技術(shù)規(guī)章條款制修訂的安全性分析方法

胡天辰，蔡景

南京航空航天大學(xué)，江蘇 南京 211106

適航作為民用飛機(jī)安全性的保證，已經(jīng)成為業(yè)內(nèi)的共識(shí)。以適航審定為核心內(nèi)容的初始適航管理是保證民用飛機(jī)滿足安全性的基礎(chǔ)，其中技術(shù)規(guī)章條款是開展適航審定的基礎(chǔ)。因此，技術(shù)規(guī)章條款的安全性要求是否充分和適宜對(duì)于民用飛機(jī)的安全至關(guān)重要。我國(guó)國(guó)產(chǎn)民用飛機(jī)的研制起步較晚，因此，在技術(shù)規(guī)章條款的制修訂方面主要采取跟蹤、參考美國(guó)聯(lián)邦航空局（FAA）和歐洲航空安全局（EASA）的方式。由于我國(guó)民機(jī)的運(yùn)行環(huán)境與歐美不同，再加上國(guó)產(chǎn)民機(jī)的研制技術(shù)水平與歐美有差距，因此，適合歐美的技術(shù)規(guī)章條款不一定適合我國(guó)。實(shí)踐證明，技術(shù)規(guī)章條款制修訂非常復(fù)雜，考慮因素眾多，不僅需要考慮新技術(shù)、新材料在飛機(jī)上的推廣應(yīng)用，同時(shí)還需要考慮特定的運(yùn)行環(huán)境、機(jī)隊(duì)規(guī)模等因素。因此，在我國(guó)大力發(fā)展國(guó)產(chǎn)民用飛機(jī)的背景下，技術(shù)規(guī)章條款的制修訂工作已成為我國(guó)適航管理中的重要工作之一。

技術(shù)規(guī)章條款制修訂的核心內(nèi)容是安全性，目前在安全性方面我國(guó)已經(jīng)開展了大量的研究，如《ARP 4761:民用機(jī)載系統(tǒng)和設(shè)備安全性評(píng)估過程的指南和方法》中提出的功能危害性分析（FHA）、初步系統(tǒng)安全分析（PSSA）和系統(tǒng)安全性分析（SSA），以及由ARP 4754A提供的符合審定要求的全球通用性方法[1-2]。而技術(shù)規(guī)章條款制修訂是安全、經(jīng)濟(jì)、技術(shù)、運(yùn)行環(huán)境等眾多因素綜合權(quán)衡的結(jié)果，是一個(gè)系統(tǒng)性的工作，傳統(tǒng)民機(jī)系統(tǒng)安全性設(shè)計(jì)、分析與評(píng)估的理論體系沒有考慮危險(xiǎn)因素與人為因素的相互影響，其用于分析軟件密集型系統(tǒng)安全性的有效性正逐漸降低。為了綜合考慮技術(shù)規(guī)章條款制修訂所涉及的眾多安全性因素，需要從系統(tǒng)中人、飛行器與環(huán)境等綜合復(fù)雜因素及相互之間的關(guān)系出發(fā)，改進(jìn)優(yōu)化技術(shù)規(guī)章條款制修訂的安全性分析方法。近年來，一種基于系統(tǒng)理論的過程分析（STPA）方法在針對(duì)軟件密集型復(fù)雜系統(tǒng)安全性的分析上得到廣泛應(yīng)用。與其他方法相比，STPA 利用系統(tǒng)和控制理論來考慮系統(tǒng)組件之間的相互作用對(duì)系統(tǒng)整體安全性的影響[3]。

目前，基于STPA的安全性分析已被應(yīng)用并擴(kuò)展于各個(gè)領(lǐng)域。Dakwat 等[4]提出了一種將STPA 和模型檢查相結(jié)合的方法, 提高了設(shè)計(jì)變更的一致性，以更好地解決STPA中確定安全約束的問題；Castilho 等[5]證明將STPA 應(yīng)用于閉環(huán)連續(xù)控制的可行性，識(shí)別輕型飛機(jī)側(cè)風(fēng)起飛的危險(xiǎn)，以及使其執(zhí)行更安全的緩解措施；劉金濤[6]擴(kuò)展了STPA的具體實(shí)施，并能夠自動(dòng)化實(shí)現(xiàn)，使其成為適合于高速列控系統(tǒng)的安全分析方法；趙長(zhǎng)嘯等[7]提出了STPA-Bayes安全性分析與評(píng)價(jià)模型，支持了機(jī)載顯示系統(tǒng)的安全性分析；史思楊[8]提出了一種新的系統(tǒng)安全性分析方法——MB-STPA，識(shí)別了波音737-NG系列飛機(jī)剎車系統(tǒng)的風(fēng)險(xiǎn)致因；陳苗芳[9]提出形式化的STPA控制結(jié)構(gòu)的危險(xiǎn)分析方法，對(duì)飛行器自動(dòng)油門控制系統(tǒng)進(jìn)行危險(xiǎn)分析。在現(xiàn)有的研究以及與傳統(tǒng)分析方法的對(duì)比評(píng)估中，STPA 發(fā)現(xiàn)了傳統(tǒng)方法可以發(fā)現(xiàn)的所有因果方案，并且它也發(fā)現(xiàn)了傳統(tǒng)方法沒有發(fā)現(xiàn)的軟件相關(guān)非故障的場(chǎng)景。

通過以上分析可知，STPA分析方法具有同時(shí)考慮系統(tǒng)中人、飛行器與環(huán)境等綜合復(fù)雜因素及相互之間關(guān)系的優(yōu)點(diǎn)，與技術(shù)規(guī)章條款制修訂需要考慮的因素非常契合。因此，本研究將STPA方法融入技術(shù)規(guī)章條款制修訂過程，提出基于STPA的技術(shù)規(guī)章條款制修訂的安全性分析方法，并以飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)相應(yīng)的技術(shù)條款為例，驗(yàn)證該方法的可行性和有效性，為我國(guó)今后技術(shù)規(guī)章條款修制訂提供安全性分析。

1 系統(tǒng)理論過程分析（STPA）方法

1.1 STPA方法簡(jiǎn)介

STPA方法由N. G. Leveson[10]提出，這是一種適用于復(fù)雜系統(tǒng)危險(xiǎn)致因的安全性分析技術(shù)，而危險(xiǎn)可能是由部件之間的不安全相互作用以及部件故障和失效引起的。STPA基于系統(tǒng)—理論事故模型和過程（STAMP）來分析已識(shí)別系統(tǒng)危險(xiǎn)的致因。STAMP 的三個(gè)核心要點(diǎn)是安全約束、分層安全控制結(jié)構(gòu)和過程模型[11]，認(rèn)為損失是由未能有效實(shí)施安全約束造成的，而系統(tǒng)安全的重點(diǎn)從預(yù)防失效轉(zhuǎn)向?qū)嵤┌踩s束。因此，其不僅可以分析組件的失效，還可以分析組件的多方交互作用。

在具體分析過程中，STPA 以控制為中心，以系統(tǒng)中的不安全控制行為為重點(diǎn)，用分層控制結(jié)構(gòu)描述系統(tǒng)組件之間的控制關(guān)系。通過過程模型、分類和分析不安全控制行為，找出系統(tǒng)危險(xiǎn)和問題的根本原因，最后根據(jù)問題的原因?qū)С鱿鄳?yīng)的安全要求。

1.2 STPA方法分析步驟

STPA方法主要分4個(gè)步驟，如圖1所示。

圖1 STPA方法分析流程Fig.1 STPA method analysis process

（1） 定義分析目的。通過定義分析目的，明確該分析所要避免的損失，確定被分析的系統(tǒng)與系統(tǒng)邊界。定義分析目的分為定義損失（事故）、識(shí)別系統(tǒng)層級(jí)危險(xiǎn)、確定系統(tǒng)層級(jí)安全約束提煉危險(xiǎn)（可選）4部分。

（2） 建立一個(gè)系統(tǒng)模型，稱為控制結(jié)構(gòu)?？刂平Y(jié)構(gòu)通過一組反饋控制回路對(duì)系統(tǒng)建模，以捕捉功能關(guān)系和交互?？刂平Y(jié)構(gòu)通常從更抽象的層次開始，并進(jìn)行迭代調(diào)整以捕獲更多的系統(tǒng)細(xì)節(jié)。

（3） 識(shí)別不安全控制行為，旨在分析控制結(jié)構(gòu)中的控制行為，以驗(yàn)證此類行為如何導(dǎo)致第一步中提到的損失。不安全控制行為（UCA）指的是在特定情境及最壞環(huán)境下可能導(dǎo)致危險(xiǎn)的控制行為。在完成了事故與危險(xiǎn)的識(shí)別，以及控制結(jié)構(gòu)的搭建后，即可以通過評(píng)估系統(tǒng)設(shè)計(jì)中的安全控制來確定導(dǎo)致危險(xiǎn)狀態(tài)的可能性。對(duì)于不安全控制行為的分析可以分為4種情況:未提供控制行為導(dǎo)致危險(xiǎn)、提供控制行為后導(dǎo)致危險(xiǎn)、提供可能安全的控制行為但時(shí)間節(jié)點(diǎn)或順序錯(cuò)誤導(dǎo)致危險(xiǎn)和控制行為持續(xù)時(shí)間不當(dāng)導(dǎo)致危險(xiǎn)。

（4） 識(shí)別致因場(chǎng)景，主要是識(shí)別系統(tǒng)中可能出現(xiàn)不安全控制的原因。構(gòu)建適當(dāng)情境以解釋以下內(nèi)容:出現(xiàn)不安全控制行為并導(dǎo)致?lián)p失；提供了安全控制行為卻沒有恰當(dāng)?shù)刈袷鼗驁?zhí)行并導(dǎo)致?lián)p失。

一旦識(shí)別了分析對(duì)象的場(chǎng)景，即可用于生成其他需求、確定緩解措施、改進(jìn)系統(tǒng)架構(gòu)以及提出設(shè)計(jì)建議。

2 融入STPA的技術(shù)規(guī)章條款制修訂安全性分析流程

結(jié)合過去技術(shù)規(guī)章條款制修訂案例可知，飛機(jī)及發(fā)動(dòng)機(jī)結(jié)構(gòu)或部件發(fā)生事故、新技術(shù)的出現(xiàn)，以及跟隨其他規(guī)章的修制訂都會(huì)啟動(dòng)條款制修訂機(jī)制。隨后需要判斷危險(xiǎn)致因是否明確，如果致因不明確，則重點(diǎn)在于明確條款所涉及的系統(tǒng)，經(jīng)過STPA方法分析識(shí)別出不安全控制行為與相應(yīng)的致因場(chǎng)景；相反，如果危險(xiǎn)致因是明確的，則無須再進(jìn)行STPA分析。最后，將分析結(jié)果作為參考依據(jù)或判斷現(xiàn)有條款對(duì)全部致因場(chǎng)景的包含情況對(duì)條款進(jìn)行制修訂。融入STPA 方法進(jìn)行技術(shù)規(guī)章條款制修訂安全性分析的流程如圖2所示。

圖2 融入STPA方法的技術(shù)規(guī)章條款制修訂安全性分析流程Fig.2 Safety analysis process for preparation and revision of technical regulations with STPA method

2.1 技術(shù)規(guī)章條款涉及的系統(tǒng)分析

考慮到技術(shù)規(guī)章條款的持續(xù)修訂和航空技術(shù)的發(fā)展，需要對(duì)適航標(biāo)準(zhǔn)進(jìn)行系統(tǒng)的技術(shù)分析，跟蹤條款的修訂歷史，解讀適航要求的安全意圖和技術(shù)含義，正確理解和把握符合性驗(yàn)證方法[12]。每一條款都會(huì)針對(duì)一個(gè)特定的系統(tǒng)進(jìn)行解釋說明或要求，因此在分析技術(shù)規(guī)章條款修制訂的安全性前，應(yīng)該明確條款所涉及的系統(tǒng)，并且應(yīng)用STPA方法進(jìn)行系統(tǒng)級(jí)分析，以識(shí)別系統(tǒng)事故對(duì)應(yīng)的損失以及危險(xiǎn)。

STPA 可針對(duì)利益相關(guān)者不可接受的任何損失。如果涉及多個(gè)損失，如失去生命或遭受人身傷害、交通工具丟失或受損、交通工具外部物品丟失或受損、任務(wù)失敗以及客戶滿意度受損。由于每個(gè)STPA 結(jié)果都可以追溯到一個(gè)或多個(gè)損失，因此可以簡(jiǎn)單地根據(jù)所涉及的損失按主次順序排列分析結(jié)果。

接下來需要識(shí)別系統(tǒng)事故及對(duì)應(yīng)的危險(xiǎn)，對(duì)所分析的系統(tǒng)風(fēng)險(xiǎn)形成全局認(rèn)識(shí)。系統(tǒng)級(jí)危險(xiǎn)是通過識(shí)別在最惡劣環(huán)境條件下會(huì)造成損失的系統(tǒng)條件或狀態(tài)來定義的。

2.2 構(gòu)建系統(tǒng)控制結(jié)構(gòu)

分層控制結(jié)構(gòu)指的是由反饋控制回路組成的系統(tǒng)模型。有效地控制結(jié)構(gòu)可以將約束施加到整個(gè)系統(tǒng)的行為上。分層控制結(jié)構(gòu)由圖3 中所示的反饋控制回路組成。通常，控制器可以通過提供控制行為來控制程序，并對(duì)受控過程的行為施加約束?？刂扑惴ù砜刂破鞯臎Q策過程，即決定提供哪些控制行為。控制器還具有其過程模型，該模型代表其先前決策的內(nèi)部思想。過程模型可以包含關(guān)于受控過程或系統(tǒng)/環(huán)境的其他相關(guān)方面的想法。過程模型可以通過用于觀察受控過程的反饋進(jìn)行部分更新。一般情況下，大多系統(tǒng)都有幾個(gè)重疊且交互控制回路。如圖4所示，多個(gè)交互控制回路可通過一個(gè)分層控制結(jié)構(gòu)進(jìn)行建模。

圖3 一般控制回路Fig.3 General control loop

圖4 一般層級(jí)控制結(jié)構(gòu)Fig.4 General level control structure

2.3 識(shí)別系統(tǒng)不安全控制行為

不安全控制行為指的是在特定情境及最壞環(huán)境下可能導(dǎo)致危險(xiǎn)的控制行為。一旦識(shí)別出系統(tǒng)事故、系統(tǒng)級(jí)危險(xiǎn)以及相關(guān)的安全約束，并確定了安全控制結(jié)構(gòu)，即通過評(píng)估系統(tǒng)設(shè)計(jì)中的安全控制來確定導(dǎo)致危險(xiǎn)狀態(tài)的可能性。

不安全控制行為應(yīng)說明在何種情境下控制行為是不安全的。每個(gè)不安全控制行為都包含5個(gè)部分:（1） 可以提供控制行為的控制器；（2） 情境；（3） 不安全控制行為的類型；（4） 控制行為或命令本身；（5） 關(guān)聯(lián)所可能導(dǎo)致的危險(xiǎn)。

2.4 識(shí)別致因場(chǎng)景

致因場(chǎng)景描述的是可能導(dǎo)致不安全控制行為以及危險(xiǎn)的誘發(fā)因素。此時(shí)，需要考慮兩類致因場(chǎng)景:導(dǎo)致不安全控制行為的致因場(chǎng)景和控制行為執(zhí)行不當(dāng)或未被執(zhí)行的致因場(chǎng)景。

2.4.1 識(shí)別導(dǎo)致不安全控制行為的致因場(chǎng)景

此類致因場(chǎng)景可通過以不安全控制行為作為起始點(diǎn)，反向解釋是什么導(dǎo)致控制器提供或不提供控制行為進(jìn)行創(chuàng)建?？蓪?dǎo)致不安全控制行為的致因場(chǎng)景包括:與控制器相關(guān)的故障（僅針對(duì)實(shí)際控制器）、不充分的控制算法、不安全的控制輸入與不充分的過程模型。

2.4.2 識(shí)別控制行為執(zhí)行不當(dāng)或未被執(zhí)行的致因場(chǎng)景

不安全控制行為可能導(dǎo)致危險(xiǎn)，但如果控制行為執(zhí)行不當(dāng)或未被執(zhí)行，沒有不安全控制行為的情況下也可能導(dǎo)致危險(xiǎn)。為了得到此類致因場(chǎng)景，我們必須考慮會(huì)影響控制路徑和受控過程的因素。涉及控制路徑和受控過程的致因場(chǎng)景包括控制行為未執(zhí)行與控制行為執(zhí)行不當(dāng)。

2.5 依據(jù)致因?qū)l款進(jìn)行安全性評(píng)估

在識(shí)別出不安全控制行為對(duì)應(yīng)的致因場(chǎng)景后，對(duì)現(xiàn)有條款進(jìn)行分析，檢查其是否已經(jīng)涵蓋了所有應(yīng)該被考慮的致因場(chǎng)景。如果現(xiàn)有條款已經(jīng)涵蓋了所有的致因場(chǎng)景，可以認(rèn)為其安全性滿足要求，安全性評(píng)估程序結(jié)束；如果未涵蓋所有致因場(chǎng)景，則應(yīng)該考慮以此為依據(jù)啟動(dòng)條款制修訂程序。

3 飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)技術(shù)條款案例分析

3.1 簡(jiǎn)述

飛機(jī)在地面的轉(zhuǎn)向運(yùn)動(dòng)主要有三種轉(zhuǎn)向模式:前輪轉(zhuǎn)彎、不對(duì)稱推力和差速制動(dòng)。其中，前輪轉(zhuǎn)彎可使飛機(jī)靈活轉(zhuǎn)彎，并具有其他兩種轉(zhuǎn)向模式的功能。它還減輕了輪胎磨損和差速剎車時(shí)的局部高溫現(xiàn)象，即使在主起落架輪胎泄漏的情況下仍能控制飛機(jī)。目前，國(guó)內(nèi)外民用飛機(jī)和大多數(shù)軍用飛機(jī)都使用這種方法。此外，飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)是飛機(jī)地面控制運(yùn)動(dòng)的重要組成部分。其各項(xiàng)性能指標(biāo)對(duì)飛機(jī)整體地面運(yùn)行的穩(wěn)定性和地面機(jī)動(dòng)性有著非常重要的影響[13]。

一種飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)包含的部件有:（1） 旋轉(zhuǎn)接頭:旋轉(zhuǎn)接頭相對(duì)于L/G 回縮軸同軸安裝，并在齒輪延伸時(shí)提供液壓電源。 當(dāng)齒輪開始收縮時(shí)，旋轉(zhuǎn)接頭切斷液壓電源。（2） 選擇閥:當(dāng)選擇閥通電時(shí)，壓力通過從動(dòng)閥施加到伺服閥上。（3） 止回閥/過濾器:液壓供電線路安裝40μm過濾器和止回閥。（4） 伺服閥:伺服閥為偏轉(zhuǎn)射流式。它配備了線性可變差動(dòng)換能器（LVDT）傳感器，用于檢測(cè)滑動(dòng)閥的位置。LVDT 為轉(zhuǎn)向控制提供位置反饋。（5） 可調(diào)節(jié)隔膜:可調(diào)膈膜用于調(diào)整流向每個(gè)驅(qū)動(dòng)汽缸室的流量，從而調(diào)整機(jī)輪轉(zhuǎn)向速度。（6） 止回閥:兩個(gè)止回閥確保流體從蓄能器分配到轉(zhuǎn)向執(zhí)行器的腔室。（7） 旁通閥:在液壓系統(tǒng)降壓的情況下，旁路閥將轉(zhuǎn)向執(zhí)行機(jī)構(gòu)的兩個(gè)腔室互連。如果壓力超過273bar （4000lbf/in2，即27300kPa），旁通閥就會(huì)打開。（8） 防擺閥:每個(gè)轉(zhuǎn)向執(zhí)行器室有一個(gè)防擺閥，以防止擺振。（9） 轉(zhuǎn)向執(zhí)行器:轉(zhuǎn)向執(zhí)行器通過齒條和齒輪組件驅(qū)動(dòng)旋轉(zhuǎn)管，這是NLG結(jié)構(gòu)的一部分。（10） 蓄壓器:防擺振蓄壓器在轉(zhuǎn)向執(zhí)行器的兩個(gè)腔室之一出現(xiàn)氣穴時(shí)提供加壓液體。蓄能器可以提供壓力高達(dá)15bar（220lbf/in2，即1500kPa）的液體加壓。（11） 放氣螺釘:放氣螺釘允許液壓塊放氣和減壓。上述部件對(duì)應(yīng)的一種飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)原理簡(jiǎn)圖如圖5所示。

圖5 飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)原理簡(jiǎn)圖Fig.5 Schematic diagram of aircraft nosewheel turning system

目前，F(xiàn)AA 和中國(guó)民用航空局（CAAC）的適航規(guī)章尚無針對(duì)前輪轉(zhuǎn)彎系統(tǒng)的條款。只有EASA發(fā)布的大型飛機(jī)審定規(guī)范（CS-25）部25.745 條為針對(duì)前輪轉(zhuǎn)彎系統(tǒng)的條款[14]，其針對(duì)前輪轉(zhuǎn)彎系統(tǒng)在不同環(huán)境條件下的控制情況、與其他系統(tǒng)的干涉以及各部件失效對(duì)系統(tǒng)安全性的影響等方面提出了要求。

本研究融入STPA方法，對(duì)CS-25部25.745條飛機(jī)前輪轉(zhuǎn)向系統(tǒng)技術(shù)規(guī)章條款進(jìn)行安全性分析，為將來我國(guó)運(yùn)輸類飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)相關(guān)及其他技術(shù)規(guī)章條款的建立提供安全性分析。

3.2 融入STPA的安全性分析

3.2.1 飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)技術(shù)規(guī)章條款制修訂啟動(dòng)機(jī)制

未來，我國(guó)可能會(huì)跟隨制定飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)相關(guān)技術(shù)條款，并且尚不明確可能導(dǎo)致系統(tǒng)危險(xiǎn)的致因場(chǎng)景，因此需要應(yīng)用融入STPA的安全性分析方法進(jìn)行分析。

3.2.2 系統(tǒng)級(jí)分析

根據(jù)STPA的定義，可得到關(guān)于飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)的系統(tǒng)級(jí)事故包括:所有相關(guān)人員的受傷和死亡（A1）、飛機(jī)機(jī)體或各子系統(tǒng)遭到結(jié)構(gòu)破壞或機(jī)械故障（A2）和所有相關(guān)的地面或移動(dòng)設(shè)施和設(shè)備的損毀（A3）。

系統(tǒng)級(jí)危險(xiǎn)是指可能導(dǎo)致A1～A3的一系列災(zāi)難性后果的事件。飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)在日常運(yùn)行中出現(xiàn)的危險(xiǎn)主要有[15]:（1） 轉(zhuǎn)彎操縱無法脫開（H1），導(dǎo)致拖行時(shí)轉(zhuǎn)彎?rùn)C(jī)構(gòu)受力過大而損壞，另外導(dǎo)致收放起落架時(shí)前輪沒有處于中立位置，使艙門等部件損壞；（2） 轉(zhuǎn)彎操縱困難（H2），前輪轉(zhuǎn)彎操縱費(fèi)力或者左右偏轉(zhuǎn)角度變小，會(huì)造成無法控制角度及反饋前輪位置等現(xiàn)象；（3） 轉(zhuǎn)彎功能失效（H3），是前輪轉(zhuǎn)彎系統(tǒng)級(jí)危險(xiǎn)中最為嚴(yán)重的，輕則導(dǎo)致航班延誤，影響其他飛機(jī)的正常起飛，重則導(dǎo)致輪胎嚴(yán)重磨損甚至爆破，影響機(jī)上人員的安全。

針對(duì)事故A1，轉(zhuǎn)彎功能失效（H3）為可能導(dǎo)致人員受傷或死亡的危險(xiǎn)情況；事故A2 涉及上述H1、H2、H3 三種危險(xiǎn)；事故A3涉及上述H2、H3兩種危險(xiǎn)。通過上述分析，可以得到系統(tǒng)級(jí)危險(xiǎn)與事故的關(guān)聯(lián)關(guān)系，見表1。

表1 系統(tǒng)級(jí)事故與危險(xiǎn)對(duì)應(yīng)表Table 1 Corresponding table of system level accidents and hazards

3.2.3 控制—反饋結(jié)構(gòu)的構(gòu)建

轉(zhuǎn)彎系統(tǒng)處于正常工作狀態(tài)時(shí)，飛行員可以根據(jù)需要自主控制轉(zhuǎn)彎系統(tǒng)的工作方式，通常包括手輪轉(zhuǎn)彎、腳蹬轉(zhuǎn)彎和轉(zhuǎn)彎減擺三種方式。手輪轉(zhuǎn)彎用于低速滑行時(shí)進(jìn)行大角度轉(zhuǎn)彎，可以使飛機(jī)獲得良好的地面機(jī)動(dòng)能力，轉(zhuǎn)彎手輪手柄中心通常設(shè)有“腳蹬轉(zhuǎn)彎斷開”按鈕，按下該按鈕將斷開腳蹬轉(zhuǎn)彎功能，可以減少前輪胎的磨損；腳蹬轉(zhuǎn)彎用于中高速滑跑過程中小角度修正滑跑方向，使飛機(jī)獲得良好的保持方向的能力；當(dāng)轉(zhuǎn)彎開關(guān)斷開時(shí)，轉(zhuǎn)彎系統(tǒng)斷開，前輪進(jìn)入轉(zhuǎn)彎減擺狀態(tài)，此時(shí)前輪為無動(dòng)力轉(zhuǎn)彎。

根據(jù)飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)原理，飛行員和轉(zhuǎn)彎控制單元（SCU）為控制器，轉(zhuǎn)彎作動(dòng)系統(tǒng)（控制閥、作動(dòng)筒）、駕駛艙部件（手輪、腳蹬、開關(guān)）等為執(zhí)行機(jī)構(gòu)，機(jī)輪、液壓系統(tǒng)為被控過程，傳感器有前輪位置傳感器、轉(zhuǎn)彎指令傳感器等，部件間存在邏輯和功能上的控制與反饋關(guān)系，圖6 為正常前輪轉(zhuǎn)彎模式時(shí)系統(tǒng)的安全控制—反饋結(jié)構(gòu)。

圖6 飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)控制結(jié)構(gòu)示意圖Fig.6 Control structure diagram of aircraft nosewheel turning system

3.2.4 識(shí)別不安全控制行為

轉(zhuǎn)彎操縱無法脫開（H1）、轉(zhuǎn)彎操縱困難（H2）、轉(zhuǎn)彎功能失效（H3）均屬于嚴(yán)重度較高的危險(xiǎn)，涉及的事故類型也比較多，因此具有重要的研究意義。接下來將進(jìn)行識(shí)別不安全控制行為的示例分析。

根據(jù)飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)原理和安全控制—反饋結(jié)構(gòu)模型可確定系統(tǒng)中的控制器有飛行員和SCU，其中飛行員的控制行為有控制轉(zhuǎn)彎系統(tǒng)工作方式（CA1）和操作駕駛艙轉(zhuǎn)彎系統(tǒng)執(zhí)行機(jī)構(gòu)（CA2）；SCU 的控制行為有實(shí)施前輪轉(zhuǎn)彎操作（CA3）和控制轉(zhuǎn)彎系統(tǒng)開關(guān)狀態(tài)（CA4）?？梢宰R(shí)別出不安全控制行為見表2。

表2 不安全控制行為列表Table 2 List of Unsafe Control Activitys（UCAS）

3.2.5 識(shí)別致因場(chǎng)景

在確定可能導(dǎo)致危險(xiǎn)的不安全控制行為后，需要根據(jù)飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)的控制—反饋結(jié)構(gòu)圖以及不安全控制行為分類依據(jù)進(jìn)一步確定其產(chǎn)生的原因。根據(jù)第二節(jié)所述致因場(chǎng)景分類，識(shí)別出的全部致因場(chǎng)景包括與控制器相關(guān)致因10條，與不充分的控制算法相關(guān)致因4條，與不充分的控制輸入相關(guān)致因2 條，與執(zhí)行器及受控過程相關(guān)的故障及缺陷相關(guān)致因14條，與和反饋有關(guān)的故障及缺陷相關(guān)致因7條。部分致因場(chǎng)景見表3，其中致因標(biāo)號(hào)的第一位表示由對(duì)應(yīng)編號(hào)控制行為的不安全控制行為識(shí)別而來。

表3 致因場(chǎng)景列表（部分）Table 3 Causal scenario list （part）

3.2.6 依據(jù)致因進(jìn)行安全性評(píng)估

從EASA 發(fā)布的《大型飛機(jī)的審定規(guī)范和可接受的符合性方法》（CS-25）[16]查閱得到，涉及飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)的條款第25.745條包括以下內(nèi)容:

（1） CS-25.745（a）條款除非前輪轉(zhuǎn)向系統(tǒng)僅限于低速操縱，否則其設(shè)計(jì)必須確保在起飛和著陸期間（包括側(cè)風(fēng)情況）以及在起飛運(yùn)行期間的任何階段動(dòng)力裝置突然發(fā)生故障時(shí)，其使用不需要特殊技巧。這必須通過測(cè)試來證明。

該條款明確說明在起飛、著陸遭遇側(cè)風(fēng)及動(dòng)力裝置失效的情況下，無須使用特殊技巧，即專用設(shè)備——轉(zhuǎn)彎手輪，通過腳蹬即可實(shí)現(xiàn)糾偏功能。此條涵蓋RC1-1 等與操作方式選擇相關(guān)致因場(chǎng)景。

（2） CS-25.745（b）條款必須證明，在任何實(shí)際情況下，飛行員轉(zhuǎn)彎控制裝置的移動(dòng)（包括起落架縮回或伸展期間或縮回后的移動(dòng)）不會(huì)干擾起落架的正確縮回或伸展。

該條款主要描述了前輪轉(zhuǎn)彎與起落架收放運(yùn)動(dòng)的干涉情況。具體需要通過控制器邏輯以及前起落架轉(zhuǎn)軸處液壓控制裝置實(shí)現(xiàn)。此條主要涵蓋RC3-7等6條與控制算法及模型相關(guān)致因場(chǎng)景。

（3） CS-25.745（c）條款在故障條件下，系統(tǒng)必須符合CS-25.1309（b）和（c）的要求。系統(tǒng)的布置必須確保沒有單一故障會(huì)使前輪處于導(dǎo)致危險(xiǎn)影響的位置。如果依靠前輪轉(zhuǎn)向來證明其符合CS-25.233 條的要求，則必須證明前輪轉(zhuǎn)向系統(tǒng)符合CS-25.1309條的要求。

該條款重點(diǎn)需要考慮“確保沒有單一故障會(huì)使前輪處于導(dǎo)致危險(xiǎn)影響的位置”。此條主要涵蓋RC3-11 等14 條與執(zhí)行器及受控過程相關(guān)致因場(chǎng)景。

（4） CS-25.745（d）條款前輪轉(zhuǎn)向系統(tǒng)、牽引附件和相關(guān)元件必須通過適當(dāng)?shù)姆绞竭M(jìn)行設(shè)計(jì)或保護(hù)，以便在通過獨(dú)立于飛機(jī)的方式進(jìn)行地面操縱操作期間:排除了影響前輪轉(zhuǎn)向系統(tǒng)安全操作的損壞；如果可能發(fā)生損壞，則在開始滑行前向機(jī)組發(fā)出警報(bào)。

該條款主要描述了在“牽引”時(shí)，不會(huì)對(duì)前輪轉(zhuǎn)彎系統(tǒng)產(chǎn)生損壞，如果可能產(chǎn)生損壞，則在開始滑行前向機(jī)組發(fā)出警報(bào)。此條主要涵蓋RC2-3等7條與受控過程及反饋相關(guān)致因場(chǎng)景。

（5） CS-25.745（e）條款除非前輪在下降時(shí)自動(dòng)處于前后姿態(tài)，否則必須在前輪最初處于所有可能的偏心位置時(shí)證明成功著陸。

該條款要求驗(yàn)證飛機(jī)前輪在任何可能偏轉(zhuǎn)角度下都可以保證飛機(jī)成功著陸。此條款描述著陸過程，不在上述分析范圍內(nèi)，故不予分析。

由上述分析可以得出:對(duì)于飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)，EASA發(fā)布的審定規(guī)范CS-25.745條款將大多數(shù)控制器、執(zhí)行器及反饋相關(guān)致因場(chǎng)景考慮在內(nèi)，我國(guó)CCAR-25 部在建立飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)條款制修訂時(shí)，可以將以上致因作為依據(jù)進(jìn)行符合性驗(yàn)證；而CS-25.745條款對(duì)RC2-1等飛行員之間的交流及決策過程等人為因素可能造成危險(xiǎn)的致因沒有進(jìn)行充分考慮，在進(jìn)行條款制修訂時(shí)可作為參考進(jìn)行補(bǔ)充。

4 結(jié)論

通過研究，可以得出以下結(jié)論:

（1） 本研究將系統(tǒng)理論過程分析（STPA）方法融入技術(shù)規(guī)章條款制修訂的安全性分析，同時(shí)考慮系統(tǒng)控制結(jié)構(gòu)中人、飛機(jī)與環(huán)境等維度及其相互關(guān)系，提出了基于STPA方法的技術(shù)規(guī)章條款制修訂的安全性分析方法。

（2） 本研究以運(yùn)輸類飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)為例，利用所提的安全性分析方法，驗(yàn)證了EASA 在制定相關(guān)條款時(shí)對(duì)安全考慮的合理性，表明方法的可行性和有效性，為我國(guó)制修訂飛機(jī)前輪轉(zhuǎn)彎系統(tǒng)相應(yīng)及其他技術(shù)規(guī)章條款提供安全性分析方法。