大型民机复杂系统故障树分析与适航问题研究

2012-09-18 02:47黄铭媛宋智桃
航空标准化与质量 2012年6期
关键词:定义安全性评估

黄铭媛 朱 亮 宋智桃

(中国民用航空上海航空器适航审定中心,上海 200335)

大型民用飞机是一项多学科的大系统工程。此类复杂系统需要应用科学、有效的系统安全性评估过程,以表明对适航标准相关条款符合性。作为传统的系统安全性评估方法之一的,故障树分析(FTA)通过与系统安全性评估过程保证的有效结合,在实现大系统研制的阶段目标中发挥着重要作用。在系统安全性评估过程管理活动中,FTA通常应用于系统概念设计阶段的初步飞机级安全性评估(PASA),初步系统级安全性评估(PSSA)过程,或系统概念形成后飞机级安全性评估(ASA),和系统级安全性评估过程(SSA)。在过程应用中,应当重视若干适航关注问题,如工作方案和计划制定,顶事件完备性和正确性以及对最小割集的分析等[1-5]。

1 适航CCAR 25.1309条的技术要求和解析

为了保障民用航空安全和维护公众权益,民用航空器的设计必须达到中国民航局适航部门制定的最低安全标准,表明其对适用标准的符合性。作为适航管理最重要的环节,型号合格审定(TC,简称“适航审定”)工作应依据适用标准,按严格详细的审定程序对民用航空器设计过程和工作进行审查和监督。

大型民用飞机适用于中国民用航空规章第25部运输类飞机适航标准(即CCAR 25部)。该标准第25.1309条设备、系统及安装的(b)款属通用的安全性要求,适用于多数机载设备及系统,其具体要求如下:

第25.1309条 设备、系统及安装

……

(b)飞机系统与有关部件的设计,在单独考虑以及与其它系统一同考虑的情况下,必须符合下列规定:

(1)发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能;

(2)发生任何降低飞机能力或机组处理不利运行条件能力的其它失效状态的概率为不可能。

……

随着软、硬件系统和设备的发展,民机机载系统的集成度和复杂度越来越高,仅用传统验证方法如试验等已无法满足25.1309(b)的安全性要求。针对这些高集成、复杂系统,需要借助系统化分析方法和过程保证技术来表明对25.1309(b)的符合性。

故障树分析技术,作为经多年实践经验证明其作用的工具,其结构化的系统安全性分析方法特点,被国际适航组织和各国适航审定机构认可,以建议的形式将其纳入可接受的符合性方法,如FAA的咨询通告AC 25.1309-1A、EASA的可接受符合性方法AMC25.1309中分别将故障树分析技术接受为可用于表明符合性的系统安全性评估技术之一[1-3]。

而针对复杂系统的工程管理,工业界广泛采纳的工业标准和指导文件有汽车工程师协会(SAE)ARP 4754A《民用飞机与系统研制指南》、ARP 4761《对民用机载系统和设备执行安全评估过程的指南和方法》等。这些标准是基于系统工程理论,通过双V模型过程保证手段,对大型民用飞机满足适航要求提供有效的指导。如果这些能得以正确、严肃的贯彻执行,局方也认为是表明对25.1309(b)符合性的有效方法[2-3]。在系统安全性过程中非常重要的应用工具之一,即是故障树分析技术。因此,将故障树分析技术应用于ARP4761系统安全性评估过程管理活动,可为表明对25.1309(b)符合性提供支持。

2 故障树分析基本步骤及关键要素

一个成功执行的故障树分析,通常需要8个步骤,见图1[6]。其中,①~⑤可归纳为对该FTA的问题界定。建树过程中大多数步骤是串行的,而③~⑤步可以同步进行。在构建和评估故障树时,通常会产生对④和⑤的反馈[6]。下面就执行故障树步骤的关键要素做简要分析。

图1 FTA基本过程

2.1 确定故障树分析目标

确定目标是FTA的第一步。成功的目标设定需要充分理解系统设计和运行,并且获取当前可用的设计数据,包括结构图、原理图等。

2.2 定义故障树顶层事件

顶事件定义,即识别并定义有待分析的系统失效模式,其是不期望发生的事件,有待分析得出其失效原因,并确定其失效概率。顶事件的定义非常关键,其直接指导后续的FTA所有分析工作。若顶事件定义不正确,则整个FTA分析就是错误的,并导致错误的决策。因此,正确定义和理解分析目标和待解决问题非常重要。

2.3 定义故障树分析范围

形象的说,故障树展现的是在给定时间、给定构型和给定边界下,特定系统呈现出的一幅全景图像[6]。与所有模型化方法一样,故障树在建树前也需要定义分析范围或分析边界,即确定哪些在分析内,哪些在分析外。此外,还有一些边界上对象,它们的定义将影响分析边界内的内容,这些即是接口状态,需要以假设方式作为系统输入进行定义。在建树过程中,边界可能会发生改变,应对这些边界进行跟踪、管理和记录。

故障树的范围可能包括:特定的设计版本、待分析系统相关的历史时间、组件的初始状态、系统假设输入、系统接口等。例如,分析飞控系统的某失效状态。那么定义该步骤时,需要确定该飞控系统的设计版本,运行模式,需考虑哪些组件失效,以及与飞控系统的接口(如支持系统/能源系统,作动信号等)的失效模型。

2.4 定义故障树分解程度

如果不对分解程度(或称建树深度)做初步规划和定义,可能会导致在建树过程中迷失目标,更可能建成庞大繁琐、丧失结构化又失去分析意义的无用树[7]。而分解程度的一般原则是,建到足以识别功能依赖性的深度,或者是建到与可用数据和分析目标一致的深度。例如,如果顶事件是系统功能失效,一般分解到系统主要组件即可。如果需要做定量分析,则以获得对顶事件最优估计为目标,在考虑现有数据和其他信息的前提下,通常分解到有最佳可用概率数据的程度。

2.5 定义故障树基本原则

定义基本原则的主要目的是保证不同人员在做不同故障树分析时保持一致性。建故障树的最基本原则就是“往小里想”,或者更精确地说是“往近处想”[7-9]。每次只想一小步,确保覆盖所有的主要原因以及它们之间的关系,不要直接跳跃到基本原因事件。基本原则涉及程序规定和命名方式、特定组件失效、人为差错、共因失效模式等。

2.6 构建具体故障树

故障树的构建是一个不断迭代的过程,从定义顶事件开始,在基本原则的指导下,逐级向下推理,确定各层级逻辑门的类型以及逻辑门的输入条件,包括系统正常和失效事件,直到所有事件是可识别的硬件失效、软件失效和人为差错这些基础事件为止。在推理过程中,可以应用一些概念模型或方法论帮助推理的完整和正确,如I-N-S,SS-SC,P-S-C概念模型[7-8]。

2.7 评估故障树

评估故障树,包括定性和定量评估。定性评估包括确定故障树的定性重要度及共因可能性。而定量评估主要用于确定顶事件发生概率和基础事件的重要度,进而可以根据导致顶事件的重要度排序,对措施和资源进行优化排序。最小割集是对故障树定性评估和定量评估的重要工具,也即是对系统进行分析的重要工具。

2.8 解读/介绍结果

对故障树分析结果的解释说明和介绍,应重点放在解释说明,而不仅仅是介绍。分析结果必须结合目标进行解读并给出切实的意义,尤其应重点突出可能对目标产生潜在影响的部分。

3 FTA应用中的适航审定关注、常见问题及解决思路

复杂系统的民机安全性评估过程管理,是秉持系统化分析方法和工程管理相结合的原则,介入并密切跟踪民机研制全过程,及时更新特定评估产生的分析性证据,以表明对适用适航标准的符合性(如25.1309(b))的系列管理活动。

从设计角度来看,故障树分析工作需要系统设计人员、系统工程管理人员、系统安全性分析人员的积极配合,发挥各自的优势,利用好故障树分析开展系统安全性评估过程,并融入研制双V管理活动。而结合故障树分析的大型民机适航审定,实际是针对大型民机特定系统安全性评估过程各阶段进行评审,通过全面审查阶段性故障树分析结果的正确性和完整性,作为认可系统安全性评估阶段状态的支持证据之一。

因此,适航审定人员不仅要充分、全面理解审定对象的系统设计,还要掌握故障树分析技术及安全性评估过程管理,通过相关内容的全面、细致、严格地审查,以确保符合要求。并且适航更关注其在系统安全性评估过程管理活动中,作为一种分析工具或技术是否能够得以正确的应用,从而达到各过程的目标。

图2 某典型FTA时间表

下面详细分析系统安全性评估过程中FTA的应用通常存在的问题和解决思路,并给出举例。

3.1 FTA修订迭代计划缺失或不合理

由于系统安全性工作贯穿设计整过程,同时牵涉到飞机设计总体、各系统设计、安全性总体、系统安全性分析各部门众多人员的参与,并且作为基于系统工程和过程管理的系统安全性评估过程管理,如未在项目初期制定良好的系统安全性大纲及工作计划,以规范化系统安全性评估工作,势必在设计过程中发生安全性分析工作与设计工作不匹配,未发挥安全性分析评估系统架构作用,甚至飞机级与系统级安全性工作脱节等严重问题。而作为应用于各过程的重要工具FTA,随着设计、评估过程的不断深入也需要进行修订和迭代的计划。但目前实践中,多数系统安全性大纲及工作计划仅侧重时间节点的安排,未具体化各阶段FTA的修订、迭代需达到的程度及目标。

因此,建议在系统安全性评估初期,设计单位就应制定实施FTA的工作计划或大纲。可以把故障树分析工作计划融入系统安全性专题计划,即系统安全性专题计划中包含对故障树分析的工作计划内容。合理的故障树分析计划应保证其在各阶段的分析详细程度与该阶段设计的细节水平相匹配,并且设置合理的关键节点,适时对故障树进行修订迭代。如设计冻结后,故障树分析的修订取决于设计更改的程度。故障树分析的基本事件失效率是基于失效模式与影响总结(FMES),如果硬件设计更改导致故障率变化反映在FMES中,则要求更新FTA。在飞机试飞阶段后期,应再次评估FTA。由于试飞大纲执行过程中产生的设备设计更改,应反映在FTA中,并且这些FTA应作为设备合格审定支持文件的一部分。图2中以某典型FTA时间表为例[6],分析如下:“初始”FHA作为FTA过程的第一步,用于确定系统失效组合,向系统分配概率预算值。

“第1次迭代”是FTA的第一次修改。可能原因有在需求确认过程中导致的设计更改,或对最初设计假设的明确。这次FTA迭代作为系统构架选型过程的一部分,并向更低层级事件分配风险和概率预算值。

“第2次(原型机)迭代” 是基于硬件或软件详细设计过程获得的认知进行。在这个阶段,需要完成将失效模式与影响总结(FMES)或其他来源得到的失效率代入故障树基本事件,计算顶事件失效概率,将顶事件失效概率与实用的安全性要求对比,作为设备设计验证过程的一部分。完成第2次迭代后的FTA版本可以作为成功完成“设计冻结”里程碑事件所需支持文件的一部分。

“首次(生产)修改”包括原型机试验过程中暴露的问题进行硬件或软件设计更改所造成的故障树更改。

“最终树”是由分析人员通过合并基于飞行试验对硬件或软件所采取纠正措施导致的任何故障树更改,建立的最终故障树。最终故障树版本可以成为完成合格审定——另一个里程碑——所需系统安全性评估文件中的一部分[6]。

3.2 顶事件集不完备或描述不准确

单个顶事件定义的正确以及顶事件集合的完备对系统安全性评估过程活动具有重要意义,其直接影响故障树分析的正确性。即顶事件的集合应保证所识别的事件可追溯性、完整性和正确性,事件的描述应当清晰、简洁和准确。但从目前的系统安全性分析实践来看,由于经验不足或缺乏保证完备性的手段和方法,存在顶事件集不完备或顶事件描述不准确的问题。

因此,建议分析人员在系统安全性评估各阶段应编制不期望发生事件的清单,并有手段和方法保证该清单产生的完整性。其中的每个不期望发生的事件都需成为某一故障树的顶事件。根据不同系统安全性评估阶段,顶事件有不同的来源。通常,FTA的顶事件来源于本层级FHA确定的失效状态以及上一层级PASA/PSSA中FTA分解得出的底事件作为本层级的顶事件。表1是不同约定层级FTA顶事件的可能来源。

表1 顶事件来源

表2 SSA中顶事件描述措辞不当举例

表2是SSA阶段中顶事件描述措辞不当的例子,由于SSA阶段设计构型基本确定,若顶事件描述时措辞不当,将使得故障树无法顺利建立[6]。

3.3 最小割集分析不充分

在安全性评估过程的不同阶段最小割集的结果将反映不同层级设计架构分配安全性指标,并且确认验证设计架构是否满足安全性需求。最小割集是可导致顶事件的基础事件的最小组合,其将顶事件与其基础事件原因直接联系。分析人员无论采用何种概念、模型和方法来建树、分析,但是在建树正确和完整的前提下,对于某顶事件产生的最小割集应是相同的。最小割集反映了系统的重要信息。但由于工程经验不足,在各阶段故障树建立后,分析人员对最小割集的分析不够充分,这将直接导致安全性分析的不彻底,忽略系统关键要素,从而导致因分析未到位产生更改系统架构的巨大风险。

因此,建议对最小割集进行充分的定性和定量分析。并特别注意最小割集反映的以下信息,如:低阶次的最小割集表明具有较高安全漏洞。单阶次最小割集(如单点失效)将导致最高的风险。即只有一个基础事件的最小割集(即单个失效或单个事件)会引起顶事件发生。这些单个失效就是薄弱环节,需要升级和采取预防措施。最小割集中的事件如果都具备相同的特性,则暗示了这些失效具有相关性,或会由于共因而破坏冗余。

3.4 解释说明不规范、不清晰

由于故障树是作为安全性分析的工具,其分析的结果将被各级安全性工程师、设计人员及适航审查人员检索和查阅,因此有必要建立统一、规范和清晰的解释说明要求以规范管理。但在目前的实践中,由于缺乏顶层规划和对统一数据重要性的认识,各系统的故障树分析结果解释说明不规范、不清晰,这将给安全性工作与设计工作的结合、以及相关人员之间的沟通理解带来不便。

因此,建议建树后分析人员需首先对故障树数据进行规范化和总结,并用文件证明故障树架构能否满足顶事件需求。如,适航审查人员通常以“每飞行小时失效概率”来表述其安全性要求。如果对分析的系统有这些类型的要求,那么分析人员必须“规范化”顶事件失效概率数值。若顶事件概率是以每次飞行计算的,分析人员应将概率值除以飞行时间或其它相应的时间,以获得每飞行小时失效概率的顶事件规范值[5-8]。

同时,建议通过创建FTA数据总结表来进行管理,有助于适航审查人员和设计人员检索所有相关FTA结果。此类FTA数据总结表建议至少包括以下信息:顶事件来源、编号、内容、最大允许概率值、FTA检索号、计算结果、是否满足安全性需求、措施等。

4 结论

故障树分析技术,作为传统的系统安全性分析方法,在大型民用飞机复杂系统的系统安全性过程管理中将发挥更大作用。但是,如何达到表明适航标准符合性的目的,如何将FTA分析和过程保证进行有效结合,如何应用好故障树分析工具是需要重点关注的问题。本文对于上述问题进行了思考和探讨,根据故障树分析的技术特点,讨论给出了其在民机系统安全性评估过程管理中的适航审定考虑,就若干问题进行梳理、给出解决思路和实例,满足研制和审定工作的需要。

[1] CCAR-25-R4 运输类飞机适航标准[S].

[2] (Federal Aviation Administration)Advisory Circular 25.1309-1A System Design and Analysis

[3] (European Aviation Safety Agency)Certi fi cation Speci fi cations for Large Aeroplanes CS-25-Book 2-Acceptable Means of Compliance 25.1309:2-F-55-2-F-58.

[4] (Society of Automotive Engineers)Aerospace Recommended Practice 4754A Guidelines for Development of Civil Aircraft and Systems[S].

[5] (Society of Automotive Engineers)Aerospace Recommended Practice 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].

[6] Michael Stamatelatos,William Vesely,Joanne Dugan.Version 1.1.2002.NASA Of fi ce of Safety and Mission Assurance NASA Headquarters Washington D.C,20546.Fault Tree Handbook with Aerospace Applications [M].

[7] R.Allen Long.Beauty and the Beast – Use and Abuse of the Fault Tree as a Tool.http://www.faulttree.net.

[8] Clifton A.Ericson.Hazard Analysis Techniques for System Safety, II, Chapter 11, Fault Tree Analysis, Hoboken,New Zersey.WILEYINTERSCIENCE,A John Wiley & Sons,Inc.

猜你喜欢
定义安全性评估
两款输液泵的输血安全性评估
不同评估方法在T2DM心血管病风险评估中的应用
新染料可提高电动汽车安全性
第四代评估理论对我国学科评估的启示
某既有隔震建筑检测与安全性鉴定
加强广播电视信息安全性的思考
成功的定义
立法后评估:且行且尽善
资产评估法:能否终结“多龙治水”
修辞学的重大定义