民用飛機運營安全性監(jiān)控研究

向維

【摘 要】民用飛機安全性設計中用于適航取證的安全性數(shù)據(jù)只是理論值，還需用實際運營數(shù)據(jù)來確認或調(diào)整安全性評估中的假設。論文介紹了一種基于民機運營數(shù)據(jù)的運營安全性監(jiān)控方法，建立了定性與定量評估方法、運營結(jié)果與目標值對比及采取何種措施的方法。

【關鍵詞】安全性；運營；監(jiān)控

0 引言

在進行民用飛機CCAR/JAR/FAR 25.1309條款的安全性要求符合性驗證時，用于驗證的數(shù)據(jù)只能是設備供應商提供的理論數(shù)據(jù)（FMEA、FMES），或者是已有飛機項目的經(jīng)驗數(shù)據(jù)。需用運營數(shù)據(jù)進行持續(xù)評估來確認或調(diào)整系統(tǒng)安全性評估（System Safety Assessments，SSAs）中的假設[1]，并驗證實際能達到的安全性水平。一旦出現(xiàn)不符合安全性目標的情況，需采取有效措施進行改進。因此，研究一套合適的民用飛機運營安全性監(jiān)控方法十分重要。

1 民用飛機運營安全性監(jiān)控方法

民用飛機運營安全性監(jiān)控的研究思路如圖1所示。

2 定性的運營數(shù)據(jù)評估

定性的運營數(shù)據(jù)評估的關鍵在于找到SSA中所考慮的事件（失效模式、失效狀態(tài)、外部事件、狀態(tài)轉(zhuǎn)移）與運營報告中記錄的事件的關聯(lián)。

2.1 建立運營失效狀態(tài)模型

將危險性或災難性的失效狀態(tài)（FC）模型化（DD、FTA或Markov模型）。此模型由基本事件（“boxes”）和布爾邏輯組成。布爾邏輯會引發(fā)DD、FTA中的失效狀態(tài)或Markov中的系統(tǒng)狀態(tài)（包括已考慮的失效狀態(tài)和其狀態(tài)轉(zhuǎn)移）?；臼录覆考⒃O備或系統(tǒng)的失效模式（FMES事件）、某環(huán)境條件或運行條件（外部事件）或者其它系統(tǒng)故障（相關系統(tǒng)故障）。

2.2 評估SSA中失效狀態(tài)的完整性和邏輯性

對樣本機隊可用的詳細運營數(shù)據(jù)進行分析時需對FC的完整性和邏輯性進行分析。

a）DD、FTA：如果運營基本事件被確認與FC中已有的基本事件或者某部分有相同影響，并且未被FC覆蓋，需添加進FC中。

Markov：如果系統(tǒng)狀態(tài)被確認未被FC覆蓋，需添加進FC。

b）DD、FTA：如果運營經(jīng)驗證明FC的布爾結(jié)構(gòu)不正確，需根據(jù)情況調(diào)整FC。

Markov：如果運營中出現(xiàn)的狀態(tài)轉(zhuǎn)移在FC中未考慮，需添加進FC。

c）如果運營中發(fā)生的事件代表了FC的一部分（例如：子圖、子故障樹），那么用一個能描述運營事件的基本事件來代替此部分。

最終“運營”失效狀態(tài)模型命名為FC*。

注：在運營報告周期內(nèi)，F(xiàn)C中的某些基本事件或系統(tǒng)狀態(tài)未發(fā)現(xiàn)，不應該在FC*中刪除。需進一步觀察，因為這些事件或系統(tǒng)狀態(tài)發(fā)生概率值低。

3 定量的運營數(shù)據(jù)評估

當運營失效狀態(tài)模型FC*建立完成，需評估基本事件發(fā)生概率（DD、FTA）或狀態(tài)轉(zhuǎn)移率（Markov）。

通常報告期為運營期1年。如果累積的運行時間和事件發(fā)生次數(shù)不足以獲得一定置信度的概率數(shù)據(jù)，需延長報告期（例如：如果某個失效模式是隱蔽的，相關的檢查間隔要大于一般的報告期）。

另一方面，選擇合適的報告期應考慮到，飛機構(gòu)型更改（例如：系統(tǒng)改型）可能會影響事件發(fā)生概率，即較長的報告期也可能無法獲得有效的分析結(jié)果。此時還需考慮飛機和其系統(tǒng)的成熟度，還有運行和環(huán)境條件的影響（例如：老齡飛機、結(jié)冰……）。

而基本事件發(fā)生概率（Plow（FC*）與 Phigh（FC*））的統(tǒng)計方法取決于假定的概率分布函數(shù)：

a）一般情況假設事件發(fā)生概率或者狀態(tài)轉(zhuǎn)移率為與時間無關（常量）的指數(shù)分布；

b）如果事件發(fā)生分布被假設為其他分布函數(shù)，失效率與時間相關，則用極大似然法估計概率分布函數(shù)參數(shù)；

c ）如果無法確定適合的事件發(fā)生分布函數(shù)，可用指數(shù)分布估計事件發(fā)生概率，但是只是“瞬態(tài)”的，用于特定的報告期。

對產(chǎn)品事件發(fā)生類型的概率分布函數(shù)假設，應定期用統(tǒng)計測試方法進行驗證，例如：∏2檢驗或Kolmogorov檢驗。

4 重新計算失效狀態(tài)概率

用“運營”FC*模型、SAE ARP 4761描述的方法計算所分析失效狀態(tài)的兩種發(fā)生概率[2]。

5 與目標值比較

將利用運營數(shù)據(jù)計算出的災難性和危險性失效狀態(tài)發(fā)生概率與目標概率值進行對比。基于與目標值的不符合程度及飛機或系統(tǒng)的成熟度，為特定的失效狀態(tài)或失效狀態(tài)分類設置警告。警告等級應說明為解決與安全性目標概率偏差需采取的措施程度。

基于系統(tǒng)或飛機型號的成熟度考慮以下分類：

a）引入期：定義為型號飛機航線運營第1年；

b）初始階段：包括型號飛機航線運營第2年和第3年；

c）成熟階段：從型號飛機航線運營第4年開始。

5.1 告警等級定義

設置告警等級如下所示：

a）0：無需措施；

b）1：需進一步調(diào)查（如：深層次分析）；

c）2：建立調(diào)查程序，如果經(jīng)濟可行，實施設計改進；

d）3：需采取即時措施，如：設計改進、運行限制、維修大綱調(diào)整。

5.2 失效狀態(tài)告警

定義每個失效狀態(tài)FC的定量目標：設PS（FC）為安全性目標，即目標概率來自CCAR/JAR/FAR 25.1309條款（通常災難性失效狀態(tài)為10-9/FH，危險性失效狀態(tài)為10-7/FH）。有時定義一個更嚴格的設計目標PD（FC）< PS（FC）。

分別比較PS（FC）、PD（FC）與Plow（FC*）、Phigh（FC*）的大小，確定不同的成熟度需設置的告警等級。

一旦安全性目標與設計目標的需設置告警等級不一致，選用最嚴酷（最大）的等級。

5.3 失效狀態(tài)分類告警

設PS（CAT）為所有災難性失效狀態(tài)的定量安全性目標（通常為10-7/FH）；PS（HAZ）為所有危險性失效狀態(tài)的定量安全性目標（通常為10-5/FH）。

對于所有的災難性失效狀態(tài)FC：Plow（CAT）=3 Plow（FC*），Phigh（CAT）=3 Phigh（FC*）

對于所有的危險性失效狀態(tài)FC：Plow（HAZ）=3 Plow（FC*），Phigh（HAZ）=3 Phigh（FC*）。

比較PS（CAT）或PS（HAZ）與Plow（CAT）、Plow（HAZ）的大小，確定不同的成熟度需設置的告警等級。

5.4 定性安全性目標告警

如果運營經(jīng)驗表明，不滿足定性安全性目標（如：“單個失效不能導致災難性失效狀態(tài)”或“單個失效不能導致兩臺液壓系統(tǒng)喪失”），采取3級告警等級。

6 更新SSA

如果系統(tǒng)設計被更改或者運行包線顯著更改，則更新SSA。盡可能考慮用獲取的運營數(shù)據(jù)來計算。

即使所有的目標都滿足，也需重新發(fā)布SSA。使用基本事件發(fā)生率或者狀態(tài)轉(zhuǎn)移率重新計算的最大可接受檢查間隔，可能會放寬審定維修要求（CMRs）。

至少作為SSA的附錄，能反映運營數(shù)據(jù)評估結(jié)果，需定期發(fā)行。

7 結(jié)論

本論文基于民機運營數(shù)據(jù)介紹了安全性監(jiān)控的方法，將理論安全性評估數(shù)據(jù)和實際運營數(shù)據(jù)有效結(jié)合起來，證明了方法的可行性。

【參考文獻】

[1]SAE ARP 4754A.Guidelines for Development of Civil Aircraft and Systems[S]. SAE International，2010.

[2]SAE ARP4761.Guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S].SAE International，1996.

[責任編輯：田吉捷]