作者 |蔡喁上?？匕部尚跑浖?chuàng)新研究院副院長

版塊 |鑒源論壇 · 觀擎

01

民用飛機有多安全

眾所周知，民航飛機是一種安全便捷的出行方式。然而，對民航飛機的安全關(guān)注卻從未停息。特別是民航飛機一旦發(fā)生災(zāi)難性事故，將會造成大量人員生命安全威脅與財產(chǎn)損失，往往會引起公眾的廣泛關(guān)注。當(dāng)今全世界范圍內(nèi)，民用飛機的事故率保持在百萬分之一（每飛行小時）的預(yù)期之下。根據(jù)可比數(shù)據(jù)統(tǒng)計，人一生中遇到空難事故造成死亡的概率遠(yuǎn)遠(yuǎn)低于汽車交通事故，甚至低于遭遇雷擊致死的概率。

圖1各種原因致死概率比較

02

保證安全的方法

取得如此之高的安全水平，與民航飛機研制、生產(chǎn)、使用環(huán)節(jié)的一系列措施是分不開的。相比于其他關(guān)注安全的應(yīng)用領(lǐng)域，民航飛機的安全通過以下四種關(guān)鍵措施得以保證：一）嚴(yán)密的功能定義；二）精確的架構(gòu)設(shè)計；三）嚴(yán)格的過程控制；四）嚴(yán)苛的驗證。

2.1 嚴(yán)密的功能定義

民航領(lǐng)域?qū)︼w機及其系統(tǒng)的功能均進行嚴(yán)密的定義，這種功能定義包括了對功能的范圍和限定條件的精確分析。在飛機功能定義之初，設(shè)計人員就已經(jīng)對飛機飛行的速度、高度、轉(zhuǎn)彎的最大角度、加速減速的最大速率等都進行了范圍規(guī)定。所有定義的功能與其可能的操作場景之間建立嚴(yán)格的對應(yīng)關(guān)系，并對功能的效果進行精確的分析。這一系列行為確保了飛機功能定義中不會出現(xiàn)模糊空間，飛機所有對外部條件以及操作的響應(yīng)均在預(yù)先設(shè)定好的范圍內(nèi)。

得益于嚴(yán)格的飛行人員選拔和培養(yǎng)程序，飛行人員對飛機的操作也可以進行精確的衡量。在選拔過程中，不但對飛行人員的體型（涉及到駕駛艙操作器件的布局）以及反應(yīng)速度等進行考核以及大量的訓(xùn)練，確保在出現(xiàn)不同場景條件下，飛行人員對飛機的操作處于預(yù)期的范圍內(nèi)。飛行員的選拔和訓(xùn)練以及其長期的能力保持活動，最終確保其與飛機自身及其系統(tǒng)功能設(shè)計一同形成了相對嚴(yán)密的功能操作閉環(huán)，降低了飛機功能定義的不確定性。此外，飛機的運行程序、管制規(guī)范、航路設(shè)計以及維修程序等，無不是沿用上述思路確保飛機及其系統(tǒng)功能的定義更加精確，對各種外部條件和輸入的變化條件的響應(yīng)更加可預(yù)期。筆者認(rèn)為，民航飛機能夠取得相比其他領(lǐng)域更高的安全水平，長期以來民航領(lǐng)域一系列航空運行的規(guī)范起到了非常重要的作用。下表列舉了民航運行規(guī)章中針對潛在的對危險場景進行的使用限制措施。

表1 危險場景使用限制措施

通常，飛機在其研制過程中需要經(jīng)歷飛機級功能定義、飛機級功能危害評估、系統(tǒng)級功能定義及其危害評估等反復(fù)迭代的過程，最終確保飛機上每一項功能、失效條件以及其影響均被精確地定義。

例如，提供推力是飛機的一項基本功能。在功能定義過程中會對提供推力的階段、程度以及推力控制規(guī)則進行逐一定義。喪失一側(cè)推力（以雙發(fā)飛機為例）是該功能一項典型的失效條件。在功能分析過程中，需要根據(jù)不同飛行階段（滑行、起飛、爬升、平飛、下降、進近和著陸）以及潛在的影響場景（如測風(fēng)、濕滑跑道）等對喪失一側(cè)推力將產(chǎn)生的后果以及飛行人員將采取的動作（應(yīng)急飛行程序）進行設(shè)計，在確認(rèn)功能設(shè)計正確以后并以此作為整個飛機設(shè)計的基礎(chǔ)。

功能危害分析將對飛機中所有的功能可能的失效條件進行窮舉，并結(jié)合飛行階段和場景，具體分析功能失效產(chǎn)生的后果。在長期的民航飛機設(shè)計過程中，適航規(guī)章及其相關(guān)標(biāo)準(zhǔn)，對飛機中的功能危害進行了分級管理。這使得我們在后續(xù)設(shè)計過程中能夠更加有針對性地聚焦?jié)撛谝饑?yán)重后果的功能及其失效場景。

表2 民用飛機功能危害影響等級劃分

2.2 精確的架構(gòu)設(shè)計

民航飛機的研制遵循典型的結(jié)構(gòu)化設(shè)計方法，在預(yù)先設(shè)定好的抽象層次上自頂向下逐步細(xì)化。通常來說，在確定了飛機的功能和架構(gòu)后，進一步需要對系統(tǒng)、設(shè)備乃至零組件的功能逐級細(xì)化。

在功能和架構(gòu)細(xì)化過程中，民用飛機遵循嚴(yán)格的追溯關(guān)系管理。也就是下一個層級的功能和設(shè)計必須與上一個層級的功能設(shè)計相匹配。在這一過程中，任何超出或者不符合上級需求的設(shè)計都將被識別并且分析。于此同時，功能的失效條件也會與下一級的失效場景關(guān)聯(lián)起來。根據(jù)上下級追溯關(guān)系，定位可能引起推力喪失的系統(tǒng)、設(shè)備以及零組件及其具體的失效場景，最終形成完整的失效鏈路。這種分析往往可以定位到潛在產(chǎn)生失效的具體器件上，并結(jié)合功能危害分析確定當(dāng)前架構(gòu)和設(shè)計的可行性和準(zhǔn)確性。

在這一過程中，有多種安全性分析方法被使用，包括故障樹分析（FTA）、失效模式及影響分析（FMEA）、共模影響分析（CMA）、區(qū)域安全分析（ZSA）、特殊風(fēng)險評估（PRA）等。其中很多方法在航空以外的其他領(lǐng)域也被廣泛使用。然而，得益于民用航空器設(shè)計過程中嚴(yán)格的功能及其邊界定義，上述分析相較其他領(lǐng)域精確度往往更高。最重要的是，上述基于架構(gòu)和設(shè)計的安全性分析依據(jù)結(jié)構(gòu)化設(shè)計過程中的層次劃分進行，與相應(yīng)的設(shè)計過程保持高度同步。每一層功能和架構(gòu)設(shè)計均對應(yīng)相應(yīng)的安全性分析，從而確保安全性分析也呈現(xiàn)出明顯的層次結(jié)構(gòu)。

圖2民用飛機結(jié)構(gòu)化設(shè)計及其安全分析

2.3 嚴(yán)格的過程控制

民用航空領(lǐng)域很早就意識到設(shè)計過程中人為引入的錯誤是引起安全問題的重要源頭。為此，民航飛機安全性的另一個關(guān)鍵的保證手段，是在其研制過程中進行嚴(yán)格的過程管控。這種管控依靠航空行業(yè)內(nèi)長期形成的研制流程體系、工作紀(jì)律以及政府主導(dǎo)的第三方審核等手段得以保證。通過這種管控，在結(jié)構(gòu)化設(shè)計的多個層次上實現(xiàn)對設(shè)計結(jié)果的反復(fù)確認(rèn)和驗證。對本層次以及上一層次設(shè)計過程中潛在的設(shè)計缺陷、追溯關(guān)系進行逐層分析，最終確保每個設(shè)計層次均在上級限定的功能和性能范圍內(nèi)正確的實現(xiàn)了預(yù)期的功能。

圖3SAE ARP-4754A中描述的

飛機及其系統(tǒng)研制過程

2.4 嚴(yán)苛的驗證

在結(jié)構(gòu)化設(shè)計框架下，得益于嚴(yán)密的功能和架構(gòu)定義，民航飛機研制過程中的驗證活動均基于對應(yīng)層次的需求開展。驗證活動在不同設(shè)計層次上反復(fù)開展，從而實現(xiàn)了對任何一個功能不同顆粒度上的驗證測試。這種與設(shè)計層次一一對應(yīng)的驗證測試，使得整個飛機及其系統(tǒng)的研制呈現(xiàn)出“V”型結(jié)構(gòu)，也往往被稱為V模型。與其他領(lǐng)域不同的是，民機研制過程中的驗證活動對“依據(jù)需求開展驗證”提出了非常明確的要求。驗證的目的被確定為：“設(shè)計正確實現(xiàn)了需求”以及“設(shè)計結(jié)果中不存在非預(yù)期功能”這兩個關(guān)鍵目標(biāo)上。典型的，經(jīng)過飛機級、系統(tǒng)級、設(shè)備級和軟硬件多個層次的反復(fù)驗證，確保在最終交付產(chǎn)品中殘留的設(shè)計缺陷保持在非常低的水平上。加上飛機設(shè)計過程中的安全原則（如任何單點失效不能引起災(zāi)難級失效影響），使得民用飛機及其航空產(chǎn)品達(dá)到可接受的安全水平。

圖4SAE ARP4754A中的V模型

03

安全相關(guān)的挑戰(zhàn)

3.1 未知風(fēng)險

可以看出，民用飛機的安全性高度依賴對運行環(huán)境、場景、功能的精確定義。這一定義實際上對經(jīng)驗積累要求極高。然而，隨著系統(tǒng)復(fù)雜度的提高，人們對環(huán)境、場景、功能的分析容易存在盲區(qū)。任何一種新的設(shè)計和架構(gòu)的使用，都可能使得以往積累的相關(guān)經(jīng)驗變得不再正確。如，2010年冰島火山爆發(fā)造成的高空火山灰使得發(fā)動機運行在以往并沒有充分分析和論證的環(huán)境中，偏離了設(shè)計預(yù)期，對飛機帶來了實際的安全風(fēng)險，從而使得當(dāng)年上百架飛機被迫停飛。除了功能場景，設(shè)計過程中也依賴很多經(jīng)驗條件。發(fā)生在2018年和2019年的波音737MAX飛機災(zāi)難事故的根源既有相關(guān)系統(tǒng)設(shè)計中場景分析不足的原因，也包含在分析過程中根據(jù)經(jīng)驗對飛行員在遇到危機時的響應(yīng)過于樂觀的因素。

可見，當(dāng)飛機的使用和設(shè)計進入新的領(lǐng)域，民用飛機的安全性都會遇到新的挑戰(zhàn)。當(dāng)今隨著一系列新的架構(gòu)技術(shù)、電子技術(shù)等的使用，特別是人工智能方法在民航中使用的呼聲漸高，民航飛機在今后發(fā)展過程中會持續(xù)面臨未知風(fēng)險的挑戰(zhàn)。

3.2 架構(gòu)設(shè)計的兩面性

在民用飛機設(shè)計中，通常會采用一系列架構(gòu)措施降低某一設(shè)備或者器件失效帶來的影響。這些方法包括功能的冗余配置、功能間的相互監(jiān)控、非相似架構(gòu)等。然而，計算機系統(tǒng)以及復(fù)雜系統(tǒng)的設(shè)計實踐不斷證明，架構(gòu)措施始終是帶有兩面性的。增加的冗余、監(jiān)控以及非相似架構(gòu)在分散了安全風(fēng)險的同時，也必然會增加系統(tǒng)的復(fù)雜性。復(fù)雜性的提高往往會使得更多的設(shè)計缺陷殘留，造成更難徹底分析的場景空間等一系列后果。這也使得當(dāng)今的民用飛機特別是其中的高安全性、高實時性功能往往采用較為簡單直接的架構(gòu)，盡量少包含非必須的功能。這就使得飛機作為一種產(chǎn)品其現(xiàn)代化程度往往落后于其他工業(yè)產(chǎn)品。當(dāng)今汽車中包含的代碼量往往要高出最新型號的民用飛機一個數(shù)量級以上就是一個例證。如何能夠更好的協(xié)調(diào)功能、架構(gòu)、安全性之間的關(guān)系，是擺在民用飛機設(shè)計師們面前的長期話題。

3.3 安全和安保

前文中已經(jīng)反復(fù)討論，當(dāng)前民用飛機的安全是在嚴(yán)格限制的功能空間內(nèi)可分析可預(yù)期的安全。當(dāng)前民用飛機考慮的外部風(fēng)險和威脅主要源自于飛機運行方式及其運行的自然環(huán)境本身。并沒有能夠考慮在人為故意破壞情況下保證飛機的安全。實際上，徹底杜絕人為惡意行為的風(fēng)險是不可能的。我們不難想見，盡管操作環(huán)節(jié)中施加了很多的保護措施，然而任何一個交通工具的駕駛員如果有意造成事故都是輕而易舉的，對這種危險行為施加更多保護卻又可能干擾正常的運行。

隨著對機載計算機系統(tǒng)、空地數(shù)據(jù)鏈等技術(shù)依賴程度越來越高，也伴隨著民用航空飛機和系統(tǒng)研制單位越來越多地通過貨架產(chǎn)品降低成本，大量的地面民用技術(shù)被運用于民用飛機，新的安保風(fēng)險、網(wǎng)絡(luò)安保風(fēng)險在民用飛機領(lǐng)域日益凸顯，這也必將給今后民用飛機的設(shè)計和安全運行帶來更多的挑戰(zhàn)。

參考資料：

[1] SAE ARP-4754A Guidelines for Development of Civil Aircraft and Systems，2010.

[2] Statistical Summary of Commercial Jet Airplane Accidents Worldwide Operations | 1959 – 2017，Boeing.

[3] Commercial Aviation Accidents 1958-2018，Airbus.

[4] Safety Report 2019 Edition，ICAO.

審核編輯 黃昊宇