第八章系統可靠性安全性分析孫有朝南京航空航天大學民航學院

2004年12月13日第八章系統可靠性安全性分析常用的可靠性安全性分析方法：故障模式、影響與危害性分析(FMECA)故障樹分析(FTA)功能危險分析(FHA)共因故障分析(CCA-ZSA/PRA/CMA)第八章系統可靠性安全性分析飛機功能危險分析(FHA)

一、概述FHA是飛機安全性設計工作的起點,也是其它安全性分析工作的基礎

一、概述二、FHA的定義FHA是全面的、系統地按層次檢查產品（飛機、系統和設備）的各種功能，確定各種功能可能的各種潛在危險及其后果FHA的主要目的：發現各種潛在功能危險，以便設計時加以控制，避免可能危險后果的發生二、FHA的定義對新研的或改進的飛機系統都要進行FHA，通過FHA，可為新研的或改進的設計確定安全性要求在飛機研制過程中，當需要對系統設計進行重大更改時，要重新進行全面的FHA，以保證在系統更改過程中功能的變化及其故障影響均被全面的考慮。

二、FHA的定義FHA是從系統功能角度提出來的它僅與系統的功能和薄弱環節有關，而與系統的具體構型或組成無關FHA是自上而下評估系統的所有可能失效狀態、考核每個失效狀態對系統和整機功能的影響三、FHA的目的FHA：發現各種潛在危險和故障模式給出各種危險后果推薦可能的控制措施提出系統安全性要求控制或避免可能危險后果的發生四、FHA的分類及開展時機

整機級FHA系統級FHA

整機級FHA和系統級FHA分析工作所采用的方法和原則是一致的

四、FHA的分類及開展時機整機級FHA整機級FHA是指將飛機整機視為研究對象，研究在飛機設計的整個飛行包線和不同飛行階段內，可能影響飛機持續、安全飛行的功能失效整機級FHA是對整機在預發展階段定義的基本功能的定性分析，目的：確定與飛機級功能有關的危險情況，并對這些危險進行分類，評估其危險后果和影響等級，提供技術建議和措施為建立飛機整機的安全性設計準則、為飛機的總體設計、系統設計、選型及其配置提供技術支持四、FHA的分類及開展時機系統級FHA系統級FHA是指以飛機系統為對象，研究其在飛機設計的整個飛行包線和不同飛行階段內，可能影響系統乃至飛機整機安全飛行的功能失效。對飛機進行FHA分析時，系統通常按ATA100章節進行劃分

FHA至少進行兩次:初步FHA（PFHA,工程設計和研制計劃的初期）最后FHA（FFHA,設計基本完成時）四、FHA的分類及開展時機PFHA(1)獲取如下信息：系統功能故障的危險性及其分類產品設計的臨界安全狀態安全性要求以及產品安全性設計準則系統安裝和構型的要求和限制承制方或供應商的設計要求(2)指導作出消除或控制危險功能狀態的決策(3)提供進行最后功能危險分析的框架四、FHA的分類及開展時機FFHA(1)提供相關文件說明每個潛在危險和功能故障后果分析的正確性說明有關安全性分析的深度和廣度是充分的(2)提供一個自上而下生成的功能等級事件補充清單，用來確認系統FMEA自下而上生成的故障等級事件清單

五、FHA的分析過程

l

從上而下

l

從功能入手

l

假設(找出)各種功能危險情況

l

評估其嚴重程度或危險等級

l

提出建議措施

l

提出安全性設計準則

l

提出最大允許概率

六、FHA的優越性l

僅僅依賴于系統的功能，而不依賴于它的細節，因此能在設計早期進行

l

為系統設計、選型等決策提供指導

七、FHA的基本方法

①頂級故障樹法

②敘述性說明法

③表格分析法七、FHA的基本方法①頂級故障樹法按照故障樹分析原理發展而來的該方法提供了識別危險狀態和潛在事故的系統方法，但它的長處在于識別這些不希望事件的原因建樹需要較為詳細的設計資料，且工作量大

②敘述性說明法一種敘述的方法危險狀態和潛在事故一般根據經驗確定，然后深入細致地加以解釋敘述性說明法不嚴密，其結果往往有嚴重的漏洞或不完善的地方七、FHA的基本方法③表格分析法利用列表形式的方法可系統地尋找和記錄有關系統的危險信息易于檢索和使用，該方法費效比高，且節省時間表格分析法使用最為廣泛，特別適用于設計早期的功能危險分析。八、FHA的主要內容

FHA是一個自上而下的分析方法，關鍵：確定功能及其危險情況并評估其影響。FHA主要包括以下內容：

（1）確定功能（2）危險性說明（3）確定危險出現的工作狀態（4）確定危險對其它系統的影響（5）確定危險對飛機或人員的影響（6）確定影響等級（7）提出進一步分析的方法（8）提出合格審定或驗證方法(PFHA)

提出處置辦法(FFHA)八、FHA的主要內容

功能危險分析

分析人：

審閱人：

報

告

號：發布日期：校訂日期：1功能2危險說明

3工作狀態4危險對其它系統的影響5危險對飛機或人員的影響6影響等級7分析方法8合格審定或驗證方法（PFHA）；處置辦法(FFHA)

表

格

說

明工作狀態（第3欄）影響等級（第6欄）中航商用飛機有限公司RMS工程技術中心地面G1地面滑行G2飛機靜止(系統工作)G3維修起飛T1起飛滑跑(抬前輪之前)T2起飛(抬前輪之后)T3中斷飛行飛行中F1爬升F2收起落架F3放起落架F4巡航F5下降F6進場F7復飛F8200尺到著地F9其它（根據說明）著陸L1著落滑跑L2反推力剎車Ⅰ災難性的Ⅱ危害的Ⅲ較大的Ⅳ較小的FHA工作的核心是填寫分析表格。分析表格的內容和格式可以根據分析要求的不同而不同1、確定功能進行FHA首先需要確定所分析層次產品的所有功能，建立功能清單整機級的功能可根據飛機的設計、使用要求，結合工程經驗確定。低一級的功能可根據高一級相應的功能展開確定。在確定功能時應廣泛吸收相似機型的工程經驗，并聽取工程、適航、使用部門等各方專家的意見和建議不管是整機級還是系統級，功能既可能由硬件實現也可能由軟件實現，進行FHA分析時，既要考慮硬件功能又要考慮軟件功能功能通常包括內部功能和交互功能1、確定功能(1)

所分析層次的內部功能（內部功能）

l

整機級：飛機的主要功能和飛機內部系統間的交互功能

l

系統級：所分析系統的功能和系統內部設備間的交互功能

(2)所分析層次的外部功能（交互功能）

l

整機級：與其他飛機或地面系統的接口功能

l

系統級：所分析系統為其他系統（包括其他飛機系統或地面系統）提供的功能或從其他系統獲得的功能

1、確定功能整機級FHA—確定功能所需信息

飛機頂層功能清單（如飛行包線等）

飛機設計目標和用戶需求（如座位數、航線等）

飛機初步設計方案（如操縱系統、發動機數目等）系統級FHA—確定功能所需信息所研究系統的主要功能清單外部接口的功能框圖整機FHA確定的功能清單及其故障情況清單設計方案確定的功能要求1、確定功能功能的確定原則

按照逐步展開的方式進行相應的功能分析，找出所有工作狀態和模式下可能的所有功能或子功能

在進行功能定義時可參考相似機型的功能列表只針對分析對象的功能展開分析工作，而不涉及完成功能的具體設備、系統或結構

進行功能定義時應有所屬各專業的專家參與

1、確定功能功能清單：電源系統功能清單（例）

頂層功能展開的功能1展開的功能2編號對用電設備供電對關鍵設備供電向交流關鍵設備供電

向直流關鍵設備供電

對重要設備供電向交流重要設備供電

向直流重要設備供電

對一般設備供電向交流一般設備供電

向直流一般設備供電

對地面服務設備供電向交流地面服務設備供電

向直流地面服務設備供電

2、危險性說明

—識別并描述每個系統功能的故障狀態識別功能故障狀態應分別考慮所研究對象的內部功能、交互功能以及環境和應急情況要求既要考慮單個子系統或設備故障對系統的影響，又要考慮多個子系統或設備故障（多重故障）對系統的影響功能故障在不同飛行階段產生的影響不同時，要對不同飛行階段的同一功能故障分別進行分析2、危險性說明識別功能故障狀態時應考慮的主要因素：（1）找出所有可能的功能失效模式（2）危險產生的根源(例如電源、液壓系統、燃油、壓力系統等)（3）具有冗余或者被冗余影響的系統：

n

提供所考慮功能的所有通路或途徑單個失效

n

提供所考慮功能的通路或途徑同時失效（4）每一個系統的工作狀態，包括在不正常狀態下的意外工作（5）所有功能和實際系統的相互關系；

n

功能故障對其它系統以及相關人員（包括機組人員、維修人員）的影響

n

其它系統故障對所研究系統的影響

n

所研究系統與其它系統的功能接口

2、危險性說明

（6）外部因素（條件），包括：

n

損壞的外部原因

n

內部和外部的環境條件（包括在正常和非正常工作環境里遭受的影響）

n

功能系統全部或部分不工作的影響

n

操作者的工作負荷

（7）人為因素（8）可能影響附近系統物理失效的情況(破裂、飛散的碎片、流體、熱，電磁干擾等)2、危險性說明

功能故障識別時，常用的功能故障模式有：

1）

失控(全部或部分)2）

卡滯或游離

3）

不能工作、斷續工作、部分工作或降低工作

4）

特性改變(載荷、速率、剛性、延遲、振蕩等)5）

意外工作或不受指令地工作

6）

有害的失效指示或警告

7）

沒有失效指示或警告

8）

錯誤的數據輸出

9）

不正確的數據顯示2、危險性說明確定功能故障狀態還應考慮各種環境和緊急情況的影響，如天氣、火山粉末以及水上迫降、發動機停車、通信中斷、減壓等。即要分別考慮所研究對象的內部功能、交互功能以及環境和應急情況中的每一項，由此才能得到完善的功能故障狀態清單。

因此還應建立環境和緊急情況清單。對于系統級的FHA，環境和緊急情況清單可源于整機級或上一層次的相應清單以及設計初始階段的結構設計方案。3、工作狀態確定危險出現的工作狀態或飛行階段。飛行階段劃分如下：

地面

G1地面滑行G2飛機靜止（系統工作）G3維修起飛

T1起飛滑跑（抬前輪之前）T2起飛（抬前輪之后）

T3中斷飛行飛行中

F1爬升；F2收起落架；F3放起落架；F4巡航；F5下降;

F6進近；F7復飛；F8200尺到著地；F9其它（根據說明）著落

L1著落滑跑；L2反推力剎車

4、危險對其它系統的影響

系統之間的相互作用，使得某系統的功能故障可能對其它系統造成一定影響進行FHA，還要確定該功能故障或失效對其它系統的影響一般通過經驗，從功能上邏輯推斷確定

5、危險對飛機或人員的影響必須確定各種功能故障狀態或危險狀態對飛機或人員(機組、乘客、維修人員等)的影響一般根據經驗(工程經驗和其他飛機的使用經驗)，從功能上邏輯推斷、分析確定。通常要有推斷、分析過程。在評估故障影響時，必須考慮可能影響機組人員處置危險情況的因素，例如煙霧，通信的中斷，座艙增壓的妨礙等

6、確定影響等級根據功能故障對所研究的系統、飛機整機及其人員等的影響程度大小來確定故障狀態影響等級通常分為四類：

災難性的危險的較大的較小的6、確定影響等級災難性的：失效情況妨礙繼續安全飛行和著陸，造成多個人員死亡和(或)系統破壞發生概率要求低于10-9

危險的：失效情況導致安全裕度和性能大大降低飛行機組人員身體受傷或負擔大大增大、使得他們不能準確地執行任務對乘客產生有害影響，可能發生某些人員嚴重的或許是致命的傷害發生概率要求在10-9—10-76、確定影響等級較大的：失效情況導致安全裕度和性能顯著降低由于工作載荷的增加或由于損害操作者效率情況的出現，使操作者處理不利工作情況的能力有所下降乘客感到不舒服，可能發生人員受傷的情況發生概率要求在10-7—10-5較小的：失效情況對安全性沒有顯著影響，所要求的任何操作完全在操作人員的能力之內如稍微降低飛機的安全裕度和性能，飛行機組的負擔稍微增加、航線飛行計劃改變或乘客感到有些不方便等發生概率在10-5—10-36、確定影響等級在確定影響等級時可參考以下原則：

a)指示系統錯誤指示一般比指示系統故障或失效的影響更嚴重b)應了解并明確飛機對駕駛員的操作與控制的要求，包括在各飛行階段對駕駛員的工作要求，以便分析故障狀態對駕駛員操作的要求和影響c)如果同一功能故障在不同階段對飛機或人員產生的影響不同，則在分析中要分別列出d)駕駛員對故障情況的處理能力應以飛機對駕駛員的要求為基礎，個別駕駛員對故障的處理能力不能作為確定影響等級的依據e)要明確通告的故障和未通告故障的危害等級是否相同7、進一步分析的方法初步設計初步危險性分析建立失效事件的臨界狀態較小的停止較大的FMEA危險的FMEAFTA災難性的FMEAFTA其它其它停止8、提出合格審定/驗證方法或處置辦法

PFHA：在上述分析的基礎上，根據目前使用的先進技術，運用累積的經驗，提出合格審定或驗證方法以及必要的技術建議設計預防：如更改設計、冗余設計、強度計算、提供警告或機械防錯裝置、提供駕駛員人工代用裝置等試驗驗證：如飛行試驗驗證、臺架試驗驗證等概率分析

FFHA

給出對所有災難性的、危險的和較大的這三類等級危險的處置辦法，以表明對于每種確定的危險情況，該設計滿足要求的概率等級。

九、FHA報告PFHA報告通常包括以下內容：1）系統組成及其功能描述（包括必要的系統方塊圖和功能流向圖）2）

FHA輸入功能清單3）

環境和緊急情況清單4）假設。列出所使用的所有假設，并說明它們的合理性5）

FHA表格6）分析工作的簡要總結，包括危險故障狀態清單及其建議措施等九、FHA報告FFHA報告通常包括以下內容：1）系統組成及其功能描述（包括必要的系統方塊圖和功能流向圖）2）

FHA輸入功能清單3）

環境和緊急情況清單4）數據。如果數據太多，不能包含在報告中，則應單獨列出數據清單，并注明出處5）假設。列出所使用的所有假設，并說明它們的合理性6）

FHA表格7）分析工作的簡要總結，包括危險故障狀態清單及其處置辦法等十、某民航飛機整機PFHA

動力裝置

指示功能

機艙環境控制

位置航向控制

起落架系統功能

其他

十、某飛機整機PFHA動力裝置：為飛機提供推力及反推力給飛機提供電源/液壓源給飛機提供氣源為飛機用氣系統提供壓縮空氣十、某飛機整機PFHA指示功能：獲取飛機姿態信息飛機航向顯示獲取垂直速度信息獲取側滑信息獲取空速信息獲取高度信息發出超速警告為駕駛員提供導航信息十、某飛機整機PFHA機艙環境控制

：座艙壓力控制通風空氣調節為機上乘員提供必要的工作條件、舒適的生活環境和便捷的使用設備；為應急狀態下撤離提供設備提供氧氣照明功能十、某飛機整機PFHA位置航向控制：自動駕駛操縱和控制飛機飛行姿態十、某飛機整機PFHA起落架系統功能：起落架收放功能飛機著陸及停放顯示正確的起落架位置控制前輪轉向通過剎車系統使飛機在地面減速機輪鎖定保護和接地保護防滑保護為其它系統提供剎車狀態信息停機剎車微動剎車自動剎車指示剎車溫度十、某飛機整機PFHA其它：

通信供電功能供油提供液壓動力防冰除雨探測功能滅火功能飛行管理失速保護功能十、某飛機整機PFHA1功能2危險說明3工作狀態或飛行階段4危險對其他系統的影響5危險對飛機或人員的影響6影響等級7分析方法8合格審定/驗證方法；9附注供電功能全機所有交流電源失效T1,T2,T3F1,F2,F3F4,F5,F6F7,F8,F9通信、導航系統、機上的電子設備和飛行操縱系統等可能無法正常工作所有交流用電設備失效，可能機毀人亡災難性的FMEAFTA概率分析，冗余設計，試驗驗證

全機所有直流電源失電T1,T2,T3F1,F2,F3F4,F5,F6F7,F8,F9通信、導航系統、機上的電子設備和飛機操縱系統等可能無法正常工作不能保證對全機所有直流用電設備