李大偉, 陳云翔, 徐浩軍, 項華春

(1.空軍工程大學(xué) 裝備管理與安全工程學(xué)院, 陜西 西安 710051;2.空軍工程大學(xué) 航空航天工程學(xué)院, 陜西 西安 710038)

0 引言

適航性和安全性是飛機的一種固有屬性,在民用飛機適航規(guī)章FAR/JAR/CCAR 25.1309等文件中,對飛機在系統(tǒng)安全方面提出了適航審定要求。為了符合此要求,美國機動車工程師學(xué)會頒布了SAE ARP4761/4754,航空無線電委員會頒布了RTCA DO-178B/254等指南性文件,可以作為飛機設(shè)計中安全性分析的指南和適航符合性驗證方法的參考[1-4]。

絕對的安全是不存在的,系統(tǒng)安全性分析承認(rèn)風(fēng)險的存在,其目標(biāo)就是將風(fēng)險控制在可接受的范圍之內(nèi)。系統(tǒng)安全性分析的一項主要工作就是在設(shè)計階段對危險進行識別和控制。確定合理的風(fēng)險概率指標(biāo)非常關(guān)鍵,風(fēng)險概率指標(biāo)太高,則設(shè)計無法實現(xiàn),并且可能引起重量、經(jīng)濟性等方面的連鎖問題;風(fēng)險概率指標(biāo)太低,則設(shè)計出來的飛機不能滿足安全需求。國外針對大型和小型飛機的特點分別確定其風(fēng)險概率指標(biāo),并且針對民用/軍用、有人/無人等飛行器的特點對其風(fēng)險概率指標(biāo)確定做了大量的研究[5-8]。目前國內(nèi)并沒有對風(fēng)險概率指標(biāo)確定進行研究的公開發(fā)表的文獻。風(fēng)險概率指標(biāo)的確定對于我國飛機安全性標(biāo)準(zhǔn)與國際接軌以及國產(chǎn)民機走向國際市場具有重要意義,并且能從源頭上保證飛機的固有安全水平。

本文主要探討風(fēng)險概率指標(biāo)的確定思路和方法,分析不同類型和用途的飛機風(fēng)險概率指標(biāo)的差異,為系統(tǒng)安全性分析中風(fēng)險概率指標(biāo)的確定提供參考。

1 系統(tǒng)安全性分析方法概述

在運輸安全領(lǐng)域,人類的安全思想大致經(jīng)歷了從關(guān)注安全工程設(shè)計,到關(guān)注硬件可靠性,再到關(guān)注人為差錯、硬件/軟件工程和組織的過程,形成了以運輸民法學(xué)派、可靠性工程學(xué)派和系統(tǒng)安全工程學(xué)派為代表的安全思想學(xué)派[9]。系統(tǒng)安全學(xué)科將安全納入正在設(shè)計的系統(tǒng)中,其基本思想是識別風(fēng)險并將風(fēng)險控制在可接受的范圍之內(nèi)。

1.1 系統(tǒng)安全性分析過程

與飛機研發(fā)過程相關(guān)的系統(tǒng)安全性分析流程可用圖1表示。

圖1 與壽命周期相關(guān)的安全評估過程Fig.1 Safety analysis during system lifecycle

系統(tǒng)安全性分析可分為FHA(功能危險分析)、PSSA(初步系統(tǒng)安全性分析)和SSA(系統(tǒng)安全性分析)三個過程。

FHA是系統(tǒng)安全性分析的起點,用于對功能面臨的危險的鑒定和分類。PSSA是對提出的系統(tǒng)結(jié)構(gòu)進行系統(tǒng)檢查,以確定失效是如何引起FHA確定的功能危險的。SSA是系統(tǒng)、全面地評估已設(shè)計實現(xiàn)的系統(tǒng),以驗證來自FHA的安全目標(biāo)和PSSA中的安全需求得到了滿足[10]。風(fēng)險概率指標(biāo)為風(fēng)險評估工作提供需求的依據(jù)和規(guī)范。

1.2 安全風(fēng)險評價

目前,安全風(fēng)險評價是從危險事件發(fā)生的可能性與危險事件嚴(yán)重程度兩方面對安全風(fēng)險進行綜合度量,要求失效狀態(tài)的嚴(yán)重程度與其對應(yīng)的風(fēng)險概率成反比關(guān)系。

以美國民航為例,FAA(聯(lián)邦航空局)將故障劃分為5個等級:災(zāi)難性的(Catastrophic)、危險的(Hazardous)、較大的(Major)、較小的(Minor)和無影響的(No effect),故障嚴(yán)重度和期望的發(fā)生概率成反比關(guān)系[6],如圖2所示。

圖2 故障嚴(yán)重程度和概率要求的關(guān)系Fig.2 Relationship between likelihood of failure and hazard category

通過應(yīng)用一系列與安全目標(biāo)嚴(yán)重度相適應(yīng)的設(shè)計和預(yù)防學(xué)科,安全評估者可將危險降到目標(biāo)概率值要求的范圍之內(nèi)。

2 國內(nèi)外風(fēng)險概率指標(biāo)的要求

2.1 國外風(fēng)險概率指標(biāo)

美國在飛機適航和安全研究方面處于領(lǐng)先地位,因此本部分主要分析美國民用和軍用相關(guān)規(guī)范中對風(fēng)險概率指標(biāo)的要求。

(1)民用航空

美國民用飛機安全性分析是以FAA頒布的航空規(guī)章FAR23,25,27,29,33部為依據(jù)的。在1999年之前,單發(fā)通用航空飛機和大型噴氣式運輸機執(zhí)行相同的可接受風(fēng)險[7]。SAE ARP4761/4754并沒有區(qū)別機型,根據(jù)故障嚴(yán)重程度對故障狀態(tài)進行分類,提出了定性和定量的概率目標(biāo),如表1所示。

表1 與概率目標(biāo)值相關(guān)的故障狀態(tài)嚴(yán)重程度劃分Table 1 Hazard categories related to probability of failure

1999年,FAA承認(rèn)為通用航空器和大型運輸機規(guī)定相同的安全性標(biāo)準(zhǔn)是不符合實際的,并修改了許多小型飛機的風(fēng)險概率要求[6],見表2。

(2)軍用航空

為使軍機災(zāi)難性事故率達(dá)到百萬飛行小時的率級,美國國防部于2002年10月頒布了MIL-HDBK-516B[11](軍機適航審定標(biāo)準(zhǔn))。

516B第14節(jié)中對軍用航空器安全性分析作了相應(yīng)的要求,主要支撐規(guī)范有MIL-STD-882D[12]和FAR23,25,27,29,33部。2012年,DoD頒布了MIL-STD-882E以取代882D,882E[13]用風(fēng)險評價指數(shù)(Risk Assessment Code,RAC)法來評估和記錄風(fēng)險,給出了風(fēng)險評估等級的定性要求。

與882D相比,882E對風(fēng)險交互矩陣和風(fēng)險處理措施進行了更詳細(xì)的探討。不同之處在于,882E將事故可能性定量要求放在附錄A中以一個示例的形式給出,作為概率指標(biāo)的建議。并且,882E建議應(yīng)優(yōu)先采用定量的事故可能性要求而不是定性的,除非定量的事故可能性不能獲取時。定量的事故可能性要求見表3,其并沒有區(qū)別不同飛機種類的概率要求。

表2 不同類型飛機故障危險程度和概率要求的關(guān)系Table 2 Relationship of hazard categories with probability of failure for different categories of aircraft

表3 建議的事故可能性水平Table 3 Example probability levels

2.2 國內(nèi)風(fēng)險概率指標(biāo)

(1)民用航空

中國民航CCAR23,25,27,29,33部是在參考美國FAR相應(yīng)規(guī)章的基礎(chǔ)上制定的,國內(nèi)尚沒有支撐適航審定中系統(tǒng)安全性分析的類似于SAE ARP4761/4754的指南性文件,在飛機設(shè)計手冊第20冊(可靠性、維修性設(shè)計)[14]中,給出了飛機安全性分析時危險等級的劃分與最大允許發(fā)生的概率值,與美國民航對大型飛機風(fēng)險概率的要求是基本一致的,并沒有區(qū)別大型/小型、軍用/民用、有人/無人飛機的不同風(fēng)險概率要求,見表4。

(2)軍用航空

我國軍用飛機安全性分析的規(guī)范性文件是GJB900-90[15],它是在參考MIL-STD-882B的基礎(chǔ)上制定的。風(fēng)險評價采用RAC法,按照危險嚴(yán)重性和危險可能性劃分危險等級,見表5。

表4 危險等級劃分Table 4 Hazard categories

表5 危險的風(fēng)險評價表Table 5 Risk assessment matrix for hazard

2.3 風(fēng)險概率指標(biāo)的對比

美國民航對風(fēng)險評估標(biāo)準(zhǔn)的規(guī)范是不斷發(fā)展的,在AC 23.1309-1C[6]中,區(qū)別了通用航空飛機和大型噴氣式運輸機應(yīng)采用不同的風(fēng)險評估標(biāo)準(zhǔn)。而我國民用飛機安全性分析中尚未針對不同飛機種類制定相應(yīng)的標(biāo)準(zhǔn)。

美軍標(biāo)對事故可能性給出了定量的概率要求,而我國國軍標(biāo)對風(fēng)險概率沒有定量要求,僅限于定性的要求。同時,美軍在軍機研制中借助于民航的審定力量審定其軍機安全性,軍機也執(zhí)行很高的安全標(biāo)準(zhǔn)。我國現(xiàn)行的系統(tǒng)安全標(biāo)準(zhǔn)是針對所有武器裝備的,沒有針對軍用飛機的特殊要求。

3 風(fēng)險概率指標(biāo)的確定方法

3.1 國外風(fēng)險概率指標(biāo)的確定模型

以災(zāi)難性故障狀態(tài)為例,說明美國民航風(fēng)險概率值的確定思路。

歷史數(shù)據(jù)表明,單發(fā)、6000 lb(2.7 t)以下飛機由運行和飛機機體原因引起的重大飛行事故率為10-4/h。同時,飛行事故數(shù)據(jù)庫表明,其中約10-1/h是由飛機系統(tǒng)引起的。因此,在新型飛機設(shè)計中,由這些故障狀態(tài)引起的重大飛行事故發(fā)生概率不應(yīng)高于10-5/h。

由于對飛機上所有的系統(tǒng)進行系統(tǒng)安全性分析是困難的,假定飛機上大約有10個潛在的可能引發(fā)災(zāi)難性飛行事故的故障狀態(tài)威脅安全飛行和著陸,于是每個故障狀態(tài)可能導(dǎo)致飛行事故的概率不能超過10-6/h。其他類型飛機風(fēng)險概率確定方法與此類似[5]。

風(fēng)險概率指標(biāo)的確定步驟可以總結(jié)為:第一步:確定飛機種類和功用;第二步:確定某危險嚴(yán)重程度下由運行和飛機機體原因引起的飛行事故率;第三步:根據(jù)飛行事故數(shù)據(jù)庫確定由飛機系統(tǒng)引起的事故占總飛行事故的比例;第四步:確定對應(yīng)該危險嚴(yán)重程度的獨立故障狀態(tài)數(shù)。

上述風(fēng)險概率指標(biāo)確定過程可以用公式表示。某類飛機危險嚴(yán)重程度i對應(yīng)的風(fēng)險概率Pi要求為:

(1)

式中,Pfi為由飛機運行和機體原因引起的危險嚴(yán)重程度為i的飛行事故率;k為由飛機系統(tǒng)引起的事故占總飛行事故的比例;ni為飛機上可能引發(fā)嚴(yán)重程度i的獨立故障狀態(tài)個數(shù)。

3.2 風(fēng)險概率指標(biāo)確定改進建議

從國外航空安全實踐看,民航風(fēng)險概率指標(biāo)的確定是以公眾和使用方可接受的安全水平為出發(fā)點的。以小型飛機災(zāi)難性飛行事故風(fēng)險概率10-6/h計算,全球每7～10天發(fā)生一起飛行事故,全年共37～52起飛行事故。但是,隨著未來機隊規(guī)模的擴大和航空輸送量的增加,以當(dāng)前事故率去確定風(fēng)險概率指標(biāo)可能難以滿足公眾的安全要求,有必要對當(dāng)前的風(fēng)險概率指標(biāo)進行修正。從飛機設(shè)計研制到投入使用還需要一定周期,因此,建議未來在風(fēng)險概率指標(biāo)設(shè)計時按照投入使用時估計的年平均總飛行小時數(shù)和歷史數(shù)據(jù)庫中的年平均總飛行小時數(shù)比例進行折算,式(1)可修改為:

(2)

式中,α為估計的飛機投入使用后的年平均總飛行小時數(shù)和歷史數(shù)據(jù)庫中的年平均總飛行小時數(shù)的比值。

國際民航組織建議,計算概率值時還需要考慮風(fēng)險持續(xù)時間[5]。我國學(xué)者趙廷第[16]對風(fēng)險的可控性和可變性進行了研究,探索了考慮安全風(fēng)險反應(yīng)時間的三維安全風(fēng)險評價模型,給出了一個三維坐標(biāo)風(fēng)險域。本文提出了民用大型飛機考慮風(fēng)險持續(xù)時間的風(fēng)險評價表設(shè)想,見表6。由于具體的概率指標(biāo)需要航空專家具體確定,因此本文只給出初步設(shè)想。表6中,“*”表示指標(biāo)需結(jié)合工程實際進一步完善,建議根據(jù)危險持續(xù)時間降低風(fēng)險概率要求。

表6 危險的風(fēng)險評價表Table 6 Risk assessment matrix for hazard

通過國內(nèi)外在風(fēng)險概率指標(biāo)確定方面的研究與實踐,可以獲得如下一些有借鑒性的結(jié)論供參考:

(1)一般認(rèn)為軍用航空可以接受的風(fēng)險等級比民用航空更高。對于相同種類的軍用和民用飛機,國外認(rèn)為軍機比民機的風(fēng)險概率高10倍。

(2)當(dāng)前規(guī)章中任何一類飛行器的標(biāo)準(zhǔn)不能完全應(yīng)用于無人飛行器系統(tǒng)的設(shè)計和驗證中。可以肯定的是,制定無人飛行器系統(tǒng)規(guī)章必須立足于無人飛行器在地面或者空中對人員、設(shè)備造成的危險不能高于相應(yīng)的有人駕駛飛行器。

(3)為了使國產(chǎn)飛機在國際上取得適航準(zhǔn)入,必須按照最嚴(yán)苛的風(fēng)險概率指標(biāo)要求進行安全性設(shè)計。

(4)國際民航組織建議概率目標(biāo)值應(yīng)作為一個目標(biāo)值,在具體應(yīng)用中不應(yīng)作為精確值,要具體判斷。

4 結(jié)束語

本文在對比國內(nèi)外飛機安全性分析標(biāo)準(zhǔn)和借鑒相關(guān)研究成果的基礎(chǔ)上,給出了風(fēng)險概率指標(biāo)確定的思路和一些啟示,主要可以概括為以下幾個方面:

(1)對比了國內(nèi)外適航和安全規(guī)范中風(fēng)險概率指標(biāo)要求,分析了國內(nèi)風(fēng)險概率指標(biāo)存在的不足。

(2)建立了風(fēng)險概率指標(biāo)確定模型,指出了當(dāng)前模型存在的不足,并給出了進一步完善的建議。

(3)我國亟需針對大型/小型、民用/軍用、有人/無人飛機的特點制定不同的安全性分析標(biāo)準(zhǔn)。

參考文獻：

[1] Society of Automotive Engineers.ARP4761 Guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S].America:SAE,1996.

[2] Society of Automotive Engineers.ARP4754 Certification considerations for highly-integrated or complex aircraft systems[S].America:SAE,1996.

[3] Requirements and Technical Concepts for Aviation. DO-178B Software considerations in airborne systems and equipment certification[S].America:RTCA,1992.

[4] Requirements and Technical Concepts for Aviation.DO-254 Design assurance guidance for airborne electronic hardware[S].America:RTCA,2000.

[5] Duane Kritzinger.Aircraft system safety:military and civil aeronautical applications[M].Cambridge: Woodhead Publishing Limited,2006:57-65.

[6] U.S.Department of Transportation.AC 23.1309-1C Equipment,systems,and installations in part 23 airplanes [S].America:Federal Aviation Administration,1999.

[7] Kelly J Hayhurst,Jeffrey M Maddalon,Paul S Miner,et al.TM-2007-214539 Preliminary considerations for classifying hazards of unmanned aircraft systems[S].America:NASA Langley Research Center,2007.

[8] Kelly J Hayhurst,Jeffrey M Maddalon,Paul S Miner.Preliminary considerations for classifying hazards of unmanned aircraft systems [R].America:NASA Center for Aerospace Information,2007:2-6.

[9] 杰費里R·麥金太爾.安全思想綜述[M].王永剛,譯.北京:中國民航出版社,2007:14-15.

[10] 李大偉,陳云翔,徐浩軍,等.一種改進的系統(tǒng)安全性分析方法[J].科技導(dǎo)報,2012,30(34):32-35.

[11] Department of Defense.MIL-HDBK-516B Airworthiness certification criteria [S].America:DLSC-LM,2005.

[12] Department of Defense.MIL-STD-882D Standard practice for system safety [S].America:Defense Standardization Program Office,2000.

[13] Department of Defense.MIL-STD-882E Standard practice:system safety [S].America:Defense Standardization Program Office,2012.

[14] 龔慶祥,顧振中,宋占成,等.飛機設(shè)計手冊第20冊:可靠性維修性設(shè)計[M].北京:航空工業(yè)出版社,1999:149-152.

[15] 國防科學(xué)技術(shù)工業(yè)委員會.GJB900-90 系統(tǒng)安全性通用大綱[S].北京:總裝備部軍標(biāo)出版發(fā)行部,1990.

[16] 趙廷第,戎梅,焦健.三維安全風(fēng)險評價模型初探[C]//大型飛機關(guān)鍵技術(shù)高層論壇暨中國航空學(xué)會2007年學(xué)術(shù)年會論文集.北京:中國航空學(xué)會,2007:1-6.