宁敏+王乐意++陈洁

DOI：10.16660/j.cnki.1674-098X.2017.14.012

摘 要：在飞机安全性评估过程中需要进行闪电/HIRF（高强度辐射场）风险分析，评估闪电/HIRF风险对相关飞机、系统或组件造成的影响以及影响的严重程度，保证闪电/HIRF风险无安全性影响或证明安全性影响可接受。该文对民用飞机的闪电/HIRF风险分析进行初步探讨，着重介绍飞机闪电/HIRF风险分析方法和流程。

关键词：闪电 高强度辐射场 风险分析

中图分类号：V228 文献标识码：A 文章编号：1674-098X（2017）05（b）-0012-02

随着导电性低的复合材料越来越多地出现在新型飞机上，使得飞机对外部电磁环境的屏蔽效能大大降低[1]。当飞机在起降阶段和飞行过程中遭遇闪电/HIRF（高强度辐射场）时，机载电子电气设备有可能同时发生系统功能紊乱或者丧失，进而严重影响或妨碍飞机继续安全飞行和着陆。因此，在考虑飞机的闪电/HIRF防护设计时，还需要评估闪电/HIRF环境对飞机造成的潜在风险。

闪电/HIRF风险分析属于全机级和系统级安全性工作的一部分，是对闪电/HIRF风险可能给相关的飞机、系统或组件造成的影响以及影响严重程度进行分析，保证闪电/HIRF风险无安全性影响，或安全性影响可接受。SAE ARP4761规定了典型的特定风险分析的内容，指出应对闪电/HIRF进行特定风险分析，但分析方法等相关内容没有规定，国内该方面的研究还较少，需要更多的关注[2]。该文对民用飞机的闪电/HIRF风险分析进行了初步探讨，着重介绍飞机闪电/HIRF风险分析方法和流程。

1 闪电/HIRF风险分析

闪电/HIRF风险分析来源于安全性评估过程，用于对合格审定要求的符合性，如CCAR.25.1309。主要包含功能危险性评估（FHA）、初步飞机安全性评估/初步系统安全性评估（PASA/PSSA）、飞机安全性评估/初步系统安全性评估（ASA/SSA）以及共因分析（CCA）。CCA用于确立并验证系统与项目之间物理功能上的分隔、隔离以及独立性要求，并验证这些要求得以满足[3]。CCA可确定能够导致灾难性的或危险的/严重的失效状态的单个失效模式或外部事件，包含3个方面：特定风险分析、共模分析和区域安全性分析，闪电/HIRF风险属于特定风险分析。

电子电气设备在PSSA和PASA分析中得到的设备硬件DAL（研制保證等级）和软件DAL充分考虑了冗余和备份。在遭遇闪电/HIRF环境时，相似设备同时失效，如果以设备硬件DAL等级作为参考进行闪电/HIRF防护设计，有可能会造成对设备真实闪电/HIRF防护要求的错判，进而引发灾难性后果。因此，以闪电/HIRF风险分析结果作为闪电/HIRF防护设计的需求来源更能真实反映实际情况，通过闪电/HIRF风险分析得到设备的真实闪电/HIRF防护等级对飞机的安全性有重要的意义。

2 闪电/HIRF风险分析方法

飞机闪电/HIRF风险分析可以直接采用AFHA、SFHA、PASA、PSSA的一些分析过程和结果，结合闪电/HIRF对系统影响的特点，例如：冗余系统以及设备闪电/HIRF敏感性分析，在此基础上，重新确定系统可能发生的失效状态，以及对应的相关电子/电气设备。通过闪电/HIRF风险分析可以确定飞机可能受闪电/HIRF影响的电子/电气设备清单，以及相应的功能失效状态清单，分析结果可以用于确定机载电子/电气设备及系统的闪电/HIRF风险等级。

闪电/HIRF风险分析流程如图1所示，闪电/HIRF风险分析工作主要包含以下内容。

第一，确定需要进行分析的失效状态、影响等级和该失效状态所涉及的电子/电气设备。功能的失效状态影响等级根据其对飞机及其乘员等方面的影响程度大小来确定，分为灾难性的（I类）、危险的（II类）、较大的（III类）、较小（IV）的和无安全影响的（V类）[4]。闪电/HIRF风险分析工作针对AFHA和SFHA中灾难性、危险的、较大的失效状态，不对较小的和无安全影响的失效状态进行分析。不考虑独立于闪电/HIRF的外部事件引发的失效，例如：起火、单发失效等外部事件。

第二，确定受闪电/HIRF影响的失效状态。以PSSA和PASA为基础，确定该失效状态是否对闪电/HIRF敏感。以图2为例，假设失效状态F1、F2和F3组成顶层失效状态F，E1A、E1B、E2、E3和E4为电子电气设备，M5为机械设备，E1A和E1B为相似设备。其中，F1和F2均完全与电子电气设备相关，F1、F2在飞机受到闪电/HIRF影响时是有可能发生的，对闪电/HIRF敏感。F3与E4和M5相关，M5不会受到闪电/HIRF影响，因此，在飞机遭遇闪电/HIRF环境时，F3不会发生。F1和F2对闪电/HIRF敏感，因此，F对闪电/HIRF敏感。

第三，确定受闪电/HIRF影响的敏感电子电气设备。电子/电气设备是否对闪电/HIRF敏感的判定原则为，电子电气设备部件中是否包含半导体器件，如晶体二极管、三极管、场效应管以及含有半导体管的集成块、芯片等。需要注意的是，除机械设备外，无源设备通常被认为对闪电/HIRF不敏感。

第四，故障树分析。闪电/HIRF风险分析以设备为最小分析单位，相似设备不具有独立性，不考虑其冗余，分析时可认为相似环境下同时失效。例如：E1A和E1B相似，分析时认为同时失效。F1的敏感设备割集为E1，F2的敏感割集为E2和E3，因为E2和E3必须同时发生故障或失效，才会导致F3的发生，因此，可以表述为E1失效将直接导致F，E2和E3同时失效才会导致F。

第五，根据故障树分析结果，确定每个敏感设备对应的失效状态清单、失效等级。在确定失效等级时，应至少确保“与门”下有一个敏感设备与失效状态等级一致，假设F2为I级，则E2和E3至少有一个是I级。

第六，按照该失效等级、敏感电子电气设备的安装区域，为设备进行闪电/HIRF防护设计，进行滤波、搭接、接地设计。参考DO160G进行设备级、系统级闪电/HIRF试验，以验证敏感设备可以经受一定强度的闪电/HIRF环境。

第七，根据验证结果，评估闪电/HIRF风险对受影响设备的后果和对飞机产生的影响，以及该影响的分类。

第八，确定该影响是否可以接受，如果可以接受，则形成合格审批判据。如果不可接受，则进行设计更改。

3 结语

该文介绍了飞机闪电/HIRF风险分析的方法和流程，为闪电/HIRF风险分析工作提供指导，通过闪电/HIRF风险分析得到设备真实闪电/HIRF防护等级对飞机的安全性有重要意义，能确保任何与安全性有关的影响被设计排除或表明是可以接受。闪电/HIRF风险分析应由飞机制造商实施，贯穿整架飞机的研制过程，起初分析可以基于图纸或模型，随着项目进展，分析将在样机或实物进行，飞机有重要修改时，需重新分析。

参考文献

[1] 唐建华.飞机研制的新要求[J].国际航空，2007（11）：65-66

[2] SAE ARP 4761，Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].

[3] SAE ARP 4754A，Certification Considerations for Highly-integrates or Complex Aircraft Systems[Z].

[4] AC 25.1309-1A System Design and Analysis， Advisory Circular[Z].