系統安全性分析中風險概率指標確定方法研究

李大偉, 陳云翔, 徐浩軍, 項華春

(1.空軍工程大學 裝備管理與安全工程學院, 陜西 西安 710051;2.空軍工程大學 航空航天工程學院, 陜西 西安 710038)

0 引言

適航性和安全性是飛機的一種固有屬性,在民用飛機適航規章FAR/JAR/CCAR 25.1309等文件中,對飛機在系統安全方面提出了適航審定要求。為了符合此要求,美國機動車工程師學會頒布了SAE ARP4761/4754,航空無線電委員會頒布了RTCA DO-178B/254等指南性文件,可以作為飛機設計中安全性分析的指南和適航符合性驗證方法的參考[1-4]。

絕對的安全是不存在的,系統安全性分析承認風險的存在,其目標就是將風險控制在可接受的范圍之內。系統安全性分析的一項主要工作就是在設計階段對危險進行識別和控制。確定合理的風險概率指標非常關鍵,風險概率指標太高,則設計無法實現,并且可能引起重量、經濟性等方面的連鎖問題;風險概率指標太低,則設計出來的飛機不能滿足安全需求。國外針對大型和小型飛機的特點分別確定其風險概率指標,并且針對民用/軍用、有人/無人等飛行器的特點對其風險概率指標確定做了大量的研究[5-8]。目前國內并沒有對風險概率指標確定進行研究的公開發表的文獻。風險概率指標的確定對于我國飛機安全性標準與國際接軌以及國產民機走向國際市場具有重要意義,并且能從源頭上保證飛機的固有安全水平。

本文主要探討風險概率指標的確定思路和方法,分析不同類型和用途的飛機風險概率指標的差異,為系統安全性分析中風險概率指標的確定提供參考。

1 系統安全性分析方法概述

在運輸安全領域,人類的安全思想大致經歷了從關注安全工程設計,到關注硬件可靠性,再到關注人為差錯、硬件/軟件工程和組織的過程,形成了以運輸民法學派、可靠性工程學派和系統安全工程學派為代表的安全思想學派[9]。系統安全學科將安全納入正在設計的系統中,其基本思想是識別風險并將風險控制在可接受的范圍之內。

1.1 系統安全性分析過程

與飛機研發過程相關的系統安全性分析流程可用圖1表示。

圖1 與壽命周期相關的安全評估過程Fig.1 Safety analysis during system lifecycle

系統安全性分析可分為FHA(功能危險分析)、PSSA(初步系統安全性分析)和SSA(系統安全性分析)三個過程。

FHA是系統安全性分析的起點,用于對功能面臨的危險的鑒定和分類。PSSA是對提出的系統結構進行系統檢查,以確定失效是如何引起FHA確定的功能危險的。SSA是系統、全面地評估已設計實現的系統,以驗證來自FHA的安全目標和PSSA中的安全需求得到了滿足[10]。風險概率指標為風險評估工作提供需求的依據和規范。

1.2 安全風險評價

目前,安全風險評價是從危險事件發生的可能性與危險事件嚴重程度兩方面對安全風險進行綜合度量,要求失效狀態的嚴重程度與其對應的風險概率成反比關系。

以美國民航為例,FAA(聯邦航空局)將故障劃分為5個等級:災難性的(Catastrophic)、危險的(Hazardous)、較大的(Major)、較小的(Minor)和無影響的(No effect),故障嚴重度和期望的發生概率成反比關系[6],如圖2所示。

圖2 故障嚴重程度和概率要求的關系Fig.2 Relationship between likelihood of failure and hazard category

通過應用一系列與安全目標嚴重度相適應的設計和預防學科,安全評估者可將危險降到目標概率值要求的范圍之內。

2 國內外風險概率指標的要求

2.1 國外風險概率指標

美國在飛機適航和安全研究方面處于領先地位,因此本部分主要分析美國民用和軍用相關規范中對風險概率指標的要求。

(1)民用航空

美國民用飛機安全性分析是以FAA頒布的航空規章FAR23,25,27,29,33部為依據的。在1999年之前,單發通用航空飛機和大型噴氣式運輸機執行相同的可接受風險[7]。SAE ARP4761/4754并沒有區別機型,根據故障嚴重程度對故障狀態進行分類,提出了定性和定量的概率目標,如表1所示。

表1 與概率目標值相關的故障狀態嚴重程度劃分Table 1 Hazard categories related to probability of failure

1999年,FAA承認為通用航空器和大型運輸機規定相同的安全性標準是不符合實際的,并修改了許多小型飛機的風險概率要求[6],見表2。

(2)軍用航空

為使軍機災難性事故率達到百萬飛行小時的率級,美國國防部于2002年10月頒布了MIL-HDBK-516B[11](軍機適航審定標準)。

516B第14節中對軍用航空器安全性分析作了相應的要求,主要支撐規范有MIL-STD-882D[12]和FAR23,25,27,29,33部。2012年,DoD頒布了MIL-STD-882E以取代882D,882E[13]用風險評價指數(Risk Assessment Code,RAC)法來評估和記錄風險,給出了風險評估等級的定性要求。

與882D相比,882E對風險交互矩陣和風險處理措施進行了更詳細的探討。不同之處在于,882E將事故可能性定量要求放在附錄A中以一個示例的形式給出,作為概率指標的建議。并且,882E建議應優先采用定量的事故可能性要求而不是定性的,除非定量的事故可能性不能獲取時。定量的事故可能性要求見表3,其并沒有區別不同飛機種類的概率要求。

表2 不同類型飛機故障危險程度和概率要求的關系Table 2 Relationship of hazard categories with probability of failure for different categories of aircraft

表3 建議的事故可能性水平Table 3 Example probability levels

2.2 國內風險概率指標

(1)民用航空

中國民航CCAR23,25,27,29,33部是在參考美國FAR相應規章的基礎上制定的,國內尚沒有支撐適航審定中系統安全性分析的類似于SAE ARP4761/4754的指南性文件,在飛機設計手冊第20冊(可靠性、維修性設計)[14]中,給出了飛機安全性分析時危險等級的劃分與最大允許發生的概率值,與美國民航對大型飛機風險概率的要求是基本一致的,并沒有區別大型/小型、軍用/民用、有人/無人飛機的不同風險概率要求,見表4。

(2)軍用航空

我國軍用飛機安全性分析的規范性文件是GJB900-90[15],它是在參考MIL-STD-882B的基礎上制定的。風險評價采用RAC法,按照危險嚴重性和危險可能性劃分危險等級,見表5。

表4 危險等級劃分Table 4 Hazard categories

表5 危險的風險評價表Table 5 Risk assessment matrix for hazard

2.3 風險概率指標的對比

美國民航對風險評估標準的規范是不斷發展的,在AC 23.1309-1C[6]中,區別了通用航空飛機和大型噴氣式運輸機應采用不同的風險評估標準。而我國民用飛機安全性分析中尚未針對不同飛機種類制定相應的標準。

美軍標對事故可能性給出了定量的概率要求,而我國國軍標對風險概率沒有定量要求,僅限于定性的要求。同時,美軍在軍機研制中借助于民航的審定力量審定其軍機安全性,軍機也執行很高的安全標準。我國現行的系統安全標準是針對所有武器裝備的,沒有針對軍用飛機的特殊要求。

3 風險概率指標的確定方法

3.1 國外風險概率指標的確定模型

以災難性故障狀態為例,說明美國民航風險概率值的確定思路。

歷史數據表明,單發、6000 lb(2.7 t)以下飛機由運行和飛機機體原因引起的重大飛行事故率為10-4/h。同時,飛行事故數據庫表明,其中約10-1/h是由飛機系統引起的。因此,在新型飛機設計中,由這些故障狀態引起的重大飛行事故發生概率不應高于10-5/h。

由于對飛機上所有的系統進行系統安全性分析是困難的,假定飛機上大約有10個潛在的可能引發災難性飛行事故的故障狀態威脅安全飛行和著陸,于是每個故障狀態可能導致飛行事故的概率不能超過10-6/h。其他類型飛機風險概率確定方法與此類似[5]。

風險概率指標的確定步驟可以總結為:第一步:確定飛機種類和功用;第二步:確定某危險嚴重程度下由運行和飛機機體原因引起的飛行事故率;第三步:根據飛行事故數據庫確定由飛機系統引起的事故占總飛行事故的比例;第四步:確定對應該危險嚴重程度的獨立故障狀態數。

上述風險概率指標確定過程可以用公式表示。某類飛機危險嚴重程度i對應的風險概率Pi要求為:

(1)

式中,Pfi為由飛機運行和機體原因引起的危險嚴重程度為i的飛行事故率;k為由飛機系統引起的事故占總飛行事故的比例;ni為飛機上可能引發嚴重程度i的獨立故障狀態個數。

3.2 風險概率指標確定改進建議

從國外航空安全實踐看,民航風險概率指標的確定是以公眾和使用方可接受的安全水平為出發點的。以小型飛機災難性飛行事故風險概率10-6/h計算,全球每7～10天發生一起飛行事故,全年共37～52起飛行事故。但是,隨著未來機隊規模的擴大和航空輸送量的增加,以當前事故率去確定風險概率指標可能難以滿足公眾的安全要求,有必要對當前的風險概率指標進行修正。從飛機設計研制到投入使用還需要一定周期,因此,建議未來在風險概率指標設計時按照投入使用時估計的年平均總飛行小時數和歷史數據庫中的年平均總飛行小時數比例進行折算,式(1)可修改為:

(2)

式中,α為估計的飛機投入使用后的年平均總飛行小時數和歷史數據庫中的年平均總飛行小時數的比值。

國際民航組織建議,計算概率值時還需要考慮風險持續時間[5]。我國學者趙廷第[16]對風險的可控性和可變性進行了研究,探索了考慮安全風險反應時間的三維安全風險評價模型,給出了一個三維坐標風險域。本文提出了民用大型飛機考慮風險持續時間的風險評價表設想,見表6。由于具體的概率指標需要航空專家具體確定,因此本文只給出初步設想。表6中,“*”表示指標需結合工程實際進一步完善,建議根據危險持續時間降低風險概率要求。

表6 危險的風險評價表Table 6 Risk assessment matrix for hazard

通過國內外在風險概率指標確定方面的研究與實踐,可以獲得如下一些有借鑒性的結論供參考:

(1)一般認為軍用航空可以接受的風險等級比民用航空更高。對于相同種類的軍用和民用飛機,國外認為軍機比民機的風險概率高10倍。

(2)當前規章中任何一類飛行器的標準不能完全應用于無人飛行器系統的設計和驗證中?？梢钥隙ǖ氖?制定無人飛行器系統規章必須立足于無人飛行器在地面或者空中對人員、設備造成的危險不能高于相應的有人駕駛飛行器。

(3)為了使國產飛機在國際上取得適航準入,必須按照最嚴苛的風險概率指標要求進行安全性設計。

(4)國際民航組織建議概率目標值應作為一個目標值,在具體應用中不應作為精確值,要具體判斷。

4 結束語

本文在對比國內外飛機安全性分析標準和借鑒相關研究成果的基礎上,給出了風險概率指標確定的思路和一些啟示,主要可以概括為以下幾個方面:

(1)對比了國內外適航和安全規范中風險概率指標要求,分析了國內風險概率指標存在的不足。

(2)建立了風險概率指標確定模型,指出了當前模型存在的不足,并給出了進一步完善的建議。

(3)我國亟需針對大型/小型、民用/軍用、有人/無人飛機的特點制定不同的安全性分析標準。

參考文獻：

[1] Society of Automotive Engineers.ARP4761 Guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S].America:SAE,1996.

[2] Society of Automotive Engineers.ARP4754 Certification considerations for highly-integrated or complex aircraft systems[S].America:SAE,1996.

[3] Requirements and Technical Concepts for Aviation. DO-178B Software considerations in airborne systems and equipment certification[S].America:RTCA,1992.

[4] Requirements and Technical Concepts for Aviation.DO-254 Design assurance guidance for airborne electronic hardware[S].America:RTCA,2000.

[5] Duane Kritzinger.Aircraft system safety:military and civil aeronautical applications[M].Cambridge: Woodhead Publishing Limited,2006:57-65.

[6] U.S.Department of Transportation.AC 23.1309-1C Equipment,systems,and installations in part 23 airplanes [S].America:Federal Aviation Administration,1999.

[7] Kelly J Hayhurst,Jeffrey M Maddalon,Paul S Miner,et al.TM-2007-214539 Preliminary considerations for classifying hazards of unmanned aircraft systems[S].America:NASA Langley Research Center,2007.

[8] Kelly J Hayhurst,Jeffrey M Maddalon,Paul S Miner.Preliminary considerations for classifying hazards of unmanned aircraft systems [R].America:NASA Center for Aerospace Information,2007:2-6.

[9] 杰費里R·麥金太爾.安全思想綜述[M].王永剛,譯.北京:中國民航出版社,2007:14-15.

[10] 李大偉,陳云翔,徐浩軍,等.一種改進的系統安全性分析方法[J].科技導報,2012,30(34):32-35.

[11] Department of Defense.MIL-HDBK-516B Airworthiness certification criteria [S].America:DLSC-LM,2005.

[12] Department of Defense.MIL-STD-882D Standard practice for system safety [S].America:Defense Standardization Program Office,2000.

[13] Department of Defense.MIL-STD-882E Standard practice:system safety [S].America:Defense Standardization Program Office,2012.

[14] 龔慶祥,顧振中,宋占成,等.飛機設計手冊第20冊:可靠性維修性設計[M].北京:航空工業出版社,1999:149-152.

[15] 國防科學技術工業委員會.GJB900-90 系統安全性通用大綱[S].北京:總裝備部軍標出版發行部,1990.

[16] 趙廷第,戎梅,焦健.三維安全風險評價模型初探[C]//大型飛機關鍵技術高層論壇暨中國航空學會2007年學術年會論文集.北京:中國航空學會,2007:1-6.