大型客機系統安全性設計需求管理

蔡蔚榮

摘 要

依據運輸類飛機適航規章25.1309條款，提出了大型客機系統安全性需求管理體系。重點論述系統安全性頂層設計需求自上而下細化和分配的過程和方法，從而在大型客機系統設計與研制過程中充分落實系統安全性設計需求。通過嚴謹的需求管理體系確保系統安全性設計需求的完整性和可追溯性，從根本上提升大型客機的安全性設計水平。

關鍵詞

大型客機;系統安全性;需求管理

中圖分類號： V271.1 ? ? ? ? ? ? ? ? ? ? 文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457 . 2020 . 17 . 58

0 引言

大型客機系統安全性設計過程即是安全性需求產生、傳遞和實現的過程。安全性需求產生于飛機/系統的安全性分析與評估過程，這些需求應當通過可控的過程傳遞到設計中，以確保安全性需求能夠得到滿足。對安全性需求的產生、傳遞和實現過程進行嚴格的監控和管理是十分重要的。

一方面，安全性是各系統在研制過程中必須關注的問題。如果在設計早期，就能將安全性評估過程中捕獲的需求傳遞到系統的設計過程，系統就能在設計過程中考慮到安全性問題，并能夠采取有效的設計措施保證相應的安全性水平。系統的設計是反復迭代的過程，但明確的安全性需求，將有助于減少設計反復的工作量，提高系統設計效率。另一方面，適航當局非常關注安全性需求在設計中實現的過程。飛機的安全涉及全機各個系統，飛機各系統之間的輸入輸出關系是十分繁雜的。只有建立嚴密的安全性要求管理體系，才能向局方表明安全性需求是如何逐級傳遞到系統設計以及如何實現的。

1 系統安全性需求體系

建立清晰明確的系統安全性需求體系是進行需求管理的前提，根據大型客機研制過程，系統安全性設計需求一般分為四個層級：頂層安全性設計需求，飛機級安全性設計需求，系統級安全性設計需求和設備及安全性設計需求，如圖1所示。

在飛機概念設計階段，先根據當時的適航要求、之前飛機研制的經驗教訓以及競爭飛機的對比分析，確定飛機的頂層的系統安全性設計需求，并通過充分論證確保頂層安全性需求的完整性、準確性和合理性。隨著飛機研制進度的推進，頂層安全性需求自上而下不斷向下細化和分配，逐次形成飛機級安全性需求、系統安全性需求和設備級安全性需求。當飛機詳細設計完成，底層安全性需求得以實現，應自下而上逐級驗證下層安全性需求的實現是否滿足了上層安全性需求，從而最終確保頂層安全性需求得到滿足。

2 頂層安全性設計需求

飛機頂層的安全性設計要求來源于適航規章、過去機型或者類似機型的經驗和教訓以及飛機主制造商的指南和設計規章。適航對飛機安全性的要求是最低水平，飛機主制造商確定的飛機安全性目標必須不低于適航要求的最低水平。然而飛機安全性與經濟性通常是矛盾的，提高飛機安全性意味著也提高了飛機的設計成本，因此民用客機通常以滿足適航最低要求為飛機安全性設計的頂層需求。

民機系統安全性需求主要來源于CCAR25.1309條款[1]，頂層安全性需求可歸納為三個方面，如表1所示。

3 安全性設計需求的管理過程

安全性設計需求的管理過程即為頂層安全性設計需求逐層細化分配和確認驗證過程，這一過程與系統安全性分析與評估過程緊密聯系，以下從功能失效概率需求、共因需求、機組通告和操作需求三個方面分別論述系統安全性需求管理過程。

3.1 功能失效概率需求

功能失效概率需求針對飛機所有可能發生的功能失效狀態，主要通過功能危險評估（FHA）過程逐級細化。在飛機級，飛機級功能危險評估識別飛機功能的失效狀態，并確定這些失效狀態的影響等級，根據適航要求不同等級的失效狀態對應相應的定量概率需求。基于飛機的功能架構，飛機級失效狀態的定量概率需求分配至系統級失效狀態概率需求。系統級也需開展功能危險性評估，以同樣的方法確定系統級功能失效概率需求，系統級功能失效概率需求必須完全涵蓋飛機級分配至系統級的失效概率需求。系統設計架構確定后，可通過故障樹的方法，將失效概率需求逐級分配至具體的設備，從而最終確定底層系統設備所應滿足的可靠性要求。

在進行功能危險性評估過程，除了捕獲了失效狀態概率需求，也會捕獲功能研制保障的需求。在飛機級，功能研制保障等級與功能失效狀態最嚴酷的影響等級是一一對應的。飛機級功能研制保障等級（FDAL）根據飛機功能架構分配至系統功能，系統通過建立系統功能的差錯樹將系統FDAL分配至設備軟硬件的項目研制保障等級（IDAL）。研制保障等級不是針對系統設備本身的需求，而是針對飛機、系統和設備研制過程的需求，不同的研制保障等級需滿足相應的過程保證。

3.2 共因需求

共因需求是為了避免單點故障造成災難性失效，在細化過程可分為特定風險需求、共模需求和區域安全性需求[2]。

在飛機級，應先確定飛機研制項目中所需開展的特定風險事件（例如鳥撞、轉子爆破等），捕獲每項特定風險事件的設計需求。特定風險事件的設計需求一部分來源相應適航條款以及之前飛機的經驗，另一部分來源于FHA過程。對于FHA中所識別的災難性失效狀態，飛機級應捕獲相應的系統布置需求以避免特定風險事件導致這些災難性的失效的發生。在系統級，應根據飛機級特定風險需求，進一步確定系統設備的布置需求，例如重要設備的布置位置，管路和線路的布置等。

共模需求同樣針對FHA中的災難性失效狀態，在飛機級根據FHA分析結果識別系統與系統之間的共模需求。例如同時喪失方向舵控制和前輪轉彎會導致著陸時喪失方向控制，這個失效是災難性的，則方向舵和前輪轉彎控制不能使用同樣的液壓源，以避免同一液壓喪失造成方向舵和前輪轉彎同時喪失。在系統級，根據系統的詳細架構識別設備層級的共模需求，例如如果系統需要兩套冗余探測器，應考慮使用不同類型的探測器以避免共模失效。

區域安全性需求包括設備設計安裝準則和外部失效的需求。設備設計安裝準則基于相應的標準或者經驗直接提出了設備之間的安裝方位、安裝距離、防差錯設計等需求。外部失效需求應先識別具有外部失效模式的危險源，根據危險源的影響范圍和系統冗余的架構，捕獲隔離或者防護的需求。區域安全性需求往往直接具體到系統設備的布置要求，可直接統一在飛機級或者系統級，無須進行逐層級分解。

3.3 機組通告和操作的需求

系統不安全的工作情況應通過恰當的方式告知飛行機組，并向機組提供清晰、明確、有效的糾正措施。系統不安全的工作情況通過FHA識別的失效狀態進行確定，在飛機級應初步確定機組發覺失效的方式和機組需采取的應對措施。在系統級，應在系統級設計方案中考慮不安全性失效狀態通告給機組的具體方式，方式包括機組告警、機組顯示、燈光提示或者振動提示等，通告的方式首先要滿足相應的適航要求，其次考慮系統的實現方案。初步的應對措施在系統級應進一步細化為機組看到通告后的操作程序，這些操作程序經仿真、模擬實驗和飛行實驗驗證后落實到機組操作手冊中。

4 總結

本文根據25.1309條款提出了大型客機系統安全性設計需求體系，明確了大型客機頂層安全性設計需求，從功能失效概率需求、共因需求、機組通告和操作需求三個方面分別論述了系統安全性需求在飛機級、系統級和設備級逐層細化、分配和驗證的管理過程，為大型客機系統安全性設計提供借鑒，確保飛機設計安全。

參考文獻

[1]CCAR-25R4，中國民用航空規章第25部運輸類飛機適航標準.2009：129.

[2]SAE 4761， GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT， 1996-12：156-157.