安全性評估流程在現役飛機維修中的應用研究

朱林寰 安磊 韓梁 錢玉生 汪建華/

1 國營蕪湖機械廠 2 空軍研究院航空兵研究所 3 中國航空綜合技術研究所

0 引言

目前，國際主流的全壽命周期飛機安全性評估流程與方法已經成熟并不斷發展，具體體現在SAE ARP 4754A《民用飛機和系統研制指南》、SAE ARP 4761《民用機載系統和設備安全性評估過程指南和方法》、SAE ARP 5150《商用運輸飛機安全性評估指南》及SAE ARP 5151《商用通用類飛機和旋翼類飛機的安全性評估指南》等工業標準中，能夠在飛機研制過程中識別飛機整機和系統架構及詳細設計中存在的缺陷，并反饋給設計人員，幫助其完善設計[1]。飛機系統安全評估是對系統存在的危險進行定性和定量的分析，得出系統發生危險的可能性及對其程度的評估，以尋求最低事故率、最少損失和最優安全投入收益[2]。這種流程和方法針對整機、系統功能和架構以及詳細設計待定的對象，是隨著整機和系統設計階段性深入而階梯開展工作的。這種方法也可用于在研制階段未應用安全性評估流程和方法設計的飛機維修，其具體的工作項目大致相同，但各個工作項目的目標和輸入、輸出等與研制階段的安全性評估工作項目存在差異。本文基于飛機研制過程中使用的安全性評估流程與方法，研究提出一種適用于功能、構型、系統詳細設計均已確定的現役飛機機載系統維修質量安全風險識別與防控的思路和方法，可作為維修企業提升飛機維修質量安全水平的參考。

1 研究背景

現役的部分國產飛機在研制階段尚未應用國際主流的安全性評估流程和方法，且限于研制指標等要求，客觀上存在不少因單點故障導致飛行事故、飛行事故征候的問題，給維修企業帶來了嚴峻的挑戰。尤其是飛機維修前，維修企業無法全面掌握飛機存在哪些單點故障可能導致飛行事故、飛行事故征候，維修質量安全工作難以抓住重點。根據對部分歷史事故征候及以上重大問題的梳理分析，很多導致事故發生的故障點是可以通過科學評估方法予以識別的，如果在飛機維修前開展安全性評估工作，并充分利用歷史故障及歷史數據，可以提前識別飛機的維修安全風險點，掌握關鍵部附件修理技術要求，并在維修中制定防范措施，降低經修飛機發生不安全事件的概率。

2 總體研究思路及方案

總體研究思路為：以維修為對象，應用飛機研制過程中使用的安全性評估流程和方法，以飛機功能、構型為基礎，以歷史飛行事故、事故征候和故障數據為參考，進行全壽命周期的飛機安全性評估流程與方法梳理，開展飛機機載系統安全性關鍵部附件及關鍵故障模式識別流程和方法、安全性關鍵部附件內零組件級關鍵故障模式識別方法、安全性關鍵部附件的修理技術要求識別方法等研究。

總體研究方案為：在飛機研制階段的安全性評估流程和方法的基礎上，綜合采用系統級功能性危險分析（FHA），考慮系統所有功能、所有功能失效模式、危險組成部分、具有冗余或者被冗余影響的系統、系統正?；虍惓９ぷ鳡顟B、外部因素、人為因素等[3]，采用FTA、FMEA 等分析方法，建立適應于維修的安全性評估方法和流程（見圖1）。

3 研究內容

3.1 飛機機載系統安全性關鍵部附件及關鍵故障模式識別流程和方法

為有效防范維修質量問題導致飛行事故征候等不安全事件，首先要識別出飛機上存在哪些部附件的哪些故障模式可能導致飛機發生飛行事故征候及以上問題。參照研制階段的飛機安全性評估流程和方法，對各個工作項目的目標和輸入、輸出進行適應性調整。例如，研制階段的“飛機級初步安全性評估工作（PASA）”是一項用于評估飛機級功能分解的合理性，初步判斷功能架構設計能否滿足整機級安全性要求，并向各相關系統分解傳遞安全性要求的工作[4]。而對于已經定型的飛機，該項工作的目的是識別各個系統中存在的可能導致I類和II 類飛機級功能失效的有關系統功能失效狀態，將其稱為“飛機級故障樹分析（AFTA）”更為合適。

圖1 適用于維修的安全性評估方法和思路研究流程圖

圖2 全壽命周期的飛機安全性評估流程

因此，需要研究制定一個流程和方法，針對功能、構型均已確定的飛機，全面、準確地識別出存在哪些部附件的哪些故障模式可能導致飛機發生飛行事故征候及以上問題，并在此基礎上采取措施。這些部附件稱為“安全性關鍵部附件”，其可能導致飛行事故征候及以上問題的故障模式稱為“安全性關鍵部附件的關鍵故障模式”。

基本的研究流程是以飛機研制階段的安全性評估流程和方法為基礎，逐一分析其中各工作項目的目的、輸入和輸出以及采用的方法等要素，對比已經確定功能、構型和系統詳細設計飛機的情況，研究提出針對在役飛機的機載系統安全性關鍵部附件及關鍵故障模式識別流程和方法。

3.2 安全性關鍵部附件內零組件級關鍵故障模式識別方法

在識別出安全性關鍵部附件可能導致飛行事故、事故征候問題的關鍵故障模式基礎上，研究識別可能導致這些故障模式的部附件內零組件故障模式的方法。這些零組件級故障模式稱為“零組件級關鍵故障模式”。

基本的研究流程是采用故障模式及影響分析（FMEA）方法，以安全性關鍵部附件的關鍵故障模式為目標，以部附件的功能、工作原理和詳細構造為對象，分析哪些零組件的哪些參數、工藝等偏差因素可能導致這些結果，形成一個完整的零組件級關鍵故障模式識別方法。

本項研究工作結合上述第3.1 節中的研究內容，可建立起零組件級故障模式與部附件故障模式，直至與飛機頂層功能失效發生飛行事故征候及以上問題的邏輯關系，為正向提出部附件修理技術要求、準確有效地防控維修質量安全風險奠定基礎。

例如，影響起落架收放系統工作性能的關鍵產品包括控制輸入部件起落架收放手柄、液壓電磁開關、兩用活門以及收放作動筒等，影響這些關鍵產品性能的因素包括收放手柄的積炭、電磁開關插頭斷針、轉換閥芯磨損卡死、兩用活門內部彈簧失效、活門不密封，以及收放作動筒無法開鎖等。需要自上而下地正向維修分析，系統性地識別零組件故障模式和導致故障的根本原因。

3.3 安全性關鍵部附件的修理技術要求識別方法

在識別安全性關鍵部附件的零組件級關鍵故障模式的基礎上，研究提出相關技術方法，以全面準確地識別出部附件維修中的哪些參數、工藝等環節有可能造成這些故障模式，并形成部附件維修關鍵技術要求。

基本的研究流程是，系統梳理機載系統部附件內部機械零部件、電氣部件的修理技術要求以及部附件、系統組裝和試驗的技術要求，形成比較完整、詳盡的修理技術要求要素框架。以該框架為基礎，對不同的部附件進行適用性分析，針對其各個關鍵故障模式逐項梳理形成關鍵修理技術要求。

3.4 機載系統修理質量安全風險識別與防控應用

在研究完成上述流程、方法的基礎上，以某型飛機某系統為對象進行應用研究。主要的應用研究工作如下。

一是針對待研究某系統，采用研究制定的飛機機載系統安全性關鍵部附件及關鍵故障模式識別流程和方法，應用相關的軟件工具，識別出系統中存在的可能導致飛行事故征候及以上問題的安全性關鍵部附件及關鍵故障模式。

二是針對各個安全性關鍵部附件及關鍵故障模式，應用研究確定的零組件級關鍵故障模式識別方法，識別出可能導致安全性關鍵部附件關鍵故障模式的零組件級關鍵故障模式。這樣，就建立起了零組件級關鍵故障模式與部附件關鍵故障模式、直至飛機頂層功能失效發生飛行事故征候及以上問題的邏輯關系，準確識別出維修質量安全風險點。

三是針對這些維修質量安全風險點，應用部附件修理技術要求識別方法，逐一識別出這些部附件維修的關鍵技術要求。

四是對比分析。在前述工作的基礎上，將所識別出的部附件維修關鍵技術要求與原有的部附件維修關鍵技術要求進行對比，分析其共性和差異，評估其作用及效果，為后續將分析結果納入相關部附件的修理技術要求、提升維修質量安全水平奠定基礎。

4 研究技術路線

4.1 全壽命周期的飛機安全性評估流程與方法梳理

全壽命周期的飛機安全性評估流程可以分為型號研制階段和型號使用階段。兩個階段的安全性評估工作與型號研制和使用的關系如圖2 所示[5-7]。

研制階段的安全性評估工作，主要用以評估飛機功能和機載系統設計的完整性和正確性，反饋給飛機設計。通過安全性評估，對系統構架和詳細設計進行評估，發現可能存在的隱患問題，推動設計方案的不斷完善。研制階段的安全性評估流程與飛機功能和系統設計活動的關系如圖3 所示[8]。研制過程各階段的安全性評估工作流程如圖4 所示。安全性評估過程始于概念設計階段并得出其安全性要求。

隨著設計的推進會不斷有更改產生，對這些更改的設計必須重新進行評估。這種重新評估可能產生新的設計要求，新的設計要求又可能需要更進一步的設計更改來滿足。這種安全性評估過程要持續到驗證表明設計已經滿足安全性要求為止。

圖3 研制階段的安全性評估流程

圖4 研制各階段的安全性評估流程

圖5 使用階段的安全性評估流程

圖6 使用階段的詳細安全性評估流程

使用階段的安全性評估流程包括5個步驟，如圖5 所示。詳細的使用階段安全性評估流程見圖6。圖6 對圖5 中5 個步驟中每一個步驟進行了細化。概括地講，使用階段的安全性評估流程，以研制階段建立的安全性評估模型為基礎，通過收集使用、維修中的相關參數和事件信息，進行安全風險評估，并根據風險等級水平制定相應的行動措施，予以實施并持續監控效果。從技術上講，使用階段的安全性評估流程還能用以證實或修正研制階段安全性評估中采用的相關假設和判斷，對功能危險分析等工作的完整性和準確性予以證實或修正，從而不斷提升研制階段的安全性評估工作水平。

不難看出，上述研制階段的安全性評估和使用階段的安全性評估可以有效地協助從設計上提升飛機安全性水平，在使用中監控、發現和解決安全性問題，但沒有明確指出對于一型沒有在研制階段開展安全性評估工作的既定飛機應采用什么樣的流程和方法以及如何識別其中存在的安全性隱患問題，這一問題急需研究解決。

4.2 適用于在役飛機的飛機機載系統安全隱患識別流程和方法研究

基于飛機研制階段的安全性評估流程，借鑒飛機使用階段安全性評估工作中收集、分析數據和事件信息的思想，針對功能、構型已經確定的現役飛機，初步提出飛機機載系統安全性隱患識別流程，以識別出可能導致飛機發生飛行事故征候及以上問題的部附件相關故障模式，如圖7 所示。該流程包括8個主要工作項目：飛機級功能危險分析（AFHA），飛機級初步故障樹分析（APFTA），系統級功能危險分析（SFHA），系統級初步故障樹分析（SPFTA），部附件故障模式及影響分析/概要（FMEA/FMES），系統級故障樹分析（SFTA），飛機級故障樹分析（AFTA）以及共因分析（CCA）。在這些分析工作過程中均需要應用待分析機型及同類機型的事故、事故征候、故障數據和案例等信息。

4.3 適用于在役飛機的安全性關鍵部附件內零組件級關鍵故障模式識別方法和修理技術要求識別方法研究

圖7 適用于在役飛機的飛機機載系統安全隱患識別流程和方法

飛機維修工作面對的是部附件及組成的零組件維修。因此，必須在識別出“安全性關鍵部附件的關鍵故障模式”的基礎上，進一步識別可能導致這些故障模式的部附件內零組件故障模式，稱之為“零組件級關鍵故障模式”。將采用故障模式及影響分析（FMEA）方法，分析哪些零組件的哪些參數、工藝等偏差因素可能導致這些結果，并形成一個完整的零組件級關鍵故障模式識別方法。該方法也需要應用大量的部附件故障案例數據、關鍵部附件維修故檢數據、試驗數據，以及有關系統試驗數據作為參考。

例如，起落架收放控制電磁開關內油針卡滯故障，可以導致三個起落架全部放不下，屬于“安全性關鍵部附件的關鍵故障模式”。根據電磁開關的功能，除了相應加工尺寸和硬度的金屬雜質可能導致油針卡滯以外，油針的直徑、同軸度，與配合面之間的間隙值，表面和各個凸臺的加工毛刺等參數/工藝偏差達到一定值時，均有可能導致實際使用中發生油針卡滯，這些具體參數/工藝等偏差過大問題就是零組件級關鍵故障模式。通過該步驟工作，建立了零組件級故障模式與部附件故障模式、直至飛機頂層功能失效發生飛行事故征候及以上問題的邏輯關系。而識別出的這些零組件級故障模式、部附件故障模式、系統級功能失效模式、飛機級功能失效模式正是維修過程中需要提升維修質量、重點防范安全風險的對象 所在。

在識別安全性關鍵部附件的零組件級關鍵故障模式的基礎上，研究提出相關技術方法，以全面準確地識別出部附件維修的哪些參數、工藝等環節有可能造成這些故障模式，例如，針對液壓油中相應尺寸和硬度的金屬雜質可能導致起落架電磁開關卡滯、導致三個起落架放不下來的問題，不僅在電磁開關修理技術要求中需要明確如何在零組件維修中消除可能存在的毛刺等，還應在整個液壓系統涉及的部附件修理技術要求中明確相同要求以預防類似問題，另外，在液壓系統部附件安裝、清洗和聯試等過程中也需要明確各個環節的污染物、外來物的防控措施。這就涉及零組件、部附件（含管路）、系統三個層級的修理技術要求，涉及維修、組裝、部件試驗、系統試驗各個環節，在綜合考慮上述因素之后才能完整形成部附件修理關鍵技術要求[9-10]。

5 結論

隨著一部分在研制階段未采用安全性評估流程和方法研制的現役國產飛機日益使用老舊，機載系統部附件的損耗也隨之增大，之前未發生過的問題也將陸續暴露，同時飛機使用強度持續增加，飛行性能邊界不斷逼近，對現役國產飛機質量安全水平提出了更為嚴峻的挑戰，需要尋求科學的思路和方法來保障此類飛機使用安全。本文借鑒飛機研制階段的安全性評估流程和方法，提出在功能、構型、系統詳細設計均已確定的飛機上開展機載系統維修質量安全風險識別與防控的思路和方法，可應用于正向補充完善飛機修理技術要求，提升飛機維修質量，防控質量安全風險。