基于系統(tǒng)工程的航空發(fā)動機安全性評估敏感性分析

郭放　楊子江　劉嘉偉　楊慧赟　閆文輝　吳晶峰

摘要：本文依據(jù)失效狀態(tài)為“需要時喪失滅火功能”的安全性評估實例為基礎(chǔ)，對需要時喪失滅火功能的故障樹中的11個底事件進行敏感性分析，分析結(jié)果顯示事件1燃燒室破裂，事件2渦輪機匣破裂，事件3熱區(qū)探測器失效，事件4冷區(qū)探測器失效為影響頂事件發(fā)生概率的敏感性事件，同時本文分析安全性需求變更時，如何應(yīng)用安全性評估的追溯性，應(yīng)對安全性需求的變更。

關(guān)鍵詞：系統(tǒng)工程;航空發(fā)動機;安全性評估

1? 背景和意義

航空發(fā)動機研制是一個反復(fù)迭代的過程，安全性評估是研制過程不可少的部分。在航空發(fā)動機“正向”研制過程中，通過系統(tǒng)性、規(guī)范化的分析、設(shè)計和驗證等工作，可以有效預(yù)防災(zāi)難事故的發(fā)生和減少事故損失，降低發(fā)動機運營時的風險，提高航空發(fā)動機的安全性。

安全性需求是安全性評估過程的重要輸入，安全性需求的完整性、正確性、適宜性能夠直接影響航空發(fā)動機研發(fā)能否成功，良好的需求應(yīng)具備的特征：必要性、獨立于實施的、無歧義的、完整性、單一的、可實現(xiàn)的、可驗證的、符合的、可追溯的[1，2]。

每個層級的安全性需求通過安全性分析或說明的方式在下個層級中確認，進而將安全性需求需求逐層細化至最基本的軟件和硬件需求，以指導軟硬件設(shè)計。通過對軟硬件的測試實現(xiàn)對安全性需求的驗證進而逐層驗證上一層級的安全性需求，這種具有追溯性的方法有利于安全性需求變更管理和發(fā)現(xiàn)安全性需求變更對其他需求或研制活動的影響。在安全性評估的過程中安全性需求的變更時無法避免的，而且安全性需求變更是安全性評估和航空發(fā)動機研制的重要組成部分，安全性需求變更的原因主要包括[3，4]：①在安全性確認、分配、驗證子流程中，發(fā)現(xiàn)已審查批準的安全性需求（存在已生效的安全性需求）需要變更。②研制中出現(xiàn)了對系統(tǒng)的新需求，如新適航法規(guī)的出臺等。③上一層、下一層的安全性需求變更，導致本層安全性需求發(fā)生了改變。

本文依據(jù)失效狀態(tài)為“需要時喪失滅火功能”的安全性評估實例為基礎(chǔ)，對需要時喪失滅火功能的故障樹中的11個底事件進行敏感性分析，分析結(jié)果顯示事件1燃燒室破裂，事件2渦輪機匣破裂，事件3熱區(qū)探測器失效，事件4冷區(qū)探測器失效為影響頂事件發(fā)生概率的敏感性事件，同時本文分析安全性需求變更時，如何應(yīng)用安全性評估的追溯性，應(yīng)對安全性需求的變更。

2? 安全性評估敏感性分析

本文以文獻中[5]失效狀態(tài)為“需要時喪失滅火功能”的安全性評估實例為基礎(chǔ)，對需要時喪失滅火功能的故障樹中的11個底事件進行敏感性分析。實例中“需要時喪失滅火功能”頂事件發(fā)生的概率的安全性需求為小于1E-7/發(fā)動機飛行小時，通過計算得出頂事件發(fā)生的概率為1.686E-10/發(fā)動機飛行小時，小于1E-7/發(fā)動機飛行小時，滿足安全性需求。一旦安全性需求變更為1E-11/發(fā)動機飛行小時，航空發(fā)動機的頂事件概率不能滿足安全性需求，對研制提出了更為嚴苛的要求，需要與研制過程進行迭代完成新一輪的安全性評估，以保證滿足新提出的安全性需求。

安全性評估過程共包括11個基本事件，事件1為燃燒室破裂，事件2為渦輪機匣破裂，事件3為熱區(qū)探測器失效，事件4為冷區(qū)探測器失效，事件5為滅火瓶失效，事件6為燃油管路失效，事件7為燃油進口接頭失效，事件8為電子元器件短路，事件9為增壓泵失效，事件10為單向活門失效，事件11為回油泵失效。計算11個基本事件對安全性頂事件發(fā)生概率的敏感性，11個基本事件的故障率分別降低1、2、3個數(shù)量級。計算結(jié)果圖2。由敏感性分析可得到頂事件發(fā)生概率對事件1、2、3和4的敏感性較高，對事件5-11的敏感性較低。研制過程中對事件1-4的故障率進行改善更易降低安全性頂事件發(fā)生概率。（圖1、圖2）

將事件1-11分別降低6個數(shù)量級進行計算，計算結(jié)果見表1，計算結(jié)果可驗證敏感性分析結(jié)果，事件5-11的故障率降低6個數(shù)量級后，頂事件發(fā)生的概率變化不大，與敏感性分析結(jié)果相同。事件1-4的故障率分別降低6個數(shù)量級后，頂事件發(fā)生的概率降低較大，但只改變單個事件的故障率依然不能滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求。需事件1-4中多個事件同時降低故障率，才能滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求。

選取多個故障率變更的組合進行計算，計算得到9個組合可以滿足變更后的頂事件安全性需求。其中組合1：事件1（燃燒室破裂）和事件2（渦輪機匣破裂）的故障率降為5.00E-6時，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求;組合2：事件1（燃燒室破裂）的故障率降為1.00E-5，事件2（渦輪機匣破裂）的故障率降為1.00E-6，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求;組合3：事件3（熱區(qū)探測器失效）和4（冷區(qū)探測器失效）的故障率降為4.15E-9，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求;組合4：事件1（燃燒室破裂）和2（渦輪機匣破裂）的故障率降為1.00E-5，事件3（熱區(qū)探測器失效）的故障率降為4.15E-8，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求;組合5：事件1（燃燒室破裂）和2（渦輪機匣破裂）的故障率降為1.00E-5，事件4（冷區(qū)探測器失效）的故障率降為4.15E-8，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求;組合6：事件1（燃燒室破裂）的故障率降為2.86E-6，事件3（熱區(qū)探測器失效）和4（冷區(qū)探測器失效）的故障率降為4.15E-8，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求;組合7：事件2（渦輪機匣破裂）的故障率降為2.86E-6，事件3（熱區(qū)探測器失效）和4（冷區(qū)探測器失效）的故障率降為4.15E-8，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求;組合8：事件1（燃燒室破裂）和2（渦輪機匣破裂）的故障率降為5.00E-5，事件3（熱區(qū)探測器失效）和4（冷區(qū)探測器失效）的故障率降為4.15E-8，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求;組合9：事件1（燃燒室破裂）和2（渦輪機匣破裂）的故障率降為1.00E-5，事件3（熱區(qū)探測器失效）和4（冷區(qū)探測器失效）的故障率降為2.08E-7，可以滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求，計算結(jié)果數(shù)據(jù)見表2。

3? 結(jié)論

本文依據(jù)失效狀態(tài)為“需要時喪失滅火功能”的安全性評估實例為基礎(chǔ)，對故障樹中的11個底事件進行敏感性分析，分析結(jié)果顯示事件1燃燒室破裂，事件2渦輪機匣破裂，事件3熱區(qū)探測器失效，事件4冷區(qū)探測器失效為影響頂事件發(fā)生概率的敏感性事件，但只改變單個事件的故障率依然不能滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求。需事件1-4中多個事件同時降低故障率，才能滿足頂事件發(fā)生的概率為1E-11/發(fā)動機飛行小時的安全性需求。計算得到9個組合可以滿足變更后的頂事件安全性需求。

參考文獻：

[1]羅婷婷.基于系統(tǒng)工程的商用航空發(fā)動機研制需求管理方法研究[J].現(xiàn)代管理，2015：107-109.

[2]David D. Walden， Garry J. et al. Systems engineering handbook： A guide for system life cycle processes and activities， 4th edition[M]. 2015. John Wiley & Sons.

[3]KarlE Wiegers著，劉偉琴，劉洪濤譯.軟件需求[M].二版.清華大學出版社，2004，11.

[4]Richard Beasley， Andrew Clifton. The Impact of Environmental Issues on Rolls-Royce Design Systems and Solutions.

[5]喬磊.航空發(fā)動機適航規(guī)定安全性分析條款符合性驗證理論與實踐[D].南京：南京航空航天大學，2016.

————————————

作者簡介：郭放（1986-），女，河北滄州人，博士，工程師，研究方向為適航安全性。