陆鹏

功能危险性评估（Function Hazard Assessment，FHA）是对功能进行系统而全面的检查，以确定这些功能的失效状态并按其严重程度进行分类的过程。FHA是新机型或改进机型设计过程中安全性评估的第一步，为新设计或改进设计建立安全性要求。FHA给出各种危险后果评估，推导或者确认飞机或系统安全性设计准则，提出飞机或系统安全性要求，推荐可能的控制措施，并为其他危险性分析建立框架。

功能危险性评估是对针对功能进行的系统而全面的检查，以确定这些功能的失效状态并按其严重性进行分类的过程，是新机型或改进机型设计过程中安全性评估的第一步。该评估方法起始于飞机概念设计阶段，并为飞机后续研制提供设计要求和安全性需求的重要依据。FHA分析结果是下一步安全性评估的必要输入，也为后续系统、子系统设计架构提出安全性设计需求，帮助确认系统架构的可接受性，发现潜在问题和所需的设计更改，确定所需的进一步分析的要求及范围。

在功能危险性分析过程中，其中有关键的一个步骤就是要确定分析中需要考虑的各种因素，这些因素的考虑决定了FHA的深度、广度、正确性和完整性等，对于FHA的整个过程至关重要，这些因素除了考虑功能的各种失效模式之外，还需要考虑各种外部因素的影响，比如外在风险源、各种特定风险的影响等。而特定风险分析（PRA）在安全性评估的整个过程中，即作为FHA的一种补充，也是以FHA的分析结论为输入，与FHA是相辅相成的关系。但是目前还没有工作对FHA和PRA的这种关系进行过深入研究，以更好的指导飞机的安全性设计，因此本文中以SAE ARP 4761《民用机载系统和设备安全性评估过程的指南和方法》为工作指导，结合工程设计经验，对FHA和PRA的关系进行了深入研究，揭示了FHA和PRA相互促进作用，对民用飞机安全性设计有着一定的参考意义。

在FHA分析过程中，功能失效分析所考虑的主要因素包括：

a）整机或系统的所有功能（所有工作状态和模式下可能的功能）；

b）所有功能失效模式；

c）危险组成部分（如电源、液压系统和燃油系统等）；

d）具有冗余或者被冗余影响的系统；

e）每一个系统的工作状态，包括在不正常状态下的意外工作；

f）所有功能和实际系统的相互关系；

g）外部因素（条件）；

h）人为因素（操作和维修中的人为差错等）。

而特定风险事件则归属于“g）外部因素（条件）”类别，按照SAE ARP 4761的建议，在民用飞机设计过程中需要考虑的特定风险包括了22项，具体特定风险项目如表1所示。

出于安全性考虑，在特定风险分析工作中，对于设备的失效状态主要就是功能完全丧失，不需要考虑功能部分丧失、功能错误等其他失效状态，因此特定风险对FHA影响主要就是考虑在风险区域内设备功能完全丧失的情况。特定风险对FHA影响时候的安全性影响等级，除了考虑设备本身失效之外，还需要考虑在特定风险事件影响下，设备的设计标准是否能够满足安全性要求，这对飞机、系统和设备的设计都提出了更高的要求，下面我们对表1给出的22项特定风险进行逐一分析（图1）。

PRA是考虑外部事件对系统设备的影响，对FHA的一种补充，在PRA事件下，系统功能会产生何种失效，判定失效状态影响等级和判据。FHA是一种自上而下的设计方法，通过FHA可以达到以下目的：一是，评价各种危险的影响等级，对故障状态进行分类，确定安全性设计目标（各故障状态的最大允许发生概率）；二是，识别设计可能存在的危险，确定安全性关键部位；三是，提出消除或控制危险的措施。

因此，FHA与PRA之间具有互相支持的作用，FHA通过PRA来确认验证，而PRA又是以FHA为输入，对全机进行可能的特定风险分析，以在设计阶段就将特定风险事件对飞机安全性影响降到最低。

[责任编辑：杨玉洁]