民用飞机气源系统安全性评估
2015-10-08彭丹祺
彭丹祺
【摘 要】通过对SAEARP4761中提出的一套机载系统安全性评估的方法对民用飞机机气源系统安全性评估过程进行了分析和论述,以此表明气源系统的安全性设计对§25.1309条款的符合性。
【关键词】气源系统;安全性;失效
0 概述
民用飞机机气源系统设计采用系统安全性评估的方法来进行符合性验证适航规章§25.1309条款[1]的要求。SAEARP4761中提出了一套机载系统安全性评估的方法,包括:功能危害性评估(FHA)、初步系统安全性评估(PSSA)、故障模式及影响分析(FMEA)、故障树分析(FTA)、共因分析(CCA)、系统安全性评估(SSA)等,其中共因分析(CCA)包括区域安全分析(ZSA)、特殊风险分析(PRA)、共模故障分析(CMA)[2-3]。
本文对民机气源系统安全性评估的方法和过程进行了分析和论述。
1 民用飞机气源系统简介
典型的民用飞机气源系统通常为从发动机、APU或地面高压气源引气,为空调、机翼防冰、发动机起动、燃油箱惰化及水箱增压提供气源,满足下游用气系统的压力、温度和流量需求。
民用飞机气源系统的主要功能有:
1)对选择从发动机引气、APU引气或者地面高压气源引气进行管理,为空调系统、机翼防冰系统、燃油惰化系统、水废水系统及发动机起动系统提供引气;
2)发动机压缩机中压级和高压级之间的引气自动转换;
3)发动机引气压力控制;
4)发动机引气温度控制;
5)发动机引气关断功能;
6)回流保护功能;
7)交输引气与隔离功能;
8)实时监控和指示。
2 安全性评估
2.1 安全性评估流程
根据SAEARP4754和SAEARP4761中的安全性评估方法,系统安全性工作流程见图1。首先根据飞机级功能和飞机级FHA的输入及系统级功能,开展系统级FHA;其次开展系统PSSA,制定系统构架,对安全性需求进行分配;然后进行共因分析,验证关键设备冗余设计的有效性,保证设计中相关设备功能的相容性和独立性;最后进行SSA分析,运用FMEA\FTA\PRA\CCA等分析方法,验证系统满足安全性要求和适航条款要求。
2.2 功能危险性评估(FHA)
FHA是系统综合地检查产品的各种功能,识别功能的各种失效状态,并根据失效状态的严重程度对其进行分类的一种安全性分析方法。系统级FHA以各ATA章节或系统为对象,研究其在飞机设计的整个飞行包线和不同飞行阶段内,可能影响系统乃至飞机整机安全飞行的功能失效。系统级FHA给出各种功能的危险后果评估,推导或者确认系统安全性设计准则,提出系统安全性要求,推荐可能的控制措施。
气源系统是是为飞机用气系统提供能源的一个系统,其系统失效对系统本身影响不大,失效影响等级的确定需根据气源失效对下游系统的影响来进行确定,较为关键的是空调系统和防冰系统。飞机级FHA关注的气源系统失效状态为:无法为用气系统提供引气,失效状态定义为较大的(Ⅲ级)。在进行气源系统FHA时,除考虑飞机级FHA外,更多应考虑气源系统本身功能失效对下游系统及飞机的影响,如系统的调温/调压功能、回流保护功能和交输引气功能等。值得注意的是,在已有的双发飞机两侧发动机引气气源系统设计中,还需特别关注单发引气是否具备同时满足下游空调和机翼防冰等用气系统的用气需求。
2.3 初步系统安全性评估(PSSA)
PSSA是一个自上而下的分析方法,其关键是确定失效如何导致由FHA识别的功能危险性的。PSSA主要包括以下内容:
1)确定FHA所产生的一组初始安全性要求;
2)确定失效状态清单以及相应的安全性要求;
3)提出满足初始安全性要求的设计决策;
4)结合初始安全性要求和设计/构架决策,产生一组完整的系统安全性要求;
5)用故障树分析设计决策对安全性要求的符合性;
6)确立安装要求、组件级要求、对其他系统的要求和安全性维修要求。
PSSA过程是对所提出的系统构架进行系统性核查,以确定失效如何能导致由FHA所识别的功能危险性,以及如何能够满足FHA的要求,确立系统和部件的研制保证等级、系统安装/维修要求及其对其他系统的安全性要求。
气源系统PSSA首先对确立的系统构架进行评估,对系统设计实施的功能冗余度、功能隔离和功能独立性进行评判;其次进行PSSA故障树分析,确立系统功能研制保证等级和软/硬件研制保证等级及对其他系统的安全性需求;最后确立系统的安装维护要求。
2.4 失效模式和影响分析(FMEA)
FMEA是确定系统、产品、功能或零件的故障模式,及其对高一层次设计的影响的一种系统方法,是一种系统性的自下而上的分析方法。典型的FMEA信息表见图2。
气源系统FMEA是针对系统每个部件,填写完善FMEA信息表,识别出可能导致灾难级(Ⅰ类)或危险级(Ⅱ类)的失效和部件的潜在失效,对风险进行控制或消除。当确定的I类和Ⅱ类故障模式不能消除或不能处于受控状态,以致到了不能接受的程度时,则应提出其它控制措施和建议。
2.5 故障树分析(FTA)
FTA是一种对复杂系统,或影响飞机安全和任务完成的系统常用的安全性、可靠性分析方法。它通过演绎的故障分析法研究系统特定的不希望发生的事件,即顶事件。通过由上向下严格按故障的层次进行因果逻辑分析,逐层找出故障事件的必要而充分的直接原因,画出逻辑关系图(故障树),最终找出导致顶事件发生的所有原因和原因组合。由分析结果可以确定被分析系统的薄弱环节、关键部位、应采取的措施、对可靠性试验的要求等。对最终故障树来说,可以确定该顶事件的各种可能的潜在故障,揭示系统内部的联系,指导故障诊断和维修方案的制定,确定系统检测装置的最佳配置等。
2.6 共因分析(CCA)
气源系统要满足一定的安全要求,气源系统与其它系统之间、部件与部件之间就需要一定的独立性。CCA是检验这种独立性、鉴定具体的非独立性关系的分析方法。CCA包括区域安全分析(ZSA)、特殊风险分析(PRA)、共模故障分析(CMA)。气源系统的特殊风险分析通常包括了防火、轮胎爆破分析、鸟撞分析、非包容性转子爆破分析等。比较重要的方法通常为ZSA和非包容性转子爆破分析。
2.6.1 区域安全性分析
区域安全性分析(ZSA)通过对飞机各区域进行的兼容性检查,判定各系统或设备的安装是否符合安全性设计要求,判定位于同一区域内各系统之间相互影响的程度,分析产生维修失误的可能性,尽早发现可能发生的不安全因素,提出改进意见,保证飞机各系统之间的兼容性和完整性。下列是气源系统必须遵循的独立性要求:
1)高压管路应尽量避免布置在燃油/液压管路的正下方;
2)运动件与固定件之间的最小运动间隙应不小于12.7mm;
3)两个运动件之间的最小运动间隙应不小于25.4mm。
2.6.2 非包容性转子爆破分析
非包容性转子爆破气源系统设计应遵循冗余、避让、隔离的原则进行布置,尽可能得使气源系统设备布置于发动机转子爆破影响区之外。对于不能避开转子爆破影响区的系统设备(发动机引气部件)则尽量采取设计冗余措施,保证其失效不影响飞机继续安全飞行和着陆。
2.7 系统安全性评估
系统安全性评估是对所实现的系统进行系统性的综合评价,用来检验系统和安装满足相关的安全性要求。对于在不同级别的每一个PSSA,应该有一个相应的SSA。系统安全性评估过程与PSSA的活动相似但是范围有所不同,PSSA是评价所提议的构架并导出系统/组件安全性要求的方法;而SSA是综合各种分析结果,以验证所实现的系统满足在FHA和PSSA中所定义的定性和定量的安全性要求。
SSA综合了FMEA、FMES、FTA、CCA等各种分析的结果,以验证气源系统满足安全性要求和适航条款要求。
3 总结
本文通过SAEARP4761中提出的一整套系统安全性评估的方法来表明验证气源系统安全性设计是满足安全性和适航条款要求的。实际运营时各航空公司仍需要对气源系统使用及维护相关的人员进行深入的安全意识及安全性能培训,提高他们对气源系统风险性的认识,规范气源系统使用和维护的方法,从而避免事故的发生。
【参考文献】
[1]运输类飞机适航标准.中国民用航空规章第25部[S],2011.
[2]Guidelines for Development of Civil Aircraft and Systems[Z]. SAE ARP 4754, 2010.
[3]Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[Z]. SAE ARP 4761,1996.
[责任编辑:汤静]