波音CEO认错的背后——功能安全究竟有多重要

在阅读本文了解什么是功能安全之前，我们先回顾下近日再度登上微博热搜的这一事件——#波音CEO承认在737MAX上犯下的错误。

“10月29日，是印尼狮航610航班坠机事件一周年，美国国会将于今日召开针对波音737MAX客机坠机事故的听证会。听证会前，一份提前被曝光的书面证词显示，波音CEO丹尼斯•米伦伯格将向美国国会承认，波音在737MAX上犯下错误。种种迹象表明，波音希望借此机会向公众诚恳道歉，并希望获得谅解，但是预计议员们仍将回以严厉质询。目前，波音已经为停飞的737 MAX客机开发了软件修复程序，并寄希望于早日复飞，以扭转被竞争对手空客超越的局面。”

那么，在波音737MAX客机上发生过哪些事故呢？

2018年的10月29日，狮航一架航空编号为JT610的波音737max客机，飞机在起飞13分钟后突发技术故障，坠毁在爪哇岛北部海域，机上189人全部遇难。

2019年3月11日埃塞俄比亚航空公司一架编号为ET302的航班从亚的斯亚贝巴起飞，在起飞6分钟后就失去联系并坠毁，机上149名乘客8名机组人员共计157人全部遇难，其中有8名中国籍乘客。

事故的调查结果表示：这两起事故都是智能化系统功能错误导致的飞机失控，属功能安全事故。

什么是功能安全

通常来说对于功能安全的定义为：当安全相关系统发生故障或者错误，不会导致安全机制的失效，从而避免人身和财产的损失。也就是说，装置或控制系统的安全功能无论在正常或者故障的情况下都应保证安全机制的正确实施。

举个栗子，汽车制动防抱死系统（ABS）是功能安全的控制系统，当在汽车制动时，自动控制制动器制动力的大小，使车轮不被抱死，处于边滚边滑的状态，以保证车轮与地面的附着力在最大值。如果该项安全机制失效，车轮抱死，那么可能会导致翻车事故。

功能安全相关标准

国际电工委员会（IEC）在2000年发布了第一个功能安全标准-电气/电子/可编程电子安全相关系统的功能安全标准IEC61508，在工业界引起强烈反响。2003年，IEC又颁布了适用于石油、化工等过程工业的标准IEC61511，随后不同领域的功能安全标准也陆续出台，比如针对核电行业功能安全标准IEC61513、道路车辆功能安全标准ISO26262。

虽然我国功能安全起步较晚，但是近些年随着国家对功能安全标准越来越重视，各个行业均相继开展了功能安全的国家标准转化的工作。在交通、医疗设备、机械设备、家电等领域，对安全功能均提出了相应的安全标准。

功能安全的核心

功能安全的核心部分为安全完整性等级和安全生命周期。根据IEC61508的定义，安全完整性是在规定的条件下、规定的时间内，安全相关系统成功执行所要求的安全功能的概率。为了具体量化安全完整性，有4种安全完整性等级，其中安全完整性等级4最高，等级1最低。系统的安全完整性等级越高，实现安全功能的概率越高。

最新的IE61508 中，安全生命周期的定义为：安全相关系统功能实施中，从项目的概念设计阶段开始到所有安全功能停止使用为止的时间段中的必要活动，是对整个生命周期的评估、测试和管理。