民用飛機(jī)燃油箱系統(tǒng)點(diǎn)火源防護(hù)分析方法研究

田玉雯 張 斌 郭軍亮

(上海飛機(jī)設(shè)計(jì)研究院，上海 201210)

0 引言

FAA 25部中關(guān)于民用飛機(jī)燃油箱點(diǎn)燃防護(hù)的規(guī)章要求起源于1967年，最初的點(diǎn)火源防護(hù)中僅包括燃油箱最高溫度的要求，后續(xù)隨著102號(hào)修正案的頒布，增加了考慮各種失效情況下不能產(chǎn)生點(diǎn)火源的要求，并建立關(guān)鍵設(shè)計(jì)構(gòu)型控制限制[1]。2018年，F(xiàn)AA發(fā)布了146號(hào)修正案[2]，進(jìn)一步明確了閃電類點(diǎn)火源的防護(hù)設(shè)計(jì)和分析方法等。一系列修正案的發(fā)布逐步完善了民用飛機(jī)點(diǎn)火源防護(hù)的分析思路，由于國內(nèi)在民用飛機(jī)燃油箱系統(tǒng)點(diǎn)火源防護(hù)的經(jīng)驗(yàn)上較為缺乏，為了對(duì)點(diǎn)火源防護(hù)的分析思路進(jìn)一步明確，本文通過參考FAR 25.981條款和FAA咨詢通告，總結(jié)歸納出了民用飛機(jī)燃油箱系統(tǒng)點(diǎn)火源防護(hù)的分析思路。

1 點(diǎn)火源防護(hù)設(shè)計(jì)通用要求

燃油箱系統(tǒng)內(nèi)的點(diǎn)火源主要有五種表現(xiàn)形式，分別為電弧電火花、細(xì)絲加熱電流、摩擦火花、高溫表面引燃或自燃、靜電。具體各個(gè)點(diǎn)火源類型的定義可參考AC25.981-1D[3]。

針對(duì)五種類型的點(diǎn)火源，能量限制要求包括：

1) 高溫表面點(diǎn)火源。位于燃油箱系統(tǒng)內(nèi)的每個(gè)部件，在正常工作、失效或故障(可能提高油箱內(nèi)部溫度)情況下，都不應(yīng)導(dǎo)致燃油箱內(nèi)或壁板上的溫度超過400 °F(204 ℃)；

2) 電弧電火花點(diǎn)火源。燃油箱內(nèi)系統(tǒng)或部件(如燃油測量系統(tǒng))在正常情況下進(jìn)入油箱的能量不應(yīng)超過50 μJ，系統(tǒng)或部件失效情況下進(jìn)入油箱的能量不能超過200 μJ，或因電磁環(huán)境影響(如閃電)導(dǎo)致燃油箱內(nèi)產(chǎn)生的電弧或者電火花，產(chǎn)生瞬間能量不應(yīng)超過200 μJ；

3) 細(xì)絲加熱點(diǎn)火源。正常情況下燃油測量系統(tǒng)進(jìn)入油箱的穩(wěn)態(tài)電流不應(yīng)超過25 mA RMS，失效情況下電流不應(yīng)超過50 mA RMS，閃電引起的瞬間峰值電流不應(yīng)超過125 mA。

針對(duì)五種類型的點(diǎn)火源，如果無法滿足以上能量限制時(shí)，需要增加防護(hù)設(shè)計(jì)，對(duì)于防護(hù)設(shè)計(jì)架構(gòu)的要求如下：

1) 不允許單點(diǎn)失效，至少有兩重獨(dú)立的冗余防護(hù)設(shè)計(jì)特征；

2) 如果采用了兩重防護(hù)且其中包含了潛在失效，該潛在失效的概率應(yīng)小于10-7；

3)所有防護(hù)設(shè)計(jì)特征的組合失效概率應(yīng)小于10-9。

針對(duì)燃油箱系統(tǒng)點(diǎn)火源防護(hù)要求，提出了一些具體的設(shè)計(jì)指南，如為了避免燃油系統(tǒng)靜電，應(yīng)限制加油時(shí)的燃油流速[4]，同時(shí)在燃油箱系統(tǒng)中線纜的布置應(yīng)進(jìn)行有效隔離[5]。

2 點(diǎn)火源防護(hù)分析

2.1 分析假設(shè)

1)燃油箱可燃性

由于預(yù)測燃油箱比較困難，所以在進(jìn)行點(diǎn)火源分析時(shí)假設(shè)燃油箱內(nèi)的環(huán)境總是可燃的。

2)失效等級(jí)

除非設(shè)計(jì)特征能明顯減小由燃油箱點(diǎn)火引起的危害后果，例如聚氨酯泡沫或足夠的結(jié)構(gòu)強(qiáng)度等，一般分析假設(shè)點(diǎn)火源的存在是災(zāi)難級(jí)失效等級(jí)。

3)失效情況

在進(jìn)行點(diǎn)火源分析時(shí)不考慮非包容性轉(zhuǎn)子碎片、發(fā)動(dòng)機(jī)外部著火、爆炸物質(zhì)引起的破壞、墜機(jī)后失火、通過燃油通氣系統(tǒng)火蔓延進(jìn)入油箱等失效情況。

2.2 分析過程

適航條款25.981(a)(1)定義了燃油箱的最高溫度，25.981(a)(2)要求燃油箱中任何一處的溫度，在正常、失效和故障的條件下都不能超過25.981(a)(1)中定義的最高溫度。

為了表明對(duì)25.981(a)(3)條款要求的符合性，應(yīng)對(duì)燃油箱系統(tǒng)潛在點(diǎn)火源進(jìn)行安全性評(píng)估，以證實(shí)點(diǎn)火源不會(huì)出現(xiàn)在燃油箱中，燃油箱系統(tǒng)點(diǎn)火源安全性評(píng)估分析思路如圖1所示。

主要工作包含：

1)按點(diǎn)火源的類型，識(shí)別出所有可能產(chǎn)生潛在點(diǎn)火源的失效模式，如線纜磨損、燃油泵干轉(zhuǎn)、緊固件斷裂等；

2)判斷防護(hù)設(shè)計(jì)特征是否可僅通過定性安全評(píng)估表明符合性。針對(duì)固有安全設(shè)計(jì)或其他能證明在任何預(yù)期失效事件下都不會(huì)破壞其防護(hù)設(shè)計(jì)特征，可僅通過定性分析表明對(duì)條款的符合性。若驗(yàn)證不通過，需進(jìn)一步開展安全性定量分析工作；

3)判斷防護(hù)特征是容錯(cuò)設(shè)計(jì)還是非容錯(cuò)設(shè)計(jì)。針對(duì)非容錯(cuò)設(shè)計(jì)(僅針對(duì)燃油箱結(jié)構(gòu)閃電類點(diǎn)火源)，依據(jù)AC25.954-1可通過定性或定量分析來表明符合性，如不能證明，需糾正改進(jìn)或增加額外防護(hù)；

4)針對(duì)容錯(cuò)設(shè)計(jì)，如果是閃電類點(diǎn)火源，可直接通過證明其有效和可靠來表明符合性。如果不是閃電類點(diǎn)火源，將開展進(jìn)一步定量分析。所有防護(hù)設(shè)計(jì)組合失效概率須小于10-9，如果采用兩重防護(hù)且包含潛在失效，其任一潛在失效概率須小于10-7；

5)對(duì)于每重防護(hù)設(shè)計(jì)都需要進(jìn)行有效性驗(yàn)證(在其他防護(hù)特征失效情況下驗(yàn)證)，典型驗(yàn)證方法可參考RTCA DO-160G[6]和MIL-STD-810[7]；

在改編中，引子、A段、B段基本保持了原曲風(fēng)貌，伴奏則采用了不和諧的小二度音程，以模仿鑼鼓的效果，渲染節(jié)日的熱鬧氣氛。

6)針對(duì)點(diǎn)火源防護(hù)特征，為保證其持續(xù)有效，應(yīng)作為關(guān)鍵設(shè)計(jì)構(gòu)型控制限制(Critical Design Configuration Control Limitation,簡稱CDCCL)項(xiàng)進(jìn)行持續(xù)管理。

3 點(diǎn)火源防護(hù)分析說明

3.1 失效模式梳理

基于燃油箱系統(tǒng)的設(shè)計(jì)，對(duì)所有可能產(chǎn)生點(diǎn)火源的設(shè)計(jì)特征進(jìn)行失效模式的梳理，以支持后續(xù)逐條開展安全性分析工作。例如，對(duì)于燃油系統(tǒng)燃油泵，常見的失效模式包括碎屑進(jìn)入泵內(nèi)部產(chǎn)生摩擦火花、泵在空油箱中長時(shí)間干轉(zhuǎn)產(chǎn)生高溫表面、泵組件與結(jié)構(gòu)搭接失效產(chǎn)生電弧電火花等多種失效情況，表1依據(jù)點(diǎn)火源類型舉例梳理了部分燃油泵的失效模式，具體燃油泵的安全性分析可參考SAE ARP 6385[8]。

表1 燃油泵部分失效模式梳理

圖1 燃油箱系統(tǒng)點(diǎn)火源分析思路圖

3.2 固有安全設(shè)計(jì)

固有安全設(shè)計(jì)的判斷是對(duì)梳理出的失效模式清單逐一進(jìn)行判斷及分析。如果在正常操作條件下以及可預(yù)期發(fā)生的失效條件下，不會(huì)釋放足夠點(diǎn)燃油氣的電能或熱能，可判斷其為固有安全設(shè)計(jì)。在燃油箱系統(tǒng)中固有安全設(shè)計(jì)的舉例如下：

1)具有足夠厚度的高導(dǎo)電性燃油箱結(jié)構(gòu)，確保閃電附著到表面也不至于引起熱點(diǎn)或油箱內(nèi)的點(diǎn)火源；

2)燃油指示系統(tǒng)線路在采用瞬態(tài)抑制/能力限制裝置后，使其進(jìn)入油箱后的能量小于能產(chǎn)生點(diǎn)火源能量值。

3.3 定量分析

定量分析可以用來表明點(diǎn)火源防護(hù)設(shè)計(jì)特征的失效概率滿足對(duì)應(yīng)要求或者表明在各種情況下點(diǎn)火源發(fā)生概率小于10-9，定量分析應(yīng)基于SAE ARP 4761《民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備安全性評(píng)估過程的指南和方法》中的安全性評(píng)估分析方法[9]。圖2給出了定量分析的簡要示意，分析需證明相互獨(dú)立的防護(hù)特征A、B和C同時(shí)失效時(shí)，導(dǎo)致頂事件產(chǎn)生點(diǎn)火源事件發(fā)生的概率應(yīng)小于10-9。

圖2 定量分析示意圖

3.4 閃電類點(diǎn)火源分析

針對(duì)由閃電引起的點(diǎn)火源而采用的防護(hù)特征，通常分為容錯(cuò)類閃電點(diǎn)火源防護(hù)(兩重及以上防護(hù)特征)和非容錯(cuò)類閃電點(diǎn)火源防護(hù)(一重防護(hù)特征)。

對(duì)于非容錯(cuò)類閃電點(diǎn)火源防護(hù)，首先應(yīng)盡量避免非容錯(cuò)的點(diǎn)火源防護(hù)設(shè)計(jì)，如的確不可行(如燃油箱部分區(qū)域結(jié)構(gòu)件的疲勞開裂和緊固件承受高強(qiáng)度拉伸而斷裂的失效模式，無法采用容錯(cuò)的閃電防護(hù)設(shè)計(jì)特征)，才可通過非容錯(cuò)點(diǎn)火源防護(hù)分析方法進(jìn)行符合性分析。針對(duì)該類點(diǎn)火源防護(hù)分析，可通過定性分析或定量分析來開展符合性分析工作。如果防護(hù)方法可靠，潛在失效模式較少，用于確定失效率的可參考服役數(shù)據(jù)有限，建議采用定性評(píng)估。如果已有各種失效概率，并且數(shù)值評(píng)估合理準(zhǔn)確，建議采用定量評(píng)估。非容錯(cuò)類閃電點(diǎn)火源防護(hù)的定性或定量分析的要求可參考AC25.954-1[10]。

3.5 持續(xù)適航考慮

根據(jù)25.981(d)的要求，必須建立必要的關(guān)鍵設(shè)計(jì)構(gòu)型控制限制、檢查或其他程序，以保證點(diǎn)火源防護(hù)特征的完整性。對(duì)所有與點(diǎn)火源相關(guān)的關(guān)鍵防護(hù)特征必須進(jìn)行定期檢查維護(hù)，保證點(diǎn)火源防護(hù)特征的不退化和不降級(jí)。同時(shí)，這些CDCCL項(xiàng)、檢查和程序必須納入持續(xù)適航文件的適航限制部分。通常，燃油箱系統(tǒng)CDCCL項(xiàng)應(yīng)根據(jù)各個(gè)型號(hào)飛機(jī)的情況開展相應(yīng)的梳理和分析。表2中列舉了部分燃油箱系統(tǒng)典型的CDCCL項(xiàng)。

表2 典型的燃油箱CDCCL項(xiàng)

4 結(jié)論

通過參考FAR 25.981條款和FAA咨詢通告，總結(jié)歸納出了民用飛機(jī)燃油箱系統(tǒng)點(diǎn)火源防護(hù)的分析思路，主要有：

1) 基于燃油箱系統(tǒng)的設(shè)計(jì)，應(yīng)梳理出所有可能產(chǎn)生點(diǎn)火源的失效模式，再逐一進(jìn)行安全性分析；

2)如果能證明在任何預(yù)期失效或事件下都不會(huì)產(chǎn)生點(diǎn)火源，可通過安全性定性分析表明對(duì)條款的符合性，否則需進(jìn)一步開展安全性定量分析工作表明符合性；

3)針對(duì)閃電引起的點(diǎn)火源，須明確容錯(cuò)類設(shè)計(jì)或非容錯(cuò)類設(shè)計(jì)。若為容錯(cuò)類設(shè)計(jì)，可僅驗(yàn)證可靠并有效即可，若為非容錯(cuò)類設(shè)計(jì)，需根據(jù)相應(yīng)情況開展定性或定量分析；

4)對(duì)所有與點(diǎn)火源相關(guān)的關(guān)鍵防護(hù)特征需建立必要的關(guān)鍵設(shè)計(jì)構(gòu)型控制限制、檢查或其他程序，以保證點(diǎn)火源防護(hù)特征的完整性。