基于FTA的座艙壓力控制系統(tǒng)安全性分析

官 頌，葉青青，楊建忠，楊士斌

（中國民航大學(xué)a.工程技術(shù)訓(xùn)練中心；b.航空自動化學(xué)院；c.天津市民用航空器適航與維修重點實驗室，天津 300300）

基于FTA的座艙壓力控制系統(tǒng)安全性分析

官 頌a，葉青青b，楊建忠c，楊士斌c

（中國民航大學(xué)a.工程技術(shù)訓(xùn)練中心；b.航空自動化學(xué)院；c.天津市民用航空器適航與維修重點實驗室，天津 300300）

通過分析與座艙環(huán)境相關(guān)的事故和事故征候，選取造成人員傷亡事故最多的失效狀態(tài)作為研究對象。首先進行功能危險性評估，得出失效狀態(tài)的失效類別和安全性目標概率，然后以此失效狀態(tài)作為頂事件建立故障樹，進行初步安全性分析，根據(jù)重要度和敏感度分析結(jié)果，得到該失效狀態(tài)發(fā)生的關(guān)鍵影響因素。研究結(jié)果不僅可以為環(huán)控系統(tǒng)設(shè)計提供依據(jù)，提高系統(tǒng)可靠性，也有助于飛機維修人員快速定位故障源，提高維修效率。

座艙環(huán)境；壓力控制系統(tǒng)；功能危險性評估；初步安全性評估；故障樹；隱蔽故障

近年來，隨著人們對飛機座艙舒適度要求的提高，座艙環(huán)境問題也越來越受關(guān)注。安全、健康、舒適的座艙環(huán)境可保障乘員免受高空惡劣環(huán)境的侵擾，同時提高機載工作人員的工作效能。

分析404起與座艙環(huán)控系統(tǒng)相關(guān)的事故和事故征候，尋找影響座艙環(huán)境問題的關(guān)鍵因素，結(jié)果如圖1所示。其中“無”指發(fā)生系統(tǒng)故障但沒有引起環(huán)境問題，如只有空調(diào)燈亮或假警等，從圖中可以看出座艙壓力異常是座艙環(huán)境事故和事故征候中發(fā)生頻率最高的現(xiàn)象。目前對于飛機座艙環(huán)境的研究主要傾向于采用CFD、實驗?zāi)M、系統(tǒng)仿真等方法分析座艙空氣品質(zhì)、關(guān)注座艙空氣質(zhì)量以及熱舒適性，而對壓力造成的座艙環(huán)境問題研究較少[1-4]。僅有的座艙壓力研究主要是針對座艙壓力控制系統(tǒng)建立仿真模型、設(shè)計優(yōu)化PID控制器[5-8]。同時，在飛機系統(tǒng)安全性研究方面國內(nèi)外都已形成了較為成熟的體系和方法。功能危險性評估、初步系統(tǒng)安全性評估和系統(tǒng)安全性評估這一流程已在民機系統(tǒng)安全性分析領(lǐng)域得到廣泛應(yīng)用，故障樹分析也已成為工程上最常用的安全性分析方法之一[9-11]。

本文從系統(tǒng)安全性的角度，針對座艙壓力控制系統(tǒng)，選取事故/事故征候中典型的失效狀態(tài)，按照安全性評估流程、采用故障樹分析方法進行安全性分析，確定引發(fā)此失效狀態(tài)的關(guān)鍵因素，幫助飛機設(shè)計人員采取相關(guān)措施提高系統(tǒng)可靠性，減少座艙環(huán)境問題的發(fā)生，同時也可幫助飛機維修人員快速定位故障源，減少維修盲目性。

圖1 座艙環(huán)控系統(tǒng)相關(guān)的事故/事故征候分析結(jié)果Fig.1 Analysis result of accidents/incidents related to cabin environmental control system

1 飛機座艙壓力控制系統(tǒng)

圖2為某機型座艙壓力控制系統(tǒng)（CPCS）的基本原理結(jié)構(gòu)圖，其主要工作原理是核心處理輸入/輸出組件（CPIOM B）運行壓力控制系統(tǒng)應(yīng)用程序，并通過飛機數(shù)據(jù)通信網(wǎng)絡(luò)（ADCN）與其他飛機系統(tǒng)通信，同時將CPCS所需的壓力控制信息傳遞給外流活門控制（及傳感器）組件（OC（S）M），OC（S）M再根據(jù)飛機壓力需求計算外流活門（OFV）位置需求，進而通過控制OFV的開度來控制客艙壓力大小。該系統(tǒng)的控制模式主要有3種，即自動控制模式（ACS）、備用控制模式（EPS）以及人工覆蓋模式。

圖2 某機型座艙壓力控制系統(tǒng)（CPCS）原理結(jié)構(gòu)圖Fig.2 Principle and structure of a type of cabin pressure control system（CPCS）

2 壓力控制系統(tǒng)安全性分析

系統(tǒng)安全性評估過程主要包括功能危險性評估（FHA）、初步安全性評估（PSSA）、安全性評估（SSA）[12]，本文按此流程采用工程上常用的故障樹（FTA）分析方法進行安全性分析，但因SSA是在最終設(shè)計完成后對系統(tǒng)進行驗證，故本文不涉及。

2.1 功能危害性評估（FHA）

FHA定義系統(tǒng)功能并分析功能失效，根據(jù)失效狀態(tài)對飛行安全、機組、乘客等的影響劃分失效類別，確定安全性目標。

座艙壓力控制系統(tǒng)從飛機級功能分配到系統(tǒng)級功能有：控制座艙內(nèi)部壓力、控制座艙壓差、手動控制客艙高度及壓力變化率、監(jiān)控并報告系統(tǒng)故障。按照以上功能對與座艙壓力控制系統(tǒng)相關(guān)的事故和事故征候進行分類，可知座艙壓力控制系統(tǒng)故障幾乎都與控制座艙內(nèi)部壓力功能相關(guān)。其具體的功能失效狀態(tài)主要有：喪失座艙增壓功能，致使座艙高度超過適航條款25.841中的規(guī)定值；錯誤執(zhí)行座艙增壓功能，致使壓力變化率太高，控制不穩(wěn)定；意外執(zhí)行座艙增壓功能，即飛機正常降落后沒有完全釋壓，致使地面余壓過大。在有人員傷亡的事故中，由失效狀態(tài)“飛機在地面余壓過大且艙門猛烈打開”引起的事故所占比例最大，約占36.5%，故本文選取此失效狀態(tài)進行安全性分析。本文主要針對座艙壓力控制系統(tǒng)做安全性評估分析，故不考慮由結(jié)構(gòu)損害帶來的座艙壓力問題。

地面余壓過大會使艙門在打開時具有很高的能量，可能將操作人員或部分靠近艙門的乘客甩出飛機，引起嚴重傷亡，大幅度降低安全裕度，同時機身也可能因壓差過大受到不同程度的損壞。故根據(jù)AC25.1309將此失效狀態(tài)的失效類別歸為Ⅱ類“危險的”，概率安全性定量目標為1×10-7fh（飛行小時）。

2.2 初步安全性評估（PSSA）

PSSA主要根據(jù)FHA失效狀態(tài)類別對預(yù)期構(gòu)架及實施情況進行系統(tǒng)性評估，分配對特定系統(tǒng)或部件的安全性需求。

2.2.1 故障樹建立

CPCS在自動和備份模式下，出現(xiàn)地面余壓過大可能是由于飛機沒有檢測到“地面”狀態(tài)，認為飛機仍處于飛行中，實施飛行保護，禁止自動打開OFV進行釋壓，同時也無飛機地面余壓過大的警告。另外，ACS的著陸機場標高來自飛行管理系統(tǒng)，并通過ADCN傳遞到CPIOM B，CPIOM B中的CPCS應(yīng)用程序再計算出著陸壓力控制計劃，進行著陸階段的座艙壓力控制。如果喪失著陸機場標高且未探測到著陸機場標高失效，或以上任意數(shù)據(jù)傳輸、計算環(huán)節(jié)出現(xiàn)功能喪失，壓力控制系統(tǒng)就會喪失著陸壓力控制計劃，進而造成地面余壓過大。

CPCS在人工覆蓋模式下，地面壓差是由壓差傳感器模塊（DPSM）檢測，然后傳遞給OC（S）M中的安全覆蓋區(qū)域（SOP），SOP再計算出OFV位置需求進行OFV控制。如果DPSM數(shù)據(jù)喪失或DPSM與OCSM間的連接喪失，就會引發(fā)“客艙壓力人工控制故障”警告，此時不應(yīng)該再使用人工覆蓋模式，而如果錯誤地激活該模式，就可能檢測不到地面壓差，引起地面余壓過大。如果人工覆蓋模式正常且由于自動模式失效等原因需要被使用時，則錯誤的DPSM數(shù)據(jù)和SOP的錯誤行為也會引起地面余壓過大。

另外，無論CPCS在何種模式下工作，只要同時有3個以上OFV故障，即不能完全打開，或面積較大的地面門喪失控制不能打開，或喪失供電電源，也會引發(fā)地面余壓過大。

鑒于以上分析得到以“飛機在地面余壓過大且艙門猛烈打開”為頂事件的故障樹，如圖3、圖4、圖5所示，其中圖4、圖5是圖3中的中間事件M3、M4通過轉(zhuǎn)移門轉(zhuǎn)移出來的子樹。M2為表決門，即如果輸入事件中有m個發(fā)生，則輸出事件發(fā)生，本故障樹中m= 3。表決門的使用可以降低故障樹的繁瑣程度，使故障樹更加清晰易懂。另外，圖中的r是底事件的經(jīng)驗故障率，X2、X5、X7、X10、X14、X16、X17、X19和X24都是潛在隱蔽故障，此種故障在正常情況下不能被直接發(fā)現(xiàn)，只能在飛機定期維修中被發(fā)現(xiàn)，其概率計算也不同于顯性故障，在求出故障樹最小割集的基礎(chǔ)上，需要對割集中的顯性事件進行簡化處理，最后再根據(jù)隱蔽故障公式計算出割集概率。

2.2.2 故障樹分析

圖3 “飛機在地面余壓過大且艙門猛烈打開”故障樹（第1頁）Fig.3 Fault tree of“overlarge residual pressure on ground and violent door opening”（Page 1）

圖4 “飛機在地面余壓過大且艙門猛烈打開”故障樹（第2頁）Fig.4 Fault tree of“overlarge residual pressure on ground and violent door opening”（Page 2）

圖5 “飛機在地面余壓過大且艙門猛烈打開”故障樹（第3頁）Fig.5 Fault tree of“overlarge residual pressure on ground and violent door opening”（Page 3）

首先，根據(jù)經(jīng)驗故障率數(shù)據(jù)預(yù)計頂事件發(fā)生概率，為重要度和敏感度分析提供數(shù)據(jù)基礎(chǔ)。在計算時，對于底事件的風(fēng)險時間，顯性故障取該機型的平均飛行時間16 fh，隱蔽故障X14、X17取通電自檢時間1 000 fh，X24根據(jù)機身壓力載荷安全性需求取55 fh，X2、X5、X7、X10、X16、X19取最保守值，即飛機設(shè)計壽命140 000 fh。針對最小割集中隱蔽故障的數(shù)目可選用以下隱蔽故障計算公式進行概率的計算：

其中：公式（1）、（2）、（3）分別為一重、二重、三重隱蔽故障計算公式；λ為故障率；tf為顯性故障風(fēng)險時間；T、T1、T2和T3為隱蔽故障的風(fēng)險時間，使用公式（3）時需按T3=nT2，T2=mT1的關(guān)系確定T1、T2、T3。因本文針對壓力控制系統(tǒng)做安全性評估分析，人為錯誤行為（X31）不在評估范圍內(nèi)，故其發(fā)生概率采用保守值1，認為只要系統(tǒng)發(fā)生故障，人員就一定會采取錯誤行為?；谝陨媳Ｊ丶僭O(shè)計算，計算可得頂事件的預(yù)計失效概率為2.66×10-7/h。

然后，對故障樹最小割集進行重要度分析，確定影響頂事件發(fā)生的最大失效組合。頂事件由M1分別與X31和X32相與得到，X31的概率為1，與M1概率相乘后對頂事件失效概率無影響，X32的概率數(shù)量級為10-7，與M1概率相乘后對頂事件失效概率影響忽略不計。頂事件的發(fā)生概率基本由M1決定，故進行簡化，只對“地面余壓過大”這一子樹的最小割集及其重要度進行分析。分析結(jié)果表明，對頂事件概率影響最大的最小割集是 {X1，X5，X7}、{X2，X4，X7}、{X2，X5，X6}、{X1，X5，X10}、{X2，X4，X10}、{X2，X5，X9}、{X1，X7，X10}、{X2，X6，X10}、{X2，X7，X9}、{X4，X7，X10}、{X5，X6，X10}、{X5，X7，X9}，即“4個OFV中任意2個的地面門控制隱蔽性喪失同時其余兩個活門中有一個不能完全打開”這一失效組合的發(fā)生概率對頂事件發(fā)生概率影響最大，其綜合重要度可達95.52%。

最后，對故障樹進行底事件數(shù)據(jù)變化敏感度分析，確定影響頂事件概率的關(guān)鍵因素。圖6為部分底事件的敏感度曲線，從圖6（a）、（b）可看出“OFV地面門控制隱蔽故障”的維修時間間隔和故障率的敏感度曲線形狀幾乎相同，頂事件發(fā)生概率隨其成二次增長；從圖6（c）可以看出“OFV不能完全打開”故障率與頂事件發(fā)生概率成線性，敏感度影響較大；從圖6（d）可以看出底事件X16的維修時間間隔對頂事件發(fā)生概率的敏感度影響很小，而其余的底事件敏感度曲線與圖6（d）幾乎相同，故沒有一一列出。所以，頂事件發(fā)生的關(guān)鍵影響因素是“OFV地面門控制隱蔽故障”的維修時間和故障率以及“OFV不能完全打開”的故障率，此結(jié)論與重要度分析結(jié)果吻合。

圖6 部分底事件敏感度曲線Fig.6 Sensitivity curves of some basic events

2.2.3 分析結(jié)果在PSSA需求分配中的應(yīng)用

在PSSA中要對系統(tǒng)或部件分配安全性需求，即以安全性目標值作為頂事件概率，對故障樹自上而下進行概率分配，通過適當(dāng)減小某些可以改變的部件概率、部件維修時間間隔、或?qū)ν獠肯到y(tǒng)提出可以接受的概率需求，達到安全性目標。但因故障樹往往都比較龐大，頂事件概率影響因素也較多，而且有時單獨改變某個影響因素未必可以使頂事件概率達到安全性目標，所以分配過程有很大的盲目性。而應(yīng)用本文分析方法得出的分析結(jié)果就可以避免此問題，從圖6可知，對于影響頂事件概率的3個關(guān)鍵因素，單獨改變?nèi)魏我粋€都可以使頂事件概率達到安全性目標。例如，只要單獨將OFV地面門控制維修時間間隔定為小于84 111 fh，就可以使頂事件概率小于1×10-7/fh。故飛機系統(tǒng)設(shè)計人員可以在綜合考慮飛機設(shè)計運營成本、其他失效狀態(tài)安全性需求以及零部件供應(yīng)商實際情況的基礎(chǔ)上，通過對這3個因素單獨提出安全性需求或組合提出安全性需求，達到安全目標。

3 結(jié)語

根據(jù)安全性評估流程，采用基于FTA安全性分析方法，對壓力控制系統(tǒng)中“飛機在地面余壓過大且艙門猛烈打開”失效狀態(tài)進行安全性分析和重要度、敏感度分析。結(jié)果表明，引發(fā)此失效狀態(tài)的最大概率失效組合是“4個OFV中任意2個的地面門控制隱蔽性喪失同時其余兩個活門中有一個不能完全打開”，關(guān)鍵因素是“OFV地面門控制隱蔽故障”的維修時間間隔及故障率和“OFV不能完全打開”的故障率。

本文的研究對飛機環(huán)控系統(tǒng)的設(shè)計和維修都具有一定的指導(dǎo)意義。飛機設(shè)計人員可根據(jù)以上分析結(jié)果，有針對性地采取設(shè)計措施，提高壓力控制系統(tǒng)的安全可靠性，減少座艙環(huán)境問題的出現(xiàn)頻率，同時對頂事件影響較小的部件可最大限度地延長其工作時間，或降低其性能指標要求，減少不必要的資源浪費。飛機維修人員可根據(jù)以上分析結(jié)果優(yōu)先檢查重要度、敏感度較高的部件，快速定位故障源，提高維修效率。

[1]寧獻文，李運澤，王 浚.旅客機座艙綜合環(huán)境質(zhì)量評價模型[J].北京航空航天大學(xué)學(xué)報，2006，32（2）：158-162.

[2]劉靜悅，張大林，紀兵兵.飛機座艙內(nèi)空氣品質(zhì)計算[J].機械制造與自動化，2011，40（5）：6-9.

[3]吳 丹.飛行器座艙熱舒適性研究[D].南京：南京航空航天大學(xué)，2011.

[4]孫賀江，吳 塵，安 璐.大型客機座艙混合送風(fēng)形式的數(shù)值模擬[J].應(yīng)用力學(xué)學(xué)報，2013，30（3）：439-444.

[5]鄭新華，謝利理，劉麗卓，等.飛機座艙壓調(diào)器比例調(diào)壓組件的靜態(tài)特性[J].機械設(shè)計與研究，2013，29（2）：94-96.

[6]朱紅濤.數(shù)字式座艙壓力調(diào)節(jié)系統(tǒng)半物理仿真試驗設(shè)計[C]//第九屆長三角科技論壇—航空航天科技創(chuàng)新與長三角經(jīng)濟轉(zhuǎn)型發(fā)展分論壇論文集，南京，2012：86-89.

[7]江卓遠.大型客機座艙壓力控制系統(tǒng)安全閥仿真研究[J].計算機仿真，2009，26（3）：51-54.

[8]程 康.座艙壓力數(shù)字控制系統(tǒng)的非線性仿真研究[D].南京：南京航空航天大學(xué)，2009.

[9]張國防，胡廣平.民機系統(tǒng)安全性進展與應(yīng)用策略[C]//第九屆長三角科技論壇—航空航天科技創(chuàng)新與長三角經(jīng)濟轉(zhuǎn)型發(fā)展分論壇論文集，南京，2012：164-468.

[10]鄭友石，孫有朝，王豐產(chǎn)，等.安全性分析方法在民用飛機適航符合性驗證中的應(yīng)用淺析[C]//2010年航空器適航與空中交通管理學(xué)術(shù)年會論文集，北京，2010.

[11]賈寶惠，高 蕾，杜宜東.基于FTA的飛機空調(diào)系統(tǒng)安全性分析[J].航空維修與工程，2010（3）：74-76.

[12]Society of Automotive Engineers Inc.ARP 4761，Guideline and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].USA，1996.

（責(zé)任編輯：黨亞茹）

FTA based safety analysis of cabin pressure control system

GUAN Songa，YE Qing-qingb，YANG Jian-zhongc，YANG Shi-binc
（a.Engineering Techniques Training Center，b.College of Aeronautical Automation，c.Civil Aircraft Airworthiness and Maintenance Key Lab of Tianjin，CAUC，Tianjin 300300，China）

Based on the analysis of accidents and incidents related to cabin environment，a typical failure condition resulting in the most hazardous accidents is chosen.Firstly，failure classification and safety objective of the failure condition are concluded by Functional Hazard Assessment.Preliminary system safety analysis is conducted consequently.Fault tree basing on such top events is established.Furthermore，key factors impacting the occurrence of failure condition are determined based on importance and sensitivity analysis.The research conclusion wonld not only provide basis for environmental control system design and improvement of system reliability，but also help the aircraft maintenance personnel locate fault sources quickly and increase maintenance efficiency.

cabin environment；pressure control system；functional hazard assessment；preliminary system safety assessment；fault tree；latent failure

V223

：A

：1674-5590（2014）06-0007-06

2013-09-24；

：2013-12-18

：國家重點基礎(chǔ)研究發(fā)展計劃（973計劃）（2012CB720104）

官頌（1964—），女，遼寧沈陽人，研究員，碩士，研究方向為航空電子系統(tǒng)安全性評估.