可靠性原理-第八章-系统可靠性安全性分析-孙有朝

第八章系统可靠性安全性分析孙有朝南京航空航天大学民航学院

2004年12月13日第八章系统可靠性安全性分析常用的可靠性安全性分析方法：故障模式、影响与危害性分析(FMECA)故障树分析(FTA)功能危险分析(FHA)共因故障分析(CCA-ZSA/PRA/CMA)第八章系统可靠性安全性分析飞机功能危险分析(FHA)

一、概述FHA是飞机安全性设计工作的起点,也是其它安全性分析工作的基础

一、概述二、FHA的定义FHA是全面的、系统地按层次检查产品（飞机、系统和设备）的各种功能，确定各种功能可能的各种潜在危险及其后果FHA的主要目的：发现各种潜在功能危险，以便设计时加以控制，避免可能危险后果的发生二、FHA的定义对新研的或改进的飞机系统都要进行FHA，通过FHA，可为新研的或改进的设计确定安全性要求在飞机研制过程中，当需要对系统设计进行重大更改时，要重新进行全面的FHA，以保证在系统更改过程中功能的变化及其故障影响均被全面的考虑。

二、FHA的定义FHA是从系统功能角度提出来的它仅与系统的功能和薄弱环节有关，而与系统的具体构型或组成无关FHA是自上而下评估系统的所有可能失效状态、考核每个失效状态对系统和整机功能的影响三、FHA的目的FHA：发现各种潜在危险和故障模式给出各种危险后果推荐可能的控制措施提出系统安全性要求控制或避免可能危险后果的发生四、FHA的分类及开展时机

整机级FHA系统级FHA

整机级FHA和系统级FHA分析工作所采用的方法和原则是一致的

四、FHA的分类及开展时机整机级FHA整机级FHA是指将飞机整机视为研究对象，研究在飞机设计的整个飞行包线和不同飞行阶段内，可能影响飞机持续、安全飞行的功能失效整机级FHA是对整机在预发展阶段定义的基本功能的定性分析，目的：确定与飞机级功能有关的危险情况，并对这些危险进行分类，评估其危险后果和影响等级，提供技术建议和措施为建立飞机整机的安全性设计准则、为飞机的总体设计、系统设计、选型及其配置提供技术支持四、FHA的分类及开展时机系统级FHA系统级FHA是指以飞机系统为对象，研究其在飞机设计的整个飞行包线和不同飞行阶段内，可能影响系统乃至飞机整机安全飞行的功能失效。对飞机进行FHA分析时，系统通常按ATA100章节进行划分

FHA至少进行两次:初步FHA（PFHA,工程设计和研制计划的初期）最后FHA（FFHA,设计基本完成时）四、FHA的分类及开展时机PFHA(1)获取如下信息：系统功能故障的危险性及其分类产品设计的临界安全状态安全性要求以及产品安全性设计准则系统安装和构型的要求和限制承制方或供应商的设计要求(2)指导作出消除或控制危险功能状态的决策(3)提供进行最后功能危险分析的框架四、FHA的分类及开展时机FFHA(1)提供相关文件说明每个潜在危险和功能故障后果分析的正确性说明有关安全性分析的深度和广度是充分的(2)提供一个自上而下生成的功能等级事件补充清单，用来确认系统FMEA自下而上生成的故障等级事件清单

五、FHA的分析过程

l

从上而下

l

从功能入手

l

假设(找出)各种功能危险情况

l

评估其严重程度或危险等级

l

提出建议措施

l

提出安全性设计准则

l

提出最大允许概率

六、FHA的优越性l

仅仅依赖于系统的功能，而不依赖于它的细节，因此能在设计早期进行

l

为系统设计、选型等决策提供指导

七、FHA的基本方法

①顶级故障树法

②叙述性说明法

③表格分析法七、FHA的基本方法①顶级故障树法按照故障树分析原理发展而来的该方法提供了识别危险状态和潜在事故的系统方法，但它的长处在于识别这些不希望事件的原因建树需要较为详细的设计资料，且工作量大

②叙述性说明法一种叙述的方法危险状态和潜在事故一般根据经验确定，然后深入细致地加以解释叙述性说明法不严密，其结果往往有严重的漏洞或不完善的地方七、FHA的基本方法③表格分析法利用列表形式的方法可系统地寻找和记录有关系统的危险信息易于检索和使用，该方法费效比高，且节省时间表格分析法使用最为广泛，特别适用于设计早期的功能危险分析。八、FHA的主要内容

FHA是一个自上而下的分析方法，关键：确定功能及其危险情况并评估其影响。FHA主要包括以下内容：

（1）确定功能（2）危险性说明（3）确定危险出现的工作状态（4）确定危险对其它系统的影响（5）确定危险对飞机或人员的影响（6）确定影响等级（7）提出进一步分析的方法（8）提出合格审定或验证方法(PFHA)

提出处置办法(FFHA)八、FHA的主要内容

功能危险分析

分析人：

审阅人：

报

告

号：发布日期：校订日期：1功能2危险说明

3工作状态4危险对其它系统的影响5危险对飞机或人员的影响6影响等级7分析方法8合格审定或验证方法（PFHA）；处置办法(FFHA)

表

格

说

明工作状态（第3栏）影响等级（第6栏）中航商用飞机有限公司RMS工程技术中心地面G1地面滑行G2飞机静止(系统工作)G3维修起飞T1起飞滑跑(抬前轮之前)T2起飞(抬前轮之后)T3中断飞行飞行中F1爬升F2收起落架F3放起落架F4巡航F5下降F6进场F7复飞F8200尺到着地F9其它（根据说明）着陆L1着落滑跑L2反推力刹车Ⅰ灾难性的Ⅱ危害的Ⅲ较大的Ⅳ较小的FHA工作的核心是填写分析表格。分析表格的内容和格式可以根据分析要求的不同而不同1、确定功能进行FHA首先需要确定所分析层次产品的所有功能，建立功能清单整机级的功能可根据飞机的设计、使用要求，结合工程经验确定。低一级的功能可根据高一级相应的功能展开确定。在确定功能时应广泛吸收相似机型的工程经验，并听取工程、适航、使用部门等各方专家的意见和建议不管是整机级还是系统级，功能既可能由硬件实现也可能由软件实现，进行FHA分析时，既要考虑硬件功能又要考虑软件功能功能通常包括内部功能和交互功能1、确定功能(1)

所分析层次的内部功能（内部功能）

l

整机级：飞机的主要功能和飞机内部系统间的交互功能

l

系统级：所分析系统的功能和系统内部设备间的交互功能

(2)所分析层次的外部功能（交互功能）

l

整机级：与其他飞机或地面系统的接口功能

l

系统级：所分析系统为其他系统（包括其他飞机系统或地面系统）提供的功能或从其他系统获得的功能

1、确定功能整机级FHA—确定功能所需信息

飞机顶层功能清单（如飞行包线等）

飞机设计目标和用户需求（如座位数、航线等）

飞机初步设计方案（如操纵系统、发动机数目等）系统级FHA—确定功能所需信息所研究系统的主要功能清单外部接口的功能框图整机FHA确定的功能清单及其故障情况清单设计方案确定的功能要求1、确定功能功能的确定原则

按照逐步展开的方式进行相应的功能分析，找出所有工作状态和模式下可能的所有功能或子功能

在进行功能定义时可参考相似机型的功能列表只针对分析对象的功能展开分析工作，而不涉及完成功能的具体设备、系统或结构

进行功能定义时应有所属各专业的专家参与

1、确定功能功能清单：电源系统功能清单（例）

顶层功能展开的功能1展开的功能2编号对用电设备供电对关键设备供电向交流关键设备供电

向直流关键设备供电

对重要设备供电向交流重要设备供电

向直流重要设备供电

对一般设备供电向交流一般设备供电

向直流一般设备供电

对地面服务设备供电向交流地面服务设备供电

向直流地面服务设备供电

2、危险性说明

—识别并描述每个系统功能的故障状态识别功能故障状态应分别考虑所研究对象的内部功能、交互功能以及环境和应急情况要求既要考虑单个子系统或设备故障对系统的影响，又要考虑多个子系统或设备故障（多重故障）对系统的影响功能故障在不同飞行阶段产生的影响不同时，要对不同飞行阶段的同一功能故障分别进行分析2、危险性说明识别功能故障状态时应考虑的主要因素：（1）找出所有可能的功能失效模式（2）危险产生的根源(例如电源、液压系统、燃油、压力系统等)（3）具有冗余或者被冗余影响的系统：

n

提供所考虑功能的所有通路或途径单个失效

n

提供所考虑功能的通路或途径同时失效（4）每一个系统的工作状态，包括在不正常状态下的意外工作（5）所有功能和实际系统的相互关系；

n

功能故障对其它系统以及相关人员（包括机组人员、维修人员）的影响

n

其它系统故障对所研究系统的影响

n

所研究系统与其它系统的功能接口

2、危险性说明

（6）外部因素（条件），包括：

n

损坏的外部原因

n

内部和外部的环境条件（包括在正常和非正常工作环境里遭受的影响）

n

功能系统全部或部分不工作的影响

n

操作者的工作负荷

（7）人为因素（8）可能影响附近系统物理失效的情况(破裂、飞散的碎片、流体、热，电磁干扰等)2、危险性说明

功能故障识别时，常用的功能故障模式有：

1）

失控(全部或部分)2）

卡滞或游离

3）

不能工作、断续工作、部分工作或降低工作

4）

特性改变(载荷、速率、刚性、延迟、振荡等)5）

意外工作或不受指令地工作

6）

有害的失效指示或警告

7）

没有失效指示或警告

8）

错误的数据输出

9）

不正确的数据显示2、危险性说明确定功能故障状态还应考虑各种环境和紧急情况的影响，如天气、火山粉末以及水上迫降、发动机停车、通信中断、减压等。即要分别考虑所研究对象的内部功能、交互功能以及环境和应急情况中的每一项，由此才能得到完善的功能故障状态清单。

因此还应建立环境和紧急情况清单。对于系统级的FHA，环境和紧急情况清单可源于整机级或上一层次的相应清单以及设计初始阶段的结构设计方案。3、工作状态确定危险出现的工作状态或飞行阶段。飞行阶段划分如下：

地面

G1地面滑行G2飞机静止（系统工作）G3维修起飞

T1起飞滑跑（抬前轮之前）T2起飞（抬前轮之后）

T3中断飞行飞行中

F1爬升；F2收起落架；F3放起落架；F4巡航；F5下降;

F6进近；F7复飞；F8200尺到着地；F9其它（根据说明）着落

L1着落滑跑；L2反推力刹车

4、危险对其它系统的影响

系统之间的相互作用，使得某系统的功能故障可能对其它系统造成一定影响进行FHA，还要确定该功能故障或失效对其它系统的影响一般通过经验，从功能上逻辑推断确定

5、危险对飞机或人员的影响必须确定各种功能故障状态或危险状态对飞机或人员(机组、乘客、维修人员等)的影响一般根据经验(工程经验和其他飞机的使用经验)，从功能上逻辑推断、分析确定。通常要有推断、分析过程。在评估故障影响时，必须考虑可能影响机组人员处置危险情况的因素，例如烟雾，通信的中断，座舱增压的妨碍等

6、确定影响等级根据功能故障对所研究的系统、飞机整机及其人员等的影响程度大小来确定故障状态影响等级通常分为四类：

灾难性的危险的较大的较小的6、确定影响等级灾难性的：失效情况妨碍继续安全飞行和着陆，造成多个人员死亡和(或)系统破坏发生概率要求低于10-9

危险的：失效情况导致安全裕度和性能大大降低飞行机组人员身体受伤或负担大大增大、使得他们不能准确地执行任务对乘客产生有害影响，可能发生某些人员严重的或许是致命的伤害发生概率要求在10-9—10-76、确定影响等级较大的：失效情况导致安全裕度和性能显著降低由于工作载荷的增加或由于损害操作者效率情况的出现，使操作者处理不利工作情况的能力有所下降乘客感到不舒服，可能发生人员受伤的情况发生概率要求在10-7—10-5较小的：失效情况对安全性没有显著影响，所要求的任何操作完全在操作人员的能力之内如稍微降低飞机的安全裕度和性能，飞行机组的负担稍微增加、航线飞行计划改变或乘客感到有些不方便等发生概率在10-5—10-36、确定影响等级在确定影响等级时可参考以下原则：

a)指示系统错误指示一般比指示系统故障或失效的影响更严重b)应了解并明确飞机对驾驶员的操作与控制的要求，包括在各飞行阶段对驾驶员的工作要求，以便分析故障状态对驾驶员操作的要求和影响c)如果同一功能故障在不同阶段对飞机或人员产生的影响不同，则在分析中要分别列出d)驾驶员对故障情况的处理能力应以飞机对驾驶员的要求为基础，个别驾驶员对故障的处理能力不能作为确定影响等级的依据e)要明确通告的故障和未通告故障的危害等级是否相同7、进一步分析的方法初步设计初步危险性分析建立失效事件的临界状态较小的停止较大的FMEA危险的FMEAFTA灾难性的FMEAFTA其它其它停止8、提出合格审定/验证方法或处置办法

PFHA：在上述分析的基础上，根据目前使用的先进技术，运用累积的经验，提出合格审定或验证方法以及必要的技术建议设计预防：如更改设计、冗余设计、强度计算、提供警告或机械防错装置、提供驾驶员人工代用装置等试验验证：如飞行试验验证、台架试验验证等概率分析

FFHA

给出对所有灾难性的、危险的和较大的这三类等级危险的处置办法，以表明对于每种确定的危险情况，该设计满足要求的概率等级。

九、FHA报告PFHA报告通常包括以下内容：1）系统组成及其功能描述（包括必要的系统方块图和功能流向图）2）

FHA输入功能清单3）

环境和紧急情况清单4）假设。列出所使用的所有假设，并说明它们的合理性5）

FHA表格6）分析工作的简要总结，包括危险故障状态清单及其建议措施等九、FHA报告FFHA报告通常包括以下内容：1）系统组成及其功能描述（包括必要的系统方块图和功能流向图）2）

FHA输入功能清单3）

环境和紧急情况清单4）数据。如果数据太多，不能包含在报告中，则应单独列出数据清单，并注明出处5）假设。列出所使用的所有假设，并说明它们的合理性6）

FHA表格7）分析工作的简要总结，包括危险故障状态清单及其处置办法等十、某民航飞机整机PFHA

动力装置

指示功能

机舱环境控制

位置航向控制

起落架系统功能

其他

十、某飞机整机PFHA动力装置：为飞机提供推力及反推力给飞机提供电源/液压源给飞机提供气源为飞机用气系统提供压缩空气十、某飞机整机PFHA指示功能：获取飞机姿态信息飞机航向显示获取垂直速度信息获取侧滑信息获取空速信息获取高度信息发出超速警告为驾驶员提供导航信息十、某飞机整机PFHA机舱环境控制

：座舱压力控制通风空气调节为机上乘员提供必要的工作条件、舒适的生活环境和便捷的使用设备；为应急状态下撤离提供设备提供氧气照明功能十、某飞机整机PFHA位置航向控制：自动驾驶操纵和控制飞机飞行姿态十、某飞机整机PFHA起落架系统功能：起落架收放功能飞机着陆及停放显示正确的起落架位置控制前轮转向通过刹车系统使飞机在地面减速机轮锁定保护和接地保护防滑保护为其它系统提供刹车状态信息停机刹车微动刹车自动刹车指示刹车温度十、某飞机整机PFHA其它：

通信供电功能供油提供液压动力防冰除雨探测功能灭火功能飞行管理失速保护功能十、某飞机整机PFHA1功能2危险说明3工作状态或飞行阶段4危险对其他系统的影响5危险对飞机或人员的影响6影响等级7分析方法8合格审定/验证方法；9附注供电功能全机所有交流电源失效T1,T2,T3F1,F2,F3F4,F5,F6F7,F8,F9通信、导航系统、机上的电子设备和飞行操纵系统等可能无法正常工作所有交流用电设备失效，可能机毁人亡灾难性的FMEAFTA概率分析，冗余设计，试验验证

全机所有直流电源失电T1,T2,T3F1,F2,F3F4,F5,F6F7,F8,F9通信、导航系统、机上的电子设备和飞机操纵系统等可能无法正常工作不能保证对全机所有直流用电设备