摘要： 安全性是產(chǎn)品的一種固有屬性， 系統(tǒng)安全性分析是識(shí)別系統(tǒng)危險(xiǎn)的有效手段。 為促進(jìn)系統(tǒng)安全性分析在空空導(dǎo)彈型號(hào)研制中有效開展， 闡述了由危險(xiǎn)演變?yōu)槭鹿实臋C(jī)理， 建立了基于事故機(jī)理的安全性分析框架， 結(jié)合空空導(dǎo)彈研制特點(diǎn)， 以具體實(shí)例研究了危險(xiǎn)分析工作項(xiàng)目如何圍繞事故場(chǎng)景展開， 為指導(dǎo)型號(hào)系統(tǒng)安全性分析工作的開展提供了一種新的思路和方法。

關(guān)鍵詞： 安全性分析； 事故機(jī)理； 事件樹； 故障樹

中圖分類號(hào)： TJ760.7文獻(xiàn)標(biāo)識(shí)碼： A文章編號(hào)： 1673-5048（2016）04-0074-04

Abstract： Security is an inherent attribute of product， and the system safety analysis is an effective method to identify the system risk. In order to promote the system safety analysis work carried out effectively in the research of airtoair missile， the mechanism of the dangerous becomed accident is described， the framework of safety analysis based on accident mechanism is established. Combined with the research characteristics of airtoair missile， a specific example is used to study how to develop risk analysis work project around the accident scene， which provides a new thought and method for the work of system safety analysis.

Key words： safety analysis； accident mechanism； event tree； fault tree

0引言

安全性是產(chǎn)品的一種固有屬性， 確保安全是武器裝備研制、 生產(chǎn)、 使用和保障的首要要求[1]。 近些年， 由于武器裝備系統(tǒng)越來越復(fù)雜， 武器裝備發(fā)生了很多重大安全性事故， 裝備系統(tǒng)的安全性問題日益突出， 為提高系統(tǒng)的安全性， 亟待深入開展系統(tǒng)安全性分析工作。

國(guó)外在武器裝備的研制中， 都明確要求貫徹美軍標(biāo)MIL-STD-882， 開展系統(tǒng)安全性分析工作。 由于保密等原因， 國(guó)外在其武器裝備的研制過程中如何進(jìn)行系統(tǒng)安全性分析尚不得而知。 當(dāng)前， 國(guó)內(nèi)GJB900以及GJB/Z99等相關(guān)標(biāo)準(zhǔn)和規(guī)范對(duì)安全性分析的有關(guān)工作項(xiàng)目及分析技術(shù)作了闡述[2-3]， 但如何有效、 系統(tǒng)化地開展安全性分析工作， 標(biāo)準(zhǔn)中并沒有明確說明。

空空導(dǎo)彈現(xiàn)階段主要對(duì)火工品自身安全、 發(fā)射分離安全等方面開展了一些設(shè)計(jì)分析工作[4-8]， 系統(tǒng)安全性分析工作還處于摸索階段。 安全性分析的技術(shù)方法很多[3，9]， 例如安全性檢查表、 初步危險(xiǎn)分析、 故障模式及影響分析（FMEA）、 故障樹分析（FTA）、 事件樹分析（ETA）等， 而如何高效的應(yīng)用這些分析方法識(shí)別導(dǎo)彈系統(tǒng)中所有危險(xiǎn)因素還需深入研究。

本文將空空導(dǎo)彈各研制階段安全性分析工作和辨識(shí)事故機(jī)理相結(jié)合， 通過逐步、 深入地鑒別事故場(chǎng)景及其要素， 達(dá)到系統(tǒng)安全性分析的目的。

1事故機(jī)理

航空兵器2016年第4期周光?。?系統(tǒng)安全分析技術(shù)在空空導(dǎo)彈中的應(yīng)用危險(xiǎn)是可能導(dǎo)致事故的狀態(tài)或情況， 如毒性、 能量、 放射性等， 是事故發(fā)生的前提或條件， 可以用危險(xiǎn)模式或危險(xiǎn)場(chǎng)景來表達(dá)。 對(duì)于一個(gè)系統(tǒng)或設(shè)備而言， 危險(xiǎn)是客觀存在的， 是與系統(tǒng)或設(shè)備的工作特性或工作需要以及周圍環(huán)境相伴隨的。 以空空導(dǎo)彈為例， 為實(shí)現(xiàn)一定的功能或損傷目標(biāo)， 空空導(dǎo)彈不可避免地要使用火工品、 炸藥、 固體推進(jìn)劑等危險(xiǎn)物質(zhì)。 事故是造成人員傷亡、 職業(yè)病、 設(shè)備損壞或財(cái)產(chǎn)損失的一個(gè)或一系列意外事件[2]， 是一有序的事件集， 是危險(xiǎn)導(dǎo)致的結(jié)果。

危險(xiǎn)不一定會(huì)導(dǎo)致事故的發(fā)生， 只有危險(xiǎn)（在一定條件下）的失控才會(huì)造成各種各樣的損害。 硬件或軟件故障、 有害環(huán)境以及人為差錯(cuò)往往僅是造成這種危險(xiǎn)失控的某種原因或條件， 導(dǎo)致某種不期望的事件發(fā)生， 若對(duì)這些不期望事件的控制措施失效， 則將可能導(dǎo)致事故的發(fā)生。 危險(xiǎn)發(fā)展為事故的過程， 即事故機(jī)理如圖1所示[10]。

2安全性分析框架

事故機(jī)理清晰地描述了事故的發(fā)生和發(fā)展過程， 系統(tǒng)安全性分析的目的就是要鑒別出所有可能的事故場(chǎng)景， 將系統(tǒng)風(fēng)險(xiǎn)控制在可接受的水平。 因此， 型號(hào)的安全性分析框架應(yīng)以事故機(jī)理為基礎(chǔ)來辨識(shí)事故場(chǎng)景， 進(jìn)而采取針對(duì)性的控制措施， 達(dá)到系統(tǒng)安全的目的。 基于事故機(jī)理的安全性分析框架如圖2所示 [11]。

從圖2可以看出， 型號(hào)系統(tǒng)安全性分析工作主要包括危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)兩方面。 系統(tǒng)安全性分析工作貫穿型號(hào)研制各階段， 在不同的研制階段， 產(chǎn)品設(shè)計(jì)的詳盡程度不同， 安全性分析的詳細(xì)程度也不一樣， 事故場(chǎng)景的識(shí)別也逐步細(xì)化。 在型號(hào)研制的早期， 系統(tǒng)設(shè)計(jì)不詳細(xì)， 通過危險(xiǎn)分析只能識(shí)別出粗略的事故場(chǎng)景， 進(jìn)行定性的風(fēng)險(xiǎn)評(píng)價(jià)； 隨著系統(tǒng)設(shè)計(jì)的深入， 事故場(chǎng)景的識(shí)別也在不斷地細(xì)化， 進(jìn)而可以進(jìn)行定量的風(fēng)險(xiǎn)評(píng)價(jià)。

2.1初步危險(xiǎn)表（PHL）

初步危險(xiǎn)表（PHL）是一份危險(xiǎn)清單， 初步列出產(chǎn)品中可能需要特別重視的危險(xiǎn)或需做深入分析的危險(xiǎn)部位。 通過制定初步危險(xiǎn)表可以有效識(shí)別事故的源頭。

在型號(hào)論證和方案階段就應(yīng)審查全彈和各組件的設(shè)計(jì)方案， 編制初步危險(xiǎn)表， 確定設(shè)計(jì)中可能存在的危險(xiǎn)因素， 為初步危險(xiǎn)分析和分系統(tǒng)危險(xiǎn)分析確定分析范圍。

危險(xiǎn)辨識(shí)過程中應(yīng)參照GJB/Z99， 按照物理現(xiàn)象對(duì)危險(xiǎn)進(jìn)行的分類， 主要有： 環(huán)境危險(xiǎn)、 熱、 壓力、 毒性、 振動(dòng)、 噪聲、 輻射、 化學(xué)反應(yīng)、 污染、 材料變質(zhì)、 著火、 爆炸、 電氣、 加速度和機(jī)械等共15類危險(xiǎn)。 另外， 危險(xiǎn)辨識(shí)過程要注意不同工作過程危險(xiǎn)形式的變化， 以某型空空導(dǎo)彈固體火箭發(fā)動(dòng)機(jī)為例， 其危險(xiǎn)辨識(shí)過程如圖3所示。

2.2初步危險(xiǎn)分析（PHA）

PHL為初步危險(xiǎn)分析（PHA）確定了分析范圍， PHL制定后應(yīng)及時(shí)開展PHA。 以圖3中危險(xiǎn)源“點(diǎn)火裝置”為例進(jìn)行初步危險(xiǎn)分析， 如表1所示。 由表1可知， 通過初步危險(xiǎn)分析可以初步確定構(gòu)成系統(tǒng)中事故的潛在條件和引發(fā)事件； 制定的預(yù)防控制措施可以為安全性設(shè)計(jì)準(zhǔn)則的制定和完善提供有效輸入； 另外， 進(jìn)行定性評(píng)價(jià)之后能夠大致了解系統(tǒng)的風(fēng)險(xiǎn)水平。

PHA應(yīng)在型號(hào)方案和工程研制的早期開展， 后期才開始PHA， 后期可能存在的設(shè)計(jì)更改將受到限制， 而且不可能通過這種分析來確定初步的安全性要求[3]。 此時(shí)的分析是不詳細(xì)的， 盡管確定了相關(guān)的潛在條件， 但通過PHA可能不足以確定造成危險(xiǎn)條件的原因， 因而也無法識(shí)別具體的引發(fā)事件。 由于沒有深入到具體的分系統(tǒng)以及詳細(xì)的系統(tǒng)設(shè)計(jì)， 因此， 不能準(zhǔn)確地描述事故發(fā)展的過程， 也無法對(duì)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行定量的評(píng)價(jià)。 若分系統(tǒng)的設(shè)計(jì)已達(dá)到可進(jìn)行詳細(xì)的分系統(tǒng)危險(xiǎn)分析， 則應(yīng)終止PHA。

2.3分系統(tǒng)危險(xiǎn)分析（SSHA）

在工程研制初樣階段的后期或試樣階段的早期應(yīng)開展分系統(tǒng)危險(xiǎn)分析（SSHA）。 SSHA用于識(shí)別與分系統(tǒng)設(shè)計(jì)有關(guān)的危險(xiǎn)（包括硬件或軟件的故障、 人為差錯(cuò)等）和組成分系統(tǒng)部件之間的接口關(guān)系所導(dǎo)致的危險(xiǎn)。

SSHA深入到分系統(tǒng)內(nèi)部， 通過選擇具體的危險(xiǎn)分析技術(shù)來確定造成潛在條件的原因， 并具體地確定事故的引發(fā)事件。 SSHA應(yīng)在PHA的基礎(chǔ)上開展， 可以通過FMEA和FTA等危險(xiǎn)分析技術(shù)對(duì)表1中的“點(diǎn)火控制電路故障”和“飛控誤輸出點(diǎn)火指令”等引發(fā)事件進(jìn)行進(jìn)一步的分析， 進(jìn)而確定導(dǎo)致“點(diǎn)火控制電路故障”和“飛控誤輸出點(diǎn)火指令”深層次的原因， 明確其故障機(jī)理， 進(jìn)一步完善事故場(chǎng)景。 以“點(diǎn)火控制電路故障”為頂事件進(jìn)行故障樹分析， 如圖4所示。

2.4系統(tǒng)危險(xiǎn)分析（SHA）

在工程研制試樣階段的后期應(yīng)開展系統(tǒng)危險(xiǎn)分析（SHA）。 SSHA只能識(shí)別分系統(tǒng)本身的事故場(chǎng)景， SHA則通過識(shí)別各分系統(tǒng)以及系統(tǒng)與環(huán)境、 系統(tǒng)與操作人員之間接口的危險(xiǎn)， 進(jìn)而確定引發(fā)事件之后的事故進(jìn)程。 為了描述完整的事故場(chǎng)景并定量評(píng)價(jià)系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)， 一般采用主邏輯圖（MLD）、 ETA與FTA相結(jié)合的方法[12-13]， 其綜合關(guān)系如圖5所示。

系統(tǒng)危險(xiǎn)分析主要內(nèi)容如下：

（1） 確定初因事件。 根據(jù)系統(tǒng)運(yùn)行的歷史資料并借鑒PHA和FMEA等安全性和可靠性分析資料， 編制出引發(fā)事件的清單； 另一方面， 在條件允許時(shí)， 也可以通過MLD的分析方法用于確定或補(bǔ)充系統(tǒng)的引發(fā)事件的清單。

（2） 引發(fā)事件分組。 為了簡(jiǎn)化分析過程， 減少后續(xù)項(xiàng)目中ETA和FTA的工作量， 在得到初因事件清單后， 需要對(duì)初因事件進(jìn)行重新分組。

（3） 事故鏈建模。 系統(tǒng)的事故鏈通常采用事件樹進(jìn)行描述。 當(dāng)引發(fā)事件確定以后， 按后續(xù)事件成功或失?。ǘB(tài)）分析各種可能的結(jié)果， 直到到達(dá)系統(tǒng)故障或事故為止。

（4） 場(chǎng)景事件建模。 事故鏈模型中的場(chǎng)景事件一般用故障樹來描述。 FTA首先把事件樹中的決策分支點(diǎn)事件的故障狀態(tài)作為故障樹的頂事件， 然后找出頂事件發(fā)生的所有可能的原因組合， 直到確定底事件為止。

以表1中確定的引發(fā)事件“電磁干擾”為例進(jìn)行事故鏈建模， 如圖6所示。 將“點(diǎn)火控制電路濾波失效”、 “熱電池意外點(diǎn)火”、 “點(diǎn)火裝置意外解除保險(xiǎn)”故障樹分析的頂事件進(jìn)行場(chǎng)景事件建模， 就形成了完整的事故場(chǎng)景。 如果有基礎(chǔ)失效數(shù)據(jù)作為支撐， 就可以對(duì)該事故場(chǎng)景風(fēng)險(xiǎn)進(jìn)行定量評(píng)價(jià)。

3結(jié)論

從危險(xiǎn)和事故的定義出發(fā)， 在詳細(xì)闡述事故機(jī)理的基礎(chǔ)上建立了基于事故機(jī)理的安全性分析框架， 并以具體實(shí)例為說明就危險(xiǎn)分析工作項(xiàng)目如何圍繞事故場(chǎng)景展開進(jìn)行了研究， 使安全性分析各環(huán)節(jié)有機(jī)銜接、 相輔相成、 達(dá)到目標(biāo)， 保證了安全性分析的系統(tǒng)性和有效性， 提高了系統(tǒng)安全性分析的可操作性。 提出的基于事故機(jī)理的安全性分析技術(shù)可為型號(hào)系統(tǒng)安全分析工作提供一定的借鑒意義。

參考文獻(xiàn)：

[1] 趙延弟. 安全性設(shè)計(jì)分析與驗(yàn)證[M]. 北京： 國(guó)防工業(yè)出版社， 2011.

[2] 國(guó)防科學(xué)技術(shù)工業(yè)委員會(huì).GJB900-90系統(tǒng)安全性大綱[S].

[3] 國(guó)防科學(xué)技術(shù)工業(yè)委員會(huì).GJB/Z99-97系統(tǒng)安全工程手冊(cè)[S].

[4] 陳升， 楊慶賀. 導(dǎo)彈安全發(fā)射技術(shù)研究[J]. 航空兵器， 2002（5）： 17-19.

[5] 張勝利， 倪冬冬.機(jī)載導(dǎo)彈武器系統(tǒng)導(dǎo)軌式發(fā)射的安全性設(shè)計(jì)[J].航空兵器， 2004（6）： 24-27.

[6] 周海云， 付艷華， 呂志彪.攜行導(dǎo)彈火工品系統(tǒng)安全性定量分析方法初探[J].航空兵器， 2009（2）： 53-56.

[7] 黃少波， 沈欣， 李秋菊.空空導(dǎo)彈發(fā)動(dòng)機(jī)點(diǎn)火系統(tǒng)安全性設(shè)計(jì)[J].航空兵器， 2008（1）： 26-30.

[8] 沈穎， 孫江濤.電子安全和解除保險(xiǎn)裝置在電磁環(huán)境中的安全性試驗(yàn)和評(píng)定方法[J].航空兵器， 2007（5）： 23-25.

[9] 邵輝. 系統(tǒng)安全工程[M]. 北京： 石油工業(yè)出版社， 2008.

[10] Kumamoto H， Henley E J. Probabilistic Risk Assessment and Management for Engineers and Scientists [J]. International Jounal of Systems Applications Engineering & Development Issue， 1996， 41（5）： 751-752.

[11] 顏兆林. 系統(tǒng)安全性分析技術(shù)研究[D]. 長(zhǎng)沙： 國(guó)防科學(xué)技術(shù)大學(xué)， 2001.

[12] 顏兆林， 龔時(shí)雨， 周經(jīng)倫. 概率風(fēng)險(xiǎn)評(píng)價(jià)系統(tǒng)[J]. 計(jì)算機(jī)應(yīng)用研究， 2001， 18（2）： 40-42.

[13] 任陪， 周經(jīng)倫， 鄭龍，等. 基于PRA方法風(fēng)險(xiǎn)評(píng)價(jià)系統(tǒng)的設(shè)計(jì)與研究[J]. 計(jì)算機(jī)應(yīng)用研究， 2007， 24（6）： 91-93.