李大偉, 陳云翔, 徐浩軍, 項(xiàng)華春

(1.空軍工程大學(xué) 裝備管理與安全工程學(xué)院, 陜西 西安 710051;2.空軍工程大學(xué) 航空航天工程學(xué)院, 陜西 西安 710038)

0 引言

適航性和安全性是飛機(jī)的一種固有屬性,在民用飛機(jī)適航規(guī)章FAR/JAR/CCAR 25.1309等文件中,對(duì)飛機(jī)在系統(tǒng)安全方面提出了適航審定要求。為了符合此要求,美國(guó)機(jī)動(dòng)車工程師學(xué)會(huì)頒布了SAE ARP4761/4754,航空無(wú)線電委員會(huì)頒布了RTCA DO-178B/254等指南性文件,可以作為飛機(jī)設(shè)計(jì)中安全性分析的指南和適航符合性驗(yàn)證方法的參考[1-4]。

絕對(duì)的安全是不存在的,系統(tǒng)安全性分析承認(rèn)風(fēng)險(xiǎn)的存在,其目標(biāo)就是將風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)。系統(tǒng)安全性分析的一項(xiàng)主要工作就是在設(shè)計(jì)階段對(duì)危險(xiǎn)進(jìn)行識(shí)別和控制。確定合理的風(fēng)險(xiǎn)概率指標(biāo)非常關(guān)鍵,風(fēng)險(xiǎn)概率指標(biāo)太高,則設(shè)計(jì)無(wú)法實(shí)現(xiàn),并且可能引起重量、經(jīng)濟(jì)性等方面的連鎖問(wèn)題;風(fēng)險(xiǎn)概率指標(biāo)太低,則設(shè)計(jì)出來(lái)的飛機(jī)不能滿足安全需求。國(guó)外針對(duì)大型和小型飛機(jī)的特點(diǎn)分別確定其風(fēng)險(xiǎn)概率指標(biāo),并且針對(duì)民用/軍用、有人/無(wú)人等飛行器的特點(diǎn)對(duì)其風(fēng)險(xiǎn)概率指標(biāo)確定做了大量的研究[5-8]。目前國(guó)內(nèi)并沒(méi)有對(duì)風(fēng)險(xiǎn)概率指標(biāo)確定進(jìn)行研究的公開(kāi)發(fā)表的文獻(xiàn)。風(fēng)險(xiǎn)概率指標(biāo)的確定對(duì)于我國(guó)飛機(jī)安全性標(biāo)準(zhǔn)與國(guó)際接軌以及國(guó)產(chǎn)民機(jī)走向國(guó)際市場(chǎng)具有重要意義,并且能從源頭上保證飛機(jī)的固有安全水平。

本文主要探討風(fēng)險(xiǎn)概率指標(biāo)的確定思路和方法,分析不同類型和用途的飛機(jī)風(fēng)險(xiǎn)概率指標(biāo)的差異,為系統(tǒng)安全性分析中風(fēng)險(xiǎn)概率指標(biāo)的確定提供參考。

1 系統(tǒng)安全性分析方法概述

在運(yùn)輸安全領(lǐng)域,人類的安全思想大致經(jīng)歷了從關(guān)注安全工程設(shè)計(jì),到關(guān)注硬件可靠性,再到關(guān)注人為差錯(cuò)、硬件/軟件工程和組織的過(guò)程,形成了以運(yùn)輸民法學(xué)派、可靠性工程學(xué)派和系統(tǒng)安全工程學(xué)派為代表的安全思想學(xué)派[9]。系統(tǒng)安全學(xué)科將安全納入正在設(shè)計(jì)的系統(tǒng)中,其基本思想是識(shí)別風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)。

1.1 系統(tǒng)安全性分析過(guò)程

與飛機(jī)研發(fā)過(guò)程相關(guān)的系統(tǒng)安全性分析流程可用圖1表示。

圖1 與壽命周期相關(guān)的安全評(píng)估過(guò)程Fig.1 Safety analysis during system lifecycle

系統(tǒng)安全性分析可分為FHA(功能危險(xiǎn)分析)、PSSA(初步系統(tǒng)安全性分析)和SSA(系統(tǒng)安全性分析)三個(gè)過(guò)程。

FHA是系統(tǒng)安全性分析的起點(diǎn),用于對(duì)功能面臨的危險(xiǎn)的鑒定和分類。PSSA是對(duì)提出的系統(tǒng)結(jié)構(gòu)進(jìn)行系統(tǒng)檢查,以確定失效是如何引起FHA確定的功能危險(xiǎn)的。SSA是系統(tǒng)、全面地評(píng)估已設(shè)計(jì)實(shí)現(xiàn)的系統(tǒng),以驗(yàn)證來(lái)自FHA的安全目標(biāo)和PSSA中的安全需求得到了滿足[10]。風(fēng)險(xiǎn)概率指標(biāo)為風(fēng)險(xiǎn)評(píng)估工作提供需求的依據(jù)和規(guī)范。

1.2 安全風(fēng)險(xiǎn)評(píng)價(jià)

目前,安全風(fēng)險(xiǎn)評(píng)價(jià)是從危險(xiǎn)事件發(fā)生的可能性與危險(xiǎn)事件嚴(yán)重程度兩方面對(duì)安全風(fēng)險(xiǎn)進(jìn)行綜合度量,要求失效狀態(tài)的嚴(yán)重程度與其對(duì)應(yīng)的風(fēng)險(xiǎn)概率成反比關(guān)系。

以美國(guó)民航為例,FAA(聯(lián)邦航空局)將故障劃分為5個(gè)等級(jí):災(zāi)難性的(Catastrophic)、危險(xiǎn)的(Hazardous)、較大的(Major)、較小的(Minor)和無(wú)影響的(No effect),故障嚴(yán)重度和期望的發(fā)生概率成反比關(guān)系[6],如圖2所示。

圖2 故障嚴(yán)重程度和概率要求的關(guān)系Fig.2 Relationship between likelihood of failure and hazard category

通過(guò)應(yīng)用一系列與安全目標(biāo)嚴(yán)重度相適應(yīng)的設(shè)計(jì)和預(yù)防學(xué)科,安全評(píng)估者可將危險(xiǎn)降到目標(biāo)概率值要求的范圍之內(nèi)。

2 國(guó)內(nèi)外風(fēng)險(xiǎn)概率指標(biāo)的要求

2.1 國(guó)外風(fēng)險(xiǎn)概率指標(biāo)

美國(guó)在飛機(jī)適航和安全研究方面處于領(lǐng)先地位,因此本部分主要分析美國(guó)民用和軍用相關(guān)規(guī)范中對(duì)風(fēng)險(xiǎn)概率指標(biāo)的要求。

(1)民用航空

美國(guó)民用飛機(jī)安全性分析是以FAA頒布的航空規(guī)章FAR23,25,27,29,33部為依據(jù)的。在1999年之前,單發(fā)通用航空飛機(jī)和大型噴氣式運(yùn)輸機(jī)執(zhí)行相同的可接受風(fēng)險(xiǎn)[7]。SAE ARP4761/4754并沒(méi)有區(qū)別機(jī)型,根據(jù)故障嚴(yán)重程度對(duì)故障狀態(tài)進(jìn)行分類,提出了定性和定量的概率目標(biāo),如表1所示。

表1 與概率目標(biāo)值相關(guān)的故障狀態(tài)嚴(yán)重程度劃分Table 1 Hazard categories related to probability of failure

1999年,FAA承認(rèn)為通用航空器和大型運(yùn)輸機(jī)規(guī)定相同的安全性標(biāo)準(zhǔn)是不符合實(shí)際的,并修改了許多小型飛機(jī)的風(fēng)險(xiǎn)概率要求[6],見(jiàn)表2。

(2)軍用航空

為使軍機(jī)災(zāi)難性事故率達(dá)到百萬(wàn)飛行小時(shí)的率級(jí),美國(guó)國(guó)防部于2002年10月頒布了MIL-HDBK-516B[11](軍機(jī)適航審定標(biāo)準(zhǔn))。

516B第14節(jié)中對(duì)軍用航空器安全性分析作了相應(yīng)的要求,主要支撐規(guī)范有MIL-STD-882D[12]和FAR23,25,27,29,33部。2012年,DoD頒布了MIL-STD-882E以取代882D,882E[13]用風(fēng)險(xiǎn)評(píng)價(jià)指數(shù)(Risk Assessment Code,RAC)法來(lái)評(píng)估和記錄風(fēng)險(xiǎn),給出了風(fēng)險(xiǎn)評(píng)估等級(jí)的定性要求。

與882D相比,882E對(duì)風(fēng)險(xiǎn)交互矩陣和風(fēng)險(xiǎn)處理措施進(jìn)行了更詳細(xì)的探討。不同之處在于,882E將事故可能性定量要求放在附錄A中以一個(gè)示例的形式給出,作為概率指標(biāo)的建議。并且,882E建議應(yīng)優(yōu)先采用定量的事故可能性要求而不是定性的,除非定量的事故可能性不能獲取時(shí)。定量的事故可能性要求見(jiàn)表3,其并沒(méi)有區(qū)別不同飛機(jī)種類的概率要求。

表2 不同類型飛機(jī)故障危險(xiǎn)程度和概率要求的關(guān)系Table 2 Relationship of hazard categories with probability of failure for different categories of aircraft

表3 建議的事故可能性水平Table 3 Example probability levels

2.2 國(guó)內(nèi)風(fēng)險(xiǎn)概率指標(biāo)

(1)民用航空

中國(guó)民航CCAR23,25,27,29,33部是在參考美國(guó)FAR相應(yīng)規(guī)章的基礎(chǔ)上制定的,國(guó)內(nèi)尚沒(méi)有支撐適航審定中系統(tǒng)安全性分析的類似于SAE ARP4761/4754的指南性文件,在飛機(jī)設(shè)計(jì)手冊(cè)第20冊(cè)(可靠性、維修性設(shè)計(jì))[14]中,給出了飛機(jī)安全性分析時(shí)危險(xiǎn)等級(jí)的劃分與最大允許發(fā)生的概率值,與美國(guó)民航對(duì)大型飛機(jī)風(fēng)險(xiǎn)概率的要求是基本一致的,并沒(méi)有區(qū)別大型/小型、軍用/民用、有人/無(wú)人飛機(jī)的不同風(fēng)險(xiǎn)概率要求,見(jiàn)表4。

(2)軍用航空

我國(guó)軍用飛機(jī)安全性分析的規(guī)范性文件是GJB900-90[15],它是在參考MIL-STD-882B的基礎(chǔ)上制定的。風(fēng)險(xiǎn)評(píng)價(jià)采用RAC法,按照危險(xiǎn)嚴(yán)重性和危險(xiǎn)可能性劃分危險(xiǎn)等級(jí),見(jiàn)表5。

表4 危險(xiǎn)等級(jí)劃分Table 4 Hazard categories

表5 危險(xiǎn)的風(fēng)險(xiǎn)評(píng)價(jià)表Table 5 Risk assessment matrix for hazard

2.3 風(fēng)險(xiǎn)概率指標(biāo)的對(duì)比

美國(guó)民航對(duì)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的規(guī)范是不斷發(fā)展的,在AC 23.1309-1C[6]中,區(qū)別了通用航空飛機(jī)和大型噴氣式運(yùn)輸機(jī)應(yīng)采用不同的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。而我國(guó)民用飛機(jī)安全性分析中尚未針對(duì)不同飛機(jī)種類制定相應(yīng)的標(biāo)準(zhǔn)。

美軍標(biāo)對(duì)事故可能性給出了定量的概率要求,而我國(guó)國(guó)軍標(biāo)對(duì)風(fēng)險(xiǎn)概率沒(méi)有定量要求,僅限于定性的要求。同時(shí),美軍在軍機(jī)研制中借助于民航的審定力量審定其軍機(jī)安全性,軍機(jī)也執(zhí)行很高的安全標(biāo)準(zhǔn)。我國(guó)現(xiàn)行的系統(tǒng)安全標(biāo)準(zhǔn)是針對(duì)所有武器裝備的,沒(méi)有針對(duì)軍用飛機(jī)的特殊要求。

3 風(fēng)險(xiǎn)概率指標(biāo)的確定方法

3.1 國(guó)外風(fēng)險(xiǎn)概率指標(biāo)的確定模型

以災(zāi)難性故障狀態(tài)為例,說(shuō)明美國(guó)民航風(fēng)險(xiǎn)概率值的確定思路。

歷史數(shù)據(jù)表明,單發(fā)、6000 lb(2.7 t)以下飛機(jī)由運(yùn)行和飛機(jī)機(jī)體原因引起的重大飛行事故率為10-4/h。同時(shí),飛行事故數(shù)據(jù)庫(kù)表明,其中約10-1/h是由飛機(jī)系統(tǒng)引起的。因此,在新型飛機(jī)設(shè)計(jì)中,由這些故障狀態(tài)引起的重大飛行事故發(fā)生概率不應(yīng)高于10-5/h。

由于對(duì)飛機(jī)上所有的系統(tǒng)進(jìn)行系統(tǒng)安全性分析是困難的,假定飛機(jī)上大約有10個(gè)潛在的可能引發(fā)災(zāi)難性飛行事故的故障狀態(tài)威脅安全飛行和著陸,于是每個(gè)故障狀態(tài)可能導(dǎo)致飛行事故的概率不能超過(guò)10-6/h。其他類型飛機(jī)風(fēng)險(xiǎn)概率確定方法與此類似[5]。

風(fēng)險(xiǎn)概率指標(biāo)的確定步驟可以總結(jié)為:第一步:確定飛機(jī)種類和功用;第二步:確定某危險(xiǎn)嚴(yán)重程度下由運(yùn)行和飛機(jī)機(jī)體原因引起的飛行事故率;第三步:根據(jù)飛行事故數(shù)據(jù)庫(kù)確定由飛機(jī)系統(tǒng)引起的事故占總飛行事故的比例;第四步:確定對(duì)應(yīng)該危險(xiǎn)嚴(yán)重程度的獨(dú)立故障狀態(tài)數(shù)。

上述風(fēng)險(xiǎn)概率指標(biāo)確定過(guò)程可以用公式表示。某類飛機(jī)危險(xiǎn)嚴(yán)重程度i對(duì)應(yīng)的風(fēng)險(xiǎn)概率Pi要求為:

(1)

式中,Pfi為由飛機(jī)運(yùn)行和機(jī)體原因引起的危險(xiǎn)嚴(yán)重程度為i的飛行事故率;k為由飛機(jī)系統(tǒng)引起的事故占總飛行事故的比例;ni為飛機(jī)上可能引發(fā)嚴(yán)重程度i的獨(dú)立故障狀態(tài)個(gè)數(shù)。

3.2 風(fēng)險(xiǎn)概率指標(biāo)確定改進(jìn)建議

從國(guó)外航空安全實(shí)踐看,民航風(fēng)險(xiǎn)概率指標(biāo)的確定是以公眾和使用方可接受的安全水平為出發(fā)點(diǎn)的。以小型飛機(jī)災(zāi)難性飛行事故風(fēng)險(xiǎn)概率10-6/h計(jì)算,全球每7～10天發(fā)生一起飛行事故,全年共37～52起飛行事故。但是,隨著未來(lái)機(jī)隊(duì)規(guī)模的擴(kuò)大和航空輸送量的增加,以當(dāng)前事故率去確定風(fēng)險(xiǎn)概率指標(biāo)可能難以滿足公眾的安全要求,有必要對(duì)當(dāng)前的風(fēng)險(xiǎn)概率指標(biāo)進(jìn)行修正。從飛機(jī)設(shè)計(jì)研制到投入使用還需要一定周期,因此,建議未來(lái)在風(fēng)險(xiǎn)概率指標(biāo)設(shè)計(jì)時(shí)按照投入使用時(shí)估計(jì)的年平均總飛行小時(shí)數(shù)和歷史數(shù)據(jù)庫(kù)中的年平均總飛行小時(shí)數(shù)比例進(jìn)行折算,式(1)可修改為:

(2)

式中,α為估計(jì)的飛機(jī)投入使用后的年平均總飛行小時(shí)數(shù)和歷史數(shù)據(jù)庫(kù)中的年平均總飛行小時(shí)數(shù)的比值。

國(guó)際民航組織建議,計(jì)算概率值時(shí)還需要考慮風(fēng)險(xiǎn)持續(xù)時(shí)間[5]。我國(guó)學(xué)者趙廷第[16]對(duì)風(fēng)險(xiǎn)的可控性和可變性進(jìn)行了研究,探索了考慮安全風(fēng)險(xiǎn)反應(yīng)時(shí)間的三維安全風(fēng)險(xiǎn)評(píng)價(jià)模型,給出了一個(gè)三維坐標(biāo)風(fēng)險(xiǎn)域。本文提出了民用大型飛機(jī)考慮風(fēng)險(xiǎn)持續(xù)時(shí)間的風(fēng)險(xiǎn)評(píng)價(jià)表設(shè)想,見(jiàn)表6。由于具體的概率指標(biāo)需要航空專家具體確定,因此本文只給出初步設(shè)想。表6中,“*”表示指標(biāo)需結(jié)合工程實(shí)際進(jìn)一步完善,建議根據(jù)危險(xiǎn)持續(xù)時(shí)間降低風(fēng)險(xiǎn)概率要求。

表6 危險(xiǎn)的風(fēng)險(xiǎn)評(píng)價(jià)表Table 6 Risk assessment matrix for hazard

通過(guò)國(guó)內(nèi)外在風(fēng)險(xiǎn)概率指標(biāo)確定方面的研究與實(shí)踐,可以獲得如下一些有借鑒性的結(jié)論供參考:

(1)一般認(rèn)為軍用航空可以接受的風(fēng)險(xiǎn)等級(jí)比民用航空更高。對(duì)于相同種類的軍用和民用飛機(jī),國(guó)外認(rèn)為軍機(jī)比民機(jī)的風(fēng)險(xiǎn)概率高10倍。

(2)當(dāng)前規(guī)章中任何一類飛行器的標(biāo)準(zhǔn)不能完全應(yīng)用于無(wú)人飛行器系統(tǒng)的設(shè)計(jì)和驗(yàn)證中?？梢钥隙ǖ氖?制定無(wú)人飛行器系統(tǒng)規(guī)章必須立足于無(wú)人飛行器在地面或者空中對(duì)人員、設(shè)備造成的危險(xiǎn)不能高于相應(yīng)的有人駕駛飛行器。

(3)為了使國(guó)產(chǎn)飛機(jī)在國(guó)際上取得適航準(zhǔn)入,必須按照最嚴(yán)苛的風(fēng)險(xiǎn)概率指標(biāo)要求進(jìn)行安全性設(shè)計(jì)。

(4)國(guó)際民航組織建議概率目標(biāo)值應(yīng)作為一個(gè)目標(biāo)值,在具體應(yīng)用中不應(yīng)作為精確值,要具體判斷。

4 結(jié)束語(yǔ)

本文在對(duì)比國(guó)內(nèi)外飛機(jī)安全性分析標(biāo)準(zhǔn)和借鑒相關(guān)研究成果的基礎(chǔ)上,給出了風(fēng)險(xiǎn)概率指標(biāo)確定的思路和一些啟示,主要可以概括為以下幾個(gè)方面:

(1)對(duì)比了國(guó)內(nèi)外適航和安全規(guī)范中風(fēng)險(xiǎn)概率指標(biāo)要求,分析了國(guó)內(nèi)風(fēng)險(xiǎn)概率指標(biāo)存在的不足。

(2)建立了風(fēng)險(xiǎn)概率指標(biāo)確定模型,指出了當(dāng)前模型存在的不足,并給出了進(jìn)一步完善的建議。

(3)我國(guó)亟需針對(duì)大型/小型、民用/軍用、有人/無(wú)人飛機(jī)的特點(diǎn)制定不同的安全性分析標(biāo)準(zhǔn)。

參考文獻(xiàn)：

[1] Society of Automotive Engineers.ARP4761 Guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S].America:SAE,1996.

[2] Society of Automotive Engineers.ARP4754 Certification considerations for highly-integrated or complex aircraft systems[S].America:SAE,1996.

[3] Requirements and Technical Concepts for Aviation. DO-178B Software considerations in airborne systems and equipment certification[S].America:RTCA,1992.

[4] Requirements and Technical Concepts for Aviation.DO-254 Design assurance guidance for airborne electronic hardware[S].America:RTCA,2000.

[5] Duane Kritzinger.Aircraft system safety:military and civil aeronautical applications[M].Cambridge: Woodhead Publishing Limited,2006:57-65.

[6] U.S.Department of Transportation.AC 23.1309-1C Equipment,systems,and installations in part 23 airplanes [S].America:Federal Aviation Administration,1999.

[7] Kelly J Hayhurst,Jeffrey M Maddalon,Paul S Miner,et al.TM-2007-214539 Preliminary considerations for classifying hazards of unmanned aircraft systems[S].America:NASA Langley Research Center,2007.

[8] Kelly J Hayhurst,Jeffrey M Maddalon,Paul S Miner.Preliminary considerations for classifying hazards of unmanned aircraft systems [R].America:NASA Center for Aerospace Information,2007:2-6.

[9] 杰費(fèi)里R·麥金太爾.安全思想綜述[M].王永剛,譯.北京:中國(guó)民航出版社,2007:14-15.

[10] 李大偉,陳云翔,徐浩軍,等.一種改進(jìn)的系統(tǒng)安全性分析方法[J].科技導(dǎo)報(bào),2012,30(34):32-35.

[11] Department of Defense.MIL-HDBK-516B Airworthiness certification criteria [S].America:DLSC-LM,2005.

[12] Department of Defense.MIL-STD-882D Standard practice for system safety [S].America:Defense Standardization Program Office,2000.

[13] Department of Defense.MIL-STD-882E Standard practice:system safety [S].America:Defense Standardization Program Office,2012.

[14] 龔慶祥,顧振中,宋占成,等.飛機(jī)設(shè)計(jì)手冊(cè)第20冊(cè):可靠性維修性設(shè)計(jì)[M].北京:航空工業(yè)出版社,1999:149-152.

[15] 國(guó)防科學(xué)技術(shù)工業(yè)委員會(huì).GJB900-90 系統(tǒng)安全性通用大綱[S].北京:總裝備部軍標(biāo)出版發(fā)行部,1990.

[16] 趙廷第,戎梅,焦健.三維安全風(fēng)險(xiǎn)評(píng)價(jià)模型初探[C]//大型飛機(jī)關(guān)鍵技術(shù)高層論壇暨中國(guó)航空學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集.北京:中國(guó)航空學(xué)會(huì),2007:1-6.