温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
民用
飞机
系统
安全性
需求
确认
研究
谢剑
DOI:10 3969/j issn 2095 509X 2023 02 013民用飞机飞控系统安全性需求确认研究谢剑,徐清(中国商用飞机有限责任公司上海飞机设计研究院,上海201210)摘要:民用飞机复杂机载系统需通过严格的过程控制以保证设计达到既定的环境运行要求,基于安全性分析与验证的设计可以有效提升机载系统的可靠性。以民用飞机飞控系统为例,针对安全性需求的确认进行了研究,基于 AP4754 和 AP4761 标准,系统阐述了民用飞机飞控系统安全性需求的识别过程和确认流程,并对安全性需求确认过程中的若干要素进行详细论述。关键词:民用飞机;飞控系统;安全性需求;确认流程;确认矩阵中图分类号:V227+6文献标识码:A文章编号:2095 509X(2023)02 0067 04随着电子技术的发展,现代民用飞机大多已采用电传飞行控制系统。电传飞行控制系统作为现代民机最为复杂的机载系统之一,它的功能执行正常与否直接决定飞机的飞行安全。由于它的高度复杂性和安全重要性,各国适航当局都对飞行控制系统的研发过程给予了极大的关注1 4。因此,电传飞行控制系统需执行极其严格的系统研发流程。国内飞机研制过程多以产品功能实现为目的,虽然采取了多余度、非相似设计等提高系统安全性的手段,但在建立基于安全性分析的完整系统研制流程方面仍有欠缺,尤其在对系统安全性需求确认的过程控制缺乏相对规范统一的手段和方法。本文对现代民用飞机的飞控系统安全性需求确认流程以及确认要素进行研究,以期得到一个可以借鉴的国内飞控系统安全性需求确认方法。1民用飞机飞控系统安全性需求识别民用飞机飞控系统安全性需求主要来源于系统安全性评估工作。图 1 给出了系统级和设备级安全性需求识别和确认的一个双向过程。飞控系统研制过程中,通过开展系统级功能危险性评估(system functional hazard assessment,SFHA)、初步系统安全性评估(preliminary system safety assess-ment,PSSA)、系统级的共因分析(common cause a-nalysis,CCA)得到了飞控系统系统级和部件级的安全性需求5。1)SFHA。图 1飞控系统安全性需求识别与确认图飞控系统的功能危险性评估,是确定系统级安全性需求的主要工作之一。SFHA 以飞控系统功能清单为直接输入,针对飞控系统的功能进行失效影响分析,并判定各功能失效影响的严重程度;同时,保持与飞机级安全性需求的追溯关系,最终提出飞控系统系统级安全性需求。2)PSSA。初步系统安全性评估将对 SFHA 中规定的每个重要失效状态进行分析,并对飞控系统的构架进行系统性分析,以确定系统构架是否能够满足SF-收稿日期:2022 01 11作者简介:谢剑(1986),男,高级工程师,硕士,主要研究方向为民机飞机机载系统设计与验证,xiejian comac cc762023 年 2 月机械设计与制造工程Feb 2023第 52 卷 第 2 期Machine Design and Manufacturing EngineeringVol 52 No 2HA 的需求。PSSA 中通过故障树分析定量地分配了各个底层部件的失效概率需求、对其他系统的接口安全性需求,并根据功能危险性需求定义系统功能与复杂电子设备软硬件研制保证等级需求、其他保证系统安全性的独立性需求等。2民用飞机飞控系统安全性需求的确认流程图 2 给出了民机飞控系统安全性需求确认过程的详细模型。飞控系统设计研制过程是制定安全性需求确认计划的有效输入,研制过程中使用的假设数据、工程经验等均需要在确认计划中考虑;同时,飞控系统设计安全性分析决定了初始确认矩阵,安全性工程师通过对飞控系统进行完整全面的安全性分析提出飞控系统安全性需求,并将该需求作为初始确认矩阵中的待确认内容;系统初步安全性分析提出系统功能和复杂电子部件软硬件的研制保证等级,决定了安全性需求确认的严酷度。系统安全性需求确认计划制定完成后,将按照计划中的节点,待系统设计进展到一定阶段后,根据确认严酷度要求进行安全性需求正确性和完整性检查,检查过程中完成最终确认矩阵并编制系统安全性需求确认总结报告,作为系统研制过程中的重要证据备存。在此期间,安全性需求确认计划和最终确认矩阵对系统设计研发起到负反馈作用,即确认矩阵中的安全性需求也影响系统设计。图 2安全性需求确认模型飞控系统安全性需求作为飞控系统需求的一个组成部分,参考系统需求确认流程1,飞控系统安全性需求的确认流程一般由以下 5 个步骤组成:1)为安全性需求选择确认方法。进行系统安全性需求确认之前,确认人员对每条需求进行初步审阅,选择恰当的需求确认方法,并在需求矩阵中明确记录。确认方法包括分析、评审、试验等。2)进行需求确认工作。安全性需求确认过程中,确认人员对每一条安全性需求按照需求矩阵中明确的确认方法,进行安全性需求的正确性和完整性检查。3)得到确认的证据。安全性需求确认过程中,确认人员对结果(如评审结果、调查分析结论、会议记录)进行整理记录,形成安全性确认证据。4)将确认结果纳入确认总结。安全性需求确认人员将确认活动的结果纳入确认工作总结,并进一步修订安全性需求确认矩阵。5)将确认中发现的问题通告相关方。安全性需求确认人员将需求确认过程中发现的问题反馈给安全性需求编制人员,协助需求编制人员编制问题报告,并将问题反馈至问题相关方。3飞控系统安全性需求确认过程中若干要素3 1飞控系统安全性需求确认计划飞控系统安全性需求确认计划是系统安全性需求确认工作中的一份重要文件,规定了系统安全性需求确认工作的相关内容,该计划贯穿于飞控系统的整个研制过程。3 2飞控系统安全性需求确认的严酷度飞控系统的功能研制保证等级(functional de-velopment assurance level,FDAL)决定了确认工作的严酷度。由于飞控系统的功能研制保证等级一般很高,安全性需求的捕获与确认工作应相互独立。在需求确认过程中,满足独立性的最常见的方法是独立评审安全性需求数据和支撑材料,以确定是否有充分的证据表明需求的正确性及需求集的完整性。其内容包括工程评审以及用户、维修人员、适航审定当局和项目研发人员的评审。不同严酷度等级对应的目标、输出文件和独立性与适用性见表 16 7。3 3安全性需求假设飞控系统研制过程中,为进行安全性评估需做出各种假设。在进行飞控系统安全性需求确认时,必须完整识别并且记录安全性需求假设,逐步证明假设的合理性和正确性。假设的确认过程主要关注三方面工作,即假设被清楚地声明、合理地发布和用支撑数据合理证明。用于确认假设的过程包括评审、分析和试验。如果一个错误假设产生的结果极可能降低安全性,862023 年第 52 卷机械设计与制造工程表 1系统安全性需求确认严酷度与目标输出关系目标不同研制保证等级中的适用性与独立性目标号目标描述ABCDE输出1安全性需求是完整和正确的*AN确认结果2安全性假设是被证明合理和已确认的*AN确认结果3安全性衍生需求是被证明合理和已确认的*AN确认结果4安全性需求是可追溯的AN确认结果6提供确认符合性的证明材料AN确认摘要(包括确认矩阵)注:1*推荐用于包含过程独立性的合格审定;合格审定推荐的;A需要与审定当局协商的;N合格审定无要求的。2*表示当安全性需求确认活动由非需求编制人员执行时,需求确认的独立性即得到满足。则需充分表明系统是如何通过设计手段来限制错误的假设可能导致的结果。3 4安全性需求确认方法飞控系统每一条安全性需求都应有相应的确认方法,以确保系统安全性需求的正确性和完整性,可通过追溯、分析、建模、试验、相似性和工程评审来开展安全性需求确认工作。分析方法推荐采用 AP4761 中的安全性分析方法,对安全性需求进行确认5。1)追溯性。追溯性是确认飞控系统和部件需求的一个重要方法。对于一条安全性需求,或者可以追溯其上层需求,或者可对得到该需求的来源进行追溯。追溯性本身可以从完整性角度充分表明较低层级的需求满足较高层级的需求。有些低层级的安全性需求可能不能对上一层的安全性需求(如衍生需求)进行追溯,这些安全性需求应通过相应的依据来证明其有效性。此时应该对无法追溯的安全性需求进行评审,以确定其是否:作为研制过程的一部分衍生而出的,或来自于上一层需求,但上一层需求缺失可能需要增加,或需进行管理的假设。飞控系统安全性需求的追溯主要分两个层次进行:系统级安全性需求追溯性检查。系统级安全性需求对上一层次需求的追溯性检查,主要检查系统级 FHA 工作中产生的系统级安全性需求的正确性和完整性,检查飞机级 FHA及 PASA(初步飞机安全性分析)的要求是否正确、完整地传递给系统级 FHA,并填写相应检查表格。部件级安全性需求追溯性检查。飞控系统开展 PSSA 工作,采用故障树分析的方法将 SFHA 的概率要求分解到部件级。部件级安全性需求对上一层次需求的追溯性检查,主要检查系统级 PSSA 工作中产生的部件级安全性需求的正确性和完整性,检查系统级 FHA 的要求是否正确、完整地传递给部件级,并填写相应检查表格。2)分析。AP4761 给出了具体的与安全性相关的分析方法,包括开展 FHA/PSSA/SSA/FMEA 等分析,并提供了可被适航当局接受的分析流程和技术。在研制早期应与适航当局充分商讨 FHA、PSSA 的可接受性,对安全性需求进行充分确认。3)建模。采用系统/设备模型对飞控系统安全性需求进行确认。4)试验。采用专门的试验、模拟或演示对飞控系统安全性需求进行确认。5)相似性(经验)。通过比较已取证的相似系统的需求来进行需求的确认。系统的使用经验越多,相似性方法所具有的说服力则更大。只有在获得充足的使用经验时,才能使用相似性方法。在以下情况下,可以使用相似性方法:两个系统/项目具有相同的功能、失效状态等级,工作环境相同,使用场景相似;两个系统/项目在等效环境下执行相似的功能。不同研制保证等级需求进行系统安全性需求确认应采用的方法和资料见表 2。每条需求的确认都应根据所采取的确认方法进行确认工作并提交相应的支撑材料或数据,以便确认复核人员对需求确认结论进行审核。针对 FDAL 是 A 和 B 的系统功能,应至少采用两种确认方法进行安全性需求确认。针对FDAL 是 C 的系统功能,应至少采用一种确认方法962023 年第 2 期谢剑:民用飞机飞控系统安全性需求确认研究进行安全性需求确认;针对 FDAL 是 D 和 E 的系统功能,不强制要求进行确认工作。表 2不同研制保证等级飞控系统安全性需求确认所需的支持材料方法和资料研制保证等级A 和 BCDEPSSAAN确认计划AN确认矩阵AN确认总结AN需求的追溯性(非衍生需求)AN需求的依据(衍生需求)AN分析、建模或试验相似性A工程评审选择其中一个ANANAN注:要求作为合格审定的需求;A可协商作为合格审定的需求;N不需要作为合格审定的需求。3 5系统安全性需求确认矩阵采用确认矩阵对系统安全性需求确认过程进行跟踪,根据需求对应功能的研制保证等级确定确认矩阵的详细程度,并在确认计划中加以描述。需求确认矩阵内容至少应包括:1)需求;2)需求的来源;3)所属功能;4)研制保证等级;5)所使用的确认方法;6)确认的支持证据参考;7)确认结论(有效/无效)。3 6系统安全性需求确认总结确认总结应确保安全性需求得到了适当的确认。总结应包括:1)确认计划的参考引用文件,以及描述任何严重偏离计划的情况;2)确认矩阵;3)支持资料和资料源的确定。4结束语本文对民用飞机飞控系统安全性需求的确认进行了系统研究,基于现有适航体系规章要求,给出了飞控系统安全性需求确认的方法和手段,以期通过严格的确认工作保证飞控系统的安全性需求完整且正确。基于安全性分析的机载系统设计已成为适航当局关注的重点,也是飞机研制的难点之一。对飞行控制系统进行全方位的过程控制研究不仅能有效地提升民机设计能力,更能充分表明系统设计安全性。参考文献:1FAA Airworthiness standards t