趙 遠(yuǎn) 焦 健 趙廷弟

(北京航空航天大學(xué) 可靠性與系統(tǒng)工程學(xué)院，北京100191)

為了提高系統(tǒng)的安全性水平，必須在系統(tǒng)設(shè)計過程中開展安全性工作，以消除危險或降低危險的風(fēng)險.安全性工作的關(guān)鍵是危險識別［1-4］.與系統(tǒng)設(shè)計緊密相關(guān)的首個危險識別工作是初步危險分析［5-8］.初步危險分析工作是在系統(tǒng)的初步設(shè)計階段開展，通常能發(fā)現(xiàn)設(shè)計初期潛在的危險和其他與安全相關(guān)的信息，例如系統(tǒng)層次危險、頂層事故、安全關(guān)鍵功能等，以盡可能早地從安全性角度來影響設(shè)計.初步危險分析是后續(xù)危險分析和安全性工作的基礎(chǔ)［4，9］.在 GJB/Z 99—97 以及美軍的系統(tǒng)安全標(biāo)準(zhǔn)MIL-STD-882E等多個標(biāo)準(zhǔn)和文獻(xiàn)中都明確要求或建議在系統(tǒng)設(shè)計過程中，要開展初步危險分析工作［10-14］.

在開展初步危險分析工作中，往往采用填寫表格的形式［2-4］，表格中要填寫的內(nèi)容已經(jīng)確定.卻沒有說明如何獲取這些內(nèi)容，表格中的內(nèi)容是開展初步危險分析工作結(jié)束后應(yīng)給出的信息.雖然在GJB/Z 99—97中介紹了多種常見的危險及其控制，但仍不足以支撐結(jié)合具體系統(tǒng)來開展初步危險分析.從而，在對具體的系統(tǒng)開展初步危險分析過程中，分析人員即使知道表格中應(yīng)填寫的內(nèi)容，仍然很難開展該項工作.

結(jié)合對某型飛機(jī)初步危險分析的工作經(jīng)驗，本文以能量意外釋放事故致因理論為基礎(chǔ)，從安全性與可靠性的關(guān)系以及危險三角理論角度，分析危險的構(gòu)成要素及其與風(fēng)險的關(guān)系，提出了面向初步危險分析工作的危險識別技術(shù)，即基于危險要素的危險分析技術(shù).該分析技術(shù)，以危險元素為切入點(diǎn)，對分析對象內(nèi)部件進(jìn)行分類，通過分析部件的各種情況及其耦合關(guān)系，來辨識系統(tǒng)危險.

1 危險構(gòu)成原理

1.1 危險元素

人類利用能量做功以實現(xiàn)生產(chǎn)目的，在正常生產(chǎn)過程中，能量受到多種約束限制，按人們的意志流動、轉(zhuǎn)換和做功.Gibson和Haddon等人提出了能量意外釋放論，從能量的角度揭示了事故的發(fā)生規(guī)律［15-16］.該理論認(rèn)為如果由于某種原因能量失去了控制，超越了人們設(shè)置的約束或限制而意外地逸出或釋放，則發(fā)生事故，即事故是一種不正常的或不希望的能量釋放并轉(zhuǎn)移于人體［17］.

能量意外釋放論闡明了事故發(fā)生的物理本質(zhì)，防止事故就是阻止能量意外釋放，避免人體接觸能量.在系統(tǒng)設(shè)計階段安全性分析人員應(yīng)注意系統(tǒng)設(shè)計中能量轉(zhuǎn)換、流動，以及不同形式能量的相互作用，尋找可能導(dǎo)致危險元素意外泄漏或釋放的事件.在此基礎(chǔ)上，本文提出的危險分析技術(shù)正是從明確對象中涉及的危險元素為起點(diǎn)，分析對象中導(dǎo)致危險元素意外泄漏或釋放的事件.

1.2 危險特點(diǎn)

危險的存在以及事故的發(fā)生都涉及多個事件.在系統(tǒng)設(shè)計過程中，通?？紤]系統(tǒng)內(nèi)部某些產(chǎn)品故障或缺陷，以及產(chǎn)品之間交互的缺陷使得能量意外釋放.危險的這一特點(diǎn)也就決定了安全性研究的對象層次較高，并且涉及多個產(chǎn)品，無法研究單個產(chǎn)品的安全性.例如，對于一個閥門，可以單獨(dú)地研究其可靠性，分析它的故障原因和模式，但無法研究閥門的安全性.只有將閥門和與其相關(guān)的部件放在一起才能研究安全性.比如，飛機(jī)起落架中液壓系統(tǒng)中的閥門，就可以研究它對飛機(jī)安全性的影響.這是安全性研究與可靠性研究特點(diǎn)的差異之一.

危險涉及的多個事件往往與具體產(chǎn)品的可靠性相關(guān)，可靠性與安全性又有交叉.比如，在研究飛行控制系統(tǒng)的安全性過程中，就需要考慮舵機(jī)、桿位移傳感器和操縱臺等產(chǎn)品的可靠性，確保它們的可靠性，也就提高了飛行控制系統(tǒng)的安全性.

1.3 危險構(gòu)成

危險的存在是由多個事件導(dǎo)致的，通常將這些事件分為3類:危險元素、觸發(fā)機(jī)制和威脅/對象，它們是危險存在的基本要素［2-3］.危險元素是構(gòu)成危險的基本危險源，如具有危害性的物質(zhì)、高危能量等.觸發(fā)機(jī)制是引起危險發(fā)生的觸發(fā)或引發(fā)事件，如部件失效、設(shè)計缺陷、外部環(huán)境影響和人為差錯等.危險的觸發(fā)機(jī)制事件就包含了特定部件的失效.特定產(chǎn)品的可靠性放在一定的事件場景下將影響對象整體的安全性.威脅/對象是易受到傷害和/或破壞的人或物，如系統(tǒng)的使用人員、系統(tǒng)自身和環(huán)境.

危險元素是危險存在的直接原因.由于系統(tǒng)中使用危害物質(zhì)(具有化學(xué)能)或系統(tǒng)運(yùn)行過程中具有能造成傷害的能量，例如武器裝備，因為某些特定原因，這些有害物質(zhì)或能量就有可能意外釋放，導(dǎo)致事故發(fā)生.系統(tǒng)中具有危險元素，但不一定就會發(fā)生事故.觸發(fā)機(jī)制導(dǎo)致危險向事故轉(zhuǎn)變.事故發(fā)生過程中涉及了多個觸發(fā)機(jī)制，如部件失效、部件之間或系統(tǒng)之間的接口缺陷、外部環(huán)境影響和人為差錯等.若干個觸發(fā)機(jī)制使得危險元素出現(xiàn)了意外的釋放.

在系統(tǒng)尤其武器裝備系統(tǒng)中，危險總是存在的，但是它們的風(fēng)險必須控制在可接受的范圍.

當(dāng)系統(tǒng)中危險的風(fēng)險是可接受的，那么就認(rèn)為系統(tǒng)是安全的.風(fēng)險通過對危險的可能性和嚴(yán)酷度的評估來確定，有多種用于確定風(fēng)險的風(fēng)險矩陣［5，18］.危險三要素直接與風(fēng)險相關(guān)，如圖1所示.危險元素的特性和量值，直接決定了其意外釋放所帶來的危害大小;威脅/對象直接決定了具體的損失情況.它們兩個共同決定了危險的嚴(yán)酷度等級.觸發(fā)機(jī)制直接決定了事故發(fā)生概率.通常屏蔽或控制危險元素的中間環(huán)節(jié)越多，那么事故發(fā)生的概率相對較低.

圖1 危險三要素及其與風(fēng)險的對應(yīng)關(guān)系Fig.1 Three factors of hazard and its relationship with risk

危險構(gòu)成原理，為識別危險和控制風(fēng)險確保系統(tǒng)安全提供了理論基礎(chǔ).本文提出的基于危險要素的分析技術(shù)是通過識別危險三要素來確定系統(tǒng)可能的危險.

2 危險分析技術(shù)原理及流程

基于危險要素的危險分析技術(shù)原理如圖2所示.對于危險元素(危害物質(zhì)和高危能量)的分析以兩條線開展:危險元素的存儲、傳輸和使用;危險元素的監(jiān)測、控制決策和執(zhí)行機(jī)構(gòu).對于危害物質(zhì)和高危能量相關(guān)的觸發(fā)機(jī)制通常是這兩條主線中的若干環(huán)節(jié)異?；蛟O(shè)計缺陷.由危害物質(zhì)或高危能量以及具體的觸發(fā)機(jī)制決定了對應(yīng)的威脅/對象.

在開展該分析過程中，首先明確對象中的危險元素，然后分析可能的觸發(fā)機(jī)制和相關(guān)的威脅/對象，確定對象中的危險，分析流程如圖3所示.

圖2 危險分析技術(shù)原理Fig.2 Theory of hazard analysis technique

圖3 基于危險要素的危險分析技術(shù)流程Fig.3 Hazard analysis process based on hazard factors

1)明確對象涉及的危險元素.

在明確分析對象后，確定對象涉及的危險元素，如能量源、危害物質(zhì)、電氣和系統(tǒng)使用過程中可能接觸的外界環(huán)境等.比如，對于飛機(jī)的燃油系統(tǒng)，與它相關(guān)的危險元素是燃油.與其相關(guān)的危險都是源自燃油的泄漏、著火和無法供給.確定危險元素是該危險分析的起點(diǎn).

2)對分析對象中的部件分類.

將對象中的部件分為兩類:一類是對危險元素的存儲、傳輸和使用相關(guān)的部件(部件類型Ⅰ);一類是對危險元素監(jiān)測、控制決策和執(zhí)行機(jī)制相關(guān)的部件(部件類型Ⅱ).

3)結(jié)合引導(dǎo)詞確定部件的可能狀態(tài).

為了確定可能的觸發(fā)機(jī)制，必須要明確不同類型部件的可能狀態(tài).由于在系統(tǒng)的初步設(shè)計階段，部件的詳細(xì)信息難以確定，從而針對部件的使用類型采用引導(dǎo)詞來確定部件的可能狀態(tài).

對于類型Ⅰ中的部件，考慮部件不工作、間歇工作或工作不穩(wěn)定、運(yùn)行時間不恰當(dāng)(過早、過晚)、不能停止工作、結(jié)構(gòu)破損、振動、泄漏或滲漏、受液體和熱影響等.

對于類型Ⅱ中的部件，考慮部件無法運(yùn)行、間歇工作或工作不穩(wěn)定、發(fā)出錯誤或沖突的信息和數(shù)據(jù)、超出允差、控制決策的軟件差錯、操作時間不當(dāng)(過早，過晚)、不能停止運(yùn)行或意外停止運(yùn)行、接收到錯誤的信息、受液體和熱影響、滯后運(yùn)行、振動等.

4)分析相關(guān)的觸發(fā)機(jī)制事件和相應(yīng)的威脅/對象.

在確定部件的可能狀態(tài)以后，分析狀態(tài)及其組合對危險元素的影響，確定可能導(dǎo)致危險元素泄漏或意外釋放的事件.在分析可能相關(guān)的觸發(fā)機(jī)制過程中，針對設(shè)計方案特點(diǎn)，結(jié)合以下幾點(diǎn)確定可能的觸發(fā)機(jī)制:

①功能原理.以危險元素為起點(diǎn)，結(jié)合功能原理和部件的可能狀態(tài)確定可能造成危險元素意外釋放的事件.

②現(xiàn)役相似系統(tǒng)的經(jīng)驗教訓(xùn).結(jié)合在相似系統(tǒng)中已發(fā)生事故的經(jīng)驗教訓(xùn)，確定可能的觸發(fā)機(jī)制，找到薄弱環(huán)節(jié).

③任務(wù)過程.通過考慮任務(wù)過程中環(huán)境因素(熱、鹽霧、惡劣氣候等)、人員操作可能差錯、以及安全關(guān)鍵部件的故障等這些因素及其組合對危險元素的影響，確定觸發(fā)機(jī)制.

④與危險元素相關(guān)的安全關(guān)鍵軟件命令和響應(yīng)以及軟硬件接口問題.例如，錯誤命令、不適時的命令或響應(yīng)等觸發(fā)機(jī)制.

⑤保障和維修.例如，保障或維修過程中引入的部件異常狀態(tài)以及人員差錯導(dǎo)致不良后果以及與危險元素相關(guān)的射線、噪聲、電源在保障或維修過程中對人員的傷害等.

危險元素意外泄漏或釋放必定對人和物帶來傷害與損失，在確定了危險元素和觸發(fā)機(jī)制事件后，結(jié)合具體的關(guān)聯(lián)情況也就能確定出其相應(yīng)的威脅/對象.通常威脅/對象從對分析對象自身、相關(guān)產(chǎn)品和系統(tǒng)、人員、環(huán)境方面考慮.

5)確定危險及其風(fēng)險

在確定與危險元素相應(yīng)的觸發(fā)機(jī)制與威脅/對象后，明確危險并確定其風(fēng)險.通過危險元素和威脅/對象來確定風(fēng)險的嚴(yán)酷度，由觸發(fā)機(jī)制事件來確定風(fēng)險的可能性.在確定危險及其風(fēng)險以后，將這些結(jié)論填入初步危險分析表中.危險分析結(jié)果對初步危險分析表填寫的支持關(guān)系見圖4.

通過該危險分析技術(shù)能夠識別系統(tǒng)在初步方案階段的危險，并為確定風(fēng)險提供依據(jù).而且，通過該分析確定出的危險三要素為風(fēng)險控制提供了方向.在從降低嚴(yán)酷度來消減風(fēng)險的過程中，設(shè)計人員可以考慮從危險元素和威脅/對象方面研究.例如，在系統(tǒng)設(shè)計中用無毒或低毒性物質(zhì)來替換危害物質(zhì)，增加一定的屏蔽措施來阻隔危險元素對人員的傷害.在從降低可能性來消減風(fēng)險的過程中，設(shè)計人員可以考慮從觸發(fā)機(jī)制方面開展.例如，增加對危險元素的控制裝置、增加對危險元素的監(jiān)控精度、對關(guān)鍵部件采取多冗余設(shè)計方式、提高相關(guān)部件可靠性等.

圖4 危險分析結(jié)果對初步危險分析表的關(guān)系Fig.4 Relationship between hazard analysis results and preliminary hazard analysis worksheet

3 應(yīng)用實例

以某型飛機(jī)初步方案階段的燃油系統(tǒng)為研究對象，開展危險分析.燃油系統(tǒng)包括供油分系統(tǒng)、輸油分系統(tǒng)、加油與放油分系統(tǒng)、通氣增壓分系統(tǒng)與燃油測量顯示控制分系統(tǒng).由于篇幅原因，本文僅列出燃油測量顯示控制分系統(tǒng)的初步危險分析，以說明該技術(shù)的可行性和有效性.

燃油測量顯示控制分系統(tǒng)向綜合管理計算機(jī)內(nèi)的機(jī)電處理器提供余油告警、供油瞬時流量、全機(jī)余油量和2個油泵工作狀態(tài)信息.燃油測量顯示控制分系統(tǒng)中涉及的危險元素是燃油.燃油可能由于受熱(熱量可能來自于發(fā)動機(jī)工作、熱的氣候)增強(qiáng)了燃油的揮發(fā)和汽化以及增加氣體壓力，導(dǎo)致油箱爆炸.在飛機(jī)飛行階段，如果燃油由于某種原因無法傳輸?shù)桨l(fā)動機(jī)，將導(dǎo)致飛機(jī)墜毀.

在確定危險元素后，對其部件展開分析.該系統(tǒng)中的部件主要由告警器、油量信號器、壓力信號器、燃油流量計、導(dǎo)管和電纜等附件組成.由于該分系統(tǒng)的功能特點(diǎn)，決定了這些部件都屬于部件類型Ⅱ.

分析可知告警器部件可能無法告警，需要告警時無法告警或無法及時告警，正常情況下異常告警.油量信號器部件可能無法輸出油量信息或輸出油量信息為固定值，輸出的油量信息和實際的油量信息偏差過大.燃油流量計部件可能無法輸出流量信息或輸出流量信息為固定值，輸出的流量信息和實際的流量信息偏差過大.壓力信號器可能無法工作或偏差過大.導(dǎo)管連接處可能松動或裂縫等.電源部件可能無電力供應(yīng)和電力間斷供應(yīng).

通過將部件情況與燃油的使用特點(diǎn)結(jié)合，發(fā)現(xiàn)了多個危險.例如，油量信號器停止工作或運(yùn)行過程中誤差過大，都會導(dǎo)致人員對飛機(jī)的油量產(chǎn)生錯誤的判斷，當(dāng)飛機(jī)油量低于最低油量時，無法告警或未及時告警，可能導(dǎo)致飛機(jī)在飛行過程中燃油耗盡，飛機(jī)墜毀.壓力信號器無法工作，都會導(dǎo)致輸送給發(fā)動機(jī)的油量信息超過誤差范圍，影響飛機(jī)飛行品質(zhì).流量計工作異常，導(dǎo)致計算機(jī)獲取的發(fā)動機(jī)使用油量信息偏差，影響飛機(jī)飛行品質(zhì).燃油測量顯示控制分系統(tǒng)中的部分初步危險分析結(jié)果見表1.

表1 燃油測量顯示控制分系統(tǒng)初步危險分析表(部分)Table 1 Preliminary hazard analysis worksheet of fuel measurement display control subsystem(part)

采用該分析技術(shù)，通過確定燃油測量顯示控制分系統(tǒng)部件的可能狀態(tài)以及面臨的異常環(huán)境，分析這些狀態(tài)對燃油(危害物質(zhì))在存儲和使用過程中的影響，確定危險.依據(jù)風(fēng)險評估矩陣，對識別的危險三要素進(jìn)行評估，確定風(fēng)險.

對于燃油系統(tǒng)這個安全關(guān)鍵系統(tǒng)，在初步方案設(shè)計階段采用該危險分析技術(shù)后，發(fā)現(xiàn)了多個危險和薄弱環(huán)節(jié)，這些將是設(shè)計人員應(yīng)該注意的因素.

4 結(jié)論

針對在開展初步危險分析過程中缺少技術(shù)支持的現(xiàn)狀，本文提出了基于危險要素的危險分析技術(shù).通過確定系統(tǒng)中的危險元素，分析可能的觸發(fā)機(jī)制并得出相關(guān)的威脅/對象，識別危險.該分析技術(shù)有以下幾個優(yōu)點(diǎn):

1)該技術(shù)具有較強(qiáng)的工程實用性.安全性分析人員能夠結(jié)合設(shè)計方案和可靠性分析的結(jié)論確定危險三要素并進(jìn)一步確定危險和風(fēng)險.

2)對風(fēng)險的評價提供依據(jù)，并為危險的控制或消除提供方向.在風(fēng)險評價過程中可以從該技術(shù)識別的危險三要素來確定危險的風(fēng)險等級.危險三要素也為危險的控制或消除提供了切入點(diǎn).

3)適用于后續(xù)的安全性工作.該危險分析通過確定危險三要素來識別設(shè)計中的可能危險，確定危險控制的關(guān)鍵項.在后續(xù)的安全性工作中，結(jié)合更詳細(xì)的設(shè)計信息，該技術(shù)能夠識別系統(tǒng)中的危險以及故障樹分析的頂事件.

References)

［1］GJB/Z 99—97中華人民共和國國家軍用標(biāo)準(zhǔn)系統(tǒng)安全工程手冊［S］GJB/Z 99—97 Engineering handbook for system safety［S］(in Chinese)

［2］ Ericson C A.Hazard analysis techniques for system safety［M］.Hoboken:Wiley，2005

［3］Ericson C A.危險分析技術(shù)［M］.趙廷弟，焦健，趙遠(yuǎn)，等譯.北京:國防工業(yè)出版社，2012 Ericson C A.Hazard analysis techniques for system safety［M］.Translated by Zhao Tingdi，Jiao Jian，Zhao Yuan，et al.Beijing:National Defense Industry Press，2012(in Chinese)

［4］趙廷弟，焦健，田瑾，等.安全性設(shè)計分析與驗證［M］.北京:國防工業(yè)出版社，2011 Zhao Tingdi，Jiao Jian，Tian Jin，et al.Safety design analysis and verification［M］.Beijing:National Defense Industry Press，2011(in Chinese)

［5］ MIL-STD-882E Department of defense standard practice system safety［S］

［6］顏兆林.系統(tǒng)安全性分析技術(shù)研究［D］.長沙:國防科學(xué)技術(shù)大學(xué)，2001 Yan Zhaolin.A study on the technique of system safety analysis［D］.Changsha:National University of Defense Technology，2001(in Chinese)

［7］熊峻江，劉寶成.系統(tǒng)安全性分析與設(shè)計方法研究［J］.北京航空航天大學(xué)學(xué)報，2002，28(2):141-143 Xiong Junjiang，Liu Baocheng.On the analysis and design method of system safety［J］.Journal of Beijing University of Aeronautics and Astronautics，2002，28(2):141-143(in Chinese)

［8］ NM 87117-5670 Air force system safety handbook［S］

［9］ GEIA-STD-0010 Standard best practices for system safety program development and execution［S］

［10］ Stephans R A.System safety for the 21stcentury the undated and revised edition of system safety 2000［M］.Hoboken:Wiley，2007

［11］ Federal Aviation Administration.FAA system safety handbook［M］.Washington DC:Federal Aviation Administration，2010

［12］ Allocco M.Safety analyses of complex systems considerations of software，firmware，hardware，human，and the environment［M］.Hoboken:Wiley，2010

［13］鄭龍，羅鵬程，高順川，等.系統(tǒng)安全性分析技術(shù)綜述［J］.兵工自動化，2006，25(4):22-23 Zheng Long，Luo Pengcheng，Gao Shunchuan，et al.Review of systematic safety analysis technique research［J］.Ordnance Industry Automation，2006，25(4):22-23(in Chinese)

［14］ Vincoli J W.A basic guide to system safety［M］.2nd ed.Hoboken:Wiley，2006

［15］陳寶智.危險源辨識、控制及評價［M］.成都:四川科學(xué)技術(shù)出版社，1996 Chen Baozhi.Hazard source identification，control and evaluation［M］.Chengdu:Sichuan Science and Technology Press，1996(in Chinese)

［16］陳寶智.安全原理［M］.北京:冶金工業(yè)出版社，1995 Chen Baozhi.Safety theory［M］.Beijing:Metallurgical Industry Press，1995(in Chinese)

［17］鐘茂華，魏玉東，范維澄，等.事故致因理論綜述［J］.火災(zāi)科學(xué)，1999，8(3):36-42 Zhong Maohua，Wei Yudong，F(xiàn)an Weicheng，et al.Overview on accident-causing theories［J］.Fire Safety Science，1999，8(3):36-42(in Chinese)

［18］GJB 900—90中華人民共和國國家軍用標(biāo)準(zhǔn)系統(tǒng)安全性通用大綱［S］GJB 900—90 General program for system safety［S］(in Chinese)