飞机被广泛认为是当前最安全的交通工具之一。尽管其飞行高度高、速度快，但其事故率之低在各类交通方式中首屈一指。业内有一个常被引用的数字——“十亿分之一”，即对于灾难性故障，其发生概率不得超过十亿分之一每飞行小时。这一指标并非出于保守估计，而是明确写入了我国《民用航空器适航标准》第 25 部（CCAR 25.1309）中的强制性技术条款，构成了民用飞机系统设计的基础安全约束。

“十亿分之一”这一安全目标从何而来？若要回答这个问题，必须先厘清一系列更为基础的工程逻辑：

在飞机尚未交付、甚至仍处于设计阶段时，如何评估其未来的失效概率是否满足这一极低的容限要求？

如何在系统尚未定型、数据不完备的早期阶段识别潜在风险，并将这些风险转化为可执行的设计约束？

实际上，“十亿分之一”绝非依赖经验判断或概率估算，而是基于一整套成熟且严格的系统安全性评估体系。其中，飞机级功能危险性评估（AFHA, Aircraft Functional Hazard Assessment） 和初步飞机级安全性评估（PASA, Preliminary Aircraft Safety Assessment）构成了该体系的核心环节与工作基础。

01. 风险识别的起点：AFHA

AFHA 是开展系统安全性工程的首要步骤，指系统、综合地按层次检查飞机级功能的安全性评估方法，以确定在其故障、以及正常工作时可能产生或潜在的危险及后果，并基于其对飞行安全、飞行员操控负荷、机组工作负荷和乘客舒适性的影响进行定性与定量评估。

通过对每一项功能的失效场景进行系统分析，AFHA 将故障后果划分为不同的危害等级（如 灾难性 Catastrophic、危险性 Hazardous、重要性 Major、轻微性 Minor、无影响 No Safety Effect），并据此设定相应的安全性目标（Safety Objectives）和开发保证等级（Development Assurance Level, DAL），为后续安全性分解、建模与验证工作提供可量化、可追踪的输入依据。

AFHA 的分析结果是下一步安全性评估流程（如 PASA）的必要输入，其结论将被用于指导后续 PASA 过程中安全需求的分解与分配。基于 AFHA 输出的故障等级与目标，PASA 进一步承担起将安全性目标系统化、工程化的任务。

02. 从逻辑推演到架构约束：PASA

PASA 的目的是将飞机级功能危险评估中建立的安全性目标要求分解至系统， 形成系统设计的具体安全性需求，成为全机安全性设计的技术基准。

▲初步飞机安全性评估流程

PASA 的基本目标，是将 AFHA 中识别的失效影响与系统架构建立逻辑关联，并通过建模、逻辑演绎与层级分解，明确各项安全性目标应如何在系统、子系统乃至具体部件级别得到满足。换言之，PASA 不仅回答“哪些功能失效是危险的”，更进一步回答“这些失效可能由哪些系统或部件引发”“应采用哪些架构设计手段避免风险达到不可接受的水平”。

该过程通常从飞机级功能架构出发，逐步构建系统间接口关系、功能链路、失效传播路径等模型，采用如故障树分析（FTA, Fault Tree Analysis）、失效传播建模（Failure Propagation Modeling）等手段，建立起从灾难性后果向上追溯至失效根因的逻辑网络。最终，通过对每一条潜在失效路径的概率评估与结构冗余分析，PASA 形成对全机安全性的初步闭环验证。

PASA 的难点不仅仅在于系统本身的复杂性，更在于“合理假设”的管理与落实。许多安全方案在设计之初会依赖特定假设，例如告警是否及时、飞行员能否迅速识别并执行操作、备用系统是否具备无缝切换能力。这些假设在 PASA 中必须逐项进行验证。如果无法通过历史数据或人因研究加以支持，就需要转化为具体的设计输入，并在架构设计和系统接口中明确体现其逻辑依据和实现手段。

03. 安全建模的动态本质

PASA 并不是一次性输出的静态报告，而是与飞机架构设计同步迭代的过程。随着设计方案的演化，系统功能定义、物理连接、任务逻辑不断调整，PASA 的建模与分析结果也必须实时更新。这种同步性要求安全分析团队具备高效的数据管理能力和模型重构能力，确保任何设计变更都能及时反馈至安全模型中，防止安全性目标因信息滞后而被架空。

在此背景下，传统依赖人工分析和文档流转的 PASA 模式逐渐暴露出效率瓶颈，尤其是在多系统并行开发、接口定义尚未冻结的复杂工程环境下，安全性建模工作常常面临更新滞后、版本错配、验证难以闭环等问题。

为此，近年来面向 PASA 实施过程中的核心瓶颈环节，业内逐步引入基于模型的安全性分析方法（MBSA, Model-Based Safety Assessment），并在关键系统设计层面集成处理器仿真等技术手段，以提升早期建模的准确性与验证效率，从而加快迭代节奏，缩短系统设计周期，整体提升复杂系统的研发效率。

04. 处理器仿真：嵌入式系统安全验证的前沿工具

处理器仿真作为安全关键系统设计中的核心工具之一，主要应用于飞机的飞管飞控、显控、大规模航电系统等具备复杂逻辑的软件密集型子系统。通过在仿真环境中对嵌入式处理器及其运行行为进行精确建模，快速搭建虚拟硬件模型并提前进行开发、测试和验证工作，不仅有助于识别架构设计中的隐藏耦合关系，也能在 PASA 所需的系统级失效建模中提供高可信的行为支持数据。

天目全数字实时仿真软件 SkyEye，是当前嵌入式处理器仿真领域的代表性工具之一。作为一款支持多架构处理器（如 ARM、RISC-V、DSP、PowerPC、MIPS 等）及其外设接口建模的全数字仿真平台，可为嵌入式系统构建高保真的虚拟运行环境，具备可视化建模与硬件行为级仿真能力。在 PASA 分析过程中，SkyEye 可用于在物理样机尚未成型之前的系统级软件加载、运行逻辑验证与故障行为观测，有效支撑对关键处理器失效模式的早期建模与响应机制验证，从而提升安全性分析的前置深度与执行效率。

参考文献

[1]冯臻.民用飞机适航验证中的飞机安全性评估技术研究[J].航空标准化与质量,2015,(06):32-36.DOI:10.13237/j.cnki.asq.2015.06.008.

[2]刘艳.浅谈飞机级功能危害评估(AFHA)流程[J].科技资讯,2011,(29):53.DOI:10.16661/j.cnki.1672-3791.2011.29.041.

[3]池巧君.基于飞机架构的初步飞机安全性评估方法研究[J].科技创新导报,2015,12(36):41-42+44.DOI:10.16660/j.cnki.1674-098X.2015.36.041.

原文链接：https://mp.weixin.qq.com/s/YsBY8m55XoiPHp7HnlE4jQ