李大伟, 陈云翔, 徐浩军, 项华春

(1.空军工程大学 装备管理与安全工程学院, 陕西 西安 710051;2.空军工程大学 航空航天工程学院, 陕西 西安 710038)

0 引言

适航性和安全性是飞机的一种固有属性,在民用飞机适航规章FAR/JAR/CCAR 25.1309等文件中,对飞机在系统安全方面提出了适航审定要求。为了符合此要求,美国机动车工程师学会颁布了SAE ARP4761/4754,航空无线电委员会颁布了RTCA DO-178B/254等指南性文件,可以作为飞机设计中安全性分析的指南和适航符合性验证方法的参考[1-4]。

绝对的安全是不存在的,系统安全性分析承认风险的存在,其目标就是将风险控制在可接受的范围之内。系统安全性分析的一项主要工作就是在设计阶段对危险进行识别和控制。确定合理的风险概率指标非常关键,风险概率指标太高,则设计无法实现,并且可能引起重量、经济性等方面的连锁问题;风险概率指标太低,则设计出来的飞机不能满足安全需求。国外针对大型和小型飞机的特点分别确定其风险概率指标,并且针对民用/军用、有人/无人等飞行器的特点对其风险概率指标确定做了大量的研究[5-8]。目前国内并没有对风险概率指标确定进行研究的公开发表的文献。风险概率指标的确定对于我国飞机安全性标准与国际接轨以及国产民机走向国际市场具有重要意义,并且能从源头上保证飞机的固有安全水平。

本文主要探讨风险概率指标的确定思路和方法,分析不同类型和用途的飞机风险概率指标的差异,为系统安全性分析中风险概率指标的确定提供参考。

1 系统安全性分析方法概述

在运输安全领域,人类的安全思想大致经历了从关注安全工程设计,到关注硬件可靠性,再到关注人为差错、硬件/软件工程和组织的过程,形成了以运输民法学派、可靠性工程学派和系统安全工程学派为代表的安全思想学派[9]。系统安全学科将安全纳入正在设计的系统中,其基本思想是识别风险并将风险控制在可接受的范围之内。

1.1 系统安全性分析过程

与飞机研发过程相关的系统安全性分析流程可用图1表示。

图1 与寿命周期相关的安全评估过程Fig.1 Safety analysis during system lifecycle

系统安全性分析可分为FHA(功能危险分析)、PSSA(初步系统安全性分析)和SSA(系统安全性分析)三个过程。

FHA是系统安全性分析的起点,用于对功能面临的危险的鉴定和分类。PSSA是对提出的系统结构进行系统检查,以确定失效是如何引起FHA确定的功能危险的。SSA是系统、全面地评估已设计实现的系统,以验证来自FHA的安全目标和PSSA中的安全需求得到了满足[10]。风险概率指标为风险评估工作提供需求的依据和规范。

1.2 安全风险评价

目前,安全风险评价是从危险事件发生的可能性与危险事件严重程度两方面对安全风险进行综合度量,要求失效状态的严重程度与其对应的风险概率成反比关系。

以美国民航为例,FAA(联邦航空局)将故障划分为5个等级:灾难性的(Catastrophic)、危险的(Hazardous)、较大的(Major)、较小的(Minor)和无影响的(No effect),故障严重度和期望的发生概率成反比关系[6],如图2所示。

图2 故障严重程度和概率要求的关系Fig.2 Relationship between likelihood of failure and hazard category

通过应用一系列与安全目标严重度相适应的设计和预防学科,安全评估者可将危险降到目标概率值要求的范围之内。

2 国内外风险概率指标的要求

2.1 国外风险概率指标

美国在飞机适航和安全研究方面处于领先地位,因此本部分主要分析美国民用和军用相关规范中对风险概率指标的要求。

(1)民用航空

美国民用飞机安全性分析是以FAA颁布的航空规章FAR23,25,27,29,33部为依据的。在1999年之前,单发通用航空飞机和大型喷气式运输机执行相同的可接受风险[7]。SAE ARP4761/4754并没有区别机型,根据故障严重程度对故障状态进行分类,提出了定性和定量的概率目标,如表1所示。

表1 与概率目标值相关的故障状态严重程度划分Table 1 Hazard categories related to probability of failure

1999年,FAA承认为通用航空器和大型运输机规定相同的安全性标准是不符合实际的,并修改了许多小型飞机的风险概率要求[6],见表2。

(2)军用航空

为使军机灾难性事故率达到百万飞行小时的率级,美国国防部于2002年10月颁布了MIL-HDBK-516B[11](军机适航审定标准)。

516B第14节中对军用航空器安全性分析作了相应的要求,主要支撑规范有MIL-STD-882D[12]和FAR23,25,27,29,33部。2012年,DoD颁布了MIL-STD-882E以取代882D,882E[13]用风险评价指数(Risk Assessment Code,RAC)法来评估和记录风险,给出了风险评估等级的定性要求。

与882D相比,882E对风险交互矩阵和风险处理措施进行了更详细的探讨。不同之处在于,882E将事故可能性定量要求放在附录A中以一个示例的形式给出,作为概率指标的建议。并且,882E建议应优先采用定量的事故可能性要求而不是定性的,除非定量的事故可能性不能获取时。定量的事故可能性要求见表3,其并没有区别不同飞机种类的概率要求。

表2 不同类型飞机故障危险程度和概率要求的关系Table 2 Relationship of hazard categories with probability of failure for different categories of aircraft

表3 建议的事故可能性水平Table 3 Example probability levels

2.2 国内风险概率指标

(1)民用航空

中国民航CCAR23,25,27,29,33部是在参考美国FAR相应规章的基础上制定的,国内尚没有支撑适航审定中系统安全性分析的类似于SAE ARP4761/4754的指南性文件,在飞机设计手册第20册(可靠性、维修性设计)[14]中,给出了飞机安全性分析时危险等级的划分与最大允许发生的概率值,与美国民航对大型飞机风险概率的要求是基本一致的,并没有区别大型/小型、军用/民用、有人/无人飞机的不同风险概率要求,见表4。

(2)军用航空

我国军用飞机安全性分析的规范性文件是GJB900-90[15],它是在参考MIL-STD-882B的基础上制定的。风险评价采用RAC法,按照危险严重性和危险可能性划分危险等级,见表5。

表4 危险等级划分Table 4 Hazard categories

表5 危险的风险评价表Table 5 Risk assessment matrix for hazard

2.3 风险概率指标的对比

美国民航对风险评估标准的规范是不断发展的,在AC 23.1309-1C[6]中,区别了通用航空飞机和大型喷气式运输机应采用不同的风险评估标准。而我国民用飞机安全性分析中尚未针对不同飞机种类制定相应的标准。

美军标对事故可能性给出了定量的概率要求,而我国国军标对风险概率没有定量要求,仅限于定性的要求。同时,美军在军机研制中借助于民航的审定力量审定其军机安全性,军机也执行很高的安全标准。我国现行的系统安全标准是针对所有武器装备的,没有针对军用飞机的特殊要求。

3 风险概率指标的确定方法

3.1 国外风险概率指标的确定模型

以灾难性故障状态为例,说明美国民航风险概率值的确定思路。

历史数据表明,单发、6000 lb(2.7 t)以下飞机由运行和飞机机体原因引起的重大飞行事故率为10-4/h。同时,飞行事故数据库表明,其中约10-1/h是由飞机系统引起的。因此,在新型飞机设计中,由这些故障状态引起的重大飞行事故发生概率不应高于10-5/h。

由于对飞机上所有的系统进行系统安全性分析是困难的,假定飞机上大约有10个潜在的可能引发灾难性飞行事故的故障状态威胁安全飞行和着陆,于是每个故障状态可能导致飞行事故的概率不能超过10-6/h。其他类型飞机风险概率确定方法与此类似[5]。

风险概率指标的确定步骤可以总结为:第一步:确定飞机种类和功用;第二步:确定某危险严重程度下由运行和飞机机体原因引起的飞行事故率;第三步:根据飞行事故数据库确定由飞机系统引起的事故占总飞行事故的比例;第四步:确定对应该危险严重程度的独立故障状态数。

上述风险概率指标确定过程可以用公式表示。某类飞机危险严重程度i对应的风险概率Pi要求为:

(1)

式中,Pfi为由飞机运行和机体原因引起的危险严重程度为i的飞行事故率;k为由飞机系统引起的事故占总飞行事故的比例;ni为飞机上可能引发严重程度i的独立故障状态个数。

3.2 风险概率指标确定改进建议

从国外航空安全实践看,民航风险概率指标的确定是以公众和使用方可接受的安全水平为出发点的。以小型飞机灾难性飞行事故风险概率10-6/h计算,全球每7～10天发生一起飞行事故,全年共37～52起飞行事故。但是,随着未来机队规模的扩大和航空输送量的增加,以当前事故率去确定风险概率指标可能难以满足公众的安全要求,有必要对当前的风险概率指标进行修正。从飞机设计研制到投入使用还需要一定周期,因此,建议未来在风险概率指标设计时按照投入使用时估计的年平均总飞行小时数和历史数据库中的年平均总飞行小时数比例进行折算,式(1)可修改为:

(2)

式中,α为估计的飞机投入使用后的年平均总飞行小时数和历史数据库中的年平均总飞行小时数的比值。

国际民航组织建议,计算概率值时还需要考虑风险持续时间[5]。我国学者赵廷第[16]对风险的可控性和可变性进行了研究,探索了考虑安全风险反应时间的三维安全风险评价模型,给出了一个三维坐标风险域。本文提出了民用大型飞机考虑风险持续时间的风险评价表设想,见表6。由于具体的概率指标需要航空专家具体确定,因此本文只给出初步设想。表6中,“*”表示指标需结合工程实际进一步完善,建议根据危险持续时间降低风险概率要求。

表6 危险的风险评价表Table 6 Risk assessment matrix for hazard

通过国内外在风险概率指标确定方面的研究与实践,可以获得如下一些有借鉴性的结论供参考:

(1)一般认为军用航空可以接受的风险等级比民用航空更高。对于相同种类的军用和民用飞机,国外认为军机比民机的风险概率高10倍。

(2)当前规章中任何一类飞行器的标准不能完全应用于无人飞行器系统的设计和验证中。可以肯定的是,制定无人飞行器系统规章必须立足于无人飞行器在地面或者空中对人员、设备造成的危险不能高于相应的有人驾驶飞行器。

(3)为了使国产飞机在国际上取得适航准入,必须按照最严苛的风险概率指标要求进行安全性设计。

(4)国际民航组织建议概率目标值应作为一个目标值,在具体应用中不应作为精确值,要具体判断。

4 结束语

本文在对比国内外飞机安全性分析标准和借鉴相关研究成果的基础上,给出了风险概率指标确定的思路和一些启示,主要可以概括为以下几个方面:

(1)对比了国内外适航和安全规范中风险概率指标要求,分析了国内风险概率指标存在的不足。

(2)建立了风险概率指标确定模型,指出了当前模型存在的不足,并给出了进一步完善的建议。

(3)我国亟需针对大型/小型、民用/军用、有人/无人飞机的特点制定不同的安全性分析标准。

参考文献：

[1] Society of Automotive Engineers.ARP4761 Guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S].America:SAE,1996.

[2] Society of Automotive Engineers.ARP4754 Certification considerations for highly-integrated or complex aircraft systems[S].America:SAE,1996.

[3] Requirements and Technical Concepts for Aviation. DO-178B Software considerations in airborne systems and equipment certification[S].America:RTCA,1992.

[4] Requirements and Technical Concepts for Aviation.DO-254 Design assurance guidance for airborne electronic hardware[S].America:RTCA,2000.

[5] Duane Kritzinger.Aircraft system safety:military and civil aeronautical applications[M].Cambridge: Woodhead Publishing Limited,2006:57-65.

[6] U.S.Department of Transportation.AC 23.1309-1C Equipment,systems,and installations in part 23 airplanes [S].America:Federal Aviation Administration,1999.

[7] Kelly J Hayhurst,Jeffrey M Maddalon,Paul S Miner,et al.TM-2007-214539 Preliminary considerations for classifying hazards of unmanned aircraft systems[S].America:NASA Langley Research Center,2007.

[8] Kelly J Hayhurst,Jeffrey M Maddalon,Paul S Miner.Preliminary considerations for classifying hazards of unmanned aircraft systems [R].America:NASA Center for Aerospace Information,2007:2-6.

[9] 杰费里R·麦金太尔.安全思想综述[M].王永刚,译.北京:中国民航出版社,2007:14-15.

[10] 李大伟,陈云翔,徐浩军,等.一种改进的系统安全性分析方法[J].科技导报,2012,30(34):32-35.

[11] Department of Defense.MIL-HDBK-516B Airworthiness certification criteria [S].America:DLSC-LM,2005.

[12] Department of Defense.MIL-STD-882D Standard practice for system safety [S].America:Defense Standardization Program Office,2000.

[13] Department of Defense.MIL-STD-882E Standard practice:system safety [S].America:Defense Standardization Program Office,2012.

[14] 龚庆祥,顾振中,宋占成,等.飞机设计手册第20册:可靠性维修性设计[M].北京:航空工业出版社,1999:149-152.

[15] 国防科学技术工业委员会.GJB900-90 系统安全性通用大纲[S].北京:总装备部军标出版发行部,1990.

[16] 赵廷第,戎梅,焦健.三维安全风险评价模型初探[C]//大型飞机关键技术高层论坛暨中国航空学会2007年学术年会论文集.北京:中国航空学会,2007:1-6.