基于FTA的座舱压力控制系统安全性分析

官 颂，叶青青，杨建忠，杨士斌

（中国民航大学a.工程技术训练中心；b.航空自动化学院；c.天津市民用航空器适航与维修重点实验室，天津 300300）

基于FTA的座舱压力控制系统安全性分析

官 颂a，叶青青b，杨建忠c，杨士斌c

（中国民航大学a.工程技术训练中心；b.航空自动化学院；c.天津市民用航空器适航与维修重点实验室，天津 300300）

通过分析与座舱环境相关的事故和事故征候，选取造成人员伤亡事故最多的失效状态作为研究对象。首先进行功能危险性评估，得出失效状态的失效类别和安全性目标概率，然后以此失效状态作为顶事件建立故障树，进行初步安全性分析，根据重要度和敏感度分析结果，得到该失效状态发生的关键影响因素。研究结果不仅可以为环控系统设计提供依据，提高系统可靠性，也有助于飞机维修人员快速定位故障源，提高维修效率。

座舱环境；压力控制系统；功能危险性评估；初步安全性评估；故障树；隐蔽故障

近年来，随着人们对飞机座舱舒适度要求的提高，座舱环境问题也越来越受关注。安全、健康、舒适的座舱环境可保障乘员免受高空恶劣环境的侵扰，同时提高机载工作人员的工作效能。

分析404起与座舱环控系统相关的事故和事故征候，寻找影响座舱环境问题的关键因素，结果如图1所示。其中“无”指发生系统故障但没有引起环境问题，如只有空调灯亮或假警等，从图中可以看出座舱压力异常是座舱环境事故和事故征候中发生频率最高的现象。目前对于飞机座舱环境的研究主要倾向于采用CFD、实验模拟、系统仿真等方法分析座舱空气品质、关注座舱空气质量以及热舒适性，而对压力造成的座舱环境问题研究较少[1-4]。仅有的座舱压力研究主要是针对座舱压力控制系统建立仿真模型、设计优化PID控制器[5-8]。同时，在飞机系统安全性研究方面国内外都已形成了较为成熟的体系和方法。功能危险性评估、初步系统安全性评估和系统安全性评估这一流程已在民机系统安全性分析领域得到广泛应用，故障树分析也已成为工程上最常用的安全性分析方法之一[9-11]。

本文从系统安全性的角度，针对座舱压力控制系统，选取事故/事故征候中典型的失效状态，按照安全性评估流程、采用故障树分析方法进行安全性分析，确定引发此失效状态的关键因素，帮助飞机设计人员采取相关措施提高系统可靠性，减少座舱环境问题的发生，同时也可帮助飞机维修人员快速定位故障源，减少维修盲目性。

图1 座舱环控系统相关的事故/事故征候分析结果Fig.1 Analysis result of accidents/incidents related to cabin environmental control system

1 飞机座舱压力控制系统

图2为某机型座舱压力控制系统（CPCS）的基本原理结构图，其主要工作原理是核心处理输入/输出组件（CPIOM B）运行压力控制系统应用程序，并通过飞机数据通信网络（ADCN）与其他飞机系统通信，同时将CPCS所需的压力控制信息传递给外流活门控制（及传感器）组件（OC（S）M），OC（S）M再根据飞机压力需求计算外流活门（OFV）位置需求，进而通过控制OFV的开度来控制客舱压力大小。该系统的控制模式主要有3种，即自动控制模式（ACS）、备用控制模式（EPS）以及人工覆盖模式。

图2 某机型座舱压力控制系统（CPCS）原理结构图Fig.2 Principle and structure of a type of cabin pressure control system（CPCS）

2 压力控制系统安全性分析

系统安全性评估过程主要包括功能危险性评估（FHA）、初步安全性评估（PSSA）、安全性评估（SSA）[12]，本文按此流程采用工程上常用的故障树（FTA）分析方法进行安全性分析，但因SSA是在最终设计完成后对系统进行验证，故本文不涉及。

2.1 功能危害性评估（FHA）

FHA定义系统功能并分析功能失效，根据失效状态对飞行安全、机组、乘客等的影响划分失效类别，确定安全性目标。

座舱压力控制系统从飞机级功能分配到系统级功能有：控制座舱内部压力、控制座舱压差、手动控制客舱高度及压力变化率、监控并报告系统故障。按照以上功能对与座舱压力控制系统相关的事故和事故征候进行分类，可知座舱压力控制系统故障几乎都与控制座舱内部压力功能相关。其具体的功能失效状态主要有：丧失座舱增压功能，致使座舱高度超过适航条款25.841中的规定值；错误执行座舱增压功能，致使压力变化率太高，控制不稳定；意外执行座舱增压功能，即飞机正常降落后没有完全释压，致使地面余压过大。在有人员伤亡的事故中，由失效状态“飞机在地面余压过大且舱门猛烈打开”引起的事故所占比例最大，约占36.5%，故本文选取此失效状态进行安全性分析。本文主要针对座舱压力控制系统做安全性评估分析，故不考虑由结构损害带来的座舱压力问题。

地面余压过大会使舱门在打开时具有很高的能量，可能将操作人员或部分靠近舱门的乘客甩出飞机，引起严重伤亡，大幅度降低安全裕度，同时机身也可能因压差过大受到不同程度的损坏。故根据AC25.1309将此失效状态的失效类别归为Ⅱ类“危险的”，概率安全性定量目标为1×10-7fh（飞行小时）。

2.2 初步安全性评估（PSSA）

PSSA主要根据FHA失效状态类别对预期构架及实施情况进行系统性评估，分配对特定系统或部件的安全性需求。

2.2.1 故障树建立

CPCS在自动和备份模式下，出现地面余压过大可能是由于飞机没有检测到“地面”状态，认为飞机仍处于飞行中，实施飞行保护，禁止自动打开OFV进行释压，同时也无飞机地面余压过大的警告。另外，ACS的着陆机场标高来自飞行管理系统，并通过ADCN传递到CPIOM B，CPIOM B中的CPCS应用程序再计算出着陆压力控制计划，进行着陆阶段的座舱压力控制。如果丧失着陆机场标高且未探测到着陆机场标高失效，或以上任意数据传输、计算环节出现功能丧失，压力控制系统就会丧失着陆压力控制计划，进而造成地面余压过大。

CPCS在人工覆盖模式下，地面压差是由压差传感器模块（DPSM）检测，然后传递给OC（S）M中的安全覆盖区域（SOP），SOP再计算出OFV位置需求进行OFV控制。如果DPSM数据丧失或DPSM与OCSM间的连接丧失，就会引发“客舱压力人工控制故障”警告，此时不应该再使用人工覆盖模式，而如果错误地激活该模式，就可能检测不到地面压差，引起地面余压过大。如果人工覆盖模式正常且由于自动模式失效等原因需要被使用时，则错误的DPSM数据和SOP的错误行为也会引起地面余压过大。

另外，无论CPCS在何种模式下工作，只要同时有3个以上OFV故障，即不能完全打开，或面积较大的地面门丧失控制不能打开，或丧失供电电源，也会引发地面余压过大。

鉴于以上分析得到以“飞机在地面余压过大且舱门猛烈打开”为顶事件的故障树，如图3、图4、图5所示，其中图4、图5是图3中的中间事件M3、M4通过转移门转移出来的子树。M2为表决门，即如果输入事件中有m个发生，则输出事件发生，本故障树中m= 3。表决门的使用可以降低故障树的繁琐程度，使故障树更加清晰易懂。另外，图中的r是底事件的经验故障率，X2、X5、X7、X10、X14、X16、X17、X19和X24都是潜在隐蔽故障，此种故障在正常情况下不能被直接发现，只能在飞机定期维修中被发现，其概率计算也不同于显性故障，在求出故障树最小割集的基础上，需要对割集中的显性事件进行简化处理，最后再根据隐蔽故障公式计算出割集概率。

2.2.2 故障树分析

图3 “飞机在地面余压过大且舱门猛烈打开”故障树（第1页）Fig.3 Fault tree of“overlarge residual pressure on ground and violent door opening”（Page 1）

图4 “飞机在地面余压过大且舱门猛烈打开”故障树（第2页）Fig.4 Fault tree of“overlarge residual pressure on ground and violent door opening”（Page 2）

图5 “飞机在地面余压过大且舱门猛烈打开”故障树（第3页）Fig.5 Fault tree of“overlarge residual pressure on ground and violent door opening”（Page 3）

首先，根据经验故障率数据预计顶事件发生概率，为重要度和敏感度分析提供数据基础。在计算时，对于底事件的风险时间，显性故障取该机型的平均飞行时间16 fh，隐蔽故障X14、X17取通电自检时间1 000 fh，X24根据机身压力载荷安全性需求取55 fh，X2、X5、X7、X10、X16、X19取最保守值，即飞机设计寿命140 000 fh。针对最小割集中隐蔽故障的数目可选用以下隐蔽故障计算公式进行概率的计算：

其中：公式（1）、（2）、（3）分别为一重、二重、三重隐蔽故障计算公式；λ为故障率；tf为显性故障风险时间；T、T1、T2和T3为隐蔽故障的风险时间，使用公式（3）时需按T3=nT2，T2=mT1的关系确定T1、T2、T3。因本文针对压力控制系统做安全性评估分析，人为错误行为（X31）不在评估范围内，故其发生概率采用保守值1，认为只要系统发生故障，人员就一定会采取错误行为。基于以上保守假设计算，计算可得顶事件的预计失效概率为2.66×10-7/h。

然后，对故障树最小割集进行重要度分析，确定影响顶事件发生的最大失效组合。顶事件由M1分别与X31和X32相与得到，X31的概率为1，与M1概率相乘后对顶事件失效概率无影响，X32的概率数量级为10-7，与M1概率相乘后对顶事件失效概率影响忽略不计。顶事件的发生概率基本由M1决定，故进行简化，只对“地面余压过大”这一子树的最小割集及其重要度进行分析。分析结果表明，对顶事件概率影响最大的最小割集是 {X1，X5，X7}、{X2，X4，X7}、{X2，X5，X6}、{X1，X5，X10}、{X2，X4，X10}、{X2，X5，X9}、{X1，X7，X10}、{X2，X6，X10}、{X2，X7，X9}、{X4，X7，X10}、{X5，X6，X10}、{X5，X7，X9}，即“4个OFV中任意2个的地面门控制隐蔽性丧失同时其余两个活门中有一个不能完全打开”这一失效组合的发生概率对顶事件发生概率影响最大，其综合重要度可达95.52%。

最后，对故障树进行底事件数据变化敏感度分析，确定影响顶事件概率的关键因素。图6为部分底事件的敏感度曲线，从图6（a）、（b）可看出“OFV地面门控制隐蔽故障”的维修时间间隔和故障率的敏感度曲线形状几乎相同，顶事件发生概率随其成二次增长；从图6（c）可以看出“OFV不能完全打开”故障率与顶事件发生概率成线性，敏感度影响较大；从图6（d）可以看出底事件X16的维修时间间隔对顶事件发生概率的敏感度影响很小，而其余的底事件敏感度曲线与图6（d）几乎相同，故没有一一列出。所以，顶事件发生的关键影响因素是“OFV地面门控制隐蔽故障”的维修时间和故障率以及“OFV不能完全打开”的故障率，此结论与重要度分析结果吻合。

图6 部分底事件敏感度曲线Fig.6 Sensitivity curves of some basic events

2.2.3 分析结果在PSSA需求分配中的应用

在PSSA中要对系统或部件分配安全性需求，即以安全性目标值作为顶事件概率，对故障树自上而下进行概率分配，通过适当减小某些可以改变的部件概率、部件维修时间间隔、或对外部系统提出可以接受的概率需求，达到安全性目标。但因故障树往往都比较庞大，顶事件概率影响因素也较多，而且有时单独改变某个影响因素未必可以使顶事件概率达到安全性目标，所以分配过程有很大的盲目性。而应用本文分析方法得出的分析结果就可以避免此问题，从图6可知，对于影响顶事件概率的3个关键因素，单独改变任何一个都可以使顶事件概率达到安全性目标。例如，只要单独将OFV地面门控制维修时间间隔定为小于84 111 fh，就可以使顶事件概率小于1×10-7/fh。故飞机系统设计人员可以在综合考虑飞机设计运营成本、其他失效状态安全性需求以及零部件供应商实际情况的基础上，通过对这3个因素单独提出安全性需求或组合提出安全性需求，达到安全目标。

3 结语

根据安全性评估流程，采用基于FTA安全性分析方法，对压力控制系统中“飞机在地面余压过大且舱门猛烈打开”失效状态进行安全性分析和重要度、敏感度分析。结果表明，引发此失效状态的最大概率失效组合是“4个OFV中任意2个的地面门控制隐蔽性丧失同时其余两个活门中有一个不能完全打开”，关键因素是“OFV地面门控制隐蔽故障”的维修时间间隔及故障率和“OFV不能完全打开”的故障率。

本文的研究对飞机环控系统的设计和维修都具有一定的指导意义。飞机设计人员可根据以上分析结果，有针对性地采取设计措施，提高压力控制系统的安全可靠性，减少座舱环境问题的出现频率，同时对顶事件影响较小的部件可最大限度地延长其工作时间，或降低其性能指标要求，减少不必要的资源浪费。飞机维修人员可根据以上分析结果优先检查重要度、敏感度较高的部件，快速定位故障源，提高维修效率。

[1]宁献文，李运泽，王 浚.旅客机座舱综合环境质量评价模型[J].北京航空航天大学学报，2006，32（2）：158-162.

[2]刘静悦，张大林，纪兵兵.飞机座舱内空气品质计算[J].机械制造与自动化，2011，40（5）：6-9.

[3]吴 丹.飞行器座舱热舒适性研究[D].南京：南京航空航天大学，2011.

[4]孙贺江，吴 尘，安 璐.大型客机座舱混合送风形式的数值模拟[J].应用力学学报，2013，30（3）：439-444.

[5]郑新华，谢利理，刘丽卓，等.飞机座舱压调器比例调压组件的静态特性[J].机械设计与研究，2013，29（2）：94-96.

[6]朱红涛.数字式座舱压力调节系统半物理仿真试验设计[C]//第九届长三角科技论坛—航空航天科技创新与长三角经济转型发展分论坛论文集，南京，2012：86-89.

[7]江卓远.大型客机座舱压力控制系统安全阀仿真研究[J].计算机仿真，2009，26（3）：51-54.

[8]程 康.座舱压力数字控制系统的非线性仿真研究[D].南京：南京航空航天大学，2009.

[9]张国防，胡广平.民机系统安全性进展与应用策略[C]//第九届长三角科技论坛—航空航天科技创新与长三角经济转型发展分论坛论文集，南京，2012：164-468.

[10]郑友石，孙有朝，王丰产，等.安全性分析方法在民用飞机适航符合性验证中的应用浅析[C]//2010年航空器适航与空中交通管理学术年会论文集，北京，2010.

[11]贾宝惠，高 蕾，杜宜东.基于FTA的飞机空调系统安全性分析[J].航空维修与工程，2010（3）：74-76.

[12]Society of Automotive Engineers Inc.ARP 4761，Guideline and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].USA，1996.

（责任编辑：党亚茹）

FTA based safety analysis of cabin pressure control system

GUAN Songa，YE Qing-qingb，YANG Jian-zhongc，YANG Shi-binc
（a.Engineering Techniques Training Center，b.College of Aeronautical Automation，c.Civil Aircraft Airworthiness and Maintenance Key Lab of Tianjin，CAUC，Tianjin 300300，China）

Based on the analysis of accidents and incidents related to cabin environment，a typical failure condition resulting in the most hazardous accidents is chosen.Firstly，failure classification and safety objective of the failure condition are concluded by Functional Hazard Assessment.Preliminary system safety analysis is conducted consequently.Fault tree basing on such top events is established.Furthermore，key factors impacting the occurrence of failure condition are determined based on importance and sensitivity analysis.The research conclusion wonld not only provide basis for environmental control system design and improvement of system reliability，but also help the aircraft maintenance personnel locate fault sources quickly and increase maintenance efficiency.

cabin environment；pressure control system；functional hazard assessment；preliminary system safety assessment；fault tree；latent failure

V223

：A

：1674-5590（2014）06-0007-06

2013-09-24；

：2013-12-18

：国家重点基础研究发展计划（973计划）（2012CB720104）

官颂（1964—），女，辽宁沈阳人，研究员，硕士，研究方向为航空电子系统安全性评估.