系统安全

序一
我国现代装备正处在跨代发展阶段，对高度综合与复杂系统集成的装备往往存在技术认知上的不足和技术能力上的短板，其表现形式为：研制过程中的主要问题是研制差错；使用过程中的主要问题是使用、维修差错（含维修项目及间隔不当），而使用、维修差错说到底还是研制需求识别不够充分。这些研制差错，可能会给现代装备埋下一定的安全隐患。

我们必须对装备的使用安全怀有敬畏之心。只有经系统安全技术融合的产品才是全寿命周期内有生命力的产品，否则，其充其量只是高新技术的展览区。我们有幸参与装备型号的研制，就应时刻不忘肩上的责任与义务：一是确保所确定的研制需求，汲取了类似装备的经验与教训，涵盖了适航规章（航空装备）等规范、标准规定的要求，能满足使用与维修保障及经济性要求；二是装备的系统规范、研制规范和产品规范要求是在装备系统研制的过程中经过充分的安全性评估过程迭代得出，并证明是能够得到满足的；三是型号的研制过程比结果重要，研制过程中严格执行SAE ARP 4754A，过程受控，能解决目前型号管理中的不细、不严问题，并使研制差错小化。

在编写本书的过程中，作者参考了国外大量文献，介绍了国内尚在启蒙而国外广为应用的成熟理念，从而提升了该书的技术成熟度及其在工程上的应用价值。这就是其难能可贵之处。书中所述内容虽以航空装备为主，但它同样适用于航天等领域现代复杂装备研制与使用时系统安全工作的规划、管理与实施。本书对培养我国系统安全专业的技术人才、规范包括军机在内的航空装备适航性工作、促进装备研制管理和安全文化水平的提升，均有一定的意义。

本书作者之一张弘自2003年起先后担任多型号飞机总设计师，有近四十年航空装备一线研制工作经验的积淀，对装备研制过程既有丰富经验，又有深刻教训。作者工作之余，勿忘皓首穷经，历时十五年，终成心血之作，我们在此表示衷心感谢。

由于国内外专家们的背景、经历和实践的差异，因此有些观点和认识不尽相同。现本着“仁者见仁、智者见智”的精神，推出本书，给读者以研究、思考的广阔空间，并从中受益。

序二
本书作者根据自己在航空装备系统架构及通用质量特性领域几十年的技术积淀与感悟，将ARP 4754标准体系、DOC 9859、MILHDBK516C等国外研制与使用阶段的安全性相关标准、规范有机融合在一起，全面论述了全寿命周期内系统安全工作的基本概念、基本理念与管理技术。本书以安全性引导装备研制为牵引，重点阐述了研制阶段如何自顶而下实施装备的功能分解和自下而上实施装备功能集成的过程。本书以复杂系统研制差错为重点，结合航空装备的适航要求，论述了安全性评估的深度与广度要求，简述了安全性评估关键技术。本书借鉴了国外装备复杂系统的成熟技术，在国内学术思想较为新颖，工程可操作性较强。

在高度综合与复杂系统集成的装备领域，尤其是军用装备领域，我国关于系统安全方面的理论书籍较少。这类复杂装备在技术认知和基础设计能力方面还继承了传统装备的设计理念和思路，总想靠试验和分析的方法解决所有安全性问题，而ARP 4754体系和工程实际表明这是不切实际的。

本书面向我国航空、航天装备复杂系统的研制，从系统安全的角度阐述了装备的研制保证过程。目前，国内论述民机安全性方面的相关书籍有一些，但全面论述复杂装备系统安全的基本理念、以安全性需求引导装备的功能架构及需求分配与评估的同类书籍较少。本书对装备领域深入认识和开展系统安全工作具有很强的实用价值与指导意义。

近30年的航空、航天事故再次警示我们：人类在革新科学技术、创造物质财富、推动社会进步、享受现代生活的同时，也往往在不断地制造着副产品——灾难。灾难总是在人们惊慌、彷徨、绝望之余不期而至，“落井下石”，从而时常让社会变得不那么宁静与和谐。

理念决定了处事的广度与深度。英国社会学家巴里·特纳（Barry Turner）在1978年出版的ManMade Disasters一书中指出：大规模技术系统中的灾难既不是偶然事件的结果，也不是上帝所为；更确切地说，灾难是由一系列非故意的人为与组织因素不断积累而酝酿的结果，其过程通常会长达很多年，这些人为与组织因素主要包括过失与错误、不正确的管理决策、对安全与危险不正确的假设等。

笔者根据自己近40年在航空装备系统架构及通用质量特性领域的工程经验、教训与感悟，认为安全不仅要关注故障，还要关注装备研制、制造与使用全寿命期内的差错、文化与管理，更要关注装备全寿命周期内影响安全的主要矛盾。于是，通过对现役装备安全性问题的分析、统筹与综合，提出了高度复杂与综合系统或装备的研制，应以减缓或消除研制差错为理念、以安全性引导装备研制为思想、以系统安全管理为统领、以装备安全性需求为目标、以功能安全性需求分配与验证为指引、以基于目标与风险的安全性评估为手段、以过程保证为切入点等一体化解决方案，给出了搭建符合ALARP的装备架构方法，展示了现代装备安全性需求的识别、确认、实施与验证的全过程，进而系统而合理地解决了装备安全性要求高与全寿命周期费用低、研制周期短、系统集成度高等各要素之间的矛盾。

本书侧重于装备研制阶段，旨在帮助人们在航空、航天、航海、石化、交通等领域，结合经济可承受性的要求，从概念设计阶段开始，正确地理解和应用系统安全技术，以规范化的组织形式实施系统安全工程，进而减少装备的研制差错，将造成危险的各种差错、事件消灭在萌芽状态或控制在可接受的范围内，限度地降低系统性故障发生的概率，提高装备系统对各类事故的免疫能力，以实现装备使用时的安全、可靠、经济，并为军用航空器适航审定过程提供技术支撑。

本书共8章。第1~3章论述了系统安全技术的基本概念，剖析了系统安全技术的传统理念及误区，并从组织、人为、技术、风险权衡、结构化的设计保证和严格的过程控制等方面介绍并分析了国外有关系统安全的新理念，提出了在大系统、大综保环境下统筹系统安全工作的观点，并据此给出了装备研制阶段系统安全工作的思路；第4章从事故的特点出发，论述了装备的安全文化及研制阶段系统安全管理的要求；第5章重点论述了装备的研制程序及系统安全技术在研制阶段的应用，即如何通过双“V”过程自顶而下确定装备的安全性需求和自下而上验证所确定的需求均得到满足；第6章则重点阐述了安全性评估技术，并对主要的安全性评估工具做了简介；第7章简述了民机主设备清单的原理，并探讨了推广到军机的意义；第8章针对装备在使用过程中暴露出的电缆设计、安装和维修等方面的典型问题，讨论了电气线路互联系统安全性的结构化分析与评估技术。

同“以可靠性为中心的维修”技术一样，系统安全技术也是由航空领域发展而来的，并逐渐渗透到其他工程领域，终在各领域得到广泛应用。鉴于本书的适用范围较广，故亦借鉴“以可靠性为中心的维修”的模式，取名为“系统安全”而非“飞机系统安全”。

在编著本书的过程中，同济大学刘毅教授及同事项勇在适航领域给予了指导并提供了大量的资料；本书的出版得到了中国宇航出版社的大力支持。特此一并致谢！

理论源于实践，只有用于实践才能得到升华。本书主要是在消化国外大量标准、规范及文献的基础上，结合作者的工作教训与体会编写而成的，由于作者英语及专业水平有限，对系统安全工作的部分问题可能理解不透彻，书中不妥之处在所难免，恳请广大项目负责人员、工程技术人员和专家在使用本书时，能就遇到的问题和作者进行探讨。

作者
2022年12月

本书介绍了系统安全的基本概念与基本理念，讨论了系统安全管理的基本内容；详述了如何运用“安全性需求引导装备研制”的“双V”过程，将装备的研制差错控制在可接受的置信水平之内；简述了安全性评估的方法与工具；讨论了MMEL的确定原理及运用于其他航空装备上的意义；探讨了EWIS的工程问题与安全性解决方案。
本书所述内容虽以航空装备为主，但它同样适用于航天、铁路、航海等领域现代复杂装备研制时系统安全工作的规划、管理与实施，可供可靠性、安全性工程技术人员和在校工科师生参考。

第1章绪论

1.1近百年来人类十大工业灾难

1.2“挑战者”号航天飞机失事分析

1.2.1“挑战者”号航天飞机失事简介

1.2.2案例分析

1.2.3教训与启示

1.3复兴航空ATR-72飞机失事分析

1.3.1ATR-72飞机失事简介

1.3.2案例分析

1.3.3教训与启示

1.4系统安全技术发展历程

1.4.1事故调查阶段

1.4.2事故预防阶段

1.4.3系统安全原理阶段·

1.4.4综合预防阶段

1.4.5研制保证与过程控制阶段

1.5系统安全技术国外发展趋势

1.5.1系统安全技术的横向拓展

1.5.2系统安全技术的纵向深入

1.5.3结构化的研制保证和严格的过程控制技术的应用

1.5.4大系统、大综保环境下系统安全工作的统筹

1.5.5 装备使用期间的安全管理由事故调查转向过程管理

1.5.6高度重视系统安全技术在民用航空领域的应用

1.5.7特别注重民机适航技术在军机中的推广与应用

1.5.8非常注重相关标准及规章的系统化与完善

1.6系统安全技术国内的研究与应用

1.6.1发展历程

1.6.2主要问题

1.7为什么要研究系统安全

1.7.1安全是永恒的主题

1.7.2系统安全是我国装备研制的短板

1.7.3技术变革对系统安全提出新的要求

1.7.4以最经济的方式实现装备的安全性水平

1.8本书特点・

1.8.1基本理念

1.8.2期望解决的问题

1.8.3全书架构·

第2章基本概念

2.1系统、装备系统与复杂系统

2.1.1系统

2.1.2装备系统

2.1.3复杂性与复杂系统

2.1.4系统架构

2.2安全、安全性与可靠性

2.2.1安全

2.2.2安全性与可靠性

2.3安全性、系统安全与系统安全性

2.3.1安全性是系统属性

2.3.2系统安全与系统安全性.

2.4故障与故障安全

2.4.1故障・

2.4.2故障安全・

2.5系统性故障·

2.5.1系统性故障与系统故障

2.5.2系统性故障产生的原因

2.5.3系统性故障的特点

2.5.4系统性故障的控制办法

2.6差错与工作失误·

2.6.1差错

2.6.2工作失误

2.6.3差错的概率

2.7多重故障、潜伏故障与潜在故障

2.7.1多重故障与潜伏故障

……

7.3.2 PMMEL分析要求

7.3.3PMMEL分析原则

7.4MEL注意事项·

7.5军用航空领域应用探讨

7.5.1军用飞机也可“带故障”飞行

7.5.2军机最低设备清单制定与应用的基本程序

第8章电气线路互联系统

8.1概述

8.2EWIS理念与技术发展方向

8.2.1EWIS的来源

8.2.2EWIS定义

8.2.3EWIS理念

8.2.4EWIS技术发展方向

8.3装备型号EWIS问题解决方案

8.3.1EWIS的组织与管理

8.3.2EWIS安全性设计目标

8.3.3EWIS设计准则

8.3.4EWIS维护与检查要求

8.3.5EWIS标准施工手册

8.4EWIS安全性分析

8.4.1物理故障分析

8.4.2功能故障分析

附录A术语

附录B 英文缩略语

参考文献

后记

第1章绪论

1.1近百年来人类十大工业灾难

据统计，近百年来人类十大工业灾难中，就日历时间而言，1986年之后就有9起，其中发生在2000年之后的有5起，具体如下。

1）日本福岛核电站事故，经济损失：>2000亿美元。

2011年3月11日发生在日本东北太平洋的里氏9.0级地震及由此引发的海啸导致福岛第一核电站爆炸并产生核泄漏。据日本放送协会(NHK)2014年3月11日报告，截至当日，因东京电力公司福岛第一核电站事故所导致的去污、赔偿、废炉等费用已超过2000亿美元。这笔费用并没有考虑对生态环境造成破坏所带来的损失，而在两年前所估计的这笔费用则为1000亿美元。显然，该核电站对环境的破坏还在继续，因核电站事故产生的损失还将继续扩大，十年后，有很大可能远远超过切尔诺贝利核泄漏事故所带来的损失。

事故直接原因：里氏9.0级地震及由此引发的海啸。2012年7月5日，日本国会福岛核电站事故独立调查委员会将此次事故定性为“人祸”而非“天灾”，并给出最终调查报告：福岛核电站的问题在东日本大地震发生之前就已经存在，东电、政府和核电监管人员因没有及时采取有效的措施，缺乏管理能力，而“共谋”了这场灾难。

因此，事故间接原因：组织管理不当。

2）切尔诺贝利核泄漏事故，经济损失：2000亿美元。

1986年4月26日，苏联基辅以北130km处的切尔诺贝利核电站发生泄漏事故，这是目前史上与福岛核电站事故一起，并列为和平时期人类最大的社会经济灾难。其中，50%的乌克兰领土被不同程度地污染，超过20万人口被疏散并重新安置，1700万人被直接暴露于核辐射之下。与切尔诺贝利核泄漏有关的死亡人数，包括数年后死于癌症者，约有12.5万人；相关花费，包括清理、安置及对受害者赔偿等的总费用约达2000亿美元，仅为切尔诺贝利核电站重建钢制防护层的费用就需20亿美元。

事故直接原因：核电站操作人员违反操作规程、维修不当、无视安全条件所致。

3）哥伦比亚号航天飞机事故，损失：130亿美元。

哥伦比亚号航天飞机是美国国家航空航天局（National Aeronautics and SpaceAdministration，NASA）研制的航天器中首架具有航天价值的空天飞行器。2003年2月1日，它在重返大气层时由于机翼中自16天之前发射时即存在的一个小洞而坠毁。在1978年它的建造成本即达到20亿美元，相当于2012年的63亿美元，另外还花费5亿美元用于事故调查，使之成为史上最昂贵的飞行器事故调查个案，仅搜寻和发现航天飞机残骸就花了3亿美元。

4）“威望”号油轮泄漏事故，损失：120亿美元。

2002年11月13日，希腊“威望”号油轮满载7.7万t重质燃料油正在航行途中，在驶经西班牙加利西亚附近海域时遭遇暴风雨，船上12个油箱中的一个发生爆裂。随着暴风雨的不断加剧，最终该油轮被劈成两半，约2000万加仑的石油倾泄到海上。波特维特拉经济委员会的报告显示，仅其清理费用高达120亿美元。

5)“挑战者”号航天飞机爆炸事故，损失：55亿美元。

1986年1月28日，美国“挑战者”号航天飞机在起飞短短72s之后发生爆炸坠毁。“挑战者”号航天飞机失事的直接技术原因是航天飞机右侧火箭发动机上防止热气泄漏的O型密封圈失效。当时（1986年)该航天飞机的造价及航天员培养等费用约合20亿美元，相当于2012年的45亿美元；另外，在1986～1987年间用于事故调查、错误纠正、损失装置更换的费用也高达4.5亿美元，相当于2012年的10亿美元。

6）英国派珀·阿尔法石油钻塔事故，损失：34亿美元。

这是世界上损失最大的离岸石油钻塔事故。这里曾一度是全球最大的石油生产钻塔，每天可产原油31万7千桶。1988年7月6日，技术人员在进行例行维护时，共检查了100个相同的安全阀。然而不幸的是，技术人员却忘记更换其中的一个安全阀，而它就是用来阻止液态天然气囤积以防危险发生的关键装置。当天晚上10点，一名技术人员按下按钮，启动液态天然气泵，一场损失最为惨重的石油钻塔事故随之发生。在2h之内，300个工作平台都被火海吞噬，最终坍塌，造成167名工人遇难，物质损失达34亿美元。

事故原因：维修不当。

7）美国埃克森·瓦尔迪兹石油泄漏事故（1989年3月24日），损失：25亿美元。

8）美国B-2轰炸机坠毁事故（2008年2月23日），损失：14亿美元。

9）美国洛杉矶地铁相撞事故（2008年9月12日），损失：5亿美元。

10）英国泰坦尼克沉没事故（1912年4月15日），损失：1.5亿美元（不含1500多条生命）。

随着科学技术飞速发展，装备现代化水平不断提高，越来越向大型化、高速化、电子化以及结构的复杂化和功能的智能化与综合化方向发展，复杂装备在使用过程中经常发生故障。有些故障一旦发生，往往会导致灾难性后果，且灾难的严重程度还与装备的复杂程度相关。

本书可供航空、航天、铁路、航海等复杂且重要的领域中的系统安全工程相关规划与管理者参考。

本书介绍了系统安全的基本概念与基本理念，讨论了系统安全管理的基本内容；详述了如何运用“安全性需求引导装备研制”的“双V”过程，将装备的研制差错控制在可接受的置信水平之内；简述了安全性评估的方法与工具；讨论了MMEL的确定原理及运用于其他航空装备上的意义；探讨了EWIS的工程问题与安全性解决方案。