民用飛機著陸系統安全性評估的故障樹分析

張輝，陳世浩

(中電科柯林斯航空電子有限公司 工程部， 成都 611731)

0 引 言

飛機著陸系統能夠向飛行員提供精密引導信息，保障飛機安全進近和著陸。一旦著陸引導信息丟失，尤其是在氣象條件惡劣和能見度差的條件下，將大幅增加飛行員的工作負擔，影響飛機的飛行安全。據統計，飛機的飛行事故大約有一半發生在進近著陸階段，因此，研究飛機著陸系統的安全性設計對飛行安全具有重要意義。

儀表著陸系統(Instrument Landing System，簡稱ILS)是國際民航組織認可的標準著陸設備，過去幾十年來在飛機進場著陸中發揮了很大的作用。相比于ILS，微波著陸系統(Microwave Landing System，簡稱MLS)具有抗干擾能力強、工作波道多、能達到Ⅲ類精密進場著陸等優點，但由于種種限制，如MLS地面設備昂貴、ILS已遍布全球等，目前只有少數機場使用了MLS。2007年11月，空客A320系列飛機獲得歐洲航空安全局批準采用MLS進行Ⅲ類b盲降。新一代著陸系統是基于GBAS(Ground-Based Augmentation Systems)的衛星著陸系統(GBAS Landing System，簡稱GLS)，它通過機載設備接收衛星信號來確定飛機的大致位置，同時接收地面設備廣播的誤差信息，對該位置進行校正，得到飛機更精確的位置，從而支持GLS著陸。目前，美國及歐洲部分國家的一些機場已實施 GLS I類運行，Ⅱ、Ⅲ類運行正在發展和取證中。中國民航于2015年4月在上海浦東機場完成了國內首次GLS 演示驗證飛行。鑒于中國正在發展可覆蓋全球的北斗衛星定位導航系統，基于北斗系統的GLS系統是未來的發展方向。

安全性分析作為民用飛機研制過程中必不可少的一部分，貫穿整個研制周期。而安全性分析過程和研制過程又是緊密結合的，二者的關系遵循ARP4754A中提出的“雙V”過程。安全性評估的結果能對系統架構提出改進措施，直到系統設計滿足適航安全性要求。

在系統安全性分析中，故障樹分析方法作為安全性概率分析方法之一，在工程中應用廣泛。例如，王棟將動態故障樹分析方法應用于輔助動力裝置APU(Auxiliary Power Unit)系統的分析中，可以呈現冗余系統的動態特性；王小輝等應用故障樹分析方法，對結冰探測系統中喪失結冰探測告警與指示功能故障進行分析，為結冰探測系統的設計提供了參考；陸崢等通過構建故障樹模型，對蓄意墜機中飛機駕駛艙遭遇非法控制的頂事件做了分析，找出飛機遭遇非法控制的薄弱環節，提出了一種改進的駕駛艙門控制流程和邏輯；閆鋒等將故障樹分析方法和蒙特卡羅方法相結合，分析了航空發動機控制系統故障導致的發動機喪失推力控制的失效狀態，為航空發動機控制系統的適航審定提供了一種方法；張艷慧等運用系統安全性評估方法對某型號反推力系統的設計方案進行分析，構建了反推力裝置空中意外打開的故障樹，提出了系統架構的更改建議，為其他型號反推力系統的設計提供了借鑒；徐文華等、劉宇等提出了一種故障樹自動建模方法，能夠提高安全性分析的效率和完備性，但安全性分析模型的建立較為復雜，同時由于傳統的故障樹手動建模方法在工程中已廣泛應用，要完全替代故障樹手動建模方法仍存在困難。目前的研究主要集中于上述文獻提到的各個系統，對飛機著陸系統的安全性分析，并未做更詳細的研究。

本文以微波著陸系統為例，采用一種“緊湊”的故障樹建模方法，對故障樹的建模過程、概率的計算以及當安全性需求無法滿足時，如何優化系統架構等方面展開研究，為飛機著陸系統的安全性分析和系統設計提供參考。另外，故障樹分析方法是以微波著陸系統為載體展開，該方法的建模思路對飛機其他著陸系統(如ILS系統、GLS系統等)也是適用的。

1 安全性評估過程

安全性評估的基本流程如圖1所示。

圖1 安全性評估過程[13]

安全性評估過程主要包括飛機級功能危險性評估(Aircraft Functional Hazard Assessment，簡稱AFHA)、系統級功能危險性評估(System Functional Hazard Assessment，簡稱SFHA)、初步系統安全性評估(Preliminary System Safety Assessment，簡稱PSSA)和系統安全性評估(System Safety Assessment，簡稱SSA)。

AFHA通過系統地分析飛機級的功能，識別和飛機級功能相關的失效狀態，并根據失效影響的嚴重程度對其分類。AFHA的分析結果會通過初步飛機安全性評估(Preliminary Aircraft Safety Assessment，簡稱PASA)，將各個功能的安全性需求分配到系統。各系統根據分配結果，進一步做SFHA，識別和系統級功能相關的失效狀態和影響等級。失效狀態的影響等級包括災難性的、危險性的、重大的、輕微的和無安全影響的五大類，對應的概率要求分別為 1.00×10、1.00×10、1.00×10、1.00×10和無概率要求。SFHA的分析結果輸出給PSSA，PSSA通過對提出的系統架構進行系統性地檢查，以確定系統故障如何導致SFHA識別的功能危險，以及怎樣滿足SFHA中識別的安全性需求。SSA通過對已實現的系統設計做系統性地分析，綜合各種分析結果，以確定系統實現能滿足相關的安全性需求。

2 故障樹分析

故障樹分析(Fault Tree Analysis，簡稱FTA)是一種自頂向下的分析方法，作為最常用的安全性概率計算分析方法，故障樹分析廣泛應用于PSSA和SSA中，用于評估系統架構是否能滿足系統危險性評估中定義的失效狀態對應的概率要求。

2.1 概率值計算

電子設備通常具有隨機的故障分布，可用指數分布建模，如式(1)所示。

P

=1-

e

-≈

λ

τ

(1)

式中：

P

為電子設備發生故障的概率；

λ

為失效率；

τ

為暴露時間或稱為處于風險的時間?；臼录氖?p>λ

取值可來源于可靠性預測、失效狀態與影響分析(Failure Mode and Effect Analysis，簡稱FMEA)等。

2.2 割 集

割集是導致故障樹頂事件發生的任何基本事件或者基本事件的組合。割集分析作為故障樹分析的重要組成部分，通過對基本事件或基本事件組合的檢查，能夠發現故障樹結構中存在的潛在邏輯錯誤，同時能根據對頂事件發生概率的貢獻程度，對割集的組合排序。

3 微波著陸系統

微波著陸系統(MLS)是一種全天候精密進近著陸系統，工作頻率為5 031.0～5 090.7 MHz，共200個波道，依時間基準波束掃描原理工作，由地面設備和機載設備組成。地面設備向空中輻射一個很窄的扇形波束，在相應的覆蓋區內往返掃描(覆蓋范圍通常為方位角-40°～40°,仰角0.9°～15°)，對方位而言，在水平方向上左右往返掃描，對仰角而言，在垂直方向上上下往返掃描。方位波束左右往返掃描的情況如圖2所示。

圖2 微波著陸系統角測量原理

假設飛機處于微波著陸系統的覆蓋區，當方位波束相對于跑道中心線從左往右往掃描碰到飛機時，機載設備收到一個往掃脈沖，當波束從右向左返掃描碰到飛機時，機載設備收到一個返掃脈沖。由于波束的掃描速率是已知的，通過測量往掃脈沖和返掃脈沖之間的時間間隔，就能得到飛機相對于跑道中心線的方位角。俯仰角的測量原理和方位角類似，區別僅在于仰角波束是上下往返掃描的。測量出方位角和俯仰角后，就得到了飛機相對于跑道中心線的方位偏差和相對于下滑道的俯仰偏差，從而為飛機提供著陸引導信息。

4 針對微波著陸系統的故障樹分析

4.1 微波著陸功能的失效狀態

假設系統功能危險性評估(SFHA)中識別出的關于微波著陸功能的失效狀態如表1所示，表中列出了失效狀態及其編號、適用的飛行階段、失效影響、等級分類和概率要求。當影響等級為重大時，對應的概率要求為1.00×10。

表1 微波著陸系統功能危險性評估表

4.2 微波著陸系統框圖

假設微波著陸系統的概念框圖如圖3所示。

圖3 微波著陸系統概念框圖

微波著陸系統由兩套微波著陸子系統構成，包括兩個微波著陸單元(Microwave Landing System Unit，簡稱MLSU)和一個雙路輸出的MLS天線。MLSU接收來自MLS天線的射頻信號，同時通過A總線接收來自狀態控制單元(Status Control Unit，簡稱SCU)經接口控制單元(Interface Control Unit，簡稱ICU)轉發的波道信息，調諧到對應的工作頻點,將射頻信號解調后，計算出方位偏差和俯仰偏差。方位偏差和俯仰偏差數據經A總線發送至接口控制單元，再由接口控制單元路由至B總線網絡，最終送至顯示器顯示。

供電方面，采用電源匯流條#1為左側的MLSU、左側的ICU以及主駕駛顯示器(Pilot Display)供電；電源匯流條#2為右側的MLSU、右側的ICU以及副駕駛顯示器(Copilot Display)供電；電源匯流條#3為SCU供電。

4.3 完全喪失兩側微波著陸信息的故障樹分析

4.3.1 故障樹建模方法

常規的故障樹建模方法在構建故障樹時，較容易忽略一些中間事件，過快地從頂事件分解到底事件。在系統架構不復雜的情況下，該方法構建的故障樹可信度仍較高，但針對復雜的系統設計，往往會出現分析的遺漏或不完備。

本文在構建完全喪失兩側微波著陸信息為頂事件的故障樹時，采用一種“緊湊”的故障樹建模方法，如圖4所示。

圖4 故障樹建模方法概念框圖

假設某數據經單元B傳送至單元C，故障樹分析的起點是單元C無數據輸出，該事件可分解為丟失單元C或丟失單元C的輸入。丟失單元C的輸入又可進一步分解為丟失單元B到單元C的連接或單元B無數據輸出。單元B無數據輸出又回到故障樹分析的起點，可按同樣的方法進行分解，直到找出最底層的基本事件。

如果將單元B和單元C組成的框圖看作一個最小單元，那么復雜的系統架構可看作是由多個這樣的最小單元串聯和并聯而成，通過循環使用該建模方法，就能層層遞進地完成故障樹的分解。

4.3.2 故障樹分析過程

針對完全喪失兩側的微波著陸信息(34-F37-01)的失效狀態，其詳細的故障樹分析過程如圖5～圖10所示。該分析假設主駕駛顯示器僅從左側微波著陸單元接收微波著陸方位和俯仰偏差數據，副駕駛顯示器僅從右側微波著陸單元接收微波著陸方位和俯仰偏差數據。整個故障樹由兩個子故障樹組成，包括完全喪失主駕駛顯示器的微波著陸信息(G10)和完全喪失副駕駛顯示器的微波著陸信息(G7)。G10對應的故障樹由第1頁～第6頁構成，G7對應的故障樹由第7頁～第12頁構成。由于G7和G10完全相似，區別僅在于一個是右側，一個是左側，出于簡潔性和篇幅的考慮，并未列舉第7頁～第12頁的內容。

圖5 完全喪失兩側MLS信息(第1頁)

圖6 完全喪失兩側MLS信息(第2頁)

圖7 完全喪失兩側MLS信息(第3頁)

圖8 完全喪失兩側MLS信息(第4頁)

圖9 完全喪失兩側MLS信息(第5頁)

圖10 完全喪失兩側MLS信息(第6頁)

針對完全喪失主駕駛顯示器的微波著陸信息的頂事件，導致其發生的原因主要包括：喪失主駕駛顯示器、喪失輸入路徑(如總線A、總線B和射頻線)、喪失狀態控制單元、喪失左側接口控制單元、喪失左側微波著陸單元、喪失微波著陸天線以及喪失飛機電源。

故障樹中底事件符號圈內的數字代表該底事件在整個故障樹中出現的次數。如果底事件僅發生了1次，則符號圈內默認顯示空白。如果底事件發生的次數大于1次，則符號圈里將顯示對應的數字。例如，LEFT-ICU-LOSS在故障樹第2頁和第5頁各出現1次，則符號圈內顯示“2”。B-BUS-LOSS在第2頁和第8頁各出現1次(故障樹第8頁并未在文中列舉)，則符號圈內顯示“2”。

由于微波著陸功能應用于飛機的進近著陸階段，假設進近著陸的時間為10 min，則暴露時間約等于0.17 h。整個故障樹分析過程中，涉及的所有基本事件對應的失效率如表2所示。

表2 失效率信息匯總

在整個故障樹中，由于有基本事件出現的次數不止1次，在計算頂事件的發生概率時，故障樹分析工具會先做布爾代數化簡，再根據化簡后的邏輯關系做概率計算，以保證概率值的真實性?；诒?所假設的失效率，經故障樹分析工具計算后，結果表明，完全喪失兩側微波著陸信息的發生概率為9.24×10，不能滿足1.00×10的概率要求。

4.3.3 割集報告

割集報告列舉了所有割集對應的基本事件或基本事件的組合、發生概率以及該概率占頂事件發生概率的百分比，并按照概率重要度對割集按從大到小排序。

當34-F37-01發生概率為9.24×10時，對應的割集報告如表3所示，表中列舉了對頂事件發生概率貢獻最大的前5個割集組合、對應的概率值和所占的百分比，可以看出：電源匯流條#3故障、微波著陸天線故障、狀態監控單元故障和總線B故障均是單點事件，任何一個事件發生都能導致完全喪失兩側的微波著陸信息。電源匯流條#3故障作為最大貢獻者，發生的概率為8.35×10，占頂事件發生概率的90.3%；微波著陸天線故障作為第二貢獻者，發生的概率為6.68×10，僅占頂事件發生概率的7.3%。表明為了讓頂事件的發生概率滿足1.00×10的要求，需要圍繞最大貢獻者——喪失電源匯流條#3做進一步改進。

表3 割集報告(34-F37-01=9.24×10-5)

4.4 改進措施

為了滿足1.00×10的概率要求，圍繞電源匯流條#3有兩種改進措施。

4.4.1 措施一

最簡單且代價最小的措施是考慮能否進一步降低電源匯流條#3的失效率或者找到另一種失效率更低的電源匯流條替代電源匯流條#3。假設電源匯流條#3的失效率可從5.00×10降低到1.00×10，代入故障樹計算出頂事件發生的概率為1.06×10。由于1.06×10和1.00×10非常接近，可認為已滿足1.00×10的概率要求。

當34-F37-01發生概率為1.06×10時，對應的割集報告如表4所示，可以看出：當電源匯流條#3的失效率降低至1.00×10后，最大貢獻者已不再是電源匯流條#3故障，而轉換成微波著陸天線故障。若需進一步降低頂事件發生概率，可圍繞微波著陸天線采取改進措施，如將當前微波著陸天線替換為兩個單路輸出的微波著陸天線,但成本也會相應地增加。

表4 割集報告(34-F37-01=1.06×10-5)

4.4.2 措施二

假設電源匯流條#3的失效率無法降低，另一種可能的改進措施是增加一路應急匯流條對狀態控制單元供電，同時引入一個電源監視控制單元(Power Monitor Control Unit，簡稱PMCU)，優化后的狀態控制單元供電框圖如圖11所示。PMCU具有電壓監視和電壓切換的功能，系統上電后，PMCU默認選擇接通電源匯流條#3為狀態控制單元供電，一旦監視到電源匯流條#3的電壓喪失時，PMCU會選擇接通應急匯流條#4為狀態控制單元供電，從而提高供電的可靠性。

圖11 狀態控制單元供電框圖(優化后)

供電優化后，完全喪失對SCU供電的子故障樹如圖12所示，包括電源匯流條#3故障同時PMCU無法接通應急匯流條#4，以及電源匯流條#3和應急匯流條#4同時故障。

圖12 完全喪失SCU電源的子故障樹(優化后)

假設PMCU的失效率為1.00×10、電源匯流條#3和應急匯流條#4的失效率仍為5.00×10，計算出喪失SCU電源的概率為2.09×10。將圖12所示的子故障樹代入整個故障樹中，計算出完全喪失兩側MLS信息的發生概率為8.94×10，滿足1.00×10的概率要求。

4.4.3 結果對比

原始方案及加入兩種改進措施方案的結果對比如表5所示，概率要求值為1.00×10。

表5 三種不同方案結果對比

5 結 論

(1) “緊湊”的故障樹建模方法對故障樹層與層之間的關系銜接更加緊密，能更好地保證故障樹構建過程的邏輯性和完整性。針對復雜的系統架構，只需循環使用該方法，即可完成復雜故障樹的構建。該建模方法還能在一定程度上保證不同安全性分析人員構建的故障樹具有相似的結構，便于適航當局開展評審工作。

(2) 當安全性概率要求無法滿足時，故障樹分析可根據割集報告找出對頂事件發生概率的最大貢獻者，為系統架構的優化指明方向。

(3) 當安全性概率要求無法滿足時，可從兩方面采取改進措施，一是考慮能否進一步降低最大貢獻者的失效率，二是考慮如何圍繞最大貢獻者增加冗余度設計，從而滿足安全性概率要求。