的初步的FMEA分析，詳細(xì)設(shè)計前應(yīng)完成系統(tǒng)和設(shè)備的詳細(xì)FMEA分析工作。系統(tǒng)和設(shè)備進(jìn)行FMEA時應(yīng)利用設(shè)備需求和設(shè)計資料來確定完成功能的產(chǎn)品及其狀態(tài)。并確定各產(chǎn)品等級的內(nèi)部功能和系統(tǒng)接口功能。

T14：SSA文件對FMEA文件的追溯性關(guān)系。

SSA綜合各種分析的結(jié)果，驗證整個系統(tǒng)的安全性，通常建立在PSSA中FTA的基礎(chǔ)上，并且要用到FMEA中的定量數(shù)據(jù)。

4? 結(jié)論

本文依據(jù)基于系統(tǒng)工程的航空發(fā)動機(jī)的安全性評估過程建立追溯模型框架，模型框架詳細(xì)說明了安全性評估過程各個文件之間的追溯關(guān)系，實際的安全性評估過程中存在文件間的多次迭代，本文提供的模型框架可以與發(fā)動機(jī)研制相結(jié)合，保證安全性需求的設(shè)計實現(xiàn)。

參考文獻(xiàn)：

[1]張雷雷.民用渦扇發(fā)動機(jī)數(shù)控系統(tǒng)安全性分析與評估技術(shù)研究[D].南京航空航天大學(xué)，2012.

[2]魏錢鋅，朱宇，闞鑫禹，曹志濤.基于模型的安全性分析及其在航空發(fā)動機(jī)軟件系統(tǒng)上的應(yīng)用[J].航空動力，2019，02，18.

[3]馬贊，閻芳，趙長嘯，等.民用飛機(jī)適航安全性數(shù)據(jù)追溯性分析與建模[J].電訊技術(shù)，2017，57（9）：1064-1070.

[4]修中信，等.民用飛機(jī)安全性設(shè)計與評估技術(shù)概論[M].上海交通大學(xué)出版社，2015.