安 罡，李艳军，曹愈远，马安祥，汪震宇

（南京航空航天大学民航学院，南京211106）

基于功能危险分析的涡轴发动机适航安全性评估

安 罡，李艳军，曹愈远，马安祥，汪震宇

（南京航空航天大学民航学院，南京211106）

针对涡轴发动机安全性需求，确定了其适航安全性分析的方法及程序。运用整机级功能危险分析法（FH A）对涡轴发动机进行安全性分析，并针对其系统结构的复杂性等问题，提出了整机级FH A功能定义的层级解决方案；利用可靠性模型识别多重失效组合问题；针对功能失效状态影响分析主观性强、难于确定的特点，提出了D elphi法进行专家评估。结果表明：安全性验证程序能够为涡轴发动机安全性验证提供支持，FH A可以较快速识别涡轴发动机整机级危险失效状态，较为客观地确定功能危险影响等级，并有效减少工作量。

适航；功能危险；安全性；D elphi法；涡轴发动机

0 引言

随着直升机功能的多样化发展，对其动力装置涡轴发动机相关技术研究与探索有迫切的需求[1-2]。在中国涡轴发动机的研制经历了从国外引进技术到与国外合作研制的过程，航空发动机适航规定（CCAR33）是航空发动机进行适航审定的依据，其中CCAR33.75规定了发动机必须进行安全性分析[3]。但由于中国航空发动机安全性研究基础薄弱，目前缺少行之有效的安全性分析准则。

本文结合涡轴发动机安全性验证的实际情况，建立航空发动机适航符合性验证程序。

1 涡轴发动机适航安全性验证程序

适航符合性验证用于检验涡轴发动机是否满足适航条例要求，申请人采用不同的符合性验证方法来表明适航条款的符合性，其中安全分析是1种重要的符合性验证方法[4-6]。适航符合性验证工作贯穿于涡轴发动机整个设计过程，而安全性分析始于概念设计阶段并导出其安全性要求，同时随设计更改作出相应变更后进行分析评估，整个过程是迭代的。安全性分析止于设计满足安全性要求的验证[7]。涡轴发动机适航验证中安全性分析的过程如图1所示。

图1 涡轴发动机安全性分析过程

1.1 功能危险分析

功能危险分析（FHA）是美国机动工程学会（SAE）发布的航空建议文件ARP-4761中推荐的系统安全性分析的第1步[7]，通过对发动机及系统的综合检查，对功能在不利环境、紧急情况等各种条件下的失效状态进行分析，并按照其影响程度进行分级，从而确立其安全性设计要求。FHA通常在整机级和系统级2个层次上进行分析，其中整机级安全性要求确立后，即相应确立系统级安全性要求。

1.2 初步系统安全性评估

初步系统安全性评估（PSSA）用于完成失效状态列表以及相应的安全性要求。根据整机级或系统级FHA和初步共因分析（CCA），利用故障树（FTA）、故障模式影响分析（FMEA）、概率计算等方法对其识别的每一失效状态进行评价，来表明系统构架和组件满足安全性要求，然后根据生成的安全性要求和目标设计导出较低层次的安全性要求。

1.3 系统安全性评估

系统安全性评估（SSA）是在发动机详细设计与试验阶段进行的，对系统及其架构进行系统性、综合性地评估，来表明其满足相关的安全性要求。

SSA通常在FTA的基础上结合FMEA进行，同时也包括CCA的结果。通过由下至上的分层次的验证，可以验证在PSSA中提出的安全性要求、可靠性要求、结构要求和软/硬件研制保证等级。因此在对发动机的系统进行安全性评估过程中，综合利用FHA、FMEA、FTA、CCA等分析方法，验证系统是否达到要求的安全性水平。

2 涡轴发动机整机级FHA

2.1 涡轴发动机总体描述

涡轴发动机将燃油中的能量转换成轴功率，为直升机提供动力。涡轴发动机系统组成如图2所示。

涡轴发动机中各系统有机地组合起来，完成发动机控制、点火、操作、指示与告警等自身功能，并分别为飞机液压、电源系统和空气管理系统提供动力源、气源等。

2.2 功能定义

进行整机级FHA首先要确定涡轴发动机整机级的所有功能，由于涡轴发动机本身作为直升机较为复杂的系统之一，其功能繁多，内涵广泛，如果将其功能划分过于具体，则不仅工作量巨大，而且难以获得明确的失效影响。涡轴发动机顶层功能从发动机与直升机之间的交互功能和发动机内部功能来划分。其中交互功能包括提供轴功率、交流电和飞机引气；内部功能包括控制功能、测量与监控和安装功能等。对顶层功能定义展开，并进行编号，以此建立功能列表，见表1。

2.3 失效状态识别

在考虑失效状态时，首先要确定环境和紧急情况项目的列表，然后分别考虑涡轴发动机的内部功能、交互功能以及环境和紧急情况中的各项，由此得到涡轴发动机整机功能的失效状态列表。当判断故障影响时，需要考虑环境如天气、火山粉末等对发动机的影响，还要考虑应急情况如水上迫降、发动机停车等。

表1 涡轴发动机整机级功能（部分）

涡轴发动机结构、功能复杂，多重失效是FHA分析中重要特点之一。如果每种单一失效组合都要分析，那么由于失效组合过多，会使分析工作变得相当繁重。而且很多单一失效直接关联并不大，其组合失效对影响分析并无意义。因此，在分析组合失效时，按照一定的原则找出组合失效中每个单一失效[9]。分析的原则是当多个单一失效同时发生产生后果的危害性大于每个单一失效单独发生产生后果危害性的总和时，才对其进行多重失效分析。识别多重失效的方法是通过对涡轴发动机结构工作原理和功能的逻辑关系进行分析，得出系统原理图，构建可靠性模型，从而得到多重失效组合。对于简单的失效状态，通过系统原理框图或可靠性框图就可分析得出多重失效；如果分析层次较深，结构复杂，则可能需要构建故障树、马尔可夫模型等较复杂的可靠性模型。利用上述方法识别多重失效，既保证分析的完备性，又能提高工作效率。

2.4 系统运行阶段划分

涡轴发动机是功能危险分析的对象，但直升机的飞行阶段比涡轴发动机的工作阶段对发动机功能危险所造成的影响更大，如发动机丧失停车再起动能力在直升机飞离地面前后存在巨大差异，而与发动机工作状态的关系则不大。因此，在分析失效状态所处的运行阶段时，按照直升机的飞行阶段来划分，见表2。

表2 直升机运行阶段划分

2.5 失效状态影响及危害等级分析

涡轴发动机整机级功能失效，会导致不同层次多种影响，为了规范失效状态的影响，同时方便下一步定义影响等级，从系统工作影响、人员伤亡等方面，对功能失效的影响按层次进行分类，依次为对发动机的直接影响、对直升机的进一步影响、对机组及乘客的影响。根据SAE ARP-4761，失效状态的影响按照危害性由小到大分为5级，而根据欧洲航空安全局（EASA）CS-E510，失效状态影响等级则定为3级。中国民用航空规章CCAR33.75（R2）中规定了危害性发动机后果和重要发动机后果的预期发生概率，分别为不超过10-9和10-7，恰好与SAE ARP-4761中的灾难性和危险性功能失效概率要求相对应。且采用5级准则可以使安全性要求更为精确，对提高涡轴发动机安全性更为有利。

需要说明的是，在对涡轴发动机进行FHA分析时，只考虑发动机的功能失效状态，而直升机默认功能完好。因此确定失效影响时不应考虑发动机和直升机功能同时丧失的情况。

根据失效状态的影响，按照其危害等级提出该失效状态发生的概率限制，即安全性要求。

确定功能失效影响的过程主要由分析人员根据对系统工作原理进行逻辑分析得到，由于分析人员掌握的数据有限，导致分析主观性较强，结果可能与实际情况相差较大，因此本文提出利用Delphi法进行评估功能失效影响。

对于每种失效状态，有5种可能的危害等级作为评估目标，选聘在涡轴发动机领域经验丰富的专家采用匿名方式分几轮进行评估，以专家的原始意见为基础，建立优化模型，找到群体决策的最优解，达到确定危害等级的目的。

定义专家集合为

式中：Ei（i=1,2,…,m）为第i个专家。

定义评价集合为

式中：（ai,bi,ci,di,ei）（i=1,2,…,m）为第i个专家对5个危害等级给出的名次值。

把每个危害等级的不同名次加起来求和，选择其中名次总和最低的方案，即专家评价得出的最后的选择。

专家意见的一致性程度可以用“一致性系数”表示

式中：C.I.代表一致性系数，是介于0到1的数。S代表名次总和的方差和，且

式中：Xi为专家对第i个方案评定的名次总和；M为专家数；N为方案数。

以功能失效“单发丧失轴功率”为例，危害等级可能情况为：无影响、较小影响、较大影响、危险性、灾难性。选聘9位专家对功能失效影响进行排名，结果见表3。

表3 Delphi法预测过程数据

从专家评估数据中可见，“较大影响”的总名次最低，因此最后评估结果功能故障“单发丧失轴功率”的危害等级为“较大影响”。通过计算可得

由于C.I.值接近1，表示专家意见趋向一致，因此结果可靠性较高。若算得 值接近0则表示专家意见一致性较差，可以将调查结果反馈给各位专家，在此基础上进行第2轮评估，直至得到满意的结果为止。

2.6 确定验证方法

对于每个功能失效状态，要确定涡轴发动机将如何满足其安全性要求。一般对于危害等级较小的失效状态，可以不做进一步分析工作；对于危害等级较大的失效状态，一般采用定性FMEA或FTA方法，确保其发生概率小于10-5；对于危险的和灾难性的失效状态，除一些简单和常规的失效或紧急事件，可以通过工程建议判断而不需要正式程序就能评估灾难故障发生概率外，需要采用FMEA、FTA、CCA或其他方法进行详细地安全性分析。具体分析深度如图3所示。

图3 FHA分析深度

2.7 FHA分析结果

FHA分析表格是工作的核心，结果用表格的形式可以直观地说明功能失效的工作阶段、危害性影响、危害等级以及最关键的安全性要求和验证方法。涡轴发动机整机级FHA分析结果见表4。

表4 涡轴发动机整机级FHA分析结果（部分）

3 总结

（1）本文以适航标准为依据，结合涡轴发动机安全性分析的工程背景，建立了适航符合性中的安全性验证程序，在航空发动机安全性分析实践中得到了应用。

（2）在对涡轴发动机FHA分析中，利用系统功能框图和可靠性模型分析多重失效问题，利用Delphi法确定功能失效影响等级。实践证明该方法科学有效，并能合理提高分析工作效率。可为涡轴发动机安全性适航验证工作提供支持。

[1]周新新，陈玉春，樊巍，等.涡轴发动机技术参数与发展趋势评估[J].航空工程进展，2013，4（2）：150-157. ZHOU Xinxin，CHEN Yuchun，FAN Wei，et al.Evaluation of technical parameters and developingtrends for turboshaft engines[J].Advances in AeronauticalScienceandEngineering，2013，4（2）：150-157.(inChinese)

[2]邓飞.先进涡轴发动机总体性能设计研究[D].南京:南京航空航天大学，2013. DENG Fei.Research of the advanced turboshaft engine performance design [D].Nanjing:Nanjing University of Aeronautics and Astronautics，2013.(in Chinese)

[3]中国民用航空局.CCAR-33-R2航空发动机适航规定 [S].北京：中国民用航空局，2011：39-42. Civil Aviation Administration of China.CCAR-33-R2 Aeroengine airworthiness requirements[S].Beijing：Civil Aviation Administration of China，2011：39-42.(in Chinese)

[4]陆中，孙有朝，周伽.民用飞机适航符合性验证方法与程序研究[J].航空标准化与质量，2007（4）：6-8. LU Zhong，SUN Youchao，ZHOU Jia.Airworthinesscompliance approach procedure for civil aircraft[J].Aviation Standardization and Quality，2007（4）：6-8.(in Chinese)

[5]宗蜀宁，端木京顺，汪建华，等.飞机整机级系统安全性评估方法探讨[J].中国安全科学学报，2011，21（10）：125-130. ZONG Shuning，DUAN MU Jingshun，WANG Jianhua，et al.Study on aircraft system safety assessment method in aircraft level[J].China Safety Science Journal，2011，21（10）：125-130.(in Chinese)

[6]丁水汀，鲍梦瑶，杜发荣.无人机系统适航与安全性分析方法[J].航空动力学报，2012，27（1）：233-240. DING Shuiting，BAO Mengyao，DU Farong.Safety research on unmanned aircraft system for airworthiness[J].Journal of Aerospace Power，2012，27（1）：233-240.(in Chinese)

[7]ARP-4761,Guidelinesand methodsforconducting thesafety assessment process on civil airborn systems and equipment[S].US： SAE，1996：1-331.

[8]ARP-4754,Certificaion considerations for highly-integrated or complex aircraft systems[S].US：SAE，1996：1-88.

[9]巩磊，张曙光，刘晓锋，等.基于功能危险分析的涡扇发动机数字控制系统危险识别方法研究[J].航空学报，2011，32（12）：2194-2203. GONG Lei，ZHANG Shuguang，LIU Xiaofeng，et al.Research on hazard identification of turbofan engine digital control systems based on functional hazard analysis[J].Acta Aeronautica et Astronautica Sinica，2011，32（12）：2194-2203.(in Chinese)

[10]国防科学技术工业委员会.GJB/Z99-97系统安全工程手册[S].北京：国防科学技术工业委员会,1997：1-306. Commission of Science,Technology and Industry for National Defense. GJB/Z99-97 Engineering handbook for system safety[S].Beijing：The Commission of Science Technology and Industry for National Defense, 1997：1-306.(in Chinese)

[11]孙有朝，刘建军，梁力，等.功能危险分析在民机安全性设计中的应用研究[C]//大型飞机关键技术高层论坛暨中国航空学会2007年学术年会论文集.深圳：中国航空学会，2007：1-7. SUN Youchao，LIU Jianjun，LIANG Li，etal.Investigation of application of functional hazard analysis in civil aircraft safety design [C]//2007 Annual Conference of Chinese Aeronautic Association. Shenzhen：Chinese Aeronautic Association,2007：1-7.(in Chinese)

[12]CS-E,Certification specifications for engines.[S].Köln：European Aviation Safety Agency，2007.

[13]Wilkinson P J，Kelly T P.Functional hazard analysis for highly integrated aerospace systems[C]//IEEE Seminar on Certification of Ground/Air Sytems.London：IEEE,1998：1-6.

[14]Shyur H J.A quantitative model for aviation safety risk assessment[J]. Computers&Industrial Engineering，2008，54（1）：34-44.

[15]刘伟涛，顾鸿，李春洪.基于德尔菲法的专家评估方法 [J].计算机工程，2011,37（1）：189-191. LIU Weitao，GU Hong，LI Chunhong.Expert evaluation method based on Delphi method[J].Computer Engineering，2011，37（1）:189-191. (in Chinese)

[16]袁勤俭，宗乾进，沈洪洲.德尔菲法在我国的发展及应用研究——南京大学知识图谱研究组系列论文 [J].现代情报，2011，31（5）：3-7. YUAN Qinjian，ZONG Qianjin，SHEN Hongzhou.Review of development and application of Delphi method in China[J].Journal of Modern Information，2011，31（5）：3-7.(in Chinese)

[17]田军，张朋柱，王刊良，等.基于德尔菲法的专家意见集成模型研究[J].系统工程理论与实践，2004，24（1）：57-62. TIAN Jun，ZHANG Pengzhu，WANG Kanliang，etal.Integrating model of expert's opinion based on Delphi method [J].Systems Engineering Theory&Practice，2004，24（1）：57-62.(in Chinese)

（编辑：肖磊）

Safety Assessment of Turboshaft Engine Airworthiness Based on Functional Hazard Analysis

AN Gang，LI Yan-jun，CAO Yu-yuan，MA An-xiang，WANG Zhen-yu
（College of Civil Aviation，Nanjing University of Aeronautics and Astronautics，Nanjing 211106，China）

Aiming at the turboshaft engine safety,its analysis method and program were defined.The safety analysis of turboshaft engine was conducted by Functional Hazard Analysis（FHA）.The layer solutions of FHA were proposed based on complicated system structure,and multiple failure combinations were identified by reliability models.Due to strong subjective and difficult identification of FHA,Delphi method was proposed to take expert's assessment.The results show that the turboshaft engine safety is validated by its programs.The hazard failure of the whole turboshaft engine is quickly identified by FHA,which can objectively define the functional hazard influence degree and effectively reduce workloads.

airworthiness；functional hazard；safety；Delphi method；turboshaft engine

V 235.12

A

10.13477/j.cnki.aeroengine.2015.05.020

2014-11-27

安罡（1990），男，硕士，主要研究方向为民用航空安全性和可靠性；E-mail：angang@nuaa.edu.cn。

安罡，李艳军，曹愈远，等.基于功能危险分析的涡轴发动机适航安全性研究[J].航空发动机，2015，41（5）：98-102.AN Gang，LI Yanjun，CAO Yuyuan，et al. Safety assessment of turboshaft engine airworthiness based on functional hazard analysis[J].Aeroengine，2015，41（5）：98- 102.