功能危险性分析FHA

民用飞机功能可靠性评估方法作者：杨学蕊来源：《科技视界》2020年第17期摘要运营可靠性是航空企业可靠性设计中最核心的指标之一，提高民机可靠性可以降低研制成本和运营费用。

为了达到这一目标，需要研究一种方法能够在设计阶段有效控制运营可靠性指标。

因此，从功能失效状态入手，借鉴功能危险性评估的工作理念，提出分解和验证运营可靠性指标的方法和流程，提高飞机投入市场后的运营可靠度，增强市场竞争力。

关键词可靠性;运营可靠性;功能危险性评估;功能可靠性评估中图分类号： V267 ; ; ; ; ; ; ; ; ; ; 文献标识码： ADOI：10.19694/ki.issn2095-2457 . 2020 . 17 . 560 引言民用飞机具有周期长、复杂度高、市场竞争激烈、重视成本及运营经济性等特点[1]，因此民机的运营可靠性是最受业界和航空公司关注的指标之一，也是民机可靠性设计中最核心的指标之一。

运营可靠度是与运营可靠性有直接关联的可靠性指标，现阶段国内设计工作中对该指标的设计实现方式，是从确定整机运营可靠度开始，然后依据工程经验向系统、设备进行分解分配，之后再反向预计，迭代修改分配结果。

通过型号工作发现，该方法对飞机的设计不是一种正向指导性设计，在设计阶段对提出的运营可靠性指标进行控制和验证时，比较困难，在设计阶段对指标实现工作的管控力度欠缺且方法单一，造成在飞机投入运营后才暴露出运营可靠度低的问题，使运营成本增加，直接影响了飞机的市场竞争力。

因此有必要研究一种在设计阶段提高飞机运营可靠度的设计方法。

通过广泛调研并参考SAE ARP 4754A[2]、国际同行做法等工作，本文提出了功能可靠性评估（FRA）方法，该方法从功能失效状态入手，借鉴功能危险性评估（FHA）工作理念[3-4]，在设计阶段提出明确的可靠性定量要求，通过故障树分析（FTA）和失效模式与影响分析（FMEA）等手段，对影响运营可靠性的设备失效率进行直接控制，提高飞机的运营可靠度。

浅谈飞机级功能危害评估(AFHA)流程摘要:本文提供了民用飞机及其相关系统与设备进行安全性评估过程中,实施飞机级功能危害性评估的过程和方法,用于指导相关设计人员在飞机研制初期实施飞机级功能危害性评估。

关键词:飞机级功能危害评估安全性评估失效状态从民用飞机设计角度,CCAR/FAR/CS 25是飞机设计应满足的基本规章。

在飞机设计过程中,除了关于系统、部件、性能等相关的条款外,飞机还应满足特定的与安全性相关的要求,表明对CCAR/FAR/CS 25.1309条款的符合性。

因此,民机适航合格审定过程中,需要对飞机整机进行安全性评估,以期证明飞机设计满足既定的安全性要求。

1 AFHA的作用和目的AFHA是系统、综合地按层次检查飞机级功能的安全性评估方法,以确定在其故障、以及正常工作时可能产生或潜在的危险及后果。

该评估方法起始于飞机概念设计阶段,并为飞机后续研制提供设计要求和安全性要求的重要依据。

分析结果是下一步安全性评估流程(例如:初步系统安全性评估PSSA和系统安全性评估SSA)的必要输入,也为后续系统、子系统设计架构提出安全性设计需求,帮助确认系统架构的可接受性,发现潜在问题和所需的设计更改,确定所需的进一步分析的要求及范围。

AFHA将整机视为研究对象,研究飞机设计的整个飞行包线和不同飞行阶段内,可能影响飞机持续、安全飞行的功能失效状态。

AFHA 是在飞机设计的初始阶段对飞机的基本功能在高层次上进行的定性评估,对识别所有与飞机有关的失效状态,并进行危害等级的划分,分析结果将形成飞机设计必须满足的安全性要求。

AFHA提供对安全性至关重要的那些潜在功能失效状态的相关信息,这些信息可用来确立所需系统的结构方案、软件完整性水平要求、系统分离和隔离要求以及最低限度设备清单(MEL)要求。

2 AFHA的分析假设AFHA评估的首要条件是进行飞行场景描述。

通常情况下,安全性分析人员通过对飞机、系统功能的理解,结合同类机型的设计经验以及飞机特定的飞行阶段和环境条件,描述不同的飞行场景,该飞行场景是定义相应失效状态影响等级的重要依据。

摘要：在简述分析技术的基础上，提出了以系统危险为基础的软件安全性与可靠性分析策略，并结合实例对这一策略的实际应用进行了深入分析，旨在为实际的软件分析工作提供参考，保证软件分析结果的真实性与准确性。

关键词：软件；可靠性；安全性；故障树0引言在航天、军事等领域中，软件密集化程度、规模、复杂度均大幅提高，作为系统的重要组成部分，软件对系统的影响日益增大。

因此，在软件研制与管理过程中，如何保证软件的可靠性和安全性，成为了相关人员关注的焦点。

1分析技术1.1FHAFHA，即功能危险评估，按照从上到下的顺序确定系统功能所处状态，同时对其可能造成的影响进行评估。

它能对产品功能进行综合检查，对不同的功能状态进行识别，判定功能是否存在故障或丧失，并以故障的严重程度为依据进行分类。

1.2PHAPHA，即初步危险分析，可对系统危险进行识别，是对软件安全性进行分析的主要方法。

对于在程序设计与开发时需要跟踪和解决的各项危险和风险，该方法可确定危险清单框架，同时记录通用危险[1]。

1.3SFMEASFMEA，即软件失效模式和影响分析，它是对现有系统分析方法的创新和拓展，基于失效模型，将失效可能造成的影响与后果等作为中心，以分析层次及因果关系等作为依据，通过识别确定软件存在的薄弱环节，同时提出相应的改进措施。

1.4SFTASFTA，即软件故障树分析，它将现有的FTA技术作为基础，尤其适合在需求阶段使用。

该技术自顶向下，将对系统有较大影响的故障作为顶事件，分析导致系统产生故障问题的软件方面的原因。

为确保软件的安全性和可靠性分析能够顺利开展，下面根据以上4种技术方法，提出以系统危险为基础的软件安全性和可靠性分析策略。

2以系统危险为基础的软件安全性和可靠性分析以系统危险为基础的软件安全性和可靠性分析策略分为以下4个步骤：步骤1：对系统危险进行识别与分析，将系统级功能作为入手点，采用FHA技术确定系统不同功能所处的故障状态，通过识别确定系统危险，同时对危险可能造成的影响及危险的级别进行分析。

卫星功能危险性分析（FHA）方法1目的和意义功能危险性分析（FHA）是自上而下地评估分系统可能发生的所有故障状态，分析每个故障状态对分系统和整星的功能可能产生的影响，对各种危险后果的等级进行划分，并制定可能的控制措施方案。

它与故障模式和影响分析（FMEA）互相补充，并为故障树（FTA）确定顶事件提供可参考的相关事件清单。

功能危险性分析在可行性阶段、方案阶段和详细设计阶段都可以应用。

在可行性阶段，进行功能危险性分析可以使设计人员明确所要设计的分系统的功能要求、薄弱环节和下一阶段需可靠性工作的重点。

并为以后进行分系统设计和设备单机选取提供依据。

2引用文件GJB451-90 可靠性维修性术语GJB768-89 故障树分析GJB900-90 分系统安全性通用大纲GJB1391-92 故障模式、影响及危险性分析程序3功能危险性分析（FHA）的格式和要求功能危险性分析（FHA）报告所包括的主要内容及格式如下：a)分系统概述∙分系统功能∙分系统组成及各组成部件的功能∙分系统工作原理（含功能原理图）∙分系统界面及其环境条件b)分系统功能危险性分析（FHA）∙填写FHA表(详见表1)∙相关事件清单（列出I、II 类功能故障）功能危险性分析（FHA）分析报告中填写FHA表是最为重要的工作。

表1 分系统功能危险性分析表（FHA）要充分发挥的功能危险性分析（FHA）作用就要在填写分系统功能危险性分析表（FHA）的过程中考虑以下相应的要求：第1栏功能：列出整星或分系统的所有功能，包括主要功能和次要功能。

这里不必考虑分系统的硬件构成，只考虑分系统整体上能完成的功能即可，各种功能要分别列出。

第2栏危险说明：此栏填写前面的功能可能会发生的危险（故障）情况，分四种情况填写：A 功能丧失：如果所分析分系统的此项功能不能完成，会出现何种危险情况。

B 故障和不希望的动作：分系统发生故障或执行非预定的不希望的功能时，会发生何种危险的情况。

基于功能危险分析的涡轴发动机适航安全性评估安罡;李艳军;曹愈远;马安祥;汪震宇【摘要】针对涡轴发动机安全性需求,确定了其适航安全性分析的方法及程序.运用整机级功能危险分析法(FHA)对涡轴发动机进行安全性分析,并针对其系统结构的复杂性等问题,提出了整机级FHA功能定义的层级解决方案;利用可靠性模型识别多重失效组合问题;针对功能失效状态影响分析主观性强、难于确定的特点,提出了Delphi法进行专家评估.结果表明:安全性验证程序能够为涡轴发动机安全性验证提供支持,FHA可以较快速识别涡轴发动机整机级危险失效状态,较为客观地确定功能危险影响等级,并有效减少工作量.【期刊名称】《航空发动机》【年(卷),期】2015(041)005【总页数】5页(P98-102)【关键词】适航;功能危险;安全性;Delphi法;涡轴发动机【作者】安罡;李艳军;曹愈远;马安祥;汪震宇【作者单位】南京航空航天大学民航学院,南京211106;南京航空航天大学民航学院,南京211106;南京航空航天大学民航学院,南京211106;南京航空航天大学民航学院,南京211106;南京航空航天大学民航学院,南京211106【正文语种】中文【中图分类】V235.12随着直升机功能的多样化发展，对其动力装置涡轴发动机相关技术研究与探索有迫切的需求[1-2]。

在中国涡轴发动机的研制经历了从国外引进技术到与国外合作研制的过程，航空发动机适航规定（CCAR33）是航空发动机进行适航审定的依据，其中CCAR33.75规定了发动机必须进行安全性分析[3]。

但由于中国航空发动机安全性研究基础薄弱，目前缺少行之有效的安全性分析准则。

本文结合涡轴发动机安全性验证的实际情况，建立航空发动机适航符合性验证程序。

适航符合性验证用于检验涡轴发动机是否满足适航条例要求，申请人采用不同的符合性验证方法来表明适航条款的符合性，其中安全分析是1种重要的符合性验证方法[4-6]。

4、危险的（Ⅱ级）：失效状态会降低飞机的能力或机组处理不利操作情况的能力，包括：(1) 极大地降低安全裕度或功能能力；(2) 身体不适或过分的工作负担导致飞行机组不能准确地或完全地完成其任务；(3) 除了飞行机组以外，可能个别乘员会遭受严重伤害或死亡。

5、灾难的（Ⅰ级）：失效状态会妨碍持续安全飞行和着陆，导致绝大部分或全部乘员死亡以及飞机损毁。

这五类失效状态分别对应着由安全性指标所规定的定性和定量的概率要求，如表2.1 所示，这样就对每种等级的失效状态建立了在设计、制造飞机时必须要达到的安全目标。

表2.1 失效状态等级与安全指标的关系失效状态的等级无安全性影响（Ⅴ级）轻微的（Ⅳ级）重大的（Ⅲ级）危险的（Ⅱ级）灾难的（Ⅰ级）允许的定量概率（每飞行小时的平均概率）无概率要求＜10-3＜10-5＜10-7＜10-9允许的定性概率无概率要求可能的极少的极端少的极不可能的对飞行机组的影响无影响轻微地增加工作负担身体不舒适或明显地增加工作负担身体不适或过分的工作负担削弱了执行任务的能力死亡或丧失（执行任务）能力对乘员的影响（包括乘务人员）不便利身体不舒适身体不适，可能出现受伤个别乘客或乘务人员遭受严重伤害或死亡绝大部分死亡对飞机的影响对营运能力或安全无影响轻微地降低功能能力或安全裕度明显地降低功能能力或安全裕度极大地降低功能能力或安全裕度一般会损毁通常，在对飞机的安全性进行评估时，会在两个层面上进行功能危害性评估。

这两个层面分别是针对飞机级功能的功能危害性评估和针对系统级功能的功能危害性评估。

飞机级FHA 是一个高层级的评估，主要是针对那些在开始研制飞机时定义的飞机基本功能进行的定性评估。

通过飞机级FHA 确定出与飞机级功能相对应的失效状态并划分出等级，不同等级的失效状态分别对应不同的安全要求。

飞机级FHA 的另一作用是确定涉及到多个系统的失效状态，这些失效状态如果单从一个系统来分析划分出的等级可能要低于综合考虑后划分出的等级。

FHA分析和QRA分析材料在LNG调峰站总平面设计中的应用摘要：本文主要探讨了FHA（火灾危害分析）分析和QRA（定量风险分析）分析在调峰站总平面设计中的应用，以此为基础提出各类分析材料在总图设计中的使用方式和观点。

关键词：方法论、总平面布置、分析报告、应用1应用方法论各类参考材料是工程技术人员解决问题、提出技术方案的重要资料，在其选择和应用上一般遵循两种逻辑思路和应用方法。

1.1 验证式应用方法通过了解工程的特点、需求、条件，查找找相关的参考材料进行验证。

如某工程需确定平面布置方案，可以先分析流程关系、生产关系、人流及物流关系，从而划定功能区块，再根据各区块的主要工艺关系确定方位关系，有针对性的的查找相关的风险、灾害等技术要求性分析材料，这种方法以主观确定的布置方案为主导，以分析材料作为验证信息对防范的安全因素进行考量，从而验证平面布置的合理性与安全性。

1.2 溯根式应用方法通过已知分析材料的信息，确定临近和避让要求，进行相应的布置要求。

同样的还是确定平面布置方案确定的问题，通过风险、灾害等分析，确定出各项危险源，那么在功能分区时应将此危险源作为一个前提，哪些内容可以与之临近，哪些需要远离，从而确定布局情况，这种方法以分析材料的结论为前提，方案设计围绕分析材料的结论开展，可以成为溯根法。

两种思路和方法一种是从方案本身分析如何利用材料的正向方式，一个是从分析材料结论反推方案如何进行设计。

在工程设计中不会只用一种，而是互补使用的，如在各条件没有的情况下设计标准平面方案多用正向思路，在采用规划用地、地质灾害分析等因素时多用反推的方式。

下述章节中主要以先设计方案再通过材料论证的“验证式”方式进行介绍材料的应用。

3、FHA分析报告重要内容选择3.1 主要目标（1）辨识工程范围内正常生产时，对周围带来危险的危险源进行辨识；（2）根据识别出的危险源，开展失效可能性、后果量化分析（池火、闪火、喷射火、气压爆炸等）；（3）依据可信事件事故后果，对工程范围的防火防爆、人员应急逃生通道等设计提供数据支持；（4）提出针对工程范围火灾爆炸的风险管理措施建议。