民用飞机初步系统安全性评估方法研究

李磊++徐世宁

摘 要：民用飞机初步系统安全性评估（PSSA）过程是民机安全性设计中的关键技术和重要方法。该文结合SAEARP4754A和ARP4761的要求，紧密联系系统研制的过程，介绍了初步系统安全性评估的意义、目的和具体实施过程。针对ARP4754A中提出的新概念功能失效集与最小隔集概念进行解释和比较，对比异同点，确定其工程实践中的具体操作方法。最终在研制保证等级分配流程的基础上，给出PSSA过程完整的建议操作流程以及工作依据，并举例说明整个过程中的难点问题，有效指导民机初步系统安全性评估工作的开展。

关键词：初步系统安全性评估 研制保证等级 功能失效集 研制保证等级

中图分类号：V223 文献标识码：A 文章编号：1674-098X（2015）08（a）-0028-02

1 概述

民用飞机的安全性评估过程是系统研制过程的一部分，与系统研制过程平行进行。初步系统安全性评估（PSSA）过程是系统安全性评估的重要环节。SAE于2010年发布的4754A《民用飞机与系统研制指南》中明确要求使用PSSA的方法确保飞机系统研制的分配和确定过程（双“V”型研发流程的左侧）能够满足安全性要求。ARP4761《民用机载系统和设备安全性评估过程指南和方法》中提出了PSSA的具体方法。ARP4754A告诉我们“要做什么”，ARP4761来解决“怎么做”的问题。但由于指南仅提出要求，在实践中各人理解的差别会导致结果出现很多偏差，该文结合工程实践经验，研究具体系统研发过程中PSSA的操作方法，对工程实践提供指导。

2 初步系统安全性评估过程的目标

系统的PSSA过程贯穿于整个系统研制全生命周期，结合系统功能的分配、分解和确定进行，是自上而下反复迭代的分析过程。在安全性评估的三个主要过程（功能危险性分析FHA、PSSA和系统安全性评估SSA）中，PSSA起到了一个承上启下的作用。由此可以明确PSSA过程的主要目标为以下4方面。

（1）完善飞机级及系统级安全性要求清单，检查飞机级及系统级FHA的结果；

（2）系统化的检查系统架构如何满足FHA的安全性要求，考察系统构架中有哪些子系统和组件失效能够导致由FHA确定的功能危险；

（3）在研制周期内调整并评估设计更改；

（4）得出较低层次系统和组件的设计、安装等定性和定量的安全性要求。

3 初步系统安全性评估（PSSA）的实施过程

初步系统安全性评估过程主要分为以下几个阶段进行：收集PSSA输入数据；根据系统功能架构定义失效状态的初步故障分析（FTA）结构；进行失效状态评估后实施PSSA过程中子系统/组件的研制保证等级（DAL）分配和失效概率分配；同时考虑共因源对独立性影响的分析，最终得对子系统/组件定性和定量的设计要求和安全性目标。

下面对PSSA实施过程的主要阶段进行分析。

3.1 PSSA的输入

在开始进行PSSA评估过程之前，需收集相关的数据信息，这些信息包括但不局限于以下内容：来自飞机级/系统FHA和相关功能的失效状态；高级别安全性评估得出的需求；相关的系统功能；包含系统接口的推荐的系统架构；共因源信息。这些信息共同构成了PSSA分析的基础，为后续进行有效的分析过程提供必要的数据保障。

3.2 建立PSSA阶段初步故障树分析模型

针对需要分析的失效状态涉及的系统功能架构，建立PSSA阶段初步的故障树分析（FTA）模型。FTA通过分层次、分支路的构建方法，演绎性的表明引起该失效状态的各种子功能/组件失效之间的架构关系，进而可以自上而下的得到低级别失效定性和定量的安全性要求，并验证推荐的系统功能架构是否满足安全性目标。对于确定的架构，PSSA里面需要进行详细的架构说明。

3.3 研制保证等级的分配过程

ARP4754A里要求通过分析功能失效集（FFS）中成员的方法分析子系统/组件错误组合对顶层失效状态的影响关系，并通过对FFS成员的研制保证等级（DAL）的分配得到对子系统和组件的设计要求。系统功能的DAL分配过程是针对FHA和初步飞机级安全性分析以及高层次级别PSSA阶段进行，组件的DAL分配过程针对低层次级别PSSA过程。为了明确概念方便后续分析的开展，现对ARP4754A中的FFS概念和ARP4761中FTA的最小割集进行比较分析。

3.3.1 功能失效集（FFS）和故障树分析（FTA）中的最小割集概念比较分析

在ARP4764A中新提出了功能失效集合（FFS）的概念，即当任意一个FFS中的所有成员的错误同时发生时，就能导致该FFS最顶层的失效状态的发生。FFS成员表示潜在的研制错误的结果，而非失效。在保证了每个FFS中所有成员独立性的情况下，针对该FFS中各个成员进行功能保证等级分配（DAL），对支持顶层失效状态的研制保证等级和该功能架构研制置信度是非常重要的。

当完成了针对某个失效状态下所有FFS中的全部成员进行功能DAL分配时，按照DAL分配原则，可能会有多种符合要求的分配结果，然后需要进行各FFS中成员之间分配结果的交叉检查，统筹考虑整个失效模式下所有FFS成员的分配，删除各FFS之间矛盾的分配结论，最终得到合理并且满足要求的所有底层子系统/组件错误的DAL结果。

ARP4761中的最小割集概念基于故障树分析工具得到，是通过FTA架构，各逻辑门关系得出的引起顶事件发生的基本事件的最低限度集合。

FTA中最小割集是针对失效，该集合中的成员均来自失效模式及影响分析（FMEA）中的设备或组件的各种失效模式。而FFS是针对错误的。在AMC25.1309的定义中，错误是指人员疏忽或不正确的行为，或在研制、设计过程中的差错。失效是指能够影响零部件的工作使其不能执行预期功能的事件（其中包括功能丧失和功能式故障）。错误会能够引起失效，但是不能认为错误就是失效。FFS的意义涵盖但不能完全等同于FTA中最小割集。endprint