彭丹祺

【摘 要】通過對SAEARP4761中提出的一套機載系統(tǒng)安全性評估的方法對民用飛機機氣源系統(tǒng)安全性評估過程進行了分析和論述，以此表明氣源系統(tǒng)的安全性設計對§25.1309條款的符合性。

【關鍵詞】氣源系統(tǒng)；安全性；失效

0 概述

民用飛機機氣源系統(tǒng)設計采用系統(tǒng)安全性評估的方法來進行符合性驗證適航規(guī)章§25.1309條款[1]的要求。SAEARP4761中提出了一套機載系統(tǒng)安全性評估的方法，包括：功能危害性評估（FHA）、初步系統(tǒng)安全性評估（PSSA）、故障模式及影響分析（FMEA）、故障樹分析（FTA）、共因分析（CCA）、系統(tǒng)安全性評估（SSA）等，其中共因分析（CCA）包括區(qū)域安全分析（ZSA）、特殊風險分析（PRA）、共模故障分析（CMA）[2-3]。

本文對民機氣源系統(tǒng)安全性評估的方法和過程進行了分析和論述。

1 民用飛機氣源系統(tǒng)簡介

典型的民用飛機氣源系統(tǒng)通常為從發(fā)動機、APU或地面高壓氣源引氣，為空調(diào)、機翼防冰、發(fā)動機起動、燃油箱惰化及水箱增壓提供氣源，滿足下游用氣系統(tǒng)的壓力、溫度和流量需求。

民用飛機氣源系統(tǒng)的主要功能有：

1）對選擇從發(fā)動機引氣、APU引氣或者地面高壓氣源引氣進行管理，為空調(diào)系統(tǒng)、機翼防冰系統(tǒng)、燃油惰化系統(tǒng)、水廢水系統(tǒng)及發(fā)動機起動系統(tǒng)提供引氣；

2）發(fā)動機壓縮機中壓級和高壓級之間的引氣自動轉(zhuǎn)換；

3）發(fā)動機引氣壓力控制；

4）發(fā)動機引氣溫度控制；

5）發(fā)動機引氣關斷功能；

6）回流保護功能；

7）交輸引氣與隔離功能；

8）實時監(jiān)控和指示。

2 安全性評估

2.1 安全性評估流程

根據(jù)SAEARP4754和SAEARP4761中的安全性評估方法，系統(tǒng)安全性工作流程見圖1。首先根據(jù)飛機級功能和飛機級FHA的輸入及系統(tǒng)級功能，開展系統(tǒng)級FHA；其次開展系統(tǒng)PSSA，制定系統(tǒng)構(gòu)架，對安全性需求進行分配；然后進行共因分析，驗證關鍵設備冗余設計的有效性，保證設計中相關設備功能的相容性和獨立性；最后進行SSA分析，運用FMEA＼FTA＼PRA＼CCA等分析方法，驗證系統(tǒng)滿足安全性要求和適航條款要求。

2.2 功能危險性評估（FHA）

FHA是系統(tǒng)綜合地檢查產(chǎn)品的各種功能，識別功能的各種失效狀態(tài)，并根據(jù)失效狀態(tài)的嚴重程度對其進行分類的一種安全性分析方法。系統(tǒng)級FHA以各ATA章節(jié)或系統(tǒng)為對象，研究其在飛機設計的整個飛行包線和不同飛行階段內(nèi)，可能影響系統(tǒng)乃至飛機整機安全飛行的功能失效。系統(tǒng)級FHA給出各種功能的危險后果評估，推導或者確認系統(tǒng)安全性設計準則，提出系統(tǒng)安全性要求，推薦可能的控制措施。

氣源系統(tǒng)是是為飛機用氣系統(tǒng)提供能源的一個系統(tǒng)，其系統(tǒng)失效對系統(tǒng)本身影響不大，失效影響等級的確定需根據(jù)氣源失效對下游系統(tǒng)的影響來進行確定，較為關鍵的是空調(diào)系統(tǒng)和防冰系統(tǒng)。飛機級FHA關注的氣源系統(tǒng)失效狀態(tài)為：無法為用氣系統(tǒng)提供引氣，失效狀態(tài)定義為較大的（Ⅲ級）。在進行氣源系統(tǒng)FHA時，除考慮飛機級FHA外，更多應考慮氣源系統(tǒng)本身功能失效對下游系統(tǒng)及飛機的影響，如系統(tǒng)的調(diào)溫/調(diào)壓功能、回流保護功能和交輸引氣功能等。值得注意的是，在已有的雙發(fā)飛機兩側(cè)發(fā)動機引氣氣源系統(tǒng)設計中，還需特別關注單發(fā)引氣是否具備同時滿足下游空調(diào)和機翼防冰等用氣系統(tǒng)的用氣需求。

2.3 初步系統(tǒng)安全性評估（PSSA）

PSSA是一個自上而下的分析方法，其關鍵是確定失效如何導致由FHA識別的功能危險性的。PSSA主要包括以下內(nèi)容：

1）確定FHA所產(chǎn)生的一組初始安全性要求；

2）確定失效狀態(tài)清單以及相應的安全性要求；

3）提出滿足初始安全性要求的設計決策；

4）結(jié)合初始安全性要求和設計/構(gòu)架決策，產(chǎn)生一組完整的系統(tǒng)安全性要求；

5）用故障樹分析設計決策對安全性要求的符合性；

6）確立安裝要求、組件級要求、對其他系統(tǒng)的要求和安全性維修要求。

PSSA過程是對所提出的系統(tǒng)構(gòu)架進行系統(tǒng)性核查，以確定失效如何能導致由FHA所識別的功能危險性，以及如何能夠滿足FHA的要求，確立系統(tǒng)和部件的研制保證等級、系統(tǒng)安裝/維修要求及其對其他系統(tǒng)的安全性要求。

氣源系統(tǒng)PSSA首先對確立的系統(tǒng)構(gòu)架進行評估，對系統(tǒng)設計實施的功能冗余度、功能隔離和功能獨立性進行評判；其次進行PSSA故障樹分析，確立系統(tǒng)功能研制保證等級和軟/硬件研制保證等級及對其他系統(tǒng)的安全性需求；最后確立系統(tǒng)的安裝維護要求。

2.4 失效模式和影響分析（FMEA）

FMEA是確定系統(tǒng)、產(chǎn)品、功能或零件的故障模式，及其對高一層次設計的影響的一種系統(tǒng)方法，是一種系統(tǒng)性的自下而上的分析方法。典型的FMEA信息表見圖2。

氣源系統(tǒng)FMEA是針對系統(tǒng)每個部件，填寫完善FMEA信息表，識別出可能導致災難級（Ⅰ類）或危險級（Ⅱ類）的失效和部件的潛在失效，對風險進行控制或消除。當確定的I類和Ⅱ類故障模式不能消除或不能處于受控狀態(tài)，以致到了不能接受的程度時，則應提出其它控制措施和建議。

2.5 故障樹分析（FTA）

FTA是一種對復雜系統(tǒng)，或影響飛機安全和任務完成的系統(tǒng)常用的安全性、可靠性分析方法。它通過演繹的故障分析法研究系統(tǒng)特定的不希望發(fā)生的事件，即頂事件。通過由上向下嚴格按故障的層次進行因果邏輯分析，逐層找出故障事件的必要而充分的直接原因，畫出邏輯關系圖（故障樹），最終找出導致頂事件發(fā)生的所有原因和原因組合。由分析結(jié)果可以確定被分析系統(tǒng)的薄弱環(huán)節(jié)、關鍵部位、應采取的措施、對可靠性試驗的要求等。對最終故障樹來說，可以確定該頂事件的各種可能的潛在故障，揭示系統(tǒng)內(nèi)部的聯(lián)系，指導故障診斷和維修方案的制定，確定系統(tǒng)檢測裝置的最佳配置等。

2.6 共因分析（CCA）

氣源系統(tǒng)要滿足一定的安全要求，氣源系統(tǒng)與其它系統(tǒng)之間、部件與部件之間就需要一定的獨立性。CCA是檢驗這種獨立性、鑒定具體的非獨立性關系的分析方法。CCA包括區(qū)域安全分析（ZSA）、特殊風險分析（PRA）、共模故障分析（CMA）。氣源系統(tǒng)的特殊風險分析通常包括了防火、輪胎爆破分析、鳥撞分析、非包容性轉(zhuǎn)子爆破分析等。比較重要的方法通常為ZSA和非包容性轉(zhuǎn)子爆破分析。

2.6.1 區(qū)域安全性分析

區(qū)域安全性分析（ZSA）通過對飛機各區(qū)域進行的兼容性檢查，判定各系統(tǒng)或設備的安裝是否符合安全性設計要求，判定位于同一區(qū)域內(nèi)各系統(tǒng)之間相互影響的程度，分析產(chǎn)生維修失誤的可能性，盡早發(fā)現(xiàn)可能發(fā)生的不安全因素，提出改進意見，保證飛機各系統(tǒng)之間的兼容性和完整性。下列是氣源系統(tǒng)必須遵循的獨立性要求：

1）高壓管路應盡量避免布置在燃油/液壓管路的正下方；

2）運動件與固定件之間的最小運動間隙應不小于12.7mm；

3）兩個運動件之間的最小運動間隙應不小于25.4mm。

2.6.2 非包容性轉(zhuǎn)子爆破分析

非包容性轉(zhuǎn)子爆破氣源系統(tǒng)設計應遵循冗余、避讓、隔離的原則進行布置，盡可能得使氣源系統(tǒng)設備布置于發(fā)動機轉(zhuǎn)子爆破影響區(qū)之外。對于不能避開轉(zhuǎn)子爆破影響區(qū)的系統(tǒng)設備（發(fā)動機引氣部件）則盡量采取設計冗余措施，保證其失效不影響飛機繼續(xù)安全飛行和著陸。

2.7 系統(tǒng)安全性評估

系統(tǒng)安全性評估是對所實現(xiàn)的系統(tǒng)進行系統(tǒng)性的綜合評價，用來檢驗系統(tǒng)和安裝滿足相關的安全性要求。對于在不同級別的每一個PSSA，應該有一個相應的SSA。系統(tǒng)安全性評估過程與PSSA的活動相似但是范圍有所不同，PSSA是評價所提議的構(gòu)架并導出系統(tǒng)/組件安全性要求的方法；而SSA是綜合各種分析結(jié)果，以驗證所實現(xiàn)的系統(tǒng)滿足在FHA和PSSA中所定義的定性和定量的安全性要求。

SSA綜合了FMEA、FMES、FTA、CCA等各種分析的結(jié)果，以驗證氣源系統(tǒng)滿足安全性要求和適航條款要求。

3 總結(jié)

本文通過SAEARP4761中提出的一整套系統(tǒng)安全性評估的方法來表明驗證氣源系統(tǒng)安全性設計是滿足安全性和適航條款要求的。實際運營時各航空公司仍需要對氣源系統(tǒng)使用及維護相關的人員進行深入的安全意識及安全性能培訓，提高他們對氣源系統(tǒng)風險性的認識，規(guī)范氣源系統(tǒng)使用和維護的方法，從而避免事故的發(fā)生。

【參考文獻】

[1]運輸類飛機適航標準.中國民用航空規(guī)章第25部[S]，2011.

[2]Guidelines for Development of Civil Aircraft and Systems[Z]. SAE ARP 4754， 2010.

[3]Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[Z]. SAE ARP 4761，1996.

[責任編輯：湯靜]