贺娜
摘要:功能危险性评估作为安全性评估的第一步,起着至关重要的作用。介绍了系统功能危险性评估的目标和流程,以自动飞行控制系统为例详述评估过程,可为民用飞机系统功能危险性评估提供参考。
关键词:民用飞机;自动飞行控制系统;功能危险性评估;安全评估
DOIDOI:10.11907/rjdk.151788
中图分类号:TP301
文献标识码:A 文章编号文章编号:16727800(2015)008004903
0 引言
对于民用飞机而言,安全性是其首要考虑的问题,贯穿于飞机从研制、生产、运营到退役的整个生命周期,同时也是民用飞机能否通过适航审查、进入市场并获得公众信任的前提条件。自动飞行控制系统作为民用飞机机载系统的一个重要部分,安全性是其至关重要的设计因素。
系统安全性分析包括功能危险性评估、系统安全性初步评估、系统安全性评估、共因分析、失效模式影响评估等。本文以ASE ARP 4761为指导,以某民用飞机自动飞行控制系统为例,主要对安全性分析的第一步——功能危险性评估过程进行介绍和分析。
1 功能危险性评估概述
功能危险性评估是系统综合检查产品的各种功能,识别功能的各种失效状态,并根据失效状态的严重程度对其进行分类的一种安全性分析方法。以系统为对象,功能危险性评估研究其在飞机设计的整个飞行包线和不同飞行阶段内,可能影响系统乃至飞机整机飞行安全的功能失效[1]。
功能危险性评估过程是一种自上而下识别功能失效状态并评估其影响的方法,它的目标是在系统功能丧失和功能失常等情况下,识别失效状态和其相关分类。
作为民用飞机安全性评估的第一步,功能危险性评估是下一步安全性评估流程的必要输入,也为后续系统、子系统设计架构提出安全性设计需求,帮助确认系统架构的可接受性,发现潜在问题和所需的设计更改,并确定进一步的需求范围。系统功能危险性评估给出各种功能的危险评估,推导或确认系统安全性设计准则,提出系统安全性要求,还提供对安全性至关重要的潜在功能失效状态信息,这些信息可用来确立所需系统的结构方案、软件完整性水平要求、系统分离和隔离要求以及最低设备清单要求[2]。
系统功能危险性评估的输入主要有系统功能清单、外部接口示意图、飞机级功能危险性评估功能清单、飞机级功能危险性评估识别失效状态、设计要求和目标、飞机级设计方案选择及其原理,以及系统使用的适航规章。
系统功能危险性评估过程可分为以下几个步骤:①确定与系统相关的所有功能,包括内部功能和交互功能;②识别系统功能的所有失效状态,考虑所有的单一和复合失效状态;③确定该失效状态出现时所处的工作状态或飞行阶段;④根据失效状态对飞机或人员的影响,确定失效状态的影响等级;⑤给出用于证明失效状态影响等级的支撑材料;⑥提出用于验证失效状态要求的符合性方法。
2 系统功能危险性评估过程
2.1 系统功能定义
进行系统功能危险性评估首先需要确定所分析系统相关的所有功能,包括内部功能和外部功能,分析确定并建立功能清单。
系统功能危险性评估的功能定义按照逐层展开的方式进行相应的功能分析,找出所有工作状态下可能的功能,形成用于功能危险性评估的系统功能清单。系统级内部功能指系统本身功能和内部设备之间的接口功能,外部功能指其它系统提供给所分析系统的功能或分析系统提供给其它系统的功能。
以自动飞行控制系统为例,民用飞机自动飞行控制系统一般接收飞行员通过飞行模式板手动设置或飞管系统发送的指令及相关传感器输入信号等,提供自动控制飞机按设定的姿态、飞行路径和空速飞行的能力,目的在于减轻飞行员工作负担。
按照上层设计方案,系统功能遵循自上而下的分配和其它系统交互实现的原则,飞机级功能和交互系统功能要求自动飞行控制系统具有自动驾驶、飞行指引、自动着陆等功能,主要实现对飞机横向、垂直和多轴模式的自动控制。
因此,自动飞行控制系统功能主要有自动驾驶、飞行指引和自动着陆等。
2.2 系统功能失效状态
识别功能失效状态应分别考虑所研究对象的内部功能、交互功能以及环境和应急情况、反常情况中的每一项,同时还要考虑正常和恶劣环境中的单个或多重失效,由此建立系统功能的失效状态清单。为了列出功能的所有失效状态及相关假设,分析者必须掌握所有可能的失效模式。功能失效在不同飞行阶段产生的影响不同,要对不同飞行阶段的同一功能失效状态分别进行分析。
典型的失效状态有:①功能丧失(可分为通告的丧失和未通告的丧失);②功能错误。以自动飞行控制系统的自动驾驶功能为例,可识别到相应的失效状态有:①通告的丧失自动驾驶;②未通告的丧失自动驾驶;③错误的自动驾驶功能。
2.3 确定失效状态工作阶段
系统每个功能工作的飞行阶段不同,而对于自动驾驶功能而言,可设计为在各个飞行阶段(起飞、爬升、巡航、下降、进近、着陆)均可以工作。
2.4 失效状态影响和等级分类
根据不同的飞行阶段,系统功能失效状态对飞机、机组成员和乘客的影响不同,需要根据飞机级功能危险性评估、飞机安全性初步评估以及设计经验综合考虑,按照表1中的定义确定影响等级分类。
在确定影响等级时可参考以下原则[3]:①系统错误一般比系统故障或失效的影响更为严重;②应了解并明确飞机对飞行员的操作和控制要求,包括在各飞行阶段对飞行员的工作要求,以便分析失效状态对驾驶员操作的要求和影响;③如果同一个功能故障在不同飞行阶段对飞机或人员产生的影响不同,则在分析中要分别列出。
确定失效状态影响等级时,先分析失效状态对系统的影响,进而分析对飞机、机组成员和乘客的影响。以“通告的丧失自动驾驶”为例,参考在相似机型中该失效状态的影响分析,根据表1中的描述,在爬升、巡航、下降、进近阶段,通告的丧失自动驾驶,对飞机无影响,需要转为人工操作,轻微增加驾驶员负担,乘客可能会不舒适,因此影响等级为较小的;在起飞、着陆阶段,通告的丧失自动驾驶,低高度时可能会出现短暂的飞行轨迹或姿态异常,需要人工操作,增加机组成员负担,乘客身体不适,因此影响等级为较大的。
2.5 证明失效状态影响等级的支撑材料
对于并不十分了解的失效状态影响,需要提供分析计算、仿真分析、模拟试验或飞行试验等方法作为支撑材料,以证明系统失效状态影响等级的准确性[4]。由于“在爬升、巡航、下降、进近阶段通告的丧失自动驾驶”失效状态影响等级为较小的,可以采用分析方法和试飞试验作为支撑材料;“在起飞、着陆阶段通告的丧失自动驾驶”失效状态影响等级为较大的,可以采用分析方法和模拟试验作为支撑材料。
2.6 验证失效状态要求的符合性方法
对于每一个失效状态确定的安全性要求,都应提出相应的符合性验证方法,以表明系统设计满足安全性要求,并按照图1所示流程进行安全性目标验证。
功能危险性评估得出的失效状态,一般的验证方法有失效模式与影响分析、故障树分析、共因分析。“在爬升、巡航、下降、进近阶段通告的丧失自动驾驶”失效状态影响等级为较小的,可将失效模式与影响分析作为验证方法;“在起飞、着陆阶段通告的丧失自动驾驶”失效状态影响等级为较大的,可将失效模式与影响分析和故障树分析作为验证方法。
图1 安全性目标验证流程
2.7 功能危险性评估表
将功能危险性评估工作的结果填入分析表格,形成最终的评估结果。功能危险性评估表包括以下内容: ①功能:指将要进行分析的具体功能;②失效状态:对每一个失效状态进行简要描述;③飞行阶段:功能失效时所处的飞行阶段。若失效状态的影响由于飞行阶段不同而不同,必须按不同飞行阶段分别填写;④危险对飞机或人员的影响:功能失效后飞机、机组成员或乘客遭受到的有害结果;⑤影响等级:灾难性的、危险的、较大的、较小的及无安全性影响的;⑥影响等级支撑材料:如飞行试验、模拟试验、分析计算等;⑦验证方法:失效模式与影响分析、故障树分
析或共因分析;⑧备注:与该失效状态相关,但没有在其它列中涉及到的相关信息,如相似系统之前的故障资料等。
“通告的丧失自动驾驶”对应的功能危险性评估表如表2所示。
3 结语
以某型飞机自动飞行控制系统为例,采用SAE ARP 4761中定义的功能危险性评估过程进行分析,具体介绍了系统功能危险性评估过程,为民用飞机系统安全性评估提供了一定参考。若要更加详细深入地进行自动飞行控制系统功能危险性评估,需要结合具体系统的详细设计技术方案进一步开展。
参考文献:
[1] SAE ARP 4761.Guideline and methods for conducting the safety assessment process on civil airborne system and equipment[S].SAE,1996.
[2] SAE ARP 4754.A guidelines for development of civil aircraft and system[S].SAE,2010.
[3] 修忠信.民用飞机系统安全性设计与评估技术概论[M].上海:上海交通大学出版社,2013.
[4] 唐长红.飞机系统安全性[M].北京:航空工业出版社,2013.
(责任编辑:黄 健)