FHA在民用飞机大气数据系统设计中的应用

摘 要：大气数据系统作为民用飞机的关键系统，对飞机安全飞行至关重要。在大气数据系统研制过程中如何正确实施功能危险性评估（FHA）是“确保安全性”目标得以实现的首要环节。通过介绍大气数据系统FHA过程，给出了某型飞机大气数据系统通过FHA过程确立安全设计目标的实例，为FHA在民机安全性验证、分析和评估过程中的应用提供参考。

关键词：功能危险性评估（FHA）；民用飞机；大气数据系统；安全性

引言

“确保安全性”是民用飞机设计最为显著的设计目标，民用飞机适航合格审定过程中，需要对系统进行安全性评估。SAE ARP 4761[1]是飞机系统安全性评估的设计指南，其中功能危害性评估（FHA）是最重要的安全性评估方法之一[2]。

文章着重以功能的顶层设计要求为导向，通过对大气数据系统FHA过程的介绍，分析如何通过FHA来确立系统的安全设计目标。

1 大气数据系统FHA过程及安全设计目标的确定

SAE ARP 4761对FHA过程的定义：FHA过程是一种自上而下识别功能失效状态并评估其影响的方法。根据已有的功能定义，识别功能所有的失效模式，结合飞行阶段确定功能失效状态及其对飞机的危害影响等级。需要注意的是，同一功能失效模式在不同的飞行阶段，对飞机的危害影响有可能是不同的，因此失效状态也不同。

根据FHA过程要求[2]，大气数据系统FHA过程可以分为如下步骤：（1）根据飞机级功能，确定分配归属于大气数据系统需要实现的飞机级功能；（2）根据大气数据系统所需实现的飞机级功能，识别与分析大气数据系统在系统层面上所对应的所有功能（系统内部功能和交互功能）；（3）根据确定的大气数据系统的系统功能，识别出功能所有的失效模式；（4）根据确定的大气数据系统的功能失效模式，结合不同飞行阶段，给出对应功能失效状态；（5）确认失效状态对飞机的危害影响等级。

1.1 大气数据系统功能定义

通常大气数据系统的系统级功能应来源机的设计需求和对大气数据系统功能界面的定义，并遵循自上而下的分解过程。一般而言，从飞机级功能的定义和实现角度上，飞机对大气数据系统的功能要求通常体现在：（1）提供气压高度；（2）提供空速等两个方面飞机级功能层面上。由机级功能的定义和分解的方法有很多，势必会带来不同的功能定义和分解层次，但应该遵循如下原则：确保功能的完整性；尽量减少功能的重叠和交叉；尽量提升功能级别，减少功能层次；飞机级功能与系统级功能的交界面要清晰等。

通过上述两个方面飞机级功能，进而确定大气数据系统在其系统内部及与其他系统交互时需要实现的系统层面上的所有功能，这些功能主要体现在：提供气压高度、提供空速等主要功能，提供攻角、提供总温和静温等辅助功能，提供最大飞行速度/马赫数、提供修正气压高度、提供垂直速度等可视为系统层面的衍生功能。

1.2 大气数据系统功能失效状态

确定大气数据系统功能后，通常从功能的可用性和完整性上去识别相应的失效模式，再结合飞机具体的飞行阶段，确定失效模式下的失效状态。

确定大气数据系统失效状态时，一方面来源大气数据系统功能失效的分析，另一方面应参考飞机级FHA确定的失效状态结果。一般来说，前者的分析结果来源于具体功能的失效分析，因此失效模式分类较为完整细致，后者的分析结果来源机顶层自上而下的梳理，往往在初期时分析较为笼统。为实现飞机级和系统级FHA之间的追溯性，失效状态需要前后对照保持一致。通常采取的做法是将飞机级FHA确定的失效状态与其下一级结果作为系统级FHA的输入，对照前后两种分析方法的结果，对飞机级FHA失效状态进行补充或删减。

1.3 大气数据系统功能失效状态影响等级

根据SAE ARP 4761中的定义，失效状态影响分为5个等级，即灾难性的、危险的、重大的、较小的和对安全性无影响的。

大气数据系统失效状态影响首先是分析失效状态对大气数据系统的具体影响，进而分析对飞机、机组和乘客的影响。大气数据系统失效状态影响等级的具体确定原则依赖于以往的事故数据、规章指导材料和设计、使用经验及工程判断等。

大气数据系统主要功能是通过飞机座舱电子飞行显示器（包括备用显示）的相应指示反馈得以实现，FAA AC25-11A[3]为大气数据系统FHA的失效状态影响等级的判定和到对应飞机级FHA的追溯提供了支撑，FAA AC25-11A可以作为确定大气数据系统失效状态的重要参考。

1.4 安全性设计目标

对于大气数据系统每个功能的失效状态，必须根据失效状态的影响等级来分配失效概率以确立定量的安全性设计目标，以及通过分配相应的功能研制保证等级以确立定性的安全性设计目标，进而来指导整个大气数据系统架构的研发以满足所要求的安全性目标。功能失效状态和安全性设计目标上的定性和定量要求对应关系见表1[1]：

2 某型飞机大气数据系统FHA实例

2.1 确定大气数据系统功能

某型飞机大气数据系统的功能要求包括：（1）提供气压高度；（2）提供空速；（3）提供攻角；（4）提供总温和静温；（5）提供最大飞行速度/马赫数；（6）提供修正气压高度；（7）提供高度变化率（垂直速度）等等[4]。文章以提供气压高度功能为例，介绍大气数据系统FHA后续过程。

2.2 确定功能的失效状态

针对提供气压高度功能，失效模式可以分为：丧失提供单侧气压高度、丧失提供备用气压高度、丧失提供双侧气压高度、丧失提供所有气压高度（包括双侧和备用）；提供单侧气压高度误指示、提供备用气压高度误指示、提供双侧气压高度误指示、提供所有气压高度误指示（包括双侧和备用）。

上述失效模式中丧失提供单侧气压高度与丧失提供备用气压高度可判定为等效失效模式，提供单侧气压高度误指示与提供备用气压高度误指示也同样可判定为等效失效模式，经合理简化后，该型飞机大气数据系统的提供气压高度功能失效模式见表2：

飞行阶段可以大致分为地面、起飞、空中、着个阶段，可以根据分析的需要，进一步细化飞行阶段。

2.3 确定失效状态影响等级

以“起飞、空中和着陆阶段丧失提供所有气压高度（包括双侧和备用）”这一失效状态为例进行分析。丧失提供所有的气压高度使得飞机员因为无法感知气压高度数据而引起飞机失控造成危险接近导致撞机、撞山、撞地等机毁人亡灾难性事故，故可以判定“起飞、空中和着陆阶段丧失提供所有气压高度”失效状态的影响等级为I级，即灾难性的。

此外，依据AC25-11A[3]中的规定“丧失所有的气压高度显示，包括备用显示”的影响等级为灾难性的，而大气数据系统“丧失所有的气压高度（包括双侧和备用）”这一失效模式会直接导致“丧失所有的气压高度显示，包括备用显示”这一顶失效事件的出现，所以将“起飞、空中和着陆阶段丧失提供所有气压高度（包括双侧和备用）”的失效状态定为I级是合理的。

2.4 确定安全性设计目标

通过和文中表1（系统功能失效状态与安全性设计目标对应关系）进行比对，“起飞、空中和着陆阶段丧失提供所有气压高度（包括双侧和备用）”采用每飞行小时1E-10的失效概率是可接受的保守分析值，该型飞机大气数据系统“提供气压高度”的功能研制保证等级为A级（系统级功能的功能研制保证等级以该功能所有失效模式中对应的最严重失效状态作为分配依据）。

3 结束语

出于篇幅的原因，文章仅以某型飞机大气数据系统的“提供气压高度”功能和对应的“起飞、空中和着陆阶段丧失提供所有气压高度（包括双侧和备用）”这一失效状态为例对FHA在大气数据系统中安全性设计工作中的具体应用和实施进行了阐述，后续可结合飞机交联系统及大气数据系统详细技术方案开展全面和深入的大气数据系统的全系统FHA研究，为民用飞机大气数据系统的安全性验证、分析、评估提供参考。

参考文献

[1]SAE ARP 4761.Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[EB/OL]. Society of Automotive Engineers， Inc ，1996.

[2]朱岩，崔凝，戚学锋，等. 民用飞机动力装置系统FHA研究[J].航空科学技术，2012（2）：23-25.

[3]AC25-11A. ELECTRONIC FLIGHT DECK DISPLAYS[EB/OL].FAA， 2007.

[4]赵淑荣，罗云林. A340大气数据惯性基准系统高度混合通道分析[J]. 电气传动自动化，2002，24（6）：15-17.

作者简介：汤华（1979-），男，江苏宜兴人，工程师，硕士，主要从事民用飞机航电系统设计。