民用飛機動力裝置系統PSSA研究

王厲哲

（中國商飛上海飛機設計研究院，中國 上海 200000）

【關鍵字】民用飛機；動力裝置系統；初步系統安全性評估

0 引言

在民用航空的設計研制過程中，確保飛機的安全性始終是設計方、審查方和使用方最為關注的，動力裝置系統作為飛機動力源，其安全性設計更是不容忽視。SAE ARP 4761[1-2]作為工業界中被廣泛認可的安全性評估過程參考文件，為民用飛機復雜系統的安全性分析評估過程提供了指南和方法，評估過程由功能危險性評估（FHA，Functional Hazard Assessment）、 初步系統安全性評估（PSSA，Preliminary System Safety Assessment） 和 系 統 安 全 性評估（SSA，System Safety Assessment）組成。 其中民用飛機動力裝置系統的功能危險性評估（FHA）已由朱巖等人進行了研究[3]，本文將主要研究民用飛機動力裝置系統安全性評估過程中的第二階段，初步系統安全性評估（PSSA）。并以某型飛機動力裝置系統為例，介紹其典型的案例和分析過程。

1 PSSA分析方法及過程

1.1 PSSA分析方法

PSSA是一個自上而下的分析方法，并在整個設計周期內連續迭代進行，它在SAE ARP 4754A[4]的雙“V”研制流程中屬于左半邊的確認過程（Validation）。在系統設計早期通過對推薦的系統構架進行檢查，以確定故障是如何導致FHA中所確定的失效狀態的，以及如何能夠滿足FHA中所確定的定量與定性的安全性目標與需求，同時將系統級功能危險評估中產生的系統安全性需求（概率、研制保證等級等）分配給子系統/設備，將設備級安全性需求分配到軟件和硬件，從而確定系統各層次級設計的安全性需求和目標，為系統設計與研制活動、SSA等活動提供必要的輸入[5]。

1.2 動力裝置系統PSSA分析過程

結合SAE ARP 4761指導文件，民用飛機動力裝置系統初步系統安全性評估主要包含以下方面的工作，PSSA分析過程和內部關系可參考圖1所示。

a）識別飛機級和系統級的初始安全性需求，其輸入來源包括飛機級PASA （Preliminary Aircraft Safety Assessment），動力裝置系統FHA、以及初步共因分析PCCA（Preliminary Common Cause Analysis）；

b）提出滿足初始安全性需求的設計決策，考慮包括功能冗余度、功能隔離和功能獨立性；

c）結合初始安全性需求和設計/架構決策，產生一組完整的系統安全性需求；

d）通過 FTA、DDA和MA等分析方法對安全性需求進行分析；

e）確立更低層次的安全性需求清單，包括組件級需求、軟硬件研制保證等級、對其他系統的需求、安裝需求和安全性維修需求；

f）在整個系統研制過程中，持續更新PSSA，最終得出系統安全性評估SSA。

圖1 初步系統安全性分析PSSA分析過程

2 動力裝置系統PSSA分析實例

依據上述的初步系統安全性評估方法和過程，本文將通過實例分析，介紹民用飛機動力裝置系統的系統初步安全性評估。

2.1 識別初始安全性需求

動力裝置系統的初始安全性需求可從動力裝置系統FHA和飛機級PASA中識別提取。某型飛機動力裝置系統FHA定義了包括推力喪失、推力控制能力喪失、發動機不能停車、不可控高推力、發動機主要參數喪失、反推非指令打開、未通告的反推功能失效等共計十多條影響等級在III類或以上的失效狀態，并提出了相其對應的安全性指標要求。

舉例在某型飛機動力裝置系統FHA中定義了如下需求，“在F1-F4/L階段，喪失單臺發動機停車功能的概率應小于1E-7每飛行小時”，同時在飛機級的PASA中也定義了如下相同需求 “在F1-F4/L階段，發動機不能停車的概率應小于1E-7每飛行小時”，并且對此功能分配了初步FDAL為B級。為了實現此條安全性需求，就需要檢查當前系統初步設計方案中的系統構架是如何滿足FHA的安全性指標要求，并確定哪些子系統和組件的失效會最終導致FHA頂事件的發生。

2.2 檢查系統設計構架

依據動力裝置系統發動機設計方案，發動機將設計包含有一個高壓燃油切斷閥，可通過設計于駕駛艙油門臺上的燃油切斷開關實現燃油切斷功能并最終關閉發動機。假設此時飛機上僅有此一種方式可以實現關發，那么無論高壓燃油切斷閥或者是燃油控制開關任一設備失效都將直接導致FHA頂事件的發生，因此分配給兩個設備的安全性要求都將是失效率小于1E-7每飛行小時。然而根據目前工業水平以及歷史數據分析，無論高壓燃油切斷閥或者是燃油控制開關都無法達到如此高的可靠性，因此僅有一種關發方式無法滿足頂事件安全性指標要求。

此時，動力裝置系統需要向飛機級和其他系統提出設計要求，即衍生安全性需求，例如在飛機上增加一套關斷發動機的方式從而滿足安全性指標要求。在某型飛機上，確認飛機燃油系統針對每一臺發動機還設計有一個低壓燃油切斷閥，也可通過油門臺上的燃油切斷開關單獨實現切油關發。此外駕駛艙頂部維護面板還設計有滅火開關，在遇到發動機著火等緊急情況時可超控實現發動機高壓燃油切斷閥和飛機低壓燃油切斷閥的同時關斷。由此在此設計構架下，每臺發動機具備兩個閥門兩種操作共計四種實現關發的方式。

2.3 共因分析CCA（Common Cause Analysis）

在完成如上設計構架后，還需要進行共因分析，找出潛在的獨立性要求。例如高壓燃油切斷閥和低壓燃油切斷閥的安裝，包括其設備本身和供電線纜的布置需隔離，避免由于同一區域內發生的外部事件導致兩個閥門的供電控制喪失；針對高壓燃油切斷閥和低壓燃油切斷閥的供電需相互獨立，避免由于電源系統的單點故障導致兩個閥門同時喪失關斷能力。

2.4 向下分配安全性要求

依據上述的設計構架，可繪制故障樹FTA如圖所示，并將頂事件的安全性指標向下分配，產生一組詳細到每個部件的完整的系統安全性需求，并確定軟硬件的研制保證等級 DAL（Design Assurance Level）。在此過程中，需要大量參考工程經驗和相似機型資料，以避免分配的故障率過低不符合實際工業水平，或者分配的故障率過高從而對故障樹中其余設備帶來壓力。至此，一個典型的安全性需求“在F1-F4/L階段，喪失單臺發動機停車功能的概率應小于1E-7每飛行小時”的PSSA分析就完成了。這將作為動力裝置系統系統安全性評估SSA的輸入，通過不斷的迭代，雙V流程中的確認和驗證，最終形成一個確定的可以滿足安全性要求的設計。

圖2 發動機不能停車故障樹分析

2.5 其它分析

在上述實例分析中，通過動力裝置系統PSSA分析，最后產生了包括對自身系統和其它交聯系統的要求、設備故障率的要求、針對軟硬件研制保障等級的要求、安裝要求、獨立性要求等等。

此外，在完成PSSA分析時，還可能產生相應的維修檢查要求。例如由動力裝置系統FHA中提出的安全性要求 “在T/F1-F4/L階段，反推力裝置非指令打開的概率應小于1E-9每飛行小時”，在完成如上類似的PSSA分析后，通過故障樹發現用于鎖住反推力裝置的鎖，其隱蔽故障可能最終導致頂事件的發生。為此就需要產生相應的維修檢查要求，將反推鎖納入候選審定維修項目CCMR，通過制定定期檢查計劃從而降低或排除隱蔽故障發生的可能性。

3 總結

本文在動力裝置系統功能危險性評估FHA的基礎上，進一步對民用飛機動力裝置系統的初步系統安全性評估工作進行了研究，總結了PSSA的工作方法和流程，介紹了PSSA在動力裝置系統安全性分析過程中的應用情況，通過詳細案例為后續的分析工作提供的指導和建議。