郭祺君
【摘 要】本文对民用飞机的电源系统安全性评估工作进行了介绍,结合SAE ARP4761的要求和电源系统的研制特点,归纳总结了安全性评估流程。
【关键词】民用飞机;电源系统;系统安全性
中图分类号: V242.2 文献标识码: A 文章编号: 2095-2457(2017)29-0076-002
【Abstract】The article briefly describes the system safety assessment of Electrical Power System in civil aircraft. According to the guidelines and methods from SAE ARP4761, combining the specialcharacteristic of Electrical Power System Development, the system safety assessment procedure is summarized and studied.
【Key words】Civil Aircraft; Electrical Power System; System Safety Assessment
0 引言
民用飞机电源系统安全性评估(SSA)过程是飞机机载电源系统安全性评估工作的一部分,是对飞机的电源系统进行系统性综合评价的过程,用以检验电源系统的结构和安装满足相关的安全性需求,同时,根据ARP4761综合各种安全性分析的结果,以验证电源系统的设计满足之前功能危险性评估和初步安全性评估在中所定义的定性和定量的安全性需求,达到对民用飞机适航条款CCAR25.1309的符合性。
1 电源系统安全性评估工作概述
电源系统安全性评估工作包括三大过程:功能危险性评估(FHA)、初步系统安全性评估(PSSA)和系统安全性评估(SSA),他们的关系如图1所示:
电源系统FHA过程是用来确定电源系统的失效状态,并且评估失效状态的严重程度,从而确定安全性目标;电源系统PSSA过程是通过定性和定量的分析制定FHA中失效状态的缓解措施,根据措施设计系统构架、安装等。电源系统SSA过程是对FHA过程和PSSA过程的验证,确认PSSA中缓解措施的有效性,同时验证缓解措施的实施。
这三个过程是可以不断地迭代进行,如果在任一个评估过程中发现了不符合项,则需要进行系统的设计更改工作,在设计更改完成后要再次进行系统安全性评估工作。
本文主要介绍电源系统SSA过程。
2 电源系统安全性评估的目标
电源系统安全性评估(SSA)的目标包括以下内容:
(1)验证在电源系统级功能危险性评估中所建立的安全性需求被满足;
(2)确认电源失效状态影响等级的建立是合理的;
(3)验证由设计要求和目标引出或衍生的安全性需求被满足;
(4)验证在CCA过程中识别的设计需求被满足。
3 电源系统安全性评估过程
根据ARP4761,综合机载系统,包括电源系统的安全性分析和设计阶段的关系如下图2所示:
SSA过程在飞机研制的系统验证阶段进行,主要由故障树分析(FTA),共因分析(CCA),故障模式分析(FMEA),故障模式总结(FMES)及其他能够支持软硬件研制保证等级的证据组成。对于软件,一般使用DO-178C程序来验证软件研发能够达到所要求的研制保证等级,对于复杂电子硬件,一般使用DO-254来验证软件研发能够达到所要求的研制保证等级,对于综合模块化航电系统,则使用DO-297来验证。
3.1 故障树分析(FTA)
FTA是在系统设计过程中,通过对可能造成系统故障的各种因素(包括硬件、软件、环境、人为因素等)进行分析,形成逻辑框图,从而确定系统故障原因和各种可能的故障组合方式及其发生概率。在具体分析过程中,一般会采用商用软件进行故障组合的计算,提高故障树的分析效率。
在系统设计的PSSA过程中,FTA是从上而下的逐级分解过程,将FHA中定义的功能失效状态及失效概率要求根据经验,初步的设计架构,系统性地确定系统功能块的所有的单个故障以及失效组合,向下展开分析,直到最底层的基本事件。
而在SSA过程中,验证人员应结合FMEA和FMES的故障失效模式,从FTA的底部事件向上根据逻辑分析计算,验证在设计完成后的安全性指标满足电源系统级功能危险性评估中所建立的安全性需求。
在电源系统FTA故障树分析中,值得注意的是,由于现代民用飞机多采用多通道冗余供电,比较典型的例子是左供电通道、右供电通道和应急供电通道。根据设计原则并考虑经济性,一般左右通道采取相似设计,应急供电通道独立于左右供电通道,而且还采取非相似性设计,验证FTA时应考虑左右供电通道的共因因素,考虑通道组合失效的概率计算。
在一般的民机电源系统安全性分析中,采用FTA方法为主流方式,且市面上支持FTA分析的软件应用较为广泛。作为演绎性的失效分析法,FTA也可以被相关图(DD)和马尔科夫分析(MA)替代。
3.2 故障模式分析(FMEA)
FMEA是一种系统的,由下而上地识别系统、单元与功能的故障模式并确定其对上层影响的方法,既是定性的也是定量。FMES是FMEA分析中具有相同影響的较低层次的失效模式的总结,用以支持在系统级FTA中考虑的对应故障模式的故障率。FMES是FTA/CCA等其他分析的输入。
3.3 共因分析(CCA)
共因分析是对共因失效进行定性和定量分析的工具,用来检验系统间是否满足独立性的需求,分析共因失效条件下系统失效的概率。共因分析包括单个故障模式和一些外部事件,这些事件能引起灾难性的或非常验证的失效状态的后果。对于灾难性的失效状态后果,这些共因事件必须杜绝;而对于危险的失效状态后果,这些共因事件发生的概率必须控制在给定的概率范围之内。共因分析包括区域安全性分析、特殊风险分析、共模失效分析。endprint
3.3.1 区域安全性分析(ZSA)
电源系统区域安全性分析,主要是根据飞机区域的划分,对每个区域内的电源系统设备及接口在飞机上的位置进行分析和检查,评定在故障和无故障情况下各系统潜在的相互影响,以及系统安装存在的固有危险的严重程度。电源系统将最终的区域安全性分析结果反馈给全机,再由飞机级的安全性分析来防止不正常时间或限制不正常时间发生的概率,保证飞机各系统之间的相容性和完整性。
3.3.2 特定风险分析(PRA)
特定风险分析是指与电源系统或产品外部的事件和影响相关,且可能破坏功能或故障独立性声明的风险,如火灾、鸟撞、轮胎爆破、闪电、高强度辐射场、液体泄漏等。电源系统的特定风险分析主要是分析电源系统外部的事件或因素对电源系统的影响,对可能产生的功能失效进行分析和评估。
特定风险分析时是不考虑多种风险同时发生的情况,是以风险类型为单位进行的专项评估,但在每种风险的分析过程中应评估该风险可能引起其它风险发生的可能性,并采取有效防护措施。
在一般的民机电源系统设计中,应能够保证在任一特定风险下不会造成电源系统一类的失效状态,同时造成的二类失效状态是极少的,或者可保护的。
3.3.3 共模分析(CMA)
共模分析主要用于验证故障树分析中“与门”下时间是否相互独立。CMA必须分析对系统部件独立性有影响的设计、制造、维修错去以及故障状态,还必须考虑功能的独立性。通过CMA的定性分析,从软硬件、制造、安装、环境以及外部因素等各方面考虑与门输入时间是否相互独立,可以得到FTA中与门输入时间满足独立性需求的证明材料。如果CMA的定性分析无法证明FTA与门的输入时间满足独立性需求时,需用CMA定量分析方法来计算共模故障条件下与门输出事件的发生概率,进而求的故障状态的发生概率,以验证其是否满足FHA中规定的安全性需求。在实际的运用中,也可以用试验的方法来对共模故障进行检测以达到检验独立性需求的目的。
3.4 软硬件研制保证等级
在现代民用飞机的电源系统设计中,由于电控技术的广泛使用,越来越多的功能采用软件或者复杂电子硬件来实现,因此FTA中会包含软件或复杂电子硬件的事件。而软件和复杂电子硬件的错误发生是随机的,不同于硬件失效,这些概率不可能用定量值来表示。因此,一般借助预防软件错误的研制保证,从定性的角度上来满足对分析的符合性。业内一般使用工业标准DO-178C来验证软件研发能够达到所要求的研制保证等级;对于复杂电子硬件,一般使用DO-254来验证软件研发能够达到所要求的研制保证等级。
3.5 系统的运行限制
随着研制状态的进展,电源系统在飞机研制的各个阶段,如首次滑行、首次飞行、转场飞行、取证试飞等阶段,可能存在不同的设备构型,因此可能会产生不同的运行限制,在每阶段的或者每架机的安全性分析报告中,都应该对系统的运行限制进行说明,以明确系统安全性分析的限制。
3.6 电源系统非正常和应急操作程序
系统的非正常和应急操作程序包括故障导致的报警信息、故障原因、故障影响,以及飞行机组对故障的隔离和纠正的逻辑,是否有级联或并发的故障,及相关的应急和非正常程序。
3.7 安全性需求确认和验证
系统的安全性需求的確认和验证工作是用来确保电源系统安全性需求的正确性和完整性,以达到安全性评估工作的闭环。主要评估需求是否能正确的反映了安全性分析,并且是否包含了所有由安全性评估产生的衍生需求。
需求确认过程中的严酷度应根据安全性评估过程中分配和确认的系统和设备研制保证等级确定。对于衍生需求,应该从安全性的角度,逐步在各较高系统层级中检查,直至确定影响消失为止。
3.9 电源系统维护需求和验证
电源系统的维护需求和验证分析是在电源系统功能危险分析的基础上,通过FMEA得出电源系统存在的潜在失效事件,同时在电源系统的灾难级或危险级故障树中提取相关的潜在失效事件对其进行分析后,得出电源系统的CCMR项目。CCMR任务时间间隔通过电源系统故障树(FTA)计算得出。
3.10 MMEL建议/程序
电源系统进行安全性评估时已考虑最严酷的情况,即考虑已有设备失效的MMEL可派遣情况。应确保在此基础上完成的安全性评估,仍然是满足各失效状态的安全性需求。应通过分析说明在MMEL派遣情况下,电源系统安全性水平仍能满足相关安全性要求。
4 结论
本文对电源系统的安全性评估(SSA)工作进行了说明,可供民用飞机电源系统安全性工作使用。
电源系统的安全性评估工作是一个迭代的过程,对每一个PSSA过程都应当有一个SSA过程进行支撑和验证,同时对于同一型号但电源系统构型存在差异的每一架机,也会存在不同的SSA过程。任何在安全性评估工作中发现的不符合项目,都必须反馈到电源系统设计层面,重新进行设计更改和分析工作,然后对设计更改后的构型进行再一次的SSA分析过程。
【参考文献】
[1]SAE ARP4761 GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT.
[2]中国民用航空规章第25部运输类飞机适航标准.endprint