安全性設(shè)計的誤區(qū)

會計學(xué)1安全性設(shè)計的誤區(qū)1、管理的誤區(qū)●沒有向設(shè)計者和供應(yīng)商公布設(shè)計標(biāo)準(zhǔn)?！褚曇蔼M窄：不使用系統(tǒng)工程方法?！裨诓粩喔倪M(jìn)的進(jìn)程中，忽視當(dāng)前真實成本的事實，并忽視為今天的工作而應(yīng)采取什么樣的計劃；系統(tǒng)設(shè)計和研發(fā)的計劃或預(yù)算不切實際?！駥嵤┎⒐膭畹赖律系臎Q策?！褫^差的構(gòu)架管理（過程中的任一位置）?！駴]有為制造、維護(hù)、修理、運(yùn)行和/或訓(xùn)練制定最低標(biāo)準(zhǔn)?！駴]有搜集和利用用戶的使用數(shù)據(jù)和經(jīng)驗數(shù)據(jù)。

第1頁/共20頁●缺乏尋找故障根源的責(zé)任感和/或缺乏對糾正措施有效性的驗證。●缺乏不斷改善質(zhì)量的責(zé)任。2、具體設(shè)計的誤區(qū)●沒有適當(dāng)?shù)仡A(yù)計使用過程和使用環(huán)境?！駴]有考慮人的因素；設(shè)計沒給操作者的錯誤留有容差；設(shè)計沒有為減少錯誤對安全性影響進(jìn)行最優(yōu)化處理?！駴]有消除或改進(jìn)保留的設(shè)計缺陷。●對于產(chǎn)品新的或擴(kuò)展的應(yīng)用或替代功能，違反或忽視了原始設(shè)計假設(shè)。

第2頁/共20頁●忽視了物理上和功能上的系統(tǒng)接口。●在設(shè)計過程（大項目）初期沒有驗證系統(tǒng)構(gòu)架?！褴浖_發(fā)大綱沒有要求的嚴(yán)重性類別?！駴]有強(qiáng)調(diào)“故障被動功能（故障后不再具有功能）”或

“故障運(yùn)行”要求?！癖O(jiān)測項目（如警告系統(tǒng)）中指定性能的可靠性低于被監(jiān)測項目的可靠性?！裨谠噲D使系統(tǒng)性能達(dá)到預(yù)期功能的最佳化過程中，忽視了無意的或不想要的激發(fā)結(jié)果?！癖O(jiān)測系統(tǒng)不適當(dāng)，或設(shè)計的監(jiān)測器沒有監(jiān)測器故障指示。

第3頁/共20頁3、一般的誤解●一個最普通的無知聲明是：“我知道如果這個故障發(fā)生，它可能是災(zāi)難性的；但是，我不記得該故障在整個系統(tǒng)的使用歷史中曾經(jīng)出現(xiàn)過，所以它是極不可能的?！薄窕貞浺幌聵O不可能的定義，它是一個小于或等于1×10-9

的概率，并且發(fā)生的概率P=故障的數(shù)量/總的小時數(shù)；截止

20世紀(jì)90年代初，雙發(fā)噴氣式飛機(jī)總小時數(shù)（機(jī)隊范圍）

=5千萬；三發(fā)噴氣式飛機(jī)總小時數(shù)（機(jī)隊范圍）=1千8

百萬；世界范圍商用運(yùn)輸類噴氣機(jī)的總小時90年代初數(shù)累計為3億3千萬；由此可見，客觀環(huán)境還不能使你能夠可信地證明故障概率小于1×10-9。現(xiàn)在將這個問題與已經(jīng)建立第4頁/共20頁

的數(shù)學(xué)關(guān)系進(jìn)行一下對比：沒有故障的置信度幾乎是0，既然沒有故障，所以你以前聲明的統(tǒng)計置信度也就為0?！窳硪粋€最普通的無知聲明是：“對于災(zāi)難性事件的發(fā)生，它需要在相同飛行過程中兩個不相關(guān)的事件都發(fā)生，并且我知道它一定小于或等于1×10-9”?；貞浺幌嘛w機(jī)上使用的大部分設(shè)備，我們可以假設(shè)故障符合指數(shù)分布，所以我們可以使用簡單的公式：P（故障）=λt并且：為了兩個獨(dú)立故障的發(fā)生，我們使用乘法規(guī)則得到兩件事情一起發(fā)生的非常小的概率：P（總）=λ1t1·λ2t2

第5頁/共20頁

直到較早的1970年，涉及安全性要求的FAR25.1309中要求：“單點故障不應(yīng)引發(fā)災(zāi)難性事件.....”。這經(jīng)常被解釋為：如果設(shè)計有冗余，且在災(zāi)難發(fā)生前至少發(fā)生第二個故障，則是好設(shè)計，并且因此FMEA是唯一的定性證明所需的工具。問題是：有關(guān)系統(tǒng)事故繼續(xù)以一個不可接受的速率發(fā)生。其中一些是因為單個事件引起一個以上獨(dú)立故障同時發(fā)生而產(chǎn)生的。這意味著：我們認(rèn)為不可能同時發(fā)生的多重故障事實上發(fā)生了。這說明設(shè)計標(biāo)準(zhǔn)和符合性驗證方法都不適當(dāng)。第6頁/共20頁●與另一故障的組合而引發(fā)事故/事件的“非受控潛在故障”的概念促使FAA將條例改為：“導(dǎo)致潛在災(zāi)難事件的故障組合發(fā)生的概率應(yīng)小于或等于1×10-9”?，F(xiàn)在僅有

FMEA就不夠了，并且定性方法被定量方法（FTA）所取代。潛在事物變成了主要因素，并且對于長時間的潛在故障和不可靠的設(shè)備，新的設(shè)計標(biāo)準(zhǔn)要求比定性的“兩個獨(dú)立項目”更多（事實上要求三個或更多）的項目，以證實其安全性；即：

P（故障）=λ1t1·λ2t2=1000×10-6·1×10-5=10-8

第7頁/共20頁

不是足夠好（因為潛在物）；然后用區(qū)域分析和事件回顧找出冗余的違反者，該違反者可以將一個乘法符號變成加法符號。所以，關(guān)于兩個不相關(guān)事件的原來定性聲明就是不適當(dāng)?shù)姆椒ā?、具體安全性評估（SSA）的誤區(qū)●沒有設(shè)計標(biāo)準(zhǔn)或設(shè)計標(biāo)準(zhǔn)不合適?！駱?biāo)準(zhǔn)不夠嚴(yán)格和/或不完整?！駴]有對標(biāo)準(zhǔn)進(jìn)行質(zhì)疑。●沒有對設(shè)計進(jìn)行系統(tǒng)的質(zhì)疑（它是怎么不工作的?）。

第8頁/共20頁●沒有檢查“不可能”判斷的事件。●“帶故障性能”的符合性驗證不合理?！駴]有尋找冗余的違反者，或者尋找的不夠：→具有嚴(yán)重后果的單一故障；→潛在故障；→具有高概率的故障組合；→造成嚴(yán)重后果的單個事件；→安裝問題，喪失或違反了隔離。●對于為安全性而增加的警告系統(tǒng)，忽視了不希望動作或假激發(fā)的概率和嚴(yán)重性。●用“數(shù)字游戲”替代適當(dāng)而有效的糾正措施。第9頁/共20頁●沒有檢查支持系統(tǒng)故障的全部結(jié)果?！駴]有檢查“溫和的”系統(tǒng)故障結(jié)果?！穹治龇椒ú幌到y(tǒng)?！穹治鰶]有覆蓋所有系統(tǒng)零部件。●對運(yùn)行者糾正措施的影響評價過高。

●沒有有效地對FTA“與”門提出質(zhì)疑，并且沒有仔細(xì)地使用布爾代數(shù)?！駨奈从糜布z查來證實書面分析的有效性。

第10頁/共20頁

5、供應(yīng)商在系統(tǒng)安全評估中的角色●供應(yīng)商設(shè)計大量系統(tǒng)部件成品?！耧w機(jī)制造商花大量時間評估飛機(jī)的系統(tǒng)安全性，但這同供應(yīng)商的努力來比還算小的?！窨偟膩砜?，來自供應(yīng)商的安全性分析質(zhì)量往往壞到令人討厭的程度，并需花費(fèi)巨大的錢財。為什么?→供應(yīng)商通常不需精通飛機(jī)水平安全分析技術(shù)，和/或不真正想去理解它們的對飛機(jī)安全性設(shè)計的額外價值?！S多供應(yīng)商沒有足夠的系統(tǒng)設(shè)計視角來適當(dāng)?shù)鼗蛘_地完成這種分析?！w機(jī)系統(tǒng)的設(shè)計組和“主”合同商不能始終向供應(yīng)商提供質(zhì)量指導(dǎo)，這導(dǎo)致較差的質(zhì)量。第11頁/共20頁●相對于四種安全分析方法，供應(yīng)商通常：→不能作FHA，除非他有懂得和理解功能接口及他們的系統(tǒng)對飛機(jī)有何影響?！鷥H僅能夠部分地完成FMEA，因為缺乏對系統(tǒng)接口、駕駛員接口、整個飛機(jī)故障影響的理解，還因為他們常常不提供整個系統(tǒng)。→由于與上面相同的理由而不能作FTA。→不能作他們部件之外的CCA，因為他們不知道實際的安裝。

第12頁/共20頁●那么對供應(yīng)商的分析可以給出什么樣的指導(dǎo)?對于FMEA，有三個關(guān)于飛機(jī)設(shè)計者SSA主管部門的想法：→供應(yīng)商僅僅填寫從飛機(jī)設(shè)計者SSA主管部門FMEA表格中挑選的欄，然后該主管部門可在接到供應(yīng)商填好并提交的表格后完成該表格?！?yīng)商嘗試針對系統(tǒng)中屬于他的那部分完成取自飛機(jī)設(shè)計者SSA主管部門FMEA表格。然后該初級部門將供應(yīng)商的不正確假設(shè)及其對飛機(jī)影響的更改意見反饋給供應(yīng)商?！试S供應(yīng)商完成自己選定的表格，然后初級部門再將相關(guān)數(shù)據(jù)轉(zhuǎn)到自己分析表格上，并完成該表格。

第13頁/共20頁6、一些思考●將所有情況提供FHA給供應(yīng)商，使其共享設(shè)備功能對飛機(jī)的危害。●我們已經(jīng)看到了前面所述的有關(guān)供應(yīng)商FMEA的三個處理方法，并且它們各有長處。建議：→供應(yīng)商針對系統(tǒng)中屬于自己的那部分填寫來自飛機(jī)設(shè)計者SSA主管部門提供的表格，該初級部門接到供應(yīng)商提供的FMEA表格后，審查并最后完成該表格，并將其綜合到最終FMEA，并將最終結(jié)果送給供應(yīng)商。這在研制期間可能需要多次的交接，但從安全性立場考慮，可接到更多來自供應(yīng)商的后續(xù)更改通告。

第14頁/共20頁

→對于FTA和CCA，可以做相同的工作。但需注意：不要將一個屬供應(yīng)商專利的資料送給其他的人?！癫辉试S供應(yīng)商接管或從事設(shè)計綜合評審工作，綜合是初級部門的工作。7、人的實施及其安全性●名義上，在80%的運(yùn)輸類飛機(jī)事故中，人的錯誤是主要因果因素?！衩x上，在10%的運(yùn)輸類飛機(jī)事故中，系統(tǒng)失效是主要因果因素?！駛鹘y(tǒng)上，設(shè)計安全性關(guān)注的是系統(tǒng)失效原因，并大大地依賴對駕駛員和維護(hù)人員的良好培訓(xùn)及其適當(dāng)?shù)姆磻?yīng)。

第15頁/共20頁

●在傳統(tǒng)設(shè)計安全性方面的主要改進(jìn)也僅僅解決10%的問題。所以面臨兩難的選擇：→通過培訓(xùn)改進(jìn)人的“系統(tǒng)”；→承認(rèn)人能夠并將會制造錯誤，并因此將系統(tǒng)設(shè)計成容許這樣的錯誤。表面上看，目前的安全性分析考慮了“人的錯誤”，但它既不系統(tǒng)，也不全面。因為，建立于1970年的1×10-9這個標(biāo)準(zhǔn)是基于保持的歷史事故率：→所有原因的事故率為1×10-6/每小時；→關(guān)注的僅由系統(tǒng)引起的事故為10%·1×10-6=1×10-7；第16頁/共20頁→假設(shè)每架飛機(jī)上有100個潛在的災(zāi)難性事件，則每個潛在事件必須等于10-7/100或1×10-9。這聽起來可能合理，但是：→在20到21世紀(jì)之交，運(yùn)輸類系統(tǒng)的容量將會增加到兩倍?！鸀榱吮３置磕旰愣ǖ氖鹿蕯?shù)量，我們必須使我們飛機(jī)的安全性加倍?！覀兊脑O(shè)計安全性過程僅僅直接應(yīng)付了問題的10%?！窠Y(jié)論：為了控制日益增高事故數(shù)量，必須使80%的故障得到顯著的改善。

第17頁/共20頁●對“人的問題”產(chǎn)生顯著影響的突破可能來自何處?→持“人的因素不定”觀點的設(shè)計者承認(rèn)：必須圍繞人來更加仔細(xì)地設(shè)計系統(tǒng)。→為了增加對人的錯誤潛能的思考，并認(rèn)真關(guān)注解決辦法，重新制作分析表格：

＊FHA應(yīng)該有一個作為輸出的功能清單，而且其中的功能從歷史或理論上來說應(yīng)是“易受傷害”并需特殊注意的。＊FMEA需要將分析引入糾正措施欄，并且應(yīng)該將檢查不