相关文章链接:
1. 引言
在航空系统开发中,安全性 是最基本也是最重要的设计要求之一。系统的失效和故障可能导致灾难性的后果,因此在系统设计的各个阶段,必须不断评估系统架构及其组件是否满足严格的安全性要求。初步系统安全性评估(PSSA) 是在系统开发的早期阶段对系统架构进行分析的一种方法,其目的是验证系统设计是否能够满足此前通过 功能危险性评估(FHA) 定义的安全性目标。
通过 PSSA,设计团队可以识别潜在的失效路径,评估系统设计决策对安全性的影响,并将顶层安全需求逐步分配到各个子系统、组件和设备。PSSA 作为一个迭代过程,需要随着系统设计的进展不断更新,以确保每个阶段的设计都能满足安全标准,最终通过适航认证。
2. PSSA的定义与目的
初步系统安全性评估(PSSA) 是一种系统性的自上而下的安全分析方法,旨在通过分析系统架构和设计决策,确保其满足功能危险性评估(FHA)中定义的定性和定量安全性要求。PSSA 的主要目的是在设计过程中发现潜在的安全问题,并通过调整设计或增加保护机制,降低系统的失效风险。
PSSA 的核心目标包括:
定义系统安全性需求:识别出与 FHA 相关的安全性需求,并将其映射到系统设计和架构中。
验证系统设计决策:分析系统的架构和设计决策,确保其能够在故障或失效发生时满足 FHA 中设定的安全目标。
分配安全性需求:将系统级的安全性需求分解到各子系统、设备、硬件和软件中,使这些安全需求能够被具体实现。
支持后续的系统安全性评估(SSA):PSSA 是系统安全性评估(SSA)的基础,PSSA 的输出直接影响到后续 SSA 的精确性和全面性。
总的来说,PSSA 是确保航空系统安全性设计的关键步骤,它为系统架构设计提供了严格的验证框架,以确保满足行业标准的安全要求(如 ARP4761、ARP4754A 等)。
3. PSSA的评估流程
PSSA 的评估流程可以分为四个主要阶段:识别初始安全性需求、评估系统架构和设计决策、分解安全性需求到下一层级的设备、以及输出分析结果并进行文档化。下面对每个阶段进行详细说明。
3.1 识别安全性需求
初步系统安全性评估的第一步是识别系统的初始安全性需求,这些需求通常来源于早期的功能危险性评估(FHA)和共因失效分析(CCA)。这些安全性需求反映了在各种失效状态下,系统必须满足的定量和定性要求。
具体来说,FHA 过程通过识别飞机和系统的各项功能,并对这些功能可能的失效进行评估,提出相应的安全性目标。这些目标反映了不同失效状态可能带来的影响及其严重性。例如,某种失效状态可能会导致灾难性的后果(如飞机失控),因此需要采取措施确保失效发生的概率极低(例如每飞行小时 10−910^{-9}10−9 次)。
识别安全性需求时,分析人员需要考虑以下几个关键输入:
系统级 FHA 的输出:从 FHA 中获取的失效状态及其对应的安全性目标。
系统架构描述:系统的初步设计和架构决定了其失效模式和潜在故障路径,这些信息是 PSSA 评估的基础。
设备清单和功能描述:列出系统中各个子系统和设备的详细信息,以便进行失效模式和安全性需求的分配。
初步共因失效分析(CCA):识别可能影响多个系统的共因失效(如雷击、EMI)以及其他外部因素,这些因素可能对系统安全产生重大影响。
在此基础上,PSSA 的主要任务是验证这些初步需求是否能够通过当前的设计和架构决策得以实现。
3.2 架构评估与设计决策
在 PSSA 中,系统架构的评估是确保安全性目标能够实现的核心步骤。在这一阶段,设计团队需要详细分析系统的架构,评估它是否能在发生故障或失效时满足 FHA 中定义的安全性目标。这一过程涉及对系统失效路径的详细分析,以及对系统独立性、冗余性和隔离性的评估。
以下是该阶段的关键步骤:
故障树分析(Fault Tree Analysis, FTA):
故障树分析是 PSSA 中用于评估失效路径的核心工具。通过构建系统的故障树,设计团队能够分析系统中各个设备、组件或功能的失效如何引发更大范围的失效状态。
FTA 还可以用于计算失效的概率,通过定量分析确保系统架构能够在规定的失效概率范围内工作。例如,FTA 可用于验证某种失效状态的总概率是否低于 FHA 中要求的阈值(如灾难性失效的失效概率必须极低)。
共因失效分析(Common Cause Analysis, CCA):
CCA 是在 PSSA 中用于识别系统失效的外部共因因素(如雷击、电磁干扰等)的一种分析方法。通过 CCA,设计团队可以评估系统设计在面对这些共因失效时的抵抗能力,并提出必要的设计改进以减少失效风险。
例如,如果 CCA 显示某些外部因素(如强电磁干扰)可能影响多个子系统,设计团队需要在系统设计中增加隔离或屏蔽措施,确保这些外部因素不会导致系统的多重失效。
隔离和故障隔离需求评估:
在 PSSA 中,设计团队还需要评估系统的隔离和故障隔离机制。隔离是指在一个子系统失效时,确保该失效不会扩散到其他子系统,从而导致系统级的失效。
例如,在飞控系统中,俯仰控制系统和偏航控制系统之间必须具备足够的隔离性,以确保其中一个系统失效时,另一个系统仍然能够正常工作。
维修间隔和隐蔽故障的影响:
PSSA 还需要评估隐蔽故障的存在及其对系统安全的影响。隐蔽故障是指系统中可能长期存在但不被察觉的故障。例如,在某些系统中,冗余功能的失效可能不会立即被发现,但一旦主功能失效,整个系统可能面临灾难性的后果。
为了防止隐蔽故障的积累,设计团队需要通过 PSSA 分析确定合理的维修间隔,确保在整个生命周期内,隐蔽故障不会对系统的安全性产生不利影响。
3.3 下一层级设备安全性需求的分配
在 PSSA 中,每个系统级的安全性需求都必须分解到下一层级的设备和组件上。此步骤的核心目标是将系统级的定性和定量安全需求分配到子系统、设备、硬件和软件中,以确保每个组件都能够满足整体系统的安全要求。
这一过程包括以下几个关键任务:
设备的失效模式和失效概率分配:
对每个设备分配具体的失效模式和失效概率。例如,某个设备的失效不能超过一定的概率,否则将导致系统的总失效概率超出安全性目标。
功能和项目的研制保证等级(FDAL/IDAL)分配:
根据设备在系统中的重要性,PSSA 还需要确定每个设备的研制保证等级(FDAL 对应硬件,IDAL 对应软件)。FDAL 和 IDAL 反映了设备在开发和研制过程中需要达到的安全标准,确保其在生产和部署过程中符合适航认证要求。
安装、防护和隔离要求的分配:
为了确保设备的安全性,PSSA 还需要为每个设备分配具体的安装、防护和隔离要求。例如,对于某些关键设备,必须提供电磁干扰(EMI)屏蔽或物理隔离,以确保其在外部环境恶劣的情况下仍然能够正常工作。
这些需求在 PSSA 中分解后,将成为设备和组件开发的具体指导依据,确保系统中的每个组件都能达到安全性要求。
3.4 PSSA的输出与文档化
PSSA 的分析过程和结果需要通过详细的文档化进行记录,这些文档是后续系统安全性评估(SSA)的关键输入。PSSA 的输出内容包括:
失效状态清单:更新后的系统失效状态及其对应的影响和安全性等级。
安全性需求分配:分配到各个设备、软件和硬件的定性和定量需求。
定量和定性 FTA 分析结果:通过 FTA 和其他分析方法验证系统架构满足安全性要求的过程和结果。
初步 CCA 结果:对系统设计中共因失效的分析和预防措施。
文档化的 PSSA 结果必须具备追溯性,确保设计团队能够在后续设计和验证阶段参考这些分析结果,确保每一项安全性需求都得到了落实。
4. PSSA的输入
PSSA 的输入主要来自以下几个方面:
系统级 FHA:从 FHA 中提取的失效状态及其对应的安全性要求,作为 PSSA 评估的主要输入。
系统架构描述:详细描述系统的结构、组件及其交互,以便分析人员能够评估失效路径和失效组合。
初步设计和设备清单:列出系统中的所有设备和功能,并为设备分配初步的失效模式和安全性需求。
这些输入是 PSSA 分析的基础,确保分析人员能够覆盖所有潜在的失效模式,并验证设计的合理性。
5. PSSA的关键分析工具
在 PSSA 中,分析人员常用的工具包括故障树分析(FTA)和共因失效分析(CCA)。这些工具有助于系统性地识别潜在失效路径,并验证设计是否能够满足安全性要求。
5.1 故障树分析(FTA)
FTA 是一种从系统层面分析失效路径的工具。通过构建系统的故障树,分析人员可以直观地看到不同的失效模式是如何相互作用并最终导致系统失效的。FTA 还可以用于计算失效的概率,并通过定量分析验证系统是否满足规定的安全性目标。
例如,在飞行控制系统中,FTA 可以用于分析俯仰控制失效的失效路径,并计算其失效概率。如果失效概率超过了 FHA 中定义的安全性目标,则必须对系统设计进行修改,或者增加冗余和保护机制。
5.2 共因失效分析(CCA)
CCA 用于识别系统中的共因失效。例如,雷击、电磁干扰或其他外部因素可能会影响多个子系统,导致系统的多重失效。通过 CCA,分析人员可以评估系统的设计是否能够有效应对这些共因失效,并提出相应的预防措施。
例如,如果 CCA 识别出某个设备容易受到电磁干扰的影响,设计团队可能需要在该设备周围增加电磁屏蔽,确保其在干扰环境中能够正常工作。
6. 架构评估与验证
在 PSSA 中,系统架构的评估和验证是确保系统能够满足安全性目标的核心步骤。这一过程需要分析系统的设计决策,评估其是否能够满足独立性、冗余性和隔离性的要求。
主要的验证方法包括:
独立性验证:确保系统的关键功能是独立实现的,以避免单点失效。
冗余设计验证:评估系统的冗余设计是否能够在关键设备失效时继续维持系统的正常运行。
隔离验证:确保系统的隔离设计能够防止一个子系统的失效扩散到其他子系统。
通过这些验证,设计团队可以确保系统架构在发生故障时仍能保持其安全功能,满足 FHA 中设定的失效概率目标。
7. 下一层级安全性需求的分解
PSSA 的核心任务之一是将系统级的安全性需求分解到下一层级的设备、软件和硬件中。通过这种分解,设计团队可以确保每个设备和组件都能够满足整体系统的安全要求。
7.1 分解设备的失效模式和需求
每个设备的失效模式和需求分解必须与系统级需求保持一致。例如,某个设备的失效模式可能会影响系统的整体安全性,因此需要确保其失效概率被控制在规定的范围内。
7.2 设备的研制保证等级(FDAL/IDAL)
PSSA 还需要为每个设备分配特定的研制保证等级(FDAL 对应硬件,IDAL 对应软件)。FDAL 和 IDAL 反映了设备在开发过程中的安全性保证要求,确保其开发过程符合适航认证的安全标准。
通过对设备的失效模式和研制保证等级的分解,PSSA 确保了每个设备在开发过程中都遵循了系统安全性要求。
8. PSSA输出与追溯性
PSSA 的最终输出包括系统失效状态清单、分配的安全性需求、故障树分析结果、以及共因失效分析的结果。这些输出需要进行详细的文档化,以确保设计团队在后续的设计和验证阶段能够追溯每一个分析结论。
PSSA 的输出还将作为后续系统安全性评估(SSA)的关键输入,确保系统设计能够通过最终的适航认证。
9. 案例研究:PSSA 在飞行控制系统中的应用
为了更好地说明 PSSA 的实际应用,下面以飞行控制系统(FCS)为例,展示 PSSA 如何在复杂系统中进行应用。
9.1 背景介绍
飞行控制系统是飞机安全性设计的核心组成部分之一。它负责控制飞机的俯仰、滚转、偏航和高度。为了确保飞行控制系统在各种条件下能够安全运行,PSSA 被用于评估该系统的设计是否满足安全性要求。
9.2 安全性需求识别
在 FHA 中,设计团队识别了飞行控制系统的关键功能和潜在失效状态,例如:
俯仰控制失效:如果俯仰控制失效,飞机可能失去升力,导致坠机。
滚转控制失效:滚转控制失效可能导致飞机失去稳定性,特别是在强风或急转弯时。
偏航控制失效:偏航控制的失效可能导致飞机无法保持航向,从而引发飞行员的操作错误。
每个失效状态都被分配了相应的安全性等级和失效概率目标,这些目标为 PSSA 评估提供了基础。
9.3 架构评估与设计验证
通过故障树分析(FTA),设计团队对飞行控制系统的失效路径进行了详细评估,识别出俯仰、滚转和偏航控制系统的关键失效模式。为确保系统能够满足 FHA 中定义的安全性目标,设计团队对系统的冗余设计、隔离机制进行了评估和优化。
例如,通过 PSSA 评估,设计团队发现偏航控制系统的隔离不足,存在共因失效的风险。为了解决这一问题,团队增加了额外的冗余控制通道,并对偏航控制系统增加了物理隔离,确保其失效不会影响其他子系统。
9.4 安全性需求分配
在 PSSA 中,飞行控制系统的安全性需求被分配到各个子系统和设备上。例如,俯仰控制系统被分配了更高的研制保证等级(FDAL A),以确保其在开发和生产过程中能够达到最高的安全标准。
此外,设计团队还对飞行控制系统的维护要求进行了分析,确定了合理的维修时间间隔,确保隐蔽故障不会在整个生命周期内对系统安全产生不利影响。
9.5 总结
通过 PSSA 的应用,飞行控制系统的设计得到了全面的验证,确保其在失效情况下仍能维持安全运行。PSSA 的分析结果不仅帮助设计团队发现了系统中的潜在问题,还为后续的系统安全性评估(SSA)提供了坚实的基础。
10. 总结
初步系统安全性评估(PSSA) 是航空系统设计中不可或缺的部分。通过 PSSA,设计团队能够在系统开发的早期阶段识别潜在的安全风险,并通过调整设计或增加保护措施来降低这些风险。PSSA 作为一个迭代的过程,需要随着系统设计的进展不断更新,以确保每个阶段的设计都能满足安全性要求,并最终通过适航认证。
通过系统的架构评估、失效模式分析、需求分配和验证,PSSA 不仅为系统的设计提供了严格的安全框架,还为后续的系统安全性评估和开发工作打下了坚实的基础。
