我們之前發布的相關文章，簡要介紹了 SAE ARP4761，以及飛機和系統安全性評估過程，今天重點介紹安全性評估過程 “三部曲” 之第一部分：FHA（功能危險性評估）。

 

FHA是什么？

 

功能危險性評估 (FHA，Functional Hazard Assessment)，在飛機和系統的研制生命周期開始時進行。

FHA的目的是識別飛機和系統功能及其功能組合相關的失效狀態，確定每個失效狀態的影響等級和進行等級分類的基本理由，并根據影響等級建立相應的安全性目標。

 

FHA通常在兩個級別上執行，分別是飛機級 FHA （AFHA）和系統級 FHA （SFHA）。

FHA 評估過程，將提出飛機和系統安全性設計的頂層要求，因此它是安全性需求產生和分配的起始點，是初步飛機級安全性評估（PASA，Preliminary Aircraft Safety Assessment）和初步系統安全性評估（PSSA，Preliminary System Safety Assessment）的重要輸入。

AFHA

AFHA是在飛機研制開始時對定義的飛機功能，進行的高層次定性評估。AFHA 應隨設計進展不斷迭代。

 

AFHA 過程在捕獲到飛機級功能定義后進行，通過評估單一系統功能失效或組合失效對飛機/機組/乘客的影響，提出滿足持續安全飛行和著陸所需的功能清單及飛機級安全性要求，以支持飛機和系統架構設計和后續安全性評估工作。

 

通常來說，飛機級識別出的失效狀態，與功能的實現方式和系統的架構無關。

 

在 AFHA 的基礎上，還應完成初步飛機級安全性評估 PASA。通過 PASA 把飛機級安全性需求分解到各系統。

SFHA

SFHA 也是定性評估，隨著系統設計不斷迭代而更加明確。系統級 FHA 在系統研制周期開始時進行，用于識別與系統功能相關的失效狀態及影響等級。

 

因為系統級失效狀態是通過檢查功能的實現方式和系統初步架構識別出來的，因此SFHA 與系統的初步實現架構相關。

 

FHA 是一種自上而下的分析方法，其關鍵是確定功能失效狀態并評估其影響。FHA 評估流程主要包括以下內容：

1. 確定與飛機/系統相關的所有功能，包括內部功能和交互功能；

2. 識別這些功能所有的失效狀態，考慮正常和應急環境下的所有的單個失效和組合失效；

3. 確定該失效狀態的影響及影響等級（災難級，危險級，較大的，較小的，無安全性影響）；

4. 給出用于證明失效狀態影響等級的支撐材料（如飛機模擬器仿真試驗、飛行試驗結果等）；

5. 提出用于驗證失效狀態相關安全性需求的方法（如 FTA、FMEA 等）。

 

 

飛機/系統級功能識別

飛機/系統級功能定義是飛機/系統級FHA的重要輸入。

飛機級功能

在識別飛機級功能清單時，應綜合考慮飛機頂層功能（例如提供升力、推力等）、飛機設計目標和用戶需求（例如載客量、航程等）、以及初步設計決策（例如發動機數量、舵面配置等）。

 

一般情況下飛機級功能可劃分為飛機基礎功能（也叫 “外部功能”）、功能和子功能等三個或四個功能級別（具體劃分多少層級，無明確要求）。

系統級功能

在識別系統級功能清單時，應以飛機級子功能為輸入，綜合考慮系統方案、外部接口、系統設計決策、設計要求和目標。確保系統功能的完整性，盡量減少功能的重疊和交叉，將功能分解到合適的層次，以便于進行系統級的功能危害性分析。

 

一般情況下，系統級功能可分為一個或兩個層級，第一層級為系統功能，主要根據飛機級子功能完成定義；第二層為系統級子功能，可根據系統復雜程度確定是否有必要定義。

 

在功能清單建立過程中，應重點識別兩類功能：

內部功能

• 在飛機級，指飛機主要功能和飛機內部各系統之間的交互功能；

• 在系統級，指系統功能和系統內部各設備之間的交互功能。

外部功能（或者交互功能）

• 在飛機級，指與其他飛機或地面系統的接口功能；

• 在系統級，指與機上其他系統、其他飛機的系統或地面系統的接口功能。

 

下圖給出了飛機/系統功能層級劃分的說明。

飛機和系統功能層次與 FHA 的關系

 

在開展 AFHA 的時候，需要選擇一個合適的層級。根據上圖給出的飛機功能層次，如果選擇第二/三層功能定義開展功能危險性評估，這樣能將 FHA 的失效狀態總數控制在一個合適的量級，同時兼顧一些組合失效對飛機的影響。

 

如果選擇第四層功能開展功能危險性評估，由于這一層飛機級子功能已涉及到具體的系統功能，因此難以覆蓋各系統之間組合失效的情況。

 

下表給出了飛機和系統功能分解的示例。

 

失效狀態的識別

失效狀態的識別過程，從飛機/系統功能清單開始，分析人員考慮正常和應急環境下的單個失效和組合失效，建立飛機/系統失效狀態清單。如果失效狀態的嚴重程度隨不同飛行階段而變化，則應將失效狀態細分到各飛行階段。

 

需要考慮的環境和應急構型包括：

1. 天氣（雨、雪、風等）；

2. 高強度輻射場；

3. 火山灰；

4. 發動機停車；

5. 喪失液壓系統；

6. 喪失電源；

7. 喪失設備通風冷卻等。

考慮單個失效和組合失效時，應對飛機/系統架構、系統部件的集成和多系統間交互有深入了解。如果失效影響由其他系統導致，則必須考慮組合失效影響。

典型的單個失效狀態如下：

1. 功能喪失；

2. 未通告的功能喪失；

3. 功能故障（異常）。

典型的組合失效狀態如下：

1. 單發失效且喪失方向舵控制；

2. 具有三套液壓系統的飛機，喪失兩套液壓系統。

以上表定義的飛控系統功能 27-F01 “地面破升” 為例，系統級失效狀態可定義為：

1. 27-F01-01：通告的喪失地面破升功能；

2. 27-F01-02：未通告的喪失地面破升功能；

3. 27-F01-03：非指令地面破升。

確定失效狀態的影響及影響等級

下表給出了失效狀態影響等級的劃分依據與概率要求。

分析人員需要確定失效狀態對飛機、機組和乘客的影響，并依據上表進行等級分配。

 

在分析過程中，飛行員的服役經驗和其他相似機型經驗，有助于對失效狀態的影響進行分類。

 

失效狀態影響及影響等級的確定，一般有以下方法：

1. 其他機型經驗。參考其他主制造商相似機型的經驗；使用主制造商先前機型的設計經驗；

2. 分析。分析事故/事件數據，查看適航規章要求和相關咨詢通告；初步建立飛機氣動模型，分析系統功能失效的影響；

3. 試驗。通過飛行員在環模擬器評估等試驗，確定對飛機和機組負擔的影響。

 

以失效狀態 27-F01-01 “通告的喪失地面破升功能” 和 27-F01-03 “非指令地面破升” 為例，根據飛機操穩、性能指標和其他飛機經驗，可知：

1. 當地面破升功能喪失后，對飛機而言，飛機減速能力下降，因此需要更長的滑跑距離。但飛機仍然可以使用發動機反推和機輪剎車，避免沖出跑道；對于機組而言，飛行員需要控制飛機高速滑行，工作負擔有所加重；對于乘客而言，可能感到不舒適。

   因此可判斷 27-F01-01 “通告的喪失地面破升功能”，其影響等級為 III 類。由于地面破升功能僅在著陸時使用，此失效狀態相關的飛行階段為“著陸”階段（注：中斷起飛時也可能使用地面破升功能，但中斷起飛不作為典型飛行階段）。

2. 當出現非指令地面破升后，對飛機而言，飛機突然喪失較多升力，可能失控甚至徹底損毀；對于機組而言，飛行員難以恢復對飛機的控制，操縱負荷急劇增加；對于乘客而言，則可能由于飛機墜毀而死亡。

   因此可判斷 27-F01-03 “非指令地面破升”，其影響等級為 I 類。

給出失效狀態支撐材料

失效狀態的支撐材料，包括失效狀態及影響等級確定過程中的分析文件、試驗報告，也包括后續開展確認工作的輸出文件。

包括但不限于：分析評審報告，試驗分析報告（飛機模擬器試驗，飛行試驗）。

 

對于那些影響不甚明確的失效狀態，需要提供額外的支撐材料，以確認影響等級。

若影響等級定義過低，則可能給飛機安全和試航取證帶來風險；若定義過高，則可能增加飛機/系統的復雜度和成本。

提出失效狀態的符合性驗證方法

對于每一個失效狀態，應確定飛機/系統如何滿足相關的安全性目標。下圖給出了確定安全性目標驗證方法的一般流程。

對于 I 類和 II 類失效狀態，需要通過定性和定量分析（FTA，FMEA等）來表明其滿足要求。

 

對于 III 類失效狀態，如果系統高度復雜，且當前設計與現有已取證的飛機/系統相似，有相關服役經驗，則只需通過相似性等定性分析方法就能證明其滿足要求；否則需要定性和定量分析來表明其滿足要求，但這些方法的嚴苛度和完整度可低于 I 類和 II 類失效狀態。

 

對于 IV 類失效狀態，不要求進行定量的分析，只需通過設計及安裝評估說明即可。對于運輸類飛機產品，只要使用當前普遍接受的工業標準和應用，就認為是滿足要求的。

FHA輸出

功能危險性評估過程中產生的分析/試驗結果，應和 FHA 報告本身，作為 FHA 過程的輸出物，得到妥善保存，以保證 FHA 過程的可追溯性。

以本文提到的兩條失效狀態為例，其相應的 FHA 輸出表格如下所示。

飛機級 FHA 和 PASA 是系統 FHA 的輸入，系統 FHA 的結果是 PSSA 過程的輸入。

來源：翼知堂