郭放　杨子江　刘嘉伟　杨慧赟　闫文辉　吴晶峰

摘要：本文依据失效状态为“需要时丧失灭火功能”的安全性评估实例为基础，对需要时丧失灭火功能的故障树中的11个底事件进行敏感性分析，分析结果显示事件1燃烧室破裂，事件2涡轮机匣破裂，事件3热区探测器失效，事件4冷区探测器失效为影响顶事件发生概率的敏感性事件，同时本文分析安全性需求变更时，如何应用安全性评估的追溯性，应对安全性需求的变更。

关键词：系统工程;航空发动机;安全性评估

1  背景和意义

航空发动机研制是一个反复迭代的过程，安全性评估是研制过程不可少的部分。在航空发动机“正向”研制过程中，通过系统性、规范化的分析、设计和验证等工作，可以有效预防灾难事故的发生和减少事故损失，降低发动机运营时的风险，提高航空发动机的安全性。

安全性需求是安全性评估过程的重要输入，安全性需求的完整性、正确性、适宜性能够直接影响航空发动机研发能否成功，良好的需求应具备的特征：必要性、独立于实施的、无歧义的、完整性、单一的、可实现的、可验证的、符合的、可追溯的[1，2]。

每个层级的安全性需求通过安全性分析或说明的方式在下个层级中确认，进而将安全性需求需求逐层细化至最基本的软件和硬件需求，以指导软硬件设计。通过对软硬件的测试实现对安全性需求的验证进而逐层验证上一层级的安全性需求，这种具有追溯性的方法有利于安全性需求变更管理和发现安全性需求变更对其他需求或研制活动的影响。在安全性评估的过程中安全性需求的变更时无法避免的，而且安全性需求变更是安全性评估和航空发动机研制的重要组成部分，安全性需求变更的原因主要包括[3，4]：①在安全性确认、分配、验证子流程中，发现已审查批准的安全性需求（存在已生效的安全性需求）需要变更。②研制中出现了对系统的新需求，如新适航法规的出台等。③上一层、下一层的安全性需求变更，导致本层安全性需求发生了改变。

本文依据失效状态为“需要时丧失灭火功能”的安全性评估实例为基础，对需要时丧失灭火功能的故障树中的11个底事件进行敏感性分析，分析结果显示事件1燃烧室破裂，事件2涡轮机匣破裂，事件3热区探测器失效，事件4冷区探测器失效为影响顶事件发生概率的敏感性事件，同时本文分析安全性需求变更时，如何应用安全性评估的追溯性，应对安全性需求的变更。

2  安全性评估敏感性分析

本文以文献中[5]失效状态为“需要时丧失灭火功能”的安全性评估实例为基础，对需要时丧失灭火功能的故障树中的11个底事件进行敏感性分析。实例中“需要时丧失灭火功能”顶事件发生的概率的安全性需求为小于1E-7/发动机飞行小时，通过计算得出顶事件发生的概率为1.686E-10/发动机飞行小时，小于1E-7/发动机飞行小时，满足安全性需求。一旦安全性需求变更为1E-11/发动机飞行小时，航空发动机的顶事件概率不能满足安全性需求，对研制提出了更为严苛的要求，需要与研制过程进行迭代完成新一轮的安全性评估，以保证满足新提出的安全性需求。

安全性评估过程共包括11个基本事件，事件1为燃烧室破裂，事件2为涡轮机匣破裂，事件3为热区探测器失效，事件4为冷区探测器失效，事件5为灭火瓶失效，事件6为燃油管路失效，事件7为燃油进口接头失效，事件8为电子元器件短路，事件9为增压泵失效，事件10为单向活门失效，事件11为回油泵失效。计算11个基本事件对安全性顶事件发生概率的敏感性，11个基本事件的故障率分别降低1、2、3个数量级。计算结果图2。由敏感性分析可得到顶事件发生概率对事件1、2、3和4的敏感性較高，对事件5-11的敏感性较低。研制过程中对事件1-4的故障率进行改善更易降低安全性顶事件发生概率。（图1、图2）

将事件1-11分别降低6个数量级进行计算，计算结果见表1，计算结果可验证敏感性分析结果，事件5-11的故障率降低6个数量级后，顶事件发生的概率变化不大，与敏感性分析结果相同。事件1-4的故障率分别降低6个数量级后，顶事件发生的概率降低较大，但只改变单个事件的故障率依然不能满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求。需事件1-4中多个事件同时降低故障率，才能满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求。

选取多个故障率变更的组合进行计算，计算得到9个组合可以满足变更后的顶事件安全性需求。其中组合1：事件1（燃烧室破裂）和事件2（涡轮机匣破裂）的故障率降为5.00E-6时，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求;组合2：事件1（燃烧室破裂）的故障率降为1.00E-5，事件2（涡轮机匣破裂）的故障率降为1.00E-6，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求;组合3：事件3（热区探测器失效）和4（冷区探测器失效）的故障率降为4.15E-9，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求;组合4：事件1（燃烧室破裂）和2（涡轮机匣破裂）的故障率降为1.00E-5，事件3（热区探测器失效）的故障率降为4.15E-8，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求;组合5：事件1（燃烧室破裂）和2（涡轮机匣破裂）的故障率降为1.00E-5，事件4（冷区探测器失效）的故障率降为4.15E-8，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求;组合6：事件1（燃烧室破裂）的故障率降为2.86E-6，事件3（热区探测器失效）和4（冷区探测器失效）的故障率降为4.15E-8，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求;组合7：事件2（涡轮机匣破裂）的故障率降为2.86E-6，事件3（热区探测器失效）和4（冷区探测器失效）的故障率降为4.15E-8，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求;组合8：事件1（燃烧室破裂）和2（涡轮机匣破裂）的故障率降为5.00E-5，事件3（热区探测器失效）和4（冷区探测器失效）的故障率降为4.15E-8，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求;组合9：事件1（燃烧室破裂）和2（涡轮机匣破裂）的故障率降为1.00E-5，事件3（热区探测器失效）和4（冷区探测器失效）的故障率降为2.08E-7，可以满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求，计算结果数据见表2。

3  结论

本文依据失效状态为“需要时丧失灭火功能”的安全性评估实例为基础，对故障树中的11个底事件进行敏感性分析，分析结果显示事件1燃烧室破裂，事件2涡轮机匣破裂，事件3热区探测器失效，事件4冷区探测器失效为影响顶事件发生概率的敏感性事件，但只改变单个事件的故障率依然不能满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求。需事件1-4中多个事件同时降低故障率，才能满足顶事件发生的概率为1E-11/发动机飞行小时的安全性需求。计算得到9个组合可以满足变更后的顶事件安全性需求。

参考文献：

[1]罗婷婷.基于系统工程的商用航空发动机研制需求管理方法研究[J].现代管理，2015：107-109.

[2]David D. Walden， Garry J. et al. Systems engineering handbook： A guide for system life cycle processes and activities， 4th edition[M]. 2015. John Wiley & Sons.

[3]KarlE Wiegers著，刘伟琴，刘洪涛译.软件需求[M].二版.清华大学出版社，2004，11.

[4]Richard Beasley， Andrew Clifton. The Impact of Environmental Issues on Rolls-Royce Design Systems and Solutions.

[5]乔磊.航空发动机适航规定安全性分析条款符合性验证理论与实践[D].南京：南京航空航天大学，2016.

————————————

作者简介：郭放（1986-），女，河北沧州人，博士，工程师，研究方向为适航安全性。