航空裝備系統(tǒng)安全應(yīng)用技術(shù)研究

何鐘武（洪都航空工業(yè)集團(tuán) 江西 南昌 330024 ）

航空裝備系統(tǒng)安全應(yīng)用技術(shù)研究

何鐘武（洪都航空工業(yè)集團(tuán) 江西 南昌 330024 ）

為了消除系統(tǒng)研制錯(cuò)誤、保證所有的故障狀態(tài)均得到識(shí)別，真正實(shí)現(xiàn)裝備使用時(shí)的安全、可靠、經(jīng)濟(jì)，本文剖析了航空裝備有關(guān)安全性方面的傳統(tǒng)理念誤區(qū)，從組織、人為、技術(shù)、風(fēng)險(xiǎn)權(quán)衡、結(jié)構(gòu)化的設(shè)計(jì)保證和嚴(yán)格的過程控制等方面，介紹和分析了國(guó)外有關(guān)系統(tǒng)安全的新理念，提出了在大系統(tǒng)、大綜保環(huán)境下統(tǒng)籌系統(tǒng)安全工作的觀點(diǎn)，并據(jù)此給出了裝備研制階段系統(tǒng)安全工作的思路：一是嚴(yán)格執(zhí)行結(jié)構(gòu)化的設(shè)計(jì)保證與過程控制，二是充分協(xié)調(diào)研制與安全性評(píng)估過程的關(guān)系。

系統(tǒng)安全；組織管理；軍機(jī)適航；人為因素；風(fēng)險(xiǎn)權(quán)衡

M IL-STD-882D中將系統(tǒng)安全定義為：在作戰(zhàn)效能、時(shí)間和費(fèi)用的約束下，在系統(tǒng)壽命周期的各階段，應(yīng)用工程和管理的原則、準(zhǔn)則與技術(shù)，使災(zāi)難性風(fēng)險(xiǎn)達(dá)到可接受的水平[1]。

系統(tǒng)安全改變了系統(tǒng)（按參考文獻(xiàn)[2]的定義）研制中，通過“試驗(yàn)—改進(jìn)—試驗(yàn)”的“試錯(cuò)”法獲得可接受的安全性水平這一傳統(tǒng)觀念，它要求在系統(tǒng)整個(gè)壽命周期中都應(yīng)識(shí)別、分析和控制危險(xiǎn)，強(qiáng)調(diào)在系統(tǒng)設(shè)計(jì)階段應(yīng)把安全性要求融入到系統(tǒng)中，以保證系統(tǒng)在以后的試驗(yàn)、制造、使用、保障以及退役處置中都是安全的[2]。

像大型客機(jī)、第三及第四代戰(zhàn)機(jī)這類現(xiàn)代航空裝備屬于復(fù)雜裝備，而人們對(duì)系統(tǒng)安全技術(shù)的應(yīng)用，目前仍有各種各樣認(rèn)識(shí)上的誤區(qū)，如果這些認(rèn)識(shí)上的誤區(qū)不加以解決，輕則影響裝備的研制進(jìn)度，重則影響裝備研制的成敗。因此，裝備的研制只有貫徹正確的理念，才能將安全性這一質(zhì)量特性，固化到裝備中去，并保證裝備使用時(shí)的安全、可靠與經(jīng)濟(jì)。為此，本文特對(duì)航空裝備研制中系統(tǒng)安全性方面的傳統(tǒng)理念進(jìn)行剖析，對(duì)國(guó)外有關(guān)系統(tǒng)安全的新理念進(jìn)行分析，并以此為基礎(chǔ)，給出裝備研制階段系統(tǒng)安全工作的思路。

1 傳統(tǒng)理念

不管是裝備型號(hào)的研制方還是使用方，都堅(jiān)持以“安全第一”的思想，作為裝備研制與使用的基本工作方針與策略，都非常重視系統(tǒng)安全技術(shù)的研究與應(yīng)用。但是，在工程的實(shí)際工作中，人們往往堅(jiān)信以下理念：

?事故調(diào)查能從根本上解決安全性問題；

?符合相關(guān)規(guī)章和標(biāo)準(zhǔn)，就能滿足安全性要求；

?適航是系統(tǒng)安全工作的具體化；

?通過試驗(yàn)和分析，能保證裝備的安全。

1.1 事故調(diào)查不能從根本上解決安全性問題

在早期的航空裝備中，對(duì)各系統(tǒng)確定了很高的安全性目標(biāo)，但沒有可利用手段與資源去實(shí)現(xiàn)它，以致于事故頻發(fā)。早期的航空裝備以高頻事故為特征，并由此產(chǎn)生了安全壓倒一切的思想以預(yù)防重大事故的發(fā)生，從而使得事故的調(diào)查成了事故預(yù)防的主要方法，以防止釀成事故的重大故障在同型號(hào)或其它型號(hào)上再現(xiàn)。

圖1介紹了傳統(tǒng)的事故調(diào)查過程[3]。傳統(tǒng)的事故調(diào)查，往往讓人們?nèi)ゲ檎彝话l(fā)安全事件鏈中的某一點(diǎn)或某些點(diǎn)。當(dāng)查不到技術(shù)原因的時(shí)，人們往往轉(zhuǎn)而去查使用者的一些不安全的做法。即：根據(jù)事件的結(jié)果去調(diào)查航空器的使用者：做錯(cuò)了什么或應(yīng)該做什么而又沒有做。這種調(diào)查結(jié)果對(duì)安全事故而言，只能是后見之明；對(duì)當(dāng)事者而言，只能是受到無謂的指責(zé)或不同程度地感到“內(nèi)疚”，并且無法逃避因沒有“履行安全”的責(zé)任而受到處罰。

事故調(diào)查所帶來的唯一收獲就是：只能實(shí)現(xiàn)部分的FRACAS（故障報(bào)告、分析、糾正措施系統(tǒng)）“歸零”（雙五歸零）。因?yàn)椋?009年6月法航一架載有228人的空客A 330-200客機(jī)，在大西洋海域上空失蹤，到目前為止，其真正的失事原因還未找到。因此，有時(shí)血的代價(jià)還不一定能換來技術(shù)上的教訓(xùn)。

事故的調(diào)查雖然在確定發(fā)生了“什么”、是“誰”干的、發(fā)生在“什么時(shí)候”等方面比較高效，但是在披露事故“為什么”和“怎么樣”發(fā)生時(shí)總顯得力不從心[3]。

1.2 符合相關(guān)的規(guī)章和標(biāo)準(zhǔn)不一定能滿足安全性要求[2]

不可否認(rèn)，尤其是當(dāng)航空裝備的復(fù)雜性不斷增加時(shí)，規(guī)章和標(biāo)準(zhǔn)，對(duì)航空安全所起的作用日顯巨大，并演變?yōu)榇_保裝備安全性水平的中流砥柱！但事實(shí)上，飛行事故還是在持續(xù)發(fā)生。后來，人們發(fā)現(xiàn)：“只要滿足規(guī)定的設(shè)計(jì)規(guī)章和標(biāo)準(zhǔn)，就能保證安全”是一個(gè)謬論[2]！對(duì)航空領(lǐng)域這樣開放而且動(dòng)態(tài)的體系而言，想寄希望于規(guī)章和標(biāo)準(zhǔn)解決所有使用環(huán)節(jié)中的安全性問題，那是不可能的。這主要是因?yàn)橐?guī)章和標(biāo)準(zhǔn)：

（1）常常是“墓碑命令”

規(guī)章和標(biāo)準(zhǔn)不能囊括系統(tǒng)的所有情況。它常常是對(duì)已有經(jīng)驗(yàn)或教訓(xùn)的被動(dòng)反應(yīng)，它來源于適航當(dāng)局、產(chǎn)品的設(shè)計(jì)者、試驗(yàn)人員以及事故調(diào)查者等人的歷史經(jīng)驗(yàn)與教訓(xùn)。也就是說，它們是對(duì)不希望發(fā)生而又已經(jīng)發(fā)生的事件的反應(yīng)，即所謂的“墓碑命令”。

（2）受時(shí)間和空間的制約

規(guī)章和標(biāo)準(zhǔn)是在一定時(shí)間（歷史）和空間（具體的使用環(huán)境）下形成的，受時(shí)間和空間的制約,在時(shí)間維上總是落后于技術(shù)的發(fā)展，因而使得它常常不完全適用于正在研制的整個(gè)系統(tǒng)（整機(jī)），并且很難考慮到全壽命周期的情況。

（3）不能保證裝備所有功能故障狀態(tài)均已考慮

規(guī)章和標(biāo)準(zhǔn)本身不能夠包含一切，每一規(guī)章和標(biāo)準(zhǔn)討論的往往是子系統(tǒng)或部件，而這些子系統(tǒng)或部件的故障又不是裝備發(fā)生事故的本質(zhì)。事故的發(fā)生往往是不同故障的組合，甚至是不同系統(tǒng)間故障的相互作用。不同的航空裝備，其功能不一樣，這就決定了其系統(tǒng)構(gòu)架也不盡相同。顯然，規(guī)章和標(biāo)準(zhǔn)無法考慮到裝備所有功能的故障狀態(tài)。

（4）鼓勵(lì)的是滿足最低的安全性要求

規(guī)章和標(biāo)準(zhǔn)并未激勵(lì)人們?nèi)ミM(jìn)一步考慮系統(tǒng)的安全。通常，規(guī)章和標(biāo)準(zhǔn)代表的是特定形式系統(tǒng)所應(yīng)考慮的最低要求，它并未指明人們?cè)O(shè)計(jì)時(shí)應(yīng)回避的危險(xiǎn)。如：對(duì)飛機(jī)的襟翼操縱系統(tǒng)，要求有雙余度，但沒有說明這是為了防止襟翼功能突然失效致使飛機(jī)起飛或著陸時(shí)不能保持姿態(tài)或沖出跑道時(shí)而發(fā)生等級(jí)事故。

圖2 復(fù)雜系統(tǒng)示例[4]

（5）經(jīng)濟(jì)可承受性可能沒有得到充分的考慮

人們往往認(rèn)為：由于適航規(guī)章規(guī)定的是最低的安全性要求，滿足規(guī)章的要求就是以一種最為經(jīng)濟(jì)的方式滿足安全性要求。非也！因?yàn)楹饬拷?jīng)濟(jì)性的唯一標(biāo)準(zhǔn)是ALARP（風(fēng)險(xiǎn)低到合理可行）。昨天認(rèn)為要降低風(fēng)險(xiǎn)，可能需要很大的成本，但隨著技術(shù)的發(fā)展，今天可能并不需要太多的成本。

1.3 適航不等同于系統(tǒng)安全[2]

在航空工業(yè)部門，系統(tǒng)安全往往成了適航的代名詞，系統(tǒng)安全即適航。然而，適航關(guān)心的是適航取證期間業(yè)已批準(zhǔn)的飛機(jī)構(gòu)型，而且主要專注于飛機(jī)的持續(xù)安全飛行與著陸；而系統(tǒng)安全關(guān)注的不只是適航審定基礎(chǔ)，它還取決于系統(tǒng)的等級(jí)層次（如：軍用飛機(jī)和模擬器、保障設(shè)備、導(dǎo)彈一起構(gòu)成軍用飛機(jī)系統(tǒng)…）。因此，適航當(dāng)局關(guān)心的只是飛機(jī)及機(jī)載系統(tǒng)的安全性，而系統(tǒng)安全則還關(guān)注航空裝備同保障系統(tǒng)接口安全等諸多問題。適航審定的工作隨著型號(hào)審定過程的結(jié)束而結(jié)束，而系統(tǒng)安全則是航空裝備全壽命期內(nèi)的工作。

1.4 通過試驗(yàn)和分析不能保證裝備的安全

現(xiàn)代航空裝備，越來越多地使用功能增強(qiáng)和接口復(fù)雜的系統(tǒng)（如：駕駛艙綜合顯示系統(tǒng)，飛行控制、飛行管理、空中交通控制、通訊管理等系統(tǒng)）。現(xiàn)代復(fù)雜系統(tǒng)/子系統(tǒng)/設(shè)備/軟件/硬件的輸入量很多，系統(tǒng)間的邏輯關(guān)系相互交叉。圖2給出了一個(gè)復(fù)雜系統(tǒng)示例。由該圖不難得出復(fù)雜系統(tǒng)具有以下屬性：

?系統(tǒng)的接口邏輯難于理解[4] ；

?難以用試驗(yàn)和／或分析的手段，確定所有的系統(tǒng)狀態(tài)[5][6][7]；

?需要結(jié)合結(jié)構(gòu)化的設(shè)計(jì)保證和嚴(yán)格的過程控制方法，來保證系統(tǒng)安全。

因此，現(xiàn)代航空裝備無法證明試驗(yàn)做多少或做到什么程度才叫充分，故而無法依靠試驗(yàn)和分析的手段，來保證裝備使用時(shí)的安全。

2 系統(tǒng)安全新理念

2.1 事故的發(fā)生往往是組織、人為和技術(shù)這三方面因素的相互作用

從二次世界大戰(zhàn)期間到70年代，飛機(jī)的安全性事故主要由技術(shù)原因所致，所以人們關(guān)注的是如何從技術(shù)上保證飛行器的安全；但是從70年代初期開始，隨著系統(tǒng)冗余、自動(dòng)駕駛、先進(jìn)的機(jī)載與地面導(dǎo)航和通信設(shè)備、飛行導(dǎo)引等技術(shù)的廣泛使用，飛機(jī)安全性事故的發(fā)生概率大大降低，并且由技術(shù)因素所造成的安全性事故在10%以下，而人為因素所造成的安全性事故達(dá)80%左右[3]][8]，于是，這段時(shí)間人們便將系統(tǒng)安全的工作重點(diǎn)，逐步從對(duì)技術(shù)因素的考慮轉(zhuǎn)移到對(duì)人為因素的考慮上來；從70年代中期到90年代中期，盡管人們圍繞如何減輕因人為因素所造成的差錯(cuò)對(duì)安全事故的影響，投入了大量的人力、物力和財(cái)力，但人為因素所造成的安全事故依然占總安全性事故的80%左右，于是航空界人士發(fā)現(xiàn)：安全事故的發(fā)生還與使用環(huán)境有關(guān)，而使用環(huán)境對(duì)人的工效影響還得通過組織管理予以解決。故從90年代起，人們站在系統(tǒng)工程的角度上，提出了安全性工作應(yīng)包括組織、人為和技術(shù)三方面的因素（圖3）。

圖3描述了航空裝備發(fā)展過程中，安全性影響因素的演化過程，它揭示了現(xiàn)代航空裝備在研制時(shí)，不能僅考慮技術(shù)因素，還必須同時(shí)考慮人為、組織兩大因素對(duì)安全性的影響[3][7[11]。

此外，SHEL模型主要描述了軟件（Softw are）、硬件（Hardw are）、環(huán)境（Environm en t）、人（Livew are）各自的功能和相互之間的關(guān)系，即：人－硬件、人－軟件、人－環(huán)境、人－人四方面的接口關(guān)系。接口關(guān)系是否正常，則直接決定了裝備或其它產(chǎn)品在使用中，是完成既定任務(wù)還是發(fā)生安全事故[3] [4]

圖3 影響航空裝備安全性因素的深化[3]

從該模型中可以看到：人是系統(tǒng)中各個(gè)環(huán)節(jié)聯(lián)系的紐帶，其它部分均以人為中心、靠人的配合來保障系統(tǒng)的安全。該模型還告訴我們：人和其它部分的聯(lián)系邊界是不規(guī)則的，因而這四個(gè)關(guān)系（界面）成為模型的關(guān)鍵點(diǎn)。

SHEL模型主要反映了組織、人為和技術(shù)這三方面因素的相互作用。它揭示了今天全新的安全性理念就是：系統(tǒng)地識(shí)別和管理在組織、人為與技術(shù)這三方面的危險(xiǎn)，并將危險(xiǎn)發(fā)生的風(fēng)險(xiǎn)，降低到用戶（社會(huì)）可接受的水平內(nèi)[3][7][8] [9][10]。

2.2 人犯錯(cuò)誤是正常的

按照SHEL模型：使用差錯(cuò)是人／技術(shù)系統(tǒng)的一種特性。即：將人視為技術(shù)系統(tǒng)的一部分，為與系統(tǒng)中的硬件、軟件作區(qū)別，“人”常被稱為“人件”。當(dāng)我們把“人件”當(dāng)作系統(tǒng)的一個(gè)設(shè)備時(shí)，那么，人出故障（犯錯(cuò)誤）也是正常的[3][4][7]。

2.3 系統(tǒng)構(gòu)架力求ALARP

衡量經(jīng)濟(jì)性的唯一標(biāo)準(zhǔn)是ALARP，即：風(fēng)險(xiǎn)低到合理可行。ALARP反映了風(fēng)險(xiǎn)控制的基本目標(biāo)[1][2][3]。

合理，即：在費(fèi)用、進(jìn)度及風(fēng)險(xiǎn)之間達(dá)到了平衡；低到合理可行，即：風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)所需克服的技術(shù)難點(diǎn)而耗費(fèi)的資金、產(chǎn)生效益所需等待的時(shí)間等方面達(dá)到了平衡。

以某大型商用飛機(jī)為例：在安全性評(píng)估時(shí)，其損失概率不高于10-7／FH，則可以認(rèn)為達(dá)到了適航要求。但這是ALARP的上限，飛機(jī)的系統(tǒng)安全工作有沒有達(dá)到ALARP的目標(biāo)，就看能不能證明該型飛機(jī)的風(fēng)險(xiǎn)確實(shí)是低到合理可行。

隨著技術(shù)的不斷進(jìn)步，A LARP的上下限總是在不斷地下移的。此外，ALARP也告訴了我們：在系統(tǒng)構(gòu)架時(shí)如何做到安全性與經(jīng)濟(jì)性辯證的統(tǒng)一。

2.4 傳統(tǒng)的驗(yàn)證方法，向結(jié)構(gòu)化的設(shè)計(jì)保證和嚴(yán)格的過程控制方法轉(zhuǎn)變

高度復(fù)雜或綜合的系統(tǒng)，在研制的過程中往往會(huì)出現(xiàn)各種差錯(cuò)，如：危險(xiǎn)的故障狀態(tài)識(shí)別不全、設(shè)計(jì)的要求定得不對(duì)、系統(tǒng)中存在多余的功能等問題。

如果說，過去采用故障模式影響分析（FM EA）、故障樹分析（FTA）和試驗(yàn)的方法，對(duì)系統(tǒng)所實(shí)施的安全性評(píng)估效率低下、不盡如意的話，那么說，對(duì)于今天具有高度冗余和重構(gòu)能力的數(shù)字化、綜合化、智能化的復(fù)雜系統(tǒng)，再僅采用 FMEA、FTA和相關(guān)試驗(yàn)來進(jìn)行評(píng)估，就顯得蒼白無力。現(xiàn)代系統(tǒng)正在呼喚著一種更為嚴(yán)格的系統(tǒng)安全技術(shù)。這種技術(shù)，要求提供足夠的安全性評(píng)估數(shù)據(jù)，要求更清晰地定義所分析的對(duì)象，要求邏輯性更強(qiáng)地闡述所使用的假設(shè)、決斷與策略。它就是結(jié)構(gòu)化的設(shè)計(jì)保證和嚴(yán)格的過程控制方法。

圖4 結(jié)構(gòu)化的設(shè)計(jì)保證和嚴(yán)格的過程控制

用這種方法代替試驗(yàn)或分析為基礎(chǔ)的傳統(tǒng)驗(yàn)證方法，將軟件、硬件由于技術(shù)、人為及組織等原因所造成重大影響的可能性降到最低，從而保證安全性要求得以實(shí)現(xiàn)。因而，傳統(tǒng)的驗(yàn)證方法，正向結(jié)構(gòu)化的設(shè)計(jì)保證和嚴(yán)格的過程控制方法轉(zhuǎn)變[5][6]（見圖4）。

但這并不是說試驗(yàn)或分析不重要。相反，結(jié)構(gòu)化的設(shè)計(jì)保證和嚴(yán)格的過程控制方法，將試驗(yàn)與分析，作為安全性要求確認(rèn)與驗(yàn)證的重要手段之一。它強(qiáng)調(diào)的是系統(tǒng)安全工作的規(guī)范化、完整性與系統(tǒng)性。

2.5 大系統(tǒng)、大綜保環(huán)境下統(tǒng)籌系統(tǒng)安全工作

裝備與其綜合保障系統(tǒng)所構(gòu)成的一個(gè)系統(tǒng)，即：裝備系統(tǒng)[2]。該系統(tǒng)等級(jí)及以上層次（如：綜合作戰(zhàn)系統(tǒng)[2]），可稱為大系統(tǒng)；可靠性、維修性、測(cè)試性、保障性、安全性、環(huán)境適應(yīng)性、適航（性）、經(jīng)濟(jì)性的質(zhì)量特性集成，又統(tǒng)稱為大綜保。

圖5 安全性三條腿

由于裝備使用時(shí)的安全性這一質(zhì)量特性，是體現(xiàn)在大系統(tǒng)與大綜保環(huán)境下的特性，而且裝備的設(shè)計(jì)與制造、使用、維修，構(gòu)成了裝備使用安全性水平的三條腿（見圖5）[11][12][13]，因此，必須在大系統(tǒng)、大綜保的環(huán)境下統(tǒng)籌系統(tǒng)安全工作。

圖6 飛機(jī)功能的實(shí)施過程

3 研制階段系統(tǒng)安全工作思路

3.1 嚴(yán)格執(zhí)行結(jié)構(gòu)化的設(shè)計(jì)保證與過程控制

現(xiàn)代航空裝備，系高度復(fù)雜化的裝備。因此，在研制階段需按結(jié)構(gòu)化的設(shè)計(jì)保證和嚴(yán)格的過程控制方法，開展系統(tǒng)安全工作。工作的思路按照?qǐng)D4所示模型[2]，將系統(tǒng)安全性工作融入到裝備的研制過程之中。該模型左半部份，簡(jiǎn)練地表達(dá)了設(shè)計(jì)自頂向下深入到組件級(jí)時(shí)應(yīng)開展的安全性評(píng)估工作。這些子過程又稱為安全性要求的確認(rèn)過程；而其右半部份，則展示了自底向上，從組件級(jí)到子系統(tǒng)、系統(tǒng)、整機(jī)的系統(tǒng)集成過程中，如何在每一系統(tǒng)層次上開展安全性的驗(yàn)證工作。這些子過程又稱為安全性要求的驗(yàn)證過程[2]。

圖6給出了飛機(jī)功能實(shí)現(xiàn)過程的模型，該模型包含多個(gè)系統(tǒng)的研制過程。每個(gè)系統(tǒng)的研制過程可能由多個(gè)組件的研制過程組成。每個(gè)組件的研制過程又包含有硬件和軟件全壽命周期內(nèi)的工作，從全機(jī)到設(shè)備的許多工作需反復(fù)進(jìn)行。如：設(shè)計(jì)方案的確定、安全性評(píng)估、合格審定協(xié)調(diào)等。圖6是在對(duì)圖4所示的過程進(jìn)行歸納的同時(shí)，更進(jìn)一步明確設(shè)計(jì)保證與過程控制的主要工作有：審定協(xié)調(diào)、安全性評(píng)估、要求確認(rèn)、實(shí)施驗(yàn)證、構(gòu)型管理、過程保證等內(nèi)容。

3.2 充分協(xié)調(diào)研制與安全性評(píng)估過程的關(guān)系

系統(tǒng)安全性工作是產(chǎn)品研制過程的一個(gè)重要組成部分。系統(tǒng)研制與安全性評(píng)估過程的關(guān)系見圖7。

按圖7所示模型，系統(tǒng)研制的主要工作有[5]：

（1）確定飛機(jī)級(jí)功能、功能要求和功能接口；

（2）確定功能故障時(shí)故障狀態(tài)的相關(guān)影響與后果；

（3）將飛機(jī)的功能分配到系統(tǒng)與人；

（4）進(jìn)行系統(tǒng)構(gòu)架設(shè)計(jì)和將要求分配到組件；

（5）將組件要求分配到硬件和軟件；

（6）硬件與軟件的設(shè)計(jì)與制造；

（7）硬件／軟件綜合；

（8）系統(tǒng)綜合。

但以上主要工作，必須置于大系統(tǒng)、大綜保的環(huán)境下，綜合考慮組織、人為與技術(shù)因素。

在研制過程中，系統(tǒng)安全的主要工作如下[5]：

（1）確定安全性要求，即：針對(duì)飛機(jī)或系統(tǒng)功能失效時(shí)所產(chǎn)生的特定危險(xiǎn)，給出相應(yīng)的定性與／或定量目標(biāo)，這一過程由功能危險(xiǎn)性評(píng)估（FHA）來完成。從合適的系統(tǒng)層次開始，將安全性要求分配到所要求的子系統(tǒng)／組件/硬件與軟件，這一過程由初步系統(tǒng)安全性評(píng)估(PSSA)（含試驗(yàn)）來完成。

（2）對(duì)初步的設(shè)計(jì)進(jìn)行安全性定性與／或定量評(píng)估，以發(fā)現(xiàn)設(shè)計(jì)中不滿足安全性要求的薄弱環(huán)節(jié)，并給出相應(yīng)的改進(jìn)措施，這一過程由系統(tǒng)安全性評(píng)估（SSA）（含試驗(yàn)）來完成。

（3）通過共因分析(CCA)確認(rèn)系統(tǒng)之間物理上與功能上的分開與隔離要求已經(jīng)實(shí)施，并得到滿足。

（4）通過安全性的評(píng)估報(bào)告展示：為保證所研制的系統(tǒng)達(dá)到可接受的安全性水平，在系統(tǒng)研制的過程中已同步采取了安全性的評(píng)估過程，而且PSSA與SSA工作已反復(fù)迭代，直到經(jīng)SSA后系統(tǒng)滿足交付要求時(shí)為止。

此外，還需通過ALARP報(bào)告證明：每一系統(tǒng)的構(gòu)架在滿足安全性要求的同時(shí)，是ALARP的。

4 結(jié)束語

本文在對(duì)系統(tǒng)安全技術(shù)傳統(tǒng)理念進(jìn)行剖析的同時(shí)，介紹和分析了國(guó)外有關(guān)系統(tǒng)安全的新理念，給出了裝備研制階段系統(tǒng)安全工作的思路。它旨在闡明：必須將系統(tǒng)安全工作置于大系統(tǒng)、大綜保的環(huán)境下，并綜合考慮組織、人為與技術(shù)因素；意在強(qiáng)調(diào)：系統(tǒng)安全工作的規(guī)范化、完整性與系統(tǒng)性，是消除系統(tǒng)研制錯(cuò)誤、保證所有的故障狀態(tài)均得到識(shí)別的前提條件，該條件也只有通過結(jié)構(gòu)化的設(shè)計(jì)保證與嚴(yán)格的過程控制方法才能實(shí)現(xiàn)；旨在堅(jiān)持：將ALARP的理念嵌入到系統(tǒng)的研制與安全性評(píng)估過程之中，以真正實(shí)現(xiàn)裝備使用時(shí)的安全、可靠、經(jīng)濟(jì)。

[1] MIL-STD-882D Standard Practice for System Safety[S].Department of Defense,2000

[2] D E Kritzinger. Aircraft System Safety: Military and Civil Aeronautical Applications [M]. Woodhead Publishing,2006

[3] ICAO DOC9859 Safety Management Manual(SMM)[S].2006,2008,2009.

[4] Nancy G. Leveson. Engineering a Safer World: System Safety for the 21st Century [M]. Massachusetts Institute of Technology,2009

[5] SAE ARP4754 Certification Considerations for Highly-Integrated or Complex Aircraft Systems [S].1996

[6] SAE ARP4761 Guidelines Methods for Conducting the Safety Assessment Process on Civil Airborne System and Equipment[S].1996

[7]何鐘武,劉毅,劉友丹等. 系統(tǒng)安全技術(shù)國(guó)內(nèi)外研究與應(yīng)用綜述[J].航空標(biāo)準(zhǔn)化與質(zhì)量,2010,(3):14-17

[8] Joseph T. Nall, Accident Trends and Factors for 2007[R].AOPA Air Safety Foundation，2008

[9] 高培建. 人為因素與航空安全[J].科技創(chuàng)新導(dǎo)報(bào),2009,13：212

[10] 曹海峰. 民用航空器事故中的人為因素分析[J].中國(guó)民用航空，2008,86:41-43

[11]何鐘武,肖朝云,肖朝云.姬長(zhǎng)法,以可靠性為中心的維修[M].中國(guó)宇航出版社,2007

[12] National Research Council.Fostering Visions for the Future: A Review of the NASA Institute for Advanced Concepts[M].Washington, D.C.: The National Academies Press,2009

[13] Mark S.Saglimbene. Reliability analysis techniques: How they relate to aircraft certification[C].Proceedings of the Annual Reliability and Maintainability Symposium, Fort Worth,2009:218-222

Research on System Safety Application Technology for Aeronautic Facilities

He Zhongw u
(Hongdu Aviation Industry Group, Nanchang, Jiangxi 330024)

In order to el iminate er rors f rom the system development, ensure identi fications of al l the fai lure conditions, and t ruly achieve safe, rel iable and economic appl ication of the faci lities,this paper analyses the general mistakes in respect of the aeronautic faci l ity’s safety. It introduces and analyses some new concepts of the system safety f rom the aspects of organization,human factors, technology, risk balance, st ructured design guarantee and process control. It also proposes a viewpoint of considering the system safety in the environment of large system and logistic support. This paper gives two clews for system safety in development of the faci l ities: strict ly implementing the st ructured design guarantee and process cont rol; coordinating relations between the development and safety assessment.

System safety；Organization management；Mi l itary airwor thiness；Human factors Risk balance

2010-09-15）

何鐘武，男1965年8月出生，研究員級(jí)高級(jí)工程師、主任設(shè)計(jì)師，研究方向?yàn)榭煽啃韵到y(tǒng)工程。