民用飛機安全性分析研究

李偉　鄭智明

摘 要：該文對民用飛機研制過程中的安全性評估過程進行了研究。在民用飛機研制過程中，安全性評估包括支持飛機研制活動的各項要求的產生和驗證，提供對飛機功能以及執行這些功能的設計進行評價的方法，以確認相關的危害被正確的提出，通過適當的安全性分析和評估方法進行驗證，并對安全性分析結果進行反饋，從而對飛機設計進行修改以及重新驗證的迭代過程。安全性評估過程對于建立系統的相應安全性目標和確定設計以滿足這些目標非常重要。

關鍵詞：民用飛機 研發過程 安全性分析 故障樹 共因分析

中圖分類號：F273.2 文獻標識碼：A 文章編號：1672-3791（2015）07（a）-0049-02

1 民用飛機安全性分析流程概述

民用飛機安全評估過程必須進行合理計劃和有效管理，并貫穿于系統研發的整個過程，從飛機概念設計階段開始，提出相關的安全性需求，對設計過程進行指導和評估，修改設計，再評估，交互迭代進行，最終以證明設計能滿足安全性需求而結束。

安全性評估必須考慮所有失效狀態，以及產生失效狀態的失效組合。綜合系統的安全性評估同時要考慮到系統綜合產生的任何額外的和關聯性。圖1給出了安全性評估的過程以及方法，上部為研制周期時間線，下部表明安全性評估過程相對研制過程的關系。

在研制周期開始時進行危險性評估（FHA），對系統功能和功能組合相關的失效狀態并進行分類。進行FHA的目的在于明確識別每一失效狀態以及分類理由，并將FHA的輸出作為初步系統安全性評估（PSSA）的起始點。

PSSA對設計的系統構架進行檢查，以確認失效造成FHA中定義的功能危害方式。PSSA的目的是建立系統的安全性需求并確認可滿足FHA中定義的安全性目標的設計架構。

系統安全性評估（SSA）是對系統安全性的全面的評估，以表明系統安全性可滿足FHA中定義的安全性目標以及PSSA中定義的衍生安全性要求。

共因分析（CCA）應通評估系統對共因事件的敏感度，支持系統架構以及相關系統架構的研制。這些共因事件通過完成特定風險分析，區域安全性分析和共模分析進行評估。共因分析的結果將輸送到PSSA和SSA中。

當系統級SSA的結果相對于系統級和飛機級FHA被驗證時，系統級安全性評估過程便結束。

2 民用飛機安全性分析流程

系統安全性分析工作是將由飛機級向下分解與由系統/設備級向上反饋兩個過程相結合不斷迭代完成的。飛機級安全性計劃從管理的角度明確了飛機級安全性分析的流程、步驟和具體方法，一方面對飛機級的安全性分析工作（FHA/PSSA/SSA）提出了要求，另外一方面作為系統級安全性項目計劃的輸入文件，為系統級安全性項目流程和方法提供依據。

系統級的主要分析工作由FHA/PSSA/SSA三部分組成，FHA主要明確系統級的失效狀態和失效狀態的安全性影響等級；PSSA主要以系統的架構為基礎，將FHA中定義的失效狀態以及失效狀態的安全性等級以故障樹的形式向下分解到子系統或者設備；SSA根據子系統或者設備的固有安全性指標，按照系統確定的架構的邏輯關系由下向上進行安全性指標驗算，將驗算的指標與失效狀態的頂層要求進行對比，如果系統的設計指標能夠滿足頂事件相應的安全性等級要求，則證明該系統架構符合安全性設計要求。如果系統的設計指標不能滿足頂事件相應的安全性等級要求，則需要對架構進行相應的調整、優化，隨后再將上述整個過程進行循環迭代，直到系統的設計指標滿足頂事件的安全性要求為止。

2.1 功能危險性評估（FHA）

功能危險性評估是一個自上而下的分析方法，FHA是系統安全性評估的頂層文件，主要目的是確定功能及其失效狀態并評估其影響。FHA的輸出是安全性要求產生和分配的起始點。

飛機級FHA對飛機基本功能進行的評估，確定飛機級功能相關的失效狀態并進行分類，建立飛機必須滿足的安全性要求。系統級的FHA也定性評估，這種評估實質上也是不斷迭代更新的過程，應隨著系統設計的逐漸進展而變得明確和固定。系統級FHA考慮影響飛機功能的失效或失效組合。每個組件的研制保證等級取決于系統或組件相對系統所執行的功能產生的失效影響。

在設計過程中，將飛機功能分配到飛機各個系統后，綜合了多重飛機功能的每個系統必須使用系統級FHA過程重新檢查。對特定硬件或軟件項目的評估不是系統級FHA的目的，但如果分離的系統或子系統使用相似的構架或相同的復雜部件，并且引起附加的系統級故障條件，則應對系統級FHA進行更改以包含它們并對其進行分類。

2.2 初步系統安全性評估（PSSA）

各系統的初步系統安全性評估（PSSA）在各系統級FHA文件的基礎上進行。PSSA初步建立了系統安全要求并且確定了系統架構能夠滿足在FHA中提出的安全目標。同時，在系統PSSA的分析評估工作中，也進一步驗證FHA中的功能危險等級，隨著詳細設計的開展，系統級FHA還將不斷更新。

PSSA是整個研制過程中的一個迭代分析過程，它是開始于設計階段的初期，將飛機功能及其要求分配到系統級的過程。然后，將系統級要求分配到組件，最后將組件要求分配到硬件和軟件。

PSSA應從系統FHA中識別出對失效狀態有貢獻的失效。可使用FTA分析或其它方法來識別導致失效狀態可能起什么用的因素。在PSSA中應包含硬件失效和可能的硬件/軟件差錯，以及由共因產生的故障，以表明它們所起的作用以及衍生必要的系統和組件安全性要求。應仔細考慮可能的潛在故障和其相關的暴露時間。

系統級PSSA過程有兩個主要輸入，即飛機FTA和系統級FHA。飛機FTA確定關注的功能失效。系統FHA給出下一步所需的失效狀態和分類。共因分析（CCA）對飛機FTA作補充，以產生用于系統FTA的頂層失效影響。CCA還建立系統要求，諸如需要由系統設計實施的功能冗余度、功能隔離和功能獨立性。

系統級初步安全性評估（PSSA）是對系統架構進行核查，以確定失效導致由FHA所定義的危險性，以及如何滿足FHA的要求。PSSA過程與設計定義相互作用迭代并完成更新。

2.3 系統安全性評估（SSA）

系統安全性評估是對所實現的系統進行系統性的綜合評價，用來檢驗系統、結構和安裝滿足相關的安全性要求。系統安全性評估過程與PSSA的活動相似但是范圍有所不同，PSSA是評價所提議的構架并導出系統/組件安全性要求的方法；而SSA是綜合各種分析結果，以驗證所實現的系統滿足在FHA和PSSA中所定義的定性和定量的安全性要求。系統安全性評估過程包括以下內容：（1）檢驗在系統級FHA中建立的安全性要求被滿足；（2）確認與驗證建立的飛機級失效狀態影響等級是合理的；（3）檢驗在飛機級安全性要求和目標中強調的、或者從飛機級安全性要求和目標中得到的安全性要求被滿足；（4）檢驗在CCA過程中識別的設計要求被滿足。

3 安全性分析方法

3.1 故障樹分析（FTA）

故障樹分析是一種自上而下的分析技術。這些分析通過依次展開更詳細（低一級）的設計層次向下進行。

當確認FHA中的故障狀態后，可將FTA用作PSSA的一部分，以便確定在可能導致每個失效狀態的較低層面上存在的（如果有的話）單一失效或失效的組合。當執行FMEA/FMES時，應完成一種比較，以確保識別的所有重大影響在FTA中作為基本事件。FTA的基本事件從FMEA和/或FMES得到它們的失效率。

3.2 失效模式和影響分析（FMEA）

FMEA是一種系統性的自下而上的分析方法，用來識別系統、組件或功能的失效模式并確定對更高層次的影響，可以在系統內任何層次（例如零部件或功能等）上執行。使用功能FMEA方法，也可對軟件進行定性分析。通常，FMEA用來闡明單一失效所引起的失效影響。

3.3 失效模式和影響摘要（FMES）

FMES是對產生相同失效影響的各單一失效模式進行的編組（即一個特有的失效影響具有一個單獨的失效模式組）。可由制造商、系統綜合商或設備供應商的FMEA匯編而成FMES。此外，FMES應與用戶協調，以充分論及更高層次FMEA和/或系統安全性評估FTA的輸入需求。

3.4 共因分析（CCA）

可以要求功能、系統或組件這間的獨立性，以滿足安全性要求。因此，有必要確保這種獨立性的存在或確認與獨立性相關的風險是可以接受的。共因分析（CCA）提供工具驗證這種獨立性或識別具體相關性的方法。

參考文獻

[1] SAE ARP4761 GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT，SAE，1996.

[2] SAE ARP4754 GUIDELINES FOR DEVELOPMENT OF Civil Aircraft and System，SAE，1996.

[3] 25.1309-1A System design and Analysis，FAA，1988.