航空裝備系統安全應用技術研究

何鐘武（洪都航空工業集團 江西 南昌 330024 ）

航空裝備系統安全應用技術研究

何鐘武（洪都航空工業集團 江西 南昌 330024 ）

為了消除系統研制錯誤、保證所有的故障狀態均得到識別，真正實現裝備使用時的安全、可靠、經濟，本文剖析了航空裝備有關安全性方面的傳統理念誤區，從組織、人為、技術、風險權衡、結構化的設計保證和嚴格的過程控制等方面，介紹和分析了國外有關系統安全的新理念，提出了在大系統、大綜保環境下統籌系統安全工作的觀點，并據此給出了裝備研制階段系統安全工作的思路：一是嚴格執行結構化的設計保證與過程控制，二是充分協調研制與安全性評估過程的關系。

系統安全；組織管理；軍機適航；人為因素；風險權衡

M IL-STD-882D中將系統安全定義為：在作戰效能、時間和費用的約束下，在系統壽命周期的各階段，應用工程和管理的原則、準則與技術，使災難性風險達到可接受的水平[1]。

系統安全改變了系統（按參考文獻[2]的定義）研制中，通過“試驗—改進—試驗”的“試錯”法獲得可接受的安全性水平這一傳統觀念，它要求在系統整個壽命周期中都應識別、分析和控制危險，強調在系統設計階段應把安全性要求融入到系統中，以保證系統在以后的試驗、制造、使用、保障以及退役處置中都是安全的[2]。

像大型客機、第三及第四代戰機這類現代航空裝備屬于復雜裝備，而人們對系統安全技術的應用，目前仍有各種各樣認識上的誤區，如果這些認識上的誤區不加以解決，輕則影響裝備的研制進度，重則影響裝備研制的成敗。因此，裝備的研制只有貫徹正確的理念，才能將安全性這一質量特性，固化到裝備中去，并保證裝備使用時的安全、可靠與經濟。為此，本文特對航空裝備研制中系統安全性方面的傳統理念進行剖析，對國外有關系統安全的新理念進行分析，并以此為基礎，給出裝備研制階段系統安全工作的思路。

1 傳統理念

不管是裝備型號的研制方還是使用方，都堅持以“安全第一”的思想，作為裝備研制與使用的基本工作方針與策略，都非常重視系統安全技術的研究與應用。但是，在工程的實際工作中，人們往往堅信以下理念：

?事故調查能從根本上解決安全性問題；

?符合相關規章和標準，就能滿足安全性要求；

?適航是系統安全工作的具體化；

?通過試驗和分析，能保證裝備的安全。

1.1 事故調查不能從根本上解決安全性問題

在早期的航空裝備中，對各系統確定了很高的安全性目標，但沒有可利用手段與資源去實現它，以致于事故頻發。早期的航空裝備以高頻事故為特征，并由此產生了安全壓倒一切的思想以預防重大事故的發生，從而使得事故的調查成了事故預防的主要方法，以防止釀成事故的重大故障在同型號或其它型號上再現。

圖1介紹了傳統的事故調查過程[3]。傳統的事故調查，往往讓人們去查找突發安全事件鏈中的某一點或某些點。當查不到技術原因的時，人們往往轉而去查使用者的一些不安全的做法。即：根據事件的結果去調查航空器的使用者：做錯了什么或應該做什么而又沒有做。這種調查結果對安全事故而言，只能是后見之明；對當事者而言，只能是受到無謂的指責或不同程度地感到“內疚”，并且無法逃避因沒有“履行安全”的責任而受到處罰。

事故調查所帶來的唯一收獲就是：只能實現部分的FRACAS（故障報告、分析、糾正措施系統）“歸零”（雙五歸零）。因為，2009年6月法航一架載有228人的空客A 330-200客機，在大西洋海域上空失蹤，到目前為止，其真正的失事原因還未找到。因此，有時血的代價還不一定能換來技術上的教訓。

事故的調查雖然在確定發生了“什么”、是“誰”干的、發生在“什么時候”等方面比較高效，但是在披露事故“為什么”和“怎么樣”發生時總顯得力不從心[3]。

1.2 符合相關的規章和標準不一定能滿足安全性要求[2]

不可否認，尤其是當航空裝備的復雜性不斷增加時，規章和標準，對航空安全所起的作用日顯巨大，并演變為確保裝備安全性水平的中流砥柱！但事實上，飛行事故還是在持續發生。后來，人們發現：“只要滿足規定的設計規章和標準，就能保證安全”是一個謬論[2]！對航空領域這樣開放而且動態的體系而言，想寄希望于規章和標準解決所有使用環節中的安全性問題，那是不可能的。這主要是因為規章和標準：

（1）常常是“墓碑命令”

規章和標準不能囊括系統的所有情況。它常常是對已有經驗或教訓的被動反應，它來源于適航當局、產品的設計者、試驗人員以及事故調查者等人的歷史經驗與教訓。也就是說，它們是對不希望發生而又已經發生的事件的反應，即所謂的“墓碑命令”。

（2）受時間和空間的制約

規章和標準是在一定時間（歷史）和空間（具體的使用環境）下形成的，受時間和空間的制約,在時間維上總是落后于技術的發展，因而使得它常常不完全適用于正在研制的整個系統（整機），并且很難考慮到全壽命周期的情況。

（3）不能保證裝備所有功能故障狀態均已考慮

規章和標準本身不能夠包含一切，每一規章和標準討論的往往是子系統或部件，而這些子系統或部件的故障又不是裝備發生事故的本質。事故的發生往往是不同故障的組合，甚至是不同系統間故障的相互作用。不同的航空裝備，其功能不一樣，這就決定了其系統構架也不盡相同。顯然，規章和標準無法考慮到裝備所有功能的故障狀態。

（4）鼓勵的是滿足最低的安全性要求

規章和標準并未激勵人們去進一步考慮系統的安全。通常，規章和標準代表的是特定形式系統所應考慮的最低要求，它并未指明人們設計時應回避的危險。如：對飛機的襟翼操縱系統，要求有雙余度，但沒有說明這是為了防止襟翼功能突然失效致使飛機起飛或著陸時不能保持姿態或沖出跑道時而發生等級事故。

圖2 復雜系統示例[4]

（5）經濟可承受性可能沒有得到充分的考慮

人們往往認為：由于適航規章規定的是最低的安全性要求，滿足規章的要求就是以一種最為經濟的方式滿足安全性要求。非也！因為衡量經濟性的唯一標準是ALARP（風險低到合理可行）。昨天認為要降低風險，可能需要很大的成本，但隨著技術的發展，今天可能并不需要太多的成本。

1.3 適航不等同于系統安全[2]

在航空工業部門，系統安全往往成了適航的代名詞，系統安全即適航。然而，適航關心的是適航取證期間業已批準的飛機構型，而且主要專注于飛機的持續安全飛行與著陸；而系統安全關注的不只是適航審定基礎，它還取決于系統的等級層次（如：軍用飛機和模擬器、保障設備、導彈一起構成軍用飛機系統…）。因此，適航當局關心的只是飛機及機載系統的安全性，而系統安全則還關注航空裝備同保障系統接口安全等諸多問題。適航審定的工作隨著型號審定過程的結束而結束，而系統安全則是航空裝備全壽命期內的工作。

1.4 通過試驗和分析不能保證裝備的安全

現代航空裝備，越來越多地使用功能增強和接口復雜的系統（如：駕駛艙綜合顯示系統，飛行控制、飛行管理、空中交通控制、通訊管理等系統）。現代復雜系統/子系統/設備/軟件/硬件的輸入量很多，系統間的邏輯關系相互交叉。圖2給出了一個復雜系統示例。由該圖不難得出復雜系統具有以下屬性：

?系統的接口邏輯難于理解[4] ；

?難以用試驗和／或分析的手段，確定所有的系統狀態[5][6][7]；

?需要結合結構化的設計保證和嚴格的過程控制方法，來保證系統安全。

因此，現代航空裝備無法證明試驗做多少或做到什么程度才叫充分，故而無法依靠試驗和分析的手段，來保證裝備使用時的安全。

2 系統安全新理念

2.1 事故的發生往往是組織、人為和技術這三方面因素的相互作用

從二次世界大戰期間到70年代，飛機的安全性事故主要由技術原因所致，所以人們關注的是如何從技術上保證飛行器的安全；但是從70年代初期開始，隨著系統冗余、自動駕駛、先進的機載與地面導航和通信設備、飛行導引等技術的廣泛使用，飛機安全性事故的發生概率大大降低，并且由技術因素所造成的安全性事故在10%以下，而人為因素所造成的安全性事故達80%左右[3]][8]，于是，這段時間人們便將系統安全的工作重點，逐步從對技術因素的考慮轉移到對人為因素的考慮上來；從70年代中期到90年代中期，盡管人們圍繞如何減輕因人為因素所造成的差錯對安全事故的影響，投入了大量的人力、物力和財力，但人為因素所造成的安全事故依然占總安全性事故的80%左右，于是航空界人士發現：安全事故的發生還與使用環境有關，而使用環境對人的工效影響還得通過組織管理予以解決。故從90年代起，人們站在系統工程的角度上，提出了安全性工作應包括組織、人為和技術三方面的因素（圖3）。

圖3描述了航空裝備發展過程中，安全性影響因素的演化過程，它揭示了現代航空裝備在研制時，不能僅考慮技術因素，還必須同時考慮人為、組織兩大因素對安全性的影響[3][7[11]。

此外，SHEL模型主要描述了軟件（Softw are）、硬件（Hardw are）、環境（Environm en t）、人（Livew are）各自的功能和相互之間的關系，即：人－硬件、人－軟件、人－環境、人－人四方面的接口關系。接口關系是否正常，則直接決定了裝備或其它產品在使用中，是完成既定任務還是發生安全事故[3] [4]

圖3 影響航空裝備安全性因素的深化[3]

從該模型中可以看到：人是系統中各個環節聯系的紐帶，其它部分均以人為中心、靠人的配合來保障系統的安全。該模型還告訴我們：人和其它部分的聯系邊界是不規則的，因而這四個關系（界面）成為模型的關鍵點。

SHEL模型主要反映了組織、人為和技術這三方面因素的相互作用。它揭示了今天全新的安全性理念就是：系統地識別和管理在組織、人為與技術這三方面的危險，并將危險發生的風險，降低到用戶（社會）可接受的水平內[3][7][8] [9][10]。

2.2 人犯錯誤是正常的

按照SHEL模型：使用差錯是人／技術系統的一種特性。即：將人視為技術系統的一部分，為與系統中的硬件、軟件作區別，“人”常被稱為“人件”。當我們把“人件”當作系統的一個設備時，那么，人出故障（犯錯誤）也是正常的[3][4][7]。

2.3 系統構架力求ALARP

衡量經濟性的唯一標準是ALARP，即：風險低到合理可行。ALARP反映了風險控制的基本目標[1][2][3]。

合理，即：在費用、進度及風險之間達到了平衡；低到合理可行，即：風險、降低風險所需克服的技術難點而耗費的資金、產生效益所需等待的時間等方面達到了平衡。

以某大型商用飛機為例：在安全性評估時，其損失概率不高于10-7／FH，則可以認為達到了適航要求。但這是ALARP的上限，飛機的系統安全工作有沒有達到ALARP的目標，就看能不能證明該型飛機的風險確實是低到合理可行。

隨著技術的不斷進步，A LARP的上下限總是在不斷地下移的。此外，ALARP也告訴了我們：在系統構架時如何做到安全性與經濟性辯證的統一。

2.4 傳統的驗證方法，向結構化的設計保證和嚴格的過程控制方法轉變

高度復雜或綜合的系統，在研制的過程中往往會出現各種差錯，如：危險的故障狀態識別不全、設計的要求定得不對、系統中存在多余的功能等問題。

如果說，過去采用故障模式影響分析（FM EA）、故障樹分析（FTA）和試驗的方法，對系統所實施的安全性評估效率低下、不盡如意的話，那么說，對于今天具有高度冗余和重構能力的數字化、綜合化、智能化的復雜系統，再僅采用 FMEA、FTA和相關試驗來進行評估，就顯得蒼白無力。現代系統正在呼喚著一種更為嚴格的系統安全技術。這種技術，要求提供足夠的安全性評估數據，要求更清晰地定義所分析的對象，要求邏輯性更強地闡述所使用的假設、決斷與策略。它就是結構化的設計保證和嚴格的過程控制方法。

圖4 結構化的設計保證和嚴格的過程控制

用這種方法代替試驗或分析為基礎的傳統驗證方法，將軟件、硬件由于技術、人為及組織等原因所造成重大影響的可能性降到最低，從而保證安全性要求得以實現。因而，傳統的驗證方法，正向結構化的設計保證和嚴格的過程控制方法轉變[5][6]（見圖4）。

但這并不是說試驗或分析不重要。相反，結構化的設計保證和嚴格的過程控制方法，將試驗與分析，作為安全性要求確認與驗證的重要手段之一。它強調的是系統安全工作的規范化、完整性與系統性。

2.5 大系統、大綜保環境下統籌系統安全工作

裝備與其綜合保障系統所構成的一個系統，即：裝備系統[2]。該系統等級及以上層次（如：綜合作戰系統[2]），可稱為大系統；可靠性、維修性、測試性、保障性、安全性、環境適應性、適航（性）、經濟性的質量特性集成，又統稱為大綜保。

圖5 安全性三條腿

由于裝備使用時的安全性這一質量特性，是體現在大系統與大綜保環境下的特性，而且裝備的設計與制造、使用、維修，構成了裝備使用安全性水平的三條腿（見圖5）[11][12][13]，因此，必須在大系統、大綜保的環境下統籌系統安全工作。

圖6 飛機功能的實施過程

3 研制階段系統安全工作思路

3.1 嚴格執行結構化的設計保證與過程控制

現代航空裝備，系高度復雜化的裝備。因此，在研制階段需按結構化的設計保證和嚴格的過程控制方法，開展系統安全工作。工作的思路按照圖4所示模型[2]，將系統安全性工作融入到裝備的研制過程之中。該模型左半部份，簡練地表達了設計自頂向下深入到組件級時應開展的安全性評估工作。這些子過程又稱為安全性要求的確認過程；而其右半部份，則展示了自底向上，從組件級到子系統、系統、整機的系統集成過程中，如何在每一系統層次上開展安全性的驗證工作。這些子過程又稱為安全性要求的驗證過程[2]。

圖6給出了飛機功能實現過程的模型，該模型包含多個系統的研制過程。每個系統的研制過程可能由多個組件的研制過程組成。每個組件的研制過程又包含有硬件和軟件全壽命周期內的工作，從全機到設備的許多工作需反復進行。如：設計方案的確定、安全性評估、合格審定協調等。圖6是在對圖4所示的過程進行歸納的同時，更進一步明確設計保證與過程控制的主要工作有：審定協調、安全性評估、要求確認、實施驗證、構型管理、過程保證等內容。

3.2 充分協調研制與安全性評估過程的關系

系統安全性工作是產品研制過程的一個重要組成部分。系統研制與安全性評估過程的關系見圖7。

按圖7所示模型，系統研制的主要工作有[5]：

（1）確定飛機級功能、功能要求和功能接口；

（2）確定功能故障時故障狀態的相關影響與后果；

（3）將飛機的功能分配到系統與人；

（4）進行系統構架設計和將要求分配到組件；

（5）將組件要求分配到硬件和軟件；

（6）硬件與軟件的設計與制造；

（7）硬件／軟件綜合；

（8）系統綜合。

但以上主要工作，必須置于大系統、大綜保的環境下，綜合考慮組織、人為與技術因素。

在研制過程中，系統安全的主要工作如下[5]：

（1）確定安全性要求，即：針對飛機或系統功能失效時所產生的特定危險，給出相應的定性與／或定量目標，這一過程由功能危險性評估（FHA）來完成。從合適的系統層次開始，將安全性要求分配到所要求的子系統／組件/硬件與軟件，這一過程由初步系統安全性評估(PSSA)（含試驗）來完成。

（2）對初步的設計進行安全性定性與／或定量評估，以發現設計中不滿足安全性要求的薄弱環節，并給出相應的改進措施，這一過程由系統安全性評估（SSA）（含試驗）來完成。

（3）通過共因分析(CCA)確認系統之間物理上與功能上的分開與隔離要求已經實施，并得到滿足。

（4）通過安全性的評估報告展示：為保證所研制的系統達到可接受的安全性水平，在系統研制的過程中已同步采取了安全性的評估過程，而且PSSA與SSA工作已反復迭代，直到經SSA后系統滿足交付要求時為止。

此外，還需通過ALARP報告證明：每一系統的構架在滿足安全性要求的同時，是ALARP的。

4 結束語

本文在對系統安全技術傳統理念進行剖析的同時，介紹和分析了國外有關系統安全的新理念，給出了裝備研制階段系統安全工作的思路。它旨在闡明：必須將系統安全工作置于大系統、大綜保的環境下，并綜合考慮組織、人為與技術因素；意在強調：系統安全工作的規范化、完整性與系統性，是消除系統研制錯誤、保證所有的故障狀態均得到識別的前提條件，該條件也只有通過結構化的設計保證與嚴格的過程控制方法才能實現；旨在堅持：將ALARP的理念嵌入到系統的研制與安全性評估過程之中，以真正實現裝備使用時的安全、可靠、經濟。

[1] MIL-STD-882D Standard Practice for System Safety[S].Department of Defense,2000

[2] D E Kritzinger. Aircraft System Safety: Military and Civil Aeronautical Applications [M]. Woodhead Publishing,2006

[3] ICAO DOC9859 Safety Management Manual(SMM)[S].2006,2008,2009.

[4] Nancy G. Leveson. Engineering a Safer World: System Safety for the 21st Century [M]. Massachusetts Institute of Technology,2009

[5] SAE ARP4754 Certification Considerations for Highly-Integrated or Complex Aircraft Systems [S].1996

[6] SAE ARP4761 Guidelines Methods for Conducting the Safety Assessment Process on Civil Airborne System and Equipment[S].1996

[7]何鐘武,劉毅,劉友丹等. 系統安全技術國內外研究與應用綜述[J].航空標準化與質量,2010,(3):14-17

[8] Joseph T. Nall, Accident Trends and Factors for 2007[R].AOPA Air Safety Foundation，2008

[9] 高培建. 人為因素與航空安全[J].科技創新導報,2009,13：212

[10] 曹海峰. 民用航空器事故中的人為因素分析[J].中國民用航空，2008,86:41-43

[11]何鐘武,肖朝云,肖朝云.姬長法,以可靠性為中心的維修[M].中國宇航出版社,2007

[12] National Research Council.Fostering Visions for the Future: A Review of the NASA Institute for Advanced Concepts[M].Washington, D.C.: The National Academies Press,2009

[13] Mark S.Saglimbene. Reliability analysis techniques: How they relate to aircraft certification[C].Proceedings of the Annual Reliability and Maintainability Symposium, Fort Worth,2009:218-222

Research on System Safety Application Technology for Aeronautic Facilities

He Zhongw u
(Hongdu Aviation Industry Group, Nanchang, Jiangxi 330024)

In order to el iminate er rors f rom the system development, ensure identi fications of al l the fai lure conditions, and t ruly achieve safe, rel iable and economic appl ication of the faci lities,this paper analyses the general mistakes in respect of the aeronautic faci l ity’s safety. It introduces and analyses some new concepts of the system safety f rom the aspects of organization,human factors, technology, risk balance, st ructured design guarantee and process control. It also proposes a viewpoint of considering the system safety in the environment of large system and logistic support. This paper gives two clews for system safety in development of the faci l ities: strict ly implementing the st ructured design guarantee and process cont rol; coordinating relations between the development and safety assessment.

System safety；Organization management；Mi l itary airwor thiness；Human factors Risk balance

2010-09-15）

何鐘武，男1965年8月出生，研究員級高級工程師、主任設計師，研究方向為可靠性系統工程。