李偉　鄭智明

摘 要：該文對(duì)民用飛機(jī)研制過(guò)程中的安全性評(píng)估過(guò)程進(jìn)行了研究。在民用飛機(jī)研制過(guò)程中，安全性評(píng)估包括支持飛機(jī)研制活動(dòng)的各項(xiàng)要求的產(chǎn)生和驗(yàn)證，提供對(duì)飛機(jī)功能以及執(zhí)行這些功能的設(shè)計(jì)進(jìn)行評(píng)價(jià)的方法，以確認(rèn)相關(guān)的危害被正確的提出，通過(guò)適當(dāng)?shù)陌踩苑治龊驮u(píng)估方法進(jìn)行驗(yàn)證，并對(duì)安全性分析結(jié)果進(jìn)行反饋，從而對(duì)飛機(jī)設(shè)計(jì)進(jìn)行修改以及重新驗(yàn)證的迭代過(guò)程。安全性評(píng)估過(guò)程對(duì)于建立系統(tǒng)的相應(yīng)安全性目標(biāo)和確定設(shè)計(jì)以滿(mǎn)足這些目標(biāo)非常重要。

關(guān)鍵詞：民用飛機(jī) 研發(fā)過(guò)程 安全性分析 故障樹(shù) 共因分析

中圖分類(lèi)號(hào)：F273.2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）07（a）-0049-02

1 民用飛機(jī)安全性分析流程概述

民用飛機(jī)安全評(píng)估過(guò)程必須進(jìn)行合理計(jì)劃和有效管理，并貫穿于系統(tǒng)研發(fā)的整個(gè)過(guò)程，從飛機(jī)概念設(shè)計(jì)階段開(kāi)始，提出相關(guān)的安全性需求，對(duì)設(shè)計(jì)過(guò)程進(jìn)行指導(dǎo)和評(píng)估，修改設(shè)計(jì)，再評(píng)估，交互迭代進(jìn)行，最終以證明設(shè)計(jì)能滿(mǎn)足安全性需求而結(jié)束。

安全性評(píng)估必須考慮所有失效狀態(tài)，以及產(chǎn)生失效狀態(tài)的失效組合。綜合系統(tǒng)的安全性評(píng)估同時(shí)要考慮到系統(tǒng)綜合產(chǎn)生的任何額外的和關(guān)聯(lián)性。圖1給出了安全性評(píng)估的過(guò)程以及方法，上部為研制周期時(shí)間線(xiàn)，下部表明安全性評(píng)估過(guò)程相對(duì)研制過(guò)程的關(guān)系。

在研制周期開(kāi)始時(shí)進(jìn)行危險(xiǎn)性評(píng)估（FHA），對(duì)系統(tǒng)功能和功能組合相關(guān)的失效狀態(tài)并進(jìn)行分類(lèi)。進(jìn)行FHA的目的在于明確識(shí)別每一失效狀態(tài)以及分類(lèi)理由，并將FHA的輸出作為初步系統(tǒng)安全性評(píng)估（PSSA）的起始點(diǎn)。

PSSA對(duì)設(shè)計(jì)的系統(tǒng)構(gòu)架進(jìn)行檢查，以確認(rèn)失效造成FHA中定義的功能危害方式。PSSA的目的是建立系統(tǒng)的安全性需求并確認(rèn)可滿(mǎn)足FHA中定義的安全性目標(biāo)的設(shè)計(jì)架構(gòu)。

系統(tǒng)安全性評(píng)估（SSA）是對(duì)系統(tǒng)安全性的全面的評(píng)估，以表明系統(tǒng)安全性可滿(mǎn)足FHA中定義的安全性目標(biāo)以及PSSA中定義的衍生安全性要求。

共因分析（CCA）應(yīng)通評(píng)估系統(tǒng)對(duì)共因事件的敏感度，支持系統(tǒng)架構(gòu)以及相關(guān)系統(tǒng)架構(gòu)的研制。這些共因事件通過(guò)完成特定風(fēng)險(xiǎn)分析，區(qū)域安全性分析和共模分析進(jìn)行評(píng)估。共因分析的結(jié)果將輸送到PSSA和SSA中。

當(dāng)系統(tǒng)級(jí)SSA的結(jié)果相對(duì)于系統(tǒng)級(jí)和飛機(jī)級(jí)FHA被驗(yàn)證時(shí)，系統(tǒng)級(jí)安全性評(píng)估過(guò)程便結(jié)束。

2 民用飛機(jī)安全性分析流程

系統(tǒng)安全性分析工作是將由飛機(jī)級(jí)向下分解與由系統(tǒng)/設(shè)備級(jí)向上反饋兩個(gè)過(guò)程相結(jié)合不斷迭代完成的。飛機(jī)級(jí)安全性計(jì)劃從管理的角度明確了飛機(jī)級(jí)安全性分析的流程、步驟和具體方法，一方面對(duì)飛機(jī)級(jí)的安全性分析工作（FHA/PSSA/SSA）提出了要求，另外一方面作為系統(tǒng)級(jí)安全性項(xiàng)目計(jì)劃的輸入文件，為系統(tǒng)級(jí)安全性項(xiàng)目流程和方法提供依據(jù)。

系統(tǒng)級(jí)的主要分析工作由FHA/PSSA/SSA三部分組成，F(xiàn)HA主要明確系統(tǒng)級(jí)的失效狀態(tài)和失效狀態(tài)的安全性影響等級(jí)；PSSA主要以系統(tǒng)的架構(gòu)為基礎(chǔ)，將FHA中定義的失效狀態(tài)以及失效狀態(tài)的安全性等級(jí)以故障樹(shù)的形式向下分解到子系統(tǒng)或者設(shè)備；SSA根據(jù)子系統(tǒng)或者設(shè)備的固有安全性指標(biāo)，按照系統(tǒng)確定的架構(gòu)的邏輯關(guān)系由下向上進(jìn)行安全性指標(biāo)驗(yàn)算，將驗(yàn)算的指標(biāo)與失效狀態(tài)的頂層要求進(jìn)行對(duì)比，如果系統(tǒng)的設(shè)計(jì)指標(biāo)能夠滿(mǎn)足頂事件相應(yīng)的安全性等級(jí)要求，則證明該系統(tǒng)架構(gòu)符合安全性設(shè)計(jì)要求。如果系統(tǒng)的設(shè)計(jì)指標(biāo)不能滿(mǎn)足頂事件相應(yīng)的安全性等級(jí)要求，則需要對(duì)架構(gòu)進(jìn)行相應(yīng)的調(diào)整、優(yōu)化，隨后再將上述整個(gè)過(guò)程進(jìn)行循環(huán)迭代，直到系統(tǒng)的設(shè)計(jì)指標(biāo)滿(mǎn)足頂事件的安全性要求為止。

2.1 功能危險(xiǎn)性評(píng)估（FHA）

功能危險(xiǎn)性評(píng)估是一個(gè)自上而下的分析方法，F(xiàn)HA是系統(tǒng)安全性評(píng)估的頂層文件，主要目的是確定功能及其失效狀態(tài)并評(píng)估其影響。FHA的輸出是安全性要求產(chǎn)生和分配的起始點(diǎn)。

飛機(jī)級(jí)FHA對(duì)飛機(jī)基本功能進(jìn)行的評(píng)估，確定飛機(jī)級(jí)功能相關(guān)的失效狀態(tài)并進(jìn)行分類(lèi)，建立飛機(jī)必須滿(mǎn)足的安全性要求。系統(tǒng)級(jí)的FHA也定性評(píng)估，這種評(píng)估實(shí)質(zhì)上也是不斷迭代更新的過(guò)程，應(yīng)隨著系統(tǒng)設(shè)計(jì)的逐漸進(jìn)展而變得明確和固定。系統(tǒng)級(jí)FHA考慮影響飛機(jī)功能的失效或失效組合。每個(gè)組件的研制保證等級(jí)取決于系統(tǒng)或組件相對(duì)系統(tǒng)所執(zhí)行的功能產(chǎn)生的失效影響。

在設(shè)計(jì)過(guò)程中，將飛機(jī)功能分配到飛機(jī)各個(gè)系統(tǒng)后，綜合了多重飛機(jī)功能的每個(gè)系統(tǒng)必須使用系統(tǒng)級(jí)FHA過(guò)程重新檢查。對(duì)特定硬件或軟件項(xiàng)目的評(píng)估不是系統(tǒng)級(jí)FHA的目的，但如果分離的系統(tǒng)或子系統(tǒng)使用相似的構(gòu)架或相同的復(fù)雜部件，并且引起附加的系統(tǒng)級(jí)故障條件，則應(yīng)對(duì)系統(tǒng)級(jí)FHA進(jìn)行更改以包含它們并對(duì)其進(jìn)行分類(lèi)。

2.2 初步系統(tǒng)安全性評(píng)估（PSSA）

各系統(tǒng)的初步系統(tǒng)安全性評(píng)估（PSSA）在各系統(tǒng)級(jí)FHA文件的基礎(chǔ)上進(jìn)行。PSSA初步建立了系統(tǒng)安全要求并且確定了系統(tǒng)架構(gòu)能夠滿(mǎn)足在FHA中提出的安全目標(biāo)。同時(shí)，在系統(tǒng)PSSA的分析評(píng)估工作中，也進(jìn)一步驗(yàn)證FHA中的功能危險(xiǎn)等級(jí)，隨著詳細(xì)設(shè)計(jì)的開(kāi)展，系統(tǒng)級(jí)FHA還將不斷更新。

PSSA是整個(gè)研制過(guò)程中的一個(gè)迭代分析過(guò)程，它是開(kāi)始于設(shè)計(jì)階段的初期，將飛機(jī)功能及其要求分配到系統(tǒng)級(jí)的過(guò)程。然后，將系統(tǒng)級(jí)要求分配到組件，最后將組件要求分配到硬件和軟件。

PSSA應(yīng)從系統(tǒng)FHA中識(shí)別出對(duì)失效狀態(tài)有貢獻(xiàn)的失效?？墒褂肍TA分析或其它方法來(lái)識(shí)別導(dǎo)致失效狀態(tài)可能起什么用的因素。在PSSA中應(yīng)包含硬件失效和可能的硬件/軟件差錯(cuò)，以及由共因產(chǎn)生的故障，以表明它們所起的作用以及衍生必要的系統(tǒng)和組件安全性要求。應(yīng)仔細(xì)考慮可能的潛在故障和其相關(guān)的暴露時(shí)間。

系統(tǒng)級(jí)PSSA過(guò)程有兩個(gè)主要輸入，即飛機(jī)FTA和系統(tǒng)級(jí)FHA。飛機(jī)FTA確定關(guān)注的功能失效。系統(tǒng)FHA給出下一步所需的失效狀態(tài)和分類(lèi)。共因分析（CCA）對(duì)飛機(jī)FTA作補(bǔ)充，以產(chǎn)生用于系統(tǒng)FTA的頂層失效影響。CCA還建立系統(tǒng)要求，諸如需要由系統(tǒng)設(shè)計(jì)實(shí)施的功能冗余度、功能隔離和功能獨(dú)立性。

系統(tǒng)級(jí)初步安全性評(píng)估（PSSA）是對(duì)系統(tǒng)架構(gòu)進(jìn)行核查，以確定失效導(dǎo)致由FHA所定義的危險(xiǎn)性，以及如何滿(mǎn)足FHA的要求。PSSA過(guò)程與設(shè)計(jì)定義相互作用迭代并完成更新。

2.3 系統(tǒng)安全性評(píng)估（SSA）

系統(tǒng)安全性評(píng)估是對(duì)所實(shí)現(xiàn)的系統(tǒng)進(jìn)行系統(tǒng)性的綜合評(píng)價(jià)，用來(lái)檢驗(yàn)系統(tǒng)、結(jié)構(gòu)和安裝滿(mǎn)足相關(guān)的安全性要求。系統(tǒng)安全性評(píng)估過(guò)程與PSSA的活動(dòng)相似但是范圍有所不同，PSSA是評(píng)價(jià)所提議的構(gòu)架并導(dǎo)出系統(tǒng)/組件安全性要求的方法；而SSA是綜合各種分析結(jié)果，以驗(yàn)證所實(shí)現(xiàn)的系統(tǒng)滿(mǎn)足在FHA和PSSA中所定義的定性和定量的安全性要求。系統(tǒng)安全性評(píng)估過(guò)程包括以下內(nèi)容：（1）檢驗(yàn)在系統(tǒng)級(jí)FHA中建立的安全性要求被滿(mǎn)足；（2）確認(rèn)與驗(yàn)證建立的飛機(jī)級(jí)失效狀態(tài)影響等級(jí)是合理的；（3）檢驗(yàn)在飛機(jī)級(jí)安全性要求和目標(biāo)中強(qiáng)調(diào)的、或者從飛機(jī)級(jí)安全性要求和目標(biāo)中得到的安全性要求被滿(mǎn)足；（4）檢驗(yàn)在CCA過(guò)程中識(shí)別的設(shè)計(jì)要求被滿(mǎn)足。

3 安全性分析方法

3.1 故障樹(shù)分析（FTA）

故障樹(shù)分析是一種自上而下的分析技術(shù)。這些分析通過(guò)依次展開(kāi)更詳細(xì)（低一級(jí)）的設(shè)計(jì)層次向下進(jìn)行。

當(dāng)確認(rèn)FHA中的故障狀態(tài)后，可將FTA用作PSSA的一部分，以便確定在可能導(dǎo)致每個(gè)失效狀態(tài)的較低層面上存在的（如果有的話(huà)）單一失效或失效的組合。當(dāng)執(zhí)行FMEA/FMES時(shí)，應(yīng)完成一種比較，以確保識(shí)別的所有重大影響在FTA中作為基本事件。FTA的基本事件從FMEA和/或FMES得到它們的失效率。

3.2 失效模式和影響分析（FMEA）

FMEA是一種系統(tǒng)性的自下而上的分析方法，用來(lái)識(shí)別系統(tǒng)、組件或功能的失效模式并確定對(duì)更高層次的影響，可以在系統(tǒng)內(nèi)任何層次（例如零部件或功能等）上執(zhí)行。使用功能FMEA方法，也可對(duì)軟件進(jìn)行定性分析。通常，F(xiàn)MEA用來(lái)闡明單一失效所引起的失效影響。

3.3 失效模式和影響摘要（FMES）

FMES是對(duì)產(chǎn)生相同失效影響的各單一失效模式進(jìn)行的編組（即一個(gè)特有的失效影響具有一個(gè)單獨(dú)的失效模式組）。可由制造商、系統(tǒng)綜合商或設(shè)備供應(yīng)商的FMEA匯編而成FMES。此外，F(xiàn)MES應(yīng)與用戶(hù)協(xié)調(diào)，以充分論及更高層次FMEA和/或系統(tǒng)安全性評(píng)估FTA的輸入需求。

3.4 共因分析（CCA）

可以要求功能、系統(tǒng)或組件這間的獨(dú)立性，以滿(mǎn)足安全性要求。因此，有必要確保這種獨(dú)立性的存在或確認(rèn)與獨(dú)立性相關(guān)的風(fēng)險(xiǎn)是可以接受的。共因分析（CCA）提供工具驗(yàn)證這種獨(dú)立性或識(shí)別具體相關(guān)性的方法。

參考文獻(xiàn)

[1] SAE ARP4761 GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT，SAE，1996.

[2] SAE ARP4754 GUIDELINES FOR DEVELOPMENT OF Civil Aircraft and System，SAE，1996.

[3] 25.1309-1A System design and Analysis，F(xiàn)AA，1988.