無人機基于模型的安全性分析方法研究

摘要： 對無人機開展安全性分析，提高無人機安全性水平，是保證安全飛行的重要因素。然而，傳統的安全性分析方法在應用到無人機這類復雜系統上時在功能危險識別、準確性和效率等方面存在不足?；谀Ｐ偷陌踩苑治觯∕BSA）方法被認為是解決這些困難的有效途徑。本文提出了“廣義MBSA”概念，即基于模型完成功能危險性分析、初步系統安全性分析和系統安全性分析全部三個階段的安全性分析。為實現這一目標，提出了基于模型的功能危險性分析流程，并細化了基于模型完成初步系統安全性分析和系統安全性分析的開展過程。最后，將安全性分析過程與基于模型的系統工程相結合，提出了廣義MBSA框架，可用于指導無人機MBSA工作開展。

關鍵詞：MBSE；MBSA；一體化；無人機

引言

無人機的安全性是系統研制中必須考慮的首要問題，是保證安全飛行的重要因素。同時，無人機具有結構緊湊，內、外部信息交互復雜，自動化功能多、軟硬件架構復雜及應用可編程邏輯設備等特點，給安全性分析提出了更高要求，傳統的安全性分析方法應用到無人機這類復雜系統上時在功能識別、分析準確性和分析效率上存在不足?；谀Ｐ偷陌踩苑治龇椒ǎ∕odel Based Safety Analysis，MBSA）被認為是解決傳統安全性分析技術對于復雜系統分析困難問題的有效手段和途徑[1]。安全性分析主要包括功能危險性分析（Functional Hazard Assessment，FHA）、初步系統安全性分析（Preliminary System Safety Assessment，PSSA）以及系統安全性分析（System Safety Assessment，SSA）三個階段。目前關于MBSA的應用研究主要關注點為PSSA和SSA階段，FHA仍按照傳統方法在進行，沒有采用基于模型的思想，導致功能危險識別困難，不利于后續工作開展?；诖?，本文提出“廣義MBSA”概念，即基于模型完成FHA、PSSA和SSA全部三個階段的安全性分析。為實現這一目標，本文在基于模型的系統工程（ModelBased Systems Engineering，MBSE）[2]框架下，給出了基于模型的FHA流程；同時，細化了基于模型完成PSSA和SSA的開展過程。在此基礎上，本文將安全性分析過程與MBSE相結合，給出了廣義MBSA框架，可以用于指導無人機MBSA工作開展。

一、安全性分析流程

SAE ARP4761A[3]建議的安全性分析過程主要由三部分組成：FHA、PSSA和SSA。這些分析環節相互關聯，共同構成了確保產品安全性的完整流程。安全性分析流程包括安全要求的識別（“V”形圖的左側）和驗證（“V”形圖的右側），如圖1所示，用來支持整機開發活動。在無人機開發周期開始時，進行整機級別的功能危險分析，隨后對每個子系統進行系統級別的FHA。在FHA之后進行初步系統安全性分析，主要使用故障樹分析（Fault Tree Analysis，FTA）得出子系統的安全要求。PSSA流程隨著設計的演進而迭代，設計更改時，需要更改派生的系統要求。系統安全性分析流程將驗證已實施設計是否滿足安全要求，對系統進行失效模式和影響分析（Failure Modes and Effects Analysis，FMEA），以計算系統的實際失效概率。然后，通過對為子系統以及整機創建的故障樹進行定量和定性分析，完成驗證。

二、廣義MBSA與狹義MBSA

本文把基于模型開展安全性分析的方法應用于PSSA和SSA階段的MBSA定義為“狹義MBSA”，把基于模型的方法應用到FHA、PSSA和SSA三個階段的MBSA定義為“廣義MBSA”。

文獻[4]在總結了大量有關MBSA研究的文獻后，指出當前關于MBSA的研究主要集中在組件故障表征、建模語言選擇、安全性分析模型構建和執行安全性分析上，即聚焦于狹義MBSA的研究。然而當前針對無人機開展FHA，工程人員面臨著一些實際困難。以發動機控制系統為例，為探究某功能失效對無人機的潛在影響，首要任務是深入剖析控制系統對關鍵功能子系統的作用機制；隨后需綜合評估這些子系統對發動機整體性能參數的綜合影響；在此基礎上，進一步分析單臺發動機對推進系統（特別是對于裝備多臺發動機的無人機）的具體作用；最終要評估推進系統對整個無人機的影響。這一過程充分展現了對于無人機而言，功能危險分析過程煩瑣且結果不明顯。若功能描述過于籠統，失效模式的辨識將變得困難；而若描述過于詳盡，則FHA分析過程復雜度增加，帶來大量冗余信息，難以明確功能層級和范圍，從而無法有效指導FHA過程。究其原因，主要在于缺乏系統架構模型，這使得發動機子系統/部件的功能層級和范圍難以準確界定。

針對上述問題，本文將功能危險分析集成到基于模型的系統工程框架中，提出基于模型的功能危險分析（Model-Based Functional Hazard Assessment，MBFHA）流程，利用MBSE開發活動中輸出的信息開展相應功能危險分析活動，實現功能危險分析的模型化。

三、廣義MBSA流程研究

本文提出的廣義MBSA流程由基于模型的FHA流程和狹義MBSA流程兩部分組成。MBFHA流程給出了功能危險分析活動開展順序和各階段與MBSE的交互情況；狹義MBSA流程將模型融入傳統的“V”形安全性分析流程，描述安全性分析模型的建立、檢驗與分析過程。

1. MBFHA流程

針對無人機開發，參照SAE ARP4761A和SAE ARP4754B[5]中有關功能危險分析的規定，給出了圖2所示的MBFHA總體工作流程，用以指導基于模型的系統工程框架中功能危險分析的集成開發。根據系統工程“V”模型，產品開發過程始于提出產品需求，對于基于模型的系統工程方法而言，這包括制定生命周期表、系統內外交互關系分析和功能場景分析，通過這些活動，可以得到系統功能列表，作為基于模型的功能危險分析的第一個活動的輸入：創建初始功能失效狀態集合。這是一個通過考慮功能喪失或功能錯誤以及這些失效發生后是否會向用戶發出警告而創建的失效狀態集合。然后，通過考慮系統模型圖中識別的功能和操作場景，可以通過去除任何不適用或不現實的條件來細化失效狀態。在此基礎上，可以借助飛行階段信息和系統模型中的利益相關者識別確定每個失效狀態對無人機的影響。參考ARP4761A對功能失效影響與其分類和發生概率的定義，可以對每個失效狀態進行分類，并給出其定量目標。對于每個失效狀態，還應指定要求符合性的驗證方法，并在適用時提供支持材料以證明功能失效分類的合理性。

盡管FHA活動按照時間順序進行，但整個過程本身是迭代的。由于功能危險分析產生的要求可能會導致對系統架構的更改，進而可能導致對系統功能的修改，因此需要重新開展FHA，以確保其仍然準確無誤。迭代的過程可以體現出基于模型開展FHA的優越性。

2. 狹義MBSA流程

狹義MBSA類似于若干安全性分析方法的綜合，因為在某種程度上，MBSA只是提供了一個模型的框架，在計算機等高性能工具的輔助下自動生成最小割集、故障樹，進而用于完成PSSA和SSA階段的故障樹分析、共因分析等。狹義MBSA的核心是安全性分析模型，基于安全性分析模型完成PSSA和SSA階段安全性分析的過程如下：

1）抽象化系統。狹義MBSA的第一步涉及對系統實際結構、功能、層次、輸入輸出等進行分析和抽象，以確保能夠準確反映系統的各個方面情況。這一步的信息主要來源于兩個方面，一是系統設計信息，包括系統及組件的架構、接口、失效模式、失效概率等，二是通過功能危險分析獲得的功能鏈、失效清單等。

2）建立安全性分析模型。此部分是狹義MBSA的核心，模型的準確與否，直接關系到安全性分析的結果?，F階段已有一些較成熟的語言和工具支持建模，可以基于不同的建模思想選擇合適的工具，“自上而下”或“自下而上”地完成建模。

3）模型檢驗。模型的有效性是MBSA發展面臨的一個嚴峻挑戰，借助可靠性框圖，通過檢查構建的模型是否與之前已知的故障原因一致，故障樹是否完整等可以實現對所建立的安全性分析模型的檢驗。

4）生成安全性分析結果。這一步是自動生成的，但安全性分析人員有必要對生成結果進行檢查，確認合理后，可將結果反饋給系統設計，判斷是否需要修改，如有變動，需要回到第一步展開迭代，直至滿足系統最終設計要求。

為確保上述基于模型的安全性分析的開展，需要對傳統的“V”形安全性分析流程進行適當的更改，以將模型納入其中。以ARP4754B所定義的系統研制流程為例，狹義MBSA在無人機研制周期內的開展過程如圖3所示，修改后的“V”形流程中，安全性分析活動以安全性分析模型為中心。

四、廣義MBSA框架

MBSE已經越來越多地應用到系統開發中[6]，本文通過分析MBSE和安全性分析過程的特點與輸入輸出，將MBSA方法整合到兩個過程中，搭建了無人機的廣義MBSA框架，如圖4，描述了MBSE、MBSA過程與安全性分析的關系，并展示了信息交互情況。該框架中，FHA被集成到基于模型的系統工程中開展，利用MBSE需求定義和功能架構定義階段的輸出構建系統功能模型，完成系統FHA，FHA的結果可及時反饋給系統設計完成迭代；邏輯架構定義階段可以構建子系統功能模型，用以評估組件層面的風險。安全性分析模型一般是分層的，系統功能模型、子系統功能模型和系統結構一起構成安全性分析模型的輸入，用來指導模型系統層、子系統層和組件層的構建。FHA分析得到的需關注的失效狀態將成為安全性分析模型分析的對象，在給安全性分析模型添加組件失效模式、失效概率等信息后，模型可自動生成故障樹、最小割集、FMEA表等安全性分析組件，完成PSSA和SSA階段的分析。

結束語

本文為解決傳統安全性分析方法在無人機安全性分析中功能故障識別困難，分析工作量大，結果容易出現偏差的問題，將MBSA方法引入無人機安全性分析領域，研究建立FHA、PSSA和SSA各階段基于模型開展安全性分析的流程，并將整個流程與基于模型的系統工程開發過程結合，搭建了一個廣義MBSA框架。相關研究內容可為MBSA在無人機研制中的應用提供指導。

參考文獻

[1] Gradel S， Aigner B， Stumpf E. Model-based safety assessment for conceptual aircraft systems design. CEAS Aeronautical Journal 2022； 13 （1）： 281–294[J].

[2] Engineering I C O S .INCOSE Systems Engineering Handbook： A Guide for System Life Cycle Processes and Activities[M]. 2015.

[3] SAE International. ARP4761A： Guidelines for Conducting the Safety Assessment Process on Civil Aircraft， Systems， and Equipment [S]. Warrendale， PA： SAE International， 2023.

[4] Sun M， Gautham S， Ge Q， et al. Defining and characterizing model-based safety assessment： a review[J]. Safety science， 2024， 172： 106425.

[5] SAE International. ARP4754B： Guidelines for Development of Civil Aircraft and Systems [S]. Warrendale， PA： SAE International， 2023.

[6] Ana Luísa Ramos，José Vasconcelos Ferreira， Barcelo J .Model-Based Systems Engineering： An Emerging Approach for Modern Systems[J].IEEE Transactions on Systems Man and Cybernetics Part C （Applications and Reviews）， 2012， 42（1）：101-111.