賀娜

摘要：功能危險性評估作為安全性評估的第一步，起著至關(guān)重要的作用。介紹了系統(tǒng)功能危險性評估的目標和流程，以自動飛行控制系統(tǒng)為例詳述評估過程，可為民用飛機系統(tǒng)功能危險性評估提供參考。

關(guān)鍵詞：民用飛機；自動飛行控制系統(tǒng)；功能危險性評估；安全評估

DOIDOI：10.11907/rjdk.151788

中圖分類號：TP301

文獻標識碼：A 文章編號文章編號：16727800（2015）008004903

0 引言

對于民用飛機而言，安全性是其首要考慮的問題，貫穿于飛機從研制、生產(chǎn)、運營到退役的整個生命周期，同時也是民用飛機能否通過適航審查、進入市場并獲得公眾信任的前提條件。自動飛行控制系統(tǒng)作為民用飛機機載系統(tǒng)的一個重要部分，安全性是其至關(guān)重要的設(shè)計因素。

系統(tǒng)安全性分析包括功能危險性評估、系統(tǒng)安全性初步評估、系統(tǒng)安全性評估、共因分析、失效模式影響評估等。本文以ASE ARP 4761為指導(dǎo)，以某民用飛機自動飛行控制系統(tǒng)為例，主要對安全性分析的第一步——功能危險性評估過程進行介紹和分析。

1 功能危險性評估概述

功能危險性評估是系統(tǒng)綜合檢查產(chǎn)品的各種功能，識別功能的各種失效狀態(tài)，并根據(jù)失效狀態(tài)的嚴重程度對其進行分類的一種安全性分析方法。以系統(tǒng)為對象，功能危險性評估研究其在飛機設(shè)計的整個飛行包線和不同飛行階段內(nèi)，可能影響系統(tǒng)乃至飛機整機飛行安全的功能失效[1]。

功能危險性評估過程是一種自上而下識別功能失效狀態(tài)并評估其影響的方法，它的目標是在系統(tǒng)功能喪失和功能失常等情況下，識別失效狀態(tài)和其相關(guān)分類。

作為民用飛機安全性評估的第一步，功能危險性評估是下一步安全性評估流程的必要輸入，也為后續(xù)系統(tǒng)、子系統(tǒng)設(shè)計架構(gòu)提出安全性設(shè)計需求，幫助確認系統(tǒng)架構(gòu)的可接受性，發(fā)現(xiàn)潛在問題和所需的設(shè)計更改，并確定進一步的需求范圍。系統(tǒng)功能危險性評估給出各種功能的危險評估，推導(dǎo)或確認系統(tǒng)安全性設(shè)計準則，提出系統(tǒng)安全性要求，還提供對安全性至關(guān)重要的潛在功能失效狀態(tài)信息，這些信息可用來確立所需系統(tǒng)的結(jié)構(gòu)方案、軟件完整性水平要求、系統(tǒng)分離和隔離要求以及最低設(shè)備清單要求[2]。

系統(tǒng)功能危險性評估的輸入主要有系統(tǒng)功能清單、外部接口示意圖、飛機級功能危險性評估功能清單、飛機級功能危險性評估識別失效狀態(tài)、設(shè)計要求和目標、飛機級設(shè)計方案選擇及其原理，以及系統(tǒng)使用的適航規(guī)章。

系統(tǒng)功能危險性評估過程可分為以下幾個步驟：①確定與系統(tǒng)相關(guān)的所有功能，包括內(nèi)部功能和交互功能；②識別系統(tǒng)功能的所有失效狀態(tài)，考慮所有的單一和復(fù)合失效狀態(tài)；③確定該失效狀態(tài)出現(xiàn)時所處的工作狀態(tài)或飛行階段；④根據(jù)失效狀態(tài)對飛機或人員的影響，確定失效狀態(tài)的影響等級；⑤給出用于證明失效狀態(tài)影響等級的支撐材料；⑥提出用于驗證失效狀態(tài)要求的符合性方法。

2 系統(tǒng)功能危險性評估過程

2.1 系統(tǒng)功能定義

進行系統(tǒng)功能危險性評估首先需要確定所分析系統(tǒng)相關(guān)的所有功能，包括內(nèi)部功能和外部功能，分析確定并建立功能清單。

系統(tǒng)功能危險性評估的功能定義按照逐層展開的方式進行相應(yīng)的功能分析，找出所有工作狀態(tài)下可能的功能，形成用于功能危險性評估的系統(tǒng)功能清單。系統(tǒng)級內(nèi)部功能指系統(tǒng)本身功能和內(nèi)部設(shè)備之間的接口功能，外部功能指其它系統(tǒng)提供給所分析系統(tǒng)的功能或分析系統(tǒng)提供給其它系統(tǒng)的功能。

以自動飛行控制系統(tǒng)為例，民用飛機自動飛行控制系統(tǒng)一般接收飛行員通過飛行模式板手動設(shè)置或飛管系統(tǒng)發(fā)送的指令及相關(guān)傳感器輸入信號等，提供自動控制飛機按設(shè)定的姿態(tài)、飛行路徑和空速飛行的能力，目的在于減輕飛行員工作負擔(dān)。

按照上層設(shè)計方案，系統(tǒng)功能遵循自上而下的分配和其它系統(tǒng)交互實現(xiàn)的原則，飛機級功能和交互系統(tǒng)功能要求自動飛行控制系統(tǒng)具有自動駕駛、飛行指引、自動著陸等功能，主要實現(xiàn)對飛機橫向、垂直和多軸模式的自動控制。

因此，自動飛行控制系統(tǒng)功能主要有自動駕駛、飛行指引和自動著陸等。

2.2 系統(tǒng)功能失效狀態(tài)

識別功能失效狀態(tài)應(yīng)分別考慮所研究對象的內(nèi)部功能、交互功能以及環(huán)境和應(yīng)急情況、反常情況中的每一項，同時還要考慮正常和惡劣環(huán)境中的單個或多重失效，由此建立系統(tǒng)功能的失效狀態(tài)清單。為了列出功能的所有失效狀態(tài)及相關(guān)假設(shè)，分析者必須掌握所有可能的失效模式。功能失效在不同飛行階段產(chǎn)生的影響不同，要對不同飛行階段的同一功能失效狀態(tài)分別進行分析。

典型的失效狀態(tài)有：①功能喪失（可分為通告的喪失和未通告的喪失）；②功能錯誤。以自動飛行控制系統(tǒng)的自動駕駛功能為例，可識別到相應(yīng)的失效狀態(tài)有：①通告的喪失自動駕駛；②未通告的喪失自動駕駛；③錯誤的自動駕駛功能。

2.3 確定失效狀態(tài)工作階段

系統(tǒng)每個功能工作的飛行階段不同，而對于自動駕駛功能而言，可設(shè)計為在各個飛行階段（起飛、爬升、巡航、下降、進近、著陸）均可以工作。

2.4 失效狀態(tài)影響和等級分類

根據(jù)不同的飛行階段，系統(tǒng)功能失效狀態(tài)對飛機、機組成員和乘客的影響不同，需要根據(jù)飛機級功能危險性評估、飛機安全性初步評估以及設(shè)計經(jīng)驗綜合考慮，按照表1中的定義確定影響等級分類。

在確定影響等級時可參考以下原則[3]：①系統(tǒng)錯誤一般比系統(tǒng)故障或失效的影響更為嚴重；②應(yīng)了解并明確飛機對飛行員的操作和控制要求，包括在各飛行階段對飛行員的工作要求，以便分析失效狀態(tài)對駕駛員操作的要求和影響；③如果同一個功能故障在不同飛行階段對飛機或人員產(chǎn)生的影響不同，則在分析中要分別列出。

確定失效狀態(tài)影響等級時，先分析失效狀態(tài)對系統(tǒng)的影響，進而分析對飛機、機組成員和乘客的影響。以“通告的喪失自動駕駛”為例，參考在相似機型中該失效狀態(tài)的影響分析，根據(jù)表1中的描述，在爬升、巡航、下降、進近階段，通告的喪失自動駕駛，對飛機無影響，需要轉(zhuǎn)為人工操作，輕微增加駕駛員負擔(dān)，乘客可能會不舒適，因此影響等級為較小的；在起飛、著陸階段，通告的喪失自動駕駛，低高度時可能會出現(xiàn)短暫的飛行軌跡或姿態(tài)異常，需要人工操作，增加機組成員負擔(dān)，乘客身體不適，因此影響等級為較大的。

2.5 證明失效狀態(tài)影響等級的支撐材料

對于并不十分了解的失效狀態(tài)影響，需要提供分析計算、仿真分析、模擬試驗或飛行試驗等方法作為支撐材料，以證明系統(tǒng)失效狀態(tài)影響等級的準確性[4]。由于“在爬升、巡航、下降、進近階段通告的喪失自動駕駛”失效狀態(tài)影響等級為較小的，可以采用分析方法和試飛試驗作為支撐材料；“在起飛、著陸階段通告的喪失自動駕駛”失效狀態(tài)影響等級為較大的，可以采用分析方法和模擬試驗作為支撐材料。

2.6 驗證失效狀態(tài)要求的符合性方法

對于每一個失效狀態(tài)確定的安全性要求，都應(yīng)提出相應(yīng)的符合性驗證方法，以表明系統(tǒng)設(shè)計滿足安全性要求，并按照圖1所示流程進行安全性目標驗證。

功能危險性評估得出的失效狀態(tài)，一般的驗證方法有失效模式與影響分析、故障樹分析、共因分析?！霸谂郎?、巡航、下降、進近階段通告的喪失自動駕駛”失效狀態(tài)影響等級為較小的，可將失效模式與影響分析作為驗證方法；“在起飛、著陸階段通告的喪失自動駕駛”失效狀態(tài)影響等級為較大的，可將失效模式與影響分析和故障樹分析作為驗證方法。

圖1 安全性目標驗證流程

2.7 功能危險性評估表

將功能危險性評估工作的結(jié)果填入分析表格，形成最終的評估結(jié)果。功能危險性評估表包括以下內(nèi)容： ①功能：指將要進行分析的具體功能；②失效狀態(tài)：對每一個失效狀態(tài)進行簡要描述；③飛行階段：功能失效時所處的飛行階段。若失效狀態(tài)的影響由于飛行階段不同而不同，必須按不同飛行階段分別填寫；④危險對飛機或人員的影響：功能失效后飛機、機組成員或乘客遭受到的有害結(jié)果；⑤影響等級：災(zāi)難性的、危險的、較大的、較小的及無安全性影響的；⑥影響等級支撐材料：如飛行試驗、模擬試驗、分析計算等；⑦驗證方法：失效模式與影響分析、故障樹分

析或共因分析；⑧備注：與該失效狀態(tài)相關(guān)，但沒有在其它列中涉及到的相關(guān)信息，如相似系統(tǒng)之前的故障資料等。

“通告的喪失自動駕駛”對應(yīng)的功能危險性評估表如表2所示。

3 結(jié)語

以某型飛機自動飛行控制系統(tǒng)為例，采用SAE ARP 4761中定義的功能危險性評估過程進行分析，具體介紹了系統(tǒng)功能危險性評估過程，為民用飛機系統(tǒng)安全性評估提供了一定參考。若要更加詳細深入地進行自動飛行控制系統(tǒng)功能危險性評估，需要結(jié)合具體系統(tǒng)的詳細設(shè)計技術(shù)方案進一步開展。

參考文獻：

[1] SAE ARP 4761.Guideline and methods for conducting the safety assessment process on civil airborne system and equipment[S].SAE，1996.

[2] SAE ARP 4754.A guidelines for development of civil aircraft and system[S].SAE，2010.

[3] 修忠信.民用飛機系統(tǒng)安全性設(shè)計與評估技術(shù)概論[M].上海：上海交通大學(xué)出版社，2013.

[4] 唐長紅.飛機系統(tǒng)安全性[M].北京：航空工業(yè)出版社，2013.

（責(zé)任編輯：黃 ?。?