郭放 吴晶峰 杨子江 杨慧赟 刘嘉伟 闫文辉

摘要：航空发动机研制是一个反复迭代的过程，安全性评估是研制过程不可缺少的部分。在航空发动机“正向”研制过程中，通过系统性、规范化的分析、设计和验证等工作，可以有效预防灾难事故的发生和减少事故损失，降低发动机运营时的风险，提高航空发动机的安全性。本文依据基于系统工程的航空发动机的安全性评估过程建立追溯模型框架，可以与发动机研制相结合，保证安全性需求的设计实现。

关键词：系统工程;航空发动机;安全性评估;追溯模型框架

1  背景和意义

航空发动机系统安全性评估是对航空发动机安全性进行系统性的综合评价。国外发达的航空工业国家把航空发动机的安全性评估工作放在特别重要的位置。随着民航事故的发生频率越来越高，为了确保民用航空的安全，美国联邦航空局（Federal Aviation Administration，FAA）制定颁布了一系列联邦航空法（Federal Aviation Regulation，FAR）和咨询通告（Advisory Circular，AC）[1]，欧洲航空安全局（European Aviation Safety Agency，EASA）发布了合格审定规范（CS）、可接受符合性方法（AMC）和指导材料（GM）。我国也颁布了一系列的航空规章和咨询通告。

在以上适航标准中，FAR-33、CCAR-33的33.75条款及CS-E510条款专门针对发动机及其子系统提出安全性评估的总体要求，明确指出在航空发动机设计阶段申请人必须对发动机及其控制系统进行安全性评估，以确保航空发动机的安全水平[2]。航空发动机的研制必须满足适航规章的规定，才能通过适航审定，进入民用市场。美国汽车工程师协会（Society of Automotive Engineers，SAE）发布了一系列与 FAR 相符合的标准和规范，包括SAE ARP4761、SAE ARP4754A等[1]。

但是，在具体的安全性评估过程中很难直接使用这些规章、标准和规范中的安全性评估内容，因为它们没有针对航空发动机提供具体的安全性评估过程，而且安全性评估模型及相关研究都没有对航空发动机所需的安全性数据及其与研制中其他活动数据之间的关联进行说明[1]，导致目前型号安全性工作中仍存在以下问题：一是航空发动机系统安全性评估与产品研制脱节，系统工程V模型左臂缺失，安全性工作难以发挥其在产品研制过程中应有的作用;二是安全性评估结果缺乏可追溯性，难以准确判断安全性评估工作的有效性和准确性，增大了工作的技术难度[3]。

本文分析了系统工程在航空发动机研制过程中的应用、基于系统工程的安全性评估过程，建立安全性评估过程追溯模型框架，能够有效解决航空发动机研制过程中V模型左臂缺失以及安全性评估结果缺乏可追溯性的问题。

2  系统安全性评估

安全性理论发展至今形成了基于系统工程理论的安全性评估方法，在复杂系统的研制过程中，将“安全性”作为一项非功能性需求在研制之初加以考虑，安全性评估与系统研制密不可分，评估过程是安全性需求识别、分解、确认、设计实现（包括图纸、计算和试验）和验证的过程，实现系统的安全性设计。为完成各项评估工作需要采用具体的评估方法，常用的评估方法包括功能危险性分析（Functional Hazard Assessment，FHA）、初步系统安全性评估（Preliminary System Safety Assessment，PSSA）、系统安全性评估（System Safety Assessment，SSA）、故障模式及影响分析（Failure Mode and Effects Analysis，FMEA）、故障树分析（Fault Tree Analysis，FTA）以及共因分析（Common Cause Analysis，CCA）等[3]。安全性评估工作与系统研制活动相辅相成，相互依存，其关系可以用图1模型表示。模型左侧，自上向下利用安全性分析方法完成安全性需求的识别、分解和确认，这一过程覆盖发动机概念设计阶段和初步设计阶段;模型低端进行零组件的设计制造，对应系统研制的详细设计阶段;模型右侧，自下向上进行系统集成和试验验证，是产品实现过程，每一层级的集成和试验都对左侧相应层级的设计安全性进行验证。安全性评估伴随系统研制进程是一个反复迭代的过程，也在需求的识别-分配-確认-验证过程中实现需求的可追溯，最终确保系统设计满足安全性需求。

3  安全性评估过程追溯模型框架

参考文献中民用飞机适航安全性数据追溯性分析与建模[3]中的追溯模型框架，基于梳理的安全性评估过程，建立安全性评估过程追溯模型框架如图3所示。

各文件间关系及追溯性说明如下：

T1：FHA报告对AFHA（飞机级功能危险性评估）报告的追溯性关系。

FHA报告的顶层需求来自于AFHA衍生的安全性需求及适用的规章。

T2：SFHA报告对FHA报告的追溯性关系。

SFHA报告对FHA报告的追溯性关系主要关注整机级功能清单和系统级功能清单间的追溯性和一致性，整机级失效状态清单和系统级失效状态清单间的追溯性和一致性。整机级的顶层需求来自于飞机级FHA衍生的安全性需求及部分规章。

T3：SFHA/FHA报告对失效材料支撑文件的追溯性关系。

SFHA/FHA报告中各失效状态类别的划分应该有对应的支撑材料支持，该材料可以是地面试验、分析计算、仿真模拟等。在SFHA/FHA报告中， 应对各失效状态的支撑数据进行索引。

T4：FTA报告对SFHA/FHA告的追溯性关系。

结合系统架构，PSSA文件中的FTA以SFHA/FHA中的安全性目标和需求自上而下的分配给子系统/设备，再将设备级需求分配到软件和硬件，设定一个初步的发动机的安全性指标体系。

T5：SFHA/FHA报告和PSSA/SSA文件对共因分析的追溯性关系。

SFHA/FHA报告中，由于各功能之间的交互作用，某功能失效或故障有可能对其他系统造成一定影响，在进行评估过程中需要考虑该功能故障对其他系统的耦合影响。

PSSA/SSA过程的部分初始安全性需求来源于共因分析，需要对灾难类失效状态下“与” 门事件开展分析。根据目前的适航要求，灾难级失效状态是不允许出现“单点故障”的。而共因分析就是通过特定风险分析（Particular Risk Analysis， PRA）、区域安全性分析（Zonal Safety Analysis， ZSA）和共模分析（Common Mode Analysis， CMA）验证失效状态故障树是否存在“单点故障”。各个系统中的PSSA/SSA都会用到共因分析的结果。

T6：PSSA/SSA文件对SFHA/FHA报告的追溯性关系[3]。

PSSA/SSA文件对SFHA/FHA报告的追溯性关系主要体现在：

①PSSA/SSA分析需要以SFHA/FHA报告和PASA（飞机级初步系统安全性评估）的输出结果为初始安全性需求，包括相关失效影响、定性需求、概率预算等，比如PSSA/SSA分析应该以SFHA/FHA报告中确定的安全性需求为顶事件进行故障树定性定量分析，SSA需验证是否满足了SFHA中的安全性需求。

②PSSA/SSA分析的深度依据SFHA/FHA报告中的结果，随着分析系统的相关设计、复杂性和失效状态影响等级变化。比如危害和重要的失效状态以及高度复杂系统的轻微失效状态需要进行定性定量的故障树分析;而非高度复杂系统的轻微失效状态和无影响的失效状态只需要进行定性的分析。

因此在PSSA/SSA文件中需要对SFHA/FHA报告进行索引，并引用SFHA/FHA失效状态及其列表。

T7：FTA报告对设计文件的追溯性关系。

FTA在安全性评估中可以量化顶事件（FHA中确定的失效状态）发生的概率;将顶层的安全性目标向下分配给较低层;通过定性评估和定量评估的结合，查看设计错误的影响;评估设计更改对安全性的影响等。故障树描述系统中各事件的因果关系，表明系统哪些组成部分的故障或外界事件或它们的组合将导致系统发生一种给定故障的逻辑图。以设计文件中的设计需求为基础建立故障树。

T8：PSSA/SSA文件对FTA报告的追溯性关系。

FTA是实施PSSA/SSA的重要分析方法和有力工具。PSSA根据初步的数据、信息和设计架构，证明与失效状态相关的安全性需求得到满足，PSSA过程的输入包括上一级的FTA。SSA自下而上的验证可实现的设计方案是否满足定性和定量的安全性需求，基于PSSA中已有的FTA为基础进行分析。

T9：SSA文件对PSSA文件的追溯性关系。

在SSA文件中需验证PSSA文件中确定的需求和失效状态。包括但不限于系统需求、软件需求和硬件需求。

T10：DAL符合性验证文件对PSSA的追溯性关系。

PSSA文件应结合系统架构，对软件和硬件研制中产生的重要衍生需求进行评估，确定相关软件和硬件的研制保证等级。RTCA DO-178B标准用来验证软件实现是否满足要求的研制保证等级。RTCA DO-254标准用来验证硬件实现是否满足要求的研制保证等级。根据RTCA DO-254和DO-178B中相应等级要求，形成符合性验证文件。

T11：SSA文件对DAL符合性验证文件追溯性关系。

SSA根据PSSA中确定的相关软件和硬件的研制保证等级，对各部件DAL符合性验证文件进行索引。

T12：FMEA文件对FTA文件的追溯性关系。

FMEA是分析系统中每一功能、组件及零部件所有可能产生的故障模式及其对系统造成的所有可能影响。可与FTA一起进行定量分析，自下而上的提供故障模式列表。

T13：FMEA对设备需求及设计文件的追溯性关系。

初步设计结束前应完成系统和设备的初步的FMEA分析，详细设计前应完成系统和设备的详细FMEA分析工作。系统和设备进行FMEA时应利用设备需求和设计资料来确定完成功能的产品及其状态。并确定各产品等级的内部功能和系统接口功能。

T14：SSA文件对FMEA文件的追溯性关系。

SSA综合各种分析的结果，验证整个系统的安全性，通常建立在PSSA中FTA的基础上，并且要用到FMEA中的定量数据。

4  结论

本文依据基于系统工程的航空发动机的安全性评估过程建立追溯模型框架，模型框架详细说明了安全性评估过程各个文件之间的追溯关系，实际的安全性评估过程中存在文件间的多次迭代，本文提供的模型框架可以与发动机研制相结合，保证安全性需求的设计实现。

参考文献：

[1]张雷雷.民用涡扇發动机数控系统安全性分析与评估技术研究[D].南京航空航天大学，2012.

[2]魏钱锌，朱宇，阚鑫禹，曹志涛.基于模型的安全性分析及其在航空发动机软件系统上的应用[J].航空动力，2019，02，18.

[3]马赞，阎芳，赵长啸，等.民用飞机适航安全性数据追溯性分析与建模[J].电讯技术，2017，57（9）：1064-1070.

[4]修中信，等.民用飞机安全性设计与评估技术概论[M].上海交通大学出版社，2015.