安全性設(shè)計(jì)的誤區(qū)

會(huì)計(jì)學(xué)1安全性設(shè)計(jì)的誤區(qū)1、管理的誤區(qū)●沒有向設(shè)計(jì)者和供應(yīng)商公布設(shè)計(jì)標(biāo)準(zhǔn)?！褚曇蔼M窄：不使用系統(tǒng)工程方法?！裨诓粩喔倪M(jìn)的進(jìn)程中，忽視當(dāng)前真實(shí)成本的事實(shí)，并忽視為今天的工作而應(yīng)采取什么樣的計(jì)劃；系統(tǒng)設(shè)計(jì)和研發(fā)的計(jì)劃或預(yù)算不切實(shí)際?！駥?shí)施并鼓勵(lì)道德上的決策?！褫^差的構(gòu)架管理（過程中的任一位置）?！駴]有為制造、維護(hù)、修理、運(yùn)行和/或訓(xùn)練制定最低標(biāo)準(zhǔn)?！駴]有搜集和利用用戶的使用數(shù)據(jù)和經(jīng)驗(yàn)數(shù)據(jù)。

第1頁/共20頁●缺乏尋找故障根源的責(zé)任感和/或缺乏對(duì)糾正措施有效性的驗(yàn)證?！袢狈Σ粩喔纳瀑|(zhì)量的責(zé)任。2、具體設(shè)計(jì)的誤區(qū)●沒有適當(dāng)?shù)仡A(yù)計(jì)使用過程和使用環(huán)境?！駴]有考慮人的因素；設(shè)計(jì)沒給操作者的錯(cuò)誤留有容差；設(shè)計(jì)沒有為減少錯(cuò)誤對(duì)安全性影響進(jìn)行最優(yōu)化處理?！駴]有消除或改進(jìn)保留的設(shè)計(jì)缺陷?！駥?duì)于產(chǎn)品新的或擴(kuò)展的應(yīng)用或替代功能，違反或忽視了原始設(shè)計(jì)假設(shè)。

第2頁/共20頁●忽視了物理上和功能上的系統(tǒng)接口?！裨谠O(shè)計(jì)過程（大項(xiàng)目）初期沒有驗(yàn)證系統(tǒng)構(gòu)架。●軟件開發(fā)大綱沒有要求的嚴(yán)重性類別?！駴]有強(qiáng)調(diào)“故障被動(dòng)功能（故障后不再具有功能）”或

“故障運(yùn)行”要求?！癖O(jiān)測項(xiàng)目（如警告系統(tǒng)）中指定性能的可靠性低于被監(jiān)測項(xiàng)目的可靠性?！裨谠噲D使系統(tǒng)性能達(dá)到預(yù)期功能的最佳化過程中，忽視了無意的或不想要的激發(fā)結(jié)果?！癖O(jiān)測系統(tǒng)不適當(dāng)，或設(shè)計(jì)的監(jiān)測器沒有監(jiān)測器故障指示。

第3頁/共20頁3、一般的誤解●一個(gè)最普通的無知聲明是：“我知道如果這個(gè)故障發(fā)生，它可能是災(zāi)難性的；但是，我不記得該故障在整個(gè)系統(tǒng)的使用歷史中曾經(jīng)出現(xiàn)過，所以它是極不可能的?！薄窕貞浺幌聵O不可能的定義，它是一個(gè)小于或等于1×10-9

的概率，并且發(fā)生的概率P=故障的數(shù)量/總的小時(shí)數(shù)；截止

20世紀(jì)90年代初，雙發(fā)噴氣式飛機(jī)總小時(shí)數(shù)（機(jī)隊(duì)范圍）

=5千萬；三發(fā)噴氣式飛機(jī)總小時(shí)數(shù)（機(jī)隊(duì)范圍）=1千8

百萬；世界范圍商用運(yùn)輸類噴氣機(jī)的總小時(shí)90年代初數(shù)累計(jì)為3億3千萬；由此可見，客觀環(huán)境還不能使你能夠可信地證明故障概率小于1×10-9?，F(xiàn)在將這個(gè)問題與已經(jīng)建立第4頁/共20頁

的數(shù)學(xué)關(guān)系進(jìn)行一下對(duì)比：沒有故障的置信度幾乎是0，既然沒有故障，所以你以前聲明的統(tǒng)計(jì)置信度也就為0?！窳硪粋€(gè)最普通的無知聲明是：“對(duì)于災(zāi)難性事件的發(fā)生，它需要在相同飛行過程中兩個(gè)不相關(guān)的事件都發(fā)生，并且我知道它一定小于或等于1×10-9”。回憶一下飛機(jī)上使用的大部分設(shè)備，我們可以假設(shè)故障符合指數(shù)分布，所以我們可以使用簡單的公式：P（故障）=λt并且：為了兩個(gè)獨(dú)立故障的發(fā)生，我們使用乘法規(guī)則得到兩件事情一起發(fā)生的非常小的概率：P（總）=λ1t1·λ2t2

第5頁/共20頁

直到較早的1970年，涉及安全性要求的FAR25.1309中要求：“單點(diǎn)故障不應(yīng)引發(fā)災(zāi)難性事件.....”。這經(jīng)常被解釋為：如果設(shè)計(jì)有冗余，且在災(zāi)難發(fā)生前至少發(fā)生第二個(gè)故障，則是好設(shè)計(jì)，并且因此FMEA是唯一的定性證明所需的工具。問題是：有關(guān)系統(tǒng)事故繼續(xù)以一個(gè)不可接受的速率發(fā)生。其中一些是因?yàn)閱蝹€(gè)事件引起一個(gè)以上獨(dú)立故障同時(shí)發(fā)生而產(chǎn)生的。這意味著：我們認(rèn)為不可能同時(shí)發(fā)生的多重故障事實(shí)上發(fā)生了。這說明設(shè)計(jì)標(biāo)準(zhǔn)和符合性驗(yàn)證方法都不適當(dāng)。第6頁/共20頁●與另一故障的組合而引發(fā)事故/事件的“非受控潛在故障”的概念促使FAA將條例改為：“導(dǎo)致潛在災(zāi)難事件的故障組合發(fā)生的概率應(yīng)小于或等于1×10-9”?，F(xiàn)在僅有

FMEA就不夠了，并且定性方法被定量方法（FTA）所取代。潛在事物變成了主要因素，并且對(duì)于長時(shí)間的潛在故障和不可靠的設(shè)備，新的設(shè)計(jì)標(biāo)準(zhǔn)要求比定性的“兩個(gè)獨(dú)立項(xiàng)目”更多（事實(shí)上要求三個(gè)或更多）的項(xiàng)目，以證實(shí)其安全性；即：

P（故障）=λ1t1·λ2t2=1000×10-6·1×10-5=10-8

第7頁/共20頁

不是足夠好（因?yàn)闈撛谖铮?；然后用區(qū)域分析和事件回顧找出冗余的違反者，該違反者可以將一個(gè)乘法符號(hào)變成加法符號(hào)。所以，關(guān)于兩個(gè)不相關(guān)事件的原來定性聲明就是不適當(dāng)?shù)姆椒ā?、具體安全性評(píng)估（SSA）的誤區(qū)●沒有設(shè)計(jì)標(biāo)準(zhǔn)或設(shè)計(jì)標(biāo)準(zhǔn)不合適?！駱?biāo)準(zhǔn)不夠嚴(yán)格和/或不完整?！駴]有對(duì)標(biāo)準(zhǔn)進(jìn)行質(zhì)疑?！駴]有對(duì)設(shè)計(jì)進(jìn)行系統(tǒng)的質(zhì)疑（它是怎么不工作的?）。

第8頁/共20頁●沒有檢查“不可能”判斷的事件?！瘛皫Ч收闲阅堋钡姆闲则?yàn)證不合理?！駴]有尋找冗余的違反者，或者尋找的不夠：→具有嚴(yán)重后果的單一故障；→潛在故障；→具有高概率的故障組合；→造成嚴(yán)重后果的單個(gè)事件；→安裝問題，喪失或違反了隔離?！駥?duì)于為安全性而增加的警告系統(tǒng)，忽視了不希望動(dòng)作或假激發(fā)的概率和嚴(yán)重性?！裼谩皵?shù)字游戲”替代適當(dāng)而有效的糾正措施。第9頁/共20頁●沒有檢查支持系統(tǒng)故障的全部結(jié)果?！駴]有檢查“溫和的”系統(tǒng)故障結(jié)果?！穹治龇椒ú幌到y(tǒng)?！穹治鰶]有覆蓋所有系統(tǒng)零部件?！駥?duì)運(yùn)行者糾正措施的影響評(píng)價(jià)過高。

●沒有有效地對(duì)FTA“與”門提出質(zhì)疑，并且沒有仔細(xì)地使用布爾代數(shù)?！駨奈从糜布z查來證實(shí)書面分析的有效性。

第10頁/共20頁

5、供應(yīng)商在系統(tǒng)安全評(píng)估中的角色●供應(yīng)商設(shè)計(jì)大量系統(tǒng)部件成品。●飛機(jī)制造商花大量時(shí)間評(píng)估飛機(jī)的系統(tǒng)安全性，但這同供應(yīng)商的努力來比還算小的。●總的來看，來自供應(yīng)商的安全性分析質(zhì)量往往壞到令人討厭的程度，并需花費(fèi)巨大的錢財(cái)。為什么?→供應(yīng)商通常不需精通飛機(jī)水平安全分析技術(shù)，和/或不真正想去理解它們的對(duì)飛機(jī)安全性設(shè)計(jì)的額外價(jià)值。→許多供應(yīng)商沒有足夠的系統(tǒng)設(shè)計(jì)視角來適當(dāng)?shù)鼗蛘_地完成這種分析?！w機(jī)系統(tǒng)的設(shè)計(jì)組和“主”合同商不能始終向供應(yīng)商提供質(zhì)量指導(dǎo)，這導(dǎo)致較差的質(zhì)量。第11頁/共20頁●相對(duì)于四種安全分析方法，供應(yīng)商通常：→不能作FHA，除非他有懂得和理解功能接口及他們的系統(tǒng)對(duì)飛機(jī)有何影響?！鷥H僅能夠部分地完成FMEA，因?yàn)槿狈?duì)系統(tǒng)接口、駕駛員接口、整個(gè)飛機(jī)故障影響的理解，還因?yàn)樗麄兂３２惶峁┱麄€(gè)系統(tǒng)。→由于與上面相同的理由而不能作FTA。→不能作他們部件之外的CCA，因?yàn)樗麄儾恢缹?shí)際的安裝。

第12頁/共20頁●那么對(duì)供應(yīng)商的分析可以給出什么樣的指導(dǎo)?對(duì)于FMEA，有三個(gè)關(guān)于飛機(jī)設(shè)計(jì)者SSA主管部門的想法：→供應(yīng)商僅僅填寫從飛機(jī)設(shè)計(jì)者SSA主管部門FMEA表格中挑選的欄，然后該主管部門可在接到供應(yīng)商填好并提交的表格后完成該表格。→供應(yīng)商嘗試針對(duì)系統(tǒng)中屬于他的那部分完成取自飛機(jī)設(shè)計(jì)者SSA主管部門FMEA表格。然后該初級(jí)部門將供應(yīng)商的不正確假設(shè)及其對(duì)飛機(jī)影響的更改意見反饋給供應(yīng)商。→允許供應(yīng)商完成自己選定的表格，然后初級(jí)部門再將相關(guān)數(shù)據(jù)轉(zhuǎn)到自己分析表格上，并完成該表格。

第13頁/共20頁6、一些思考●將所有情況提供FHA給供應(yīng)商，使其共享設(shè)備功能對(duì)飛機(jī)的危害。●我們已經(jīng)看到了前面所述的有關(guān)供應(yīng)商FMEA的三個(gè)處理方法，并且它們各有長處。建議：→供應(yīng)商針對(duì)系統(tǒng)中屬于自己的那部分填寫來自飛機(jī)設(shè)計(jì)者SSA主管部門提供的表格，該初級(jí)部門接到供應(yīng)商提供的FMEA表格后，審查并最后完成該表格，并將其綜合到最終FMEA，并將最終結(jié)果送給供應(yīng)商。這在研制期間可能需要多次的交接，但從安全性立場考慮，可接到更多來自供應(yīng)商的后續(xù)更改通告。

第14頁/共20頁

→對(duì)于FTA和CCA，可以做相同的工作。但需注意：不要將一個(gè)屬供應(yīng)商專利的資料送給其他的人。●不允許供應(yīng)商接管或從事設(shè)計(jì)綜合評(píng)審工作，綜合是初級(jí)部門的工作。7、人的實(shí)施及其安全性●名義上，在80%的運(yùn)輸類飛機(jī)事故中，人的錯(cuò)誤是主要因果因素?！衩x上，在10%的運(yùn)輸類飛機(jī)事故中，系統(tǒng)失效是主要因果因素。●傳統(tǒng)上，設(shè)計(jì)安全性關(guān)注的是系統(tǒng)失效原因，并大大地依賴對(duì)駕駛員和維護(hù)人員的良好培訓(xùn)及其適當(dāng)?shù)姆磻?yīng)。

第15頁/共20頁

●在傳統(tǒng)設(shè)計(jì)安全性方面的主要改進(jìn)也僅僅解決10%的問題。所以面臨兩難的選擇：→通過培訓(xùn)改進(jìn)人的“系統(tǒng)”；→承認(rèn)人能夠并將會(huì)制造錯(cuò)誤，并因此將系統(tǒng)設(shè)計(jì)成容許這樣的錯(cuò)誤。表面上看，目前的安全性分析考慮了“人的錯(cuò)誤”，但它既不系統(tǒng)，也不全面。因?yàn)?，建立?970年的1×10-9這個(gè)標(biāo)準(zhǔn)是基于保持的歷史事故率：→所有原因的事故率為1×10-6/每小時(shí)；→關(guān)注的僅由系統(tǒng)引起的事故為10%·1×10-6=1×10-7；第16頁/共20頁→假設(shè)每架飛機(jī)上有100個(gè)潛在的災(zāi)難性事件，則每個(gè)潛在事件必須等于10-7/100或1×10-9。這聽起來可能合理，但是：→在20到21世紀(jì)之交，運(yùn)輸類系統(tǒng)的容量將會(huì)增加到兩倍。→為了保持每年恒定的事故數(shù)量，我們必須使我們飛機(jī)的安全性加倍?！覀兊脑O(shè)計(jì)安全性過程僅僅直接應(yīng)付了問題的10%?！窠Y(jié)論：為了控制日益增高事故數(shù)量，必須使80%的故障得到顯著的改善。

第17頁/共20頁●對(duì)“人的問題”產(chǎn)生顯著影響的突破可能來自何處?→持“人的因素不定”觀點(diǎn)的設(shè)計(jì)者承認(rèn)：必須圍繞人來更加仔細(xì)地設(shè)計(jì)系統(tǒng)?！鸀榱嗽黾訉?duì)人的錯(cuò)誤潛能的思考，并認(rèn)真關(guān)注解決辦法，重新制作分析表格：

＊FHA應(yīng)該有一個(gè)作為輸出的功能清單，而且其中的功能從歷史或理論上來說應(yīng)是“易受傷害”并需特殊注意的。＊FMEA需要將分析引入糾正措施欄，并且應(yīng)該將檢查不