杨晓东，刘照兴

(中国直升机设计研究所，江西 景德镇 333001)



审定维修要求项目产生流程分析

杨晓东，刘照兴

(中国直升机设计研究所，江西 景德镇 333001)

介绍了审定维修要求(CMR)的相关概念及安全性分析与CMR之间的关系。从安全性的角度出发，对CMR项目产生的过程和方法以及风险暴露时间的计算方法进行了全面的分析，用于指导民机设计人员在安全性分析过程中确定可能的CMR项目。

CMR项目；潜在失效；系统安全性分析

0 引言

近年来，以AC311、AC313为代表的具有自主知识产权的国产民用直升机相继走向了市场。为保证直升机满足适航规章CCAR2X.1309条规定的安全性要求，在民用直升机研制过程中，开展了全面的安全性分析工作。

在系统安全性分析中，得出了一个与安全性相关的检查间隔期，用来约束潜在失效的风险暴露时间，以保证事故概率满足安全性目标要求。所以，航空器安全性设计延伸到了运行的维修要求，这就是“审定维修要求(CMR)”[1]。

工业界于70年代初开始使用定量方法来证明各系统符合§2X.1309和其它需进行安全性分析的条款要求，从那时起，便一直使用CMR项目，对几种在美国和其它国家取得合格证的飞机，已制定了CMR项目。但是CMR项目的确定在国内型号尤其是直升机型号上起步较晚，直到近年才开始开展这方面的工作。

1 审定维修要求概述

1.1 CMR介绍

CMR用来探查对安全有重要性的潜在失效(safety-significant latent failure)，该失效与一个或多个其它特定失效或事件结合起来，会造成危险性或灾难性失效状态。

对于潜在失效，CMR项目的任务是通过证实该项目没有失效而“将其失效时钟重置至零”，或者如果失效则使之修理。[2]

1.2 潜在失效

潜在失效是指本身不会直接影响飞机系统运行，在系统正常运行时，机组操作人员也无法发现其失效，但当这些失效在与其它特定失效组合后就会影响到飞机的飞行安全，甚至导致严重的飞行事故，其影响才会被发现。这些失效往往无法被飞机的探测系统或告警系统提前探测或告警。

如某单发直升机的燃油系统，旁通阀位于燃油滤侧边，且旁通阀失效机组人员是无法察觉的。正常情况下旁通阀闭合，不工作，燃油经过燃油滤提供给发动机；但是当燃油滤堵塞时，燃油堵塞告警灯亮，此时在压力的作用下旁通阀打开，直接通过旁通阀为发动机供油。若此时旁通阀不能打开，则燃油系统丧失供油能力，将导致发动机停车。

潜在失效的风险暴露时间在系统安全性的定量分析中是一个关键要素，限制潜在失效的风险暴露时间对系统总的失效概率有着至关重要的影响。

与潜在失效对应的，那些一发生就被机组人员觉察或被告警的，称为显性失效，显性失效的风险暴露时间即该设备在每次飞行中的平均工作时间。

2 安全性分析介绍

无论是CMR候选项目的选定，还是风险暴露时间的确定，都是通过安全性分析得出的，因此这里有必要对安全性分析做一下介绍，以方便后续对CMR项目产生过程的说明。

SAE ARP4761中给出一套为工业界所认可的安全性分析指南，安全性分析由功能危险分析(FHA)、初步系统安全性评估(PSSA)和系统安全性评估(SSA)组成。

SAE ARP4761也提供有关安全性分析所需安全性分析方法的信息。这些方法包括故障树分析(FTA)、关联图(DD)、马尔科夫分析(MA)、失效模式与影响分析(FMECA)、失效模式与影响概要(FMES)以及共因分析(CCA)(共因分析由区域安全性分析(ZSA)、特定风险分析(PRA)和共模分析(CMA)组成)。

在安全性分析方法中，故障树分析(FTA)、关联图(DD)、马尔科夫分析(MA)是等效的。在AC311及AC313取证中，选用的是故障树分析(FTA)。

图1以图示形式给出安全性评估过程(功能危险性评估、初步系统安全性评估和系统安全性评估)以及各种安全性评估方法如何与该过程相关。

图1 安全性评估过程

FHA主要用来确立系统安全性设计目标，通过系统、综合地检查产品的各种功能，识别各种功能故障状态，并根据其严重程度对其进行分类。根据失效对飞机、机组人员影响程度的不同，划分为5个不同的等级，每一个等级都对应着一个定性或定量安全性设计目标，具体如表1所示。

PSSA过程是对所提出的系统构架进行系统性检查，以确定失效如何能导致由FHA所识别的功能危险性，以及如何能满足FHA要求，其实质就是顶层危险状态发生概率的逐级分配的一个过程。PSSA是一种自上而下的方法，将通过FHA确定的安全性目标，通过故障树进行逐级分配，用于确定较低层面的安全性要求。

SSA是对系统、系统构架以及系统安装进行系统性核查，以表明其符合安全性要求。SSA是一种自下而上的方法，通过故障树中各基本事件的实际失效率来计算出顶事件的失效率，来验证其是否满足FHA确定的安全性设计目标。

表1 安全性危险分类表

注1：危险的失效状态还包括此类事件：即可通过机组实施适当的操作程序来控制该事件的风险，但如果机组执行程序有误或不及时，则会导致灾难性事故发生的事件。

注2：此处所列数值仅作为参考，不必通过定量分析去验证。

3 CMR的产生过程

3.1 CMR候选项目(CCMR)的选定

供选择作为CMR的候选项目通常来自安全性分析(如系统安全性评估(SSA))；而基于适当证明合理的工程判断，在有充分的支持性数据和经验基础的条件下也可以不通过正式的安全性分析直接确定为CMR的候选项目[3]。CCMR的产生流程如图2所示。

图2 CMR候选项目确定流程

以FHA中确定的灾难的和危险的失效事件作为顶事件构建故障树，确定出能够导致该顶事件发生的所有可能的基本事件。然后对照FMECA分析检查与门中的基本事件是否是属于潜在失效。如果某基本事件的失效属于潜在失效，那么可能会发生该潜在失效的部件被列为CMR候选项目。

3.2 CMR候选项目风险暴露时间计算

在确定了CMR候选项目之后，需要确定出CMR候选项目的风险暴露事件。

典型的故障树模型如图3所示，这里考虑两种情况：一种情况为事件1与事件2中有1个为潜在失效；另一种情况为事件1与事件2均为潜在失效。

图3 故障树模型

假设P为安全性要求的概率目标，如果P为顶事件的失效概率，其目标为通过FHA确定的安全性目标值，如果P为中间事件的失效概率，则是在PSSA的故障树分配中根据顶事件的概率要求，利用布尔运算法则逆向推算确定的顶事件与基本事件之间的中间事件的允许失效概率；λ为该事件每飞行小时的故障率；t为已知的显性失效的风险暴露时间，其取值一般是每个飞行架次的平均飞行时间；T为潜在失效事件的暴露时间，即候选CMR项目工作时间间隔。

对于第一种情况，即只有一个潜在失效，而另一个为显性失效的情况下，根据故障树的逻辑关系和ARP4761中故障树的概率运算方法，可以得到下面的公式：

如果λ1、λ2、t已知，再考虑安全性概率目标即可根据公式确定潜在失效事件的暴露时间T。

对于第二种情况，即两个底事件同为潜在失效，同样根据故障树的逻辑关系和ARP4761中故障树的概率运算方法，可以得到下面的公式：

如果λ1、λ2、t已知，再考虑安全性概率目标即可根据公式确定潜在失效事件的暴露时间T1和T2。

3.3 CMR候选项目风险暴露时间计算示例

某单发直升机燃油系统中，在燃油滤堵塞的情况下如果旁通活门打不开，将不能继续向发动机提供燃油，会导致发动机停车，将导致危险性失效事件的发生。燃油滤堵塞有灯光告警，但旁通活门缺少告警措施，其失效机组人员是无法察觉的，属于潜在失效。

图4 燃油滤组件失效故障树

在故障树中，通过PSSA分配的“燃油滤组件故障”安全性目标为8.4×10-9；“燃油滤堵塞”为显性失效，其统计的失效概率为4.34×10-7；“旁通阀打不开”为潜在失效，其失效概率为6.4×10-6；根据飞行剖面，每个架次大概飞行2小时左右，因此t取2。将以上数据带入计算公式，可计算出“旁通阀打不开”的风险暴露时间T为3022Fh。

3.4 CCMR转化为CMR

由型号合格申请人通过系统安全性分析得出的CCMR项目(包括暴露时间T)，提交审定维修协调委员会(CMCC)进行评审，CMCC对其是否必须成为CMR项目做出决定。

CMCC对型号合格证申请人起到一个咨询委员会的作用，其会议结果(即需包括在型号设计说明中建议的CMR项目和对维修审查委员会(MRB)维修工作任务和间隔的建议的更改)会由型号合格证申请人转交给工业指导委员会(ISC)考虑。ISC接受了的、对MRB维修工作任务和间隔建议的更改将反映在建议的MRB报告中。对ISC未接受的，将考虑作为CMR项目单列，并纳入CMR文件。在ISC考虑之后，型号合格证申请人将CMR文件提交负责审查工作的飞机审查办公室进行最终评审和获得批准。[4]

4 结论

CMR是强制性的周期性工作，为保持飞机的安全性，在飞机设计的合格审定期间确定作为型号合格证的运营限制。当然对于民用飞机来说，在满足安全性的前提下，任何系统设计的根本目标是使CMR的数量保持绝对最少，最好是一个也没有。当前我国民用飞机的安全性分析尚处于发展阶段，与国外还有较大的差距，有必要学习国外CMR运用的成熟经验，提升对重大潜在失效管理和控制的水平。

[1] 中国民用航空总局.咨询通告审定维修要求AC-25.1529-1[Z].1996.

[2] 吴丽娜.候选审定维修要求产生过程研究[J].科学技术与工程，2011，11(29)7313-7316.

[3] 贾宝惠，王大蕴，谢宝良.CMR项目与MSG-3工作比较研究[J].航空维修与工程，2009(4)：73-75.

[4] 谢宝良，黄铭媛.审定维修要求(CMR)的产生过程及审查初探[J].中国民航大学学报，2009，27(2)：18-22.

Research on the Process of CMR

YANG Xiaodong，LIU Zhaoxing

(China Helicopter Research and Development Institute, Jingdezhen 333001, China)

Introduced some concept of Certification Maintenance Requirement(CMR) and the relationship between system safety analysis and CMR.From the standpoint of safety,analysised the process and method that used in CMR and the calculated method of the time of hazard exposured,provided, provided guidance for analyst to establish CCMR in the process of system safety analysis.

CMR; dormant failure; system safety analysis

2014-11-12

杨晓东(1981-)，男，河北保定人，工程师，飞行器设计与工程专业，现从事直升机可靠性安全性设计和分析工作。

1673-1220(2015)04-054-04

V267

A