電氣線路互聯系統安全性設計與分析方法研究

王小輝, 朱麗, 車程, 梁力, 馬慶林

(1.中國航空工業集團公司 西安飛機設計研究所, 陜西 西安 710089;2.中國飛行試驗研究院, 陜西 西安 710089)

近年來，隨著國內軍民用飛機系統的設計需求信息量越來越多，復雜度也相應提升，電氣線路日益復雜、精密，各類線路故障高發，輕則影響任務執行，重則危及飛行安全。類似的線路問題在國際航空業同樣非常突出，歷史上曾出現過多起由于線路問題引起的機毀人亡重大安全事故。為了解決此類問題，2007年美國聯邦航空安全局對FAR-25《運輸類飛機適航標準》進行了修正，增加H分部“電氣線路互聯系統”(electrical wiring interconnection system,EWIS)，將線路系統作為一個獨立系統進行研究和規范[1]。我國于2010年、2011年分別轉換了相關條款，提出了新的設計要求。

電氣線路互聯系統安全性評估作為一個新生事物，國外圍繞EWIS風險分析與評估建立了繁多的符合性設計與分析方法模型，如Bigun[2]提出的飛行事故概率模型和隨機過程模型，Leveson[3]提出的系統理論過程模型(STAP)，Enrico等[4]為解決復雜系統評估問題提出的蒙特卡羅模擬方法，美國空軍電子系統中心(ESC)也提出了風險矩陣分析方法。目前，在國內各型號的研制工作中已經全面引入了安全性設計理念，中國商飛上海飛機設計研究院、南京航空航天大學以及中國民航大學等[5-7]單位針對EWIS已開展了適航條款的解讀以及評估模型的探索。但在具體復雜的軍民用飛機型號上，如何開展EWIS符合性設計與評估工作等方面的研究就相對稀少。因此，在當前條件下，如何在型號研制中開展EWIS安全性分析與評估，以切實解決當前軍機、包括C919和MA700在內的新研制民用飛機存在的突出線路問題，就成為了一個十分急迫的課題，也因此成為相關的科研工作者急需深入開展研究的重要內容。

反推裝置裝配在大涵道比渦扇發動機上，是飛機著陸后使用的重要組件，若其發生故障，如在空中異常打開，會帶來災難性事故。1991年，勞達航空004號航班空難就是一個典型案例，事故造成223人遇難。通過調查，發現反推力控制系統中電路短路是造成本次事故的主要原因。因此，反推裝置EWIS的安全性設計與分析尤為重要。本文從EWIS功能失效影響和物理失效影響兩方面開展安全性分析與評估，以反推力控制系統中的EWIS為案例，提出其在設計以及安裝等方面的系統級和飛機級需求。并對這些需求進行安全性設計及符合性驗證，以消除或減緩EWIS安全危害影響，為飛機EWIS安全性設計及適航取證提供依據。

1 CCAR25.1709規章解讀

CCAR-25-R4版第25.1709條的題目是“系統安全：EWIS”，內容為“每個EWIS的設計和安裝必須使得：災難性失效狀態是極不可能的，和不會因單個失效而引起。每個危險失效狀況是極小的[8]。”

EWIS主要作用是傳輸電能、數據和信號以支持飛機其他系統實現相應的功能。第25.1709條的提出是對EWIS在安全性要求方面的補充。當按照第25.1309條開展系統功能分析與評估時，往往因一些非重要系統功能而簡化安全性設計需求，這就會不可避免地造成EWIS系統安全性設計需求的缺失。但事實表明，只要系統涉及到EWIS，就存在EWIS失效的風險，有可能造成嚴重的物理和功能損壞，影響飛機的安全飛行。如對于任何用電系統或負載，當存在有功率負載線時，都有可能會產生電弧或電磁干擾而引起整個線束或相鄰線束的功能失效和物理失效，甚至引發危險性或災難性的事件[9]。

因此可以認為第25.1709條是在第25.1309條的基礎上，重點考慮EWIS的物理失效和功能失效影響，對EWIS進行結構化的安全性分析與評估，以驗證其在設計和安裝等方面需求的符合性。

2 EWIS安全性分析方法和流程

第25.1709條提出的目的是通過使用第25.1309條失效-安全的設計理念，對EWIS進行全面和系統的安全性分析。因此，為了滿足第25.1709條的要求，需要對每個EWIS的設計和安裝提出安全性需求，并且應從定性分析和定量分析兩方面開展評估。在進行定性分析時，需要使用功能危險分析、初步系統安全性評估、共因分析以及系統安全性評估中的安全性指標[10-11]，對EWIS安裝標準和部件特性等需求進行確定和定義。結合系統EWIS部件的失效模式，將第25.1709條識別的EWIS失效模式嵌入到飛機級和系統級功能危險分析。通過系統共因分析(共模分析、區域安全性分析和特定風險分析等)，應能夠表明EWIS部件在系統內外部風險場景中，不存在特別是單點故障等因素導致災難性事件發生的可能。同時，也需要表明導致危險的失效狀態發生風險也處于可接受的范圍內。在定量分析方面，可以通過對EWIS進行系統故障模式及影響分析(FMECA)，確定其故障模式的影響以及發生概率。

為表明對第25.1709條要求的符合性，安全性評估必須考慮EWIS功能失效和物理失效對飛機的安全性影響。功能失效分析假定EWIS中相關部件負載有電能、數據和信號，因此其失效可能會引起系統功能降級甚至喪失或異常的影響。物理失效分析假定EWIS中相關部件負載有電能，視其為危險源(如高溫、電弧等)，其失效后以局部火災、煙霧等模式對周邊其他線纜、系統、結構、人員等產生的影響。通過功能失效分析和物理失效分析，其結果都不應有災難性事件發生的可能和不可接受的危險性影響。

圖1 EWIS安全性分析流程

本文提出的分析流程如圖1所示，包含功能失效和物理失效兩部分。在進行功能失效分析時，需要按照第25.1309條的要求，開展功能危險性評估，梳理出災難的(Ⅰ類)和危險的(Ⅱ類)失效狀態。同時，明確這些失效狀態對應的線路組成，以識別出所需要分析的EWIS，進而獲取其在設計與安裝等方面的系統級和飛機級需求，如定性、定量的安全性要求。這里需要說明，對于線路的定量需求需要開展系統安全性評估進行失效概率的分配以及符合性驗證工作，對于線路的定性需求需要開展符合性驗證工作。在進行EWIS符合性說明時，可根據EWIS的設計規范，明確分類并給出EWIS內部及與其他設備之間的分離要求，結合電子樣機和物理樣機共因分析等工作，完成定性安全性要求說明，以表明其符合性。在進行物理失效分析時，對全機所有的特別是可能對周邊系統、結構或人員產生危害的EWIS，需要考慮包括電氣故障、物理損壞和特殊風險等失效影響，以防止災難的和危險的事件發生。

通過以上分析應該能夠表明在考慮了全部EWIS系統部件后，可有效避免災難的和危險的事件發生。同時，系統中不存在可能導致災難失效狀態發生的單點故障，并且可能導致危險失效狀態發生的單點故障可控。對于不符合要求的，應該能夠提出并驗證緩解策略，并評估驗證緩解措施不會引發新的失效狀態。最后給出EWIS安全性評估結果。

3 案例分析

3.1 系統原理

反推裝置是大型飛機重要的組成部分，是飛機降落時的一種減速裝置。反推控制系統驅動反推裝置的打開與關閉，改變發動機排氣方向，如圖2所示，以幫助飛機在著陸后或中斷起飛時產生反推力，降低飛機的速度，縮短滑跑距離，保證飛機在降落、緊急終止起飛時(尤其雨雪天氣)的安全[12]。

圖2 反推裝置原理

反推力控制系統根據飛機電傳油門臺的“展開”和“收起”指令控制反推力裝置的展開和收起。反推系統的組成如圖3所示，其中換向器由2個獨立的控制單元控制，一個是液壓隔離閥(HIV)，通過地面/空中邏輯開關控制，防止空中打開；另一個是方向控制閥(DCV)，是實現作動筒的“展開”和“收起”，通常通過恒定的彈簧壓力處于收起位置。當這2個控制單元都被激活時，換向器才能通電至展開位置。

圖3 電路控制原理圖

本文將從EWIS功能失效影響和物理失效影響兩方面，采用本文提出的分析方法，按照圖1所給出的流程，對反推力控制系統開展安全性分析與評估。在分析過程中，結合功能危險分析，分別以典型災難和危險的失效狀態為案例，說明EWIS符合性過程，最后給出安全性建議和結論。

3.2 EWIS功能失效分析過程

3.2.1 功能危險分析

EWIS功能危險分析使用現有的系統安全分析技術，考慮到所有可能的EWIS失效情形，分析確定這些EWIS失效是否可能導致危險的或災難性的事件發生。第25.1701條(a)中定義的任何組件都可能會導致EWIS故障。在執行EWIS功能分析時，必須要了解給定EWIS組件的故障模式和限制。對于反推裝置，本文將分析表1中所列的危險描述場景，以確定EWIS故障對飛機安全水平的影響。

表1 EWIS功能危險分析

本文重點關注控制反推器驅動的主要部件HIV和DCV。表2為HIV和DCV故障情況的FMEA。如FHA和FMEA中所述，空中非指令打開反推力危險等級是災難性的，因此要求這種情況發生的概率為極不可能，必須提供緩解措施，并且EWIS設計不應有單點故障的存在。

表2 反推力裝置FMEA

反推系統中的每個發動機的反推裝置都是完全獨立的，包括T/R開關、接線和部件。發動機反推裝置的故障可能是由EWIS故障或機械故障引起的。其中機械故障的原因可能是HIV、DCV、液壓油管故障。雖然機械部件的故障率高于EWIS，但通過強制檢查反推力裝置，如每36個月就必須對與反推力裝置相關的機械部件進行一次維修和更換，可以減少機械故障頻率。因此一般認為通過加入維護間隔，可以將機械故障的可能性降至最低[13]。當引入維護措施后機械故障的概率為10-8量級，而電線斷路的概率為10-7量級。因此，在本例中，導線故障成為導致發動機反推喪失的主要故障，如圖4所示。

圖4 反推喪失故障樹

對于“在空中非指令打開反推”，根據圖3，非指令是由HIV的“打開”命令和DCV的“展開”命令共同啟動。當只有一個閥運行的情況不會導致反推力裝置移動。

3.2.2 識別導致失效的EWIS

在對系統功能進行評估分析之后，需要確定EWIS是否為故障發生的條件。分析表明，HIV或DCV的28 V控制電路(T/R開關和發動機上的反推模塊之間)EWIS故障(如開路)將導致反推力裝置無法啟動，可能導致發動機反推喪失。圖5描述了要分析的EWIS(粗線所示)。

圖5 識別要分析的EWIS

對于“在空中非指令打開反推力”，必須同時激活HIV和DCV。正常情形只有當飛機在地面上并且有飛行員輸入“展開”T/R時，這些閥門才會被同時激活,反推工作。當T/R開關和空中/地面繼電器下游的EWIS故障(如電磁干擾等)，可能會導致HIV和DCV的同時激活，從而導致反推力裝置的在空中非指令地展開。根據第25.1709條的要求，導致災難性飛機影響的EWIS故障不得由單一故障引起，必須證明發生概率小于或等于極不可能。

3.2.3 制定緩解策略

分析系統的EWIS故障時，應包括第25.1701條(a)(1)～(14)中定義的組件。可能包括但不限于以下EWIS組件：電線、電纜、插頭、電連接器等。反推系統的EWIS部件包括與反推力系統相關的導線、連接器和觸點。根據分析，需要減少對EWIS造成損壞的可能性，以降低EWIS導致反推系統故障的總概率。

“喪失全部反推力”這種情況是由通向HIV或DCV導線的斷路造成的。因此，與這些部件相關EWIS需要增加如防止線纜磨損的要求，如圖6所示。此外，為了解決2臺發動機電路中常見的共因故障，需提出EWIS系統獨立性的要求，并要求發動機的T/R開關在空間也要獨立。

圖6 確定緩解措施

在“在空中非指令打開反推力”情況下，如果反推力裝置可能因HIV和DCV部件接線中的常見故障而意外展開，則必須引入EWIS緩解措施，以解決潛在的災難性故障影響。此外，對增加的緩解措施需要進行評估，以排除是否存在單點失效、是否引入其他的故障模式以及與安裝環境兼容性等。

對于“在空中非指令打開反推力”還需要增加獨立性要求。由于EWIS的一個常見電氣故障與HIV和DCV有關，可能導致推力反向器在無人操縱時展開，因此可以對EWIS提出HIV和DCV電路的空間隔離的要求。此外，還必須保證這2個電路都與28 V(DC)或115 V(AC)電源在空間相隔離。

3.2.4 驗證緩解策略

“喪失全部反推力”已經分離并添加了一個物理屏障，以增加導線的魯棒性，從而最大限度地降低對反推器控制線路的損壞可能性。將此緩解措施在故障樹中進行分析，可降低斷路的可能性，也保證了發動機間反推系統的獨立性。增加的緩解措施不會引入任何額外的故障模式，并且與系統和操作環境兼容。

“在空中非指令打開反推力”在空間上分離了與HIV和DCV電路相關的EWIS。此外，還需將與HIV和DCV電路相關的EWIS同所有28 V(DC)和115 V(AC)電源線路相隔離。通過分析，增加的緩解措施不會引入任何額外的故障模式，并且與系統兼容。因此，這些緩解措施的引入解決了潛在的不符合條件，而不引入任何額外的故障模式，詳見表3。

表3 反推力裝置FMEA及緩解措施

3.3 EWIS物理失效分析過程

物理失效分析中只考慮單一共因事件或者失效，不需要考慮多重共因事件或者失效。在考慮物理影響時，假設導線負載有電能，且此電能可直接或在與其他因素(如燃油、氧氣、液壓油或者乘客破壞等)結合時導致危險的或災難性的影響，這些失效可引起火警、煙霧、毒氣釋放等，損壞安裝于同一地區內的系統和結構或者對人員造成傷害。

3.3.1 識別EWIS風險

反推系統中的EWIS位于機身的4個縱向線槽中，如圖7所示，其中2個分別位于下貨艙左右兩側，2個位于機艙頂左右兩側[14]。

圖7 EWIS的安裝

以左側電纜管道中的接線和連接器為例，通過以下5個步驟對分析區域進行分類與危害識別。對于每個步驟，圖7中EWIS指示此特定分析案例的適用條件。

1) 確定要分析的飛機體積和環境，如應力、濕度、溫度、振動、污染物(灰塵、污垢、除冰液、液壓液)等。

2) 確定要分析的EWIS和局限性，如電線耐電弧≤115 V(AC)、連接器(插入電介質限制)和觸點間距等。

3) 確定要分析的系統元素(EWIS或其他傳輸元素)，如電力、飛行控制等。

4) 基于EWIS系統和操作環境，定義分析中使用的EWIS危害，如EWIS故障(電弧或過載)、非EWIS系統故障(液壓或漏水)、外部威脅或特殊風險等。

5) 基于危害的邊界分析區域，如特定風險是指暴露在潛在威脅范圍內。持續安全飛行和著陸所需的功能必須位于單獨的電線管道中。對于不在危害區域的EWIS，使用EWIS組件和限制來定義EWIS威脅，即電弧、過載、電磁威脅等。

3.3.2 EWIS物理失效分析

結合功能危險分析，與DCV和HIV相關的EWIS必須在空間上相互獨立，并且與其他28 V(DC)或115 V(AC)電源相分離，以減少或避免HIV或DCV因電氣故障而通電的可能性。根據標準在設計時DCV和HIV EWIS每組之間的間距至少為15 mm[15]。當線束中的電氣故障確定時，任何給定線束分組中的電氣故障將與該故障相隔離，并且不影響相鄰的接線。因此28 V(DC)和115 V(AC)電源保證在空間上分離，大功率的布線均位于所有小功率布線外側50 mm處，如圖8所示，以最大限度地減少故障造成的損壞和電磁干擾的影響。

圖8 電線電纜布置要求

“喪失全部反推力”的EWIS失效分析將集中在電纜的布置上。結合功能分析，與DCV和HIV相關的EWIS必須在空間上相互獨立，并且必須與其他28 V(DC)或115 V(AC)電源相分離，以減少或避免HIV或DCV因電氣故障而通電的可能性。根據標準，在設計時DCV和HIV EWIS每組之間15 mm。根據EWIS特性，當線束中的電氣故障確定時，任何給定線束分組中的電氣故障將與該組故障相隔離，不會影響到相鄰的接線。所有28 V(DC)和115 V(AC)電源保證在空間上分離，所有大功率的布線均位于所有小功率布線外側50 mm處，以最大限度地減少故障造成的損壞和電磁干擾的影響。

除了相鄰EWIS故障的危害之外，作為物理分析的一部分，還對所有系統傳輸元件和結構的分離進行了驗證。針對該活動，應進行區域安全分析[16]。考慮到反推系統是地面飛機剎車系統之一，物理分析還需要考慮與其他系統EWIS的集成關系。

特別地，在檢查EWIS物理安裝時，反推裝置所有冗余的接線和連接器應在空間上相互隔離，任何單個EWIS故障都不會導致管束故障，所有與單個線束分組共用的布線均為冗余。因此，單個線束的失效不會導致大于“較大的”失效狀態的發生。考慮到線束的失效概率為1×10-7量級，2個線束的失效概率遠遠小于極不可能的概率。對于鳥撞、轉子爆破等特殊風險[17-20]，任何單個事件都不會導致超過2條線槽的損失。這些系統之間的關系要通過飛機級的FHA傳遞，轉子爆破如圖9所示。

圖9 轉子爆破的影響

3.3.3 制定緩解策略

根據飛機級FHA和系統SSA，冗余系統EWIS應符合第25.1309節和第25.1709節的要求。為了確保線束中的電氣故障相互隔離，可以在空間進行相互分離，這樣也保證了故障模式不會傳播到相鄰的線束中。基于此分析，反推系統EWIS不需要額外的緩解措施。

3.3.4 驗證緩解策略

根據分析，冗余的EWIS空間分離足以證明符合第25.1709條的要求。按照第25.1709條不需要額外的緩解措施。

3.4 評估結論

通過對反推系統EWIS的功能和物理分析，考慮了包括電氣故障、物理損壞和特殊風險等失效現象，提出了與HIV和DCV相關的EWIS必須在空間上相互獨立，并與強電源相互隔離，以確保反推力裝置的非命令部署概率至少是極不可能的。結果表明, 每個線束群之間的空間間隔足以防止失效的影響。因此，可以確定EWIS故障不會導致大于“危險的”以上事件的發生，這也表明了EWIS物理設計符合第25.1709的要求。

4 結 論

本文依據CCAR-25-R4版第25.1309條的安全性評估要求，對第25．1709條進行了解讀并提出了符合性驗證流程和方法。以反推裝置系統設計為案例，結合國內民用飛機電氣線路互聯系統工作現狀，探索研究了電氣線路互聯系統安全性工程應用方法。結果表明：

1) 本文提出的EWIS安全性設計與分析方法,能夠有效識別EWIS存在的安全隱患，為飛機的電纜及相應組件提供了一個全面和結構化的分析方法，為飛機安全性設計提供了依據。

2) 通過對反推裝置EWIS功能失效和物理失效兩方面分析，得出了電氣線路28 V(DC)和115 V(AC)電源保證在空間上分離，并且所有大功率的布線以最大限度地減少故障造成的損壞和電磁干擾的影響等要求。

3) 為了保證反推裝置能夠正常工作，需要增加對EWIS進行定期維護、檢查和維修等緩解措施；通過綜合評估，所增加緩解措施有效可行，不會引入額外的安全隱患。