李耀华，巩子瑜

中国民航大学 航空工程学院，天津 300300

系统安全性是指系统在规定的时间内和预期的使用条件下，以可接受的风险状态执行规定功能的能力[1]，侧重于分析和评估系统发生故障或失效后其对系统造成的影响，着眼于降低故障发生概率、减轻故障发生后造成的系统损失、人员伤害以及环境破坏。现代民航飞机系统通常是由高度集成的复杂系统组成，具有包含多种不同技术和人员交互特点[2]。分析和评估飞机系统在运营和维护过程出现的故障、失效或缺陷等不安全状态对飞机运行安全的影响，并制定相应的预防、控制和改进措施，对保持飞机的持续适航性具有重要意义。

近年来国内外十分重视系统安全性分析的研究[3-6]，Tamura等结合随机过程中的更新过程理论和可修复故障树模型对故障树顶事件的稳态发生概率进行计算[7]；Nancy提出将经典Petri网模型用于铁路控制系统的安全性分析中，并提出了消除导致危险路径的方法[8]；Abdulkhaleq等基于系统理论过程分析(STPA)的系统方法对全自动驾驶汽车的复杂结构进行操作安全性评估[9]。他们各自有着将系统组件独立考虑、忽视系统中人的操作、定量计算时忽视组件失效率在运行中不同状态的变化等局限性。依据SAE ARP5150标准[1]，在民机运营过程中需应用有效且全面的手段对安全性进行评估，及时调整，保证飞机达到安全设计水平。

国内外功能共振分析法(FRAM)在船舶交通[10]、钢铁生产[11]、医疗操作[12]等领域的系统安全性研究有一定进展，全面展示了复杂系统运行过程。在系统正常运行过程中可分析得出详尽的潜在风险，有助于安全评估正由事后分析转向事前调整[13]。功能共振分析方法是由Hollnagel在创造性的提出，基于事故是由于正常执行变异不期望的组合(共振)导致的假设建立[14]。Rogier等采用FRAM技术对“阿拉斯加261航班事故”进行分析[15]，识别出导致事故的包括人、技术、组织在内的不同因素，进一步刻画复杂耦合系统是如何超出系统安全边界。2014年新加坡国立大学研究团队开发了一个名为FRAM Model Visualizer (FMV)的新工具，以标准化的图像格式描述模型，并检查其一致性和完整性[16]。

虽有FRAM计算机辅助工具，但规范化形式化描述变异可变性尚不完善，且使用FRAM时以定性分析居多，少有对可变性进行定量评价。针对以上不足，本文提出改进FRAM的系统安全性分析方法，对FRAM运用RFV描述，之后对系统模型进行安全性定量评价，最后通过143号航班案例分析，验证本文所提出模型的有效性和实用性。

1 系统FRAM模型的创建

FRAM是基于功能共振理论建立的非线性的安全模型，能够直观展示复杂人-技术-社会系统的交互过程，但图像形式表示模型难以反应飞机运营时人员设备交互过程中的可变性。本节使用RFV规范化形式化语言描述FRAM中的变异可变性，使元素间耦合的可变性容易理解，以便进行后续的安全性评估。

1.1 系统功能共振模型的建立方法

FRAM从功能交互角度对系统进行建模，旨在全面分析系统中存在的变异。全面准确的安全性分析是对民航客机安全运营、创造价值的重要前提，但在实际飞机运营过程中，常常因为安全性分析方法不全面产生片面的分析结果。FRAM较全面地将功能分解为输入(Input, I)、输出(Output, O)、时间(Time, T)、前提(Preconditions, P)、资源(Resources, R)以及控制(Control, C)6个元素[14]，如图1所示，进行图形化的功能与耦合分析。

选取正常运行的系统，首先明确维持系统支持系统运行的功能，之后定义功能的6个元素。通常将输入、控制、资源、前提和时间称为输入端。各六角单位通过输出和输入端相连接，建立系统的功能网络，从而解释事件的正常发展过程。将发生在其他功能之前且可能会影响其他功能模块的功能模块称作上游功能，发生在其他功能之后且可能会受其影响的功能模块称作下游功能。

图1 FRAM六角功能模块Fig.1 FRAM hexagonal function module

FRAM模型间共振的传递过程可表示为上游功能输出影响下游功能的输入端，通过功能间的耦合形成多条链路同时动作或传递信息保证系统正常运行。系统的波动可能来自上下游功能的耦合，上游功能的输出传递到下游功能的输入、资源、控制、前提或时间的过程中可能会发生变异并影响下游功能，从而产生下游功能的输出波动，在功能网络传递过程中某些异常就可能使系统运行由正常变为紊乱，导致事故发生。

1.2 系统功能共振模型形式化描述方法

功能可变性描述规则[17](RFV)可以描述为RFV={F,A,R,V}，包括以下几点:所识别的功能、功能描述(包括功能的描述和功能之间的交互)、功能的耦合以及可变性。对于FRAM模型包括以下几点:FRAM模型中的功能、功能的元素、输入端与输出端的共振传递以及功能及耦合的可变性。

在建模过程中形式化描述系统功能F、特征元素A的输入为设计系统的人员与其操作的设备及人员和设备展开工作所需的条件，在限定的系统过程范围内分析确定。耦合关系R的输入与特征元素A相关，为上游输出端到下游功能某一输入端的元素对，可根据维修手册中的工作流程与设备工作原理得出。可变性V的输入由系统的运行过程中的功能失效和耦合变异组成，可由功能与耦合关系的异常状态综合分析得到。

正确建立的RFV有两方面的好处:首先，通过以标准格式表示规则很容易理解，并且通过将功能与要交互的功能配对来检查模型；其次，在FRAM模型中提取出具体实际含义的可变性，它将有助安全性评价过程中指标体系的建立。以下为FRAM模型RFV的具体表现：

1)F是给定系统中的全部功能的集合。即F={FA1, FA2, FA3, …, FAm, FB1, FB2, FB3, …, FBn}其中:FB为背景功能，FA为动作功能；n,m为取值范围，以此为基础便于在2)中形式化描述功能的特征、在4)表示功能可变性。

2)A表示每个功能的特征元素(输出、输入、前提、时间、控制和资源)。A={ IA1, OA1, CA1, TA1, SA1, RA1, …, IAm, OAm, CAm, TAm, SAm, RAm, OB1, …, OBn}(m,n=1,2,3…)，功能特征在3)中形成输入端元素与输出端元素间的耦合关系。

3)R=F→F表示功能之间的关系，通常反映在上游输出到下游功能某一方面的链路对上，即输入端元素与输出端元素间的耦合关系。R={OBnCAm, OBnTAm, OBnIAm, OBnSAm, OBnRAm, OAjCAk, OAjTAk, OAjIAk, OAjSAk, OAjRAk, …} (j,k=1,2,3，…且j≠k)。功能间关系在4)中表示输入端元素与输出端元素间耦合关系的可变性。

2 改进FRAM系统安全性综合评价模型

在安全性综合评价模型中，使用RFV规范化形式化描述FRAM中的变异可变性系统安全性进行定量评估，使得出的安全性分析结果更具参考价值。首先层次分析法(AHP)方法确定发生变异可能性指数P较高的功能元素耦合，然后对包含最可能发生变异耦合的链路进行同一路分析，得到综合严重指数S最高的链路，能够更有针对性地预防链路中的风险点。建立的改进FRAM系统安全性综合评价模型流程如图2所示。

图2 改进FRAM系统安全性综合评价流程Fig.2 Comprehensive evaluation process of FRAM system safety improvement

2.1 安全性分析的可变指数确定

在实际飞机运营过程中，常常因为安全性分析方法缺乏客观指标评价而产生片面的分析结果，利用AHP方法可较清晰地反应各功能与耦合间可变指数的相对关系，较客观地显示系统发生异常共振的可能性。功能或耦合发生失效或变异的概率可称为可变指数，利用层次分析法[18]分别对功能失效和耦合变异进行可变指数计算。

首先，建立评价指标体系：一级指标为系统FRAM模型中各功能。根据一级指标对FRAM模型中各自功能的耦合划分成二级指标。本文建立的民机安全性分析的可变指数评价体系如表1所示。对于输入端耦合来说，可变指数越大越可能影响下游功能的输出，影响到系统的稳定运行，那么事故就可能发生。

然后使用层次分析法[19](AHP)确定权重的流程。通过比较判断指标的相对可变性，构造判断矩阵利用标度将指标间的相对可变性定量化，通常使用Thomas[20]提出的1～9标度衡量其关系，判断矩阵标度的含义如表2所示。请飞机设计、制造、维修等方面专家根据打分标准分别对上

表1 安全性分析评价指标体系Table 1 Safety analysis evaluation index system

游功能的输出对下游功能的输入端(输入、前提、时间、控制和资源)连接中的可变性进行相对影响严重程度进行打分，根据打分结果产生判断矩阵。FAn功能输入端耦合判断矩阵A构建如表3所示。

最后确定可变指数，如图3所示。具体步骤如下：

1) 将判断矩阵每一列归一化：

(1)

表2 判断矩阵标度及其含义Table 2 Scale and meaning of judgment matrix

(2)

(3)

则w=[w1，w2，…，wn]T为所求的特征向量，即指标可变指数。

3) 一致性检验及调整。

设判断矩阵最大特征根为λmax，即

(4)

式中：(Aw)i为向量Aw的第i个分量；n为判断矩阵阶数。

为了检验判断矩阵的一致性，需要计算一致性指标CI：

表3 FAn功能输入端耦合评判矩阵Table 3 FAn function input coupling evaluation matrix

图3 AHP确定可变指数流程Fig.3 Process of determining variable exponential with AHP

(5)

设判断矩阵平均随机性一致性指标RI，对于不同阶数的判断矩阵，RI的值可查表得出。计算一致性比例CR：

(6)

若CR<0.1，则判断矩阵通过检验，其一致性是可以接受的，否则重新调整判断矩阵。

4连通与8连通的示意图如图4所示。4连通时假设中心点★为0级灰度，当A、B、C、D其中一个点灰度级为0，则★点与其他点有连接；8连通时假设中心点★为0级灰度，当A、B、C、D、E、F、G、H其中一个点灰度级为0，则★点与其他点有连接。

2.2 可变性危害严重程度同一度评价方法

对功能间耦合变异可能性确定后，对包含变异耦合的链路[21]进行严重程度评价，确定功能失效影响严重程度最大链路，对链路中失效影响程度较大的功能在民机飞行过程中进行重点维护。同一功能在不同链路中起着不同的承接作用，且链路中包含多种功能，较难全面评价不同链路失效危害严重程度。利用同一度分析为各链路的失效严重程度进行排序，进而选出失效危害性最大的方案，从而避免总体影响较小但链路间影响差别较大的功能失效对系统安全影响的直接排除或分析不完善的影响，减少某单一功能失效对系统安全评估的片面的决定性影响，使分析结果更客观，从而能够更合理地从多条FRAM模型所包含的链路中确定最具有风险的链路及其中失效影响严重程度较大的功能。

使用专家打分法(德尔菲法)对各个功能可变性危害严重程度进行评分：设立评价集，用{非常严重、较严重、一般、较轻微、轻微}五级评语评定指标。具体方法参照以下步骤进行：

1) 列举各系统中各功能，并列出功能连接成的维持系统正常运行的各条链路。

2) 制作定性指标评价表，如表4所示，采用置信度的形式，对各指标的评价等级进行评价。置信度以小数表示，且各指标的评价等级打分之和不能大于1。

3) 为了减弱评价过程中的主观影响，可聘请多位专业人员，进行多轮评价，对评价结果进行综合分析计算，见表5。

表4 功能失效严重程度评价Table 4 Evaluation of functional failure severity

通过同一度分析确定危害严重程度较高链路，对其中功能失效进行重点预防。同一度分析流程[22]如下：

1) 确定理想方案

建立理想方案T，作为评价的基准，理想方案的第k个指标值为e0k。此次同一度分析的目的为在综合各功能失效影响链路中确定综合危害严重程度最大的方案，且各方案中的指标作为链路中功能可变性对系统运行危害严重程度，即链路中功能失效产生的最严重影响指标值为这次评价的基准，所以分别取功能在各链路中的指标最大值构成理想方案。

2) 计算指标值间的同一度

计算各链路与理想方案间的同一度，设同一度值为bik，其中eik(i=1,2,…,m;k=1,2,…,n)表示第i条链路、第k个指标值，则有

(7)

3) 计算方案间的同一度

设同一度值为bi(i=1,2,…,m)，可得到各链路与理想方案之间的同一度：

(8)

4) 确定危险严重程度最高链路：

同一度值最大的备选链路即为危险严重程度最高链路：

D*=max(b1,b2,…,bm)

(9)

表5 功能失效发生严重程度指数Table 5 Severity index of functional failure

3 基于改进FRAM的143号班机系统安全性分析

3.1 事故背景及经过

一架波音767从蒙特利尔多瓦尔机场起飞以执行飞往温尼伯的143号班机任务。在飞机加油过程中，机务人员发现燃料显示器没有任何显示。在进行排故作业时，机务被打断了工作，使燃料显示器未能及时修复，并未对机长告知燃料显示器最新状态。飞行员回到驾驶舱后，机长认为飞机状态与上航段相同，采取与上航段相同的手工计算燃料量处理方法，告知加油员注入所需油量后以燃料测量棒测量油量，就可以令飞机安全飞行。于是飞行员决定补充燃油量并继续前往埃德蒙顿的航程。

767-233客机采用的是公制单位，与传统飞机的英制单位换算不同。地面工作人员在以人工计算加入机身内的燃料量时，误将英制计算时使用的换算参数代入公制计算式，结果只装载了不到需要量一半的油料。当地勤人员拿来加油记录请机长进行核对时，他检查了相关的计算数据，却仍然误用了英制的换算系数而且并未察觉。机组人员将这些错误的资料输入飞机上的飞行管理计算机内，便起程前往埃德蒙顿。起飞后不久，机上警报油箱油量低，随后引擎熄火，最终飞机滑翔至某一废弃的皇家空军基地紧急着陆[23]。

3.2 建立143号班机系统FRAM功能网络模型

建立功能共振事故模型。事故是由燃油系统显示失效后，加油量计算错误引起的。因此对正常燃油系统加油过程进行功能模块划分，包括以下几个模块：燃油加注、油量传感器、信号处理设备、油量显示器、加油员作业、机务检查、飞行员检查、飞机正常起飞。将这8个过程确定为8个功能模块，分析每一模块的具体内容。以功能模块油量显示器、加油员作业为例，具体内容见表6。

表6 功能模块特征元素Table 6 Function module specific content

通过分析每一模块的特征元素，根据事故发生的过程，连接功能模块，建立如图4所示的系统正常运行的FRAM功能网络模型。

3.3 143号班机模型形式化描述

根据功能可变性描述规则(RFV)，143号班机模型可以描述为RFV={F,A,R,V}，其中给定系统中的全部功能的集合F中的元素及其定义见表7。功能FA4中的每个功能的特征集合A中的元素及其定义见表8。功能FA4、FA6相关功能之间的关系集合R中的元素及其定义见表9。功能FA3、FA4相关功能之间的可变性集合V中的元素及其定义见表10。FA4功能输入端耦合评判矩阵的构建见表11。

图4 系统FRAM功能网络模型Fig.4 System FRAM functional network model

表7 功能的集合F中的元素及其定义Table 7 Elements in function set F and their definitions

表8 FA4功能的特征集合A中的元素及其定义

表9 功能FA4、FA6之间的关系集合R中的元素及其定义

表10 功能FA3FA4相关可变性集合V中的元素及其定义

3.4 确定安全性分析143号班机模型可变指数

建立评价指标体系：一级指标为系统FRAM模型中各功能。根据一级指标对FRAM模型中各自功能的耦合划分成二级指标，如控制耦合、时间耦合、动作耦合、前提耦合、资源耦合5个影响因素。建立的143号班机FRAM安全性分析的可变指数评价体系如表12所示。

表11 FA4功能输入端耦合评判矩阵Table 11 FA4 function input coupling evaluation matrix

由式(1)和式(2)得所求特征向量w=[0.053 3，0.477 3，0.335 9，0.133 6]。经一致性判别，由式(3) ～式(6)得CR=0.026<0.1，表明一致性可接受。

表12 143号班机安全性分析可变指数Table 12 Flight 143 safety analysis variable index

3.5 143号班机功能失效严重程度同一度评价

对各链路变异发生严重程度评价指标值进行评价，与理想情况作对比，根据同一度偏差的大小确定链路中危害严重程度较高的功能对其失效要重点预防。对各个功能可变性危害严重程度进行评分：设立评价集，用{非常严重、较严重、一般、较轻微、轻微}五级评语评定指标。汇总专家评价表，各指标的最终得分是专家评价的均值。具体方法参照以下步骤进行：

1) 功能连接成的维持系统正常运行的各条链路为α链路、β链路、γ链路。

α链路为燃油加注后经机务检查正常的燃油传感器信号经数据处理器后显示正确显示加油量，加油员与飞行员之间核对加入量后起飞。

β链路为燃油注入油箱，油箱中燃油传感器信号经数据处理器后显示正确显示加油量，加油员与飞行员核对加油量，飞行员收到机务放行指令后起飞。

γ链路为燃油经加油员工作输入飞机，加油员向飞行员确认加入正确油量，飞行员查看机务检查正常的燃油传感器信号经数据处理器后显示的剩余油量正常后起飞。

2) 制作定性指标评价表，其中FA3功能失效严重程度定性评价如表13所示。

3) 为使评价过程中更加客观，聘请多位民机领域专家，进行多轮评价，对评判结果进行全面分析计算，得表14。

由图5可知，γ链路中各功能失效后果严重性与其他链路相比，产生后果对系统综合影响更为严重。

根据式(7)～式(9)计算得到：D*=max(b1,b2,b3)=max(0.73,0.77,0.93)=0.93。

表13 FA3功能失效严重程度定性评价

表14 143号班机功能失效发生严重程度指数Table 14 Severity index of Flight 143 failure

计算结果表明γ链路的危害严重程度指数与评价基准最为相近，即γ链路异常可导致最严重的系统紊乱，且在γ链路中危害严重程度最高的功能为FA3。本节从扩展调查报告的分析角度，得出燃油经加油员工作输入飞机，加油员向飞行员确认加入正确油量，飞行员查看机务检查正常的燃油传感器信号经数据处理器后显示的剩余油量正常后起飞链路对系统运行有重要影响，可通过提高燃油剩余显示的可靠性保障链路正常。

4 结 论

1) 建立了基于改进FRAM的民机系统安全性分析模型。首先将FRAM分析得出系统功能网络，再利用RFV规则定义具有可变性的耦合，然后使用AHP方法确定耦合发生变异可能性指数P，最后选择同一度分析进行综合评价，对系统不同链路中功能失效后果严重指数S进行定量评估，结合指数S、P得出对系统的安全性分析结果。

3) 通过案例分析验证了所建模型的准确性，经模型分析得出对系统正常运行具有较高危险性的因素，涵盖不安全事件调查组得出的事故调查结果，并且额外提出了需提高燃油剩余显示器输出的可靠性、加油员未能通过油量显示器得知飞机加油量等风险点。本文的方法规范全面量化地分析出系统正常运行所需的功能及关系，包含了系统安全营所需的部件因素和人为因素，从而完善了民机系统安全分析理论，增强了系统安全分析工作的规范化与全面性，为飞机的安全运营提供保障。