民用飛機電源系統安全性評估SSA研究

郭祺君

【摘 要】本文對民用飛機的電源系統安全性評估工作進行了介紹，結合SAE ARP4761的要求和電源系統的研制特點，歸納總結了安全性評估流程。

【關鍵詞】民用飛機；電源系統；系統安全性

中圖分類號： V242.2 文獻標識碼： A 文章編號： 2095-2457（2017）29-0076-002

【Abstract】The article briefly describes the system safety assessment of Electrical Power System in civil aircraft. According to the guidelines and methods from SAE ARP4761， combining the specialcharacteristic of Electrical Power System Development， the system safety assessment procedure is summarized and studied.

【Key words】Civil Aircraft； Electrical Power System； System Safety Assessment

0 引言

民用飛機電源系統安全性評估（SSA）過程是飛機機載電源系統安全性評估工作的一部分，是對飛機的電源系統進行系統性綜合評價的過程，用以檢驗電源系統的結構和安裝滿足相關的安全性需求，同時，根據ARP4761綜合各種安全性分析的結果，以驗證電源系統的設計滿足之前功能危險性評估和初步安全性評估在中所定義的定性和定量的安全性需求，達到對民用飛機適航條款CCAR25.1309的符合性。

1 電源系統安全性評估工作概述

電源系統安全性評估工作包括三大過程：功能危險性評估（FHA）、初步系統安全性評估（PSSA）和系統安全性評估（SSA），他們的關系如圖1所示：

電源系統FHA過程是用來確定電源系統的失效狀態，并且評估失效狀態的嚴重程度，從而確定安全性目標；電源系統PSSA過程是通過定性和定量的分析制定FHA中失效狀態的緩解措施，根據措施設計系統構架、安裝等。電源系統SSA過程是對FHA過程和PSSA過程的驗證，確認PSSA中緩解措施的有效性，同時驗證緩解措施的實施。

這三個過程是可以不斷地迭代進行，如果在任一個評估過程中發現了不符合項，則需要進行系統的設計更改工作，在設計更改完成后要再次進行系統安全性評估工作。

本文主要介紹電源系統SSA過程。

2 電源系統安全性評估的目標

電源系統安全性評估（SSA）的目標包括以下內容：

（1）驗證在電源系統級功能危險性評估中所建立的安全性需求被滿足；

（2）確認電源失效狀態影響等級的建立是合理的；

（3）驗證由設計要求和目標引出或衍生的安全性需求被滿足；

（4）驗證在CCA過程中識別的設計需求被滿足。

3 電源系統安全性評估過程

根據ARP4761，綜合機載系統，包括電源系統的安全性分析和設計階段的關系如下圖2所示：

SSA過程在飛機研制的系統驗證階段進行，主要由故障樹分析（FTA），共因分析（CCA），故障模式分析（FMEA），故障模式總結（FMES）及其他能夠支持軟硬件研制保證等級的證據組成。對于軟件，一般使用DO-178C程序來驗證軟件研發能夠達到所要求的研制保證等級，對于復雜電子硬件，一般使用DO-254來驗證軟件研發能夠達到所要求的研制保證等級，對于綜合模塊化航電系統，則使用DO-297來驗證。

3.1 故障樹分析（FTA）

FTA是在系統設計過程中，通過對可能造成系統故障的各種因素（包括硬件、軟件、環境、人為因素等）進行分析，形成邏輯框圖，從而確定系統故障原因和各種可能的故障組合方式及其發生概率。在具體分析過程中，一般會采用商用軟件進行故障組合的計算，提高故障樹的分析效率。

在系統設計的PSSA過程中，FTA是從上而下的逐級分解過程，將FHA中定義的功能失效狀態及失效概率要求根據經驗，初步的設計架構，系統性地確定系統功能塊的所有的單個故障以及失效組合，向下展開分析，直到最底層的基本事件。

而在SSA過程中，驗證人員應結合FMEA和FMES的故障失效模式，從FTA的底部事件向上根據邏輯分析計算，驗證在設計完成后的安全性指標滿足電源系統級功能危險性評估中所建立的安全性需求。

在電源系統FTA故障樹分析中，值得注意的是，由于現代民用飛機多采用多通道冗余供電，比較典型的例子是左供電通道、右供電通道和應急供電通道。根據設計原則并考慮經濟性，一般左右通道采取相似設計，應急供電通道獨立于左右供電通道，而且還采取非相似性設計，驗證FTA時應考慮左右供電通道的共因因素，考慮通道組合失效的概率計算。

在一般的民機電源系統安全性分析中，采用FTA方法為主流方式，且市面上支持FTA分析的軟件應用較為廣泛。作為演繹性的失效分析法，FTA也可以被相關圖（DD）和馬爾科夫分析（MA）替代。

3.2 故障模式分析（FMEA）

FMEA是一種系統的，由下而上地識別系統、單元與功能的故障模式并確定其對上層影響的方法，既是定性的也是定量。FMES是FMEA分析中具有相同影響的較低層次的失效模式的總結，用以支持在系統級FTA中考慮的對應故障模式的故障率。FMES是FTA/CCA等其他分析的輸入。

3.3 共因分析（CCA）

共因分析是對共因失效進行定性和定量分析的工具，用來檢驗系統間是否滿足獨立性的需求，分析共因失效條件下系統失效的概率。共因分析包括單個故障模式和一些外部事件，這些事件能引起災難性的或非常驗證的失效狀態的后果。對于災難性的失效狀態后果，這些共因事件必須杜絕；而對于危險的失效狀態后果，這些共因事件發生的概率必須控制在給定的概率范圍之內。共因分析包括區域安全性分析、特殊風險分析、共模失效分析。endprint

3.3.1 區域安全性分析（ZSA）

電源系統區域安全性分析，主要是根據飛機區域的劃分，對每個區域內的電源系統設備及接口在飛機上的位置進行分析和檢查，評定在故障和無故障情況下各系統潛在的相互影響，以及系統安裝存在的固有危險的嚴重程度。電源系統將最終的區域安全性分析結果反饋給全機，再由飛機級的安全性分析來防止不正常時間或限制不正常時間發生的概率，保證飛機各系統之間的相容性和完整性。

3.3.2 特定風險分析（PRA）

特定風險分析是指與電源系統或產品外部的事件和影響相關，且可能破壞功能或故障獨立性聲明的風險，如火災、鳥撞、輪胎爆破、閃電、高強度輻射場、液體泄漏等。電源系統的特定風險分析主要是分析電源系統外部的事件或因素對電源系統的影響，對可能產生的功能失效進行分析和評估。

特定風險分析時是不考慮多種風險同時發生的情況，是以風險類型為單位進行的專項評估，但在每種風險的分析過程中應評估該風險可能引起其它風險發生的可能性，并采取有效防護措施。

在一般的民機電源系統設計中，應能夠保證在任一特定風險下不會造成電源系統一類的失效狀態，同時造成的二類失效狀態是極少的，或者可保護的。

3.3.3 共模分析（CMA）

共模分析主要用于驗證故障樹分析中“與門”下時間是否相互獨立。CMA必須分析對系統部件獨立性有影響的設計、制造、維修錯去以及故障狀態，還必須考慮功能的獨立性。通過CMA的定性分析，從軟硬件、制造、安裝、環境以及外部因素等各方面考慮與門輸入時間是否相互獨立，可以得到FTA中與門輸入時間滿足獨立性需求的證明材料。如果CMA的定性分析無法證明FTA與門的輸入時間滿足獨立性需求時，需用CMA定量分析方法來計算共模故障條件下與門輸出事件的發生概率，進而求的故障狀態的發生概率，以驗證其是否滿足FHA中規定的安全性需求。在實際的運用中，也可以用試驗的方法來對共模故障進行檢測以達到檢驗獨立性需求的目的。

3.4 軟硬件研制保證等級

在現代民用飛機的電源系統設計中，由于電控技術的廣泛使用，越來越多的功能采用軟件或者復雜電子硬件來實現，因此FTA中會包含軟件或復雜電子硬件的事件。而軟件和復雜電子硬件的錯誤發生是隨機的，不同于硬件失效，這些概率不可能用定量值來表示。因此，一般借助預防軟件錯誤的研制保證，從定性的角度上來滿足對分析的符合性。業內一般使用工業標準DO-178C來驗證軟件研發能夠達到所要求的研制保證等級；對于復雜電子硬件，一般使用DO-254來驗證軟件研發能夠達到所要求的研制保證等級。

3.5 系統的運行限制

隨著研制狀態的進展，電源系統在飛機研制的各個階段，如首次滑行、首次飛行、轉場飛行、取證試飛等階段，可能存在不同的設備構型，因此可能會產生不同的運行限制，在每階段的或者每架機的安全性分析報告中，都應該對系統的運行限制進行說明，以明確系統安全性分析的限制。

3.6 電源系統非正常和應急操作程序

系統的非正常和應急操作程序包括故障導致的報警信息、故障原因、故障影響，以及飛行機組對故障的隔離和糾正的邏輯，是否有級聯或并發的故障，及相關的應急和非正常程序。

3.7 安全性需求確認和驗證

系統的安全性需求的確認和驗證工作是用來確保電源系統安全性需求的正確性和完整性，以達到安全性評估工作的閉環。主要評估需求是否能正確的反映了安全性分析，并且是否包含了所有由安全性評估產生的衍生需求。

需求確認過程中的嚴酷度應根據安全性評估過程中分配和確認的系統和設備研制保證等級確定。對于衍生需求，應該從安全性的角度，逐步在各較高系統層級中檢查，直至確定影響消失為止。

3.9 電源系統維護需求和驗證

電源系統的維護需求和驗證分析是在電源系統功能危險分析的基礎上，通過FMEA得出電源系統存在的潛在失效事件，同時在電源系統的災難級或危險級故障樹中提取相關的潛在失效事件對其進行分析后，得出電源系統的CCMR項目。CCMR任務時間間隔通過電源系統故障樹（FTA）計算得出。

3.10 MMEL建議/程序

電源系統進行安全性評估時已考慮最嚴酷的情況，即考慮已有設備失效的MMEL可派遣情況。應確保在此基礎上完成的安全性評估，仍然是滿足各失效狀態的安全性需求。應通過分析說明在MMEL派遣情況下，電源系統安全性水平仍能滿足相關安全性要求。

4 結論

本文對電源系統的安全性評估（SSA）工作進行了說明，可供民用飛機電源系統安全性工作使用。

電源系統的安全性評估工作是一個迭代的過程，對每一個PSSA過程都應當有一個SSA過程進行支撐和驗證，同時對于同一型號但電源系統構型存在差異的每一架機，也會存在不同的SSA過程。任何在安全性評估工作中發現的不符合項目，都必須反饋到電源系統設計層面，重新進行設計更改和分析工作，然后對設計更改后的構型進行再一次的SSA分析過程。

【參考文獻】

[1]SAE ARP4761 GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT.

[2]中國民用航空規章第25部運輸類飛機適航標準.endprint