陈圣斌，曾曼成，王 斌，丁 杰

(中国直升机设计研究所，江西 景德镇 333001)



民用飞机安全性分析技术在军用直升机中的应用研究

陈圣斌，曾曼成，王 斌，丁 杰

(中国直升机设计研究所，江西 景德镇 333001)

军用直升机应进行安全性分析设计，这是无疑的。然而其安全性的要求和目标是什么？按什么方法进行分析和评估？此文回答了这些问题，即满足直升机AC292C-1309的要求，并应按ARP 4761给出的方法，完成安全性分析和评估。为此，首先说明国内外军用直升机安全性现状和存在的问题；接着介绍了ARP 4761的特点和分析方法；然后论述了民机安全性要求和目标对军用直升机的适用性；最后根据以往的经验教训提出了军用直升机应用ARP 4761的要求。

军用直升机；安全性分析；直升机事故率

0 引言

随着航空技术的发展，特别是新技术、新材料及高度一体化航空电子系统在飞机/直升机上的广泛应用，飞机/直升机的安全性水平得到了迅速提高。目前飞机的事故率为10-6/FH，直升机事故率为10-5/FH[1]。然而，随着飞机/直升机使用数量的不断增长，如果仍以目前的事故率计算，未来每年可能出现54起飞行事故[2]，即每星期就会发生一次飞行事故。显然，这是现代社会不应容忍的。因此，美国联邦适航部门提出在未来10年应将飞行事故率降低一个数量级，即10-7/FH[3]。美国陆军航空部门也提出到2015年将直升机的事故率下降80%[4]。

同样，国内直升机的安全性也面临严峻挑战。随着我国新研直升机在部队的广泛使用，也曾发生一些安全性问题。

尽管这些安全性问题有许多是人的失误造成的，但从事件链模型来看，每一个安全问题的发生都是一个以上的事件引发的，其中有许多与设计的潜在差错/缺陷相关。

因此，直升机的安全性与直升机的设计密切相关。目前，国内新研直升机都是按GJB900的要求进行安全性分析设计的。

尽管这一标准提出了许多安全性工作项目，如初步危险分析，系统安全性验证评估等。然而这些工作项目的工作内容是从军用装备一个大范围提出的，其内容宽泛，要求通用，程序简化。因此，在直升机型号研制应用时，对相应的工作项目存在不同的理解空间。在进行分析时，往往分析不够系统、全面，如仅分析了直升机自身故障，而不涉及人的差错以及共因故障(特殊风险、共模故障)。就一个系统而言，仅考虑系统本身故障，而未分析其他系统关联故障组合一起引起的安全性风险。

正因为如此，以往的直升机安全性设计中虽然也进行了FHA、FTA、FMEA及区域安全性分析等，但从分析的结果来看，几乎很少甚至没有发现设计的差错/缺陷，对安全性要求也没有予以详细(定性定量)的确认/验证。显然，这样的分析对直升机安全性设计是没有影响，起不到作用的，仅仅是完成了安全性分析的程序而已。这样在飞行使用中造成安全性重大事故也就不足为奇了。

总之，从国内直升机的现状来看，按GJB900进行安全性分析设计难以达到安全性设计的目标。

本文根据ARP 4761《民用机载系统和设备安全性评估指南和方法》中的先进理念和安全性分析技术，结合直升机的特点，提出了基于民机的安全性分析技术在军用直升机上的应用研究。目的是：

1)提高直升机安全性分析设计水平；

2)系统、全面、完整、正确地发现系统功能故障、关联故障、共因故障，提出这些故障的分析、确认、验证方法，给出设计改进措施，提高直升机安全性。

1 国外军用直升机安全性分析和设计

1.1 直升机安全性分析方法

美国20世纪研制的武器装备都是应用MIL-STD-882《系统安全性大纲要求》进行安全性分析和设计的(GJB900是移植MIL-STD-882)。对于军用直升机，在美国直升机工程设计手册的第三部分AMCP706-203《直升机工程定型保证》[5]中，要求编制《直升机系统安全性大纲》，大纲中按MIL-STD-882的要求，提出直升机安全性危险类别，即A类(灾难性的)，B类(危险的)，C类(严重的)，D类(轻微的)，E类(无影响)(参见本文表3)，其分析方法包括功能危险分析，故障树分析，FMEA等。

美国20世纪研制的AH-1、AH-64、UH-60等军用直升机都是按MIL-STD-882或AMCP706-203《直升机工程定型保证》的要求进行安全性分析和设计的。

1.2 安全性分析设计实例

在70年代，美国贝尔公司在与休斯公司竞标先进攻击直升机(AAH)时研制的YAH-63军用直升机，其安全性分析和设计中，提出如下要求：

设计目标：识别和消除安全性隐患，及早发现危险并将其减少到可接受的水平，防止以往安全性问题再现，使研制费用、事故费用及寿命周期费用减到最少。

分析方法：包括功能危险分析，故障树分析，故障模式及影响分析，区域安全性分析等。

设计方法：包括结构完整性设计，破损(故障)-安全设计，余度设计，载荷的多通道设计，容错设计，故障保护和隔离设计等。

1.3 存在的问题

尽管AH-1、AH-64及UH-60和VH-22等军用直升机都进行了安全性分析和设计工作，但是这些分析工作是不系统和不完整的，它仅仅考虑直升机和直升机系统自身的故障，而没有考虑人-机-环境系统中人和环境等影响直升机安全的因素，这样的分析结果对安全性设计的影响是非常有限的。从美国《Vertifilte》1989 1/2期《US·Amy Life Cycle Safety》中所统计的数据来看，在1982-1988年之间，其A-B-C类事故每年平均约为150起，几乎每星期3次。其A类故障年平均25次，也几乎是每两个星期一次。

直升机的故障率很高，除了直升机结构复杂，操纵控制困难及使用环境恶劣等因素之外，这些事故/事件的发生与安全性分析和设计是相关的。这也说明了按MIL-STD-882进行安全性分析和设计是不充分的。

因此，美国陆军航空当局在本世纪开始之时，便提出了到2015年要将直升机的事故率减少80%[4]，并提出了包括军机适航要求及按民机安全性分析技术进行分析等在内的多种改进措施。

事实上，20世纪90年代末，美国西科斯基所研制的S-92的安全性分析和设计便是按ARP 4761的分析技术进行的。目前，我所与法国合作研制的EC175/Z15，也是按ARP 4761进行安全性分析和评估的。

2 ARP 4761的安全性分析方法[6]

2.1 ARP 4761的主要特征

从ARP 4761提供的分析技术来看，它具有如下特征：

2)这些分析方法对安全性的分析评估构成了一个完整的体系，它全面、系统、完整地对涉及安全性的故障/事件都以不同的方法从不同的层面、角度进行分析研究，试图将所能考虑的故障/事件通过分析，找出故障原因，提出相应的改进措施予以消除或将其减少到所能控制/接受的范围。

3)对危及飞行安全的灾难性和危险的事故/事件都要进行定性、定量分析，以确认和验证这些灾难性和危险的事故/事件的发生概率小于10-9/FH和10-7/FH。

4)在系统安全性分析和设计过程中，设置了不同阶段的安全性评估，包括功能危险评估、初步系统安全性评估和详细系统安全性评估等。在整个研制过程中，通过这样的评估，对设计过程中所发现的问题和产生的安全性要求进行设计更改和落实，以确保安全性要求得到确认和验证。

5)ARP 4761所提供的安全性要求和分析方法，是过去经验和血的教训的总结。

6)它使传统的安全性分析和评估实现了三个转变：

①将传统的单纯的直升机自身的安全性分析和评审转化为“直升机人-机-环境系统”的全面系统的安全性分析和评估；

大型仪器设备作为科研工作的重要基础条件，是衡量一个国家科技发展水平的重要指标。因此，推进大型仪器设备管理创新和开放共享是合理利用资金促进科研工作健康稳定发展的需要，也是科技管理改革的重要组成部分。但是，一方面受经济水平的限制，我国大型仪器设备资源严重不足，无法满足需求；另一方面各单位之间又缺少交流共享，造成重复购置、配置不合理、管理混乱的现象，造成资金巨大浪费，阻碍了科研水平的提高。因此，有必要学习国外特别是发达国家的先进经验，结合我国的实际情况，最大限度地提高资源使用效率。

②将适航审定的这种事后被动的安全性评估转化为研制中事前主动的安全性分析，从而在研制中及时发现安全性隐患，并采取相应措施，提高直升机的安全性；

③将传统的安全性验证/确认转化为设计保证和严格的过程控制，从而确保安全性分析设计的系统性、完整性、全面性和正确性。

2.2 ARP 4761的安全性分析方法

为进行安全性评估，ARP 4761给出了如下的分析方法：功能危险分析、故障模式及影响分析、故障树分析、共因分析(包括特殊风险分析、共模分析、区域安全性分析)。这些方法简介如表1所示。

3 民机安全性分析技术对军用直升机的适用性

3.1 军用直升机安全性要求

正如图1所示[7],直升机的致命事故率为10-5-10-6/FH。随着直升机技术的发展，旋翼传动等部件的可靠性、安全性的设计水平得到了很大提高.因此，欧洲直升机工业集团的EH-101直升机这一军民通用的大型直升机,其安全性要求达到固定翼飞机的水平，其致命事故率与固定翼飞机相当，即其事故率必须减少80%或更多。

图1 故障概率[7]

事实上，早在1993年时，美国NASA和FAA就曾提出[8]要以1994-1998年直升机的事故率为基线，确定未来10年，即2008年直升机致命事故率下降80%。包括军用直升机在内的直升机到2008年的目标值如表2所示。

因此，如能达到这一目标，直升机的安全性水平就能达到目前固定翼飞机的水平，这样，随着直升机技术的发展及安全性水平的提高，今后不至于像目前那样，每星期约出现3次事故，更不至于每两星期发生1次致命事故。

3.2 军用直升机安全性的风险类别

由于CCAR 29部或FAR 29部1309条的要求与美国FAR 25是一致的， 在AC1309条中所提出的风险类别及发生概率如表4所示。对于军用直升机，正如表3所述，安全风险等级分为A、B、C、D、E 等5个类别，尽管它没有给出A、B、C、D、E每个类别的发生概率，但对照表3和表4严酷度及故障影响，军用直升机事故/事件各个类别的发生概率与表4的Ⅰ、Ⅱ、Ⅲ、Ⅳ、Ⅴ的风险类别是相同的。

表1 安全性分析方法

3.3 军用直升机安全性的目的

军民用直升机安全性设计的目的无疑是确保直升机的安全和机上乘员的安全。

由上分析，军民用直升机无论安全性的目的、要求及风险等级还是风险概率都是相同的，完全有理由认为引用民机的安全性分析技术来规范指导军用直升机的安全性分析设计工作，这对于提高直升机的安全性，在未来10年或更长的时间达到民用飞机安全性的水平是必须的。

表2 目前和未来旋翼航空器的安全性[8]

表3 美国军用直升机事故/事件分类[9]

4 ARP 4761在军用直升机中的应用要求

为了在直升机研制中，应用ARP 4761来规范和指导军用直升机的安全性分析设计工作，建议做好如下工作。

4.1 变革安全性分析理念，创新应用ARP 4761

通过几年来对国外资料(如波音777电源系统和液压系统安全性分析报告，S92直升机整机功能评估报告，AH-63先进武装直升机安全性大纲……)的学习、消化以及参考EC175/Z15的国际合作研制工作，深刻理会到做好军用直升机安全性分析工作必须是：

表4 民用直升机安全性风险分类

1)拓展分析思路，将过去传统的直升机及直升机系统本身的安全性分析转化为“直升机人-机-环境系统”的安全性分析，即安全性分析不仅考虑直升机本身的故障，而且要考虑人的差错/失误(如驾驶员操作、仪表判读失误、维修人员的维修差错等)以及环境的影响(如风雨、沙尘、障碍物等)。

2)延伸故障分析范围，将以往的仅考虑自身的故障及故障影响延伸为功能故障、关联故障及共因故障的分析。

3)创新分析程序和方法，使ARP 4761分析具有更好的操作性。ARP 4761的各种分析仍然偏于概念、实施原则的顶层描述，例如在共模分析中便缺少分析程序，使其难以细化和具体应用。因此，必须对每一种分析方法创建具体应用程序、实施细则及直升机的应用实例。

4)建立直升机安全性分析的体系，包括：

军用直升机安全性保证大纲；

军用直升机安全性设计准则；

军用直升机各种分析方法实施指南；

军用直升机各种安全性分析报告编制要求(模板)；

军用直升机安全性信息库。

4.2 注意分析细节，使军用直升机安全性分析工作做到“系统、完整、全面、正确”

从EC175/Z15直升机与国外合作后，国内新研的直升机都引入了安全性分析和评估工作，编制了许多分析报告(FHA、FTA及FMEA、ZSA等)。仔细检查，存在许多问题。为了纠正这些问题，在分析中应做到：

1) 分析的系统性

所谓分析的系统性，即将型号的安全性分析和评估作为一个完整的系统工作，每个系统的安全性分析包括功能危险分析、故障模式影响及危害性分析(FMECA)、故障树分析(FTA)、共因分析(特殊风险分析、共模分析、区域安全性分析)以及安全性设计准则或适航条例的符合性分析。在以往的型号设计中，许多系统都完成了FHA、FMEA，个别系统也做了FTA，共因分析基本上未做，显然，这样的分析不到位，它未能包容所有可能的故障及其对安全性的影响，达不到安全性分析和评估的作用。因此，在今后的型号研制中，应根据系统特点尽早地规划安全性分析工作和需提供的分析报告，使整个系统的安全性分析配套、协调，能追溯可能发生的全部故障。通过分析，找出故障原因，或者确认和验证系统满足安全性的要求。

2) 分析的完整性

所谓分析的完整性，即每一分析，应包含完整的内容。在分析模板中的条款目录都应进入报告中，不应有缺项，如不适用的章节条款项应说明不适用的理由。另外，每章节条款所规定的内容也应完整。如FHA中的“系统说明”中，许多系统在以往的报告中未包括系统原理图，这样，原理说明中往往会缺少相应的内容，如有些系统仅阐述系统的基本功能，往往漏掉控制功能或调节保护功能，也有的会遗漏显示监控功能，这样，在分析中，有些功能故障就没有进行分析。

3) 分析的全面性

所谓分析的全面性，即对列举的故障(如功能故障)除了考虑自身的功能故障，还要考虑关联系统同时故障(即最坏的情况)的影响；对于故障树分析，其顶事件的发生应考虑人-机-环境，进行全面分析和评估。在以往的分析报告中，仅考虑系统自身的影响，对于保护装置或隐蔽故障未作分析，如过压保护功能失效，在发电机过压的情况下造成整个电网故障也往往未做分析。由于缺少全面的分析，尽管做了FHA、FTA分析，但分析结果可能是不全面的。

4) 分析的正确性

所谓分析的正确性，即分析是否有错误或不正确。例如，FHA中，在分析失去气压高度指示功能时，在以往的分析中，认为无线电高度表是气压高度指示的备份。这里显然错了，他们两个的高度基准是不同的。结果气压高度表的功能失效影响就降级了。在FMEA中，由于故障模式的描述不正确，其原因也就不同，采取的措施，往往是换件，而不是设计更改措施。

总之，在安全性分析中，要真正做到以上分析的“系统性、完整性、全面性和正确性”，在工作中应从如下方面努力：

① 责任和担当：将安全性视为重大的社会责任，它关系到人的生命和国家财产，对这种责任要勇于担当和负责；

② 积累经验，不断进取：在工作中学习，在实践中积累，求新进取，不断提高；

③ 团队精神，协调合作：工程研究和设计是一个团队的共同工作，完成直升机和直升机系统安全性分析和评估，需要各种专业人员的协调合作才能完成；

④ 此外，编制好各种分析指南的实施细则是很重要的。它要突出直升机的特点，型号特点，所规范的工作项目及实施方法要具有实用性、操作性。

5 结束语

通过上述的分析可以得出：

1)军用直升机的安全性要求与民用飞机相同;

2)军用直升机必须应用民机安全性分析评估技术进行安全性分析，以满足安全性要求;

3)应注意分析细节，使军用直升机安全性分析系统、完整、全面、正确。

[1] 陈圣斌，曾曼成. 人的失误研究及机组人员资源管理[C] 第九届人-机-环境系统工程大会论文集，美国科研出版社，2009，21-27.

[2] 青木謙和. 事故率をさちに低下させゐ取り組みが必要[J].航空情報(日本)，2013(9): 50-51.

[3] 佐天間, 秀 武. ヒマンフヮヶーでなぜ事故をなくせるのか[J]航空技術， 2003,579(6):68-69.

[4] LTC Scott Kubica. Aviation Combat Readiness and Safety [J].ARMY AVIAION 2008(10):36-37.

[5] 602所,译. 美国工程设计手册 直升机工程 定型保证[Z].航空工业部第602所,1988:19-20.

[6] 郭百鑫,译. SAE ARP4761 民用飞机机载系统和设备安全性评估指南和方法[Z].民航华东管理局,2007.12.

[7] Dr. Levertron J W. MOLTI-ROLE Advance Technology Rotorcraft-The EH101[C]. Proceedings of AIAA Forum,1990, 2-3.

[8] Fox R. Measuring Safety Investment Effectiveness Relative to Rise [C]. 54th AHS Annual Forum,1998:211-212.

[9] Nagaraj V T, Chopra I. Assessment of Helicopter Wire Strike Accidents and Safety Warning and Protection Device [C]. 61th AHS Annual Forum ,2005: 976-992.

Study of the Civil Aviation Safety Technology Application in the Military Helicopter

CHEN Shengbin, ZENG Mancheng, WANG Bin, DING Jie

(China Helicopter Research and Development Institute, Jingdezhen 333001, China)

Firstly, this paper described the problems existed currently in the Safety analysis and design of the Military Helicopter. Then, it provided induction about safety analysis methods in the APR 4761 document, and investigated the applicability of the civil aviation safety requirement and object in the military helicopter. Finally, according to the lessons learned, this paper presented the requirement associated with ARP4761 application.

military helicopter; safety analysis; accident rate

2014-09-20

陈圣斌(1944-)，男，江西永新人，研究员，航空陀螺仪表专业，现从事直升机可靠性维修性保障性研究和设计工作。

1673-1220(2015)01-044-06

V328.3

A