共模故障分析在直升機研制中的研究

李春秀 陳圣斌

摘? 要：本文基于SAE ARP 4761共模故障分析的基本原理和要求，結(jié)合以往型號設(shè)計及相應(yīng)飛機共模故障分析的經(jīng)驗教訓，提出了共模故障分析的數(shù)學基礎(chǔ)、共模故障分析程序和定性定量分析方法。

關(guān)鍵詞：共模故障;分析程序;定性定量

中圖分類號：V263? ? ? ? 文獻標志碼：A

0 概述

在直升機型號設(shè)計中，為了確保系統(tǒng)功能的可靠性和安全性，對一些關(guān)鍵和重要的系統(tǒng)都采用了余度或冗余的設(shè)計技術(shù)。而導致余度或冗余系統(tǒng)或裝置無法正常工作的故障/失效稱之為共模故障（Common Mode Failure CMF）。這種共模故障也會導致關(guān)鍵和重要功能喪失造成安全性事件。

因此，從直升機安全性的完整性來考慮，除了分析系統(tǒng)中的獨立故障之外，還應(yīng)分析包括共模故障、特殊風險在內(nèi)的共因故障對直升機安全性的影響，并采取相應(yīng)措施消除這種共模故障狀態(tài)，或?qū)⑵淇刂圃诳山邮艿姆秶?/p>

20世紀90年代美國提出ARP 4761《民用機載系統(tǒng)和設(shè)備安全性評估過程的指南和方法》文件中給出了共模故障分析的相應(yīng)要求，無疑這將使以往設(shè)計中對共模故障不自主或無意識的分析研究轉(zhuǎn)化為基于ARP 4761的程序方法，實現(xiàn)對共模故障有條不紊的系統(tǒng)全面分析研究，從而避免了因缺乏相應(yīng)要求方法，為提高安全性而必須采取的設(shè)計方法和改進措施的盲目性。

同時也須指出，盡管ARP 4761給出了這種共模故障相應(yīng)的分析方法、實施程序及共模分析實例，但從總體上看，它是偏于概念及實施原則等頂層要求和內(nèi)容的闡述，在實際應(yīng)用中難以具體實施和操作。

本文按照ARP 4761的總體思路并結(jié)合型號研制中的經(jīng)驗教訓，將ARP 4761的要求轉(zhuǎn)化為型號研制中易于實施可具體操作的系統(tǒng)應(yīng)用。

1 共模故障的分析目標

正如前所述，現(xiàn)代直升機為確保其飛行的安全性和可靠性，其關(guān)鍵和重要系統(tǒng)都采用了余度或冗余設(shè)計，然而，其共模故障狀態(tài)破壞了系統(tǒng)故障的獨立性，對余度或冗余系統(tǒng)的正面效果產(chǎn)生了一定的負面影響，即降低了系統(tǒng)的安全性和可靠性。另外，這些系統(tǒng)往往又是通過計算機將它們綜合成更為復(fù)雜的系統(tǒng)，它們的狀態(tài)不能完全地測試和試驗驗證。他們的生產(chǎn)制造質(zhì)量也難以做到全面有效的控制。對于由此而產(chǎn)生的共模故障，要從設(shè)計、生產(chǎn)制造、使用維護按程序一步一步的檢查分析，以確認共模故障對系統(tǒng)獨立性的破壞，并確認對直升機/系統(tǒng)安全性產(chǎn)生的風險，從而采取相應(yīng)措施消除風險或?qū)L險控制在可接受范圍。

為此，首先應(yīng)從設(shè)計上對余度系統(tǒng)/裝置采取非相似性設(shè)計技術(shù)，之后采取相應(yīng)的安全裝置和/或告警方式來控制降低風險。當以上措施難以奏效時，可采取使用維修或有效生產(chǎn)制造工藝以控制或降低風險。

共模故障分析起始于方案研制階段，隨著設(shè)計的發(fā)展深入和信息豐富，反復(fù)迭代，不斷完善，將這種包括共模分析在內(nèi)的所有安全性分析，通過研制的全過程控制以期消除或降低共模故障對安全性的影響和風險。

2 共模故障分析的基礎(chǔ)及數(shù)學表達

在傳統(tǒng)的可靠性和安全性分析中，無論是建模預(yù)計、分配還是FMEA和FTA通常總是假設(shè)A、B事件或故障都是獨立的，而忽視共模故障對可靠性和安全性的影響或退化作用。盡管共模故障是一小概率事件，但是從安全性分析和研究的完整性來看，共模故障的研究分析是不應(yīng)或缺的。這種共模故障狀態(tài)破壞了裕度或冗余系統(tǒng)故障的獨立性，給余度或冗余系統(tǒng)增大了故障率，降低了他們的可靠性。使這種系統(tǒng)存在安全隱患。通過共模故障的分析研究，消除或降低共模故障對安全性風險影響。

如果從系統(tǒng)安全性可靠性來看，考慮共模故障在內(nèi)的兩個組成相同的余度或冗余系統(tǒng)故障應(yīng)表述為：

P（S）=P（A）P（B）+P（AB） （1）

對于3個或更多個余度或冗余系統(tǒng)

P（S）=P（A）P（B）P（C）…+P（ABC…） （2）

式中第一項為每一相同余度分系統(tǒng)獨立故障的安全概率，而第二項為共模故障發(fā)生概率。

由（1）式（2）式顯見，共模故障的發(fā)生增大了系統(tǒng)的故障概率，或有可能增大系統(tǒng)安全風險。

3 共模故障的原因及防護措施

正如故障模式及影響分析（FMEA）一樣，共模故障分析不僅要分析共模故障的發(fā)生及對可靠性和安全性的影響，而且必須確定其故障原因及采取相應(yīng)措施，以消除或降低共模故障對安全性的風險。

按照ARP 4761的要求以及EC175/Z15的經(jīng)驗，共模故障的原因可考慮如下問題：

軟件的開發(fā)錯誤

硬件設(shè)計的差錯/缺陷

生產(chǎn)制造的差錯/缺陷

使用維護的問題

與應(yīng)力相關(guān)事件

安裝的錯誤

要求的錯誤

環(huán)境因素

盡管上面列舉了共模故障安全的多種問題，但歸根到底仍是余度或冗余系統(tǒng)它們的功能構(gòu)型特征的相關(guān)性——相同/相似的固有特征造成的。因為這種余度或冗余系統(tǒng)中，這些相同/相似的部件/設(shè)備，不僅它們的功能、物理結(jié)構(gòu)、生產(chǎn)制造、使用維護相同/相似，而且，它們存在的差錯、缺陷造成的故障也必然是相同/相似的。只是這種相同的故障——共模故障在一定的條件下才能激發(fā)出來。

為了消除或減少由上述原因?qū)τ喽然蛉哂嘞到y(tǒng)之間的故障獨立性破壞，應(yīng)從根本或者設(shè)計上采取相應(yīng)的防護措施。通常包括：

（1）非相似或差異性設(shè)計，即余度或冗余系統(tǒng)采用功能相同但構(gòu)型不同的部件/設(shè)備。

（2）健壯設(shè)計或堅固化設(shè)計，不言而喻這種健壯設(shè)計使余度或冗余系統(tǒng)的相同部件/設(shè)備它們具有很高的強度，使它們對性能、使用環(huán)境等因素的變化具有很高抵御共模故障的能力。例如部件/設(shè)備采取降額設(shè)計，無疑是提高了這些部件/設(shè)備遭受共模故障的極限，或減少了共模故障的發(fā)生。

（3）隔離防護設(shè)計：這是為避免包括共模故障、特殊風險、確保區(qū)域安全在內(nèi)的共因分析常用的設(shè)計方法。為消除或減少因相似的環(huán)境應(yīng)力、電應(yīng)力、機械應(yīng)力（振動）所激發(fā)的共模故障，那么余度或冗余系統(tǒng)的相同部件/設(shè)備應(yīng)各自布置在獨立的箱體內(nèi)且設(shè)置在不同的機上位置。

（4）防差錯設(shè)計：為防止空勤人員意外操作而采取的設(shè)計措施。例如為防止空勤人員意外作動“應(yīng)急切斷電源”開關(guān)，此開關(guān)用保險絲鎖定在“接通”位置，只有機上應(yīng)急著火時，空勤人員以一定作動力才能將開關(guān)轉(zhuǎn)移到斷開位置。同樣，機上的燃油切斷開關(guān)，有一保險蓋罩住，只有發(fā)動機著火時才打開保險罩，作動開關(guān)，這樣也就防止了意外造成發(fā)動機斷油停車。

（5）容錯設(shè)計：70年代以前的大型旅客機如波音707、康維爾880、三叉戟等旅客機，當時一方面大功率發(fā)動機尚未問世，另一方面，當時發(fā)動機空中停車率或故障率較高，為防止共模故障造成雙發(fā)停車，機上裝有3臺、4臺渦噴發(fā)動機。盡管多余度容錯系統(tǒng)的共模故障率較低，但是余度的增加將導致系統(tǒng)重量的加大、控制復(fù)雜、基本可靠性降低。因此余度容差系統(tǒng)的選擇必須權(quán)衡考慮，慎重決策。

4 共模故障分析

為使共模故障分析有條不紊的實施，必須制定相應(yīng)的分析流程，以便對共模故障分析過程進行控制，最終實現(xiàn)消除共模故障，或?qū)⑵淇刂圃诳山邮艿姆秶?。在直升機系統(tǒng)級的共模故障分析中，一般按圖1所示的流程實施。

按圖1流程圖，整個分析過程主要由下面3個步驟組成：

第一步：分析準備，圖中的前3個方框中的工作內(nèi)容，包括系統(tǒng)特征、CMA檢查單、FHA/FTA結(jié)果。在這三項工作的基礎(chǔ)上得到與共模故障相關(guān)的功能故障及共模故障分析檢查單。

第二步：共模故障分析，包括定性和定量分析。

第三步：評審，確認/驗證分析結(jié)果是否滿足要求。

4.1 分析準備工作

（1）系統(tǒng)特征：應(yīng)根據(jù)系統(tǒng)原理、系統(tǒng)組成、系統(tǒng)的機上布置及空地勤人員的操作等，給出系統(tǒng)的相關(guān)特征，它包括系統(tǒng)構(gòu)型（余度或冗余）相同的部件/設(shè)備他們在機上的布置、使用維護、生產(chǎn)制造等相同/相似性。這些信息用于編制共模故障分析檢查單（CMA），應(yīng)便于評審，確認CMA檢查單的適用性。

（2）編制系統(tǒng)CMA檢查單，按ARP 4761的CMA檢查單模板，結(jié)合系統(tǒng)特征，給出系統(tǒng)共模故障分析檢查單。

（3）按照ARP 4761的要求，將功能危險分析中所確定的災(zāi)難性和危險性的事件，并以“與門”輸入的功能故障狀態(tài)作為研究對象以便確認/驗證在考慮共模故障情況下對安全性造成的風險。

工作結(jié)果：

（1）給出表1所示的系統(tǒng)共模故障檢查單。

表1 共模故障分析檢查單

共模類型 共模分類型 共模源 共模故障簡要說明

限于篇幅，表1中4個欄目的內(nèi)容可參見ARP 4761中共模故障類型、來源和失效/差錯檢查單示例的內(nèi)容便易于理解了。

（2）給出共模分析的功能故障

按表2形式給出共模故障分析相關(guān)的功能故障。表2中的內(nèi)容均引自功能危險分析結(jié)果。

表2 共模故障分析相關(guān)的功能故障

編號 不希望事件/FC描述 最壞情況下的安全性目標值 邏輯門（與門）

4.2 共模故障的詳細分析

（1）識別和確定共模故障源

應(yīng)按照表3方式對表1（共模故障分析檢查單）所確定的共模故障進行分析，以識別和確定共模故障源。

表3 共模故障識別

不希望事件編號 共模故障源識別

共模類型 共模故障源 產(chǎn)生共模故障的部件/設(shè)備 差異性 相同/相似性（共模源）

·

表3中：

不希望事件編號，即與表2所確定的共模分析相關(guān)的功能故障編號一致。

共模類型和共模故障源，它引自表1共模故障分析檢查單的內(nèi)容。

部件/設(shè)備名稱，即是不希望事件中會產(chǎn)生共模故障設(shè)備/部件名稱。

差異性是指所分析的相同部件/設(shè)備可能存在的原理、電氣、機械和安裝的差異性。這種差異性可能不會造成共模故障。

相似性，與差異性相反，它是指相同部件/設(shè)備在原理、電氣、機械和安裝等存在的同一或相似性，可能造成共模故障。

（2）確認/驗證共模故障源的可接受性

應(yīng)按照表4的方式對表3所識別和確定具有相似/相同的共模故障作進一步分析，以確定設(shè)計、生產(chǎn)制造、使用維修等采取的防護措施，是否能夠消除或降低共模故障對安全性產(chǎn)生的風險。

表4 共模故障的可接受性分析

共模源 共模故障與狀態(tài)說明 采取的防護措施 共模故障嗎 進一步確認/驗證說明

表4中：

共模源：即是表3中“相同/相似性（共模源）”所確定的內(nèi)容。

共模故障與狀態(tài)說明：對故障狀態(tài)的描述

采取的防護措施：對共模故障在設(shè)計上、生產(chǎn)制造、使用維修等而采取的措施。

共模故障嗎：采取的防護措施如能有限地消除或減少共模故障對安全性的風險，就認為“無共模故障”，否則，采取其他方式如FTA分析，進一步確認/驗證其風險滿足最壞情況下安全性要求。即小于10-9/小時或10-7/小時。

4.3 評審

根據(jù)4.2節(jié)的共模故障分析，確認/驗證分析結(jié)果是否滿足要求。

如滿足要求，分析結(jié)果作為輸入進入系統(tǒng)的安全性分析報告中。

如不能滿足要求，找出影響安全性要求的主要影響因素，采取相應(yīng)措施，重新分析。

參考文獻

[1] SAE ARP 4761 民用飛機機載系統(tǒng)和設(shè)備安全性評估過程的指南方法[S] .

[2]李閑平.概率論基礎(chǔ)[M].北京：高等教育出版社，2001.

[3] K.GRIB System Safety Assessment EC175/Z15 Fuel System[R]. 2010.1 P162.