系统安全

序一
我国现代装备正处在跨代发展阶段，对高度综合与复杂系统集成的装备往往存在技术认知上的不足和技术能力上的短板，其表现形式为：研制过程中的主要问题是研制差错；使用过程中的主要问题是使用、维修差错（含维修项目及间隔不当），而使用、维修差错说到底还是研制需求识别不够充分。这些研制差错，可能会给现代装备埋下一定的安全隐患。

我们必须对装备的使用安全怀有敬畏之心。只有经系统安全技术融合的产品才是全寿命周期内有生命力的产品，否则，其充其量只是高新技术的展览区。我们有幸参与装备型号的研制，就应时刻不忘肩上的责任与义务：一是确保所确定的研制需求，汲取了类似装备的经验与教训，涵盖了适航规章（航空装备）等规范、标准规定的要求，能满足使用与维修保障及经济性要求；二是装备的系统规范、研制规范和产品规范要求是在装备系统研制的过程中经过充分的安全性评估过程迭代得出，并证明是能够得到满足的；三是型号的研制过程比结果重要，研制过程中严格执行SAE ARP 4754A，过程受控，能解决目前型号管理中的不细、不严问题，并使研制差错小化。

在编写本书的过程中，作者参考了国外大量文献，介绍了国内尚在启蒙而国外广为应用的成熟理念，从而提升了该书的技术成熟度及其在工程上的应用价值。这就是其难能可贵之处。书中所述内容虽以航空装备为主，但它同样适用于航天等领域现代复杂装备研制与使用时系统安全工作的规划、管理与实施。本书对培养我国系统安全专业的技术人才、规范包括军机在内的航空装备适航性工作、促进装备研制管理和安全文化水平的提升，均有一定的意义。

本书作者之一张弘自2003年起先后担任多型号飞机总设计师，有近四十年航空装备一线研制工作经验的积淀，对装备研制过程既有丰富经验，又有深刻教训。作者工作之余，勿忘皓首穷经，历时十五年，终成心血之作，我们在此表示衷心感谢。

由于国内外专家们的背景、经历和实践的差异，因此有些观点和认识不尽相同。现本着“仁者见仁、智者见智”的精神，推出本书，给读者以研究、思考的广阔空间，并从中受益。

序二
本书作者根据自己在航空装备系统架构及通用质量特性领域几十年的技术积淀与感悟，将ARP 4754标准体系、DOC 9859、MILHDBK516C等国外研制与使用阶段的安全性相关标准、规范有机融合在一起，全面论述了全寿命周期内系统安全工作的基本概念、基本理念与管理技术。本书以安全性引导装备研制为牵引，重点阐述了研制阶段如何自顶而下实施装备的功能分解和自下而上实施装备功能集成的过程。本书以复杂系统研制差错为重点，结合航空装备的适航要求，论述了安全性评估的深度与广度要求，简述了安全性评估关键技术。本书借鉴了国外装备复杂系统的成熟技术，在国内学术思想较为新颖，工程可操作性较强。

在高度综合与复杂系统集成的装备领域，尤其是军用装备领域，我国关于系统安全方面的理论书籍较少。这类复杂装备在技术认知和基础设计能力方面还继承了传统装备的设计理念和思路，总想靠试验和分析的方法解决所有安全性问题，而ARP 4754体系和工程实际表明这是不切实际的。

本书面向我国航空、航天装备复杂系统的研制，从系统安全的角度阐述了装备的研制保证过程。目前，国内论述民机安全性方面的相关书籍有一些，但全面论述复杂装备系统安全的基本理念、以安全性需求引导装备的功能架构及需求分配与评估的同类书籍较少。本书对装备领域深入认识和开展系统安全工作具有很强的实用价值与指导意义。

近30年的航空、航天事故再次警示我们：人类在革新科学技术、创造物质财富、推动社会进步、享受现代生活的同时，也往往在不断地制造着副产品——灾难。灾难总是在人们惊慌、彷徨、绝望之余不期而至，“落井下石”，从而时常让社会变得不那么宁静与和谐。

理念决定了处事的广度与深度。英国社会学家巴里·特纳（Barry Turner）在1978年出版的ManMade Disasters一书中指出：大规模技术系统中的灾难既不是偶然事件的结果，也不是上帝所为；更确切地说，灾难是由一系列非故意的人为与组织因素不断积累而酝酿的结果，其过程通常会长达很多年，这些人为与组织因素主要包括过失与错误、不正确的管理决策、对安全与危险不正确的假设等。

笔者根据自己近40年在航空装备系统架构及通用质量特性领域的工程经验、教训与感悟，认为安全不仅要关注故障，还要关注装备研制、制造与使用全寿命期内的差错、文化与管理，更要关注装备全寿命周期内影响安全的主要矛盾。于是，通过对现役装备安全性问题的分析、统筹与综合，提出了高度复杂与综合系统或装备的研制，应以减缓或消除研制差错为理念、以安全性引导装备研制为思想、以系统安全管理为统领、以装备安全性需求为目标、以功能安全性需求分配与验证为指引、以基于目标与风险的安全性评估为手段、以过程保证为切入点等一体化解决方案，给出了搭建符合ALARP的装备架构方法，展示了现代装备安全性需求的识别、确认、实施与验证的全过程，进而系统而合理地解决了装备安全性要求高与全寿命周期费用低、研制周期短、系统集成度高等各要素之间的矛盾。

本书侧重于装备研制阶段，旨在帮助人们在航空、航天、航海、石化、交通等领域，结合经济可承受性的要求，从概念设计阶段开始，正确地理解和应用系统安全技术，以规范化的组织形式实施系统安全工程，进而减少装备的研制差错，将造成危险的各种差错、事件消灭在萌芽状态或控制在可接受的范围内，限度地降低系统性故障发生的概率，提高装备系统对各类事故的免疫能力，以实现装备使用时的安全、可靠、经济，并为军用航空器适航审定过程提供技术支撑。

本书共8章。第1~3章论述了系统安全技术的基本概念，剖析了系统安全技术的传统理念及误区，并从组织、人为、技术、风险权衡、结构化的设计保证和严格的过程控制等方面介绍并分析了国外有关系统安全的新理念，提出了在大系统、大综保环境下统筹系统安全工作的观点，并据此给出了装备研制阶段系统安全工作的思路；第4章从事故的特点出发，论述了装备的安全文化及研制阶段系统安全管理的要求；第5章重点论述了装备的研制程序及系统安全技术在研制阶段的应用，即如何通过双“V”过程自顶而下确定装备的安全性需求和自下而上验证所确定的需求均得到满足；第6章则重点阐述了安全性评估技术，并对主要的安全性评估工具做了简介；第7章简述了民机主设备清单的原理，并探讨了推广到军机的意义；第8章针对装备在使用过程中暴露出的电缆设计、安装和维修等方面的典型问题，讨论了电气线路互联系统安全性的结构化分析与评估技术。

同“以可靠性为中心的维修”技术一样，系统安全技术也是由航空领域发展而来的，并逐渐渗透到其他工程领域，终在各领域得到广泛应用。鉴于本书的适用范围较广，故亦借鉴“以可靠性为中心的维修”的模式，取名为“系统安全”而非“飞机系统安全”。

在编著本书的过程中，同济大学刘毅教授及同事项勇在适航领域给予了指导并提供了大量的资料；本书的出版得到了中国宇航出版社的大力支持。特此一并致谢！

理论源于实践，只有用于实践才能得到升华。本书主要是在消化国外大量标准、规范及文献的基础上，结合作者的工作教训与体会编写而成的，由于作者英语及专业水平有限，对系统安全工作的部分问题可能理解不透彻，书中不妥之处在所难免，恳请广大项目负责人员、工程技术人员和专家在使用本书时，能就遇到的问题和作者进行探讨。

作者
2022年12月

本书介绍了系统安全的基本概念与基本理念，讨论了系统安全管理的基本内容；详述了如何运用“安全性需求引导装备研制”的“双V”过程，将装备的研制差错控制在可接受的置信水平之内；简述了安全性评估的方法与工具；讨论了MMEL的确定原理及运用于其他航空装备上的意义；探讨了EWIS的工程问题与安全性解决方案。
本书所述内容虽以航空装备为主，但它同样适用于航天、铁路、航海等领域现代复杂装备研制时系统安全工作的规划、管理与实施，可供可靠性、安全性工程技术人员和在校工科师生参考。

本书可供航空、航天、铁路、航海等复杂且重要的领域中的系统安全工程相关规划与管理者参考。