赵 远 焦 健 赵廷弟

(北京航空航天大学 可靠性与系统工程学院，北京100191)

为了提高系统的安全性水平，必须在系统设计过程中开展安全性工作，以消除危险或降低危险的风险.安全性工作的关键是危险识别［1-4］.与系统设计紧密相关的首个危险识别工作是初步危险分析［5-8］.初步危险分析工作是在系统的初步设计阶段开展，通常能发现设计初期潜在的危险和其他与安全相关的信息，例如系统层次危险、顶层事故、安全关键功能等，以尽可能早地从安全性角度来影响设计.初步危险分析是后续危险分析和安全性工作的基础［4，9］.在 GJB/Z 99—97 以及美军的系统安全标准MIL-STD-882E等多个标准和文献中都明确要求或建议在系统设计过程中，要开展初步危险分析工作［10-14］.

在开展初步危险分析工作中，往往采用填写表格的形式［2-4］，表格中要填写的内容已经确定.却没有说明如何获取这些内容，表格中的内容是开展初步危险分析工作结束后应给出的信息.虽然在GJB/Z 99—97中介绍了多种常见的危险及其控制，但仍不足以支撑结合具体系统来开展初步危险分析.从而，在对具体的系统开展初步危险分析过程中，分析人员即使知道表格中应填写的内容，仍然很难开展该项工作.

结合对某型飞机初步危险分析的工作经验，本文以能量意外释放事故致因理论为基础，从安全性与可靠性的关系以及危险三角理论角度，分析危险的构成要素及其与风险的关系，提出了面向初步危险分析工作的危险识别技术，即基于危险要素的危险分析技术.该分析技术，以危险元素为切入点，对分析对象内部件进行分类，通过分析部件的各种情况及其耦合关系，来辨识系统危险.

1 危险构成原理

1.1 危险元素

人类利用能量做功以实现生产目的，在正常生产过程中，能量受到多种约束限制，按人们的意志流动、转换和做功.Gibson和Haddon等人提出了能量意外释放论，从能量的角度揭示了事故的发生规律［15-16］.该理论认为如果由于某种原因能量失去了控制，超越了人们设置的约束或限制而意外地逸出或释放，则发生事故，即事故是一种不正常的或不希望的能量释放并转移于人体［17］.

能量意外释放论阐明了事故发生的物理本质，防止事故就是阻止能量意外释放，避免人体接触能量.在系统设计阶段安全性分析人员应注意系统设计中能量转换、流动，以及不同形式能量的相互作用，寻找可能导致危险元素意外泄漏或释放的事件.在此基础上，本文提出的危险分析技术正是从明确对象中涉及的危险元素为起点，分析对象中导致危险元素意外泄漏或释放的事件.

1.2 危险特点

危险的存在以及事故的发生都涉及多个事件.在系统设计过程中，通常考虑系统内部某些产品故障或缺陷，以及产品之间交互的缺陷使得能量意外释放.危险的这一特点也就决定了安全性研究的对象层次较高，并且涉及多个产品，无法研究单个产品的安全性.例如，对于一个阀门，可以单独地研究其可靠性，分析它的故障原因和模式，但无法研究阀门的安全性.只有将阀门和与其相关的部件放在一起才能研究安全性.比如，飞机起落架中液压系统中的阀门，就可以研究它对飞机安全性的影响.这是安全性研究与可靠性研究特点的差异之一.

危险涉及的多个事件往往与具体产品的可靠性相关，可靠性与安全性又有交叉.比如，在研究飞行控制系统的安全性过程中，就需要考虑舵机、杆位移传感器和操纵台等产品的可靠性，确保它们的可靠性，也就提高了飞行控制系统的安全性.

1.3 危险构成

危险的存在是由多个事件导致的，通常将这些事件分为3类:危险元素、触发机制和威胁/对象，它们是危险存在的基本要素［2-3］.危险元素是构成危险的基本危险源，如具有危害性的物质、高危能量等.触发机制是引起危险发生的触发或引发事件，如部件失效、设计缺陷、外部环境影响和人为差错等.危险的触发机制事件就包含了特定部件的失效.特定产品的可靠性放在一定的事件场景下将影响对象整体的安全性.威胁/对象是易受到伤害和/或破坏的人或物，如系统的使用人员、系统自身和环境.

危险元素是危险存在的直接原因.由于系统中使用危害物质(具有化学能)或系统运行过程中具有能造成伤害的能量，例如武器装备，因为某些特定原因，这些有害物质或能量就有可能意外释放，导致事故发生.系统中具有危险元素，但不一定就会发生事故.触发机制导致危险向事故转变.事故发生过程中涉及了多个触发机制，如部件失效、部件之间或系统之间的接口缺陷、外部环境影响和人为差错等.若干个触发机制使得危险元素出现了意外的释放.

在系统尤其武器装备系统中，危险总是存在的，但是它们的风险必须控制在可接受的范围.

当系统中危险的风险是可接受的，那么就认为系统是安全的.风险通过对危险的可能性和严酷度的评估来确定，有多种用于确定风险的风险矩阵［5，18］.危险三要素直接与风险相关，如图1所示.危险元素的特性和量值，直接决定了其意外释放所带来的危害大小;威胁/对象直接决定了具体的损失情况.它们两个共同决定了危险的严酷度等级.触发机制直接决定了事故发生概率.通常屏蔽或控制危险元素的中间环节越多，那么事故发生的概率相对较低.

图1 危险三要素及其与风险的对应关系Fig.1 Three factors of hazard and its relationship with risk

危险构成原理，为识别危险和控制风险确保系统安全提供了理论基础.本文提出的基于危险要素的分析技术是通过识别危险三要素来确定系统可能的危险.

2 危险分析技术原理及流程

基于危险要素的危险分析技术原理如图2所示.对于危险元素(危害物质和高危能量)的分析以两条线开展:危险元素的存储、传输和使用;危险元素的监测、控制决策和执行机构.对于危害物质和高危能量相关的触发机制通常是这两条主线中的若干环节异常或设计缺陷.由危害物质或高危能量以及具体的触发机制决定了对应的威胁/对象.

在开展该分析过程中，首先明确对象中的危险元素，然后分析可能的触发机制和相关的威胁/对象，确定对象中的危险，分析流程如图3所示.

图2 危险分析技术原理Fig.2 Theory of hazard analysis technique

图3 基于危险要素的危险分析技术流程Fig.3 Hazard analysis process based on hazard factors

1)明确对象涉及的危险元素.

在明确分析对象后，确定对象涉及的危险元素，如能量源、危害物质、电气和系统使用过程中可能接触的外界环境等.比如，对于飞机的燃油系统，与它相关的危险元素是燃油.与其相关的危险都是源自燃油的泄漏、着火和无法供给.确定危险元素是该危险分析的起点.

2)对分析对象中的部件分类.

将对象中的部件分为两类:一类是对危险元素的存储、传输和使用相关的部件(部件类型Ⅰ);一类是对危险元素监测、控制决策和执行机制相关的部件(部件类型Ⅱ).

3)结合引导词确定部件的可能状态.

为了确定可能的触发机制，必须要明确不同类型部件的可能状态.由于在系统的初步设计阶段，部件的详细信息难以确定，从而针对部件的使用类型采用引导词来确定部件的可能状态.

对于类型Ⅰ中的部件，考虑部件不工作、间歇工作或工作不稳定、运行时间不恰当(过早、过晚)、不能停止工作、结构破损、振动、泄漏或渗漏、受液体和热影响等.

对于类型Ⅱ中的部件，考虑部件无法运行、间歇工作或工作不稳定、发出错误或冲突的信息和数据、超出允差、控制决策的软件差错、操作时间不当(过早，过晚)、不能停止运行或意外停止运行、接收到错误的信息、受液体和热影响、滞后运行、振动等.

4)分析相关的触发机制事件和相应的威胁/对象.

在确定部件的可能状态以后，分析状态及其组合对危险元素的影响，确定可能导致危险元素泄漏或意外释放的事件.在分析可能相关的触发机制过程中，针对设计方案特点，结合以下几点确定可能的触发机制:

①功能原理.以危险元素为起点，结合功能原理和部件的可能状态确定可能造成危险元素意外释放的事件.

②现役相似系统的经验教训.结合在相似系统中已发生事故的经验教训，确定可能的触发机制，找到薄弱环节.

③任务过程.通过考虑任务过程中环境因素(热、盐雾、恶劣气候等)、人员操作可能差错、以及安全关键部件的故障等这些因素及其组合对危险元素的影响，确定触发机制.

④与危险元素相关的安全关键软件命令和响应以及软硬件接口问题.例如，错误命令、不适时的命令或响应等触发机制.

⑤保障和维修.例如，保障或维修过程中引入的部件异常状态以及人员差错导致不良后果以及与危险元素相关的射线、噪声、电源在保障或维修过程中对人员的伤害等.

危险元素意外泄漏或释放必定对人和物带来伤害与损失，在确定了危险元素和触发机制事件后，结合具体的关联情况也就能确定出其相应的威胁/对象.通常威胁/对象从对分析对象自身、相关产品和系统、人员、环境方面考虑.

5)确定危险及其风险

在确定与危险元素相应的触发机制与威胁/对象后，明确危险并确定其风险.通过危险元素和威胁/对象来确定风险的严酷度，由触发机制事件来确定风险的可能性.在确定危险及其风险以后，将这些结论填入初步危险分析表中.危险分析结果对初步危险分析表填写的支持关系见图4.

通过该危险分析技术能够识别系统在初步方案阶段的危险，并为确定风险提供依据.而且，通过该分析确定出的危险三要素为风险控制提供了方向.在从降低严酷度来消减风险的过程中，设计人员可以考虑从危险元素和威胁/对象方面研究.例如，在系统设计中用无毒或低毒性物质来替换危害物质，增加一定的屏蔽措施来阻隔危险元素对人员的伤害.在从降低可能性来消减风险的过程中，设计人员可以考虑从触发机制方面开展.例如，增加对危险元素的控制装置、增加对危险元素的监控精度、对关键部件采取多冗余设计方式、提高相关部件可靠性等.

图4 危险分析结果对初步危险分析表的关系Fig.4 Relationship between hazard analysis results and preliminary hazard analysis worksheet

3 应用实例

以某型飞机初步方案阶段的燃油系统为研究对象，开展危险分析.燃油系统包括供油分系统、输油分系统、加油与放油分系统、通气增压分系统与燃油测量显示控制分系统.由于篇幅原因，本文仅列出燃油测量显示控制分系统的初步危险分析，以说明该技术的可行性和有效性.

燃油测量显示控制分系统向综合管理计算机内的机电处理器提供余油告警、供油瞬时流量、全机余油量和2个油泵工作状态信息.燃油测量显示控制分系统中涉及的危险元素是燃油.燃油可能由于受热(热量可能来自于发动机工作、热的气候)增强了燃油的挥发和汽化以及增加气体压力，导致油箱爆炸.在飞机飞行阶段，如果燃油由于某种原因无法传输到发动机，将导致飞机坠毁.

在确定危险元素后，对其部件展开分析.该系统中的部件主要由告警器、油量信号器、压力信号器、燃油流量计、导管和电缆等附件组成.由于该分系统的功能特点，决定了这些部件都属于部件类型Ⅱ.

分析可知告警器部件可能无法告警，需要告警时无法告警或无法及时告警，正常情况下异常告警.油量信号器部件可能无法输出油量信息或输出油量信息为固定值，输出的油量信息和实际的油量信息偏差过大.燃油流量计部件可能无法输出流量信息或输出流量信息为固定值，输出的流量信息和实际的流量信息偏差过大.压力信号器可能无法工作或偏差过大.导管连接处可能松动或裂缝等.电源部件可能无电力供应和电力间断供应.

通过将部件情况与燃油的使用特点结合，发现了多个危险.例如，油量信号器停止工作或运行过程中误差过大，都会导致人员对飞机的油量产生错误的判断，当飞机油量低于最低油量时，无法告警或未及时告警，可能导致飞机在飞行过程中燃油耗尽，飞机坠毁.压力信号器无法工作，都会导致输送给发动机的油量信息超过误差范围，影响飞机飞行品质.流量计工作异常，导致计算机获取的发动机使用油量信息偏差，影响飞机飞行品质.燃油测量显示控制分系统中的部分初步危险分析结果见表1.

表1 燃油测量显示控制分系统初步危险分析表(部分)Table 1 Preliminary hazard analysis worksheet of fuel measurement display control subsystem(part)

采用该分析技术，通过确定燃油测量显示控制分系统部件的可能状态以及面临的异常环境，分析这些状态对燃油(危害物质)在存储和使用过程中的影响，确定危险.依据风险评估矩阵，对识别的危险三要素进行评估，确定风险.

对于燃油系统这个安全关键系统，在初步方案设计阶段采用该危险分析技术后，发现了多个危险和薄弱环节，这些将是设计人员应该注意的因素.

4 结论

针对在开展初步危险分析过程中缺少技术支持的现状，本文提出了基于危险要素的危险分析技术.通过确定系统中的危险元素，分析可能的触发机制并得出相关的威胁/对象，识别危险.该分析技术有以下几个优点:

1)该技术具有较强的工程实用性.安全性分析人员能够结合设计方案和可靠性分析的结论确定危险三要素并进一步确定危险和风险.

2)对风险的评价提供依据，并为危险的控制或消除提供方向.在风险评价过程中可以从该技术识别的危险三要素来确定危险的风险等级.危险三要素也为危险的控制或消除提供了切入点.

3)适用于后续的安全性工作.该危险分析通过确定危险三要素来识别设计中的可能危险，确定危险控制的关键项.在后续的安全性工作中，结合更详细的设计信息，该技术能够识别系统中的危险以及故障树分析的顶事件.

References)

［1］GJB/Z 99—97中华人民共和国国家军用标准系统安全工程手册［S］GJB/Z 99—97 Engineering handbook for system safety［S］(in Chinese)

［2］ Ericson C A.Hazard analysis techniques for system safety［M］.Hoboken:Wiley，2005

［3］Ericson C A.危险分析技术［M］.赵廷弟，焦健，赵远，等译.北京:国防工业出版社，2012 Ericson C A.Hazard analysis techniques for system safety［M］.Translated by Zhao Tingdi，Jiao Jian，Zhao Yuan，et al.Beijing:National Defense Industry Press，2012(in Chinese)

［4］赵廷弟，焦健，田瑾，等.安全性设计分析与验证［M］.北京:国防工业出版社，2011 Zhao Tingdi，Jiao Jian，Tian Jin，et al.Safety design analysis and verification［M］.Beijing:National Defense Industry Press，2011(in Chinese)

［5］ MIL-STD-882E Department of defense standard practice system safety［S］

［6］颜兆林.系统安全性分析技术研究［D］.长沙:国防科学技术大学，2001 Yan Zhaolin.A study on the technique of system safety analysis［D］.Changsha:National University of Defense Technology，2001(in Chinese)

［7］熊峻江，刘宝成.系统安全性分析与设计方法研究［J］.北京航空航天大学学报，2002，28(2):141-143 Xiong Junjiang，Liu Baocheng.On the analysis and design method of system safety［J］.Journal of Beijing University of Aeronautics and Astronautics，2002，28(2):141-143(in Chinese)

［8］ NM 87117-5670 Air force system safety handbook［S］

［9］ GEIA-STD-0010 Standard best practices for system safety program development and execution［S］

［10］ Stephans R A.System safety for the 21stcentury the undated and revised edition of system safety 2000［M］.Hoboken:Wiley，2007

［11］ Federal Aviation Administration.FAA system safety handbook［M］.Washington DC:Federal Aviation Administration，2010

［12］ Allocco M.Safety analyses of complex systems considerations of software，firmware，hardware，human，and the environment［M］.Hoboken:Wiley，2010

［13］郑龙，罗鹏程，高顺川，等.系统安全性分析技术综述［J］.兵工自动化，2006，25(4):22-23 Zheng Long，Luo Pengcheng，Gao Shunchuan，et al.Review of systematic safety analysis technique research［J］.Ordnance Industry Automation，2006，25(4):22-23(in Chinese)

［14］ Vincoli J W.A basic guide to system safety［M］.2nd ed.Hoboken:Wiley，2006

［15］陈宝智.危险源辨识、控制及评价［M］.成都:四川科学技术出版社，1996 Chen Baozhi.Hazard source identification，control and evaluation［M］.Chengdu:Sichuan Science and Technology Press，1996(in Chinese)

［16］陈宝智.安全原理［M］.北京:冶金工业出版社，1995 Chen Baozhi.Safety theory［M］.Beijing:Metallurgical Industry Press，1995(in Chinese)

［17］钟茂华，魏玉东，范维澄，等.事故致因理论综述［J］.火灾科学，1999，8(3):36-42 Zhong Maohua，Wei Yudong，Fan Weicheng，et al.Overview on accident-causing theories［J］.Fire Safety Science，1999，8(3):36-42(in Chinese)

［18］GJB 900—90中华人民共和国国家军用标准系统安全性通用大纲［S］GJB 900—90 General program for system safety［S］(in Chinese)