郭祺君

【摘 要】本文對民用飛機(jī)的電源系統(tǒng)安全性評估工作進(jìn)行了介紹，結(jié)合SAE ARP4761的要求和電源系統(tǒng)的研制特點(diǎn)，歸納總結(jié)了安全性評估流程。

【關(guān)鍵詞】民用飛機(jī)；電源系統(tǒng)；系統(tǒng)安全性

中圖分類號： V242.2 文獻(xiàn)標(biāo)識碼： A 文章編號： 2095-2457（2017）29-0076-002

【Abstract】The article briefly describes the system safety assessment of Electrical Power System in civil aircraft. According to the guidelines and methods from SAE ARP4761， combining the specialcharacteristic of Electrical Power System Development， the system safety assessment procedure is summarized and studied.

【Key words】Civil Aircraft； Electrical Power System； System Safety Assessment

0 引言

民用飛機(jī)電源系統(tǒng)安全性評估（SSA）過程是飛機(jī)機(jī)載電源系統(tǒng)安全性評估工作的一部分，是對飛機(jī)的電源系統(tǒng)進(jìn)行系統(tǒng)性綜合評價(jià)的過程，用以檢驗(yàn)電源系統(tǒng)的結(jié)構(gòu)和安裝滿足相關(guān)的安全性需求，同時(shí)，根據(jù)ARP4761綜合各種安全性分析的結(jié)果，以驗(yàn)證電源系統(tǒng)的設(shè)計(jì)滿足之前功能危險(xiǎn)性評估和初步安全性評估在中所定義的定性和定量的安全性需求，達(dá)到對民用飛機(jī)適航條款CCAR25.1309的符合性。

1 電源系統(tǒng)安全性評估工作概述

電源系統(tǒng)安全性評估工作包括三大過程：功能危險(xiǎn)性評估（FHA）、初步系統(tǒng)安全性評估（PSSA）和系統(tǒng)安全性評估（SSA），他們的關(guān)系如圖1所示：

電源系統(tǒng)FHA過程是用來確定電源系統(tǒng)的失效狀態(tài)，并且評估失效狀態(tài)的嚴(yán)重程度，從而確定安全性目標(biāo)；電源系統(tǒng)PSSA過程是通過定性和定量的分析制定FHA中失效狀態(tài)的緩解措施，根據(jù)措施設(shè)計(jì)系統(tǒng)構(gòu)架、安裝等。電源系統(tǒng)SSA過程是對FHA過程和PSSA過程的驗(yàn)證，確認(rèn)PSSA中緩解措施的有效性，同時(shí)驗(yàn)證緩解措施的實(shí)施。

這三個(gè)過程是可以不斷地迭代進(jìn)行，如果在任一個(gè)評估過程中發(fā)現(xiàn)了不符合項(xiàng)，則需要進(jìn)行系統(tǒng)的設(shè)計(jì)更改工作，在設(shè)計(jì)更改完成后要再次進(jìn)行系統(tǒng)安全性評估工作。

本文主要介紹電源系統(tǒng)SSA過程。

2 電源系統(tǒng)安全性評估的目標(biāo)

電源系統(tǒng)安全性評估（SSA）的目標(biāo)包括以下內(nèi)容：

（1）驗(yàn)證在電源系統(tǒng)級功能危險(xiǎn)性評估中所建立的安全性需求被滿足；

（2）確認(rèn)電源失效狀態(tài)影響等級的建立是合理的；

（3）驗(yàn)證由設(shè)計(jì)要求和目標(biāo)引出或衍生的安全性需求被滿足；

（4）驗(yàn)證在CCA過程中識別的設(shè)計(jì)需求被滿足。

3 電源系統(tǒng)安全性評估過程

根據(jù)ARP4761，綜合機(jī)載系統(tǒng)，包括電源系統(tǒng)的安全性分析和設(shè)計(jì)階段的關(guān)系如下圖2所示：

SSA過程在飛機(jī)研制的系統(tǒng)驗(yàn)證階段進(jìn)行，主要由故障樹分析（FTA），共因分析（CCA），故障模式分析（FMEA），故障模式總結(jié)（FMES）及其他能夠支持軟硬件研制保證等級的證據(jù)組成。對于軟件，一般使用DO-178C程序來驗(yàn)證軟件研發(fā)能夠達(dá)到所要求的研制保證等級，對于復(fù)雜電子硬件，一般使用DO-254來驗(yàn)證軟件研發(fā)能夠達(dá)到所要求的研制保證等級，對于綜合模塊化航電系統(tǒng)，則使用DO-297來驗(yàn)證。

3.1 故障樹分析（FTA）

FTA是在系統(tǒng)設(shè)計(jì)過程中，通過對可能造成系統(tǒng)故障的各種因素（包括硬件、軟件、環(huán)境、人為因素等）進(jìn)行分析，形成邏輯框圖，從而確定系統(tǒng)故障原因和各種可能的故障組合方式及其發(fā)生概率。在具體分析過程中，一般會采用商用軟件進(jìn)行故障組合的計(jì)算，提高故障樹的分析效率。

在系統(tǒng)設(shè)計(jì)的PSSA過程中，F(xiàn)TA是從上而下的逐級分解過程，將FHA中定義的功能失效狀態(tài)及失效概率要求根據(jù)經(jīng)驗(yàn)，初步的設(shè)計(jì)架構(gòu)，系統(tǒng)性地確定系統(tǒng)功能塊的所有的單個(gè)故障以及失效組合，向下展開分析，直到最底層的基本事件。

而在SSA過程中，驗(yàn)證人員應(yīng)結(jié)合FMEA和FMES的故障失效模式，從FTA的底部事件向上根據(jù)邏輯分析計(jì)算，驗(yàn)證在設(shè)計(jì)完成后的安全性指標(biāo)滿足電源系統(tǒng)級功能危險(xiǎn)性評估中所建立的安全性需求。

在電源系統(tǒng)FTA故障樹分析中，值得注意的是，由于現(xiàn)代民用飛機(jī)多采用多通道冗余供電，比較典型的例子是左供電通道、右供電通道和應(yīng)急供電通道。根據(jù)設(shè)計(jì)原則并考慮經(jīng)濟(jì)性，一般左右通道采取相似設(shè)計(jì)，應(yīng)急供電通道獨(dú)立于左右供電通道，而且還采取非相似性設(shè)計(jì)，驗(yàn)證FTA時(shí)應(yīng)考慮左右供電通道的共因因素，考慮通道組合失效的概率計(jì)算。

在一般的民機(jī)電源系統(tǒng)安全性分析中，采用FTA方法為主流方式，且市面上支持FTA分析的軟件應(yīng)用較為廣泛。作為演繹性的失效分析法，F(xiàn)TA也可以被相關(guān)圖（DD）和馬爾科夫分析（MA）替代。

3.2 故障模式分析（FMEA）

FMEA是一種系統(tǒng)的，由下而上地識別系統(tǒng)、單元與功能的故障模式并確定其對上層影響的方法，既是定性的也是定量。FMES是FMEA分析中具有相同影響的較低層次的失效模式的總結(jié)，用以支持在系統(tǒng)級FTA中考慮的對應(yīng)故障模式的故障率。FMES是FTA/CCA等其他分析的輸入。

3.3 共因分析（CCA）

共因分析是對共因失效進(jìn)行定性和定量分析的工具，用來檢驗(yàn)系統(tǒng)間是否滿足獨(dú)立性的需求，分析共因失效條件下系統(tǒng)失效的概率。共因分析包括單個(gè)故障模式和一些外部事件，這些事件能引起災(zāi)難性的或非常驗(yàn)證的失效狀態(tài)的后果。對于災(zāi)難性的失效狀態(tài)后果，這些共因事件必須杜絕；而對于危險(xiǎn)的失效狀態(tài)后果，這些共因事件發(fā)生的概率必須控制在給定的概率范圍之內(nèi)。共因分析包括區(qū)域安全性分析、特殊風(fēng)險(xiǎn)分析、共模失效分析。endprint

3.3.1 區(qū)域安全性分析（ZSA）

電源系統(tǒng)區(qū)域安全性分析，主要是根據(jù)飛機(jī)區(qū)域的劃分，對每個(gè)區(qū)域內(nèi)的電源系統(tǒng)設(shè)備及接口在飛機(jī)上的位置進(jìn)行分析和檢查，評定在故障和無故障情況下各系統(tǒng)潛在的相互影響，以及系統(tǒng)安裝存在的固有危險(xiǎn)的嚴(yán)重程度。電源系統(tǒng)將最終的區(qū)域安全性分析結(jié)果反饋給全機(jī)，再由飛機(jī)級的安全性分析來防止不正常時(shí)間或限制不正常時(shí)間發(fā)生的概率，保證飛機(jī)各系統(tǒng)之間的相容性和完整性。

3.3.2 特定風(fēng)險(xiǎn)分析（PRA）

特定風(fēng)險(xiǎn)分析是指與電源系統(tǒng)或產(chǎn)品外部的事件和影響相關(guān)，且可能破壞功能或故障獨(dú)立性聲明的風(fēng)險(xiǎn)，如火災(zāi)、鳥撞、輪胎爆破、閃電、高強(qiáng)度輻射場、液體泄漏等。電源系統(tǒng)的特定風(fēng)險(xiǎn)分析主要是分析電源系統(tǒng)外部的事件或因素對電源系統(tǒng)的影響，對可能產(chǎn)生的功能失效進(jìn)行分析和評估。

特定風(fēng)險(xiǎn)分析時(shí)是不考慮多種風(fēng)險(xiǎn)同時(shí)發(fā)生的情況，是以風(fēng)險(xiǎn)類型為單位進(jìn)行的專項(xiàng)評估，但在每種風(fēng)險(xiǎn)的分析過程中應(yīng)評估該風(fēng)險(xiǎn)可能引起其它風(fēng)險(xiǎn)發(fā)生的可能性，并采取有效防護(hù)措施。

在一般的民機(jī)電源系統(tǒng)設(shè)計(jì)中，應(yīng)能夠保證在任一特定風(fēng)險(xiǎn)下不會造成電源系統(tǒng)一類的失效狀態(tài)，同時(shí)造成的二類失效狀態(tài)是極少的，或者可保護(hù)的。

3.3.3 共模分析（CMA）

共模分析主要用于驗(yàn)證故障樹分析中“與門”下時(shí)間是否相互獨(dú)立。CMA必須分析對系統(tǒng)部件獨(dú)立性有影響的設(shè)計(jì)、制造、維修錯(cuò)去以及故障狀態(tài)，還必須考慮功能的獨(dú)立性。通過CMA的定性分析，從軟硬件、制造、安裝、環(huán)境以及外部因素等各方面考慮與門輸入時(shí)間是否相互獨(dú)立，可以得到FTA中與門輸入時(shí)間滿足獨(dú)立性需求的證明材料。如果CMA的定性分析無法證明FTA與門的輸入時(shí)間滿足獨(dú)立性需求時(shí)，需用CMA定量分析方法來計(jì)算共模故障條件下與門輸出事件的發(fā)生概率，進(jìn)而求的故障狀態(tài)的發(fā)生概率，以驗(yàn)證其是否滿足FHA中規(guī)定的安全性需求。在實(shí)際的運(yùn)用中，也可以用試驗(yàn)的方法來對共模故障進(jìn)行檢測以達(dá)到檢驗(yàn)獨(dú)立性需求的目的。

3.4 軟硬件研制保證等級

在現(xiàn)代民用飛機(jī)的電源系統(tǒng)設(shè)計(jì)中，由于電控技術(shù)的廣泛使用，越來越多的功能采用軟件或者復(fù)雜電子硬件來實(shí)現(xiàn)，因此FTA中會包含軟件或復(fù)雜電子硬件的事件。而軟件和復(fù)雜電子硬件的錯(cuò)誤發(fā)生是隨機(jī)的，不同于硬件失效，這些概率不可能用定量值來表示。因此，一般借助預(yù)防軟件錯(cuò)誤的研制保證，從定性的角度上來滿足對分析的符合性。業(yè)內(nèi)一般使用工業(yè)標(biāo)準(zhǔn)DO-178C來驗(yàn)證軟件研發(fā)能夠達(dá)到所要求的研制保證等級；對于復(fù)雜電子硬件，一般使用DO-254來驗(yàn)證軟件研發(fā)能夠達(dá)到所要求的研制保證等級。

3.5 系統(tǒng)的運(yùn)行限制

隨著研制狀態(tài)的進(jìn)展，電源系統(tǒng)在飛機(jī)研制的各個(gè)階段，如首次滑行、首次飛行、轉(zhuǎn)場飛行、取證試飛等階段，可能存在不同的設(shè)備構(gòu)型，因此可能會產(chǎn)生不同的運(yùn)行限制，在每階段的或者每架機(jī)的安全性分析報(bào)告中，都應(yīng)該對系統(tǒng)的運(yùn)行限制進(jìn)行說明，以明確系統(tǒng)安全性分析的限制。

3.6 電源系統(tǒng)非正常和應(yīng)急操作程序

系統(tǒng)的非正常和應(yīng)急操作程序包括故障導(dǎo)致的報(bào)警信息、故障原因、故障影響，以及飛行機(jī)組對故障的隔離和糾正的邏輯，是否有級聯(lián)或并發(fā)的故障，及相關(guān)的應(yīng)急和非正常程序。

3.7 安全性需求確認(rèn)和驗(yàn)證

系統(tǒng)的安全性需求的確認(rèn)和驗(yàn)證工作是用來確保電源系統(tǒng)安全性需求的正確性和完整性，以達(dá)到安全性評估工作的閉環(huán)。主要評估需求是否能正確的反映了安全性分析，并且是否包含了所有由安全性評估產(chǎn)生的衍生需求。

需求確認(rèn)過程中的嚴(yán)酷度應(yīng)根據(jù)安全性評估過程中分配和確認(rèn)的系統(tǒng)和設(shè)備研制保證等級確定。對于衍生需求，應(yīng)該從安全性的角度，逐步在各較高系統(tǒng)層級中檢查，直至確定影響消失為止。

3.9 電源系統(tǒng)維護(hù)需求和驗(yàn)證

電源系統(tǒng)的維護(hù)需求和驗(yàn)證分析是在電源系統(tǒng)功能危險(xiǎn)分析的基礎(chǔ)上，通過FMEA得出電源系統(tǒng)存在的潛在失效事件，同時(shí)在電源系統(tǒng)的災(zāi)難級或危險(xiǎn)級故障樹中提取相關(guān)的潛在失效事件對其進(jìn)行分析后，得出電源系統(tǒng)的CCMR項(xiàng)目。CCMR任務(wù)時(shí)間間隔通過電源系統(tǒng)故障樹（FTA）計(jì)算得出。

3.10 MMEL建議/程序

電源系統(tǒng)進(jìn)行安全性評估時(shí)已考慮最嚴(yán)酷的情況，即考慮已有設(shè)備失效的MMEL可派遣情況。應(yīng)確保在此基礎(chǔ)上完成的安全性評估，仍然是滿足各失效狀態(tài)的安全性需求。應(yīng)通過分析說明在MMEL派遣情況下，電源系統(tǒng)安全性水平仍能滿足相關(guān)安全性要求。

4 結(jié)論

本文對電源系統(tǒng)的安全性評估（SSA）工作進(jìn)行了說明，可供民用飛機(jī)電源系統(tǒng)安全性工作使用。

電源系統(tǒng)的安全性評估工作是一個(gè)迭代的過程，對每一個(gè)PSSA過程都應(yīng)當(dāng)有一個(gè)SSA過程進(jìn)行支撐和驗(yàn)證，同時(shí)對于同一型號但電源系統(tǒng)構(gòu)型存在差異的每一架機(jī)，也會存在不同的SSA過程。任何在安全性評估工作中發(fā)現(xiàn)的不符合項(xiàng)目，都必須反饋到電源系統(tǒng)設(shè)計(jì)層面，重新進(jìn)行設(shè)計(jì)更改和分析工作，然后對設(shè)計(jì)更改后的構(gòu)型進(jìn)行再一次的SSA分析過程。

【參考文獻(xiàn)】

[1]SAE ARP4761 GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT.

[2]中國民用航空規(guī)章第25部運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn).endprint