分类: 网络与安全
2012-03-13 20:40:26
航空领域中安全性相关概念的分析
作者:二丫 撰写日期:2011-09-28 ~ 2011-09-30
随着国家在航空航天领域各种项目中越来越大的投入,航空软件的安全性也备受关注。然而目前是行工作中安全性与周边概念的关系尚界定不清,对此,本文讨论了与安全性相关概念的联系与区别。
一、引言
航空领域中,尤其是军用飞机的安全性是关系到航空兵部队作战使用和战斗力保持的一个重要因素。安全性是系统的固有属性,随着武器装备性能先进性的提升和复杂程度的增加,安全性问题也越来越突出。为此,需要在装备研制中系统地开展安全性工作,将安全性设计到系统中。
然而,无论是军方还是工业部门,安全性工作基本上都是由从事可靠性工作的人员开展起来的,知识结构和所采用的一些程序、方法等还没有摆脱可靠性工作模式的束缚。以此考虑,本文从安全性的基本概念入手,对航空航天领域安全性工作中存在的模糊认识进行了剖析,为该领域的安全性工作提供借鉴。
二、安全性、危险及事故
系统安全工程是一种先导式的安全性工程技术方法,强调以安全风险管理为核心,对危险采取闭环控制,以系统安全思想为基础,美军制定了MIL-STD-882 系列标准,我国也借鉴此类标准颁布了武器装备领域安全性的顶层标准——GJB 900-90作为国军标。本节对有关标准和文献中安全性、危险以及事故等相关概念进行了对比。如下表:
GJB 900-90 |
MIL-STD-882D | |
安全性Safety |
不发生事故的能力 |
不会引起死亡、伤害、职业病、设备的损坏或财产的损失,或环境危害的状态。 |
危险Hazard |
可能导致事故的状态 |
任何可能引起人员的伤害、疾病或死亡,系统、设备的损坏或财产的损失,或环境危害的实际或潜在的状态。 |
事故Mishap |
造成人员伤亡、职业病、设备损坏或财产损失的一个或一系列意外事件。 |
造成死亡、伤害、职业病设备的损坏或财产的损失,或环境危害的一个或一系列意外事件。 |
由此得出结论:
1) 两国标准对安全性的定义上,中国更侧重能力而美国更侧重状态。
2) 在危险的定义中,两国观点基本一致。不同的是,危险的状态细分为实际和潜在两种,同时也看出美国给出的定义更为严谨与人性化。
3) 在对事故的定义中,美国更是增添了对环境危害的关注度。这些都是国人应当学习的。
至于安全、危险和事故的关系,我们可以用下图2-1表示:
图2-1 安全、危险、事故的关系图
分析此图,我们可以获得以下信息:
1) 危险是指可能导致事故的实际或潜在的状态,是事故发生的先决条件;而事故则是实际已发生的事件;因此,危险与事故之间存在一个状态转移的过程。
2) 危险是介于安全与事故之间的过度状态,任何系统,如果不加以人为的干涉,则都有可能由安全状态经由危险状态而最终发生事故。
3) 事故一旦发生,便不可逆转。
4) 当系统处于危险状态时,我们可以通过人为干涉,而使系统恢复至安全状态,但这一逆转不会自发进行。
5) 我们可以利用物理学中的“熵增原理”来解释三者之间的转化关系,即事物从安全状态到发生事故的过程是一个熵增加的过程。
三、安全性vs可靠性
从关注的角度来看,安全性与可靠性的区别是显而易见:在GJB 900-1990系统安全性通用大纲中,安全性关注的是不发生事故。而GJB 451A-2005可靠性维修性保障性术语中,则定义可靠性关注的是规定功能的实现。
3.1 二者的联系
无论是军方还是工业部门,安全性工作基本上都是由从事可靠性工作的人员开展起来的。故障或失效是可靠性问题的核心,产品在设计制造出来以后就已经被赋予了一定的功能,有些产品的功能是与安全相关的,如果其功能出现问题,则会影响安全。如飞机的起落架收放功能等。在特定条件下,此类可靠性问题与安全性问题是同义的。尤其对于飞机来说,许多功能的执行都与安全性密切相关。这些功能可靠地运行(不发生故障或失效)就在一定程度上保证了安全。因此,安全性问题与可靠性问题有一部分是重叠的。
3.2 二者的区别
目前在航空航天领域中普遍存在的错误认识:“提高安全性是通过提高系统各组成部分的可靠性实现的。假如各组成部分没有发生故障或失效,那么就不会发生事故。”即安全性问题与组成部分的故障或失效是等价的。但事实证明,组成部分不出故障,系统可能出故障,部件的故障或失效也可以不带来后果严重的事故,有可能不影响安全。以下进行详细说明:
1) 安全性与可靠性分属两个不同的系统属性。
不可靠的后果不一定影响安全性。反之,安全性水平高的系统,其可靠性水平可以不一定高。例如,失效安全设计(fail-safe)十字路口的交通灯,如出故障则设计成4个方向都亮红灯,这样显然可以保证交通的安全性。
2) 安全性所面向的对象和层次
安全性是“系统级”属性的一项关键特性,而非单个部件的属性。因此安全性必须在系统级进行控制。在没有背景信息的前提下,“某部件的安全性”的提法是毫无意义的,但可以说“某部件的可靠性”。某个部件在一个系统中运行不会带来安全性问题,并不能代表在另一个系统中或另一种使用条件下运行也不会带来安全性问题。
3) 安全性是系统的“涌现”属性
导致事故的事件是设备故障、维修失误、仪表与控制问题、人的行为、错误设计等复杂行为的组合。用可靠性方法来定量处理安全性问题,仅能考虑与故障相关的事故的概率,并不能解决由各个部件正常工作所导致的潜在的危害。
4) 安全性无“规定的条件”和“规定的时间”
可靠性是产品在规定的条件下和规定的时间内,完成规定功能的能力。如果由于操作人员失误或其他的原因,产品没有在规定的时间内或规定的条件下运行,并因此引发事故,那么此问题就是安全性问题,而非可靠性问题。可靠性总是与产品功能需求及假定的使用条件或环境条件相关;而安全性必须考虑正常使用条件之外的情况。
5) 分析、评价方法的不同
可靠性通常应用自下而上的方法(如FMEA)来评价部件故障的影响,而安全性需要采用自上而下的方法来评价系统的危险状态是如何由正常和不正常的部件行为的组合引发的,这样则更容易从系统的层次确定事故的组合因素。
6) 可靠性分析不能胜任安全性问题
事故的发生可能是由产品在使用时超出所设定参数边界和时间限制引起的,而可靠性分析正是在这些参数和时间的边界限制范围内进行的。
例如,某型飞机起落架收放控制系统的可靠性很高,在起飞和着陆时很少发生故障或失效问题,但其在地面停放时却可能由于误操作而使飞机在地面意外收起起落架,造成飞机损伤或人员伤害,此类问题便是安全性问题。但在可靠性分析时难以顾及到此,需要在设计之初就开展安全性分析来识别此类危险。
四、总结
目前,可靠性工程在我国军机研制中已经开展了许多年,可靠性工作对于提高军机的可靠性和安全性水平取得了很大的成绩。但以往事故经验教训表明,有些与飞机本身相关的事故的发生并不是可靠性问题造成的。
由于现代飞机的复杂程度越来越高,很多航空事故的特征由以前的可靠性问题演变为现在由复杂性导致的安全性问题。而在研究安全性问题之前,首先搞清楚概念则是当前刻不容缓的重要工作,希望本文能够为航空领域内的系统安全工程进以微薄之力。
感谢
感谢兄弟单位BUAA可靠性工程研究组赵廷弟团队的优秀论文,让我这个初涉航空领域概念的小生受益匪浅。
参考文献:
[1]GJB 900-1990系统安全性通用大纲[S].
[2]GJB 451A-2005可靠性维修性保障性术语[S].
[4] GJB Z 99-97 系统安全工程手册 [S] . 1997.
[5] 尹树悦, 刘承相. 军用飞机安全性与适航的若干问题分析 《质量与可靠性》 2010年第四期