國外軍民用飛機系統(tǒng)安全性對比分析

趙香娟 劉軼斐

（航空工業(yè)第一飛機設計研究院，陜西 西安 710089）

國外軍民用飛機系統(tǒng)安全性對比分析

趙香娟 劉軼斐

（航空工業(yè)第一飛機設計研究院，陜西 西安 710089）

以美國《空軍系統(tǒng)安全性手冊》、《FAA系統(tǒng)安全性手冊》為基礎，對國外軍民用飛機系統(tǒng)安全性進行了簡單介紹，并對國外軍民用飛機系統(tǒng)安全性分析評估的技術要求、技術邏輯、方法、過程進行了比較，為梳理國內(nèi)系統(tǒng)安全性工作、制定國內(nèi)系統(tǒng)安全性分析評估要求提供參考。

系統(tǒng)安全性；隱患分析；可接受矩陣

系統(tǒng)安全性起源于軍機的要求，在早期，空軍是系統(tǒng)安全早期發(fā)展的領頭羊，有關安全性的很多個第一都是由美國空軍發(fā)起的。20世紀60年代，民用飛機系統(tǒng)安全性開始獨立發(fā)展，并在系統(tǒng)安全性技術方面逐漸成熟和完善。目前國外民機的系統(tǒng)安全性工作從僅考慮飛機零部件級，到以各系統(tǒng)作為頂級分析對象，再發(fā)展到把整個飛機作為安全性頂級分析的對象。1997年到現(xiàn)在，飛機大量采用高度綜合復雜系統(tǒng)，更加強調(diào)用過程控制的方法保證系統(tǒng)安全性，相繼頒布了SEA ARP 4761《民用飛機機載系統(tǒng)和設備安全性評估過程的指南和方法》、SEA ARP 4754《民用飛機與系統(tǒng)研制指南》、RTCA DO-178《機載系統(tǒng)和設備合格審定中的軟件考慮》、RTCA DO-254《機載電子硬件設計保證指南》，用以指導飛機系統(tǒng)安全性分析、評估及系統(tǒng)、軟硬件實施過程的控制。

軍機的發(fā)展思路與民機不同，各國政府對軍用飛機關注的首要目標是其技術性能。雖然各國政府也很關注軍用飛機的安全性，但是相對于民用飛機安全性取得的成果，軍用飛機安全性的研究工作成果雖然巨大，但是對具體飛機安全性改進的結(jié)果不如其性能進步明顯。目前隨著民用飛機系統(tǒng)安全性技術逐步成熟，并在民用飛機安全性方面取得巨大成果，軍隊開始利用民用的系統(tǒng)安全性技術提高其軍用飛機的安全性，作為軍用飛機適航性工作的部分內(nèi)容。

1 系統(tǒng)安全性概述

1.1 系統(tǒng)安全性概念

安全性是避免引起人員的傷亡、設備損壞、財產(chǎn)損失以及環(huán)境危害的狀態(tài)。系統(tǒng)安全性就是在系統(tǒng)壽命周期所有階段內(nèi)應用工程和管理原理、準則和技術，在使用效能、時間和費用等約束條件內(nèi)，使系統(tǒng)獲得最佳的安全性。

1.2 系統(tǒng)安全性內(nèi)容

系統(tǒng)安全性包括系統(tǒng)安全性工程和系統(tǒng)安全性管理兩個部分，前者為識別危險、消除危險或減輕風險提供各種工程原理、準則和技術；后者提供各種管理程序和方法，以確定系統(tǒng)安全性工作要求，保證各系統(tǒng)安全性工作項目、活動計劃的實施與完成跟整個工程項目要求相協(xié)調(diào)。

1.2.1 系統(tǒng)安全性管理

通過安全性頂層文件的規(guī)定，建立安全性工作的基本原則、分析范圍，并根據(jù)原則和范圍建立與任務要求相一致的系統(tǒng)安全性風險管理程序，程序的核心內(nèi)容是識別、評估和控制對應工作項目的安全性風險。系統(tǒng)安全性管理可通過制定詳細的系統(tǒng)安全性計劃實現(xiàn)；

1.2.2 系統(tǒng)安全性工程

提供系統(tǒng)安全性方法文檔，并使用該方法識別危險、評估事故風險、采取事故風險減輕措施將事故風險減小到一個可接受水平，最后對事故風險減輕措施進行驗證，通過合適的機構對事故風險進行審查和接受，對危險和事故風險進行追蹤。

1.3 保證系統(tǒng)安全性工作有效性的要素

系統(tǒng)安全性工作輸出是安全、性能和費用三者權衡的結(jié)果，系統(tǒng)安全性工作是否有效，與管理層的重視程度、可接受標準、評估過程所使用的數(shù)據(jù)等多種因素有關。保證系統(tǒng)安全性工作有效的要素如下：

● 盡早建立可接受和不可接受標準。一個均衡的項目會使安全、性能和費用達到最優(yōu)化。系統(tǒng)安全性項目的均衡是系統(tǒng)安全性與費用、進度和性能之間相互作用的結(jié)果。項目承擔不起妨礙達到基本任務目標的事故，項目也承擔不了由于不合理和不必要的安全要求而無法工作的系統(tǒng)。安全必須放在一個適當?shù)奈恢蒙?。只有當項目中盡早確立可接受和不可接受的條件，使技術人員能夠選擇最優(yōu)設計和/或運作方法時，才能獲得恰當?shù)木?。對高成本的事故預防而言，確定可接受和不可接受風險與確定成本和性能參數(shù)同樣重要；

● 安全性、環(huán)境保護、職業(yè)健康以及任務要求一起被及時有效設計到系統(tǒng)之中。安全性分析和評估進行得越早越好。但因安全性要求是對設計的約束，在開發(fā)階段的早期，可能出現(xiàn)工作目標壓倒對降低安全風險投入的趨勢，或者降低安全風險的工作經(jīng)常被輕視或忽視。有時安全風險即使得到評估，也不足以對設計過程產(chǎn)生影響，結(jié)果，在項目后期，當突然發(fā)現(xiàn)重大的安全風險或?qū)嶋H發(fā)生事故時，可能會對進度、成本以及開發(fā)工作的質(zhì)量造成巨大影響。為了避免這種情況，需要采取與所執(zhí)行任務相稱的減少安全風險的措施，并在合適的生命周期階段，完成包括安全裝置在內(nèi)的安全措施的設計與實施；

● 歷史危險和安全性數(shù)據(jù)，包括來自其他系統(tǒng)的經(jīng)驗，應被考慮和使用；

● 有害環(huán)境狀態(tài)導致的事故風險（例如溫度、壓力、噪音、毒性、加速度、振動）、系統(tǒng)操作和后勤中的人的錯誤被最小化；

● 系統(tǒng)用戶保持對系統(tǒng)的安全性最新情況的了解，包括對系統(tǒng)安全性決策過程最新情況的了解。

2 國外軍民用飛機系統(tǒng)安全性對比

本文主要是基于《FAA系統(tǒng)安全性手冊》及其正在使用的方法指南、《美國空軍系統(tǒng)安全性手冊》和MIL-STD-882D《系統(tǒng)安全性》，對國外軍民用飛機生命周期階段中跟初始適航階段有關的系統(tǒng)安全性目標、分析評估要求、技術邏輯、方法、過程進行了對比分析。

2.1 工作目標對比

系統(tǒng)安全性目標是整個系統(tǒng)安全性工作過程的導向。目標不同，會導致設計關注的重點、形成設計方案時的權衡過程等都會不同。對民用飛機來說，系統(tǒng)安全性的最終目的是通過識別方案、設計和使用過程中的危險，評估危險的影響，采取適當?shù)拇胧┫ｋU、或?qū)⑽ｋU減弱、控制到管理當局所能接受的安全水平，最終實現(xiàn)人員的安全運載。軍機系統(tǒng)安全性的最終目標是使戰(zhàn)斗能力最大化。

2.2 分析評估要求對比

根據(jù)2000年發(fā)布的《FAA系統(tǒng)安全性手冊》，要求民機系統(tǒng)安全性分析項目包括初步危險分析、要求危險分析、系統(tǒng)和子系統(tǒng)危險分析、使用與保障危險分析、健康危險分析。軍機系統(tǒng)安全性分析除包括上述分析項目外，還包括超系統(tǒng)危險分析和環(huán)境危險分析。

國外民機系統(tǒng)安全性工作中要求對上述各種分析結(jié)果是否滿足相應安全性要求進行評估。軍機系統(tǒng)安全性中要求進行系統(tǒng)安全性評估及系統(tǒng)安全性管理評估，根據(jù)該要求需要對安全性危險及其相關風險的減輕措施、正式的風險接受決議所識別的狀態(tài)進行評估，評估應包括已識別的危險、已減輕的危險，以及伴隨已被減輕了風險但沒有被消除的危險的明確的程序控制和預防措施。

2.3 分析評估技術邏輯對比

國外軍機系統(tǒng)安全性分析邏輯見圖1，國外民機系統(tǒng)安全性分析邏輯見圖2，圖2中，在概念設計階段進行初步危險分析后，在初步設計階段需進行迭代分析。

2.3.1 相同點

都需經(jīng)過列出初步危險清單（PHL）、初步危險分析（PHA）、要求危險分析（RHA）、子系統(tǒng)和系統(tǒng)危險分析（SSHA、SHA）、使用與保障危險分析（O&SHA），其分析邏輯大致相同。分析邏輯如下：

● 列出所關注區(qū)域的危險清單，然后對照清單進行自上而下的初步危險分析，認識所有伴隨系統(tǒng)所隱含的危險狀態(tài)；

● 可使用初步危險清單和初步危險分析結(jié)果作為要求危險分析的基礎。通過要求危險分析將確定存在的危險與系統(tǒng)設計聯(lián)系起來并提出消除或降低危險到可接受水平的設計需求，包括軟件、硬件的需求。

● 在子系統(tǒng)危險分析中，針對每個子系統(tǒng)或部件，分析與運行或失效模式相關的危險，進而分析部件的運行或失效如何影響整個系統(tǒng)的安全性。應使用系統(tǒng)安全性優(yōu)先原則確定必要的設計措施，以消除或降低已識別的危險到可接受水平。

● 通過系統(tǒng)危險分析，檢查部件的運行或失效如何影響系統(tǒng)及其子系統(tǒng)的安全性。SHA應在系統(tǒng)設計成熟時開始，并在設計完成前不斷更新。應使用系統(tǒng)安全優(yōu)先原則確定必要的設計措施，以消除或降低已識別的危險到可接受水平。

2.3.2 不同點

在PHL中，民用飛機主要列出跟功能有關的危險清單，軍用飛機需列出所有的危險清單。另外，根據(jù)圖1和圖2的分析邏輯，軍機在進行初步危險分析之后，接著進行子系統(tǒng)危險分析，將其分析結(jié)果作為下一步系統(tǒng)危險分析的輸入；民機在進行初步危險分析之后，接著進行系統(tǒng)危險分析，而后進行子系統(tǒng)危險分析。

2.4 分析評估方法對比

2.4.1 國外軍機

《空軍系統(tǒng)安全性手冊》中指出初步危險清單、初步危險分析、系統(tǒng)危險分析、子系統(tǒng)危險分析可以使用DISAFT-80101《系統(tǒng)安全性危險分析報告》中給出的方法。分析的評估是從空軍裝備部系統(tǒng)安全性主任Harvey “Chuck” Dorney所編的《危險分析的評價指南》中摘出的，該指南提供了評價系統(tǒng)安全性分析的方法。該方法分析的基礎是初步危險清單，典型的初步危險清單包括，能源、功能、操作、部件、材料、相似類型的經(jīng)驗教訓、不期望的事故、需要考慮的故障模式和故障狀態(tài)。其它分析在此初步危險清單的基礎上逐層展開，并隨設計細節(jié)的深入對危險清單進行擴充和分析。其優(yōu)點是依賴良好的設計經(jīng)驗、危險知識和事故教訓，能夠?qū)ξｋU進行比較全面的分析，缺點是危險清單涉及多個層次，相對較低層次的危險，其分析過程不適合復雜系統(tǒng)，同時，分析過程的結(jié)構化特點相對較弱；

2.4.2 國外民機

《FAA系統(tǒng)安全性手冊》指出，應使用總體方法進行分析。危險分析（包括初步危險清單、初步危險分析、子系統(tǒng)、系統(tǒng)危險分析）合并稱為系統(tǒng)危險總體分析。為了實現(xiàn)系統(tǒng)危險總體分析，應對許多與系統(tǒng)風險相關的概念有所了解，在所分析的情節(jié)構成中，前后一致性和關聯(lián)性很重要，分析完整性也關系到所分析情節(jié)的構成和表達?；诖艘蟮姆治?、風險識別、風險控制才是有效的，才能針對任何復雜程度的系統(tǒng)，實現(xiàn)設計一個復雜的帶有可接受風險的系統(tǒng)的目標。在適航審查中將SEA ARP 4761作為初始適航階段系統(tǒng)安全性評估的指南，該指南以功能危險分析為基礎，考慮共因危險，確定飛機級的安全性要求，同時將該要求逐層分解到系統(tǒng)、子系統(tǒng)、設備、LRU（現(xiàn)場可更換單元）。并自LRU級逐層向上評估驗證安全性要求是否滿足。該分析評估方法具有極強的結(jié)構化特點，可以滿足自初步危險分析、子系統(tǒng)、系統(tǒng)危險分析一致性、完整性和關聯(lián)性的要求，同時，自頂向下的分析過程比較適合復雜系統(tǒng)的安全性分析。

2.5 安全性評估過程對比

國外軍機系統(tǒng)安全性評估過程采用的是基于風險的評估方法，民機內(nèi)部安全管理系統(tǒng)采用基于風險和基于目標綜合的方式。美國聯(lián)邦航空局將危險的嚴重程度分為5類，由美國聯(lián)邦航空局根據(jù)一定的程序確定各個風險類別的公眾可接受安全性目標，適航審查時檢查飛機設計是否滿足已確定的安全性目標。

基于風險和基于目標的評估方法對比如下。

2.5.1 評估內(nèi)容

基于風險的評估方法能夠評估發(fā)生某種不利后果的可能性（包括任務失敗、平臺損失、計劃延遲等），識別整體風險最重要的致因（設計、運行、維修、管理、環(huán)境等）并對其排序，同時評估隨風險評估而產(chǎn)生的不確定性，給出哪種替代方案的風險較低?；谀繕说脑u估方法能夠識別可能導致危險的故障模式，給出這些故障模式的安全性目標，其更關注導致事故風險的技術故障；

2.5.2 風險定義

包括嚴重性分類和發(fā)生概率定義。由于其分析內(nèi)容不同，基于風險的評估方法關注的是事故，基于目標的分析方法關注的是風險。二者的定義如表1。

表1 基于風險和基于目標的風險定義

2.5.3 風險評估矩陣和可接受標準

根據(jù)基于風險和基于目標的風險定義，使用嚴重性分類和發(fā)生可能性分類構成風險評估矩陣，分別使用不同的數(shù)字表示相應的風險指數(shù)。基于風險的方法根據(jù)風險指數(shù)將風險劃分為4個級別，基于目標的方法將風險劃分為3個級別，并根據(jù)風險級別確定其可接受標準?；陲L險的風險矩陣見表2，可接受標準見表3；基于目標的風險矩陣見表4，可接受標準見表5。

2.5.4 評估步驟

基于風險的方法其評估過程分為5個步驟，分別為識別危險、對每個事故危害度進行分類、確定每個事故的發(fā)生概率、通過發(fā)生概率和后果危害度評估對人員、財產(chǎn)和/或任務成功的影響、風險管理?；谀繕说姆椒ㄆ湓u估過程分為3個步驟，分別為識別故障模式或者危險情況、為這些故障模式分配安全性目標、證實安全性目標已經(jīng)滿足。

表2 基于風險的風險矩陣

表3 基于風險的可接受標準

表4 基于目標的風險矩陣

表5 基于目標的可接受標準

2.5.5 優(yōu)缺點

基于風險的評估方法能夠評估發(fā)生某種不利后果的可能性，識別整體風險最重要的致因并對其排序，同時評估隨風險評估而產(chǎn)生的不確定性，給出哪種替代方案的風險較低。該方法在應用于重大事故時非常有效，在此情況下發(fā)生概率相對較低而對運營經(jīng)驗要求很高。其缺點是需要制定合適的風險標準，該標準并無公認的標準來界定風險是否可容忍，并且所有利害相關者需達成一致意見。另外，事故序列存在大量的不確定性，如果要考慮全部因素變量是不切實際的，因此評估事故序列中每種事件的發(fā)生概率變得非常主觀，同時，在事故序列中也不可避免地存在著人為錯誤，即使定量評估可能看起來非?？陀^，但核心輸入數(shù)據(jù)通常又很主觀和/或具有預測性。另外，進行可接受性分析時要求進行成本——收益分析，在安全和經(jīng)濟效益之間進行權衡時，需要賦予生命一定的價格；

基于目標的評估方法因其更關注導致事故風險的技術故障，相對于其它導致事故的因素，技術故障發(fā)生更確定并且更容易預測；同時，基于目標的方法為系統(tǒng)失效的嚴酷度提供了清晰的指南，在分析過程中給出了系統(tǒng)需要滿足的最低安全目標，這些目標可快速、有效地確定并分配給相關責任方來完成。因此，基于目標的方法對于系統(tǒng)設計人員很有幫助。另外，國際公認安全性標準的應用為參與方/分包商以及客戶/經(jīng)營方在項目集成和適航認證方面提供了公平的環(huán)境。其缺點是在系統(tǒng)設計中采取風險減輕措施并不能完全阻斷錯誤，并且一旦時機成熟，錯誤仍舊會向著引發(fā)事故的方向發(fā)展，因此系統(tǒng)用戶仍需要進行進一步的評估來考慮如何將系統(tǒng)付諸實際使用，并考慮什么風險需要進行控制。

3 結(jié)論

以適航審查為主導的國外民用飛機系統(tǒng)安全性，隨著飛機系統(tǒng)的集成度和復雜度越來越高，其分析評估理念和方法在不斷更新，體系在逐漸完善，并易于在具體工程中實施。國外軍機系統(tǒng)安全性分析評估方法充分考慮了軍機安全性要求隨機種和項目任務要求變化的特點，但存在不易操作等缺點，尤其是定量評估。因此，在國內(nèi)軍機系統(tǒng)安全性分析評估要求制定過程中，應盡最大可能吸收民機系統(tǒng)安全性的先進理念和方法精髓，并考慮軍機特點。建議采用將基于風險和基于目標的綜合評估方法。在研制早期論證確定安全性目標，將基于風險的決策方法轉(zhuǎn)化為基于目標的方法，為系統(tǒng)設計確定明確的安全性定量、定性要求；在安全性評估過程中針對性能、安全性再次進行綜合權衡，使飛機的戰(zhàn)斗能力最大化。

[1] MIL-STD-882E System Safety [S].

[2] FAA System Safety Handbook [S].

[3] Air Force System Safety Handbook [S].

[4] Duane Kritzinger. Aircraft System Safety: Military and Civil Aeronautical Applications[M]. CRC Press，2006.

T-65 [文獻標識碼] C [文章編號] 1003-6660（2017）04-0043-00

10.13237/j.cnki.asq.2017.04.011

[收修訂稿日期] 2017-05-24

（編輯：勞邊）