黃銘媛 朱 亮 宋智桃

（中國(guó)民用航空上海航空器適航審定中心，上海 200335）

大型民用飛機(jī)是一項(xiàng)多學(xué)科的大系統(tǒng)工程。此類復(fù)雜系統(tǒng)需要應(yīng)用科學(xué)、有效的系統(tǒng)安全性評(píng)估過(guò)程，以表明對(duì)適航標(biāo)準(zhǔn)相關(guān)條款符合性。作為傳統(tǒng)的系統(tǒng)安全性評(píng)估方法之一的，故障樹分析（FTA）通過(guò)與系統(tǒng)安全性評(píng)估過(guò)程保證的有效結(jié)合，在實(shí)現(xiàn)大系統(tǒng)研制的階段目標(biāo)中發(fā)揮著重要作用。在系統(tǒng)安全性評(píng)估過(guò)程管理活動(dòng)中，F(xiàn)TA通常應(yīng)用于系統(tǒng)概念設(shè)計(jì)階段的初步飛機(jī)級(jí)安全性評(píng)估（PASA），初步系統(tǒng)級(jí)安全性評(píng)估（PSSA）過(guò)程，或系統(tǒng)概念形成后飛機(jī)級(jí)安全性評(píng)估（ASA），和系統(tǒng)級(jí)安全性評(píng)估過(guò)程（SSA）。在過(guò)程應(yīng)用中，應(yīng)當(dāng)重視若干適航關(guān)注問題，如工作方案和計(jì)劃制定，頂事件完備性和正確性以及對(duì)最小割集的分析等[1-5]。

1 適航CCAR 25.1309條的技術(shù)要求和解析

為了保障民用航空安全和維護(hù)公眾權(quán)益，民用航空器的設(shè)計(jì)必須達(dá)到中國(guó)民航局適航部門制定的最低安全標(biāo)準(zhǔn)，表明其對(duì)適用標(biāo)準(zhǔn)的符合性。作為適航管理最重要的環(huán)節(jié)，型號(hào)合格審定（TC，簡(jiǎn)稱“適航審定”）工作應(yīng)依據(jù)適用標(biāo)準(zhǔn)，按嚴(yán)格詳細(xì)的審定程序?qū)γ裼煤娇掌髟O(shè)計(jì)過(guò)程和工作進(jìn)行審查和監(jiān)督。

大型民用飛機(jī)適用于中國(guó)民用航空規(guī)章第25部運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)（即CCAR 25部）。該標(biāo)準(zhǔn)第25.1309條設(shè)備、系統(tǒng)及安裝的（b）款屬通用的安全性要求，適用于多數(shù)機(jī)載設(shè)備及系統(tǒng)，其具體要求如下：

第25.1309條 設(shè)備、系統(tǒng)及安裝

……

（b）飛機(jī)系統(tǒng)與有關(guān)部件的設(shè)計(jì)，在單獨(dú)考慮以及與其它系統(tǒng)一同考慮的情況下，必須符合下列規(guī)定：

（1）發(fā)生任何妨礙飛機(jī)繼續(xù)安全飛行與著陸的失效狀態(tài)的概率為極不可能；

（2）發(fā)生任何降低飛機(jī)能力或機(jī)組處理不利運(yùn)行條件能力的其它失效狀態(tài)的概率為不可能。

……

隨著軟、硬件系統(tǒng)和設(shè)備的發(fā)展，民機(jī)機(jī)載系統(tǒng)的集成度和復(fù)雜度越來(lái)越高，僅用傳統(tǒng)驗(yàn)證方法如試驗(yàn)等已無(wú)法滿足25.1309（b）的安全性要求。針對(duì)這些高集成、復(fù)雜系統(tǒng)，需要借助系統(tǒng)化分析方法和過(guò)程保證技術(shù)來(lái)表明對(duì)25.1309（b）的符合性。

故障樹分析技術(shù)，作為經(jīng)多年實(shí)踐經(jīng)驗(yàn)證明其作用的工具，其結(jié)構(gòu)化的系統(tǒng)安全性分析方法特點(diǎn)，被國(guó)際適航組織和各國(guó)適航審定機(jī)構(gòu)認(rèn)可，以建議的形式將其納入可接受的符合性方法，如FAA的咨詢通告AC 25.1309-1A、EASA的可接受符合性方法AMC25.1309中分別將故障樹分析技術(shù)接受為可用于表明符合性的系統(tǒng)安全性評(píng)估技術(shù)之一[1-3]。

而針對(duì)復(fù)雜系統(tǒng)的工程管理，工業(yè)界廣泛采納的工業(yè)標(biāo)準(zhǔn)和指導(dǎo)文件有汽車工程師協(xié)會(huì)（SAE）ARP 4754A《民用飛機(jī)與系統(tǒng)研制指南》、ARP 4761《對(duì)民用機(jī)載系統(tǒng)和設(shè)備執(zhí)行安全評(píng)估過(guò)程的指南和方法》等。這些標(biāo)準(zhǔn)是基于系統(tǒng)工程理論，通過(guò)雙V模型過(guò)程保證手段，對(duì)大型民用飛機(jī)滿足適航要求提供有效的指導(dǎo)。如果這些能得以正確、嚴(yán)肅的貫徹執(zhí)行，局方也認(rèn)為是表明對(duì)25.1309（b）符合性的有效方法[2-3]。在系統(tǒng)安全性過(guò)程中非常重要的應(yīng)用工具之一，即是故障樹分析技術(shù)。因此，將故障樹分析技術(shù)應(yīng)用于ARP4761系統(tǒng)安全性評(píng)估過(guò)程管理活動(dòng)，可為表明對(duì)25.1309（b）符合性提供支持。

2 故障樹分析基本步驟及關(guān)鍵要素

一個(gè)成功執(zhí)行的故障樹分析，通常需要8個(gè)步驟，見圖1[6]。其中，①～⑤可歸納為對(duì)該FTA的問題界定。建樹過(guò)程中大多數(shù)步驟是串行的，而③～⑤步可以同步進(jìn)行。在構(gòu)建和評(píng)估故障樹時(shí)，通常會(huì)產(chǎn)生對(duì)④和⑤的反饋[6]。下面就執(zhí)行故障樹步驟的關(guān)鍵要素做簡(jiǎn)要分析。

圖1 FTA基本過(guò)程

2.1 確定故障樹分析目標(biāo)

確定目標(biāo)是FTA的第一步。成功的目標(biāo)設(shè)定需要充分理解系統(tǒng)設(shè)計(jì)和運(yùn)行，并且獲取當(dāng)前可用的設(shè)計(jì)數(shù)據(jù)，包括結(jié)構(gòu)圖、原理圖等。

2.2 定義故障樹頂層事件

頂事件定義，即識(shí)別并定義有待分析的系統(tǒng)失效模式，其是不期望發(fā)生的事件，有待分析得出其失效原因，并確定其失效概率。頂事件的定義非常關(guān)鍵，其直接指導(dǎo)后續(xù)的FTA所有分析工作。若頂事件定義不正確，則整個(gè)FTA分析就是錯(cuò)誤的，并導(dǎo)致錯(cuò)誤的決策。因此，正確定義和理解分析目標(biāo)和待解決問題非常重要。

2.3 定義故障樹分析范圍

形象的說(shuō)，故障樹展現(xiàn)的是在給定時(shí)間、給定構(gòu)型和給定邊界下，特定系統(tǒng)呈現(xiàn)出的一幅全景圖像[6]。與所有模型化方法一樣，故障樹在建樹前也需要定義分析范圍或分析邊界，即確定哪些在分析內(nèi)，哪些在分析外。此外，還有一些邊界上對(duì)象，它們的定義將影響分析邊界內(nèi)的內(nèi)容，這些即是接口狀態(tài)，需要以假設(shè)方式作為系統(tǒng)輸入進(jìn)行定義。在建樹過(guò)程中，邊界可能會(huì)發(fā)生改變，應(yīng)對(duì)這些邊界進(jìn)行跟蹤、管理和記錄。

故障樹的范圍可能包括：特定的設(shè)計(jì)版本、待分析系統(tǒng)相關(guān)的歷史時(shí)間、組件的初始狀態(tài)、系統(tǒng)假設(shè)輸入、系統(tǒng)接口等。例如，分析飛控系統(tǒng)的某失效狀態(tài)。那么定義該步驟時(shí)，需要確定該飛控系統(tǒng)的設(shè)計(jì)版本，運(yùn)行模式，需考慮哪些組件失效，以及與飛控系統(tǒng)的接口（如支持系統(tǒng)/能源系統(tǒng)，作動(dòng)信號(hào)等）的失效模型。

2.4 定義故障樹分解程度

如果不對(duì)分解程度（或稱建樹深度）做初步規(guī)劃和定義，可能會(huì)導(dǎo)致在建樹過(guò)程中迷失目標(biāo)，更可能建成龐大繁瑣、喪失結(jié)構(gòu)化又失去分析意義的無(wú)用樹[7]。而分解程度的一般原則是，建到足以識(shí)別功能依賴性的深度，或者是建到與可用數(shù)據(jù)和分析目標(biāo)一致的深度。例如，如果頂事件是系統(tǒng)功能失效，一般分解到系統(tǒng)主要組件即可。如果需要做定量分析，則以獲得對(duì)頂事件最優(yōu)估計(jì)為目標(biāo)，在考慮現(xiàn)有數(shù)據(jù)和其他信息的前提下，通常分解到有最佳可用概率數(shù)據(jù)的程度。

2.5 定義故障樹基本原則

定義基本原則的主要目的是保證不同人員在做不同故障樹分析時(shí)保持一致性。建故障樹的最基本原則就是“往小里想”，或者更精確地說(shuō)是“往近處想”[7-9]。每次只想一小步，確保覆蓋所有的主要原因以及它們之間的關(guān)系，不要直接跳躍到基本原因事件?；驹瓌t涉及程序規(guī)定和命名方式、特定組件失效、人為差錯(cuò)、共因失效模式等。

2.6 構(gòu)建具體故障樹

故障樹的構(gòu)建是一個(gè)不斷迭代的過(guò)程，從定義頂事件開始，在基本原則的指導(dǎo)下，逐級(jí)向下推理，確定各層級(jí)邏輯門的類型以及邏輯門的輸入條件，包括系統(tǒng)正常和失效事件，直到所有事件是可識(shí)別的硬件失效、軟件失效和人為差錯(cuò)這些基礎(chǔ)事件為止。在推理過(guò)程中，可以應(yīng)用一些概念模型或方法論幫助推理的完整和正確，如I-N-S，SS-SC，P-S-C概念模型[7-8]。

2.7 評(píng)估故障樹

評(píng)估故障樹，包括定性和定量評(píng)估。定性評(píng)估包括確定故障樹的定性重要度及共因可能性。而定量評(píng)估主要用于確定頂事件發(fā)生概率和基礎(chǔ)事件的重要度，進(jìn)而可以根據(jù)導(dǎo)致頂事件的重要度排序，對(duì)措施和資源進(jìn)行優(yōu)化排序。最小割集是對(duì)故障樹定性評(píng)估和定量評(píng)估的重要工具，也即是對(duì)系統(tǒng)進(jìn)行分析的重要工具。

2.8 解讀/介紹結(jié)果

對(duì)故障樹分析結(jié)果的解釋說(shuō)明和介紹，應(yīng)重點(diǎn)放在解釋說(shuō)明，而不僅僅是介紹。分析結(jié)果必須結(jié)合目標(biāo)進(jìn)行解讀并給出切實(shí)的意義，尤其應(yīng)重點(diǎn)突出可能對(duì)目標(biāo)產(chǎn)生潛在影響的部分。

3 FTA應(yīng)用中的適航審定關(guān)注、常見問題及解決思路

復(fù)雜系統(tǒng)的民機(jī)安全性評(píng)估過(guò)程管理，是秉持系統(tǒng)化分析方法和工程管理相結(jié)合的原則，介入并密切跟蹤民機(jī)研制全過(guò)程，及時(shí)更新特定評(píng)估產(chǎn)生的分析性證據(jù)，以表明對(duì)適用適航標(biāo)準(zhǔn)的符合性（如25.1309（b））的系列管理活動(dòng)。

從設(shè)計(jì)角度來(lái)看，故障樹分析工作需要系統(tǒng)設(shè)計(jì)人員、系統(tǒng)工程管理人員、系統(tǒng)安全性分析人員的積極配合，發(fā)揮各自的優(yōu)勢(shì)，利用好故障樹分析開展系統(tǒng)安全性評(píng)估過(guò)程，并融入研制雙V管理活動(dòng)。而結(jié)合故障樹分析的大型民機(jī)適航審定，實(shí)際是針對(duì)大型民機(jī)特定系統(tǒng)安全性評(píng)估過(guò)程各階段進(jìn)行評(píng)審，通過(guò)全面審查階段性故障樹分析結(jié)果的正確性和完整性，作為認(rèn)可系統(tǒng)安全性評(píng)估階段狀態(tài)的支持證據(jù)之一。

因此，適航審定人員不僅要充分、全面理解審定對(duì)象的系統(tǒng)設(shè)計(jì)，還要掌握故障樹分析技術(shù)及安全性評(píng)估過(guò)程管理，通過(guò)相關(guān)內(nèi)容的全面、細(xì)致、嚴(yán)格地審查，以確保符合要求。并且適航更關(guān)注其在系統(tǒng)安全性評(píng)估過(guò)程管理活動(dòng)中，作為一種分析工具或技術(shù)是否能夠得以正確的應(yīng)用，從而達(dá)到各過(guò)程的目標(biāo)。

圖2 某典型FTA時(shí)間表

下面詳細(xì)分析系統(tǒng)安全性評(píng)估過(guò)程中FTA的應(yīng)用通常存在的問題和解決思路，并給出舉例。

3.1 FTA修訂迭代計(jì)劃缺失或不合理

由于系統(tǒng)安全性工作貫穿設(shè)計(jì)整過(guò)程，同時(shí)牽涉到飛機(jī)設(shè)計(jì)總體、各系統(tǒng)設(shè)計(jì)、安全性總體、系統(tǒng)安全性分析各部門眾多人員的參與，并且作為基于系統(tǒng)工程和過(guò)程管理的系統(tǒng)安全性評(píng)估過(guò)程管理，如未在項(xiàng)目初期制定良好的系統(tǒng)安全性大綱及工作計(jì)劃，以規(guī)范化系統(tǒng)安全性評(píng)估工作，勢(shì)必在設(shè)計(jì)過(guò)程中發(fā)生安全性分析工作與設(shè)計(jì)工作不匹配，未發(fā)揮安全性分析評(píng)估系統(tǒng)架構(gòu)作用，甚至飛機(jī)級(jí)與系統(tǒng)級(jí)安全性工作脫節(jié)等嚴(yán)重問題。而作為應(yīng)用于各過(guò)程的重要工具FTA，隨著設(shè)計(jì)、評(píng)估過(guò)程的不斷深入也需要進(jìn)行修訂和迭代的計(jì)劃。但目前實(shí)踐中，多數(shù)系統(tǒng)安全性大綱及工作計(jì)劃僅側(cè)重時(shí)間節(jié)點(diǎn)的安排，未具體化各階段FTA的修訂、迭代需達(dá)到的程度及目標(biāo)。

因此，建議在系統(tǒng)安全性評(píng)估初期，設(shè)計(jì)單位就應(yīng)制定實(shí)施FTA的工作計(jì)劃或大綱?？梢园压收蠘浞治龉ぷ饔?jì)劃融入系統(tǒng)安全性專題計(jì)劃，即系統(tǒng)安全性專題計(jì)劃中包含對(duì)故障樹分析的工作計(jì)劃內(nèi)容。合理的故障樹分析計(jì)劃應(yīng)保證其在各階段的分析詳細(xì)程度與該階段設(shè)計(jì)的細(xì)節(jié)水平相匹配，并且設(shè)置合理的關(guān)鍵節(jié)點(diǎn)，適時(shí)對(duì)故障樹進(jìn)行修訂迭代。如設(shè)計(jì)凍結(jié)后，故障樹分析的修訂取決于設(shè)計(jì)更改的程度。故障樹分析的基本事件失效率是基于失效模式與影響總結(jié)（FMES），如果硬件設(shè)計(jì)更改導(dǎo)致故障率變化反映在FMES中，則要求更新FTA。在飛機(jī)試飛階段后期，應(yīng)再次評(píng)估FTA。由于試飛大綱執(zhí)行過(guò)程中產(chǎn)生的設(shè)備設(shè)計(jì)更改，應(yīng)反映在FTA中，并且這些FTA應(yīng)作為設(shè)備合格審定支持文件的一部分。圖2中以某典型FTA時(shí)間表為例[6]，分析如下：“初始”FHA作為FTA過(guò)程的第一步，用于確定系統(tǒng)失效組合，向系統(tǒng)分配概率預(yù)算值。

“第1次迭代”是FTA的第一次修改?？赡茉蛴性谛枨蟠_認(rèn)過(guò)程中導(dǎo)致的設(shè)計(jì)更改，或?qū)ψ畛踉O(shè)計(jì)假設(shè)的明確。這次FTA迭代作為系統(tǒng)構(gòu)架選型過(guò)程的一部分，并向更低層級(jí)事件分配風(fēng)險(xiǎn)和概率預(yù)算值。

“第2次（原型機(jī)）迭代” 是基于硬件或軟件詳細(xì)設(shè)計(jì)過(guò)程獲得的認(rèn)知進(jìn)行。在這個(gè)階段，需要完成將失效模式與影響總結(jié)（FMES）或其他來(lái)源得到的失效率代入故障樹基本事件，計(jì)算頂事件失效概率，將頂事件失效概率與實(shí)用的安全性要求對(duì)比，作為設(shè)備設(shè)計(jì)驗(yàn)證過(guò)程的一部分。完成第2次迭代后的FTA版本可以作為成功完成“設(shè)計(jì)凍結(jié)”里程碑事件所需支持文件的一部分。

“首次（生產(chǎn)）修改”包括原型機(jī)試驗(yàn)過(guò)程中暴露的問題進(jìn)行硬件或軟件設(shè)計(jì)更改所造成的故障樹更改。

“最終樹”是由分析人員通過(guò)合并基于飛行試驗(yàn)對(duì)硬件或軟件所采取糾正措施導(dǎo)致的任何故障樹更改，建立的最終故障樹。最終故障樹版本可以成為完成合格審定——另一個(gè)里程碑——所需系統(tǒng)安全性評(píng)估文件中的一部分[6]。

3.2 頂事件集不完備或描述不準(zhǔn)確

單個(gè)頂事件定義的正確以及頂事件集合的完備對(duì)系統(tǒng)安全性評(píng)估過(guò)程活動(dòng)具有重要意義，其直接影響故障樹分析的正確性。即頂事件的集合應(yīng)保證所識(shí)別的事件可追溯性、完整性和正確性，事件的描述應(yīng)當(dāng)清晰、簡(jiǎn)潔和準(zhǔn)確。但從目前的系統(tǒng)安全性分析實(shí)踐來(lái)看，由于經(jīng)驗(yàn)不足或缺乏保證完備性的手段和方法，存在頂事件集不完備或頂事件描述不準(zhǔn)確的問題。

因此，建議分析人員在系統(tǒng)安全性評(píng)估各階段應(yīng)編制不期望發(fā)生事件的清單，并有手段和方法保證該清單產(chǎn)生的完整性。其中的每個(gè)不期望發(fā)生的事件都需成為某一故障樹的頂事件。根據(jù)不同系統(tǒng)安全性評(píng)估階段，頂事件有不同的來(lái)源。通常，F(xiàn)TA的頂事件來(lái)源于本層級(jí)FHA確定的失效狀態(tài)以及上一層級(jí)PASA/PSSA中FTA分解得出的底事件作為本層級(jí)的頂事件。表1是不同約定層級(jí)FTA頂事件的可能來(lái)源。

表1 頂事件來(lái)源

表2 SSA中頂事件描述措辭不當(dāng)舉例

表2是SSA階段中頂事件描述措辭不當(dāng)?shù)睦?，由于SSA階段設(shè)計(jì)構(gòu)型基本確定，若頂事件描述時(shí)措辭不當(dāng)，將使得故障樹無(wú)法順利建立[6]。

3.3 最小割集分析不充分

在安全性評(píng)估過(guò)程的不同階段最小割集的結(jié)果將反映不同層級(jí)設(shè)計(jì)架構(gòu)分配安全性指標(biāo)，并且確認(rèn)驗(yàn)證設(shè)計(jì)架構(gòu)是否滿足安全性需求。最小割集是可導(dǎo)致頂事件的基礎(chǔ)事件的最小組合，其將頂事件與其基礎(chǔ)事件原因直接聯(lián)系。分析人員無(wú)論采用何種概念、模型和方法來(lái)建樹、分析，但是在建樹正確和完整的前提下，對(duì)于某頂事件產(chǎn)生的最小割集應(yīng)是相同的。最小割集反映了系統(tǒng)的重要信息。但由于工程經(jīng)驗(yàn)不足，在各階段故障樹建立后，分析人員對(duì)最小割集的分析不夠充分，這將直接導(dǎo)致安全性分析的不徹底，忽略系統(tǒng)關(guān)鍵要素，從而導(dǎo)致因分析未到位產(chǎn)生更改系統(tǒng)架構(gòu)的巨大風(fēng)險(xiǎn)。

因此，建議對(duì)最小割集進(jìn)行充分的定性和定量分析。并特別注意最小割集反映的以下信息，如：低階次的最小割集表明具有較高安全漏洞。單階次最小割集（如單點(diǎn)失效）將導(dǎo)致最高的風(fēng)險(xiǎn)。即只有一個(gè)基礎(chǔ)事件的最小割集（即單個(gè)失效或單個(gè)事件）會(huì)引起頂事件發(fā)生。這些單個(gè)失效就是薄弱環(huán)節(jié)，需要升級(jí)和采取預(yù)防措施。最小割集中的事件如果都具備相同的特性，則暗示了這些失效具有相關(guān)性，或會(huì)由于共因而破壞冗余。

3.4 解釋說(shuō)明不規(guī)范、不清晰

由于故障樹是作為安全性分析的工具，其分析的結(jié)果將被各級(jí)安全性工程師、設(shè)計(jì)人員及適航審查人員檢索和查閱，因此有必要建立統(tǒng)一、規(guī)范和清晰的解釋說(shuō)明要求以規(guī)范管理。但在目前的實(shí)踐中，由于缺乏頂層規(guī)劃和對(duì)統(tǒng)一數(shù)據(jù)重要性的認(rèn)識(shí)，各系統(tǒng)的故障樹分析結(jié)果解釋說(shuō)明不規(guī)范、不清晰，這將給安全性工作與設(shè)計(jì)工作的結(jié)合、以及相關(guān)人員之間的溝通理解帶來(lái)不便。

因此，建議建樹后分析人員需首先對(duì)故障樹數(shù)據(jù)進(jìn)行規(guī)范化和總結(jié)，并用文件證明故障樹架構(gòu)能否滿足頂事件需求。如，適航審查人員通常以“每飛行小時(shí)失效概率”來(lái)表述其安全性要求。如果對(duì)分析的系統(tǒng)有這些類型的要求，那么分析人員必須“規(guī)范化”頂事件失效概率數(shù)值。若頂事件概率是以每次飛行計(jì)算的，分析人員應(yīng)將概率值除以飛行時(shí)間或其它相應(yīng)的時(shí)間，以獲得每飛行小時(shí)失效概率的頂事件規(guī)范值[5-8]。

同時(shí)，建議通過(guò)創(chuàng)建FTA數(shù)據(jù)總結(jié)表來(lái)進(jìn)行管理，有助于適航審查人員和設(shè)計(jì)人員檢索所有相關(guān)FTA結(jié)果。此類FTA數(shù)據(jù)總結(jié)表建議至少包括以下信息：頂事件來(lái)源、編號(hào)、內(nèi)容、最大允許概率值、FTA檢索號(hào)、計(jì)算結(jié)果、是否滿足安全性需求、措施等。

4 結(jié)論

故障樹分析技術(shù)，作為傳統(tǒng)的系統(tǒng)安全性分析方法，在大型民用飛機(jī)復(fù)雜系統(tǒng)的系統(tǒng)安全性過(guò)程管理中將發(fā)揮更大作用。但是，如何達(dá)到表明適航標(biāo)準(zhǔn)符合性的目的，如何將FTA分析和過(guò)程保證進(jìn)行有效結(jié)合，如何應(yīng)用好故障樹分析工具是需要重點(diǎn)關(guān)注的問題。本文對(duì)于上述問題進(jìn)行了思考和探討，根據(jù)故障樹分析的技術(shù)特點(diǎn)，討論給出了其在民機(jī)系統(tǒng)安全性評(píng)估過(guò)程管理中的適航審定考慮，就若干問題進(jìn)行梳理、給出解決思路和實(shí)例，滿足研制和審定工作的需要。

[1] CCAR-25-R4 運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)[S].

[2] （Federal Aviation Administration）Advisory Circular 25.1309-1A System Design and Analysis

[3] （European Aviation Safety Agency）Certi fi cation Speci fi cations for Large Aeroplanes CS-25-Book 2-Acceptable Means of Compliance 25.1309:2-F-55-2-F-58.

[4] （Society of Automotive Engineers）Aerospace Recommended Practice 4754A Guidelines for Development of Civil Aircraft and Systems[S].

[5] （Society of Automotive Engineers）Aerospace Recommended Practice 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].

[6] Michael Stamatelatos,William Vesely,Joanne Dugan.Version 1.1.2002.NASA Of fi ce of Safety and Mission Assurance NASA Headquarters Washington D.C,20546.Fault Tree Handbook with Aerospace Applications [M].

[7] R.Allen Long.Beauty and the Beast – Use and Abuse of the Fault Tree as a Tool.http://www.faulttree.net.

[8] Clifton A.Ericson.Hazard Analysis Techniques for System Safety, II, Chapter 11, Fault Tree Analysis, Hoboken,New Zersey.WILEYINTERSCIENCE,A John Wiley & Sons,Inc.