民用航空机载设备安全性评估技术研究

王其国

摘 要：文章着重探讨系统安全性评估技术在民用航空机载设备领域的应用。文章介绍了系统安全性评估技术在航空机载设备研制过程中开展的时机以及分析过程，对系统安全性技术中常用的四种安全性分析方法进行了深入探讨，对民用航空机载设备安全性评估进行了有益的探索。

关键词：系统安全性；功能危险分析；故障模式及影响分析；故障树分析；共因分析

中图分类号：V226 文献标识码：A 文章编号：1006-8937（2015）12-0004-02

目前，工业产品的结构和功能越来越复杂，其安全性也越来越受到重视，逐渐成为系统研制和使用中关注的重点。对于民用航空工业，其安全性不言而喻，一旦发生安全事故，将导致重大人身和财产损失，并造成恶劣的社会影响。

系统安全分析可以有效提高产品的安全性，在工业设计和生产中有着重要的作用。通常采用定性和定量分析相结合的方法进行系统安全评估，及时发现问题并采取改进措施，以此来保证系统设计的安全性要求。

1 适航规章对系统安全性的有关规定

民用航空设备都要求具有较高的安全性、经济性和可靠性，其中安全性居于首要地位，在飞行设备的设计中首先要考虑的就是安全问题，每一种民用航空设备在进入市场之前，都要经过严格的安全测试，同时要经过适航当局的批准才可以进入市场。

在CCAR25.1309（b）中有如下规定：

飞机系统与有关部件的设计，在单独考虑以及与其它系统一同考虑的情况下，必须符合下列规定：

①发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能；

②发生任何降低飞机能力或机组处理不利运行条件能力的其它失效状态的概率为不可能。”

其中概率极不可能对应概率需小于10-9，不可能对应概率需小于10-7。

2 系统安全性评估的过程

安全性评估过程包括要求的产生和与飞机研制活动相配合的研制性工作。这个过程是通过一套安全评估方法来对飞机的构造和各功能部件等进行测试评估，发现其存在的安全隐患，并及时作出改进，最后再判断相应的危险是否得到有效控制，保证其投入使用后能够安全运行。安全评估过程可以是定性的可以是定量的，也可以是两者的结合。

根据ARP4761将安全性评估过程分为三个步骤：功能危险分析（Functional Hazard Assessment，FHA）；初步系统安全性分析（Preliminary System Safety Assessment，PSSA）；系统安全性分析（System Safety Assessment，SSA）。

在系统安全性评估过程的各环节中，PHA是一种在概念设计阶段就推行的安全评估方法，其从功能入手、自上而下的评估系统存在的危险有害因素及可能发生的故障，是安全性分析的第一步。

一般在方案设计阶段采取PSSA的分析方法，通过对初步拟定的系统结构进行系统的检查，以判明故障是如何引起FHA所确定的危险。

SSA是一种对系统设计实现进行的系统综合的评价，用以表明其是否满足FHA提出的安全性目标和PSSA中的得到的安全性要求。SSA的开展一般是在详细设计阶段。

系统安全性设计与评估过程如图1所示。

从图1可以看出，研制过程本质上是反复迭代的，而安全性评估过程是其中不可缺少的一部分。从概念设计阶段就提出其安全要求，通过采取各类安全措施可预防和减少危险的产生，而随着设计阶段的深入，有些可能会发生改变，而这些改变需要重新进行评估，也就可能提出新的安全要求，就这样一个迭代的过程，直至设计满足所有的安全性要求为止。

3 系统安全性分析及其应用

在系统安全性设计与评估过程中，综合利用功能危险分析（Functional Hazard Assessment，FHA）、故障模式及影响分析（Failure Modes and Effects Analysis，FMEA）、故障树分析（FTA）、共因分析（CCA）等方法，来验证所装设备及系统是否满足CCAR25.1309条款规定的适航要求。

3.1 功能危险分析（FHA）

FHA是通过对系统或分系统（包括软件）可能出现的功能状态进行分析，识别并评价系统中潜在危险的一种分析方法。

FHA分为两级，包括飞机级和系统级。飞机级PHA是飞机安全性评估的第一步，以整个飞机为研究对象，主要研究其在设计和飞行阶段，可能影响飞机安全的各类危险因素。系统级FHA是以飞机的系统为研究对象，研究其在飞行的各个阶段中，可能存在的影响飞机安全的危险有害因素。民用航空机载设备一般开展系统级的FHA。

FHA的一般过程：

①确定飞机级相关的所有功能包括内部功能和SAE ARP 4754安全性分析评估工作流程，交互功能。

②识别飞机功能的所有失效状态，考虑所有的单一和组合失效状态。

③确定该失效状态出现时所处的工作状态或飞行阶段。

④确定失效状态对飞机或人员的影响。

⑤确定失效状态的影响等级，根据失效状态对飞机或人员的影响对其进行分类。

⑥给出用于证明失效状态影响等级的支撑材料。

⑦提出对安全性要求的验证方法。

3.2 故障模式及影响分析（FMEA）

FMEA属单因素分析方法，包括故障模式分析和故障影响分析两个方面，是开展型号可靠性、安全性分析的一个重要工作项目，也是开展维修性、测试性、保障性分析的基础。

在产品寿命期内各阶段采用的FMEA的方法不同，包括功能FMEA、硬件FMEA、软件FMEA、过程FMEA、损坏模式影响分析DMEA等。

针对民用航空机载设备FNEA主要选用硬件FMEA的方法开展可靠性、安全性分析。硬件FMEA的目的是找出产品在硬件设计中所有可能的故障模式、原因及影响，并针对存在的薄弱环节，提出设计改进和使用补偿措施。FMEA的主要作用体现在几个方面：分析每个零部件假定故障的影响、寻找危险等级为Ⅰ、Ⅱ类的单点故障、寻找可能存在的潜在故障。

FMEA的分析流程如图2所示。

3.3 故障树分析（FTA）

FTA是一种演绎的、由上至下的失效分析方法，其用途非常广泛。在产品设计阶段，FTA可以帮助判断潜在的系统故障模式和灾难性危险因素，发现可靠性和安全性的薄弱环节，以便改进设计；在生产、使用阶段，FTA可以帮助故障诊断，改进使用维修方案；同时，故障树也是事故调查的一种有效手段。

FTA分为定性和定量分析两个方面。

定性分析用于：找出导致系统故障或灾难性危险事件（顶事件）发生的原因及其组合，分析设计的薄弱环节；寻找共因故障的源头，为共模故障分析提供输入。

定量分析用于：计算顶事件发生概率，为系统安全性评估提供输入；确定每个最小割集的发生概率，以便正确设计或选用部件或元器件的可靠性等级；评估暴露时间间隔、潜在故障时间对系统的全面影响。

故障树分析流程如图3所示。

3.4 共因分析（Common Cause Analysis，CCA）

航空机载设备为提高其系统的可靠性通常采用冗余设计，但由于一些共因故障的存在从而使得冗余失效，降低了系统的可靠性，共因故障（CCA）正是基于此而产生的。共因分析具体又分为共模分析（CommonMode Analysis，CMA）、区域安全性分析（Zonal Safety Analysis，ZSA）和特定风险分析（Particular Risks Analysis，PRA）三种分析方法。

3.4.1 区域安全性分析（ZSA）

ZSA是按照一定的程序和方法对飞机各个区域内的系统/设备安装、相互之间的影响、维修失误的可能性以及环境对系统/设备的影响进行分析和检查，以评定飞机各区域及整机的安全性。

3.4.2 特定风险分析（ZSA）

在飞机使用过程中，处于系统外部的特定事物或效应（称之为共因事件）可能会对某些区域产生影响，从而造成共因故障，破坏飞机的故障独立性要求。特定风险分析（PRA）的研究对象就是这些共因事件，特别是可能导致飞机发生灾难性事故的共因事件。

CCAR-25-R4第1309条（d）（1）指出安全性分析必须考虑外界原因造成的故障和损坏，且在第581条“闪电防护”、第631条“鸟撞损伤”、第729条（f）“轮舱内设备的保护”、第1316条“系统闪电防护”、第1461条“含高能转子的设备”等规定中明确提出了对外部特定风险的防护要求。

3.4.3 共模分析（CMA）

共模故障分析（CMA）是针对影响一个以上冗余通道的故障模式进行的分析，识别独立冗余系统中可能存在的相关性及相互关系，查找导致共模故障发生的原因，评价共模故障对系统的影响。重点验证故障树分析中的“与门”事件在实现过程中的独立性，关注完成某种特定功能的冗余备份和监控系统/设备。

4 结 语

本文着重探讨系统安全性评估技术在民用航空装配领域的应用。文章介绍了系统安全性评估技术在航空机载设备研制过程中开展的时机以及分析过程，对系统安全性评估技术中常用的四种安全性分析方法进行深入地探讨，对民用航空机载设备开展安全性评估进行了有益的探索。

参考文献：

[1] CCAR-25-R4，运输类飞机适航标准[S].

[2] J.L Rouvroye，E.G van den Bliek.Comparing Safety Analysis Techniq-

ues[J].Reliability Engineering & System Safety，2002，（3）.

[3] GJB 1391-1992，故障模式、影响及危害性分析程序[S].

[4] GJB/Z 1391-2006，故障模式、影响及危害性分析指南[S].

[5] 周经轮，袭时雨，颜兆林.系统安全性分析[M].湖南：中南大学出版社，2003.

[6] 郭中宝.民用飞机系统安全性分析方法及应用[J].西飞科技，1998，（4）.