民用飞机动力装置系统PSSA研究

王厉哲

（中国商飞上海飞机设计研究院，中国 上海 200000）

【关键字】民用飞机；动力装置系统；初步系统安全性评估

0 引言

在民用航空的设计研制过程中，确保飞机的安全性始终是设计方、审查方和使用方最为关注的，动力装置系统作为飞机动力源，其安全性设计更是不容忽视。SAE ARP 4761[1-2]作为工业界中被广泛认可的安全性评估过程参考文件，为民用飞机复杂系统的安全性分析评估过程提供了指南和方法，评估过程由功能危险性评估（FHA，Functional Hazard Assessment）、 初步系统安全性评估（PSSA，Preliminary System Safety Assessment） 和 系 统 安 全 性评估（SSA，System Safety Assessment）组成。 其中民用飞机动力装置系统的功能危险性评估（FHA）已由朱岩等人进行了研究[3]，本文将主要研究民用飞机动力装置系统安全性评估过程中的第二阶段，初步系统安全性评估（PSSA）。并以某型飞机动力装置系统为例，介绍其典型的案例和分析过程。

1 PSSA分析方法及过程

1.1 PSSA分析方法

PSSA是一个自上而下的分析方法，并在整个设计周期内连续迭代进行，它在SAE ARP 4754A[4]的双“V”研制流程中属于左半边的确认过程（Validation）。在系统设计早期通过对推荐的系统构架进行检查，以确定故障是如何导致FHA中所确定的失效状态的，以及如何能够满足FHA中所确定的定量与定性的安全性目标与需求，同时将系统级功能危险评估中产生的系统安全性需求（概率、研制保证等级等）分配给子系统/设备，将设备级安全性需求分配到软件和硬件，从而确定系统各层次级设计的安全性需求和目标，为系统设计与研制活动、SSA等活动提供必要的输入[5]。

1.2 动力装置系统PSSA分析过程

结合SAE ARP 4761指导文件，民用飞机动力装置系统初步系统安全性评估主要包含以下方面的工作，PSSA分析过程和内部关系可参考图1所示。

a）识别飞机级和系统级的初始安全性需求，其输入来源包括飞机级PASA （Preliminary Aircraft Safety Assessment），动力装置系统FHA、以及初步共因分析PCCA（Preliminary Common Cause Analysis）；

b）提出满足初始安全性需求的设计决策，考虑包括功能冗余度、功能隔离和功能独立性；

c）结合初始安全性需求和设计/架构决策，产生一组完整的系统安全性需求；

d）通过 FTA、DDA和MA等分析方法对安全性需求进行分析；

e）确立更低层次的安全性需求清单，包括组件级需求、软硬件研制保证等级、对其他系统的需求、安装需求和安全性维修需求；

f）在整个系统研制过程中，持续更新PSSA，最终得出系统安全性评估SSA。

图1 初步系统安全性分析PSSA分析过程

2 动力装置系统PSSA分析实例

依据上述的初步系统安全性评估方法和过程，本文将通过实例分析，介绍民用飞机动力装置系统的系统初步安全性评估。

2.1 识别初始安全性需求

动力装置系统的初始安全性需求可从动力装置系统FHA和飞机级PASA中识别提取。某型飞机动力装置系统FHA定义了包括推力丧失、推力控制能力丧失、发动机不能停车、不可控高推力、发动机主要参数丧失、反推非指令打开、未通告的反推功能失效等共计十多条影响等级在III类或以上的失效状态，并提出了相其对应的安全性指标要求。

举例在某型飞机动力装置系统FHA中定义了如下需求，“在F1-F4/L阶段，丧失单台发动机停车功能的概率应小于1E-7每飞行小时”，同时在飞机级的PASA中也定义了如下相同需求 “在F1-F4/L阶段，发动机不能停车的概率应小于1E-7每飞行小时”，并且对此功能分配了初步FDAL为B级。为了实现此条安全性需求，就需要检查当前系统初步设计方案中的系统构架是如何满足FHA的安全性指标要求，并确定哪些子系统和组件的失效会最终导致FHA顶事件的发生。

2.2 检查系统设计构架

依据动力装置系统发动机设计方案，发动机将设计包含有一个高压燃油切断阀，可通过设计于驾驶舱油门台上的燃油切断开关实现燃油切断功能并最终关闭发动机。假设此时飞机上仅有此一种方式可以实现关发，那么无论高压燃油切断阀或者是燃油控制开关任一设备失效都将直接导致FHA顶事件的发生，因此分配给两个设备的安全性要求都将是失效率小于1E-7每飞行小时。然而根据目前工业水平以及历史数据分析，无论高压燃油切断阀或者是燃油控制开关都无法达到如此高的可靠性，因此仅有一种关发方式无法满足顶事件安全性指标要求。

此时，动力装置系统需要向飞机级和其他系统提出设计要求，即衍生安全性需求，例如在飞机上增加一套关断发动机的方式从而满足安全性指标要求。在某型飞机上，确认飞机燃油系统针对每一台发动机还设计有一个低压燃油切断阀，也可通过油门台上的燃油切断开关单独实现切油关发。此外驾驶舱顶部维护面板还设计有灭火开关，在遇到发动机着火等紧急情况时可超控实现发动机高压燃油切断阀和飞机低压燃油切断阀的同时关断。由此在此设计构架下，每台发动机具备两个阀门两种操作共计四种实现关发的方式。

2.3 共因分析CCA（Common Cause Analysis）

在完成如上设计构架后，还需要进行共因分析，找出潜在的独立性要求。例如高压燃油切断阀和低压燃油切断阀的安装，包括其设备本身和供电线缆的布置需隔离，避免由于同一区域内发生的外部事件导致两个阀门的供电控制丧失；针对高压燃油切断阀和低压燃油切断阀的供电需相互独立，避免由于电源系统的单点故障导致两个阀门同时丧失关断能力。

2.4 向下分配安全性要求

依据上述的设计构架，可绘制故障树FTA如图所示，并将顶事件的安全性指标向下分配，产生一组详细到每个部件的完整的系统安全性需求，并确定软硬件的研制保证等级 DAL（Design Assurance Level）。在此过程中，需要大量参考工程经验和相似机型资料，以避免分配的故障率过低不符合实际工业水平，或者分配的故障率过高从而对故障树中其余设备带来压力。至此，一个典型的安全性需求“在F1-F4/L阶段，丧失单台发动机停车功能的概率应小于1E-7每飞行小时”的PSSA分析就完成了。这将作为动力装置系统系统安全性评估SSA的输入，通过不断的迭代，双V流程中的确认和验证，最终形成一个确定的可以满足安全性要求的设计。

图2 发动机不能停车故障树分析

2.5 其它分析

在上述实例分析中，通过动力装置系统PSSA分析，最后产生了包括对自身系统和其它交联系统的要求、设备故障率的要求、针对软硬件研制保障等级的要求、安装要求、独立性要求等等。

此外，在完成PSSA分析时，还可能产生相应的维修检查要求。例如由动力装置系统FHA中提出的安全性要求 “在T/F1-F4/L阶段，反推力装置非指令打开的概率应小于1E-9每飞行小时”，在完成如上类似的PSSA分析后，通过故障树发现用于锁住反推力装置的锁，其隐蔽故障可能最终导致顶事件的发生。为此就需要产生相应的维修检查要求，将反推锁纳入候选审定维修项目CCMR，通过制定定期检查计划从而降低或排除隐蔽故障发生的可能性。

3 总结

本文在动力装置系统功能危险性评估FHA的基础上，进一步对民用飞机动力装置系统的初步系统安全性评估工作进行了研究，总结了PSSA的工作方法和流程，介绍了PSSA在动力装置系统安全性分析过程中的应用情况，通过详细案例为后续的分析工作提供的指导和建议。