功能危險分析技術在無人機研制中的應用

余敏

成都飛機工業（集團）有限責任公司

結合研制中無人機安全性設計的實踐應用，對功能危險分析技術進行研究，包括分解安全性要求、劃分飛行階段、確定失效狀態等。提出了無人機功能危險分析的具體方法，為開展無人機功能危險分析提供參考。

安全第一，保證人員和產品安全，是軍方或民用領域接受產品的首要條件，因此，在產品研制中應有效開展安全性分析工作，而功能危險分析（FHA）是整個安全性分析的第一步，是其他安全性分析的基礎。

功能危險分析是系統、綜合檢查產品功能，識別產品在各個飛行階段的失效狀態，評估其對系統產生影響后果的一種安全性分析方法。功能危險分析技術在民機設計中已廣泛引用，功能危險分析報告也是適航審定必備文件之一，因此功能危險分析技術和方法已基本成熟，且有通用的規范指導民用飛機的功能危險分析，然而在無人機研制中卻很少有應用。本文結合民機設計中的功能危險分析技術方法，探究無人機功能危險分析的主要內容，對開展其它無人機型號的功能危險分析具有一定的參考價值。

飛機功能危險分析主要內容

FHA是一個自上而下的分析方法，關鍵是確定功能失效狀態并評估其影響，一般在整機和分系統層級開展功能危險分析。飛機功能危險分析主要包括以下內容。

（1） 確定所有功能包括內部功能和交互功能；

（2） 識別功能失效狀態；

（3） 確定功能失效出現時所處的飛行階段；

（4） 分析功能失效狀態對飛機和人員等的影響；

（5） 提出符合性驗證方法。

確定功能清單

對于整機級功能危險分析，應確定與飛機相關的所有功能，包括飛機功能和與其他飛機、地面站等的交互功能。對于分系統功能危險分析，應確定與分系統相關的所有功能，包括分系統自身功能和與其他系統的交互功能。功能的確定按照如下原則執行。

（1） 先確定第一層功能，再逐步展開第二層功能的確定、第三層功能……，展開到可以明確判別失效及失效影響的層級為止，一般展開到四層功能；

（2） 確定功能時可參考相似機型的功能列表；

（3） 只針對功能展開分析工作，而不針對完成功能的具體設備或系統；

（4） 確定功能時應考慮客戶的需求；

（5） 確定功能時應征求各系統專家的意見，必要時可組織會議討論。

分析確定所有層級功能后，整理成各級功能清單，整機級功能清單示例見表1。

表1 整機級功能清單示例。

識別失效狀態

對確定的功能進行分析，確定其可能發生的所有失效狀態。通常的失效狀態有以下幾類:

（1） 全部或部分失控；

（2） 不能工作、斷續工作、部分工作、工作性能退化；

（3） 載荷、速率、剛性、延遲、振蕩等特性改變；

（4） 意外工作或指令性地工作；

（5） 錯誤的失效指示或告警；

（6） 無失效指示或告警；

（7） 錯誤的數據輸出；

（8） 不正確的數據顯示。

確定飛行階段

針對每個失效狀態，分析其可能出現的所有飛行階段。

依據飛機使用情況，結合工作經驗，對飛行階段進行劃分和定義。劃分的程度應至少體現每個功能失效的不同影響，即同一飛行階段不應有兩個影響等級。飛行階段通常主要有以下幾個階段。

（1） 地面；

（2） 起飛；

（3） 飛行中；

（4） 著陸；

（5） 所有飛行階段；

（6） 其他如應急情況。

分析失效狀態的危險影響

分析失效狀態的危險影響，應對飛機、人員、環境等產生的危險影響進行全面分析。功能失效的影響等級一般分為五個等級：災難性的、嚴重的、輕度的、輕微的、無安全影響的。

無人機和民用飛機安全性要求可能會有所不同，因此開展功能危險分析也有差別，應依據無人機研制的具體情況適當調整。但至少應對災難性的和嚴重的危險提出安全性的定量要求，具體對應關系示例可參見表2。確定影響等級應注意如下要點。

表2 危險影響等級及要求示例。

（1） 指示系統出現錯誤指示，一般比指示系統失效或出現故障的影響更嚴重;

（2） 如果同一故障在不同飛行階段對飛機產生的影響不同，則要分別列出不同的影響;

（3） 飛行員對故障情況的處理能力，應以對飛行員的基本要求為準，個別飛行員對故障的處理能力不能作為確定危害等級的重要因素;

(4) 在定義影響等級時，應明確有告警和無告警故障的危害等級是否相同。

提出符合性驗證方法

確定的失效狀態需要采用一定的方法進行分析驗證，以證明滿足其對應的安全性要求。選用驗證方法原則如下。

（1） 對于嚴重的和災難性的危險，應用故障模式、影響與危害性分析（FMECA）、故障樹分析（FTA）方法進行驗證；

（2） 對于輕微的和輕度的危險，應用FMECA方法進行驗證；

（3） 對于無安全影響的危險，不用驗證。

無人機功能危險分析示例

下文介紹無人機功能危險分析的過程示例。

確定無人機安全性要求

結合無人機的具體特點及安全性要求，因系統設計原因引起的災難性的事故概率（P）≤1×10-4次/飛行小時。參照GJB900及民航安全性要求的分解方法，確定無人機危險等級及其對應的安全性要求，安全性要求示例見表3。

確定無人機飛行階段

依據無人機各飛行過程的定義，確定功能危險分析的飛行階段，飛行階段示例見表4。

確定功能清單

根據功能確定原則、參考無人機總體技術方案對整機級功能進行確認，最終確定整機級功能清單，整機級功能清單示例見表5。

表5 整機級功能清單示例。

具體分析

在分析過程中，考慮功能所有可能的失效狀態，分析各個失效狀態在不同飛行階段對無人機、人員的危害，并根據危害程度確定影響等級。具體功能危險分析示例如表6所示。

表6 整機級功能危險分析示例表。

安全性要求

依據表3的原則確定Ⅰ、Ⅱ級的安全性要求及其關聯的系統，作為整機級初步安全性評估和系統級功能危險分析的輸入，安全性要求示例見表7。

表7 整機級安全性要求示例表。

本文以功能危險分析在無人機安全性設計中的具體應用，提出了功能危險分析的主要內容，概況了功能危險分析中各環節應考慮的主要因素，特別是提供了危險等級及對應安全性要求的確定方法，為開展相應的無人機功能危險分析提供一定的借鑒。