安全性设计的误区

目 录（ 一 ） 飞 机 安 全 性 历 史 和 相 关 标 准 的 背 景（ 二 ） 适 航 审 查 工 程 师 在 SSA中 的 角 色（ 三 ） 安 全 性 设 计 ： 一 个 综 合 性 的 处 理 方 法（ 四 ） 安 全 性 设 计 的 工 具（ 五 ） 确 认 需 求 和 假 设（ 六 ） 多 少 安 全 性 足 够（ 七 ） 关 于 25.1309合 格 审 定 计 划 的 考 虑 1、 管 理 的 误 区 没 有 向 设 计 者 和 供 应 商 公 布 设 计 标 准 。 视 野 狭 窄 ： 不 使 用 系 统 工 程 方 法 。 在 不 断 改 进 的 进 程 中 ， 忽 视 当 前 真 实 成 本 的 事 实 ， 并 忽 视 为 今 天 的 工 作 而 应 采 取 什 么 样 的 计 划 ； 系 统 设 计 和 研 发 的 计 划 或 预 算 不 切 实 际 。 实 施 并 鼓 励 道 德 上 的 决 策 。 较 差 的 构 架 管 理 （ 过 程 中 的 任 一 位 置 ） 。 没 有 为 制 造 、 维 护 、 修 理 、 运 行 和 /或 训 练 制 定 最 低 标 准 。 没 有 搜 集 和 利 用 用 户 的 使 用 数 据 和 经 验 数 据 。 缺 乏 寻 找 故 障 根 源 的 责 任 感 和 /或 缺 乏 对 纠 正 措 施 有 效 性 的 验 证 。 缺 乏 不 断 改 善 质 量 的 责 任 。 2、 具 体 设 计 的 误 区 没 有 适 当 地 预 计 使 用 过 程 和 使 用 环 境 。 没 有 考 虑 人 的 因 素 ； 设 计 没 给 操 作 者 的 错 误 留 有 容 差 ； 设 计 没 有 为 减 少 错 误 对 安 全 性 影 响 进 行 最 优 化 处 理 。 没 有 消 除 或 改 进 保 留 的 设 计 缺 陷 。 对 于 产 品 新 的 或 扩 展 的 应 用 或 替 代 功 能 ， 违 反 或 忽 视 了 原 始 设 计 假 设 。 忽 视 了 物 理 上 和 功 能 上 的 系 统 接 口 。 在 设 计 过 程 （ 大 项 目 ） 初 期 没 有 验 证 系 统 构 架 。 软 件 开 发 大 纲 没 有 要 求 的 严 重 性 类 别 。 没 有 强 调 “ 故 障 被 动 功 能 （ 故 障 后 不 再 具 有 功 能 ） ” 或 “ 故 障 运 行 ” 要 求 。 监 测 项 目 （ 如 警 告 系 统 ） 中 指 定 性 能 的 可 靠 性 低 于 被 监 测 项 目 的 可 靠 性 。 在 试 图 使 系 统 性 能 达 到 预 期 功 能 的 最 佳 化 过 程 中 ， 忽 视 了 无 意 的 或 不 想 要 的 激 发 结 果 。 监 测 系 统 不 适 当 ， 或 设 计 的 监 测 器 没 有 监 测 器 故 障 指 示 。 3、 一 般 的 误 解 一 个 最 普 通 的 无 知 声 明 是 ： “ 我 知 道 如 果 这 个 故 障 发 生 ， 它 可 能 是 灾 难 性 的 ； 但 是 ， 我 不 记 得 该 故 障 在 整 个 系 统 的 使 用 历 史 中 曾 经 出 现 过 ， 所 以 它 是 极 不 可 能 的 。 ” 回 忆 一 下 极 不 可 能 的 定 义 ， 它 是 一 个 小 于 或 等 于 1 10-9 的 概 率 ， 并 且 发 生 的 概 率 P=故 障 的 数 量 /总 的 小 时 数 ； 截止 20世 纪 90年 代 初 ， 双 发 喷 气 式 飞 机 总 小 时 数 （ 机 队 范 围 ） = 5千 万 ； 三 发 喷 气 式 飞 机 总 小 时 数 （ 机 队 范 围 ） = 1千 8 百 万 ； 世 界 范 围 商 用 运 输 类 喷 气 机 的 总 小 时 90年 代 初 数 累 计 为 3亿 3千 万 ； 由 此 可 见 ， 客 观 环 境 还 不 能 使 你 能 够 可 信 地 证 明 故 障 概 率 小 于 1 10 -9。 现 在 将 这 个 问 题 与 已 经 建 立 的 数 学 关 系 进 行 一 下 对 比 ： 没 有 故 障 的 置 信 度 几 乎 是 0， 既 然 没 有 故 障 ， 所 以 你 以 前 声 明 的 统 计 置 信 度 也 就 为 0。 另 一 个 最 普 通 的 无 知 声 明 是 ： “ 对 于 灾 难 性 事 件 的 发 生 ， 它 需 要 在 相 同 飞 行 过 程 中 两 个 不 相 关 的 事 件 都 发 生 ， 并 且 我 知 道 它 一 定 小 于 或 等 于 1 10-9” 。 回 忆 一 下 飞 机 上 使 用 的 大 部 分 设 备 ， 我 们 可 以 假 设 故 障 符 合 指 数 分 布 ， 所 以 我 们 可 以 使 用 简 单 的 公 式 ：P（ 故 障 ） = t 并 且 ： 为 了 两 个 独 立 故 障 的 发 生 ， 我 们 使 用 乘 法 规 则 得 到 两 件 事 情 一 起 发 生 的 非 常 小 的 概 率 ：P（ 总 ） = 1t1 2t2 直 到 较 早 的 1970年 ， 涉 及 安 全 性 要 求 的 FAR25.1309中 要 求 ： “ 单 点 故 障 不 应 引 发 灾 难 性 事 件 .” 。 这 经 常 被 解 释 为 ： 如 果 设 计 有 冗 余 ， 且 在 灾 难 发 生 前 至 少 发 生 第 二 个 故 障 ， 则 是 好 设 计 ， 并 且 因 此 FMEA是 唯 一 的 定 性 证 明 所 需 的 工 具 。 问 题 是 ： 有 关 系 统 事 故 继 续 以 一 个 不 可 接 受 的 速 率 发 生 。 其 中 一 些 是 因 为 单 个 事 件 引 起 一 个 以 上 独 立 故 障 同 时 发 生 而 产 生 的 。 这 意 味 着 ： 我 们 认 为 不 可 能 同 时 发 生 的 多 重 故 障 事 实 上 发 生 了 。 这 说 明 设 计 标 准 和 符 合 性 验 证 方 法 都 不 适 当 。 与 另 一 故 障 的 组 合 而 引 发 事 故 /事 件 的 “ 非 受 控 潜 在 故 障 ” 的 概 念 促 使 FAA将 条 例 改 为 ： “ 导 致 潜 在 灾 难 事 件 的 故 障 组 合 发 生 的 概 率 应 小 于 或 等 于 1 10-9” 。 现 在 仅 有 FMEA就 不 够 了 ， 并 且 定 性 方 法 被 定 量 方 法 （ FTA） 所 取 代 。 潜 在 事 物 变 成 了 主 要 因 素 ， 并 且 对 于 长 时 间 的 潜 在 故 障 和 不 可 靠 的 设 备 ， 新 的 设 计 标 准 要 求 比 定 性 的 “ 两 个 独 立 项 目 ” 更 多 （ 事 实 上 要 求 三 个 或 更 多 ） 的 项 目 ， 以 证 实 其 安 全 性 ； 即 ： P（ 故 障 ） = 1t1 2t2 = 1000 10-6 1 10-5= 10-8 不 是 足 够 好 （ 因 为 潜 在 物 ） ； 然 后 用 区 域 分 析 和 事 件 回 顾 找 出 冗 余 的 违 反 者 ， 该 违 反 者 可 以 将 一 个 乘 法 符 号 变 成 加 法 符 号 。 所 以 ， 关 于 两 个 不 相 关 事 件 的 原 来 定 性 声 明 就 是 不 适 当 的 方 法 。4、 具 体 安 全 性 评 估 （ SSA） 的 误 区 没 有 设 计 标 准 或 设 计 标 准 不 合 适 。 标 准 不 够 严 格 和 /或 不 完 整 。 没 有 对 标 准 进 行 质 疑 。 没 有 对 设 计 进 行 系 统 的 质 疑 （ 它 是 怎 么 不 工 作 的 ?） 。 没 有 检 查 “ 不 可 能 ” 判 断 的 事 件 。 “ 带 故 障 性 能 ” 的 符 合 性 验 证 不 合 理 。 没 有 寻 找 冗 余 的 违 反 者 ， 或 者 寻 找 的 不 够 ： 具 有 严 重 后 果 的 单 一 故 障 ； 潜 在 故 障 ； 具 有 高 概 率 的 故 障 组 合 ； 造 成 严 重 后 果 的 单 个 事 件 ； 安 装 问 题 ， 丧 失 或 违 反 了 隔 离 。 对 于 为 安 全 性 而 增 加 的 警 告 系 统 ， 忽 视 了 不 希 望 动 作 或 假 激 发 的 概 率 和 严 重 性 。 用 “ 数 字 游 戏 ” 替 代 适 当 而 有 效 的 纠 正 措 施 。 没 有 检 查 支 持 系 统 故 障 的 全 部 结 果 。 没 有 检 查 “ 温 和 的 ” 系 统 故 障 结 果 。 分 析 方 法 不 系 统 。 分 析 没 有 覆 盖 所 有 系 统 零 部 件 。 对 运 行 者 纠 正 措 施 的 影 响 评 价 过 高 。 没 有 有 效 地 对 FTA“ 与 ” 门 提 出 质 疑 ， 并 且 没 有 仔 细 地 使 用 布 尔 代 数 。 从 未 用 硬 件 检 查 来 证 实 书 面 分 析 的 有 效 性 。 5、 供 应 商 在 系 统 安 全 评 估 中 的 角 色 供 应 商 设 计 大 量 系 统 部 件 成 品 。 飞 机 制 造 商 花 大 量 时 间 评 估 飞 机 的 系 统 安 全 性 ， 但 这 同 供 应 商 的 努 力 来 比 还 算 小 的 。 总 的 来 看 ， 来 自 供 应 商 的 安 全 性 分 析 质 量 往 往 坏 到 令 人 讨 厌 的 程 度 ， 并 需 花 费 巨 大 的 钱 财 。 为 什 么 ? 供 应 商 通 常 不 需 精 通 飞 机 水 平 安 全 分 析 技 术 ， 和 /或 不 真 正 想 去 理 解 它 们 的 对 飞 机 安 全 性 设 计 的 额 外 价 值 。 许 多 供 应 商 没 有 足 够 的 系 统 设 计 视 角 来 适 当 地 或 正 确 地 完 成 这 种 分 析 。 飞 机 系 统 的 设 计 组 和 “ 主 ” 合 同 商 不 能 始 终 向 供 应 商 提 供 质 量 指 导 ， 这 导 致 较 差 的 质 量 。 相 对 于 四 种 安 全 分 析 方 法 ， 供 应 商 通 常 ： 不 能 作 FHA， 除 非 他 有 懂 得 和 理 解 功 能 接 口 及 他 们 的 系 统 对 飞 机 有 何 影 响 。 仅 仅 能 够 部 分 地 完 成 FMEA， 因 为 缺 乏 对 系 统 接 口 、 驾 驶 员 接 口 、 整 个 飞 机 故 障 影 响 的 理 解 ， 还 因 为 他 们 常 常 不 提 供 整 个 系 统 。 由 于 与 上 面 相 同 的 理 由 而 不 能 作 FTA。 不 能 作 他 们 部 件 之 外 的 CCA， 因 为 他 们 不 知 道 实 际 的 安 装 。 那 么 对 供 应 商 的 分 析 可 以 给 出 什 么 样 的 指 导 ?对 于 FMEA， 有 三 个 关 于 飞 机 设 计 者 SSA主 管 部 门 的 想 法 ： 供 应 商 仅 仅 填 写 从 飞 机 设 计 者 SSA主 管 部 门 FMEA表 格 中 挑 选 的 栏 ， 然 后 该 主 管 部 门 可 在 接 到 供 应 商 填 好 并 提 交 的 表 格 后 完 成 该 表 格 。 供 应 商 尝 试 针 对 系 统 中 属 于 他 的 那 部 分 完 成 取 自 飞 机 设 计 者 SSA主 管 部 门 FMEA表 格 。 然 后 该 初 级 部 门 将 供 应 商 的 不 正 确 假 设 及 其 对 飞 机 影 响 的 更 改 意 见 反 馈 给 供 应 商 。 允 许 供 应 商 完 成 自 己 选 定 的 表 格 ， 然 后 初 级 部 门 再 将 相 关 数 据 转 到 自 己 分 析 表 格 上 ， 并 完 成 该 表 格 。 6、 一 些 思 考 将 所 有 情 况 提 供 FHA给 供 应 商 ， 使 其 共 享 设 备 功 能 对 飞 机 的 危 害 。 我 们 已 经 看 到 了 前 面 所 述 的 有 关 供 应 商 FMEA的 三 个 处 理 方 法 ， 并 且 它 们 各 有 长 处 。 建 议 ： 供 应 商 针 对 系 统 中 属 于 自 己 的 那 部 分 填 写 来 自 飞 机 设 计 者 SSA主 管 部 门 提 供 的 表 格 ， 该 初 级 部 门 接 到 供 应 商 提 供 的 FMEA表 格 后 ， 审 查 并 最 后 完 成 该 表 格 ， 并 将 其 综 合 到 最 终 FMEA， 并 将 最 终 结 果 送 给 供 应 商 。 这 在 研 制 期 间 可 能 需 要 多 次 的 交 接 ， 但 从 安 全 性 立 场 考 虑 ， 可 接 到 更 多 来 自 供 应 商 的 后 续 更 改 通 告 。 对 于 FTA和 CCA， 可 以 做 相 同 的 工 作 。 但 需 注 意 ： 不 要将 一 个 属 供 应 商 专 利 的 资 料 送 给 其 他 的 人 。 不 允 许 供 应 商 接 管 或 从 事 设 计 综 合 评 审 工 作 ， 综 合 是 初 级 部 门 的 工 作 。7、 人 的 实 施 及 其 安 全 性 名 义 上 ， 在 80%的 运 输 类 飞 机 事 故 中 ， 人 的 错 误 是 主 要 因 果 因 素 。 名 义 上 ， 在 10%的 运 输 类 飞 机 事 故 中 ， 系 统 失 效 是 主 要 因 果 因 素 。 传 统 上 ， 设 计 安 全 性 关 注 的 是 系 统 失 效 原 因 ， 并 大 大 地 依 赖 对 驾 驶 员 和 维 护 人 员 的 良 好 培 训 及 其 适 当 的 反 应 。 在 传 统 设 计 安 全 性 方 面 的 主 要 改 进 也 仅 仅 解 决 10%的 问 题 。 所 以 面 临 两 难 的 选 择 ： 通 过 培 训 改 进 人 的 “ 系 统 ” ； 承 认 人 能 够 并 将 会 制 造 错 误 ， 并 因 此 将 系 统 设 计 成 容 许 这 样 的 错 误 。 表 面 上 看 ， 目 前 的 安 全 性 分 析 考 虑 了 “ 人 的 错 误 ” ， 但 它 既 不 系 统 ， 也 不 全 面 。 因 为 ， 建 立 于 1970年 的 1 10-9这 个 标 准 是 基 于 保 持 的 历 史 事 故 率 ： 所 有 原 因 的 事 故 率 为 1 10 -6/每 小 时 ； 关 注 的 仅 由 系 统 引 起 的 事 故 为 10% 1 10-6 =1 10-7； 假 设 每 架 飞 机 上 有 100个 潜 在 的 灾 难 性 事 件 ， 则 每 个 潜 在 事 件 必 须 等 于 10-7/100或 1 10-9。 这 听 起 来 可 能 合 理 ， 但 是 ： 在 20到 21世 纪 之 交 ， 运 输 类 系 统 的 容 量 将 会 增 加 到 两 倍 。 为 了 保 持 每 年 恒 定 的 事 故 数 量 ， 我 们 必 须 使 我 们 飞 机 的 安 全 性 加 倍 。 我 们 的 设 计 安 全 性 过 程 仅 仅 直 接 应 付 了 问 题 的 10%。 结 论 ： 为 了 控 制 日 益 增 高 事 故 数 量 ， 必 须 使 80%的 故 障 得 到 显 著 的 改 善 。 对 “ 人 的 问 题 ” 产 生 显 著 影 响 的 突 破 可 能 来 自 何 处 ? 持 “ 人 的 因 素 不 定 ” 观 点 的 设 计 者 承 认 ： 必 须 围 绕 人 来 更 加 仔 细 地 设 计 系 统 。 为 了 增 加 对 人 的 错 误 潜 能 的 思 考 ， 并 认 真 关 注 解 决 办 法 ， 重 新 制 作 分 析 表 格 ： FHA应 该 有 一 个 作 为 输 出 的 功 能 清 单 ， 而 且 其 中 的 功 能 从 历 史 或 理 论 上 来 说 应 是 “ 易 受 伤 害 ” 并 需 特 殊 注 意 的 。 FMEA需 要 将 分 析 引 入 纠 正 措 施 栏 ， 并 且 应 该 将 检 查 不 适 当 措 施 和 适 当 措 施 对 飞 机 影 响 的 分 析 分 开 。 开 始 的 FMEA与 “ 人 的 错 误 发 生 ” 一 起 进 入 “ 易 受 伤 害 ” 设 计 范 围 的 FTA， 并 看 单 一 失 效 是 否 会 使 形 势 恶 化 。 FTA必 须 认 真 对 待 人 的 错 误 ， 并 且 找 出 成 熟 的 人 的 错 误 概 率 ， 以 支 持 FTA。 检 查 历 史 上 由 机 组 错 误 引 起 的 事 故 /事 件 ， 以 确 认 可 能 促 使 人 犯 错 误 的 设 计 特 征 。