FHA在民用飛機大氣數據系統設計中的應用

摘 要：大氣數據系統作為民用飛機的關鍵系統，對飛機安全飛行至關重要。在大氣數據系統研制過程中如何正確實施功能危險性評估（FHA）是“確保安全性”目標得以實現的首要環節。通過介紹大氣數據系統FHA過程，給出了某型飛機大氣數據系統通過FHA過程確立安全設計目標的實例，為FHA在民機安全性驗證、分析和評估過程中的應用提供參考。

關鍵詞：功能危險性評估（FHA）；民用飛機；大氣數據系統；安全性

引言

“確保安全性”是民用飛機設計最為顯著的設計目標，民用飛機適航合格審定過程中，需要對系統進行安全性評估。SAE ARP 4761[1]是飛機系統安全性評估的設計指南，其中功能危害性評估（FHA）是最重要的安全性評估方法之一[2]。

文章著重以功能的頂層設計要求為導向，通過對大氣數據系統FHA過程的介紹，分析如何通過FHA來確立系統的安全設計目標。

1 大氣數據系統FHA過程及安全設計目標的確定

SAE ARP 4761對FHA過程的定義：FHA過程是一種自上而下識別功能失效狀態并評估其影響的方法。根據已有的功能定義，識別功能所有的失效模式，結合飛行階段確定功能失效狀態及其對飛機的危害影響等級。需要注意的是，同一功能失效模式在不同的飛行階段，對飛機的危害影響有可能是不同的，因此失效狀態也不同。

根據FHA過程要求[2]，大氣數據系統FHA過程可以分為如下步驟：（1）根據飛機級功能，確定分配歸屬于大氣數據系統需要實現的飛機級功能；（2）根據大氣數據系統所需實現的飛機級功能，識別與分析大氣數據系統在系統層面上所對應的所有功能（系統內部功能和交互功能）；（3）根據確定的大氣數據系統的系統功能，識別出功能所有的失效模式；（4）根據確定的大氣數據系統的功能失效模式，結合不同飛行階段，給出對應功能失效狀態；（5）確認失效狀態對飛機的危害影響等級。

1.1 大氣數據系統功能定義

通常大氣數據系統的系統級功能應來源于飛機的設計需求和對大氣數據系統功能界面的定義，并遵循自上而下的分解過程。一般而言，從飛機級功能的定義和實現角度上，飛機對大氣數據系統的功能要求通常體現在：（1）提供氣壓高度；（2）提供空速等兩個方面飛機級功能層面上。由于飛機級功能的定義和分解的方法有很多，勢必會帶來不同的功能定義和分解層次，但應該遵循如下原則：確保功能的完整性；盡量減少功能的重疊和交叉；盡量提升功能級別，減少功能層次；飛機級功能與系統級功能的交界面要清晰等。

通過上述兩個方面飛機級功能，進而確定大氣數據系統在其系統內部及與其他系統交互時需要實現的系統層面上的所有功能，這些功能主要體現在：提供氣壓高度、提供空速等主要功能，提供攻角、提供總溫和靜溫等輔助功能，提供最大飛行速度/馬赫數、提供修正氣壓高度、提供垂直速度等可視為系統層面的衍生功能。

1.2 大氣數據系統功能失效狀態

確定大氣數據系統功能后，通常從功能的可用性和完整性上去識別相應的失效模式，再結合飛機具體的飛行階段，確定失效模式下的失效狀態。

確定大氣數據系統失效狀態時，一方面來源大氣數據系統功能失效的分析，另一方面應參考飛機級FHA確定的失效狀態結果。一般來說，前者的分析結果來源于具體功能的失效分析，因此失效模式分類較為完整細致，后者的分析結果來源于飛機頂層自上而下的梳理，往往在初期時分析較為籠統。為實現飛機級和系統級FHA之間的追溯性，失效狀態需要前后對照保持一致。通常采取的做法是將飛機級FHA確定的失效狀態與其下一級結果作為系統級FHA的輸入，對照前后兩種分析方法的結果，對飛機級FHA失效狀態進行補充或刪減。

1.3 大氣數據系統功能失效狀態影響等級

根據SAE ARP 4761中的定義，失效狀態影響分為5個等級，即災難性的、危險的、重大的、較小的和對安全性無影響的。

大氣數據系統失效狀態影響首先是分析失效狀態對大氣數據系統的具體影響，進而分析對飛機、機組和乘客的影響。大氣數據系統失效狀態影響等級的具體確定原則依賴于以往的事故數據、規章指導材料和設計、使用經驗及工程判斷等。

大氣數據系統主要功能是通過飛機座艙電子飛行顯示器（包括備用顯示）的相應指示反饋得以實現，FAA AC25-11A[3]為大氣數據系統FHA的失效狀態影響等級的判定和到對應飛機級FHA的追溯提供了支撐，FAA AC25-11A可以作為確定大氣數據系統失效狀態的重要參考。

1.4 安全性設計目標

對于大氣數據系統每個功能的失效狀態，必須根據失效狀態的影響等級來分配失效概率以確立定量的安全性設計目標，以及通過分配相應的功能研制保證等級以確立定性的安全性設計目標，進而來指導整個大氣數據系統架構的研發以滿足所要求的安全性目標。功能失效狀態和安全性設計目標上的定性和定量要求對應關系見表1[1]：

2 某型飛機大氣數據系統FHA實例

2.1 確定大氣數據系統功能

某型飛機大氣數據系統的功能要求包括：（1）提供氣壓高度；（2）提供空速；（3）提供攻角；（4）提供總溫和靜溫；（5）提供最大飛行速度/馬赫數；（6）提供修正氣壓高度；（7）提供高度變化率（垂直速度）等等[4]。文章以提供氣壓高度功能為例，介紹大氣數據系統FHA后續過程。

2.2 確定功能的失效狀態

針對提供氣壓高度功能，失效模式可以分為：喪失提供單側氣壓高度、喪失提供備用氣壓高度、喪失提供雙側氣壓高度、喪失提供所有氣壓高度（包括雙側和備用）；提供單側氣壓高度誤指示、提供備用氣壓高度誤指示、提供雙側氣壓高度誤指示、提供所有氣壓高度誤指示（包括雙側和備用）。

上述失效模式中喪失提供單側氣壓高度與喪失提供備用氣壓高度可判定為等效失效模式，提供單側氣壓高度誤指示與提供備用氣壓高度誤指示也同樣可判定為等效失效模式，經合理簡化后，該型飛機大氣數據系統的提供氣壓高度功能失效模式見表2：endprint

飛行階段可以大致分為地面、起飛、空中、著陸四個階段，可以根據分析的需要，進一步細化飛行階段。

2.3 確定失效狀態影響等級

以“起飛、空中和著陸階段喪失提供所有氣壓高度（包括雙側和備用）”這一失效狀態為例進行分析。喪失提供所有的氣壓高度使得飛機員因為無法感知氣壓高度數據而引起飛機失控造成危險接近導致撞機、撞山、撞地等機毀人亡災難性事故，故可以判定“起飛、空中和著陸階段喪失提供所有氣壓高度”失效狀態的影響等級為I級，即災難性的。

此外，依據AC25-11A[3]中的規定“喪失所有的氣壓高度顯示，包括備用顯示”的影響等級為災難性的，而大氣數據系統“喪失所有的氣壓高度（包括雙側和備用）”這一失效模式會直接導致“喪失所有的氣壓高度顯示，包括備用顯示”這一頂失效事件的出現，所以將“起飛、空中和著陸階段喪失提供所有氣壓高度（包括雙側和備用）”的失效狀態定為I級是合理的。

2.4 確定安全性設計目標

通過和文中表1（系統功能失效狀態與安全性設計目標對應關系）進行比對，“起飛、空中和著陸階段喪失提供所有氣壓高度（包括雙側和備用）”采用每飛行小時1E-10的失效概率是可接受的保守分析值，該型飛機大氣數據系統“提供氣壓高度”的功能研制保證等級為A級（系統級功能的功能研制保證等級以該功能所有失效模式中對應的最嚴重失效狀態作為分配依據）。

3 結束語

出于篇幅的原因，文章僅以某型飛機大氣數據系統的“提供氣壓高度”功能和對應的“起飛、空中和著陸階段喪失提供所有氣壓高度（包括雙側和備用）”這一失效狀態為例對FHA在大氣數據系統中安全性設計工作中的具體應用和實施進行了闡述，后續可結合飛機交聯系統及大氣數據系統詳細技術方案開展全面和深入的大氣數據系統的全系統FHA研究，為民用飛機大氣數據系統的安全性驗證、分析、評估提供參考。

參考文獻

[1]SAE ARP 4761.Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[EB/OL]. Society of Automotive Engineers， Inc ，1996.

[2]朱巖，崔凝，戚學鋒，等. 民用飛機動力裝置系統FHA研究[J].航空科學技術，2012（2）：23-25.

[3]AC25-11A. ELECTRONIC FLIGHT DECK DISPLAYS[EB/OL].FAA， 2007.

[4]趙淑榮，羅云林. A340大氣數據慣性基準系統高度混合通道分析[J]. 電氣傳動自動化，2002，24（6）：15-17.

作者簡介：湯華（1979-），男，江蘇宜興人，工程師，碩士，主要從事民用飛機航電系統設計。endprint