2.1-安全性设计的误区 ppt课件

1、目目 录录（一飞机安全性历史和相关标准的背景（一飞机安全性历史和相关标准的背景（二适航审查工程师在（二适航审查工程师在SSASSA中的角色中的角色（三安全性设计：一个综合性的处理方法（三安全性设计：一个综合性的处理方法（四安全性设计的工具（四安全性设计的工具（五确认需求和假设（五确认需求和假设（六多少安全性足够（六多少安全性足够（七关于（七关于25.130925.1309合格审定计划的考虑合格审定计划的考虑（八安全性设计的误区（八安全性设计的误区（九总结（九总结 1 1、管理的误区、管理的误区 没有向设计者和供应商公布设计标准。没有向设计者和供应商公布设计标准。 视野狭窄：不使用系统工程方法。

2、视野狭窄：不使用系统工程方法。 在不断改进的进程中，忽视当前真实成本的事实，并忽视在不断改进的进程中，忽视当前真实成本的事实，并忽视 为今天的工作而应采取什么样的计划；系统设计和研发的为今天的工作而应采取什么样的计划；系统设计和研发的 计划或预算不切实际。计划或预算不切实际。 实施并鼓励道德上的决策。实施并鼓励道德上的决策。 较差的构架管理过程中的任一位置）。较差的构架管理过程中的任一位置）。 没有为制造、维护、修缮、运行和没有为制造、维护、修缮、运行和/ /或训练制定最低标准。或训练制定最低标准。 没有搜集和利用用户的使用数据和经验数据。没有搜集和利用用户的使用数据和经验数据。 缺乏寻找故障

3、根源的责任感和缺乏寻找故障根源的责任感和/ /或缺乏对纠正措施有效性或缺乏对纠正措施有效性 的验证。的验证。 缺乏不断改善质量的责任。缺乏不断改善质量的责任。 2 2、具体设计的误区、具体设计的误区 没有适当地预计使用过程和使用环境。没有适当地预计使用过程和使用环境。 没有考虑人的因素；设计没给操作者的错误留有容差；没有考虑人的因素；设计没给操作者的错误留有容差；设设 计没有为减少错误对安全性影响进行最优化处理。计没有为减少错误对安全性影响进行最优化处理。 没有消除或改进保留的设计缺陷。没有消除或改进保留的设计缺陷。 对于产品新的或扩展的应用或替代功能，违反或忽视了对于产品新的或扩展的应用或替

4、代功能，违反或忽视了原原 始设计假设。始设计假设。 忽视了物理上和功能上的系统接口。忽视了物理上和功能上的系统接口。 在设计过程大项目初期没有验证系统构架。在设计过程大项目初期没有验证系统构架。 软件开发大纲没有要求的严重性类别。软件开发大纲没有要求的严重性类别。 没有强调没有强调“故障被动功能故障后不再具有功能）故障被动功能故障后不再具有功能）”或或 “故障运行要求。故障运行要求。 监测项目如警告系统中指定性能的可靠性低于被监测监测项目如警告系统中指定性能的可靠性低于被监测 项目的可靠性。项目的可靠性。 在试图使系统性能达到预期功能的最佳化过程中，忽视了在试图使系统性能达到预期功能的最佳化过

5、程中，忽视了 无意的或不想要的激发结果。无意的或不想要的激发结果。 监测系统不适当，或设计的监测器没有监测器故障指示。监测系统不适当，或设计的监测器没有监测器故障指示。 3、一般的误解、一般的误解 一个最普通的无知声明是：一个最普通的无知声明是：“我知道如果这个故障发生，我知道如果这个故障发生， 它可能是灾难性的；但是，我不记得该故障在整个系统的它可能是灾难性的；但是，我不记得该故障在整个系统的 使用历史中曾经出现过，所以它是极不可能的。使用历史中曾经出现过，所以它是极不可能的。” 回忆一下极不可能的定义，它是一个小于或等于回忆一下极不可能的定义，它是一个小于或等于110-9 的概率，并且发生

6、的概率的概率，并且发生的概率P=故障的数量故障的数量/总的小时数；截止总的小时数；截止 20世纪世纪90年代初，双发喷气式飞机总小时数机队范围）年代初，双发喷气式飞机总小时数机队范围） = 5千万；三发喷气式飞机总小时数机队范围）千万；三发喷气式飞机总小时数机队范围）= 1千千8 百万；世界范围商用运输类喷气机的总小时百万；世界范围商用运输类喷气机的总小时90年代初数累年代初数累 计为计为3亿亿3千万；由此可见，客观环境还不能使你能够可信千万；由此可见，客观环境还不能使你能够可信 地证明故障概率小于地证明故障概率小于110-9。现在将这个问题与已经建立。现在将这个问题与已经建立 的数学关系进行

7、一下对比：没有故障的置信度几乎是的数学关系进行一下对比：没有故障的置信度几乎是0 0， 既然没有故障，所以你以前声明的统计置信度也就为既然没有故障，所以你以前声明的统计置信度也就为0 0。 另一个最普通的无知声明是：另一个最普通的无知声明是：“对于灾难性事件的发对于灾难性事件的发 生，它需要在相同飞行过程中两个不相关的事件都发生，它需要在相同飞行过程中两个不相关的事件都发 生，并且我知道它一定小于或等于生，并且我知道它一定小于或等于1 110-9”10-9”。回忆一。回忆一 下飞机上使用的大部分设备，我们可以假设故障符合下飞机上使用的大部分设备，我们可以假设故障符合 指数分布，所以我们可以使用

8、简单的公式：指数分布，所以我们可以使用简单的公式：P P缺点）缺点）=t =t 并且：并且： 为了两个独立故障的发生，我们使用乘法规则得为了两个独立故障的发生，我们使用乘法规则得 到两件事情一起发生的非常小的概率：到两件事情一起发生的非常小的概率：P P总）总）=1t12t2 =1t12t2 直到较早的直到较早的19701970年，涉及安全性要求的年，涉及安全性要求的FAR25.1309FAR25.1309中要中要 求：求：“单点故障不应引发灾难性事件单点故障不应引发灾难性事件.”.”。这经常被。这经常被 解释为：如果设计有冗余，且在灾难发生前至少发生第二解释为：如果设计有冗余，且在灾难发生前

9、至少发生第二 个故障，则是好设计，并且因此个故障，则是好设计，并且因此FMEAFMEA是唯一的定性证明所是唯一的定性证明所 需的工具。问题是：有关系统事故继续以一个不可接受的需的工具。问题是：有关系统事故继续以一个不可接受的 速率发生。其中一些是因为单个事件引起一个以上独立故速率发生。其中一些是因为单个事件引起一个以上独立故 障同时发生而产生的。这意味着：我们认为不可能同时发障同时发生而产生的。这意味着：我们认为不可能同时发 生的多重故障事实上发生了。这说明设计标准和符合性验生的多重故障事实上发生了。这说明设计标准和符合性验 证方法都不适当。证方法都不适当。 与另一故障的组合而引发事故与另一故

10、障的组合而引发事故/ /事件的事件的“非受控潜在故非受控潜在故 障的概念促使障的概念促使FAAFAA将条例改为：将条例改为：“导致潜在灾难事件的导致潜在灾难事件的 故障组合发生的概率应小于或等于故障组合发生的概率应小于或等于1 110-9”10-9”。现在仅有。现在仅有 FMEAFMEA就不够了，并且定性方法被定量方法就不够了，并且定性方法被定量方法FTAFTA所取所取 代。潜在事物变成了主要因素，并且对于长时间的潜在故代。潜在事物变成了主要因素，并且对于长时间的潜在故 障和不可靠的设备，新的设计标准要求比定性的障和不可靠的设备，新的设计标准要求比定性的“两个独两个独 立项目更多事实上要求三个

11、或更多的项目，以证实立项目更多事实上要求三个或更多的项目，以证实 其安全性；即：其安全性；即： P P缺点）缺点）=1t12t2=1t12t2 = 1000 = 100010-6110-6110-5= 10-8 10-5= 10-8 不是足够好因为潜在物）；然后用区域分析和事件回顾不是足够好因为潜在物）；然后用区域分析和事件回顾 找出冗余的违反者，该违反者可以将一个乘法符号变成加找出冗余的违反者，该违反者可以将一个乘法符号变成加 法符号。所以，关于两个不相关事件的原来定性声明就是法符号。所以，关于两个不相关事件的原来定性声明就是 不适当的方法。不适当的方法。4 4、具体安全性评估、具体安全性评

12、估SSASSA的误区的误区 没有设计标准或设计标准不合适。没有设计标准或设计标准不合适。 标准不够严格和标准不够严格和/ /或不完整。或不完整。 没有对标准进行质疑。没有对标准进行质疑。 没有对设计进行系统的质疑它是怎么不工作的没有对设计进行系统的质疑它是怎么不工作的? ?）。）。 没有检查没有检查“不可能判断的事件。不可能判断的事件。 “带故障性能的符合性验证不合理。带故障性能的符合性验证不合理。 没有寻找冗余的违反者，或者寻找的不够：没有寻找冗余的违反者，或者寻找的不够： 具有严重后果的单一故障；具有严重后果的单一故障； 潜在故障；潜在故障； 具有高概率的故障组合；具有高概率的故障组合；

13、造成严重后果的单个事件；造成严重后果的单个事件； 安装问题，丧失或违反了隔离。安装问题，丧失或违反了隔离。 对于为安全性而增加的警告系统，忽视了不希望动作或假对于为安全性而增加的警告系统，忽视了不希望动作或假 激发的概率和严重性。激发的概率和严重性。 用用“数字游戏数字游戏” ” 替代适当而有效的纠正措施。替代适当而有效的纠正措施。 没有检查支持系统故障的全部结果。没有检查支持系统故障的全部结果。 没有检查没有检查“温和的系统故障结果。温和的系统故障结果。 分析方法不系统。分析方法不系统。 分析没有覆盖所有系统零部件。分析没有覆盖所有系统零部件。 对运行者纠正措施的影响评价过高。对运行者纠正措

14、施的影响评价过高。 没有有效地对没有有效地对FTA“FTA“与门提出质疑，并且没有仔细地使与门提出质疑，并且没有仔细地使 用布尔代数。用布尔代数。 从未用硬件检查来证实书面分析的有效性。从未用硬件检查来证实书面分析的有效性。 5 5、供应商在系统安全评估中的角色、供应商在系统安全评估中的角色 供应商设计大量系统部件成品。供应商设计大量系统部件成品。 飞机制造商花大量时间评估飞机的系统安全性，但这同供飞机制造商花大量时间评估飞机的系统安全性，但这同供 应商的努力来比还算小的。应商的努力来比还算小的。 总的来看，来自供应商的安全性分析质量往往坏到令人讨总的来看，来自供应商的安全性分析质量往往坏到令

15、人讨 厌的程度，并需花费巨大的钱财。为什么厌的程度，并需花费巨大的钱财。为什么? ? 供应商通常不需精通飞机水平安全分析技术，和供应商通常不需精通飞机水平安全分析技术，和/ /或不真或不真 正想去理解它们的对飞机安全性设计的额外价值。正想去理解它们的对飞机安全性设计的额外价值。 许多供应商没有足够的系统设计视角来适当地或正确地许多供应商没有足够的系统设计视角来适当地或正确地 完成这种分析。完成这种分析。 飞机系统的设计组和飞机系统的设计组和“主合同商不能始终向供应商提主合同商不能始终向供应商提 供质量指导，这导致较差的质量。供质量指导，这导致较差的质量。相对于四种安全分析方法，供应商通常：相对

16、于四种安全分析方法，供应商通常： 不能作不能作FHAFHA，除非他有懂得和理解功能接口及他们的系，除非他有懂得和理解功能接口及他们的系 统对飞机有何影响。统对飞机有何影响。 仅仅能够部分地完成仅仅能够部分地完成FMEAFMEA，因为缺乏对系统接口、驾驶，因为缺乏对系统接口、驾驶 员接口、整个飞机故障影响的理解，还因为他们常常不员接口、整个飞机故障影响的理解，还因为他们常常不 提供整个系统。提供整个系统。 由于与上面相同的理由而不能作由于与上面相同的理由而不能作FTAFTA。 不能作他们部件之外的不能作他们部件之外的CCACCA，因为他们不知道实际的安，因为他们不知道实际的安 装。装。 那么对供

17、应商的分析可以给出什么样的指导那么对供应商的分析可以给出什么样的指导? ?对于对于FMEAFMEA， 有三个关于飞机设计者有三个关于飞机设计者SSASSA主管部门的想法：主管部门的想法： 供应商仅仅填写从飞机设计者供应商仅仅填写从飞机设计者SSASSA主管部门主管部门FMEAFMEA表格中表格中 挑选的栏，然后该主管部门可在接到供应商填好并提交挑选的栏，然后该主管部门可在接到供应商填好并提交 的表格后完成该表格。的表格后完成该表格。 供应商尝试针对系统中属于他的那部分完成取自飞机设供应商尝试针对系统中属于他的那部分完成取自飞机设 计者计者SSASSA主管部门主管部门FMEAFMEA表格。然后该

18、初级部门将供应商表格。然后该初级部门将供应商 的不正确假设及其对飞机影响的更改意见反馈给供应的不正确假设及其对飞机影响的更改意见反馈给供应 商。商。 允许供应商完成自己选定的表格，然后初级部门再将相允许供应商完成自己选定的表格，然后初级部门再将相 关数据转到自己分析表格上，并完成该表格。关数据转到自己分析表格上，并完成该表格。 6 6、一些思考、一些思考 将所有情况提供将所有情况提供FHAFHA给供应商，使其共享设备功能对飞机给供应商，使其共享设备功能对飞机 的危害。的危害。 我们已经看到了前面所述的有关供应商我们已经看到了前面所述的有关供应商FMEAFMEA的三个处理方的三个处理方 法，并且

19、它们各有长处。建议：法，并且它们各有长处。建议： 供应商针对系统中属于自己的那部分填写来自飞机设计供应商针对系统中属于自己的那部分填写来自飞机设计 者者SSASSA主管部门提供的表格，该初级部门接到供应商提主管部门提供的表格，该初级部门接到供应商提 供的供的FMEAFMEA表格后，审查并最后完成该表格，并将其综合表格后，审查并最后完成该表格，并将其综合 到最终到最终FMEAFMEA，并将最终结果送给供应商。这在研制期间，并将最终结果送给供应商。这在研制期间 可能需要多次的交接，但从安全性立场考虑，可接到更可能需要多次的交接，但从安全性立场考虑，可接到更 多来自供应商的后续更改通告。多来自供应商

20、的后续更改通告。 对于对于FTAFTA和和CCACCA，可以做相同的工作。但需注意：，可以做相同的工作。但需注意：不要将不要将 一个属供应商专利的资料送给其他的人。一个属供应商专利的资料送给其他的人。 不允许供应商接管或从事设计综合评审工作，综不允许供应商接管或从事设计综合评审工作，综合是初级合是初级 部门的工作。部门的工作。7 7、人的实施及其安全性、人的实施及其安全性 名义上，在名义上，在80%80%的运输类飞机事故中，人的错误的运输类飞机事故中，人的错误是主要因是主要因 果因素。果因素。 名义上，在名义上，在10%10%的运输类飞机事故中，系统失效的运输类飞机事故中，系统失效是主要因是主

21、要因 果因素。果因素。 传统上，设计安全性关注的是系统失效原因，并传统上，设计安全性关注的是系统失效原因，并大大地依大大地依 赖对驾驶员和维护人员的良好培训及其适当的反赖对驾驶员和维护人员的良好培训及其适当的反应。应。 在传统设计安全性方面的主要改进也仅仅解决在传统设计安全性方面的主要改进也仅仅解决10%10%的问题。的问题。 所以面临两难的选择：所以面临两难的选择： 通过培训改进人的通过培训改进人的“系统系统”； 承认人能够并将会制造错误，并因此将系统设计成容许承认人能够并将会制造错误，并因此将系统设计成容许 这样的错误。这样的错误。 表面上看，目前的安全性分析考虑了表面上看，目前的安全性分

22、析考虑了“人的错误人的错误”，但它，但它 既不系统，也不全面。由于，建立于既不系统，也不全面。由于，建立于19701970年的年的1 110-910-9这个这个 标准是基于保持的历史事故率：标准是基于保持的历史事故率： 所有原因的事故率为所有原因的事故率为1 110-6/10-6/每小时；每小时； 关注的仅由系统引起的事故为关注的仅由系统引起的事故为10%110%110-6 =110-6 =110-710-7； 假设每架飞机上有假设每架飞机上有100100个潜在的灾难性事件，则每个潜个潜在的灾难性事件，则每个潜 在事件必须等于在事件必须等于10-7/10010-7/100或或1 110-910-9。 这听起来可能合理，但是：这听起来可能合理，但是： 在在2020到到2121世纪之交，运输类系统的容量将会增加到两世纪之交，运输类系统的容量将会增加到两 倍。倍。 为了保持每年恒定的事故数量，我们必须使我们飞机的为了保持每年恒定的