我眼裡的航空系統安全

民航飛機安全在哪裡？

關鍵設備潛在的災難性故障條件（failure condition）的失效率要求低於1×10-9/每飛行小時。

航空業從1970年開始，建立了以1×10-9為特徵的事故率標準。該標準是基於當時保持的民用航空器飛行歷史事故率建立的。

Q所有原因導致飛機災難性事故的概率為1×10-6/每飛行小時

Q僅由系統引起的災難性事故為10%×1×10-6=1×10-7/每飛行小時

Q假設每架飛機上具有100個潛在的災難性故障條件，則每個潛在的災難性故障條件出現的概率等於10-7/100即1×10-9/每飛行小時.

所有的設備都要這麼高的要求嗎？

當然不是，沒有一家製造商會要求把飛機上的電視機造的和發動機一樣可靠（可能你在飛機上更關心電視機好用不好用）。

所以，不同安全性等級的設備，其設計需求也會有很大的不同。ARP4754A將其定義為研製保證等級DesignAssurance level-DAL。軟體和硬體都有相應的DAL，設備製造商可以通過DO-254和DO178中定義的實現方式來證明自己的研發過程是符合產品相對應的DAL的。下文會對這幾個標準做一些簡單介紹。

如何開展相應的設計和分析工作？

下面2個標準是航空產品設計的聖經。每個從事航空的技術人員都需要捧在手裡，時常溫故而知新（採購啦，銷售啦，人事啦，財務啦就豁免吧，反正你們多數也看不懂J）

oARP4754A Guidelines for Development of CivilAircraft and Systems

oARP4761 GUIDELINES AND METHODS FOR CONDUCTINGTHE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT

ARP4761描述的是如何對產品開展安全性分析，並給出了一系列具體的要求，也給出了方法，相對還好實施一些。而ARP4754A都是些指導思想，沒有實施細則。於是，為了廣大的航空設備製造商更容易地拿到適航證，RadioTechnical Commission for AeronauticsRTCA這個組織制定了2個實施性比較好的指導文件。定義了可以用來證明符合APR4754A的電子軟體和硬體具體的開發過程。

oDO-254 Design Assurance Guidance for AirborneElectronic Hardware

oDO-178C FINAL Software Considerations inAirborne Systems and Equipment Certification

下面這個框圖，包含的4個國際標準就基本涵蓋了電子軟硬體方面的設計流程。

航空行業設計注重需求的驗證（verification）與確認（validation）的過程，形成了航空經典的V形設計驗證過程。這是一個從需求出發，經過需求確認，再到具體底層產品設計，實施生產，再向上需求驗證測試的一個過程。安全性設計，通過ARP4761所要求的一系列分析工作，貫穿在整個設計驗證的過程當中。

如何定量的分析失效率

Functional Hazard Assessment

先通過FHA-FunctionalHazard Assessment來確定哪些危害是需要分析的，並且將這些危害評級（levelA到E）。相應危害的可接受的失效概率也就出來了。FHA是一項經驗與標準結合，並基於客戶與上層需求綜合性的分析工作。不恰當的評估會導致嚴重的影響，如果給廁所失效評個A級，也無非就是overdesign。但是如果「飛控計算機輸出錯誤的舵面指令」這種失效評估個D級，並且真的這麼實施了，那估計這飛機就有大概率要機毀人亡了。

這裡補充一下，系統要完成DALA的功能，並不一定使用的軟體，硬體必須是DALA的。應此又引出了FunctionDAL和ItemDAL的概念。Item就是「項目」特指飛機和系統設計中，所使用到的「複雜電子硬體」和「軟體」單元。Function指的是幾個硬體和軟體單元組合之後，完成的系統功能。

Preliminary System Safety Assessment /System Safety Assessment PSSA and SSA

系統預安全評估PSSA是將FHA評估出的各種危害（hazard）從上至下，分析系統構架，分配底層失效率需求的的一個過程。可以使用FMEA，失效樹，或者馬克夫轉換模型來定量地算出現有的設計是否能滿足這個危害的是效率需求。系統安全性評估SSA使用相同的工具，是實施了具體的設計後，使用各軟硬體單元的實際失效率，從底部向上反推的驗證過程。

航空安全關注什麼樣的失效（failure condition）？

不可用（Loss）並不可怕，可怕的是錯誤（erroneous）,比錯誤更可怕的是未告知的錯誤(un-detectederroneous) 。這就是航空安全性分析中經常提及的可用性（availability）與完整性（integrity）的概念。此處指出一下，與一般可靠性語言中的可用性（MTTF/(MTTF+MTTR)* 100%）有所不同，ARP4761中的可用性可等同於喪失某功能的概率。

說通俗點，設備開不了機了沒關係，一般會有別的辦法替代它的功能，大不了不飛。怕的是設備能運行起來，可輸出的指令是錯的。更可怕的是，輸出錯誤的指令之後，機組還不知道，沒法採取相應措施。

舉個更接地氣的例子，紅綠燈壞了

o紅綠燈徹底不亮了，司機慢慢開，小心避讓一下，一般不會導致交通事故。（lossfailure）

o十字路口的紅綠燈亂變燈，縱向橫向同時都是綠燈，這時候在如果路口站個交警指揮下，告知前面紅綠燈壞了，這也不會有大問題。（detectederroneous=loss）

o路口紅綠燈亂跳，縱向橫向道路都是綠燈，又有個司機沒發現這個問題，用平時一樣的車速過十字路口。（undetectederroneous）

上面3鍾情況，想必第三種情況最危險，在設計中，一定要將這種未告知的錯誤降低到規定的失效率之下。

如何在設計中避免這種未告知的錯誤？

o降額設計—提高可用性

o冗餘設計—提高可用性

o投票校驗—提高完整性

oLoopback test –提高完整性

oBuilt in test—提高完整性

現在高可用性高完整性的設計流行2X2冗餘，再加強大的builtin test自檢功能。2X2設計是指由4個獨立的單元組成一個系統功能。兩兩熱備份，輸出的數據再進行對比。如有A，B，C，D，4台設備。A和B，C和D完全備份，輸出的數據在用戶設備端先到先有效。假設A和C的輸出有效，在用戶設備端接收後，在進行對比校驗。A和C提供的數據一致，用戶設備端才使用。這就是2X2的設計邏輯，這樣系統的可用性=λA× λ B完整性=λA× λ C。都提高了一倍。

獨立性和非相似性

如果上面例子中，ABCD4個單元設計完全相同，那4個設備可能會出現錯的一樣的概率，如果A和C的設計不同，就可以避免「錯的一樣」的問題，即使用非相似性設計避免了這類共因失效。

以顯示系統為例，駕駛艙里都裝備數塊儀錶顯示器，每一塊都可以獨立顯示所有的關鍵信息，有任何一塊失效，相應的信息可以轉移到其他顯示器上去。顯示的源數據也都是經過對比校驗甚至投票得出的。即使主顯示系統全部故障，紅框內的備用顯示器依然可以顯示最關鍵的飛行參數，飛行員只藉助這一塊小屏幕上的信息依然可以駕駛飛機安全降落。備用顯示器中的所有信號輸入都是和主顯示器獨立設計的，如空速，氣壓，姿態等等，都是和主顯示器各自獨立的系統。這就同樣體現了獨立性和非相似性設計。

對於A+級別的設備，獨立性和非相似性變得至關重要

·波音777採用AMD Z9050 INTEL80486處理器每個支路的處理器不同處理器的硬體介面，如下圖所示，主飛控計算機內部結構，主飛控計算機關鍵輸出指令的生成，及其外圍電路設計都不同，這就克服了使用相同廠家生產的硬體設備而帶來的共模故障，非相似性設計最大程度地解決了共模故障（commonmode）。

·使用各自獨立的處理系統，加上獨立的供電和區域隔離，數據傳輸與獨立的網路通道上等等，都是為了每台設備可以獨立運行，不受到其他設備失效的影響（independent）。

·安裝位置同樣需要分散並且隔離，避免某一側的發動機爆炸而導致某一區域的損壞導致某種設備全部受損。（ZoneSafety）

總結

到這裡，基本就已經籠統的講述了一下ARP4761所涵蓋的安全性設計的要求。

1.從客戶，行業規範中捕獲系統級的頂層需求。

2.通過FHA將頂層需求分解到子系統、模塊、模塊內具體的故障條件（failurecondition）。

3.通過FMEA,FHA, mokov等定性的方法確定設計是否滿足分解下來的失效率需求。

4.通過共模分析（commonmode），區域風險分析（ZoneSafety），特定危害分析（ParticularRisks Analysis）來解決共因風險（commoncause）。

最後，可靠性的作用在哪裡？

在航空的世界裡，可靠性總是安全性背後的那個人。可靠性工程師通過可靠性預計，FMEA分析，給安全性工程師提供了最底層的失效率數據，支持完成失效樹，馬克夫分析。我們的工作還是至關重要的！Ohyeah

如果覺得有趣或有用，請長按以下「二維碼」關注我們哦！

每天增長新知識，關注轉發共分享

微信號：ReliaEngineer

SRE-美國可靠性工程師協會

The Society of Reliability Engineers (SRE) is a non-profit, equal opportunity organization whose major objectives are to develop, communicate, and advance the state-of the art of Reliability techniques and to achieve greater effectiveness in the application of Reliability principles.

美國可靠性工程師協會上海分會

SRE上海分會成立於2014年，是美國可靠性工程師協會授權認可的中國分支組織。上海分會立足於上海，服務於全國，旨在通過開展各項可靠性活動來分享和推廣可靠性技術在中國的發展與應用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！