作者 |蔡喁上海控安可信軟件創新研究院副院長

版塊 |鑒源論壇 · 觀擎

01

民用飛機有多安全

眾所周知，民航飛機是一種安全便捷的出行方式。然而，對民航飛機的安全關注卻從未停息。特別是民航飛機一旦發生災難性事故，將會造成大量人員生命安全威脅與財產損失，往往會引起公眾的廣泛關注。當今全世界范圍內，民用飛機的事故率保持在百萬分之一（每飛行小時）的預期之下。根據可比數據統計，人一生中遇到空難事故造成死亡的概率遠遠低于汽車交通事故，甚至低于遭遇雷擊致死的概率。

圖1各種原因致死概率比較

02

保證安全的方法

取得如此之高的安全水平，與民航飛機研制、生產、使用環節的一系列措施是分不開的。相比于其他關注安全的應用領域，民航飛機的安全通過以下四種關鍵措施得以保證：一）嚴密的功能定義；二）精確的架構設計；三）嚴格的過程控制；四）嚴苛的驗證。

2.1 嚴密的功能定義

民航領域對飛機及其系統的功能均進行嚴密的定義，這種功能定義包括了對功能的范圍和限定條件的精確分析。在飛機功能定義之初，設計人員就已經對飛機飛行的速度、高度、轉彎的最大角度、加速減速的最大速率等都進行了范圍規定。所有定義的功能與其可能的操作場景之間建立嚴格的對應關系，并對功能的效果進行精確的分析。這一系列行為確保了飛機功能定義中不會出現模糊空間，飛機所有對外部條件以及操作的響應均在預先設定好的范圍內。

得益于嚴格的飛行人員選拔和培養程序，飛行人員對飛機的操作也可以進行精確的衡量。在選拔過程中，不但對飛行人員的體型（涉及到駕駛艙操作器件的布局）以及反應速度等進行考核以及大量的訓練，確保在出現不同場景條件下，飛行人員對飛機的操作處于預期的范圍內。飛行員的選拔和訓練以及其長期的能力保持活動，最終確保其與飛機自身及其系統功能設計一同形成了相對嚴密的功能操作閉環，降低了飛機功能定義的不確定性。此外，飛機的運行程序、管制規范、航路設計以及維修程序等，無不是沿用上述思路確保飛機及其系統功能的定義更加精確，對各種外部條件和輸入的變化條件的響應更加可預期。筆者認為，民航飛機能夠取得相比其他領域更高的安全水平，長期以來民航領域一系列航空運行的規范起到了非常重要的作用。下表列舉了民航運行規章中針對潛在的對危險場景進行的使用限制措施。

表1 危險場景使用限制措施

通常，飛機在其研制過程中需要經歷飛機級功能定義、飛機級功能危害評估、系統級功能定義及其危害評估等反復迭代的過程，最終確保飛機上每一項功能、失效條件以及其影響均被精確地定義。

例如，提供推力是飛機的一項基本功能。在功能定義過程中會對提供推力的階段、程度以及推力控制規則進行逐一定義。喪失一側推力（以雙發飛機為例）是該功能一項典型的失效條件。在功能分析過程中，需要根據不同飛行階段（滑行、起飛、爬升、平飛、下降、進近和著陸）以及潛在的影響場景（如測風、濕滑跑道）等對喪失一側推力將產生的后果以及飛行人員將采取的動作（應急飛行程序）進行設計，在確認功能設計正確以后并以此作為整個飛機設計的基礎。

功能危害分析將對飛機中所有的功能可能的失效條件進行窮舉，并結合飛行階段和場景，具體分析功能失效產生的后果。在長期的民航飛機設計過程中，適航規章及其相關標準，對飛機中的功能危害進行了分級管理。這使得我們在后續設計過程中能夠更加有針對性地聚焦潛在引起嚴重后果的功能及其失效場景。

表2 民用飛機功能危害影響等級劃分

2.2 精確的架構設計

民航飛機的研制遵循典型的結構化設計方法，在預先設定好的抽象層次上自頂向下逐步細化。通常來說，在確定了飛機的功能和架構后，進一步需要對系統、設備乃至零組件的功能逐級細化。

在功能和架構細化過程中，民用飛機遵循嚴格的追溯關系管理。也就是下一個層級的功能和設計必須與上一個層級的功能設計相匹配。在這一過程中，任何超出或者不符合上級需求的設計都將被識別并且分析。于此同時，功能的失效條件也會與下一級的失效場景關聯起來。根據上下級追溯關系，定位可能引起推力喪失的系統、設備以及零組件及其具體的失效場景，最終形成完整的失效鏈路。這種分析往往可以定位到潛在產生失效的具體器件上，并結合功能危害分析確定當前架構和設計的可行性和準確性。

在這一過程中，有多種安全性分析方法被使用，包括故障樹分析（FTA）、失效模式及影響分析（FMEA）、共模影響分析（CMA）、區域安全分析（ZSA）、特殊風險評估（PRA）等。其中很多方法在航空以外的其他領域也被廣泛使用。然而，得益于民用航空器設計過程中嚴格的功能及其邊界定義，上述分析相較其他領域精確度往往更高。最重要的是，上述基于架構和設計的安全性分析依據結構化設計過程中的層次劃分進行，與相應的設計過程保持高度同步。每一層功能和架構設計均對應相應的安全性分析，從而確保安全性分析也呈現出明顯的層次結構。

圖2民用飛機結構化設計及其安全分析

2.3 嚴格的過程控制

民用航空領域很早就意識到設計過程中人為引入的錯誤是引起安全問題的重要源頭。為此，民航飛機安全性的另一個關鍵的保證手段，是在其研制過程中進行嚴格的過程管控。這種管控依靠航空行業內長期形成的研制流程體系、工作紀律以及政府主導的第三方審核等手段得以保證。通過這種管控，在結構化設計的多個層次上實現對設計結果的反復確認和驗證。對本層次以及上一層次設計過程中潛在的設計缺陷、追溯關系進行逐層分析，最終確保每個設計層次均在上級限定的功能和性能范圍內正確的實現了預期的功能。

圖3SAE ARP-4754A中描述的

飛機及其系統研制過程

2.4 嚴苛的驗證

在結構化設計框架下，得益于嚴密的功能和架構定義，民航飛機研制過程中的驗證活動均基于對應層次的需求開展。驗證活動在不同設計層次上反復開展，從而實現了對任何一個功能不同顆粒度上的驗證測試。這種與設計層次一一對應的驗證測試，使得整個飛機及其系統的研制呈現出“V”型結構，也往往被稱為V模型。與其他領域不同的是，民機研制過程中的驗證活動對“依據需求開展驗證”提出了非常明確的要求。驗證的目的被確定為：“設計正確實現了需求”以及“設計結果中不存在非預期功能”這兩個關鍵目標上。典型的，經過飛機級、系統級、設備級和軟硬件多個層次的反復驗證，確保在最終交付產品中殘留的設計缺陷保持在非常低的水平上。加上飛機設計過程中的安全原則（如任何單點失效不能引起災難級失效影響），使得民用飛機及其航空產品達到可接受的安全水平。

圖4SAE ARP4754A中的V模型

03

安全相關的挑戰

3.1 未知風險

可以看出，民用飛機的安全性高度依賴對運行環境、場景、功能的精確定義。這一定義實際上對經驗積累要求極高。然而，隨著系統復雜度的提高，人們對環境、場景、功能的分析容易存在盲區。任何一種新的設計和架構的使用，都可能使得以往積累的相關經驗變得不再正確。如，2010年冰島火山爆發造成的高空火山灰使得發動機運行在以往并沒有充分分析和論證的環境中，偏離了設計預期，對飛機帶來了實際的安全風險，從而使得當年上百架飛機被迫停飛。除了功能場景，設計過程中也依賴很多經驗條件。發生在2018年和2019年的波音737MAX飛機災難事故的根源既有相關系統設計中場景分析不足的原因，也包含在分析過程中根據經驗對飛行員在遇到危機時的響應過于樂觀的因素。

可見，當飛機的使用和設計進入新的領域，民用飛機的安全性都會遇到新的挑戰。當今隨著一系列新的架構技術、電子技術等的使用，特別是人工智能方法在民航中使用的呼聲漸高，民航飛機在今后發展過程中會持續面臨未知風險的挑戰。

3.2 架構設計的兩面性

在民用飛機設計中，通常會采用一系列架構措施降低某一設備或者器件失效帶來的影響。這些方法包括功能的冗余配置、功能間的相互監控、非相似架構等。然而，計算機系統以及復雜系統的設計實踐不斷證明，架構措施始終是帶有兩面性的。增加的冗余、監控以及非相似架構在分散了安全風險的同時，也必然會增加系統的復雜性。復雜性的提高往往會使得更多的設計缺陷殘留，造成更難徹底分析的場景空間等一系列后果。這也使得當今的民用飛機特別是其中的高安全性、高實時性功能往往采用較為簡單直接的架構，盡量少包含非必須的功能。這就使得飛機作為一種產品其現代化程度往往落后于其他工業產品。當今汽車中包含的代碼量往往要高出最新型號的民用飛機一個數量級以上就是一個例證。如何能夠更好的協調功能、架構、安全性之間的關系，是擺在民用飛機設計師們面前的長期話題。

3.3 安全和安保

前文中已經反復討論，當前民用飛機的安全是在嚴格限制的功能空間內可分析可預期的安全。當前民用飛機考慮的外部風險和威脅主要源自于飛機運行方式及其運行的自然環境本身。并沒有能夠考慮在人為故意破壞情況下保證飛機的安全。實際上，徹底杜絕人為惡意行為的風險是不可能的。我們不難想見，盡管操作環節中施加了很多的保護措施，然而任何一個交通工具的駕駛員如果有意造成事故都是輕而易舉的，對這種危險行為施加更多保護卻又可能干擾正常的運行。

隨著對機載計算機系統、空地數據鏈等技術依賴程度越來越高，也伴隨著民用航空飛機和系統研制單位越來越多地通過貨架產品降低成本，大量的地面民用技術被運用于民用飛機，新的安保風險、網絡安保風險在民用飛機領域日益凸顯，這也必將給今后民用飛機的設計和安全運行帶來更多的挑戰。

參考資料：

[1] SAE ARP-4754A Guidelines for Development of Civil Aircraft and Systems，2010.

[2] Statistical Summary of Commercial Jet Airplane Accidents Worldwide Operations | 1959 – 2017，Boeing.

[3] Commercial Aviation Accidents 1958-2018，Airbus.

[4] Safety Report 2019 Edition，ICAO.

審核編輯 黃昊宇