民用飞机特定风险分析概述

吕军

【摘 要】特定风险分析是在新飞机研制时，针对飞机外部环境（如鸟撞、闪电、冰雹）或来源于飞机内部其它系统的事件或危险（如转子爆破，机轮和轮胎失效）开展的全面评估。这一分析评估工作的实施保证了所采取的设计在面临这些风险时具有足够的鲁棒性。

【关键词】特定风险；PRA；安全性评估；民用飞机

0 前言

特定风险（Particular Risk）是在飞机或系统外部发生的事件或危险所引起的风险。这些事件或危险来源于飞机外部环境（如鸟撞、闪电、冰雹）或飞机内部的其它系统（如转子爆破，机轮和轮胎失效），往往影响飞机多个区域或造成多个系统同时失效，破坏系统、功能或组件之间的独立性，是造成系统关联故障与共因故障产生的重要原因。

特定风险分析（PRA）、区域安全性分析（ZSA）和共模分析（CMA）共同构成了民机的共因分析。这些分析评估工作的实施保证了所采取的设计在面临这些风险时具有足够的鲁棒性。对于所确定的风险项目，需要建立专门的团队来开展评估工作，并且应将所有相关研究结果整理成专门文档来指导新飞机的研制。在之前型号项目上所开展过的特定风险项目可以作为着手点，同样在新型号上予以考虑。

1 介绍

特定风险可能同时影响多个区域，但ZSA仅限于任一具体的区域。其中某些特定风险项目有具体的适航规章要求（例如，非包容性转子爆破，轮胎爆破，等等）。某些特定风险项目可能仅涉及公司内部的要求，如具体的隔离要求。参考SAE ARP 4761[1]和ARP 4754A[2]，典型的特定风险事件或危险包括但不限于：火灾，高能装置（发动机、辅助动力装置APU、风扇），高压瓶，高压管路破裂，高温气体管路泄漏，液体泄漏（液压油、燃油、电池酸性物质、水），恶劣天气（冰雹、冰和雪），鸟撞，机轮和轮胎失效，雷击、高强度辐射场，摆动轴失效，后压力框破裂等。

PRA不是一次性的分析工作。为使评估结果有意义，它应当贯穿于飞机的整个研制过程持续开展。同时在研制阶段，应对飞机的任何重大更改进行评估。PRA可以提供证据来表明所识别的危险已经被辨别和评估。通常由飞机制造商成立专门的团队来评估飞机及其系统，在风险影响下是否仍具有持续安全飞行和着陆的能力。在初期，评估可基于图纸或者模型，随着项目的推进，应使用数字样机和真实飞机开展评估。当飞机构型完全确定后，应针对系统实际的布置开展最终评估，以保证危险在最终设计中予以消除。

2 分析流程

参照ARP4761，PRA 可按照以下流程图（图1）来进行。具体每一步骤的说明见下文。

图1 PRA分析的流程图

2.1 定义被分析的特定风险的细节（如发动机转子爆破）

确定对何种特定风险展开研究，并对该特定风险进行描述，说明该特定风险发生的原因、场景和规律等。

2.2 定义分析中使用的失效模型（如转子爆破模型）

确定各类特定风险可能出现的失效模式，如转子爆破中涡轮盘爆破模式包括小碎片、中等碎片、三分之一轮盘碎片。

2.3 列出需满足的适航条款或AC要求（如FAR[3]/ CCAR[4] 903）

在所有特定风险类型中，一部分有明确适航条款或AC（咨询通告）要求的项目，应以表明对这些具体适航条款或AC的符合性为工作目标；另一些无直接条款要求的特定风险项目，需通过分析确定对飞机或系统的影响是否可接受，来表明对CCAR 25.1309条款的符合性。

2.4 定义受影响的区域（如起落架舱）

确定特定风险影响范围，并确定特定风险作用区域。

2.5 定义受影响的系统/组件（借助ZSA进行交叉检查）

确定风险作用区域内受影响的系统或部件。

2.6 定义所采取的设计和安装预防措施

应当借助在ZSA中使用的设计和安装指南进行交叉检查，根据上述特定风险分析实施过程所得出的结论，应对如何规避特定风险、降低风险影响后果、提高抵御风险能力等多方面进行综合考虑。

2.7 评估特定风险对受影响系统/组件的安全性影响

分析特定风险对作用区域内系统或结构的单个部件单元所产生的影响，确定系统或结构失效模式，给出影响后果大小；此项工作可结合FMEA（故障模式及影响分析）、PSSA（初步系统安全性评估）进行交叉检查完成。

2.8 评估该特定风险对飞机产生的安全性影响

分析特定风险导致的单元失效模式及其组合对飞机的影响，可借助SSA（系统安全性评估）、PASA（初步飞机级安全性评估）进行交叉检查。

2.9 确定该影响是否可以接受

如果可接受，则制定合格审定的判据并用于SSA/ASA或其他具体的合格审定文件中；如果不可接受，则开始进行设计更改。

2.10和2.11 确定设计更改方案是否采纳

由相关设计团队确定可能的更改方案，如系统重新布置，增加冗余备份等，如果项目团队最终决策进行设计更改，则采纳的更改方案必须被重新评估。如果项目团队决策不进行设计更改，则需要按照工程偏离程序给出原有设计可被接受的理由。当一个项目的内部要求超出规章要求时，通常会使用工程偏离程序。

2.12 偏离是否接受

需要对工程偏离进行评审来确定是否项目团队接受超出规章要求但不满足内部项目要求的风险。如果项目团队决策不接受此可能的风险，则应转移到设计更改程序。如果项目团队接受此风险，则此偏离应当被记录并得到工程批准以支持最终报告的问题关闭。

2.13 PRA分析报告

当PRA分析发现的所有问题都被关闭，并且得到项目团队的书面接受，将形成最终的PRA分析报告，提交给局方审查并获得适航批准。

3 PRA输出

在开展不同设计阶段的PRA活动，需形成相应的输出物：

1.在型号项目初始阶段需制定PRA工作计划，在特定风险工作初步阶段须制定详细的PRA工作计划，该计划应包括：

（1）列出所开展特定风险项目的任务内容和相关交付物；

（2）以项目为导向明确组织构架；（3）依据型号研制节点定义各个PRA节点的角色和责任分工，如整个PRA工作阶段内，针对具体风险源项目，何时给出明确的风险源定义；何时提供分析模型；何时确定需满足的规章、要求；何时提供受影响的系统或设备，以及确定受影响的区域；何时确定设计和防护措施。

2.制定PRA的总体策略文件，明确PRA要求和目标应明确如何开展PRA来满足相关适航条款和要求，并提出相关技术假设和分析模型。

3.形成特定风险需求的确认和传递文件

以飞机级FHA，系统级FHA及历史经验为输入，借助于DOORS等需求管理工具将所有PRA需求和其它活动传递给系统设计人员，并且对需求进行确认和验证。可将所有特定风险需求形成一份文档，最终的验证过程将依据评估满足这一文档需求的符合性这一流程来执行。

4.形成分析/验证符合性报告

对于每项风险源，需通过具体的试验、计算或分析方法，确认/验证特定风险源的影响已经在系统设计、安装中进行相应隔离或防护。

5.PRA相关支撑文件或活动，如验证试验及报告，损伤容限评估报告等

重要PRA项目须提交给局方审查，在审查中根据局方意见完善符合性报告，补充相应符合性活动，最终获得适航认可和批准。另一些非重要PRA项目起改进设计的作用。最终完成包括整个特定风险项目分析结果的综合报告。

4 结论

本文对民用飞机开展特定风险分析的思路和流程作出了探讨和研究，给出了开展特定风险评估的一般工作流程，并对各个流程的相关活动及输出予以介绍，按照此流程在新型飞机的研制周期里尽早开展PRA活动，并随研制进度不断迭代，可以以最小的成本和进度影响支持民用飞机的适航取证。

【参考文献】

[1]SAE Aerospace Recommended Practice， ARP4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S]. Issued Dec， 1996.

[2]SAE Aerospace Recommended Practice， ARP4754A， Guidelines for Development of Civil Aircraft and Systems[S]. Rev. Dec， 2010.

[3]FAA. FAR 25. Airworthiness standards： transport category airplanes[S]. 2007.

[4]CCAR-25-R4 运输类飞机适航标准[S].

[责任编辑：杨玉洁]