民用飛機初步系統(tǒng)安全性評估方法研究

李磊++徐世寧

摘 要：民用飛機初步系統(tǒng)安全性評估（PSSA）過程是民機安全性設(shè)計中的關(guān)鍵技術(shù)和重要方法。該文結(jié)合SAEARP4754A和ARP4761的要求，緊密聯(lián)系系統(tǒng)研制的過程，介紹了初步系統(tǒng)安全性評估的意義、目的和具體實施過程。針對ARP4754A中提出的新概念功能失效集與最小隔集概念進行解釋和比較，對比異同點，確定其工程實踐中的具體操作方法。最終在研制保證等級分配流程的基礎(chǔ)上，給出PSSA過程完整的建議操作流程以及工作依據(jù)，并舉例說明整個過程中的難點問題，有效指導(dǎo)民機初步系統(tǒng)安全性評估工作的開展。

關(guān)鍵詞：初步系統(tǒng)安全性評估 研制保證等級 功能失效集 研制保證等級

中圖分類號：V223 文獻標識碼：A 文章編號：1674-098X（2015）08（a）-0028-02

1 概述

民用飛機的安全性評估過程是系統(tǒng)研制過程的一部分，與系統(tǒng)研制過程平行進行。初步系統(tǒng)安全性評估（PSSA）過程是系統(tǒng)安全性評估的重要環(huán)節(jié)。SAE于2010年發(fā)布的4754A《民用飛機與系統(tǒng)研制指南》中明確要求使用PSSA的方法確保飛機系統(tǒng)研制的分配和確定過程（雙“V”型研發(fā)流程的左側(cè)）能夠滿足安全性要求。ARP4761《民用機載系統(tǒng)和設(shè)備安全性評估過程指南和方法》中提出了PSSA的具體方法。ARP4754A告訴我們“要做什么”，ARP4761來解決“怎么做”的問題。但由于指南僅提出要求，在實踐中各人理解的差別會導(dǎo)致結(jié)果出現(xiàn)很多偏差，該文結(jié)合工程實踐經(jīng)驗，研究具體系統(tǒng)研發(fā)過程中PSSA的操作方法，對工程實踐提供指導(dǎo)。

2 初步系統(tǒng)安全性評估過程的目標

系統(tǒng)的PSSA過程貫穿于整個系統(tǒng)研制全生命周期，結(jié)合系統(tǒng)功能的分配、分解和確定進行，是自上而下反復(fù)迭代的分析過程。在安全性評估的三個主要過程（功能危險性分析FHA、PSSA和系統(tǒng)安全性評估SSA）中，PSSA起到了一個承上啟下的作用。由此可以明確PSSA過程的主要目標為以下4方面。

（1）完善飛機級及系統(tǒng)級安全性要求清單，檢查飛機級及系統(tǒng)級FHA的結(jié)果；

（2）系統(tǒng)化的檢查系統(tǒng)架構(gòu)如何滿足FHA的安全性要求，考察系統(tǒng)構(gòu)架中有哪些子系統(tǒng)和組件失效能夠?qū)е掠蒄HA確定的功能危險；

（3）在研制周期內(nèi)調(diào)整并評估設(shè)計更改；

（4）得出較低層次系統(tǒng)和組件的設(shè)計、安裝等定性和定量的安全性要求。

3 初步系統(tǒng)安全性評估（PSSA）的實施過程

初步系統(tǒng)安全性評估過程主要分為以下幾個階段進行：收集PSSA輸入數(shù)據(jù)；根據(jù)系統(tǒng)功能架構(gòu)定義失效狀態(tài)的初步故障分析（FTA）結(jié)構(gòu)；進行失效狀態(tài)評估后實施PSSA過程中子系統(tǒng)/組件的研制保證等級（DAL）分配和失效概率分配；同時考慮共因源對獨立性影響的分析，最終得對子系統(tǒng)/組件定性和定量的設(shè)計要求和安全性目標。

下面對PSSA實施過程的主要階段進行分析。

3.1 PSSA的輸入

在開始進行PSSA評估過程之前，需收集相關(guān)的數(shù)據(jù)信息，這些信息包括但不局限于以下內(nèi)容：來自飛機級/系統(tǒng)FHA和相關(guān)功能的失效狀態(tài)；高級別安全性評估得出的需求；相關(guān)的系統(tǒng)功能；包含系統(tǒng)接口的推薦的系統(tǒng)架構(gòu)；共因源信息。這些信息共同構(gòu)成了PSSA分析的基礎(chǔ)，為后續(xù)進行有效的分析過程提供必要的數(shù)據(jù)保障。

3.2 建立PSSA階段初步故障樹分析模型

針對需要分析的失效狀態(tài)涉及的系統(tǒng)功能架構(gòu)，建立PSSA階段初步的故障樹分析（FTA）模型。FTA通過分層次、分支路的構(gòu)建方法，演繹性的表明引起該失效狀態(tài)的各種子功能/組件失效之間的架構(gòu)關(guān)系，進而可以自上而下的得到低級別失效定性和定量的安全性要求，并驗證推薦的系統(tǒng)功能架構(gòu)是否滿足安全性目標。對于確定的架構(gòu)，PSSA里面需要進行詳細的架構(gòu)說明。

3.3 研制保證等級的分配過程

ARP4754A里要求通過分析功能失效集（FFS）中成員的方法分析子系統(tǒng)/組件錯誤組合對頂層失效狀態(tài)的影響關(guān)系，并通過對FFS成員的研制保證等級（DAL）的分配得到對子系統(tǒng)和組件的設(shè)計要求。系統(tǒng)功能的DAL分配過程是針對FHA和初步飛機級安全性分析以及高層次級別PSSA階段進行，組件的DAL分配過程針對低層次級別PSSA過程。為了明確概念方便后續(xù)分析的開展，現(xiàn)對ARP4754A中的FFS概念和ARP4761中FTA的最小割集進行比較分析。

3.3.1 功能失效集（FFS）和故障樹分析（FTA）中的最小割集概念比較分析

在ARP4764A中新提出了功能失效集合（FFS）的概念，即當任意一個FFS中的所有成員的錯誤同時發(fā)生時，就能導(dǎo)致該FFS最頂層的失效狀態(tài)的發(fā)生。FFS成員表示潛在的研制錯誤的結(jié)果，而非失效。在保證了每個FFS中所有成員獨立性的情況下，針對該FFS中各個成員進行功能保證等級分配（DAL），對支持頂層失效狀態(tài)的研制保證等級和該功能架構(gòu)研制置信度是非常重要的。

當完成了針對某個失效狀態(tài)下所有FFS中的全部成員進行功能DAL分配時，按照DAL分配原則，可能會有多種符合要求的分配結(jié)果，然后需要進行各FFS中成員之間分配結(jié)果的交叉檢查，統(tǒng)籌考慮整個失效模式下所有FFS成員的分配，刪除各FFS之間矛盾的分配結(jié)論，最終得到合理并且滿足要求的所有底層子系統(tǒng)/組件錯誤的DAL結(jié)果。

ARP4761中的最小割集概念基于故障樹分析工具得到，是通過FTA架構(gòu)，各邏輯門關(guān)系得出的引起頂事件發(fā)生的基本事件的最低限度集合。

FTA中最小割集是針對失效，該集合中的成員均來自失效模式及影響分析（FMEA）中的設(shè)備或組件的各種失效模式。而FFS是針對錯誤的。在AMC25.1309的定義中，錯誤是指人員疏忽或不正確的行為，或在研制、設(shè)計過程中的差錯。失效是指能夠影響零部件的工作使其不能執(zhí)行預(yù)期功能的事件（其中包括功能喪失和功能式故障）。錯誤會能夠引起失效，但是不能認為錯誤就是失效。FFS的意義涵蓋但不能完全等同于FTA中最小割集。endprint