民用飛機運營安全性監控研究

向維

【摘 要】民用飛機安全性設計中用于適航取證的安全性數據只是理論值，還需用實際運營數據來確認或調整安全性評估中的假設。論文介紹了一種基于民機運營數據的運營安全性監控方法，建立了定性與定量評估方法、運營結果與目標值對比及采取何種措施的方法。

【關鍵詞】安全性；運營；監控

0 引言

在進行民用飛機CCAR/JAR/FAR 25.1309條款的安全性要求符合性驗證時，用于驗證的數據只能是設備供應商提供的理論數據（FMEA、FMES），或者是已有飛機項目的經驗數據。需用運營數據進行持續評估來確認或調整系統安全性評估（System Safety Assessments，SSAs）中的假設[1]，并驗證實際能達到的安全性水平。一旦出現不符合安全性目標的情況，需采取有效措施進行改進。因此，研究一套合適的民用飛機運營安全性監控方法十分重要。

1 民用飛機運營安全性監控方法

民用飛機運營安全性監控的研究思路如圖1所示。

2 定性的運營數據評估

定性的運營數據評估的關鍵在于找到SSA中所考慮的事件（失效模式、失效狀態、外部事件、狀態轉移）與運營報告中記錄的事件的關聯。

2.1 建立運營失效狀態模型

將危險性或災難性的失效狀態（FC）模型化（DD、FTA或Markov模型）。此模型由基本事件（“boxes”）和布爾邏輯組成。布爾邏輯會引發DD、FTA中的失效狀態或Markov中的系統狀態（包括已考慮的失效狀態和其狀態轉移）。基本事件指部件、設備或系統的失效模式（FMES事件）、某環境條件或運行條件（外部事件）或者其它系統故障（相關系統故障）。

2.2 評估SSA中失效狀態的完整性和邏輯性

對樣本機隊可用的詳細運營數據進行分析時需對FC的完整性和邏輯性進行分析。

a）DD、FTA：如果運營基本事件被確認與FC中已有的基本事件或者某部分有相同影響，并且未被FC覆蓋，需添加進FC中。

Markov：如果系統狀態被確認未被FC覆蓋，需添加進FC。

b）DD、FTA：如果運營經驗證明FC的布爾結構不正確，需根據情況調整FC。

Markov：如果運營中出現的狀態轉移在FC中未考慮，需添加進FC。

c）如果運營中發生的事件代表了FC的一部分（例如：子圖、子故障樹），那么用一個能描述運營事件的基本事件來代替此部分。

最終“運營”失效狀態模型命名為FC*。

注：在運營報告周期內，FC中的某些基本事件或系統狀態未發現，不應該在FC*中刪除。需進一步觀察，因為這些事件或系統狀態發生概率值低。

3 定量的運營數據評估

當運營失效狀態模型FC*建立完成，需評估基本事件發生概率（DD、FTA）或狀態轉移率（Markov）。

通常報告期為運營期1年。如果累積的運行時間和事件發生次數不足以獲得一定置信度的概率數據，需延長報告期（例如：如果某個失效模式是隱蔽的，相關的檢查間隔要大于一般的報告期）。

另一方面，選擇合適的報告期應考慮到，飛機構型更改（例如：系統改型）可能會影響事件發生概率，即較長的報告期也可能無法獲得有效的分析結果。此時還需考慮飛機和其系統的成熟度，還有運行和環境條件的影響（例如：老齡飛機、結冰……）。

而基本事件發生概率（Plow（FC*）與 Phigh（FC*））的統計方法取決于假定的概率分布函數：

a）一般情況假設事件發生概率或者狀態轉移率為與時間無關（常量）的指數分布；

b）如果事件發生分布被假設為其他分布函數，失效率與時間相關，則用極大似然法估計概率分布函數參數；

c ）如果無法確定適合的事件發生分布函數，可用指數分布估計事件發生概率，但是只是“瞬態”的，用于特定的報告期。

對產品事件發生類型的概率分布函數假設，應定期用統計測試方法進行驗證，例如：∏2檢驗或Kolmogorov檢驗。

4 重新計算失效狀態概率

用“運營”FC*模型、SAE ARP 4761描述的方法計算所分析失效狀態的兩種發生概率[2]。

5 與目標值比較

將利用運營數據計算出的災難性和危險性失效狀態發生概率與目標概率值進行對比。基于與目標值的不符合程度及飛機或系統的成熟度，為特定的失效狀態或失效狀態分類設置警告。警告等級應說明為解決與安全性目標概率偏差需采取的措施程度。

基于系統或飛機型號的成熟度考慮以下分類：

a）引入期：定義為型號飛機航線運營第1年；

b）初始階段：包括型號飛機航線運營第2年和第3年；

c）成熟階段：從型號飛機航線運營第4年開始。

5.1 告警等級定義

設置告警等級如下所示：

a）0：無需措施；

b）1：需進一步調查（如：深層次分析）；

c）2：建立調查程序，如果經濟可行，實施設計改進；

d）3：需采取即時措施，如：設計改進、運行限制、維修大綱調整。

5.2 失效狀態告警

定義每個失效狀態FC的定量目標：設PS（FC）為安全性目標，即目標概率來自CCAR/JAR/FAR 25.1309條款（通常災難性失效狀態為10-9/FH，危險性失效狀態為10-7/FH）。有時定義一個更嚴格的設計目標PD（FC）< PS（FC）。

分別比較PS（FC）、PD（FC）與Plow（FC*）、Phigh（FC*）的大小，確定不同的成熟度需設置的告警等級。

一旦安全性目標與設計目標的需設置告警等級不一致，選用最嚴酷（最大）的等級。

5.3 失效狀態分類告警

設PS（CAT）為所有災難性失效狀態的定量安全性目標（通常為10-7/FH）；PS（HAZ）為所有危險性失效狀態的定量安全性目標（通常為10-5/FH）。

對于所有的災難性失效狀態FC：Plow（CAT）=3 Plow（FC*），Phigh（CAT）=3 Phigh（FC*）

對于所有的危險性失效狀態FC：Plow（HAZ）=3 Plow（FC*），Phigh（HAZ）=3 Phigh（FC*）。

比較PS（CAT）或PS（HAZ）與Plow（CAT）、Plow（HAZ）的大小，確定不同的成熟度需設置的告警等級。

5.4 定性安全性目標告警

如果運營經驗表明，不滿足定性安全性目標（如：“單個失效不能導致災難性失效狀態”或“單個失效不能導致兩臺液壓系統喪失”），采取3級告警等級。

6 更新SSA

如果系統設計被更改或者運行包線顯著更改，則更新SSA。盡可能考慮用獲取的運營數據來計算。

即使所有的目標都滿足，也需重新發布SSA。使用基本事件發生率或者狀態轉移率重新計算的最大可接受檢查間隔，可能會放寬審定維修要求（CMRs）。

至少作為SSA的附錄，能反映運營數據評估結果，需定期發行。

7 結論

本論文基于民機運營數據介紹了安全性監控的方法，將理論安全性評估數據和實際運營數據有效結合起來，證明了方法的可行性。

【參考文獻】

[1]SAE ARP 4754A.Guidelines for Development of Civil Aircraft and Systems[S]. SAE International，2010.

[2]SAE ARP4761.Guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S].SAE International，1996.

[責任編輯：田吉捷]