如何開展民用飛機 "系統安全性評估"(SSA)?

民用飛機| 民機設計必讀的公眾號！

01 前情提要

在之前的文章中，我們簡要介紹了民用飛機系統安全性的評估過程，也針對安全性評估過程「三部曲」之第一部分「FHA」、第二部分「PSSA」進行了介紹。

今天我們重點介紹下 「三部曲」 之第三部分：SSA（系統安全性評估）。

02 什麼是 SSA？

系統安全性評估（SSA）是對所實現的系統進行系統性的綜合評價，以檢驗系統架構、設備安裝，已滿足 FHA 中的頂層安全性目標，以及從 PSSA 導出的具體安全性需求。

這些安全性需求，包括研製保證等級等定性要求，以及失效率等定量要求。

SSA 的分析過程和分析方法與 PSSA 類似，但二者目的不同。PSSA 主要用於確定建議的系統架構能夠滿足 FHA 目標，並導出具體的安全性需求。

因此，PSSA 本質上是需求的定義和確認過程，相關活動主要在 「V模型」 的左側開展，而SSA 則是需求的驗證過程，其活動主要在 「V模型」 的右側開展。

03 SSA 主要特點

SSA 的主要特點如下：

對於系統級、子系統級、設備級等不同層級的 PSSA，應有不同層級的 SSA與之對應。系統級 SSA 是最高層次的 SSA（飛機級安全性評估，稱為ASA）；

SSA 應綜合 FMEA/FMES、FTA、CMA、ZSA、PRA 等各類安全性分析的結果，以表明整個系統的安全性；

SSA 中所採用的分析方法可以是定性的，也可以是定量的。SSA 通常會基於 PSSA 中的故障樹和 FMES 中的定量數值，開展定量評估活動。SSA 應確保 FMES 中的所有的重要失效，都已納入 FTA；

系統研製活動、維修性設計活動、安裝信息、PSSA 等，為 SSA 提供了必要的輸入。而 SSA 則為飛機級安全性分析、飛機/系統綜合分析提供了必要的輸入；

另外，SSA 過程中還須完成與維修和運行相關的安全性工作，並在相應的技術報告或技術出版物中明確，如MMEL、CCMR等。

04 SSA 過程和主要內容

SSA 是一種自下而上的分析方法，典型的評估過程如下圖所示。

在實際開展系統安全性評估 SSA 時，可參考上圖定義的過程開展。

SSA 主要包括以下內容：

驗證系統級FHA建立的安全性目標已被滿足；

驗證由飛機設計要求和目標，導出或衍生的安全性需求已被滿足；

驗證在CCA過程中識別的設計需求已被滿足。

05 SSA 的輸入

FHA 中安全性需求的驗證，是 SSA 最重要的一項工作。在開展 SSA 之前，應捕獲以下輸入數據：

系統架構描述、與其他接口系統的交聯關係。

包括系統架構方案及其設計原理，系統的接口和界面，關鍵信號及使用邏輯等；

系統 FHA/PSSA 中的功能定義、失效狀態、研製保證等級等安全性需求；

共因分析結論（ZSA、PRA、CMA）；

FMEA/FMES、試驗報告等較低層級的支撐材料。

06 失效狀態的評估

在捕獲到上述數據之後，就應啟動失效狀態的評估工作。不同的失效狀態，其驗證方法有所區別，具體如下圖所示。

總體來說，應從以下方面開展失效狀態的評估工作：

通過故障樹分析，表明設備的單個失效或組合失效，是如何導致頂事件發生的。

在之前介紹 FHA 的文章中，我們以 「地面破升」 功能進行舉例說明，這裡仍以 「地面破升」 為例。「通告的喪失地面破升功能」是 III 類失效，而此功能喪失一般與表決的輪載、輪速信號喪失有關。

在 SSA 階段，我們應根據功能實現情況，全面梳理這些功能的失效邏輯及其基本原理；

通過故障樹分析，表明定性和定量的安全性需求已被滿足。

利用 FMEA/FMES 的分析結果，在故障樹中使用底事件的真實失效率，自下而上計算，檢查頂事件的真實概率能否滿足指標要求；

檢查維修文件，表明維修任務及維修間隔均已落實。

維修任務一般由故障樹中的隱蔽故障驅動，通過檢查故障樹中的重大隱蔽故障，提出建議的維修項目和維修間隔，以探測隱蔽故障是否發生。為便於客戶執行，維修任務應具有可操作性，並儘可能沿用常規的維修項目；

驗證系統和設備（軟體/硬體）的研製保證等級要求已被滿足。

通過開展系統、軟硬體的檢查和評審，驗證研製保證等級的要求得到貫徹。軟體應符合D-178B/C，硬體應符合D-254；

通過試驗，表明故障樹分析過程的正確性。

在飛機和系統層級，安全性相關的故障試驗，除了要滿足需求確認/驗證矩陣中的工作要求，還用於檢查故障樹分析過程的正確性，提高安全性分析的置信度。

需特別注意的是，SSA 中應針對飛機級需求文件和接口需求文件中，分解給本系統的安全性需求，開展驗證工作。在工程實踐中，來自接口系統的安全性需求，往往容易被遺忘。

此外，SSA 還應針對共因分析過程中產生的隔離要求（ZSA）、外部風險（PRA）、共模失效（CMA）等需求，開展驗證工作。

例如針對區域安全，可以分區域開展機上檢查，確保設備安裝、EWIS 和液壓管路布置等滿足獨立性和隔離要求。

例如針對鳥撞特定風險，可以開展機頭、發動機、尾翼等不同部位的鳥撞試驗，保證飛機結構和相關部件能夠抵擋鳥體撞擊，或者遭遇鳥撞後，飛機能夠安全著陸。

07 SSA 的輸出

SSA 過程的輸出數據，應通過文件保存下來，以具有可追溯性。這些輸出數據包括：

定性或定量的安全性需求符合性證據。

根據真實的故障樹底事件的失效率，驗證安全性需求得到滿足；

系統設備的安裝，滿足隔離、防護等需求的證據。

引用 ZSA、PRA、CMA 的分析摘要和結論，表明系統設備的安裝、隔離設計滿足要求；

安全性相關的維修任務及其維修間隔。

維修任務應列入 CCMR，且其維修間隔應不大於故障樹中隱蔽故障所允許的暴露時間；

系統和設備按照相應的研製保證等級，進行研發的證據。

這些證據包括系統和軟硬體的評審總結報告、軟硬體完成綜述等。

08 總結

SSA 也是一個反覆迭代的過程，其作為提交適航當局審查的最重要的一份安全性文件，直接影響飛機的取證工作。

當系統 FHA 及其他全部的安全性需求，被 SSA 驗證後，安全性評估過程便告結束。