张光炯，孙军帅

(航空工业庆安集团有限公司 航空设备研究所，西安 710077)

0 引 言

随着航空航天技术的不断发展与进步，民用飞机的设计和制造越来越复杂，而伴随着系统工程及适航理念的不断深入，飞机及其系统的高安全性也得到了生产制造商和使用运营方的更多关注[1-2]。如何在产品设计之初得到轻量化、经济性与安全性的最佳权衡结果，是飞机及系统安全性分析的重点之一[3-4]。

某民用飞机根据其应用场景分析，配置有高升力系统，按照驾驶员的机械操纵指令，实现襟翼的自动偏转控制，改善飞机起降时的升阻力系数[5]；同时按照适航需求，系统应具备必要的故障监控告警和保护功能，以达到高安全性的目标[6]。SAE ARP4761提出了复杂系统的安全性设计评估方法[7]，在产品设计之初实现对系统架构评估、关键因素识别、潜在失效及过高的失效组合概率评定，通过进行改进设计，在保证安全性的基础上降低产品的研制成本及试验验证成本。

国内已有学者按照安全性评估方法从飞机整机级开展了设计研究，从控制逻辑、指标分配、软件设计等方面进行了分析[8-10]。同时也有技术人员依据ARP4761的要求，对飞控系统及高升力控制系统开展了故障监控、隐蔽失效分析、马尔可夫方法应用等方面的研究[11-13]，对电气线路互联系统(Electrical Wiring Interconnection System，简称EWIS)及航电系统开展了指标分析及安全性评估实施研究[14-15]。但尚未有在高升力系统架构设计阶段寻找关键因素并提升安全性目标的相关研究。

因此，本文着重对此开展工作，以某型高升力系统为研究对象，基于民用飞机系统安全性设计评估的思路和方法，通过对某一典型的失效工况进行分析及关键因素识别改进，得到能够满足安全性目标的系统方案。

1 系统安全性评估思路

民用飞机系统安全性评估是全寿命周期设计过程的一部分，包含有系统安全性分析和验证两项工作，评估工作分别从定性和定量两方面进行。系统安全性分析从顶层开始研究，逐层向下分析确认。首先通过对系统失效形式进行梳理，识别系统风险点和危险源；然后通过对失效影响的评估，确定每个失效状态的严酷度；最后按照失效成因和机理，将系统安全性指标分配到部件级和软硬件级。系统安全性验证基于底层部件/软硬件的故障率数据，从底层开始，根据相应的逻辑关系(与/或)逐层向上计算分析验证[1,7]。

按照ARP4761所述，复杂系统的安全性分析过程主要包括以下步骤(如图1所示)：

(1) 了解复杂系统的基本功能和设计目标；

(2) 梳理系统功能清单，识别各功能可能存在的失效工况；

(3) 运用系统功能危害性分析方法(SFHA)，识别所有失效功能的严酷度、安全性设计目标以及验证方法和证明资料；

(4) 运用故障树分析(FTA)方法或马尔可夫方法等，对安全性指标进行分配，同时结合经验值确认故障树分配结果的指标分配是否合理，针对底事件中无法满足分配的指标，可作为影响系统安全性设计的关键因素，并按照其改进难易程度提出改进要求；

(5) 通过特定危险分析(PRA)和区域安全分析(ZSA)，确定单点故障消除、安装区域识别、操作维护使用等要求。

图1 系统安全性分析流程图Fig.1 Flow chart of system safety analysis

根据AC25.1309-1A及ARP4761中给出的规定方法，每个失效工况需从 “对飞机功能性能实现”“机组人员执行任务能力”及“乘客舒适度和生命安全”三个方面进行评估，确定其严酷度等级。每个级别的安全性指标至少应满足的要求如表1所示[6-7]。

在进行复杂系统安全性验证工作前，需要根据系统所含各部件及其零组件/软硬件的安全性预计结果，根据故障树的逻辑分析思路，从底向上进行系统安全性设计指标符合性验证。由于灾难级(Ⅰ类)和危险级(Ⅱ类)失效工况的影响后果较为严重，因此着重对这两类失效工况进行安全性验证，对于重大的(Ⅲ类)和轻微的(Ⅳ类)失效工况，可通过故障模式影响分析等文件进行验证确认。

表1 各严酷度等级的安全性要求值

2 基于安全性分析的高升力系统设计

2.1 基于FHA的系统安全性需求识别

根据高升力系统的应用场景，系统的主要功能为实现襟翼收放功能，同时具备襟翼不对称运动故障监控及保护功能。由于在起飞或降落时，飞机会由于左右襟翼不对称而产生较大的翻滚力矩，一旦不对称超过预设门限，驾驶员将难以操控飞机安全飞行，因此按照AC25.1309-1A，该失效模式的影响等级为Ⅰ类，其安全性设计目标为发生概率≤1×10-9/FH(飞行小时)，如表2所示。

表2 系统功能危害分析结果

2.2 基于安全性设计目标的系统设计

为了实现高升力系统襟翼同步收放，系统配置了集中式动力驱动装置，由其带动两侧的传动线系带动襟翼收放。同时，为了保障传动线系断裂时能够实现不对称运动状态监控及保护，高升力系统配置了襟翼控制计算机、翼尖位置传感器和翼尖制动器进行故障监控及保护，其架构如图2所示。

图2 满足不对称保护要求的系统架构Fig.2 System architecture meeting the asymmetry protection requirement

2.3 基于FTA的安全性设计要求分配

“襟翼不对称运动过限”在起飞和降落阶段是灾难级失效工况，以此为例进行故障树分析，确定部件的安全性设计目标。

(1) 以“襟翼不对称运动过限”为顶事件，从功能的角度进行故障成因分析(主要由于传动线系断裂或作动机构传动轴断裂出现左右不对称运动，同时系统丧失不对称保护功能)，构建的故障树如图3所示。

(2) 对顶事件的安全性设计指标(即不大于1×10-9/FH)进行分配。基于故障树的指标分配通常进行两轮，第一次分配主要是平均分配，即采用“与”逻辑的下层级事件设计指标是上层级设计指标的均方值、采用“或”逻辑的下层事件设计指标是上层级设计指标的均分值。

“或”逻辑指标分配模型

(1)

“与”逻辑指标分配模型

(2)

式中：F为故障树中某一层事件第一轮指标分配值；Xi,Yi分别为故障树中该层事件的上一级和下一级事件；i为某层第i个因素；n为该层因素的数量总和。

第一轮指标分配后，由于底事件结构类型、产品复杂度、技术成熟度等因素，均分的指标会增加设计难度和研制成本，因此需要对某些底事件的指标值进行适当调整，使得故障树中所有底事件均有较为合理的设计指标。

(3) 根据上述思路对“襟翼不对称运动过限”失效工况采用故障树进行指标分配和调整，结果如图3和表3所示。

图3 “襟翼不对称运动过限”故障树(需求分配)Fig.3 Fault tree allocation for “flap asymmetry motion over limit” according to requirement allocation 表3 “襟翼不对称运动过限”安全性设计要求 Table 3 Safety design requirement for “flap asymmetry motion over limit”

编号失效工况描述目标子集特点FC01-301左右侧传动线系扭力管断裂≤5E-6机械部件(失效率低、数量多)FC01-302左右侧传动线系传动轴断裂≤5E-6机械部件(失效率低、数量多)FC01-303左襟翼位置传感器电气故障≤5E-6简单电气部件(失效率低)FC01-304右襟翼位置传感器电气故障≤5E-6简单电气部件(失效率低)FC01-305襟翼控制计算机故障监控电路故障≤4E-5复杂电子部件(失效率高、元器件复杂)FC01-306襟翼控制计算机故障保护电路故障≤4E-5复杂电子部件(失效率高、元器件复杂)FC01-307左侧翼尖制动器制动机构故障≤5E-6机械部件(失效率一般)FC01-308右侧翼尖制动器制动机构故障≤5E-6机械部件(失效率一般)

3 基于安全性评估的高升力系统初步验证

3.1 基于部件初步预计结果第一轮验证

以2.3节构建的故障树为平台，运用布尔运算法则，从底向上计算故障树中各元素的失效概率(底事件的失效概率主要依据其所含零组件或电子元器件的配套数量、使用环境、质量等级、结构特点等因素，采用零部件计数法或修正系数法进行各失效模式的计算分析)，预计结果如表4和图4所示。

表4 “襟翼不对称运动过限”安全性设计结果

图4 “襟翼不对称运动过限”故障树(指标验证)Fig.4 Fault tree allocation for “flap asymmetry motion over limit” according to requirement verification

3.2 系统关键因素及改进措施

从图4可以看出：当前“襟翼不对称运动过限”的设计结果为1.209×10-9/FH，不满足安全性设计目标。从指标符合性表可得：造成系统不满足安全性设计目标的关键因素主要为传动线系断裂以及襟翼控制计算机的功能丧失。这两个因素的特点及改进方法权衡如下：

(1) 传动线系中单个传动杆/传动轴的机械断裂失效率不高(约为10-7次/FH)，但由于传动线系中配套数量较多，导致该因素总的失效率占空比上升。

(2) 襟翼控制计算机自身为复杂电子部件，其中实现故障监控及保护功能的电路包含有很多不同型号、不同规格的继电器、二极管等，且不同质量等级的器件失效率不同，数量和高失效率最终引起该因素权重比较大。

参考国外系统安全性设计的方法和思路[7]，提高产品安全性的方法包括余度设计、提高质量、监控检查等。针对失效因素及失效特点，各改进措施的可实施情况如表5所示。

表5 引起系统安全性不满足要求的因素

3.3 基于改进方案的系统安全性迭代验证

按照系统提供的方法，综合考虑飞机结构布局、使用环境、系统重量、可靠性及成本等因素，对襟翼控制计算机监控电路部分器件进行余度设计，同时将保护电路中部分关键器件进行高质量等级元件替换。经产品第二轮迭代分析，“襟翼控制计算机故障监控电路故障”的发生概率由5.3×10-5次/FH降低为3.6×10-5次/FH；“襟翼控制计算机故障保护电路故障”的发生概率由4.9×10-5次/FH降低为4×10-5次/FH(依据GJB299C《电子设备可靠性预计手册》“元器件应力分析可靠性预计法”进行计算，得到其故障发生概率结果)。

按照更新后的数据对“襟翼不对称运动过限”重新进行迭代验证，结果如图5所示。

图5 “襟翼不对称运动过限”故障树(指标迭代验证)Fig.5 Fault tree allocation for “flap asymmetry motion over limit” according to requirement iteration verification

从图5可以看出：通过对襟翼控制计算机的适当改进设计，当前高升力系统“襟翼不对称运动过限”的发生概率为9.288×10-10/FH，能够满足小于等于1×10-9/FH的安全性定量要求。

4 结 论

(1) 本文运用民用飞机机载复杂系统安全性评估思想和方法，对高升力系统进行安全性定量评估，对系统安全性薄弱环节进行识别，综合考虑飞机布局、系统重量及可靠性等因素，对薄弱环节进行改进，得到了满足安全性设计目标的设计方案。

(2) 民用飞机系统安全性评估方法在高升力系统设计中的应用，使得高升力系统提前识别出电子控制设备这一主要薄弱环节，通过对其进行余度设计和质量提升，有效提高了高升力系统的安全性水平。

(3) 本文仅对某一典型的失效工况进行了分析及关键因素识别改进，若要得到最优的系统设计方案，还需进行其他失效工况的安全性评估分析以及与可靠性、重量等因素的综合权衡。