飛機(jī)綜合電子系統(tǒng)安全性設(shè)計研究

1、Word - 6 -飛機(jī)綜合電子系統(tǒng)安全性設(shè)計研究 總結(jié)出系統(tǒng)有多少失效狀態(tài)。在這個分析與歸納的過程中，需要遵從以下原則： 1）平安影響在MIN以下的場景不再作為失效狀態(tài)，如“飛翔中高度指示功能部分喪失”場景； 2）失效模式相同但飛翔階段和平安影響等級不同的場景屬于一個失效狀態(tài)，以最嚴(yán)峻的影響來確定其平安等級，如起飛、飛翔中和降臨三個階段高度指示功能徹低喪失。 根據(jù)上述辦法依次對各個系統(tǒng)功能舉行FHA，能夠獲得通用飛機(jī)綜合電子系統(tǒng)的失效狀態(tài)，如表1所示。 從上表中能夠總結(jié)出：CAT級失效狀態(tài)：1個組合功能失效，單一綜合電子系統(tǒng)功能失效不會產(chǎn)生CAT影響，但與其他系統(tǒng)功能同時失效會導(dǎo)致該后果；因

2、為失速告警器不屬于綜合電子系統(tǒng)，因此僅綜合電子系統(tǒng)不存在CAT級失效狀態(tài)。HAZ級失效狀態(tài)：4個；MAJ級失效狀態(tài)：10個。 3.3 提出設(shè)計建議 按照CS23.1309條款要求和AC23-1309-1D對該條款的解釋，對于可能造成CAT或HAZ級別平安影響的功能，其設(shè)計應(yīng)至少滿足以下要求： 1）平安等級為CAT的功能，通常采納非相像余度設(shè)計避開單點故障，該功能故障發(fā)生概率必需10-9； 2）平安等級為HAZ的功能，其故障發(fā)生概率必需10-7。 從FHA分析中清晰地看到，通用飛機(jī)綜合電子系統(tǒng)中沒有平安等級為CAT的功能，卻有一些平安等級為HAZ的功能，它們是空速指示、高度指示、姿勢指示、磁航向

3、指示和失速告警。于是在系統(tǒng)設(shè)計時需要考慮： 1）安裝備份儀表用于空速、高度、姿勢、磁航向和失速告警指示功能的冗余，這樣能夠有效避開單點故障并降低系統(tǒng)級故障發(fā)生概率的要求； 2）對于其他功能，假如單項設(shè)備的實際故障發(fā)生概率大于所要求的概率，能夠考慮設(shè)計備份冗余； 3）利用增強(qiáng)數(shù)據(jù)路徑，并設(shè)計系統(tǒng)重構(gòu)算法，提升系統(tǒng)的容錯重構(gòu)本事； 4）在ADC、AHRS和失速告警器等設(shè)備的設(shè)計實現(xiàn)中應(yīng)考慮其容錯本事，包括自檢測、余度設(shè)計等。 此外FHA證實了綜合電子系統(tǒng)初步系統(tǒng)結(jié)構(gòu)中配置兩部綜合處理機(jī)是正確的。假如僅配置一部綜合處理機(jī)的話，就有可能浮現(xiàn)單點故障。 3.3 系統(tǒng)PSSA 在PSSA階段需要對目前的系

4、統(tǒng)架構(gòu)舉行初步評估，并且分配設(shè)備級平安性需求，詳細(xì)如下： 1）對HAZ級以上的系統(tǒng)失效狀態(tài)，采納FTA辦法，分配設(shè)備級平安性需求，表2所示為通用飛機(jī)綜合電子系統(tǒng)HAZ級以上失效狀態(tài)的匯總表； 2）評估向下分配的平安性需求是否可行，打算是否將改進(jìn)系統(tǒng)架構(gòu)； 3）利用多次迭代調(diào)節(jié)，終于確定系統(tǒng)架構(gòu)。 3.4.1 故障樹建立 以高度指示錯誤為例構(gòu)建故障樹，利用定性和定量分析來評估當(dāng)前的系統(tǒng)結(jié)構(gòu)能否滿足系統(tǒng)平安性設(shè)計指標(biāo)，圖3至圖5為綜合電子系統(tǒng)高度指示錯誤的FTA的各部分，圖中能夠看到逐級向下分配的平安性指標(biāo)。電子飛翔儀表和機(jī)械式高度表均指示高度錯誤時，將導(dǎo)致綜合電子系統(tǒng)高度指示錯誤，兩者屬于“與”

5、的關(guān)系；FTA的重點集中在電子飛翔顯示器高度指示錯誤，能夠進(jìn)一步分解為高度計算錯誤和高度顯示錯誤，如圖3所示。 高度計算錯誤又分解為GPS高度錯誤和大氣高度錯誤兩種狀況，GPS天線失效或GPS衛(wèi)星網(wǎng)絡(luò)失效均可導(dǎo)致GPS高度失效，而皮托管失效或ADC失效將導(dǎo)致大氣高度錯誤。因為GPS1和GPS2互為備份，因此GPS1高度和GPS2高度均計算錯誤顯示錯誤時將導(dǎo)致GPS高度計算錯誤。而任一部DCU失效均將導(dǎo)致高度顯示錯誤，即GPS高度顯示錯誤和大氣高度顯示錯誤。 3.4.2 分配平安性設(shè)計指標(biāo) 按照以往的工程閱歷為各級失效狀態(tài)分配所允許的故障發(fā)生概率，其中如表3所示，故障樹的葉子節(jié)點均對應(yīng)著某個航電

6、設(shè)備的功能失效的狀況。 為這些葉子節(jié)點分配的故障發(fā)生概率任務(wù)將會轉(zhuǎn)化為詳細(xì)的軟硬件設(shè)計需求，用來指導(dǎo)具體設(shè)計與產(chǎn)品選型。 3.4.3 故障樹定性分析 定性分析的目的是為了找出系統(tǒng)設(shè)計中的薄弱環(huán)節(jié)，檢查系統(tǒng)中是否存在單點故障，以及列舉出所有最小割集。P（t）表示頂大事的故障率，A表示底大事A的故障率，B表示底大事B的失效率，其他底大事依此類推，應(yīng)用上行法獲得如下的故障樹結(jié)構(gòu)函數(shù)： Pt=A+BA+BC+DC+D+EEEE+F=A+BC+D+E+F（1）=AC+AD+BC+BD+E+F 由上述化簡結(jié)果來看出，在高度指示單元中沒有單點故障，其最小割集為：AC、AD、BC、BD、E、F。利用這些割集中

7、每個與門大事分析能夠看出，它們之間并不存在共模因素。以AD為例，GPS天線和ADC分離安裝在飛機(jī)的不同位置，分離由兩個自立電源端供電，主電源掉電后系統(tǒng)會自動切換至備用電源，它們之間不存在共模因素。 3.4.4 確定系統(tǒng)DAL 因為高度指示功能的失效狀態(tài)FC-06和FC-07的平安等級分離為MAJ和HAZ，根據(jù)表1中的定義該功能的研制保證等級DAL為B級。同理依據(jù)系統(tǒng)失效狀態(tài)和AC23-1309-1D中平安等級、故障發(fā)生概率及DAL關(guān)系，為系統(tǒng)功能分配DAL，如下表4所示。 每一個系統(tǒng)功能的DAL終于都是要執(zhí)行到詳細(xì)設(shè)備上的，在給設(shè)備分配DAL時需要注重兩點： 1）每個系統(tǒng)功能的DAL打算了實現(xiàn)

8、該功能所需航電設(shè)備的DAL； 2）根據(jù)“就高不就低”的原則重新核對各個設(shè)備的DAL，即不同系統(tǒng)功能對應(yīng)同一航電設(shè)備的DAL可能不同，將挑選較高的DAL等級。 以高度指示功能為例，與實現(xiàn)該功能有關(guān)的設(shè)備有PFD1、PFD2、MFD1、MFD2、DCU1、DCU2、ADC1、ADC2，所以它們的DAL為B級。 3.4.5 FTA結(jié)論 應(yīng)用上述辦法將其他幾個失效狀態(tài)舉行故障樹分析，從分析結(jié)果能夠發(fā)覺目前的系統(tǒng)架構(gòu)設(shè)計中不存在單點故障，系統(tǒng)的平安性指標(biāo)都獲得了合理的分配，等待SSA進(jìn)一步驗證系統(tǒng)設(shè)計的正確性。 3.5 系統(tǒng)SSA 進(jìn)入SSA階段，需要按照零部件廠家由FMEA及FMES分析得出的各零部件

9、的實際故障率（即故障樹中底大事的故障率）自下而上地計算故障樹中每一層失效狀態(tài)的發(fā)生概率，直至計算出故障樹的頂層失效狀態(tài)的發(fā)生概率并確保其滿足適航當(dāng)局的平安性要求。表5列出了高度指示錯誤故障樹中全部底大事的實際故障發(fā)生概率1及預(yù)先分配的故障發(fā)生概率0。 因為在該故障樹中，全部底大事均只浮現(xiàn)了一次，因此能夠使用“直接分析”法依照故障樹中各規(guī)律門的規(guī)律關(guān)系直接計算頂大事的發(fā)生概率。按照以上底大事的失效率和各自的裸露時光，將數(shù)值代入1式，計算出頂大事的故障發(fā)生概率為4.20E-07，遠(yuǎn)小于設(shè)計之初分配的平安性指標(biāo)，驗證了設(shè)計的正確性。 同樣應(yīng)用FMEA和定量FTA辦法將其他幾個失效狀態(tài)舉行平安性分析，從分析結(jié)果能夠發(fā)覺目前的系統(tǒng)架構(gòu)設(shè)計中各個功能單元的故障發(fā)生率均低于預(yù)先分配的平安性指標(biāo)，滿足平安性要求，進(jìn)一步驗證了系統(tǒng)設(shè)計的正確性。表6為綜合電子系統(tǒng)各設(shè)備的牢靠性數(shù)據(jù)，也能夠作為指導(dǎo)另外通用