1. 引言
飛機的綜合危險識別����,就是對關鍵零部件的認證論據的證明過程���。歷史上���,在飛機安全評估過程的初期階段��,危險識別是通過使用危險檢驗單來完成��。檢驗單所列的內容是先前確定或經驗中發生過的危險�。用于支持這一方法的論據主要是以積累的經驗為主����。然而��,在危險識別中這只是個被動的方法��。同時��,當檢查復雜和高集成的飛機分系統時�����,較低層的危險故障模式也不容易被理解和掌握����。所以��,在此分系統中的危險識別過程的完整性更值得被關注�。
隨著時間的增長�����,功能危險分析被日益推薦作為執行危險識別的方法���。經驗告訴我們在較低層飛機系統中(如前輪轉彎系統)應用功能分析性分析是比較困難的��,因為在這一層結構復雜并與其它系統集成在一起��,并且發生的故障遠非我們所看到的�����。
2. FHA的原理
在文獻[1]中功能危險分析被定義為安全評估過程的初始工作����。對于整個飛機���,功能危險分析的第一步是描述飛機功能�。然后���,根據對飛機系統的功能分配����,在每個子系統中執行功能危險分析�。如圖1所示����。
圖1 安全性評估過程模型[1]
fig.1 Safety Assessment Process Model[1]
功能危險分析是一門預測性技術����,它是以研究系統部件功能故障的影響為主�。在執行功能危險分析時的主要目的是為了確定危險的功能故障狀況����。
以下是比較易懂的功能危險分析的方法:
a 從合適的表述開始���,依次選擇功能����。
b 對功能的目的和行為定義���。
c 考慮假設的故障模式�����,如“功能喪失”����,“沒有需求時提供了功能”���,“功能的誤操作(高���,低……)”�����。
d 確定影響���。
e 確定�,記錄相關的危險因數(如嚴重性和概率預算)���,并把功能危險分析的結果記錄在表格中�����,如表1所示�。
表 1 典型的FHA記錄表格[2]
Tab. 1 Classical FHA Blank Report[2]
|
功能 |
故障狀態 |
飛行階段/狀態 |
故障影響 |
分級 |
驗證 |
|
|
|
|
|
|
|
3. 功能危險分析的應用
以飛機起落架前輪轉彎系統(NWS)為例����,簡要說明運用功能危險分析的過程��。
3.1 系統定義
前輪轉彎系統(NWS)構成如下:
- 輪載開關(WOW)組件
- 指令電位器組件
- 反饋電位器組件
- 電源組件
- 模式選擇手柄組件
- NWS控制盒
- 液壓控制分系統
- NWS故障檢測電路
- 操縱作動筒組件
NWS系統輸入信號如下:
- 飛行員指令
- WOW位置
- 前起落架(NLG)位置
3.2 系統工作原理
NWS系統通過比較飛行員指令和操縱作動筒反饋信號���,輸出位置信號�,接通電磁線圈�����。根據要求的方向(左/右)每次僅接通一個電磁線圈���,使作動筒的一腔與高壓管相接通����,作動筒動作帶動輪子偏轉��。如果兩個電磁線圈都未接通�,作動筒兩個腔連通到液壓回路管上�。
如果其中一個控制電磁線圈由于故障而處于不正常接通狀態�����,引起作動筒運動����,而造成位置錯誤����。此時控制系統將接通另一個電磁線圈消除位置錯誤��。在這種情況下��,作動筒的兩個腔均與高壓管連通�����,保證作動筒停止運動����。
WOW位置信號提供飛機處于地面還是空中的信息�。
NLG位置信號提供前起落架處于“收上”還是“放下”位置�����。
NWS故障檢測電路用于檢測系統故障并把故障信號輸入到座艙顯示器���。
3.3 繪制功能框圖
對于像“控制裝置”這樣從系統到外界環境有很多層次的系統�����,確定功能故障的影響可能很困難���。為了得出控制裝置故障的影響�,必須能夠確定它對NWS的影響�����,NWS對整個飛機的影響���。NWS系統的功能框圖如圖2所示����。
圖2 前輪轉彎系統功能框圖[3]
fig.2 NWS System Functional Block Diagram[3]
這個問題在很多標準里中做了回避���,列舉的例子是該技術對于那些故障影響在一定程度上被認為是功能明顯的子系統(如文獻[2]中的輪胎剎車系統)����。本文僅表示出液壓控制部分的可靠性框圖見圖3���。
圖3 前輪轉彎系統液壓控制部分可靠性框圖[3]
fig.3 Part Of NWS System Hydraulic Control Reliability Block Diagram[3]
3.4 對機組���、地面及乘客的影響
在最后鑒定故障對影響等級之前還需要確定故障對機組����、地面及乘客的影響�。FHA方法的使用是需要建立在大量重復的實驗和測試的基礎之上的���。ARP4761中也明確提出需要有經驗豐富的飛行機組以及維修人員來輔助研究��。而對于一般的科研院校是無法承擔相關實驗和測試的經濟費用的�����。故而在方法性的研究中對故障影響等級的確定主要向有經驗的工程技術人員的咨詢和參考航空公司手冊(如飛行手冊�����、維修手冊等)等完成�。這也是我們在對FHA方法研究中需要進一步開拓的地方�。
3.5 FHA輸出
最后的FHA要求完成一份報告���,表格 2中的FHA報告是系統層次的一小部分����,其中故障影響分級分為五級��,每個等級對應相應的安全需要[4]����。
表格 2 系統層次FHA(喪失前輪轉彎)
Tab.2 Systems Level FHA(Lost NWS)
|
1
Function |
2
Failure condition
( hazard description) |
3
Phase |
4
Effect of failure condition on Aircraft/Crew |
5
Classification |
6
Reference to supporting material |
7
Verification
|
|
功能 |
故障狀態
(危險
描述) |
狀態 |
故障對飛機
和機組的影響 |
分級 |
引用
材料 |
認證 |
|
提供飛機
轉彎功能 |
喪失飛機轉轉彎功能 |
如下 |
如下 |
1災難性的�,
2危險的���,
3較大的�,
4較小的���,
5無安全
性影響 |
|
|
|
提供飛機
轉彎功能 |
喪失飛機轉轉彎功能 |
截流電磁閥
a.內部泄露
b.不正常關閉
c.不正常打開 |
故障導致起飛時前起落架
不能完成轉彎操作功能���,
從而引起任務中斷但不影
響飛機安全 |
危險的 |
|
|
|
提供飛機
轉彎功能 |
喪失飛機轉轉彎功能 |
控制電磁閥1
a.內部泄露
b.不正常關閉
c.不正常打開 |
故障導致起飛時前起落架
不能完成轉彎操作功能��,
從而引起任務中斷但不影
響飛機安全 |
危險的 |
|
|
|
提供飛機
轉彎功能 |
喪失飛機轉轉彎功能 |
控制電磁閥2
a.內部泄露
b.不正常關閉
c.不正常打開 |
故障導致起飛時前起落架
不能完成轉彎操作功能���,
從而引起任務中斷但不影
響飛機安全 |
危險的 |
|
|
4. 總結
FHA應用起來比較困難�����。精確的FHA在某種程度來說并不是簡單的輸出一些表格�,而是為了更好的理解所出現故障的影響�����,并得到一個完整的危險故障模式清單�。
在抽象的系統層內識別和定義零部件功能是需要反復練習的�。當從需要的系統層中提取功能時要小心的去除不執行的功能�����。
現行的FHA作為一門功能研究的技術�,它所研究的對象應是完全獨立的�。但是���,當涉及到高集成反饋系統時�,各個功能之間都是相互的�����。當使用FHA一定要控制好尺度��,明確范圍和進行FHA的方向�����。
底層次子系統功能故障的末端作用是很難被確定的����。使用“結果”鏈的模式進行觀察是很好用的一個方法�����,它能夠清晰的識別各個功能之間的相互影響和這些功能對系統的上一層的影響�����。
參考文獻:
[1] [SAE94] ARP4754: Certification Considerations for Highly-Integrated or Complex Aircraft Systems SAE Systems[S]. Society of Automotive Engineers, Inc., December I994.
[2] [SAE96] ARP4761: Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S]. Society of Automotive Engineers, Inc., December 1996.
[3] 姜波�����。飛機檢測與維修實用手冊���。吉林科學技術出版社����,2005��。
[4] 劉建軍��,孫有朝���。功能危險分析在大型復雜系統中的應用[J]���。民用飛機設計與研究����,2004(1)��。
作者介紹:
劉東宇 中國民航大學 航空工程學院 09833
