如何加强飞机液压系统故障多发性危险性故障研究
点击联系发帖人
时间:2017-07-08 02:53
您所在位置: &
 &  & 
关于航空维修发展若干问题的思考.pdf 7页
本文档一共被下载:
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值,立即自动返金币,充值渠道很便利
需要金币:200 &&
关于航空维修发展若干问题的思考
你可能关注的文档:
··········
··········
--------------------------Page1------------------------------航空维修理论、管理与发展关于航空维修发展若千问题的思考海军航空工程学院青岛分院林明金平海军航空兵后勤和装备部黄秀前【摘要]本丈联系海军航空装备维修保障工作,简要回顾以可沛性为中心维修的发展,用述高科技在航空装备和航空维修上的应用与研究,高科技给航空维修带来的新特点,航空维修管理是航空装备全系统、全寿命管理的重要组成部分,飞机战伤抢修是飞机作战生存力的重要方面,海航航空维修为提高战斗力不懈努力,关健词:RCM高科技航空维修全寿命管理战价抢修战斗力中国航空学会于1981年10月在北京召开了航空维修工程专业委员会成立大会和航空维修工程理论讨论会,标志着我国的航空维修进入了科学理论的领域,成为航空科学的一个重要分支,为全国航空维修科研学术交流创造条件,对促进我国航空维修事业发展具有深远影响。回顾、总结我国航空维修领域取得的经验和成果,使人欢欣鼓舞。高科技在航空装备和航空维修上的应用与研究,使我们深感任重道远。在长期实践过程中,海航航空装备维修保障工作,以可靠性为中心维修,结合海航实际情况,在航空维修教学、科研、学术、管理诸多方面取得可喜成绩,为提高海航部队战斗力作出贡献。本文就以可靠性为中心维修的简要回顾,高科技在航空装备和航空维修上的应用与研究,高科技在航空领域的应用给航空维修带来的新特点,航空维修管理是航空装备全系统、全寿命管理的重要组成部分,飞机战伤抢修是飞机作战生存力的重要方面,海航航空维修为提高战斗力不懈努力等问题进行探讨和思考。一、以可盘性为中心维修的简要回顾以可靠性为中心维修((RCM)是可靠性系统工程的一部分。在日新月异的维修领域里,维修期望值的增长演变过程可分为三个阶段。20世纪3。年代至50年代为第一阶段:故障时就修换。5。年代至70年代中叶为第二阶段:更高的设施可用度,更长的设备寿命,更低的成本。7。年代中叶至20世纪末为第三阶段:更高的设施可用度和可靠性,更高的安全性,更高的产品质量,对环境无危害,更长的设备寿命,更高的成本效益。5060年代,人们曾认为设备都有早期故障期、偶然故障期和耗损故障期,故障浴盆曲线适用于一切设备。在维修实践研究中发现,实际情况不完全是上述情况,并不是所有设备都有三个故降期,不少设备只有其中的一个或两个故库期。70年代后期,美国联合航空公司在创立以可靠性为中心维修理论的过程中,统计分析了航空设备的故障率,发现共有6种基本型式的故障率曲线。A型为经典浴盆曲线,B型为无早期故障期,A,B型耗损特性的航空设备仅占6%(A型占4%,B型占2%).C型没有明确的耗损期,但故障率随使用时间的增加而增长,占5%.D,E,F型没有耗损期占89%(D型占7oo,E型占14%,F型占68写)。A,F型(共占720o)中只有一一--------------------------Page2------------------------------航空维修理论、管理与发展17纬的设备可以考虑规定使用寿命或拆修间隔而其中89%的设备则没有必要这样规定。上述6种型式故障率曲线,不仅适用于航空设备,也适用于其他设备我国空军、海军、装甲兵、通信兵的一些统计资料表明,许多装备都没有明显的耗损故障期。上述维修研究对维修产生了深刻影响。新的维修观念和技术迅速发展,促进了维修的新研究。这些新研究包括:决策支持手段,如危害度分析、故障模式及影响分析、以及专家系统:新的维修技术,如状态监测;更加注重设备的可靠性和维修性设计;组织中的主要方法朝参与、合作、灵活的方向转变。维修管理所面临的挑战可归结为:选择最合适的技术;研究每种故障过程;以满足设备拥有者、使用者和全社会的期望值为目的;经济效益最佳和最持久的形式;所有相关人员的合作与积极支持。在维修决策中,RCM方法不仅确认了故障后果的严重性,而且把它们分成隐蔽性故障后果、安全性和环境性后果、使用性后果和非使用性后果四类。RCM方法把维修功用的使用性、安全性和环境目的综合起来,有助于把安全性融人工程管理之中,有助于保证使用维修费用是最有效的。RCM认可预定视情工作、预定翻修工作和预定报废工作三大类预防性维修性工作。究竟预防性工作是否技术可行,取决于工作及其所预防故障的技术特性。预防性工作是否值得也取决于其是否能适当地处理好故障后果。我国可靠性工程起步于20世纪60年代,在吸取国外先进技术和不断总结自己经验的基础上,在90年代发展成为具有中国国情特色的可靠性系统工程体系。可靠性系统工程是与故障作斗争的一门工程技术,其实质是研究产品故障的发生、发展,在故障发生后的修理、保障,以及如何预防故障的发生。直至消失故障的规律。二、高科技在航空装备和航空维修上的应用与研究随着
正在加载中,请稍后...飞机电传操纵系统安全性分析方法的研究
中国民航大学 硕士学位论文 飞机电传操纵系统安全性分析方法的研究 姓名:柯瑞同 申请学位级别:硕士 专业:飞行器设计 指导教师:徐建新;王鹏
中国民航人学硕士学位论文摘要安全性是航空器的重要属性之一,为达到规定的安全性要求,最根本的途径是在航 空器研制过程中,全面系统地开展安全性设计与分析,通过设计、分析、制造提高航空 器安全特性,确保航空器的安全风险控制在可接受的水平。 本文从航空器安全性的角度入手,明确提出了适合型号研制各阶段的安全性设计评 估工作流程,简单介绍故障树(FaultModelTreeAnalysis,FTA)和故障模式及影响分析(Faultand Effect Analysis,FMEA)等评估方法。重点研究了共因分析(Common CauseAnalysis,CCA)这种安全性评估方法,并针对CCA的三个组成部分:区域安全性分析(Zone SafetyAnalysis,ZSA)、特定风险分析(ParticularRiskAnalysis,PRA)和共模分析(Common ModelAnalysis,CMA),分别给出其实施模型。然后对某型飞机电传操纵系统俯仰通道进行安全性分析,结果与实际情况基本相符,证明了本模型的合理性、可行性及实用性。 随着航空事业的发展,军用飞机性能不断提高,其造价也越来越昂贵,因此,人们在追求高性能军用飞机的同时,也越来越重视飞机安全性。本文通过分析军用飞机与民 用飞机在安全性各方面的差别,并结合国际情况,将民用飞机中使用的安全性分析方法 应用于军用飞机中,从而提高军用飞机的安全性。关键词:电传操纵系统;共因分析;区域安全性分析;特定风险分析;共模分析; 中国民航人学硕士学位论文AbstractSafetyiSallimportantattribute ofaircraft.In order toreachthe commandsafetyrequirements,the fundamental approach is to carry safety design aircraft way ofandanalysisduring thedesign process.The safe risk of aircraft designing,analyzing,manufacturing.iscanbe controlled atanacceptable level by theThe aircraft safety is analyzed firstly,a work flow to evaluate the safety of each phase of modedesignprovided,andthen the Fault Tree Analysis(FTA)and Fault Model EffectAnalysis(FMEA)areintroduced simply.Common Cause Analysis(CCA)is studied Safety Analysis(ZSA), presented.specially,and the implement models for its three parts Zone Particular Risk Analysis(PRA)and Common BasedonModel Analysis(CMA)arefly―by-wire system pitching channel of certain mode,the safety evaluation flow isoperated,the result iscoincidedwith the practical matter,and it shows the rationality、feasibility and practicability of the model.Along with the development ofimproved continually,theonaeroindustry,the performances of military aircraft arccostis increased synchronously.So people take the safety of fightervery importantplacewhen they ask for better capability.Therefore,according to the safety differences between military and civili aircraft arearecurrent internationalinstances,theanalyzedin the paper.The safety analyzing means of civil aircraftalso applied to militaryairpcrafl,and the safety of military aircraft is improved reasonably.Key words:fly by wire system;commonanalysis;common modelcauseanalysis;zone safetyanalysis;particularriskanalysis;.n. 中国民航大学硕士学位论文中国民航大学学位论文独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所 知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果, 也不包含为获得中国民航大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。研究生签名:l糊日 期:2堡咝?中国民航大学学位论文使用授权声明中国民航大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件和电子文档,可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外,允许论文被查阅和借阅,可以公布(包括刊登)论文的全研究生签名:抠遂l虱导师签看枣函日部或部分内容。论文的公布(包括刊登)授权中国民航大学研究生部办理。期:丝望:兰:当/ 中国民航大学硕上学位论文第一章绪论1.1研究背景、意义和内容1.1.1研究的历史背景随着国际民航运输业的快速发展,航空器的安全性设计大致可以分为以下几个阶段:1、1900~1930年:追求完整性 完整性是第一个关于飞机系统安全性的设计方法,其设计原则在于尽量加工出好的 零件使系统功能完整。在这个时期内,随着曝露时间的逐渐增加,不断出现未曾预计到 的单故障。而这些单故障引起了太多的事故,因此这个时期内的飞机还不能广泛的应用于商业运行中。这期间代表性的飞机有:1903年的莱特飞机、1927年的圣.路易斯的幽灵飞机和1930 年的福特三发飞机。 2、1930"--1940年:在完整性基础上,增加了有限设计特征的冗余设计 对飞机的发动机、无线电台、空速表等系统采取冗余设计,同时计算单故障的故障 率。因为飞机的安全性不够,这个时期的飞机还不能赢得公众的信任,其在飞行操纵、 螺旋桨、发动机失火、有害的环境条件等方面仍存在问题。 这期间代表性飞机:道格拉斯的DC.3、DC.4和B.18型飞机。 3、1945"--1955年:单故障概念设计 此期间的安全性有了很大的提高。1945年,工业界和美国政府部门一起提出了“单 故障概念”设计理念。即假设每次飞行期间至少发生一个故障,而不考虑其概率的大小。 这个概念设计对于减少单故障型事故起了重要作用,也使公众对飞行安全的信任度增明显。这期间代表性飞机:洛克希德的“星座’’和道格拉斯的DC-6。 4、1955年~现在:故障安全设计概念 虽然安全性有了显著的改进,公众信心增加,但事故仍然发生,并且发生的原因往 往是一个以上故障组合产生的。例如,1955年一架美国航空公司Convair240飞机坠毁在FortLeonardWood附近,发动机失火和燃油切断阀潜在故障的组合引起机翼破损,进而导致飞机坠毁。 为了防止因多重故障组合引起飞机事故,美国政府部门用“故障安全设计概念"取 代了“单故障概念"。故障安全设计的基本原理是:任何一次飞行期间,单故障或可预 知故障的组合不会阻止飞机的继续安全飞行和着陆。至今,应用该理念设计的商用飞机可以划分为以下三代。 中国民航大学硕士学位论文第一代,如B707、Comet4、DC.8等机型通过应用安全性试验的方法进行安全性设计和验证。其结果证明事故发生率显著降低,然而事故发生率还是比希望的高出很多。 第二代,如B727、B737.100/200、B747“classics”、DC.9、L-1011、DC一10、A300 等机型正式使用故障模式及其影响分析(FMEA)的方法进行安全性设计和试验。其结 果证明更加显著的降低事故发生率,但就硬件而言仍然发生事故,如自动飞行系统中发生不成比例的故障组合。第三代,如B737.300---900、B757、B767、B777、B747.400、MD.80、MD.11、 A319~'A340等机型正式使用功能危险性评估(FHA)、故障模式及影响分析(FMEA)、 故障树分析(FTA)。相关系统的故障率出现实质性的降低,从这些机型出现事故的主要原因上发现,大部分的故障是因为操作者的差错、维修差错等原因引起,而非机载系 统故障引起。在美国,由民用航空条例CAR4.606演变而来的FAR25.1309中规定了安全性设计 的原则为:考虑任何单故障,假设存在潜在故障。并在随后一系列修正案和咨询通告(Advisorycircular,AC)中进一步细化安全性设计原则。这些标准的发布对于提高民用飞机安全水平、促进民航事业的发展起着重要的作用。世界各地的适航当局所制定的 规章条例是民用飞机安全的最低限度要求,构成了系统安全性分析的主要内容。 在我国,1985年12月31日由中国民用航空总局发布的中国民用航空条例(ChinaCivil AvimionRegulations,CCAR)25.130911J即是根据安全性设计原则针对设备、系统及安装做出如下相应的规定: 1、凡航空器适航标准对其功能有要求的设备、系统和安装,其设计必须保证在各 种可预期的运行条件下完成预定功能; 2、飞机系统与有关部件的设计,在单独考虑以及与其它系统一同考虑的情况下, 必须满足发生任何妨碍飞机继续安全飞行与着陆的失效情况的概率极小;发生 任何降低飞机能力或机组处理不利运行条件的能力的其它失效情况的概率很小:3、必须提供警告信息,向机组指出系统的不安全工作情况并能使机组采取适当的纠正动作;4、必须通过分析、必要时通过适当的地面、飞行或模拟器试验,来表明符合2中 的规定。这种分析必须考虑: (1)可能的失效模式,包括外界原因造成的故障和损坏; (2)多重失效和失效未被检测出的概率; (3)在各个飞行阶段和各种运行条件下,对飞机和乘员造成的后果; (4)对机组的警告信号,所需要的纠正动作,以及故障的检测能力。 5、在可能的工作组合下和可能的持续时间内,能源和系统必须满足要求;6、必须考虑临界的环境条件。 中国民航大学硕士学位论文1.1.2研究意义 历史表明,在安全性设计中,单点故障、潜在故障、多种故障的组合等问题常常被 忽略。因此,需要采用一种能够发现所有问题并能采取有效措施进行更正的新方法,并 将这种方法程序化、标准化。 安全性分析是一种在系统研制初期开始并贯穿于系统研制、生产等阶段的系统性的 检查、研究和分析工作,是一项主要的系统安全性工作内容。安全性分析的目的是通过 检查系统在每种使用模式下的工作状态,确定潜在的事故,预计事故对人员伤害和对设 备破坏的可能性和严重性,并提出消除、减少、控制危险及危险事件的措施,以便在事 故发生之前消除或尽量减少事故发生的可能性,降低事故危害程度,从而降低系统运行 的风险。同时,安全性分析又是一件复杂的工作,工作量巨大,需要收集、处理、反馈 大量的安全性资料、数据及其有关的信息。所以,安全性分析是对系统安全性设计与评 估的支持,是安全性的重要组成部分。 安全性分析包括危险分析和风险评价工作。在系统寿命周期的各个阶段,都要通过 反复进行危险分析和风险评价来支持风险管理瞳1。危险分析是安全性分析的核心内容。危险分析可以提供采用其它方法不能获得的有关产品设计、使用和维修程序的信息,确 定系统设计的不安全状态,以及纠正这些不安全状态的方法。危险分析还可以用来验证设计是否符合规范、标准或其它文件中所规定的各项要求,验证产品是否重复以前系统 中存在的缺陷,确定与潜在事故相关的系统接口,分析出系统在使用过程中可能出现的 事故,从而为风险评价提供输入,为风险管理提供决策依据。在系统设计和研制阶段进 行风险评价,可以评定系统的安全性是否符合有关标准和规定;在系统试验、使用前进行 风险评价,可以考核己判定的危险事件是否己经消除或控制在规定的可接受水平。风险 评价不仅对系统方案选取提供决策支持,而且能很好地支持资源的分配和安全管理决盎扛柬。综上所述,有效的分析方法能够更加准确地对产品进行描述和计算;而适当的算法不但可以帮助分析人员得到所关注的结果,有时还可以减少分析的工作量与计算时间。由此可见,研究安全性分析流程,掌握安全性分析方法,对于提高安全性分析的技术水平具有非常重要的作用。安全性分析方法的发展也必将有利于各种对安全性有较高要求 的产品的安全性的有效提升,在保障人身和产品的安全的同时,也可以缩短研制、生产 周期,减少不必要的经济损失。 1.1.3研究内容 本文重点讨论了共因分析(CCA)的方法,并将其应用于某型飞机电传操纵系统的安全性分析过程中。从而使读者更加明确共因分析与安全性分析过程中的其他安全性分析方法之间的关系及其综合运用。此外,本文结合民用飞机和军用飞机的不同安全性设 计理念,探索民用飞机安全性分析方法在军机安全性设计上的运用。 中国民航大学硕上学位论文本文的主要研究内容包括以下几个方面: 第一章,论述安全性的历史背景及意义;介绍了国内外安全性分析方法的研究现状,并讨论可靠性和安全性的关系。第二章,介绍安全性分析流程中的各个组成部分及其在安全性分析过程中的作用, 并介绍了一些安全性分析流程常用的安全性研究方法。 第三章,重点介绍安全性分析方法中共因分析方法,分别介绍共因分析方法的三个 组成部分:区域安全性分析(ZSA)、特定风险分析(PRA)和共模分析(CMA),及其 在安全性分析过程中运用。 第四章,以某型飞机电传操纵系统的俯仰通道为基体进行安全性分析。首先通过功 能危险性分析(FHA)确定电传操纵系统俯仰通道的19条失效状态。其次在初级系统安全性分析(PSSA)中,通过故障树分析(n~)方法对FHA中某一给定失效状态进行分析,经过改进后满足安全性设计标准。再次将特定风险分析(PRA)和共模分析(CMA) 应用于电传操纵系统的安全性分析中,将结果反馈到系统安全性分析(SSA)中,完成系统的安全性分析。第五章,通过对比民用飞机和军用飞机在安全性设计中的差别,探索民用安全性分 析方法在军用飞机中的适用性。针对某型军机的轮胎爆裂这一故障状态,利用PRA对 其进行分析。明确提出民用安全性分析方法在军用飞机上的适用性。 第六章,总结本文的主要研究内容及贡献,并且对未来的进一步工作方向进行了展望。1.2国内外研究现状国外,白50年代以来,已经有许多成熟的技术和方法应用于工程系统的安全性分 析中。1957年,美国国防部开始在飞机发动机上应用故障模式影响及危害性分析(FMEA) 来进行可靠性和安全性分析口1。1961年,美国贝尔实验室首先提出故障树分析(FTA)方 法,并一首次应用于“民兵”导弹发控系统的安全性分析。70年代初,英国化工行业 开始应用运行危险分析方法(HAZOP)进行危险分析。1975年,美国原子能委员会采用 了故障树和事件树(ETA)结合的方法对核电站运行的安全性进行了定量的评价。现在, 这些分析技术在核能、化工、航空航天领域广泛使用,是安全性分析的基木手段。目前 针对这些具体分析方法开展了很多的研究,如FFA的形式化、FTA割集的计算,以及 应用人工智能进行FMEA、HAZOP和FTA等。一些研究机构和研究人员还就如何结 合使用多种安全性分析技术,尽可能地识别系统中潜在的事故,以达到安全的目的这一 问题展开了研究,并在实际中得到了应用。如Bryen Martin等人研究了如何综合运用 FFA、ETA、HAZOP以及FMEA技术,对化工系统进行安全性分析并进行定量的风险 评价的问题。 国内近年来,安全性己引起了有关方面的重视,有关部门颁布了国家军用标准GJB 中国民航人学硕士学位论文900-1990《系统安全性通用大纲》,规范了装备系统在研制、生产、运行和维护过程 中的安全性工作H1。 2003年11月,国家科技部组织的“大飞机项目论证组”开始调研和专家论证。到2004 年年中,论证工作基本结束。2007年2月26日,国务院听取大型飞机重大专项领导小 组关于大型飞机方案论证工作的汇报,原则上批准大型飞机研制重大科技专项正式立 项。事实上,我国民用大型飞机的研制在上世纪70年代开始起步,但是在80年代却被 迫停止。航空专家表示,我国要发展民用大型飞机需要突破10项关键技术,其中适航 审定的特殊要求的审定技术就是其中之一,而安全性分析又是适航审定技术之一。安全 性分析是一种在系统研制初期开始并贯穿于系统研制、生产等阶段的系统性的检查、研究和分析工作,是一项主要的安全性工作内容。综上所述,本文立题于安全性在安全性设计中的使用,并以某型飞机电传操纵系统 的俯仰通道为基体进行安全性的分析,重点在于安全性分析方法中共因分析的使用及其 在军用航空器上的应用。1.3安全性与可靠性在GJBl405.92中将安全性(safety)璐1定义为不导致人员伤亡,危害健康和环境,不给设备和财产造成破坏和损坏的能力。在GJB 900.90中定义为不发生事故的能力。安全性作为系统的设计特性,特别是航空航天飞行器的安全性,是飞行器设计必须满足的首 要特性。它可以定义为系统在规定条件下和规定时间内,以可接受的风险执行规定功能 的能力。系统的安全性一般用事故率或事故概率、损失率或损失概率和安全可靠度来度量。在GJB451.90中将可靠性(reliability)哺1定义为产品在规定的条件下和规定时间内, 完成规定功能的能力。系统可靠性指系统及其组成部分在无故障、无退化或不要求保障 系统的情况下执行其功能的能力。可靠性的概率度量也称可靠度。 可靠性工程通过工程技术措施尽量减少系统的故障。但并非所有故障都与安全性有 关,只有当故障的后果可能导致事故时,可靠性问题才可以说是安全问题。简而言之,可靠性与安全性是产品密切相关但又不同的两种性能。可靠性与安全性密切相关。可靠性研究的对象是故障、任务失败,安全性研究的对 象是危险、危险事件和事故。系统中某个关键子系统或部件的致命故障会造成事故,维 修不当也是许多系统造成事故的一个重要的原因,因此,安全性要求较高的系统(子系 统、部件)的可靠性与安全性指标密切相关。例如,航天系统中航天员安全性指标与可靠性指标有如下关系∞。: 中国民航大学硕士学位论文P。=R。+(1一R。)RFE(1―1)其中,P。为航天员的安全返回概率;R。为系统中与航天员安全相关部分的任务可靠度;R盹为故障检测处理、逃逸救生系统的任务可靠性。在研究系统的安全性时其中主要工作就是要全力找出影响安全性的故障,分析故障 的后果,然后提出纠正措施和建议。对于复杂系统可以从过去发生故障后导致事故的类 似部件中分析原因,提高可靠性以减少或防止事故的发生;也可通过分析与安全性有关的关键部件,改进其设计"1。可靠性与安全性是两种不同的性能。安全性分析不仅限于对故障的分析,并且可靠 性有时会同系统的安全性相矛盾:对某一功能来说冗余设计可以显著提高任务可靠性, 然而有时增加的部分会增加不安全因素,比如,若对某发动机设计电起动与高压气体起 动两套起动装置,保证了起动的可靠性,但增加了一种危险源,可能会降低其安全性。 目前解决飞机安全性的主要着手点在于:?以安全性为主要目标的综合飞机构架; ?将分析技术转变成正式且标准的程序;?安全性的分配,增加飞机级评估;?故障诊断及其识别;?将飞机操纵系统、推力系统和其它机载系统的各种安全性评估方法进行综合; 在军用飞机和民用飞机的设计中,军用飞机更加侧重于可靠性的研究,而民用飞机 将重点置于安全性的研究中。我国目前面临的挑战是在民机设计中带有军机设计的痕 迹,这与全球的航空器设计理念背道而驰!当前的工作重点是采用国际先进而成熟的设 计理念,并顺应国际大潮流,将民用飞机的设计理念应用在军用飞机上。从而使我国在 飞机研制方面到达一个新的台阶。 中国民航火学硕Ij学位论文第二章安全性评估流程安全性评估流程包括需求的生成和验证,用以支持飞机研制阶段的工作。该流程提 供一套完整方法用以评估飞机功能及执行这些功能的系统设计,并判定与之相关的危害 已经得到适当的处理。在安全性评估流程中使用定性分析和定量分析对安全性评估流程 进行计划和管理,为所有相关失效状况的确认提供必要的保证,并同时确认所有能引起 这些失效状态的重要失效组合哺3。 对于那些综合复杂系统的安全性评估流程而言,应该考虑每个附加的复杂性及由于 系统综合引起的相互依赖关系峥1。 图2-1呻1表示安全性评估流程(功能危险性评估、初步系统安全性评估、系统安全 性评估)与安全性评估方法之间的联系。该流程本质上是一个反复的过程。安全性评估 流程开始于概念设计及其安全性需求。随着设计工作的进行,所作出变更和修改的设计 必须按流程再次评估。由于再评估可能派生出新的设计需求,这些新的需求可能使进一 步加强修改设计必要性。安全性评估流程以验证设计满足安全性需求而结束。图2-1安全性评估流程 中国民航人学硕士学位论文2.1功能危险性评估(FHA)FHA为系统化的和综合性的功能检查,FHA参考失效状态的严重性对其类型和系统 设计保证等级进行确定和分级。FHA的目的是制定安全性设计标准,制定出以前不存在 的标准,确定强制性标准的适用性或类别,用非常低的最大允许概率限制单点故障(定 量计算);此外FHA还确定安装需求和限制条件(隔离需求),推导出提供给供应商的设 计需求(包括硬件和软件),定义系统构架需求,确认建议的系统构架及其它分析的深 度和广度等。FHA过程是从系统功能清单开始,假定这些功能失效的危害,推导出危害 对系统和人员的所有可能影响,评估失效状态的严重性,并制定类别,确定相应最大允许概率。FHA的特点是从功能入手,不必考虑具体的功能和操作者的因素,是自上而下的进 行;对系统功能可能故障的所有“情况”进行影响及其严重性评估,输出一个相关的清 单,推导或确认系统安全性设计标准,能够在产品的设计的早期阶段进行不需要硬件的 定义。FHA通常分成飞机级功能风险性评估(AFHA)和系统级功能风险性评估(SFHA)两个部分。2.1.1飞机级功能危险性评估(削冈陵) 飞机级的功能风险性评估是对飞机起始开发阶段对由系统和设备构成的飞机级功能 做出一个高层次、定性评估,并且以表格的形式进行分析。AFHA的目的是找出与飞机 级功能相关的失效条件,确认失效条件的影响和严重程度类别,确定查找失效条件所需 要的验证方法。其主要输入是飞机级功能的需求和规范:主要输出是飞机级失效状态、 飞机级失效状态的类别、飞机级失效状态要求的验证方法。其功能需求的来源如图2.2所示g图2-2AFHA功能需求的来源 中国民航人学硕上学位论文2.1.2系统级功能危险性评估(SFHA)系统级功能风险性评估是对系统和设备功能的定性评估。与AFHA一样,SFHA也具 有重复检查的特点。SFHA除了在系统层面上说明失效状态,并且考虑一个失效和多个失 效组合对飞机的影响外,其基本过程与AFHA相同。其主要输入是AFHA分配给系统的要 求和规范;主要输出是系统失效状态、系统失效状态的类别、系统失效状态要求的验证方法。下图为系统级FHA逻辑框图。系统级FHA层级需求(具体系统规章,由AFHA导出系统主要功能 和飞行阶段 系统主要失效状态 和有关需求系统级功能(内部的和互换 的)和飞行阶段说明在系统级考虑的 应急和环境构型系统级功能分析系统级互换功能清单确定系统级的下列内容?相关失效状态 ?失效状态的影响 ?失效状态的类别 ?失效探测(机组/地面) ?机组措施 ?证明材料 ?功能设计保证等级系统级功能清单[}厂――――一. i――.――――…――,―.一飞行阶段在系统设计和下层级活动中考虑的需求和失效下层级或上层级活动状态清单(PSSA/SSA) ?失效状态类别:?定性和定量的需求;?功能设计保证等级;?证明材料及其追踪材料清单;同层级FHA外部过程[]属于胁的活动系统级需求图2-3系统级FHA逻辑框图..9..确认活动 中国民航人学硕E学位论文2.2初步系统安全性评估(PSSA)PSSA为确定系统和元部件的安全性需求,根据FHA失效状态类别对建议的构架及其 实施情况进行系统性的评估。PSSA的目的是在系统设计早期阶段评估特定系统构架,建 立系统的安全性需求,推导出特定系统及其元部件的安全性需求,减少合格审定计划后 期向适航当局提供特定系统构架原理时出现的不必要的争论和抵触。 PSSA着重寻找来自有经验工程师的帮助。对于特定系统的补充型号认证(STC)、设 计更改、以及简单系统而言,可以更改PSSA或不进行PSSA,PSSA并非适航当局必要的 文件;PSSA非常适合于失效状态是灾难性或危险性的复杂系统。PSSA的过程口1如图2-4所示:飞机级需求 系统级需求项目级需求项目设计实施验证整个项 SSA交 要求)图2-4 PSSA过程图中表明PSSA的输入为FHA、建议构架、系统功能接口。从而形成带有预测值的故 障树和“与门”相关的“主要的"、“危险的’’、“灾难性的"事件的共因要求。然后将安 全性需求(失效概率、环境合格鉴定要求、闪电/HIRF要求)、安装要求(隔离、分离、 隔绝)、硬件和软件的设计保证等级分配给下级系统和项目。 中国民航大学硕十学位论文2.3系统安全性评估(SSA)系统安全性评估(SSA)是对系统进行的一次系统化检查,它的结构体系和安装符 合安全性需求。对于每一个不同等级执行的PSSA,都存在一个对应的SSA。最高级的SSA 是系统级的SSA。对于每次系统分析,SSA将所有显著失效状态及其对飞机的影响全部 总结整理。这些用来表明符合性的分析方法可能是定性的或者定量的。 SSA与PSSA的区别在于,PSSA建立安全性需求,确定满足已建立的安全性需求及 期待的建议。而SSA是确定是否满足了PSSA中定义的安全性需求,从而反映实际的设 计。由于SSAs在深度和复杂性方面有较大的变化,故需要考虑的事情更多。图2-5给出SSA的流程图: 中国民航大学硕士学位论文由前三节的内容可知,安全性评估过程有三个主要步骤:?功能危险性分析(FHA):飞机级FHA和系统级FHA; ?初步系统安全性评估(PSSA); ?系统安全性评估(SSA)。 AFHA和SFHAs阶段的基本目的是制定与安全性有关的设计需求,是进行设计之前(理论上它们尚未进行设计)设计工程师最关注的内容。 PSSAs阶段的目的是根据AFHA/SFHA进一步推导出系统/设备的设计需求,并为满足 FHA和推导出的需求制定一个计划。SSAs阶段的目的是按PSSA阶段的计划验证实际的设计真正满足FHA阶段确定的那 些要求。2.4安全性评估中常见的验证方法2.4.1故障模式及其影响分析(FMEA): 大部分人都相当熟悉这一方法,其趋向于将重点放在具体模式的单点故障上,因此 在证明某些事件不是因单故障引起方面是十分有效的,但在确定多重或组合事件的可能 性时不是非常好。 FMEA的目的是推导和评估系统中每个零部件假定故障的影响;寻找具有重要影响的 单点故障;寻找潜在故障;为故障树提供更详细的信息;对引起危险后果的单点故障,验证其标准的符合性。 2.4.2故障树分析(FrA)110i1、故障树定性分析 故障树定性分析的目的在于寻找顶事件发生的原因和原因组合,即识别导致顶事件 发生的所有故障模式,它可以帮助判明潜在故障,揭露设计的薄弱环节,以便改进设计; 可以用于指导故障诊断,改进使用和维护方案。 在传统故障树中,定义了割集和最小割集的概念: 割集是单调故障树的若干底事件的集合,如果这些底事件都发生则将导致项事件发堆11】 ..L0最小割集(MCS)是底事件得数目不能再减少的割集,即在最小割集中任意去掉一 个底事件之后剩下得底事件集合就不是割集【llo一个最小割集代表引起故障树顶事件发 生得一种故障模式。 中国民航大学硕十学位论文在传统故障树中有一种比较常用的求最小割集的方法――下行法。这种方法从顶事 件开始,逐级向下询查,找出割集。在下行过程中,顺次将逻辑门的输出事件置换为输 入事件。遇到与门就将其输入事件排在同一行(取输入事件的交,即布尔积),遇到或 门就将其输入事件各自排成一列(取输入事件的并,即布尔和),指导全部换成底事件 为止,这样得到的底事件集合就是割集(即最后一列的每一行为一个割集),在通过两 两比较,运用集合运算规则进行简化、吸收,就得到故障树的全部最小割集。 2、故障树定量分析故障树定量分析的目的是:(1)利用底事件的发生概率计算出顶事件的发生概率,以确定系统的可靠度和风险度。(2)确定每个最小割集/最小顺序割集的发生概率,以便改进设计、提高系统的可靠 性和安全性水平。 (3)确定每个底事件的发生对引起顶事件发生的重要程度,以便正确设计或泉涌部件的可靠性等级。(4)掌握每一个底事件发生概率的降低对顶事件发生概率降低的影响大小,以鉴别设计上的薄弱环节,从而达到提高经济效益的目的。在进行故障树的定量分析时,通常假设:底事件之间相互独立、每个底事件和顶事 件只考虑发生或不发生两种状态以及底事件的故障分布都为指数分布。 所以,如果底事件的失效率为A,暴露时间为t,则该底事件的失效概率P为P=1一e知(2.1)当A小于或等于0.01时,等式简化为:P;At(2.2)在飞机系统安全性分析中,对于隐蔽故障,基本事件的概率是鉴于暴露时间来计算 的,暴露时间指的是检查到发现隐蔽故障的这段时间,检查可能是机组的任务或者是维 护人员的任务。对于没有机组或维护人员检查任务的隐蔽故障,暴露时间就等于飞机的 全寿命。通常,除了隐蔽故障之外,基本事件的概率都是以每次飞行进行直接计算的。 暴露时间以飞行剖面为基础,考虑在飞行状态基本事件对顶事件的影响。 在故障树的定量分析中,除了计算顶事件的发生概率,还应确定出底事件或最小割 集对顶事件发生的贡献大小,即重要度。这对改进系统设计、制定维修策略是十分有益 的。根据不同的对象和要求,重要度分为概率重要度、结构重要度等,它们可用于改进 系统设计,确定系统运行中需监测的部位,以及制定系统故障诊断时的核对清单的顺序。 概率重要度是指在只有第i个部件由正常状态转为故障状态时使顶事件发生概率的 变化115】。其定义用公式表示为:‘pr=丽Og(t)(2.3) 中国民航大学硕士学位论文式中:g(f)为故障树的故障概率函数; q,0)为第i个底事件的故障概率函数。结构重要度就是第i个底事件在故障树中所处位置的重要程度,定义为,,一击,l?一嘉∑【地x)一旭,x)】(0)变为故障状态(1),系统结构函数的变化。(2?4)式中:【≯“,X)一≯(O,,x)】表示在其它底事件状态不变时,第i个底事件由正常状态 由此可见,概率重要度表示了底事件发生概率的微小变化而导致顶事件发生概率的变化率;而结构重要度从故障树结构的角度反映了各底事件在故障树中的重要程度。它 与顶事件发生的概率毫无关系,仅取决于该底事件在产品结构中所处的位置。工程中,应根据实际情况选择重要度的类别进行分析。 FTA中考虑的事情可能非常复杂,本节只给出几个重要的内容: ?应确保从适当的“顶事件"开始。这应当是FHA考虑的失效状态。 ?应确保逻辑正确,并且反映了系统的构架。最重要的是绝不要在一个“与门”的 两侧出现相同的事件。 ?应考虑如何确定概率的问题。飞机上一个事件的概率与一个部件失效状态相比可 能是不同的,这取决于暴露时间。为了确定真实的概率,需要考虑基本故障率乘以暴露时间,即入.t。如果不考虑暴露时间,分析可能是无效的。 ?应考虑任何单点故障。 ?需要证明基本失效率数据。?对于依赖于工作周期的故障,应确保从“故障/每个周期”转换到“故障/每小时" 的计算,这样既有效又有意义。 ?应采取某些设计预防措施和合理的冗余,以满足1 x lO呻的要求。 此外在SAE-APR4761《对民用机载系统和设备进行安全性评估过程的指导和方法》 中还介绍了相关性图表(Dependence Diagram,DD)分析法,马尔可夫分析法(Markov Analysis,MA),失效模式及其影响概要(FaultModel and Effect Summary,FMES)及共因分析(CCA)等分析方法。本文将在第三章中重点介绍共因分析(CCA)方法。 中国民航人学硕:t学位论文第三章共因分析(CCA)共因分析用以验证功能、系统和组件之间的独立性,并确保这种独立性的存在处于 可以接受的状态以满足安全性要求。共因分析包括区域安全性分析(zSA)、特定风险 分析(PRA)和共模分析(CMA)三个部分。共因风险的来源是多种多样的,但是他们 大概被分为三大类,并且与上述三类分析~一对应: ?由环境引起的共因风险,与区域安全性分析(ZSA)对应; ?由事件引起的共因风险,与特定风险分析(PRA)对应; ?由差错引起的共因风险,与共模分析(CMA)对应。共因失效源经常属于下列范畴: ?硬件和软件的设计错误; ?软件编码错误; ?编译程序错误; ?需求错误; ?环境因素; -硬件失效: ?级联失效;?安装错误;?运行错误; ?生产/修理缺陷;?与应力相关的事件(非正常的)。 下面参考民用飞机机载系统和设备安全性评估过程的指南和方法对共因分析的三个组成部分进行介绍。3.1区域安全性分析(ZSA)嗍区域安全性分析(zSA)是针对飞机的每个区域内系统/组件的安装关系以及机上安 装非常邻近的系统/组件之间相互干扰进行安全性分析的一种分析方法。将飞机分割为若 干个区域,在这些区域内执行安全性分析,图3-1给出飞机区域划分的示例。 在新机研制或现有飞机重大改型的整个过程中都要进行ZSA。起初,产生基本的设 计和安装指南,对图纸或模型进行分析。随着项目的进展,分析基于样机,然后基于飞 机。通常,应由机体制造商进行分析。ZSA的结论应为该机相关的SSA提供输入,并补充SSA中低层面的分析。 中国民航大学硕士学位论文口 口驾驶肫一驾驶胞仪表_板和组作 口旅客脆一商蛾一村扳口A/c和:i昆合舱一ECS―t/c,温度控制等 口_起落椠一帆械系统一起落椠作动器 口帆冤/蛇舱一帆槭/坡压系统一坡压安装 白动力鹱瓦/^PU-动力装置一动力鹱盈和^Pv1:3尼翼一电气和天垅图3.1飞机区域示例3.1.1ZSA的过程区域安全性分析的目标是确保系统设计和安装满足设计和安装的基本标准、失效对 飞机的影响、维修差错的影响和验证设计满足FTA事件的独立性要求等方面的安全性目标。 区域安全性分析过程如图3.2所示。图3-2区域安全性分析过程.16. 中国民航大学硕士学位论文区域安全性分析基本上是定性分析,主要包括以下三部分工作。1、设计和安装指南的编制设计和安装指南应注意飞机级要求以及来自PSSA的考虑事项。该指南分为通 用指南、系统具体设计和安装指南或区域具体设计和安装指南。以上各类指南 应由设计部门编制,并由所涉及的所有机构予以批准。 2、区域内的安装检查 对每个飞机区域内进行制造符合性检查,记录检查结果,作为今后有关此程序 的参考和示例。 3、检查系统/组件的干扰 这部分工作从编制一份飞机各区域范围内系统/组件的清单开始,对于这些系统/ 组件,建立对安装在附近的其他系统/组件可能产生失效模式的清单。这份清单 可基于系统/组件的FMEA和FMES和对系统/组件固有风险的了解。通过FMEA 分析,考虑系统/组件的失效模式、外部失效影响以及对飞机的最终影响。根据 系统说明、PSSA或等效方法判断这些失效模式对邻近系统的影响。而后将相对 设计和安装指南检查区域的结果以及系统/组件外部失效对飞机的最终影响写入ZSA报告中。3.1.2ZSA的文档 对系统/组件外部失效及其影响进行分析并列出清单,给出参考的失效模式源、失效对邻近系统影响的原理,以及对描述飞机影响的相关SSA引证文件。将每一区域分析的初步结果递交给项目组织机构的相关部门。并根据每天的记录编 写zSA报告,逐步完善文件为飞机的SSA提供输入,因此ZSA应在整个设计循环中周 期性地重新发布。3.2特定风险分析(PRA)慨12-1513.2.1PRA的概要 特定风险(particular risk)是指导致民用飞机及其系统失效,破坏事物独立性要求的事件或影响。这些特定风险可能同时影响若干个区域。ZSA被限制在每个具体的区 域内,而特定风险分析(particularriskanalysiS)则需要考虑可能受到影响的多个区域。PRA是降低外部因素或事件造成飞机系统或结构损害的主要安全性分析方法。PRA 目的是详细说明一组产生共因风险的现象,并采取相应措施降低这些风险对系统安全性 的相关影响,或表明这些影响是可以接受的。通过特殊风险分析,能够帮助设计人员掌 握风险发生时机、影响部位、故障等级与影响后果,从而改进设计以提高民机运行的安 中国民航大学硕士学位论文全性。典型的特定风险一般包括以下情况:1、高能装置(非包容): (1)发动机;(2)APU:(3)风扇。2、轮胎爆裂: (1)胎面脱落和轮胎爆破,起落架放下; (2)胎面脱粒,起落架放下; (3)轮缘松脱,起落架放下; (4)轮胎爆裂,起落架收上; (5)轮缘松脱,起落架收上。 3、流体泄露(通常作为ZSA的一部分被检查,但有时可能要求特定风险分析附加评估): (1)燃油; (2)液压油; (3)蓄电池酸液; (4)水。4、鸟击; 5、雷击,电磁辐射,高强度辐射场;6、火,烟;7、高压空气管路断裂;8、高压空气管路泄露; 9、高压瓶; 10、冰雹、冰和雪; 11、气流抽打轴;12、隔框断裂等。 以上为典型的特定风险,但不仅限于这些。3.2.2PRA的过程 通常,按逐个风险进行PRA。其主要是定性分析并按下列内容进行实施(以轮胎爆裂为例):1、定义被分析的特定风险的细节(例如,轮胎爆裂): 2、定义分析中使用的失效模型(例如,轮胎爆裂模型);3、列出需要满足要求的清单;4、定义受影响的区域(例如,起落架舱); 中国民航大学硕十学位论文5、定义受影响的系统/组件(参考ZSA进行交叉检查); 6、定义所采取的设计和安装预防措施(参考ZSA中使用的设计和安装指南进行交叉检查);7、评审特定风险对受影响组件的后果(参考FMEA/PSSA进行交叉检查): 8、评审特定风险由于组件失效模式或其组合对飞机产生的影响(参考SSA进行交叉检查); 9、确定其后果是否可接受:(1)如可接受,则制定合格审定的判据并用于SSA中;(2)如不可接受,则开始进行设计更改。3.2.3PRA的文档 对于每一特定风险后果的评审需以一定的格式写成文件,该格式包括所要分析的特定分线说明、受特定风险影响的组件、组件安装的区域、所研究特定风险引起的失效模 式和对飞机的最终影响以及该影响的分类等信息。 使用相关的PSSPdSSA交叉检查对飞机的影响。进而确保PRA和PSSAdSSA“对飞 机的影响"和“分类”输入是一致的。PP.A结果应包含于相关的PSSA/SSA中。此外, 其还应包括对初始假设的任何偏离和解决方式。在PRA中暴露的任何问题,需引起负 责设计的部门的关注。3.3共模分析(CMA)【羽3.3.1CMA的概要 CMA是一种定性的分析工具,用来保证设计具有“优良品质"。在安全性评估过程中,共模分析(CMA)以FHA和PSSA的要求为输入来验证故障树(兀’A)、相关图(DD) 以及马尔可夫分析(MA)中的“与"门是确实独立的。在设计实施、制造和维修中, CMA对损害余度设计原则的系统部件失效进行分析。对于不能接受的失效和差错,确 定可能的解决方案,并随之采取纠正措施。3.3.2CMA的过程 CMA过程是基于分析设计以及可能破坏该设计内功能冗余或独立性的元件进行实施。CMA实施过程通过以下四个步骤实现: 1、建立特定检查单大纲(具体的共模类型、来源以及失效/差错检查单); CMA检查单是通过通用共模类型、共模来源以及共模失效/差错等资料和从前的经 验(相似飞机上的经验)而得出的。一般需要考虑下面几种共模情况: 中国民航大学硕j:学位论文(1)软件设计差错; (2)硬件设计差错; (3)硬件失效; (4)产品缺陷/维修缺陷:(5)与应力相关的事件(例如:非正常的飞行状态,非正常系统布局);(6)安装差错; (7)需求差错;(8)环境因素(例如:温度、振动、湿度等);(9)级联故障;⑩相同外部源故障。2、确定CMA要求在执行CMA时,分析人员需要熟悉和理解关于所研究系统运行和安装的特性。这 些特性包括如下方面:设计构架和安装计划、设备和组件特性、维修和测试任务、机组工作流程和系统、设备和软件的技术规范等。此外,分析人员需要理解相异性(非相似性、冗余等)和隔离特点、测试和预防性 维修大纲、设计控制和设计质量等级、程序和技术规范的评审、人员培训和质量控制 等所使用的相关安全保护特性以消除共模影响或使其减至最小。 通过上述的系统背景,分析人员必须确定所研究产品的具体CMA要求。通常,遵 循以下两个过程来建立完整、适用的具体CMA要求。 (1)来自FFA、DD和MA的要求:对FHA或PSSA中成文的每一危险事件或灾难性 事件而言,识别每一“与”门事件(故障树中的“与’’门),确定相关的设计独立性原 则。确定必须保证哪种失效组合是独立的,并据此给出CMA的要求。 (2)其他CMA要求:在工作中,可能会有一些CMA要求是不能从FTA、DD和MA获 取的,这些要求源自于具体产品CMA检查单以及产品和工程经验。通过评审设计过 程、设计细节、选定的部件、制造过程、安装过程以及使用中维修过程的检查单获取这些要求。3、对设计进行分析,确保满足步骤2所确定的要求 在此工作中,需要确定与每个共模源有关的可能共模失效/差错;分析每个可能的共 模失效/差错,以验证独立性判据的符合性;对于CMA没有涉及到的状态,建议可能的 解决办法并进行涉及纠正,跟踪纠正措施,确保最终设计的可接受性。 4、将CMA过程的步骤1到步骤3的结果写成文件,以便为下次修改提供参考。3.33CMA与FHA、PSSA和SSA的联系共模失效使用FHA/PSSA评估的结果,诸如,灾难性失效状态清单、设计中所考虑的独立性判 据以及作为CMA性能的任何指令。共模分析结果的摘要被包括在SSA之内。 中国民航大学硕士学位论文3.3.4CMA与ZSA和PRA的联系 ZSA和PRA不属于CMA的特定部分,但是决不能忽略来自ZSA和PRA的可能共模影响。凡是ZSA和PRA识别的可能的共模影响,CMA分析人员都应确保有相关的ZSA和PRA 对该影响进行了分析。 中国民航人学硕士学位论文第四章飞机电传操纵系统(俯仰通道)分析4.1飞机电传操纵系统4.1.1电传操纵系统概述 飞机电传操纵系统n卜231是将驾驶员操纵装置发出的新号转换成为电信号,通过电缆 直接传输到自主式舵机的一种系统。电传操纵系统也是一个全时全权限的“电信号系统 +控制增稳’’的飞行操纵系统。电传操纵系统使人工操纵和自动控制在功能上和操纵方 式上较好地融为一体。电传操纵系统具有以下特征: 1、电传操纵系统主要靠电信号传递驾驶员的操纵指令,其中将不再含有机械操纵系统。2、控制增稳系统是电传操纵系统不可分割的组成部分,如果没有控制增稳功能,系统仅能称为电信号系统,而不能称为电传操纵系统。电传操纵系统的基本方案有模拟式和数字式两大类,后者实际上是混合系统,即系 统中除数字计算机外,其余部件仍是模拟式的。 同机械操纵系统相比,电传操纵系统的优点n鲫如下: 1、减轻飞行控制系统的体积和重量(因为节省了重量大的机械部件与传动装置, 节省了机械传动所占用的活动空间和孔道)。 2、多余度电传系统,可以进一步提高飞机的安全性。3、降低飞行控制系统的安装、维修费用。4、可以容忍飞机的弹性变形(因为,电缆不受飞机弯曲、变形、膨胀等影响)。 5、改善飞机的操纵品质(因为电传操纵系统可以消除机械系统的非线性、摩擦、 滞环等影响,并且可以实现所需要的特性)。 6、增加座舱布局的灵活性(例如,可以使用侧杆,从而改善驾驶员对座舱仪表的视界和观察条件)。7、利于飞行控制系统构型的改变(控制率的变化,因无机械系统而更加方便,易 于系统重新布局)。 8、提高系统的生存能力(余度电气部件与电缆的分散分布可以降低损伤引起的系 统失效概率)。 9、增强自诊断能力,提高维修性。 由于电传操纵系统比机械操纵系统具有许多优点,并且随着科学技术的发展,电传 操纵系统所亟待解决的某些问题已逐步得到解决。所以自20世纪80年代以来,电传操 纵系统得到极大的发展,许多新研制的军用和民用飞机均采用了电传操纵系统阴1。为表明飞机电传操纵系统能够满足25.1309的要求,本文参照《对民用机载系统和 中国民航大学硕十学位论文设备进行安全性评估过程的指导和方法》对飞机电传操纵系统进行系统安全性分析。其 能够有效的降低灾难性事故的发生概率。为保障民用航空安全,维护公众利益,促进民 用航空事业的发展,安全性必须作为工程系统特别是民用航空系统的重要技术指标予以要求。4.1.2电传操纵系统一般组成‘171 飞机电传操纵系统主要由以下部件组成: 1、主飞行控制计算机(Primary3、动力控制组件(PowerF1 ight Control Computer,PFCC),2、作动筒控制电子装置(Actuator Control Electronic,ACE),Control Unit,PCU),4、杆位传感器(Position transducers), 5、人感系统(Feel units),6、配平作动筒(Trimactuators),7、A/P反驱动伺服器(A/P Backdrive),8、速度制动作动筒(Speed9、断开开关(PFC 10、飞行控制总线。brake actuator),Disconnectswitch),主要交联的分系统有: 1、自动驾驶/飞行指引计算机(Autopilot2、飞机信息管理系统(AirplaneF1ight Director Computer,AFDC):Information Management Data InertialSystem,AIMS);3、大气数据惯性基准组件(AirReference Unit,ADIRU);4、辅助姿态和大气数据基准组件(Secondary 此外与飞行控制总线直接相连的还有电源组件。 4.1.3电传操纵系统原理【17】Attitude Air DataUnit,S从RU);在人工操纵时,由驾驶员控制的操纵盘和脚蹬踏板以及减速板手柄的移动,由多套 相应的位置传感器所感应,并将其转变成模拟电子信号,这些信号被传送到作动筒控制 电子装置(ACE),并被作动筒控制电子装置(ACE)转化为数字信号,通过总线发送到 主飞行控制计算机(PFC)。 主飞行计算机通过飞机控制总线与飞机系统交换数据,它接受大气数据惯性基准单 元或备用姿态和大气数据基准单元以及飞机信息管理系统的信号,根据设计好的控制规 律以及飞行保护功能进行计算,产生相应的控制指令。计算所得数字指令信号从主飞行 计算机通过飞行控制总线再发送到作动筒控制电子装置(ACE)。 作动筒控制电子装置(ACE)将这些指令信号转换为模拟信号,并将其发送到动力 控制组件和安定面配平控制模块。动力控制组件控制每一个飞行操纵面。每个扰流片由 中国民航大学硕士学位论文~个动力控制组件控制;每个副翼和升降舵由两个动力控制组件控制;方向舵由三个动 力控制组件控制。每个动力控制组件包括一个液压作动筒,一个电子液压伺服阀和位置 反馈传感器。两套安定面配平控制模块控制水平安定面驱动马达和制动装置的液压动 力。图4-1为人工驾驶飞机的过程。基准――――~驾驶员图4一1人工驾驶匕机的过程在自动驾驶仪工作时,主飞行计算机从所有三个自动飞行/指引计算机(AFDC)接 受自动驾驶指令,并依控制率产生相应的控制指令通过作动筒控制电子装置及动力控制 组件控制相应舵面。与此同时,主飞行计算机还通过主飞行操纵系统移动操纵盘、操纵杆、脚踏板同步于自动驾驶指令。由此驾驶舱自动操纵装置的相应移动给机组人员提供 一个可见的信号。主飞行操纵系统内部各部件或与外部有关系统通过数字交联和模拟交联交换信息。 数字交联分为两种,一种是由飞机系统的总线提供的通过信息管理系统转换的信息;另 一种是由飞行控制总线提供的飞机系统之间的信息交流。与主飞行操纵系统相交联的全 部模拟信号都集中在作动筒控制电子装置,主要输入/输出信号有:驾驶员操纵的各位 置及力传感器信号;方向及俯仰配平电信号;与襟翼电子组件、动力控制组件及信息管 理系统设备柜相交联的信号、主飞行计算机的脱开/自动电门信号等。 图4-2为飞行控制系统的自动控制过程。预置指令图4―2飞行控制系统自动控制过程 中国民航大学硕士学位论文4.1.4某型机电传操纵系统的俯仰通道 某型飞机飞行操纵系统由两个升降舵和一个活动的水平安定面实现飞机的俯仰控 制。主飞行控制系统(俯仰通道)主要是由2台主飞行控制计算机(PFCC)、4组作动筒 控制电子装置(ACE)、4组动力控制组件(PCU)及其相应传感器、断开开关和ARINC429 总线等组成。升降舵系统原理图见图4―3和水平安定面配平系统的原理图见图4―4。图4弓升降舵系统原理图【16】图4-4水平安定面配平系统原理图【16】系统实现功能如下: 中国民航大学硕士学位论文系统实现功能如下: 1、控制飞机的俯仰姿态;2、每个升降舵控制面由两个电液伺服作动器,正常模式时采用“工作一工作"方式 控制;直接模式时采用“工作一旁通"方式控制;升降舵控制系统由四个控制通道组成, 每个通道采取故障一被动方式。 3、可变控制增益,正常模式时增益为校正空速、襟/缝翼和水平安定面位置的函数;直接模式或空速信号不可用时增益为襟/缝翼位簧的函数;4、具有电子配重功能,其增益为校正空速、飞机法向加速度、襟/缝翼和驾驶杆位 置的函数;接收自动飞行系统的俯仰控制信号,实现飞机的自动俯仰控制; 5、和失速保护计算机、振杆器和推杆器一起,实现失速保护功能; 6、提供飞机的纵向配平,采用工作.备用的机电作动方式; 7、具有可变配平速率、马赫数配平和自动配平功能,其增益为校正空速的函数;8、实现襟/缝翼和减速板伸展的结构配平功能;9、与自动飞行系统接口,接收自动飞行信号,实现水平安定面自动配平、M配平。4.2某飞机电传操纵系统的功能危险分析if'HA)4.2.1FHA格式制定 FHA是从系统功能清单开始入手,假定造成系统功能失效的各个失效状态,确定功能失效或故障出现所处的工作状态或飞行阶段。然后在根据失效状态对系统和人员的危害,确定该失效状态的严重性及其影响等级。表4.1系统功能危险分析 系统功能危险分析(FIq_A) 系统: 功能(系 统级) 危险 编号 危险 说明 飞行 阶段 对其他系 统的影响 失效状态对飞机 影响 等级 符合性 备注 方法和机组的影响在民机中,一般飞行阶段划分如下:?地面G:地面滑行。包括飞机起飞前从接通电源开始到从停机坪滑出至停在起飞跑道端 中国民航人学硕I:学位论文头的过程和着陆后从滑跑结束开始滑进停机坪至切断电源的过程。?起飞T:起飞。从松刹车滑跑开始至达到起飞安全高度35英尺的过程。?飞行中1、F1爬升:从达到起飞安全高度35英尺开始至达到巡航高度的过程。 2、F2巡航:从爬升至巡航高度开始到开始下降为止的过程,包括加速至巡航马赫 数、巡航和下降前的减速。3、F3下降:从巡航高度下降到进场高度1500英尺的过程。4、F4进场:从到达进场高度1500英尺开始下滑到着陆安全高度50英尺的过程。 ?着陆 L:着陆从下滑到着陆安全高度50英尺开始至接地、滑跑并减速到速度低于20节 的过程。 ?灿LL:所有阶段指以上所有飞行阶段。 根据失效状态对飞机系统及机组人员的伤害,将失效状态影响等级划分为五级。 V级:无安全影响,对飞机运行的能力、安全性和人员无影响; Ⅳ级:次要的,失效状态不会明显地降低飞机安全,机组的操作仍在其能力范围内。 可能轻微地降低安全裕度,轻微地增加机组工作负担或个别乘客身体略有不舒适。 Ⅲ级:主要的,失效状态会降低飞机的能力或机组处理不利操作情况的能力,明显 地降低安全裕度,明显地增加机组工作负担,使飞行机组身体不舒适,或使乘客或客舱 机组身体不适甚至受到轻微伤害。 II级:危险的,失效状态影响导致安全裕度大大降低,工作量巨加,身体不适或过 分的工作负担导致飞行机组不能准确地或完全地完成其任务:少数人员可能严重受伤或死亡。I级:灾难性,妨碍飞机继续安全飞行,导致多数人员致命或飞机坠毁 了解了上述内容后,不妨以某飞机电传操纵系统俯仰通道的丧失两个升降舵俯仰控 制功能这一失效状态为例进行说明。丧失两个升降舵俯仰控制功能是俯仰控制功能的一 种失效状态,常常发生于爬升(F。)、巡航(F。)、下降(F3)和进场(F4)等飞行阶段。 该失效状态可以导致飞机结构严重损坏,甚至引起彻底损毁,使机组无法控制飞机,造 成机组和乘客绝大部分或全部死亡,因此将其的影响等级定义为I级。此外该失效状态 会直接影响自动飞行系统,使系统失去设计功能。4.2.2某型机电传操纵系统的nn通过对系统的分析以及对以往经验的借鉴,将某型机电传操纵系统俯仰通道的俯仰 控制中可能出现的失效状态进行划分。详细情况见表4.2。 媸 地 燃 恹 趟≈Ⅱ备g靶运蓑日享E备錾<LUg曩曩蓉葙小11/ 妄严.曩曩吾蓼美§ 靶惶怛目都巅 靶辎辎 账g g重芒 曩蓑目《 神 兽 醴兽 醯 g 囊车睾 再÷ ;牵 3口溪g 蛏Ⅱ耳 聒都 州辅 麟其 榷磐 1;卜惺吲多篡黑粘瞎-恒M目懿懿牵 水罨尸.最 靶 g皿善蝮辎辎 账g蛊露 辜 靶翼l蹉矽番荤*.型.-W《基螺 求 剑 姐 血 督 螺 帕A11.1。按 怕 篓 狡 水 蜃 醛 蛊 螺 髅 翠 域 霞 整 鑫 妇Y7睾建鹾涩账遨比声爹爹u蚕n_lk杂术职 。..谢卿..陧巅韬口佃箍 g繇羁佃母锭 罩辎蜒耀镒斜 耀辎蜒涩耀甜磊H’H’馘 荤爹爹爹u磊H’唧献樱《 郁世幂H 献P g限..睾掣荣詹强磐 k篓激日口蒸螺1躐。Ⅱ巨(..暴囊曙世摊 暴州囊粕婶求 窭刖囊怕仲求 窭囊酃婶 尸暴巾H怅 P摊暴球嘿箍 P坤嚣球嘿希 P嚣聊嵘螺1谣螺\谣姑Y7议智趟扑书匿扑K塔出匝七b靶Y7船x7、rH“剡圈荤睾螺垛态涨迎曾墨1;L球N o僻臀 皿 唇 醯斗H蜃 醴制 蜃 醴帐芘上【工_b寸 也t―-芝【工-一‘旧口口 番 疆 翻 拱删霎捌 圈 苷 基 螺 帐 ≤ 涨 蜒 脚 螺 倏鬣喜一冀薹量吕靼剐 粹牛 旧岛暴 删晕醛 {铽睾捌 l;卜掣 *如o o o U Q佃 皿曩羹* *n删蝼 懈船 }1乓 *叫 星涮 非趔 卿旧寸心 臻 翻 按―日8 oQ88Q血 蚤晕磊涩睾辎督一28一 媸 搬 燃 恹 型qⅡ靶狰■'■霾曩K 翊 陧 繇 景 磐 g皿蓦备苫芝击g碳狰尸.《 神 蜃 碘 辎 世 晕 怛 磊 辑 悄 壬K乏匣 醭 g口?N、_暴 楼 套 口 靛 粕 葵 较 水《蛊蜷 求 督 娌■口U 日晕罐辎*献 司 i吾赛U丑箍 酃世 佟洲犁窖佃箍 墨H 龊 鄙P碌镒剞 划雄燃幂龊剞 帐P S限 限p《限 址.帐P詹椰 ..Ⅱ巨( ..Ⅱ区 。轼。H’’..镫 。蹄懿。锰 幂 囊.辎婶隶 暴罢i}鄙伸 暴罢i}鄙神 暴水囊佃忡求 P懿暴始g嘿箍 P暴聊嘿 P幂鼾保 P窭幂镒嘿箍瞄P暴 糍P 籁H’ 删口 q耀 g口 踏 搬疆.辎窖 墨 P U H’馘器悯 具 g K 娶 亲 辍 樱 鄹 暑靼詹.斗< 骊艘 R 晕稻水毒 辍靶 镁《睾懿睾磉蓉 轺世P懿p需 惶 窭..懿 旱U辎g骚暴恒暑。。......?謇?血 议秘掣扑书匿扑K墨呶哑岳督 螺 ^蝼v《}1也剡明星睾螺倏≤涨半'申嚣l;L球N o琳1谣醯 g 螺\j{∈螺 瞵 始限3口帐限翠 林 莨 整 鑫 船Y7槁 皿 兽 醴’中一正'中 【工_ lr-_'中【工一,’_‘_【工一rT恻 圈 睾 螺 长 ≤ 辎 啦 删 螺謇 怨 翻 娌e悄靠 l;卜i乓 *吲 g咖蝼 姐趟 圈旧 米心”l;卜趔 留暴 旧帑 侧捌旧-口罐口口悄测1;卜褂裂鋈 }害怅*卜逝巽藿萋oo*蜊o o o U Q蜇喜量吕心 骠 笾 心 耀誊8QQ\谣督量磊疆 擎翅督一29一 列 № 燃 恹 掣司Ⅱ谗 《 神 兽 醯运蓑目重区辫*世 回霉 叫剐 佟坤 斗< 鼎 臀 恒 幂..懿 口.吝錾重芒矗 妻蓑g岳≤辜匕巍蓑星 醯 g 囊 套-―,m善哥 喇嚏K韵鼎蕊靶R粘《 晕目世H}暑Y7睾暴H《蛊辖 求 笪 姐j口靛 柏 葵 获 水藩P g 蹄姑略涩鹾鄙口亲时限。..景..幂号i}罂仲螺\谣暴凝水囊辎婶镫 嚣囊鄙神 尸赛g帐 P龊辎幂涩1l|l}雅 P R墨暴暑嘿求 P赛前嘿螺 倏 姑Y7R褪 星水 窭蟹妄.. 警赛 P巅尸U 磊辎H’鼷 齑P 蹄. 掣星雹箍 温牛 燃暴龊州 詹驻 限尸詹粑 ..旱 。巾。镫 幂睾懿囊佃摊求擎献g荽鐾旱P P 箍 誉. * 斗< 雹 g篝 积 器辎 疆 惶 巅 鞭1;班11..口 口钆巅. 辎 k迢辎暴 妄 星蟋世P r 《靼霉磊.H’.. 粼鬲刖衽U丑U 刊箍摊燃荩罐献 址口.限惶口希 。.:.矧..懿。..剞最 磐 g皿爿器 幕 捌罂l裂斌 搿世暑H 限P g帐….c氏..螺1谣?缸 议碧掣扑_千隧扑K堪瞰匦廿雷 螺髅唇 醭 g 螺 髅 篁 林 莨 盛 餐 妲螺1《妊x7姑 口姑3口稃 血 售 谶蒋 皿 善 舔需皿 唇 醯臀.皿售 龉^鲻v《}1吐蜊赠旱睾螺K黍辎半1串暴1;L球N寸僻 芝土【工-寸【工-’-_'宁 【工一 Ip【工一‘t―■'中 【工一番鹾 逝o- 午磊测 暇 导 氅 螺 髅 泰 涨 迎怨 笾 d霉幂器:田卜轺水量 掣擎吼蠢蓑誊求牛莩七*醢褂壬K星 水犁害 掣回旧靼醛 等捌 鹾剐吕进臻亲求鞲 ÷掣 陵如=萋萋束辎 壬|<磊 锹醛心 骠 留 模 耀 督营22昌QU Q8U Q宕U Q母螺\谣擘器龊 翠谢督一30一 划 吨蠼 钕 趟司Ⅱ啦孙督 砷 柱 搦 g 刊 钆 褪 求 P n 丑 龊 口.备g《【L苫E击g曩蓑目嘲I侧黟星尸 P g 巾 g蜂 口 幕辎 温 剿Il噩Il…日 詹钆巅 悻霎辎嚣 g姆世严. .《如唇 醴 箍 斗< 鼎 怛 巅 辎 最 婴 窨m荨乏兽 醯 g心V旺口恻 鼻 窖 斗< 一辎 啦 臣磊 型靶 制樱.番 暴 捌靶 樱《车牟冥幂二口暴P墨P H1箍 斗< 翊 怛 懿 辎 罨P磊叠 皿¥ 求 剑 疆xlx,1靛 怕鄂世:j辎..巅’..州..Ⅱ医熏酃。Ⅱ巨(葵 校 水?匣暑H 创嚣靶 限P g帐 恒P斌帐.. ..。。嚣寝暑i{辎婶镫 嚣囊鄙摊 暴囊鄙摊 嚣景水囊辎砷镫 P姆暴暴嘿求 尸暴神嘿 P幂时联 尸R赛暴窭联尔擦\溺太忙=霜H::暴鼍翥?姐卫议错掣扑书匿扑K鳝咄匦母雷 《\溺醯 g妞-歹爆\溺限限限督 辱 醭翠林 靛皿^然v《Hd剡明晕擎螺嚼暴涨啦脚墨r眯N寻僻 整鑫妲Y7甘 H ‰甘【工-v-"l寸【工一 r叫芝也也‘捌署:口水涩 锱督 g恻 啦腽 用m 张寸测 鼎 导 謇 螺 帐 ≤ 涨 迎 脚 螺\谣惩 笾 迥垂薹羞姆H、№ 脚Ⅱ口遑拍键耋蠢?血九j逝东姐匝 鼎V、七:昧 口心 骠笾 娌 耀 督H o o U Q、gQH o o U Qgo晕暴箍 车翅督 煳 船 燃 恹 趟dⅡ靶蚤量P 害 星蜂 器辎 轺11噩|1 口艮 K霎.璎蓑u重要子矗基曩曩莒晕P 警. 星蜂 磊辎 PH’《 如 厘 口 醛 P n 佃 镒 詹.蜃 醯 gm:l mY暴 髌 套Y了g躲《捌嚣P 毒.《昌皿塔 求 督 嫂Ⅱ口 41=霞 粕 葵 较 水球而巅辎扣宣U 习龊辎燃磉镒黑疑 K 鼎 窿 懿 辎 墨 P H’七鼍曩鼍暴唼翥 嚣鼎水囊辎婶镫螺 垛 靶Y7箍 斗< 蜂 鼎 辎 怛 悯 巅 钆 辎 爨 墨 鑫 姆 P P 餐懿磊 n 蹄骚犁U佃U 猛世燃黑镒暮 口晕帐怛詹箍..埔P * 丑 涩 口佃 涩犁栅一日 日钆懿. k霎辎幂 星棵世P 《裂晕磊球而酬涮U佃U Ⅻ涩坤燃馘涩碌希 斗< 鼎 峰 懿 辎 嚣 P m..捌..懿。剞七鼍箱孳暴鼍翥螺1溪暴而囊辎神镫 暴裂水号i}辎忡镫 P R暴暴赛嘿隶 尸剐暴赛嘿求 P R窭窭墨嘿求 螺 髅 妲Y7仪嵇掣扑书匿扑K餐世匠导雷 螺\谣善 蘸 g 螺 倏 翠 球 靛 酃 鑫 姑Y7姆Y7臀 皿 譬 罐呻工一槁 皿 宦 敞皿星 醯甘【工一 I臀^然v<}l皿恻冒一b}睾蒜K蚕迷迎却暴尸联N寻琳’一 【工一,-■【工.【工一‘,―■雀詈 巷 笾 嫂 娟 鹾 鞋 来 年 窿端叠口娄慕霉喜恶瞪 粹捌鹾剿 逝蟪秦东鞲捌 圈葚售 螺 髅 ≤ 涨 迎 脚 螺\谣萋薹翌÷趟:卧令心 骠 翻 娌口口£28U Q8U Q吕U 口啦 督星磊涩 睾掣督。博N忙球较水龌蚤暴乏.状拦督繇H罾_【议糕搓搽一手林求婚封舻蜃醭辎。怡葵较水罾Hg箍罄罨辍旱擎习累廿僻燃一32一 中国民航大学硕上学位论文4.3某飞机电传操纵系统的初级系统安全性分析O'SSA)前文已经做出了某型机俯仰通道FHA,表4.2即为FHA的输出。PSSA以FHA的输出为起点,对建议的系统构架进行系统形的检查,以确定失效或故障会如何引起由FHA确 定的功能危险。PSSA的目的是为系统建立安全性需求,并确定为满足FHA确定安全性目 标而期待的系统架构。 PSSA也是一个与设计定义有关的交互式过程。在系统研发(包括系统、项目和硬件 /软件设计定义)的多个阶段进行PSSA。一般情况下,PSSA通常使用FTA进行分析。图4.5给出PSSA分析步骤的概要。输入 1.FHA失效状态 2.初步系统设计和机内自检(BIT)策略 3.评估/预测的可靠性参数4.初步BIT和维修策略分析 方法 1.精确的目标及其之间的关系 2.潜在的失效模式与确定降低影响的方法 3.定义每个失效模式的概率 格式: 故障树分析/试验 输出 1.FHA符合性初步判定与潜在问题的确定; 2.特殊防护或必要/希望得到的影响降低的确定; 3.关键可靠性数据的确定; 4.新型试验或最小检验间隔的确定。 图4-5 PSSA分析的步骤根据以上原理说明,首先对某机电传操纵系统进行分析,“升降舵舵面急偏”是在 FHA中确定的一个I级失效状态,是具有灾难性后果的故障。所以,下面选取该失效状 态作为顶事件进行故障树的分析。对于FHA中确定的其他失效状态,由于资料和工作 量问题,文中不在赘述。图4.6是某型机“升降舵舵面急偏"在未考虑潜在失效状态建 立起来的的故障树模型。 中国民航大学硕士学位论文图4-6升降舵舵面急偏故障树模型(未考虑潜在失效)定量计算:Q2=4.83E一09,Q1=1.93E一08:用标准飞行时间表示的概率为:P1--Q1/1.28--1.51E.08,由于此失效状态具有灾难性的影响,其属于I类,定量的安全性目标为1E.9。所以, 通过故障树的分析,证明了该系统不符合这一安全性目标。因为,该模型没有考虑潜在 的失效状态,从而不能符合安全性目标要求。因此,该失效状态需要考虑潜在失效状态 对目标故障的影响。图4.7是在考虑潜在失效状态情况建立起来的模型。表4.3和表4.4 分别列出了图4.7故障树中的各个逻辑门及底事件的描述,并且列出了底事件的失效率。 议错迥扑书匿扑K塔出哑七b一35一 中国民航人学硕上学位论文左外侧通道引起左升降舵舵面急偏(左内侧通道丧失) 左内侧通道引起右升降舵舵面急偏(左外侧通道丧失) 左外侧通道引起右升降舵舵面急偏(左内侧通道丧失)未发现左外侧升降舵通道PCU控制失效(潜在) 左外侧线性管口置于中心位置 左内侧升降舵P-ACE失效引起舵面急偏 左内侧升降舵PcU失效引起舵面急偏1.32E旬36.00E-053.78E-094.98E.10 5.52E.10 2.97E.12左内侧升降舵FCM失效引起舵面急偏 左内侧升降舵CcPs、RVI)T传感器失效引起舵面急偏1号液压系统失效 左外侧升降舵通道舵面LVDT传感器在工作中失效9.32E瞒3.04E.04左外侧升降舵PCU关节环从舱面上断裂1号和2号液压系统同时失效 左外侧升降舵通道P_ACE失效2.40E.04 8.93B.094.16E-05n眩盼阱盼髓盯陷四啪叭眦啪附嘶 啪 Ⅲ左外侧升降舵通道至P-ACE、PCU或LVDTs一29的A/C线 路故障 左外侧升降舵通道CCPs、RVDT的L1-A传感器在CMD控 制通道中功能丧失3.70E-06协 协姗伽协 馏墙协伽咖协伽协协 协1.53E.05左外侧升降舵通道cCPs、RVDT的L1一B传感器在监控通道中功能丧失1.530E.05定量分析: 概率计算:与门:P(AB)=P(A)P(B) 或门:P(AB)=P(A)+P(B)一P(AB)(4-1) (4-2)该故障树各级事件的故障概率为:.36. 中田民航大学硕十学位论文Q(G7)=3.06E-5,Q(G6)=7.95E-5,Q(GS)=7.13E一4,Q(G4)=4.83E一9,Q(G3)= 2.09E-3,Q(G2)---1.01E一11,Q(G1)=4.04E-11 在分析中,取各底事件的暴露时间均为1.28h,用标准飞行时间表示的概率为: P(G1)=Q(G1)/1.28=3.16E-11 由于此失效状态具有灾难性的影响,其属于I类,定量的安全性目标为1E.9。所以,通过故障树的分析,证明了系统符合这一安全性目标。从该实例中可见,PSSA采用FTA方法对提出的系统构架进行系统性检查,从而确定失效如何能导致FHA所识别的功能危险性,以及如何能满足FHA的要求。PSSA过程与设计定义相互作用,与设计过程一样,PSSA过程也是迭代过程。在整个设计过程 中,PSSA以反复迭代的形式更新FHA,使系统符合安全性目标要求。4.4某飞机电传操纵系统的系统安全性分析(SSA)SSA是系统而全面的对目标系统进行的安全性评估,目的是表明其满足来自FHA的 安全性目标和从PSSA得出的安全性需求。SSA通常以PSSA的FTA为基础,并使用从故 障模式及影响摘要(FMES)获得的定量数值。FMES是一个按故障模式及影响分析(FEMA) 确定的故障摘要。FMEA则是以故障影响为基础的系统集合。下图为系统级SSA的流程:’入系统功能 系统体系结构与项目系统级需求系统级FHA和PSSA 系统失效状态 相关需求失效状态评估对于系统级FHA/PSSA中确定的每种失效状态,执行一次评估 表明系统体系结构和项目满足要求。 本评估包括:ⅥA/PSSA箫求的结果判定材料 共因分析 下级FMEA/FMES一m、DD或MA一概率计算 一表明符合定性和定量需求的信息 一判定工作 一系统、项目开发保证等级运营维修任务 研发保证等级 低等级需求f 丑和町追溯性一在FTA、DD或MA中的FMB岍MES及其相关的失效率『出符合F}WPSSA的需求 符合系统FHA,PSSA判定材料和状态 一测试 一研究 一共因分析需求 一流程运营/维修任务项目设计 保证等级低等级的研究 摘要需求和可追溯性运营/维修安全 硬件和软件表明低等级需求 性相关任务和 的设计保证 已经满足需求 间隔。交叉参考等级的应用 运营和维修文档性结论图4-8系统级SSA的工作流程 在进行SSA时,不仅要了解系统构架说明和相关设计原理,还要注意系统接口及其 与相邻系统组件的相互关系。因此,只进行FHA和PSSA是不能满足系统安全性要求的,.37. 中国民航人学硕Jj学位论文还必须包括有关的共因分析结果。 本文将集中论述CCA对电传操纵系统的俯仰通道的分析结果。根据电传操纵系统组成部分的安装位置及其工作原理,以及第三章中对飞机的区域 划分,受资料和时间限制,本文在此不进行区域安全性分析,只进行特定风险分析和共模分析。4.5某飞机电传操纵系统的共因分析(CCA)4.5.1特定风险分析(PI认)非包容性发动机转子爆裂(UERF) 非包容性转子爆裂是指在有动能的情况下,高速转动的物体受到冲击或破坏,而导 致物体本身破碎,但由于物体本身具有很高的动能,而且破碎后的碎片的运动轨迹无方向性,因此它具有很强的破坏性,能对飞机造成灾难性的后果。虽然发动机转动部分破裂是非常罕见的事情,但由于其破裂伴随产生的碎片具有很高的转动和传动能量能对飞 机及飞机上得的系统造成严重的伤害。 在航空历史上,曾经很多次发生非包容性发动机转子爆裂事故,仅在1962---1987 年间共发生了15起UERF事件,而且每次都带来了灾难性的后果。虽然这种事故并不 能避免,但应尽可能地把它发生的概率控制在一个合理范围内。同时,在飞机的不同飞 行阶段,事故发生的概率也不尽相同,在图4-9中给出了UERF在不同飞行阶段的发生概况:’!图4-9UERF在不同飞行阶段的发生概况非包容性发动机转子爆裂可以造成飞机或系统的严重损坏,因此在设计时对所有潜 在情况必须加以充分考虑。这些碎片拥有很高的转动速度和平移运动能量,可以切割开 任何包裹物,所以需要充分模拟那些潜在的破坏路径,使系统能实现物理隔离,以保证 飞机安全操作。其目的是使易遭受破坏的安全关键部件受到的破损可以减少到最低,并 能够提供某种定量的最小风险评估,作为一个安全性规定需求的符合性证明。 在设计阶段,必须尽早的确定关键位置或结构在受到破坏时的改变,以避免在随后.38. 中国民航大学硕士学位论文工作中出现的重复设计。这些工作需要同其它特定风险,例如,同鸟击,轮胎爆裂等联合进行,以便能够采用一个最适宜的隔离/保护设计措施。下面先了解转子在爆裂时的抛 射碎片模型。 l、转子爆裂的碎片模型及抛射轨道 大量转子爆裂统计数据表明:由于存在许多不同种类失效状态,所以不能简单通过 失效分析方法给出结论和预测。在JAR/FAR要求中,许多与转子爆裂相匹配的模型已 经得到发展,且给出一些可接受的模型。其中最具有代表性的有三种模型,分别是1/3圆碎片模型、小块碎片模型和扇形碎片模型。转子碎片的重要特征如下:(1)碎片的尺寸和形状;在JAR/FAR文献中关于碎片模型的定义由表4.5给出。表4.5JARJRA和FRA关于碎片模型的比较FAR模型模型 1/3RD圆±3。 块边缘±5。 碎片±15。 扇形转子±15。 能量f1/3RD圆±3。11小块边缘±5。f或 1/3RD圆±3。 能量 模式 1/3RD圆 块边缘 重量 1/3RD圆 重量 1/30th圆 重量速度发动机速度 的作用 发动机速度 的作用模式 1/3RD圆重量 1/3RD圆 重量速度 发动机速度 的作用 发动机速度 的作用400ft/sec块边缘 碎片(使用1/30th)0.61bs扇形叶片达到31bs900觚gC碎片可接受模型如图4.10所示: 中国民航大学硕-上学位论文失效模型1/3圆模型项目圈参蠡 R=圆半径 b-转于长度 ■大尺寸-(R+b/3)失效模型碎片小块项目圜参教 R=聊半径 b=转于长度 ■大尺寸一CR+b),3龙裁 ≮∥■大尺寸_。――Gc位十■大 尺寸上显示 Dm“足由雇 转碎片确定的 量人切线宽度 拓展角是3度或 5度 重■是I/3圈重l 速度名义上是>,∞orm尽可能使用制 遗商的戤据@枷娃定块垦转子■I/=j0GC位于圆边缘 Dm“足由旋 转碎片确定 的最人切线 拓展角足5度厦 JS度 重量是l,30置重 量 琏度名义上是3600rpm尽町艟壤用制 造崩的教据图4.10转子碎片的尺寸和形状(2)碎片抛射轨道 转子碎片能够在任何点以放射性方向飞出(O~3600),且被认为沿着与主轴正交的 角度行进。在爆裂盘平面上,以平面上某一给定角度的两个方向飞出。碎片的旋转给出 碎片的来源是以某一圆盘模型给出,其中心能够由计算得出,其主要依赖于其形状,碎片抛射轨道模型由图4.11给出。有效爆炸源尺有效爆炸源尺 寸 发动发[互亟西口程序标识=默认 有效爆炸源尺寸(旋转)[■暖E]程序标识=碎片图4.11碎片抛射轨道抛射分为“正向抛射"和“逆向抛射”两种飞行方式。碎片抛射的轨道界限由图4.12.40. 中国民航大学硕士学位论文给出,碎片抛射倍增点曲线图视景由图4.13给出。◇●目标“窗1:3”垂直部分自,0\FWD由轨道末端确定\汐 由巾..巾:角详细说明目标“窗口”水平部分 由轨道末端确定 由¨t:角详细说明Z轴方向视图 定义爆炸源孰遵界限 定义爆炸源轨道界限图4.12碎片抛射的轨道界限FWD吣旋转=+1 即逆时针向前看倍增点曲线 视景 (逆向)图4-13碎片抛射倍增点曲线图视景2、转子爆裂影响系统 转子在发生爆裂后,抛射的碎片会对飞机的结构、动力源、燃油系统、机械部件和 一些危险源产生严重的影响,轻则使各系统失去系统功能,重则会造成机毁人亡的严重 后果。下面是转子爆裂影响的系统具体情况:(1)机体结构1)机翼数量;2)操纵面; 3)挂架: 4)干燥隔间。 (2)动力源: 中国民航大学硕上学位论文1)电力; 2)液压; 3)气动。(3)燃油系统:1)燃油箱; 2)燃油系统管路 3)燃油系统阀与活门。(4)机械部件:1)着陆传动装置; 2)冲压空气涡轮(Ram (5)危险源: 1)氧气系统;AirTurine,RAT)系统。2)高压容器。3、定性评估在进行转子爆裂分析时,首先建立转子爆裂位置及其与暴露区域相关的安全审定系 统原理,选用碎片模型确定碎片抛射轨道的边界。然后根据系统受影响部分评估其易损 性,进行设计更改以便最小化转子爆裂的伤害,同时建立风险树。 4、定量评估 如果损坏不可避免,那么需要计算风险概率,且检查其符合安全性要求。转子爆裂 事件对飞机造成的单一和组合损坏是概率分析的主要内容。评估的目的是表明灾难性的 概率满足安全性目标的要求。对于某个给定选择模型,必须确定下面内容。 (1)最坏情况下的碎片的飞行轨迹; (2)隔离图解; (3)飞机总体安全水平;(4)定量分析的1/20原则(所谓1/20原则即为当飞机发生非包容性转子爆裂时, 飞出去的碎片损坏系统对飞机造成灾难性危害的概率小于1/20); (5)设计指南和安全分析。 依据以上原则,在实际中结合具体数据就可以有效估算飞机系统的安全性。对于某 一个别的圆U而言,风险Pu总的级别,考虑飞行不同阶段,按下面公式计算:£一耄砉竖360‰xJ,蠲声其中:i=项目(系统成分或结构部分); △①=某一特定目标的“风险角”;㈤3,X=侧面碎片展开的风险范围,即角度范围为~5~+5度; 中围民航大学硕十学位论文Rb",i-在飞行阶段j内飞机项目i的风险因素。该风险因素必须经适航当 局同意。 j=飞行部分和阶段【Aa建议: 起飞前,Vl=0.35;首次动力降低,Vl=0.20;爬升,V1-0.22 巡航,V1=0.14降落,V1=0.03近进,V1_O.02 着陆/倒转,V1-}
 &  & 
关于航空维修发展若干问题的思考.pdf 7页
本文档一共被下载:
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值,立即自动返金币,充值渠道很便利
需要金币:200 &&
关于航空维修发展若干问题的思考
你可能关注的文档:
··········
··········
--------------------------Page1------------------------------航空维修理论、管理与发展关于航空维修发展若千问题的思考海军航空工程学院青岛分院林明金平海军航空兵后勤和装备部黄秀前【摘要]本丈联系海军航空装备维修保障工作,简要回顾以可沛性为中心维修的发展,用述高科技在航空装备和航空维修上的应用与研究,高科技给航空维修带来的新特点,航空维修管理是航空装备全系统、全寿命管理的重要组成部分,飞机战伤抢修是飞机作战生存力的重要方面,海航航空维修为提高战斗力不懈努力,关健词:RCM高科技航空维修全寿命管理战价抢修战斗力中国航空学会于1981年10月在北京召开了航空维修工程专业委员会成立大会和航空维修工程理论讨论会,标志着我国的航空维修进入了科学理论的领域,成为航空科学的一个重要分支,为全国航空维修科研学术交流创造条件,对促进我国航空维修事业发展具有深远影响。回顾、总结我国航空维修领域取得的经验和成果,使人欢欣鼓舞。高科技在航空装备和航空维修上的应用与研究,使我们深感任重道远。在长期实践过程中,海航航空装备维修保障工作,以可靠性为中心维修,结合海航实际情况,在航空维修教学、科研、学术、管理诸多方面取得可喜成绩,为提高海航部队战斗力作出贡献。本文就以可靠性为中心维修的简要回顾,高科技在航空装备和航空维修上的应用与研究,高科技在航空领域的应用给航空维修带来的新特点,航空维修管理是航空装备全系统、全寿命管理的重要组成部分,飞机战伤抢修是飞机作战生存力的重要方面,海航航空维修为提高战斗力不懈努力等问题进行探讨和思考。一、以可盘性为中心维修的简要回顾以可靠性为中心维修((RCM)是可靠性系统工程的一部分。在日新月异的维修领域里,维修期望值的增长演变过程可分为三个阶段。20世纪3。年代至50年代为第一阶段:故障时就修换。5。年代至70年代中叶为第二阶段:更高的设施可用度,更长的设备寿命,更低的成本。7。年代中叶至20世纪末为第三阶段:更高的设施可用度和可靠性,更高的安全性,更高的产品质量,对环境无危害,更长的设备寿命,更高的成本效益。5060年代,人们曾认为设备都有早期故障期、偶然故障期和耗损故障期,故障浴盆曲线适用于一切设备。在维修实践研究中发现,实际情况不完全是上述情况,并不是所有设备都有三个故降期,不少设备只有其中的一个或两个故库期。70年代后期,美国联合航空公司在创立以可靠性为中心维修理论的过程中,统计分析了航空设备的故障率,发现共有6种基本型式的故障率曲线。A型为经典浴盆曲线,B型为无早期故障期,A,B型耗损特性的航空设备仅占6%(A型占4%,B型占2%).C型没有明确的耗损期,但故障率随使用时间的增加而增长,占5%.D,E,F型没有耗损期占89%(D型占7oo,E型占14%,F型占68写)。A,F型(共占720o)中只有一一--------------------------Page2------------------------------航空维修理论、管理与发展17纬的设备可以考虑规定使用寿命或拆修间隔而其中89%的设备则没有必要这样规定。上述6种型式故障率曲线,不仅适用于航空设备,也适用于其他设备我国空军、海军、装甲兵、通信兵的一些统计资料表明,许多装备都没有明显的耗损故障期。上述维修研究对维修产生了深刻影响。新的维修观念和技术迅速发展,促进了维修的新研究。这些新研究包括:决策支持手段,如危害度分析、故障模式及影响分析、以及专家系统:新的维修技术,如状态监测;更加注重设备的可靠性和维修性设计;组织中的主要方法朝参与、合作、灵活的方向转变。维修管理所面临的挑战可归结为:选择最合适的技术;研究每种故障过程;以满足设备拥有者、使用者和全社会的期望值为目的;经济效益最佳和最持久的形式;所有相关人员的合作与积极支持。在维修决策中,RCM方法不仅确认了故障后果的严重性,而且把它们分成隐蔽性故障后果、安全性和环境性后果、使用性后果和非使用性后果四类。RCM方法把维修功用的使用性、安全性和环境目的综合起来,有助于把安全性融人工程管理之中,有助于保证使用维修费用是最有效的。RCM认可预定视情工作、预定翻修工作和预定报废工作三大类预防性维修性工作。究竟预防性工作是否技术可行,取决于工作及其所预防故障的技术特性。预防性工作是否值得也取决于其是否能适当地处理好故障后果。我国可靠性工程起步于20世纪60年代,在吸取国外先进技术和不断总结自己经验的基础上,在90年代发展成为具有中国国情特色的可靠性系统工程体系。可靠性系统工程是与故障作斗争的一门工程技术,其实质是研究产品故障的发生、发展,在故障发生后的修理、保障,以及如何预防故障的发生。直至消失故障的规律。二、高科技在航空装备和航空维修上的应用与研究随着
正在加载中,请稍后...飞机电传操纵系统安全性分析方法的研究
中国民航大学 硕士学位论文 飞机电传操纵系统安全性分析方法的研究 姓名:柯瑞同 申请学位级别:硕士 专业:飞行器设计 指导教师:徐建新;王鹏
中国民航人学硕士学位论文摘要安全性是航空器的重要属性之一,为达到规定的安全性要求,最根本的途径是在航 空器研制过程中,全面系统地开展安全性设计与分析,通过设计、分析、制造提高航空 器安全特性,确保航空器的安全风险控制在可接受的水平。 本文从航空器安全性的角度入手,明确提出了适合型号研制各阶段的安全性设计评 估工作流程,简单介绍故障树(FaultModelTreeAnalysis,FTA)和故障模式及影响分析(Faultand Effect Analysis,FMEA)等评估方法。重点研究了共因分析(Common CauseAnalysis,CCA)这种安全性评估方法,并针对CCA的三个组成部分:区域安全性分析(Zone SafetyAnalysis,ZSA)、特定风险分析(ParticularRiskAnalysis,PRA)和共模分析(Common ModelAnalysis,CMA),分别给出其实施模型。然后对某型飞机电传操纵系统俯仰通道进行安全性分析,结果与实际情况基本相符,证明了本模型的合理性、可行性及实用性。 随着航空事业的发展,军用飞机性能不断提高,其造价也越来越昂贵,因此,人们在追求高性能军用飞机的同时,也越来越重视飞机安全性。本文通过分析军用飞机与民 用飞机在安全性各方面的差别,并结合国际情况,将民用飞机中使用的安全性分析方法 应用于军用飞机中,从而提高军用飞机的安全性。关键词:电传操纵系统;共因分析;区域安全性分析;特定风险分析;共模分析; 中国民航人学硕士学位论文AbstractSafetyiSallimportantattribute ofaircraft.In order toreachthe commandsafetyrequirements,the fundamental approach is to carry safety design aircraft way ofandanalysisduring thedesign process.The safe risk of aircraft designing,analyzing,manufacturing.iscanbe controlled atanacceptable level by theThe aircraft safety is analyzed firstly,a work flow to evaluate the safety of each phase of modedesignprovided,andthen the Fault Tree Analysis(FTA)and Fault Model EffectAnalysis(FMEA)areintroduced simply.Common Cause Analysis(CCA)is studied Safety Analysis(ZSA), presented.specially,and the implement models for its three parts Zone Particular Risk Analysis(PRA)and Common BasedonModel Analysis(CMA)arefly―by-wire system pitching channel of certain mode,the safety evaluation flow isoperated,the result iscoincidedwith the practical matter,and it shows the rationality、feasibility and practicability of the model.Along with the development ofimproved continually,theonaeroindustry,the performances of military aircraft arccostis increased synchronously.So people take the safety of fightervery importantplacewhen they ask for better capability.Therefore,according to the safety differences between military and civili aircraft arearecurrent internationalinstances,theanalyzedin the paper.The safety analyzing means of civil aircraftalso applied to militaryairpcrafl,and the safety of military aircraft is improved reasonably.Key words:fly by wire system;commonanalysis;common modelcauseanalysis;zone safetyanalysis;particularriskanalysis;.n. 中国民航大学硕士学位论文中国民航大学学位论文独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所 知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果, 也不包含为获得中国民航大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。研究生签名:l糊日 期:2堡咝?中国民航大学学位论文使用授权声明中国民航大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件和电子文档,可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外,允许论文被查阅和借阅,可以公布(包括刊登)论文的全研究生签名:抠遂l虱导师签看枣函日部或部分内容。论文的公布(包括刊登)授权中国民航大学研究生部办理。期:丝望:兰:当/ 中国民航大学硕上学位论文第一章绪论1.1研究背景、意义和内容1.1.1研究的历史背景随着国际民航运输业的快速发展,航空器的安全性设计大致可以分为以下几个阶段:1、1900~1930年:追求完整性 完整性是第一个关于飞机系统安全性的设计方法,其设计原则在于尽量加工出好的 零件使系统功能完整。在这个时期内,随着曝露时间的逐渐增加,不断出现未曾预计到 的单故障。而这些单故障引起了太多的事故,因此这个时期内的飞机还不能广泛的应用于商业运行中。这期间代表性的飞机有:1903年的莱特飞机、1927年的圣.路易斯的幽灵飞机和1930 年的福特三发飞机。 2、1930"--1940年:在完整性基础上,增加了有限设计特征的冗余设计 对飞机的发动机、无线电台、空速表等系统采取冗余设计,同时计算单故障的故障 率。因为飞机的安全性不够,这个时期的飞机还不能赢得公众的信任,其在飞行操纵、 螺旋桨、发动机失火、有害的环境条件等方面仍存在问题。 这期间代表性飞机:道格拉斯的DC.3、DC.4和B.18型飞机。 3、1945"--1955年:单故障概念设计 此期间的安全性有了很大的提高。1945年,工业界和美国政府部门一起提出了“单 故障概念”设计理念。即假设每次飞行期间至少发生一个故障,而不考虑其概率的大小。 这个概念设计对于减少单故障型事故起了重要作用,也使公众对飞行安全的信任度增明显。这期间代表性飞机:洛克希德的“星座’’和道格拉斯的DC-6。 4、1955年~现在:故障安全设计概念 虽然安全性有了显著的改进,公众信心增加,但事故仍然发生,并且发生的原因往 往是一个以上故障组合产生的。例如,1955年一架美国航空公司Convair240飞机坠毁在FortLeonardWood附近,发动机失火和燃油切断阀潜在故障的组合引起机翼破损,进而导致飞机坠毁。 为了防止因多重故障组合引起飞机事故,美国政府部门用“故障安全设计概念"取 代了“单故障概念"。故障安全设计的基本原理是:任何一次飞行期间,单故障或可预 知故障的组合不会阻止飞机的继续安全飞行和着陆。至今,应用该理念设计的商用飞机可以划分为以下三代。 中国民航大学硕士学位论文第一代,如B707、Comet4、DC.8等机型通过应用安全性试验的方法进行安全性设计和验证。其结果证明事故发生率显著降低,然而事故发生率还是比希望的高出很多。 第二代,如B727、B737.100/200、B747“classics”、DC.9、L-1011、DC一10、A300 等机型正式使用故障模式及其影响分析(FMEA)的方法进行安全性设计和试验。其结 果证明更加显著的降低事故发生率,但就硬件而言仍然发生事故,如自动飞行系统中发生不成比例的故障组合。第三代,如B737.300---900、B757、B767、B777、B747.400、MD.80、MD.11、 A319~'A340等机型正式使用功能危险性评估(FHA)、故障模式及影响分析(FMEA)、 故障树分析(FTA)。相关系统的故障率出现实质性的降低,从这些机型出现事故的主要原因上发现,大部分的故障是因为操作者的差错、维修差错等原因引起,而非机载系 统故障引起。在美国,由民用航空条例CAR4.606演变而来的FAR25.1309中规定了安全性设计 的原则为:考虑任何单故障,假设存在潜在故障。并在随后一系列修正案和咨询通告(Advisorycircular,AC)中进一步细化安全性设计原则。这些标准的发布对于提高民用飞机安全水平、促进民航事业的发展起着重要的作用。世界各地的适航当局所制定的 规章条例是民用飞机安全的最低限度要求,构成了系统安全性分析的主要内容。 在我国,1985年12月31日由中国民用航空总局发布的中国民用航空条例(ChinaCivil AvimionRegulations,CCAR)25.130911J即是根据安全性设计原则针对设备、系统及安装做出如下相应的规定: 1、凡航空器适航标准对其功能有要求的设备、系统和安装,其设计必须保证在各 种可预期的运行条件下完成预定功能; 2、飞机系统与有关部件的设计,在单独考虑以及与其它系统一同考虑的情况下, 必须满足发生任何妨碍飞机继续安全飞行与着陆的失效情况的概率极小;发生 任何降低飞机能力或机组处理不利运行条件的能力的其它失效情况的概率很小:3、必须提供警告信息,向机组指出系统的不安全工作情况并能使机组采取适当的纠正动作;4、必须通过分析、必要时通过适当的地面、飞行或模拟器试验,来表明符合2中 的规定。这种分析必须考虑: (1)可能的失效模式,包括外界原因造成的故障和损坏; (2)多重失效和失效未被检测出的概率; (3)在各个飞行阶段和各种运行条件下,对飞机和乘员造成的后果; (4)对机组的警告信号,所需要的纠正动作,以及故障的检测能力。 5、在可能的工作组合下和可能的持续时间内,能源和系统必须满足要求;6、必须考虑临界的环境条件。 中国民航大学硕士学位论文1.1.2研究意义 历史表明,在安全性设计中,单点故障、潜在故障、多种故障的组合等问题常常被 忽略。因此,需要采用一种能够发现所有问题并能采取有效措施进行更正的新方法,并 将这种方法程序化、标准化。 安全性分析是一种在系统研制初期开始并贯穿于系统研制、生产等阶段的系统性的 检查、研究和分析工作,是一项主要的系统安全性工作内容。安全性分析的目的是通过 检查系统在每种使用模式下的工作状态,确定潜在的事故,预计事故对人员伤害和对设 备破坏的可能性和严重性,并提出消除、减少、控制危险及危险事件的措施,以便在事 故发生之前消除或尽量减少事故发生的可能性,降低事故危害程度,从而降低系统运行 的风险。同时,安全性分析又是一件复杂的工作,工作量巨大,需要收集、处理、反馈 大量的安全性资料、数据及其有关的信息。所以,安全性分析是对系统安全性设计与评 估的支持,是安全性的重要组成部分。 安全性分析包括危险分析和风险评价工作。在系统寿命周期的各个阶段,都要通过 反复进行危险分析和风险评价来支持风险管理瞳1。危险分析是安全性分析的核心内容。危险分析可以提供采用其它方法不能获得的有关产品设计、使用和维修程序的信息,确 定系统设计的不安全状态,以及纠正这些不安全状态的方法。危险分析还可以用来验证设计是否符合规范、标准或其它文件中所规定的各项要求,验证产品是否重复以前系统 中存在的缺陷,确定与潜在事故相关的系统接口,分析出系统在使用过程中可能出现的 事故,从而为风险评价提供输入,为风险管理提供决策依据。在系统设计和研制阶段进 行风险评价,可以评定系统的安全性是否符合有关标准和规定;在系统试验、使用前进行 风险评价,可以考核己判定的危险事件是否己经消除或控制在规定的可接受水平。风险 评价不仅对系统方案选取提供决策支持,而且能很好地支持资源的分配和安全管理决盎扛柬。综上所述,有效的分析方法能够更加准确地对产品进行描述和计算;而适当的算法不但可以帮助分析人员得到所关注的结果,有时还可以减少分析的工作量与计算时间。由此可见,研究安全性分析流程,掌握安全性分析方法,对于提高安全性分析的技术水平具有非常重要的作用。安全性分析方法的发展也必将有利于各种对安全性有较高要求 的产品的安全性的有效提升,在保障人身和产品的安全的同时,也可以缩短研制、生产 周期,减少不必要的经济损失。 1.1.3研究内容 本文重点讨论了共因分析(CCA)的方法,并将其应用于某型飞机电传操纵系统的安全性分析过程中。从而使读者更加明确共因分析与安全性分析过程中的其他安全性分析方法之间的关系及其综合运用。此外,本文结合民用飞机和军用飞机的不同安全性设 计理念,探索民用飞机安全性分析方法在军机安全性设计上的运用。 中国民航大学硕上学位论文本文的主要研究内容包括以下几个方面: 第一章,论述安全性的历史背景及意义;介绍了国内外安全性分析方法的研究现状,并讨论可靠性和安全性的关系。第二章,介绍安全性分析流程中的各个组成部分及其在安全性分析过程中的作用, 并介绍了一些安全性分析流程常用的安全性研究方法。 第三章,重点介绍安全性分析方法中共因分析方法,分别介绍共因分析方法的三个 组成部分:区域安全性分析(ZSA)、特定风险分析(PRA)和共模分析(CMA),及其 在安全性分析过程中运用。 第四章,以某型飞机电传操纵系统的俯仰通道为基体进行安全性分析。首先通过功 能危险性分析(FHA)确定电传操纵系统俯仰通道的19条失效状态。其次在初级系统安全性分析(PSSA)中,通过故障树分析(n~)方法对FHA中某一给定失效状态进行分析,经过改进后满足安全性设计标准。再次将特定风险分析(PRA)和共模分析(CMA) 应用于电传操纵系统的安全性分析中,将结果反馈到系统安全性分析(SSA)中,完成系统的安全性分析。第五章,通过对比民用飞机和军用飞机在安全性设计中的差别,探索民用安全性分 析方法在军用飞机中的适用性。针对某型军机的轮胎爆裂这一故障状态,利用PRA对 其进行分析。明确提出民用安全性分析方法在军用飞机上的适用性。 第六章,总结本文的主要研究内容及贡献,并且对未来的进一步工作方向进行了展望。1.2国内外研究现状国外,白50年代以来,已经有许多成熟的技术和方法应用于工程系统的安全性分 析中。1957年,美国国防部开始在飞机发动机上应用故障模式影响及危害性分析(FMEA) 来进行可靠性和安全性分析口1。1961年,美国贝尔实验室首先提出故障树分析(FTA)方 法,并一首次应用于“民兵”导弹发控系统的安全性分析。70年代初,英国化工行业 开始应用运行危险分析方法(HAZOP)进行危险分析。1975年,美国原子能委员会采用 了故障树和事件树(ETA)结合的方法对核电站运行的安全性进行了定量的评价。现在, 这些分析技术在核能、化工、航空航天领域广泛使用,是安全性分析的基木手段。目前 针对这些具体分析方法开展了很多的研究,如FFA的形式化、FTA割集的计算,以及 应用人工智能进行FMEA、HAZOP和FTA等。一些研究机构和研究人员还就如何结 合使用多种安全性分析技术,尽可能地识别系统中潜在的事故,以达到安全的目的这一 问题展开了研究,并在实际中得到了应用。如Bryen Martin等人研究了如何综合运用 FFA、ETA、HAZOP以及FMEA技术,对化工系统进行安全性分析并进行定量的风险 评价的问题。 国内近年来,安全性己引起了有关方面的重视,有关部门颁布了国家军用标准GJB 中国民航人学硕士学位论文900-1990《系统安全性通用大纲》,规范了装备系统在研制、生产、运行和维护过程 中的安全性工作H1。 2003年11月,国家科技部组织的“大飞机项目论证组”开始调研和专家论证。到2004 年年中,论证工作基本结束。2007年2月26日,国务院听取大型飞机重大专项领导小 组关于大型飞机方案论证工作的汇报,原则上批准大型飞机研制重大科技专项正式立 项。事实上,我国民用大型飞机的研制在上世纪70年代开始起步,但是在80年代却被 迫停止。航空专家表示,我国要发展民用大型飞机需要突破10项关键技术,其中适航 审定的特殊要求的审定技术就是其中之一,而安全性分析又是适航审定技术之一。安全 性分析是一种在系统研制初期开始并贯穿于系统研制、生产等阶段的系统性的检查、研究和分析工作,是一项主要的安全性工作内容。综上所述,本文立题于安全性在安全性设计中的使用,并以某型飞机电传操纵系统 的俯仰通道为基体进行安全性的分析,重点在于安全性分析方法中共因分析的使用及其 在军用航空器上的应用。1.3安全性与可靠性在GJBl405.92中将安全性(safety)璐1定义为不导致人员伤亡,危害健康和环境,不给设备和财产造成破坏和损坏的能力。在GJB 900.90中定义为不发生事故的能力。安全性作为系统的设计特性,特别是航空航天飞行器的安全性,是飞行器设计必须满足的首 要特性。它可以定义为系统在规定条件下和规定时间内,以可接受的风险执行规定功能 的能力。系统的安全性一般用事故率或事故概率、损失率或损失概率和安全可靠度来度量。在GJB451.90中将可靠性(reliability)哺1定义为产品在规定的条件下和规定时间内, 完成规定功能的能力。系统可靠性指系统及其组成部分在无故障、无退化或不要求保障 系统的情况下执行其功能的能力。可靠性的概率度量也称可靠度。 可靠性工程通过工程技术措施尽量减少系统的故障。但并非所有故障都与安全性有 关,只有当故障的后果可能导致事故时,可靠性问题才可以说是安全问题。简而言之,可靠性与安全性是产品密切相关但又不同的两种性能。可靠性与安全性密切相关。可靠性研究的对象是故障、任务失败,安全性研究的对 象是危险、危险事件和事故。系统中某个关键子系统或部件的致命故障会造成事故,维 修不当也是许多系统造成事故的一个重要的原因,因此,安全性要求较高的系统(子系 统、部件)的可靠性与安全性指标密切相关。例如,航天系统中航天员安全性指标与可靠性指标有如下关系∞。: 中国民航大学硕士学位论文P。=R。+(1一R。)RFE(1―1)其中,P。为航天员的安全返回概率;R。为系统中与航天员安全相关部分的任务可靠度;R盹为故障检测处理、逃逸救生系统的任务可靠性。在研究系统的安全性时其中主要工作就是要全力找出影响安全性的故障,分析故障 的后果,然后提出纠正措施和建议。对于复杂系统可以从过去发生故障后导致事故的类 似部件中分析原因,提高可靠性以减少或防止事故的发生;也可通过分析与安全性有关的关键部件,改进其设计"1。可靠性与安全性是两种不同的性能。安全性分析不仅限于对故障的分析,并且可靠 性有时会同系统的安全性相矛盾:对某一功能来说冗余设计可以显著提高任务可靠性, 然而有时增加的部分会增加不安全因素,比如,若对某发动机设计电起动与高压气体起 动两套起动装置,保证了起动的可靠性,但增加了一种危险源,可能会降低其安全性。 目前解决飞机安全性的主要着手点在于:?以安全性为主要目标的综合飞机构架; ?将分析技术转变成正式且标准的程序;?安全性的分配,增加飞机级评估;?故障诊断及其识别;?将飞机操纵系统、推力系统和其它机载系统的各种安全性评估方法进行综合; 在军用飞机和民用飞机的设计中,军用飞机更加侧重于可靠性的研究,而民用飞机 将重点置于安全性的研究中。我国目前面临的挑战是在民机设计中带有军机设计的痕 迹,这与全球的航空器设计理念背道而驰!当前的工作重点是采用国际先进而成熟的设 计理念,并顺应国际大潮流,将民用飞机的设计理念应用在军用飞机上。从而使我国在 飞机研制方面到达一个新的台阶。 中国民航火学硕Ij学位论文第二章安全性评估流程安全性评估流程包括需求的生成和验证,用以支持飞机研制阶段的工作。该流程提 供一套完整方法用以评估飞机功能及执行这些功能的系统设计,并判定与之相关的危害 已经得到适当的处理。在安全性评估流程中使用定性分析和定量分析对安全性评估流程 进行计划和管理,为所有相关失效状况的确认提供必要的保证,并同时确认所有能引起 这些失效状态的重要失效组合哺3。 对于那些综合复杂系统的安全性评估流程而言,应该考虑每个附加的复杂性及由于 系统综合引起的相互依赖关系峥1。 图2-1呻1表示安全性评估流程(功能危险性评估、初步系统安全性评估、系统安全 性评估)与安全性评估方法之间的联系。该流程本质上是一个反复的过程。安全性评估 流程开始于概念设计及其安全性需求。随着设计工作的进行,所作出变更和修改的设计 必须按流程再次评估。由于再评估可能派生出新的设计需求,这些新的需求可能使进一 步加强修改设计必要性。安全性评估流程以验证设计满足安全性需求而结束。图2-1安全性评估流程 中国民航人学硕士学位论文2.1功能危险性评估(FHA)FHA为系统化的和综合性的功能检查,FHA参考失效状态的严重性对其类型和系统 设计保证等级进行确定和分级。FHA的目的是制定安全性设计标准,制定出以前不存在 的标准,确定强制性标准的适用性或类别,用非常低的最大允许概率限制单点故障(定 量计算);此外FHA还确定安装需求和限制条件(隔离需求),推导出提供给供应商的设 计需求(包括硬件和软件),定义系统构架需求,确认建议的系统构架及其它分析的深 度和广度等。FHA过程是从系统功能清单开始,假定这些功能失效的危害,推导出危害 对系统和人员的所有可能影响,评估失效状态的严重性,并制定类别,确定相应最大允许概率。FHA的特点是从功能入手,不必考虑具体的功能和操作者的因素,是自上而下的进 行;对系统功能可能故障的所有“情况”进行影响及其严重性评估,输出一个相关的清 单,推导或确认系统安全性设计标准,能够在产品的设计的早期阶段进行不需要硬件的 定义。FHA通常分成飞机级功能风险性评估(AFHA)和系统级功能风险性评估(SFHA)两个部分。2.1.1飞机级功能危险性评估(削冈陵) 飞机级的功能风险性评估是对飞机起始开发阶段对由系统和设备构成的飞机级功能 做出一个高层次、定性评估,并且以表格的形式进行分析。AFHA的目的是找出与飞机 级功能相关的失效条件,确认失效条件的影响和严重程度类别,确定查找失效条件所需 要的验证方法。其主要输入是飞机级功能的需求和规范:主要输出是飞机级失效状态、 飞机级失效状态的类别、飞机级失效状态要求的验证方法。其功能需求的来源如图2.2所示g图2-2AFHA功能需求的来源 中国民航人学硕上学位论文2.1.2系统级功能危险性评估(SFHA)系统级功能风险性评估是对系统和设备功能的定性评估。与AFHA一样,SFHA也具 有重复检查的特点。SFHA除了在系统层面上说明失效状态,并且考虑一个失效和多个失 效组合对飞机的影响外,其基本过程与AFHA相同。其主要输入是AFHA分配给系统的要 求和规范;主要输出是系统失效状态、系统失效状态的类别、系统失效状态要求的验证方法。下图为系统级FHA逻辑框图。系统级FHA层级需求(具体系统规章,由AFHA导出系统主要功能 和飞行阶段 系统主要失效状态 和有关需求系统级功能(内部的和互换 的)和飞行阶段说明在系统级考虑的 应急和环境构型系统级功能分析系统级互换功能清单确定系统级的下列内容?相关失效状态 ?失效状态的影响 ?失效状态的类别 ?失效探测(机组/地面) ?机组措施 ?证明材料 ?功能设计保证等级系统级功能清单[}厂――――一. i――.――――…――,―.一飞行阶段在系统设计和下层级活动中考虑的需求和失效下层级或上层级活动状态清单(PSSA/SSA) ?失效状态类别:?定性和定量的需求;?功能设计保证等级;?证明材料及其追踪材料清单;同层级FHA外部过程[]属于胁的活动系统级需求图2-3系统级FHA逻辑框图..9..确认活动 中国民航人学硕E学位论文2.2初步系统安全性评估(PSSA)PSSA为确定系统和元部件的安全性需求,根据FHA失效状态类别对建议的构架及其 实施情况进行系统性的评估。PSSA的目的是在系统设计早期阶段评估特定系统构架,建 立系统的安全性需求,推导出特定系统及其元部件的安全性需求,减少合格审定计划后 期向适航当局提供特定系统构架原理时出现的不必要的争论和抵触。 PSSA着重寻找来自有经验工程师的帮助。对于特定系统的补充型号认证(STC)、设 计更改、以及简单系统而言,可以更改PSSA或不进行PSSA,PSSA并非适航当局必要的 文件;PSSA非常适合于失效状态是灾难性或危险性的复杂系统。PSSA的过程口1如图2-4所示:飞机级需求 系统级需求项目级需求项目设计实施验证整个项 SSA交 要求)图2-4 PSSA过程图中表明PSSA的输入为FHA、建议构架、系统功能接口。从而形成带有预测值的故 障树和“与门”相关的“主要的"、“危险的’’、“灾难性的"事件的共因要求。然后将安 全性需求(失效概率、环境合格鉴定要求、闪电/HIRF要求)、安装要求(隔离、分离、 隔绝)、硬件和软件的设计保证等级分配给下级系统和项目。 中国民航大学硕十学位论文2.3系统安全性评估(SSA)系统安全性评估(SSA)是对系统进行的一次系统化检查,它的结构体系和安装符 合安全性需求。对于每一个不同等级执行的PSSA,都存在一个对应的SSA。最高级的SSA 是系统级的SSA。对于每次系统分析,SSA将所有显著失效状态及其对飞机的影响全部 总结整理。这些用来表明符合性的分析方法可能是定性的或者定量的。 SSA与PSSA的区别在于,PSSA建立安全性需求,确定满足已建立的安全性需求及 期待的建议。而SSA是确定是否满足了PSSA中定义的安全性需求,从而反映实际的设 计。由于SSAs在深度和复杂性方面有较大的变化,故需要考虑的事情更多。图2-5给出SSA的流程图: 中国民航大学硕士学位论文由前三节的内容可知,安全性评估过程有三个主要步骤:?功能危险性分析(FHA):飞机级FHA和系统级FHA; ?初步系统安全性评估(PSSA); ?系统安全性评估(SSA)。 AFHA和SFHAs阶段的基本目的是制定与安全性有关的设计需求,是进行设计之前(理论上它们尚未进行设计)设计工程师最关注的内容。 PSSAs阶段的目的是根据AFHA/SFHA进一步推导出系统/设备的设计需求,并为满足 FHA和推导出的需求制定一个计划。SSAs阶段的目的是按PSSA阶段的计划验证实际的设计真正满足FHA阶段确定的那 些要求。2.4安全性评估中常见的验证方法2.4.1故障模式及其影响分析(FMEA): 大部分人都相当熟悉这一方法,其趋向于将重点放在具体模式的单点故障上,因此 在证明某些事件不是因单故障引起方面是十分有效的,但在确定多重或组合事件的可能 性时不是非常好。 FMEA的目的是推导和评估系统中每个零部件假定故障的影响;寻找具有重要影响的 单点故障;寻找潜在故障;为故障树提供更详细的信息;对引起危险后果的单点故障,验证其标准的符合性。 2.4.2故障树分析(FrA)110i1、故障树定性分析 故障树定性分析的目的在于寻找顶事件发生的原因和原因组合,即识别导致顶事件 发生的所有故障模式,它可以帮助判明潜在故障,揭露设计的薄弱环节,以便改进设计; 可以用于指导故障诊断,改进使用和维护方案。 在传统故障树中,定义了割集和最小割集的概念: 割集是单调故障树的若干底事件的集合,如果这些底事件都发生则将导致项事件发堆11】 ..L0最小割集(MCS)是底事件得数目不能再减少的割集,即在最小割集中任意去掉一 个底事件之后剩下得底事件集合就不是割集【llo一个最小割集代表引起故障树顶事件发 生得一种故障模式。 中国民航大学硕十学位论文在传统故障树中有一种比较常用的求最小割集的方法――下行法。这种方法从顶事 件开始,逐级向下询查,找出割集。在下行过程中,顺次将逻辑门的输出事件置换为输 入事件。遇到与门就将其输入事件排在同一行(取输入事件的交,即布尔积),遇到或 门就将其输入事件各自排成一列(取输入事件的并,即布尔和),指导全部换成底事件 为止,这样得到的底事件集合就是割集(即最后一列的每一行为一个割集),在通过两 两比较,运用集合运算规则进行简化、吸收,就得到故障树的全部最小割集。 2、故障树定量分析故障树定量分析的目的是:(1)利用底事件的发生概率计算出顶事件的发生概率,以确定系统的可靠度和风险度。(2)确定每个最小割集/最小顺序割集的发生概率,以便改进设计、提高系统的可靠 性和安全性水平。 (3)确定每个底事件的发生对引起顶事件发生的重要程度,以便正确设计或泉涌部件的可靠性等级。(4)掌握每一个底事件发生概率的降低对顶事件发生概率降低的影响大小,以鉴别设计上的薄弱环节,从而达到提高经济效益的目的。在进行故障树的定量分析时,通常假设:底事件之间相互独立、每个底事件和顶事 件只考虑发生或不发生两种状态以及底事件的故障分布都为指数分布。 所以,如果底事件的失效率为A,暴露时间为t,则该底事件的失效概率P为P=1一e知(2.1)当A小于或等于0.01时,等式简化为:P;At(2.2)在飞机系统安全性分析中,对于隐蔽故障,基本事件的概率是鉴于暴露时间来计算 的,暴露时间指的是检查到发现隐蔽故障的这段时间,检查可能是机组的任务或者是维 护人员的任务。对于没有机组或维护人员检查任务的隐蔽故障,暴露时间就等于飞机的 全寿命。通常,除了隐蔽故障之外,基本事件的概率都是以每次飞行进行直接计算的。 暴露时间以飞行剖面为基础,考虑在飞行状态基本事件对顶事件的影响。 在故障树的定量分析中,除了计算顶事件的发生概率,还应确定出底事件或最小割 集对顶事件发生的贡献大小,即重要度。这对改进系统设计、制定维修策略是十分有益 的。根据不同的对象和要求,重要度分为概率重要度、结构重要度等,它们可用于改进 系统设计,确定系统运行中需监测的部位,以及制定系统故障诊断时的核对清单的顺序。 概率重要度是指在只有第i个部件由正常状态转为故障状态时使顶事件发生概率的 变化115】。其定义用公式表示为:‘pr=丽Og(t)(2.3) 中国民航大学硕士学位论文式中:g(f)为故障树的故障概率函数; q,0)为第i个底事件的故障概率函数。结构重要度就是第i个底事件在故障树中所处位置的重要程度,定义为,,一击,l?一嘉∑【地x)一旭,x)】(0)变为故障状态(1),系统结构函数的变化。(2?4)式中:【≯“,X)一≯(O,,x)】表示在其它底事件状态不变时,第i个底事件由正常状态 由此可见,概率重要度表示了底事件发生概率的微小变化而导致顶事件发生概率的变化率;而结构重要度从故障树结构的角度反映了各底事件在故障树中的重要程度。它 与顶事件发生的概率毫无关系,仅取决于该底事件在产品结构中所处的位置。工程中,应根据实际情况选择重要度的类别进行分析。 FTA中考虑的事情可能非常复杂,本节只给出几个重要的内容: ?应确保从适当的“顶事件"开始。这应当是FHA考虑的失效状态。 ?应确保逻辑正确,并且反映了系统的构架。最重要的是绝不要在一个“与门”的 两侧出现相同的事件。 ?应考虑如何确定概率的问题。飞机上一个事件的概率与一个部件失效状态相比可 能是不同的,这取决于暴露时间。为了确定真实的概率,需要考虑基本故障率乘以暴露时间,即入.t。如果不考虑暴露时间,分析可能是无效的。 ?应考虑任何单点故障。 ?需要证明基本失效率数据。?对于依赖于工作周期的故障,应确保从“故障/每个周期”转换到“故障/每小时" 的计算,这样既有效又有意义。 ?应采取某些设计预防措施和合理的冗余,以满足1 x lO呻的要求。 此外在SAE-APR4761《对民用机载系统和设备进行安全性评估过程的指导和方法》 中还介绍了相关性图表(Dependence Diagram,DD)分析法,马尔可夫分析法(Markov Analysis,MA),失效模式及其影响概要(FaultModel and Effect Summary,FMES)及共因分析(CCA)等分析方法。本文将在第三章中重点介绍共因分析(CCA)方法。 中国民航人学硕:t学位论文第三章共因分析(CCA)共因分析用以验证功能、系统和组件之间的独立性,并确保这种独立性的存在处于 可以接受的状态以满足安全性要求。共因分析包括区域安全性分析(zSA)、特定风险 分析(PRA)和共模分析(CMA)三个部分。共因风险的来源是多种多样的,但是他们 大概被分为三大类,并且与上述三类分析~一对应: ?由环境引起的共因风险,与区域安全性分析(ZSA)对应; ?由事件引起的共因风险,与特定风险分析(PRA)对应; ?由差错引起的共因风险,与共模分析(CMA)对应。共因失效源经常属于下列范畴: ?硬件和软件的设计错误; ?软件编码错误; ?编译程序错误; ?需求错误; ?环境因素; -硬件失效: ?级联失效;?安装错误;?运行错误; ?生产/修理缺陷;?与应力相关的事件(非正常的)。 下面参考民用飞机机载系统和设备安全性评估过程的指南和方法对共因分析的三个组成部分进行介绍。3.1区域安全性分析(ZSA)嗍区域安全性分析(zSA)是针对飞机的每个区域内系统/组件的安装关系以及机上安 装非常邻近的系统/组件之间相互干扰进行安全性分析的一种分析方法。将飞机分割为若 干个区域,在这些区域内执行安全性分析,图3-1给出飞机区域划分的示例。 在新机研制或现有飞机重大改型的整个过程中都要进行ZSA。起初,产生基本的设 计和安装指南,对图纸或模型进行分析。随着项目的进展,分析基于样机,然后基于飞 机。通常,应由机体制造商进行分析。ZSA的结论应为该机相关的SSA提供输入,并补充SSA中低层面的分析。 中国民航大学硕士学位论文口 口驾驶肫一驾驶胞仪表_板和组作 口旅客脆一商蛾一村扳口A/c和:i昆合舱一ECS―t/c,温度控制等 口_起落椠一帆械系统一起落椠作动器 口帆冤/蛇舱一帆槭/坡压系统一坡压安装 白动力鹱瓦/^PU-动力装置一动力鹱盈和^Pv1:3尼翼一电气和天垅图3.1飞机区域示例3.1.1ZSA的过程区域安全性分析的目标是确保系统设计和安装满足设计和安装的基本标准、失效对 飞机的影响、维修差错的影响和验证设计满足FTA事件的独立性要求等方面的安全性目标。 区域安全性分析过程如图3.2所示。图3-2区域安全性分析过程.16. 中国民航大学硕士学位论文区域安全性分析基本上是定性分析,主要包括以下三部分工作。1、设计和安装指南的编制设计和安装指南应注意飞机级要求以及来自PSSA的考虑事项。该指南分为通 用指南、系统具体设计和安装指南或区域具体设计和安装指南。以上各类指南 应由设计部门编制,并由所涉及的所有机构予以批准。 2、区域内的安装检查 对每个飞机区域内进行制造符合性检查,记录检查结果,作为今后有关此程序 的参考和示例。 3、检查系统/组件的干扰 这部分工作从编制一份飞机各区域范围内系统/组件的清单开始,对于这些系统/ 组件,建立对安装在附近的其他系统/组件可能产生失效模式的清单。这份清单 可基于系统/组件的FMEA和FMES和对系统/组件固有风险的了解。通过FMEA 分析,考虑系统/组件的失效模式、外部失效影响以及对飞机的最终影响。根据 系统说明、PSSA或等效方法判断这些失效模式对邻近系统的影响。而后将相对 设计和安装指南检查区域的结果以及系统/组件外部失效对飞机的最终影响写入ZSA报告中。3.1.2ZSA的文档 对系统/组件外部失效及其影响进行分析并列出清单,给出参考的失效模式源、失效对邻近系统影响的原理,以及对描述飞机影响的相关SSA引证文件。将每一区域分析的初步结果递交给项目组织机构的相关部门。并根据每天的记录编 写zSA报告,逐步完善文件为飞机的SSA提供输入,因此ZSA应在整个设计循环中周 期性地重新发布。3.2特定风险分析(PRA)慨12-1513.2.1PRA的概要 特定风险(particular risk)是指导致民用飞机及其系统失效,破坏事物独立性要求的事件或影响。这些特定风险可能同时影响若干个区域。ZSA被限制在每个具体的区 域内,而特定风险分析(particularriskanalysiS)则需要考虑可能受到影响的多个区域。PRA是降低外部因素或事件造成飞机系统或结构损害的主要安全性分析方法。PRA 目的是详细说明一组产生共因风险的现象,并采取相应措施降低这些风险对系统安全性 的相关影响,或表明这些影响是可以接受的。通过特殊风险分析,能够帮助设计人员掌 握风险发生时机、影响部位、故障等级与影响后果,从而改进设计以提高民机运行的安 中国民航大学硕士学位论文全性。典型的特定风险一般包括以下情况:1、高能装置(非包容): (1)发动机;(2)APU:(3)风扇。2、轮胎爆裂: (1)胎面脱落和轮胎爆破,起落架放下; (2)胎面脱粒,起落架放下; (3)轮缘松脱,起落架放下; (4)轮胎爆裂,起落架收上; (5)轮缘松脱,起落架收上。 3、流体泄露(通常作为ZSA的一部分被检查,但有时可能要求特定风险分析附加评估): (1)燃油; (2)液压油; (3)蓄电池酸液; (4)水。4、鸟击; 5、雷击,电磁辐射,高强度辐射场;6、火,烟;7、高压空气管路断裂;8、高压空气管路泄露; 9、高压瓶; 10、冰雹、冰和雪; 11、气流抽打轴;12、隔框断裂等。 以上为典型的特定风险,但不仅限于这些。3.2.2PRA的过程 通常,按逐个风险进行PRA。其主要是定性分析并按下列内容进行实施(以轮胎爆裂为例):1、定义被分析的特定风险的细节(例如,轮胎爆裂): 2、定义分析中使用的失效模型(例如,轮胎爆裂模型);3、列出需要满足要求的清单;4、定义受影响的区域(例如,起落架舱); 中国民航大学硕十学位论文5、定义受影响的系统/组件(参考ZSA进行交叉检查); 6、定义所采取的设计和安装预防措施(参考ZSA中使用的设计和安装指南进行交叉检查);7、评审特定风险对受影响组件的后果(参考FMEA/PSSA进行交叉检查): 8、评审特定风险由于组件失效模式或其组合对飞机产生的影响(参考SSA进行交叉检查); 9、确定其后果是否可接受:(1)如可接受,则制定合格审定的判据并用于SSA中;(2)如不可接受,则开始进行设计更改。3.2.3PRA的文档 对于每一特定风险后果的评审需以一定的格式写成文件,该格式包括所要分析的特定分线说明、受特定风险影响的组件、组件安装的区域、所研究特定风险引起的失效模 式和对飞机的最终影响以及该影响的分类等信息。 使用相关的PSSPdSSA交叉检查对飞机的影响。进而确保PRA和PSSAdSSA“对飞 机的影响"和“分类”输入是一致的。PP.A结果应包含于相关的PSSA/SSA中。此外, 其还应包括对初始假设的任何偏离和解决方式。在PRA中暴露的任何问题,需引起负 责设计的部门的关注。3.3共模分析(CMA)【羽3.3.1CMA的概要 CMA是一种定性的分析工具,用来保证设计具有“优良品质"。在安全性评估过程中,共模分析(CMA)以FHA和PSSA的要求为输入来验证故障树(兀’A)、相关图(DD) 以及马尔可夫分析(MA)中的“与"门是确实独立的。在设计实施、制造和维修中, CMA对损害余度设计原则的系统部件失效进行分析。对于不能接受的失效和差错,确 定可能的解决方案,并随之采取纠正措施。3.3.2CMA的过程 CMA过程是基于分析设计以及可能破坏该设计内功能冗余或独立性的元件进行实施。CMA实施过程通过以下四个步骤实现: 1、建立特定检查单大纲(具体的共模类型、来源以及失效/差错检查单); CMA检查单是通过通用共模类型、共模来源以及共模失效/差错等资料和从前的经 验(相似飞机上的经验)而得出的。一般需要考虑下面几种共模情况: 中国民航大学硕j:学位论文(1)软件设计差错; (2)硬件设计差错; (3)硬件失效; (4)产品缺陷/维修缺陷:(5)与应力相关的事件(例如:非正常的飞行状态,非正常系统布局);(6)安装差错; (7)需求差错;(8)环境因素(例如:温度、振动、湿度等);(9)级联故障;⑩相同外部源故障。2、确定CMA要求在执行CMA时,分析人员需要熟悉和理解关于所研究系统运行和安装的特性。这 些特性包括如下方面:设计构架和安装计划、设备和组件特性、维修和测试任务、机组工作流程和系统、设备和软件的技术规范等。此外,分析人员需要理解相异性(非相似性、冗余等)和隔离特点、测试和预防性 维修大纲、设计控制和设计质量等级、程序和技术规范的评审、人员培训和质量控制 等所使用的相关安全保护特性以消除共模影响或使其减至最小。 通过上述的系统背景,分析人员必须确定所研究产品的具体CMA要求。通常,遵 循以下两个过程来建立完整、适用的具体CMA要求。 (1)来自FFA、DD和MA的要求:对FHA或PSSA中成文的每一危险事件或灾难性 事件而言,识别每一“与”门事件(故障树中的“与’’门),确定相关的设计独立性原 则。确定必须保证哪种失效组合是独立的,并据此给出CMA的要求。 (2)其他CMA要求:在工作中,可能会有一些CMA要求是不能从FTA、DD和MA获 取的,这些要求源自于具体产品CMA检查单以及产品和工程经验。通过评审设计过 程、设计细节、选定的部件、制造过程、安装过程以及使用中维修过程的检查单获取这些要求。3、对设计进行分析,确保满足步骤2所确定的要求 在此工作中,需要确定与每个共模源有关的可能共模失效/差错;分析每个可能的共 模失效/差错,以验证独立性判据的符合性;对于CMA没有涉及到的状态,建议可能的 解决办法并进行涉及纠正,跟踪纠正措施,确保最终设计的可接受性。 4、将CMA过程的步骤1到步骤3的结果写成文件,以便为下次修改提供参考。3.33CMA与FHA、PSSA和SSA的联系共模失效使用FHA/PSSA评估的结果,诸如,灾难性失效状态清单、设计中所考虑的独立性判 据以及作为CMA性能的任何指令。共模分析结果的摘要被包括在SSA之内。 中国民航大学硕士学位论文3.3.4CMA与ZSA和PRA的联系 ZSA和PRA不属于CMA的特定部分,但是决不能忽略来自ZSA和PRA的可能共模影响。凡是ZSA和PRA识别的可能的共模影响,CMA分析人员都应确保有相关的ZSA和PRA 对该影响进行了分析。 中国民航人学硕士学位论文第四章飞机电传操纵系统(俯仰通道)分析4.1飞机电传操纵系统4.1.1电传操纵系统概述 飞机电传操纵系统n卜231是将驾驶员操纵装置发出的新号转换成为电信号,通过电缆 直接传输到自主式舵机的一种系统。电传操纵系统也是一个全时全权限的“电信号系统 +控制增稳’’的飞行操纵系统。电传操纵系统使人工操纵和自动控制在功能上和操纵方 式上较好地融为一体。电传操纵系统具有以下特征: 1、电传操纵系统主要靠电信号传递驾驶员的操纵指令,其中将不再含有机械操纵系统。2、控制增稳系统是电传操纵系统不可分割的组成部分,如果没有控制增稳功能,系统仅能称为电信号系统,而不能称为电传操纵系统。电传操纵系统的基本方案有模拟式和数字式两大类,后者实际上是混合系统,即系 统中除数字计算机外,其余部件仍是模拟式的。 同机械操纵系统相比,电传操纵系统的优点n鲫如下: 1、减轻飞行控制系统的体积和重量(因为节省了重量大的机械部件与传动装置, 节省了机械传动所占用的活动空间和孔道)。 2、多余度电传系统,可以进一步提高飞机的安全性。3、降低飞行控制系统的安装、维修费用。4、可以容忍飞机的弹性变形(因为,电缆不受飞机弯曲、变形、膨胀等影响)。 5、改善飞机的操纵品质(因为电传操纵系统可以消除机械系统的非线性、摩擦、 滞环等影响,并且可以实现所需要的特性)。 6、增加座舱布局的灵活性(例如,可以使用侧杆,从而改善驾驶员对座舱仪表的视界和观察条件)。7、利于飞行控制系统构型的改变(控制率的变化,因无机械系统而更加方便,易 于系统重新布局)。 8、提高系统的生存能力(余度电气部件与电缆的分散分布可以降低损伤引起的系 统失效概率)。 9、增强自诊断能力,提高维修性。 由于电传操纵系统比机械操纵系统具有许多优点,并且随着科学技术的发展,电传 操纵系统所亟待解决的某些问题已逐步得到解决。所以自20世纪80年代以来,电传操 纵系统得到极大的发展,许多新研制的军用和民用飞机均采用了电传操纵系统阴1。为表明飞机电传操纵系统能够满足25.1309的要求,本文参照《对民用机载系统和 中国民航大学硕十学位论文设备进行安全性评估过程的指导和方法》对飞机电传操纵系统进行系统安全性分析。其 能够有效的降低灾难性事故的发生概率。为保障民用航空安全,维护公众利益,促进民 用航空事业的发展,安全性必须作为工程系统特别是民用航空系统的重要技术指标予以要求。4.1.2电传操纵系统一般组成‘171 飞机电传操纵系统主要由以下部件组成: 1、主飞行控制计算机(Primary3、动力控制组件(PowerF1 ight Control Computer,PFCC),2、作动筒控制电子装置(Actuator Control Electronic,ACE),Control Unit,PCU),4、杆位传感器(Position transducers), 5、人感系统(Feel units),6、配平作动筒(Trimactuators),7、A/P反驱动伺服器(A/P Backdrive),8、速度制动作动筒(Speed9、断开开关(PFC 10、飞行控制总线。brake actuator),Disconnectswitch),主要交联的分系统有: 1、自动驾驶/飞行指引计算机(Autopilot2、飞机信息管理系统(AirplaneF1ight Director Computer,AFDC):Information Management Data InertialSystem,AIMS);3、大气数据惯性基准组件(AirReference Unit,ADIRU);4、辅助姿态和大气数据基准组件(Secondary 此外与飞行控制总线直接相连的还有电源组件。 4.1.3电传操纵系统原理【17】Attitude Air DataUnit,S从RU);在人工操纵时,由驾驶员控制的操纵盘和脚蹬踏板以及减速板手柄的移动,由多套 相应的位置传感器所感应,并将其转变成模拟电子信号,这些信号被传送到作动筒控制 电子装置(ACE),并被作动筒控制电子装置(ACE)转化为数字信号,通过总线发送到 主飞行控制计算机(PFC)。 主飞行计算机通过飞机控制总线与飞机系统交换数据,它接受大气数据惯性基准单 元或备用姿态和大气数据基准单元以及飞机信息管理系统的信号,根据设计好的控制规 律以及飞行保护功能进行计算,产生相应的控制指令。计算所得数字指令信号从主飞行 计算机通过飞行控制总线再发送到作动筒控制电子装置(ACE)。 作动筒控制电子装置(ACE)将这些指令信号转换为模拟信号,并将其发送到动力 控制组件和安定面配平控制模块。动力控制组件控制每一个飞行操纵面。每个扰流片由 中国民航大学硕士学位论文~个动力控制组件控制;每个副翼和升降舵由两个动力控制组件控制;方向舵由三个动 力控制组件控制。每个动力控制组件包括一个液压作动筒,一个电子液压伺服阀和位置 反馈传感器。两套安定面配平控制模块控制水平安定面驱动马达和制动装置的液压动 力。图4-1为人工驾驶飞机的过程。基准――――~驾驶员图4一1人工驾驶匕机的过程在自动驾驶仪工作时,主飞行计算机从所有三个自动飞行/指引计算机(AFDC)接 受自动驾驶指令,并依控制率产生相应的控制指令通过作动筒控制电子装置及动力控制 组件控制相应舵面。与此同时,主飞行计算机还通过主飞行操纵系统移动操纵盘、操纵杆、脚踏板同步于自动驾驶指令。由此驾驶舱自动操纵装置的相应移动给机组人员提供 一个可见的信号。主飞行操纵系统内部各部件或与外部有关系统通过数字交联和模拟交联交换信息。 数字交联分为两种,一种是由飞机系统的总线提供的通过信息管理系统转换的信息;另 一种是由飞行控制总线提供的飞机系统之间的信息交流。与主飞行操纵系统相交联的全 部模拟信号都集中在作动筒控制电子装置,主要输入/输出信号有:驾驶员操纵的各位 置及力传感器信号;方向及俯仰配平电信号;与襟翼电子组件、动力控制组件及信息管 理系统设备柜相交联的信号、主飞行计算机的脱开/自动电门信号等。 图4-2为飞行控制系统的自动控制过程。预置指令图4―2飞行控制系统自动控制过程 中国民航大学硕士学位论文4.1.4某型机电传操纵系统的俯仰通道 某型飞机飞行操纵系统由两个升降舵和一个活动的水平安定面实现飞机的俯仰控 制。主飞行控制系统(俯仰通道)主要是由2台主飞行控制计算机(PFCC)、4组作动筒 控制电子装置(ACE)、4组动力控制组件(PCU)及其相应传感器、断开开关和ARINC429 总线等组成。升降舵系统原理图见图4―3和水平安定面配平系统的原理图见图4―4。图4弓升降舵系统原理图【16】图4-4水平安定面配平系统原理图【16】系统实现功能如下: 中国民航大学硕士学位论文系统实现功能如下: 1、控制飞机的俯仰姿态;2、每个升降舵控制面由两个电液伺服作动器,正常模式时采用“工作一工作"方式 控制;直接模式时采用“工作一旁通"方式控制;升降舵控制系统由四个控制通道组成, 每个通道采取故障一被动方式。 3、可变控制增益,正常模式时增益为校正空速、襟/缝翼和水平安定面位置的函数;直接模式或空速信号不可用时增益为襟/缝翼位簧的函数;4、具有电子配重功能,其增益为校正空速、飞机法向加速度、襟/缝翼和驾驶杆位 置的函数;接收自动飞行系统的俯仰控制信号,实现飞机的自动俯仰控制; 5、和失速保护计算机、振杆器和推杆器一起,实现失速保护功能; 6、提供飞机的纵向配平,采用工作.备用的机电作动方式; 7、具有可变配平速率、马赫数配平和自动配平功能,其增益为校正空速的函数;8、实现襟/缝翼和减速板伸展的结构配平功能;9、与自动飞行系统接口,接收自动飞行信号,实现水平安定面自动配平、M配平。4.2某飞机电传操纵系统的功能危险分析if'HA)4.2.1FHA格式制定 FHA是从系统功能清单开始入手,假定造成系统功能失效的各个失效状态,确定功能失效或故障出现所处的工作状态或飞行阶段。然后在根据失效状态对系统和人员的危害,确定该失效状态的严重性及其影响等级。表4.1系统功能危险分析 系统功能危险分析(FIq_A) 系统: 功能(系 统级) 危险 编号 危险 说明 飞行 阶段 对其他系 统的影响 失效状态对飞机 影响 等级 符合性 备注 方法和机组的影响在民机中,一般飞行阶段划分如下:?地面G:地面滑行。包括飞机起飞前从接通电源开始到从停机坪滑出至停在起飞跑道端 中国民航人学硕I:学位论文头的过程和着陆后从滑跑结束开始滑进停机坪至切断电源的过程。?起飞T:起飞。从松刹车滑跑开始至达到起飞安全高度35英尺的过程。?飞行中1、F1爬升:从达到起飞安全高度35英尺开始至达到巡航高度的过程。 2、F2巡航:从爬升至巡航高度开始到开始下降为止的过程,包括加速至巡航马赫 数、巡航和下降前的减速。3、F3下降:从巡航高度下降到进场高度1500英尺的过程。4、F4进场:从到达进场高度1500英尺开始下滑到着陆安全高度50英尺的过程。 ?着陆 L:着陆从下滑到着陆安全高度50英尺开始至接地、滑跑并减速到速度低于20节 的过程。 ?灿LL:所有阶段指以上所有飞行阶段。 根据失效状态对飞机系统及机组人员的伤害,将失效状态影响等级划分为五级。 V级:无安全影响,对飞机运行的能力、安全性和人员无影响; Ⅳ级:次要的,失效状态不会明显地降低飞机安全,机组的操作仍在其能力范围内。 可能轻微地降低安全裕度,轻微地增加机组工作负担或个别乘客身体略有不舒适。 Ⅲ级:主要的,失效状态会降低飞机的能力或机组处理不利操作情况的能力,明显 地降低安全裕度,明显地增加机组工作负担,使飞行机组身体不舒适,或使乘客或客舱 机组身体不适甚至受到轻微伤害。 II级:危险的,失效状态影响导致安全裕度大大降低,工作量巨加,身体不适或过 分的工作负担导致飞行机组不能准确地或完全地完成其任务:少数人员可能严重受伤或死亡。I级:灾难性,妨碍飞机继续安全飞行,导致多数人员致命或飞机坠毁 了解了上述内容后,不妨以某飞机电传操纵系统俯仰通道的丧失两个升降舵俯仰控 制功能这一失效状态为例进行说明。丧失两个升降舵俯仰控制功能是俯仰控制功能的一 种失效状态,常常发生于爬升(F。)、巡航(F。)、下降(F3)和进场(F4)等飞行阶段。 该失效状态可以导致飞机结构严重损坏,甚至引起彻底损毁,使机组无法控制飞机,造 成机组和乘客绝大部分或全部死亡,因此将其的影响等级定义为I级。此外该失效状态 会直接影响自动飞行系统,使系统失去设计功能。4.2.2某型机电传操纵系统的nn通过对系统的分析以及对以往经验的借鉴,将某型机电传操纵系统俯仰通道的俯仰 控制中可能出现的失效状态进行划分。详细情况见表4.2。 媸 地 燃 恹 趟≈Ⅱ备g靶运蓑日享E备錾<LUg曩曩蓉葙小11/ 妄严.曩曩吾蓼美§ 靶惶怛目都巅 靶辎辎 账g g重芒 曩蓑目《 神 兽 醴兽 醯 g 囊车睾 再÷ ;牵 3口溪g 蛏Ⅱ耳 聒都 州辅 麟其 榷磐 1;卜惺吲多篡黑粘瞎-恒M目懿懿牵 水罨尸.最 靶 g皿善蝮辎辎 账g蛊露 辜 靶翼l蹉矽番荤*.型.-W《基螺 求 剑 姐 血 督 螺 帕A11.1。按 怕 篓 狡 水 蜃 醛 蛊 螺 髅 翠 域 霞 整 鑫 妇Y7睾建鹾涩账遨比声爹爹u蚕n_lk杂术职 。..谢卿..陧巅韬口佃箍 g繇羁佃母锭 罩辎蜒耀镒斜 耀辎蜒涩耀甜磊H’H’馘 荤爹爹爹u磊H’唧献樱《 郁世幂H 献P g限..睾掣荣詹强磐 k篓激日口蒸螺1躐。Ⅱ巨(..暴囊曙世摊 暴州囊粕婶求 窭刖囊怕仲求 窭囊酃婶 尸暴巾H怅 P摊暴球嘿箍 P坤嚣球嘿希 P嚣聊嵘螺1谣螺\谣姑Y7议智趟扑书匿扑K塔出匝七b靶Y7船x7、rH“剡圈荤睾螺垛态涨迎曾墨1;L球N o僻臀 皿 唇 醯斗H蜃 醴制 蜃 醴帐芘上【工_b寸 也t―-芝【工-一‘旧口口 番 疆 翻 拱删霎捌 圈 苷 基 螺 帐 ≤ 涨 蜒 脚 螺 倏鬣喜一冀薹量吕靼剐 粹牛 旧岛暴 删晕醛 {铽睾捌 l;卜掣 *如o o o U Q佃 皿曩羹* *n删蝼 懈船 }1乓 *叫 星涮 非趔 卿旧寸心 臻 翻 按―日8 oQ88Q血 蚤晕磊涩睾辎督一28一 媸 搬 燃 恹 型qⅡ靶狰■'■霾曩K 翊 陧 繇 景 磐 g皿蓦备苫芝击g碳狰尸.《 神 蜃 碘 辎 世 晕 怛 磊 辑 悄 壬K乏匣 醭 g口?N、_暴 楼 套 口 靛 粕 葵 较 水《蛊蜷 求 督 娌■口U 日晕罐辎*献 司 i吾赛U丑箍 酃世 佟洲犁窖佃箍 墨H 龊 鄙P碌镒剞 划雄燃幂龊剞 帐P S限 限p《限 址.帐P詹椰 ..Ⅱ巨( ..Ⅱ区 。轼。H’’..镫 。蹄懿。锰 幂 囊.辎婶隶 暴罢i}鄙伸 暴罢i}鄙神 暴水囊佃忡求 P懿暴始g嘿箍 P暴聊嘿 P幂鼾保 P窭幂镒嘿箍瞄P暴 糍P 籁H’ 删口 q耀 g口 踏 搬疆.辎窖 墨 P U H’馘器悯 具 g K 娶 亲 辍 樱 鄹 暑靼詹.斗< 骊艘 R 晕稻水毒 辍靶 镁《睾懿睾磉蓉 轺世P懿p需 惶 窭..懿 旱U辎g骚暴恒暑。。......?謇?血 议秘掣扑书匿扑K墨呶哑岳督 螺 ^蝼v《}1也剡明星睾螺倏≤涨半'申嚣l;L球N o琳1谣醯 g 螺\j{∈螺 瞵 始限3口帐限翠 林 莨 整 鑫 船Y7槁 皿 兽 醴’中一正'中 【工_ lr-_'中【工一,’_‘_【工一rT恻 圈 睾 螺 长 ≤ 辎 啦 删 螺謇 怨 翻 娌e悄靠 l;卜i乓 *吲 g咖蝼 姐趟 圈旧 米心”l;卜趔 留暴 旧帑 侧捌旧-口罐口口悄测1;卜褂裂鋈 }害怅*卜逝巽藿萋oo*蜊o o o U Q蜇喜量吕心 骠 笾 心 耀誊8QQ\谣督量磊疆 擎翅督一29一 列 № 燃 恹 掣司Ⅱ谗 《 神 兽 醯运蓑目重区辫*世 回霉 叫剐 佟坤 斗< 鼎 臀 恒 幂..懿 口.吝錾重芒矗 妻蓑g岳≤辜匕巍蓑星 醯 g 囊 套-―,m善哥 喇嚏K韵鼎蕊靶R粘《 晕目世H}暑Y7睾暴H《蛊辖 求 笪 姐j口靛 柏 葵 获 水藩P g 蹄姑略涩鹾鄙口亲时限。..景..幂号i}罂仲螺\谣暴凝水囊辎婶镫 嚣囊鄙神 尸赛g帐 P龊辎幂涩1l|l}雅 P R墨暴暑嘿求 P赛前嘿螺 倏 姑Y7R褪 星水 窭蟹妄.. 警赛 P巅尸U 磊辎H’鼷 齑P 蹄. 掣星雹箍 温牛 燃暴龊州 詹驻 限尸詹粑 ..旱 。巾。镫 幂睾懿囊佃摊求擎献g荽鐾旱P P 箍 誉. * 斗< 雹 g篝 积 器辎 疆 惶 巅 鞭1;班11..口 口钆巅. 辎 k迢辎暴 妄 星蟋世P r 《靼霉磊.H’.. 粼鬲刖衽U丑U 刊箍摊燃荩罐献 址口.限惶口希 。.:.矧..懿。..剞最 磐 g皿爿器 幕 捌罂l裂斌 搿世暑H 限P g帐….c氏..螺1谣?缸 议碧掣扑_千隧扑K堪瞰匦廿雷 螺髅唇 醭 g 螺 髅 篁 林 莨 盛 餐 妲螺1《妊x7姑 口姑3口稃 血 售 谶蒋 皿 善 舔需皿 唇 醯臀.皿售 龉^鲻v《}1吐蜊赠旱睾螺K黍辎半1串暴1;L球N寸僻 芝土【工-寸【工-’-_'宁 【工一 Ip【工一‘t―■'中 【工一番鹾 逝o- 午磊测 暇 导 氅 螺 髅 泰 涨 迎怨 笾 d霉幂器:田卜轺水量 掣擎吼蠢蓑誊求牛莩七*醢褂壬K星 水犁害 掣回旧靼醛 等捌 鹾剐吕进臻亲求鞲 ÷掣 陵如=萋萋束辎 壬|<磊 锹醛心 骠 留 模 耀 督营22昌QU Q8U Q宕U Q母螺\谣擘器龊 翠谢督一30一 划 吨蠼 钕 趟司Ⅱ啦孙督 砷 柱 搦 g 刊 钆 褪 求 P n 丑 龊 口.备g《【L苫E击g曩蓑目嘲I侧黟星尸 P g 巾 g蜂 口 幕辎 温 剿Il噩Il…日 詹钆巅 悻霎辎嚣 g姆世严. .《如唇 醴 箍 斗< 鼎 怛 巅 辎 最 婴 窨m荨乏兽 醯 g心V旺口恻 鼻 窖 斗< 一辎 啦 臣磊 型靶 制樱.番 暴 捌靶 樱《车牟冥幂二口暴P墨P H1箍 斗< 翊 怛 懿 辎 罨P磊叠 皿¥ 求 剑 疆xlx,1靛 怕鄂世:j辎..巅’..州..Ⅱ医熏酃。Ⅱ巨(葵 校 水?匣暑H 创嚣靶 限P g帐 恒P斌帐.. ..。。嚣寝暑i{辎婶镫 嚣囊鄙摊 暴囊鄙摊 嚣景水囊辎砷镫 P姆暴暴嘿求 尸暴神嘿 P幂时联 尸R赛暴窭联尔擦\溺太忙=霜H::暴鼍翥?姐卫议错掣扑书匿扑K鳝咄匦母雷 《\溺醯 g妞-歹爆\溺限限限督 辱 醭翠林 靛皿^然v《Hd剡明晕擎螺嚼暴涨啦脚墨r眯N寻僻 整鑫妲Y7甘 H ‰甘【工-v-"l寸【工一 r叫芝也也‘捌署:口水涩 锱督 g恻 啦腽 用m 张寸测 鼎 导 謇 螺 帐 ≤ 涨 迎 脚 螺\谣惩 笾 迥垂薹羞姆H、№ 脚Ⅱ口遑拍键耋蠢?血九j逝东姐匝 鼎V、七:昧 口心 骠笾 娌 耀 督H o o U Q、gQH o o U Qgo晕暴箍 车翅督 煳 船 燃 恹 趟dⅡ靶蚤量P 害 星蜂 器辎 轺11噩|1 口艮 K霎.璎蓑u重要子矗基曩曩莒晕P 警. 星蜂 磊辎 PH’《 如 厘 口 醛 P n 佃 镒 詹.蜃 醯 gm:l mY暴 髌 套Y了g躲《捌嚣P 毒.《昌皿塔 求 督 嫂Ⅱ口 41=霞 粕 葵 较 水球而巅辎扣宣U 习龊辎燃磉镒黑疑 K 鼎 窿 懿 辎 墨 P H’七鼍曩鼍暴唼翥 嚣鼎水囊辎婶镫螺 垛 靶Y7箍 斗< 蜂 鼎 辎 怛 悯 巅 钆 辎 爨 墨 鑫 姆 P P 餐懿磊 n 蹄骚犁U佃U 猛世燃黑镒暮 口晕帐怛詹箍..埔P * 丑 涩 口佃 涩犁栅一日 日钆懿. k霎辎幂 星棵世P 《裂晕磊球而酬涮U佃U Ⅻ涩坤燃馘涩碌希 斗< 鼎 峰 懿 辎 嚣 P m..捌..懿。剞七鼍箱孳暴鼍翥螺1溪暴而囊辎神镫 暴裂水号i}辎忡镫 P R暴暴赛嘿隶 尸剐暴赛嘿求 P R窭窭墨嘿求 螺 髅 妲Y7仪嵇掣扑书匿扑K餐世匠导雷 螺\谣善 蘸 g 螺 倏 翠 球 靛 酃 鑫 姑Y7姆Y7臀 皿 譬 罐呻工一槁 皿 宦 敞皿星 醯甘【工一 I臀^然v<}l皿恻冒一b}睾蒜K蚕迷迎却暴尸联N寻琳’一 【工一,-■【工.【工一‘,―■雀詈 巷 笾 嫂 娟 鹾 鞋 来 年 窿端叠口娄慕霉喜恶瞪 粹捌鹾剿 逝蟪秦东鞲捌 圈葚售 螺 髅 ≤ 涨 迎 脚 螺\谣萋薹翌÷趟:卧令心 骠 翻 娌口口£28U Q8U Q吕U 口啦 督星磊涩 睾掣督。博N忙球较水龌蚤暴乏.状拦督繇H罾_【议糕搓搽一手林求婚封舻蜃醭辎。怡葵较水罾Hg箍罄罨辍旱擎习累廿僻燃一32一 中国民航大学硕上学位论文4.3某飞机电传操纵系统的初级系统安全性分析O'SSA)前文已经做出了某型机俯仰通道FHA,表4.2即为FHA的输出。PSSA以FHA的输出为起点,对建议的系统构架进行系统形的检查,以确定失效或故障会如何引起由FHA确 定的功能危险。PSSA的目的是为系统建立安全性需求,并确定为满足FHA确定安全性目 标而期待的系统架构。 PSSA也是一个与设计定义有关的交互式过程。在系统研发(包括系统、项目和硬件 /软件设计定义)的多个阶段进行PSSA。一般情况下,PSSA通常使用FTA进行分析。图4.5给出PSSA分析步骤的概要。输入 1.FHA失效状态 2.初步系统设计和机内自检(BIT)策略 3.评估/预测的可靠性参数4.初步BIT和维修策略分析 方法 1.精确的目标及其之间的关系 2.潜在的失效模式与确定降低影响的方法 3.定义每个失效模式的概率 格式: 故障树分析/试验 输出 1.FHA符合性初步判定与潜在问题的确定; 2.特殊防护或必要/希望得到的影响降低的确定; 3.关键可靠性数据的确定; 4.新型试验或最小检验间隔的确定。 图4-5 PSSA分析的步骤根据以上原理说明,首先对某机电传操纵系统进行分析,“升降舵舵面急偏”是在 FHA中确定的一个I级失效状态,是具有灾难性后果的故障。所以,下面选取该失效状 态作为顶事件进行故障树的分析。对于FHA中确定的其他失效状态,由于资料和工作 量问题,文中不在赘述。图4.6是某型机“升降舵舵面急偏"在未考虑潜在失效状态建 立起来的的故障树模型。 中国民航大学硕士学位论文图4-6升降舵舵面急偏故障树模型(未考虑潜在失效)定量计算:Q2=4.83E一09,Q1=1.93E一08:用标准飞行时间表示的概率为:P1--Q1/1.28--1.51E.08,由于此失效状态具有灾难性的影响,其属于I类,定量的安全性目标为1E.9。所以, 通过故障树的分析,证明了该系统不符合这一安全性目标。因为,该模型没有考虑潜在 的失效状态,从而不能符合安全性目标要求。因此,该失效状态需要考虑潜在失效状态 对目标故障的影响。图4.7是在考虑潜在失效状态情况建立起来的模型。表4.3和表4.4 分别列出了图4.7故障树中的各个逻辑门及底事件的描述,并且列出了底事件的失效率。 议错迥扑书匿扑K塔出哑七b一35一 中国民航人学硕上学位论文左外侧通道引起左升降舵舵面急偏(左内侧通道丧失) 左内侧通道引起右升降舵舵面急偏(左外侧通道丧失) 左外侧通道引起右升降舵舵面急偏(左内侧通道丧失)未发现左外侧升降舵通道PCU控制失效(潜在) 左外侧线性管口置于中心位置 左内侧升降舵P-ACE失效引起舵面急偏 左内侧升降舵PcU失效引起舵面急偏1.32E旬36.00E-053.78E-094.98E.10 5.52E.10 2.97E.12左内侧升降舵FCM失效引起舵面急偏 左内侧升降舵CcPs、RVI)T传感器失效引起舵面急偏1号液压系统失效 左外侧升降舵通道舵面LVDT传感器在工作中失效9.32E瞒3.04E.04左外侧升降舵PCU关节环从舱面上断裂1号和2号液压系统同时失效 左外侧升降舵通道P_ACE失效2.40E.04 8.93B.094.16E-05n眩盼阱盼髓盯陷四啪叭眦啪附嘶 啪 Ⅲ左外侧升降舵通道至P-ACE、PCU或LVDTs一29的A/C线 路故障 左外侧升降舵通道CCPs、RVDT的L1-A传感器在CMD控 制通道中功能丧失3.70E-06协 协姗伽协 馏墙协伽咖协伽协协 协1.53E.05左外侧升降舵通道cCPs、RVDT的L1一B传感器在监控通道中功能丧失1.530E.05定量分析: 概率计算:与门:P(AB)=P(A)P(B) 或门:P(AB)=P(A)+P(B)一P(AB)(4-1) (4-2)该故障树各级事件的故障概率为:.36. 中田民航大学硕十学位论文Q(G7)=3.06E-5,Q(G6)=7.95E-5,Q(GS)=7.13E一4,Q(G4)=4.83E一9,Q(G3)= 2.09E-3,Q(G2)---1.01E一11,Q(G1)=4.04E-11 在分析中,取各底事件的暴露时间均为1.28h,用标准飞行时间表示的概率为: P(G1)=Q(G1)/1.28=3.16E-11 由于此失效状态具有灾难性的影响,其属于I类,定量的安全性目标为1E.9。所以,通过故障树的分析,证明了系统符合这一安全性目标。从该实例中可见,PSSA采用FTA方法对提出的系统构架进行系统性检查,从而确定失效如何能导致FHA所识别的功能危险性,以及如何能满足FHA的要求。PSSA过程与设计定义相互作用,与设计过程一样,PSSA过程也是迭代过程。在整个设计过程 中,PSSA以反复迭代的形式更新FHA,使系统符合安全性目标要求。4.4某飞机电传操纵系统的系统安全性分析(SSA)SSA是系统而全面的对目标系统进行的安全性评估,目的是表明其满足来自FHA的 安全性目标和从PSSA得出的安全性需求。SSA通常以PSSA的FTA为基础,并使用从故 障模式及影响摘要(FMES)获得的定量数值。FMES是一个按故障模式及影响分析(FEMA) 确定的故障摘要。FMEA则是以故障影响为基础的系统集合。下图为系统级SSA的流程:’入系统功能 系统体系结构与项目系统级需求系统级FHA和PSSA 系统失效状态 相关需求失效状态评估对于系统级FHA/PSSA中确定的每种失效状态,执行一次评估 表明系统体系结构和项目满足要求。 本评估包括:ⅥA/PSSA箫求的结果判定材料 共因分析 下级FMEA/FMES一m、DD或MA一概率计算 一表明符合定性和定量需求的信息 一判定工作 一系统、项目开发保证等级运营维修任务 研发保证等级 低等级需求f 丑和町追溯性一在FTA、DD或MA中的FMB岍MES及其相关的失效率『出符合F}WPSSA的需求 符合系统FHA,PSSA判定材料和状态 一测试 一研究 一共因分析需求 一流程运营/维修任务项目设计 保证等级低等级的研究 摘要需求和可追溯性运营/维修安全 硬件和软件表明低等级需求 性相关任务和 的设计保证 已经满足需求 间隔。交叉参考等级的应用 运营和维修文档性结论图4-8系统级SSA的工作流程 在进行SSA时,不仅要了解系统构架说明和相关设计原理,还要注意系统接口及其 与相邻系统组件的相互关系。因此,只进行FHA和PSSA是不能满足系统安全性要求的,.37. 中国民航人学硕Jj学位论文还必须包括有关的共因分析结果。 本文将集中论述CCA对电传操纵系统的俯仰通道的分析结果。根据电传操纵系统组成部分的安装位置及其工作原理,以及第三章中对飞机的区域 划分,受资料和时间限制,本文在此不进行区域安全性分析,只进行特定风险分析和共模分析。4.5某飞机电传操纵系统的共因分析(CCA)4.5.1特定风险分析(PI认)非包容性发动机转子爆裂(UERF) 非包容性转子爆裂是指在有动能的情况下,高速转动的物体受到冲击或破坏,而导 致物体本身破碎,但由于物体本身具有很高的动能,而且破碎后的碎片的运动轨迹无方向性,因此它具有很强的破坏性,能对飞机造成灾难性的后果。虽然发动机转动部分破裂是非常罕见的事情,但由于其破裂伴随产生的碎片具有很高的转动和传动能量能对飞 机及飞机上得的系统造成严重的伤害。 在航空历史上,曾经很多次发生非包容性发动机转子爆裂事故,仅在1962---1987 年间共发生了15起UERF事件,而且每次都带来了灾难性的后果。虽然这种事故并不 能避免,但应尽可能地把它发生的概率控制在一个合理范围内。同时,在飞机的不同飞 行阶段,事故发生的概率也不尽相同,在图4-9中给出了UERF在不同飞行阶段的发生概况:’!图4-9UERF在不同飞行阶段的发生概况非包容性发动机转子爆裂可以造成飞机或系统的严重损坏,因此在设计时对所有潜 在情况必须加以充分考虑。这些碎片拥有很高的转动速度和平移运动能量,可以切割开 任何包裹物,所以需要充分模拟那些潜在的破坏路径,使系统能实现物理隔离,以保证 飞机安全操作。其目的是使易遭受破坏的安全关键部件受到的破损可以减少到最低,并 能够提供某种定量的最小风险评估,作为一个安全性规定需求的符合性证明。 在设计阶段,必须尽早的确定关键位置或结构在受到破坏时的改变,以避免在随后.38. 中国民航大学硕士学位论文工作中出现的重复设计。这些工作需要同其它特定风险,例如,同鸟击,轮胎爆裂等联合进行,以便能够采用一个最适宜的隔离/保护设计措施。下面先了解转子在爆裂时的抛 射碎片模型。 l、转子爆裂的碎片模型及抛射轨道 大量转子爆裂统计数据表明:由于存在许多不同种类失效状态,所以不能简单通过 失效分析方法给出结论和预测。在JAR/FAR要求中,许多与转子爆裂相匹配的模型已 经得到发展,且给出一些可接受的模型。其中最具有代表性的有三种模型,分别是1/3圆碎片模型、小块碎片模型和扇形碎片模型。转子碎片的重要特征如下:(1)碎片的尺寸和形状;在JAR/FAR文献中关于碎片模型的定义由表4.5给出。表4.5JARJRA和FRA关于碎片模型的比较FAR模型模型 1/3RD圆±3。 块边缘±5。 碎片±15。 扇形转子±15。 能量f1/3RD圆±3。11小块边缘±5。f或 1/3RD圆±3。 能量 模式 1/3RD圆 块边缘 重量 1/3RD圆 重量 1/30th圆 重量速度发动机速度 的作用 发动机速度 的作用模式 1/3RD圆重量 1/3RD圆 重量速度 发动机速度 的作用 发动机速度 的作用400ft/sec块边缘 碎片(使用1/30th)0.61bs扇形叶片达到31bs900觚gC碎片可接受模型如图4.10所示: 中国民航大学硕-上学位论文失效模型1/3圆模型项目圈参蠡 R=圆半径 b-转于长度 ■大尺寸-(R+b/3)失效模型碎片小块项目圜参教 R=聊半径 b=转于长度 ■大尺寸一CR+b),3龙裁 ≮∥■大尺寸_。――Gc位十■大 尺寸上显示 Dm“足由雇 转碎片确定的 量人切线宽度 拓展角是3度或 5度 重■是I/3圈重l 速度名义上是>,∞orm尽可能使用制 遗商的戤据@枷娃定块垦转子■I/=j0GC位于圆边缘 Dm“足由旋 转碎片确定 的最人切线 拓展角足5度厦 JS度 重量是l,30置重 量 琏度名义上是3600rpm尽町艟壤用制 造崩的教据图4.10转子碎片的尺寸和形状(2)碎片抛射轨道 转子碎片能够在任何点以放射性方向飞出(O~3600),且被认为沿着与主轴正交的 角度行进。在爆裂盘平面上,以平面上某一给定角度的两个方向飞出。碎片的旋转给出 碎片的来源是以某一圆盘模型给出,其中心能够由计算得出,其主要依赖于其形状,碎片抛射轨道模型由图4.11给出。有效爆炸源尺有效爆炸源尺 寸 发动发[互亟西口程序标识=默认 有效爆炸源尺寸(旋转)[■暖E]程序标识=碎片图4.11碎片抛射轨道抛射分为“正向抛射"和“逆向抛射”两种飞行方式。碎片抛射的轨道界限由图4.12.40. 中国民航大学硕士学位论文给出,碎片抛射倍增点曲线图视景由图4.13给出。◇●目标“窗1:3”垂直部分自,0\FWD由轨道末端确定\汐 由巾..巾:角详细说明目标“窗口”水平部分 由轨道末端确定 由¨t:角详细说明Z轴方向视图 定义爆炸源孰遵界限 定义爆炸源轨道界限图4.12碎片抛射的轨道界限FWD吣旋转=+1 即逆时针向前看倍增点曲线 视景 (逆向)图4-13碎片抛射倍增点曲线图视景2、转子爆裂影响系统 转子在发生爆裂后,抛射的碎片会对飞机的结构、动力源、燃油系统、机械部件和 一些危险源产生严重的影响,轻则使各系统失去系统功能,重则会造成机毁人亡的严重 后果。下面是转子爆裂影响的系统具体情况:(1)机体结构1)机翼数量;2)操纵面; 3)挂架: 4)干燥隔间。 (2)动力源: 中国民航大学硕上学位论文1)电力; 2)液压; 3)气动。(3)燃油系统:1)燃油箱; 2)燃油系统管路 3)燃油系统阀与活门。(4)机械部件:1)着陆传动装置; 2)冲压空气涡轮(Ram (5)危险源: 1)氧气系统;AirTurine,RAT)系统。2)高压容器。3、定性评估在进行转子爆裂分析时,首先建立转子爆裂位置及其与暴露区域相关的安全审定系 统原理,选用碎片模型确定碎片抛射轨道的边界。然后根据系统受影响部分评估其易损 性,进行设计更改以便最小化转子爆裂的伤害,同时建立风险树。 4、定量评估 如果损坏不可避免,那么需要计算风险概率,且检查其符合安全性要求。转子爆裂 事件对飞机造成的单一和组合损坏是概率分析的主要内容。评估的目的是表明灾难性的 概率满足安全性目标的要求。对于某个给定选择模型,必须确定下面内容。 (1)最坏情况下的碎片的飞行轨迹; (2)隔离图解; (3)飞机总体安全水平;(4)定量分析的1/20原则(所谓1/20原则即为当飞机发生非包容性转子爆裂时, 飞出去的碎片损坏系统对飞机造成灾难性危害的概率小于1/20); (5)设计指南和安全分析。 依据以上原则,在实际中结合具体数据就可以有效估算飞机系统的安全性。对于某 一个别的圆U而言,风险Pu总的级别,考虑飞行不同阶段,按下面公式计算:£一耄砉竖360‰xJ,蠲声其中:i=项目(系统成分或结构部分); △①=某一特定目标的“风险角”;㈤3,X=侧面碎片展开的风险范围,即角度范围为~5~+5度; 中围民航大学硕十学位论文Rb",i-在飞行阶段j内飞机项目i的风险因素。该风险因素必须经适航当 局同意。 j=飞行部分和阶段【Aa建议: 起飞前,Vl=0.35;首次动力降低,Vl=0.20;爬升,V1-0.22 巡航,V1=0.14降落,V1=0.03近进,V1_O.02 着陆/倒转,V1-}
我要回帖
更多关于 进一步加强危险性较大 的文章
更多推荐
- ·升级两个人玩的游戏有哪些怎么玩
- ·因为比较胖,多 囊 多囊卵巢最快受孕方法不孕吗?
- ·有哪些值得推荐的王者代打电脑软件推荐?
- ·有哪些值得推荐的王者代打电脑软件推荐?
- ·找代练平台丸子玩游戏能赚钱,这是真的吗?靠谱吗?
- ·屁股鼓闷头导致腹股沟淋巴结肿大大,并且一边大阴唇鼓包,是什么情况
- ·社会思品工作室折分制什么时候开始的
- ·重症肌无力吃什么药患者吃什么对病情有好处
- ·哎哎哎,发生了什么事俄语当无事发生过是什么梗梗
- ·脂质体2000转染毒性和3000的区别
- ·恒强制版视频教程全集980铲针错是什么意思
- ·如何利用小组合作学习提高化学课堂效率系
- ·什么是castep 差分电荷密度度
- ·建行定期同业存单可用额度计算转入建行银行卡需要带什么东西,额度超过五万元需要预约
- ·孤军深入游戏入深山共多少笔画
- ·我怎么能让家乡的孩子小蚁4k太让人失望了呢给句子换个说法是意思不变
- ·fuel gas gwp用什么材质的阀门
- ·2017年南京高考201740分能对读南京哪些医专学校!
- ·“我喜欢你英文翻译,做我女朋友好吗?”翻译成英语
- ·怎样构建自主有效课堂与新课改课堂作业预期效果
- ·如何加强飞机液压系统故障多发性危险性故障研究
- ·555定时器构成1秒脉冲捕捉18M的脉冲信号,可以实现么
- ·破折号的作用举例说明说云南有哪些老街和老屋,破折号的作用举例说明明
- ·制好的表格公式的运用是 运用了什么公式在哪里可以看出
- ·1.18公顷1英亩等于多少公顷亩
- ·风从你身边的地方当暖风吹过大海之滨都是暖的这句话的意思
- ·名校谜题在大渡口车管所在哪里那里有卖
- ·怎么申请metalinkmipi csi 信号电平号
- ·临沂蓝海洗浴又开业了银行和中关村银行都开业了吗
- ·在proteus元件图文对照找不到那个元件怎么办
- ·2017年山西2017高考录取查询入口口什么时间开
- ·试述轻型门式刚架述补结构是什么意思和重型厂房述补结构是什么意思支撑布置的区别,并绘图示意
- ·60分邻里关系话题满分作文的话,如果按百分制的话.48分是多少分
- ·健身教练的培训费用学校培训费用多少
- ·c++中,哪个函数可以显示系统的当前时间函数
