民用飞机运营安全性监控研究
2017-06-30向维
向维
【摘 要】民用飞机安全性设计中用于适航取证的安全性数据只是理论值,还需用实际运营数据来确认或调整安全性评估中的假设。论文介绍了一种基于民机运营数据的运营安全性监控方法,建立了定性与定量评估方法、运营结果与目标值对比及采取何种措施的方法。
【关键词】安全性;运营;监控
0 引言
在进行民用飞机CCAR/JAR/FAR 25.1309条款的安全性要求符合性验证时,用于验证的数据只能是设备供应商提供的理论数据(FMEA、FMES),或者是已有飞机项目的经验数据。需用运营数据进行持续评估来确认或调整系统安全性评估(System Safety Assessments,SSAs)中的假设[1],并验证实际能达到的安全性水平。一旦出现不符合安全性目标的情况,需采取有效措施进行改进。因此,研究一套合适的民用飞机运营安全性监控方法十分重要。
1 民用飞机运营安全性监控方法
民用飞机运营安全性监控的研究思路如图1所示。
2 定性的运营数据评估
定性的运营数据评估的关键在于找到SSA中所考虑的事件(失效模式、失效状态、外部事件、状态转移)与运营报告中记录的事件的关联。
2.1 建立运营失效状态模型
将危险性或灾难性的失效状态(FC)模型化(DD、FTA或Markov模型)。此模型由基本事件(“boxes”)和布尔逻辑组成。布尔逻辑会引发DD、FTA中的失效状态或Markov中的系统状态(包括已考虑的失效状态和其状态转移)。基本事件指部件、设备或系统的失效模式(FMES事件)、某环境条件或运行条件(外部事件)或者其它系统故障(相关系统故障)。
2.2 评估SSA中失效状态的完整性和逻辑性
对样本机队可用的详细运营数据进行分析时需对FC的完整性和逻辑性进行分析。
a)DD、FTA:如果运营基本事件被确认与FC中已有的基本事件或者某部分有相同影响,并且未被FC覆盖,需添加进FC中。
Markov:如果系统状态被确认未被FC覆盖,需添加进FC。
b)DD、FTA:如果运营经验证明FC的布尔结构不正确,需根据情况调整FC。
Markov:如果运营中出现的状态转移在FC中未考虑,需添加进FC。
c)如果运营中发生的事件代表了FC的一部分(例如:子图、子故障树),那么用一个能描述运营事件的基本事件来代替此部分。
最终“运营”失效状态模型命名为FC*。
注:在运营报告周期内,FC中的某些基本事件或系统状态未发现,不应该在FC*中删除。需进一步观察,因为这些事件或系统状态发生概率值低。
3 定量的运营数据评估
当运营失效状态模型FC*建立完成,需评估基本事件發生概率(DD、FTA)或状态转移率(Markov)。
通常报告期为运营期1年。如果累积的运行时间和事件发生次数不足以获得一定置信度的概率数据,需延长报告期(例如:如果某个失效模式是隐蔽的,相关的检查间隔要大于一般的报告期)。
另一方面,选择合适的报告期应考虑到,飞机构型更改(例如:系统改型)可能会影响事件发生概率,即较长的报告期也可能无法获得有效的分析结果。此时还需考虑飞机和其系统的成熟度,还有运行和环境条件的影响(例如:老龄飞机、结冰……)。
而基本事件发生概率(Plow(FC*)与 Phigh(FC*))的统计方法取决于假定的概率分布函数:
a)一般情况假设事件发生概率或者状态转移率为与时间无关(常量)的指数分布;
b)如果事件发生分布被假设为其他分布函数,失效率与时间相关,则用极大似然法估计概率分布函数参数;
c )如果无法确定适合的事件发生分布函数,可用指数分布估计事件发生概率,但是只是“瞬态”的,用于特定的报告期。
对产品事件发生类型的概率分布函数假设,应定期用统计测试方法进行验证,例如:∏2检验或Kolmogorov检验。
4 重新计算失效状态概率
用“运营”FC*模型、SAE ARP 4761描述的方法计算所分析失效状态的两种发生概率[2]。
5 与目标值比较
将利用运营数据计算出的灾难性和危险性失效状态发生概率与目标概率值进行对比。基于与目标值的不符合程度及飞机或系统的成熟度,为特定的失效状态或失效状态分类设置警告。警告等级应说明为解决与安全性目标概率偏差需采取的措施程度。
基于系统或飞机型号的成熟度考虑以下分类:
a)引入期:定义为型号飞机航线运营第1年;
b)初始阶段:包括型号飞机航线运营第2年和第3年;
c)成熟阶段:从型号飞机航线运营第4年开始。
5.1 告警等级定义
设置告警等级如下所示:
a)0:无需措施;
b)1:需进一步调查(如:深层次分析);
c)2:建立调查程序,如果经济可行,实施设计改进;
d)3:需采取即时措施,如:设计改进、运行限制、维修大纲调整。
5.2 失效状态告警
定义每个失效状态FC的定量目标:设PS(FC)为安全性目标,即目标概率来自CCAR/JAR/FAR 25.1309条款(通常灾难性失效状态为10-9/FH,危险性失效状态为10-7/FH)。有时定义一个更严格的设计目标PD(FC)< PS(FC)。
分别比较PS(FC)、PD(FC)与Plow(FC*)、Phigh(FC*)的大小,确定不同的成熟度需设置的告警等级。
一旦安全性目标与设计目标的需设置告警等级不一致,选用最严酷(最大)的等级。
5.3 失效状态分类告警
设PS(CAT)为所有灾难性失效状态的定量安全性目标(通常为10-7/FH);PS(HAZ)为所有危险性失效状态的定量安全性目标(通常为10-5/FH)。
对于所有的灾难性失效状态FC:Plow(CAT)=3 Plow(FC*),Phigh(CAT)=3 Phigh(FC*)
对于所有的危险性失效状态FC:Plow(HAZ)=3 Plow(FC*),Phigh(HAZ)=3 Phigh(FC*)。
比较PS(CAT)或PS(HAZ)与Plow(CAT)、Plow(HAZ)的大小,确定不同的成熟度需设置的告警等级。
5.4 定性安全性目标告警
如果运营经验表明,不满足定性安全性目标(如:“单个失效不能导致灾难性失效状态”或“单个失效不能导致两台液压系统丧失”),采取3级告警等级。
6 更新SSA
如果系统设计被更改或者运行包线显著更改,则更新SSA。尽可能考虑用获取的运营数据来计算。
即使所有的目标都满足,也需重新发布SSA。使用基本事件发生率或者状态转移率重新计算的最大可接受检查间隔,可能会放宽审定维修要求(CMRs)。
至少作为SSA的附录,能反映运营数据评估结果,需定期发行。
7 结论
本论文基于民机运营数据介绍了安全性监控的方法,将理论安全性评估数据和实际运营数据有效结合起来,证明了方法的可行性。
【参考文献】
[1]SAE ARP 4754A.Guidelines for Development of Civil Aircraft and Systems[S]. SAE International,2010.
[2]SAE ARP4761.Guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S].SAE International,1996.
[责任编辑:田吉捷]