安全性定性分析方法

《安全性定性分析方法》由会员分享，可在线阅读，更多相关《安全性定性分析方法（165页珍藏版）》请在金锄头文库上搜索。

1、第三讲 安全性定性分析方法本章主要内容n一、功能危害性评估n二、故障模式、影响及危害性分析 n三、特殊风险分析 n四、共模分析n五、区域安全性分析一、功能危害性评估(FHA)n1、FHA背景n2、基本概念n3、FHA程序n4、FHA报告内容n5、飞机级FHA实例n6、航空发动机FHA实例1、背景n1）符合性方法序号验证方法类别验证方法代号验证方法名称相关文件1工程评估MoC 0符合性说明符合性说明/型号设计文件2工程评估MoC 1设计评审评审结论/设计图纸3工程评估MoC 2计算分析计算分析报告4工程评估MoC 3安全性评估安全性分析报告5试验MoC 4实验室试验试验大纲/试验报告/试验说明6

2、试验MoC 5全机地面试验试验大纲/试验报告/试验说明7试验MoC 6飞行试验试验大纲/试验报告/试验说明8试验MoC 8模拟试验试验大纲/试验报告/试验说明9检查MoC 7.1 MoC 7.2制造符合性检查检查 检查记录 检查记录10设备鉴定MoC 9机载设备鉴定MoC 1 MoC 9中组合1、背景n2）安全性分析方法的作用q现代商用飞机越来越多地使用高集成复杂系统（如动力装置、玻 璃驾驶舱综合显示系统、飞行控制、飞行管理、导航、通讯、风 险规避等系统）；q对这些复杂系统，仅用试验的方法已不能覆盖所有需要考虑的问 题；q安全性评估（System Safety Assessment, SSA）

3、是对高集成 复杂系统进行适航符合性验证的重要工具；q适用条款：CCAR2X.1309、CCAR33.75 2、FHA基本概念n1）FHA定义qqFHAFHA是系统综合地检查产品的是系统综合地检查产品的各种功能各种功能，识别功能的各种，识别功能的各种 失效状态失效状态，并根据失效状态的严重程度对其进行分类的一，并根据失效状态的严重程度对其进行分类的一 种安全性分析方法种安全性分析方法 n2）FHA的特点qqFHAFHA是从系统功能角度提出来的是从系统功能角度提出来的qq不考虑系统的具体不考虑系统的具体构型或组成无关构型或组成无关qq自上而下评估系统功能的自上而下评估系统功能的所有可能失效状态所有

4、可能失效状态2、FHA基本概念n3）FHA的目的q确定系统安全性设计准则（要求）n功能失效状态的分类及允许的最大失效概率 n为系统、子系统供应商确定安全性要求（与FTA结合）n确定后续进行的安全性评估的深度和范围 q评估功能的失效状态，提出控制措施n设计上的控制措施（冗余设计、防差错设计、研制保证等级）n使用措施：为飞行手册编写提供输入2、FHA基本概念n4）FHA的分类qq飞机级飞机级FHAFHAn n将飞机整机视为研究对象，研究在飞机设计的整个将飞机整机视为研究对象，研究在飞机设计的整个飞行包线飞行包线和不同和不同 飞行阶段内飞行阶段内，可能影响飞机持续、安全飞行的功能失效，可能影响飞机持

5、续、安全飞行的功能失效，是，是飞机安飞机安 全性分析与设计的第一步。全性分析与设计的第一步。qq系统级系统级FHAFHAn n系统级系统级FHAFHA是指以飞机系统为对象，研究其在飞机设计的整个飞行是指以飞机系统为对象，研究其在飞机设计的整个飞行 包线和不同飞行阶段内，可能影响系统乃至飞机整机安全飞行的功包线和不同飞行阶段内，可能影响系统乃至飞机整机安全飞行的功 能失效。能失效。3、功能危害性评估程序nFHA的一般过程q1) 确定飞机级相关的所有功能，包括内部功能和交互功能；q2) 识别飞机功能的所有失效状态，考虑所有的单一和复合失效状态；q3) 确定该失效状态出现时所处的工作状态或飞行阶段；

6、q4) 确定失效状态对飞机或人员的影响；q5) 确定失效状态的影响等级，根据失效状态对飞机或人员的影响对其 进行分类；q6) 给出用于证明失效状态影响等级的支撑材料；q7) 提出对安全性要求的验证方法q8）完成FHA分析表格。3、功能危害性评估程序n1）确定功能qa）确定功能的输入信息n飞机级：q飞机顶层功能清单（升力、推力、飞行包线等）q飞机设计目标及用户需求（旅客安全性、舒适性、平均航段时间）q飞机初步设计方案（发动机数、常规平尾等）n系统级：q系统的设计要求与需求q系统功能及其与其他系统的功能接口q飞机级FHA中确定的相关功能及相应失效状态q飞机级FHA中确定的设计决策3、功能危害性评估

7、程序n1）确定功能qb）确定功能的相关原则n既考虑内部功能亦考虑交互功能：q内部功能飞机级，即飞机的主要功能和飞机内部系统间的交互功能系统级，即所分析系统的功能和系统内部设备间的交互功能q交互功能飞机级，即与其他飞机或地面系统的接口功能系统级，即所分析系统为其他系统提供的功能或从其他系统 获得的功能3、功能危害性评估程序n1）确定功能qb）确定功能的相关原则（续）n 按照逐步展开的方式，找出所有工作状态和模式下可能的所有功能或子功能n参考相似机型的功能列表n只针对功能进行分析，而不涉及完成功能的具体设备、系统或结构n进行功能定义时应有所属各专业的专家参与3、功能危害性评估程序n1）确定功能qc

8、）现代飞机的典型整机级功能n提供动力：推力及控制、反推力及控制n飞行控制：升阻控制、俯仰、偏航、滚转控制n自动飞行：自动油门、自动驾驶、自动着陆、飞行导引、包线保护n通信：机内、机地n导航：高度、速度、航向、方位、姿态等n起落控制：地面减速、地面支撑、地面方向控制、空地过渡n环境控制：空调、照明、防火、防冰除雨n旅客安全性：应急撤离、水上迫降n旅客舒适性3、功能危害性评估程序n1）确定功能qd）动力装置的典型整机级功能n1）提供前向推力与控制功能；n2）提供反推力与控制功能；n3）为飞机电源与液压源提供输出功率；n4）提供飞机提供引气功能；n5）发动机点火功能；n6）发动机起动功能；n7）发动

9、机防火功能；n8）发动机防冰功能；n9）提供发动机工作参数。3、功能危害性评估程序n2）功能失效状态决策qa）识别功能失效状态考虑到因素n环境q天气q高强度辐射场q火山灰n应急构型q水上迫降q发动机脱落q释压q丧失通信q液压系统失效q电气系统失效q设备冷却失效q中断起飞3、功能危害性评估程序n2）功能失效状态决策qa）识别功能失效状态考虑到因素n单点故障q功能丧失q无通告的功能丧失q功能故障（有无通告）q无指令动作n多重故障q多余度系统同时失效（液压、通导）q安全装置与功能系统共同失效3、功能危害性评估程序n2）功能失效状态决策qb）典型失效状态以“推力控制功能丧失”为例n推力锁定n单侧推力丧

10、失n推力无指令增大nV1速度后推力无指令减小n推力无指令减小3、功能危害性评估程序n3）飞行阶段定义3、功能危害性评估程序n3）飞行阶段定义qG地面滑行：起飞前+着陆后qT起飞：松刹车滑跑开始至达到起飞安全高度35英尺 qF1爬升: 35英尺 到巡航高度qF2巡航：从爬升至巡航高度开始到开始下降 qF3下降：巡航高度到1500英尺qF4进近：1500英尺到着陆安全高度50英尺qL着陆：50英尺至接地、滑跑减速到20节 3、功能危害性评估程序n4）失效状态影响q分析各功能失效状态对飞机、飞行机组、乘客和客舱机组等人员的影 响；q对系统级FHA，分析失效状态影响时，还必须考虑飞机上具备的降低 失效

11、状态影响的装置或措施；对系统级FHA，还应当考虑失效状态对 飞机其他系统的影响；q在评估失效影响时，必须考虑机组处理危险的一般能力以及可能影响 机组人员处置危险情况的因素。 3、功能危害性评估程序n5）影响等级qa）分类：n灾难性的（Catastrophic）n危害性的（Hazardous）n重大的（Major）n轻微的（Minor）n无安全影响的（No Safety Effect） 3、功能危害性评估程序n5）影响等级qb）分类依据与概率要求影响分类无安全影响 轻微的重大的危害性的 灾难性的 对飞机影响 没有影响 轻微降低飞机 运行能力或安 全裕度 较大降低飞机 运行能力或安 全裕度 极大降

12、低飞机运行能 力或安全裕度 妨碍飞机继续安 全运行或着落 对飞行机组影 响没有影响 轻微增加工作 负荷 不舒适且较大 地增加工作负 荷 身体极度不适、工作 负荷大大增加，完成 任务的能力大大降低 致命的或丧失能 力 对乘客和客舱 机组影响 不方便 身体不舒适 身体极度不适 ，可能受伤 少部分乘客或客舱机 组严重受伤或死亡 较多乘客或客舱 机组死亡 定性概率要求 经常 不经常 微小 极微小 极不可能 定量概率要求(每飞行小时）无 10-3 10-5 10-7 10-9 影响等级V类 IV类 III类 II类 I类 单点失效模式不允许导致灾难性的失效状态3、功能危害性评估程序n5）影响等级qc）发

13、动机影响的分类（33.75要求）n（1）一台发动机失效，认为是轻微发动机后果。n（2）以下后果认为是危害性发动机后果：qa）非包容的高能碎片；qb）客舱用发动机引气中有毒物质浓度足以使机组人员或乘客失去能力qc）与驾驶员命令的推力方向相反的较大的推力；qd）不可控火情；qe）发动机安装系统失效，导致非故意的发动机脱开；qf）如果适用，发动机引起的螺旋桨脱开；qg）完全失去发动机停车能力。n（3）严重程度介于本条（1）和（2）之间的后果是重要发动机后果。3、功能危害性评估程序n5）影响等级qd）发动机影响的其他要求：n引起某一特定的危害性失效状态（发动机影响）的所有原因的概率总和小于10-7每发

14、动机飞行小时，或者，引起危害性失效状态（发动机影响）的单个原因或原因组合的概率小于10-8每发动机飞行小时；n导致重要失效状态（发动机影响）的单个失效模式或失效模式组合的概率不大于10-5每发动机飞行小时，对于重要的发动机影响单个失效模式或失效模式组合（的概率）不需要求和。3、功能危害性评估程序n5）影响等级qe）确定影响的原则：n指示系统错误指示一般比指示系统故障或失效更严重n应了解并明确飞机对飞行员的操作与控制要求，以便分析失效状态 对飞行员操作影响n如果同一功能失效在不同阶段对飞机或人员产生的影响不同，则在 分析中要分别列出n飞行员对失效情况的处理能力应以飞机对驾驶员的要求为基础，个 别

15、飞行员对失效的处理能力不能作为确定影响等级的依据n要明确通告的失效和未通告的失效的影响等级是否相同3、功能危害性评估程序n6）影响等级支撑材料 q对于那些影响不容易确定、或者存在争议的失效状态，必 须提供支撑材料证明影响等级的确定是正确的。q这些支撑材料包括飞行试验、地面试验、仿真模拟及类似 案例等。q为了保证分析结果的正确，对于III类、IV类、V类失效状态 ，必须进行飞行试验。3、功能危害性评估程序n7）进一步验证方法建议 q“无安全性影响的”和“轻微的”nFHA本身说明即可q对于“重要的”n分析对象为简单或常规系统，FMEA等定性验证n复杂系统，如有运行经验时，FMEA定性验证；否则FM

16、EA、FTA定量验证q对于“危害性的”和“灾难性的”失效状态nFMEA、FTA定量验证3、功能危害性评估程序n8）表格填写q表格填写是FHA的主要工作，上述分析过程的结论主要反映在FHA表 格中 1功能2失效状态3工作状态 飞行阶段 4危险对飞机或人 员的影响 5影响等级 6影响等级支 撑材料 7验证方法 8附注 4、功能危害性评估报告n提交给适航当局的FHA（飞机级）报告必须包括如下内容：q1）系统组成及其功能描述（包括必要的系统方块图和功能流向图）q2）FHA输入功能清单q3）环境和紧急情况清单q4）假设。列出所使用的所有假设，并说明它们的合理性q5）FHA表格q6）分析工作的简要总结，包括危险故障状态清单及其建议措施等5、飞机级FHA工程实例5、飞机级FHA工程实例5、飞机级FHA工程实例5、飞机级FHA工程实例6、 航空发动机FHA工程案例n一、发动机系统组成及其功能描述6、 航空发动机FHA工程案例n二、发动机整机级功能清单确定q1 飞机级功能要求6、 航空发动机FHA工程案例n二、发动机整机级功能清单确定q2 发动机顶层功能定义与描述n发动机顶层功