民用飞机适航验证中的飞机安全性评估技术研究

冯 臻

（上海飞机设计研究院，上海 201210）

民用飞机适航验证中的飞机安全性评估技术研究

冯 臻

（上海飞机设计研究院，上海 201210）

[摘要]通过研究相关工业标准并总结民机型号研制经验，阐述了在飞机验证阶段开展飞机安全性评估的过程与方法。随后给出某民机型号的工程实例，展现了飞机安全性评估的实际应用和具体内容，为民机安全性评估与适航合格审定工作提供有力的技术支持。

[关键词]安全性评估；民用飞机；需求验证；研制保证过程

民用飞机的安全性评估工作对于项目研制以及适航取证尤为重要，多年来业界相关工作一直按照美国汽车工程师协会（SAE）和航空无线电技术协会（RTCA）发布的相关标准如SAE ARP 4754/4761 和RTCA DO 178/254中给出的流程和方法指南来执行。然而，随着民用飞机系统的高度综合化和集成化，尤其在飞机层级，传统的安全性指标的分配与综合验证技术已不能满足新型飞机的研制需要[1]。SAE于2010年12月发布了ARP 4754A《民用飞机与系统研制指南》代替了ARP 4754，美国联邦航空管理局（FAA）随后通过发布咨询通告AC 20-174对该文件进行了认可。

ARP 4754A核心理念是：“如果没有一个从飞机级到软硬件级的研制保证过程，则与软件和电子硬件相关的过程（DO-178B和DO-254中所描述的工作）已不再被认为足以减少飞机或系统错误”[2]。相应地，在安全性评估工作中加入了初步飞机安全性评估（Preliminary Aircraft Safety Assessment, PASA）和飞机安全性评估（Aircraft Safety Assessment, ASA）的飞机层次的综合工作。其中，PASA是指对提出的飞机架构进行系统性的检查，通过将飞机级功能危险性评估（Aircraft Functional Hazard Assessment, A F H A）当中的失效状态（F a i l u r e Condition, FC）分配到单个或者多个系统的方式，确定飞机级的安全性需求（例如功能研制保证等级、独立性、概率方面的要求等）；而ASA是指对飞机实施的设计进行系统的综合的评估，证明由AFHA确立失效状态开始衍生出的所有的安全性需求都能被满足。本文结合型号研制的工程实践，给出了ASA过程的分析思路与方法，并以某民机型号安全性工作实例进行了具体说明。

1 ASA概述

图1 ARP 4754A中提出的安全性评估过程

由图1 ARP 4754A给出的安全性评估过程模型可知，ASA应当在最终的飞机验证阶段开展，是安全性需求双“V”（Validation与Verification）环节的最终一环。因此，ASA的目的是确定安全性工作计划当中规定的安全性工作都已经完成，并且飞机架构能够满足安全性需求。其主要工作内容可以概述为通过收集、分析及用文件证明的方式来验证，所研制的飞机是否满足由PASA确立的安全性需求。

依据ARP 4761《民用飞机机载系统和设备安全性评估过程的指南和方法》相关内容以及国际业界对其换版研讨的最新动向，结合目前在民机型号研制当中的安全性实际工作，可以得出ASA的过程模型主要如图2所示，本文随后章节将进行详细阐述。

图2 飞机安全性评估（ASA）过程模型

2 ASA的输入

由于ASA应当在飞机架构的具体实施都已完成时开展，因此梳理清楚ASA的输入格外重要。如图2所示，ASA的输入主要包括两方面：飞机和系统安全性评估工作方面的输入、飞机研制工作方面的输入。

2.1 来自安全性评估工作方面的输入

综合安全评估工作，对于ASA的输入如下。

2.1.1 AFHA结果

ASA用到AFHA确定的所有的飞机级失效状态。

2.1.2 PASA结果

飞机的实施满足PASA中确立的安全性需求。

2.1.3 系统安全性分析（System Safety Assessment, SSA）结果

全机各系统需要完成SSA，提取与ASA相关的信息。SSA能够提供下述信息：

概率数据，如故障树分析（Fault Tree Analysis, FTA）数据；

研制保证等级的以及相关等级已被满足的信息，主要包括功能研制保证等级（Function Development Assurance Level, FDAL）和软硬件研制保证等级（Item Development Assurance Level, IDAL）；

证明系统的独立性需求被满足的相关设计信息；

安全性导出的维修任务；

机组程序与相关的驾驶舱告警；

失效模式与影响分析（Failure Mode and Effect Analysis, FMEA）信息、失效模式与影响摘要（Failure Modes and Effects Summary, FMES）信息。

2.1.4 共因分析（Common Cause Analysis, CCA）结果

CCA工作能够给ASA提供的支持包括：

共模分析（Common Mode Analysis, CMA）结果证明飞机设计能满足独立性需求；

特定风险分析（Particular Risk Analysis, PRA）结果用以证明面对所定义的一系列风险威胁发生时，飞机设计能够确保所引起的后果被最小化且处于可接受的水平；

区域安全性分析（Zonal Safety Analysis, ZSA）用以证明飞机系统之间的物理干涉不会违背相关的独立性需求[3]。

2.2 来自飞机研制工作方面的输入

ASA来自飞机型号研制工作方面的输入经总结可包含如表1所示的相关信息

3 ASA的具体评估工作

根据图2以及上述可知，ASA的具体评估对象主要包括安全性工作开展情况和AFHA当中的失效状态。飞机架构相关的安全性需求始于飞机级AFHA的失效状态，在PASA当中确定失效状态相关的系统，这些失效状态可以分为两大类：失效状态可通过单独一个系统的SSA进行分析；失效状态涉及多个系统的SSA，在ASA当中综合分析。

ASA的具体工作因此也分为两大方面：

3.1 通过评估飞机研制进程与安全性工作的相关资料，确定安全性需求的的有效性，主要工作包括以下要点：

表1 ASA飞机研制工作方面的输入

3.1.1 确定满足安全性工作计划的要求；

3.1.2 确定安全性分析假设是正确的；

3.1.3 确定AFHA和PASA过程已经完成；

3.1.4 确定安全性相关验证工作已经完成；

3.1.5 确定是否存在安全性相关的问题报告的开口项或者延期项；

3.1.6 确定安全性相关操作程序是否恰当。

3.2 对飞机最终架构的安全性评估，主要工作可能包含：

3.2.1 对于PASA中分解到多个系统的失效状态（主要是Ⅰ类、Ⅱ类）开展综合评估，确保满足相关安全性需求；

3.2.2 ASA需要确保通过PASA给系统功能分配的FDAL以及后续分配的IDAL与安全性分析相匹配，同时对应相应研制保证等级的研发工作被执行与完成；

3.2.3 确保飞机级失效状态的独立性需求被满足，主要是通过PRA、ZSA和CMA等分析结果来表明。

4 某型民用飞机的ASA示例

本节给出民用飞机Y-1型号ASA的应用示例。Y-1飞机参照ARP 4754A提供的流程开展研制，在最终的验证阶段开展了ASA工作，具体内容如下：4.1 飞机研制安全性工作总结

Y-1飞机在项目启动阶段制定了Y-1飞机安全性评估目标与要求、Y-1飞机安全性工作计划、Y-1飞机安全性需求管理与确认验证计划。概念设计阶段开始开展AFHA与系统级功能危险性评估（System Function Hazard Assessment, SFHA）工作并制定安全性公共数据文件，在初步设计阶段、详细设计阶段开展了持续迭代的多轮PASA与初步系统安全性评估（Preliminary System Safety Assessment, PSSA）工作，试飞取证阶段完成SSA工作，在此过程中穿插进行了相关需求确认与验证工作。因此，Y-1飞机的安全性工作按照安全性计划全部完成。

4.2 飞机架构安全性评估结论

4.2.1 AFHA失效状态清单与定量分析（FTA）结果

Y-1飞机AFHA根据Y-1飞机功能共识别出150条失效状态，通过PASA将失效状态分配给相关系统，有些直接分配给单个系统负责，有些以故障树形式分配到多个系统。各系统PSSA、SSA对SFHA中Ⅰ、Ⅱ、Ⅲ类失效状态完成了定量评估。结合PASA的分析，在ASA当中得出AFHA中Ⅰ、Ⅱ、Ⅲ类失效状态的最终定量分析结果，如表2所示。各系统提供分析数据的追溯表如表3所示。

Y1-FC-01在飞机级进行了合并计算，故障树如图3所示。

4.2.2 全机SFHA失效状态与定量分析结论Y-1飞机共20个系统，各系统失效状态数量与定量分析结果如表4所示。

表2 Y-1飞机级失效状态定量分析结果表

表3 Y-1飞机级失效状态追溯表

图3 Y1-FC-01的飞机级故障树

4.2.3 全机FMEA/FMES分析结果

表4 Y-1飞机SFHA失效状态与定量分析结论

Y-1飞机共20个系统，每个系统发布了FMEA/ FMES报告，为安全性分析提供基础数据，同时分析结果表明：无单点故障会导致飞机级Ⅰ类失效状态。

4.2.4 CCA分析结果

4.2.4.1 PRA

Y-1飞机从项目概念设计阶段就规划并开始开展了N项特定风险分析，ASA当中对分析结果进行摘要说明（见表5）。

表5 Y-1飞机PRA分析结论摘要

4.2.4.2 CMA

Y-1飞机全机CMA分析结论如下：

飞机级针对多系统（PASA当中Ⅰ、Ⅱ类失效状态飞机级故障树“与”门的输入）就公共资源（包括电源、液压源、航电网络）的失效开展了共模分析。

系统级共10个系统SFHA当中存在Ⅰ、Ⅱ类失效状态，分别根据检查单完成共模分析。

经全机分析，不存在导致Ⅰ类的共模失效；对于部分可能导致Ⅱ类失效的共模失效采取了措施并且可以接受，不会影响飞行安全。

4.2.4.3 ZSA

Y-1飞机ZSA工作根据设计安装准则符合检查单与独立性需求检查单，针对数字样机开展两轮的分析，针对真机开展两轮机上区域安全性检查分析。检查过程中发现的问题均已关闭，符合设计要求，不会影响独立性。

4.2.5 安全性需求确认与验证结果

Y-1飞机研制过程中，按照飞机功能对应的FDAL等级进行了各层级安全性需求的确认与验证工作，相关试验（包括模拟器试验与飞行试验的确认和验证）均已完成。

4.3 Y-1飞机ASA评估结论

Y-1飞机各层级（飞机级、系统级、软硬件级）的安全性工作都已按计划完成，全机安全性需求已完成验证，安全性分析结果满足PASA中确定的安全性需求。

[参考文献]

[1] 阮宏泽. 民机初步飞机安全性评估过程与分析方法[J].山东科技信息，2014，12.

[2] SAE ARP 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Airborne System and Equipments[S].

[3] SAE ARP 4754A Guidelines for Development of Civil Aircraft and Systems[S].

（编辑：劳边）

[中图分类号]V26-65

[文献标识码]C

[文章编号]1003–6660（2015）06–0032–05

[DOI编码]10.13237/j.cnki.asq.2015.06.008

[收稿日期]2015-09-14