恽通世 陈晓东

（中航工业综合技术研究所，北京 100028）

GJB 6387-2008《武器装备研制项目专用规范编写规定》是编写军用直升机系统和产品型号规范的依据（以下简称GJB 6387）。GJB 6387适用于航天、航空、舰船、核、兵器等5类武器装备使用，主要规定5类武器装备的通用要求。在6.3.10 “安全性”中规定：a) “实体的安全性定量要求可用总事故风险参数指标表示，或采用风险分析方法对灾难、严重、轻度、轻微等4个危险严重性等级的事故发生概率做出预估”。b) “实体防止危害性事故发生的设计约束条件”。但是，在编写军用直升机系统规范如何贯彻GJB 6387的要求，同时又体现军用直升机的特殊性要求，是大家关心的问题。本文以GJB 6387中的安全性要求为准则，在分析和总结国内外航空器系统规范安全性要求的基础上，对军用直升机系统规范中宜规定的安全性要求提出一些看法。

1 军用直升机宜规定的安全性要求

GJB 6387规定的安全性可归纳为：安全性定量要求、安全性风险评估、防止事故设计约束3类安全性要求。

GJB 900-1990《安全性大纲》（简称GJB 900）是军用系统承制方满足订购方安全性要求的基本依据。GJB 900定义：“安全性”是不发生事故的能力，“危险”是可能导致事故的状态，而“风险”是用危险可能性和危险严重性表示的发生事故的可能程度。GJB 900第4.6“风险评价”是：“按危险严重性和危险可能性划分危险的等级进行风险评价，并根据有关风险评价决定对已判定的危险的处理方法”。也就是识别危险，确定危险等级，对不可接受的危险采取控制措施。GJB/Z 99-1997《系统安全工程手册》（简称GJB/Z 99）是GJB 900的支持标准，补充了安全性设计和应用示例。GJB/Z 99附录A“安全性设计的定量要求”第A1.4给出了“损失率或损失概率”要求，军用直升机对应的要求为“直升机损失概率”。GJB/Z 99第10章“软件安全性”明确了软件危险和软件开发中的软件安全管理。第11章“危险及其控制”给出了防事故要求。

结合军用直升机特点适当剪裁GJB 6387以及GJB 900、GJB/Z 99规定的安全性要求，军用直升机系统规范安全性要求宜为：安全风险评价、直升机损失概率、防事故、抗事故以及软件安全性要求。以下对这些要求在军用直升机系统规范中如何规定分别进行探讨。

2 安全风险评价

危险是产生不安全事故的原因。军用直升机包括直升机系统、分系统（如飞行控制分系统、航空电子分系统等）以及子系统（如供电子系统、液压子系统、燃油子系统等）。系统涉及不同专业（如自动控制、航空电子、供电、供油等）和不同学科（如光、电、机械等），以及所处的不同工作环境（空中使用、地面维护等）。这些系统的专业、学科以及工作环境都有各自存在的危险因素，它们综合后危险之间的互相影响使得安全性问题变得更加复杂。危险导致的事故重则直升机损失、人员伤亡，轻则设备损坏、人员损伤。要想消除潜在危险和降低危险，必须通过风险评价识别各系统可能导致安全关键功能失效的危险，对不可接受危险等级的危险进行控制（如设计上采取改进措施或给出安全操作程序、防护装置、警告标志等），因此风险评价的目的是识别不可接受的危险和控制危险。

军用直升机系统规范“风险评价”规定的典型要求：“直升机系统在规定的环境执行指定的任务时，对危险风险指数矩阵（见表1）中大于最低阈值的危险风险指数RHI的所有危险项目，其累计危险风险指数RHI*应不大于XXX。 “危险风险指数”是“危险风险指数矩阵”中危险项目危险结果和危险频率权重值的乘积，“危险风险指数阈值”是可接受的“危险风险指数”最低值，累计危险风险指数是大于给定危险风险指数阈值的危险项目危险风险指数之和”。

2.1 危险风险指数矩阵

“危险风险指数矩阵”由系统中危险项目的危险风险指数构成。“危险风险指数”等于危险结果严重性等级（简称危险严重性等级）权重值和危险频率可能性等级（简称危险可能性等级）权重值的乘积。安全性要求就是将每一个危险项目控制在允许的危险风险指数之内。

2.2 危险风险指数阈值

确立“危险风险指数阈值”的目的是，所有大于阈值的危险项目都应进行风险管理，而且应通过风险管理使得风险指数之和（累计危险风险指数）限制在预定可接受值以内。危险风险指数阈值的确定，有利于承制方的安全管理。对高于危险风险指数阈值的危险项目，需要进行严格风险管理，监控消除或降低危险的改进设计和验证工作；低于危险风险指数阈值的危险项目，可以不按高风险指数进行管理，这就减少了相应研制工作负担。

2.3 累计危险风险指数

大于危险风险指数阈值的危险项目规定“累计危险风险指数”的最大允许值，目的是建立直升机系统安全性的总体要求，对需要控制的危险项目提出限制要求。承制方为了确保所有大于阈值的风险指数之和不应超过预定的累计风险指数，需要采取措施消除危险风险，减少危险项目数量；对无法消除的危险项目，采取措施降低危险风险使得危险项目的危险风险指数达到可接受水平。这样在累计风险指数范围内，允许承制方对大于风险阈值的危险项目实施风险控制，并提供了安全设计与成本以及进度的调整空间。

表1 危险风险指数矩阵

每一个危险项目的危险特性是由危险事件的危险结果（严重性）和危险频率（可能性）表示的，即危险的风险指数。订购方要求承制方通过风险评价识别所有危险项目，并确定其风险指数，对不可接受危险风险指数的危险项目要求跟踪监控改进措施，消除危险或降低危险的严重性和可能性，直至危险项目的风险指数控制在可接受范围内（风险指数阈值）。由于危险项目的风险指数等于危险严重性等级权重值乘危险可能性等级权重值，在满足可接受风险指数值的前提下，承制方可以根据研制成本和进度权衡选择改进措施，是偏重于降低危险严重性等级还是偏重于降低危险可能性等级，这使得承制方具有选择安全性设计和成本的调整空间，提高了承制方的安全设计水平和节省研制成本。因此，系统安全风险评价对订购方和承制方都是有益的。

2.4 风险指数矩阵填写示例

典型军用直升机系统规范风险指数矩阵可参见表2。如果确定风险指数阈值为6，表中“禁区”为1001，强制要求承制方必须采取措施排除该组危险项目的危险特性（“危险结果”和“危险频率”的组合）直至风险指数值达到可接受范围。其余大于6的危险项目的风险指数为表中8～20，要求承制方进行风险管理，监督风险控制整改方案的实施。对小于6的危险项目，虽然可以不列入高风险级别的管理，但承制方还应对这些危险项目负责。

对于军用直升机系统规范的低层次系统规范，对于安全关键分系统（如飞行控制系统）、安全关键子系统（如供电子系统），也应识别各自安全关键功能中的潜在危险，对大于危险风险阈值的危险项目实施控制，并向军用直升机系统规范“风险评价”提供支持数据。因此，军用直升机系统、分系统、子系统规范，均应按风险评价要求，来识别系统中潜在的危险、确定可接受的风险阈值、通过消除危险或降低风险最终确保军用直升机的安全。

表2 各个危险风险指数

消除或降低危险项目“危险风险指数”应采取的措施如下：

一是通过设计消除危险；

二是如果危险无法消除则。

通过安全保护设施或设备避免灾难性事故；引入探测和报警能力，提供危险警告；引入安全操作程序（包括设备和训练）。

3 直升机损失概率

高机动性的军用直升机具有较高的灾难性损失率。如军用直升机在空中高机动飞行时，由于驾驶员不能适应高机动飞行过载造成操纵疏忽或暂时丧失能力而导致灾难性事故。它通常和飞行任务类型和驾驶员培训水平有关，但也和机载设备设计有关，如防撞系统、操纵告警可以弥补任务类型和驾驶员操纵技术带来的危险。系统规范主要应规定防止飞行安全关键功能的系统或设备故障导致的灾难性事故，如飞行控制系统故障导致飞行操纵失控、机载主飞行显示器“黑屏”导致无法判断直升机飞行状态等等。另外如新的软件与硬件不协调、数据更新错误、接口通信错误等也会导致灾难性事故。因此，系统规范应规定军用直升机损失概率来限制灾难性事故的发生。规定“直升机损失概率”要求可以起到以下6个方面的作用：

为维持作战能力应配备军用直升机的数量提供依据。

防范军用直升机损失事件发生，对危险采取的措施提供依据；（参见消除或降低危险项目“危险风险指数”应采取的措施）。

直升机系统以及各层次分系统、子系统由于功能失效导致直升机的损失率分配提供了依据。

限寿产品、结构部件的寿命提供了跟踪和更换要求。

分配安全关键系统、设备、结构部件的可靠性要求。

确定系统、设备、结构部件维护方案提供依据。

3.1 系统规范典型直升机损失概率要求规定

军用直升机系统规范直升机非战斗损失概率：“由地面或飞行操作以及与材料和设计缺陷导致的直升机损失率应不大于规定值。典型数值为10－6数量级”。

军用直升机飞行控制系统直升机损失概率：“由于飞行控制系统中‘极罕见’的硬件故障导致每次飞行直升机失事的概率应不大于规定值。典型数值为10－7数量级”。

军用直升机航空电子系统直升机损失概率：“由于飞行、武器、安全关键性功能管理失效导致每次飞行任务直升机意外损失的概率应不大于规定值。典型数值为10－9数量级。”

“由于任务关键性功能管理失效导致每次飞行任务直升机意外损失的概率应不大于规定值。典型数值为10－7数量级。”

在规定直升机损失概率中需要明确在“规定的条件下”和“规定的时间内”，由于功能失效导致航空器的损失概率。

直升机系统非战斗损失率要求中“规定的条件”为地面或飞行操作以及与材料有关缺陷引起的功能失效，“规定的时间”为相应任务剖面的时间。直升机飞行控制系统直升机损失概率要求中“规定的条件”为“极罕见”的硬件故障导致的功能失效，“规定的时间”为每次飞行任务。

3.2 确定损失概率的依据

3.2.1 直升机系统要求的分配

直升机系统规范经过危险风险评价，确认直升机损失概率不应超过1×10－6次/飞行小时，该指标即为低层次系统规范确定直升机损失概率的依据。

直升机损失概率典型分配示例如下：直升机系统非战斗损失率为1×10－6次/飞行小时；直升机分系统（如飞行控制系统）损失率为25×10－7次/飞行小时；直升机子系统（如供电系统、液压系统）损失率为1×10－8次/飞行小时。

3.2.2 借鉴现役同类直升机统计损失概率

由于直升机损失率不仅和直升机设计有关，还取决于操作是否妥当，如驾驶员能否在短暂恶劣环境条件下正确操纵航空器。对不同的飞行任务，不同培训水平的空/地勤人员，会有不同的航空器损失率。若没有分配要求，可参考服役军用直升机的失事概率确定。

3.2.3 国内外系统规范推荐指标

在缺少其他可采用的数据时，可选择以下推荐指标：

一是美国联合军种规范指南JSSG 2008《航空器控制与管理系统VCMS》推荐损失概率见表3。二是GJB 2191-1994《有人驾驶飞机飞行控制系统通用规范》推荐飞行控制系统飞行安全性定量要求见表4。

4 防事故要求

军用直升机系统规范宜规定有关防火/防爆、防毒、防噪声、防外来物以及安全操作、安全警告等防事故要求。这些都是需要预防可能发生的事故，轻则造成设备损坏或人员操作能力下降，严重时会导致直升机损失或人员伤亡。事故的原因包括系统或设备自身的危险、人为操作差错、有害的环境。因此，在编写系统或设备规范时宜根据系统或设备的特点规定相应的防事故安全要求，如余度设计也是防事故的安全要求。军用直升机系统规范防事故要求举例如下：

表3 各种类型航空器损失概率

表4 飞行控制系统飞行安全性定量要求

直升机系统规范：“防火、防爆”和“防意外点火”要求。

发动机系统规范：“防火、防爆”和“包容性”要求。

飞行控制系统系统规范：“安全性规定”、“防毒性气体”以及“防电气、电子危害”等要求。

直升机子系统规范：“防外来物损伤”、“防噪声”以及“防安装风险”等要求。

现以飞行控制系统和直升机子系统为例说明。

4.1 飞行控制系统

安全性规定：“通过安全防护设备、警告规定和安全操作程序提供维护人员能预防灾难性危险或严重性危险的能力”。

对设计上难以消除的危险因素，可以通过安全规定来防止危险事件的发生。安全性规定需要注意的危险区域为：

一是在系统动力源关闭情况下，预防机械、液压、气压或电压能量的无意释放而伤害维护人员；

二是动力驱动装置（控制面作动器、舱门收放驱动装置等）的无意动作或动作过快而造成维护人员伤害。

防毒性气体：“当设备在暴露条件下正常操作、维修、训练时，不应泄漏致癌物质和有毒气体”。

电气和电子危害：“设计应保护相关人员不会遭到高电压的伤害”。

4.2 直升机子系统（如供电子系统、液压子系统、燃油子系统、环境控制子系统等）

防外来物损伤：应确定外来物损伤容限。

防噪声：应规定子系统噪声等级的限制值。

防安装风险：子系统安装和相关设备设计，应使子系统的正常操作不会促使或导致起火和爆炸的危害。

子系统安装和相关设备设计，应使由于故障或意外造成的起火和爆炸的危害最小。

航空器外表面共有的子系统安装边界，应设计成使火情不会因为航空器内空气自然流动而在子系统之间蔓延”。

“防安装危险”主要防止子系统火灾或爆炸事故的发生。燃油子系统、氧气子系统以及子系统的电气设备、能源输送管路都是起火或爆炸的危险源，由于子系统安装考虑不周导致起火和爆炸的危害显然是需要避免的。因此，进行子系统安装设计时，首先应考虑防止或避免火情的发生；当故障或意外导致火情发生时，应使得危害最小，同时应避免火情的蔓延。

子系统规范中应规定直升机潜在火区安装子系统的约束要求，现归纳如下：

子系统的安装位置应远离易燃气体/液体可能排放出口，以避免火灾和爆炸的发生；

对可能造成火灾和爆炸的易燃气体/液体组件、管路和电线，可采取防护装置防止由于管路损坏的潜在危险因素导致火情的发生；

为减少管路结构引起气体/液体的泄漏或电线绝缘破坏的潜在危险，应尽量使得管路长度最短；

为避免易燃液体管路受结构振动或偏移导致管路损坏，管路不应在应力状态下安装，如管路弯曲半径过小、管路强迫紧固等；

管路通过舱壁需要开口时，应设计成防火密封，尤其防止火焰蔓延至其他舱内的易燃材料。

5 抗事故要求

耐撞性军用直升机系统规范或子系统规范主要的抗事故要求。直升机系统耐撞性是要求军用直升机座椅结构、人员约束系统以及座位周围设备安装结构，在非常规应急垂直坠落速度条件下具有耐硬着陆的能力。耐撞性应规定以下要求：垂直坠落速度条件；空勤人员/乘客座椅和附近设备应保持处于无危险位置；约束系统应限制乘员保持在安全位置上。军用直升机子系统，应规定在直升机意外硬着陆条件下确保直升机有关子系统设备和部件保持在无危险位置。

6 软件安全性要求

随着军用直升机系统和设备日益增长地采用数字技术，对软件的使用迅速递增。软件本身是安全的，但和硬件综合并执行预定功能时，由于软件故障（错误）导致系统和设备的功能失效而可能使得军用直升机发生灾难性事故。对基于软件控制的飞行控制系统及其它航空电子系统、航空器子系统，确保软件安全性尤其重要。对军用直升机系统安全关键功能的软件，应规定以下软件安全性要求。

6.1 软件应具有“故障—恢复”功能，以确保软件发生故障时仍能连续处理数据

要求主要提出软件（尤其是安全关键功能软件）在发生故障后应能够恢复，并且在发生软件故障时仍能够连续处理数据，也就是不会在软件故障恢复前使得数据处理中断。软件故障可以恢复并且在恢复过程中要确保数据处理不能够中断是军用直升机飞行安全的基本保证要求。飞行控制系统如果由于软件故障使得操纵中断，哪怕是暂时中断其结果也是不可想象。

软件发生错误需要规定的安全措施：系统应恢复到“安全状态”； 应能够通知操作人员是何种故障；应能够通知操作人员已经采取何种动作；系统应从无意指令突变中具有“故障-安全状态”的恢复功能；软件应具有报告操作员错误输入的功能。

注：安全状态——一旦发现不安全的情况（错误状态）就需要恢复到一个“安全”状态或较低的危险状态。恢复技术包括故障容限（故障运行）、性能降级（故障软化）以及降级后的系统/分系统（被动故障）的安全切断。系统安全措施应使其返回到“正确”状态，当无法回到“正确”状态时，应能够容忍软件失效带来的影响而使得风险可以接受。

6.2 系统软件安全关键项目应标识，并独立或区分于其他次关键软件

“软件安全性危害分析已经识别影响功能安全的危害，并已经消除或控制到可接受的级别。”

对可能造成灾难或严重危险的软件项目应进行标识和控制。危险项目的标识应包括软件的风险级别，对可能造成灾难的或严重的危险项目，应控制到可接受的风险级别。软件和硬件不同，风险级别主要包括危害严重性等级。这是因为软件是本身“错误”导致硬件的功能失效（如功能转换、接口定义处理不当造成的程序错误，或软件的数据更新造成的数据错误），而没有硬件由于失效率导致的危害可能性等级。

7 结束语

军用直升机为执行预定作战或训练任务，在轴承标准制修订的管理，加强轴承标准制定在轴承科研过程中的跟进力度，通过将各单位新研的轴承标准进行归纳整理，将一些在行业内通用性较强的产品或技术制定为行业以上级标准，在整个行业内推广使用，逐步解决目前轴承的研制各自为战的状况，扭转轴承的标准件特性持续降低的趋势，提高轴承产品的通用性。

二是加强已有标准的宣贯执行力度，加快轴承新技术新成果的推广和使用，提高航空领域对新标准内容的认识和理解，减少因为认识不统一而造成的人力物力的浪费。

2.3 提高航空轴承标准的先进性和及时性

依托航空轴承产品的研制和应用研究的成果，及时将航空轴承相关的成熟的新技术引入到标准中去，解决目前型号对高性能轴承使用的急需，提高轴承的质量和可靠性。同时在依靠自身能力的前提下，注意引进国外先进的航空轴承的标准规范，将一些新技术引入到国内的轴承行业中，通过标准的方式促进国内轴承行业整体水平不断提高。

3 结论

目前我国航空轴承标准体系主要存在着标准体系不完整，标准管理薄弱，标准技术内容落后等问题，这些问题的存在阻碍了航空轴承技术的进步和发展，本文对这些问题产生的原因，以及所带来的后果进行了初步的分析，并有针对性地提出了相应的解决措施和建议。航空轴承标准体系的建设和完善是一个长期的过程，只有建立一个完善的航空轴承标准体系，才能不断提高我国航空轴承的产品技术和应用技术水平。

[1]中国机械工业标准汇编. 滚动轴承卷（上）[S].2008.

[2]中国机械工业标准汇编. 滚动轴承卷（下）[S].2008.

[3]GJB 269A-2000 航空滚动轴承通用规范[S].

[4]《飞机设计手册》总编委会.飞机设计手册 2 标准和标准件（上）[S].2000.

[5]《飞机设计手册》总编委会.飞机设计手册 2 标准和标准件（下）[S].2000.