2.1-安全性設(shè)計的誤區(qū) ppt課件

1、目目 錄錄（一飛機安全性歷史和相關(guān)標準的背景（一飛機安全性歷史和相關(guān)標準的背景（二適航審查工程師在（二適航審查工程師在SSASSA中的角色中的角色（三安全性設(shè)計：一個綜合性的處理方法（三安全性設(shè)計：一個綜合性的處理方法（四安全性設(shè)計的工具（四安全性設(shè)計的工具（五確認需求和假設(shè)（五確認需求和假設(shè)（六多少安全性足夠（六多少安全性足夠（七關(guān)于（七關(guān)于25.130925.1309合格審定計劃的考慮合格審定計劃的考慮（八安全性設(shè)計的誤區(qū)（八安全性設(shè)計的誤區(qū)（九總結(jié)（九總結(jié) 1 1、管理的誤區(qū)、管理的誤區(qū) 沒有向設(shè)計者和供應商公布設(shè)計標準。沒有向設(shè)計者和供應商公布設(shè)計標準。 視野狹窄：不使用系統(tǒng)工程方法。

2、視野狹窄：不使用系統(tǒng)工程方法。 在不斷改進的進程中，忽視當前真實成本的事實，并忽視在不斷改進的進程中，忽視當前真實成本的事實，并忽視 為今天的工作而應采取什么樣的計劃；系統(tǒng)設(shè)計和研發(fā)的為今天的工作而應采取什么樣的計劃；系統(tǒng)設(shè)計和研發(fā)的 計劃或預算不切實際。計劃或預算不切實際。 實施并鼓勵道德上的決策。實施并鼓勵道德上的決策。 較差的構(gòu)架管理過程中的任一位置）。較差的構(gòu)架管理過程中的任一位置）。 沒有為制造、維護、修繕、運行和沒有為制造、維護、修繕、運行和/ /或訓練制定最低標準?；蛴柧氈贫ㄗ畹蜆藴省?沒有搜集和利用用戶的使用數(shù)據(jù)和經(jīng)驗數(shù)據(jù)。沒有搜集和利用用戶的使用數(shù)據(jù)和經(jīng)驗數(shù)據(jù)。 缺乏尋找故障

3、根源的責任感和缺乏尋找故障根源的責任感和/ /或缺乏對糾正措施有效性或缺乏對糾正措施有效性 的驗證。的驗證。 缺乏不斷改善質(zhì)量的責任。缺乏不斷改善質(zhì)量的責任。 2 2、具體設(shè)計的誤區(qū)、具體設(shè)計的誤區(qū) 沒有適當?shù)仡A計使用過程和使用環(huán)境。沒有適當?shù)仡A計使用過程和使用環(huán)境。 沒有考慮人的因素；設(shè)計沒給操作者的錯誤留有容差；沒有考慮人的因素；設(shè)計沒給操作者的錯誤留有容差；設(shè)設(shè) 計沒有為減少錯誤對安全性影響進行最優(yōu)化處理。計沒有為減少錯誤對安全性影響進行最優(yōu)化處理。 沒有消除或改進保留的設(shè)計缺陷。沒有消除或改進保留的設(shè)計缺陷。 對于產(chǎn)品新的或擴展的應用或替代功能，違反或忽視了對于產(chǎn)品新的或擴展的應用或替

4、代功能，違反或忽視了原原 始設(shè)計假設(shè)。始設(shè)計假設(shè)。 忽視了物理上和功能上的系統(tǒng)接口。忽視了物理上和功能上的系統(tǒng)接口。 在設(shè)計過程大項目初期沒有驗證系統(tǒng)構(gòu)架。在設(shè)計過程大項目初期沒有驗證系統(tǒng)構(gòu)架。 軟件開發(fā)大綱沒有要求的嚴重性類別。軟件開發(fā)大綱沒有要求的嚴重性類別。 沒有強調(diào)沒有強調(diào)“故障被動功能故障后不再具有功能）故障被動功能故障后不再具有功能）”或或 “故障運行要求。故障運行要求。 監(jiān)測項目如警告系統(tǒng)中指定性能的可靠性低于被監(jiān)測監(jiān)測項目如警告系統(tǒng)中指定性能的可靠性低于被監(jiān)測 項目的可靠性。項目的可靠性。 在試圖使系統(tǒng)性能達到預期功能的最佳化過程中，忽視了在試圖使系統(tǒng)性能達到預期功能的最佳化過

5、程中，忽視了 無意的或不想要的激發(fā)結(jié)果。無意的或不想要的激發(fā)結(jié)果。 監(jiān)測系統(tǒng)不適當，或設(shè)計的監(jiān)測器沒有監(jiān)測器故障指示。監(jiān)測系統(tǒng)不適當，或設(shè)計的監(jiān)測器沒有監(jiān)測器故障指示。 3、一般的誤解、一般的誤解 一個最普通的無知聲明是：一個最普通的無知聲明是：“我知道如果這個故障發(fā)生，我知道如果這個故障發(fā)生， 它可能是災難性的；但是，我不記得該故障在整個系統(tǒng)的它可能是災難性的；但是，我不記得該故障在整個系統(tǒng)的 使用歷史中曾經(jīng)出現(xiàn)過，所以它是極不可能的。使用歷史中曾經(jīng)出現(xiàn)過，所以它是極不可能的?！?回憶一下極不可能的定義，它是一個小于或等于回憶一下極不可能的定義，它是一個小于或等于110-9 的概率，并且發(fā)生

6、的概率的概率，并且發(fā)生的概率P=故障的數(shù)量故障的數(shù)量/總的小時數(shù)；截止總的小時數(shù)；截止 20世紀世紀90年代初，雙發(fā)噴氣式飛機總小時數(shù)機隊范圍）年代初，雙發(fā)噴氣式飛機總小時數(shù)機隊范圍） = 5千萬；三發(fā)噴氣式飛機總小時數(shù)機隊范圍）千萬；三發(fā)噴氣式飛機總小時數(shù)機隊范圍）= 1千千8 百萬；世界范圍商用運輸類噴氣機的總小時百萬；世界范圍商用運輸類噴氣機的總小時90年代初數(shù)累年代初數(shù)累 計為計為3億億3千萬；由此可見，客觀環(huán)境還不能使你能夠可信千萬；由此可見，客觀環(huán)境還不能使你能夠可信 地證明故障概率小于地證明故障概率小于110-9。現(xiàn)在將這個問題與已經(jīng)建立?，F(xiàn)在將這個問題與已經(jīng)建立 的數(shù)學關(guān)系進行

7、一下對比：沒有故障的置信度幾乎是的數(shù)學關(guān)系進行一下對比：沒有故障的置信度幾乎是0 0， 既然沒有故障，所以你以前聲明的統(tǒng)計置信度也就為既然沒有故障，所以你以前聲明的統(tǒng)計置信度也就為0 0。 另一個最普通的無知聲明是：另一個最普通的無知聲明是：“對于災難性事件的發(fā)對于災難性事件的發(fā) 生，它需要在相同飛行過程中兩個不相關(guān)的事件都發(fā)生，它需要在相同飛行過程中兩個不相關(guān)的事件都發(fā) 生，并且我知道它一定小于或等于生，并且我知道它一定小于或等于1 110-9”10-9”。回憶一?；貞浺?下飛機上使用的大部分設(shè)備，我們可以假設(shè)故障符合下飛機上使用的大部分設(shè)備，我們可以假設(shè)故障符合 指數(shù)分布，所以我們可以使用

8、簡單的公式：指數(shù)分布，所以我們可以使用簡單的公式：P P缺點）缺點）=t =t 并且：并且： 為了兩個獨立故障的發(fā)生，我們使用乘法規(guī)則得為了兩個獨立故障的發(fā)生，我們使用乘法規(guī)則得 到兩件事情一起發(fā)生的非常小的概率：到兩件事情一起發(fā)生的非常小的概率：P P總）總）=1t12t2 =1t12t2 直到較早的直到較早的19701970年，涉及安全性要求的年，涉及安全性要求的FAR25.1309FAR25.1309中要中要 求：求：“單點故障不應引發(fā)災難性事件單點故障不應引發(fā)災難性事件.”.”。這經(jīng)常被。這經(jīng)常被 解釋為：如果設(shè)計有冗余，且在災難發(fā)生前至少發(fā)生第二解釋為：如果設(shè)計有冗余，且在災難發(fā)生前

9、至少發(fā)生第二 個故障，則是好設(shè)計，并且因此個故障，則是好設(shè)計，并且因此FMEAFMEA是唯一的定性證明所是唯一的定性證明所 需的工具。問題是：有關(guān)系統(tǒng)事故繼續(xù)以一個不可接受的需的工具。問題是：有關(guān)系統(tǒng)事故繼續(xù)以一個不可接受的 速率發(fā)生。其中一些是因為單個事件引起一個以上獨立故速率發(fā)生。其中一些是因為單個事件引起一個以上獨立故 障同時發(fā)生而產(chǎn)生的。這意味著：我們認為不可能同時發(fā)障同時發(fā)生而產(chǎn)生的。這意味著：我們認為不可能同時發(fā) 生的多重故障事實上發(fā)生了。這說明設(shè)計標準和符合性驗生的多重故障事實上發(fā)生了。這說明設(shè)計標準和符合性驗 證方法都不適當。證方法都不適當。 與另一故障的組合而引發(fā)事故與另一故

10、障的組合而引發(fā)事故/ /事件的事件的“非受控潛在故非受控潛在故 障的概念促使障的概念促使FAAFAA將條例改為：將條例改為：“導致潛在災難事件的導致潛在災難事件的 故障組合發(fā)生的概率應小于或等于故障組合發(fā)生的概率應小于或等于1 110-9”10-9”。現(xiàn)在僅有?，F(xiàn)在僅有 FMEAFMEA就不夠了，并且定性方法被定量方法就不夠了，并且定性方法被定量方法FTAFTA所取所取 代。潛在事物變成了主要因素，并且對于長時間的潛在故代。潛在事物變成了主要因素，并且對于長時間的潛在故 障和不可靠的設(shè)備，新的設(shè)計標準要求比定性的障和不可靠的設(shè)備，新的設(shè)計標準要求比定性的“兩個獨兩個獨 立項目更多事實上要求三個

11、或更多的項目，以證實立項目更多事實上要求三個或更多的項目，以證實 其安全性；即：其安全性；即： P P缺點）缺點）=1t12t2=1t12t2 = 1000 = 100010-6110-6110-5= 10-8 10-5= 10-8 不是足夠好因為潛在物）；然后用區(qū)域分析和事件回顧不是足夠好因為潛在物）；然后用區(qū)域分析和事件回顧 找出冗余的違反者，該違反者可以將一個乘法符號變成加找出冗余的違反者，該違反者可以將一個乘法符號變成加 法符號。所以，關(guān)于兩個不相關(guān)事件的原來定性聲明就是法符號。所以，關(guān)于兩個不相關(guān)事件的原來定性聲明就是 不適當?shù)姆椒?。不適當?shù)姆椒ā? 4、具體安全性評估、具體安全性評

12、估SSASSA的誤區(qū)的誤區(qū) 沒有設(shè)計標準或設(shè)計標準不合適。沒有設(shè)計標準或設(shè)計標準不合適。 標準不夠嚴格和標準不夠嚴格和/ /或不完整?；虿煌暾?。 沒有對標準進行質(zhì)疑。沒有對標準進行質(zhì)疑。 沒有對設(shè)計進行系統(tǒng)的質(zhì)疑它是怎么不工作的沒有對設(shè)計進行系統(tǒng)的質(zhì)疑它是怎么不工作的? ?）。）。 沒有檢查沒有檢查“不可能判斷的事件。不可能判斷的事件。 “帶故障性能的符合性驗證不合理。帶故障性能的符合性驗證不合理。 沒有尋找冗余的違反者，或者尋找的不夠：沒有尋找冗余的違反者，或者尋找的不夠： 具有嚴重后果的單一故障；具有嚴重后果的單一故障； 潛在故障；潛在故障； 具有高概率的故障組合；具有高概率的故障組合；

13、造成嚴重后果的單個事件；造成嚴重后果的單個事件； 安裝問題，喪失或違反了隔離。安裝問題，喪失或違反了隔離。 對于為安全性而增加的警告系統(tǒng)，忽視了不希望動作或假對于為安全性而增加的警告系統(tǒng)，忽視了不希望動作或假 激發(fā)的概率和嚴重性。激發(fā)的概率和嚴重性。 用用“數(shù)字游戲數(shù)字游戲” ” 替代適當而有效的糾正措施。替代適當而有效的糾正措施。 沒有檢查支持系統(tǒng)故障的全部結(jié)果。沒有檢查支持系統(tǒng)故障的全部結(jié)果。 沒有檢查沒有檢查“溫和的系統(tǒng)故障結(jié)果。溫和的系統(tǒng)故障結(jié)果。 分析方法不系統(tǒng)。分析方法不系統(tǒng)。 分析沒有覆蓋所有系統(tǒng)零部件。分析沒有覆蓋所有系統(tǒng)零部件。 對運行者糾正措施的影響評價過高。對運行者糾正措

14、施的影響評價過高。 沒有有效地對沒有有效地對FTA“FTA“與門提出質(zhì)疑，并且沒有仔細地使與門提出質(zhì)疑，并且沒有仔細地使 用布爾代數(shù)。用布爾代數(shù)。 從未用硬件檢查來證實書面分析的有效性。從未用硬件檢查來證實書面分析的有效性。 5 5、供應商在系統(tǒng)安全評估中的角色、供應商在系統(tǒng)安全評估中的角色 供應商設(shè)計大量系統(tǒng)部件成品。供應商設(shè)計大量系統(tǒng)部件成品。 飛機制造商花大量時間評估飛機的系統(tǒng)安全性，但這同供飛機制造商花大量時間評估飛機的系統(tǒng)安全性，但這同供 應商的努力來比還算小的。應商的努力來比還算小的。 總的來看，來自供應商的安全性分析質(zhì)量往往壞到令人討總的來看，來自供應商的安全性分析質(zhì)量往往壞到令

15、人討 厭的程度，并需花費巨大的錢財。為什么厭的程度，并需花費巨大的錢財。為什么? ? 供應商通常不需精通飛機水平安全分析技術(shù)，和供應商通常不需精通飛機水平安全分析技術(shù)，和/ /或不真或不真 正想去理解它們的對飛機安全性設(shè)計的額外價值。正想去理解它們的對飛機安全性設(shè)計的額外價值。 許多供應商沒有足夠的系統(tǒng)設(shè)計視角來適當?shù)鼗蛘_地許多供應商沒有足夠的系統(tǒng)設(shè)計視角來適當?shù)鼗蛘_地 完成這種分析。完成這種分析。 飛機系統(tǒng)的設(shè)計組和飛機系統(tǒng)的設(shè)計組和“主合同商不能始終向供應商提主合同商不能始終向供應商提 供質(zhì)量指導，這導致較差的質(zhì)量。供質(zhì)量指導，這導致較差的質(zhì)量。相對于四種安全分析方法，供應商通常：相對

16、于四種安全分析方法，供應商通常： 不能作不能作FHAFHA，除非他有懂得和理解功能接口及他們的系，除非他有懂得和理解功能接口及他們的系 統(tǒng)對飛機有何影響。統(tǒng)對飛機有何影響。 僅僅能夠部分地完成僅僅能夠部分地完成FMEAFMEA，因為缺乏對系統(tǒng)接口、駕駛，因為缺乏對系統(tǒng)接口、駕駛 員接口、整個飛機故障影響的理解，還因為他們常常不員接口、整個飛機故障影響的理解，還因為他們常常不 提供整個系統(tǒng)。提供整個系統(tǒng)。 由于與上面相同的理由而不能作由于與上面相同的理由而不能作FTAFTA。 不能作他們部件之外的不能作他們部件之外的CCACCA，因為他們不知道實際的安，因為他們不知道實際的安 裝。裝。 那么對供

17、應商的分析可以給出什么樣的指導那么對供應商的分析可以給出什么樣的指導? ?對于對于FMEAFMEA， 有三個關(guān)于飛機設(shè)計者有三個關(guān)于飛機設(shè)計者SSASSA主管部門的想法：主管部門的想法： 供應商僅僅填寫從飛機設(shè)計者供應商僅僅填寫從飛機設(shè)計者SSASSA主管部門主管部門FMEAFMEA表格中表格中 挑選的欄，然后該主管部門可在接到供應商填好并提交挑選的欄，然后該主管部門可在接到供應商填好并提交 的表格后完成該表格。的表格后完成該表格。 供應商嘗試針對系統(tǒng)中屬于他的那部分完成取自飛機設(shè)供應商嘗試針對系統(tǒng)中屬于他的那部分完成取自飛機設(shè) 計者計者SSASSA主管部門主管部門FMEAFMEA表格。然后該

18、初級部門將供應商表格。然后該初級部門將供應商 的不正確假設(shè)及其對飛機影響的更改意見反饋給供應的不正確假設(shè)及其對飛機影響的更改意見反饋給供應 商。商。 允許供應商完成自己選定的表格，然后初級部門再將相允許供應商完成自己選定的表格，然后初級部門再將相 關(guān)數(shù)據(jù)轉(zhuǎn)到自己分析表格上，并完成該表格。關(guān)數(shù)據(jù)轉(zhuǎn)到自己分析表格上，并完成該表格。 6 6、一些思考、一些思考 將所有情況提供將所有情況提供FHAFHA給供應商，使其共享設(shè)備功能對飛機給供應商，使其共享設(shè)備功能對飛機 的危害。的危害。 我們已經(jīng)看到了前面所述的有關(guān)供應商我們已經(jīng)看到了前面所述的有關(guān)供應商FMEAFMEA的三個處理方的三個處理方 法，并且

19、它們各有長處。建議：法，并且它們各有長處。建議： 供應商針對系統(tǒng)中屬于自己的那部分填寫來自飛機設(shè)計供應商針對系統(tǒng)中屬于自己的那部分填寫來自飛機設(shè)計 者者SSASSA主管部門提供的表格，該初級部門接到供應商提主管部門提供的表格，該初級部門接到供應商提 供的供的FMEAFMEA表格后，審查并最后完成該表格，并將其綜合表格后，審查并最后完成該表格，并將其綜合 到最終到最終FMEAFMEA，并將最終結(jié)果送給供應商。這在研制期間，并將最終結(jié)果送給供應商。這在研制期間 可能需要多次的交接，但從安全性立場考慮，可接到更可能需要多次的交接，但從安全性立場考慮，可接到更 多來自供應商的后續(xù)更改通告。多來自供應商

20、的后續(xù)更改通告。 對于對于FTAFTA和和CCACCA，可以做相同的工作。但需注意：，可以做相同的工作。但需注意：不要將不要將 一個屬供應商專利的資料送給其他的人。一個屬供應商專利的資料送給其他的人。 不允許供應商接管或從事設(shè)計綜合評審工作，綜不允許供應商接管或從事設(shè)計綜合評審工作，綜合是初級合是初級 部門的工作。部門的工作。7 7、人的實施及其安全性、人的實施及其安全性 名義上，在名義上，在80%80%的運輸類飛機事故中，人的錯誤的運輸類飛機事故中，人的錯誤是主要因是主要因 果因素。果因素。 名義上，在名義上，在10%10%的運輸類飛機事故中，系統(tǒng)失效的運輸類飛機事故中，系統(tǒng)失效是主要因是主

21、要因 果因素。果因素。 傳統(tǒng)上，設(shè)計安全性關(guān)注的是系統(tǒng)失效原因，并傳統(tǒng)上，設(shè)計安全性關(guān)注的是系統(tǒng)失效原因，并大大地依大大地依 賴對駕駛員和維護人員的良好培訓及其適當?shù)姆促噷︸{駛員和維護人員的良好培訓及其適當?shù)姆磻?。應?在傳統(tǒng)設(shè)計安全性方面的主要改進也僅僅解決在傳統(tǒng)設(shè)計安全性方面的主要改進也僅僅解決10%10%的問題。的問題。 所以面臨兩難的選擇：所以面臨兩難的選擇： 通過培訓改進人的通過培訓改進人的“系統(tǒng)系統(tǒng)”； 承認人能夠并將會制造錯誤，并因此將系統(tǒng)設(shè)計成容許承認人能夠并將會制造錯誤，并因此將系統(tǒng)設(shè)計成容許 這樣的錯誤。這樣的錯誤。 表面上看，目前的安全性分析考慮了表面上看，目前的安全性分

22、析考慮了“人的錯誤人的錯誤”，但它，但它 既不系統(tǒng)，也不全面。由于，建立于既不系統(tǒng)，也不全面。由于，建立于19701970年的年的1 110-910-9這個這個 標準是基于保持的歷史事故率：標準是基于保持的歷史事故率： 所有原因的事故率為所有原因的事故率為1 110-6/10-6/每小時；每小時； 關(guān)注的僅由系統(tǒng)引起的事故為關(guān)注的僅由系統(tǒng)引起的事故為10%110%110-6 =110-6 =110-710-7； 假設(shè)每架飛機上有假設(shè)每架飛機上有100100個潛在的災難性事件，則每個潛個潛在的災難性事件，則每個潛 在事件必須等于在事件必須等于10-7/10010-7/100或或1 110-910-9。 這聽起來可能合理，但是：這聽起來可能合理，但是： 在在2020到到2121世紀之交，運輸類系統(tǒng)的容量將會增加到兩世紀之交，運輸類系統(tǒng)的容量將會增加到兩 倍。倍。 為了保持每年恒定的事故數(shù)量，我們必須使我們飛機的為了保持每年恒定的