民用飛機安全性分析技術在軍用直升機中的應用研究

陳圣斌，曾曼成，王 斌，丁 杰

(中國直升機設計研究所，江西 景德鎮 333001)

?

民用飛機安全性分析技術在軍用直升機中的應用研究

陳圣斌，曾曼成，王 斌，丁 杰

(中國直升機設計研究所，江西 景德鎮 333001)

軍用直升機應進行安全性分析設計，這是無疑的。然而其安全性的要求和目標是什么？按什么方法進行分析和評估？此文回答了這些問題，即滿足直升機AC292C-1309的要求，并應按ARP 4761給出的方法，完成安全性分析和評估。為此，首先說明國內外軍用直升機安全性現狀和存在的問題；接著介紹了ARP 4761的特點和分析方法；然后論述了民機安全性要求和目標對軍用直升機的適用性；最后根據以往的經驗教訓提出了軍用直升機應用ARP 4761的要求。

軍用直升機；安全性分析；直升機事故率

0 引言

隨著航空技術的發展，特別是新技術、新材料及高度一體化航空電子系統在飛機/直升機上的廣泛應用，飛機/直升機的安全性水平得到了迅速提高。目前飛機的事故率為10-6/FH，直升機事故率為10-5/FH[1]。然而，隨著飛機/直升機使用數量的不斷增長，如果仍以目前的事故率計算，未來每年可能出現54起飛行事故[2]，即每星期就會發生一次飛行事故。顯然，這是現代社會不應容忍的。因此，美國聯邦適航部門提出在未來10年應將飛行事故率降低一個數量級，即10-7/FH[3]。美國陸軍航空部門也提出到2015年將直升機的事故率下降80%[4]。

同樣，國內直升機的安全性也面臨嚴峻挑戰。隨著我國新研直升機在部隊的廣泛使用，也曾發生一些安全性問題。

盡管這些安全性問題有許多是人的失誤造成的，但從事件鏈模型來看，每一個安全問題的發生都是一個以上的事件引發的，其中有許多與設計的潛在差錯/缺陷相關。

因此，直升機的安全性與直升機的設計密切相關。目前，國內新研直升機都是按GJB900的要求進行安全性分析設計的。

盡管這一標準提出了許多安全性工作項目，如初步危險分析，系統安全性驗證評估等。然而這些工作項目的工作內容是從軍用裝備一個大范圍提出的，其內容寬泛，要求通用，程序簡化。因此，在直升機型號研制應用時，對相應的工作項目存在不同的理解空間。在進行分析時，往往分析不夠系統、全面，如僅分析了直升機自身故障，而不涉及人的差錯以及共因故障(特殊風險、共模故障)。就一個系統而言，僅考慮系統本身故障，而未分析其他系統關聯故障組合一起引起的安全性風險。

正因為如此，以往的直升機安全性設計中雖然也進行了FHA、FTA、FMEA及區域安全性分析等，但從分析的結果來看，幾乎很少甚至沒有發現設計的差錯/缺陷，對安全性要求也沒有予以詳細(定性定量)的確認/驗證。顯然，這樣的分析對直升機安全性設計是沒有影響，起不到作用的，僅僅是完成了安全性分析的程序而已。這樣在飛行使用中造成安全性重大事故也就不足為奇了。

總之，從國內直升機的現狀來看，按GJB900進行安全性分析設計難以達到安全性設計的目標。

本文根據ARP 4761《民用機載系統和設備安全性評估指南和方法》中的先進理念和安全性分析技術，結合直升機的特點，提出了基于民機的安全性分析技術在軍用直升機上的應用研究。目的是：

1)提高直升機安全性分析設計水平；

2)系統、全面、完整、正確地發現系統功能故障、關聯故障、共因故障，提出這些故障的分析、確認、驗證方法，給出設計改進措施，提高直升機安全性。

1 國外軍用直升機安全性分析和設計

1.1 直升機安全性分析方法

美國20世紀研制的武器裝備都是應用MIL-STD-882《系統安全性大綱要求》進行安全性分析和設計的(GJB900是移植MIL-STD-882)。對于軍用直升機，在美國直升機工程設計手冊的第三部分AMCP706-203《直升機工程定型保證》[5]中，要求編制《直升機系統安全性大綱》，大綱中按MIL-STD-882的要求，提出直升機安全性危險類別，即A類(災難性的)，B類(危險的)，C類(嚴重的)，D類(輕微的)，E類(無影響)(參見本文表3)，其分析方法包括功能危險分析，故障樹分析，FMEA等。

美國20世紀研制的AH-1、AH-64、UH-60等軍用直升機都是按MIL-STD-882或AMCP706-203《直升機工程定型保證》的要求進行安全性分析和設計的。

1.2 安全性分析設計實例

在70年代，美國貝爾公司在與休斯公司競標先進攻擊直升機(AAH)時研制的YAH-63軍用直升機，其安全性分析和設計中，提出如下要求：

設計目標：識別和消除安全性隱患，及早發現危險并將其減少到可接受的水平，防止以往安全性問題再現，使研制費用、事故費用及壽命周期費用減到最少。

分析方法：包括功能危險分析，故障樹分析，故障模式及影響分析，區域安全性分析等。

設計方法：包括結構完整性設計，破損(故障)-安全設計，余度設計，載荷的多通道設計，容錯設計，故障保護和隔離設計等。

1.3 存在的問題

盡管AH-1、AH-64及UH-60和VH-22等軍用直升機都進行了安全性分析和設計工作，但是這些分析工作是不系統和不完整的，它僅僅考慮直升機和直升機系統自身的故障，而沒有考慮人-機-環境系統中人和環境等影響直升機安全的因素，這樣的分析結果對安全性設計的影響是非常有限的。從美國《Vertifilte》1989 1/2期《US·Amy Life Cycle Safety》中所統計的數據來看，在1982-1988年之間，其A-B-C類事故每年平均約為150起，幾乎每星期3次。其A類故障年平均25次，也幾乎是每兩個星期一次。

直升機的故障率很高，除了直升機結構復雜，操縱控制困難及使用環境惡劣等因素之外，這些事故/事件的發生與安全性分析和設計是相關的。這也說明了按MIL-STD-882進行安全性分析和設計是不充分的。

因此，美國陸軍航空當局在本世紀開始之時，便提出了到2015年要將直升機的事故率減少80%[4]，并提出了包括軍機適航要求及按民機安全性分析技術進行分析等在內的多種改進措施。

事實上，20世紀90年代末，美國西科斯基所研制的S-92的安全性分析和設計便是按ARP 4761的分析技術進行的。目前，我所與法國合作研制的EC175/Z15，也是按ARP 4761進行安全性分析和評估的。

2 ARP 4761的安全性分析方法[6]

2.1 ARP 4761的主要特征

從ARP 4761提供的分析技術來看，它具有如下特征：

2)這些分析方法對安全性的分析評估構成了一個完整的體系，它全面、系統、完整地對涉及安全性的故障/事件都以不同的方法從不同的層面、角度進行分析研究，試圖將所能考慮的故障/事件通過分析，找出故障原因，提出相應的改進措施予以消除或將其減少到所能控制/接受的范圍。

3)對危及飛行安全的災難性和危險的事故/事件都要進行定性、定量分析，以確認和驗證這些災難性和危險的事故/事件的發生概率小于10-9/FH和10-7/FH。

4)在系統安全性分析和設計過程中，設置了不同階段的安全性評估，包括功能危險評估、初步系統安全性評估和詳細系統安全性評估等。在整個研制過程中，通過這樣的評估，對設計過程中所發現的問題和產生的安全性要求進行設計更改和落實，以確保安全性要求得到確認和驗證。

5)ARP 4761所提供的安全性要求和分析方法，是過去經驗和血的教訓的總結。

6)它使傳統的安全性分析和評估實現了三個轉變：

①將傳統的單純的直升機自身的安全性分析和評審轉化為“直升機人-機-環境系統”的全面系統的安全性分析和評估；

大型儀器設備作為科研工作的重要基礎條件，是衡量一個國家科技發展水平的重要指標。因此，推進大型儀器設備管理創新和開放共享是合理利用資金促進科研工作健康穩定發展的需要，也是科技管理改革的重要組成部分。但是，一方面受經濟水平的限制，我國大型儀器設備資源嚴重不足，無法滿足需求；另一方面各單位之間又缺少交流共享，造成重復購置、配置不合理、管理混亂的現象，造成資金巨大浪費，阻礙了科研水平的提高。因此，有必要學習國外特別是發達國家的先進經驗，結合我國的實際情況，最大限度地提高資源使用效率。

②將適航審定的這種事后被動的安全性評估轉化為研制中事前主動的安全性分析，從而在研制中及時發現安全性隱患，并采取相應措施，提高直升機的安全性；

③將傳統的安全性驗證/確認轉化為設計保證和嚴格的過程控制，從而確保安全性分析設計的系統性、完整性、全面性和正確性。

2.2 ARP 4761的安全性分析方法

為進行安全性評估，ARP 4761給出了如下的分析方法：功能危險分析、故障模式及影響分析、故障樹分析、共因分析(包括特殊風險分析、共模分析、區域安全性分析)。這些方法簡介如表1所示。

3 民機安全性分析技術對軍用直升機的適用性

3.1 軍用直升機安全性要求

正如圖1所示[7],直升機的致命事故率為10-5-10-6/FH。隨著直升機技術的發展，旋翼傳動等部件的可靠性、安全性的設計水平得到了很大提高.因此，歐洲直升機工業集團的EH-101直升機這一軍民通用的大型直升機,其安全性要求達到固定翼飛機的水平，其致命事故率與固定翼飛機相當，即其事故率必須減少80%或更多。

圖1 故障概率[7]

事實上，早在1993年時，美國NASA和FAA就曾提出[8]要以1994-1998年直升機的事故率為基線，確定未來10年，即2008年直升機致命事故率下降80%。包括軍用直升機在內的直升機到2008年的目標值如表2所示。

因此，如能達到這一目標，直升機的安全性水平就能達到目前固定翼飛機的水平，這樣，隨著直升機技術的發展及安全性水平的提高，今后不至于像目前那樣，每星期約出現3次事故，更不至于每兩星期發生1次致命事故。

3.2 軍用直升機安全性的風險類別

由于CCAR 29部或FAR 29部1309條的要求與美國FAR 25是一致的， 在AC1309條中所提出的風險類別及發生概率如表4所示。對于軍用直升機，正如表3所述，安全風險等級分為A、B、C、D、E 等5個類別，盡管它沒有給出A、B、C、D、E每個類別的發生概率，但對照表3和表4嚴酷度及故障影響，軍用直升機事故/事件各個類別的發生概率與表4的Ⅰ、Ⅱ、Ⅲ、Ⅳ、Ⅴ的風險類別是相同的。

表1 安全性分析方法

3.3 軍用直升機安全性的目的

軍民用直升機安全性設計的目的無疑是確保直升機的安全和機上乘員的安全。

由上分析，軍民用直升機無論安全性的目的、要求及風險等級還是風險概率都是相同的，完全有理由認為引用民機的安全性分析技術來規范指導軍用直升機的安全性分析設計工作，這對于提高直升機的安全性，在未來10年或更長的時間達到民用飛機安全性的水平是必須的。

表2 目前和未來旋翼航空器的安全性[8]

表3 美國軍用直升機事故/事件分類[9]

4 ARP 4761在軍用直升機中的應用要求

為了在直升機研制中，應用ARP 4761來規范和指導軍用直升機的安全性分析設計工作，建議做好如下工作。

4.1 變革安全性分析理念，創新應用ARP 4761

通過幾年來對國外資料(如波音777電源系統和液壓系統安全性分析報告，S92直升機整機功能評估報告，AH-63先進武裝直升機安全性大綱……)的學習、消化以及參考EC175/Z15的國際合作研制工作，深刻理會到做好軍用直升機安全性分析工作必須是：

表4 民用直升機安全性風險分類

1)拓展分析思路，將過去傳統的直升機及直升機系統本身的安全性分析轉化為“直升機人-機-環境系統”的安全性分析，即安全性分析不僅考慮直升機本身的故障，而且要考慮人的差錯/失誤(如駕駛員操作、儀表判讀失誤、維修人員的維修差錯等)以及環境的影響(如風雨、沙塵、障礙物等)。

2)延伸故障分析范圍，將以往的僅考慮自身的故障及故障影響延伸為功能故障、關聯故障及共因故障的分析。

3)創新分析程序和方法，使ARP 4761分析具有更好的操作性。ARP 4761的各種分析仍然偏于概念、實施原則的頂層描述，例如在共模分析中便缺少分析程序，使其難以細化和具體應用。因此，必須對每一種分析方法創建具體應用程序、實施細則及直升機的應用實例。

4)建立直升機安全性分析的體系，包括：

軍用直升機安全性保證大綱；

軍用直升機安全性設計準則；

軍用直升機各種分析方法實施指南；

軍用直升機各種安全性分析報告編制要求(模板)；

軍用直升機安全性信息庫。

4.2 注意分析細節，使軍用直升機安全性分析工作做到“系統、完整、全面、正確”

從EC175/Z15直升機與國外合作后，國內新研的直升機都引入了安全性分析和評估工作，編制了許多分析報告(FHA、FTA及FMEA、ZSA等)。仔細檢查，存在許多問題。為了糾正這些問題，在分析中應做到：

1) 分析的系統性

所謂分析的系統性，即將型號的安全性分析和評估作為一個完整的系統工作，每個系統的安全性分析包括功能危險分析、故障模式影響及危害性分析(FMECA)、故障樹分析(FTA)、共因分析(特殊風險分析、共模分析、區域安全性分析)以及安全性設計準則或適航條例的符合性分析。在以往的型號設計中，許多系統都完成了FHA、FMEA，個別系統也做了FTA，共因分析基本上未做，顯然，這樣的分析不到位，它未能包容所有可能的故障及其對安全性的影響，達不到安全性分析和評估的作用。因此，在今后的型號研制中，應根據系統特點盡早地規劃安全性分析工作和需提供的分析報告，使整個系統的安全性分析配套、協調，能追溯可能發生的全部故障。通過分析，找出故障原因，或者確認和驗證系統滿足安全性的要求。

2) 分析的完整性

所謂分析的完整性，即每一分析，應包含完整的內容。在分析模板中的條款目錄都應進入報告中，不應有缺項，如不適用的章節條款項應說明不適用的理由。另外，每章節條款所規定的內容也應完整。如FHA中的“系統說明”中，許多系統在以往的報告中未包括系統原理圖，這樣，原理說明中往往會缺少相應的內容，如有些系統僅闡述系統的基本功能，往往漏掉控制功能或調節保護功能，也有的會遺漏顯示監控功能，這樣，在分析中，有些功能故障就沒有進行分析。

3) 分析的全面性

所謂分析的全面性，即對列舉的故障(如功能故障)除了考慮自身的功能故障，還要考慮關聯系統同時故障(即最壞的情況)的影響；對于故障樹分析，其頂事件的發生應考慮人-機-環境，進行全面分析和評估。在以往的分析報告中，僅考慮系統自身的影響，對于保護裝置或隱蔽故障未作分析，如過壓保護功能失效，在發電機過壓的情況下造成整個電網故障也往往未做分析。由于缺少全面的分析，盡管做了FHA、FTA分析，但分析結果可能是不全面的。

4) 分析的正確性

所謂分析的正確性，即分析是否有錯誤或不正確。例如，FHA中，在分析失去氣壓高度指示功能時，在以往的分析中，認為無線電高度表是氣壓高度指示的備份。這里顯然錯了，他們兩個的高度基準是不同的。結果氣壓高度表的功能失效影響就降級了。在FMEA中，由于故障模式的描述不正確，其原因也就不同，采取的措施，往往是換件，而不是設計更改措施。

總之，在安全性分析中，要真正做到以上分析的“系統性、完整性、全面性和正確性”，在工作中應從如下方面努力：

① 責任和擔當：將安全性視為重大的社會責任，它關系到人的生命和國家財產，對這種責任要勇于擔當和負責；

② 積累經驗，不斷進取：在工作中學習，在實踐中積累，求新進取，不斷提高；

③ 團隊精神，協調合作：工程研究和設計是一個團隊的共同工作，完成直升機和直升機系統安全性分析和評估，需要各種專業人員的協調合作才能完成；

④ 此外，編制好各種分析指南的實施細則是很重要的。它要突出直升機的特點，型號特點，所規范的工作項目及實施方法要具有實用性、操作性。

5 結束語

通過上述的分析可以得出：

1)軍用直升機的安全性要求與民用飛機相同;

2)軍用直升機必須應用民機安全性分析評估技術進行安全性分析，以滿足安全性要求;

3)應注意分析細節，使軍用直升機安全性分析系統、完整、全面、正確。

[1] 陳圣斌，曾曼成. 人的失誤研究及機組人員資源管理[C] 第九屆人-機-環境系統工程大會論文集，美國科研出版社，2009，21-27.

[2] 青木謙和. 事故率をさちに低下させゐ取り組みが必要[J].航空情報(日本)，2013(9): 50-51.

[3] 佐天間, 秀 武. ヒマンフヮヶーでなぜ事故をなくせるのか[J]航空技術， 2003,579(6):68-69.

[4] LTC Scott Kubica. Aviation Combat Readiness and Safety [J].ARMY AVIAION 2008(10):36-37.

[5] 602所,譯. 美國工程設計手冊 直升機工程 定型保證[Z].航空工業部第602所,1988:19-20.

[6] 郭百鑫,譯. SAE ARP4761 民用飛機機載系統和設備安全性評估指南和方法[Z].民航華東管理局,2007.12.

[7] Dr. Levertron J W. MOLTI-ROLE Advance Technology Rotorcraft-The EH101[C]. Proceedings of AIAA Forum,1990, 2-3.

[8] Fox R. Measuring Safety Investment Effectiveness Relative to Rise [C]. 54th AHS Annual Forum,1998:211-212.

[9] Nagaraj V T, Chopra I. Assessment of Helicopter Wire Strike Accidents and Safety Warning and Protection Device [C]. 61th AHS Annual Forum ,2005: 976-992.

Study of the Civil Aviation Safety Technology Application in the Military Helicopter

CHEN Shengbin, ZENG Mancheng, WANG Bin, DING Jie

(China Helicopter Research and Development Institute, Jingdezhen 333001, China)

Firstly, this paper described the problems existed currently in the Safety analysis and design of the Military Helicopter. Then, it provided induction about safety analysis methods in the APR 4761 document, and investigated the applicability of the civil aviation safety requirement and object in the military helicopter. Finally, according to the lessons learned, this paper presented the requirement associated with ARP4761 application.

military helicopter; safety analysis; accident rate

2014-09-20

陳圣斌(1944-)，男，江西永新人，研究員，航空陀螺儀表專業，現從事直升機可靠性維修性保障性研究和設計工作。

1673-1220(2015)01-044-06

V328.3

A