南京航空航天大学
硕士学位论文
民用飞机安全性分析方法研究及软件系统设计
姓名:车程
申请学位级别:硕士
专业:安全技术及工程
指导教师:孙有朝
20081201
南京航空航天大学硕士学位论文
摘 要
论文阐述了国外民机安全性设计的现状以及我国与飞机设计先进国家之间的差距,说明了进行民机安全性设计的目的和意义。分析了马尔柯夫分析在民机安全性评估中的适用性,针对安全性分析方法在工程中的应用进行了研究,建立了民机安全性分析评估软件系统。
主要研究内容有:
1.阐述民用飞机安全性评估在民机设计各个阶段中的工作内容。分析功能危险分析、故障模式影响分析、故障树分析等安全性分析方法在民机安全性评估各个阶段中的作用和应用时机。
2.针对功能危险分析和马尔柯夫分析在民机安全性评估中的应用进行了较为深入的研究和探索。说明了在民用飞机研制过程中开展功能危险分析的目的、作用和应用时机。提出了民用飞机整机级和系统级功能危险分析的基本方法。给出了进行分析时应考虑的主要因素,制定了适用于民用飞机功能危险分析的分析表格;阐明了马尔柯夫分析的作用与应用时机,给出了在初步系统安全性评估与系统安全性评估中进行马尔柯夫分析的一般方法,将马尔柯夫分析与故障树分析的结论进行了对比,表明了马尔柯夫分析在民机安全性评估中的适用性。在总结上述研究成果的基础上,以“机轮刹车系统”为例,给出了一个完整的民机安全性分析流程应用实例。
3.以民机安全性评估方法与程序为理论基础,开发了基于B/S模式的民机安全性评估系统。实现了民用飞机功能危险分析、共模故障分析、区域安全性分析、特殊风险分析等安全性分析方法的计算机化,构建了用户管理、安全性分析、数据管理、打印及用户帮助模块。
关键词:民用飞机,初步系统安全性评估,系统安全性评估,功能危险分析,马尔柯夫分析,B/S模式。
I
民机安全性分析方法研究及软件系统设计
II
Abstract
This paper first set out the current situation of civil aircraft safety assessment on abroad and
the gap between our country and the developed country on aircraft design. The applicability of Functional hazard analysis and markov analysis in civil aircraft safety assessment is analyzed.The safety assessment methods in engineering application research is studied. The civil aircraft safety assessment software system is builed.
The main contents are as following:
1.The safety assessment procedures are divided into three stages,Including:safety requirements are fixed, Preliminary system safety assessment, System safety assessment. adopted safety analysis method in Three stages have been studied, The civil aircraft safety assessment procedure is provided.
2.This paper analyze deeply about Funcitional Hazard Analysis and Markov Analysis.Illustrated the purpose,effect and application stage of FHA in safety assessment, The methods of aircraft FHA and system FHA was proposed, Civil aircraft FHA form was Formulated, Clarified the opportunity of the MA for Civil aircraft’s develop. Based on the results of this study, The wheel brake system was regarded as an example, An completed safety analysis procedure.was Established
3.Civil aircraft safety assessment method and procedure was regarded as the theoretical basis, Based on B/S civil aircraft safety assessment software system was developed, Civil aircraft FHA, CMA, ZSA, PRA, were realized in software system, User management model, Safety assessment model, Data management, Print and help model were builded.
Keywords: Civil Aircraft, Preliminary System Safety Assessment, System Safety Assessment, Funtion Hazard Analysis, Markov Analysis, Browser/Server.
南京航空航天大学硕士学位论文
图、表清单
图2.1民机设计各阶段安全性分析工作 (6)
图2.2整机丧失滚转控制或滚转控制功能严重衰退FTA示意图 (8)
图2.3PSSA输入输出信息流 (12)
图2.4安全性分析深度决策图 (13)
图2.5分析方法的作用和相互关系 (14)
图2.6SSA分析流程图 (15)
图3.1“V1速度后起落架无指令收起”的状态转移图 (23)
图3.2“V1速度后起落架无指令收起”为顶事件的故障树 (24)
图4.1整机级功能图 (25)
图4.2整机级初步故障树 (28)
图4.3“无通告的机轮的刹车功能完全丧失”故障树(初版) (33)
图4.4“无通告的机轮的刹车功能完全丧失”故障树 (34)
图4.5机轮刹车系统功能完全丧失故障树 (36)
图5.1民机安全性分析系统组织模块 (39)
图5.2系统顶层数据流图 (40)
图5.3用户管理模块数据流图 (40)
图5.4功能危险分析(FHA)模块数据流图 (41)
图5.5数据管理模块数据流图 (42)
图5.6民用飞机安全性分析数据库设计图 (43)
图5.7民机安全性分析系统登录页面 (45)
图5.8民机安全性分析系统主界面 (46)
图5.9民机安全性分析系统整机级功能危险分析界面 (47)
图5.10民机安全性分析系统共模故障分析(CMA)界面 (47)
图5.11民机安全性分析系统特殊风险分析(PRA)界面 (49)
表2.1FHA故障状态分类 (7)
表3.1安全性分析方法 (16)
表3.2建议的民机功能危险分析表 (21)
表4.1整机级FHA(以飞机地面减速功能为例) (27)
表4.2机轮刹车系统FHA(以机轮地面减速为例) (30)
表4.3机轮刹车系统安全性要求与设计方案 (32)
表4.4派生的刹车系统安全性要求 (32)
表4.5机轮刹车系统故障模式及影响分析总结 (35)
表4.6系统安全性要求最终验证表 (37)
表5.1DB_A CCESS类结构表 (44)
V
民机安全性分析方法研究及软件系统设计
VI 注释表
FHA 功能危险分析JAR 联合航空规章(欧洲)PFHA 初步功能危险分析FAR 联邦航空条例(美国)FFHA 最终功能危险分析CCAR 中国民用航空规章AFHA 整机级功能危险分析TC 型号合格审定
CCA 共因故障分析STC 补充型号合格审定FMEA 故障模式影响分析PACU 位置与动作控制组件PSSA 初步系统安全性评估RTO 中断起飞
SSA 系统安全性评估DBMS 数据库管理系统
CMA 共模故障分析B/S 浏览器/服务器
PRA 特殊风险分析C/S 客户端/服务器
ZSA 区域安全性分析MVC 模型-视图-控制器
GJB 中华人民共和国国家军用标准UI 用户界面
HB 航空工业标准AJAX 异步的JavaScript和XML APU 辅助电源设备WBS 机轮刹车系统
BSCU 刹车系统控制组件AC 咨询通告
AP 适航程序DataSet 数据集
DAL 数据访问层BOL 业务逻辑层
承诺书
本人郑重声明:所呈交的硕士学位论文,是本人在导师指导下,独立进行研究工作所取得的成果。尽我所知,除文中已经注明引用的内容外,本学位论文的研究成果不包含任何他人享有著作权的内容。对本论文所涉及的研究工作做出贡献的其它个人和集体,均已在文中以明确方式标明。
本人授权南京航空航天大学可以有权保留送交论文的复印件,允许论文被查阅和借阅,可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或其它复制手段保存论文。
(保密的学位论文在解密后适用本承诺书)
作者签名:
日期: 年 月
南京航空航天大学硕士学位论文
第一章 绪论
1.1课题背景
目前,民用飞机作为一种主要的交通工具,以其经济、快捷、舒适的特点正在得到迅猛的发展。安全、可靠、舒适、经济等民机的基本要求也越来越受到民机制造商和运营单位的重视,并在以往经验的基础上,不断发展相关学科,采取有力措施,提高民机的安全性、可靠性、舒适性和经济性[1-5]。
不同于军机的高战术技术性能要求,飞行安全是对民机的首要要求。民机安全性是民用飞机不发生事故的能力,它是民用飞机的重要特性。世界上自第一架民机上天以来,至2008年11月28日,我国首架拥有完全自主知识产权的ARJ21-700新型涡扇支线飞机在上海成功实现首飞,已经过了几番更新换代。每代民机的发展,都推动了机载系统和设备的功能及性能的发展,影响飞行安全的一些因素已基本解决。然而,就世界范围来说,由于民机设备、机场设施和驾驶技巧等原因,空难事件及飞行事故仍威胁着人类,至于航班延误更屡见不鲜。因此,进一步解决民航运输业的安全问题仍是民用飞机迫切的课题。世界各国的适航部门都颁布了适航条例来确保民用飞机的营运安全,如美国联邦航空局颁布了《联邦航空条例》,欧洲联合航空局颁布了《联合航空规章》,中国民用航空管理总局也颁布了《中国民用航空规章》[6,7]。
美国在安全性领域处于国际领先水平。美国军用标准MIL-STD-882《对系统及有关子系统及设备的安全系统程序要求》是美国安全设计领域使用最为广泛的标准,并被日本和西欧各国引进;而其它的一系列标准如SAE ARP 4754《对高度综合或复杂系统的合格审定考虑》、SAE ARP 4761《民用运输系统和设备安全性分析程序的指导方针和方法》也提出了较为详尽的安全适航符合性验证方法。欧美著名的航空器制造商如波音、空客、庞巴迪等也都制定了相应的“安全适航符合性验证方法程序”,作为其产品安全性设计和分析的准则。
基于我国民用飞机安全性基础研究薄弱,缺乏必要的试验数据和实际使用数据。目前还没有专门的民用飞机安全性分析准则,缺少有效可行的民用飞机适航安全性分析方法等现状,本论文对民用飞机安全性评估程序、功能危险分析和马尔柯夫分析等安全性评估方法进行深入研究,构建民机安全性评估方法与相关模型,开发安全性分析软件系统,以支持民用飞机安全性设计分析工作。
1.2国外民机安全性设计研究概况
国外航空工业先进国家非常重视飞机安全性设计和分析工作,例如B707、Comet4、DC-8、Caravelle、Convairs等第一代喷气式飞机在飞机上进行安全性试验,显著降低了事故发生率,然而事故发生率还是比希望的高出许多;B727、B737-100/200、B747、DC-9、
1
民机安全性分析方法研究及软件系统设计
L-1011、DC-10、A300等第二代喷气式飞机正式使用了故障模式及其影响分析(FMEA),进一步显著降低了事故发生率,但相关硬件仍然发生事故;B737-300到900、B757、B767、B747-400、B777、MD-80、MD-90、MD-11、A319到A340第三代喷气式飞机正式使用FHA (功能危险性分析)、FMEA、FTA(故障树分析)进行安全性分析使得相关系统的事故率实质性地降低。
从上世纪70年代以来,由于民用飞机事故不断增加,美国联邦航空局颁布的运输类飞机适航标准FAR-25要求中的有关条款不断地被修订,对飞机安全性设计工作的要求不断提高。60及70年代的改进发动机,使用更可靠的推进系统,航空事故减少了许多。90年代以后,进一步改进了民机的设计工作,设计中考虑了人为因素,研制了更人性化和现代化的驾驶舱,大大减少了因驾驶员负荷过重所引起的灾难。
民用飞机的设计及使用必须确保飞机在规定的使用范围内具有飞行及乘员安全的特性,既具有规定的适航性。为此,民用工业发达的国家都制定了专门的适航条例来保证民用航空的安全,例如,美国的《联邦适航条例》(FAR)、欧洲的《联合适航条例》(JAR)以及原苏联的《民用飞机适航条例》等。这些条例对飞机设计及制造质量、航行及空中交通管制等提出了最低标准的要求和规定,它们是民用飞机设计必须遵循的法规和基准。其中,FAR25.1309和JAR25.1309及它们的有关文件都规定了飞机及系统安全性指标和评定的一般要求。民用飞机的设计必须满足这些要求,才能取得相应的适航证书[7]。
经过几十年多个型号的研制经验,制定了如SAE ARP 4761、SAE ARP 4754等顶层文件,形成了一整套完整的安全性管理、设计、分析、试验与评估方法,建立了相应的文件体系和工作指南,能够有效指导飞机在研制阶段有效地开展安全性设计和分析工作,并开发了相应的计算机辅助分析软件。另外,研究机构和航空公司还建立了民用飞机可靠性数据库,收集了大量的航线使用数据和故障、维修信息,有力地支持了民用飞机的研发工作。由此,使得国外航空飞机制造公司开展安全性工作比较方便、可行。
1.3我国民机安全性设计与先进国家的差距
国内民用飞机安全性工作还处于探索阶段,已根据国外先进航空工业的适航条例,结合我国的具体情况,制定了《运输类飞机适航标准》,其中也对民用飞机的安全性提出了明确的要求。安全性要求的评估要求与国外适航条例基本一致。上世纪80年代,为确保运七飞机的安全飞行,民航和航空航天工业部组织了攻关组,对运七飞机的小速度特性(含失速速度和失速特性)进行了较系统的研究。在开展该项工作的研究中,向波音公司进行了民机的大迎角风洞试验、失速特性分析和失速试飞等技术的咨询,这对圆满的完成运七飞机的小速度特性研究起到了一定作用。经过两年来研究得出,运七飞机在襟翼放下38o 的着陆和复飞形态,气动特性明显变差,安全余度变小,当襟翼偏度减小时,气动力特性明显变好。因此,建议采用30o襟翼着陆。同年民航就在运七飞行手册中予以贯彻[8]。
90年代,在原航空航天工业部(中国航空工业总公司)的组织和支持下开展了“高平尾2
南京航空航天大学硕士学位论文
民机失速、深失速特性研究”项目,进行了大量的研究工作。在研究工程中,与俄罗斯、乌克兰等国进行了一系列基础研究工作,获得了大量这一领域的研究成果。
ARJ21飞机的安全性设计采用国际上通用的模式进行,在对国外相应的民机安全性设计、分析规范的消化吸收基础上,通过与适航部门、飞机用户和国外供应商的技术交流,基本上了解了民用飞机安全性工作的程序和方法,采用功能危险分析等方法对安全性要求进行分解,形成对系统的直接设计要求,各系统按照安全性要求开展方案设计和详细设计,并在各研制阶段开展相应的安全性分析和评估。但因方法掌握不完善,导致安全性设计分析工作一直滞后于设计工作,并且部分工作开展的深度无法满足飞机需要,对飞机设计工作产生了相当大的影响。
由于新型民用飞机的安全性工作一直处于预研和前期论证阶段,还没有走完一个完整的研制过程,还有许多问题需要研究和开发。例如,我国航空界缺乏民用飞机外场使用数据库和故障维修数据库,无法支持设计部门对民用飞机系统、设备的安全性指标进行分析论证,提出的安全性工作不尽合理和可行。通过对我国民航适航部门、航空工业设计制造单位及各航空公司的走访调研,总结得出国内民用飞机安全性工作现状为:民航业还没有专门的民用飞机安全性分析准则,缺少有效可行的安全性分析方法。航空工业部门也没有适用的民用航空产品设计标准,只能参考军用标准,例如GJB900《系统安全性通用大纲》、GJB/Z99《系统安全工程手册》、GJB663《军用通信设备及系统安全要求》等,而这些军用标准大多是根据美国的军用标准直接翻译而成。
我国目前还没有建立能够支持和约束民用飞机安全性工作的民用飞机安全性管理、设计、分析、试验与评估体系,对一些飞机安全性分析所必须的方法和手段还没有完全掌握。如果不尽快开展民用飞机安全性设计、分析与评估技术研究,不建立民用飞机安全性设计、分析与评估程序和方法,不建立开展该项工作所必需的可靠性数据信息系统,在民用飞机研制中就无法正常开展安全性设计、分析与评估工作,民用飞机就无法取得适航部门颁发的适航证,就不能顺利进入航线营运,这将对我国民用飞机的发展产生严重的不良影响。
1.4全文组织结构及研究内容
第一章介绍了论文研究背景、目的及意义;分析了国内外研究现状、发展趋势与所存在的问题,提出了本文的主要研究内容。
第二章阐述了民用飞机安全性评估在民机设计各个阶段中的工作内容。分析了功能危险分析、故障模式影响分析、故障树分析等安全性分析方法在民机安全性评估各个阶段中的作用和应用时机。
第三章研究“功能危险分析”和“马尔柯夫分析”在民机安全性评估中的应用,提出了民用飞机功能危险分析的基本方法和步骤,制订了民机功能危险分析表格;阐明了马尔柯夫分析的作用与应用时机,给出了在初步系统安全性评估与系统安全性评估中进行马尔柯夫分析的一般方法。
3
民机安全性分析方法研究及软件系统设计
4第四章对某型民用飞机“机轮刹车系统”进行了系统级功能危险分析,确立了系统级安
全性要求,在初步系统安全性评估阶段,通过故障树(定性)分析明确了系统更低层次的设计中必须满足的安全性要求。在系统安全性评估阶段通过故障模式影响分析和故障树分析验证了系统设计能够满足机轮刹车系统FHA中提出的安全性要求。通过一个较完整的民机安全性分析流程应用实例验证了“民机安全性分析方法”的可行性。
第五章在现有安全性、可靠性分析软件的基础上,以民机安全性评估方法与程序为理论基础,开发了基于B/S模式的民机安全性评估系统。实现了民用飞机功能危险分析、共模故障分析、区域安全性分析、特殊风险分析等安全性分析方法的计算机化,构建了用户管理模块、安全性分析、数据管理、打印及用户帮助模块。
第六章简要归纳论文工作与创新点,对研究工作进行总结,并指出进一步研究开发的努力方向。
南京航空航天大学硕士学位论文
第二章 民机安全性评估流程研究
民机安全性评估流程提供一种评估整机、系统功能,及确保飞机设计过程中能正确处理相关危险的方法体系。本章将对功能危险分析、特殊风险分析、故障树分析在民机安全性评估中的作用及应用时机进行分析。
2.1概述
安全性评估流程应该充分考虑到系统的复杂性和由于系统集成所产生的依赖关系,必须能识别所有相关的故障状态,充分考虑到引起这些故障状态的故障组合[9]。对民用飞机机进行安全评估工作,在飞机设计的初始阶段就必须进行,整个过程涵盖飞机设计及试验验证的各个环节。一般民用飞机的设计可以分为如下四个阶段[12]:
ü概念设计阶段:提出飞机设计需求,明确飞机的整机级功能、飞机的整体结构以及与飞机整机级相关的设计要求;
ü初步设计阶段:在飞机设计需求的基础上进行系统设计,明确系统功能、系统结构以及系统要求;
ü详细设计阶段:在前面两个阶段工作的基础上,为飞机进行详细的结构功能设计;
ü设计验证阶段:通过试验分析保证在概念设计阶段提出的飞机设计需求能够满足,如不满足则更改设计,直到满足需求为止。
考虑各设计阶段的输入输出信息流,结合各种安全性分析方法及其应用时机的具体要求,将民用飞机的安全性评估流程划分为安全性要求确定、PSSA(初步系统安全性评估)、SSA(系统安全性评估)三个阶段。图2.1给出了民机设计各阶段安全性分析工作的内容[3]。
由图2.1可知安全性评估流程贯穿于民用飞机研制的各个阶段,在飞机研制的概念设计阶段建立整机安全性要求,主要工作内容包括:进行整机级功能危险分析FHA建立整机级安全性要求,共因故障分析CCA中特殊危险分析PRA可以作为整机级FHA的补充来分析特殊事件造成的故障状态,通过整机级故障树分析FTA为各系统分配安全性要求,适航当局认证整机级安全性要求,认证通过方能确定[14];在飞机初步设计阶段进行系统级功能危险分析建立系统安全性要求,本阶段的工作包括:进行系统级FHA确立系统级安全性要求;PRA可作为系统级FHA的补充,按照整机级FTA的结果对系统级FHA的结果进行验证。进行初步系统安全评估PSSA时采用定性的FTA技术确定系统各层次的安全性要求,采用CCA中的共模故障分析CMA来确定系统冗余度、功能结构的独立性等方面的要求;飞机设计详细设计和试验验证阶段进行系统安全性评估。本阶段包括系统级安全性要求的验证和整机级安全性要求的验证。本阶段的具体工作为:在系统安全性评估(SSA)中采用FMEA和定量FTA,按照自下而上的顺序对系统安全性进行评估,在此基础上完成整机级安全性评估;使用CCA中的区域安全性分析ZSA来确定各区域内设备安装之间的相互影响、环境对系统的影响,保证飞机各部分的安全性[15]。
5
民机安全性分析方法研究及软件系统设计
6图2.1 民机设计各阶段安全性分析工作
2.2安全性要求确定方法研究
整机安全性要求建立和系统安全性要求确定阶段是安全性要求的确定阶段,这一时期,飞机的详细设计尚未完成,在安全性分析中只能采用自上而下的分析方法。尤其需要强调的是,为了体现对民机安全适航的符合性,整机安全性要求建立阶段中的整机级FHA 必须经过适航当局认证方能通过。
2.2.1整机安全性要求确定方法研究
整机级安全性要求确定阶段需要进行整机级FHA建立整机级安全性要求,共因故障分析CCA中特殊危险分析PRA作为整机级FHA的补充来分析特殊事件造成的故障状态;通过整机级故障树分析FTA为各系统分配安全性要求;适航当局认证整机级安全性要求,认证通过方能确定。本阶段对应于概念设计阶段。
2.2.1.1整机级FHA
整机级FHA是综合地检查产品的各种功能,识别各种功能故障状态,并根据其严重程度对其进行分类的一种安全性分析方法[3,15-21]。FHA中通常按照故障后果的影响将故障状态分为四类,即“较小的”、“较大的”、“危险的”以及“灾难性的”。表2.1列出了FHA故障状态的分类及后续分析方法。
南京航空航天大学硕士学位论文
7
表2.1 FHA 故障状态分类故
障
等
级
严酷度出现可能性故障影响后续分析方法最大允许发生概率值I 灾
难
性
极不可能引起飞机损坏或人员伤亡,且机组无法采取有效的纠正措施以保证飞机继续安全飞行或安全着陆。FMEA FTA 1E-9每飞行小时II 危
险
极小可能极大地降低飞机的安全裕度,极大加重了机组的负担与压力使其无法正确完成操作,有可能造成人员伤亡。FMEA FTA 1E-7每飞行小时III 较
大
很小可能明显降低飞机的安全裕度,明显增加机组人员工作负担,机上人员会有不适感觉但无生命危险。FMEA 1E-5每飞行小时IV 较
小可能对飞机的安全性影响极小,可能会给机上人员带来少许不便。无
无要求这些分类,在为设计建立安全性要求的同时,也确定了后继的安全性分析评估的深度,明确了进一步分析的方法,所以整机级FHA 是新机型或改进机型设计过程中安全性分析的第一步。FHA 的主要目的就是发现潜在危险或突变故障模式,以控制或避免可能危险后果的发生。
为了使飞机总体上达到适当的安全性水平,首先必须确定飞机的功能、识别与这些功能相关的故障状态并按这些故障状态的影响对其进行分类,这个过程就是整机级FHA 。整机级FHA 是安全性设计循环的开始,它对与飞机整机相关的故障状态进行分类,并由此提出飞机安全性设计的目标(也就是整机级安全性要求)。
整机级FHA 主要用来识别可能发生的“较大的”、“危险的”以及“灾难性的”各种功能故障状态,某些系统本身功能的故障状态可能并不是上述四种状态,但是与其它系统的交互的故障状态却可能“较大的”、“危险的”以及“灾难性的”,整机级FHA 必须识别出这种类型的故障状态。要达到这样一个目的不可以一开始就把飞机分成各个“系统”,而应当综合各个系统来研究整个飞机的基本需求。整机级FHA 不对设计进行分析、不计算概率、不验证冗余是否存在,只用于识别可能发生的故障状态并对故障状态的结果进行评估。整机级FHA 还必须包括对相关事件的描述和逻辑框图。
2.2.1.2整机级PRA
PRA 是一种定性分析方法,主要用于分析外部特殊事件或因素(如鸟撞、恶劣天气、火灾、液体泄漏、轮胎爆裂、高能设备故障等)对飞机或系统的影响。特殊危险有可能同时作用于许多个区域。对于一架新飞机,PRA 应该贯穿于飞机研制的整个过程之中。
飞机的整机级安全性要求大部分都可以由整机级FHA 确定,但是FHA 无法分析由于外部特殊事件造成的故障状态,这些必须由PRA 来完成。PRA 作为FHA 的补充可以分析FHA 无法分析的故障状态,对这些特殊事件造成的故障状态进行分类,确定其影响等级,也是飞机整机级安全性要求的一部分。
民机安全性分析方法研究及软件系统设计
8
2.2.1.3适航当局认证
一旦FHA 完成并且所有相关部分都得到合理的分析结果,就应当提交给适航当局验证批准。当局认为存在争论的任何地方都要讨论直到得出结论为止。整机级FHA 的确定也就意味着整机级安全性要求的确定。
由于FHA 在详细设计开始之前设计的初步阶段就已经进行,所以应当假设为了安全需要某些内容随着设计的发展必须更改。随着设计的发展系统的边界和功能都会改变,如果原有的分析材料太简单不合适了,FHA 必须更新以适应设计的更改,并且重新提交给当局验证批准,更改的解释材料也要一并交上。
2.2.1.4整机级安全性设计
整机级FHA 完成并通过认证后,就可以根据整机级的安全性要求进行飞机整机层次的设计。在安全性方面这项工作主要是进行整机级FTA ,为飞机各系统分配安全性要求。
故障树分析(FTA)是自上而下的分析方法,其可以确定导致故障发生的组合事件,故障树分析通常认为是定性的分析方法,但是知道了底事件发生的概率或相关数据后可以求出顶事件发生的概率,这时它就是定量分析。在此阶段,由于零部件的可靠性数据尚未明确,此处的FTA 是定性分析。
FHA 中列出的都是最顶层的故障状态,实际上很多原因都可能导致各类功能的丧失,通过进行整机级的FTA ,可以找出所有造成这些顶层故障状态的直接原因。这些直接原因包含了大量相关系统的故障信息,这类故障信息构成了系统级FHA 识别功能的故障状态。因此在明确整机级安全性要求的前提下,就可以进行整机级的FTA 为相关系统分配安全性要求。
以“丧失滚转控制或滚转控制功能严重衰退”为例,其整机级故障树如图2.2所示。丧失滚转控制或滚转
控制功能严重衰退
无保护的自动
驾驶仪振荡无法控制自动驾驶副翼失效且单个发动机失效
副翼卡死或
失效单个发动机失效
图2.2 整机丧失滚转控制或滚转控制功能严重衰退FTA 示意图
图2.2中,假设所有故障暴露时间为5小时,顶事件故障分类为“灾难性的”,因此其发生概率为5E-9每次飞行,可为其下层事件分配发生概率为1.67E-9每次飞行,在已知“副
南京航空航天大学硕士学位论文
翼失效且单个发动机失效”发生概率为1.67E-9每次飞行条件下可为“副翼卡死或失效”与“单个发动机失效”分配发生概率为4.1E-5每次飞行。
2.2.2系统安全性要求确定方法研究
系统级安全性要求确定阶段进行系统级FHA确立系统级安全性要求,PRA同样也可作为系统级FHA的补充;在系统级FHA完成后,可以得到与系统相关的各类故障状态及其影响分类,这便是从系统层次得出的安全性要求。但是系统级FHA对故障状态的分类结果不可能与经过整机级FTA分配而来的安全性要求完全一致,所以必须按照整机级FTA 的结果对系统级FHA的结果进行验证,如果两者不一致必须考虑更改设计以满足整机级FTA的要求。
2.2.2.1 系统级FHA
在整机级安全性要求确定后,必须确定系统级安全性分析要求。系统安全性要求的确定主要通过系统FHA来完成,系统级FHA的目的是识别飞机各系统与故障状态相关的主要功能,一旦功能被确定,每个故障状态的危害程度也将被确定。危害程度的分类主要由故障状态对飞机的影响结果确定,这需要根据系统的功能对每个系统进行自上而下的FHA[18]。系统级FHA必须识别可能发生的各类故障状态,但是系统级FHA同样不对设计进行分析、不计算概率、不验证冗余是否存在,只用于识别系统可能发生的故障状态并对故障状态的结果进行评估[21]。
为了准确的分析故障状态对飞机的影响,许多因素必须考虑,如:飞行阶段、故障发生(或潜在故障)对机组成员的影响、异常的天气情况(如冰雪)、机组对故障采取的预防措施以及处理故障所引起的机组成员过量的工作负荷等。通过分析系统级FHA文件,可以根据系统冗余、隔离及通告得出设计要求,进行故障状态的定义以及系统级故障状态的分类。
需要指出的是,在系统层次同样必须进行PRA来作为对系统级FHA的补充,同时随着设计的深入,飞机设计的更改,必须对原有的整机级FHA进行更新。
2.2.2.2与整机级FTA取得一致
整机级FTA分配的系统安全性要求与系统级FHA确定的安全性要求的不同点在于,前者是站在整机的高度来说明系统达到怎样的安全性水平才能保证飞机整机的安全性,由于其从整机而来,不可能为系统给出全面要求;而后者分析了具体的系统,考虑了系统所有可能的故障,提出了更为全面的系统级要求,但是其有可能与整机级要求相违背,出现这种情况时,必须更改系统设计,保证整机级的要求能够被满足。
9
民机安全性分析方法研究及软件系统设计
2.3 初步系统安全性评估(PSSA)方法研究
PSSA是一种全面地检验系统、设备或结构的方法。用以确定故障怎样导致FHA所识别的功能危险以及FHA中提出的安全性要求怎样被满足。PSSA是一个反复的过程,贯穿于整机级功能及要求被分配到系统级,系统级功能及要求被分配到部件级,部件级功能及要求被分配给硬件和软件的整个过程之中。
通过PSSA可以在系统设计早期评估系统架构,建立系统安全性要求,推导出对特定系统及其零部件的安全性需求以及减少合格审定计划后期向适航当局提供特定系统架构原理时出现的不必要的争论和抵触。
PSSA一般情况下使用定性的FTA分析,CCA(PRA)也可以产生系统级FTA的顶层故障影响来补充整机级FTA。PSSA通过使用FTA等分析方法可以确定引起故障状态(系统级FHA识别的)的各种可能因素;PSSA同时还必须识别包括共因故障,硬件失效或软件错误引起的系统故障在内的所有故障状态。CCA(CMA、ZSA)也可以建立系统级要求,例如冗余度、功能独立性等。
2.3.1 PSSA过程分析
PSSA是一个自上向下的方法,它能用来确定故障怎样导致在FHA中识别的功能危险,以及确定FHA提出的安全性要求怎样被满足。其评估过程包括以下内容:ü完成整机级和系统级安全性要求列表;
ü确定结构和计划的概念设计能否满足安全性要求和目标;
ü为低一级单元(硬件或软件)的设计、飞机安装、其它系统和操作(飞行和维修)获得安全性要求。
1.完成整机级和系统级安全性要求列表
整机级FHA/CCA过程为整机设计创立了安全性要求的初始集,同样系统级FHA/CCA 过程为系统创立了安全性要求的初始集。这些安全性要求的初始集与在PSSA过程中做出的设计/结构决策相结合,形成一套完整的系统安全性要求。
a)获得必要的数据源
PSSA的输入是整机级或系统级FHA、初步共因分析(CCA)和PSSA中考虑的每个系统结构的描述。对于每一个结构选项,这些输入可以包括:
ü在整机级或系统级FHA中识别的故障状态和要求;
ü系统结构描述和结构选择的基本原理;
ü系统设备列表及其功能;
ü系统界面和与其它系统的关系;
ü初步CCA:ZSA的发现、PRA的外部威胁、CMA的发现。
同时,必须考虑在整机级/系统级FHA中做出的假设对于PSSA是否可用。
10
南京航空航天大学硕士学位论文
b)形成系统安全性要求
系统和单元(软/硬件)功能的整合可能会导致新的功能,这些新功能在FHA中必须考虑以获得新的故障状态。功能的实现也可以获得新要求(如隔离要求和操作要求)。这些新要求和新故障状态可能要求PSSA或者FHA中有另外的材料来证明其正确性。
2.根据产生的安全性要求和目标,评估设计决策或结构决策
完成了系统级FHA之后,每个被识别的较大的、危险的和灾难性的故障状态必须进行评估。评估应该:
a)使用FTA或类似方法分析单元故障如何联合导致所考虑的故障状态;
b)根据在故障树中做出的独立声明来识别所有的要求:
ü在CCA中所有的分离或隔离要求以及相关的验证要求;
ü确认独立性的试验(地面试验或飞行试验);
ü共因故障(ZSA、PRA、CMA)。
c)使用FTA或相似的方法来证明与故障状态相关的定性和定量的要求和目标能够通过给定的系统结构和失效概率来满足;
d)确定维修任务间隔,这些维修任务是由故障树中的潜在故障引起的;
e)确定在FTA中考虑的单元的开发担保等级。
PSSA中的故障状态评估还必须部分依赖工程判断和现役相似的设计,这个过程具有反复性,在设计进展中不断完善。
3.获得低一级单元设计的安全性要求
系统级获得的每个设计安全性要求必须被分配到组成系统的单元。这些分配包括:ü一个经过更新的故障状态列表,包括所选择的结构如何满足安全性要求(定性和定量)的基本原理;
ü分配到单元(包括软硬件)的安全性要求(定性和定量);
ü安装(隔离、分开、保护等)设计的要求;
ü软硬件开发担保等级;
ü安全性维修任务和间隔;
故障模式和相应的发生概率是更低一级详细研究的基础。
2.3.2 PSSA信息流研究
PSSA的目的不仅要明确故障及其产生原因,而且必须获得所需的系统及其更低层次的安全要求,同时分析过程中还必须注意潜在故障和它们的检测时间。
PSSA过程有两个主要输入,即系统级FHA和整机级FTA,同时还包括初步共因分析(CCA)和对PSSA中考虑的每个系统结构的描述。对于每一个结构选项,这些输入可以包括:
ü在整机级或系统级FHA中识别的故障状态和要求;
11
民机安全性分析方法研究及软件系统设计
12
ü 系统结构描述和选择的原理;
ü 系统设备的功能和列表;
ü 系统界面和与其它系统的联系;
ü 初步CCA :ZSA 的结果、PRA 的外部事件、CMA 的结果。
通过PSSA ,我们可以确定系统设计与系统级FHA 的要求是否相符,系统级更低的各层次的安全性要求,硬件失效影响、软件错误影响以及软硬件可靠性余度和开发担保等级,为系统设计提供指导。PSSA 信息流程见图2.3。
图2.3 PSSA 输入输出信息流
2.4系统安全性评估(SSA)方法研究
根据整机级和系统级FHA 中对故障状态的分类,在设计和试验验证的最后阶段,要对每个系统进行SSA [3,4]。SSA 是一个对已实施的系统进行综合性评估的方法,用来验证已建立的安全性要求是否已被满足。而SSA 是确认已实施的设计既能满足定性要求又能满足定量要求,这些要求就是在整机级和系统级FHA 中提出的安全性要求。正是由于SSA 的这种特性,使得其必须在详细设计和试验验证阶段才可以进行,因为此阶段飞机各系统的具体结构和零部件详细信息已经明确。
2.4.1 SSA分析深度确定
对于FHA 识别的仅含有“较小的”故障状态的任何系统,不执行任何SSA ,整机级FHA 和系统级FHA 本身对于这些系统已经足够。其他所有的系统都必须实施SSA ,在分析具体应用时,SSA 中“较小的”故障状态不需要进一步分析,“较大的”、“危险的”和“灾难性的”故障状态都要进一步分析。
南京航空航天大学硕士学位论文
13
如果系统仅有“较大的”故障状态,定性分析技术就已经足够了。对于这些系统,SSA 通常包括基于系统原理的设计检查和FMEA ,区域安全性分析ZSA 可以应用于设计检查。SSA 必须充分证明“较大的”故障状态不会引起严重后果,并且给出可以降低故障状态发生概率的设计。
如果系统中含有“危险的”或“灾难性的”故障状态,SSA 除了必须进行设计检查和FMEA 外,还必须进行FTA 。对于任何“危险的”或“灾难性的”故障状态,要包括与“较大的”故障状态相同的定性分析。在分析一些限制条件不明确的区域或者分析独立性和隔离性并不仅仅取决于结构的系统的时候,FMEA 是一个非常有用的分析方法。至于在SSA 中是否要使用定量的FTA ,将由系统的复杂度及所分析系统与已有类似机型相应系统的相似性决定。SSA 分析深度如图2.4
所示。
图2.4 安全性分析深度决策图
2.4.2 支持SSA的安全性分析方法研究
SSA 分析方法包括定性分析(定性FTA ,定性CMA ,PRA )和定量分析(FMEA,定量FTA,定量CMA)。这些分析为充分地阐述FHA 中识别的故障状态提供了必要的支持和理由。
ZSA 是一种定性分析技术,也是设计检查的一种方法,主要用于评价飞机各区域内系统和设备之间的相容性,判断是否会由系统、设备安装不当而产生不可接受的风险,或是否会由该区域中某系统的部件或设备的故障引起另一系统或设备的故障等。PRA 是一种定性分析方法,主要用于分析外部特殊事件或因素(如火、可泄漏物、飞禽撞击、雷电等)对飞机或系统的影响。CMA 既可用于定性分析,也可用于定量分析。CMA 证明“假定是独立的那些故障”确实是独立的。
与FHA 不同,FMEA 通常进行的是硬件分析而不是功能分析。FMEA 从功能元件开始,自下而上分析。FMEA 的目的是确定所有的单一元件或设备可能发生的故障并考虑
民机安全性分析方法研究及软件系统设计
其影响后果的严酷度。FMEA可以发现不合理的单点故障,并且对其采取保护措施,同时FMEA还有助于确定零件的潜在故障、有助于确定冗余的独立性和隔离性。
故障树分析可以确定导致故障发生的组合事件,是证明系统能够满足FHA中识别的安全性要求的主要方法,故障树分析也可以用来证明系统设计中功能冗余的存在。FTA
包括定性分析和定量分析,在SSA阶段,系统设计的信息都已经相当详细,零部件可靠性数据(如故障率、失效概率)也已经明确,使得进行定量的FTA成为可能。图2.5给出了各种安全性分析方法及其在安全性设计中的作用。
图2.5 分析方法的作用和相互关系
2.4.3 SSA过程分析
明确了SSA中分析技术的应用,确定了SSA中各分析方法的相互关系,就可以根据分析深度的要求来确定SSA分析流程。SSA分析中,除了考虑故障状态的分类外,还引入了具体系统的信息,如系统复杂度、设计相似性、设计特征的常规性等,这些信息将有助于简化安全性设计过程,减少不必要的分析。只要能够证明所评估系统与已有系统的相似性就可以利用已有的SSA来代替所分析系统的SSA,减少了工作量。具体的SSA流程见图2.6。
14