可靠性原理第八章系统可靠性安全性分析孙有朝

五、FHA的分析过程
l 从上而下 l 从功能入手 l 假设(找出)各种功能危险情况 l 评估其严重程度或危险等级 l 提出建议措施 l 提出安全性设计准则 l 提出最大允许概率
六、FHA的优越性
l 仅仅依赖于系统的功能，而不依赖于它 的细节，因此能在设计早期进行
l 为系统设计、选型等决策提供指导
2、危险性说明
（6）外部因素（条件），包括：
n 损坏的外部原因 n 内部和外部的环境条件（包括在正常和非正常工作环 境里遭受的影响） n 功能系统全部或部分不工作的影响 n 操作者的工作负荷
（7）人为因素 （8）可能影响附近系统物理失效的情况(破裂、飞
散的碎片、流体、热，电磁干扰等)
2、危险性说明
功能故障识别时，常用的功能故障模式有： 1） 失控(全部或部分) 2） 卡滞或游离 3） 不能工作、断续工作、部分工作或降低工作 4） 特性改变(载荷、速率、刚性、延迟、振荡等) 5） 意外工作或不受指令地工作 6） 有害的失效指示或警告 7） 没有失效指示或警告 8） 错误的数据输出 9） 不正确的数据显示
2、危险性说明 —识别并描述每个系统功能的故障状态
识别功能故障状态应分别考虑所研究对象的内部 功能、交互功能以及环境和应急情况要求 既要考虑单个子系统或设备故障对系统的影响， 又要考虑多个子系统或设备故障（多重故障）对 系统的影响 功能故障在不同飞行阶段产生的影响不同时，要 对不同飞行阶段的同一功能故障分别进行分析
第八章
系统可靠性安全性分析
孙有朝 南京航空航天大学民航学院
2004年12月13日
第八章 系统可靠性安全性分析
常用的可靠性安全性分析方法： 故障模式、影响与危害性分析(FMECA) 故障树分析(FTA) 功能危险分析(FHA) 共因故障分析(CCA-ZSA/PRA/CMA)
第八章 系统可靠性安全性分析 飞机功能危险分析(FHA)
(2) 指导作出消除或控制危险功能状态的决策 (3) 提供进行最后功能危险分析的框架
四、FHA的分类及开展时机
FFHA
(1) 提供相关文件 说明每个潜在危险和功能故障后果分析的正确性 说明有关安全性分析的深度和广度是充分的
(2) 提供一个自上而下生成的功能等级事件补充清单， 用来确认系统FMEA自下而上生成的故障等级事件 清单
(2) 所分析层次的外部功能（交互功能）
l 整机级：与其他飞机或地面系统的接口功能 l 系统级：所分析系统为其他系统（包括其他飞机系统或 地面系统）提供的功能或从其他系统获得的功能
1、确定功能
整机级FHA—确定功能所需信息
飞机顶层功能清单（如飞行包线等） 飞机设计目标和用户需求（如座位数、航线等） 飞机初步设计方案（如操纵系统、发动机数目等）
一、概述
FHA是飞机安全性设计工作的起点, 也是 其它安全性分析工作的基础
一、概述
活动量
需求
设计
试验
概念设计
飞机功能 飞机结构 飞机要求
初步设计
系统功能 系统结构 系统要求
详细设计
详细功能 详细结构 详细要求
设计验证
试验 分析
时间
整机级FHA -功能 -危险 -影响 -分类
整机级FTA -定性 -系统预算 -系统内部 组成间依赖 关系
七、FHA的基本方法
③ 表格分析法
利用列表形式的方法 可系统地寻找和记录有关系统的危险信息 易于检索和使用，该方法费效比高，且节 省时间
表格分析法使用最为广泛，特别适用于 设计早期的功能危险分析。
八、FHA的主要内容
FHA是一个自上而下的分析方法，关键：确定功能及其危 险情况并评估其影响。FHA主要包括以下内容：
二、FHA的定义
对新研的或改进的飞机系统都要进行 FHA，通过FHA，可为新研的或改进的 设计确定安全性要求 在飞机研制过程中，当需要对系统设计 进行重大更改时，要重新进行全面的 FHA，以保证在系统更改过程中功能的 变化及其故障影响均被全面的考虑。
二、FHA的定义
FHA是从系统功能角度提出来的 它仅与系统的功能和薄弱环节有关，而与 系统的具体构型或组成无关 FHA是自上而下评估系统的所有可能失效状 态、考核每个失效状态对系统和整机功能 的影响
6、确定影响等级
较大的： 失效情况导致安全裕度和性能显著降低 由于工作载荷的增加或由于损害操作者效率情况的出现， 使操作者处理不利工作情况的能力有所下降 乘客感到不舒服，可能发生人员受伤的情况 发生概率要求在10-7—10-5
L1 着落滑跑；L2反推力刹车
4、危险对其它系统的影响
系统之间的相互作用，使得某系统的功能 故障可能对其它系统造成一定影响 进行FHA，还要确定该功能故障或失效对其 它系统的影响 一般通过经验，从功能上逻辑推断确定
5、危险对飞机或人员的影响
必须确定各种功能故障状态或危险状态对 飞机或人员(机组、乘客、维修人员等)的 影响 一般根据经验(工程经验和其他飞机的使 用经验)，从功能上逻辑推断、分析确定。 通常要有推断、分析过程。 在评估故障影响时，必须考虑可能影响机 组人员处置危险情况的因素，例如烟雾， 通信的中断，座舱增压的妨碍等
6、确定影响等级
根据功能故障对所研究的系统、飞机整机 及其人员等的影响程度大小来确定 故障状态影响等级通常分为四类：
灾难性的 危险的 较大的 较小的
6、确定影响等级
灾难性的： 失效情况妨碍继续安全飞行和着陆，造成多个人 员死亡和(或)系统破坏 发生概率要求低于10-9
危险的： 失效情况导致安全裕度和性能大大降低 飞行机组人员身体受伤或负担大大增大、使得他 们不能准确地执行任务 对乘客产生有害影响，可能发生某些人员严重的 或许是致命的伤害 发生概率要求在10-9—10-7
三、FHA的目的
FHA： 发现各种潜在危险和故障模式 给出各种危险后果 推荐可能的控制措施 提出系统安全性要求
控制或避免可能危险后果的发生
四、FHA的分类及开展时机
整机级FHA 系统级FHA 整机级FHA和系统级FHA分析工作 所采用的方法和原则是一致的
四、FHA的分类及开展时机
整机级FHA
整机级FHA是指将飞机整机视为研究对象，研究在 飞机设计的整个飞行包线和不同飞行阶段内，可能 影响飞机持续、安全飞行的功能失效
整机级FHA是对整机在预发展阶段定义的基本功能 的定性分析，目的：确定与飞机级功能有关的危险 情况，并对这些危险进行分类，评估其危险后果和 影响等级，提供技术建议和措施
为建立飞机整机的安全性设计准则、为飞机的总体 设计、系统设计、选型及其配置提供技术支持
四、FHA的分类及开展时机
系统级FHA 系统级FHA是指以飞机系统为对象，研究其在飞 机设计的整个飞行包线和不同飞行阶段内，可 能影响系统乃至飞机整机安全飞行的功能失效。 对飞机进行FHA分析时，系统通常按ATA100章节 进行划分
2、危险性说明
识别功能故障状态时应考虑的主要因素： （1）找出所有可能的功能失效模式 （2）危险产生的根源(例如电源、液压系统、燃油、压力系统等) （3）具有冗余或者被冗余影响的系统：
n 提供所考虑功能的所有通路或途径单个失效 n 提供所考虑功能的通路或途径同时失效 （4）每一个系统的工作状态，包括在不正常状态下的意外工作 （5）所有功能和实际系统的相互关系； n 功能故障对其它系统以及相关人员（包括机组人员、维修 人员）的影响 n 其它系统故障对所研究系统的影响 n 所研究系统与其它系统的功能接口
不管是整机级还是系统级，功能既可能由硬件 实现也可能由软件实现，进行FHA分析时，既 要考虑硬件功能又要考虑软件功能 功能通常包括内部功能和交互功能
1、确定功能
(1) 所分析层次的内部功能（内部功能）
l 整机级：飞机的主要功能和飞机内部系统间的交互功 能 l 系统级：所分析系统的功能和系统内部设备间的交互功 能
8 合格审定 或验证方 法（PFHA ）；处置
办法 (FFHA)
着陆
L1着落滑跑 L2反推力刹车
影响 等级 （第 6栏 ）
Ⅰ灾 难性 的
中航商用飞机 有限公司RMS 工程技术中心
1、确定功能
进行FHA首先需要确定所分析层次产品的所有 功能，建立功能清单
整机级的功能可根据飞机的设计、使用要求， 结合工程经验确定。低一级的功能可根据高一 级相应的功能展开确定。在确定功能时应广泛 吸收相似机型的工程经验，并听取工程、适航、 使用部门等各方专家的意见和建议
功能危险分析
1 功能
2 危险 说明
3 工作状态
分析人：
4 危险Biblioteka Baidu 其它系 统的影
响
5 危险对 飞机或 人员的
影响
地面
G1地面滑行 G2飞机静止(系统工
表格说明
工作状态（第3栏）
起飞
T1起飞滑跑(抬前轮之前) T2起飞(抬前轮之后)
飞行中
F1爬升 F2收起落架
审阅人：
6 影响等级
7 分析方
法
报 告 号： 发布日期： 校订日期：
系统级FHA—确定功能所需信息 所研究系统的主要功能清单 外部接口的功能框图 整机FHA确定的功能清单及其故障情况清单 设计方案确定的功能要求
1、确定功能
功能的确定原则
按照逐步展开的方式进行相应的功能分析，找出所 有工作状态和模式下可能的所有功能或子功能 在进行功能定义时可参考相似机型的功能列表 只针对分析对象的功能展开分析工作，而不涉及 完成功能的具体设备、系统或结构 进行功能定义时应有所属各专业的专家参与
系统级FHA -功能 -危险 -影响 -分类
PSSA
系统级FHA -定性 -分系统预算
系统级 FMEA
SSA
系统级FTA -定量 -故障率
特定风险分析PRA 共模故障分析CMA
区域安全性分析ZSA
CCA
二、FHA的定义
FHA是全面的、系统地按层次检查产品（飞 机、系统和设备）的各种功能，确定各种 功能可能的各种潜在危险及其后果 FHA的主要目的： 发现各种潜在功能危险，以便设计时加以 控制，避免可能危险后果的发生
（1）确定功能 （2）危险性说明 （3）确定危险出现的工作状态 （4）确定危险对其它系统的影响 （5）确定危险对飞机或人员的影响 （6）确定影响等级 （7）提出进一步分析的方法 （8）提出合格审定或验证方法(PFHA)
提出处置办法(FFHA)
八、FHA的主要内容
FHA工作的核心是填写分析表格。分析表格的内容和格式可以根 据分析要求的不同而不同
2、危险性说明
• 确定功能故障状态还应考虑各种环境和紧急情况的 影响，如天气、火山粉末以及水上迫降、发动机停车、 通信中断、减压等。 • 即要分别考虑所研究对象的内部功能、交互功能以 及环境和应急情况中的每一项，由此才能得到完善的 功能故障状态清单。 因此还应建立环境和紧急情况清 单。 •对于系统级的FHA，环境和紧急情况清单可源于整机 级或上一层次的相应清单以及设计初始阶段的结构设 计方案。
1、确定功能
功能清单：电源系统功能清单（例）
顶层 功能
展开的功能1
展开的功能2
编号
对用电设备 供电
对关键设备供电
向交流关键设备供电
向直流关键设备供电
对重要设备供电
向交流重要设备供电
向直流重要设备供电
对一般设备供电
向交流一般设备供电
对地面服务设备供 电
向直流一般设备供电 向交流地面服务设备供电 向直流地面服务设备供电
七、FHA的基本方法
① 顶级故障树法 ② 叙述性说明法 ③ 表格分析法
七、FHA的基本方法
① 顶级故障树法
按照故障树分析原理发展而来的 该方法提供了识别危险状态和潜在事故的系统方法，但 它的长处在于识别这些不希望事件的原因
建树需要较为详细的设计资料，且工作量大
② 叙述性说明法
一种叙述的方法 危险状态和潜在事故一般根据经验确定，然后深入细致 地加以解释 叙述性说明法不严密，其结果往往有严重的漏洞或不完 善的地方
FHA至少进行两次:
初步FHA（PFHA,工程设计和研制计划的初期） 最后FHA（FFHA,设计基本完成时）
四、FHA的分类及开展时机
PFHA
(1) 获取如下信息： 系统功能故障的危险性及其分类 产品设计的临界安全状态 安全性要求以及产品安全性设计准则 系统安装和构型的要求和限制 承制方或供应商的设计要求
3、工作状态
确定危险出现的工作状态或飞行阶段。飞行阶段划分如下： 地面
G1 地面滑行 G2 飞机静止（系统工作） G3 维修 起飞
T1 起飞滑跑（抬前轮之前） T2 起飞（抬前轮之后） T3 中断飞行 飞行中 F1 爬升；F2收起落架； F3放起落架；F4 巡航；F5下降; F6进近； F7复飞； F8 200尺到着地；F9 其它（根据说明） 着落