安全性定性分析方法

第三讲安全性定性分析方法目前一页\总数一百六十五页\编于十三点本章主要内容一、功能危害性评估二、故障模式、影响及危害性分析三、特殊风险分析四、共模分析五、区域安全性分析目前二页\总数一百六十五页\编于十三点一、功能危害性评估(FHA)1、FHA背景2、基本概念3、FHA程序4、FHA报告内容5、飞机级FHA实例6、航空发动机FHA实例目前三页\总数一百六十五页\编于十三点1、背景1）符合性方法序号验证方法类别验证方法代号验证方法名称相关文件1工程评估MoC0符合性说明符合性说明/型号设计文件2工程评估MoC1设计评审评审结论/设计图纸3工程评估MoC2计算分析计算分析报告4工程评估MoC3安全性评估安全性分析报告5试验MoC4实验室试验试验大纲/试验报告/试验说明6试验MoC5全机地面试验试验大纲/试验报告/试验说明7试验MoC6飞行试验试验大纲/试验报告/试验说明8试验MoC8模拟试验试验大纲/试验报告/试验说明9检查MoC7.1MoC7.2制造符合性检查检查检查记录检查记录10设备鉴定MoC9机载设备鉴定MoC1～MoC9中组合目前四页\总数一百六十五页\编于十三点1、背景2）安全性分析方法的作用现代商用飞机越来越多地使用高集成复杂系统（如动力装置、玻璃驾驶舱综合显示系统、飞行控制、飞行管理、导航、通讯、风险规避等系统）；对这些复杂系统，仅用试验的方法已不能覆盖所有需要考虑的问题；安全性评估（SystemSafetyAssessment,SSA）是对高集成复杂系统进行适航符合性验证的重要工具；适用条款：CCAR2X.1309、CCAR33.75目前五页\总数一百六十五页\编于十三点2、FHA基本概念1）FHA定义FHA是系统综合地检查产品的各种功能，识别功能的各种失效状态，并根据失效状态的严重程度对其进行分类的一种安全性分析方法2）FHA的特点FHA是从系统功能角度提出来的不考虑系统的具体构型或组成无关自上而下评估系统功能的所有可能失效状态目前六页\总数一百六十五页\编于十三点2、FHA基本概念3）FHA的目的确定系统安全性设计准则（要求）功能失效状态的分类及允许的最大失效概率为系统、子系统供应商确定安全性要求（与FTA结合）确定后续进行的安全性评估的深度和范围评估功能的失效状态，提出控制措施设计上的控制措施（冗余设计、防差错设计、研制保证等级）使用措施：为飞行手册编写提供输入目前七页\总数一百六十五页\编于十三点2、FHA基本概念4）FHA的分类飞机级FHA将飞机整机视为研究对象，研究在飞机设计的整个飞行包线和不同飞行阶段内，可能影响飞机持续、安全飞行的功能失效，是飞机安全性分析与设计的第一步。系统级FHA系统级FHA是指以飞机系统为对象，研究其在飞机设计的整个飞行包线和不同飞行阶段内，可能影响系统乃至飞机整机安全飞行的功能失效。目前八页\总数一百六十五页\编于十三点3、功能危害性评估程序FHA的一般过程1)确定飞机级相关的所有功能，包括内部功能和交互功能；2)识别飞机功能的所有失效状态，考虑所有的单一和复合失效状态；3)确定该失效状态出现时所处的工作状态或飞行阶段；4)确定失效状态对飞机或人员的影响；5)确定失效状态的影响等级，根据失效状态对飞机或人员的影响对其进行分类；6)给出用于证明失效状态影响等级的支撑材料；7)提出对安全性要求的验证方法8）完成FHA分析表格。目前九页\总数一百六十五页\编于十三点3、功能危害性评估程序1）确定功能a）确定功能的输入信息飞机级：飞机顶层功能清单（升力、推力、飞行包线等）飞机设计目标及用户需求（旅客安全性、舒适性、平均航段时间）飞机初步设计方案（发动机数、常规平尾等）系统级：系统的设计要求与需求系统功能及其与其他系统的功能接口飞机级FHA中确定的相关功能及相应失效状态飞机级FHA中确定的设计决策目前十页\总数一百六十五页\编于十三点3、功能危害性评估程序1）确定功能b）确定功能的相关原则既考虑内部功能亦考虑交互功能：内部功能飞机级，即飞机的主要功能和飞机内部系统间的交互功能系统级，即所分析系统的功能和系统内部设备间的交互功能交互功能飞机级，即与其他飞机或地面系统的接口功能系统级，即所分析系统为其他系统提供的功能或从其他系统获得的功能目前十一页\总数一百六十五页\编于十三点3、功能危害性评估程序1）确定功能b）确定功能的相关原则（续）按照逐步展开的方式，找出所有工作状态和模式下可能的所有功能或子功能参考相似机型的功能列表只针对功能进行分析，而不涉及完成功能的具体设备、系统或结构进行功能定义时应有所属各专业的专家参与目前十二页\总数一百六十五页\编于十三点3、功能危害性评估程序1）确定功能c）现代飞机的典型整机级功能提供动力：推力及控制、反推力及控制飞行控制：升阻控制、俯仰、偏航、滚转控制自动飞行：自动油门、自动驾驶、自动着陆、飞行导引、包线保护通信：机内、机地导航：高度、速度、航向、方位、姿态等起落控制：地面减速、地面支撑、地面方向控制、空地过渡环境控制：空调、照明、防火、防冰除雨旅客安全性：应急撤离、水上迫降旅客舒适性目前十三页\总数一百六十五页\编于十三点3、功能危害性评估程序1）确定功能d）动力装置的典型整机级功能1）提供前向推力与控制功能；2）提供反推力与控制功能；3）为飞机电源与液压源提供输出功率；4）提供飞机提供引气功能；5）发动机点火功能；6）发动机起动功能；7）发动机防火功能；8）发动机防冰功能；9）提供发动机工作参数。目前十四页\总数一百六十五页\编于十三点3、功能危害性评估程序2）功能失效状态决策a）识别功能失效状态考虑到因素环境天气高强度辐射场火山灰应急构型水上迫降发动机脱落释压丧失通信液压系统失效电气系统失效设备冷却失效中断起飞目前十五页\总数一百六十五页\编于十三点3、功能危害性评估程序2）功能失效状态决策a）识别功能失效状态考虑到因素单点故障功能丧失无通告的功能丧失功能故障（有无通告）无指令动作多重故障多余度系统同时失效（液压、通导）安全装置与功能系统共同失效目前十六页\总数一百六十五页\编于十三点3、功能危害性评估程序2）功能失效状态决策b）典型失效状态以“推力控制功能丧失”为例推力锁定单侧推力丧失推力无指令增大V1速度后推力无指令减小推力无指令减小目前十七页\总数一百六十五页\编于十三点3、功能危害性评估程序3）飞行阶段定义目前十八页\总数一百六十五页\编于十三点3、功能危害性评估程序3）飞行阶段定义G地面滑行：起飞前+着陆后T起飞：松刹车滑跑开始至达到起飞安全高度35英尺

F1爬升:35英尺到巡航高度F2巡航：从爬升至巡航高度开始到开始下降F3下降：巡航高度到1500英尺F4进近：1500英尺到着陆安全高度50英尺L着陆：50英尺至接地、滑跑减速到20节

目前十九页\总数一百六十五页\编于十三点3、功能危害性评估程序4）失效状态影响分析各功能失效状态对飞机、飞行机组、乘客和客舱机组等人员的影响；对系统级FHA，分析失效状态影响时，还必须考虑飞机上具备的降低失效状态影响的装置或措施；对系统级FHA，还应当考虑失效状态对飞机其他系统的影响；在评估失效影响时，必须考虑机组处理危险的一般能力以及可能影响机组人员处置危险情况的因素。目前二十页\总数一百六十五页\编于十三点3、功能危害性评估程序5）影响等级a）分类：灾难性的（Catastrophic）危害性的（Hazardous）重大的（Major）轻微的（Minor）无安全影响的（NoSafetyEffect）目前二十一页\总数一百六十五页\编于十三点3、功能危害性评估程序5）影响等级b）分类依据与概率要求影响分类无安全影响轻微的重大的危害性的灾难性的对飞机影响没有影响轻微降低飞机运行能力或安全裕度较大降低飞机运行能力或安全裕度极大降低飞机运行能力或安全裕度妨碍飞机继续安全运行或着落对飞行机组影响没有影响轻微增加工作负荷不舒适且较大地增加工作负荷身体极度不适、工作负荷大大增加，完成任务的能力大大降低致命的或丧失能力对乘客和客舱机组影响不方便身体不舒适身体极度不适，可能受伤少部分乘客或客舱机组严重受伤或死亡较多乘客或客舱机组死亡定性概率要求经常不经常微小极微小极不可能定量概率要求(每飞行小时）无

10-3

10-5

10-7

10-9

影响等级V类IV类III类II类I类单点失效模式不允许导致灾难性的失效状态目前二十二页\总数一百六十五页\编于十三点3、功能危害性评估程序5）影响等级c）发动机影响的分类（33.75要求）（1）一台发动机失效，认为是轻微发动机后果。（2）以下后果认为是危害性发动机后果：a）非包容的高能碎片；b）客舱用发动机引气中有毒物质浓度足以使机组人员或乘客失去能力c）与驾驶员命令的推力方向相反的较大的推力；d）不可控火情；e）发动机安装系统失效，导致非故意的发动机脱开；f）如果适用，发动机引起的螺旋桨脱开；g）完全失去发动机停车能力。（3）严重程度介于本条（1）和（2）之间的后果是重要发动机后果。目前二十三页\总数一百六十五页\编于十三点3、功能危害性评估程序5）影响等级d）发动机影响的其他要求：引起某一特定的危害性失效状态（发动机影响）的所有原因的概率总和小于10-7每发动机飞行小时，或者，引起危害性失效状态（发动机影响）的单个原因或原因组合的概率小于10-8每发动机飞行小时；导致重要失效状态（发动机影响）的单个失效模式或失效模式组合的概率不大于10-5每发动机飞行小时，对于重要的发动机影响单个失效模式或失效模式组合（的概率）不需要求和。目前二十四页\总数一百六十五页\编于十三点3、功能危害性评估程序5）影响等级e）确定影响的原则：指示系统错误指示一般比指示系统故障或失效更严重应了解并明确飞机对飞行员的操作与控制要求，以便分析失效状态对飞行员操作影响如果同一功能失效在不同阶段对飞机或人员产生的影响不同，则在分析中要分别列出飞行员对失效情况的处理能力应以飞机对驾驶员的要求为基础，个别飞行员对失效的处理能力不能作为确定影响等级的依据要明确通告的失效和未通告的失效的影响等级是否相同目前二十五页\总数一百六十五页\编于十三点3、功能危害性评估程序6）影响等级支撑材料对于那些影响不容易确定、或者存在争议的失效状态，必须提供支撑材料证明影响等级的确定是正确的。这些支撑材料包括飞行试验、地面试验、仿真模拟及类似案例等。为了保证分析结果的正确，对于III类、IV类、V类失效状态，必须进行飞行试验。目前二十六页\总数一百六十五页\编于十三点3、功能危害性评估程序7）进一步验证方法建议“无安全性影响的”和“轻微的”FHA本身说明即可对于“重要的”分析对象为简单或常规系统，FMEA等定性验证复杂系统，如有运行经验时，FMEA定性验证；否则FMEA、FTA定量验证对于“危害性的”和“灾难性的”失效状态FMEA、FTA定量验证目前二十七页\总数一百六十五页\编于十三点3、功能危害性评估程序8）表格填写表格填写是FHA的主要工作，上述分析过程的结论主要反映在FHA表格中1功能2失效状态3工作状态飞行阶段4危险对飞机或人员的影响5影响等级6影响等级支撑材料7验证方法8附注目前二十八页\总数一百六十五页\编于十三点4、功能危害性评估报告提交给适航当局的FHA（飞机级）报告必须包括如下内容：1）系统组成及其功能描述（包括必要的系统方块图和功能流向图）2）FHA输入功能清单3）环境和紧急情况清单4）假设。列出所使用的所有假设，并说明它们的合理性5）FHA表格6）分析工作的简要总结，包括危险故障状态清单及其建议措施等目前二十九页\总数一百六十五页\编于十三点5、飞机级FHA工程实例目前三十页\总数一百六十五页\编于十三点5、飞机级FHA工程实例目前三十一页\总数一百六十五页\编于十三点5、飞机级FHA工程实例目前三十二页\总数一百六十五页\编于十三点5、飞机级FHA工程实例目前三十三页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例一、发动机系统组成及其功能描述目前三十四页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例二、发动机整机级功能清单确定1飞机级功能要求目前三十五页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例二、发动机整机级功能清单确定2发动机顶层功能定义与描述发动机顶层功能主要包括：1）提供前向推力与控制功能；2）提供反推力与控制功能；3）为飞机电源与液压源提供输出功率；4）提供飞机提供引气功能；5）发动机点火功能；6）发动机起动功能；7）发动机防火功能；8）发动机防冰功能；9）提供发动机工作参数。目前三十六页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例二、发动机整机级功能清单确定3初步设计方案发动机的初步设计方案中各组成部分功能包括：1）发动机安装：将发动机产生的推力传递至飞机，保护发动机并为发动机整流；2）发动机本体：产生推力，并将其中部分动力传递给附件齿轮箱提供输出功率；3）燃油与控制系统，根据飞行推力要求进行燃油分配与控制，发动机几何控制以及间隙控制，实现推力管理；4）发动机点火系统，产生电火花点燃油气混合气，在地面或者空中使发动机起动；5）引气系统，提供飞机所需的气源，冷却发动机机匣与涡轮；目前三十七页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例二、发动机整机级功能清单确定3初步设计方案发动机的初步设计方案中各组成部分功能包括：6）发动机操纵系统，提供油门控制、自动与人工推力模式的选择；7）发动机指示系统，提供发动机的性能参数；8）发动机排气系统，把空气和燃气排出，着陆时使气流反向，产生反推力；9）滑油系统，为发动机的主轴承和附件传动装置提供滑油，用于润滑和散热，同时给燃油加温；10）发动机起动系统，利用高压引气起动发动机。目前三十八页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例二、发动机整机级功能清单确定4发动机整机级功能清单的确定根据上述描述确定发动机整机级功能清单如下：1）提供结构完整性功能；2）提供推力及控制功能；3）提供反推力及控制功能；4）提供发动机点火功能；5）油门控制与操纵功能；6）提供发动机工作参数指示；7）提供发动机起动功能；目前三十九页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例二、发动机整机级功能清单确定4发动机整机级功能清单的确定（续）根据上述描述确定发动机整机级功能清单如下：8）发动机防火功能；9）发动机防冰功能；10）提供地面处理与维护功能；11）为飞机电源与液压油提供输出功率；12）提供飞机所需引气。其中，1~9为内部功能，10~12为与飞机其他系统之间的交互功能，防火与防冰功能源于飞机的安全性要求。目前四十页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例三、

环境和紧急情况1）防冰功能时的环境为结冰气象条件；2）考虑防火功能的应急情况为发动机区域着火；3）考虑反推及控制功能的应急情况为中断起飞机；4）考虑起动与点火功能的应急情况为推力丧失。目前四十一页\总数一百六十五页\编于十三点6、航空发动机FHA工程案例四

假设本分析说使用的假设包括：1）使用该航空发动机的飞机为双发翼吊、常规平尾窄体干线商用飞机；2）两台发动机可互相提供起动用引气；3）飞机燃油系统具有燃油关断活门等保护装置；4）飞机驾驶舱ECAM上具有告警信息。目前四十二页\总数一百六十五页\编于十三点二、故障模式、影响及危害性分析(FMECA)

主要内容：1、FMEA基本概念2、FMEA分析过程3、CA及其分析过程4、FMECA的输出5、FMECA注意事项6、ARP4761中的FMEA7、FMECA实例目前四十三页\总数一百六十五页\编于十三点1、FMEA基本概念1）FMEA定义FMEA是指在产品的设计过程中，通过对产品各组成单元潜在的各种故障模式及其对产品功能的影响进行分析，并将潜在的故障模式按它的严酷程度予以分类，提出可以采取的预防改进措施，以提高产品可靠性的一种设计方法。2）FMEA在安全性评估中的作用自下而上分析，考虑所有零部件的各种故障模式及影响找到对系统故障有重大影响的零部件和故障模式并分析其影响程度提出各类危险的预防措施确定零部件的基本失效数据，从而获得FTA中基本事件的失效率，是进行FTA定量分析的基础（FMES）区域安全性分析的输入之一（寻找危险源的方法）目前四十四页\总数一百六十五页\编于十三点1、FMEA基本概念3）FMEA应用时机由于FMEA是一种自下而上，由零件、部件、组件、子系统再到系统的分析方法，进行FMEA分析需考虑产品结构、组成以及单元可靠性数据等产品具体信息，因此FMEA在详细设计阶段方能进行。目前四十五页\总数一百六十五页\编于十三点1、FMEA基本概念4）FMEA分类a)硬件法。列出每个硬件产品并分析产品所有可能的故障模式，确定严酷度类别，按每个故障模式的严酷度和发生概率的综合影响排序。当设计图纸和有关设计资料已明确地确定，产品时，一般可采用此法。硬件法，一般是从零部件级开始“自下而上”地分析到系统级，但也可以从任一级别向任一方向分析。b)功能法。具体做法是，列出输出功能，并分析其故障模式，确定严酷度类别，如获得定量的功能故障模式数据时，则按每个功能故障模式的严酷度和发生概率的综合影响进行排序。在系统研制初期，产品设计尚未完成，得不到详细的零部件清单，或当系统复杂而要求从产品的最高层次向下分析，即“自上向下”分析时，通常可采用此法。采用这种方法较为简单，但容易遗漏某些故障模式。目前四十六页\总数一百六十五页\编于十三点2、FMEA分析过程1）产品或功能定义2）故障模式分析3）故障原因分析4）任务阶段与工作方式5）故障影响6）严酷度类别7）故障检测方法8）补偿措施9）表格填写目前四十七页\总数一百六十五页\编于十三点2、FMEA分析过程1）产品或功能定义a）层次的概念初始约定层次要进行FMEA的总的完整的产品所在的层次，即总的分析对象；约定层次是FMEA表中正被分析对象的上一层次，是按相对复杂度和功能来划分的层次。目前四十八页\总数一百六十五页\编于十三点2、FMEA分析过程1）产品或功能定义系统描述系统功能功能框图可靠性框图系统组成结构层次图功能层次图任务剖面、任务阶段及工作方式目前四十九页\总数一百六十五页\编于十三点2、FMEA分析过程2）故障模式分析故障是产品或产品的一部分不能或将不能完成预定功能的事件或状态,故障模式是故障的表现形式，如起落架撑杆断裂、作动筒间隙不当、收放不到位等典型故障模式提前运行；在规定的应工作时刻不工作；间断地工作；在规定的不应工作时刻工作；工作中输出消失或故障；输出或工作能力下降；在系统特性及工作要求或限制条件方面的其他故障状态。目前五十页\总数一百六十五页\编于十三点2、FMEA分析过程2）故障模式分析——GJB1391序故障模式序故障模式序故障模式1结构故障(破损)12超出允差(下限)23滞后运行2捆结或卡死13意外运行24错误输入(过大)3振动14间歇性工作25错误输入(过小)4不能保持正常位置15漂移性工作26错误输出(过大)5打不开16错误指示27错误输出(过小)6关不上17流动不畅28无输入7误开18错误动作29无输出8误关19不能关机30(电的)短路9内部漏泄20不能开机31(电的)开路10外部漏泄21不能切换32(电的)漏泄11超出允差(上限)22提前运行33其它目前五十一页\总数一百六十五页\编于十三点2、FMEA分析过程2）故障模式分析故障模式可分为以下七大类：损坏型：如断裂、变形过大、塑性变形、裂纹等。退化型：如老化、腐蚀、磨损等。松脱性：松动、脱焊等失调型：如间隙不当、行程不当、压力不当等。堵塞或渗漏型：如堵塞、漏油、漏气等。功能型：如性能不稳定、性能下降、功能不正常。其他：润滑不良等。目前五十二页\总数一百六十五页\编于十三点2、FMEA分析过程3）故障原因分析故障原因直接原因：导致产品功能故障的产品自身的那些物理、化学或生物变化过程等，直接原因又称为故障机理。间接原因：由于其他产品的故障、环境因素和人为因素等引起的外部原因。例如——起落架上位锁打不开直接原因：锁体间隙不当、弹簧老化等间接原因：锁支架刚度差目前五十三页\总数一百六十五页\编于十三点2、FMEA分析过程4）任务阶段与工作方式任务剖面（飞行阶段）又由多个任务阶段组成以起落架为例：起飞、着陆、空中飞行、地面滑行工作方式：可替换有余度——以上位锁开锁为例：液压、手动放下因此，在进行故障模式分析时，要说明产品的故障模式是在哪一个任务阶段的什么工作方式下发生的目前五十四页\总数一百六十五页\编于十三点2、FMEA分析过程5）故障影响局部影响:某产品的故障模式对该产品自身和与该产品所在约定层次相同的其他产品的使用、功能或状态的影响高一层次影响:某产品的故障模式对该产品所在约定层次的高一层次产品的使用、功能或状态的影响最终影响:指系统中某产品的故障模式对初始约定层次产品的使用、功能或状态的影响目前五十五页\总数一百六十五页\编于十三点2、FMEA分析过程6）严酷度类别严酷度：产品故障造成的最坏后果的严重程度严酷度类别定义(GJB1391)严酷度类别严重程度定义Ⅰ类(灾难的)这是一种会引起人员死亡或系统(如飞机、坦克、导弹及船舶等)毁坏的故障。Ⅱ类(致命的)这种故障会引起人员的严重伤害、重大经济损失或导致任务失败的系统严重损坏。Ⅲ类(临界的)这种故障会引起人员的轻度伤害，一定的经济损失或导致任务延误或降级的系统轻度损坏。Ⅳ类(轻度的)这是一种不足以导致人员伤害、一定的经济损失或系统损坏的故障，但它会导致非计划性维护或修理。目前五十六页\总数一百六十五页\编于十三点2、FMEA分析过程7）故障检测方法故障检测方法一般包括目视检查、离机检测、原位测试等手段：自动传感装置传感仪器音响报警装置显示报警装置故障检测一般分为事前检测与事后检测两类，对于潜在故障模式，应尽可能设计事前检测方法。目前五十七页\总数一百六十五页\编于十三点2、FMEA分析过程8）补偿措施设计补偿措施产品发生故障时，能继续安全工作的冗余设备安全或保险装置(如监控及报警装置)可替换的工作方式(如备用或辅助设备)可以消除或减轻故障影响的设计或工艺改进(如概率设计、计算机模拟仿真分析和工艺改进等)操作人员补偿措施特殊的使用和维护规程，尽量避免或预防故障的发生一旦出现某故障后操作人员应采取的最恰当的补救措施目前五十八页\总数一百六十五页\编于十三点2、FMEA分析过程9）表格填写目前五十九页\总数一百六十五页\编于十三点3、危害性分析(CA)过程CA在FMEA的基础上进行了扩展目前六十页\总数一百六十五页\编于十三点3、危害性分析(CA)过程1）故障概率等级或数据来源2）故障率3）故障模式频数比4）故障影响概率5）工作时间6）故障模式危害度7）产品危害度目前六十一页\总数一百六十五页\编于十三点3、危害性分析(CA)过程1）故障概率等级或数据来源故障概率等级——定性分析方法A级--经常发生>20%B级--有时发生10%>20%C级--偶然发生1%>10%D级--很少发生0.1%>1%E级--极少发生<.0.1%数据来源预计值分配值外场评估值等目前六十二页\总数一百六十五页\编于十三点3、危害性分析(CA)过程2）故障率可预计得到——定量方法GJB/Z-299CMIL-HDBK-217FNSWC-06NPRD2011目前六十三页\总数一百六十五页\编于十三点3、危害性分析(CA)过程3）故障模式频数比故障模式频数比α是产品的某一故障模式占其全部故障模式的百分比率。如果考虑某产品所有可能的故障模式，则其故障模式频数比之和将为1模式故障率λm是指产品总故障率λp与某故障模式频数比α的乘积气体控制活门故障模式故障模式频数比α产品故障率λp模式故障率λm不闭合不打开外部漏气34%57%9%0．123450.041970.070360.01111总计1．0

0.12345目前六十四页\总数一百六十五页\编于十三点3、危害性分析(CA)过程4）故障影响概率故障影响概率β是指假定某故障模式已发生时，导致确定的严酷度等级的最终影响的条件概率。某一故障模式可能产生多种最终影响，分析人员不但要分析出这些最终影响还应进一步指明该故障模式引起的每一种故障影响的百分比，此百分比即为β。这多种最终影响的β值之和应为1目前六十五页\总数一百六十五页\编于十三点3、危害性分析(CA)过程5）工作时间工作时间源于系统设计定义，通常以产品每次任务的工作小时数或工作循环数表示6）故障模式危害度评价单一故障模式危害性Cm(j)=α×β×λp×t, j=Ⅰ，Ⅱ，Ⅲ，Ⅳ目前六十六页\总数一百六十五页\编于十三点3、危害性分析(CA)过程7）产品危害度评价产品的危害性Cr(j)=∑Cmi(j)， i=1,2,…,nn为该产品的故障模式总数，j=Ⅰ，Ⅱ，Ⅲ，Ⅳ∑Cmi(j)——产品在第j类严酷度类别下的所有故障模式的危害度之和目前六十七页\总数一百六十五页\编于十三点3、危害性分析(CA)过程危害度矩阵利用危害性矩阵，可以在给定的严酷度下，将故障模式进行比较，以确定采取纠正措施的先后顺序。离原点越远，危害性越大，凡故障模式代码落在矩阵图中阴影区的产品就被确认为可靠性关键产品，应采取措施使其危害性下降，对于无法降低危害性的那部分产品(即落在阴影区的)应填入可靠性关键产品清单中。目前六十八页\总数一百六十五页\编于十三点4、FMECA输出FMECA输出（报告内容）单点故障模式清单Ⅰ、Ⅱ类故障模式清单可靠性关键产品清单不可检测故障模式清单危害性矩阵图等FMEA/CA表目前六十九页\总数一百六十五页\编于十三点5、FMECA注意事项1）强调“谁设计、谁分析”的原则“谁设计、谁分析”的原则，也就是产品设计人员应负责完成该产品的FMECA工作，可靠性专业人员应提供分析必须的技术支持。实践表明，FMECA工作是设计工作的一部分。“谁设计、谁分析”、及时改进是进行FMECA的宗旨，是确保FMECA有效性的基础，也是国内外开展FMECA工作经验的结晶。如果不由产品设计者实施FMECA，必然造成分析与设计的分离，也就背离了FMECA的初衷。目前七十页\总数一百六十五页\编于十三点5、FMECA注意事项2）重视FMECA的策划实施FMECA前，应对所需进行的FMECA活动进行完整、全面、系统地策划，尤其是对复杂大系统，更应强调FMECA的重要性。其必要性体现在以下几方面：结合产品研制工作，运用并行工程的原理，对所需的FMECA进行完整、全面、系统地策划，将有助于保证FMECA分析的目的性、有效性，以确保FMECA工作与研制工作同步协调，避免事后补做的现象。对复杂大系统，总体级的FMECA往往需要低层次的分析结果作为输入，对相关分析活动的策划将有助于确保高层次产品FMECA的实施。FMECA计划阶段事先规定的基本前提、假设、分析方法和数据，将有助于在不同产品等级和承制方之间交流和共享，确保分析结果的一致性、有效性和可比性。目前七十一页\总数一百六十五页\编于十三点5、FMECA注意事项3）保证FMECA的实时性、规范性、有效性实时性。FMECA工作应纳入研制工作计划、做到目的明确、管理务实；FMECA工作与设计工作应同步进行，将FMECA结果及时反馈给设计过程。规范性。分析工作应严格执行FMECA计划、有关标准/文件的要求。分析中应明确某些关键概念，比如：故障检测方法是系统运行或维修时发现故障的方法；严酷度是对故障模式最终影响严重程度的度量，危害度是对故障模式后果严重程度的发生可能性的综合度量，两者是不同的概念，不能混淆。有效性。对分析提出的改进、补偿措施的实现予以跟踪和分析，以验证其有效性。这种过程也是积累FMECA工程经验的过程。目前七十二页\总数一百六十五页\编于十三点5、FMECA注意事项4）FMECA的剪裁和评审FMECA作为常用的分析工具，可为可靠性、安全性、维修性、测试性和保障性等工作提供信息，不同的应用目的可能得到不同的分析结果。各单位可根据具体的产品特点和任务对FMECA的分析步骤、内容进行补充，剪裁，并在相应文件中予以明确。目前七十三页\总数一百六十五页\编于十三点5、FMECA注意事项5）FMECA的数据故障模式是FMECA的基础。能否获得故障模式的相关信息是决定FMECA工作有效性的关键。若进行定量分析时还需故障的具体数据，这些数据除通过试验获得外，一般是需要通过相似产品的历史数据进行统计分析。有计划有目的地注意收集、整理有关产品的故障信息，并逐步建立和完善故障模式及频数比的相关故障信息库，这是开展有效的FMECA工作的基本保障之一。6）FMECA应与其他分析方法相结合FMECA虽是有效的可靠性分析方法，但并非万能。它不能代替其他可靠性分析工作。应注意FMECA一般是静态的、单一因素的分析方法。在动态方面还很不完善，若对系统实施全面分析还需与其他分析方法（如FTA、ETA等）相结合。目前七十四页\总数一百六十五页\编于十三点6、ARP4761中FMEA1）功能FMEA目前七十五页\总数一百六十五页\编于十三点6、ARP4761中FMEA2）硬件FMEA目前七十六页\总数一百六十五页\编于十三点6、ARP4761中FMEA3）故障模式及影响分析摘要FMES将FMEA结果中有相同影响的低一层次的故障模式进行汇总，将该影响作为FMES的故障模式，并分析其对上级系统可能造成的影响的一种方法FMES可以作为FMEA的一部分，其分析结果用于总结不同故障模式对系统设备的相同影响，将该影响作为单点故障，并通过减少最低层的或门数来简化故障树分析目前七十七页\总数一百六十五页\编于十三点6、ARP4761中FMEA4）FMES与FMEA的关系故障模式故障率故障影响R5开路A损失5V电压R5短路B5V电压接地故障模式故障率故障影响C5短路C5V电压接地C5开路U58P2开路D丧失电源供应故障模式故障率故障影响潜在故障原因5V电压接地B+C无指令信号电路X-R5短路电路Y-C5短路电路X的FMEA电路Y的FMEA部件FMES目前七十八页\总数一百六十五页\编于十三点7、FMECA实例1）产品描述某型军用飞机升降舵示意图目前七十九页\总数一百六十五页\编于十三点7、FMECA实例1）产品描述某型军用飞机升降舵系统的功能是保证飞机的纵向操纵性。它是由安定面支承、轴承组件、扭力臂组件、操纵组件、配重和调整片所组成，如下图目前八十页\总数一百六十五页\编于十三点7、FMECA实例2）系统功能分析目前八十一页\总数一百六十五页\编于十三点7、FMECA实例3）系统约定层次划分根据升降舵的结构和功能，结合FMEA的需要，完成升降舵所属飞机约定层次的划分目前八十二页\总数一百六十五页\编于十三点7、FMECA实例初始约定层次：某型飞机任务：飞行审核：XXX约定层次：升降舵系统分析：XXX批准：XXX填表日期：XX年XX月XX日代码产品或功能标志功能故障模式故障原因任务阶段与工作方式故障影响严酷度/故障发生概率等级故障检测方法设计改进措施使用补偿措施局部影响高一层次影响最终影响01安定面支承支承降升舵安定面后梁变形过大刚度不够飞行安定面后梁变形超过允许范围升降舵转动卡滞损伤飞机Ⅱ/E无增加结构抗弯刚度功能检查支臂裂纹疲劳飞行故障征候故障征候影响任务完成Ⅲ/D目视检查或无损探伤增加抗疲劳强度增加裂纹视情检查螺栓锈蚀长期使用飞行故障征候影响很小无影响Ⅳ/F目视检查无定期维修、更换4）填写FMEA表目前八十三页\总数一百六十五页\编于十三点三、特殊风险分析（PRA）

1、PRA基本概念2、PRA分析过程3、PRA分析表格4、转子非包容失效特殊风险分析目前八十四页\总数一百六十五页\编于十三点1、PRA基本概念

1）

特殊风险定义特殊风险是一些导致飞机、飞机系统发生事故的事件，或威胁飞机、飞机系统安全的因素，这些事件或因素发生在被影响对象（飞机或飞机系统）的外部，会导致飞机、飞机系统的多个零部件同时失效，是导致飞机、飞机系统发生共因失效的重要原因。目前八十五页\总数一百六十五页\编于十三点1、PRA基本概念

2、特殊风险分类根据ARP4761对特殊风险类型的描述，民用飞机及系统具体的和典型的特殊风险类型如下所示：1）火灾；2）高能装置故障（转子非包容失效）：a）发动机；b）辅助动力装置；c）风扇。3）高压瓶；4）高压空气导管破裂；5）高压空气导管泄露；目前八十六页\总数一百六十五页\编于十三点1、PRA基本概念

2、特殊风险分类（续）6）液体泄露：a）燃油；b）液压装置中的液体；c）电池中的酸性物质；d）水。7）冰雹、冰、雪；8）鸟撞；9）轮胎爆裂、气流抽打轮胎面；10）轮缘脱落；11）闪电；12）高强辐射场；13）气流抽打传动轴；14）隔板破裂。目前八十七页\总数一百六十五页\编于十三点1、PRA基本概念

3）特殊风险分析的定义PRA是民用飞机系统安全性分析中CCA的重要方法，主要是分析系统外部的事件或因素对飞机或发动机系统的影响，这些外部事件或因素是导致系统多个部件同时失效、从而导致系统共因失效发生的重要原因。4）特殊风险分析的作用与时机PRA用于评估外部事件或因素对飞机、发动机系统安全性的影响，由于特殊风险发生于受影响系统的外部，FHA通常无法将其包含在内，因此，PRA可视为对FHA、FTA与FMEA等方法的补充。目前八十八页\总数一百六十五页\编于十三点PRA分析过程一般包括如下步骤：1）定义特殊风险类型；2）定义特殊风险的失效模型；3）列出所需满足的适航条例或设计规范；4）定义受影响的区域；5）定义受影响的系统或单元；6）定义所采取的设计和安装预防措施；7）评估特殊风险对受影响系统或单元的影响；8）评估特殊风险导致的单元失效模式对飞机的影响；9）确定该后果是否可接受。2、PRA分析过程目前八十九页\总数一百六十五页\编于十三点2、PRA分析过程1）定义特殊风险类型确定对何种特殊风险展开研究，并对该特殊风险进行描述，说明该特殊风险发生的原因、时机、规律等；2）

定义特殊风险的失效模型确定导致特殊风险的外部事件或者其他飞机系统、部件的失效模式：以轮胎碎片为例：用W2表示的大块碎片，用(0.5×W)2的小块碎片，式中W为胎面宽度；在10%的情况下，第一个轮胎的失效会导致第二个轮胎由于超载而爆破。目前九十页\总数一百六十五页\编于十三点2、PRA分析过程3）列出所需满足的适航条例或设计规范对于某些特殊风险，当其对系统或单元有影响时，相关适航条款对其有明确的要求，这类特殊风险的分析必须以满足适航条款要求为原则；对于那些适航条款中没有明确要求的特殊风险，可依据相关标准规范（如AC）进行分析与设计，如果有可能，可通过计算验证风险最终影响的分类是否满足相应的概率要求。以轮胎爆破为例目前九十一页\总数一百六十五页\编于十三点2、PRA分析过程4）定义受影响的区域确定特殊风险影响范围，并确定特殊风险作用区域。以轮胎爆破为例投射在45°到180°之间的机轮平面上（从地面水平面向朝后方向测量）。在整个135°弧区内，均匀分布；投射到轮胎平面任意一侧的15°范围内，正态分布；物体被碎片击中的概率取决于面对碎片物体的面积以及其相对于轮胎的位置。目前九十二页\总数一百六十五页\编于十三点2、PRA分析过程5）定义受影响的系统或单元确定风险作用区域内受影响的系统或单元以轮胎爆破为例液压系统的管路绿色蓝色黄色电气线路目前九十三页\总数一百六十五页\编于十三点2、PRA分析过程6）定义所采取的设计和安装预防措施应当借助在ZSA中使用的设计和安装指南进行交叉检查，根据前面特殊风险分析实施过程所得出的结论，应对如何规避特殊风险、降低风险影响后果、提高抵御风险能力等多方面进行综合考虑；轮胎爆破为例为刹车系统提供液压源的传感器和控制线缆，一个线路要被安装在主起落架支柱的前面，而另一个线路则在主起落架支柱的后面。目前九十四页\总数一百六十五页\编于十三点2、PRA分析过程7）评估特殊风险对受影响系统或单元的影响分析特殊风险对作用区域内系统或结构的单个部件单元所产生的影响，确定系统或结构失效模式；此项工作可结合FMEA/PSSA进行交叉检查完成，并且要保证此处确定的影响后果与FMEA中确定的后果相一致。以轮胎爆破为例飞机为四发常规平尾宽体客机目前九十五页\总数一百六十五页\编于十三点2、PRA分析过程7）评估特殊风险对受影响系统或单元的影响(续)以轮胎爆破为例——绿色液压系统失效（1）ATA27（a）襟翼的运行速度减小一半；（b）缝翼的运行速度减小一半；（c）双侧机翼1号、5号扰流板不能偏转。（2）ATA32（a）丧失正常刹车系统，自动转换到备用（蓝色）刹车系统；（b）前轮不能偏转；（c）起落架不能收起(如果起落架在放下位置)；（d）依靠重力放下起落架(如果起落架在收上位置)。（3）ATA78（a）2号反推力装置失效。失效状态分类：MINOR目前九十六页\总数一百六十五页\编于十三点2、PRA分析过程7）评估特殊风险对受影响系统或单元的影响(续)以轮胎爆破为例——蓝色液压系统失效（1）ATA27（a）缝翼的运行速度减小一半；（b）双侧机翼2号、3号扰流板不能偏转；（2）ATA32（a）备用刹车系统失效，如果蓝色刹车管路没有被切断，则通过蓄能器应急刹车，但不保留防滑刹车。（3）ATA78（a）3号反推力装置失效。失效状态分类：MINOR目前九十七页\总数一百六十五页\编于十三点2、PRA分析过程7）评估特殊风险对受影响系统或单元的影响(续)以轮胎爆破为例——黄色液压系统失效（1）ATA27（a）襟翼的运行速度减小一半；（b）双侧机翼4号、6号扰流板不能偏转。（2）ATA78（a）1号、4号反推力装置失效。失效状态分类：MINOR目前九十八页\总数一百六十五页\编于十三点2、PRA分析过程7）评估特殊风险对受影响系统或单元的影响(续)以轮胎爆破为例绿色、蓝色液压系统同时失效——Major绿色、黄色液压系统同时失效——Major蓝色、黄色液压系统同时失效——Major三套系统同时失效——Catastrophic目前九十九页\总数一百六十五页\编于十三点2、PRA分析过程8）评估特殊风险导致的单元失效模式对飞机的影响分析特殊风险导致的系统或担忧的失效模式以及失效模式的组合对飞机的影响，此项工作可结合SSA完成，并确保分析结果与SSA中的分析结果相一致。以上述轮胎爆破为例：目前一百页\总数一百六十五页\编于十三点2、PRA分析过程9）确定该后果是否可接受根据可能出现的最终影响后果与采取的预防措施，并结合与具体特殊风险相关的条款的符合性验证文件，给出分析结论：1）如果可接受，则将分析结论应用于SSA或其他具体的合格审定文件中；2）如果不可接受，则给出补偿措施、进行设计更改。目前一百零一页\总数一百六十五页\编于十三点3、PRA分析表格1）2）3）4）5）6）7）8）风险影响区域影响系统或单元适航条例或规范设计预防措施对系统或单元的影响最终影响后果与分类结论与补偿措施目前一百零二页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析1）条款与咨询通告2）背景3）定义4）设计考虑5）各相关系统具体设计措施6）失效模式7）安全性目标目前一百零三页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析1）条款与咨询通告第25.901条安装(c)对于动力装置和辅助动力装置的安装，必须确认任何单个失效或故障或可能的失效组合都不会危及飞机的安全运行，但如果结构元件的破损概率极小，则这种破损不必考虑。第25.903条发动机(d)涡轮发动机的安装对于涡轮发动机的安装有下列规定：(1)必须采取设计预防措施，能在一旦发动机转子损坏或发动机内起火烧穿发动机机匣时，对飞机的危害减至最小；AC20-128A“最大程度降低由于涡轮发动机和辅助动力装置及风扇叶片的非包容性损坏所造成的危害的设计考虑”目前一百零四页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析2）背景发动机发动机包容性故障发生总数为676起，其中包括93起三类事故和15起四类事故。三类事故定义为对飞机继续安全飞行和着陆有重要影响的事故。四类事故定义为对飞机造成严重损坏的事故包括飞机坠毁、重大的伤亡或飞机解体。报告号时期总数3类事故4类事故AIR15371962-75275445AIR40031976-83237273AIR47701984-89164227总数6769315目前一百零五页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析2）背景辅助动力装置(APU)APU转子非包容性故障的统计报告涵盖了从1962年至1993年间发生的所有相关事件。该报告显示在这一时期的运输类飞机上的机载APU至少250百万的运行小时间，已发生了数起非包容性故障。但都不是三类或四类事故，并且所有故障都发生在地面操作阶段。导致该类事故的因素多种多样，比如腐蚀，防冻液的吸入，制造和材料的缺陷，机械因素，以及认为因素（维修，检测失误和操作程序）。目前一百零六页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析3）定义a.转子:指发动机和APU中可以高速旋转的部件，通过分析，测试和/或经验可知在发生非包容性故障时，转子会被抛出。发动机/APU制造商对每一个发动机/APU的型号设计应该详细说明其组成转子的所有零部件。一般转子至少包括轮盘，轮毂，鼓筒，密封件，叶轮，叶片和隔叶块。b.叶片：风扇、压缩机和涡轮的旋翼部分(不包括叶台和叶根)。c.非包容性故障：为使飞机评估与本咨询通告形成一致,将涡轮发动机非包容性故障定义这类故障，会引起发动机/APU叶片碎片脱离转子飞出,对飞机造成危害的所有故障。上面所说的转子故障是指转子碎片具有相当的能量而足够对飞机造成危害。目前一百零七页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析3）定义d.关键部件：指当该部件发生失效时，会影响飞机正常安全的飞行和降落。对这类部件应单独进行考虑,并且与之相关联的部件也可能由于非包容性事故产生的相同碎片或其他碎片而遭到破坏。e.持续安全飞行和着陆：指能持续稳定的操纵机进行安全的飞行和着陆。在此过程中可能使用应急程序，但应急情形应不需要使用特殊的驾驶技巧或消耗过多的体力，同时也不会造成机组人员过多的工作量以及降低飞机的飞行品质。目前一百零八页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析3）定义f.碎片飞散角：从单级转子旋转平面的中心(与发动机/APU轴心线的交点)向前或向后量得的表示转子碎片可能散布范围的一个角度。目前一百零九页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析3）定义g.撞击区域：指非包容性转子故障产生的碎片可能撞击的飞机区域。h.发动机/APU失效模式：飞机设计时用于分析的一种描述发动机/APU转子碎片的尺寸,质量,飞散角,能量等级和数目的模型。目前一百一十页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析4）设计考虑使非包容性转子碎片导致的危害最低化的有效手段包括将关键部件安置于碎片可能撞击的影响范围以外，对飞机关键部件和/或系统进行隔离、屏蔽保护冗余设计。目前一百一十一页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析4）设计考虑a.考虑发动机/APU转子相对于飞机上的关键部件、系统或区域的位置其他任何提供基本功能的发动机或APU;机身的增压部分和机身,机翼和尾翼其他的主要结构;驾驶舱部分;燃油系统部件,输油管和油箱;控制系统,像主副飞行操纵系统,电源电缆,电线,液压系统,发动机控制系统,易燃液体关断阀,及用于传递操纵的电缆或钢索;所有货舱,APU,或发动机的灭火器系统包括这些系统中的电线和输送灭火介质的管道;发动机进气附件和由于风扇叶片残骸导致的发动机机匣变形对附件失效带来的影响;持续安全飞行和着陆必不可少的仪器仪表;无意中打开反推系统可能造成灾难性的后果;高海拔飞行的飞机的氧气系统,其在下降过程中尤其关键。目前一百一十二页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析4）设计考虑b.关键系统,部件的布置如果可以，将关键部件或系统布置在碎片可能撞击的区域以外如果安装在碎片的撞击范围内，对关键部件或系统进行冗余备份并是两者分隔开来，或者对关键部件或系统提供可接受的保护措施可以利用机身或附加的保护盾板对关键部件和系统提供保护。方法：对小碎片有效，关键系统隔离间隔达到1/2的叶片碎片尺寸设置成可由诸如气源导管、内饰件、隔板、长桁等其他内部结构提供相应的保护，或者通过专门的保护盾板比如机身结构和盾板材料提供的同等水平的保护。合理选择液体切断和作动装置的位置使得系统损坏时能隔离可燃液体；令可能接触到火源的可燃液体的泄漏，降到最低程度；对机身结构组成元件，进行冗余或止裂设计来限制由于非包容性转子碎片可能导致的裂痕进一步扩散；将燃油箱和其他可燃液体系统以及管路（包括通气管路）置于飞机结构之后以减轻溅出的燃油或油箱穿透造成的危害。燃油箱防爆材料、液体管路上的保护盾板或折流挡板可用来把损伤和危害减到最轻程度。目前一百一十三页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析5）各相关系统具体设计措施a.防火灭火系统可燃液体切断阀关键功能的防火燃油箱b.推力保持c.飞机操纵的保持d.对乘客和机组人员的保护e.结构完整性目前一百一十四页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析5）各相关系统具体设计措施以推力保持为例(1)燃油保存：油箱应可隔离，使轮盘碎片造成的损坏不会导致完成飞行或安全转场所需燃油的丧失。还应考虑燃油流失造成的重心移动及横向失衡对飞机操纵性的影响(2)发动机控制：通过撞击区的用于剩余动力装置的发动机控制线路，应隔开一个至少等于1/3轮盘碎片最大尺寸的距离(3)其他发动机损坏：对任何其他发动机应提供免遭碎片影响的保护：将关键元器件如正常工作所必需的发动机附件（高压燃油管路、发动机控制器件和线路等）布置在具有固有保护（由机身、发动机或短舱包括反推力结构提供）的区域目前一百一十五页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析6）失效模式a）1/3轮盘碎片最大尺寸（扫掠路径宽度）：1/3轮盘加上1/3叶片长度形成的扇形物所对应的最大尺寸；质量：带叶片的轮盘质量的1/3；平移运动能量（忽略转动能量）：该扇形物以重心处的速度甩出时具有的能量；碎片飞散角：±3º。目前一百一十六页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析6）失效模式b）中等碎片最大尺寸（扫掠路径宽度）：带叶片的轮盘半径的1/3；质量：带叶片的轮盘质量的1/30；平移运动能量（忽略转动能量）：该碎片以轮缘处的速度甩出时所具有的能量；碎片飞散角：±5º。目前一百一十七页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析6）失效模式c）可选碎片在确定飞机上可能受到非包容转子爆破影响的危险区域以及评估非包容转子爆破的后果时，为便于分析，上述1和2两种碎片可用以下一种碎片替代。最大尺寸（扫掠路径宽度）：1/3轮盘碎片所对应的最大尺寸；质量：轮盘质量的1/3；平移运动能量（忽略转动能量）：该扇形物以重心处的速度甩出时具有的能量。碎片飞散角：±5º。目前一百一十八页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析6）失效模式d）小碎片最大尺寸（扫掠路径宽度）：1/2转子叶片长度（叶梢部分）所对应的尺寸（风扇叶片除外）质量：转子叶片质量的1/2碎片飞散角：±15º使用经验表明，铝质机翼下壁板、吊挂、增压座舱蒙皮等一般均可抵挡住大部分小碎片，但能量最大的小碎片仍有可能穿透这类结构，同时应考虑多块小碎片的影响。对于非关键性结构（如整流罩、尾段、操纵面和非增压舱蒙皮）的穿透概率通常为发生爆破的转子轮盘上叶片总数目的2.5%对于APU，可假设小碎片的质量相当于上述小碎片的质量，而其平移运动能量在原始级（失效）转子的总转动能量的1%的数量级上目前一百一十九页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析6）失效模式e）风扇叶片碎片最大尺寸（扫掠路径宽度）：1/3风扇叶片长度（不包括叶根和叶座，但包括叶片的阻尼平台）所对应的尺寸，如图6.4所示；质量：风扇叶片质量的1/3；平移运动能量（忽略转动能量）：碎片以重心处的速度甩出时所具有的能量；碎片飞散角：±15º。目前一百二十页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析6）失效模式f）APU碎片特定APU安装的转子失效模式取决于有关TSO的规定：（1）按照TSO-C77b“辅助动力装置技术标准规定”做过转子完整性验证但未经过包容性鉴定的APU，前面a）、b）和c）失效模式适用；（2）如果APU转子按照TSO-C77b做过包容性鉴定，并且有资料表明服役历史中仍发生过非包容事故，则d）中APU小碎片的规定适用。此外，应考虑APU碎片（直至整个转子大小）进入尾喷管的情况。目前一百二十一页\总数一百六十五页\编于十三点4、转子非包容失效特殊风险分析7）安全性目标a）单个1/3轮盘碎片甩出所造成的灾难性事件的概率不大于1/20；b）一个中等碎片甩出所造成的灾难性事件的概率不大于1/40；c）多块轮盘碎片：三块1/3轮盘碎片在3个随机方向上甩出，每一碎片在360º方向上具有相同的抛射概率（假设相对于轮盘平面的飞散角为±3º），所引起的双重或多重系统同时损伤而造成灾难性事件的概率不大于1/10；d）对新设计的非通勤类23部飞机，灾难性事件概率不得大于上述规定值的两倍；e）对于单个风扇叶片碎片、小碎片以及已通过包容性鉴定的APU和发动机转子级而言，无须进行定量风险评估。目前一百二十二页\总数一百六十五页\编于十三点四、共模分析1、共模分析的基本概念2、共模故障分析程序3、CMA与其他安全性方法的关系4、CMA工程实例目前一百二十三页\总数一百六十五页\编于十三点1、共模分析的基本概念1）共因失效(CCF)与共模失效(CMF)CCF是指由于同一个原因或事件引起系统中多个部件同时失效，当这些部件的失效模式相同时CCF又称为CMF。在民用系统设计中常采用余度设计来提高系统的可靠性与安全性，因此在余度系统中子系统之间、部件之间必须满足一定的独立性要求，或者保证由非独立性引起的风险是可以接受的。CMF的出现则表明余度系统存在一定数量的故障是非独立的，这种非独立性的存在，降低了冗余系统的可靠性，增加了系统的失效概率，给飞机的安全性带来了巨大隐患。目前一百二十四页\总数一百六十五页\编于十三点1、共模分析的基本概念2）共模分析的定义CMA是对共模故障进行分析的工具，其通过分析故障树“与门”输入事件（系统中的余度单元）是否满足独立性要求来确定共因事件对系统安全性的影响。CMA分析内容涵盖了设计、制造、操作与维修错误、相同软硬件故障等各类导致共因失效的因素。需要注意的是，对于那些导致CMF的外部事件或环境因素，除了在CMA中进行分析外，属于PRA与ZSA范畴的，还要分别进行PRA与ZSA。目前一百二十五页\总数一百六十五页\编于十三点1、共模分析的基本概念3）共模分析的时机由于CMA的分析对象为故障树“与门”的输入事件，CMA通常在PASA与PSSA中的FTA完成后才进行，并随着设计的进展与故障树的更新而不断更新，因此在安全性分析中，CMA工程在初步设计与详细设计阶段进行。目前一百二十六页\总数一百六十五页\编于十三点2、共模故障分析程序一般包括如下四个步骤：1）建立特定的CMA检查单（该清单包括具体的共模故障类型、来源以及失效与错误检查等）；2）确定CMA需求；3）CMA实施（对设计进行分析以评估其是否满足需求）；4）将上述分析结果形成文档。目前一百二十七页\总数一百六十五页\编于十三点2、共模故障分析程序1）制定CMA检查单对设计方案进行独立性检查是CMA的重要内容，而制定CMA检查单则是开展独立性检查的依据。制定CMA检查单时需要考虑的一些因素：1）软件开发错误；2）硬件开发错误；3）硬件故障；4）生成、修理缺陷；5）应力相关事件（如非正常飞行状态、非常差系统构型）；6）安装错误；7）需求错误；8）环境因素（例如温度、振动和湿度等）；9）继发性（级联）故障；10）共同外部原因故障目前一百二十八页\总数一百六十五页\编于十三点2、共模故障分析程序1）制定CMA检查单——实例

目前一百二十九页\总数一百六十五页\编于十三点2、共模故障分析程序1）制定CMA检查单——实例目前一百三十页\总数一百六十五页\编于十三点2、共模故障分析程序1）制定CMA检查单——实例目前一百三十一页\总数一百六十五页\编于十三点2、共模故障分析程序2）确定CMA需求本部分工作的主要目的是确定CMA需求，即系统中哪些对象必须满足独立性要求。CMA需求的确定必须以熟悉所分析系统的具体设计特性为基础，其主要来源于两方面，一类来源于PSSA，另一类来源于设计与工程经验。目前一百三十二页\总数一百六十五页\编于十三点2、共模故障分析程序2）确定CMA需求a）熟悉系统特性为了执行CMA，首先必须熟悉所分析系统运行和安装的特性，包括：1）设计构架和安装规划；2）设备和部件的特性；3）维修和试验工作；4）机组程序；5）系统、设备和软件的技术规范。目前一百三十三页\总数一百六十五页\编于十三点2、共模故障分析程序2）确定CMA需求a）熟悉系统特性此外，分析人员还必须熟悉设计中采用的用以消除共模影响、或者使得共模影响最小化的系统设计特性。这些特性包括：1）多样性（非相似性、冗余）和隔离；2）测试和预防性维修大纲；3）设计控制和设计质量等级；4）程序或技术规范的评审；5）人员培训；6）质量控制。目前一百三十四页\总数一百六十五页\编于十三点2、共模故障分析程序2）确定CMA需求b）PSSA中的CMA需求——的FTA方法（或等效的MA、DDA）1）对于在PSSA中每一个以“灾难性事件”或“危害性事件”为顶事件的故障树，识别每一“与门”事件（故障树中的“与门”），并确定相关的设计独立性原则；2）检查每一“与”门事件，以确定哪些失效组合必须具有独立的；3）上述分析得到的“与门”输入事件组合（失效组合）及其独立性要求即为CMA需求。需要注意的是，故障树中很多“与门”输入事件都是由相同部件故障所导致的，具体分析中，可根据需要对这些具有独立性要求的事件进行简化，重点分析系统中具有冗余的设备，没有必要对所有“与门”进行分析。目前一百三十五页\总数一百六十五页\编于十三点2、共模故障分析程序2）确定CMA需求c）工程经验中的CMA需求可能有一些CMA需求，很难从FTA、DD和MA等方法中直接导出，这些需求通常源产品的生产和工程经验。根据CMA检查单对采用的设计过程、设计细节、选用部件、制造工艺、安装过程以及维修过程进行审查，可得到CMA需求；并且随着评审与评估过程开展，已识别的导致共模事件的每一状态都可总结归纳为CMA需求。这一类CMA需求在FTA中很难显现出来，它们通常与复杂部件、环境考虑、部件物理位置等导致的失效相关，FTA可能会忽略这些因素。目前一百三十六页\总数一百六十五页\编于十三点2、共模故障分析程序3）CMA的实施针对于确定的每一CMA需求，进行如下处理：1）确定与每一CMA有关的共模故障类型、来源、以及可能的共模失效或错误；2）分析每个可能的共模失效与错误，以验证其是否满足独立性要求；3）若认为其不符合独立性，给出可能的解决方案与初步设计纠正措施；4）实施并跟踪纠正措施，确定纠正后的设计方案的可接受性。目前一百三十七页\总数一百六十五页\编于十三点2、共模故障分析程序4）CMA文件归档CMA的输出结果是CMA报告，报告应该包括以下内容：1）在分析中使用的参考文件、图表以及支持材料；2）用于指导CMA的检查单；3）所分析系统、部件的描述；4）CMA中发现的问题（可能的失效或错误）；5）符合CMA需求的理由或证明材料；6）相关问题的解决方案（纠正措施或证明可接受）；7）CMA的结论。CMA需求：共模来源共模失效与错误符合性证明材料与纠正措施目前一百三十八页\总数一百六十五页\编于十三点3、CMA与其他安全性方法的关系1）CMA使用了FHA与PSSA的结果，例如，灾难性失效状态清单与设计中所考虑的独立性准则；2）共模分析的对象来源于PSSA中的FTA、MA或DDA中的“与门”事件；3）PRA和ZSA能够识别潜在的共模影响，如果可能，PRA与ZSA也应对共模影响进行分析；4）共模分析结果必须包