李磊++徐世寧

摘 要：民用飛機(jī)初步系統(tǒng)安全性評(píng)估（PSSA）過程是民機(jī)安全性設(shè)計(jì)中的關(guān)鍵技術(shù)和重要方法。該文結(jié)合SAEARP4754A和ARP4761的要求，緊密聯(lián)系系統(tǒng)研制的過程，介紹了初步系統(tǒng)安全性評(píng)估的意義、目的和具體實(shí)施過程。針對(duì)ARP4754A中提出的新概念功能失效集與最小隔集概念進(jìn)行解釋和比較，對(duì)比異同點(diǎn)，確定其工程實(shí)踐中的具體操作方法。最終在研制保證等級(jí)分配流程的基礎(chǔ)上，給出PSSA過程完整的建議操作流程以及工作依據(jù)，并舉例說明整個(gè)過程中的難點(diǎn)問題，有效指導(dǎo)民機(jī)初步系統(tǒng)安全性評(píng)估工作的開展。

關(guān)鍵詞：初步系統(tǒng)安全性評(píng)估 研制保證等級(jí) 功能失效集 研制保證等級(jí)

中圖分類號(hào)：V223 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2015）08（a）-0028-02

1 概述

民用飛機(jī)的安全性評(píng)估過程是系統(tǒng)研制過程的一部分，與系統(tǒng)研制過程平行進(jìn)行。初步系統(tǒng)安全性評(píng)估（PSSA）過程是系統(tǒng)安全性評(píng)估的重要環(huán)節(jié)。SAE于2010年發(fā)布的4754A《民用飛機(jī)與系統(tǒng)研制指南》中明確要求使用PSSA的方法確保飛機(jī)系統(tǒng)研制的分配和確定過程（雙“V”型研發(fā)流程的左側(cè)）能夠滿足安全性要求。ARP4761《民用機(jī)載系統(tǒng)和設(shè)備安全性評(píng)估過程指南和方法》中提出了PSSA的具體方法。ARP4754A告訴我們“要做什么”，ARP4761來(lái)解決“怎么做”的問題。但由于指南僅提出要求，在實(shí)踐中各人理解的差別會(huì)導(dǎo)致結(jié)果出現(xiàn)很多偏差，該文結(jié)合工程實(shí)踐經(jīng)驗(yàn)，研究具體系統(tǒng)研發(fā)過程中PSSA的操作方法，對(duì)工程實(shí)踐提供指導(dǎo)。

2 初步系統(tǒng)安全性評(píng)估過程的目標(biāo)

系統(tǒng)的PSSA過程貫穿于整個(gè)系統(tǒng)研制全生命周期，結(jié)合系統(tǒng)功能的分配、分解和確定進(jìn)行，是自上而下反復(fù)迭代的分析過程。在安全性評(píng)估的三個(gè)主要過程（功能危險(xiǎn)性分析FHA、PSSA和系統(tǒng)安全性評(píng)估SSA）中，PSSA起到了一個(gè)承上啟下的作用。由此可以明確PSSA過程的主要目標(biāo)為以下4方面。

（1）完善飛機(jī)級(jí)及系統(tǒng)級(jí)安全性要求清單，檢查飛機(jī)級(jí)及系統(tǒng)級(jí)FHA的結(jié)果；

（2）系統(tǒng)化的檢查系統(tǒng)架構(gòu)如何滿足FHA的安全性要求，考察系統(tǒng)構(gòu)架中有哪些子系統(tǒng)和組件失效能夠?qū)е掠蒄HA確定的功能危險(xiǎn)；

（3）在研制周期內(nèi)調(diào)整并評(píng)估設(shè)計(jì)更改；

（4）得出較低層次系統(tǒng)和組件的設(shè)計(jì)、安裝等定性和定量的安全性要求。

3 初步系統(tǒng)安全性評(píng)估（PSSA）的實(shí)施過程

初步系統(tǒng)安全性評(píng)估過程主要分為以下幾個(gè)階段進(jìn)行：收集PSSA輸入數(shù)據(jù)；根據(jù)系統(tǒng)功能架構(gòu)定義失效狀態(tài)的初步故障分析（FTA）結(jié)構(gòu)；進(jìn)行失效狀態(tài)評(píng)估后實(shí)施PSSA過程中子系統(tǒng)/組件的研制保證等級(jí)（DAL）分配和失效概率分配；同時(shí)考慮共因源對(duì)獨(dú)立性影響的分析，最終得對(duì)子系統(tǒng)/組件定性和定量的設(shè)計(jì)要求和安全性目標(biāo)。

下面對(duì)PSSA實(shí)施過程的主要階段進(jìn)行分析。

3.1 PSSA的輸入

在開始進(jìn)行PSSA評(píng)估過程之前，需收集相關(guān)的數(shù)據(jù)信息，這些信息包括但不局限于以下內(nèi)容：來(lái)自飛機(jī)級(jí)/系統(tǒng)FHA和相關(guān)功能的失效狀態(tài)；高級(jí)別安全性評(píng)估得出的需求；相關(guān)的系統(tǒng)功能；包含系統(tǒng)接口的推薦的系統(tǒng)架構(gòu)；共因源信息。這些信息共同構(gòu)成了PSSA分析的基礎(chǔ)，為后續(xù)進(jìn)行有效的分析過程提供必要的數(shù)據(jù)保障。

3.2 建立PSSA階段初步故障樹分析模型

針對(duì)需要分析的失效狀態(tài)涉及的系統(tǒng)功能架構(gòu)，建立PSSA階段初步的故障樹分析（FTA）模型。FTA通過分層次、分支路的構(gòu)建方法，演繹性的表明引起該失效狀態(tài)的各種子功能/組件失效之間的架構(gòu)關(guān)系，進(jìn)而可以自上而下的得到低級(jí)別失效定性和定量的安全性要求，并驗(yàn)證推薦的系統(tǒng)功能架構(gòu)是否滿足安全性目標(biāo)。對(duì)于確定的架構(gòu)，PSSA里面需要進(jìn)行詳細(xì)的架構(gòu)說明。

3.3 研制保證等級(jí)的分配過程

ARP4754A里要求通過分析功能失效集（FFS）中成員的方法分析子系統(tǒng)/組件錯(cuò)誤組合對(duì)頂層失效狀態(tài)的影響關(guān)系，并通過對(duì)FFS成員的研制保證等級(jí)（DAL）的分配得到對(duì)子系統(tǒng)和組件的設(shè)計(jì)要求。系統(tǒng)功能的DAL分配過程是針對(duì)FHA和初步飛機(jī)級(jí)安全性分析以及高層次級(jí)別PSSA階段進(jìn)行，組件的DAL分配過程針對(duì)低層次級(jí)別PSSA過程。為了明確概念方便后續(xù)分析的開展，現(xiàn)對(duì)ARP4754A中的FFS概念和ARP4761中FTA的最小割集進(jìn)行比較分析。

3.3.1 功能失效集（FFS）和故障樹分析（FTA）中的最小割集概念比較分析

在ARP4764A中新提出了功能失效集合（FFS）的概念，即當(dāng)任意一個(gè)FFS中的所有成員的錯(cuò)誤同時(shí)發(fā)生時(shí)，就能導(dǎo)致該FFS最頂層的失效狀態(tài)的發(fā)生。FFS成員表示潛在的研制錯(cuò)誤的結(jié)果，而非失效。在保證了每個(gè)FFS中所有成員獨(dú)立性的情況下，針對(duì)該FFS中各個(gè)成員進(jìn)行功能保證等級(jí)分配（DAL），對(duì)支持頂層失效狀態(tài)的研制保證等級(jí)和該功能架構(gòu)研制置信度是非常重要的。

當(dāng)完成了針對(duì)某個(gè)失效狀態(tài)下所有FFS中的全部成員進(jìn)行功能DAL分配時(shí)，按照DAL分配原則，可能會(huì)有多種符合要求的分配結(jié)果，然后需要進(jìn)行各FFS中成員之間分配結(jié)果的交叉檢查，統(tǒng)籌考慮整個(gè)失效模式下所有FFS成員的分配，刪除各FFS之間矛盾的分配結(jié)論，最終得到合理并且滿足要求的所有底層子系統(tǒng)/組件錯(cuò)誤的DAL結(jié)果。

ARP4761中的最小割集概念基于故障樹分析工具得到，是通過FTA架構(gòu)，各邏輯門關(guān)系得出的引起頂事件發(fā)生的基本事件的最低限度集合。

FTA中最小割集是針對(duì)失效，該集合中的成員均來(lái)自失效模式及影響分析（FMEA）中的設(shè)備或組件的各種失效模式。而FFS是針對(duì)錯(cuò)誤的。在AMC25.1309的定義中，錯(cuò)誤是指人員疏忽或不正確的行為，或在研制、設(shè)計(jì)過程中的差錯(cuò)。失效是指能夠影響零部件的工作使其不能執(zhí)行預(yù)期功能的事件（其中包括功能喪失和功能式故障）。錯(cuò)誤會(huì)能夠引起失效，但是不能認(rèn)為錯(cuò)誤就是失效。FFS的意義涵蓋但不能完全等同于FTA中最小割集。endprint