-
0 引言
-
安全性评估是为了表明飞机或系统研制过程中对安全性各项要求符合性的所有活动。安全性工作的详细程度,与系统的复杂度有重要关系[1-2]。基于SAE ARP 4761提供的安全性分析方法,本文针对照明系统安全性分析过程中的关键步骤进行了解析,并以着陆照明功能为例,详细阐述了功能危险性评估、初步安全性评估、共因分析和系统安全性评估工作的目的、方法和关键内容。
-
1 照明系统功能危险性评估(SFHA)
-
在照明系统研制初期,首先应识别出本系统的功能及对应的功能失效状态,确定功能失效影响等级,确定系统安全性目标[3]。照明系统功能危险性评估(system function hazard assessment,简称SFHA)主要包括以下内容:
-
1)确定系统相关的所有功能;
-
2)识别系统功能的所有失效状态,考虑在正常和恶劣环境下可能的单一和多重失效状态;
-
3)确定与失效状态相关的工作状态或飞行阶段;
-
4)确定失效状态对飞机、机组和乘客的影响;
-
5)确定每个失效状态的影响等级,包括灾难性的、危险的、较大的、较小的、无安全影响的五类;
-
6)给出用于证明失效状态影响等级的支持材料;
-
7)提出对安全性要求的符合性验证方法。
-
以着陆照明为例,民用飞机照明系统功能危险性评估表一般如表1所示。
-
SFHA中确定的各功能失效的概率要求能否满足,需通过进一步的安全性评估方法进行验证,如表1中故障模式与影响分析(failure modes and effects analysis,简称FMEA)和故障树分析(fault tree analysis,简称FTA)。是否采用定量或定性评估,需根据功能的失效影响、系统的设计架构等各方面去确定,通常验证方法的确定流程如图1所示。
-
图1 安全性验证方法确定流程
-
2 照明系统初步安全性评估(PSSA)
-
在照明系统初步设计阶段,针对候选的系统架构开展初步系统安全性评估(preliminary system safety assessment,简称PSSA),对已识别出的系统功能及其失效状态开展初步故障树分析,明确部件的失效如何导致功能失效,并识别出可满足系统安全性需求的架构。此外,通过开展初步安全性评估工作以捕获系统部件的安全性需求(失效率要求、研制保证等级、防护要求)。PSSA是一个自上而下的分析方法,是在整个研制过程中的一种迭代分析方法[4]。PSSA主要包括以下内容:
-
1)识别SFHA或较高层次PSSA所产生的一组初始安全性需求;
-
2)根据初始安全性需求,提出系统设计架构;
-
3)结合1)中的初始安全性需求和2)中的系统架构,完整地捕获一组系统安全性需求;
-
4)通过FTA、相依图分析(dependence diagram analysis,简称DDA)或马儿可夫分析(Markov analysis,简称MA)等方法对3)中捕获的安全性需求进行分析;
-
5)确定下一层级的安全性需求,如软件/复杂电子硬件研制保证等级、硬件失效率要求等;
-
6)PSSA分析及评估结果。
-
根据表1中列举的SFHA的分析,得出以下安全性要求:在起飞、着陆阶段,丧失着陆照明功能的概率应该小于1E-5/FH。根据SFHA确认的失效状态,对该失效状态进行初步评估和预测。此处采用FTA的方法进行PSSA,如图2所示。
-
图2 丧失着陆照明故障树
-
通过图2所示的故障树分解,确立更低层级的组件级功能要求如表2所示。
-
通过上述PSSA分析,判断照明系统初步构架是否满足系统级功能危险性评估(functional hazard assessment,简称FHA)的安全要求。
-
3 照明系统共因分析(CCA)
-
在民用飞机系统安全性评估过程中,失效概率通常是基于可能发生的故障是独立的这一假设而开展分析的,实际上,某些单一事件可能会导致其他潜在的故障。因此,为保证系统间和部件间互相独立、或保证与非独立性相关的风险在可以接受的范围内,使用共因故障分析这一检验独立性、鉴定具体的非独立性关系的工具进行分析。
-
在照明系统概念设计与初步设计阶段,开展初步共因分析(common cause analysis,简称CCA)以识别功能、系统与部件的独立性要求,分析主要包括特性风险分析与共模分析; 在系统详细设计阶段开展共因分析以检查系统设计是否满足功能、系统与部件的独立性要求,分析主要包括特性风险分析、区域安全性分析以及共模分析。
-
3.1 区域安全性分析(ZSA)
-
区域安全性分析(zonal safety assessment,简称ZSA)针对系统安装进行分析,检查设备的安装是否满足设计与安装准则,确定各区域外部失效模式对系统设备的功能影响[5-6]。
-
照明系统设备在安装时需考虑区域安全性要求,有冗余设计要求的设备不应布置在同一区域里。例如组成着陆灯系统的各着陆灯,分别安装在左、右翼根和前起落架舱,分属3个不同区域,其相关线束也需分开布置。
-
3.2 特定风险分析(PRA)
-
特定风险分析(particular risk analysis,简称PRA)用于评估系统外部事件对本系统的影响,检查这些事件是否影响系统/部件独立性声明。对于特定风险分析,需考虑的典型特定风险源包括火灾、液体泄漏、鸟撞、闪电/高强度辐射场效应(high intensity radiated fields,简称HIRF)、轮胎爆破、高能转子失效、冰雹、擦尾。
-
照明系统涉及到的典型特殊风险一般为鸟撞和轮胎爆破,需对这两种风险导致的照明设备功能损坏是否会导致飞机危险或灾难性事故发生进行分析。
-
3.3 共模分析(CMA)
-
共模分析(common mode analysis,简称CMA)通常用来检验系统各组成部分的独立性,并应分析设计、系统实现、制造、维修差错、机组操作差错以及系统设备、部件故障对冗余设计独立性的影响,对于功能独立性及其相应的监控也应给予充分的考虑。简而言之,CMA可用于检查PSSA/SSA(FTA)中“与”门下事件的独立性。以着陆照明功能为例,得出共模分析结果如下:
-
4 照明系统安全性评估(SSA)
-
系统安全性评估(system safety assessment,简称SSA)应在系统研制趋于成熟的阶段开展,对已经冻结的系统设计构型、系统架构以及系统安装,进行系统性核查,以表明其符合已确定的安全性要求。开展安全性评估工作时,应从设备级到系统级,对系统设计及安全性要求进行确认、分析与验证,以确定系统实现过程是否满足安全性要求。
-
开展系统安全性评估研制系统设计是否满足FHA与PSSA中捕获的安全性需求。在开展FTA工作时,应以FHA中确定的功能失效状态为顶事件,经计算验证当前的设计状态是否符合SFHA中确定的功能失效率要求。以着陆照明功能为例,根据SFHA,丧失着陆照明功能的影响等级为III级,需开展定性分析(FMEA)和定量分析(FTA)进行验证。
-
4.1 故障模式与影响分析(FMEA)
-
FMEA是一种用来分析系统中较低层级的功能或组件的失效对较高层级影响的一种分析方法,通过该方法可找出系统设计上的薄弱环节,并采取适当的措施消除或减轻这些影响。通常FMEA用来阐明单一失效所引起的失效影响[7]。以着陆照明功能为例,在开展FMEA分析时,需填写着陆照明系统中每个设备或部件(如着陆灯开关、汇流条、着陆灯等各设备或部件)的故障模式、失效影响及故障率等信息,如表4所示。在完成FMEA后,应对产生相同失效影响的各单一失效模式进行编组,形成失效模式影响摘要(failure modes and effects summary,简称FMES)[8]。
-
4.2 故障树分析(FTA)
-
故障树分析是一种自上而下的系统评价程序,根据分析对象、分析目的和精细程度而不同,通过演绎推理分析复杂系统的失效及其影响[9-10]。故障树分析工作开始时应先确定故障树的顶事件,随后绘制故障树,以FMEA数据为输入,通过计算得出顶事件的发生概率,评估是否满足SFHA中确定的指标。以着陆照明功能为例,其顶事件为丧失着陆照明功能,绘制FTA如图3和图4所示(图4以丧失左翼根着陆灯照明功能为例,图中数据仅供参考)。
-
根据SFHA中确定的安全性要求,“丧失着陆照明功能”的安全性影响等级为Ⅲ级,通过FTA定量分析,其发生概率为4.64E-6,满足系统安全性的设计要求。
-
5 结论
-
本文对民用飞机照明系统的安全性评估工作进行了详细阐述,介绍了安全性评估的目的、方法和流程,明确了在民用飞机照明系统研制时各阶段应开展的安全性分析有关工作。需注意的是,安全性分析工作在整个系统研制过程中应不断迭代,保证系统设计满足CCAR 25.1309条款规定的安全性要求。
-
图3 丧失着陆照明故障树(部分)
-
图4 丧失左翼根着陆灯照明功能
-
参考文献
-
[1] 郑友石,孙有朝,王丰产,等.安全性分析方法在民用飞机适航符合性验证中的应用浅析[C]//2010年航空器适航与空中交通管理学术年会论文集.[S.l.:s.n.],2010.
-
[2] 何申奥.民用飞机安全性分析与评估[J].电子技术与软件工程,2018(19):82-84.
-
[3] 曹超超,葛新.民用飞机系统功能危险性评估[J].科技创新与应用,2016(15):69.
-
[4] 李磊,徐世宁.民用飞机初步系统安全性评估方法研究[J].科技创新导报,2015,12(22):28-29.
-
[5] 颜春艳.飞机区域安全性分析技术研究[D].南京:南京航空航天大学,2009:20-26.
-
[6] 郑友石.民用飞机区域安全性分析方法浅谈[J].科技信息,2013(18):382;384.
-
[7] 何茂源.民用飞机系统安全性分析的FMEA方法[J].民用飞机设计与研究,1996(3):31-35.
-
[8] YAZDI M,DANESHVAR S,SETAREH H.An extension to Fuzzy Developed Failure Mode and Effects Analysis(FDFMEA)application for aircraft landing system[J].Safety Science,2017:113-123.
-
[9] 王凯,樊纲旗,董瑾,等.故障树分析法(FTA)在大型飞机机载设备系统故障诊断中的应用[J].现代制造技术与装备,2018(11):144-146.
-
[10] 杨超.动态故障树及其在民机复杂系统安全性评估中的应用研究[D].南京:南京航空航天大学,2011:27-29.
-
摘要
民用飞机照明系统是飞机系统中一个重要的分支系统,不仅对飞机的安全、飞机性能的充分发挥、机组人员的工作效能起着重要的作用,而且对于旅客来说是评价飞机先进性和舒适性的一个不容忽视的重要组成部分。民用飞机照明系统通常由驾驶舱照明、客舱照明、货舱与服务区照明、外部照明及应急照明五个功能独立的部分组成。在照明系统研制过程中,为验证系统对CCAR25.1309条款的符合性,通常遵循SAE ARP 4761提出的安全性评估工作方法。基于安全性评估工作方法,以照明系统为对象,在设计阶段,通过初步安全性分析确定了系统安全性设计目标、提出了系统架构,在验证阶段,通过运用多种工具对提出的安全性目标进行验证。此外,探讨了整个系统研制过程中的安全性分析工作的具体方法,为民用飞机安全性分析提供借鉴。
Abstract
Lighting system is an important branch of civil aircraft, which not only plays a significant role in the safety and performance of the aircraft and the work efficiency of the flight crew, but also is an important component of evaluating aircraft advancement and comfort for passengers. Generally, lighting system is consisted of cockpit lighting system, cabin lighting system, cargo and service area lighting system, exterior lighting system and emergency lighting system. To verify the compliance of lighting system to CCAR 25.1309 during the system developing process, the methods for system safety assessment proposed by SAE ARP 4761 is generally followed. Based on the methods of security assessment, this article takes lighting system as the object. In the design phase, the safety design goals were determined and the system architecture was put forward through preliminary safety assessment. The safety design goals proposed earlier were verified by using a variety of methods during the verification period. In addition, the specific methods of safety analysis assessment during the whole development process were discussed, which can provide reference for the safety analysis of civil aircraft.