林家冠

【摘 要】本文在SAE ARP5150标准的基础上，总结了事件安全性评估的方法，详细介绍了液压系统可燃液体泄露问题的风险分析的过程，为进一步制定飞机/机队改正措施提供参考和依据。

【关键词】液压系统；可燃液体；持续适航；风险

0 引言

液压系统是飞机上的重要能源系统，其元件、管路分布在飞机各大区域，整个系统内的液压油是可燃液体的重要来源。民用飞机主流的液压系统仍然采用液压油传动，易出现油液泄露，如果还存在点火源，那么对于飞机安全是极大的威胁。为了减小该风险，一方面在设计之初就考虑了液压油泄露的防火设计要求；另一方面在飞机交付后的运营阶段，对使用过程中出现的可能導致液压系统出现泄露的故障、磨损、干涉、变形等问题进行风险评估，给出风险的大小，制定改正的措施，保证机队运行安全。本文通过在某型号民用飞机实际运营中出现的可能影响液压系统可燃液体泄露问题的事件进行分析，总结了对于该类问题的风险分析方法，为制定飞机/机队改正改进措施提供参考。

1 风险分析方法简介

保证飞行安全是民用航空永恒的主题。飞机在投入运行后，会不断暴露出各种对安全有潜在影响的缺陷，从而降低飞机的适航性。例如实际运行过程中遇到的可能导致液压油泄露的事件，如液压导管变形、磨损，导管连接头渗漏，导管和周围结构干涉或间距过小等问题。通过调查分析，这些问题的原因可能是设计缺陷、质量逃逸、制造偏离等。对于这类问题，如何保持它在设计制造时获得的固有安全性，使其能始终处于安全运行状态，是保障飞机安全运行的重要条件。

型号合格证持有人在飞机适航性缺陷修正工作负有极其重要的责任，承担的工作有：缺陷收集、风险分析和调查、制定修正措施并更新相应技术资料。其中风险分析是关键步骤，是开展后续制定修正措施工作的前提条件。通常情况下，风险分析过程包括四个步骤：

1）潜在不安全状态确定；

2）后果严重性等级确定；

3）发生可能性概率确定；

4）风险水平确定。

1.1 潜在不安全状态确定

不安全状态是指通过运行经验、分析或实验发现有以下实际证据，则认为存在不安全状态：

1）安全边际量或功能大幅降低；

2）机组身体不适或超负荷工作以至于不能精确地执行器任务；

3）对机上人员造成严重或致命的伤害。

潜在不安全状态就是指未经验证的、但很可能存在的不安全状态。

液压系统的液压油泄露可能会对飞机、系统造成安全影响。根据泄露量大小和泄露位置的不同，可能造成：液压油耗尽导致液压系统本身失效；液压油遇到点火源使得某区域着火；结构被液压油腐蚀而失效；导致相关液压用户（飞行操纵、反推、刹车、起落架收放、转弯）系统的安全裕度降低或失效等不安全后果。

根据在飞机实际运行过程中收集到的事件，分析事件可能造成的不安全后果（可能是一个或多个）。如果中间过程难理解，可以增加中间事件环节（事件之间相互独立），由此可以建立事件链。一般情况下我们把收集到的事件本身作为初因事件，如果随着原因调查的深入，可进行调整。

例如某事件信息：某型号飞机在一次维护中对液压系统打压，发现后设备舱2#液压系统电动泵与压力油滤组件之间的弯管抖动，并和附近的电动泵固定支架发生摩擦，进一步检查发现在导管内侧出现磨损。

对这个事件信息初步分析，该导管位于电动泵压力出口位置，导管振动和支架发生摩擦，使得导管损伤，长期磨损会导致破损，造成大量液压油泄露。因此初因事件是液压导管磨损，产生的不安全后果有两个：一个是液压油过多的外部泄露导致液压系统本身失效（不安全状态A），另一个是液压油泄露在后设备舱遇点火源导致着火（不安全状态B）。

1.2 后果严重性等级确定

对于潜在不安全状态事件的后果严重性等级，通常采用定性的方法来确定，主要通过该不安全状态对飞机、机组和乘客等人员的实际影响或潜在影响来判断。对于液压系统或其它相关系统的危害性影响可以参考系统级的SSA，FHA，FMEA等安全性分析报告。

比如在上述例子中，飞机的液压能源系统采用多套互相独立的液压构架，泄露只会导致单套液压系统失效，其它备份的液压系统可以保证飞机主要的液压能源需求，因此造成的严重性等级较小（Marginal）。第二种情况，如果泄露的液压油在舱内聚集，遇到点火源会发生燃烧，导致舱内着火，可能会波及到舱内其它系统设备，造成多个系统的功能失效，严重情况下会导致飞机失控，保守考虑严重性等级为灾难性的（Catastrophic）。

1.3 发生可能性概率

发生可能性概率可以通过定性和定量两种方法得到。

当很难获取有效数据时，可以采用定性的方法。该方法基于工程判断和使用经验，可参考下图MIL-STD-882D中对不同危害发生可能性概率的定义。

不同于定性的判断，定量方法是根据前述潜在不安全状态的事件链示意图，分别计算初因事件和每个中间事件的发生概率，取它们的乘积作为不安全状态A和B发生的可能性概率，公式如下：

PA=P0×PA1×PA2×PA3

PB=P0×PB1×PB2×PB3

上式中，PAi，PBi为中间事件的概率，P0为初因事件发生的概率。

例如，在液压系统的故障模式和影响分析（FMEA）中已经考虑了电动泵压力管路打破、磨损或连接件缺陷等因素造成液压油大量泄漏的情况，参考其概率的量级P0=10-6，得到该液压导管磨损事件导致2#液压系统失效的发生可能性概率PA=10-6，相当于OCCASIONAL。

上例中的第二种情况，考虑泄露的液压油在舱内遇到点火源着火的概率。在缺少有效数据的情况下，采用定性分析。例如，通过分析液压管出现磨损的位置在底部，该区域设有排液口，可以有效防止可燃液体积聚，同时可能产生电火花的电气设备、线缆都在其上方，因此定性的判断泄露的液压油遇电火花点燃的概率是微小的，相对应的概率量级为PB1=10-5。综合考虑，导致舱内着火的可能性概率PB=P0×PB1=10-11，即IMPROBABLE。

1.4 风险水平的确定

风险水平使用风险矩阵来确定，在风险矩阵的不（下转第33页）（上接第10页）同位置代表了不同的风险水平。横向是后果严重程度，纵向是发生的可能性概率，表1是ARP5150工业标准中的风险等级矩阵样例。

表1 风险等级矩阵样例

如果风险等级结果为“OK”，则表明该事件是一个安全事件，不需要采取措施；如果风险等级结果为“WORK”，则可以采取一些改进性的措施，将风险等级改善到“OK”状态；如果风险等级结果为“IMMEDIATE”，则必须采取一些紧急改正措施。一般情况下，这种紧急措施可以包括：强制性检查或其他临时措施。如果这个紧急措施是一个临时性的解决方案，则需要同时开展研究制定最终改正措施的工作。

将前述的液压系统导管发生磨损事件的风险分析结果带入表1，可以得到不安全状态A的风险水平是“OK”，不安全状态B的风险水平是“WORK”，不安全状态B的风险水平相对较高，可以采取改进措施，例如可以对该处导管和支架之间的间距进行增大，或者在支架上增加卡箍，用于固定液压导管，防止其抖动。

2 结束语

本文依据某型号飞机的持续适航工作经验，简述了一般潜在不安全事件风险分析过程，同时研究了液压系统可燃液体泄露事件的风险分析方法，为后续制定飞机改正改进措施提供参考。

【参考文献】

[1]CCAR-25-R4.中国民用航空规章第25部运输类飞机适航标准[S].

[2]SAE ARP5150.Safety Assessment of Transport Airplanes in Commercial Service[S].

[责任编辑：田吉捷]