相关文章链接:
1. 引言
在航空器设计中,系统安全性评估(SSA,System Safety Assessment)是确保飞机及其子系统符合适航安全标准的关键步骤。SSA 的核心目标是验证系统架构、设备安装和功能实现是否满足早期通过功能危险性评估(FHA)确定的顶层安全性目标,以及初步系统安全性评估(PSSA)导出的详细安全性需求。SSA 是一种系统性的验证过程,确保所有安全性需求在实际系统中得到了适当的实现,从而支持飞机适航认证。
SSA 的重要性在于它不仅检查设计是否达到了预期的安全性目标,还帮助发现系统可能存在的潜在问题,并提出改进方案。与 PSSA 不同,PSSA 是需求的定义过程,而 SSA 是需求的验证过程,两者相辅相成,确保从设计到验证的全程覆盖。
2. SSA 的定义与目的
系统安全性评估(SSA) 是一种自下而上的验证过程,目的是确保系统设计中的每个功能、子系统、硬件和软件的实现,符合早期通过 FHA 和 PSSA 设定的安全性需求。它通过对已实现的系统进行系统性综合评价,检验各项设计和安装是否符合预期的安全性目标,最终支持飞机的适航认证。
SSA 的核心目标包括:
验证系统级安全目标的实现:验证 FHA 中设定的安全性目标和 PSSA 中导出的详细安全性需求是否在系统的实际实现中得到满足。
确认设计方案的安全性:确保设计中的所有安全性措施(如冗余、隔离、故障检测等)在实际系统中得到了正确实施。
验证研制保证等级:确认系统和设备的软件、硬件开发过程符合 DO-178B/C 和 DO-254 等标准,确保系统在研制过程中具备足够的安全保证。
支持适航认证:SSA 的结果是飞机适航认证过程中最关键的一部分,它为适航审查提供了系统安全性的核心证据。
SSA 的工作范围覆盖了系统的各个层级,从子系统到设备级,再到系统级,直至整个飞机系统的安全性评估(ASA,Aircraft Safety Assessment)。它确保每个层级的安全性需求都被逐步验证。
3. SSA 的主要特点
SSA 是一种覆盖系统设计和实现全过程的综合性评估方法,具有以下几个主要特点:
3.1 分层次的评估
SSA 是一个多层级的评估过程,主要包括:
系统级 SSA:对整个系统架构和各个子系统的安全性进行评估,确保整体安全性要求得以满足。
子系统级 SSA:评估各个子系统是否满足系统级导出的安全性需求。
设备级 SSA:评估设备和组件的安全性设计是否符合各个子系统的需求。
这些分层次的评估确保安全性需求逐步从系统级分解到设备级,并在每个层次得到验证。
3.2 综合安全性分析
SSA 涉及多种安全性分析方法,包括:
故障树分析(FTA):用于评估单个或组合失效模式对系统顶层失效事件的影响。
故障模式影响分析(FMEA/FMES):用于分析每个设备的故障模式及其对系统的影响。
共因失效分析(CCA):用于评估系统中可能的共因失效及其防护措施。
区域安全分析(ZSA):评估系统设备的安装是否满足隔离和防护要求。
概率风险分析(PRA):评估系统失效的概率并与安全性目标进行对比。
这些分析工具综合应用,确保系统在功能、安装和环境中的各个方面都能满足安全性要求。
3.3 定性与定量分析相结合
SSA 通过结合定性和定量的分析方法,验证系统是否达到了安全性要求:
定性分析 主要用于验证系统设计中安全性措施的正确性,例如隔离、冗余、故障检测和恢复能力。
定量分析 则用于计算系统失效概率,确保失效概率符合 FHA 中设定的安全性目标(例如灾难性失效的概率低于 10−910^{-9}10−9 每飞行小时)。
通过定性与定量相结合的分析,SSA 可以从多个角度全面评估系统的安全性。
3.4 输入与输出的协同
SSA 的输入主要来自于早期的 PSSA、安全性设计活动、系统架构描述、试验报告等,输出则为飞机级安全性评估(ASA)和适航认证提供支持。它为适航审查提供了详细的安全性验证结果和证据。
4. SSA 的输入
在开展 SSA 之前,需要准备一系列输入数据,以确保评估的准确性和全面性。主要的输入包括:
4.1 系统架构描述
系统设计原理:描述系统的设计逻辑和架构原理,尤其是关键信号和控制逻辑。
接口关系:详细描述系统与其他子系统的交互和接口关系。
功能定义:定义系统的功能及其相关的安全性要求。
4.2 FHA 和 PSSA 输出
FHA 输出:FHA 中定义的失效状态、安全性目标及相应的失效概率要求。
PSSA 输出:PSSA 中导出的详细安全性需求,包括研制保证等级、失效模式和组合失效的分析结果。
4.3 共因失效分析(CCA)结果
隔离要求:识别需要隔离的子系统或设备,防止共因失效影响系统的安全性。
外部风险分析:评估来自外部的风险(如雷击、电磁干扰)对系统的潜在影响。
4.4 FMEA/FMES 和其他支撑材料
故障模式影响分析(FMEA/FMES):提供系统各设备的故障模式及其影响的详细分析结果。
试验报告:系统和设备的测试报告,验证系统在实际运行中的性能和安全性。
这些输入数据为 SSA 提供了完整的基础信息,确保所有安全性需求都能够在系统中得到验证。
5. 失效状态的评估
在 SSA 中,失效状态的评估是验证系统是否满足安全性要求的核心步骤。失效状态评估通常分为以下几种情况:
5.1 单个失效状态的评估
对于每个单独的失效状态,分析人员需要通过故障树分析(FTA)评估该失效如何影响系统的顶层事件。例如,在飞行控制系统中,单个传感器的失效可能会影响飞行控制的稳定性。在 SSA 中,故障树分析需要证明该失效不会导致系统出现灾难性失效,并且其失效概率满足规定的安全性目标。
5.2 组合失效状态的评估
组合失效是指多个子系统或设备同时失效的情况。SSA 通过分析这些组合失效状态,评估它们对系统安全性的潜在影响。例如,在液压系统中,如果多个液压泵同时失效,飞机可能无法正常操作。SSA 需要通过 FTA 计算组合失效的概率,确保其在可接受的范围内。
5.3 定性与定量安全性需求的验证
结合 FMEA/FMES 的定量分析,SSA 需要验证系统失效概率是否满足安全性目标。对于每个失效状态,SSA 需要计算其实际失效概率,并检查该概率是否符合 FHA 中设定的要求。例如,灾难性失效的概率通常需要控制在 10−910^{-9}10−9 每飞行小时以下。
5.4 维修性要求的验证
隐蔽故障是指系统中可能长期存在但不被察觉的故障。SSA 需要检查维修文件,确保所有隐蔽故障的检测和维修任务都已纳入系统维护计划中。维修任务和维修间隔的合理性需要在 SSA 中进行验证,以确保隐蔽故障不会影响系统的整体安全性。
6. 系统和设备的验证
6.1 研制保证等级的验证
每个系统和设备的研制保证等级(Development Assurance Level, DAL)必须在 SSA 中得到验证。对于软件系统,SSA 需要确认软件开发过程符合 DO-178B/C 的要求;对于硬件设备,SSA 需要确认其符合 DO-254 标准。研制保证等级的验证通过评审软件和硬件的开发流程、测试报告以及独立验证结果来进行,确保设备在研制过程中达到了所需的安全性标准。
6.2 故障树分析的验证
SSA 通过试验和测试验证故障树分析的准确性。例如,在系统集成测试中,设计团队可以模拟部分失效状态,并检查系统的实际响应是否与 FTA 结果一致。这些验证工作有助于提高安全性分析的置信度,并确保系统设计符合安全性要求。
6.3 接口需求的验证
SSA 还需要验证系统与其他交联系统之间的接口需求,确保所有接口信号和功能在安全性上保持一致。例如,在发动机控制系统与飞行管理系统的接口中,SSA 需要验证接口信号的安全性,确保不同系统之间的协作不会引发安全隐患。
7. 共因失效和区域安全的验证
7.1 共因失效验证
在共因失效分析(CCA)中,SSA 需要验证系统是否具备足够的隔离措施,以防止共因失效的发生。例如,电气系统中的电磁干扰可能会影响多个设备,SSA 需要确认是否已经采用了足够的屏蔽和隔离措施,防止电磁干扰对系统安全性产生不利影响。
7.2 区域安全性验证
SSA 还需要评估系统设备的安装是否符合区域安全性要求。通过区域安全分析(ZSA),设计团队需要检查设备的物理布置、布线、管道布置是否满足独立性和隔离性要求。例如,在飞行控制系统和液压系统中,SSA 需要确保这些设备在飞机结构内的布置足够分散,以避免同一区域内的共因失效导致多个系统同时失效。
7.3 特定风险验证
SSA 还需要针对特定风险进行验证。例如,鸟撞是民用飞机设计中的常见风险。SSA 需要通过鸟撞试验,验证飞机的机头、发动机、尾翼等关键部位是否能够承受鸟撞冲击,确保飞机在遭遇鸟撞后仍能安全着陆。
8. SSA 的输出
SSA 的分析结果需要通过详细的文档化进行记录,这些输出文件为飞机适航认证提供了重要的依据。SSA 的输出包括以下内容:
8.1 定性或定量的安全性需求符合性证据
SSA 需要提供通过分析验证的证据,证明系统的定性和定量安全性需求已被满足。通过 FTA 和 FMEA/FMES 的分析结果,设计团队需要展示系统失效概率的计算过程,并证明其符合 FHA 中的安全性目标。
8.2 设备安装和隔离设计的证据
SSA 需要提供设备安装满足隔离、防护等要求的证据。通过引用共因失效分析(CCA)、区域安全分析(ZSA)和概率风险分析(PRA)的结果,设计团队需要展示系统设备的安装和隔离设计如何确保系统安全性。
8.3 安全性相关的维修任务及其维修间隔
SSA 输出还应包括安全性相关的维修任务列表和建议的维修间隔。特别是对于隐蔽故障,SSA 需要提供具体的维护策略,确保这些故障在其暴露时间内能够被检测和修复。
8.4 研制保证等级的验证报告
系统和设备的开发过程是否按照规定的研制保证等级(DAL)要求进行,也需要在 SSA 中提供证据。这些证据包括开发过程的评审报告、独立验证测试报告以及软硬件完成评审的总结文件。
这些文档化的输出确保 SSA 过程具有良好的可追溯性,适航认证机构可以依据这些输出数据评估飞机的安全性。
9. SSA 的迭代与验证
SSA 是一个迭代的过程,随着系统设计的改进和完善,SSA 评估也需要不断更新。每当设计团队对系统进行修改时,SSA 需要重新评估修改后的设计是否仍然符合安全性要求。例如,系统架构的调整可能会引入新的失效模式,SSA 需要通过进一步的 FTA 和 FMEA 分析来验证这些调整的安全性。
SSA 的迭代过程确保系统设计能够随时适应新的需求和改进,同时保持其安全性符合适航认证的标准。
10. 案例研究:SSA 在飞行控制系统中的应用
为了更好地理解 SSA 在实际中的应用,我们以飞行控制系统(FCS)为例,展示 SSA 的应用过程。
10.1 背景介绍
飞行控制系统是飞机安全性设计的核心子系统之一,负责控制飞机的姿态和方向。为了确保飞行控制系统能够在各种飞行条件下保持安全运行,SSA 被用于验证该系统的设计是否满足 FHA 中设定的安全性目标。
10.2 安全性需求验证
在 PSSA 中,飞行控制系统的安全性需求已经被详细定义。例如,飞行控制系统的冗余设计要求确保其在单一传感器失效时仍能保持正常工作。SSA 通过故障树分析(FTA)和故障模式影响分析(FMEA),验证该系统在各种失效状态下是否仍能满足安全性目标。
10.3 失效状态评估与验证
在 SSA 过程中,设计团队分析了飞行控制系统中的关键失效模式,例如:
传感器失效:SSA 通过 FTA 验证单个传感器失效不会导致系统失控。
俯仰控制失效:通过 FMEA 分析俯仰控制失效的影响,并验证其失效概率是否满足 FHA 中的安全性要求。
这些分析帮助设计团队验证了飞行控制系统在失效情况下的安全性。
10.4 设备隔离和安装验证
SSA 还通过区域安全分析(ZSA)验证了飞行控制系统的设备安装是否满足隔离要求。通过检查设备的物理布置和布线,SSA 确保设备之间的隔离措施足够,避免共因失效导致多个系统同时失效。
10.5 总结
通过 SSA 的详细分析,设计团队验证了飞行控制系统的安全性设计满足 FHA 和 PSSA 中的安全性需求。这一过程不仅帮助团队发现了系统设计中的潜在问题,还为适航认证提供了有力的支持。
11. 总结
系统安全性评估(SSA) 是航空系统设计中的核心验证步骤,它确保所有系统、子系统、设备和软件的实现都符合早期设定的安全性需求。SSA 通过故障树分析、故障模式影响分析、共因失效分析等方法,综合评估系统的设计和实现,并验证其安全性。
SSA 作为适航认证的重要组成部分,直接影响飞机的取证过程。通过分层次的评估、定性与定量分析相结合的验证方法,SSA 为确保系统安全性提供了全面的技术支持。最终,SSA 通过迭代的验证过程,确保系统设计能够满足航空器的适航要求,保证飞行安全。
