民用飞机系统功能危险性评估

民用飞机系统功能危险性评估作者：贺娜来源：《软件导刊》2015年第08期摘要：功能危险性评估作为安全性评估的第一步，起着至关重要的作用。

介绍了系统功能危险性评估的目标和流程，以自动飞行控制系统为例详述评估过程，可为民用飞机系统功能危险性评估提供参考。

关键词：民用飞机；自动飞行控制系统；功能危险性评估；安全评估DOIDOI：10.11907/rjdk.151788中图分类号：TP301文献标识码：A 文章编号文章编号：16727800（2015）0080049030 引言对于民用飞机而言，安全性是其首要考虑的问题，贯穿于飞机从研制、生产、运营到退役的整个生命周期，同时也是民用飞机能否通过适航审查、进入市场并获得公众信任的前提条件。

自动飞行控制系统作为民用飞机机载系统的一个重要部分，安全性是其至关重要的设计因素。

系统安全性分析包括功能危险性评估、系统安全性初步评估、系统安全性评估、共因分析、失效模式影响评估等。

本文以ASE ARP 4761为指导，以某民用飞机自动飞行控制系统为例，主要对安全性分析的第一步——功能危险性评估过程进行介绍和分析。

1 功能危险性评估概述功能危险性评估是系统综合检查产品的各种功能，识别功能的各种失效状态，并根据失效状态的严重程度对其进行分类的一种安全性分析方法。

以系统为对象，功能危险性评估研究其在飞机设计的整个飞行包线和不同飞行阶段内，可能影响系统乃至飞机整机飞行安全的功能失效[1]。

功能危险性评估过程是一种自上而下识别功能失效状态并评估其影响的方法，它的目标是在系统功能丧失和功能失常等情况下，识别失效状态和其相关分类。

作为民用飞机安全性评估的第一步，功能危险性评估是下一步安全性评估流程的必要输入，也为后续系统、子系统设计架构提出安全性设计需求，帮助确认系统架构的可接受性，发现潜在问题和所需的设计更改，并确定进一步的需求范围。

系统功能危险性评估给出各种功能的危险评估，推导或确认系统安全性设计准则，提出系统安全性要求，还提供对安全性至关重要的潜在功能失效状态信息，这些信息可用来确立所需系统的结构方案、软件完整性水平要求、系统分离和隔离要求以及最低设备清单要求[2]。

《飞机与系统安全性评估方法指南》
一、标准名称：飞机与系统安全性评估方法指南
二、项目提出单位：上海市经济和信息化委员会
三、起草单位：中国商用飞机有限责任公司上海飞机设计研究院
四、立项理由：
民机安全是民机事业的生命线。

民机的安全性是最受业界、航空公司和公众关注的重要指标，是“四性”中的重中之重。

安全性工作对于飞机设计阶段，特别是飞机交付后的全寿命周期具有重要的意义。

能否设计出高安全性的民机，直接关系到民机项目能否实现研发成功、商业成功和市场成功。

现代民用飞机是一个高度综合和复杂的庞大系统，包括动力装置、环控系统、航电系统、飞控系统、液压系统和起落架系统等十几个分系统，尤其是现代电子信息技术的大量使用，使得现在的飞机复杂程度大大提高，这也增加了飞机设计的难度。

我国的民用飞机事业自20世纪60年代以来，经过半个多世纪的坎坷发展，中国的民用飞机研制工作经历了从无到有，从跟随别人步伐，到自主研发的曲折历程，特别是近十几年，得益于国家的大型民用飞机发展战略部署，ARJ21和C919两大型号的研制取得了重大进展，在民机的安全性学科领域和工程技术等方面积累了一定的经验。

然而由于国内在这方面起步较晚，工程经验的积累有限，国际上系统安全性技术仍在持续发展和日趋完善，有很多技术难关仍待攻克，各种系统安全性方法体系需要建立健全和进一步完善。

五、主要内容：
本标准的主要目的是对民用飞机安全性评估方法的内容进行规范化和标准化，为后续的民用飞机及相关产品的研发提供参考和依据。

主要内容包括：
1、飞机级安全性分析与评估方法
2、系统级安全性分析与评估方法
3、共因分析方法
4、EToPS安全性评估方法。

研究报告科技创新导报 Science and Technology Innovation Herald281 概述民用飞机的安全性评估过程是系统研制过程的一部分，与系统研制过程平行进行。

初步系统安全性评估(P S SA)过程是系统安全性评估的重要环节。

S A E于2010年发布的4754A 《民用飞机与系统研制指南》中明确要求使用P S S A 的方法确保飞机系统研制的分配和确定过程(双“V”型研发流程的左侧)能够满足安全性要求。

A R P4761《民用机载系统和设备安全性评估过程指南和方法》中提出了P S SA的具体方法。

A R P4754A告诉我们“要做什么”，A R P4761来解决“怎么做”的问题。

但由于指南仅提出要求，在实践中各人理解的差别会导致结果出现很多偏差，该文结合工程实践经验，研究具体系统研发过程中P S SA的操作方法，对工程实践提供指导。

2 初步系统安全性评估过程的目标系统的P S S A 过程贯穿于整个系统研制全生命周期，结合系统功能的分配、分解和确定进行，是自上而下反复迭代的分析过程。

在安全性评估的三个主要过程(功能危险性分析F H A 、P S S A 和系统安全性评估SSA)中，P SSA起到了一个承上启下的作用。

由此可以明确P S SA 过程的主要目标为以下4方面。

(1)完善飞机级及系统级安全性要求清单，检查飞机级及系统级FHA的结果;(2)系统化的检查系统架构如何满足F H A 的安全性要求，考察系统构架中有哪些子系统和组件失效能够导致由F H A确定的功能危险；(3)在研制周期内调整并评估设计更改；(4)得出较低层次系统和组件的设计、安装等定性和定量的安全性要求。

3 初步系统安全性评估(PSSA)的实施过程初步系统安全性评估过程主要分为以下几个阶段进行：收集P S SA 输入数据；根据系统功能架构定义失效状态的初步故障分析(F TA )结构；进行失效状态评估后实施P S SA 过程中子系统/组件的研制保证等级(D A L)分配和失效概率分配；同时考虑共因源对独立性影响的分析，最终得对子系统/组件定性和定量的设计要求和安全性目标。

53科技资讯 S CI EN CE & T EC HNO LO GY I NF OR MA TI ON 工 程 技 术从民用飞机设计角度,CCAR/FAR/CS25是飞机设计应满足的基本规章。

在飞机设计过程中,除了关于系统、部件、性能等相关的条款外,飞机还应满足特定的与安全性相关的要求,表明对CCAR/FAR/CS 25.1309条款的符合性。

因此,民机适航合格审定过程中,需要对飞机整机进行安全性评估,以期证明飞机设计满足既定的安全性要求。

1 AFHA 的作用和目的AFHA是系统、综合地按层次检查飞机级功能的安全性评估方法,以确定在其故障、以及正常工作时可能产生或潜在的危险及后果。

该评估方法起始于飞机概念设计阶段,并为飞机后续研制提供设计要求和安全性要求的重要依据。

分析结果是下一步安全性评估流程(例如:初步系统安全性评估PSS A和系统安全性评估SSA )的必要输入,也为后续系统、子系统设计架构提出安全性设计需求,帮助确认系统架构的可接受性,发现潜在问题和所需的设计更改,确定所需的进一步分析的要求及范围。

AFHA将整机视为研究对象,研究飞机设计的整个飞行包线和不同飞行阶段内,可能影响飞机持续、安全飞行的功能失效状态。

A F H A 是在飞机设计的初始阶段对飞机的基本功能在高层次上进行的定性评估,对识别所有与飞机有关的失效状态,并进行危害等级的划分,分析结果将形成飞机设计必须满足的安全性要求。

A FH A 提供对安全性至关重要的那些潜在功能失效状态的相关信息,这些信息可用来确立所需系统的结构方案、软件完整性水平要求、系统分离和隔离要求以及最低限度设备清单(MEL)要求。

2 AFHA 的分析假设AF HA 评估的首要条件是进行飞行场景描述。

通常情况下,安全性分析人员通过对飞机、系统功能的理解,结合同类机型的设计经验以及飞机特定的飞行阶段和环境条件,描述不同的飞行场景,该飞行场景是定义相应失效状态影响等级的重要依据。

民用飞机功能可靠性评估方法作者：杨学蕊来源：《科技视界》2020年第17期摘要运营可靠性是航空企业可靠性设计中最核心的指标之一，提高民机可靠性可以降低研制成本和运营费用。

为了达到这一目标，需要研究一种方法能够在设计阶段有效控制运营可靠性指标。

因此，从功能失效状态入手，借鉴功能危险性评估的工作理念，提出分解和验证运营可靠性指标的方法和流程，提高飞机投入市场后的运营可靠度，增强市场竞争力。

关键词可靠性;运营可靠性;功能危险性评估;功能可靠性评估中图分类号： V267 ; ; ; ; ; ; ; ; ; ; 文献标识码： ADOI：10.19694/ki.issn2095-2457 . 2020 . 17 . 560 引言民用飞机具有周期长、复杂度高、市场竞争激烈、重视成本及运营经济性等特点[1]，因此民机的运营可靠性是最受业界和航空公司关注的指标之一，也是民机可靠性设计中最核心的指标之一。

运营可靠度是与运营可靠性有直接关联的可靠性指标，现阶段国内设计工作中对该指标的设计实现方式，是从确定整机运营可靠度开始，然后依据工程经验向系统、设备进行分解分配，之后再反向预计，迭代修改分配结果。

通过型号工作发现，该方法对飞机的设计不是一种正向指导性设计，在设计阶段对提出的运营可靠性指标进行控制和验证时，比较困难，在设计阶段对指标实现工作的管控力度欠缺且方法单一，造成在飞机投入运营后才暴露出运营可靠度低的问题，使运营成本增加，直接影响了飞机的市场竞争力。

因此有必要研究一种在设计阶段提高飞机运营可靠度的设计方法。

通过广泛调研并参考SAE ARP 4754A[2]、国际同行做法等工作，本文提出了功能可靠性评估（FRA）方法，该方法从功能失效状态入手，借鉴功能危险性评估（FHA）工作理念[3-4]，在设计阶段提出明确的可靠性定量要求，通过故障树分析（FTA）和失效模式与影响分析（FMEA）等手段，对影响运营可靠性的设备失效率进行直接控制，提高飞机的运营可靠度。

民航安全危险评估标准
民航安全危险评估标准是用来评估民航运输中的安全危险的一套标准和程序。

这些标准和程序通常由国际民航组织（ICAO）制定和推荐，各国民航主管机构也会根据本国情况进行相应的调整。

民航安全危险评估标准通常包括以下几个方面：
1. 飞行操作安全：评估飞行操作中可能出现的安全危险，包括起飞、降落、飞行中的各种操作过程。

评估中会考虑飞行员的训练水平、操作规范以及航空器的技术状况等因素。

2. 环境因素：评估天气状况、飞行区域的空中交通管制情况以及空中障碍物等环境因素对民航运输安全的影响。

3. 地面服务安全：评估机场地面服务的安全性，包括机场跑道、停机坪、登机桥等设施的状况和运营管理等因素。

4. 客舱安全：评估客舱内的安全设施和服务，包括座椅设计、紧急出口、安全示意图等方面的要求和执行情况。

5. 维护和修理安全：评估航空器维护和修理工作的安全性，包括维修设备的合规性、维护人员的技术水平和操作规范等因素。

6. 管理体系：评估航空公司和民航管理机构的管理体系，包括安全管理体系、培训计划、风险管理等方面的要求和执行情况。

通过对民航安全危险评估标准的执行，能够帮助民航运输相关机构和组织识别、评估和控制安全风险，提高民航运输的安全水平。

民用飞机飞控系统初步系统安全性评估于维倩【摘要】民用飞机系统安全性工作包括初步功能危险性评估、初步系统安全性评估、系统安全性评估、失效模式影响评估、共因分析等.文章主要分析了初步系统安全性评估,介绍了初步系统安全性评估的目标、输入、评估内容、输出结果.对某型民用飞机飞控系统进行初步系统安全性评估,针对“舵面非指令运动过限”失效状态进行故障树分析,得到硬件和软件的研制保证等级要求、组件级安全性要求、安装要求、维修工作要求等.【期刊名称】《江苏科技信息》【年(卷),期】2012(000)011【总页数】2页(P68-69)【关键词】民用飞机;飞控系统;初步系统安全性评估;故障树【作者】于维倩【作者单位】上海飞机设计研究院,飞控系统设计研究部【正文语种】中文现代航空的发展对民用飞机的安全性提出了更高的要求，作为现代民用飞机的关键系统飞控系统，其系统安全性工作显得尤为重要。

系统安全性工作包括初步功能危险性评估、初步系统安全性评估、系统安全性评估、失效模式影响评估、共因分析等。

本文主要对初步系统安全性评估进行介绍。

1.初步系统安全性评估初步系统安全性评估主要是用来评估系统的设计架构是否满足FHA中提出的系统安全性需求，并确定失效如何导致FHA中确定的失效状态，可以在系统研制的多个阶段进行。

PSSA可以确定保护性措施，如隔离、机内测试、监控、独立性和安全性、维修性任务间隔。

PSSA是一个自上而下，与设计定义不断迭代的评估方法，将顶层安全性指标基于系统的架构从上而下进行分配，可得到对组件级设备包括软件和硬件、接口系统信号的安全性需求。

主要包括以下三方面内容：①制定出一份完整的飞机级和系统级的安全性要求列表；②确定是否可以合理的预期该构型和拟定的概念设计能够满足提出的安全性要求和目标；③为下一级设备（硬件和软件）的设计，飞机安装，其他系统和运行指定安全性要求。

PSSA的输入是系统功能危害性分析中的失效状态、影响等级、安全性目标，系统设计架构等。