基于模型的無人機系統安全性分析

海裝裝備項目管理中心 北京市 豐臺區 100843

通過研究目前國內外系統安全性在軍用無人機研制的實施現狀及標準規范，結合民機系統安全性分析流程，考慮國內軍用無人機安全性分析工作的工程實踐，對國內軍用無人機研制安全性工作規劃進行研究。結合通用的飛機生命周期階段，按照系統工程正向研制流程，給出飛機研制不同階段應開展的安全性工作規劃，明確不同層級安全性活動的啟動及凍結節點，同時根據規劃內容給出國內軍用無人機開展系統安全性工作應考慮的重點。針對具體的安全性分析方法，以某型飛機起落架系統為例，通過基于模型的安全性分析（MBSA）演示其在未來工程實踐中的潛在優勢，同時提出該技術方法運用所需的注意事項。綜合宏觀安全性工作規劃與微觀安全性分析方法兩個維度，為國內軍用無人機規范化開展系統安全性分析工作奠定基礎。

飛機研制是一項復雜的系統工程，隨著航空技術的不斷發展，新技術、新材料、新工藝不斷推陳出新，系統集成化程度系統越來越高。而軍用無人機考慮面向復雜的作戰環境，通常對技術先進性要求更高，但其發生事故，會造成巨大經濟損失的同時還會嚴重影響作戰能力的發揮。因此，軍用無人機安全性問題已成為軍方和工業方共同關注的重要問題。

國外軍用無人機研制都明確將安全性分析作為強制要求在實際應用中進行貫徹、實施，美軍標MIL-STD-882E是目前眾多國家開展安全性的引用標準，該標準引用了民用飛機系統安全性文件AC25.1309-1A《美國聯邦航空局資訊通報：系統設計和分析》和SAE ARP4761《對民用機載系統和設備進行安全性評估過程的指導和方法》。因此，隨著民用飛機系統安全性技術逐步成熟，并在民用飛機安全性方面取得巨大成果，系統安全性分析技術在軍、民用飛機研制中開始逐步統一。例如20世紀90年代末，美國西科斯基所研制的S-92的安全性分析和設計便是按ARP 4761的分析技術進行的，國內與法國合作研制的EC175/Z15，同樣是按ARP 4761進行安全性分析和評估。通過采用民用飛機安全性分析流程，確定最優的減少和控制風險的措施，從而在使用有效性、費用和進度等限制條件下，確保軍用無人機型號達到理想的安全水平。

目前國內諸多軍用無人機型號也在開展系統安全性分析工作，包括功能危險分析（FHA）、初步系統安全性分析（PSSA）、失效模式與影響分析（FMEA）及區域安全性分析等，整個分析過程尚缺乏整體的系統性，安全性分析工作與設計工作聯合不夠緊密，致使安全性分析結果對設計工作無法產生有效指導，也很少發現設計的差錯與缺陷，對于提出的安全性要求缺乏有效的定性及定量證據表明符合性。因此在研或后續研制機型，應做好頂層的安全性工作規劃，在型號項目立項初始就應該結合研制階段對全研制周期整機級、系統級、設備級等安全性工作進行定義，確保安全性分析對于設計活動的有效指導。

本文通過研究民機系統安全性分析流程、調研國內軍用無人機系統安全性分析開展情況，對適用于軍用無人機研制的安全性分析工作規劃結合航空裝備研制生命周期進行介紹，并根據基于模型的安全性分析（MBSA）案例，展示MBSA技術優勢，說明未來軍用無人機型號上推廣實施MBSA的可行性，最后，給出后續軍用無人機型號系統安全性工作開展的思考與結論。

系統安全性概念及相關標準

系統安全性概念

飛機的安全性是飛機的一種固有屬性，是指通過設計和制造賦予飛機的不發生事故的能力。該屬性主要表現為兩個方面：

設計屬性：安全性作為飛機的固有屬性，其是飛機研制過程中設計出來的，因而具有設計屬性，是設計師團隊的關鍵設計目標；

行為屬性：安全性關注的一個重要方面是對人造成的危害，而人為操作因素又是造成事故發生的重要因素，與此同時，在飛機研制過程中對飛行員、維修人員等操作的規定與培訓則是通過人的行為防止事故發生。

系統安全性則是在安全性發展的過程中逐步發展起來的一門專門學科，軍用無人機系統安全性則定義為：“在系統壽命期所有階段內，在使用效能、適用性、時間和費用等項約束下，運用工程和管理的原理、準則和技術使安全性涉及的所有方面最優化。”系統安全性強調設計屬性，通過運用相關技術原理降低與費用、方案和設計要求相關的系統風險，從而實現控制系統風險的目標。對軍用無人機而言，可以進而保證減少飛機損失，實現戰斗能力的最大化。

軍民用系統安全性標準

本文主要對美國及國內主要的裝備系統級軍民用系統安全性標準進行梳理介紹。

(1)美軍MIL-STD-882美國國防部標準實踐-系統安全性

MIL-STD-882系列標準主要關注武器系統的系統安全性工作，并不僅限于飛機系統，而是面向所有的武器系統的通用標準。該標準從1969年7月初版發布至今已修訂6次，目前有效版本為MILSTD-882E，標準內涵也逐步從保障武器裝備和人員的安全向保持環境安全和人員職業健康延伸。該標準內容不僅包含具體系統安全性技術內容，還包含安全性管理工作內容。

(2)SAE ARP 4761民用機載系統和設備進行安全性評估過程的指導和方法

ARP 4761是專門針對民用飛機機載系統和設備安全性評估的方法與指南，不同于MIL-STD-882E，ARP4761只涵蓋飛機研制階段，而非全生命周期，且ARP 4761對安全性分析方法及流程提供具體的技術實施指南，指導工程實踐采用定性與定量的方式確定安全性要求，并隨著系統、飛機集成過程進行驗證，不包括系統安全性管理方面的工作。

(3)GJB 900A-2012裝備安全性工作通用要求

該標準是在GJB 900基礎上修訂而來，規定了軍用系統安全性的一般要求和管理與控制、設計分析、驗證與評價、培訓、軟件系統安全性等方面的具體要求，作為訂購方提出具體系統的安全性要求和承制方制定具體系統的安全性大綱的基本依據。

上述標準僅是系統安全性相關典型標準，但相比而言國外的標準較為全面，不僅包括頂層的安全性工作要求，也具備工程技術的具體實施流程，國內目前尚缺乏完善的系統安全性標準體系，尤其是具體實施層面的方法指南文件，致使在型號研制工程實踐的系統安全性分析中缺乏指導。

系統安全性分析工作規劃

針對國內目前軍用無人機研制安全性工作存在的問題，本文以ARP 4754A系統安全性分析流程為基礎，結合目前國內在部分機型開展的安全性分析工作，并考慮通用的飛機生命周期階段，按照系統工程正向設計流程，給出軍用無人機在全生命周期階段的系統安全性工作規劃。整個安全性工作按生命周期階段和不同層級兩個維度進行規劃，如圖1所示。

全生命周期系統安全性分析工作可根據是否服役劃分為研制階段系統安全性分析工作與飛機使用過程中的運行安全分析工作，本文站在飛機研制視角，按照飛機不同層級重點介紹研制過程中如何開展安全性分析工作。

(1)飛機級安全性分析與驗證

在型號研制中的可行性研究階段初始，就應開展飛機級功能危險分析（AFHA），在完成AFHA初版后，向供應商發出信息征詢書（RFI），尋求供應商對于系統的技術狀態，并獲取供應商技術反饋，進入概念設計階段后，主機與供應商開展聯合概念設計（JCDP），在此過程中AFHA逐步更新成熟，并在飛機總體設計方案凍結后，AFHA達到凍結狀態。

在AFHA完成初版后，在可行性研究階段應啟動初步飛機安全性分析（PASA），該工作應進行多輪更新迭代，指導詳細設計階段關鍵設計評審（CDR）結束后，才達到凍結狀態。

此外，在飛機級還應開展共模分析（CMA）、特定風險分析（PRA），這兩項分析工作在可行性研究階段啟動，并在初步設計評審（PDR）時完成，在此之后才開展區域安全性分析（ZSA）。

圖1 系統安全性各研制階段工作規劃

在研制和驗證階段，應開展飛機級物理ZSA確定設計階段的目標是否得到滿足，進而開展飛機安全性評估（ASA）對整個型號安全性要求進行關閉。

(2)系統級安全性分析與驗證

系統級功能危險分析（SFHA）工作在整個型號可行性研究階段結束，項目正式立項開始，主機與供應商開展聯合概念設計定義，此時開展SFHA，并隨后開展系統初步安全性分析（PSSA），SFHA應在PDR后達到凍結狀態，PSSA在詳細設計結束CDR時達到凍結。與此同時，在概念設計與詳細設計階段應開展系統級的CMA與PRA，對系統層級可能存在的共模與特定風險進行分析。

在研制和驗證階段，完成FMEA/FMES后，開展SSA，確認系統級安全性目標得以滿足。

(3)設備級安全性分析與驗證

在設備級主要開展FMEA/FMES的分析工作，該部分內容是系統安全性分析（SSA）的前提，通過對系統中的所有設備的功能、失效模式進行識別，并收集該設備在外場的故障數據，是開展安全性指標要求驗證的第一步，該部分內容對于整個安全性工作開展至關重要。通過該部分的數據驗證自上而下分配的安全性指標要求是否能夠滿足，為SSA驗證結論奠定基礎。

以上是對型號研制過程中系統安全性工作規劃的概述，根據目前國內軍用無人機安全性工作開展，主要存在以下幾個工作重點：

(1)安全性指標是飛機整機級安全性的度量，是系統安全性工作的基礎和重要參考標準，對系統安全性指標的研究方面還不足，尤其是整機級指標要求的選取和確定，應加強對不同軍用無人機類型的頂層安全性指標論證工作；

Ⅰ類海風鋒850 hPa合成流場如圖5b所示。其中Ⅰ類海風鋒主要是副高北側中的獨立小高壓東移入海,副高北側西風氣流因小高壓及其南部低壓橫槽造成蘇北沿海偏東海風氣流,而蘇中、蘇南則是西風小波動入海,近岸內陸是弱脊,沿海是小槽。蘇北蘇南的不同風場流型,配合沿海地形走勢以及1 000 hPa層海風鋒,使蘇北海風較蘇南深厚,蘇南海風鋒背景上下層風向的差異使得形成的海風環流較淺薄。因此江蘇沿海海風鋒的中小尺度局地性特征顯著。

(2)重視FMEA工作的重要作用，積極引導供應商開展FMEA工作，并加強外場故障數據收集反饋，優化故障數據的準確度。

(3)在型號研制全生命周期重視系統安全性分析工作，建立安全性專業與系統設計之間的強耦合關系，形成良好互動協作，共同提升裝備安全性水平。

基于模型的系統安全性分析

傳統的系統安全性分析過程中的計算與分析工作主要由人工完成，且很大程度上依賴于安全性工程師的分析經驗，以進行PSSA為例，在進行故障樹分析（FTA）時，不同的安全性工程師面對同一對象所構建的故障樹不盡相同，需要與系統設計人員進行反復地溝通迭代，方能使所構建的故障樹得以確認，并進行安全性指標的分配。不僅如此，隨著飛機/系統集成度越來越高，各種數據交互非常繁雜，需要人工對各項信息流、數據流、資源流進行詳細分析，耗費大量的人力物力。

基于模型的安全性分析方法通過對分析對象進行模型構建，能夠在軟件平臺對分析對象進行自動分析，生成分析結果，下面以某型號起落架系統為例，給出基于模型的系統安全性分析示例。

(1)確定起落架系統的功能清單及系統架構

該部分內容主要由系統設計團隊提供，包括對起落架系統的功能定義及系統架構定義，在進行起落架系統建模前，安全性工程師應與起落架設計人員進行詳細溝通，獲取確定的系統功能清單，功能架構以及系統架構信息，熟悉起落架系統設計原理、設計方案、各分系統及部件功能等。

(2)起落架系統失效狀態分析

在熟悉起落架系統功能及系統架構基礎上，由安全性工程師開展系統失效狀態分析，包括收集并整理起落架故障案例，對起落架系統組成部件可能發生的失效狀態進行初步預測，分析其失效對起落架功能的影響。系統故障通常是由零部件故障或軟件故障導致的，可將故障分為數字故障與機械故障，并對每一故障模式的具體失效行為進行分析，為后續系統功能建模奠定基礎。

(3)起落架系統功能建模

基于起落架功能分析流程，本部分示例基于Simfia平臺進行建模，所構建的起落架系統功能模型如圖2～圖4所示。其中為起落架系統級功能模型，為起落架分系統功能模型，為起落架部件級系統模型。

圖2 起落架系統級功能模型

圖3 起落架子系統級功能模型

圖4 起落架部件級功能模型

圖5 起落架故障傳播模型

圖6 起落架故障樹自動生成

(4)起落架系統故障傳播模型構建及分析結果自動生成

通過上述案例可以看出，通過采用基于模型的方式構建分析對象的功能模型及故障傳播模型，能夠有效、快速實現故障樹形式分析。若能夠構建完整的飛機及各系統模型，能夠有效縮減人工分析的時間，并增加分析精確性，提升安全性分析效率。

但在看到MBSA的優勢的同時，也不能忽略對系統安全性分析方法本身的重視，要注意以下幾點：

(1)基于模型開展安全性分析過程中，安全性分析是核心目標，模型是手段；

(2)在分析對象建模過程中應對系統功能、設計架構理解透徹，加強與系統設計人員的溝通，對構建模型進行反復確認；

(3)MBSA目前仍處于探索階段，仍在工程實踐中存在許多挑戰，軍方與工業方應對新興手段保持客觀、理性，積極運用優勢的同時也不可過分依賴。

結論

本文通過研究目前國內外系統安全性分析方法在軍用無人機研制的現狀，結合民機系統安全性分析流程，考慮國內軍用無人機安全性分析工作的開展實際，對軍用無人機研制過程中應開展的系統安全性分析活動進行了研究，并根據某型飛機起落架系統的MBSA案例，演示具體的新興安全性分析方法優勢，并給出應用過程中的注意事項。通過本文研究可得出如下結論：

(1)通過對國外標準與工程實踐兩個維度來看，目前國外軍民機系統安全性分析思路趨于統一，這也為國內軍用無人機系統安全性分析工作開展提供有益借鑒；

(2)結合通用的飛機研制生命周期階段，按照系統工程正向研制流程，本文給出了軍用無人機研制過程的不同層級在不同階段應開展的安全性分析活動，可作為飛機頂層初步的安全性工作規劃，為國內主機單位提供參考；

(3)根據某型飛機起落架系統的MBSA案例，表明在既定安全性工作規劃及傳統安全性分析方法基礎上，采用MBSA在工程中應用的技術優勢，并給出該方法在運用過程中的注意事項。