作者 | 蔡喁 上海控安可信软件创新研究院副院长版块 |鉴源论坛 · 观擎

01

民用飞机有多安全

众所周知，民航飞机是一种安全便捷的出行方式。然而，对民航飞机的安全关注却从未停息。特别是民航飞机一旦发生灾难性事故，将会造成大量人员生命安全威胁与财产损失，往往会引起公众的广泛关注。当今全世界范围内，民用飞机的事故率保持在百万分之一（每飞行小时）的预期之下。根据可比数据统计，人一生中遇到空难事故造成死亡的概率远远低于汽车交通事故，甚至低于遭遇雷击致死的概率。

图1 各种原因致死概率比较

02

保证安全的方法

取得如此之高的安全水平，与民航飞机研制、生产、使用环节的一系列措施是分不开的。相比于其他关注安全的应用领域，民航飞机的安全通过以下四种关键措施得以保证：一）严密的功能定义；二）精确的架构设计；三）严格的过程控制；四）严苛的验证。

2.1 严密的功能定义

民航领域对飞机及其系统的功能均进行严密的定义，这种功能定义包括了对功能的范围和限定条件的精确分析。在飞机功能定义之初，设计人员就已经对飞机飞行的速度、高度、转弯的最大角度、加速减速的最大速率等都进行了范围规定。所有定义的功能与其可能的操作场景之间建立严格的对应关系，并对功能的效果进行精确的分析。这一系列行为确保了飞机功能定义中不会出现模糊空间，飞机所有对外部条件以及操作的响应均在预先设定好的范围内。

得益于严格的飞行人员选拔和培养程序，飞行人员对飞机的操作也可以进行精确的衡量。在选拔过程中，不但对飞行人员的体型（涉及到驾驶舱操作器件的布局）以及反应速度等进行考核以及大量的训练，确保在出现不同场景条件下，飞行人员对飞机的操作处于预期的范围内。飞行员的选拔和训练以及其长期的能力保持活动，最终确保其与飞机自身及其系统功能设计一同形成了相对严密的功能操作闭环，降低了飞机功能定义的不确定性。此外，飞机的运行程序、管制规范、航路设计以及维修程序等，无不是沿用上述思路确保飞机及其系统功能的定义更加精确，对各种外部条件和输入的变化条件的响应更加可预期。笔者认为，民航飞机能够取得相比其他领域更高的安全水平，长期以来民航领域一系列航空运行的规范起到了非常重要的作用。下表列举了民航运行规章中针对潜在的对危险场景进行的使用限制措施。

表1 危险场景使用限制措施

通常，飞机在其研制过程中需要经历飞机级功能定义、飞机级功能危害评估、系统级功能定义及其危害评估等反复迭代的过程，最终确保飞机上每一项功能、失效条件以及其影响均被精确地定义。

例如，提供推力是飞机的一项基本功能。在功能定义过程中会对提供推力的阶段、程度以及推力控制规则进行逐一定义。丧失一侧推力（以双发飞机为例）是该功能一项典型的失效条件。在功能分析过程中，需要根据不同飞行阶段（滑行、起飞、爬升、平飞、下降、进近和着陆）以及潜在的影响场景（如测风、湿滑跑道）等对丧失一侧推力将产生的后果以及飞行人员将采取的动作（应急飞行程序）进行设计，在确认功能设计正确以后并以此作为整个飞机设计的基础。

功能危害分析将对飞机中所有的功能可能的失效条件进行穷举，并结合飞行阶段和场景，具体分析功能失效产生的后果。在长期的民航飞机设计过程中，适航规章及其相关标准，对飞机中的功能危害进行了分级管理。这使得我们在后续设计过程中能够更加有针对性地聚焦潜在引起严重后果的功能及其失效场景。

表2 民用飞机功能危害影响等级划分

2.2 精确的架构设计

民航飞机的研制遵循典型的结构化设计方法，在预先设定好的抽象层次上自顶向下逐步细化。通常来说，在确定了飞机的功能和架构后，进一步需要对系统、设备乃至零组件的功能逐级细化。

在功能和架构细化过程中，民用飞机遵循严格的追溯关系管理。也就是下一个层级的功能和设计必须与上一个层级的功能设计相匹配。在这一过程中，任何超出或者不符合上级需求的设计都将被识别并且分析。于此同时，功能的失效条件也会与下一级的失效场景关联起来。根据上下级追溯关系，定位可能引起推力丧失的系统、设备以及零组件及其具体的失效场景，最终形成完整的失效链路。这种分析往往可以定位到潜在产生失效的具体器件上，并结合功能危害分析确定当前架构和设计的可行性和准确性。

在这一过程中，有多种安全性分析方法被使用，包括故障树分析（FTA）、失效模式及影响分析（FMEA）、共模影响分析（CMA）、区域安全分析（ZSA）、特殊风险评估（PRA）等。其中很多方法在航空以外的其他领域也被广泛使用。然而，得益于民用航空器设计过程中严格的功能及其边界定义，上述分析相较其他领域精确度往往更高。最重要的是，上述基于架构和设计的安全性分析依据结构化设计过程中的层次划分进行，与相应的设计过程保持高度同步。每一层功能和架构设计均对应相应的安全性分析，从而确保安全性分析也呈现出明显的层次结构。

图2 民用飞机结构化设计及其安全分析

2.3 严格的过程控制

民用航空领域很早就意识到设计过程中人为引入的错误是引起安全问题的重要源头。为此，民航飞机安全性的另一个关键的保证手段，是在其研制过程中进行严格的过程管控。这种管控依靠航空行业内长期形成的研制流程体系、工作纪律以及政府主导的第三方审核等手段得以保证。通过这种管控，在结构化设计的多个层次上实现对设计结果的反复确认和验证。对本层次以及上一层次设计过程中潜在的设计缺陷、追溯关系进行逐层分析，最终确保每个设计层次均在上级限定的功能和性能范围内正确的实现了预期的功能。

图3 SAE ARP-4754A中描述的飞机及其系统研制过程

2.4 严苛的验证

在结构化设计框架下，得益于严密的功能和架构定义，民航飞机研制过程中的验证活动均基于对应层次的需求开展。验证活动在不同设计层次上反复开展，从而实现了对任何一个功能不同颗粒度上的验证测试。这种与设计层次一一对应的验证测试，使得整个飞机及其系统的研制呈现出“V”型结构，也往往被称为V模型。与其他领域不同的是，民机研制过程中的验证活动对“依据需求开展验证”提出了非常明确的要求。验证的目的被确定为：“设计正确实现了需求”以及“设计结果中不存在非预期功能”这两个关键目标上。典型的，经过飞机级、系统级、设备级和软硬件多个层次的反复验证，确保在最终交付产品中残留的设计缺陷保持在非常低的水平上。加上飞机设计过程中的安全原则（如任何单点失效不能引起灾难级失效影响），使得民用飞机及其航空产品达到可接受的安全水平。

图4 SAE ARP4754A中的V模型

03

安全相关的挑战

3.1 未知风险

可以看出，民用飞机的安全性高度依赖对运行环境、场景、功能的精确定义。这一定义实际上对经验积累要求极高。然而，随着系统复杂度的提高，人们对环境、场景、功能的分析容易存在盲区。任何一种新的设计和架构的使用，都可能使得以往积累的相关经验变得不再正确。如，2010年冰岛火山爆发造成的高空火山灰使得发动机运行在以往并没有充分分析和论证的环境中，偏离了设计预期，对飞机带来了实际的安全风险，从而使得当年上百架飞机被迫停飞。除了功能场景，设计过程中也依赖很多经验条件。发生在2018年和2019年的波音737MAX飞机灾难事故的根源既有相关系统设计中场景分析不足的原因，也包含在分析过程中根据经验对飞行员在遇到危机时的响应过于乐观的因素。

可见，当飞机的使用和设计进入新的领域，民用飞机的安全性都会遇到新的挑战。当今随着一系列新的架构技术、电子技术等的使用，特别是人工智能方法在民航中使用的呼声渐高，民航飞机在今后发展过程中会持续面临未知风险的挑战。

3.2 架构设计的两面性

在民用飞机设计中，通常会采用一系列架构措施降低某一设备或者器件失效带来的影响。这些方法包括功能的冗余配置、功能间的相互监控、非相似架构等。然而，计算机系统以及复杂系统的设计实践不断证明，架构措施始终是带有两面性的。增加的冗余、监控以及非相似架构在分散了安全风险的同时，也必然会增加系统的复杂性。复杂性的提高往往会使得更多的设计缺陷残留，造成更难彻底分析的场景空间等一系列后果。这也使得当今的民用飞机特别是其中的高安全性、高实时性功能往往采用较为简单直接的架构，尽量少包含非必须的功能。这就使得飞机作为一种产品其现代化程度往往落后于其他工业产品。当今汽车中包含的代码量往往要高出最新型号的民用飞机一个数量级以上就是一个例证。如何能够更好的协调功能、架构、安全性之间的关系，是摆在民用飞机设计师们面前的长期话题。

3.3 安全和安保

前文中已经反复讨论，当前民用飞机的安全是在严格限制的功能空间内可分析可预期的安全。当前民用飞机考虑的外部风险和威胁主要源自于飞机运行方式及其运行的自然环境本身。并没有能够考虑在人为故意破坏情况下保证飞机的安全。实际上，彻底杜绝人为恶意行为的风险是不可能的。我们不难想见，尽管操作环节中施加了很多的保护措施，然而任何一个交通工具的驾驶员如果有意造成事故都是轻而易举的，对这种危险行为施加更多保护却又可能干扰正常的运行。

随着对机载计算机系统、空地数据链等技术依赖程度越来越高，也伴随着民用航空飞机和系统研制单位越来越多地通过货架产品降低成本，大量的地面民用技术被运用于民用飞机，新的安保风险、网络安保风险在民用飞机领域日益凸显，这也必将给今后民用飞机的设计和安全运行带来更多的挑战。

参考资料：

[1] SAE ARP-4754A Guidelines for Development of Civil Aircraft and Systems，2010.

[2] Statistical Summary of Commercial Jet Airplane Accidents Worldwide Operations | 1959 – 2017，Boeing.

[3] Commercial Aviation Accidents 1958-2018，Airbus.

[4] Safety Report 2019 Edition，ICAO.

阅读原文