航空装备系统安全应用技术研究

何钟武（洪都航空工业集团 江西 南昌 330024 ）

航空装备系统安全应用技术研究

何钟武（洪都航空工业集团 江西 南昌 330024 ）

为了消除系统研制错误、保证所有的故障状态均得到识别，真正实现装备使用时的安全、可靠、经济，本文剖析了航空装备有关安全性方面的传统理念误区，从组织、人为、技术、风险权衡、结构化的设计保证和严格的过程控制等方面，介绍和分析了国外有关系统安全的新理念，提出了在大系统、大综保环境下统筹系统安全工作的观点，并据此给出了装备研制阶段系统安全工作的思路：一是严格执行结构化的设计保证与过程控制，二是充分协调研制与安全性评估过程的关系。

系统安全；组织管理；军机适航；人为因素；风险权衡

M IL-STD-882D中将系统安全定义为：在作战效能、时间和费用的约束下，在系统寿命周期的各阶段，应用工程和管理的原则、准则与技术，使灾难性风险达到可接受的水平[1]。

系统安全改变了系统（按参考文献[2]的定义）研制中，通过“试验—改进—试验”的“试错”法获得可接受的安全性水平这一传统观念，它要求在系统整个寿命周期中都应识别、分析和控制危险，强调在系统设计阶段应把安全性要求融入到系统中，以保证系统在以后的试验、制造、使用、保障以及退役处置中都是安全的[2]。

像大型客机、第三及第四代战机这类现代航空装备属于复杂装备，而人们对系统安全技术的应用，目前仍有各种各样认识上的误区，如果这些认识上的误区不加以解决，轻则影响装备的研制进度，重则影响装备研制的成败。因此，装备的研制只有贯彻正确的理念，才能将安全性这一质量特性，固化到装备中去，并保证装备使用时的安全、可靠与经济。为此，本文特对航空装备研制中系统安全性方面的传统理念进行剖析，对国外有关系统安全的新理念进行分析，并以此为基础，给出装备研制阶段系统安全工作的思路。

1 传统理念

不管是装备型号的研制方还是使用方，都坚持以“安全第一”的思想，作为装备研制与使用的基本工作方针与策略，都非常重视系统安全技术的研究与应用。但是，在工程的实际工作中，人们往往坚信以下理念：

•事故调查能从根本上解决安全性问题；

•符合相关规章和标准，就能满足安全性要求；

•适航是系统安全工作的具体化；

•通过试验和分析，能保证装备的安全。

1.1 事故调查不能从根本上解决安全性问题

在早期的航空装备中，对各系统确定了很高的安全性目标，但没有可利用手段与资源去实现它，以致于事故频发。早期的航空装备以高频事故为特征，并由此产生了安全压倒一切的思想以预防重大事故的发生，从而使得事故的调查成了事故预防的主要方法，以防止酿成事故的重大故障在同型号或其它型号上再现。

图1介绍了传统的事故调查过程[3]。传统的事故调查，往往让人们去查找突发安全事件链中的某一点或某些点。当查不到技术原因的时，人们往往转而去查使用者的一些不安全的做法。即：根据事件的结果去调查航空器的使用者：做错了什么或应该做什么而又没有做。这种调查结果对安全事故而言，只能是后见之明；对当事者而言，只能是受到无谓的指责或不同程度地感到“内疚”，并且无法逃避因没有“履行安全”的责任而受到处罚。

事故调查所带来的唯一收获就是：只能实现部分的FRACAS（故障报告、分析、纠正措施系统）“归零”（双五归零）。因为，2009年6月法航一架载有228人的空客A 330-200客机，在大西洋海域上空失踪，到目前为止，其真正的失事原因还未找到。因此，有时血的代价还不一定能换来技术上的教训。

事故的调查虽然在确定发生了“什么”、是“谁”干的、发生在“什么时候”等方面比较高效，但是在披露事故“为什么”和“怎么样”发生时总显得力不从心[3]。

1.2 符合相关的规章和标准不一定能满足安全性要求[2]

不可否认，尤其是当航空装备的复杂性不断增加时，规章和标准，对航空安全所起的作用日显巨大，并演变为确保装备安全性水平的中流砥柱！但事实上，飞行事故还是在持续发生。后来，人们发现：“只要满足规定的设计规章和标准，就能保证安全”是一个谬论[2]！对航空领域这样开放而且动态的体系而言，想寄希望于规章和标准解决所有使用环节中的安全性问题，那是不可能的。这主要是因为规章和标准：

（1）常常是“墓碑命令”

规章和标准不能囊括系统的所有情况。它常常是对已有经验或教训的被动反应，它来源于适航当局、产品的设计者、试验人员以及事故调查者等人的历史经验与教训。也就是说，它们是对不希望发生而又已经发生的事件的反应，即所谓的“墓碑命令”。

（2）受时间和空间的制约

规章和标准是在一定时间（历史）和空间（具体的使用环境）下形成的，受时间和空间的制约,在时间维上总是落后于技术的发展，因而使得它常常不完全适用于正在研制的整个系统（整机），并且很难考虑到全寿命周期的情况。

（3）不能保证装备所有功能故障状态均已考虑

规章和标准本身不能够包含一切，每一规章和标准讨论的往往是子系统或部件，而这些子系统或部件的故障又不是装备发生事故的本质。事故的发生往往是不同故障的组合，甚至是不同系统间故障的相互作用。不同的航空装备，其功能不一样，这就决定了其系统构架也不尽相同。显然，规章和标准无法考虑到装备所有功能的故障状态。

（4）鼓励的是满足最低的安全性要求

规章和标准并未激励人们去进一步考虑系统的安全。通常，规章和标准代表的是特定形式系统所应考虑的最低要求，它并未指明人们设计时应回避的危险。如：对飞机的襟翼操纵系统，要求有双余度，但没有说明这是为了防止襟翼功能突然失效致使飞机起飞或着陆时不能保持姿态或冲出跑道时而发生等级事故。

图2 复杂系统示例[4]

（5）经济可承受性可能没有得到充分的考虑

人们往往认为：由于适航规章规定的是最低的安全性要求，满足规章的要求就是以一种最为经济的方式满足安全性要求。非也！因为衡量经济性的唯一标准是ALARP（风险低到合理可行）。昨天认为要降低风险，可能需要很大的成本，但随着技术的发展，今天可能并不需要太多的成本。

1.3 适航不等同于系统安全[2]

在航空工业部门，系统安全往往成了适航的代名词，系统安全即适航。然而，适航关心的是适航取证期间业已批准的飞机构型，而且主要专注于飞机的持续安全飞行与着陆；而系统安全关注的不只是适航审定基础，它还取决于系统的等级层次（如：军用飞机和模拟器、保障设备、导弹一起构成军用飞机系统…）。因此，适航当局关心的只是飞机及机载系统的安全性，而系统安全则还关注航空装备同保障系统接口安全等诸多问题。适航审定的工作随着型号审定过程的结束而结束，而系统安全则是航空装备全寿命期内的工作。

1.4 通过试验和分析不能保证装备的安全

现代航空装备，越来越多地使用功能增强和接口复杂的系统（如：驾驶舱综合显示系统，飞行控制、飞行管理、空中交通控制、通讯管理等系统）。现代复杂系统/子系统/设备/软件/硬件的输入量很多，系统间的逻辑关系相互交叉。图2给出了一个复杂系统示例。由该图不难得出复杂系统具有以下属性：

•系统的接口逻辑难于理解[4] ；

•难以用试验和／或分析的手段，确定所有的系统状态[5][6][7]；

•需要结合结构化的设计保证和严格的过程控制方法，来保证系统安全。

因此，现代航空装备无法证明试验做多少或做到什么程度才叫充分，故而无法依靠试验和分析的手段，来保证装备使用时的安全。

2 系统安全新理念

2.1 事故的发生往往是组织、人为和技术这三方面因素的相互作用

从二次世界大战期间到70年代，飞机的安全性事故主要由技术原因所致，所以人们关注的是如何从技术上保证飞行器的安全；但是从70年代初期开始，随着系统冗余、自动驾驶、先进的机载与地面导航和通信设备、飞行导引等技术的广泛使用，飞机安全性事故的发生概率大大降低，并且由技术因素所造成的安全性事故在10%以下，而人为因素所造成的安全性事故达80%左右[3]][8]，于是，这段时间人们便将系统安全的工作重点，逐步从对技术因素的考虑转移到对人为因素的考虑上来；从70年代中期到90年代中期，尽管人们围绕如何减轻因人为因素所造成的差错对安全事故的影响，投入了大量的人力、物力和财力，但人为因素所造成的安全事故依然占总安全性事故的80%左右，于是航空界人士发现：安全事故的发生还与使用环境有关，而使用环境对人的工效影响还得通过组织管理予以解决。故从90年代起，人们站在系统工程的角度上，提出了安全性工作应包括组织、人为和技术三方面的因素（图3）。

图3描述了航空装备发展过程中，安全性影响因素的演化过程，它揭示了现代航空装备在研制时，不能仅考虑技术因素，还必须同时考虑人为、组织两大因素对安全性的影响[3][7[11]。

此外，SHEL模型主要描述了软件（Softw are）、硬件（Hardw are）、环境（Environm en t）、人（Livew are）各自的功能和相互之间的关系，即：人－硬件、人－软件、人－环境、人－人四方面的接口关系。接口关系是否正常，则直接决定了装备或其它产品在使用中，是完成既定任务还是发生安全事故[3] [4]

图3 影响航空装备安全性因素的深化[3]

从该模型中可以看到：人是系统中各个环节联系的纽带，其它部分均以人为中心、靠人的配合来保障系统的安全。该模型还告诉我们：人和其它部分的联系边界是不规则的，因而这四个关系（界面）成为模型的关键点。

SHEL模型主要反映了组织、人为和技术这三方面因素的相互作用。它揭示了今天全新的安全性理念就是：系统地识别和管理在组织、人为与技术这三方面的危险，并将危险发生的风险，降低到用户（社会）可接受的水平内[3][7][8] [9][10]。

2.2 人犯错误是正常的

按照SHEL模型：使用差错是人／技术系统的一种特性。即：将人视为技术系统的一部分，为与系统中的硬件、软件作区别，“人”常被称为“人件”。当我们把“人件”当作系统的一个设备时，那么，人出故障（犯错误）也是正常的[3][4][7]。

2.3 系统构架力求ALARP

衡量经济性的唯一标准是ALARP，即：风险低到合理可行。ALARP反映了风险控制的基本目标[1][2][3]。

合理，即：在费用、进度及风险之间达到了平衡；低到合理可行，即：风险、降低风险所需克服的技术难点而耗费的资金、产生效益所需等待的时间等方面达到了平衡。

以某大型商用飞机为例：在安全性评估时，其损失概率不高于10-7／FH，则可以认为达到了适航要求。但这是ALARP的上限，飞机的系统安全工作有没有达到ALARP的目标，就看能不能证明该型飞机的风险确实是低到合理可行。

随着技术的不断进步，A LARP的上下限总是在不断地下移的。此外，ALARP也告诉了我们：在系统构架时如何做到安全性与经济性辩证的统一。

2.4 传统的验证方法，向结构化的设计保证和严格的过程控制方法转变

高度复杂或综合的系统，在研制的过程中往往会出现各种差错，如：危险的故障状态识别不全、设计的要求定得不对、系统中存在多余的功能等问题。

如果说，过去采用故障模式影响分析（FM EA）、故障树分析（FTA）和试验的方法，对系统所实施的安全性评估效率低下、不尽如意的话，那么说，对于今天具有高度冗余和重构能力的数字化、综合化、智能化的复杂系统，再仅采用 FMEA、FTA和相关试验来进行评估，就显得苍白无力。现代系统正在呼唤着一种更为严格的系统安全技术。这种技术，要求提供足够的安全性评估数据，要求更清晰地定义所分析的对象，要求逻辑性更强地阐述所使用的假设、决断与策略。它就是结构化的设计保证和严格的过程控制方法。

图4 结构化的设计保证和严格的过程控制

用这种方法代替试验或分析为基础的传统验证方法，将软件、硬件由于技术、人为及组织等原因所造成重大影响的可能性降到最低，从而保证安全性要求得以实现。因而，传统的验证方法，正向结构化的设计保证和严格的过程控制方法转变[5][6]（见图4）。

但这并不是说试验或分析不重要。相反，结构化的设计保证和严格的过程控制方法，将试验与分析，作为安全性要求确认与验证的重要手段之一。它强调的是系统安全工作的规范化、完整性与系统性。

2.5 大系统、大综保环境下统筹系统安全工作

装备与其综合保障系统所构成的一个系统，即：装备系统[2]。该系统等级及以上层次（如：综合作战系统[2]），可称为大系统；可靠性、维修性、测试性、保障性、安全性、环境适应性、适航（性）、经济性的质量特性集成，又统称为大综保。

图5 安全性三条腿

由于装备使用时的安全性这一质量特性，是体现在大系统与大综保环境下的特性，而且装备的设计与制造、使用、维修，构成了装备使用安全性水平的三条腿（见图5）[11][12][13]，因此，必须在大系统、大综保的环境下统筹系统安全工作。

图6 飞机功能的实施过程

3 研制阶段系统安全工作思路

3.1 严格执行结构化的设计保证与过程控制

现代航空装备，系高度复杂化的装备。因此，在研制阶段需按结构化的设计保证和严格的过程控制方法，开展系统安全工作。工作的思路按照图4所示模型[2]，将系统安全性工作融入到装备的研制过程之中。该模型左半部份，简练地表达了设计自顶向下深入到组件级时应开展的安全性评估工作。这些子过程又称为安全性要求的确认过程；而其右半部份，则展示了自底向上，从组件级到子系统、系统、整机的系统集成过程中，如何在每一系统层次上开展安全性的验证工作。这些子过程又称为安全性要求的验证过程[2]。

图6给出了飞机功能实现过程的模型，该模型包含多个系统的研制过程。每个系统的研制过程可能由多个组件的研制过程组成。每个组件的研制过程又包含有硬件和软件全寿命周期内的工作，从全机到设备的许多工作需反复进行。如：设计方案的确定、安全性评估、合格审定协调等。图6是在对图4所示的过程进行归纳的同时，更进一步明确设计保证与过程控制的主要工作有：审定协调、安全性评估、要求确认、实施验证、构型管理、过程保证等内容。

3.2 充分协调研制与安全性评估过程的关系

系统安全性工作是产品研制过程的一个重要组成部分。系统研制与安全性评估过程的关系见图7。

按图7所示模型，系统研制的主要工作有[5]：

（1）确定飞机级功能、功能要求和功能接口；

（2）确定功能故障时故障状态的相关影响与后果；

（3）将飞机的功能分配到系统与人；

（4）进行系统构架设计和将要求分配到组件；

（5）将组件要求分配到硬件和软件；

（6）硬件与软件的设计与制造；

（7）硬件／软件综合；

（8）系统综合。

但以上主要工作，必须置于大系统、大综保的环境下，综合考虑组织、人为与技术因素。

在研制过程中，系统安全的主要工作如下[5]：

（1）确定安全性要求，即：针对飞机或系统功能失效时所产生的特定危险，给出相应的定性与／或定量目标，这一过程由功能危险性评估（FHA）来完成。从合适的系统层次开始，将安全性要求分配到所要求的子系统／组件/硬件与软件，这一过程由初步系统安全性评估(PSSA)（含试验）来完成。

（2）对初步的设计进行安全性定性与／或定量评估，以发现设计中不满足安全性要求的薄弱环节，并给出相应的改进措施，这一过程由系统安全性评估（SSA）（含试验）来完成。

（3）通过共因分析(CCA)确认系统之间物理上与功能上的分开与隔离要求已经实施，并得到满足。

（4）通过安全性的评估报告展示：为保证所研制的系统达到可接受的安全性水平，在系统研制的过程中已同步采取了安全性的评估过程，而且PSSA与SSA工作已反复迭代，直到经SSA后系统满足交付要求时为止。

此外，还需通过ALARP报告证明：每一系统的构架在满足安全性要求的同时，是ALARP的。

4 结束语

本文在对系统安全技术传统理念进行剖析的同时，介绍和分析了国外有关系统安全的新理念，给出了装备研制阶段系统安全工作的思路。它旨在阐明：必须将系统安全工作置于大系统、大综保的环境下，并综合考虑组织、人为与技术因素；意在强调：系统安全工作的规范化、完整性与系统性，是消除系统研制错误、保证所有的故障状态均得到识别的前提条件，该条件也只有通过结构化的设计保证与严格的过程控制方法才能实现；旨在坚持：将ALARP的理念嵌入到系统的研制与安全性评估过程之中，以真正实现装备使用时的安全、可靠、经济。

[1] MIL-STD-882D Standard Practice for System Safety[S].Department of Defense,2000

[2] D E Kritzinger. Aircraft System Safety: Military and Civil Aeronautical Applications [M]. Woodhead Publishing,2006

[3] ICAO DOC9859 Safety Management Manual(SMM)[S].2006,2008,2009.

[4] Nancy G. Leveson. Engineering a Safer World: System Safety for the 21st Century [M]. Massachusetts Institute of Technology,2009

[5] SAE ARP4754 Certification Considerations for Highly-Integrated or Complex Aircraft Systems [S].1996

[6] SAE ARP4761 Guidelines Methods for Conducting the Safety Assessment Process on Civil Airborne System and Equipment[S].1996

[7]何钟武,刘毅,刘友丹等. 系统安全技术国内外研究与应用综述[J].航空标准化与质量,2010,(3):14-17

[8] Joseph T. Nall, Accident Trends and Factors for 2007[R].AOPA Air Safety Foundation，2008

[9] 高培建. 人为因素与航空安全[J].科技创新导报,2009,13：212

[10] 曹海峰. 民用航空器事故中的人为因素分析[J].中国民用航空，2008,86:41-43

[11]何钟武,肖朝云,肖朝云.姬长法,以可靠性为中心的维修[M].中国宇航出版社,2007

[12] National Research Council.Fostering Visions for the Future: A Review of the NASA Institute for Advanced Concepts[M].Washington, D.C.: The National Academies Press,2009

[13] Mark S.Saglimbene. Reliability analysis techniques: How they relate to aircraft certification[C].Proceedings of the Annual Reliability and Maintainability Symposium, Fort Worth,2009:218-222

Research on System Safety Application Technology for Aeronautic Facilities

He Zhongw u
(Hongdu Aviation Industry Group, Nanchang, Jiangxi 330024)

In order to el iminate er rors f rom the system development, ensure identi fications of al l the fai lure conditions, and t ruly achieve safe, rel iable and economic appl ication of the faci lities,this paper analyses the general mistakes in respect of the aeronautic faci l ity’s safety. It introduces and analyses some new concepts of the system safety f rom the aspects of organization,human factors, technology, risk balance, st ructured design guarantee and process control. It also proposes a viewpoint of considering the system safety in the environment of large system and logistic support. This paper gives two clews for system safety in development of the faci l ities: strict ly implementing the st ructured design guarantee and process cont rol; coordinating relations between the development and safety assessment.

System safety；Organization management；Mi l itary airwor thiness；Human factors Risk balance

2010-09-15）

何钟武，男1965年8月出生，研究员级高级工程师、主任设计师，研究方向为可靠性系统工程。