关于航空发动机的可靠性、安全性或是质量设计

做航空发动机的，特别是民用航空的，常常挂在嘴边的就是适航规章。而关心过适航成立历史的都知道，起源于顾客对民用航空的安全性苛刻的要求。所以这篇谈谈设计质量问题，或者叫做可靠性、安全性。

当然，其他行业通常是有“质量”这一概念。

《软件随想录》中有一段话，很有意思

务实派并不真的关心质量有没有问题，只要有人愿意出钱购买软件，他们才不想关心代码有没有错误。

……

务实派对于“质量”有一个更广义的定义，你尽管大胆地想象，这个定义完全符合利益原则，所谓软件的“质量”，就是看它能为大家带来多少奖金，奖金越多，也就表明软件的质量越高。

这种质量的定义很有内涵，当大部分人都愿意一年换一双新鞋的时候，再去做一双能穿十年但三倍价格的皮鞋，是没有市场的。

所以质量是有价格的。

这里还有另一个我没考证的故事：

有个关于福特汽车的估计估计都听过，美国福特有款汽车有个缺陷，汽车的油箱放在后面，当发生追尾时，油箱容易被撞坏点燃进而燃烧爆炸。福特公司的工程师发现了这一缺陷，并上报公司决策层。

工程师给出一个改进建议，可以安装一个特殊的保护装置，会大大降低油箱着火的风险。

但是福特公司并没有采纳改进建议，直接将改车型推出市场。因为改进加装的防护装置会给每台车增加$11成本，而这款车的年年销量可达1250万量,一年增加的成本是1250x11=13750万

而一年会发生的着火事故大约180起，每起事故福特公司最多需要赔偿60万美元，则一年的赔偿费用是180x6=10800万

显而易见，13750>10800。对于福特公司来说，当然是选择不加装保护装置。

也自然而然，当顾客从福特公司的备忘录中获知这一真想时，被这种用赤裸裸地用金钱衡量人命的行为激怒了，幸好万恶的资本主义国家有惩罚性赔偿。福特公司的这个选择还是赔大了。

所以质量的价格应当由你的客户衡量，因为价格是由商品交易来体现，而不是用自己的成本来衡量。

还有人说人命是无价的，如果产品的质量会危机人身安全时，不论多少代价都值得。其实这种话是毫无意义的，人的一举一动都会有生命风险，喝水都有可能呛死，所以不论你愿不愿意，或多或少你都已经在给自己的生命风险拿出了一个交易价格。

有一个概念，叫做百万分之一死亡率，这是一个生命风险的概念，即一年中有百万分之一概率死亡，同时还有一个不可考的各种情况的死亡率

年龄80岁时因为任何一种原因挂掉：80000（等同于百分之八）

年龄65岁及以上由于心脏病挂掉：20000

年龄65岁及以上由于中风挂掉：4000（等同于千分之四）

年龄45到64岁之间由于癌症挂掉：2500

（各年龄段，下同）肺癌挂掉：600（等同于万分之六）

意外受伤挂掉：340

道路交通事故挂掉：160

他杀挂掉：100

白血病挂掉：76

意外中毒挂掉：35

火灾被烧挂或溺水被淹挂：15

<b>被同事干掉：9（百万分之9）</b>

肺结核挂掉：5

<b>火车事故挂掉：2</b>

<b>飞机事故挂掉：0.9（等同于千万分之9）</b>

洪水淹挂：0.4

被雷劈挂或被蚊虫咬挂：0.2

被从天而降的飞机砸中不幸挂掉：0.06（等同于一亿分之六）

在龙卷风中挂掉：0.04

那么问题来了，你愿意为一个百分之一的死亡率风险付出多大的代价。你看表中被同事干掉的概率是百万之9，就是说如果你一年每天都去工作，那么这一年中你会有百万分之9的概率会被同事干掉，既然你会愿意承担这一风险去工作，那么你的百分之一风险出价就是你的年薪的1/9。

所以不管你愿不愿意，你都为你的人身安全给出了价格，所以所有的安全性设计都是有概率的设计，所有的安全性设计的结果都是保证某一危害程度的发生概率不会超过某一概率。

比如航空发动机的CCAR33.75条适航规章中规定

……

(2) 申请人必须总结可能导致本条（g）中定义的重要发动机后果或危害性发动机后果的失效，并且估算这些失效发生的概率。

……

(3)申请人必须表明，危害性发动机后果的预期发生概率不超过定义的极小可能概率(概率范围是 10^-7到 10^-9次／发动机飞行小时)。

……

(4) 申请人必须表明，重要发动机后果的预期发生概率，不超过定义的微小可能概率(概率范围是 10^-5 到 10^-7 次／发动机飞行小时)</b>。 

……

以下失效定义适用于发动机：

(1) 一台发动机失效，其唯一后果是该发动机部分或全部丧失推力或功率(和相关发动机使用状态)，这种失效应认为是轻微发动机后果。

(2) 以下后果认为是危害性发动机后果：

(i) 非包容的高能碎片；

(ii) 客舱用发动机引气中有毒物质浓度足以使机组人员或乘客失去能力；

(iii) 与驾驶员命令的推力方向相反的较大的推力；

(iv) 不可控火情；

(v) 发动机安装系统失效，导致非故意的发动机脱开；

(vi) 如果适用，发动机引起的螺旋桨脱开；

(vii) 完全失去发动机停车能力。

(3) 严重程度介于本条(g)(1)和(g)(2)之间的后果是重要发动机后果。

简单的说，把后果分为三类，发动机失去功能定义为轻微后果，危及人员生命的定义为危害性后果，介于两种之间的是重要后果。

同时也给出每种后果允许发生的概率，危害性后果不超过极小可能概率(10^-7到 10^-9次／发动机飞行小时)，重要后果不能超过微小可能概率（ 10^-5 到 10^-7 次／发动机飞行小时）。至于轻微后果，又不影响安全，只不过如果一台发动机经常发生停车，估计航空公司也不会买它，所以设计航空发动机的企业自己就会有动力保证较低的轻微故障概率，不用适航局站在顾客的角度来限制它的发生概率。

而所有航空发动机的可靠性、安全性工作都在试图证明两件事情，发动机会有那些危害性后果、重要后果、和轻微后果，以及这三种后果的概率没有超过对应的概率限制。而强度设计中有很大一部分工作都是为如何证明这两件事提供证据。

这就会用到一些给予统计学的概率寿命分析工具，通过每个零件的失效概率，计算整个系统的失效概率。最经典的就是weibull分析。

而对于机械结构的失效概率，如果想电子零件那样通过大批量的试验来获取，明显是不现实的，所以通常会有一些其他的分析方法，比如假设每一个尺寸在公差带范围内按正态分布，而材料的性能也是一个按照正态分布参数，同时一些有限元分析工具中也都提供了敏感性分析，这样就计算出的强度也是一个概率分布。从而使用概率寿命工具，推导整个部件的失效概率。

还有概率损伤寿命分析也是一个计算零件失效概率分布的一套方法，首先我们认为任何零件都是具有缺陷的，而初始缺陷的尺寸是一个概率分布，根据断裂力学理论，可以算出一个尺寸的裂纹扩展到极限的寿命循环或者时间，这即是一个零件的失效概率。

所以说强度设计，从根本上就是一个计算失效概率的工作。

本片首发于我的博客 https://ahuangsnail.com/posts/78