电气线路互联系统安全性设计与分析方法研究

2022-07-22王小辉朱丽车程梁力马庆林

西北工业大学学报 2022年3期

王小辉, 朱丽, 车程, 梁力, 马庆林

(1.中国航空工业集团公司西安飞机设计研究所, 陕西西安 710089;2.中国飞行试验研究院, 陕西西安 710089)

近年来，随着国内军民用飞机系统的设计需求信息量越来越多，复杂度也相应提升，电气线路日益复杂、精密，各类线路故障高发，轻则影响任务执行，重则危及飞行安全。类似的线路问题在国际航空业同样非常突出，历史上曾出现过多起由于线路问题引起的机毁人亡重大安全事故。为了解决此类问题，2007年美国联邦航空安全局对FAR-25《运输类飞机适航标准》进行了修正，增加H分部“电气线路互联系统”(electrical wiring interconnection system,EWIS)，将线路系统作为一个独立系统进行研究和规范[1]。我国于2010年、2011年分别转换了相关条款，提出了新的设计要求。

电气线路互联系统安全性评估作为一个新生事物，国外围绕EWIS风险分析与评估建立了繁多的符合性设计与分析方法模型，如Bigun[2]提出的飞行事故概率模型和随机过程模型，Leveson[3]提出的系统理论过程模型(STAP)，Enrico等[4]为解决复杂系统评估问题提出的蒙特卡罗模拟方法，美国空军电子系统中心(ESC)也提出了风险矩阵分析方法。目前，在国内各型号的研制工作中已经全面引入了安全性设计理念，中国商飞上海飞机设计研究院、南京航空航天大学以及中国民航大学等[5-7]单位针对EWIS已开展了适航条款的解读以及评估模型的探索。但在具体复杂的军民用飞机型号上，如何开展EWIS符合性设计与评估工作等方面的研究就相对稀少。因此，在当前条件下，如何在型号研制中开展EWIS安全性分析与评估，以切实解决当前军机、包括C919和MA700在内的新研制民用飞机存在的突出线路问题，就成为了一个十分急迫的课题，也因此成为相关的科研工作者急需深入开展研究的重要内容。

反推装置装配在大涵道比涡扇发动机上，是飞机着陆后使用的重要组件，若其发生故障，如在空中异常打开，会带来灾难性事故。1991年，劳达航空004号航班空难就是一个典型案例，事故造成223人遇难。通过调查，发现反推力控制系统中电路短路是造成本次事故的主要原因。因此，反推装置EWIS的安全性设计与分析尤为重要。本文从EWIS功能失效影响和物理失效影响两方面开展安全性分析与评估，以反推力控制系统中的EWIS为案例，提出其在设计以及安装等方面的系统级和飞机级需求。并对这些需求进行安全性设计及符合性验证，以消除或减缓EWIS安全危害影响，为飞机EWIS安全性设计及适航取证提供依据。

1 CCAR25.1709规章解读

CCAR-25-R4版第25.1709条的题目是“系统安全：EWIS”，内容为“每个EWIS的设计和安装必须使得：灾难性失效状态是极不可能的，和不会因单个失效而引起。每个危险失效状况是极小的[8]。”

EWIS主要作用是传输电能、数据和信号以支持飞机其他系统实现相应的功能。第25.1709条的提出是对EWIS在安全性要求方面的补充。当按照第25.1309条开展系统功能分析与评估时，往往因一些非重要系统功能而简化安全性设计需求，这就会不可避免地造成EWIS系统安全性设计需求的缺失。但事实表明，只要系统涉及到EWIS，就存在EWIS失效的风险，有可能造成严重的物理和功能损坏，影响飞机的安全飞行。如对于任何用电系统或负载，当存在有功率负载线时，都有可能会产生电弧或电磁干扰而引起整个线束或相邻线束的功能失效和物理失效，甚至引发危险性或灾难性的事件[9]。

因此可以认为第25.1709条是在第25.1309条的基础上，重点考虑EWIS的物理失效和功能失效影响，对EWIS进行结构化的安全性分析与评估，以验证其在设计和安装等方面需求的符合性。

2 EWIS安全性分析方法和流程

第25.1709条提出的目的是通过使用第25.1309条失效-安全的设计理念，对EWIS进行全面和系统的安全性分析。因此，为了满足第25.1709条的要求，需要对每个EWIS的设计和安装提出安全性需求，并且应从定性分析和定量分析两方面开展评估。在进行定性分析时，需要使用功能危险分析、初步系统安全性评估、共因分析以及系统安全性评估中的安全性指标[10-11]，对EWIS安装标准和部件特性等需求进行确定和定义。结合系统EWIS部件的失效模式，将第25.1709条识别的EWIS失效模式嵌入到飞机级和系统级功能危险分析。通过系统共因分析(共模分析、区域安全性分析和特定风险分析等)，应能够表明EWIS部件在系统内外部风险场景中，不存在特别是单点故障等因素导致灾难性事件发生的可能。同时，也需要表明导致危险的失效状态发生风险也处于可接受的范围内。在定量分析方面，可以通过对EWIS进行系统故障模式及影响分析(FMECA)，确定其故障模式的影响以及发生概率。

为表明对第25.1709条要求的符合性，安全性评估必须考虑EWIS功能失效和物理失效对飞机的安全性影响。功能失效分析假定EWIS中相关部件负载有电能、数据和信号，因此其失效可能会引起系统功能降级甚至丧失或异常的影响。物理失效分析假定EWIS中相关部件负载有电能，视其为危险源(如高温、电弧等)，其失效后以局部火灾、烟雾等模式对周边其他线缆、系统、结构、人员等产生的影响。通过功能失效分析和物理失效分析，其结果都不应有灾难性事件发生的可能和不可接受的危险性影响。

图1 EWIS安全性分析流程

本文提出的分析流程如图1所示，包含功能失效和物理失效两部分。在进行功能失效分析时，需要按照第25.1309条的要求，开展功能危险性评估，梳理出灾难的(Ⅰ类)和危险的(Ⅱ类)失效状态。同时，明确这些失效状态对应的线路组成，以识别出所需要分析的EWIS，进而获取其在设计与安装等方面的系统级和飞机级需求，如定性、定量的安全性要求。这里需要说明，对于线路的定量需求需要开展系统安全性评估进行失效概率的分配以及符合性验证工作，对于线路的定性需求需要开展符合性验证工作。在进行EWIS符合性说明时，可根据EWIS的设计规范，明确分类并给出EWIS内部及与其他设备之间的分离要求，结合电子样机和物理样机共因分析等工作，完成定性安全性要求说明，以表明其符合性。在进行物理失效分析时，对全机所有的特别是可能对周边系统、结构或人员产生危害的EWIS，需要考虑包括电气故障、物理损坏和特殊风险等失效影响，以防止灾难的和危险的事件发生。

通过以上分析应该能够表明在考虑了全部EWIS系统部件后，可有效避免灾难的和危险的事件发生。同时，系统中不存在可能导致灾难失效状态发生的单点故障，并且可能导致危险失效状态发生的单点故障可控。对于不符合要求的，应该能够提出并验证缓解策略，并评估验证缓解措施不会引发新的失效状态。最后给出EWIS安全性评估结果。

3 案例分析

3.1 系统原理

反推装置是大型飞机重要的组成部分，是飞机降落时的一种减速装置。反推控制系统驱动反推装置的打开与关闭，改变发动机排气方向，如图2所示，以帮助飞机在着陆后或中断起飞时产生反推力，降低飞机的速度，缩短滑跑距离，保证飞机在降落、紧急终止起飞时(尤其雨雪天气)的安全[12]。

图2 反推装置原理

反推力控制系统根据飞机电传油门台的“展开”和“收起”指令控制反推力装置的展开和收起。反推系统的组成如图3所示，其中换向器由2个独立的控制单元控制，一个是液压隔离阀(HIV)，通过地面/空中逻辑开关控制，防止空中打开；另一个是方向控制阀(DCV)，是实现作动筒的“展开”和“收起”，通常通过恒定的弹簧压力处于收起位置。当这2个控制单元都被激活时，换向器才能通电至展开位置。

图3 电路控制原理图

本文将从EWIS功能失效影响和物理失效影响两方面，采用本文提出的分析方法，按照图1所给出的流程，对反推力控制系统开展安全性分析与评估。在分析过程中，结合功能危险分析，分别以典型灾难和危险的失效状态为案例，说明EWIS符合性过程，最后给出安全性建议和结论。

3.2 EWIS功能失效分析过程

3.2.1 功能危险分析

EWIS功能危险分析使用现有的系统安全分析技术，考虑到所有可能的EWIS失效情形，分析确定这些EWIS失效是否可能导致危险的或灾难性的事件发生。第25.1701条(a)中定义的任何组件都可能会导致EWIS故障。在执行EWIS功能分析时，必须要了解给定EWIS组件的故障模式和限制。对于反推装置，本文将分析表1中所列的危险描述场景，以确定EWIS故障对飞机安全水平的影响。

表1 EWIS功能危险分析

本文重点关注控制反推器驱动的主要部件HIV和DCV。表2为HIV和DCV故障情况的FMEA。如FHA和FMEA中所述，空中非指令打开反推力危险等级是灾难性的，因此要求这种情况发生的概率为极不可能，必须提供缓解措施，并且EWIS设计不应有单点故障的存在。

表2 反推力装置FMEA

反推系统中的每个发动机的反推装置都是完全独立的，包括T/R开关、接线和部件。发动机反推装置的故障可能是由EWIS故障或机械故障引起的。其中机械故障的原因可能是HIV、DCV、液压油管故障。虽然机械部件的故障率高于EWIS，但通过强制检查反推力装置，如每36个月就必须对与反推力装置相关的机械部件进行一次维修和更换，可以减少机械故障频率。因此一般认为通过加入维护间隔，可以将机械故障的可能性降至最低[13]。当引入维护措施后机械故障的概率为10-8量级，而电线断路的概率为10-7量级。因此，在本例中，导线故障成为导致发动机反推丧失的主要故障，如图4所示。

图4 反推丧失故障树

对于“在空中非指令打开反推”，根据图3，非指令是由HIV的“打开”命令和DCV的“展开”命令共同启动。当只有一个阀运行的情况不会导致反推力装置移动。

3.2.2 识别导致失效的EWIS

在对系统功能进行评估分析之后，需要确定EWIS是否为故障发生的条件。分析表明，HIV或DCV的28 V控制电路(T/R开关和发动机上的反推模块之间)EWIS故障(如开路)将导致反推力装置无法启动，可能导致发动机反推丧失。图5描述了要分析的EWIS(粗线所示)。

图5 识别要分析的EWIS

对于“在空中非指令打开反推力”，必须同时激活HIV和DCV。正常情形只有当飞机在地面上并且有飞行员输入“展开”T/R时，这些阀门才会被同时激活,反推工作。当T/R开关和空中/地面继电器下游的EWIS故障(如电磁干扰等)，可能会导致HIV和DCV的同时激活，从而导致反推力装置的在空中非指令地展开。根据第25.1709条的要求，导致灾难性飞机影响的EWIS故障不得由单一故障引起，必须证明发生概率小于或等于极不可能。

3.2.3 制定缓解策略

分析系统的EWIS故障时，应包括第25.1701条(a)(1)～(14)中定义的组件。可能包括但不限于以下EWIS组件：电线、电缆、插头、电连接器等。反推系统的EWIS部件包括与反推力系统相关的导线、连接器和触点。根据分析，需要减少对EWIS造成损坏的可能性，以降低EWIS导致反推系统故障的总概率。

“丧失全部反推力”这种情况是由通向HIV或DCV导线的断路造成的。因此，与这些部件相关EWIS需要增加如防止线缆磨损的要求，如图6所示。此外，为了解决2台发动机电路中常见的共因故障，需提出EWIS系统独立性的要求，并要求发动机的T/R开关在空间也要独立。

图6 确定缓解措施

在“在空中非指令打开反推力”情况下，如果反推力装置可能因HIV和DCV部件接线中的常见故障而意外展开，则必须引入EWIS缓解措施，以解决潜在的灾难性故障影响。此外，对增加的缓解措施需要进行评估，以排除是否存在单点失效、是否引入其他的故障模式以及与安装环境兼容性等。

对于“在空中非指令打开反推力”还需要增加独立性要求。由于EWIS的一个常见电气故障与HIV和DCV有关，可能导致推力反向器在无人操纵时展开，因此可以对EWIS提出HIV和DCV电路的空间隔离的要求。此外，还必须保证这2个电路都与28 V(DC)或115 V(AC)电源在空间相隔离。

3.2.4 验证缓解策略

“丧失全部反推力”已经分离并添加了一个物理屏障，以增加导线的鲁棒性，从而最大限度地降低对反推器控制线路的损坏可能性。将此缓解措施在故障树中进行分析，可降低断路的可能性，也保证了发动机间反推系统的独立性。增加的缓解措施不会引入任何额外的故障模式，并且与系统和操作环境兼容。

“在空中非指令打开反推力”在空间上分离了与HIV和DCV电路相关的EWIS。此外，还需将与HIV和DCV电路相关的EWIS同所有28 V(DC)和115 V(AC)电源线路相隔离。通过分析，增加的缓解措施不会引入任何额外的故障模式，并且与系统兼容。因此，这些缓解措施的引入解决了潜在的不符合条件，而不引入任何额外的故障模式，详见表3。

表3 反推力装置FMEA及缓解措施

3.3 EWIS物理失效分析过程

物理失效分析中只考虑单一共因事件或者失效，不需要考虑多重共因事件或者失效。在考虑物理影响时，假设导线负载有电能，且此电能可直接或在与其他因素(如燃油、氧气、液压油或者乘客破坏等)结合时导致危险的或灾难性的影响，这些失效可引起火警、烟雾、毒气释放等，损坏安装于同一地区内的系统和结构或者对人员造成伤害。

3.3.1 识别EWIS风险

反推系统中的EWIS位于机身的4个纵向线槽中，如图7所示，其中2个分别位于下货舱左右两侧，2个位于机舱顶左右两侧[14]。

图7 EWIS的安装

以左侧电缆管道中的接线和连接器为例，通过以下5个步骤对分析区域进行分类与危害识别。对于每个步骤，图7中EWIS指示此特定分析案例的适用条件。

1) 确定要分析的飞机体积和环境，如应力、湿度、温度、振动、污染物(灰尘、污垢、除冰液、液压液)等。

2) 确定要分析的EWIS和局限性，如电线耐电弧≤115 V(AC)、连接器(插入电介质限制)和触点间距等。

3) 确定要分析的系统元素(EWIS或其他传输元素)，如电力、飞行控制等。

4) 基于EWIS系统和操作环境，定义分析中使用的EWIS危害，如EWIS故障(电弧或过载)、非EWIS系统故障(液压或漏水)、外部威胁或特殊风险等。

5) 基于危害的边界分析区域，如特定风险是指暴露在潜在威胁范围内。持续安全飞行和着陆所需的功能必须位于单独的电线管道中。对于不在危害区域的EWIS，使用EWIS组件和限制来定义EWIS威胁，即电弧、过载、电磁威胁等。

3.3.2 EWIS物理失效分析

结合功能危险分析，与DCV和HIV相关的EWIS必须在空间上相互独立，并且与其他28 V(DC)或115 V(AC)电源相分离，以减少或避免HIV或DCV因电气故障而通电的可能性。根据标准在设计时DCV和HIV EWIS每组之间的间距至少为15 mm[15]。当线束中的电气故障确定时，任何给定线束分组中的电气故障将与该故障相隔离，并且不影响相邻的接线。因此28 V(DC)和115 V(AC)电源保证在空间上分离，大功率的布线均位于所有小功率布线外侧50 mm处，如图8所示，以最大限度地减少故障造成的损坏和电磁干扰的影响。

图8 电线电缆布置要求

“丧失全部反推力”的EWIS失效分析将集中在电缆的布置上。结合功能分析，与DCV和HIV相关的EWIS必须在空间上相互独立，并且必须与其他28 V(DC)或115 V(AC)电源相分离，以减少或避免HIV或DCV因电气故障而通电的可能性。根据标准，在设计时DCV和HIV EWIS每组之间15 mm。根据EWIS特性，当线束中的电气故障确定时，任何给定线束分组中的电气故障将与该组故障相隔离，不会影响到相邻的接线。所有28 V(DC)和115 V(AC)电源保证在空间上分离，所有大功率的布线均位于所有小功率布线外侧50 mm处，以最大限度地减少故障造成的损坏和电磁干扰的影响。

除了相邻EWIS故障的危害之外，作为物理分析的一部分，还对所有系统传输元件和结构的分离进行了验证。针对该活动，应进行区域安全分析[16]。考虑到反推系统是地面飞机刹车系统之一，物理分析还需要考虑与其他系统EWIS的集成关系。

特别地，在检查EWIS物理安装时，反推装置所有冗余的接线和连接器应在空间上相互隔离，任何单个EWIS故障都不会导致管束故障，所有与单个线束分组共用的布线均为冗余。因此，单个线束的失效不会导致大于“较大的”失效状态的发生。考虑到线束的失效概率为1×10-7量级，2个线束的失效概率远远小于极不可能的概率。对于鸟撞、转子爆破等特殊风险[17-20]，任何单个事件都不会导致超过2条线槽的损失。这些系统之间的关系要通过飞机级的FHA传递，转子爆破如图9所示。

图9 转子爆破的影响

3.3.3 制定缓解策略

根据飞机级FHA和系统SSA，冗余系统EWIS应符合第25.1309节和第25.1709节的要求。为了确保线束中的电气故障相互隔离，可以在空间进行相互分离，这样也保证了故障模式不会传播到相邻的线束中。基于此分析，反推系统EWIS不需要额外的缓解措施。

3.3.4 验证缓解策略

根据分析，冗余的EWIS空间分离足以证明符合第25.1709条的要求。按照第25.1709条不需要额外的缓解措施。

3.4 评估结论

通过对反推系统EWIS的功能和物理分析，考虑了包括电气故障、物理损坏和特殊风险等失效现象，提出了与HIV和DCV相关的EWIS必须在空间上相互独立，并与强电源相互隔离，以确保反推力装置的非命令部署概率至少是极不可能的。结果表明, 每个线束群之间的空间间隔足以防止失效的影响。因此，可以确定EWIS故障不会导致大于“危险的”以上事件的发生，这也表明了EWIS物理设计符合第25.1709的要求。