大型客机系统安全性设计需求管理

2020-07-30 14:03蔡蔚荣
科技视界 2020年17期
关键词:顶层客机研制

蔡蔚荣

摘 要

依据运输类飞机适航规章25.1309条款,提出了大型客机系统安全性需求管理体系。重点论述系统安全性顶层设计需求自上而下细化和分配的过程和方法,从而在大型客机系统设计与研制过程中充分落实系统安全性设计需求。通过严谨的需求管理体系确保系统安全性设计需求的完整性和可追溯性,从根本上提升大型客机的安全性设计水平。

关键词

大型客机;系统安全性;需求管理

中图分类号: V271.1                     文献标识码: A

DOI:10.19694/j.cnki.issn2095-2457 . 2020 . 17 . 58

0 引言

大型客机系统安全性设计过程即是安全性需求产生、传递和实现的过程。安全性需求产生于飞机/系统的安全性分析与评估过程,这些需求应当通过可控的过程传递到设计中,以确保安全性需求能够得到满足。对安全性需求的产生、传递和实现过程进行严格的监控和管理是十分重要的。

一方面,安全性是各系统在研制过程中必须关注的问题。如果在设计早期,就能将安全性评估过程中捕获的需求传递到系统的设计过程,系统就能在设计过程中考虑到安全性问题,并能够采取有效的设计措施保证相应的安全性水平。系统的设计是反复迭代的过程,但明确的安全性需求,将有助于减少设计反复的工作量,提高系统设计效率。另一方面,适航当局非常关注安全性需求在设计中实现的过程。飞机的安全涉及全机各个系统,飞机各系统之间的输入输出关系是十分繁杂的。只有建立严密的安全性要求管理体系,才能向局方表明安全性需求是如何逐级传递到系统设计以及如何实现的。

1 系统安全性需求体系

建立清晰明确的系统安全性需求体系是进行需求管理的前提,根据大型客机研制过程,系统安全性设计需求一般分为四个层级:顶层安全性设计需求,飞机级安全性设计需求,系统级安全性设计需求和设备及安全性设计需求,如图1所示。

在飞机概念设计阶段,先根据当时的适航要求、之前飞机研制的经验教训以及竞争飞机的对比分析,确定飞机的顶层的系统安全性设计需求,并通过充分论证确保顶层安全性需求的完整性、准确性和合理性。随着飞机研制进度的推进,顶层安全性需求自上而下不断向下细化和分配,逐次形成飞机级安全性需求、系统安全性需求和设备级安全性需求。當飞机详细设计完成,底层安全性需求得以实现,应自下而上逐级验证下层安全性需求的实现是否满足了上层安全性需求,从而最终确保顶层安全性需求得到满足。

2 顶层安全性设计需求

飞机顶层的安全性设计要求来源于适航规章、过去机型或者类似机型的经验和教训以及飞机主制造商的指南和设计规章。适航对飞机安全性的要求是最低水平,飞机主制造商确定的飞机安全性目标必须不低于适航要求的最低水平。然而飞机安全性与经济性通常是矛盾的,提高飞机安全性意味着也提高了飞机的设计成本,因此民用客机通常以满足适航最低要求为飞机安全性设计的顶层需求。

民机系统安全性需求主要来源于CCAR25.1309条款[1],顶层安全性需求可归纳为三个方面,如表1所示。

3 安全性设计需求的管理过程

安全性设计需求的管理过程即为顶层安全性设计需求逐层细化分配和确认验证过程,这一过程与系统安全性分析与评估过程紧密联系,以下从功能失效概率需求、共因需求、机组通告和操作需求三个方面分别论述系统安全性需求管理过程。

3.1 功能失效概率需求

功能失效概率需求针对飞机所有可能发生的功能失效状态,主要通过功能危险评估(FHA)过程逐级细化。在飞机级,飞机级功能危险评估识别飞机功能的失效状态,并确定这些失效状态的影响等级,根据适航要求不同等级的失效状态对应相应的定量概率需求。基于飞机的功能架构,飞机级失效状态的定量概率需求分配至系统级失效状态概率需求。系统级也需开展功能危险性评估,以同样的方法确定系统级功能失效概率需求,系统级功能失效概率需求必须完全涵盖飞机级分配至系统级的失效概率需求。系统设计架构确定后,可通过故障树的方法,将失效概率需求逐级分配至具体的设备,从而最终确定底层系统设备所应满足的可靠性要求。

在进行功能危险性评估过程,除了捕获了失效状态概率需求,也会捕获功能研制保障的需求。在飞机级,功能研制保障等级与功能失效状态最严酷的影响等级是一一对应的。飞机级功能研制保障等级(FDAL)根据飞机功能架构分配至系统功能,系统通过建立系统功能的差错树将系统FDAL分配至设备软硬件的项目研制保障等级(IDAL)。研制保障等级不是针对系统设备本身的需求,而是针对飞机、系统和设备研制过程的需求,不同的研制保障等级需满足相应的过程保证。

3.2 共因需求

共因需求是为了避免单点故障造成灾难性失效,在细化过程可分为特定风险需求、共模需求和区域安全性需求[2]。

在飞机级,应先确定飞机研制项目中所需开展的特定风险事件(例如鸟撞、转子爆破等),捕获每项特定风险事件的设计需求。特定风险事件的设计需求一部分来源相应适航条款以及之前飞机的经验,另一部分来源于FHA过程。对于FHA中所识别的灾难性失效状态,飞机级应捕获相应的系统布置需求以避免特定风险事件导致这些灾难性的失效的发生。在系统级,应根据飞机级特定风险需求,进一步确定系统设备的布置需求,例如重要设备的布置位置,管路和线路的布置等。

共模需求同样针对FHA中的灾难性失效状态,在飞机级根据FHA分析结果识别系统与系统之间的共模需求。例如同时丧失方向舵控制和前轮转弯会导致着陆时丧失方向控制,这个失效是灾难性的,则方向舵和前轮转弯控制不能使用同样的液压源,以避免同一液压丧失造成方向舵和前轮转弯同时丧失。在系统级,根据系统的详细架构识别设备层级的共模需求,例如如果系统需要两套冗余探测器,应考虑使用不同类型的探测器以避免共模失效。

区域安全性需求包括设备设计安装准则和外部失效的需求。设备设计安装准则基于相应的标准或者经验直接提出了设备之间的安装方位、安装距离、防差错设计等需求。外部失效需求应先识别具有外部失效模式的危险源,根据危险源的影响范围和系统冗余的架构,捕获隔离或者防护的需求。区域安全性需求往往直接具体到系统设备的布置要求,可直接统一在飞机级或者系统级,无须进行逐层级分解。

3.3 机组通告和操作的需求

系统不安全的工作情况应通过恰当的方式告知飞行机组,并向机组提供清晰、明确、有效的纠正措施。系统不安全的工作情况通过FHA识别的失效状态进行确定,在飞机级应初步确定机组发觉失效的方式和机组需采取的应对措施。在系统级,应在系统级设计方案中考虑不安全性失效状态通告给机组的具体方式,方式包括机组告警、机组显示、灯光提示或者振动提示等,通告的方式首先要满足相应的适航要求,其次考虑系统的实现方案。初步的应对措施在系统级应进一步细化为机组看到通告后的操作程序,这些操作程序经仿真、模拟实验和飞行实验验证后落实到机组操作手册中。

4 总结

本文根据25.1309条款提出了大型客机系统安全性设计需求体系,明确了大型客机顶层安全性设计需求,从功能失效概率需求、共因需求、机组通告和操作需求三个方面分别论述了系统安全性需求在飞机级、系统级和设备级逐层细化、分配和验证的管理过程,为大型客机系统安全性设计提供借鉴,确保飞机设计安全。

参考文献

[1]CCAR-25R4,中国民用航空规章第25部运输类飞机适航标准.2009:129.

[2]SAE 4761, GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT, 1996-12:156-157.

猜你喜欢
顶层客机研制
东航失事客机第二部黑匣子抵京
客机变货机
一种轻型手摇绞磨的研制及应用
加快顶层设计
接地线通用接地端的研制
二代证高速电写入机的研制
健康卡“卡”在顶层没联网
137Cs稳谱源的研制
发达交通之大型客机