安全性设计的误区

目录 一 飞机安全性历史和相关标准的背景 二 适航审查工程师在SSA中的角色 三 安全性设计 一个综合性的处理方法 四 安全性设计的工具 五 确认需求和假设 六 多少安全性足够 七 关于25 1309合格审定计划的考虑 八 安全性设计的误区 九 总结 1 管理的误区 没有向设计者和供应商公布设计标准 视野狭窄 不使用系统工程方法 在不断改进的进程中 忽视当前真实成本的事实 并忽视为今天的工作而应采取什么样的计划 系统设计和研发的计划或预算不切实际 实施并鼓励道德上的决策 较差的构架管理 过程中的任一位置 没有为制造 维护 修理 运行和 或训练制定最低标准 没有搜集和利用用户的使用数据和经验数据 缺乏寻找故障根源的责任感和 或缺乏对纠正措施有效性的验证 缺乏不断改善质量的责任 2 具体设计的误区 没有适当地预计使用过程和使用环境 没有考虑人的因素 设计没给操作者的错误留有容差 设计没有为减少错误对安全性影响进行最优化处理 没有消除或改进保留的设计缺陷 对于产品新的或扩展的应用或替代功能 违反或忽视了原始设计假设 忽视了物理上和功能上的系统接口 在设计过程 大项目 初期没有验证系统构架 软件开发大纲没有要求的严重性类别 没有强调 故障被动功能 故障后不再具有功能 或 故障运行 要求 监测项目 如警告系统 中指定性能的可靠性低于被监测项目的可靠性 在试图使系统性能达到预期功能的最佳化过程中 忽视了无意的或不想要的激发结果 监测系统不适当 或设计的监测器没有监测器故障指示 3 一般的误解 一个最普通的无知声明是 我知道如果这个故障发生 它可能是灾难性的 但是 我不记得该故障在整个系统的使用历史中曾经出现过 所以它是极不可能的 回忆一下极不可能的定义 它是一个小于或等于1 10 9的概率 并且发生的概率P 故障的数量 总的小时数 截止20世纪90年代初 双发喷气式飞机总小时数 机队范围 5千万 三发喷气式飞机总小时数 机队范围 1千8百万 世界范围商用运输类喷气机的总小时90年代初数累计为3亿3千万 由此可见 客观环境还不能使你能够可信地证明故障概率小于1 10 9 现在将这个问题与已经建立 的数学关系进行一下对比 没有故障的置信度几乎是0 既然没有故障 所以你以前声明的统计置信度也就为0 另一个最普通的无知声明是 对于灾难性事件的发生 它需要在相同飞行过程中两个不相关的事件都发生 并且我知道它一定小于或等于1 10 9 回忆一下飞机上使用的大部分设备 我们可以假设故障符合指数分布 所以我们可以使用简单的公式 P 故障 t并且 为了两个独立故障的发生 我们使用乘法规则得到两件事情一起发生的非常小的概率 P 总 1t1 2t2 直到较早的1970年 涉及安全性要求的FAR25 1309中要求 单点故障不应引发灾难性事件 这经常被解释为 如果设计有冗余 且在灾难发生前至少发生第二个故障 则是好设计 并且因此FMEA是唯一的定性证明所需的工具 问题是 有关系统事故继续以一个不可接受的速率发生 其中一些是因为单个事件引起一个以上独立故障同时发生而产生的 这意味着 我们认为不可能同时发生的多重故障事实上发生了 这说明设计标准和符合性验证方法都不适当 与另一故障的组合而引发事故 事件的 非受控潜在故障 的概念促使FAA将条例改为 导致潜在灾难事件的故障组合发生的概率应小于或等于1 10 9 现在仅有FMEA就不够了 并且定性方法被定量方法 FTA 所取代 潜在事物变成了主要因素 并且对于长时间的潜在故障和不可靠的设备 新的设计标准要求比定性的 两个独立项目 更多 事实上要求三个或更多 的项目 以证实其安全性 即 P 故障 1t1 2t2 1000 10 6 1 10 5 10 8 不是足够好 因为潜在物 然后用区域分析和事件回顾找出冗余的违反者 该违反者可以将一个乘法符号变成加法符号 所以 关于两个不相关事件的原来定性声明就是不适当的方法 4 具体安全性评估 SSA 的误区 没有设计标准或设计标准不合适 标准不够严格和 或不完整 没有对标准进行质疑 没有对设计进行系统的质疑 它是怎么不工作的 没有检查 不可能 判断的事件 带故障性能 的符合性验证不合理 没有寻找冗余的违反者 或者寻找的不够 具有严重后果的单一故障 潜在故障 具有高概率的故障组合 造成严重后果的单个事件 安装问题 丧失或违反了隔离 对于为安全性而增加的警告系统 忽视了不希望动作或假激发的概率和严重性 用 数字游戏 替代适当而有效的纠正措施 没有检查支持系统故障的全部结果 没有检查 温和的 系统故障结果 分析方法不系统 分析没有覆盖所有系统零部件 对运行者纠正措施的影响评价过高 没有有效地对FTA 与 门提出质疑 并且没有仔细地使用布尔代数 从未用硬件检查来证实书面分析的有效性 5 供应商在系统安全评估中的角色 供应商设计大量系统部件成品 飞机制造商花大量时间评估飞机的系统安全性 但这同供应商的努力来比还算小的 总的来看 来自供应商的安全性分析质量往往坏到令人讨厌的程度 并需花费巨大的钱财 为什么 供应商通常不需精通飞机水平安全分析技术 和 或不真正想去理解它们的对飞机安全性设计的额外价值 许多供应商没有足够的系统设计视角来适当地或正确地完成这种分析 飞机系统的设计组和 主 合同商不能始终向供应商提供质量指导 这导致较差的质量 相对于四种安全分析方法 供应商通常 不能作FHA 除非他有懂得和理解功能接口及他们的系统对飞机有何影响 仅仅能够部分地完成FMEA 因为缺乏对系统接口 驾驶员接口 整个飞机故障影响的理解 还因为他们常常不提供整个系统 由于与上面相同的理由而不能作FTA 不能作他们部件之外的CCA 因为他们不知道实际的安装 那么对供应商的分析可以给出什么样的指导 对于FMEA 有三个关于飞机设计者SSA主管部门的想法 供应商仅仅填写从飞机设计者SSA主管部门FMEA表格中挑选的栏 然后该主管部门可在接到供应商填好并提交的表格后完成该表格 供应商尝试针对系统中属于他的那部分完成取自飞机设计者SSA主管部门FMEA表格 然后该初级部门将供应商的不正确假设及其对飞机影响的更改意见反馈给供应商 允许供应商完成自己选定的表格 然后初级部门再将相关数据转到自己分析表格上 并完成该表格 6 一些思考 将所有情况提供FHA给供应商 使其共享设备功能对飞机的危害 我们已经看到了前面所述的有关供应商FMEA的三个处理方法 并且它们各有长处 建议 供应商针对系统中属于自己的那部分填写来自飞机设计者SSA主管部门提供的表格 该初级部门接到供应商提供的FMEA表格后 审查并最后完成该表格 并将其综合到最终FMEA 并将最终结果送给供应商 这在研制期间可能需要多次的交接 但从安全性立场考虑 可接到更多来自供应商的后续更改通告 对于FTA和CCA 可以做相同的工作 但需注意 不要将一个属供应商专利的资料送给其他的人 不允许供应商接管或从事设计综合评审工作 综合是初级部门的工作 7 人的实施及其安全性 名义上 在80 的运输类飞机事故中 人的错误是主要因果因素 名义上 在10 的运输类飞机事故中 系统失效是主要因果因素 传统上 设计安全性关注的是系统失效原因 并大大地依赖对驾驶员和维护人员的良好培训及其适当的反应 在传统设计安全性方面的主要改进也仅仅解决10 的问题 所以面临两难的选择 通过培训改进人的 系统 承认人能够并将会制造错误 并因此将系统设计成容许这样的错误 表面上看 目前的安全性分析考虑了 人的错误 但它既不系统 也不全面 因为 建立于1970年的1 10 9这个标准是基于保持的历史事故率 所有原因的事故率为1 10 6 每小时 关注的仅由系统引起的事故为10 1 10 6 1 10 7 假设每架飞机上有100个潜在的灾难性事件 则每个潜在事件必须等于10 7 100或1 10 9 这听起来可能合理 但是 在20到21世纪之交 运输类系统的容量将会增加到两倍 为了保持每年恒定的事故数量 我们必须使我们飞机的安全性加倍 我们的设计安全性过程仅仅直接应付了问题的10 结论 为了控制日益增高事故数量 必须使80 的故障得到显著的改善 对 人的问题 产生显著影响的突破可能来自何处 持 人的因素不定 观点的设计者承认 必须围绕人来更加仔细地设计系统 为了增加对人的错误潜能的思考 并认真关注解决办法 重新制作分析表格 FHA应该有一个作为输出的功能清单 而且其中的功能从历史或理论