民用飞机适航安全性数据追溯性分析与建模*

(中国民航大学 天津市民用航空器适航与维修重点实验室,天津 300300)

民用飞机适航安全性数据追溯性分析与建模*

马 赞，阎 芳，赵长啸，王 鹏**

(中国民航大学 天津市民用航空器适航与维修重点实验室,天津 300300)

民用飞机适航安全性数据间的追溯性是审定过程中判定系统安全性工作完整性和准确性的重要方法，但随着民用机载产品安全关键特性及机载设备的综合化程度不断提高，相关数据间追溯关系的复杂性也大大增加，给适航安全性审定工作带来较大挑战。为建立安全性数据及其关联性的评价标准及验证方法，从安全性需求确认及验证、分析方法，以及相关运行维护分析等方面总结审定要素和评审要求，提出了一种整合设计数据、安全性数据与运行维护数据的安全性数据追溯模型。通过该模型在型号工作中的具体应用及情况分析，表明其可为我国民机型号安全性评估及审定工作提供理论支撑。

民用飞机；适航审定；系统安全性评估；追溯模型；文件体系

1 引 言

FAR/CCAR25.1309条款对民机型号研制的安全性提出了要求。随着航空技术的高速发展，飞机的复杂性与日俱增，运用安全系统工程思想对正在研究和已经使用的飞机进行系统安全性评估能够有效提高飞机的安全性[1]。目前适航审定中普遍认可的安全性评估活动以SAE ARP4761[2]为基础，包括功能危害性评估(Functional Hazard Assessment，FHA)、初步系统安全性评估(Preliminary System Safety Assessment,PSSA)、系统安全性评估(System Safety Assessment,SSA)、共因分析(Common Cause Analysis,CCA)、故障模式及影响分析(Failure Modes and Effects Analysis,FMEA)/故障模式影响摘要(Failure Modes and Effects Summary,FMES)等方法，并且各方法间相互衔接，形成了一套自上而下的标准化评估流程模型。当前国内外诸多学者针对其中具体的安全性评估技术开展了深入研究，例如：通过广义随机Petri网[3]、动态故障树[4]等方法解决动态安全性描述问题,或者通过基于模型的评估技术[5]解决复杂系统的安全性评估问题等。但ARP4761中模型及相关研究都没有对审定所需的安全性数据及其与研制中其他活动数据之间的关联进行说明，导致目前型号安全性工作中仍存在以下问题：一是安全性设计评估与产品研制脱节，安全性工作难以发挥其应有的作用；二是安全性工作项目及其成果未能有效整合，输入输出信息没有进行统一管理，使得分析成果未能有效利用，工作效率难以提高；三是未能实现与适航审定工作有效关联，安全性分析结果缺乏可追溯性，无法准确判断有效性和准确性，增大了审定工作的技术难度。因此，本文在分析系统安全性符合性验证过程的典型活动基础上，总结审定要素和评审要求，明确系统安全性评估文件体系，建立设计数据、安全性数据与运行维护数据间的关联性，提出安全性数据追溯模型，为我国系统安全性审定问题提供理论基础。并基于该模型，对某民机型号中各系统安全性评估工作进行检查，总结主要存在的问题，为当前型号研制提供参考，表明模型的有效性。

2 系统安全性评估典型活动

根据SAE ARP4761，在飞机/系统研制初始阶段进行FHA，对飞机和系统功能进行检查，确定潜在的功能失效，对失效状态影响的危害程度进行分类，并记录所需的假设条件。FHA工作包括整机级(AFHA)和系统级(SFHA)。

PSSA采用自上而下的方式，通过故障树分析(Fault Tree Analysis，FTA)等手段对所提出的系统架构进行综合检查，确定导致FHA中失效状态发生的机理，衍生出保护性措施，对飞机/系统/项目进行安全性需求分配，并基于底事件的行业标准数据或工程经验数据进行定量分析，最终确认所提出的架构及需求的分配是否能够满足要求。

SSA采用自下而上的方式，根据飞机/系统设计，综合PSSA、CCA等各种安全性分析的结果，对飞机/系统的安全性需求进行验证。

CCA提供用以验证功能、系统或项目间独立性的方法和工具，以确保单点故障不会导致灾难性的失效状态发生。其包括特定风险分析(Particular Risk Analysis,PRA)、共模分析(Common Modes Analysis，CMA)和区域安全性分析(Zonal Safety Analysis,ZSA)。

3 审定关注要素及重点

系统安全性评估工作涵盖内容广泛，相关数据繁杂。通常在安全性活动及数据的适航审定过程中，局方重点关注安全性需求确认及验证、定性及定量分析方法，以及相关运行维护分析等方面，具体包括以下内容：

(1)安全性需求的正确性及完整性

在对失效状态安全性目标进行验证之前，首先应对其类别划分的正确性进行评估和确认，以保证后续验证结果的有效性。对于那些失效影响不容易理解的失效状态，通过提供支撑材料来对失效状态的影响等级进行确认，这些支撑材料包括飞行试验、地面试验、分析计算、仿真模拟等。

(2)系统失效机理分析正确性及完整性

在FTA中除对系统设备器件分析外，根据CCAR/FAR25.1709条款，还必须包含对机载电气线路互联系统部件分析。为保证在研制保证等级(Development Assurance Level,DAL)分配过程中能充分考虑各器件的失效影响，需对系统内部不同器件间控制逻辑进行详细的分析。同时，还需重点考虑对系统间接口的分析，从而对其他关联系统提出安全性需求并验证。

(3)独立性证明的正确性及完整性

由于国际民机的设计不允许存在单点故障造成灾难类失效状态，因此除需要对故障树与FMEA进行分析寻找单点故障外，还需要对相关故障树下“与门”的独立性进行证明，即共因分析。可分别从设计、制造、安装、维护、环境、测试、校准、特定风险等方面分析寻找共因失效源。

(4)FTA定量计算中数据的正确性

在系统安全性评估及FTA中，需要明确故障树底事件安全性数据的来源。在SSA中，这些数据通常来自FMEA/FMES。FMEA中可靠性数据的来源可包括部件/相似设计部件的实际运营数据、部件/相似设计部件的寿命试验或加速寿命试验数据、部件供应商的现场或试验数据、相似部件的内场数据库、可靠性数据标准或手册、相似部件的工业数据库等。

(5)隐蔽故障及维修间隔分析的正确性

隐蔽故障是指那些已经发生，但对飞机没有可察觉的影响，并且不可被监控措施检测到的故障。其只能通过维修任务被检查和修理(日检、预防性维修、校验、定检等)。隐蔽故障本身并不会导致危害，但是它会使保护机制功能丧失或降低安全裕度，从而增加后续失效条件引起危害的风险。因此，确定隐蔽故障的维修时间间隔则显得非常重要。

隐蔽故障的维修时间间隔在系统安全性评估过程中确定。在PSSA中，故障树顶事件发生概率不应大于相应失效状态的安全性目标，而顶事件发生概率由各底事件对应的失效率和风险时间计算而得。如果底事件中存在隐蔽故障，则其风险时间未知。此时，令顶事件发生概率等于失效状态的安全目标，则可求得隐蔽故障的维修间隔最大值。

在SSA过程中需要将I、II类失效状态故障树中包含的隐蔽故障及维修任务作为候选审定维修要求(Candidate Certification Maintenance Requirements,CCMR)项目提交给审定维修协调委员会。由委员会主持会议将CCMR项目与维修指导小组提出的维修活动进行协调，最终确定CMR项目及其检查时间间隔，形成CMR文件，作为维修大纲(Maintenance Review Board Report,MRBR)的附录1或A。此外，还应将CMR与SSA中的周期性检查任务进行复查与核对，验证CMR间隔不超过安全性评估过程确定的检查时间间隔，结果记录在表1中。

表1 审定维修要求复查任务表Tab.1 Review task list

AC25.19[6]给出了一种由CCMR确定审定CMR的方法。 CMR成为一种必要的周期性维修检查，是飞机型号合格证的运行限制。

(6)DAL分配及验证正确性

DAL的分配按照SAE ARP4754[7]进行。但如果给设备分配低于最严重危害所对应的DAL，应按照较高的DAL，在更高层级中确认并在SSA中验证设备的DAL分配和独立性是可接受的。尤其对于独立非相似的架构设计，其证明需要从防止顶层失效状态发生的设计、设计方法、实现设计的技术和功能运行等4个方面进行详细的论证。对于软/硬件的研制，需要分别根据RTCA DO-254[8]和RTCA DO-178C[9]，按照对应的DAL等级，表明研制符合性。

(7) 基于安全性评估的运行程序及限制

运行限制及程序对相关的系统安全性评估结果非常关键，且可能对运行安全性或可靠性产生直接和不利影响(如重大的、危险的或灾难的失效状态)。因此，在SSA过程中，应给出必要的运行限制及程序，包括显示、告警、机组操作等。FAA AC25.1309-1B(Arsenal)[10]对运行程序及限制提出了详细的要求。

(8)主最低设备清单正确性

对于主最低设备清单(Master Minimum Equipment List,MMEL)的安全性评估，必须从两个方面考虑：一是“特殊飞行”，即已经知道是带故障飞行，此时，需要删除故障树中所有与所带故障相关的事件，再进行计算;二是“平均飞行”，即不确定故障会在哪次飞行中发生,此时，需要通过枚举的方法计算各种情况下的“特殊飞行”概率计算，再求平均值。

两个不同的考虑都必须满足25.1309条款中系统安全性的最低要求。

4 安全性数据追溯性分析与建模

4.1系统安全性评估文件体系

根据民机系统安全性评估过程的相关工作，梳理用来表明25.1309款符合性的系统安全性评估文件，主要包括需求、功能及设计描述文件，安全性分析及支持文件，以及基于安全性分析的维护运行文件等。其中，需求功能及设计描述文件是所有安全性分析文件的必要输入。而通过系统安全性评估过程，除对系统安全性设计进行验证外，同时产生部分系统维护运行数据，这些数据需要最终编制在相应的型号维护运行文件中，共同保障型号的安全性水平。因此，汇总形成如下：

(1)需求功能及设计描述文件，包括系统/设备需求、功能文件,系统/设备设计描述文件,系统接口描述文件，等；

(2)安全性分析及支持文件，包括系统合格审定计划(Certification Plan,CP)、AFHA文件、SFHA文件、PSSA文件、SSA文件、FTA文件、FMEA/FMES文件、CCA文件、安全性评估支持性材料(失效状态确认材料、DAL符合性验证材料等) ；

(3)基于安全性分析的维护运行文件，包括MMEL报告、CCMR报告、飞机飞行手册(Aircraft Flight Manual,AFM)。

4.2安全性数据追溯模型

基于梳理的安全性评估文件体系，可建立系统安全性追溯模型，如图1所示。

图1 安全性数据追溯模型Fig.1 The safety data traceability model

各文件间关系及追溯性说明如下：

4.2.1L1:系统安全性评估对CP的追溯性关系

系统安全性评估的目的是表明CP中需用MOC3进行符合性验证的条款安全性方面的符合性。在SSA报告中，应列出CP中要求以MOC3进行验证的条款，并结合SSA过程，分别对这些条款的符合性进行说明。

4.2.2L2:SFHA文件对AFHA文件的追溯性关系

在AFHA和SFHA中的追溯性主要关注如下两点：飞机级功能与系统级功能间的追溯性和一致性以及飞机级失效状态类别划分与系统级失效状态类别的一致性。

4.2.3L3:PSSA/SSA文件对SFHA文件的追溯性关系

PSSA/SSA文件对SFHA文件追溯性关系主要体现在：

(1)PSSA/SSA分析需要以SFHA的结果为输入，PSSA/SSA应该以SFHA中确定的安全性需求为起点(顶事件)进行故障树定性定量分析。

(2)PSSA/SSA分析深度以SFHA结果为依据。例如：根据AC25.1309-1B要求，对于综合复杂系统，灾难类、危险类或重大类失效状态都需要进行定性定量的故障树分析；而对轻微类或无安全影响类，只需要进行定性分析，如FMEA等。

因此，在PSSA/SSA报告中应对SFHA报告进行索引，并引用SFHA失效状态及其分类列表。

4.2.4L4:FTA文件对SFHA的追溯性关系

PSSA/SSA中FTA应该以SFHA中确定的安全性需求为起点(顶事件)进行定性定量分析。

4.2.5L5:SFHA文件对失效状态确认材料的追溯性关系

SFHA中各失效状态类别的划分应该有对应的确认材料支持,该材料可以是分析说明、模拟机试验、地面试验，或飞行试验等,具体形式由申请人和局方协商确定。在SFHA报告中，应对各失效状态的确认数据进行索引。

4.2.6L6:PSSA/SSA文件对FTA文件的追溯性关系

无论是PSSA安全性需求分配，还是SSA符合性定量计算，都需要以系统FTA为基础。因此，在PSSA/SSA中需要对相应的FTA报告及所建立的FTA进行索引和引用。

4.2.7L7:SSA文件对PSSA文件的追溯性关系

在SSA报告中表明DAL符合性时，应对PSSA报告及DAL分配结果进行追溯,再通过对DAL符合性文件的分析，确定需求符合性。

4.2.8L8:DAL符合性验证文件对PSSA的追溯性关系

PSSA文件应结合系统架构，根据SAE ARP4754，对其中包含机载复杂电子硬件和软件的设备，进行DAL分配。而对于DAL符合性验证，则应按照PSSA中DAL分配的结果，根据RTCA DO-254和DO-178B中相应等级要求，形成符合性验证文件。因此，在符合性验证文件中，应对PSSA文件及其DAL分配结果进行追溯。

4.2.9L9:PSSA/SSA文件对共因分析的追溯性关系

适航规章要求，对于灾难类失效状态不能存在单点失效的情况。而共因分析就是通过特定风险、设计、安装环境、维护等方面对失效状态故障树中“与”门的独立性进行分析，从而确定是否存在单点失效的情况，并进行改进。

因此，需要在PSSA/SSA文件中对共因分析文件(包括特定风险分析文件、共模分析文件、区域安全性分析文件)进行追溯和索引，对灾难类失效状态下“与”门事件开展分析，从而判断是否存在单点故障的情况。

4.2.10L10:SSA文件对DAL符合性验证文件追溯性关系

SSA文件中应该根据PSSA中对系统机载复杂电子硬件和软件的DAL分配结果，对各部件DAL符合性验证文件进行索引,主要包括软件/硬件审定计划、完结综述和构型索引等文件。

4.2.11L11:SSA文件对FMES文件的追溯性关系

在SSA中，故障树底事件失效率及暴露时间应来自于对应FMES文件。因此，应在SSA报告中对每个底事件可靠性基础数据源自的FMES文件进行追溯和索引。

4.2.12L12:FMES文件对FTA文件的追溯性关系

为使FMES可以有效支持SSA分析中故障树的定量技术，要求FMES应将FTA的底事件作为目标失效影响，从而可以通过FMES方便获取故障树底事件失效率和风险事件。

4.2.13L13:FTA报告对系统设计文件的追溯性关系

系统故障树的建立需要以系统设计为基础,因此，在FTA文件中需要对系统设计文件进行索引。

4.2.14L14:FMES文件对FMEA文件的追溯性关系

FMES是以SSA和FTA底事件为目标失效影响，对相关FMEA文件的整理和汇总。因此，在FMES中的各项，应标明其是哪些FMEA项的集合，并对这些FMEA进行追溯。

4.2.15L15:FMEA对设备需求及设计文件的追溯性关系

在设备需求及设计描述文件中，详细描述了各设备的设计需求和设计规范，包括设备构型、工作原理、功能、冗余设计、接口设计等。而FMEA分析需要以设备需求及设计文件中的内容为基础，从而确定失效模式、与安全性相关的失效影响。应在FMEA中对设备需求及设计描述文件进行追溯。

4.2.16L16:SSA文件对AFM文件的追溯性关系

SSA中汇总安全性评估衍生出的对非正常和应急情况下运行程序的要求，并检查是否列入AFM手册中。

4.2.17L17:SSA文件对CCMR文件的追溯性关系

在SSA过程中需要将灾难类和危险类失效状态故障树中包含的隐蔽故障及维修任务作为CCMR项目提交给审定维修协调委员会。委员会主持会议将CCMR项目与维修指导小组提出的维修活动进行协调，最终确定CMR项目及其检查时间间隔，形成CMR文件，作为MRBR的附录1或A文件。

在SSA过程中，还应将MRB报告中的CMR文件与SSA报告中的周期性检查任务进行复查与核对，验证CMR间隔不超过安全性评估过程确定的最大检查时间间隔。

4.2.18L18：SSA对MMEL的追溯性关系

对于建议的MMEL，同样应开展SSA分析，检验在MMEL情况下是否能够满足适航安全的最低标准。因此，在SSA报告中，应对建议的MMEL进行核查，得出其是否符合最低安全规章要求的结论。

通过以上追溯性模型进行检查，可以覆盖审定关注要素及重点，具体对应关系如表2。例如:对于安全性需求的正确性及完整性，可通过建立审定基础、AFHA和SFHA中失效状态、PSSA中的需求分配及衍生需求产生、故障树分析中独立性需求产生间的一致性和追溯性进行检查，而对于系统失效机理分析正确性及完整性，可通过系统设计文件、FTA、设备需求及设计文件、FMEA之间的一致性和追溯性检查来实现。

表2 审定要素与追溯性间的对应关系Tab.2 Relationship betweenthe certification key points and traceability

5 应用分析

根据以上审查要点和追溯性模型，对某民机型号飞行控制系统、综合显示系统、电源系统等23个机载系统进行安全性工作检查，主要存在问题及原因如表3所示。

表3 存在问题及原因分析Tab.3 Problems and analysis

6 结束语

本文基于系统符合性验证典型活动分析，从安全性需求确认及验证、定性及定量分析方法，以及相关运行维护分析等方面总结了审定关注要素及重点，提出了一种整合设计数据、安全性数据与运行维护数据的安全性数据追溯模型，并应用该模型对我国当前型号安全性工作中存在的主要问题进行分析，表明其可以有效发现工作中存在的不一致性和不完整性，为我国系统安全性审定和符合性相关工作提供了理论基础。

但随着综合模块化航电架构的广泛应用，其多方合作、资源共享、强健分区、动态重构等特性给安全性评估带来挑战，相关工作也将进一步分层细化，安全性文件体系将得到较大扩充。针对其的追溯性模型将是我们后续研究的重点。

[1] 宗蜀宁，端木京顺.飞机整机级系统安全性评估方法讨论[J].中国安全科学学报，2011,21(10):125-130.ZONG Shuning，DUANMU Jingshun.Study on aircraft system safety assessment method in aircraft level[J].China Safety Science Journal,2011,21(10):125-130.(in Chinese)

[2] SAE International. Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment:ARP4761[S/OL].[2017-01-16].http://www.sae.org/.

[3] MOHAMMED T,FAISAL K,ZOUBIDA L.Availability analysis of safety critical systems using advanced fault tree and stochastic Petri net formalisms[J].Journal of Loss Prevention in the Process Industries,2016,44:193-203.

[4] ZHU Z F.Dynamic fault tree analysis method based on Markov chain[J].Acta Armamentarii,2008,29(9):1104-1107.

[5] LI Y,GONG Q,SU D.Model-based system safety assessment of aircraft power plant[J].Procedia Engineering,2014,80:85-92.

[6] Federal Aviation Administration.Certification maintenance requirements:FAA AC25-19A[S/OL].[2017-01-16]. http://rgl.faa.gov/.

[7] SAE International.Guidelines for development of civil aircraft and systems:SAE ARP4754A[S/OL].[2017-01-16]. http://www.sae.org/.

[8] Radio Technical Commission for Aeronautics.Design assurance guidance for airborne electronic hardware:RTCA DO-254[S/OL].[2017-01-16]. http://www.rtca.org/.

[9] Radio Technical Commission for Aeronautics.Software considerations in airborne systems and equipment certification:RTCA DO-178C[S/OL].[2017-01-16]. http://www.rtca.org/.

[10] Federal Aviation Administration. System design and analysis:AC 25.1309-1B(arsenal)[S/OL].[2017-01-16]. http://rgl.faa.gov/.

TraceabilityAnalysisandModelingofAirworthinessSafetyDataforCivilAircrafts

MA Zan，YAN Fang，ZHAO Changxiao,WANG peng

(Civil Aircraft Airworthiness and Repair Key Laboratory of Tianjin,Civil Aviation University of China,Tianjin 300300,China)

Traceability between the airworthiness safety data for civil aircrafts plays an important role for determining the completeness and correctness of system safety assessment. However,with the improvement of the safety characteristics and the integration of airborne equipment,the complexity of the relationship between safety data is also greatly increased,which brings challenges to the airworthiness certification work on the system safety assessment. In order to establish the evaluation criteria and verification methods of safety data,the critical certification elements and requirements are summarized from the validation and verification of safety requirements,analysis methods,and operation/maintenance. A traceability model is defined to establish the interfaces between the design data,safety data and operational/maintenance data. Specific application of the model in project demonstrates that it can provide theoretical basis for China's civil aircraft system safety certification.Keywords：civil aircraft;airworthiness certification;system safety assessment;traceability model;safety data

date:2017-02-16；Revised date：2017-04-13

国家自然科学基金委员会-中国民航局民航联合研究基金资助项目(U1533105)

10.3969/j.issn.1001-893x.2017.09.015

马赞，阎芳，赵长啸，等.民用飞机适航安全性数据追溯性分析与建模[J].电讯技术，2017,57(9):1064-1070.[MA Zan，YAN Fang，ZHAO Changxiao,et al.Traceability analysis and modeling of airworthiness safety data for civil aircrafts[J].Telecommunication Engineering,2017,57(9):1064-1070.]

V37

：A

：1001-893X(2017)09-1064-07

马赞(1984—)，男，汉，天津人，2010年于北京航空航天大学获硕士学位，现为助理研究员，主要从事民机系统安全性设计与评估、航空电子适航审定技术研究；

Email:mazan-84@163.com

阎芳(1982—)，女，山东人，2005年于法国国立航空工程大学获硕士学位，现为中国民航大学适航审定技术与管理中心副研究员，主要从事民机系统安全性设计与评估、机载电子硬件适航技术研究；

赵长啸(1989—)，男，山东人，2013年于北京航空航天大学获博士学位，现为中国民航大学适航审定技术与管理中心研究人员，主要从事民机航电系统设计与评估、航空电子综合研究；

王鹏(1982—)，男，天津人，2005年于法国国立航空工程大学获硕士学位，现为副研究员,任中国民航大学适航审定技术与管理中心副主任，主要从事民机系统安全性设计与评估、机载电子硬件适航技术研究。

Email:pwang_cauc@163.com

2017-02-16；

：2017-04-13

**通信作者：pwang_cauc@163.com Corresponding author：pwang_cauc@163.com