大型民機復雜系統故障樹分析與適航問題研究

黃銘媛 朱 亮 宋智桃

（中國民用航空上海航空器適航審定中心，上海 200335）

大型民用飛機是一項多學科的大系統工程。此類復雜系統需要應用科學、有效的系統安全性評估過程，以表明對適航標準相關條款符合性。作為傳統的系統安全性評估方法之一的，故障樹分析（FTA）通過與系統安全性評估過程保證的有效結合，在實現大系統研制的階段目標中發揮著重要作用。在系統安全性評估過程管理活動中，FTA通常應用于系統概念設計階段的初步飛機級安全性評估（PASA），初步系統級安全性評估（PSSA）過程，或系統概念形成后飛機級安全性評估（ASA），和系統級安全性評估過程（SSA）。在過程應用中，應當重視若干適航關注問題，如工作方案和計劃制定，頂事件完備性和正確性以及對最小割集的分析等[1-5]。

1 適航CCAR 25.1309條的技術要求和解析

為了保障民用航空安全和維護公眾權益，民用航空器的設計必須達到中國民航局適航部門制定的最低安全標準，表明其對適用標準的符合性。作為適航管理最重要的環節，型號合格審定（TC，簡稱“適航審定”）工作應依據適用標準，按嚴格詳細的審定程序對民用航空器設計過程和工作進行審查和監督。

大型民用飛機適用于中國民用航空規章第25部運輸類飛機適航標準（即CCAR 25部）。該標準第25.1309條設備、系統及安裝的（b）款屬通用的安全性要求，適用于多數機載設備及系統，其具體要求如下：

第25.1309條 設備、系統及安裝

……

（b）飛機系統與有關部件的設計，在單獨考慮以及與其它系統一同考慮的情況下，必須符合下列規定：

（1）發生任何妨礙飛機繼續安全飛行與著陸的失效狀態的概率為極不可能；

（2）發生任何降低飛機能力或機組處理不利運行條件能力的其它失效狀態的概率為不可能。

……

隨著軟、硬件系統和設備的發展，民機機載系統的集成度和復雜度越來越高，僅用傳統驗證方法如試驗等已無法滿足25.1309（b）的安全性要求。針對這些高集成、復雜系統，需要借助系統化分析方法和過程保證技術來表明對25.1309（b）的符合性。

故障樹分析技術，作為經多年實踐經驗證明其作用的工具，其結構化的系統安全性分析方法特點，被國際適航組織和各國適航審定機構認可，以建議的形式將其納入可接受的符合性方法，如FAA的咨詢通告AC 25.1309-1A、EASA的可接受符合性方法AMC25.1309中分別將故障樹分析技術接受為可用于表明符合性的系統安全性評估技術之一[1-3]。

而針對復雜系統的工程管理，工業界廣泛采納的工業標準和指導文件有汽車工程師協會（SAE）ARP 4754A《民用飛機與系統研制指南》、ARP 4761《對民用機載系統和設備執行安全評估過程的指南和方法》等。這些標準是基于系統工程理論，通過雙V模型過程保證手段，對大型民用飛機滿足適航要求提供有效的指導。如果這些能得以正確、嚴肅的貫徹執行，局方也認為是表明對25.1309（b）符合性的有效方法[2-3]。在系統安全性過程中非常重要的應用工具之一，即是故障樹分析技術。因此，將故障樹分析技術應用于ARP4761系統安全性評估過程管理活動，可為表明對25.1309（b）符合性提供支持。

2 故障樹分析基本步驟及關鍵要素

一個成功執行的故障樹分析，通常需要8個步驟，見圖1[6]。其中，①～⑤可歸納為對該FTA的問題界定。建樹過程中大多數步驟是串行的，而③～⑤步可以同步進行。在構建和評估故障樹時，通常會產生對④和⑤的反饋[6]。下面就執行故障樹步驟的關鍵要素做簡要分析。

圖1 FTA基本過程

2.1 確定故障樹分析目標

確定目標是FTA的第一步。成功的目標設定需要充分理解系統設計和運行，并且獲取當前可用的設計數據，包括結構圖、原理圖等。

2.2 定義故障樹頂層事件

頂事件定義，即識別并定義有待分析的系統失效模式，其是不期望發生的事件，有待分析得出其失效原因，并確定其失效概率。頂事件的定義非常關鍵，其直接指導后續的FTA所有分析工作。若頂事件定義不正確，則整個FTA分析就是錯誤的，并導致錯誤的決策。因此，正確定義和理解分析目標和待解決問題非常重要。

2.3 定義故障樹分析范圍

形象的說，故障樹展現的是在給定時間、給定構型和給定邊界下，特定系統呈現出的一幅全景圖像[6]。與所有模型化方法一樣，故障樹在建樹前也需要定義分析范圍或分析邊界，即確定哪些在分析內，哪些在分析外。此外，還有一些邊界上對象，它們的定義將影響分析邊界內的內容，這些即是接口狀態，需要以假設方式作為系統輸入進行定義。在建樹過程中，邊界可能會發生改變，應對這些邊界進行跟蹤、管理和記錄。

故障樹的范圍可能包括：特定的設計版本、待分析系統相關的歷史時間、組件的初始狀態、系統假設輸入、系統接口等。例如，分析飛控系統的某失效狀態。那么定義該步驟時，需要確定該飛控系統的設計版本，運行模式，需考慮哪些組件失效，以及與飛控系統的接口（如支持系統/能源系統，作動信號等）的失效模型。

2.4 定義故障樹分解程度

如果不對分解程度（或稱建樹深度）做初步規劃和定義，可能會導致在建樹過程中迷失目標，更可能建成龐大繁瑣、喪失結構化又失去分析意義的無用樹[7]。而分解程度的一般原則是，建到足以識別功能依賴性的深度，或者是建到與可用數據和分析目標一致的深度。例如，如果頂事件是系統功能失效，一般分解到系統主要組件即可。如果需要做定量分析，則以獲得對頂事件最優估計為目標，在考慮現有數據和其他信息的前提下，通常分解到有最佳可用概率數據的程度。

2.5 定義故障樹基本原則

定義基本原則的主要目的是保證不同人員在做不同故障樹分析時保持一致性。建故障樹的最基本原則就是“往小里想”，或者更精確地說是“往近處想”[7-9]。每次只想一小步，確保覆蓋所有的主要原因以及它們之間的關系，不要直接跳躍到基本原因事件。基本原則涉及程序規定和命名方式、特定組件失效、人為差錯、共因失效模式等。

2.6 構建具體故障樹

故障樹的構建是一個不斷迭代的過程，從定義頂事件開始，在基本原則的指導下，逐級向下推理，確定各層級邏輯門的類型以及邏輯門的輸入條件，包括系統正常和失效事件，直到所有事件是可識別的硬件失效、軟件失效和人為差錯這些基礎事件為止。在推理過程中，可以應用一些概念模型或方法論幫助推理的完整和正確，如I-N-S，SS-SC，P-S-C概念模型[7-8]。

2.7 評估故障樹

評估故障樹，包括定性和定量評估。定性評估包括確定故障樹的定性重要度及共因可能性。而定量評估主要用于確定頂事件發生概率和基礎事件的重要度，進而可以根據導致頂事件的重要度排序，對措施和資源進行優化排序。最小割集是對故障樹定性評估和定量評估的重要工具，也即是對系統進行分析的重要工具。

2.8 解讀/介紹結果

對故障樹分析結果的解釋說明和介紹，應重點放在解釋說明，而不僅僅是介紹。分析結果必須結合目標進行解讀并給出切實的意義，尤其應重點突出可能對目標產生潛在影響的部分。

3 FTA應用中的適航審定關注、常見問題及解決思路

復雜系統的民機安全性評估過程管理，是秉持系統化分析方法和工程管理相結合的原則，介入并密切跟蹤民機研制全過程，及時更新特定評估產生的分析性證據，以表明對適用適航標準的符合性（如25.1309（b））的系列管理活動。

從設計角度來看，故障樹分析工作需要系統設計人員、系統工程管理人員、系統安全性分析人員的積極配合，發揮各自的優勢，利用好故障樹分析開展系統安全性評估過程，并融入研制雙V管理活動。而結合故障樹分析的大型民機適航審定，實際是針對大型民機特定系統安全性評估過程各階段進行評審，通過全面審查階段性故障樹分析結果的正確性和完整性，作為認可系統安全性評估階段狀態的支持證據之一。

因此，適航審定人員不僅要充分、全面理解審定對象的系統設計，還要掌握故障樹分析技術及安全性評估過程管理，通過相關內容的全面、細致、嚴格地審查，以確保符合要求。并且適航更關注其在系統安全性評估過程管理活動中，作為一種分析工具或技術是否能夠得以正確的應用，從而達到各過程的目標。

圖2 某典型FTA時間表

下面詳細分析系統安全性評估過程中FTA的應用通常存在的問題和解決思路，并給出舉例。

3.1 FTA修訂迭代計劃缺失或不合理

由于系統安全性工作貫穿設計整過程，同時牽涉到飛機設計總體、各系統設計、安全性總體、系統安全性分析各部門眾多人員的參與，并且作為基于系統工程和過程管理的系統安全性評估過程管理，如未在項目初期制定良好的系統安全性大綱及工作計劃，以規范化系統安全性評估工作，勢必在設計過程中發生安全性分析工作與設計工作不匹配，未發揮安全性分析評估系統架構作用，甚至飛機級與系統級安全性工作脫節等嚴重問題。而作為應用于各過程的重要工具FTA，隨著設計、評估過程的不斷深入也需要進行修訂和迭代的計劃。但目前實踐中，多數系統安全性大綱及工作計劃僅側重時間節點的安排，未具體化各階段FTA的修訂、迭代需達到的程度及目標。

因此，建議在系統安全性評估初期，設計單位就應制定實施FTA的工作計劃或大綱。可以把故障樹分析工作計劃融入系統安全性專題計劃，即系統安全性專題計劃中包含對故障樹分析的工作計劃內容。合理的故障樹分析計劃應保證其在各階段的分析詳細程度與該階段設計的細節水平相匹配，并且設置合理的關鍵節點，適時對故障樹進行修訂迭代。如設計凍結后，故障樹分析的修訂取決于設計更改的程度。故障樹分析的基本事件失效率是基于失效模式與影響總結（FMES），如果硬件設計更改導致故障率變化反映在FMES中，則要求更新FTA。在飛機試飛階段后期，應再次評估FTA。由于試飛大綱執行過程中產生的設備設計更改，應反映在FTA中，并且這些FTA應作為設備合格審定支持文件的一部分。圖2中以某典型FTA時間表為例[6]，分析如下：“初始”FHA作為FTA過程的第一步，用于確定系統失效組合，向系統分配概率預算值。

“第1次迭代”是FTA的第一次修改。可能原因有在需求確認過程中導致的設計更改，或對最初設計假設的明確。這次FTA迭代作為系統構架選型過程的一部分，并向更低層級事件分配風險和概率預算值。

“第2次（原型機）迭代” 是基于硬件或軟件詳細設計過程獲得的認知進行。在這個階段，需要完成將失效模式與影響總結（FMES）或其他來源得到的失效率代入故障樹基本事件，計算頂事件失效概率，將頂事件失效概率與實用的安全性要求對比，作為設備設計驗證過程的一部分。完成第2次迭代后的FTA版本可以作為成功完成“設計凍結”里程碑事件所需支持文件的一部分。

“首次（生產）修改”包括原型機試驗過程中暴露的問題進行硬件或軟件設計更改所造成的故障樹更改。

“最終樹”是由分析人員通過合并基于飛行試驗對硬件或軟件所采取糾正措施導致的任何故障樹更改，建立的最終故障樹。最終故障樹版本可以成為完成合格審定——另一個里程碑——所需系統安全性評估文件中的一部分[6]。

3.2 頂事件集不完備或描述不準確

單個頂事件定義的正確以及頂事件集合的完備對系統安全性評估過程活動具有重要意義，其直接影響故障樹分析的正確性。即頂事件的集合應保證所識別的事件可追溯性、完整性和正確性，事件的描述應當清晰、簡潔和準確。但從目前的系統安全性分析實踐來看，由于經驗不足或缺乏保證完備性的手段和方法，存在頂事件集不完備或頂事件描述不準確的問題。

因此，建議分析人員在系統安全性評估各階段應編制不期望發生事件的清單，并有手段和方法保證該清單產生的完整性。其中的每個不期望發生的事件都需成為某一故障樹的頂事件。根據不同系統安全性評估階段，頂事件有不同的來源。通常，FTA的頂事件來源于本層級FHA確定的失效狀態以及上一層級PASA/PSSA中FTA分解得出的底事件作為本層級的頂事件。表1是不同約定層級FTA頂事件的可能來源。

表1 頂事件來源

表2 SSA中頂事件描述措辭不當舉例

表2是SSA階段中頂事件描述措辭不當的例子，由于SSA階段設計構型基本確定，若頂事件描述時措辭不當，將使得故障樹無法順利建立[6]。

3.3 最小割集分析不充分

在安全性評估過程的不同階段最小割集的結果將反映不同層級設計架構分配安全性指標，并且確認驗證設計架構是否滿足安全性需求。最小割集是可導致頂事件的基礎事件的最小組合，其將頂事件與其基礎事件原因直接聯系。分析人員無論采用何種概念、模型和方法來建樹、分析，但是在建樹正確和完整的前提下，對于某頂事件產生的最小割集應是相同的。最小割集反映了系統的重要信息。但由于工程經驗不足，在各階段故障樹建立后，分析人員對最小割集的分析不夠充分，這將直接導致安全性分析的不徹底，忽略系統關鍵要素，從而導致因分析未到位產生更改系統架構的巨大風險。

因此，建議對最小割集進行充分的定性和定量分析。并特別注意最小割集反映的以下信息，如：低階次的最小割集表明具有較高安全漏洞。單階次最小割集（如單點失效）將導致最高的風險。即只有一個基礎事件的最小割集（即單個失效或單個事件）會引起頂事件發生。這些單個失效就是薄弱環節，需要升級和采取預防措施。最小割集中的事件如果都具備相同的特性，則暗示了這些失效具有相關性，或會由于共因而破壞冗余。

3.4 解釋說明不規范、不清晰

由于故障樹是作為安全性分析的工具，其分析的結果將被各級安全性工程師、設計人員及適航審查人員檢索和查閱，因此有必要建立統一、規范和清晰的解釋說明要求以規范管理。但在目前的實踐中，由于缺乏頂層規劃和對統一數據重要性的認識，各系統的故障樹分析結果解釋說明不規范、不清晰，這將給安全性工作與設計工作的結合、以及相關人員之間的溝通理解帶來不便。

因此，建議建樹后分析人員需首先對故障樹數據進行規范化和總結，并用文件證明故障樹架構能否滿足頂事件需求。如，適航審查人員通常以“每飛行小時失效概率”來表述其安全性要求。如果對分析的系統有這些類型的要求，那么分析人員必須“規范化”頂事件失效概率數值。若頂事件概率是以每次飛行計算的，分析人員應將概率值除以飛行時間或其它相應的時間，以獲得每飛行小時失效概率的頂事件規范值[5-8]。

同時，建議通過創建FTA數據總結表來進行管理，有助于適航審查人員和設計人員檢索所有相關FTA結果。此類FTA數據總結表建議至少包括以下信息：頂事件來源、編號、內容、最大允許概率值、FTA檢索號、計算結果、是否滿足安全性需求、措施等。

4 結論

故障樹分析技術，作為傳統的系統安全性分析方法，在大型民用飛機復雜系統的系統安全性過程管理中將發揮更大作用。但是，如何達到表明適航標準符合性的目的，如何將FTA分析和過程保證進行有效結合，如何應用好故障樹分析工具是需要重點關注的問題。本文對于上述問題進行了思考和探討，根據故障樹分析的技術特點，討論給出了其在民機系統安全性評估過程管理中的適航審定考慮，就若干問題進行梳理、給出解決思路和實例，滿足研制和審定工作的需要。

[1] CCAR-25-R4 運輸類飛機適航標準[S].

[2] （Federal Aviation Administration）Advisory Circular 25.1309-1A System Design and Analysis

[3] （European Aviation Safety Agency）Certi fi cation Speci fi cations for Large Aeroplanes CS-25-Book 2-Acceptable Means of Compliance 25.1309:2-F-55-2-F-58.

[4] （Society of Automotive Engineers）Aerospace Recommended Practice 4754A Guidelines for Development of Civil Aircraft and Systems[S].

[5] （Society of Automotive Engineers）Aerospace Recommended Practice 4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].

[6] Michael Stamatelatos,William Vesely,Joanne Dugan.Version 1.1.2002.NASA Of fi ce of Safety and Mission Assurance NASA Headquarters Washington D.C,20546.Fault Tree Handbook with Aerospace Applications [M].

[7] R.Allen Long.Beauty and the Beast – Use and Abuse of the Fault Tree as a Tool.http://www.faulttree.net.

[8] Clifton A.Ericson.Hazard Analysis Techniques for System Safety, II, Chapter 11, Fault Tree Analysis, Hoboken,New Zersey.WILEYINTERSCIENCE,A John Wiley & Sons,Inc.