基于模型的復雜系統安全性和可靠性分析技術發展綜述

胡曉義，王如平，王鑫，付永濤

1.中國航空工業成都飛機設計研究所，成都 610041

2.中國航空綜合技術研究所，北京 100028

高安全性、高可靠性一直是航空裝備研制所追求的重要目標，經過多年的發展，航空裝備的安全性、可靠性工作體系已經基本趨于成熟。以故障模式及影響分析(FMEA)、故障樹分析(FTA)、可靠性框圖(RBD)為代表的常規系統安全性、可靠性分析技術，已在工程實踐中得到了廣泛的應用。但是，隨著裝備向綜合集成化、智能化、網絡化、軟件密集化發展，裝備各層級系統的設計復雜程度大幅提高，系統安全性、可靠性分析工作面臨著較大的挑戰：① 傳統的系統安全性、可靠性分析手段主觀性較強，分析結果的準確性高度依賴工程師的自身水平，對于同一系統，由于知識以及思考方式的差異，不同的工程師建立的安全性、可靠性模型可能差別非常大；② 針對具有動態重構特性、故障時序相關、邏輯相關的復雜系統，通過人工推理分析系統的故障邏輯關系已經變得不太現實，即便可以分析，其全面性和準確性也難以保證；③ 系統安全性、可靠性與功能性能的協同設計變得越來越困難。在基于文檔的設計模式下，系統可靠性分析的輸入通常是系統設計方案等資料信息，由于文本表述天然存在的模糊性、二義性，實際上無法保證分析人員能夠準確地理解系統設計原理，從而造成安全性、可靠性分析的輸入與產品的實際狀態不一致。尤其對于復雜系統，其安全性、可靠性分析與系統功能、性能設計之間的溝壑有進一步加劇的趨勢。

基于模型的安全性分析(MBSA)、可靠性分析(MBRA)方法被認為是解決以上問題的有效手段和途徑。與直接通過人工演繹建立可靠性框圖模型、故障樹模型等模型不同，基于模型的安全性、可靠性分析強調的是建立一個系統功能與可靠性的綜合模型，該模型需要在定義系統正常行為的同時，同步描述系統的故障行為，從而可以使用自動化、半自動化方式導出FTA、可靠性框圖等模型，或者可以通過故障注入、仿真等手段執行安全性、可靠性分析。基于模型的安全性、可靠性分析保證了分析源頭的準確性和規范性，同時可以通過自動化仿真等方法完成復雜系統的分析，一定程度上減輕了工程師的負擔[1]。

近幾年來，基于模型的系統工程(Model-Based System Engineering,MBSE)技術正在成為一種公認的復雜系統數字化設計范式。與傳統系統工程方法相比，MBSE重點強調了以模型(例如SysML模型)傳遞需求、以模型驅動設計以及將規范化的模型作為系統協同設計的載體[2-5]。MBSE技術的不斷發展，尤其是系統建模方法的不斷規范化、統一化，為基于模型的安全性、可靠性設計的進一步發展提供了有利的契機。將基于模型的系統安全性、可靠性設計與MBSE研制流程進行融合和集成，是目前模型驅動的設計領域所關注的一項新的課題，也是未來基于模型的安全性、可靠性設計的重點發展方向。

本文首先對基于模型的安全性、可靠性分析方法進行總結和介紹，重點介紹了該領域內2類主要的建模分析思路：基于系統結構模型的安全性、可靠性分析方法、基于系統行為模型的安全性、可靠性分析方法；其次，結合近年來MBSE技術的發展，介紹系統安全性、可靠性設計與MBSE的集成技術的發展現狀；最后，對目前該技術方向存在的問題和進一步發展方向進行了闡述。

1 基于模型的系統安全性和可靠性分析技術

國外很早就在開展基于模型的系統安全性分析技術的研究，并逐步發展形成了各種成熟的軟件產品。歐盟一直在基于模型的復雜系統安全性分析技術領域進行持續投資，通過贊助“復雜系統增強安全性評估(ESACS)”等項目，為航空領域的研究機構和先進企業建立合作平臺，形成了基于模型的安全性評估方法論和軟件工具平臺，并推動該技術的推廣和應用[6]；達索公司、空客公司等先進飛機制造商與波爾多大學等研究機構合作開發了Altarica形式化驗證語言，用于復雜系統的安全性分析，在該語言基礎上形成了了SIMFIA、Cecillia OCAS等多款安全性分析軟件工具[7]；目前，以AltaRica為代表的MBSA技術已經在波音、空客、達索航空、EADS、泰利斯航電公司、霍尼韋爾等公司多個飛機型號的關鍵系統中進行了廣泛的應用[8-10]。

系統安全性工作的核心是各種危險的識別、分析與設計控制，從理論上講，“基于模型的安全性分析”應能支持系統全面分析由于裝備自身功能硬件失效、人為差錯以及雷擊、鳥撞等意外事件造成的各類危險。但從目前文獻看，“基于模型的安全性分析技術”所考慮的系統危險類型是有限的，其主要考慮的是由于“系統功能硬件失效”導致的相關危險[1]，輸入的基礎模型主要是：描述系統邏輯、結構與行為的 “系統功能模型”。

在公考慮功能失效的前提下，系統安全性分析、可靠性分析工作可以很方便地整合在一起。二者的差異主要在于考慮的功能失效模式不同，安全性考慮導致裝備和人員損失的功能失效模式，而可靠性關注導致裝備不能完成任務或非計劃維修的功能故障模式，但是所采用的技術手段和方法基本是一致的，都是采用FMEA、FTA、動態仿真等方法進行定性分析和定量預計，如圖1所示，以進一步識別底層故障模式，提出設計保證措施或評估系統的安全性、可靠性水平。

基于模型的系統安全性、可靠性分析主要解決幾個關鍵技術問題：

圖1 考慮功能失效的系統安全性、可靠性分析整合

1) 要建立一個能涵蓋系統正常與故障行為的綜合模型，能在功能模型的基礎上自動分析系統的故障傳播路徑，模型要能與傳統的安全性、可靠性分析技術兼容，能夠導出FMEA、FTA等傳統的安全性、可靠性分析模型。

2) 系統的故障行為模型不僅能對串聯、并聯、混聯等簡單的余度系統進行描述，而且能夠對復雜系統中所存在的動態重構行為、時序相關故障、邏輯相關故障、多狀態故障等典型特征進行描述。

3) 要能支持安全性、可靠性定性、定量需求的驗證。對于復雜系統而言，僅采用FMEA、FTA進行分析通常是不夠充分的，經常需要借助仿真手段以確認系統設計能否滿足安全性、可靠性要求。實現自動化需求驗證的前提是建立一套建模仿真機制，能將安全性、可靠性需求轉化為特定的邏輯描述，同時能通過事件序列搜索或其他枚舉機制證實需求的正確性或找出反例。

盡管目前國內外文獻中存在多種“基于模型的安全性、可靠性分析方法”，但是其所依賴的核心基礎模型都是“廣義的”系統功能模型，包括描述系統功能結構、狀態行為、性能參數關系的各種類別的模型。

根據所依賴的系統功能模型的類型不同，基于模型的系統安全性、可靠性分析技術主要有2種分支，一種是較早發展的基于系統結構模型的安全性、可靠性分析技術，主要以系統的功能流、數據流為基礎構建系統綜合模型開展安全性、可靠性分析，此類模型一般是靜態的；另外一種是基于系統行為模型的安全性、可靠性分析技術，主要以系統的離散狀態行為、連續行為模型為基礎開展安全性、可靠性分析，此類模型一般是動態的。

1.1 基于系統結構模型的安全性和可靠性分析

基于系統結構模型的安全性和可靠性分析，主要是以系統的組成結構和功能分配結果為對象，建立描述系統功能關系的形式化模型；在此基礎上，定義局部單元的故障邏輯，從而建立系統的故障傳播模型。隨后，根據系統的故障傳播模型導出FMEA分析結果或FTA模型，基本流程如圖2所示。因此，本技術方向研究的問題多數集中于如何建立系統結構模型、故障傳播模型，以及如何能根據模型自動生成FTA、FMEA輸出物。

圖2 基于系統結構模型的安全性和可靠性分析

分層執行的危險源與傳播分析(HIP-HOPS)方法是一種典型的基于系統結構建模的可靠性分析方法，主要在Simulink建立的系統模型基礎上，通過研究每個部件從輸入失效、內部失效到輸出失效的邏輯關系，進而獲得系統輸出失效的所有傳播路徑。HIP-HOPS針對傳統FMEA僅能識別單點失效的缺陷引入了能夠表示組合失效的IF-FMEA表。HIP-HOPS具有專門的分析工具SAM分析工具。SAM工具包含模型自動分析算法和故障樹自動生成算法，能在對系統模型完成失效建模后運行生成故障樹，然后進行最小割集計算[11]。

文獻[12]研究了一種基于架構分析與設計語言模型(Architecture Analysis and Design Language，AADL)的FTA自動生成算法，主要利用AADL建立的物理架構模型和錯誤模型附件，通過對AADL模型進行遞歸解析和提取，生成靜態故障樹，進行可靠性分析。

文獻[13]研究了一種基于模糊認知圖(FCM)的自動FMEA生成方法，該方法的核心是對功能FMEA、硬件FMEA相關的故障模式、失效、故障機理、故障原因等各因素進行了模型化的抽象，從而能借助系統功能模型，建立一個由最底層硬件故障模式到最高層系統功能失效模式的映射關系，然后可以通過故障仿真生成詳細的FMEA表格。

基于系統結構模型的安全性、可靠性分析方法的優點在于：實現了系統功能流傳遞與故障傳播的結合，能夠方便地導出FMEA、FTA等層次化故障分析模型。但缺點在于該方法一般只適用于對功能結構不變的靜態系統進行分析，不適用于有動態行為的復雜系統分析；此類模型中一般不涉及系統的容錯算法和控制邏輯，也不能支持自動化的仿真驗證。

1.2 基于系統行為模型的安全性、可靠性分析

對于要考慮故障相關動態行為的復雜系統，國內外一直在持續研究其建模和分析方法，典型方法包括：動態故障樹、隨機Petri網、馬爾科夫模型、狀態機模型等[14-17]。但這些建模方法一般比較復雜，與系統設計的關聯度也不高，同時作為一種高度抽象化的方法，很難形成統一的建模標準，因此其應用范圍受到了制約。隨著系統動態行為建模手段的不斷完善，目前主要的技術發展趨勢是建立一個同時包含系統正常動態行為和異常動態行為的綜合模型，采用形式化驗證或故障注入仿真的方法進行安全性、可靠性分析。

該技術的實現過程是：① 建立系統正常的行為模型，描述系統在輸入正常、自身狀態正常的條件下，應完成的正常功能行為。對于不同類型的系統，系統行為模型的構建方法是不同的。對于離散的系統，一般采用類似狀態機模型描述系統的動態行為；對于連續系統，常采用性能建模方法描述系統的連續行為；② 在正常系統行為模型上定義故障行為，刻畫系統的故障激發和狀態變遷行為；③ 確定待驗證的需求。指定需要分析和驗證的安全性、可靠性定性、定量要求；④ 實施仿真分析。在對安全性、可靠性需求進行嚴格定義的條件下，可通過自動化仿真手段對組件故障時系統的響應進行模擬仿真，同時輸出不滿足需求的狀態和條件，基本流程如圖3所示。能對系統的各種安全性、可靠性需求(例如系統容錯能力等定性要求)進行窮舉式的驗證，是該技術具備的一項重要優勢。

將“模型檢測”等形式化驗證方法應用于安全性、可靠性分析，是本項技術發展的重要分支。所謂模型檢測，主要是根據需求對系統定義必要的安全性、可靠性屬性和輸出觀測變量，然后利用形式化驗證器直接進行自動化分析，搜索可能存在的反例(即當處于系統某種輸入狀態時，安全性、可靠性需求不滿足)，并列舉反例的輸入狀態，從而實現對系統安全性、可靠性需求進行驗證的目的[18]。

FSAP/NuSMV-SA是歐盟ESACS項目所開發的形式化驗證平臺，包括圖形用戶界面(FSAP)和基于NuSMV模型檢驗器的引擎(NuSMV-SA)。NuSMV模型檢驗引擎為系統仿真和模型檢驗(如屬性驗證和反例生成)提供支持，是實現安全性需求形式化驗證的核心。NuSMV主要通過模塊和過程的聲明和實例化機制來描述有限狀態機，并用CTL和LTL表達需求。目前，FSAP / NuSMV-SA的主要功能，如圖4所示，包括：① 建立一個正常的系統功能與行為綜合模型；② 基于預定義的故障模式庫在功能模型上進行故障自動注入；③ 以時態邏輯公式的形式定義安全性需求；④ 執行模型仿真，包括自動生成系統故障樹；設定仿真或隨機模擬；生成反例路徑和故障排序[19-20]。

圖4 FSAP/NuSMV-SA形式化驗證過程

Altarica是另外一種目前比較流行的、廣泛應用于系統安全性、可靠性分析的建模語言。與NuSMV模型構造基本一致，也是采用狀態、事件、輸入流、輸出流、狀態轉化、斷言等基本建模元素，對系統的正常行為和故障行為進行綜合建模，從而支持形式化的分析。由于得到了歐洲工業界和軟件廠商的廣泛支持，Altarica語言目前基本已經成為系統安全性、可靠性分析采用的標準語言[21]。

相對于嚴格的形式化驗證技術，該技術方向的另外一種思路是：直接利用系統設計建立的仿真模型，通過進行故障建模和定義，同步實施安全性、可靠性仿真分析和評估。與形式化驗證相區別，這種技術途徑不需要掌握很復雜的形式化建模語言，只需掌握本領域內的設計建模語言即可，因此比較適用于熟悉本領域系統建模語言(如Modelica、SysML、AADL語言等)的設計人員使用[22]。

德國宇航中心研究了一種基于Modelica的系統可靠性和安全性仿真分析方法，在Modelica環境下開發電網架構設計優化工具(Electrical Network Architecture Design Optimisation Tool，ENADOT)，可在開展系統性能仿真分析的同時，利用故障仿真建模進行最小路徑、最小割集的分析以及安全性、可靠性的評估[23]。

美國國家航空航天局(NASA)的DARPA實驗室在月球探測器電子系統開發過程中，建立了系統的Simulink仿真模型，同時采用故障建模和仿真的手段進行故障響應的測試，最后可將故障模型轉化為馬爾科夫模型進行可靠性評估[24]。

北京航空航天大學提出了一種基于AADL系統體系結構模型的可靠性建模方法，設計出一套轉換規則，可對AADL體系結構模型的軟硬件構件進行模型轉換，實現從AADL系統體系結構可靠性模型到系統體系結構廣義隨機Petri網的轉換[25]。

基于系統行為模型的安全性、可靠性分析方法的優點在于：可以直接利用系統設計過程中建立的狀態機模型、性能模型等仿真模型，進行嚴格的安全性、可靠性形式化驗證；可以方便對復雜系統的各種動態行為和算法邏輯進行描述，非常適用于具有高安全和高可靠要求的復雜系統的分析。缺點在于：對系統功能模型的要求較高，建模時需要在模型的完整性與建模效率之間進行平衡；對于復雜系統，狀態空間爆炸和仿真效率低下等問題經常難以避免；同時由于系統行為模型通常缺乏層次性，因此很難直接以行為模型為基礎生成符合要求的FMEA表格或FTA模型。

1.3 兩種方法的綜合

基于系統架構模型的安全性、可靠性分析技術對系統模型的要求不高，建模方式相對簡便，但不能對復雜系統行為進行分析；基于系統行為模型的安全性、可靠性分析技術能借助系統模型快速進行需求驗證，但對系統設計模型的要求較高，建模工作量大。已有相關學者關注到將這2種建模方法進行整合的問題，文獻[26]提出了一種按照系統的設計過程將2種方法進行整合的思路——結構和行為安全性、可靠性分析的集成應用(IACOB)，應用流程如圖5所示。在系統設計早期，針對系統的結構模型,采用基于結構模型的可靠性分析方法，開展FMEA、FTA分析，對系統的架構設計進行完善；在后期采用基于行為的可靠性分析方法，以FMEA分析結果為基礎，建立系統的狀態機模型，對安全性、可靠性需求進行驗證。

目前國外成熟的軟件工具，如SIMFIA、Made等軟件均支持2種形式的建模，分析人員可根據系統的特點選擇合適的方法。

2 MBSE與系統安全性和可靠性分析的集成技術

早期國內外研究的基于模型的系統安全性、可靠性分析技術，主要解決的是：如何將可靠性模型與系統的結構模型、行為模型進行整合，實現安全性、可靠性與性能的一體化分析，提高分析能力和效率。但由于受技術發展的限制，早期系統建模技術發展并不成熟，系統建模語言、建模方法規范化程度也不夠，因此該技術發展出了許多個分支，這些不同分支所依賴的系統功能模型各不相同，很多系統功能模型本身并不被系統設計所采用，在一定程度上阻礙了該技術的進一步深化應用。

MBSE技術的發展為更好地實施系統安全性、可靠性分析提供了有利的條件，一方面MBSE提供了一套較為嚴格的技術過程，可以方便地將安全性、可靠性分析活動與技術過程進行融合，增強安全性、可靠性分析的目的性；另一方面，MBSE可以提供一個統一的設計數據源頭，為基于模型的安全性、可靠性分析提供規范化的模型輸入，解決前端系統功能模型輸入混亂的問題，保證安全性、可靠性分析與功能性能設計的同源。

2.1 基于模型的系統工程技術

根據國際系統工程學會INCOSE《系統工程2020年愿景》中對MBSE的定義，MBSE是對系統工程活動中建模方法應用的正式認同，它以建模方法支持系統要求、設計、分析、驗證和確認等活動，這些活動從概念性設計階段開始，持續貫穿到設計開發以及后來的所有壽命周期階段。

基于模型的系統工程的實施重點是在不同的場景條件下進行需求分析、功能分析，采用模型的形式來描述、分析和檢驗系統在各種任務或運行場景下的活動內容、狀態特性、交互信息，并生成與之匹配的功能需求、功能接口、測試場景和邏輯架構，從而實現快速響應需求變化，并及時指導后期詳細設計、實現、綜合和驗證過程的目的。目前主流的MBSE方法論包括：Harmony系統工程方法、面向對象的系統工程方法、狀態分析法等。建模語言采用對象管理組織(OMG)提出的SysML語言[27-28]，SysML語言采用的模型元素如圖6所示。

圖6 SysML模型組成

MBSE在系統設計技術過程上與傳統系統工程并無區別，重點在于強調使用模型支持系統工程各技術活動，以減少需求傳遞的誤差，促進多專業協同設計與知識復用[2]。主要的技術過程包括：

1) 利益相關方需求分析：從使用角度建立系統的使用場景模型，分析系統的任務場景及能力需求，輸出規格化的系統利益相關方需求。

2) 系統需求定義：從技術要求的角度，建立系統的用例模型，識別系統的功能、上下文執行環境及外部接口信息，輸出可設計的系統需求。

3) 邏輯架構定義：主要利用活動圖、時序圖、塊圖等將功能性需求分解為邏輯單元，從而建立系統的功能邏輯架構。

4) 設計綜合：將邏輯單元定義的功能分配到具體的物理單元上，這些物理單元可能包括硬件、軟件、數據與人工操作過程等，其主要輸出為系統的物理架構。物理架構建模所需元素與邏輯架構建模基本一致。

2.2 MBSE與系統安全性、可靠性分析的集成

在該研究方向上，目前總體的思路是以MBSE設計過程為牽引，利用模型集成、映射等方式實現系統功能與安全性、可靠性的一體化設計。技術問題主要聚焦于2個方面：① 如何設計一套合理的流程，將安全性、可靠性設計活動嵌入到MBSE技術過程；② 如何解決不同模型的接口問題，例如如何將SysML建立的系統功能、架構模型中的模型元素映射到可靠性分析所需要的模型中。

法國PRISME實驗室提出了一種可以與目前主流的MBSE設計流程集成的系統可靠性、安全性分析流程和方法——系統工程中集成可靠性分析的方法 (MeDISIS)[29-30]。MeDISIS實施流程如圖7所示。在需求定義階段，采用初步危險分析方法確定系統功能失效狀態；在功能分析過程中，使用功能FMEA方法進一步衍生出設計要求；在設計綜合階段，開展組件FMEA、性能可靠性分析及故障注入驗證等工作，對系統架構進行持續評估和設計完善。

該方法的主要特點是建立了一套相對完整的MBSE與系統可靠性分析的整合思路，研究了SysML系統設計模型與Altarica模型、AADL模型、Simulink模型等多種仿真模型之間的元素映射關系，同時構建了一個系統的非正常行為數據庫DBD，作為一個共享的、可重用的、與具體模型無關的基礎數據庫，用于支持各個階段開展故障建模和故障仿真。

巴黎理工大學的Mhenni等[31-32]針對機電系統的安全性分析，提出了一種系統安全性與系統工程過程的集成方法SafeSysE，如圖8所示。

與文獻[29-30]提出的通過“模型映射”手段實現系統設計模型與安全性、可靠性模型的集成不同，SafeSysE給出了一套完全基于SysML模型進行安全性分析的實現方法。包括利用XML元數據交換技術，將SysML模型轉化為XML文件，從中提取核心的功能、組件元素，支持開展功能FMEA、組件FMEA；同時該文獻還研究了基于SysML的故障樹生成算法、SysML模型與NuSMV-SA模型的映射算法，以支持系統的安全性、可靠性評估與行為仿真分析，但由于SysML用于描述系統功能邏輯、結構組成的模型是分離的，因此在SysML基礎上直接生成故障樹模型、狀態機驗證模型過程中，還需要加入大量的人工識別工作，限制了其進一步應用的范圍。

圖7 PRISME的MBSE與可靠性設計集成思路

圖8 SafeSysE的集成過程

意大利Calabria大學的DEIS學院提出了一種系統可靠性、可用性、維修性、安全性分析與仿真集成方法——RAMSAS[33]，如圖9所示。

RAMSAS的方法分為4個步驟：可靠性需求分析、系統建模、系統仿真和系統評估，這4個步驟在整個設計過程是迭代進行的。可靠性需求分析主要以設計階段形成的系統設計模型、系統功能和非功能需求文檔、以及前期FMEA找出潛在故障模式為基礎，確定可靠性分析目標；系統建模主要是使用SysML進行系統架構和行為建模，同時還定義了一個通用的基本故障行為集合，建立故障的行為模型，描述故障的產生、傳播和管理；系統仿真階段主要是將先前獲得的系統架構和行為模型圖以及故障行為模型，轉換成Simulink可執行模型，核心是將內部塊圖的架構信息(如塊組成、端口/接口信息)轉化為Simulink的層次化接口和交聯接口，將采用活動圖和順序圖描述的算法模型轉化為Simulink的控制邏輯；系統評估階段主要是針對系統可靠性需求進行分析，提出可靠性設計改進建議或方案，并反饋到需求環節。該方法優點是能將系統SysML建模語言與Matlab/Simulink動態仿真開發環境進行融合，尤其是可將 SysML描述的控制邏輯直接轉化為Simulink模型，提高了仿真建模的效率。缺點是該方法主要側重的是仿真分析，并不是一套完整的模型驅動設計方法，例如缺乏對可靠性需求分析、系統早期架構的可靠性分析等方法的支持。

從目前國內外幾個機構的研究成果看，MBSE與系統安全性、可靠性分析在設計流程整合上的主要思路是：在系統需求分析過程中，利用MBSE模型包含的系統功能清單、使用要求等信息，開展初步的功能故障分析、危險分析，細化安全性、可靠性要求；在系統功能分析、邏輯架構的設計過程中，以故障模式數據庫為支撐，在系統正常功能模型基礎上構建綜合分析模型，重點是對架構進行完善；在系統物理架構設計完成后，對系統的正常、故障行為進行動態仿真評估，進一步優化系統的故障控制邏輯和算法等。

在模型支持方面，主要的障礙在于MBSE的主要設計語言(例如SysML等)對于安全性、可靠性分析的支持是不足的。目前一種解決思路是將SysML等系統設計語言與 Altarica等支持安全性分析的設計語言在“模型元素”上進行映射和轉化，但由于2種語言的設計機制不同，實現完整的模型元素互換是比較困難的；另外一種解決思路是根據需求對系統設計模型的元素進行解析讀取，如文獻[31-32]研發的SafeSysE等，這種集成方式的優勢在于可以完全根據安全性、可靠性分析的需求提取設計信息，不會丟失原有模型信息，但缺點在于模型信息提取過程是完全定制化的，無法適應由于建模人員習慣不同、建模規范不同所造成的模型構造上的差異性。

3 結論與展望

模型驅動的系統設計技術被公認為是解決復雜系統設計的有效手段，基于模型的系統工程技術在美國國防部、歐空局、NASA等政府組織以及波音、空客、洛克希德·馬丁等飛機研制商的大力推動下，已經逐漸趨于規范化，并逐步融入到了飛機的研制過程。安全性、可靠性作為裝備重要的質量特性之一，在技術方法、技術手段上應與裝備的技術發展保持同步。

基于模型的安全性、可靠性分析技術是實現模型驅動的復雜系統安全性、可靠性設計的重要組成部分，相對于傳統基于文本的分析，基于模型的安全性、可靠性分析有利于可實現安全性、可靠性設計與系統功能設計在數據源上的統一，可以一定程度上避免安全性、可靠性分析的主觀性和隨意性；同時，借助模型強大的仿真能力，可以解決工程上面臨的復雜系統可靠性建模和分析困難的問題。

目前，以MBSA為代表的基于模型的安全性、可靠性分析方法在中國部分新研裝備中已經進行了初步的試用與驗證，但總體來講，應用的范圍和深度還比較有限。制約基于模型的安全性、可靠性技術在工程中深入開展的因素有幾個方面：

1) 開展基于模型的安全性、可靠性分析的前提是建立描述系統正常功能、行為的模型，目前MBSE在中國裝備研制中的應用剛剛起步，還沒有得到全面的普及，無法在研制過程中及時為安全性、可靠性設計人員提供有效的功能模型輸入。

2) 系統安全性、可靠性建模語言與系統設計語言存在差異，并且缺乏模型接口。目前系統設計過程中一般采用SysML等標準語言進行系統需求、架構和行為的建模分析，采用AADL、Modelica等建模語言進行性能、算法的驗證，這些建模語言多數是面向對象的。以目前安全性分析的主流建模語言Altarica為例，其建模核心是以功能流為基礎的，本質是一種數據驅動、過程驅動的建模方法。2種類型的建模語言，不管是模型元素構成上，還是在建模語言的理論基礎上都是有較大區別的。雖然有部分文獻研究了SysML模型與各種安全性、可靠性相關的形式化模型、仿真模型的映射關系，但給出的示例多數比較簡單，對于實際復雜工程系統是否適用，還需進一步驗證。

3) 缺乏相關的安全性、可靠性建模規范和標準，模型的規范性和嚴謹性無法保證。以Altarica為代表的安全性、可靠性建模語言是一種通用的、與領域無關的語言，建模的靈活性較大，目前國內外鮮有相關的建模規范和標準。在面對具體的工程系統時，需要將實際物理系統抽象為輸入、輸出、狀態、故障傳播邏輯等模型元素，如果缺乏建模方法的約束，不同的建模人員在建模層次和級別、顆粒度、輸入輸出數據類型、故障邏輯的表達方式等方面會有不同的選擇，因此容易造成模型的一致性差、可讀性差等問題，給模型的校驗和后續的集成帶來問題。

4) 缺乏建模數據庫和自動化建模機制的支持。相對于傳統安全性、可靠性分析，基于模型的安全性、可靠性分析技術的優勢在于模型的可重用性，但缺點是建模過程較為復雜，工作量較大，因此需要有強大的數據庫支持，但目前的建模方法和工具在故障模式數據的積累、模型重用等方面尚有很大的提升空間。

針對以上問題，建議未來重點關注以下方面的研究和應用：

1) 面向裝備全研制過程的、基于模型的安全性、可靠性設計體系與模型體系研究。目前的基于模型的安全性、可靠性分析技術主要解決的是系統功能架構層面的分析問題，還不能支撐建立一套完整的、模型驅動的安全性、可靠性設計體系。未來的研究中，一方面應在現有方法基礎上進一步擴展，將安全性、可靠性分析與裝備的使用過程分析、物理設計、軟硬件設計結合起來，以支持系統工程全過程設計；另一方面，要建立一套完整的安全性、可靠性建模規范體系。目前來看，只采用任何一種建模方法都是有其局限性的，在未來基于模型的研發體系下，安全性、可靠性模型應不僅能夠支持早期的需求分析、架構評估，還應支持研制后期的仿真驗證，甚至半實物驗證，因此，其模型支撐體系是相對復雜的，需要進行深入研究。

2) MBSE與基于模型的安全性、可靠性分析技術的集成方法研究。MBSE技術在裝備研制過程中的深度應用，為進一步規范基于模型的系統安全性、可靠性分析提供了有力的基礎。因此，未來應重點加強MBSE研制模式下的裝備安全性、可靠性設計流程、技術方法、模型接口等方面的深化研究，打通MBSE與安全性、可靠性設計的接口關系，為實現以系統需求模型、設計模型為核心的多專業協同設計提供保障。

3) 基于模型的安全性、可靠性智能化設計方法和工具平臺研究。目前的安全性、可靠性分析方法和工具智能化程度普遍不高，已建立的安全性、可靠性模型，積累的故障模式數據還不能在設計過程中得到有效利用。未來應重點加強安全性、可靠性智能化建模方法、基于知識規則的安全性、可靠性分析與設計方法等方向的研究，擴展安全性、可靠性分析能力，提高建模和分析的效率。