赵香娟 刘轶斐

（航空工业第一飞机设计研究院，陕西 西安 710089）

国外军民用飞机系统安全性对比分析

赵香娟 刘轶斐

（航空工业第一飞机设计研究院，陕西 西安 710089）

以美国《空军系统安全性手册》、《FAA系统安全性手册》为基础，对国外军民用飞机系统安全性进行了简单介绍，并对国外军民用飞机系统安全性分析评估的技术要求、技术逻辑、方法、过程进行了比较，为梳理国内系统安全性工作、制定国内系统安全性分析评估要求提供参考。

系统安全性；隐患分析；可接受矩阵

系统安全性起源于军机的要求，在早期，空军是系统安全早期发展的领头羊，有关安全性的很多个第一都是由美国空军发起的。20世纪60年代，民用飞机系统安全性开始独立发展，并在系统安全性技术方面逐渐成熟和完善。目前国外民机的系统安全性工作从仅考虑飞机零部件级，到以各系统作为顶级分析对象，再发展到把整个飞机作为安全性顶级分析的对象。1997年到现在，飞机大量采用高度综合复杂系统，更加强调用过程控制的方法保证系统安全性，相继颁布了SEA ARP 4761《民用飞机机载系统和设备安全性评估过程的指南和方法》、SEA ARP 4754《民用飞机与系统研制指南》、RTCA DO-178《机载系统和设备合格审定中的软件考虑》、RTCA DO-254《机载电子硬件设计保证指南》，用以指导飞机系统安全性分析、评估及系统、软硬件实施过程的控制。

军机的发展思路与民机不同，各国政府对军用飞机关注的首要目标是其技术性能。虽然各国政府也很关注军用飞机的安全性，但是相对于民用飞机安全性取得的成果，军用飞机安全性的研究工作成果虽然巨大，但是对具体飞机安全性改进的结果不如其性能进步明显。目前随着民用飞机系统安全性技术逐步成熟，并在民用飞机安全性方面取得巨大成果，军队开始利用民用的系统安全性技术提高其军用飞机的安全性，作为军用飞机适航性工作的部分内容。

1 系统安全性概述

1.1 系统安全性概念

安全性是避免引起人员的伤亡、设备损坏、财产损失以及环境危害的状态。系统安全性就是在系统寿命周期所有阶段内应用工程和管理原理、准则和技术，在使用效能、时间和费用等约束条件内，使系统获得最佳的安全性。

1.2 系统安全性内容

系统安全性包括系统安全性工程和系统安全性管理两个部分，前者为识别危险、消除危险或减轻风险提供各种工程原理、准则和技术；后者提供各种管理程序和方法，以确定系统安全性工作要求，保证各系统安全性工作项目、活动计划的实施与完成跟整个工程项目要求相协调。

1.2.1 系统安全性管理

通过安全性顶层文件的规定，建立安全性工作的基本原则、分析范围，并根据原则和范围建立与任务要求相一致的系统安全性风险管理程序，程序的核心内容是识别、评估和控制对应工作项目的安全性风险。系统安全性管理可通过制定详细的系统安全性计划实现；

1.2.2 系统安全性工程

提供系统安全性方法文档，并使用该方法识别危险、评估事故风险、采取事故风险减轻措施将事故风险减小到一个可接受水平，最后对事故风险减轻措施进行验证，通过合适的机构对事故风险进行审查和接受，对危险和事故风险进行追踪。

1.3 保证系统安全性工作有效性的要素

系统安全性工作输出是安全、性能和费用三者权衡的结果，系统安全性工作是否有效，与管理层的重视程度、可接受标准、评估过程所使用的数据等多种因素有关。保证系统安全性工作有效的要素如下：

● 尽早建立可接受和不可接受标准。一个均衡的项目会使安全、性能和费用达到最优化。系统安全性项目的均衡是系统安全性与费用、进度和性能之间相互作用的结果。项目承担不起妨碍达到基本任务目标的事故，项目也承担不了由于不合理和不必要的安全要求而无法工作的系统。安全必须放在一个适当的位置上。只有当项目中尽早确立可接受和不可接受的条件，使技术人员能够选择最优设计和/或运作方法时，才能获得恰当的均衡。对高成本的事故预防而言，确定可接受和不可接受风险与确定成本和性能参数同样重要；

● 安全性、环境保护、职业健康以及任务要求一起被及时有效设计到系统之中。安全性分析和评估进行得越早越好。但因安全性要求是对设计的约束，在开发阶段的早期，可能出现工作目标压倒对降低安全风险投入的趋势，或者降低安全风险的工作经常被轻视或忽视。有时安全风险即使得到评估，也不足以对设计过程产生影响，结果，在项目后期，当突然发现重大的安全风险或实际发生事故时，可能会对进度、成本以及开发工作的质量造成巨大影响。为了避免这种情况，需要采取与所执行任务相称的减少安全风险的措施，并在合适的生命周期阶段，完成包括安全装置在内的安全措施的设计与实施；

● 历史危险和安全性数据，包括来自其他系统的经验，应被考虑和使用；

● 有害环境状态导致的事故风险（例如温度、压力、噪音、毒性、加速度、振动）、系统操作和后勤中的人的错误被最小化；

● 系统用户保持对系统的安全性最新情况的了解，包括对系统安全性决策过程最新情况的了解。

2 国外军民用飞机系统安全性对比

本文主要是基于《FAA系统安全性手册》及其正在使用的方法指南、《美国空军系统安全性手册》和MIL-STD-882D《系统安全性》，对国外军民用飞机生命周期阶段中跟初始适航阶段有关的系统安全性目标、分析评估要求、技术逻辑、方法、过程进行了对比分析。

2.1 工作目标对比

系统安全性目标是整个系统安全性工作过程的导向。目标不同，会导致设计关注的重点、形成设计方案时的权衡过程等都会不同。对民用飞机来说，系统安全性的最终目的是通过识别方案、设计和使用过程中的危险，评估危险的影响，采取适当的措施消除危险、或将危险减弱、控制到管理当局所能接受的安全水平，最终实现人员的安全运载。军机系统安全性的最终目标是使战斗能力最大化。

2.2 分析评估要求对比

根据2000年发布的《FAA系统安全性手册》，要求民机系统安全性分析项目包括初步危险分析、要求危险分析、系统和子系统危险分析、使用与保障危险分析、健康危险分析。军机系统安全性分析除包括上述分析项目外，还包括超系统危险分析和环境危险分析。

国外民机系统安全性工作中要求对上述各种分析结果是否满足相应安全性要求进行评估。军机系统安全性中要求进行系统安全性评估及系统安全性管理评估，根据该要求需要对安全性危险及其相关风险的减轻措施、正式的风险接受决议所识别的状态进行评估，评估应包括已识别的危险、已减轻的危险，以及伴随已被减轻了风险但没有被消除的危险的明确的程序控制和预防措施。

2.3 分析评估技术逻辑对比

国外军机系统安全性分析逻辑见图1，国外民机系统安全性分析逻辑见图2，图2中，在概念设计阶段进行初步危险分析后，在初步设计阶段需进行迭代分析。

2.3.1 相同点

都需经过列出初步危险清单（PHL）、初步危险分析（PHA）、要求危险分析（RHA）、子系统和系统危险分析（SSHA、SHA）、使用与保障危险分析（O&SHA），其分析逻辑大致相同。分析逻辑如下：

● 列出所关注区域的危险清单，然后对照清单进行自上而下的初步危险分析，认识所有伴随系统所隐含的危险状态；

● 可使用初步危险清单和初步危险分析结果作为要求危险分析的基础。通过要求危险分析将确定存在的危险与系统设计联系起来并提出消除或降低危险到可接受水平的设计需求，包括软件、硬件的需求。

● 在子系统危险分析中，针对每个子系统或部件，分析与运行或失效模式相关的危险，进而分析部件的运行或失效如何影响整个系统的安全性。应使用系统安全性优先原则确定必要的设计措施，以消除或降低已识别的危险到可接受水平。

● 通过系统危险分析，检查部件的运行或失效如何影响系统及其子系统的安全性。SHA应在系统设计成熟时开始，并在设计完成前不断更新。应使用系统安全优先原则确定必要的设计措施，以消除或降低已识别的危险到可接受水平。

2.3.2 不同点

在PHL中，民用飞机主要列出跟功能有关的危险清单，军用飞机需列出所有的危险清单。另外，根据图1和图2的分析逻辑，军机在进行初步危险分析之后，接着进行子系统危险分析，将其分析结果作为下一步系统危险分析的输入；民机在进行初步危险分析之后，接着进行系统危险分析，而后进行子系统危险分析。

2.4 分析评估方法对比

2.4.1 国外军机

《空军系统安全性手册》中指出初步危险清单、初步危险分析、系统危险分析、子系统危险分析可以使用DISAFT-80101《系统安全性危险分析报告》中给出的方法。分析的评估是从空军装备部系统安全性主任Harvey “Chuck” Dorney所编的《危险分析的评价指南》中摘出的，该指南提供了评价系统安全性分析的方法。该方法分析的基础是初步危险清单，典型的初步危险清单包括，能源、功能、操作、部件、材料、相似类型的经验教训、不期望的事故、需要考虑的故障模式和故障状态。其它分析在此初步危险清单的基础上逐层展开，并随设计细节的深入对危险清单进行扩充和分析。其优点是依赖良好的设计经验、危险知识和事故教训，能够对危险进行比较全面的分析，缺点是危险清单涉及多个层次，相对较低层次的危险，其分析过程不适合复杂系统，同时，分析过程的结构化特点相对较弱；

2.4.2 国外民机

《FAA系统安全性手册》指出，应使用总体方法进行分析。危险分析（包括初步危险清单、初步危险分析、子系统、系统危险分析）合并称为系统危险总体分析。为了实现系统危险总体分析，应对许多与系统风险相关的概念有所了解，在所分析的情节构成中，前后一致性和关联性很重要，分析完整性也关系到所分析情节的构成和表达。基于此要求的分析、风险识别、风险控制才是有效的，才能针对任何复杂程度的系统，实现设计一个复杂的带有可接受风险的系统的目标。在适航审查中将SEA ARP 4761作为初始适航阶段系统安全性评估的指南，该指南以功能危险分析为基础，考虑共因危险，确定飞机级的安全性要求，同时将该要求逐层分解到系统、子系统、设备、LRU（现场可更换单元）。并自LRU级逐层向上评估验证安全性要求是否满足。该分析评估方法具有极强的结构化特点，可以满足自初步危险分析、子系统、系统危险分析一致性、完整性和关联性的要求，同时，自顶向下的分析过程比较适合复杂系统的安全性分析。

2.5 安全性评估过程对比

国外军机系统安全性评估过程采用的是基于风险的评估方法，民机内部安全管理系统采用基于风险和基于目标综合的方式。美国联邦航空局将危险的严重程度分为5类，由美国联邦航空局根据一定的程序确定各个风险类别的公众可接受安全性目标，适航审查时检查飞机设计是否满足已确定的安全性目标。

基于风险和基于目标的评估方法对比如下。

2.5.1 评估内容

基于风险的评估方法能够评估发生某种不利后果的可能性（包括任务失败、平台损失、计划延迟等），识别整体风险最重要的致因（设计、运行、维修、管理、环境等）并对其排序，同时评估随风险评估而产生的不确定性，给出哪种替代方案的风险较低。基于目标的评估方法能够识别可能导致危险的故障模式，给出这些故障模式的安全性目标，其更关注导致事故风险的技术故障；

2.5.2 风险定义

包括严重性分类和发生概率定义。由于其分析内容不同，基于风险的评估方法关注的是事故，基于目标的分析方法关注的是风险。二者的定义如表1。

表1 基于风险和基于目标的风险定义

2.5.3 风险评估矩阵和可接受标准

根据基于风险和基于目标的风险定义，使用严重性分类和发生可能性分类构成风险评估矩阵，分别使用不同的数字表示相应的风险指数。基于风险的方法根据风险指数将风险划分为4个级别，基于目标的方法将风险划分为3个级别，并根据风险级别确定其可接受标准。基于风险的风险矩阵见表2，可接受标准见表3；基于目标的风险矩阵见表4，可接受标准见表5。

2.5.4 评估步骤

基于风险的方法其评估过程分为5个步骤，分别为识别危险、对每个事故危害度进行分类、确定每个事故的发生概率、通过发生概率和后果危害度评估对人员、财产和/或任务成功的影响、风险管理。基于目标的方法其评估过程分为3个步骤，分别为识别故障模式或者危险情况、为这些故障模式分配安全性目标、证实安全性目标已经满足。

表2 基于风险的风险矩阵

表3 基于风险的可接受标准

表4 基于目标的风险矩阵

表5 基于目标的可接受标准

2.5.5 优缺点

基于风险的评估方法能够评估发生某种不利后果的可能性，识别整体风险最重要的致因并对其排序，同时评估随风险评估而产生的不确定性，给出哪种替代方案的风险较低。该方法在应用于重大事故时非常有效，在此情况下发生概率相对较低而对运营经验要求很高。其缺点是需要制定合适的风险标准，该标准并无公认的标准来界定风险是否可容忍，并且所有利害相关者需达成一致意见。另外，事故序列存在大量的不确定性，如果要考虑全部因素变量是不切实际的，因此评估事故序列中每种事件的发生概率变得非常主观，同时，在事故序列中也不可避免地存在着人为错误，即使定量评估可能看起来非常客观，但核心输入数据通常又很主观和/或具有预测性。另外，进行可接受性分析时要求进行成本——收益分析，在安全和经济效益之间进行权衡时，需要赋予生命一定的价格；

基于目标的评估方法因其更关注导致事故风险的技术故障，相对于其它导致事故的因素，技术故障发生更确定并且更容易预测；同时，基于目标的方法为系统失效的严酷度提供了清晰的指南，在分析过程中给出了系统需要满足的最低安全目标，这些目标可快速、有效地确定并分配给相关责任方来完成。因此，基于目标的方法对于系统设计人员很有帮助。另外，国际公认安全性标准的应用为参与方/分包商以及客户/经营方在项目集成和适航认证方面提供了公平的环境。其缺点是在系统设计中采取风险减轻措施并不能完全阻断错误，并且一旦时机成熟，错误仍旧会向着引发事故的方向发展，因此系统用户仍需要进行进一步的评估来考虑如何将系统付诸实际使用，并考虑什么风险需要进行控制。

3 结论

以适航审查为主导的国外民用飞机系统安全性，随着飞机系统的集成度和复杂度越来越高，其分析评估理念和方法在不断更新，体系在逐渐完善，并易于在具体工程中实施。国外军机系统安全性分析评估方法充分考虑了军机安全性要求随机种和项目任务要求变化的特点，但存在不易操作等缺点，尤其是定量评估。因此，在国内军机系统安全性分析评估要求制定过程中，应尽最大可能吸收民机系统安全性的先进理念和方法精髓，并考虑军机特点。建议采用将基于风险和基于目标的综合评估方法。在研制早期论证确定安全性目标，将基于风险的决策方法转化为基于目标的方法，为系统设计确定明确的安全性定量、定性要求；在安全性评估过程中针对性能、安全性再次进行综合权衡，使飞机的战斗能力最大化。

[1] MIL-STD-882E System Safety [S].

[2] FAA System Safety Handbook [S].

[3] Air Force System Safety Handbook [S].

[4] Duane Kritzinger. Aircraft System Safety: Military and Civil Aeronautical Applications[M]. CRC Press，2006.

T-65 [文献标识码] C [文章编号] 1003-6660（2017）04-0043-00

10.13237/j.cnki.asq.2017.04.011

[收修订稿日期] 2017-05-24

（编辑：劳边）