-
0 引言
-
FAA 25部中关于民用飞机燃油箱点燃防护的规章要求起源于1967年,最初的点火源防护中仅包括燃油箱最高温度的要求,后续随着102号修正案的颁布,增加了考虑各种失效情况下不能产生点火源的要求,并建立关键设计构型控制限制[1]。2018年,FAA发布了146号修正案[2],进一步明确了闪电类点火源的防护设计和分析方法等。一系列修正案的发布逐步完善了民用飞机点火源防护的分析思路,由于国内在民用飞机燃油箱系统点火源防护的经验上较为缺乏,为了对点火源防护的分析思路进一步明确,本文通过参考FAR 25.981条款和FAA咨询通告,总结归纳出了民用飞机燃油箱系统点火源防护的分析思路。
-
1 点火源防护设计通用要求
-
燃油箱系统内的点火源主要有五种表现形式,分别为电弧电火花、细丝加热电流、摩擦火花、高温表面引燃或自燃、静电。具体各个点火源类型的定义可参考AC25.981-1D[3]。
-
针对五种类型的点火源,能量限制要求包括:
-
1) 高温表面点火源。位于燃油箱系统内的每个部件,在正常工作、失效或故障(可能提高油箱内部温度)情况下,都不应导致燃油箱内或壁板上的温度超过400 °F(204℃);
-
2) 电弧电火花点火源。燃油箱内系统或部件(如燃油测量系统)在正常情况下进入油箱的能量不应超过50 μJ,系统或部件失效情况下进入油箱的能量不能超过200 μJ,或因电磁环境影响(如闪电)导致燃油箱内产生的电弧或者电火花,产生瞬间能量不应超过200 μJ;
-
3) 细丝加热点火源。正常情况下燃油测量系统进入油箱的稳态电流不应超过25mA RMS,失效情况下电流不应超过50mA RMS,闪电引起的瞬间峰值电流不应超过125mA。
-
针对五种类型的点火源,如果无法满足以上能量限制时,需要增加防护设计,对于防护设计架构的要求如下:
-
1) 不允许单点失效,至少有两重独立的冗余防护设计特征;
-
2) 如果采用了两重防护且其中包含了潜在失效,该潜在失效的概率应小于10-7;
-
3)所有防护设计特征的组合失效概率应小于10-9。
-
针对燃油箱系统点火源防护要求,提出了一些具体的设计指南,如为了避免燃油系统静电,应限制加油时的燃油流速[4],同时在燃油箱系统中线缆的布置应进行有效隔离[5]。
-
2 点火源防护分析
-
2.1 分析假设
-
1)燃油箱可燃性
-
由于预测燃油箱比较困难,所以在进行点火源分析时假设燃油箱内的环境总是可燃的。
-
2)失效等级
-
除非设计特征能明显减小由燃油箱点火引起的危害后果,例如聚氨酯泡沫或足够的结构强度等,一般分析假设点火源的存在是灾难级失效等级。
-
3)失效情况
-
在进行点火源分析时不考虑非包容性转子碎片、发动机外部着火、爆炸物质引起的破坏、坠机后失火、通过燃油通气系统火蔓延进入油箱等失效情况。
-
2.2 分析过程
-
适航条款25.981(a)(1)定义了燃油箱的最高温度,25.981(a)(2)要求燃油箱中任何一处的温度,在正常、失效和故障的条件下都不能超过25.981(a)(1)中定义的最高温度。
-
为了表明对25.981(a)(3)条款要求的符合性,应对燃油箱系统潜在点火源进行安全性评估,以证实点火源不会出现在燃油箱中,燃油箱系统点火源安全性评估分析思路如图1所示。
-
主要工作包含:
-
1)按点火源的类型,识别出所有可能产生潜在点火源的失效模式,如线缆磨损、燃油泵干转、紧固件断裂等;
-
2)判断防护设计特征是否可仅通过定性安全评估表明符合性。针对固有安全设计或其他能证明在任何预期失效事件下都不会破坏其防护设计特征,可仅通过定性分析表明对条款的符合性。若验证不通过,需进一步开展安全性定量分析工作;
-
3)判断防护特征是容错设计还是非容错设计。针对非容错设计(仅针对燃油箱结构闪电类点火源),依据AC25.954-1可通过定性或定量分析来表明符合性,如不能证明,需纠正改进或增加额外防护;
-
4)针对容错设计,如果是闪电类点火源,可直接通过证明其有效和可靠来表明符合性。如果不是闪电类点火源,将开展进一步定量分析。所有防护设计组合失效概率须小于10-9,如果采用两重防护且包含潜在失效,其任一潜在失效概率须小于10-7;
-
5)对于每重防护设计都需要进行有效性验证(在其他防护特征失效情况下验证),典型验证方法可参考RTCA DO-160G[6]和MIL-STD-810[7];
-
6)针对点火源防护特征,为保证其持续有效,应作为关键设计构型控制限制(Critical Design Configuration Control Limitation,简称CDCCL)项进行持续管理。
-
3 点火源防护分析说明
-
3.1 失效模式梳理
-
基于燃油箱系统的设计,对所有可能产生点火源的设计特征进行失效模式的梳理,以支持后续逐条开展安全性分析工作。例如,对于燃油系统燃油泵,常见的失效模式包括碎屑进入泵内部产生摩擦火花、泵在空油箱中长时间干转产生高温表面、泵组件与结构搭接失效产生电弧电火花等多种失效情况,表1依据点火源类型举例梳理了部分燃油泵的失效模式,具体燃油泵的安全性分析可参考SAE ARP 6385[8]。
-
图1 燃油箱系统点火源分析思路图
-
3.2 固有安全设计
-
固有安全设计的判断是对梳理出的失效模式清单逐一进行判断及分析。如果在正常操作条件下以及可预期发生的失效条件下,不会释放足够点燃油气的电能或热能,可判断其为固有安全设计。在燃油箱系统中固有安全设计的举例如下:
-
1)具有足够厚度的高导电性燃油箱结构,确保闪电附着到表面也不至于引起热点或油箱内的点火源;
-
2)燃油指示系统线路在采用瞬态抑制/能力限制装置后,使其进入油箱后的能量小于能产生点火源能量值。
-
3.3 定量分析
-
定量分析可以用来表明点火源防护设计特征的失效概率满足对应要求或者表明在各种情况下点火源发生概率小于10-9,定量分析应基于SAE ARP 4761《民用飞机机载系统和设备安全性评估过程的指南和方法》中的安全性评估分析方法[9]。图2给出了定量分析的简要示意,分析需证明相互独立的防护特征A、B和C同时失效时,导致顶事件产生点火源事件发生的概率应小于10-9。
-
图2 定量分析示意图
-
3.4 闪电类点火源分析
-
针对由闪电引起的点火源而采用的防护特征,通常分为容错类闪电点火源防护(两重及以上防护特征)和非容错类闪电点火源防护(一重防护特征)。
-
对于容错类闪电点火源防护,由于飞机被闪电击中存在一定概率,故只要证明其防护特征是有效且可靠的即可。
-
对于非容错类闪电点火源防护,首先应尽量避免非容错的点火源防护设计,如的确不可行(如燃油箱部分区域结构件的疲劳开裂和紧固件承受高强度拉伸而断裂的失效模式,无法采用容错的闪电防护设计特征),才可通过非容错点火源防护分析方法进行符合性分析。针对该类点火源防护分析,可通过定性分析或定量分析来开展符合性分析工作。如果防护方法可靠,潜在失效模式较少,用于确定失效率的可参考服役数据有限,建议采用定性评估。如果已有各种失效概率,并且数值评估合理准确,建议采用定量评估。非容错类闪电点火源防护的定性或定量分析的要求可参考AC25.954-1[10]。
-
3.5 持续适航考虑
-
根据25.981(d)的要求,必须建立必要的关键设计构型控制限制、检查或其他程序,以保证点火源防护特征的完整性。对所有与点火源相关的关键防护特征必须进行定期检查维护,保证点火源防护特征的不退化和不降级。同时,这些CDCCL项、检查和程序必须纳入持续适航文件的适航限制部分。通常,燃油箱系统CDCCL项应根据各个型号飞机的情况开展相应的梳理和分析。表2中列举了部分燃油箱系统典型的CDCCL项。
-
4 结论
-
通过参考FAR 25.981条款和FAA咨询通告,总结归纳出了民用飞机燃油箱系统点火源防护的分析思路,主要有:
-
1) 基于燃油箱系统的设计,应梳理出所有可能产生点火源的失效模式,再逐一进行安全性分析;
-
2)如果能证明在任何预期失效或事件下都不会产生点火源,可通过安全性定性分析表明对条款的符合性,否则需进一步开展安全性定量分析工作表明符合性;
-
3)针对闪电引起的点火源,须明确容错类设计或非容错类设计。若为容错类设计,可仅验证可靠并有效即可,若为非容错类设计,需根据相应情况开展定性或定量分析;
-
4)对所有与点火源相关的关键防护特征需建立必要的关键设计构型控制限制、检查或其他程序,以保证点火源防护特征的完整性。
-
参考文献
-
[1] 银未宏,张斌.民用飞机燃油箱点燃防护设计研究[J].民用飞机设计与研究,2015(2):47-50.
-
[2] Federal Aviation Administration.Transport airplane fuel tank and system lightning protection:FAA-2014-1027;Amdt.No.25-146[S].Washington D.C.:Federal Aviation Administration,2018.
-
[3] Federal Aviation Administration.Fuel tank ignition source prevention guidelines:AC25.981-1D[S].Washington D.C.:Federal Aviation Administration,2018.
-
[4] Ae-5 Aerospace Fuel,Oil And Oxidizer Systems Committee.Minimization of electrostatic hazards in aircraft fuel systems:SAE AIR1662[S].U.S.:Ae-5 Aerospace Fuel,Oil And Oxidizer Systems Committee,2007.
-
[5] 张斌,周宇穗,王澍,等.民用飞机燃油箱点火源防护符合性分析及验证研究[J].民用飞机设计与研究,2013(3):62-66.
-
[6] RTCA.Environmental conditions and test procedures for airborne equipment:RTCA DO-160G[S].U.S.:Radio Technical Commission for Aeronautics,2010.
-
[7] Department of defense test method standard:MIL-STD-810E[S].1993.
-
[8] SAE.Aircraft fuel pump mechanical and electrical safety design:SAE ARP 6385[S].U.S.:SAE,2017.
-
[9] SAE.Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment:SAE ARP 4761[S].U.S.:SAE,1996.
-
[10] Federal Aviation Administration.Transport airplane fuel system lightning protection:AC25.954-1[S].Washington D.C.:Federal Aviation Administration,2018.
-
摘要
民机燃油箱系统点火源防护是燃油箱防爆的重要范畴,通过参考FAR 25.981条款和咨询通告,开展了民用飞机燃油箱系统点火源防护的整体分析思路研究。对于点火源防护设计的通用要求,开展的分析思路主要包括点火源防护设计对象失效模式的识别,判断是否为固有安全设计,同时采用定性分析以及定量分析等各种分析方法确定是否能满足点火源防护的要求,最后通过制定关键设计构型控制限制(Critical Design Configuration Control Limitation,简称CDCCL)满足持续适航的要求。另外,针对失效模式、固有安全设计、定量分析和持续适航等都进行了相应的分析说明,如针对失效模式需梳理出所有可能产生点火源的失效模式,再逐一进行安全性分析;针对闪电引起的点火源,须明确容错类设计或非容错类设计。若为容错类设计,可仅验证可靠并有效即可,若为非容错类设计,需根据相应情况开展定性或定量分析。
Abstract
Civil aircraft fuel tank system ignition resource prevention is the important part in the fuel tank explosion prevention. According to FAR 25.981 and FAA AC, the fuel tank system ignition resource prevention analysis method was studied. For the general requirement of ignition resource prevention, the analysis methods mainly include identification of failure mode of ignition source prevention design feature, confirm whether if it is intrinsically safety design, and using various analysis methods such as qualitative analysis and quantitative analysis to determine whether it can meet the requirements of the ignition source prevention. Finally, CDCCL is formulated to meet the requirements of continuous airworthiness. In addition, the failure mode, inherent safety design, quantitative analysis and Continuous Airworthiness were analyzed and explained. For example, all the failure modes that may produce ignition source should be sorted out for failure mode, and then safety analysis should be carried out one by one. For the ignition resource caused by lightning, the fault tolerance design or non-fault tolerance design must be defined. If it is a fault tolerance design, it can only be verified to be reliable and effective. If it is non-fault tolerance design, qualitative analysis or quantitative analysis should be carried out according to the corresponding situation.
Keywords
fuel tank system ; explosion prevention ; ignition resource ; safety
