大型客機系統(tǒng)安全性設計需求管理

蔡蔚榮

摘 要

依據(jù)運輸類飛機適航規(guī)章25.1309條款，提出了大型客機系統(tǒng)安全性需求管理體系。重點論述系統(tǒng)安全性頂層設計需求自上而下細化和分配的過程和方法，從而在大型客機系統(tǒng)設計與研制過程中充分落實系統(tǒng)安全性設計需求。通過嚴謹?shù)男枨蠊芾眢w系確保系統(tǒng)安全性設計需求的完整性和可追溯性，從根本上提升大型客機的安全性設計水平。

關(guān)鍵詞

大型客機;系統(tǒng)安全性;需求管理

中圖分類號： V271.1 ? ? ? ? ? ? ? ? ? ? 文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457 . 2020 . 17 . 58

0 引言

大型客機系統(tǒng)安全性設計過程即是安全性需求產(chǎn)生、傳遞和實現(xiàn)的過程。安全性需求產(chǎn)生于飛機/系統(tǒng)的安全性分析與評估過程，這些需求應當通過可控的過程傳遞到設計中，以確保安全性需求能夠得到滿足。對安全性需求的產(chǎn)生、傳遞和實現(xiàn)過程進行嚴格的監(jiān)控和管理是十分重要的。

一方面，安全性是各系統(tǒng)在研制過程中必須關(guān)注的問題。如果在設計早期，就能將安全性評估過程中捕獲的需求傳遞到系統(tǒng)的設計過程，系統(tǒng)就能在設計過程中考慮到安全性問題，并能夠采取有效的設計措施保證相應的安全性水平。系統(tǒng)的設計是反復迭代的過程，但明確的安全性需求，將有助于減少設計反復的工作量，提高系統(tǒng)設計效率。另一方面，適航當局非常關(guān)注安全性需求在設計中實現(xiàn)的過程。飛機的安全涉及全機各個系統(tǒng)，飛機各系統(tǒng)之間的輸入輸出關(guān)系是十分繁雜的。只有建立嚴密的安全性要求管理體系，才能向局方表明安全性需求是如何逐級傳遞到系統(tǒng)設計以及如何實現(xiàn)的。

1 系統(tǒng)安全性需求體系

建立清晰明確的系統(tǒng)安全性需求體系是進行需求管理的前提，根據(jù)大型客機研制過程，系統(tǒng)安全性設計需求一般分為四個層級：頂層安全性設計需求，飛機級安全性設計需求，系統(tǒng)級安全性設計需求和設備及安全性設計需求，如圖1所示。

在飛機概念設計階段，先根據(jù)當時的適航要求、之前飛機研制的經(jīng)驗教訓以及競爭飛機的對比分析，確定飛機的頂層的系統(tǒng)安全性設計需求，并通過充分論證確保頂層安全性需求的完整性、準確性和合理性。隨著飛機研制進度的推進，頂層安全性需求自上而下不斷向下細化和分配，逐次形成飛機級安全性需求、系統(tǒng)安全性需求和設備級安全性需求。當飛機詳細設計完成，底層安全性需求得以實現(xiàn)，應自下而上逐級驗證下層安全性需求的實現(xiàn)是否滿足了上層安全性需求，從而最終確保頂層安全性需求得到滿足。

2 頂層安全性設計需求

飛機頂層的安全性設計要求來源于適航規(guī)章、過去機型或者類似機型的經(jīng)驗和教訓以及飛機主制造商的指南和設計規(guī)章。適航對飛機安全性的要求是最低水平，飛機主制造商確定的飛機安全性目標必須不低于適航要求的最低水平。然而飛機安全性與經(jīng)濟性通常是矛盾的，提高飛機安全性意味著也提高了飛機的設計成本，因此民用客機通常以滿足適航最低要求為飛機安全性設計的頂層需求。

民機系統(tǒng)安全性需求主要來源于CCAR25.1309條款[1]，頂層安全性需求可歸納為三個方面，如表1所示。

3 安全性設計需求的管理過程

安全性設計需求的管理過程即為頂層安全性設計需求逐層細化分配和確認驗證過程，這一過程與系統(tǒng)安全性分析與評估過程緊密聯(lián)系，以下從功能失效概率需求、共因需求、機組通告和操作需求三個方面分別論述系統(tǒng)安全性需求管理過程。

3.1 功能失效概率需求

功能失效概率需求針對飛機所有可能發(fā)生的功能失效狀態(tài)，主要通過功能危險評估（FHA）過程逐級細化。在飛機級，飛機級功能危險評估識別飛機功能的失效狀態(tài)，并確定這些失效狀態(tài)的影響等級，根據(jù)適航要求不同等級的失效狀態(tài)對應相應的定量概率需求?；陲w機的功能架構(gòu)，飛機級失效狀態(tài)的定量概率需求分配至系統(tǒng)級失效狀態(tài)概率需求。系統(tǒng)級也需開展功能危險性評估，以同樣的方法確定系統(tǒng)級功能失效概率需求，系統(tǒng)級功能失效概率需求必須完全涵蓋飛機級分配至系統(tǒng)級的失效概率需求。系統(tǒng)設計架構(gòu)確定后，可通過故障樹的方法，將失效概率需求逐級分配至具體的設備，從而最終確定底層系統(tǒng)設備所應滿足的可靠性要求。

在進行功能危險性評估過程，除了捕獲了失效狀態(tài)概率需求，也會捕獲功能研制保障的需求。在飛機級，功能研制保障等級與功能失效狀態(tài)最嚴酷的影響等級是一一對應的。飛機級功能研制保障等級（FDAL）根據(jù)飛機功能架構(gòu)分配至系統(tǒng)功能，系統(tǒng)通過建立系統(tǒng)功能的差錯樹將系統(tǒng)FDAL分配至設備軟硬件的項目研制保障等級（IDAL）。研制保障等級不是針對系統(tǒng)設備本身的需求，而是針對飛機、系統(tǒng)和設備研制過程的需求，不同的研制保障等級需滿足相應的過程保證。

3.2 共因需求

共因需求是為了避免單點故障造成災難性失效，在細化過程可分為特定風險需求、共模需求和區(qū)域安全性需求[2]。

在飛機級，應先確定飛機研制項目中所需開展的特定風險事件（例如鳥撞、轉(zhuǎn)子爆破等），捕獲每項特定風險事件的設計需求。特定風險事件的設計需求一部分來源相應適航條款以及之前飛機的經(jīng)驗，另一部分來源于FHA過程。對于FHA中所識別的災難性失效狀態(tài)，飛機級應捕獲相應的系統(tǒng)布置需求以避免特定風險事件導致這些災難性的失效的發(fā)生。在系統(tǒng)級，應根據(jù)飛機級特定風險需求，進一步確定系統(tǒng)設備的布置需求，例如重要設備的布置位置，管路和線路的布置等。

共模需求同樣針對FHA中的災難性失效狀態(tài)，在飛機級根據(jù)FHA分析結(jié)果識別系統(tǒng)與系統(tǒng)之間的共模需求。例如同時喪失方向舵控制和前輪轉(zhuǎn)彎會導致著陸時喪失方向控制，這個失效是災難性的，則方向舵和前輪轉(zhuǎn)彎控制不能使用同樣的液壓源，以避免同一液壓喪失造成方向舵和前輪轉(zhuǎn)彎同時喪失。在系統(tǒng)級，根據(jù)系統(tǒng)的詳細架構(gòu)識別設備層級的共模需求，例如如果系統(tǒng)需要兩套冗余探測器，應考慮使用不同類型的探測器以避免共模失效。

區(qū)域安全性需求包括設備設計安裝準則和外部失效的需求。設備設計安裝準則基于相應的標準或者經(jīng)驗直接提出了設備之間的安裝方位、安裝距離、防差錯設計等需求。外部失效需求應先識別具有外部失效模式的危險源，根據(jù)危險源的影響范圍和系統(tǒng)冗余的架構(gòu)，捕獲隔離或者防護的需求。區(qū)域安全性需求往往直接具體到系統(tǒng)設備的布置要求，可直接統(tǒng)一在飛機級或者系統(tǒng)級，無須進行逐層級分解。

3.3 機組通告和操作的需求

系統(tǒng)不安全的工作情況應通過恰當?shù)姆绞礁嬷w行機組，并向機組提供清晰、明確、有效的糾正措施。系統(tǒng)不安全的工作情況通過FHA識別的失效狀態(tài)進行確定，在飛機級應初步確定機組發(fā)覺失效的方式和機組需采取的應對措施。在系統(tǒng)級，應在系統(tǒng)級設計方案中考慮不安全性失效狀態(tài)通告給機組的具體方式，方式包括機組告警、機組顯示、燈光提示或者振動提示等，通告的方式首先要滿足相應的適航要求，其次考慮系統(tǒng)的實現(xiàn)方案。初步的應對措施在系統(tǒng)級應進一步細化為機組看到通告后的操作程序，這些操作程序經(jīng)仿真、模擬實驗和飛行實驗驗證后落實到機組操作手冊中。

4 總結(jié)

本文根據(jù)25.1309條款提出了大型客機系統(tǒng)安全性設計需求體系，明確了大型客機頂層安全性設計需求，從功能失效概率需求、共因需求、機組通告和操作需求三個方面分別論述了系統(tǒng)安全性需求在飛機級、系統(tǒng)級和設備級逐層細化、分配和驗證的管理過程，為大型客機系統(tǒng)安全性設計提供借鑒，確保飛機設計安全。

參考文獻

[1]CCAR-25R4，中國民用航空規(guī)章第25部運輸類飛機適航標準.2009：129.

[2]SAE 4761， GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT， 1996-12：156-157.