民用飞机初步系统安全性评估方法研究

民用飞机初步系统安全性评估方法研究①

李磊 徐世宁

(上海飞机设计研究院 上海 201210)

民用飞机初步系统安全性评估(PSSA)过程是民机安全性设计中的关键技术和重要方法。摘 要：该文结合SAEARP47A和ARP4761的要求，

紧密联系系统研制的过程，介绍了初步系统安全性评估的意义、目的和具体实施过程。针对ARP47A中提出的新概念功能失效集与最小隔集概念进行解释和比较，对比异同点，确定其工程实践中的具体操作方法。最终在研制保证等级分配流程的基础上，给出PSSA过程完整的建议操作流程以及工作依据，并举例说明整个过程中的难点问题，有效指导民机初步系统安全性评估工作的开展。关键词：初步系统安全性评估 研制保证等级 功能失效集 研制保证等级

文献标识码： 文章编号：中图分类号：V223 A 1674-098X(2015)08(a)-0028-02

1 概述

民用飞机的安全性评估过程是系统

研制过程的一部分，与系统研制过程平行进行。初步系统安全性评估(PSSA)过程是系统安全性评估的重要环节。SAE于2010年发布的47A《民用飞机与系统研制指南》中明确要求使用PSSA的方法确保飞机系统研制的分配和确定过程(双“V”型研发流程的左侧)能够满足安全性要求。ARP4761《民用机载系统和设备安全性评估过程指南和方法》中提出了PSSA的具体方法。ARP47A告诉我们“要做什么”，ARP4761来解决“怎么做”的问题。但由于指南仅提出要求，在实践中各人理解的差别会导致结果出现很多偏差，该文结合工程实践经验，研究具体系统研发过程中PSSA的操作方法，对工程实践提供指导。

2 初步系统安全性评估过程的目标

系统的PSSA过程贯穿于整个系统研制全生命周期，结合系统功能的分配、分解和确定进行，是自上而下反复迭代的分析过程。在安全性评估的三个主要过程(功能危险性分析FHA、PSSA和系统安全性评估SSA)中，PSSA起到了一个承上启下的作用。由此可以明确PSSA过程的主要目标为以下4方面。

(1)完善飞机级及系统级安全性要求清单，检查飞机级及系统级FHA的结果;

(2)系统化的检查系统架构如何满足FHA的安全性要求，考察系统构架中有哪些子系统和组件失效能够导致由FHA确定的功能危险；

(3)在研制周期内调整并评估设计更改；(4)得出较低层次系统和组件的设计、安装等定性和定量的安全性要求。

3 初步系统安全性评估(PSSA)的实施过程

初步系统安全性评估过程主要分为以下几个阶段进行：收集PSSA输入数据；根据系统功能架构定义失效状态的初步故障分析(FTA)结构；进行失效状态评估后实施PSSA过程中子系统/组件的研制保证等级(DAL)分配和失效概率分配；同时考虑共因源对性影响的分析，最终得对子系统/组件定性和定量的设计要求和安全性目标。

下面对PSSA实施过程的主要阶段进行分析。

3.1 PSSA的输入

在开始进行PSSA评估过程之前，需收集相关的数据信息，这些信息包括但不局限于以下内容：来自飞机级/系统FHA和相关功能的失效状态；高级别安全性评估得出的需求；相关的系统功能；包含系统接口的推荐的系统架构；共因源信息。这些信息共同构成了PSSA分析的基础，为后续进行有效的分析过程提供必要的数据保障。3.2 建立PSSA阶段初步故障树分析模型

针对需要分析的失效状态涉及的系统功能架构，建立PSSA阶段初步的故障树分析(FTA)模型。FTA通过分层次、分支路的构建方法，演绎性的表明引起该失效状态的各种子功能/组件失效之间的架构关系，进而可以自上而下的得到低级别失效定性和定量的安全性要求，并验证推荐的系统功能架构是否满足安全性目标。对于确定的架构，PSSA里面需要进行详细的架构说明。3.3 研制保证等级的分配过程

ARP47A里要求通过分析功能失效集(FFS)中成员的方法分析子系统/组件错误组合对顶层失效状态的影响关系，并通过对FFS成员的研制保证等级(DAL)的分配得到对子系统和组件的设计要求。系统功能的DAL分配过程是针对FHA和初步飞机级安全性分析以及高层次级别PSSA阶段进行，组件的DAL分配过程针对低层次级别PSSA过程。为了明确概念方便后续分析的开展，现对ARP47A中的FFS概念和ARP4761中FTA的最小割集进行比较分析。3.3.1 功能失效集(FFS)和故障树分析(FTA)中的最小割集概念比较分析

在ARP47A中新提出了功能失效集合(FFS)的概念，即当任意一个FFS中的所有成员的错误同时发生时，就能导致该FFS最顶层的失效状态的发生。FFS成员表示潜在的研制错误的结果，而非失效。在保证了每个FFS中所有成员性的情况下，针对该FFS中各个成员进行功能保证等级分配(DAL)，对支持顶层失效状态的研制保证等级和该功能架构研制置信度是非常重要的。当完成了针对某个失效状态下所有FFS中的全部成员进行功能DAL分配时，按照DAL分配原则，可能会有多种符合要求的分配结果，然后需要进行各FFS中成员之间分配结果的交叉检查，统筹考虑整个失效模式下所有FFS成员的分配，删除各FFS之间矛盾的分配结论，最终得到合理并且满足要求的所有底层子系统/组件错误的DAL结果。

ARP4761中的最小割集概念基于故障树分析工具得到，是通过FTA架构，各逻辑门关系得出的引起顶事件发生的基本事件的最低限度集合。

FTA中最小割集是针对失效，该集合中的成员均来自失效模式及影响分析(FMEA)中的设备或组件的各种失效模式。而FFS是针对错误的。在AMC25.1309的定义中，错误是指人员疏忽或不正确的行为，或在研制、设计过程中的差错。失效是指能够影响零部件的工作使其不能执行预期功能的事件(其中包括功能丧失和功能式故障)。错误会能够引起失效，但是不能认为错误就是失效。FFS的意义涵盖但不能完全等同于FTA中最小割集。

在实际使用中，对PSSA阶段底层子功能/组件错误进行评估其有效性，将FFS各个成员中剔除了不影响功能失效的人为或研制错误之后，从结果上FFS可等同于一个故障树的最小割集。可以认为最小割集是将FFS不断完善优化后的结果。

3.3.2 PSSA阶段获得FFS的方法

如果系统架构相对简单，功能层级在1～2层时，无需构建初步FTA，通过分析功能失效的路径得到FFS集合。但对于功能架构复杂，系统分支在3个及3个以上，或者功能层级在2层以上的系统功能，推荐采用PSSA过程中初步FTA的方法，构建系统功能架构，评估底层子系统/组件的错误是否能导致应有失效，删除无效的错误事件，并通过该初步FTA架构运用分析工具得到最小割集清单，进而针对最小割集(即FFS)成员进行下一步分析。

当得到的FFS中仅有一名成员时，需要分析该成员是系统级的功能错误还是组件错误导致。如果是系统级的功能错误，暂且可以对它进行功能DAL分配。但是如果该功能错误在组件DAL过程发现是由唯一的组件错误导致，即该组件错误将会直接引发此功能架构顶层失效状态的结果，那么上述组件错误形成的单点故障在顶层失效状态是灾难级或危险级影响时不能被接受，该系统功能架构需要重新构建。3.4 基于初步FTA的失效概率分配

分配的研制保证等级不意味着硬件的具体随机失效概率。在PSSA阶段初步FTA架构完成后，两个或更多的系统组合来满足一个顶层失效状态时，还需进行失效概率分配过程，针对各自的失效，每个单独系统

①作者简介：李磊，飞机设计研究院工程师，研究方向:民用飞机告警系统和系统安全性评估过程。 徐世宁，飞机设计研究院高级工程师，研究方向:民用飞机综合航电系统构架和显示告警系统。

科技创新导报 Science and Technology Innovation Herald

28

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.研究报告

2015 NO.22Science and Technology Innovation Herald科技创新导报图1 PSSA流程图

需要知道可靠性预计中的多少指标被分配给了自己。

3.5 共因源考虑

在PSSA过程中需确定FFS成员性要求，主要需要考虑共因源中的共模因素，特殊风险分析和区域安全性分析更多的需要在飞机级初步安全性过程中分析。在保证了FFS成员性的前提下，对成员分配的安全性要求才有严格的置信度。

定的过程，将最终确定的唯一结果更新到PSSA初步FTA中。再按照上述流程进行组件级的DAL分配，得到最终确定唯一的组件级安全性要求。例如：如果一个失效状态FC1通过分析对功能F1的研制保证等级要求为C级，而另一个失效状态FC2对功能F1的要求为A级，那么需要在PSSA的功能DAL分配阶段结束后，确定功能F1的功能DAL为最严酷的A级，并将该级别要求更新到所有涉及功能F1的初步FTA中，在此级别下进行下一级的组件DAL分配，才能得到满足所有失效状态的组件唯一的安全性要求，后续需按照此唯一要求进行组件软硬件的研制。

过程中，验证并更新FHA，确定推荐的系统架构能满足安全性要求，并得到对下级系统和组件的安全性要求，包括DAL分配和概率分配，用于指导系统组件的研制。

参考文献

[1] SAEARP47A.Guidelines for

Development of Civil Aircraft and Systems[S].U.S.A:SAE International，2010.[2] SAEARP4761.Guidelinea

ndMethodsforConducting the Safety Assessment Process onCivil Airborne System and Equipment[S].SAE International,1996.

4 PSSA分析流程图

通过对上述各方法的综合，可以得出PSSA工作流程图，图1左侧为主要的PSSA工作流程，右侧对应的是该项工作对应的工作依据来源。

当按照上述流程图对所有FHA定义的失效状态下系统功能级别完成功能级别DAL的分配之后，需要进行一次统筹确

5 PSSA分析的结果

初步系统安全性评估的结果包括将上

一级FHA的安全性要求贯彻执行到PSSA

科技创新导报 Science and Technology Innovation Herald

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.29