民用飛機高升力系統設計中安全性評估方案研究

張光炯，孫軍帥

(航空工業慶安集團有限公司 航空設備研究所，西安 710077)

0 引 言

隨著航空航天技術的不斷發展與進步，民用飛機的設計和制造越來越復雜，而伴隨著系統工程及適航理念的不斷深入，飛機及其系統的高安全性也得到了生產制造商和使用運營方的更多關注[1-2]。如何在產品設計之初得到輕量化、經濟性與安全性的最佳權衡結果，是飛機及系統安全性分析的重點之一[3-4]。

某民用飛機根據其應用場景分析，配置有高升力系統，按照駕駛員的機械操縱指令，實現襟翼的自動偏轉控制，改善飛機起降時的升阻力系數[5]；同時按照適航需求，系統應具備必要的故障監控告警和保護功能，以達到高安全性的目標[6]。SAE ARP4761提出了復雜系統的安全性設計評估方法[7]，在產品設計之初實現對系統架構評估、關鍵因素識別、潛在失效及過高的失效組合概率評定，通過進行改進設計，在保證安全性的基礎上降低產品的研制成本及試驗驗證成本。

國內已有學者按照安全性評估方法從飛機整機級開展了設計研究，從控制邏輯、指標分配、軟件設計等方面進行了分析[8-10]。同時也有技術人員依據ARP4761的要求，對飛控系統及高升力控制系統開展了故障監控、隱蔽失效分析、馬爾可夫方法應用等方面的研究[11-13]，對電氣線路互聯系統(Electrical Wiring Interconnection System，簡稱EWIS)及航電系統開展了指標分析及安全性評估實施研究[14-15]。但尚未有在高升力系統架構設計階段尋找關鍵因素并提升安全性目標的相關研究。

因此，本文著重對此開展工作，以某型高升力系統為研究對象，基于民用飛機系統安全性設計評估的思路和方法，通過對某一典型的失效工況進行分析及關鍵因素識別改進，得到能夠滿足安全性目標的系統方案。

1 系統安全性評估思路

民用飛機系統安全性評估是全壽命周期設計過程的一部分，包含有系統安全性分析和驗證兩項工作，評估工作分別從定性和定量兩方面進行。系統安全性分析從頂層開始研究，逐層向下分析確認。首先通過對系統失效形式進行梳理，識別系統風險點和危險源；然后通過對失效影響的評估，確定每個失效狀態的嚴酷度；最后按照失效成因和機理，將系統安全性指標分配到部件級和軟硬件級。系統安全性驗證基于底層部件/軟硬件的故障率數據，從底層開始，根據相應的邏輯關系(與/或)逐層向上計算分析驗證[1,7]。

按照ARP4761所述，復雜系統的安全性分析過程主要包括以下步驟(如圖1所示)：

(1) 了解復雜系統的基本功能和設計目標；

(2) 梳理系統功能清單，識別各功能可能存在的失效工況；

(3) 運用系統功能危害性分析方法(SFHA)，識別所有失效功能的嚴酷度、安全性設計目標以及驗證方法和證明資料；

(4) 運用故障樹分析(FTA)方法或馬爾可夫方法等，對安全性指標進行分配，同時結合經驗值確認故障樹分配結果的指標分配是否合理，針對底事件中無法滿足分配的指標，可作為影響系統安全性設計的關鍵因素，并按照其改進難易程度提出改進要求；

(5) 通過特定危險分析(PRA)和區域安全分析(ZSA)，確定單點故障消除、安裝區域識別、操作維護使用等要求。

圖1 系統安全性分析流程圖Fig.1 Flow chart of system safety analysis

根據AC25.1309-1A及ARP4761中給出的規定方法，每個失效工況需從 “對飛機功能性能實現”“機組人員執行任務能力”及“乘客舒適度和生命安全”三個方面進行評估，確定其嚴酷度等級。每個級別的安全性指標至少應滿足的要求如表1所示[6-7]。

在進行復雜系統安全性驗證工作前，需要根據系統所含各部件及其零組件/軟硬件的安全性預計結果，根據故障樹的邏輯分析思路，從底向上進行系統安全性設計指標符合性驗證。由于災難級(Ⅰ類)和危險級(Ⅱ類)失效工況的影響后果較為嚴重，因此著重對這兩類失效工況進行安全性驗證，對于重大的(Ⅲ類)和輕微的(Ⅳ類)失效工況，可通過故障模式影響分析等文件進行驗證確認。

表1 各嚴酷度等級的安全性要求值

2 基于安全性分析的高升力系統設計

2.1 基于FHA的系統安全性需求識別

根據高升力系統的應用場景，系統的主要功能為實現襟翼收放功能，同時具備襟翼不對稱運動故障監控及保護功能。由于在起飛或降落時，飛機會由于左右襟翼不對稱而產生較大的翻滾力矩，一旦不對稱超過預設門限，駕駛員將難以操控飛機安全飛行，因此按照AC25.1309-1A，該失效模式的影響等級為Ⅰ類，其安全性設計目標為發生概率≤1×10-9/FH(飛行小時)，如表2所示。

表2 系統功能危害分析結果

2.2 基于安全性設計目標的系統設計

為了實現高升力系統襟翼同步收放，系統配置了集中式動力驅動裝置，由其帶動兩側的傳動線系帶動襟翼收放。同時，為了保障傳動線系斷裂時能夠實現不對稱運動狀態監控及保護，高升力系統配置了襟翼控制計算機、翼尖位置傳感器和翼尖制動器進行故障監控及保護，其架構如圖2所示。

圖2 滿足不對稱保護要求的系統架構Fig.2 System architecture meeting the asymmetry protection requirement

2.3 基于FTA的安全性設計要求分配

“襟翼不對稱運動過限”在起飛和降落階段是災難級失效工況，以此為例進行故障樹分析，確定部件的安全性設計目標。

(1) 以“襟翼不對稱運動過限”為頂事件，從功能的角度進行故障成因分析(主要由于傳動線系斷裂或作動機構傳動軸斷裂出現左右不對稱運動，同時系統喪失不對稱保護功能)，構建的故障樹如圖3所示。

(2) 對頂事件的安全性設計指標(即不大于1×10-9/FH)進行分配。基于故障樹的指標分配通常進行兩輪，第一次分配主要是平均分配，即采用“與”邏輯的下層級事件設計指標是上層級設計指標的均方值、采用“或”邏輯的下層事件設計指標是上層級設計指標的均分值。

“或”邏輯指標分配模型

(1)

“與”邏輯指標分配模型

(2)

式中：F為故障樹中某一層事件第一輪指標分配值；Xi,Yi分別為故障樹中該層事件的上一級和下一級事件；i為某層第i個因素；n為該層因素的數量總和。

第一輪指標分配后，由于底事件結構類型、產品復雜度、技術成熟度等因素，均分的指標會增加設計難度和研制成本，因此需要對某些底事件的指標值進行適當調整，使得故障樹中所有底事件均有較為合理的設計指標。

(3) 根據上述思路對“襟翼不對稱運動過限”失效工況采用故障樹進行指標分配和調整，結果如圖3和表3所示。

圖3 “襟翼不對稱運動過限”故障樹(需求分配)Fig.3 Fault tree allocation for “flap asymmetry motion over limit” according to requirement allocation 表3 “襟翼不對稱運動過限”安全性設計要求 Table 3 Safety design requirement for “flap asymmetry motion over limit”

編號失效工況描述目標子集特點FC01-301左右側傳動線系扭力管斷裂≤5E-6機械部件(失效率低、數量多)FC01-302左右側傳動線系傳動軸斷裂≤5E-6機械部件(失效率低、數量多)FC01-303左襟翼位置傳感器電氣故障≤5E-6簡單電氣部件(失效率低)FC01-304右襟翼位置傳感器電氣故障≤5E-6簡單電氣部件(失效率低)FC01-305襟翼控制計算機故障監控電路故障≤4E-5復雜電子部件(失效率高、元器件復雜)FC01-306襟翼控制計算機故障保護電路故障≤4E-5復雜電子部件(失效率高、元器件復雜)FC01-307左側翼尖制動器制動機構故障≤5E-6機械部件(失效率一般)FC01-308右側翼尖制動器制動機構故障≤5E-6機械部件(失效率一般)

3 基于安全性評估的高升力系統初步驗證

3.1 基于部件初步預計結果第一輪驗證

以2.3節構建的故障樹為平臺，運用布爾運算法則，從底向上計算故障樹中各元素的失效概率(底事件的失效概率主要依據其所含零組件或電子元器件的配套數量、使用環境、質量等級、結構特點等因素，采用零部件計數法或修正系數法進行各失效模式的計算分析)，預計結果如表4和圖4所示。

表4 “襟翼不對稱運動過限”安全性設計結果

圖4 “襟翼不對稱運動過限”故障樹(指標驗證)Fig.4 Fault tree allocation for “flap asymmetry motion over limit” according to requirement verification

3.2 系統關鍵因素及改進措施

從圖4可以看出：當前“襟翼不對稱運動過限”的設計結果為1.209×10-9/FH，不滿足安全性設計目標。從指標符合性表可得：造成系統不滿足安全性設計目標的關鍵因素主要為傳動線系斷裂以及襟翼控制計算機的功能喪失。這兩個因素的特點及改進方法權衡如下：

(1) 傳動線系中單個傳動桿/傳動軸的機械斷裂失效率不高(約為10-7次/FH)，但由于傳動線系中配套數量較多，導致該因素總的失效率占空比上升。

(2) 襟翼控制計算機自身為復雜電子部件，其中實現故障監控及保護功能的電路包含有很多不同型號、不同規格的繼電器、二極管等，且不同質量等級的器件失效率不同，數量和高失效率最終引起該因素權重比較大。

參考國外系統安全性設計的方法和思路[7]，提高產品安全性的方法包括余度設計、提高質量、監控檢查等。針對失效因素及失效特點，各改進措施的可實施情況如表5所示。

表5 引起系統安全性不滿足要求的因素

3.3 基于改進方案的系統安全性迭代驗證

按照系統提供的方法，綜合考慮飛機結構布局、使用環境、系統重量、可靠性及成本等因素，對襟翼控制計算機監控電路部分器件進行余度設計，同時將保護電路中部分關鍵器件進行高質量等級元件替換。經產品第二輪迭代分析，“襟翼控制計算機故障監控電路故障”的發生概率由5.3×10-5次/FH降低為3.6×10-5次/FH；“襟翼控制計算機故障保護電路故障”的發生概率由4.9×10-5次/FH降低為4×10-5次/FH(依據GJB299C《電子設備可靠性預計手冊》“元器件應力分析可靠性預計法”進行計算，得到其故障發生概率結果)。

按照更新后的數據對“襟翼不對稱運動過限”重新進行迭代驗證，結果如圖5所示。

圖5 “襟翼不對稱運動過限”故障樹(指標迭代驗證)Fig.5 Fault tree allocation for “flap asymmetry motion over limit” according to requirement iteration verification

從圖5可以看出：通過對襟翼控制計算機的適當改進設計，當前高升力系統“襟翼不對稱運動過限”的發生概率為9.288×10-10/FH，能夠滿足小于等于1×10-9/FH的安全性定量要求。

4 結 論

(1) 本文運用民用飛機機載復雜系統安全性評估思想和方法，對高升力系統進行安全性定量評估，對系統安全性薄弱環節進行識別，綜合考慮飛機布局、系統重量及可靠性等因素，對薄弱環節進行改進，得到了滿足安全性設計目標的設計方案。

(2) 民用飛機系統安全性評估方法在高升力系統設計中的應用，使得高升力系統提前識別出電子控制設備這一主要薄弱環節，通過對其進行余度設計和質量提升，有效提高了高升力系統的安全性水平。

(3) 本文僅對某一典型的失效工況進行了分析及關鍵因素識別改進，若要得到最優的系統設計方案，還需進行其他失效工況的安全性評估分析以及與可靠性、重量等因素的綜合權衡。