民用飛機(jī)系統(tǒng)功能危險(xiǎn)性評(píng)估

賀娜

摘要：功能危險(xiǎn)性評(píng)估作為安全性評(píng)估的第一步，起著至關(guān)重要的作用。介紹了系統(tǒng)功能危險(xiǎn)性評(píng)估的目標(biāo)和流程，以自動(dòng)飛行控制系統(tǒng)為例詳述評(píng)估過(guò)程，可為民用飛機(jī)系統(tǒng)功能危險(xiǎn)性評(píng)估提供參考。

關(guān)鍵詞：民用飛機(jī)；自動(dòng)飛行控制系統(tǒng)；功能危險(xiǎn)性評(píng)估；安全評(píng)估

DOIDOI：10.11907/rjdk.151788

中圖分類(lèi)號(hào)：TP301

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)文章編號(hào)：16727800（2015）008004903

0 引言

對(duì)于民用飛機(jī)而言，安全性是其首要考慮的問(wèn)題，貫穿于飛機(jī)從研制、生產(chǎn)、運(yùn)營(yíng)到退役的整個(gè)生命周期，同時(shí)也是民用飛機(jī)能否通過(guò)適航審查、進(jìn)入市場(chǎng)并獲得公眾信任的前提條件。自動(dòng)飛行控制系統(tǒng)作為民用飛機(jī)機(jī)載系統(tǒng)的一個(gè)重要部分，安全性是其至關(guān)重要的設(shè)計(jì)因素。

系統(tǒng)安全性分析包括功能危險(xiǎn)性評(píng)估、系統(tǒng)安全性初步評(píng)估、系統(tǒng)安全性評(píng)估、共因分析、失效模式影響評(píng)估等。本文以ASE ARP 4761為指導(dǎo)，以某民用飛機(jī)自動(dòng)飛行控制系統(tǒng)為例，主要對(duì)安全性分析的第一步——功能危險(xiǎn)性評(píng)估過(guò)程進(jìn)行介紹和分析。

1 功能危險(xiǎn)性評(píng)估概述

功能危險(xiǎn)性評(píng)估是系統(tǒng)綜合檢查產(chǎn)品的各種功能，識(shí)別功能的各種失效狀態(tài)，并根據(jù)失效狀態(tài)的嚴(yán)重程度對(duì)其進(jìn)行分類(lèi)的一種安全性分析方法。以系統(tǒng)為對(duì)象，功能危險(xiǎn)性評(píng)估研究其在飛機(jī)設(shè)計(jì)的整個(gè)飛行包線和不同飛行階段內(nèi)，可能影響系統(tǒng)乃至飛機(jī)整機(jī)飛行安全的功能失效[1]。

功能危險(xiǎn)性評(píng)估過(guò)程是一種自上而下識(shí)別功能失效狀態(tài)并評(píng)估其影響的方法，它的目標(biāo)是在系統(tǒng)功能喪失和功能失常等情況下，識(shí)別失效狀態(tài)和其相關(guān)分類(lèi)。

作為民用飛機(jī)安全性評(píng)估的第一步，功能危險(xiǎn)性評(píng)估是下一步安全性評(píng)估流程的必要輸入，也為后續(xù)系統(tǒng)、子系統(tǒng)設(shè)計(jì)架構(gòu)提出安全性設(shè)計(jì)需求，幫助確認(rèn)系統(tǒng)架構(gòu)的可接受性，發(fā)現(xiàn)潛在問(wèn)題和所需的設(shè)計(jì)更改，并確定進(jìn)一步的需求范圍。系統(tǒng)功能危險(xiǎn)性評(píng)估給出各種功能的危險(xiǎn)評(píng)估，推導(dǎo)或確認(rèn)系統(tǒng)安全性設(shè)計(jì)準(zhǔn)則，提出系統(tǒng)安全性要求，還提供對(duì)安全性至關(guān)重要的潛在功能失效狀態(tài)信息，這些信息可用來(lái)確立所需系統(tǒng)的結(jié)構(gòu)方案、軟件完整性水平要求、系統(tǒng)分離和隔離要求以及最低設(shè)備清單要求[2]。

系統(tǒng)功能危險(xiǎn)性評(píng)估的輸入主要有系統(tǒng)功能清單、外部接口示意圖、飛機(jī)級(jí)功能危險(xiǎn)性評(píng)估功能清單、飛機(jī)級(jí)功能危險(xiǎn)性評(píng)估識(shí)別失效狀態(tài)、設(shè)計(jì)要求和目標(biāo)、飛機(jī)級(jí)設(shè)計(jì)方案選擇及其原理，以及系統(tǒng)使用的適航規(guī)章。

系統(tǒng)功能危險(xiǎn)性評(píng)估過(guò)程可分為以下幾個(gè)步驟：①確定與系統(tǒng)相關(guān)的所有功能，包括內(nèi)部功能和交互功能；②識(shí)別系統(tǒng)功能的所有失效狀態(tài)，考慮所有的單一和復(fù)合失效狀態(tài)；③確定該失效狀態(tài)出現(xiàn)時(shí)所處的工作狀態(tài)或飛行階段；④根據(jù)失效狀態(tài)對(duì)飛機(jī)或人員的影響，確定失效狀態(tài)的影響等級(jí)；⑤給出用于證明失效狀態(tài)影響等級(jí)的支撐材料；⑥提出用于驗(yàn)證失效狀態(tài)要求的符合性方法。

2 系統(tǒng)功能危險(xiǎn)性評(píng)估過(guò)程

2.1 系統(tǒng)功能定義

進(jìn)行系統(tǒng)功能危險(xiǎn)性評(píng)估首先需要確定所分析系統(tǒng)相關(guān)的所有功能，包括內(nèi)部功能和外部功能，分析確定并建立功能清單。

系統(tǒng)功能危險(xiǎn)性評(píng)估的功能定義按照逐層展開(kāi)的方式進(jìn)行相應(yīng)的功能分析，找出所有工作狀態(tài)下可能的功能，形成用于功能危險(xiǎn)性評(píng)估的系統(tǒng)功能清單。系統(tǒng)級(jí)內(nèi)部功能指系統(tǒng)本身功能和內(nèi)部設(shè)備之間的接口功能，外部功能指其它系統(tǒng)提供給所分析系統(tǒng)的功能或分析系統(tǒng)提供給其它系統(tǒng)的功能。

以自動(dòng)飛行控制系統(tǒng)為例，民用飛機(jī)自動(dòng)飛行控制系統(tǒng)一般接收飛行員通過(guò)飛行模式板手動(dòng)設(shè)置或飛管系統(tǒng)發(fā)送的指令及相關(guān)傳感器輸入信號(hào)等，提供自動(dòng)控制飛機(jī)按設(shè)定的姿態(tài)、飛行路徑和空速飛行的能力，目的在于減輕飛行員工作負(fù)擔(dān)。

按照上層設(shè)計(jì)方案，系統(tǒng)功能遵循自上而下的分配和其它系統(tǒng)交互實(shí)現(xiàn)的原則，飛機(jī)級(jí)功能和交互系統(tǒng)功能要求自動(dòng)飛行控制系統(tǒng)具有自動(dòng)駕駛、飛行指引、自動(dòng)著陸等功能，主要實(shí)現(xiàn)對(duì)飛機(jī)橫向、垂直和多軸模式的自動(dòng)控制。

因此，自動(dòng)飛行控制系統(tǒng)功能主要有自動(dòng)駕駛、飛行指引和自動(dòng)著陸等。

2.2 系統(tǒng)功能失效狀態(tài)

識(shí)別功能失效狀態(tài)應(yīng)分別考慮所研究對(duì)象的內(nèi)部功能、交互功能以及環(huán)境和應(yīng)急情況、反常情況中的每一項(xiàng)，同時(shí)還要考慮正常和惡劣環(huán)境中的單個(gè)或多重失效，由此建立系統(tǒng)功能的失效狀態(tài)清單。為了列出功能的所有失效狀態(tài)及相關(guān)假設(shè)，分析者必須掌握所有可能的失效模式。功能失效在不同飛行階段產(chǎn)生的影響不同，要對(duì)不同飛行階段的同一功能失效狀態(tài)分別進(jìn)行分析。

典型的失效狀態(tài)有：①功能喪失（可分為通告的喪失和未通告的喪失）；②功能錯(cuò)誤。以自動(dòng)飛行控制系統(tǒng)的自動(dòng)駕駛功能為例，可識(shí)別到相應(yīng)的失效狀態(tài)有：①通告的喪失自動(dòng)駕駛；②未通告的喪失自動(dòng)駕駛；③錯(cuò)誤的自動(dòng)駕駛功能。

2.3 確定失效狀態(tài)工作階段

系統(tǒng)每個(gè)功能工作的飛行階段不同，而對(duì)于自動(dòng)駕駛功能而言，可設(shè)計(jì)為在各個(gè)飛行階段（起飛、爬升、巡航、下降、進(jìn)近、著陸）均可以工作。

2.4 失效狀態(tài)影響和等級(jí)分類(lèi)

根據(jù)不同的飛行階段，系統(tǒng)功能失效狀態(tài)對(duì)飛機(jī)、機(jī)組成員和乘客的影響不同，需要根據(jù)飛機(jī)級(jí)功能危險(xiǎn)性評(píng)估、飛機(jī)安全性初步評(píng)估以及設(shè)計(jì)經(jīng)驗(yàn)綜合考慮，按照表1中的定義確定影響等級(jí)分類(lèi)。

在確定影響等級(jí)時(shí)可參考以下原則[3]：①系統(tǒng)錯(cuò)誤一般比系統(tǒng)故障或失效的影響更為嚴(yán)重；②應(yīng)了解并明確飛機(jī)對(duì)飛行員的操作和控制要求，包括在各飛行階段對(duì)飛行員的工作要求，以便分析失效狀態(tài)對(duì)駕駛員操作的要求和影響；③如果同一個(gè)功能故障在不同飛行階段對(duì)飛機(jī)或人員產(chǎn)生的影響不同，則在分析中要分別列出。

確定失效狀態(tài)影響等級(jí)時(shí)，先分析失效狀態(tài)對(duì)系統(tǒng)的影響，進(jìn)而分析對(duì)飛機(jī)、機(jī)組成員和乘客的影響。以“通告的喪失自動(dòng)駕駛”為例，參考在相似機(jī)型中該失效狀態(tài)的影響分析，根據(jù)表1中的描述，在爬升、巡航、下降、進(jìn)近階段，通告的喪失自動(dòng)駕駛，對(duì)飛機(jī)無(wú)影響，需要轉(zhuǎn)為人工操作，輕微增加駕駛員負(fù)擔(dān)，乘客可能會(huì)不舒適，因此影響等級(jí)為較小的；在起飛、著陸階段，通告的喪失自動(dòng)駕駛，低高度時(shí)可能會(huì)出現(xiàn)短暫的飛行軌跡或姿態(tài)異常，需要人工操作，增加機(jī)組成員負(fù)擔(dān)，乘客身體不適，因此影響等級(jí)為較大的。

2.5 證明失效狀態(tài)影響等級(jí)的支撐材料

對(duì)于并不十分了解的失效狀態(tài)影響，需要提供分析計(jì)算、仿真分析、模擬試驗(yàn)或飛行試驗(yàn)等方法作為支撐材料，以證明系統(tǒng)失效狀態(tài)影響等級(jí)的準(zhǔn)確性[4]。由于“在爬升、巡航、下降、進(jìn)近階段通告的喪失自動(dòng)駕駛”失效狀態(tài)影響等級(jí)為較小的，可以采用分析方法和試飛試驗(yàn)作為支撐材料；“在起飛、著陸階段通告的喪失自動(dòng)駕駛”失效狀態(tài)影響等級(jí)為較大的，可以采用分析方法和模擬試驗(yàn)作為支撐材料。

2.6 驗(yàn)證失效狀態(tài)要求的符合性方法

對(duì)于每一個(gè)失效狀態(tài)確定的安全性要求，都應(yīng)提出相應(yīng)的符合性驗(yàn)證方法，以表明系統(tǒng)設(shè)計(jì)滿足安全性要求，并按照?qǐng)D1所示流程進(jìn)行安全性目標(biāo)驗(yàn)證。

功能危險(xiǎn)性評(píng)估得出的失效狀態(tài)，一般的驗(yàn)證方法有失效模式與影響分析、故障樹(shù)分析、共因分析。“在爬升、巡航、下降、進(jìn)近階段通告的喪失自動(dòng)駕駛”失效狀態(tài)影響等級(jí)為較小的，可將失效模式與影響分析作為驗(yàn)證方法；“在起飛、著陸階段通告的喪失自動(dòng)駕駛”失效狀態(tài)影響等級(jí)為較大的，可將失效模式與影響分析和故障樹(shù)分析作為驗(yàn)證方法。

圖1 安全性目標(biāo)驗(yàn)證流程

2.7 功能危險(xiǎn)性評(píng)估表

將功能危險(xiǎn)性評(píng)估工作的結(jié)果填入分析表格，形成最終的評(píng)估結(jié)果。功能危險(xiǎn)性評(píng)估表包括以下內(nèi)容： ①功能：指將要進(jìn)行分析的具體功能；②失效狀態(tài)：對(duì)每一個(gè)失效狀態(tài)進(jìn)行簡(jiǎn)要描述；③飛行階段：功能失效時(shí)所處的飛行階段。若失效狀態(tài)的影響由于飛行階段不同而不同，必須按不同飛行階段分別填寫(xiě)；④危險(xiǎn)對(duì)飛機(jī)或人員的影響：功能失效后飛機(jī)、機(jī)組成員或乘客遭受到的有害結(jié)果；⑤影響等級(jí)：災(zāi)難性的、危險(xiǎn)的、較大的、較小的及無(wú)安全性影響的；⑥影響等級(jí)支撐材料：如飛行試驗(yàn)、模擬試驗(yàn)、分析計(jì)算等；⑦驗(yàn)證方法：失效模式與影響分析、故障樹(shù)分

析或共因分析；⑧備注：與該失效狀態(tài)相關(guān)，但沒(méi)有在其它列中涉及到的相關(guān)信息，如相似系統(tǒng)之前的故障資料等。

“通告的喪失自動(dòng)駕駛”對(duì)應(yīng)的功能危險(xiǎn)性評(píng)估表如表2所示。

3 結(jié)語(yǔ)

以某型飛機(jī)自動(dòng)飛行控制系統(tǒng)為例，采用SAE ARP 4761中定義的功能危險(xiǎn)性評(píng)估過(guò)程進(jìn)行分析，具體介紹了系統(tǒng)功能危險(xiǎn)性評(píng)估過(guò)程，為民用飛機(jī)系統(tǒng)安全性評(píng)估提供了一定參考。若要更加詳細(xì)深入地進(jìn)行自動(dòng)飛行控制系統(tǒng)功能危險(xiǎn)性評(píng)估，需要結(jié)合具體系統(tǒng)的詳細(xì)設(shè)計(jì)技術(shù)方案進(jìn)一步開(kāi)展。

參考文獻(xiàn)：

[1] SAE ARP 4761.Guideline and methods for conducting the safety assessment process on civil airborne system and equipment[S].SAE，1996.

[2] SAE ARP 4754.A guidelines for development of civil aircraft and system[S].SAE，2010.

[3] 修忠信.民用飛機(jī)系統(tǒng)安全性設(shè)計(jì)與評(píng)估技術(shù)概論[M].上海：上海交通大學(xué)出版社，2013.

[4] 唐長(zhǎng)紅.飛機(jī)系統(tǒng)安全性[M].北京：航空工業(yè)出版社，2013.

（責(zé)任編輯：黃 ?。?