基于系統工程的航空發動機安全性評估追溯模型框架

郭放 吳晶峰 楊子江 楊慧赟 劉嘉偉 閆文輝

摘要：航空發動機研制是一個反復迭代的過程，安全性評估是研制過程不可缺少的部分。在航空發動機“正向”研制過程中，通過系統性、規范化的分析、設計和驗證等工作，可以有效預防災難事故的發生和減少事故損失，降低發動機運營時的風險，提高航空發動機的安全性。本文依據基于系統工程的航空發動機的安全性評估過程建立追溯模型框架，可以與發動機研制相結合，保證安全性需求的設計實現。

關鍵詞：系統工程;航空發動機;安全性評估;追溯模型框架

1? 背景和意義

航空發動機系統安全性評估是對航空發動機安全性進行系統性的綜合評價。國外發達的航空工業國家把航空發動機的安全性評估工作放在特別重要的位置。隨著民航事故的發生頻率越來越高，為了確保民用航空的安全，美國聯邦航空局（Federal Aviation Administration，FAA）制定頒布了一系列聯邦航空法（Federal Aviation Regulation，FAR）和咨詢通告（Advisory Circular，AC）[1]，歐洲航空安全局（European Aviation Safety Agency，EASA）發布了合格審定規范（CS）、可接受符合性方法（AMC）和指導材料（GM）。我國也頒布了一系列的航空規章和咨詢通告。

在以上適航標準中，FAR-33、CCAR-33的33.75條款及CS-E510條款專門針對發動機及其子系統提出安全性評估的總體要求，明確指出在航空發動機設計階段申請人必須對發動機及其控制系統進行安全性評估，以確保航空發動機的安全水平[2]。航空發動機的研制必須滿足適航規章的規定，才能通過適航審定，進入民用市場。美國汽車工程師協會（Society of Automotive Engineers，SAE）發布了一系列與 FAR 相符合的標準和規范，包括SAE ARP4761、SAE ARP4754A等[1]。

但是，在具體的安全性評估過程中很難直接使用這些規章、標準和規范中的安全性評估內容，因為它們沒有針對航空發動機提供具體的安全性評估過程，而且安全性評估模型及相關研究都沒有對航空發動機所需的安全性數據及其與研制中其他活動數據之間的關聯進行說明[1]，導致目前型號安全性工作中仍存在以下問題：一是航空發動機系統安全性評估與產品研制脫節，系統工程V模型左臂缺失，安全性工作難以發揮其在產品研制過程中應有的作用;二是安全性評估結果缺乏可追溯性，難以準確判斷安全性評估工作的有效性和準確性，增大了工作的技術難度[3]。

本文分析了系統工程在航空發動機研制過程中的應用、基于系統工程的安全性評估過程，建立安全性評估過程追溯模型框架，能夠有效解決航空發動機研制過程中V模型左臂缺失以及安全性評估結果缺乏可追溯性的問題。

2? 系統安全性評估

安全性理論發展至今形成了基于系統工程理論的安全性評估方法，在復雜系統的研制過程中，將“安全性”作為一項非功能性需求在研制之初加以考慮，安全性評估與系統研制密不可分，評估過程是安全性需求識別、分解、確認、設計實現（包括圖紙、計算和試驗）和驗證的過程，實現系統的安全性設計。為完成各項評估工作需要采用具體的評估方法，常用的評估方法包括功能危險性分析（Functional Hazard Assessment，FHA）、初步系統安全性評估（Preliminary System Safety Assessment，PSSA）、系統安全性評估（System Safety Assessment，SSA）、故障模式及影響分析（Failure Mode and Effects Analysis，FMEA）、故障樹分析（Fault Tree Analysis，FTA）以及共因分析（Common Cause Analysis，CCA）等[3]。安全性評估工作與系統研制活動相輔相成，相互依存，其關系可以用圖1模型表示。模型左側，自上向下利用安全性分析方法完成安全性需求的識別、分解和確認，這一過程覆蓋發動機概念設計階段和初步設計階段;模型低端進行零組件的設計制造，對應系統研制的詳細設計階段;模型右側，自下向上進行系統集成和試驗驗證，是產品實現過程，每一層級的集成和試驗都對左側相應層級的設計安全性進行驗證。安全性評估伴隨系統研制進程是一個反復迭代的過程，也在需求的識別-分配-確認-驗證過程中實現需求的可追溯，最終確保系統設計滿足安全性需求。

3? 安全性評估過程追溯模型框架

參考文獻中民用飛機適航安全性數據追溯性分析與建模[3]中的追溯模型框架，基于梳理的安全性評估過程，建立安全性評估過程追溯模型框架如圖3所示。

各文件間關系及追溯性說明如下：

T1：FHA報告對AFHA（飛機級功能危險性評估）報告的追溯性關系。

FHA報告的頂層需求來自于AFHA衍生的安全性需求及適用的規章。

T2：SFHA報告對FHA報告的追溯性關系。

SFHA報告對FHA報告的追溯性關系主要關注整機級功能清單和系統級功能清單間的追溯性和一致性，整機級失效狀態清單和系統級失效狀態清單間的追溯性和一致性。整機級的頂層需求來自于飛機級FHA衍生的安全性需求及部分規章。

T3：SFHA/FHA報告對失效材料支撐文件的追溯性關系。

SFHA/FHA報告中各失效狀態類別的劃分應該有對應的支撐材料支持，該材料可以是地面試驗、分析計算、仿真模擬等。在SFHA/FHA報告中， 應對各失效狀態的支撐數據進行索引。

T4：FTA報告對SFHA/FHA告的追溯性關系。

結合系統架構，PSSA文件中的FTA以SFHA/FHA中的安全性目標和需求自上而下的分配給子系統/設備，再將設備級需求分配到軟件和硬件，設定一個初步的發動機的安全性指標體系。

T5：SFHA/FHA報告和PSSA/SSA文件對共因分析的追溯性關系。

SFHA/FHA報告中，由于各功能之間的交互作用，某功能失效或故障有可能對其他系統造成一定影響，在進行評估過程中需要考慮該功能故障對其他系統的耦合影響。

PSSA/SSA過程的部分初始安全性需求來源于共因分析，需要對災難類失效狀態下“與” 門事件開展分析。根據目前的適航要求，災難級失效狀態是不允許出現“單點故障”的。而共因分析就是通過特定風險分析（Particular Risk Analysis， PRA）、區域安全性分析（Zonal Safety Analysis， ZSA）和共模分析（Common Mode Analysis， CMA）驗證失效狀態故障樹是否存在“單點故障”。各個系統中的PSSA/SSA都會用到共因分析的結果。

T6：PSSA/SSA文件對SFHA/FHA報告的追溯性關系[3]。

PSSA/SSA文件對SFHA/FHA報告的追溯性關系主要體現在：

①PSSA/SSA分析需要以SFHA/FHA報告和PASA（飛機級初步系統安全性評估）的輸出結果為初始安全性需求，包括相關失效影響、定性需求、概率預算等，比如PSSA/SSA分析應該以SFHA/FHA報告中確定的安全性需求為頂事件進行故障樹定性定量分析，SSA需驗證是否滿足了SFHA中的安全性需求。

②PSSA/SSA分析的深度依據SFHA/FHA報告中的結果，隨著分析系統的相關設計、復雜性和失效狀態影響等級變化。比如危害和重要的失效狀態以及高度復雜系統的輕微失效狀態需要進行定性定量的故障樹分析;而非高度復雜系統的輕微失效狀態和無影響的失效狀態只需要進行定性的分析。

因此在PSSA/SSA文件中需要對SFHA/FHA報告進行索引，并引用SFHA/FHA失效狀態及其列表。

T7：FTA報告對設計文件的追溯性關系。

FTA在安全性評估中可以量化頂事件（FHA中確定的失效狀態）發生的概率;將頂層的安全性目標向下分配給較低層;通過定性評估和定量評估的結合，查看設計錯誤的影響;評估設計更改對安全性的影響等。故障樹描述系統中各事件的因果關系，表明系統哪些組成部分的故障或外界事件或它們的組合將導致系統發生一種給定故障的邏輯圖。以設計文件中的設計需求為基礎建立故障樹。

T8：PSSA/SSA文件對FTA報告的追溯性關系。

FTA是實施PSSA/SSA的重要分析方法和有力工具。PSSA根據初步的數據、信息和設計架構，證明與失效狀態相關的安全性需求得到滿足，PSSA過程的輸入包括上一級的FTA。SSA自下而上的驗證可實現的設計方案是否滿足定性和定量的安全性需求，基于PSSA中已有的FTA為基礎進行分析。

T9：SSA文件對PSSA文件的追溯性關系。

在SSA文件中需驗證PSSA文件中確定的需求和失效狀態。包括但不限于系統需求、軟件需求和硬件需求。

T10：DAL符合性驗證文件對PSSA的追溯性關系。

PSSA文件應結合系統架構，對軟件和硬件研制中產生的重要衍生需求進行評估，確定相關軟件和硬件的研制保證等級。RTCA DO-178B標準用來驗證軟件實現是否滿足要求的研制保證等級。RTCA DO-254標準用來驗證硬件實現是否滿足要求的研制保證等級。根據RTCA DO-254和DO-178B中相應等級要求，形成符合性驗證文件。

T11：SSA文件對DAL符合性驗證文件追溯性關系。

SSA根據PSSA中確定的相關軟件和硬件的研制保證等級，對各部件DAL符合性驗證文件進行索引。

T12：FMEA文件對FTA文件的追溯性關系。

FMEA是分析系統中每一功能、組件及零部件所有可能產生的故障模式及其對系統造成的所有可能影響。可與FTA一起進行定量分析，自下而上的提供故障模式列表。

T13：FMEA對設備需求及設計文件的追溯性關系。

初步設計結束前應完成系統和設備的初步的FMEA分析，詳細設計前應完成系統和設備的詳細FMEA分析工作。系統和設備進行FMEA時應利用設備需求和設計資料來確定完成功能的產品及其狀態。并確定各產品等級的內部功能和系統接口功能。

T14：SSA文件對FMEA文件的追溯性關系。

SSA綜合各種分析的結果，驗證整個系統的安全性，通常建立在PSSA中FTA的基礎上，并且要用到FMEA中的定量數據。

4? 結論

本文依據基于系統工程的航空發動機的安全性評估過程建立追溯模型框架，模型框架詳細說明了安全性評估過程各個文件之間的追溯關系，實際的安全性評估過程中存在文件間的多次迭代，本文提供的模型框架可以與發動機研制相結合，保證安全性需求的設計實現。

參考文獻：

[1]張雷雷.民用渦扇發動機數控系統安全性分析與評估技術研究[D].南京航空航天大學，2012.

[2]魏錢鋅，朱宇，闞鑫禹，曹志濤.基于模型的安全性分析及其在航空發動機軟件系統上的應用[J].航空動力，2019，02，18.

[3]馬贊，閻芳，趙長嘯，等.民用飛機適航安全性數據追溯性分析與建模[J].電訊技術，2017，57（9）：1064-1070.

[4]修中信，等.民用飛機安全性設計與評估技術概論[M].上海交通大學出版社，2015.