02飞机的安全性历史和相关标准

飞机系统安全性设计与评估之：飞机的安全性历史和相关标准民航东北适航审定处：成伟1、飞机安全性历史（1）1900年–1930年：追求系统功能的完整性●这是第一个安全性设计方法。●设计原则：尽量做出好的零件和完整的系统功能。●代表性的飞机：→1903年的莱特飞机；→1927年的圣·路易斯的幽灵飞机；→1930年的福特三发飞机。●逐渐增加的曝露时间导致许多没有预计到的单故障，进而引起了太多的事故。这时的飞机不能广泛地用于商用运行。（2）1930年–1945年：完整性加上为有限的设计特征选择冗余●发动机、无线电台、空速表等系统设计有冗余；●计算单故障的故障率；●安全性不够,还不能赢得公众信任；●飞行操纵、螺旋桨、发动机失火、有害的环境条件等方面仍存在问题。●代表性的飞机是二次世界大战前的运输类飞机：→道格拉斯的DC-3、DC-4飞机；→比齐18型飞机。在20世纪30年代，根据长期的实际运营和观察，在累计运行时间与故障频数关系的基础上，统计汇编了飞机的故障和事故率。虽然该项工作没有得到各个单独部件的故障率，但是将飞机作为一个系统考虑得到第一个故障率数值，使它开始具有一定的指导意义。根据对获得的这些故障率资料的分析可以知道应该如何改进产品和进一步的工作目标。根据概率的概念，关于飞机可靠性和安全性等级的一些考虑变为现实，有了衡量目标。例如，英国Pugsiey先生在他分别于1939年和1942年发表的论文《适航统计学》和《飞机强度因素的基本原理》中指出，由所有故障原因导致的飞机事故率不应超过1×10-5/每小时，而其中结构故障率不应超过1×10-7/每小时。这可以被看作是关于飞机安全性的最早标准之一。第二次世界大战期间，德国的专家在可靠性研究领域也取得了历史性的进展。在从事V1导弹研究过程中，他们经历了解决可靠性的难题。首先他们对V1导弹的可靠性问题打了一个比喻，即一根链条不可能比它最薄弱的链环更强。因此，V1导弹可以做成与最薄弱的链环一样可靠，或者说一样强。虽然V1导弹是一个相当简单的系统，但由于某个部件在每次试验中总是故障，使得V1导弹计划一次又一次地遭遇失败。最初，无论人们在部件选择上做多大的努力，V1导弹都百分之百的不可靠。在某些试验中，还发生可靠性好的部件故障引发系统故障的情况，这种可靠性好的部件可以看作是系统中强的链环。因此，从“最薄弱链环”概念出发考虑可靠性是错误的，并由此逐步转换到在系统可靠性问题中必须把所有组成系统的部件都考虑在内的概念，也就是说系统可靠性等于组成系统的所有部件可靠性的平均值。然而，后来的试验表明，按这样考虑做出的系统的可靠性比部件平均可靠性差很多，并且这个问题在很长一段时间里没有得到解决。直到后来咨询了研究其它课题人才发现一个惊人的结果，即如果一个部件的生存概率为1/X，那么由n个这样的部件组成的系统的生存概率为1/Xn，也就是说，当一个部件的可靠性是R=1/X，则n个这样部件组成的串联系统的可靠性是R系统=Rn=（1/X）n。（3）1945年-1955年：单故障概念●飞机安全性前进一大步，工业界和政府部门一起在1945年开会并制定了“单故障概念”。这个概念对减少单故障型事故产生了重要影响。公众的信任增加，以致空中旅行有了巨大的增长。●防止灾难性单故障：假设每次飞行期间至少发生一个故障，而不管其概率大小。●代表性的飞机：→洛克希德的“星座”；→道格拉斯的DC-6。●安全性显著改进，公众信心增加，但事故仍然发生。一些事故是一个以上故障组合的结果。●1955年一架美国航空公司的Convair240飞机坠毁在FortLeonardWood附近，发动机失火和燃油切断阀潜在故障的组合引起机翼故障，进而导致飞机坠毁。（4）1955年-现在：故障安全设计概念●注意多重故障型事故，政府部门用“故障安全概念”取代了单故障概念。1955年，作为新运输类飞机的合格审定规则为涡轮动力的飞机引入的概念；●这个概念意味着要考虑任一单故障加上任一可预知故障的组合；●故障安全设计的基本原理：任何一次飞行期间，单故障或可预知的组合故障不会阻止飞机的继续安全飞行和着陆。●第一代喷气式飞机：→B707Comet4、DC-8、Caravelle、Convairs等机型在飞机上进行安全性试验，对各单故障与可预知的其它故障的组合情况进行试验验证，以证实其不会导致灾难性的事故。→显著降低了事故发生率；→公共信心有了相应的增加；→然而，事故发生率还是比希望的高出许多。●第二代喷气式飞机：→正式使用故障模式及其影响分析（FMEA）＊B727,B737-100/200,B747“classics”；＊DC-9,L-1011,DC-10,A300。→进一步显著降低了事故发生率，但相关硬件仍然发生事故：＊自动飞行系统中的不成比例的故障组合。●第三代喷气式飞机：→正式使用FHA（功能危险性分析）、FMEA、FTA（故障树分析）；＊B737-300到900,B757,B767,B747-400,B777,MD-80,MD-90,MD-11,A319到A340；＊相关系统的事故率实质性地降低；＊现在导致事故的主要因素存在于其它领域。例如：操作者的错误、维修错误、对预期故障情况的非预期驾驶员反应。事故率（每百万次飞行的事故数）●1959年-2005年世界范围商用喷气机机队的丧失机体和/或致命事故情况如下图所示:→按地区划分的情况：公元年美国和加拿大--------世界其它地区→按飞机代份划分的情况：●故障概率标准和反向关系原则：自1970年，建立起以1×10-9为特征的事故率标准。这个标准是基于当时保持的民用航空器飞行历史事故率建立的：→所有原因导致的灾难性事故率为1×10-6/每小时；→仅由系统引起的灾难性事故为10%×1×10-6=1×10-7；→假设每架飞机上具有100个潜在的灾难性故障条件，则每个潜在的灾难性故障条件出现的概率等于10-7/100或1×10-9。由此看出，这时的飞机安全性标准较20世纪30年代末40年代初有了大幅度提高（二个数量级），这与民用航空的技术进步密切相关。事故发生概率与事件严重性的反比关系如下：●目前，解决飞机安全性的主要着手点：→以安全性为主要目标的综合飞机构架；→将分析技术变为正式且标准的程序；→为安全性分配进行预期，增加飞机级评估；→将飞行机组和维修的错误减至最小；→故障探测及其识别；→将飞行操纵系统、推力系统和其它机载系统的各种安全性评估方法进行综合；→评估CNS（通讯、导航、监视）/ATM（空中交通管制）空-地和空-空等公共系统的运行安全性：＊自动相关监视-广播（ADS-B）；＊管制员和驾驶员间的数据链通讯（CPDLC）；＊下一代数字式音频和数据链综合系统。2、适航规章FAR25.1309及其相关咨询通告的演变过程●1965年FAA将提出系统安全性要求的规章由CAR4.606变为FAR25.949。●FAA在随后的统一更改规章编号计划过程中将FAR25.949变为FAR25.1309。●安全性设计的原则变为：→考虑任何单故障；→假设存在潜在故障。值得关注的是，“没有单故障，但多了一些潜在故障”●Amdt.25-23(1970年5月)考虑：→同一次飞行期间一个以上的故障；→引发显著减少飞机能力或机组克服不利工作条件能力的共因故障；→用警告提示、系统控制和运行程序使错误减至最小。→反向关系原则：真正坏的事情不应发生，而不太坏的事情短时间内可以发生一次；→为了满足安全性设计目标，要求进行更全面的系统化故障分析；→向机组提供“不安全运行条件”的警告。●Amdt.25-41(1977年9月)：删除了乘员受伤的提法，因为在FAR25部的其它条款（§25.785、787、789、801）对其已有要求。●Amdt.25-xxx(正在制定中)：目前正在进行新的规则制定活动。●AC25.1309-1(1982)：阐明25.1309的分析要求；提供可接受的符合性分析方法。●AC25.1309-1A(1988)：系统设计及分析→定义安全性原则；→给出符合FAR25.1309要求的方法；→定义了故障条件、故障条件严重类别和概率术语；→要求分析的深度；→关于飞行机组错误和维修人员错误的考虑；→环境方面的考虑；→研制错误方面的考虑。●AC25.1309-1B(正在起草并征求意见)：→综合了新的故障条件分类和概率要求；→阐明符合性方法并提供更多的细节；→强调了特定风险；→强调了一架飞机潜在灾难性故障条件的总概率水平；→允许环境条件的概率；→认可了ARP4754和ARP4761；→认可了RTCA/DO-178B和RTCA/DO-254。3、安全性的几个基本概念（1）可靠性和安全性的一般概念：●可靠性：产品无故障工作的能力。●安全性：产品设计特征使人员受伤或死亡的可能性。●可靠性与安全性之间的差别：→可靠性：对经济的影响，其程度可视具体情况而调整，“一些是好的，更多是较好的”。→安全性：对人的伤害，必须满足最低的绝对标准。●如果良好的安全性由冗余得到，则得到较高系统安全性复杂系统就可能面临降低维修可靠性的代价。从这一点来说，可靠性和安全性是相互矛盾的。●系统中的设备有三类功能：→安全性功能---为使事故发生的概率保持在最低水平上，设计的设备所执行的安全功能。→需求性功能---为确保系统成功地工作若干时间，设计的设备所执行的需要功能；→便利性功能---为易于操作和增加便利，设计的设备所执行的便利功能。可靠性是针对功能来说的，从这点上说，“安全性功能”的可靠性就是我们要研究的安全性。上述三类功能的可靠性需求量值有很大的差别。对一架运输类飞机来说，安全性功能可能由动力装置（发动机和燃油系统）、飞行操纵（包括刹车）、起落架、应急电源、飞行和导航仪表、某些电子设备等系统来完成。这些系统和设备的功能必须有极高的可靠性，这是根据飞机上乘员和旅客的安全性需求决定的，而不是出于对系统研制成本的考虑。对于需求的功能和便利功能，可靠性需求依次降低，需求高低更多是由经济因素决定的。●可靠性和安全性两者都是按照概率用数量表示的，并且我们利用许多可靠性工具计算安全性概率。（2）建议的AC25.1309-1B中，定性地和定量地定义的安全性术语如下：●极不可能：一件事情是如此地不可能，以至预计其在该型号所有飞机的整个使用寿命期间不会发生；那些故障条件具有的平均概率/每飞行小时等于或小于1x10-9。●极微小(很不可能)：预计那些故障条件在某架飞机的总寿命期间不会发生，但在该型号所有飞机的所有使用寿命期间可能发生很少几次；那些故障条件具有的平均概率/每飞行小时等于1x10-7或处于1x10-7到1x10-9之间。●微小（不可能）：那些故障条件在某架飞机的总寿命期间不可能发生，但在该型号许多飞机的所有使用寿命期间可能发生几次；那些故障条件具有的平均概率/每飞行小时等于1x10-5或处于1x10-5到1x10-7之间。●不经常(可能)：那些故障条件在某架飞机的总寿命期间可能发生一次或多次，那些故障条件具有的平均概率/每飞行小时等于1x10-3或处于1x10-3到1x10-5之间。●经常：那些故障条件在某架飞机的总寿命期间经常发生，那些故障条件具有的平均概率/每飞行小时大于1x10-3。4、适航规章的要求●要求出自CCAR-25/23/27/29的1309条，其中与安全性评估相关的CCAR-25-R3.1309内容（与现行的FAR25.1309相同）如下：（b）飞机系统与有关部件的设计，在单独考虑以及与其它系统一同考虑情况下，必须符合下列规定：（1）发生任何妨碍飞机继续安全飞行与着陆的失效条件的概率极小。（2）发生任何降低飞机能力或机组处理不利运行条件能力的其它失效条件的概率微小。（c）必须提供警告信息，向机组指出系统的不安全工作情况并能使机组采取适当的纠正动作。系统、控制器件和有关的监控与警告装置的设计必须尽量减少可能增加危险的机组失误。（d）必须通过分析，必要时通过适当的地面、飞行或模拟试验，来表明符合本条（b）的规定。这种分析必须考虑下列情况：（1）可能的失效模式，包括外界原因