吕 宝，武红姣

（中国飞行试验研究院，陕西 西安，710089）

0 引 言

相对军用战斗机而言，高训练效益和低制造成本是高级教练机的优势所在，但由于飞行员安全本身是重中之重，所以保证飞行员在飞行训练阶段的安全性是高级教练机的重要需求之一。由于高级教练机后续交付部队后，在其上进行飞行训练的往往都是刚从基础教练机上毕业的飞行学员，对于刚刚接触到更高速度、更为复杂人机界面和综合航电系统等新事物的飞行学员，其技术和心理都处于成长阶段，学员、教练机、环境、任务等安全性因素相互影响、作用，会对飞行训练安全造成重大影响，这些均对高级教练机平台的安全性提出了更高的要求。与此同时，随着航空装备的发展，高级教练机系统逐步向功能综合化、设备多样化、信息集成化发展，这也导致系统规模越来越大，结构越来越复杂，对安全性评价的难度也越来越高。由于高级教练机系统单元部件众多，系统及部件表现出多态性，部件间相互影响，存在失效相关性、不确定性等特点，且由于目前安全性数据缺乏，使一般的安全性分析评价方法难以适用。

为此，本文提出了综合故障模式影响分析（FMEA）和事件序列图分析（ESD，Event Sequence Diagram）的高级教练机安全性评价新技术。其中，FMEA 是一种单因素分析方法，其优势是通过对潜在故障模式分析，按严酷度和可能性分类用于安全风险评估，属于静态安全风险评估；ESD 方法是一种图形描述法，能真实描述系统事故场景，给出系统事故发生过程，其优势是能够进行动态安全风险评估，提供足够的系统结构交互信息。通过将FMEA 分析和ESD 分析方法结合，综合了两者在安全性评价方面的优势，为高级教练机安全性评价提供了一种有效途径，该方法具体的安全性评价流程如图1 所示。

1 故障模式及影响分析（FMEA）技术

1.1 构建故障模式数据库

故障模式影响分析是指在产品的设计、研制和试验过程中，通过对产品各组成单元潜在的各种故障模式及其对产品功能的影响进行分析，并将潜在的故障模式按它的严酷程度予以分类，提出可以采取的预防改进措施，以提高产品可靠性、安全性的一种设计方法。

图1 基于FMEA 和ESD 的高级教练机安全性评价流程图

飞行试验阶段是开展飞机FMEA 分析的重要阶段，外场发生的大量实际故障样本为开展FMEA 分析工作提供了有利条件，在设计阶段进行FMEA 时没有考虑或者没有引起足够重视的系统/设备故障模式可通过在飞行试验阶段的飞行试验验证进行深入分析。通过在飞行试验阶段开展高级教练机FMEA分析，不但能够有效检验设计阶段FMEA 工作开展的充分性，而且能够及时有效地全面掌握系统/设备的故障模式，为高级教练机安全性改进提供充分的素材。

本文结合高级教练机飞行试验任务性质和特点，对高级教练机飞行试验阶段出现的故障模式进行归纳分析。同时，对高级教练机设计阶段的飞机/系统的故障模式及影响分析报告进行研究分析，从飞行试验阶段和设计阶段两个方面入手，对飞机/系统的失效模式进行梳理分析，实现设计阶段和飞行试验阶段高级教练机系统失效模式的互为补充完善，从两方面梳理形成完善的、可用于飞行试验阶段高级教练机安全性评价分析的故障模式数据库，具体的故障模式数据库构建思路如图2 所示。构建的故障模式数据库样例如表1 所示。

图2 高级教练机故障模式数据库构建思路

表1 飞机防滑刹车系统故障模式数据库样例

1.2 安全风险评估技术

在建立高级教练机故障模式数据库的基础上，综合考虑人机环等影响因素，针对高级教练机故障模式开展失效严重性和失效可能性分析，建立故障模式失效严重性、失效可能性评价体系；同时，借鉴《装备安全性工作通用要求》中的风险指数法，建立了基于外场失效数据的风险指数矩阵和接受准则，给出安全风险评估结果。具体风险评估流程如图3 所示。

1.2.1 失效严重性评价技术

失效严重性评价分析是安全性评价的一个重要方面。进行失效严重性评价与预测，其中重要内容之一就是对失效可能导致的灾害性质分析。不同的危险介质在不同的生产装置和不同的工况下，其失效后所产生的灾害有不同的形式。即使是相同的介质在不同的工况下，其失效所导致的灾害形式也不一样，产生后果的严重程度亦各不相同。在确定失效严重程度时，有两个主要问题：一是严重等级的划分；二是对失效后果多因素判断和综合评价方法的探索。事故的严重度分析一般采用事故后果的经济损失来表述，指的是事故中人员伤亡以及飞机、设备等的损失。

本文参考国家质量监督检验检疫总局对失效后果等级划分的标准以及GB/T5044-1985《职业性接触毒物危害性程度分级》 中失效后果等级划分方法，针对具体的衡量指标并结合外场实际特点进行适应性改进，失效严重性等级借鉴了美国API581 等文献中的五个等级，分别对应IV 级、V 级、III 级、II 级和I级，即不严重、不太严重、一般、比较严重和非常严重。具体高级教练机外场失效严重性等级划分见表2。

图3 高级教练机风险评估流程图

同时，针对失效严重性的评价方法目前主要有风险评估法、层次分析法、模糊综合评价法以及神经网络评价法等综合评价方法可供选取，由于篇幅限制，此处不展开描述。

表2 飞机失效严重性等级划分

1.2.2 失效可能性评价技术

在确立失效严重性评价体系的基础上，同步开展失效可能性评价技术研究，其中失效可能性等级划分方法主要参考GJB900A 中有关失效可能性等级划分方法，具体见表3。并综合考虑装备本身的技术因素、人为因素以及环境因素等影响因素，引入层次分析法建立了基于层次分析法的失效可能性评价方法，由于篇幅限制，此处不展开描述。

1.2.3 风险评价指数矩阵建立

在确立了高级教练机故障模式失效严重性、失效可能性等级以及评价方法的基础上，结合高级教练机的飞行试验实际，借鉴安全性风险评估理念，给出风险评价指数矩阵建立方法的步骤如下：

1）设定危险严重性五个等级（非常严重、比较严重、一般、不太严重和不严重）对应量值为1、2、3、4、5以及危险可能性五个等级（经常、很可能、偶然、很少和极少）对应量值为1、2、3、4、5；

2）建立初步风险矩阵B：

3）优化初步风险矩阵B，建立高级教练机安全性风险指数矩阵：选定风险指数1-25，最低风险指数25 对应的事故几乎不可能发生并且后果是轻微的。按照矩阵中量值的大小进行风险指数分配，若存在量值相同，以危险严重性为优先；若存在3 个量值相同，则首先以对角线上的量值为优先，其次以危险严重性为优先。建立的风险指数矩阵见表4。

表4 风险评估矩阵

4）建立风险接受原则。由于ESD 模型的构建需要综合考虑各种动态影响因素，因此，我们只需对飞行试验阶段FMEA 分析结果中不希望有的安全风险或其影响具有较高不确定性的故障模式进一步开展基于ESD 的详细研究。即首先进行FMEA，根据其结果按表5 建立的风险接受原则选择要开展ESD 分析研究的故障模式，以相应故障事件作为引发事件建立ESD 模型，然后对其分析确定风险接受与否或提出设计与使用的改进措施。

2 事件序列图分析（ESD）技术

2.1 ESD 方法概述

事件序列图是一种对关联事件序列进行描述的图形建模工具，可用于直观地表述事故过程、支持事件树建造以及辅助进行定量风险分析。通过定义事件、条件、逻辑门、参数、限制、规则等要素及图形符号来实现对事故链的模拟和对风险的控制。它是事件场景的直观体现，通过鉴别及构造事件的时间序列，反映出系统的动态特性。在国外，ESD 方法在不同的领域有着不同的应用：ESD 最初由NASA 用于描述Cassini 空间飞行任务的事故链，后来经扩展的ESD框架可支持进行动态概率风险评估；在核工业中，ESD被用作文档管理工具，并进而用作事件树构造的定性辅助工具； 在化工工业及阶段任务研究中，ESD 被用作定量研究工具。国外对ESD 方法的应用相对成熟，在不同领域的安全风险管控中取得了很好的效果。

表5 风险接受原则

2.2 ESD 方法模型

利用ESD 建立故障风险模型的基本方法是按如图4 所示的分析逻辑程序，将故障事件作为引发事件，通过回答 “接着将发生什么” 来开发环节事件，直至达到最终的安全或损失状态。同时，过程中采用条件、逻辑门、参数、限制、规则等要素来建立事件间的交互作用和时序关系，描述故障事件发生并导致影响的可能发展过程。在ESD 模型中，任一自引发事件开始至不期望终态和结束的事件序列，构成1 个事故链，为此，通过开发建立ESD 模型，可充分支持对安全风险进行全流程评估。图5 以高级教练机燃油系统故障为例给出了ESD 分析示例。

图4 ESD 分析逻辑程序

2.3 基于ESD 模型的风险分析技术

在高级教练机的外场飞行试验中，我们可以对它的一个系统或部件的可靠性进行度量，但单纯讲其中某一部件的安全性则没有什么意义，因为若不知道系统是如何运用的，则故障究竟会导致什么结果是难以有答案的。而ESD 的优势就在于可对其系统运行的动态特性进行详细推演分析，通过按照时间序列进行系统运行过程的实际推演，开展过程风险分析，查找系统设计存在的安全隐患以及缺失的相关安全防护措施。通过将安全风险在各种要素交互作用下的系统动态运行过程中予以研究和确定，我们可以给出相应的安全性设计更改建议和措施。在飞行试验阶段开展针对高级教机的、基于ESD 的安全风险分析，我们可以给出以下几个方面的改进措施及建议：

图5 燃油活门故障ESD 分析示例

一是在设计上使得故障风险及其控制达到可接受的安全水平。

二是在使用过程中对故障及其影响控制的实施。ESD 模型的有效开发，提供了丰富的故障风险关联信息，可明确并落实系统使用和保障的细节要求，以最终实现系统的安全使用。

3 结语

本文通过以新一代高级教练机的任务需求为牵引，从面向使用的高级教练机安全性评价出发，提出了综合故障模式影响分析和事件序列图分析的高级教练机安全性评价分析技术，为高级教练机安全性评估与风险控制提供了一种适用的分析评价技术，解决了飞行试验阶段高级教练机动态系统安全性评价手段缺失的问题，使高级教练机系统安全性评价更具有可操作性，对高级教练机故障分析、外场使用过程中的技术更改以及相关操作规程的完善制定同样具有指导意义。