何申奥

摘要

随着经济和飞机制造技术的飞速发展，民用飞机正以其安全、经济、舒适、快捷的特点被越来越多的乘客所认可。尽管民用飞机被公认为最安全的交通运输手段，但自飞机诞生至今，一些致命的飞行事故仍频频发生。因此在民用飞机的设计过程中，飞机设计师必须考虑飞机安全性的要求，使安全性成为民用飞机的一种基本特性。本文将聚焦民用飞机的安全性问题，概述了民用飞机安全性的四个发展历程，然后在此基础上论述了当前主要的民用飞机安全性标准之间的相互关系，并对民用飞机的安全性评估流程和发展趋势进行了论述。

【关键词】民用飞机 安全性 安全性标准 安全性评估

1 引言

以波音787为代表的现代民机真正实现了不间断跨洋和跨洲飞行，人们从此可以乘坐飞机到达地球上的任何地方。从上世纪50年代开始的喷气飞机时代，经过几十年的发展，民用飞机始终秉承着更快、更高、更远的设计理念，使得民用飞机正以其安全、经济、舒适、快捷的特点而得到越来越多乘客的认可。安全性、经济性、舒适性和环保性等性质是在设计之初便赋予民用飞机的基本特征，并且正在越来越受到民用飞机制造商和运营单位的重视。特别是安全性，作为民用飞机的首要要求，是飞机制造商赖以生存和发展的基础。安全性是民用飞机不发生事故的能力，是民用飞机最为重要的一个特性。

伴随着飞机制造商对飞机设计理念的改进，各国的适航部分都颁布了相应的适航条例来确保民用飞机的运营安全，如美国联邦航空管理局（FAA）颁布的《联邦航空条例》、欧洲航空安全局（EASA）颁布的《联合航空规章》以及我国民用航空局颁布的《中国民用航空规章》等，都是用来保证民用飞机运行的最低安全性标准能够得到满足。

为了提高民用飞机的安全性，在飞机的研制阶段，必须通过系统化、规范化的安全性分析、设计和验证等工作，以避免灾难性事故的发生和减少事故损失，从而降低飞机运营时的风险，提高飞机的安全性和使用效能。其中，安全性分析时安全性工作的核心内容，也是安全性设计的基础，主要包括风险的识别与机理分析、风险分析和评价等。安全性设计则是通过各种设计活动来消除和控制各种风险，提高民用飞机的安全性。安全性验证则是指飞机在研制和试用阶段，对飞机的安全性是否达到研制要求以及合同规定的要求给出结论性意见。

本文围绕民用飞机安全性问题，首先针对民用飞机安全性的发展历程进行了概述，然后在此基础，对当前普遍使用的民机安全性标准以及安全性评估流程进行了简单论述与分析，最后，归纳总结了当前民用飞机安全性的发展趋势。

2 民用飞机安全性历史

自1903年莱特兄弟成功设计制造出人类历史上的第一架飞机以来，飞机已经有了一百多年的发展历史。在民用飞机发展之初，由于缺乏安全性认识，航空事故不断发生，为此，人类一直在为提高飞机的安全性而不断努力。总体而言，民机系统安全性设计理念大致经历了从最初的追求完整性到现在的故障安全设计四个阶段的演变：

（1）1900年到1930年：这是飞机系统安全性设计的起始阶段。在这一阶段，对飞机安全性设计认识主要是追求完整性，其设计原则是尽可能地设计出高可靠性零件和完整的系统功能。该时期的代表性飞机主要包括：1903年的莱特飞机、1927年的圣.路易斯“幽灵”飞机和1930年的福特三发飞机。这一时期，随着暴露时间的增加，导致许多设计之初未曾预计到的故障发生，进而引发了很多安全性事故，因此，这一阶段的飞机并不能广泛地用于商业运行。

（2）1930年到1940年：基于上一阶段只追求完整性的教训，使得飞机设计人员意识到仅仅追求完整性是不能保障飞机安全性的。因此，在这一阶段，对飞机安全性设计除了考虑完整性之外，还为部分设计特征增加了冗余设计，如：发动机、无线电台、空速表等。同时还增加了计算单故障的故障率。尽管这些措施在一定程度上改善了民用飞机的安全性现状，但这一段的飞机在飞行操纵、螺旋桨、发动机失火、有害的环境条件等方面仍存在不足，安全性问题依然突出，因此，这个时期的飞机同样难以赢得公众的信任。这一阶段的代表性飞机主要包括第二次世界大战前的比奇18型飞机和道格拉斯DC-3、DC-4等运输类飞机。

（3）1945年到1955年：随着技术的发展和经验的积累，这一阶段，飞机的安全性有了很大的发展。1945年，美国政府部门联合工业界一起制定了“单故障概念”，并将其引入到了飞机的设计中。所谓的单故障概念是指假设飞机每次飞行期间至少发生一个故障，而不关注其概率大小。这一概念对减少单故障性事故产生了重要影响，从而对提升飞机安全性具有重要意义。正因为飞机安全性有了很大的提高，使得空中旅行人次有了巨大的增长。该时期的代表性飞机主要包括：道格拉斯D-6和洛克希德的“星座”。虽然这个时期飞机的安全性有了显著改进，公众信心有了明显增加，但事故仍然时有发生，其发生原因往往是多个故障组合的结果。

（4）1955年到现在：基于多故障组合导致的安全性问题，政府部门提出了使用“故障一安全”概念來代替单故障概念。如1955年在新的运输类飞机合格审定规则中，为涡轮动力的飞机引入了下列理念：必须考虑任一单故障加上任一可预知故障的组合。这时，“故障一安全”设计的基本原理是：任何一次飞行期间，单故障或可预知的组合故障不会阻止飞机的继续安全飞行和着陆。这一理念在经历了三代商用喷气式飞机设计论证与不断完善的之后，一系列的安全性分析与验证方法的提出，形成了使用功能危害性评估 （FunctionalHazardAssessment，FHA）故障树分析（FaultTreeAnalysis，ETA）、失效模式与影响分析（FailureModeandEffect Analysis，FMEA）等方法相结合的飞机安全性分析与设计方法。使得相关系统的事故率出现了实质性地降低。

3 民用飞机安全性相关标准以及安全性评估流程

自上世纪50年代以来，为了提高民用飞机的安全性水平，许多成熟的技术和方法已经应用到了飞机的设计过程中。经过几十年的发展，美国联邦航空管理局（FAA）和欧洲航空安全局（EASA）提出了采用功能危害性分析（FHA）、初步系统安全性评估（PreliminarySystemSafetyAssessment，PSSA）、系统安全性评估（System SafetyAssessment，SSA）、故障失效模式影响分析（FMEA）和共因分析（CommonCauseAnalysis，CCA）等方法进行民机系统安全性设计与评估，以符合运输类飞机适航标准FAR/CS/CCAR 25.1309条款。FAR/CS/CCAR 25.1309条款是整个飞机和系统安全性的基础，它对灾难级、危险级、较大的失效状态提出了概率要求，且要求单个失效不能导致飞机出现灾难级事故。在具体的工程应用中，确定失效状态影响等级时可以参考表1所示的原则。

由于现今民机设计有大量复杂新技术的使用，对完成FAR/CS/CCAR 25.1309条款的符合性验证工作又提出了新的挑战。在此背景下，有关单位出台了一些相关的工业标准，用来辅助完成安全性条款的符合性验证工作。其中美国机动车工程师学会（Society ofAutomotive Engineers，SAE）出台了工业标准ARP 4754A《民用飞机与系统研制指南》以确定飞机和系统研制流程，确保实现飞机安全性需求，以及ARP4761《民用飞机机载系统和设备安全性评估过程的指南和方法》对安全性评估过程进行了概述。针对软件、复杂电子硬件和综合模块化航电系统设计，美国航空无线电技术委员会（Radio Technical Commissionfor Aeronautics，RTCA）和欧洲民用航空设备组织（European Organization for Civil AviationEquipment，EUROCAE）分别发布了RTCADO-178B/C（相对应的EUROCAE ED-1213/C） 《机载系统和设备合格审定的软件考虑》给出了关于软件研制的详细方法，RTCA DO-254（相对应的EUROCAE ED-80）《机载电子硬件的设计保证指南》给出了关于电子硬件方面研制的内容，RTCA DO-297（相对应的EUROCAEED-124）给出了关于综合模块化航空電子系统（IntegratedModularAvionics，IMA）的设计指南和对合格审定的考虑。各工业标准之间的相互关系如图1所示。

其中ARP 4754A规定了飞机和系统的研制方法和流程，是适航当局进行适航认证的重要依据。ARP 4754A将安全性过程作为完整研制过程的一部分，确定了飞机和系统的研制流程，以确保实现飞机的安全性需求。依据ARP 4754A规定，在飞机研制周期的初始，根据飞机功能定义文件，要进行一次飞机功能危险性评估（AFHA）分析。AFHA通过系统地、综合地检查飞机的各项功能，识别功能的失效状态，并依据失效影响的严重程度进行分类;然后以AFHA的分析结果作为输入进行初步飞机安全性评估（PASA），并将各个功能的安全性需求分配到各个系统。各个系统依据分配结果，在进行一次系统功能危险性评估（SFHA）分析，主要包括飞机级分配的功能和自身的其它功能。类似于飞机级的安全性分析，SFHA的分析结果将进一步作为初步系统安全性评估（PSSA）的输入，PSSA可以确定软硬件的安全性设计需求以及所需采取的保护性措施。部件层级的安全性评估则主要通过FMEA和故障模式及影响摘要（FailureModesandEffectsSummary，FMES）实现。此外，功能、系统或设备的设计可能要求具有独立性，设计时需要通过一定的方法和流程来确保这种独立性的真实性并且是可以被接受的，为此，一般通过共因分析（CCA）进行分析。

从本质上来说，产品研制过程是反复迭代的，民用飞机安全性评估过程作为这个过程中必不可少的一部分也是不断迭代的，随着设计的推进要不断地进行评估，直到验证表明设计已满足安全性要求为止。

4 民用飞机安全性发展趋势

为了进一步提高民用飞机的安全性，除了进一步加强安全性分析、设计和验证工作外，还需要综合运用人为因素、软件安全性、风险管理和定量风险评估等各种先进技术来预防事故发生。

经过不断的积累与发展，关于民机安全性设计与验证技术，目前已经形成了两套稍具雏形的方法，分别是基于系统工程的安全性设计与验证方法和基于模型形式化的安全性设计与验证方法。其中：

（1）基于系统工程的安全性设计与验证方法，是将民机系统安全性设计与评估作为全机系统工程的一部分，贯穿飞机全生命周期。在进行安全性设计和验证工作时，运用系统工程的理论和系统观点，把飞机当作一个系统对待，从飞机的整体出发，考虑飞机的全生命周期，设计出安全的飞机。

（2）基于模型形式化的安全性设计与验证方法，则是对目标系统进行自动化分析并自动生成结果，可以提高安全性分析效率并降低误差。目前，该方法并未广泛应用于民机的设计中，但己得到可国际民机系统评估领域的高度重视。

5 总结

本文聚焦于公众普遍关注的民用飞机安全性问题，在分析民用飞机安全性发展历史的基础上，对当前主要使用的民用飞机安全性标准及其相互关系进行了剖析，并在此基础上对当前民用飞机安全性评估的流程进行了论述。最后，对民用飞机安全性的发展趋势进行了总结。

参考文献

[1]宋文滨.航空经济学及面向价值的飞机设计理论与实践[J].航空学报，2016，37（01）：81-95.

[2]车程.民用飞机安全性分析方法研究及软件系统设计[D].南京航空航天大学，2009.

[3]Scharl A，Stottlar K，Kady R.NAVSEANSWCDD-MP-14-00380，FunctionalHazard Analysis（FHA）Methodo10GyTutorial[C].International SystemSafety Training Symposium，St.Louis，M0.2014.

[4]Clemens P L.Fault tree analysis[J].JE Jacobs Severdurup，2002.

[5]Ben-Daya M.Failure mode and effectanalysis[M]//Handbook of maintenancemanagement and engineering.Springer，London，2009：75-90.

[6]逯军.民机飞行控制系统的安全性评估和分析研究[D].中国民航大学，2009.

[7]Advisory Circular A C.25.1309-1A：System Design and Analysis[J].1988.

[8]蔡喁，郑征，蔡开元等.机载软件适航标准DD-178E/C研究[J].2013.