民航系统fd指令的主要功能（如何开展飞机和系统级）

民航系统fd指令的主要功能（如何开展飞机和系统级）确定与飞机/系统相关的所有功能，包括内部功能和交互功能；FHA 评估过程，将提出飞机和系统安全性设计的顶层要求，因此它是安全性需求产生和分配的起始点，是初步飞机级安全性评估（PASA，Preliminary Aircraft Safety Assessment）和初步系统安全性评估（PSSA，Preliminary System Safety Assessment）的重要输入。功能危险性评估 (FHA，Functional Hazard Assessment)，在飞机和系统的研制生命周期开始时进行。FHA的目的是识别飞机和系统功能及其功能组合相关的失效状态，确定每个失效状态的影响等级和进行等级分类的基本理由，并根据影响等级建立相应的安全性目标。FHA通常在两个级别上执行，分别是飞机级 FHA （AFHA）和系统级 FHA （SFHA）。

前情提要

我们之前发布的相关文章，简要介绍了 SAE ARP4761，以及飞机和系统安全性评估过程，今天重点介绍安全性评估过程 “三部曲” 之第一部分：FHA（功能危险性评估）。

点击阅读之前文章：

1. SAE ARP4761 初探与入门！

2. 民用飞机和系统安全性评估 初探与入门！

FHA是什么？

功能危险性评估 (FHA，Functional Hazard Assessment)，在飞机和系统的研制生命周期开始时进行。

FHA的目的是识别飞机和系统功能及其功能组合相关的失效状态，确定每个失效状态的影响等级和进行等级分类的基本理由，并根据影响等级建立相应的安全性目标。

FHA通常在两个级别上执行，分别是飞机级 FHA （AFHA）和系统级 FHA （SFHA）。

FHA 评估过程，将提出飞机和系统安全性设计的顶层要求，因此它是安全性需求产生和分配的起始点，是初步飞机级安全性评估（PASA，Preliminary Aircraft Safety Assessment）和初步系统安全性评估（PSSA，Preliminary System Safety Assessment）的重要输入。

确定与飞机/系统相关的所有功能，包括内部功能和交互功能；

识别这些功能所有的失效状态，考虑正常和应急环境下的所有的单个失效和组合失效；

确定该失效状态的影响及影响等级（灾难级，危险级，较大的，较小的，无安全性影响）；

给出用于证明失效状态影响等级的支撑材料（如飞机模拟器仿真试验、飞行试验结果等）；

提出用于验证失效状态相关安全性需求的方法（如 FTA、FMEA 等）。

飞机/系统级功能识别

飞机/系统级功能定义是飞机/系统级FHA的重要输入。

飞机级功能

在识别飞机级功能清单时，应综合考虑飞机顶层功能（例如提供升力、推力等）、飞机设计目标和用户需求（例如载客量、航程等）、以及初步设计决策（例如发动机数量、舵面配置等）。

一般情况下飞机级功能可划分为飞机基础功能（也叫 “外部功能”）、功能和子功能等三个或四个功能级别（具体划分多少层级，无明确要求）。

系统级功能

在识别系统级功能清单时，应以飞机级子功能为输入，综合考虑系统方案、外部接口、系统设计决策、设计要求和目标。确保系统功能的完整性，尽量减少功能的重叠和交叉，将功能分解到合适的层次，以便于进行系统级的功能危害性分析。

一般情况下，系统级功能可分为一个或两个层级，第一层级为系统功能，主要根据飞机级子功能完成定义；第二层为系统级子功能，可根据系统复杂程度确定是否有必要定义。

在功能清单建立过程中，应重点识别两类功能：

内部功能

• 在飞机级，指飞机主要功能和飞机内部各系统之间的交互功能；

• 在系统级，指系统功能和系统内部各设备之间的交互功能。

外部功能（或者交互功能）

• 在飞机级，指与其他飞机或地面系统的接口功能；

• 在系统级，指与机上其他系统、其他飞机的系统或地面系统的接口功能。

下图给出了飞机/系统功能层级划分的说明。

飞机和系统功能层次与 FHA 的关系

在开展 AFHA 的时候，需要选择一个合适的层级。根据上图给出的飞机功能层次，如果选择第二/三层功能定义开展功能危险性评估，这样能将 FHA 的失效状态总数控制在一个合适的量级，同时兼顾一些组合失效对飞机的影响。

如果选择第四层功能开展功能危险性评估，由于这一层飞机级子功能已涉及到具体的系统功能，因此难以覆盖各系统之间组合失效的情况。

下表给出了飞机和系统功能分解的示例。

失效状态的识别

失效状态的识别过程，从飞机/系统功能清单开始，分析人员考虑正常和应急环境下的单个失效和组合失效，建立飞机/系统失效状态清单。如果失效状态的严重程度随不同飞行阶段而变化，则应将失效状态细分到各飞行阶段。

需要考虑的环境和应急构型包括：

1. 天气（雨、雪、风等）；

2. 高强度辐射场；

3. 火山灰；

4. 发动机停车；

5. 丧失液压系统；

6. 丧失电源；

7. 丧失设备通风冷却等。

考虑单个失效和组合失效时，应对飞机/系统架构、系统部件的集成和多系统间交互有深入了解。如果失效影响由其他系统导致，则必须考虑组合失效影响。

典型的单个失效状态如下：

1. 功能丧失；

2. 未通告的功能丧失；

3. 功能故障（异常）。

典型的组合失效状态如下：

1. 单发失效且丧失方向舵控制；

2. 具有三套液压系统的飞机，丧失两套液压系统。

以上表定义的飞控系统功能 27-F01 “地面破升” 为例，系统级失效状态可定义为：

1. 27-F01-01：通告的丧失地面破升功能；

2. 27-F01-02：未通告的丧失地面破升功能；

3. 27-F01-03：非指令地面破升。

确定失效状态的影响及影响等级

下表给出了失效状态影响等级的划分依据与概率要求。

分析人员需要确定失效状态对飞机、机组和乘客的影响，并依据上表进行等级分配。

在分析过程中，飞行员的服役经验和其他相似机型经验，有助于对失效状态的影响进行分类。

失效状态影响及影响等级的确定，一般有以下方法：

1. 其他机型经验。参考其他主制造商相似机型的经验；使用主制造商先前机型的设计经验；

2. 分析。分析事故/事件数据，查看适航规章要求和相关咨询通告；初步建立飞机气动模型，分析系统功能失效的影响；

3. 试验。通过飞行员在环模拟器评估等试验，确定对飞机和机组负担的影响。

以失效状态 27-F01-01 “通告的丧失地面破升功能” 和 27-F01-03 “非指令地面破升” 为例，根据飞机操稳、性能指标和其他飞机经验，可知：

1. 当地面破升功能丧失后，对飞机而言，飞机减速能力下降，因此需要更长的滑跑距离。但飞机仍然可以使用发动机反推和机轮刹车，避免冲出跑道；对于机组而言，飞行员需要控制飞机高速滑行，工作负担有所加重；对于乘客而言，可能感到不舒适。

   因此可判断 27-F01-01 “通告的丧失地面破升功能”，其影响等级为 III 类。由于地面破升功能仅在着陆时使用，此失效状态相关的飞行阶段为“着陆”阶段（注：中断起飞时也可能使用地面破升功能，但中断起飞不作为典型飞行阶段）。

2. 当出现非指令地面破升后，对飞机而言，飞机突然丧失较多升力，可能失控甚至彻底损毁；对于机组而言，飞行员难以恢复对飞机的控制，操纵负荷急剧增加；对于乘客而言，则可能由于飞机坠毁而死亡。

   因此可判断 27-F01-03 “非指令地面破升”，其影响等级为 I 类。

给出失效状态支撑材料

失效状态的支撑材料，包括失效状态及影响等级确定过程中的分析文件、试验报告，也包括后续开展确认工作的输出文件。

包括但不限于：分析评审报告，试验分析报告（飞机模拟器试验，飞行试验）。

对于那些影响不甚明确的失效状态，需要提供额外的支撑材料，以确认影响等级。

若影响等级定义过低，则可能给飞机安全和试航取证带来风险；若定义过高，则可能增加飞机/系统的复杂度和成本。

提出失效状态的符合性验证方法

对于每一个失效状态，应确定飞机/系统如何满足相关的安全性目标。下图给出了确定安全性目标验证方法的一般流程。

对于 I 类和 II 类失效状态，需要通过定性和定量分析（FTA，FMEA等）来表明其满足要求。

对于 III 类失效状态，如果系统高度复杂，且当前设计与现有已取证的飞机/系统相似，有相关服役经验，则只需通过相似性等定性分析方法就能证明其满足要求；否则需要定性和定量分析来表明其满足要求，但这些方法的严苛度和完整度可低于 I 类和 II 类失效状态。

对于 IV 类失效状态，不要求进行定量的分析，只需通过设计及安装评估说明即可。对于运输类飞机产品，只要使用当前普遍接受的工业标准和应用，就认为是满足要求的。

FHA输出

功能危险性评估过程中产生的分析/试验结果，应和 FHA 报告本身，作为 FHA 过程的输出物，得到妥善保存，以保证 FHA 过程的可追溯性。

以本文提到的两条失效状态为例，其相应的 FHA 输出表格如下所示。

飞机级 FHA 和 PASA 是系统 FHA 的输入，系统 FHA 的结果是 PSSA 过程的输入。

这里介绍了 FHA 的基本概念，以及 FHA 评估过程的主要活动，后续将介绍 PSSA 和 SSA 过程，感兴趣的小伙伴，快关注我吧！

相关文章：

1. SAE ARP4761 初探与入门！

2. 民用飞机和系统安全性评估 初探与入门！