功能危險(xiǎn)分析技術(shù)在無(wú)人機(jī)研制中的應(yīng)用

余敏

成都飛機(jī)工業(yè)（集團(tuán)）有限責(zé)任公司

結(jié)合研制中無(wú)人機(jī)安全性設(shè)計(jì)的實(shí)踐應(yīng)用，對(duì)功能危險(xiǎn)分析技術(shù)進(jìn)行研究，包括分解安全性要求、劃分飛行階段、確定失效狀態(tài)等。提出了無(wú)人機(jī)功能危險(xiǎn)分析的具體方法，為開(kāi)展無(wú)人機(jī)功能危險(xiǎn)分析提供參考。

安全第一，保證人員和產(chǎn)品安全，是軍方或民用領(lǐng)域接受產(chǎn)品的首要條件，因此，在產(chǎn)品研制中應(yīng)有效開(kāi)展安全性分析工作，而功能危險(xiǎn)分析（FHA）是整個(gè)安全性分析的第一步，是其他安全性分析的基礎(chǔ)。

功能危險(xiǎn)分析是系統(tǒng)、綜合檢查產(chǎn)品功能，識(shí)別產(chǎn)品在各個(gè)飛行階段的失效狀態(tài)，評(píng)估其對(duì)系統(tǒng)產(chǎn)生影響后果的一種安全性分析方法。功能危險(xiǎn)分析技術(shù)在民機(jī)設(shè)計(jì)中已廣泛引用，功能危險(xiǎn)分析報(bào)告也是適航審定必備文件之一，因此功能危險(xiǎn)分析技術(shù)和方法已基本成熟，且有通用的規(guī)范指導(dǎo)民用飛機(jī)的功能危險(xiǎn)分析，然而在無(wú)人機(jī)研制中卻很少有應(yīng)用。本文結(jié)合民機(jī)設(shè)計(jì)中的功能危險(xiǎn)分析技術(shù)方法，探究無(wú)人機(jī)功能危險(xiǎn)分析的主要內(nèi)容，對(duì)開(kāi)展其它無(wú)人機(jī)型號(hào)的功能危險(xiǎn)分析具有一定的參考價(jià)值。

飛機(jī)功能危險(xiǎn)分析主要內(nèi)容

FHA是一個(gè)自上而下的分析方法，關(guān)鍵是確定功能失效狀態(tài)并評(píng)估其影響，一般在整機(jī)和分系統(tǒng)層級(jí)開(kāi)展功能危險(xiǎn)分析。飛機(jī)功能危險(xiǎn)分析主要包括以下內(nèi)容。

（1） 確定所有功能包括內(nèi)部功能和交互功能；

（2） 識(shí)別功能失效狀態(tài)；

（3） 確定功能失效出現(xiàn)時(shí)所處的飛行階段；

（4） 分析功能失效狀態(tài)對(duì)飛機(jī)和人員等的影響；

（5） 提出符合性驗(yàn)證方法。

確定功能清單

對(duì)于整機(jī)級(jí)功能危險(xiǎn)分析，應(yīng)確定與飛機(jī)相關(guān)的所有功能，包括飛機(jī)功能和與其他飛機(jī)、地面站等的交互功能。對(duì)于分系統(tǒng)功能危險(xiǎn)分析，應(yīng)確定與分系統(tǒng)相關(guān)的所有功能，包括分系統(tǒng)自身功能和與其他系統(tǒng)的交互功能。功能的確定按照如下原則執(zhí)行。

（1） 先確定第一層功能，再逐步展開(kāi)第二層功能的確定、第三層功能……，展開(kāi)到可以明確判別失效及失效影響的層級(jí)為止，一般展開(kāi)到四層功能；

（2） 確定功能時(shí)可參考相似機(jī)型的功能列表；

（3） 只針對(duì)功能展開(kāi)分析工作，而不針對(duì)完成功能的具體設(shè)備或系統(tǒng)；

（4） 確定功能時(shí)應(yīng)考慮客戶的需求；

（5） 確定功能時(shí)應(yīng)征求各系統(tǒng)專(zhuān)家的意見(jiàn)，必要時(shí)可組織會(huì)議討論。

分析確定所有層級(jí)功能后，整理成各級(jí)功能清單，整機(jī)級(jí)功能清單示例見(jiàn)表1。

表1 整機(jī)級(jí)功能清單示例。

識(shí)別失效狀態(tài)

對(duì)確定的功能進(jìn)行分析，確定其可能發(fā)生的所有失效狀態(tài)。通常的失效狀態(tài)有以下幾類(lèi):

（1） 全部或部分失控；

（2） 不能工作、斷續(xù)工作、部分工作、工作性能退化；

（3） 載荷、速率、剛性、延遲、振蕩等特性改變；

（4） 意外工作或指令性地工作；

（5） 錯(cuò)誤的失效指示或告警；

（6） 無(wú)失效指示或告警；

（7） 錯(cuò)誤的數(shù)據(jù)輸出；

（8） 不正確的數(shù)據(jù)顯示。

確定飛行階段

針對(duì)每個(gè)失效狀態(tài)，分析其可能出現(xiàn)的所有飛行階段。

依據(jù)飛機(jī)使用情況，結(jié)合工作經(jīng)驗(yàn)，對(duì)飛行階段進(jìn)行劃分和定義。劃分的程度應(yīng)至少體現(xiàn)每個(gè)功能失效的不同影響，即同一飛行階段不應(yīng)有兩個(gè)影響等級(jí)。飛行階段通常主要有以下幾個(gè)階段。

（1） 地面；

（2） 起飛；

（3） 飛行中；

（4） 著陸；

（5） 所有飛行階段；

（6） 其他如應(yīng)急情況。

分析失效狀態(tài)的危險(xiǎn)影響

分析失效狀態(tài)的危險(xiǎn)影響，應(yīng)對(duì)飛機(jī)、人員、環(huán)境等產(chǎn)生的危險(xiǎn)影響進(jìn)行全面分析。功能失效的影響等級(jí)一般分為五個(gè)等級(jí)：災(zāi)難性的、嚴(yán)重的、輕度的、輕微的、無(wú)安全影響的。

無(wú)人機(jī)和民用飛機(jī)安全性要求可能會(huì)有所不同，因此開(kāi)展功能危險(xiǎn)分析也有差別，應(yīng)依據(jù)無(wú)人機(jī)研制的具體情況適當(dāng)調(diào)整。但至少應(yīng)對(duì)災(zāi)難性的和嚴(yán)重的危險(xiǎn)提出安全性的定量要求，具體對(duì)應(yīng)關(guān)系示例可參見(jiàn)表2。確定影響等級(jí)應(yīng)注意如下要點(diǎn)。

表2 危險(xiǎn)影響等級(jí)及要求示例。

（1） 指示系統(tǒng)出現(xiàn)錯(cuò)誤指示，一般比指示系統(tǒng)失效或出現(xiàn)故障的影響更嚴(yán)重;

（2） 如果同一故障在不同飛行階段對(duì)飛機(jī)產(chǎn)生的影響不同，則要分別列出不同的影響;

（3） 飛行員對(duì)故障情況的處理能力，應(yīng)以對(duì)飛行員的基本要求為準(zhǔn)，個(gè)別飛行員對(duì)故障的處理能力不能作為確定危害等級(jí)的重要因素;

(4) 在定義影響等級(jí)時(shí)，應(yīng)明確有告警和無(wú)告警故障的危害等級(jí)是否相同。

提出符合性驗(yàn)證方法

確定的失效狀態(tài)需要采用一定的方法進(jìn)行分析驗(yàn)證，以證明滿足其對(duì)應(yīng)的安全性要求。選用驗(yàn)證方法原則如下。

（1） 對(duì)于嚴(yán)重的和災(zāi)難性的危險(xiǎn)，應(yīng)用故障模式、影響與危害性分析（FMECA）、故障樹(shù)分析（FTA）方法進(jìn)行驗(yàn)證；

（2） 對(duì)于輕微的和輕度的危險(xiǎn)，應(yīng)用FMECA方法進(jìn)行驗(yàn)證；

（3） 對(duì)于無(wú)安全影響的危險(xiǎn)，不用驗(yàn)證。

無(wú)人機(jī)功能危險(xiǎn)分析示例

下文介紹無(wú)人機(jī)功能危險(xiǎn)分析的過(guò)程示例。

確定無(wú)人機(jī)安全性要求

結(jié)合無(wú)人機(jī)的具體特點(diǎn)及安全性要求，因系統(tǒng)設(shè)計(jì)原因引起的災(zāi)難性的事故概率（P）≤1×10-4次/飛行小時(shí)。參照GJB900及民航安全性要求的分解方法，確定無(wú)人機(jī)危險(xiǎn)等級(jí)及其對(duì)應(yīng)的安全性要求，安全性要求示例見(jiàn)表3。

確定無(wú)人機(jī)飛行階段

依據(jù)無(wú)人機(jī)各飛行過(guò)程的定義，確定功能危險(xiǎn)分析的飛行階段，飛行階段示例見(jiàn)表4。

確定功能清單

根據(jù)功能確定原則、參考無(wú)人機(jī)總體技術(shù)方案對(duì)整機(jī)級(jí)功能進(jìn)行確認(rèn)，最終確定整機(jī)級(jí)功能清單，整機(jī)級(jí)功能清單示例見(jiàn)表5。

表5 整機(jī)級(jí)功能清單示例。

具體分析

在分析過(guò)程中，考慮功能所有可能的失效狀態(tài)，分析各個(gè)失效狀態(tài)在不同飛行階段對(duì)無(wú)人機(jī)、人員的危害，并根據(jù)危害程度確定影響等級(jí)。具體功能危險(xiǎn)分析示例如表6所示。

表6 整機(jī)級(jí)功能危險(xiǎn)分析示例表。

安全性要求

依據(jù)表3的原則確定Ⅰ、Ⅱ級(jí)的安全性要求及其關(guān)聯(lián)的系統(tǒng)，作為整機(jī)級(jí)初步安全性評(píng)估和系統(tǒng)級(jí)功能危險(xiǎn)分析的輸入，安全性要求示例見(jiàn)表7。

表7 整機(jī)級(jí)安全性要求示例表。

本文以功能危險(xiǎn)分析在無(wú)人機(jī)安全性設(shè)計(jì)中的具體應(yīng)用，提出了功能危險(xiǎn)分析的主要內(nèi)容，概況了功能危險(xiǎn)分析中各環(huán)節(jié)應(yīng)考慮的主要因素，特別是提供了危險(xiǎn)等級(jí)及對(duì)應(yīng)安全性要求的確定方法，為開(kāi)展相應(yīng)的無(wú)人機(jī)功能危險(xiǎn)分析提供一定的借鑒。