初步系统安全性评估

初步系统安全性评估（精选4篇）

初步系统安全性评估 篇1

现代航空的发展对民用飞机的安全性提出了更高的要求，作为现代民用飞机的关键系统飞控系统，其系统安全性工作显得尤为重要。系统安全性工作包括初步功能危险性评估、初步系统安全性评估、系统安全性评估、失效模式影响评估、共因分析等。本文主要对初步系统安全性评估进行介绍。

1. 初步系统安全性评估

初步系统安全性评估主要是用来评估系统的设计架构是否满足FHA中提出的系统安全性需求，并确定失效如何导致FHA中确定的失效状态，可以在系统研制的多个阶段进行。PSSA可以确定保护性措施，如隔离、机内测试、监控、独立性和安全性、维修性任务间隔。

PSSA是一个自上而下，与设计定义不断迭代的评估方法，将顶层安全性指标基于系统的架构从上而下进行分配，可得到对组件级设备包括软件和硬件、接口系统信号的安全性需求。主要包括以下三方面内容： (1) 制定出一份完整的飞机级和系统级的安全性要求列表; (2) 确定是否可以合理的预期该构型和拟定的概念设计能够满足提出的安全性要求和目标; (3) 为下一级设备(硬件和软件)的设计，飞机安装，其他系统和运行指定安全性要求。

PSSA的输入是系统功能危害性分析中的失效状态、影响等级、安全性目标，系统设计架构等。PSSA可以从定性、定量两个方面对系统进行评估，最长采用的分析方法是故障树FTA。在PSSA中通过采用FTA可以确定依法系统级FHA中所列失效装填的各种失效，包括硬件失效、可能的硬件/软件误差，以及由于共因导致的故障等。在以系统级FTA中所列的失效状态为顶事件建立故障树后，如果是定性分析，可以明确各个硬件和软件的失效在导致顶层失效状态发生这一事件中起的作用;如果是定量分析，则可以利用布尔运算法则将顶层失效状态的概率要求层层分解、逐一分配到硬件，形成对硬件的可靠性要求。

PSSA是一个反复迭代的过程，贯穿飞机研制的全过程。在飞机研制的初期阶段就需要进行PASA以便将飞机功能以及相应的要求分配给系统，后续系统级要求又会通过PSSA分配给设别，最终，设计要求将被分配给硬件和软件。分配给设备的安全性指标将决定硬件的可靠性要求记忆针对硬件和软件的设计保证等级。这些要求和设计保证等级最终将以技术规格的形式出现在设备技术规范里。

2. 飞控系统PSSA

本文对某型民用飞机飞控系统进行初步系统安全性评估，具体工作如下。

(1) PSSA故障树分析。

某民用飞机飞控系统采用的系统架构为：驾驶员通过操纵装置发出指令经过计算机控制律计算后控制舵面驱动装置达到指定位置，通过舵面位置传感器反馈舵面位置。计算机具有监控锁止功能，当发现系统存在故障时，计算机通过锁止装置将整个系统停在当前位置。

由于飞控系统FHA中的失效状态有几十条，本文以I级失效状态“舵面非指令运动过限”为例，进行PSSA。舵面非指令运动过限的安全性需求为其概率应小于1E-9每飞行小时。

根据系统安全性要求及初步系统架构，确定系统设计/架构决策：采用并行双通道位置传感器;采用多台具有指令-监控架构的计算机将传感器信号表决后进行监控;采用故障-安全设计的舵面锁止装置锁止舵面。

通过对该失效状态故障原因的分析，并对其进行自上而下的概率分配，可得到如图1所示故障树及相应概率分配结果。

根据故障树的分析结果，当前的架构能够满足系统级安全性需求，并且该架构可以通过工程实现。

(2）研制等级分配（DAL）。

在故障树图1FTA中，分析可得非指令运动过限的一个最小故障割集如图2所示。根据ARP 4754A进行研制保证等级分配，基于保守考虑，将计算机的软件研制保证等级定为A级，计算机的硬件研制保证等级为A级。设备内部详细DAL将随着设计的细化进一步分配。

3. 建立安全性要求

(1）组件级安全性要求。

基于故障树的分析结果，可得到对下一层级组件级的安全性要求。

(1) 操纵装置错误输出的概率应小于5E-10每飞行小时; (2) 错误的舵面位置传感器输出的概率应小于7E-6每飞行小时; (3) 错误的计算机输出的概率应小于7E-6每飞行小时; (4) 舵面运动时丧失驱动的概率应小于7E-6每飞行小时; (5) 计算机丧失锁止功能的概率应小于1E-5每飞行小时; (6) 舵面锁止装置失效的概率应小于1E-5每飞行小时。

考虑到飞控系统应排除共模失效(液压系统、电气系统、硬件失效、软件失效等)，采用多路液压源和电源驱动。

(2）安装要求。

由于飞控系统在安装时应排除区域危害(如火灾、泄露等)，飞控系统设备安装需将计算机布置尽量远离，且计算机、传感器布置应尽量不受HIRF、闪电影响，机械件安装时则应考虑保留合理的安装间隙、变形影响等。

(3）维护工作要求。

为及时检测故障，提高维修效率，飞控系统需进行周期性的和持续性的自检测，包括上电自检测、初始化自检测、相关功能监控等。

4. 总结

本文对初步系统安全性评估工作的目标、输入、评估内容、输出结果进行了介绍，对某型民用飞机飞控系统进行初步系统安全性评估，用故障树的方法进行了定性和定量分析，并得到了硬件和软件的研制保证等级要求、组件级安全性要求、安装要求、维修工作要求。

在完整的分析中，PSSA的输入还有来自于飞机级的共因分析，由于共因分析因机型不同而不同，本文并未详细列举。本文在进行PSSA分析时，采用的是故障树的分析方法，马尔科夫分析、关联图同样也可以被选作PSSA的分析工具。

参考文献

[1]SAE.SAE ARP4761Guideline and Meathods for Conducting the Safety Assessment Process on Civil Airborn System and Equipment[S], SAE, 1996.

[2]SAE.SAE ARP4754Rev.A Guidelines for Development of Civil Aircraft and System[S], SAE, 2010.

初步系统安全性评估 篇2

关键词：信息安全风险评估；模糊评价；EOMS流程

1 信息安全风险评估模型

在风险评估的风险分析阶段主要采用定性的分析方法。由于该阶段所需数据往往很难精确统计或统计成本过高，通常采取结合人员经验的方法进行实施。

R=f (A，T，V，P)

式中：A：资产价值T：威胁事件发生的影响V：薄弱点的严重程度P：威胁利用系统薄弱点的可能性。

从风险分析模式公式中可以看出，风险值是一个多因素函数，由资产价值，威胁事件发生的影响，薄弱点的严重程度以及威胁利用系统薄弱点的可能性四个因素决定，并且这四个因素都不能用很确切的数值表示。作者由此联想到利用模糊平价法进行风险值的计算。因为，模糊评价法是对受多个因素影响的事物做出客观，全面的评价。

1.1 资产价值

此时的资产价值不仅仅为自身的价值，而是它在信息系统中的价值，与资产的机密性、完整性和可用性有关。具体计算过程如下：对于现有信息资产A，评判小组人员分别对每个资产对信息机密性，完整性和可用性的影响打分，得到考核集的隶属度：

2 风险评估模型的应用

2.1 资产价值

3 结论

本文是在信息安全风险评估理论基础上，提出了基于模糊评价法的评估模型，并将该模型付诸实践，取的了良好评估效果。不同于矩阵式的定性分析方法，基于模糊评价法的评估模型更加客观，科学，容易操作。另外，整个评估过程都是使用模糊评价法，保证了评估的一致性，完整性。虽然，本文是针对的EOMS流程管理平台系统进行信息安全风险评估的，但是不代表该评估模型只是适用于这种流程系统，由于该评估模型无论从评估流程到风险计算方法都是建立的通用的理论基础上，因此，该评估模型同样适用于其他的信息系统。

参考文献

[1] Hutt，Arthur E，Bosworth，“Computer Security Handbook [M]”.New York：John Wiley & Sons，Inc，1995.

初步系统安全性评估 篇3

北斗卫星的导航系统简称是北斗系统,英文的缩写是BDS。北斗卫星的导航系统是我国自主研发创建的、可独立运行的,并且与世界上其他卫星系统兼容共用的全球的卫星导航系统,可以在全球范围内,全天候的为各种用户进行高精确度、高效率、高可靠性的定位、导航、授时的服务。自2012年以来北斗卫星系统的覆盖地区由原来的东经的84度-160度扩大到了现如今的东经的55度-180度,系统的定位精确度也不断提高,由过去的水平25米,高度的30米到现在的水平10米,高程10米。可以说到目前为止,中国的北斗的定位系统已经基本建好,可以独立的为中国以及周边地区提供卫星的导航定位的授时服务。中国的北斗卫星的导航系统在总体性能上与美国的GPS的性能相当。而且,我国的北斗卫星的导航系统也在积极的与美国的GPS等定位系统兼容共用。

二、北斗卫星的导航系统所用到的技术介绍

北斗卫星的定位原理,北斗卫星的导航系统是由35颗卫星在距离地球两万多千米的高空中,用固定不变的周期来环绕地球进行运行,保证在任何时间、任何地点地球上都可以同时发现观测到四颗以上的卫星。北斗卫星的接收机通常情况下可以锁定四颗或更多的卫星。这个时候,卫星的接收机可以按按卫星星座的分布状况划分许多组,每个组四颗,然后运用算法挑选一个误差最小一组来进行定位,从而可以提高定位的精确度。北斗卫星的定位使用的是到达时间差即时延的概念。通过对每一颗卫星精确的定位与不断的发送卫星上的原子钟所形成的导航消息从而取得从卫星到接收机之间的到达的时间差。

北斗卫星的导航原理是距离北斗卫星的轨道的位置与系统的时间。在地面建立的主控站和运控段的同时行动,每天至少一次的对每一颗卫星进行输入校正的数据。输入的数据有:星座当中每一颗卫星轨道的位置的测定与星上的时钟校正。所输入的校正的数据都是通过复杂的模型来进行计算得出的,一般几个星期之内是有效的。北斗卫星的定位导航的系统时间是和卫星上的原子钟与铷原子的频率要保持一致的。北斗卫星的导航原理是卫星到用户之间距离的测量是根据卫星发出信号的时间和到达的接收机时间的差距得出的,这就是伪距。而为了计算用户的具体位置与接收机的时间差,至少需要通过四颗卫星的信号进行计算。因为卫星的运行轨道和卫星的时钟会存在偏差,这使得民用的卫星定位的精确度很差。所以为了提高卫星定位的精度,我们通常采用差分的定位技术。这种查分的定位技术可以大大的提高卫星导航系统的定位精确度,从而提高对用户的高质量服务。

三、北斗导航定位的性能分析

1、单点的定位。北斗卫星的导航定位性能中的单点定位是通过对北斗卫星的误差模拟改正,作出评价。从而提高北斗卫星导航定位的水平的精度、高程的精度以及三维位置的精度。2、伪距差分的定位。伪距差分的定位是一种差分定位方法,也是现今为止应用最为广泛的一种技术。在北斗卫星的基准站中可以观察所以卫星,通过基准站中已知的坐标和各个卫星的坐标,可以求出每颗卫星在每一时刻与基准站的距离。再通过和测量到的伪距进行比较,得出伪距后改成正数,再将这个数据传输到用户的接收机上,这种差分,可以提高定位的精确度。3、载波相位差分定位。北斗卫星的载波相位差分定位,是实时的处理两个测站的载波相位的观测量的差分的定位方法。在使用的过程中将基准站所采集的载波的相位发送到用户的接收机上,接着再进行求差来解算坐标。卫星的载波相位的差分定位可以使得定位的精确度大大提高。这一技术大量的应用在动态的需要极高精确度的地方。

四、小结

北斗区域的卫星的导航系统在2012年的12月27日正式宣布运行,之后为亚太地区的用户提供了精确的独立的卫星导航的定位高质量服务,同时加强了亚太地区卫星的导航定位系统服务的高精确度、独立性和可信赖性。在2014年的11月17日到21日的国际会议中,联合国的负责设立国际海运的标准的一个国际性的组织——海上安全委员会,在这一会议中中国的北斗卫星的导航定位系统被正式的纳入到了全球的无线电的导航系统中。这充分说明了,我国综合实力国际地位的提高。我国的北斗卫星导航定位系统成为继美国GPS系统与俄罗斯的格洛纳斯系统之后的第三个国际认定的海上的卫星导航定位系统。一位专门的研究中国的太空项目与信息化战争的美国加州大学的专家凯文·波尔彼得说到,这一举措是对北斗卫星导航定位系统能够在它所覆盖的范围之内提供高精确度的定位服务的认可。

参考文献

民用飞机气源系统安全性评估 篇4

民用飞机机气源系统设计采用系统安全性评估的方法来进行符合性验证适航规章§25.1309条款[1]的要求。SAEARP4761中提出了一套机载系统安全性评估的方法, 包括:功能危害性评估 (FHA) 、初步系统安全性评估 (PSSA) 、故障模式及影响分析 (FMEA) 、故障树分析 (FTA) 、共因分析 (CCA) 、系统安全性评估 (SSA) 等, 其中共因分析 (CCA) 包括区域安全分析 (ZSA) 、特殊风险分析 (PRA) 、共模故障分析 (CMA) [2,3]。

本文对民机气源系统安全性评估的方法和过程进行了分析和论述。

1 民用飞机气源系统简介

典型的民用飞机气源系统通常为从发动机、APU或地面高压气源引气, 为空调、机翼防冰、发动机起动、燃油箱惰化及水箱增压提供气源, 满足下游用气系统的压力、温度和流量需求。

民用飞机气源系统的主要功能有:

1) 对选择从发动机引气、APU引气或者地面高压气源引气进行管理, 为空调系统、机翼防冰系统、燃油惰化系统、水废水系统及发动机起动系统提供引气;

2) 发动机压缩机中压级和高压级之间的引气自动转换;

3) 发动机引气压力控制;

4) 发动机引气温度控制;

5) 发动机引气关断功能;

6) 回流保护功能;

7) 交输引气与隔离功能;

8) 实时监控和指示。

2 安全性评估

2.1 安全性评估流程

根据SAEARP4754和SAEARP4761中的安全性评估方法, 系统安全性工作流程见图1。首先根据飞机级功能和飞机级FHA的输入及系统级功能, 开展系统级FHA;其次开展系统PSSA, 制定系统构架, 对安全性需求进行分配;然后进行共因分析, 验证关键设备冗余设计的有效性, 保证设计中相关设备功能的相容性和独立性;最后进行SSA分析, 运用FMEAFTAPRACCA等分析方法, 验证系统满足安全性要求和适航条款要求。

2.2 功能危险性评估 (FHA)

FHA是系统综合地检查产品的各种功能, 识别功能的各种失效状态, 并根据失效状态的严重程度对其进行分类的一种安全性分析方法。系统级FHA以各ATA章节或系统为对象, 研究其在飞机设计的整个飞行包线和不同飞行阶段内, 可能影响系统乃至飞机整机安全飞行的功能失效。系统级FHA给出各种功能的危险后果评估, 推导或者确认系统安全性设计准则, 提出系统安全性要求, 推荐可能的控制措施。

气源系统是是为飞机用气系统提供能源的一个系统, 其系统失效对系统本身影响不大, 失效影响等级的确定需根据气源失效对下游系统的影响来进行确定, 较为关键的是空调系统和防冰系统。飞机级FHA关注的气源系统失效状态为:无法为用气系统提供引气, 失效状态定义为较大的 (Ⅲ级) 。在进行气源系统FHA时, 除考虑飞机级FHA外, 更多应考虑气源系统本身功能失效对下游系统及飞机的影响, 如系统的调温/调压功能、回流保护功能和交输引气功能等。值得注意的是, 在已有的双发飞机两侧发动机引气气源系统设计中, 还需特别关注单发引气是否具备同时满足下游空调和机翼防冰等用气系统的用气需求。

2.3 初步系统安全性评估 (PSSA)

PSSA是一个自上而下的分析方法, 其关键是确定失效如何导致由FHA识别的功能危险性的。PSSA主要包括以下内容:

1) 确定FHA所产生的一组初始安全性要求;

2) 确定失效状态清单以及相应的安全性要求;

3) 提出满足初始安全性要求的设计决策;

4) 结合初始安全性要求和设计/构架决策, 产生一组完整的系统安全性要求;

5) 用故障树分析设计决策对安全性要求的符合性;

6) 确立安装要求、组件级要求、对其他系统的要求和安全性维修要求。

PSSA过程是对所提出的系统构架进行系统性核查, 以确定失效如何能导致由FHA所识别的功能危险性, 以及如何能够满足FHA的要求, 确立系统和部件的研制保证等级、系统安装/维修要求及其对其他系统的安全性要求。

气源系统PSSA首先对确立的系统构架进行评估, 对系统设计实施的功能冗余度、功能隔离和功能独立性进行评判;其次进行PSSA故障树分析, 确立系统功能研制保证等级和软/硬件研制保证等级及对其他系统的安全性需求;最后确立系统的安装维护要求。

2.4 失效模式和影响分析 (FMEA)

FMEA是确定系统、产品、功能或零件的故障模式, 及其对高一层次设计的影响的一种系统方法, 是一种系统性的自下而上的分析方法。典型的FMEA信息表见图2。

气源系统FMEA是针对系统每个部件, 填写完善FMEA信息表, 识别出可能导致灾难级 (Ⅰ类) 或危险级 (Ⅱ类) 的失效和部件的潜在失效, 对风险进行控制或消除。当确定的I类和Ⅱ类故障模式不能消除或不能处于受控状态, 以致到了不能接受的程度时, 则应提出其它控制措施和建议。

2.5 故障树分析 (FTA)

FTA是一种对复杂系统, 或影响飞机安全和任务完成的系统常用的安全性、可靠性分析方法。它通过演绎的故障分析法研究系统特定的不希望发生的事件, 即顶事件。通过由上向下严格按故障的层次进行因果逻辑分析, 逐层找出故障事件的必要而充分的直接原因, 画出逻辑关系图 (故障树) , 最终找出导致顶事件发生的所有原因和原因组合。由分析结果可以确定被分析系统的薄弱环节、关键部位、应采取的措施、对可靠性试验的要求等。对最终故障树来说, 可以确定该顶事件的各种可能的潜在故障, 揭示系统内部的联系, 指导故障诊断和维修方案的制定, 确定系统检测装置的最佳配置等。

2.6 共因分析 (CCA)

气源系统要满足一定的安全要求, 气源系统与其它系统之间、部件与部件之间就需要一定的独立性。CCA是检验这种独立性、鉴定具体的非独立性关系的分析方法。CCA包括区域安全分析 (ZSA) 、特殊风险分析 (PRA) 、共模故障分析 (CMA) 。气源系统的特殊风险分析通常包括了防火、轮胎爆破分析、鸟撞分析、非包容性转子爆破分析等。比较重要的方法通常为ZSA和非包容性转子爆破分析。

2.6.1 区域安全性分析

区域安全性分析 (ZSA) 通过对飞机各区域进行的兼容性检查, 判定各系统或设备的安装是否符合安全性设计要求, 判定位于同一区域内各系统之间相互影响的程度, 分析产生维修失误的可能性, 尽早发现可能发生的不安全因素, 提出改进意见, 保证飞机各系统之间的兼容性和完整性。下列是气源系统必须遵循的独立性要求:

1) 高压管路应尽量避免布置在燃油/液压管路的正下方;

2) 运动件与固定件之间的最小运动间隙应不小于12.7mm;

3) 两个运动件之间的最小运动间隙应不小于25.4mm。

2.6.2 非包容性转子爆破分析

非包容性转子爆破气源系统设计应遵循冗余、避让、隔离的原则进行布置, 尽可能得使气源系统设备布置于发动机转子爆破影响区之外。对于不能避开转子爆破影响区的系统设备 (发动机引气部件) 则尽量采取设计冗余措施, 保证其失效不影响飞机继续安全飞行和着陆。

2.7 系统安全性评估

系统安全性评估是对所实现的系统进行系统性的综合评价, 用来检验系统和安装满足相关的安全性要求。对于在不同级别的每一个PSSA, 应该有一个相应的SSA。系统安全性评估过程与PSSA的活动相似但是范围有所不同, PSSA是评价所提议的构架并导出系统/组件安全性要求的方法;而SSA是综合各种分析结果, 以验证所实现的系统满足在FHA和PSSA中所定义的定性和定量的安全性要求。

SSA综合了FMEA、FMES、FTA、CCA等各种分析的结果, 以验证气源系统满足安全性要求和适航条款要求。

3 总结

本文通过SAEARP4761中提出的一整套系统安全性评估的方法来表明验证气源系统安全性设计是满足安全性和适航条款要求的。实际运营时各航空公司仍需要对气源系统使用及维护相关的人员进行深入的安全意识及安全性能培训, 提高他们对气源系统风险性的认识, 规范气源系统使用和维护的方法, 从而避免事故的发生。

参考文献

[1]运输类飞机适航标准.中国民用航空规章第25部[S], 2011.

[2]Guidelines for Development of Civil Aircraft and Systems[Z].SAE ARP 4754, 2010.