民用飛機(jī)著陸系統(tǒng)安全性評估的故障樹分析

張輝，陳世浩

(中電科柯林斯航空電子有限公司 工程部， 成都 611731)

0 引 言

飛機(jī)著陸系統(tǒng)能夠向飛行員提供精密引導(dǎo)信息，保障飛機(jī)安全進(jìn)近和著陸。一旦著陸引導(dǎo)信息丟失，尤其是在氣象條件惡劣和能見度差的條件下，將大幅增加飛行員的工作負(fù)擔(dān)，影響飛機(jī)的飛行安全。據(jù)統(tǒng)計(jì)，飛機(jī)的飛行事故大約有一半發(fā)生在進(jìn)近著陸階段，因此，研究飛機(jī)著陸系統(tǒng)的安全性設(shè)計(jì)對飛行安全具有重要意義。

儀表著陸系統(tǒng)(Instrument Landing System，簡稱ILS)是國際民航組織認(rèn)可的標(biāo)準(zhǔn)著陸設(shè)備，過去幾十年來在飛機(jī)進(jìn)場著陸中發(fā)揮了很大的作用。相比于ILS，微波著陸系統(tǒng)(Microwave Landing System，簡稱MLS)具有抗干擾能力強(qiáng)、工作波道多、能達(dá)到Ⅲ類精密進(jìn)場著陸等優(yōu)點(diǎn)，但由于種種限制，如MLS地面設(shè)備昂貴、ILS已遍布全球等，目前只有少數(shù)機(jī)場使用了MLS。2007年11月，空客A320系列飛機(jī)獲得歐洲航空安全局批準(zhǔn)采用MLS進(jìn)行Ⅲ類b盲降。新一代著陸系統(tǒng)是基于GBAS(Ground-Based Augmentation Systems)的衛(wèi)星著陸系統(tǒng)(GBAS Landing System，簡稱GLS)，它通過機(jī)載設(shè)備接收衛(wèi)星信號(hào)來確定飛機(jī)的大致位置，同時(shí)接收地面設(shè)備廣播的誤差信息，對該位置進(jìn)行校正，得到飛機(jī)更精確的位置，從而支持GLS著陸。目前，美國及歐洲部分國家的一些機(jī)場已實(shí)施 GLS I類運(yùn)行，Ⅱ、Ⅲ類運(yùn)行正在發(fā)展和取證中。中國民航于2015年4月在上海浦東機(jī)場完成了國內(nèi)首次GLS 演示驗(yàn)證飛行。鑒于中國正在發(fā)展可覆蓋全球的北斗衛(wèi)星定位導(dǎo)航系統(tǒng)，基于北斗系統(tǒng)的GLS系統(tǒng)是未來的發(fā)展方向。

安全性分析作為民用飛機(jī)研制過程中必不可少的一部分，貫穿整個(gè)研制周期。而安全性分析過程和研制過程又是緊密結(jié)合的，二者的關(guān)系遵循ARP4754A中提出的“雙V”過程。安全性評估的結(jié)果能對系統(tǒng)架構(gòu)提出改進(jìn)措施，直到系統(tǒng)設(shè)計(jì)滿足適航安全性要求。

在系統(tǒng)安全性分析中，故障樹分析方法作為安全性概率分析方法之一，在工程中應(yīng)用廣泛。例如，王棟將動(dòng)態(tài)故障樹分析方法應(yīng)用于輔助動(dòng)力裝置APU(Auxiliary Power Unit)系統(tǒng)的分析中，可以呈現(xiàn)冗余系統(tǒng)的動(dòng)態(tài)特性；王小輝等應(yīng)用故障樹分析方法，對結(jié)冰探測系統(tǒng)中喪失結(jié)冰探測告警與指示功能故障進(jìn)行分析，為結(jié)冰探測系統(tǒng)的設(shè)計(jì)提供了參考；陸崢等通過構(gòu)建故障樹模型，對蓄意墜機(jī)中飛機(jī)駕駛艙遭遇非法控制的頂事件做了分析，找出飛機(jī)遭遇非法控制的薄弱環(huán)節(jié)，提出了一種改進(jìn)的駕駛艙門控制流程和邏輯；閆鋒等將故障樹分析方法和蒙特卡羅方法相結(jié)合，分析了航空發(fā)動(dòng)機(jī)控制系統(tǒng)故障導(dǎo)致的發(fā)動(dòng)機(jī)喪失推力控制的失效狀態(tài)，為航空發(fā)動(dòng)機(jī)控制系統(tǒng)的適航審定提供了一種方法；張艷慧等運(yùn)用系統(tǒng)安全性評估方法對某型號(hào)反推力系統(tǒng)的設(shè)計(jì)方案進(jìn)行分析，構(gòu)建了反推力裝置空中意外打開的故障樹，提出了系統(tǒng)架構(gòu)的更改建議，為其他型號(hào)反推力系統(tǒng)的設(shè)計(jì)提供了借鑒；徐文華等、劉宇等提出了一種故障樹自動(dòng)建模方法，能夠提高安全性分析的效率和完備性，但安全性分析模型的建立較為復(fù)雜，同時(shí)由于傳統(tǒng)的故障樹手動(dòng)建模方法在工程中已廣泛應(yīng)用，要完全替代故障樹手動(dòng)建模方法仍存在困難。目前的研究主要集中于上述文獻(xiàn)提到的各個(gè)系統(tǒng)，對飛機(jī)著陸系統(tǒng)的安全性分析，并未做更詳細(xì)的研究。

本文以微波著陸系統(tǒng)為例，采用一種“緊湊”的故障樹建模方法，對故障樹的建模過程、概率的計(jì)算以及當(dāng)安全性需求無法滿足時(shí)，如何優(yōu)化系統(tǒng)架構(gòu)等方面展開研究，為飛機(jī)著陸系統(tǒng)的安全性分析和系統(tǒng)設(shè)計(jì)提供參考。另外，故障樹分析方法是以微波著陸系統(tǒng)為載體展開，該方法的建模思路對飛機(jī)其他著陸系統(tǒng)(如ILS系統(tǒng)、GLS系統(tǒng)等)也是適用的。

1 安全性評估過程

安全性評估的基本流程如圖1所示。

圖1 安全性評估過程[13]

安全性評估過程主要包括飛機(jī)級(jí)功能危險(xiǎn)性評估(Aircraft Functional Hazard Assessment，簡稱AFHA)、系統(tǒng)級(jí)功能危險(xiǎn)性評估(System Functional Hazard Assessment，簡稱SFHA)、初步系統(tǒng)安全性評估(Preliminary System Safety Assessment，簡稱PSSA)和系統(tǒng)安全性評估(System Safety Assessment，簡稱SSA)。

AFHA通過系統(tǒng)地分析飛機(jī)級(jí)的功能，識(shí)別和飛機(jī)級(jí)功能相關(guān)的失效狀態(tài)，并根據(jù)失效影響的嚴(yán)重程度對其分類。AFHA的分析結(jié)果會(huì)通過初步飛機(jī)安全性評估(Preliminary Aircraft Safety Assessment，簡稱PASA)，將各個(gè)功能的安全性需求分配到系統(tǒng)。各系統(tǒng)根據(jù)分配結(jié)果，進(jìn)一步做SFHA，識(shí)別和系統(tǒng)級(jí)功能相關(guān)的失效狀態(tài)和影響等級(jí)。失效狀態(tài)的影響等級(jí)包括災(zāi)難性的、危險(xiǎn)性的、重大的、輕微的和無安全影響的五大類，對應(yīng)的概率要求分別為 1.00×10、1.00×10、1.00×10、1.00×10和無概率要求。SFHA的分析結(jié)果輸出給PSSA，PSSA通過對提出的系統(tǒng)架構(gòu)進(jìn)行系統(tǒng)性地檢查，以確定系統(tǒng)故障如何導(dǎo)致SFHA識(shí)別的功能危險(xiǎn)，以及怎樣滿足SFHA中識(shí)別的安全性需求。SSA通過對已實(shí)現(xiàn)的系統(tǒng)設(shè)計(jì)做系統(tǒng)性地分析，綜合各種分析結(jié)果，以確定系統(tǒng)實(shí)現(xiàn)能滿足相關(guān)的安全性需求。

2 故障樹分析

故障樹分析(Fault Tree Analysis，簡稱FTA)是一種自頂向下的分析方法，作為最常用的安全性概率計(jì)算分析方法，故障樹分析廣泛應(yīng)用于PSSA和SSA中，用于評估系統(tǒng)架構(gòu)是否能滿足系統(tǒng)危險(xiǎn)性評估中定義的失效狀態(tài)對應(yīng)的概率要求。

2.1 概率值計(jì)算

電子設(shè)備通常具有隨機(jī)的故障分布，可用指數(shù)分布建模，如式(1)所示。

P

=1-

e

-≈

λ

τ

(1)

式中：

P

為電子設(shè)備發(fā)生故障的概率；

λ

為失效率；

τ

為暴露時(shí)間或稱為處于風(fēng)險(xiǎn)的時(shí)間。基本事件對應(yīng)的失效率

λ

取值可來源于可靠性預(yù)測、失效狀態(tài)與影響分析(Failure Mode and Effect Analysis，簡稱FMEA)等。

2.2 割 集

割集是導(dǎo)致故障樹頂事件發(fā)生的任何基本事件或者基本事件的組合。割集分析作為故障樹分析的重要組成部分，通過對基本事件或基本事件組合的檢查，能夠發(fā)現(xiàn)故障樹結(jié)構(gòu)中存在的潛在邏輯錯(cuò)誤，同時(shí)能根據(jù)對頂事件發(fā)生概率的貢獻(xiàn)程度，對割集的組合排序。

3 微波著陸系統(tǒng)

微波著陸系統(tǒng)(MLS)是一種全天候精密進(jìn)近著陸系統(tǒng)，工作頻率為5 031.0～5 090.7 MHz，共200個(gè)波道，依時(shí)間基準(zhǔn)波束掃描原理工作，由地面設(shè)備和機(jī)載設(shè)備組成。地面設(shè)備向空中輻射一個(gè)很窄的扇形波束，在相應(yīng)的覆蓋區(qū)內(nèi)往返掃描(覆蓋范圍通常為方位角-40°～40°,仰角0.9°～15°)，對方位而言，在水平方向上左右往返掃描，對仰角而言，在垂直方向上上下往返掃描。方位波束左右往返掃描的情況如圖2所示。

圖2 微波著陸系統(tǒng)角測量原理

假設(shè)飛機(jī)處于微波著陸系統(tǒng)的覆蓋區(qū)，當(dāng)方位波束相對于跑道中心線從左往右往掃描碰到飛機(jī)時(shí)，機(jī)載設(shè)備收到一個(gè)往掃脈沖，當(dāng)波束從右向左返掃描碰到飛機(jī)時(shí)，機(jī)載設(shè)備收到一個(gè)返掃脈沖。由于波束的掃描速率是已知的，通過測量往掃脈沖和返掃脈沖之間的時(shí)間間隔，就能得到飛機(jī)相對于跑道中心線的方位角。俯仰角的測量原理和方位角類似，區(qū)別僅在于仰角波束是上下往返掃描的。測量出方位角和俯仰角后，就得到了飛機(jī)相對于跑道中心線的方位偏差和相對于下滑道的俯仰偏差，從而為飛機(jī)提供著陸引導(dǎo)信息。

4 針對微波著陸系統(tǒng)的故障樹分析

4.1 微波著陸功能的失效狀態(tài)

假設(shè)系統(tǒng)功能危險(xiǎn)性評估(SFHA)中識(shí)別出的關(guān)于微波著陸功能的失效狀態(tài)如表1所示，表中列出了失效狀態(tài)及其編號(hào)、適用的飛行階段、失效影響、等級(jí)分類和概率要求。當(dāng)影響等級(jí)為重大時(shí)，對應(yīng)的概率要求為1.00×10。

表1 微波著陸系統(tǒng)功能危險(xiǎn)性評估表

4.2 微波著陸系統(tǒng)框圖

假設(shè)微波著陸系統(tǒng)的概念框圖如圖3所示。

圖3 微波著陸系統(tǒng)概念框圖

微波著陸系統(tǒng)由兩套微波著陸子系統(tǒng)構(gòu)成，包括兩個(gè)微波著陸單元(Microwave Landing System Unit，簡稱MLSU)和一個(gè)雙路輸出的MLS天線。MLSU接收來自MLS天線的射頻信號(hào)，同時(shí)通過A總線接收來自狀態(tài)控制單元(Status Control Unit，簡稱SCU)經(jīng)接口控制單元(Interface Control Unit，簡稱ICU)轉(zhuǎn)發(fā)的波道信息，調(diào)諧到對應(yīng)的工作頻點(diǎn),將射頻信號(hào)解調(diào)后，計(jì)算出方位偏差和俯仰偏差。方位偏差和俯仰偏差數(shù)據(jù)經(jīng)A總線發(fā)送至接口控制單元，再由接口控制單元路由至B總線網(wǎng)絡(luò)，最終送至顯示器顯示。

供電方面，采用電源匯流條#1為左側(cè)的MLSU、左側(cè)的ICU以及主駕駛顯示器(Pilot Display)供電；電源匯流條#2為右側(cè)的MLSU、右側(cè)的ICU以及副駕駛顯示器(Copilot Display)供電；電源匯流條#3為SCU供電。

4.3 完全喪失兩側(cè)微波著陸信息的故障樹分析

4.3.1 故障樹建模方法

常規(guī)的故障樹建模方法在構(gòu)建故障樹時(shí)，較容易忽略一些中間事件，過快地從頂事件分解到底事件。在系統(tǒng)架構(gòu)不復(fù)雜的情況下，該方法構(gòu)建的故障樹可信度仍較高，但針對復(fù)雜的系統(tǒng)設(shè)計(jì)，往往會(huì)出現(xiàn)分析的遺漏或不完備。

本文在構(gòu)建完全喪失兩側(cè)微波著陸信息為頂事件的故障樹時(shí)，采用一種“緊湊”的故障樹建模方法，如圖4所示。

圖4 故障樹建模方法概念框圖

假設(shè)某數(shù)據(jù)經(jīng)單元B傳送至單元C，故障樹分析的起點(diǎn)是單元C無數(shù)據(jù)輸出，該事件可分解為丟失單元C或丟失單元C的輸入。丟失單元C的輸入又可進(jìn)一步分解為丟失單元B到單元C的連接或單元B無數(shù)據(jù)輸出。單元B無數(shù)據(jù)輸出又回到故障樹分析的起點(diǎn)，可按同樣的方法進(jìn)行分解，直到找出最底層的基本事件。

如果將單元B和單元C組成的框圖看作一個(gè)最小單元，那么復(fù)雜的系統(tǒng)架構(gòu)可看作是由多個(gè)這樣的最小單元串聯(lián)和并聯(lián)而成，通過循環(huán)使用該建模方法，就能層層遞進(jìn)地完成故障樹的分解。

4.3.2 故障樹分析過程

針對完全喪失兩側(cè)的微波著陸信息(34-F37-01)的失效狀態(tài)，其詳細(xì)的故障樹分析過程如圖5～圖10所示。該分析假設(shè)主駕駛顯示器僅從左側(cè)微波著陸單元接收微波著陸方位和俯仰偏差數(shù)據(jù)，副駕駛顯示器僅從右側(cè)微波著陸單元接收微波著陸方位和俯仰偏差數(shù)據(jù)。整個(gè)故障樹由兩個(gè)子故障樹組成，包括完全喪失主駕駛顯示器的微波著陸信息(G10)和完全喪失副駕駛顯示器的微波著陸信息(G7)。G10對應(yīng)的故障樹由第1頁～第6頁構(gòu)成，G7對應(yīng)的故障樹由第7頁～第12頁構(gòu)成。由于G7和G10完全相似，區(qū)別僅在于一個(gè)是右側(cè)，一個(gè)是左側(cè)，出于簡潔性和篇幅的考慮，并未列舉第7頁～第12頁的內(nèi)容。

圖5 完全喪失兩側(cè)MLS信息(第1頁)

圖6 完全喪失兩側(cè)MLS信息(第2頁)

圖7 完全喪失兩側(cè)MLS信息(第3頁)

圖8 完全喪失兩側(cè)MLS信息(第4頁)

圖9 完全喪失兩側(cè)MLS信息(第5頁)

圖10 完全喪失兩側(cè)MLS信息(第6頁)

針對完全喪失主駕駛顯示器的微波著陸信息的頂事件，導(dǎo)致其發(fā)生的原因主要包括：喪失主駕駛顯示器、喪失輸入路徑(如總線A、總線B和射頻線)、喪失狀態(tài)控制單元、喪失左側(cè)接口控制單元、喪失左側(cè)微波著陸單元、喪失微波著陸天線以及喪失飛機(jī)電源。

故障樹中底事件符號(hào)圈內(nèi)的數(shù)字代表該底事件在整個(gè)故障樹中出現(xiàn)的次數(shù)。如果底事件僅發(fā)生了1次，則符號(hào)圈內(nèi)默認(rèn)顯示空白。如果底事件發(fā)生的次數(shù)大于1次，則符號(hào)圈里將顯示對應(yīng)的數(shù)字。例如，LEFT-ICU-LOSS在故障樹第2頁和第5頁各出現(xiàn)1次，則符號(hào)圈內(nèi)顯示“2”。B-BUS-LOSS在第2頁和第8頁各出現(xiàn)1次(故障樹第8頁并未在文中列舉)，則符號(hào)圈內(nèi)顯示“2”。

由于微波著陸功能應(yīng)用于飛機(jī)的進(jìn)近著陸階段，假設(shè)進(jìn)近著陸的時(shí)間為10 min，則暴露時(shí)間約等于0.17 h。整個(gè)故障樹分析過程中，涉及的所有基本事件對應(yīng)的失效率如表2所示。

表2 失效率信息匯總

在整個(gè)故障樹中，由于有基本事件出現(xiàn)的次數(shù)不止1次，在計(jì)算頂事件的發(fā)生概率時(shí)，故障樹分析工具會(huì)先做布爾代數(shù)化簡，再根據(jù)化簡后的邏輯關(guān)系做概率計(jì)算，以保證概率值的真實(shí)性。基于表2所假設(shè)的失效率，經(jīng)故障樹分析工具計(jì)算后，結(jié)果表明，完全喪失兩側(cè)微波著陸信息的發(fā)生概率為9.24×10，不能滿足1.00×10的概率要求。

4.3.3 割集報(bào)告

割集報(bào)告列舉了所有割集對應(yīng)的基本事件或基本事件的組合、發(fā)生概率以及該概率占頂事件發(fā)生概率的百分比，并按照概率重要度對割集按從大到小排序。

當(dāng)34-F37-01發(fā)生概率為9.24×10時(shí)，對應(yīng)的割集報(bào)告如表3所示，表中列舉了對頂事件發(fā)生概率貢獻(xiàn)最大的前5個(gè)割集組合、對應(yīng)的概率值和所占的百分比，可以看出：電源匯流條#3故障、微波著陸天線故障、狀態(tài)監(jiān)控單元故障和總線B故障均是單點(diǎn)事件，任何一個(gè)事件發(fā)生都能導(dǎo)致完全喪失兩側(cè)的微波著陸信息。電源匯流條#3故障作為最大貢獻(xiàn)者，發(fā)生的概率為8.35×10，占頂事件發(fā)生概率的90.3%；微波著陸天線故障作為第二貢獻(xiàn)者，發(fā)生的概率為6.68×10，僅占頂事件發(fā)生概率的7.3%。表明為了讓頂事件的發(fā)生概率滿足1.00×10的要求，需要圍繞最大貢獻(xiàn)者——喪失電源匯流條#3做進(jìn)一步改進(jìn)。

表3 割集報(bào)告(34-F37-01=9.24×10-5)

4.4 改進(jìn)措施

為了滿足1.00×10的概率要求，圍繞電源匯流條#3有兩種改進(jìn)措施。

4.4.1 措施一

最簡單且代價(jià)最小的措施是考慮能否進(jìn)一步降低電源匯流條#3的失效率或者找到另一種失效率更低的電源匯流條替代電源匯流條#3。假設(shè)電源匯流條#3的失效率可從5.00×10降低到1.00×10，代入故障樹計(jì)算出頂事件發(fā)生的概率為1.06×10。由于1.06×10和1.00×10非常接近，可認(rèn)為已滿足1.00×10的概率要求。

當(dāng)34-F37-01發(fā)生概率為1.06×10時(shí)，對應(yīng)的割集報(bào)告如表4所示，可以看出：當(dāng)電源匯流條#3的失效率降低至1.00×10后，最大貢獻(xiàn)者已不再是電源匯流條#3故障，而轉(zhuǎn)換成微波著陸天線故障。若需進(jìn)一步降低頂事件發(fā)生概率，可圍繞微波著陸天線采取改進(jìn)措施，如將當(dāng)前微波著陸天線替換為兩個(gè)單路輸出的微波著陸天線,但成本也會(huì)相應(yīng)地增加。

表4 割集報(bào)告(34-F37-01=1.06×10-5)

4.4.2 措施二

假設(shè)電源匯流條#3的失效率無法降低，另一種可能的改進(jìn)措施是增加一路應(yīng)急匯流條對狀態(tài)控制單元供電，同時(shí)引入一個(gè)電源監(jiān)視控制單元(Power Monitor Control Unit，簡稱PMCU)，優(yōu)化后的狀態(tài)控制單元供電框圖如圖11所示。PMCU具有電壓監(jiān)視和電壓切換的功能，系統(tǒng)上電后，PMCU默認(rèn)選擇接通電源匯流條#3為狀態(tài)控制單元供電，一旦監(jiān)視到電源匯流條#3的電壓喪失時(shí)，PMCU會(huì)選擇接通應(yīng)急匯流條#4為狀態(tài)控制單元供電，從而提高供電的可靠性。

圖11 狀態(tài)控制單元供電框圖(優(yōu)化后)

供電優(yōu)化后，完全喪失對SCU供電的子故障樹如圖12所示，包括電源匯流條#3故障同時(shí)PMCU無法接通應(yīng)急匯流條#4，以及電源匯流條#3和應(yīng)急匯流條#4同時(shí)故障。

圖12 完全喪失SCU電源的子故障樹(優(yōu)化后)

假設(shè)PMCU的失效率為1.00×10、電源匯流條#3和應(yīng)急匯流條#4的失效率仍為5.00×10，計(jì)算出喪失SCU電源的概率為2.09×10。將圖12所示的子故障樹代入整個(gè)故障樹中，計(jì)算出完全喪失兩側(cè)MLS信息的發(fā)生概率為8.94×10，滿足1.00×10的概率要求。

4.4.3 結(jié)果對比

原始方案及加入兩種改進(jìn)措施方案的結(jié)果對比如表5所示，概率要求值為1.00×10。

表5 三種不同方案結(jié)果對比

5 結(jié) 論

(1) “緊湊”的故障樹建模方法對故障樹層與層之間的關(guān)系銜接更加緊密，能更好地保證故障樹構(gòu)建過程的邏輯性和完整性。針對復(fù)雜的系統(tǒng)架構(gòu)，只需循環(huán)使用該方法，即可完成復(fù)雜故障樹的構(gòu)建。該建模方法還能在一定程度上保證不同安全性分析人員構(gòu)建的故障樹具有相似的結(jié)構(gòu)，便于適航當(dāng)局開展評審工作。

(2) 當(dāng)安全性概率要求無法滿足時(shí)，故障樹分析可根據(jù)割集報(bào)告找出對頂事件發(fā)生概率的最大貢獻(xiàn)者，為系統(tǒng)架構(gòu)的優(yōu)化指明方向。

(3) 當(dāng)安全性概率要求無法滿足時(shí)，可從兩方面采取改進(jìn)措施，一是考慮能否進(jìn)一步降低最大貢獻(xiàn)者的失效率，二是考慮如何圍繞最大貢獻(xiàn)者增加冗余度設(shè)計(jì)，從而滿足安全性概率要求。