如何开展民用飞机 "系统安全性评估"(SSA)?

x
用微信扫描二维码
分享至好友和朋友圈

  01 前情提要

  在之前的文章中,我们简要介绍了民用飞机系统安全性的评估过程,也针对安全性评估过程 “三部曲” 之第一部分 “FHA”、第二部分 “PSSA” 进行了介绍。

  今天我们重点介绍下 “三部曲” 之第三部分: SSA(系统安全性评估)。

  

  民用飞机和系统安全性评估 初探与入门!

  如何开展飞机和系统级 "功能危险性评估"(FHA)?

  如何开展飞机系统级 "初步系统安全性评估"(PSSA)?

  02 什么是 SSA?

  系统安全性评估(SSA)是对所实现的系统进行系统性的综合评价,以检验系统架构、设备安装,已满足 FHA 中的顶层安全性目标,以及从 PSSA 导出的具体安全性需求

  这些安全性需求,包括研制保证等级等定性要求,以及失效率等定量要求。

  SSA 的分析过程和分析方法与 PSSA 类似,但二者目的不同。PSSA 主要用于确定建议的系统架构能够满足 FHA 目标,并导出具体的安全性需求。

  因此,PSSA 本质上是需求的定义和确认过程,相关活动主要在 “V模型” 的左侧开展,而 SSA 则是需求的验证过程,其活动主要在 “V模型” 的右侧开展。

  

  03 SSA 主要特点

  SSA 的主要特点如下:

  1. 对于系统级、子系统级、设备级等不同层级的 PSSA,应有不同层级的 SSA 与之对应。系统级 SSA 是最高层次的 SSA(飞机级安全性评估,称为 ASA);

  2. SSA 应综合 FMEA/FMES、FTA、CMA、ZSA、PRA 等各类安全性分析的结果,以表明整个系统的安全性;

  3. SSA 中所采用的分析方法可以是定性的,也可以是定量的。SSA 通常会基于 PSSA 中的故障树和 FMES 中的定量数值,开展定量评估活动。SSA 应确保 FMES 中的所有的重要失效,都已纳入 FTA

  4. 系统研制活动、维修性设计活动、安装信息、PSSA 等,为 SSA 提供了必要的输入。而 SSA 则为飞机级安全性分析、飞机/系统综合分析提供了必要的输入;

  5. 另外,SSA 过程中还须完成与维修和运行相关的安全性工作,并在相应的技术报告或技术出版物中明确,如 MMELCCMR 等。

  04 SSA 过程和主要内容

  SSA 是一种自下而上的分析方法,典型的评估过程如下图所示。

  

  在实际开展系统安全性评估 SSA 时,可参考上图定义的过程开展。

  SSA 主要包括以下内容:

  1. 验证系统级 FHA 建立的安全性目标已被满足

  2. 验证由飞机设计要求和目标,导出或衍生的安全性需求已被满足

  3. 验证在 CCA 过程中识别的设计需求已被满足

  05 SSA 的输入

  FHA 中安全性需求的验证,是 SSA 最重要的一项工作。在开展 SSA 之前,应捕获以下输入数据:

  1. 系统架构描述、与其他接口系统的交联关系

  包括系统架构方案及其设计原理,系统的接口和界面,关键信号及使用逻辑等;

  2. 系统 FHA/PSSA 中的功能定义、失效状态研制保证等级等安全性需求

  3. 共因分析结论(ZSA、PRA、CMA);

  4. FMEA/FMES、试验报告等较低层级的支撑材料

  06 失效状态的评估

  在捕获到上述数据之后,就应启动失效状态的评估工作。不同的失效状态,其验证方法有所区别,具体如下图所示。

  

  总体来说,应从以下方面开展失效状态的评估工作:

  1. 通过故障树分析,表明设备的单个失效或组合失效,是如何导致顶事件发生的。

  在之前介绍 FHA 的文章中,我们以 “地面破升” 功能进行举例说明,这里仍以 “地面破升” 为例。“通告的丧失地面破升功能”是 III 类失效,而此功能丧失一般与表决的轮载、轮速信号丧失有关。

  在 SSA 阶段,我们应根据功能实现情况,全面梳理这些功能的失效逻辑及其基本原理

  2. 通过故障树分析,表明定性和定量的安全性需求已被满足。

  利用 FMEA/FMES 的分析结果,在故障树中使用底事件的真实失效率自下而上计算,检查顶事件的真实概率能否满足指标要求

  3. 检查维修文件,表明维修任务维修间隔均已落实。

  维修任务一般由故障树中的隐蔽故障驱动,通过检查故障树中的重大隐蔽故障,提出建议的维修项目和维修间隔,以探测隐蔽故障是否发生。为便于客户执行,维修任务应具有可操作性,并尽可能沿用常规的维修项目;

  4. 验证系统和设备(软件/硬件)的研制保证等级要求已被满足。

  通过开展系统、软硬件的检查和评审,验证研制保证等级的要求得到贯彻。软件应符合 D-178B/C,硬件应符合 D-254

  5. 通过试验,表明故障树分析过程的正确性

  在飞机和系统层级,安全性相关的故障试验,除了要满足需求确认/验证矩阵中的工作要求,还用于检查故障树分析过程的正确性,提高安全性分析的置信度

  需特别注意的是,SSA 中应针对飞机级需求文件和接口需求文件中,分解给本系统的安全性需求,开展验证工作。在工程实践中,来自接口系统的安全性需求往往容易被遗忘

  此外,SSA 还应针对共因分析过程中产生的隔离要求(ZSA)、外部风险(PRA)、共模失效(CMA)等需求,开展验证工作。

  例如针对区域安全,可以分区域开展机上检查,确保设备安装、EWIS 和液压管路布置等满足独立性和隔离要求。

  例如针对鸟撞特定风险,可以开展机头、发动机、尾翼等不同部位的鸟撞试验,保证飞机结构和相关部件能够抵挡鸟体撞击,或者遭遇鸟撞后,飞机能够安全着陆

  

  07 SSA 的输出

  SSA 过程的输出数据,应通过文件保存下来,以具有可追溯性。这些输出数据包括:

  1. 定性或定量的安全性需求符合性证据

  根据真实的故障树底事件的失效率,验证安全性需求得到满足;

  2. 系统设备的安装,满足隔离、防护等需求的证据

  引用 ZSA、PRA、CMA 的分析摘要和结论,表明系统设备的安装、隔离设计满足要求;

  3. 安全性相关的维修任务及其维修间隔

  维修任务应列入 CCMR,且其维修间隔应不大于故障树中隐蔽故障所允许的暴露时间;

  4. 系统和设备按照相应的研制保证等级,进行研发的证据。

  这些证据包括系统和软硬件的评审总结报告、软硬件完成综述等。

  08 总结

  SSA 也是一个反复迭代的过程,其作为提交适航当局审查的最重要的一份安全性文件,直接影响飞机的取证工作。

  当系统 FHA 及其他全部的安全性需求,被 SSA 验证后,安全性评估过程便告结束

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 0 参与 0
© 1997-2018 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

民用飞机

专注民机设计研发关键技术!

头像

民用飞机

专注民机设计研发关键技术!

45

篇文章

932

人关注

列表加载中...
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码