摘要：本文描述了一種民用飛機(jī)研制安全性評(píng)估領(lǐng)域新興的基于模型的安全性分析方法，通過(guò)介紹該方法理念以及具體實(shí)施流程，剖析了其不同于傳統(tǒng)安全性分析方法之處，即優(yōu)勢(shì)所在。最后總結(jié)了此方法優(yōu)缺點(diǎn)及未來(lái)得到推廣應(yīng)用所面臨的挑戰(zhàn)。

關(guān)鍵詞：基于模型 民機(jī)安全性 MBSA

中圖分類號(hào)：N945 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2012）09（c）-0044-02

在民機(jī)研制過(guò)程中，系統(tǒng)安全性分析技術(shù)已經(jīng)在關(guān)鍵安全性的系統(tǒng)中得到了廣泛應(yīng)用，大多數(shù)該類分析技術(shù)是高度主觀的并且依賴于參加者的技能。由于這些分析通?；诜钦降南到y(tǒng)模型，所以很難做到完整、連續(xù)并且沒(méi)有錯(cuò)誤。事實(shí)上，系統(tǒng)架構(gòu)模型的精確程度以及失效模式的欠缺，將使得安全性分析人員花費(fèi)很多精力去掌握模型的細(xì)節(jié)，去從多個(gè)資源處了解掌握系統(tǒng)特性，然后將之付諸于安全性分析方法中。

本篇論文描述了一種目前新興的基于模型的安全性分析方法（Model Based Safety Analysis， MBSA），系統(tǒng)和安全性設(shè)計(jì)師可以通過(guò)采用一個(gè)基于模型的系統(tǒng)研發(fā)過(guò)程來(lái)共享相同的系統(tǒng)模型，通過(guò)加入故障模型以及一定比例的可控的物理系統(tǒng)，對(duì)安全性分析進(jìn)行自動(dòng)化處理，從而減輕開(kāi)支并且提升安全性分析的質(zhì)量。目前Dassault 7x飛機(jī)的飛控系統(tǒng)利用基于AltaRica語(yǔ)言的數(shù)據(jù)流表示的模型進(jìn)行了相關(guān)適航審定。即將發(fā)布的SAE ARP 4761民用飛機(jī)系統(tǒng)與設(shè)備安全性評(píng)估方法指南與方法也可能對(duì)MBSA使用進(jìn)行清晰的描述。

1 傳統(tǒng)民機(jī)安全性分析方法

安全性評(píng)估過(guò)程是系統(tǒng)研發(fā)過(guò)程的一個(gè)固有組成部分，由安全性需求確認(rèn)和驗(yàn)證過(guò)程組成。該過(guò)程通常包括飛機(jī)功能危險(xiǎn)性評(píng)估（AFHA）、系統(tǒng)功能危險(xiǎn)性評(píng)估（SFHA）、初步系統(tǒng)安全性評(píng)估（PSSA），這些都隨著設(shè)計(jì)演化而迭代，同時(shí)進(jìn)行必要的系統(tǒng)更改。設(shè)計(jì)與實(shí)施過(guò)程完成后，系統(tǒng)安全性評(píng)估（SSA）驗(yàn)證安全性要求是否滿足。

上述過(guò)程中安全性工程師通常進(jìn)行諸如故障樹(shù)分析一類的安全性分析，基于的是從多個(gè)來(lái)源綜合得來(lái)的信息，包括非正式的系統(tǒng)設(shè)計(jì)模型和需求文件。這些分析高度主觀并且依賴工程師的技術(shù)。作為最為常見(jiàn)的安全性分析技術(shù)，不同的安全性工程師對(duì)于同一個(gè)系統(tǒng)可以做出不同的故障樹(shù)。最終的故障樹(shù)經(jīng)常通過(guò)評(píng)審過(guò)程達(dá)成一致確定，系統(tǒng)設(shè)計(jì)人員與安全性工程師要同時(shí)參加。

2 基于模型的安全性分析過(guò)程與特性

在關(guān)鍵安全性系統(tǒng)領(lǐng)域，基于模型的研發(fā)是時(shí)下數(shù)字控制系統(tǒng)愈發(fā)流行的方法。在該方法中，各種研發(fā)活動(dòng)，比如仿真、驗(yàn)證、試驗(yàn)和編碼都基于一個(gè)正式的系統(tǒng)模型，通過(guò)Simulink 或者SCADE等?；谀Ｐ偷陌踩苑治龇椒ㄈ谌雮鹘y(tǒng)的安全性評(píng)估流程中的方法如下文所述。

2.1 基于模型的研發(fā)

基于模型的研發(fā)活動(dòng)中，主要的活動(dòng)集中于數(shù)字控制系統(tǒng)的建模。該模型可以用于多種分析。例如模型檢查、完整性與一致性分析等等?；谀Ｐ偷难邪l(fā)工具通常包含那些自動(dòng)編碼器，它們可以從模型中直接得到設(shè)計(jì)實(shí)現(xiàn)。目前有幾種商業(yè)研究工具支持基于模型的研發(fā)活動(dòng)，商業(yè)軟件工具包括Simulink、Esterel的Esterel和SCADE、i-Logix的Statemate、Software Engineering的SpecTRM等等。

2.2 基于模型的安全性分析

基于模型的研發(fā)主要是對(duì)于系統(tǒng)中的軟件模塊進(jìn)行建模。要進(jìn)行系統(tǒng)級(jí)別的安全性分析，我們必須考慮系統(tǒng)運(yùn)行的環(huán)境，這通常包含機(jī)械部件。基于模型的工具與技術(shù)同樣可以用以對(duì)物理部件進(jìn)行建模。通過(guò)將電子部件（軟件和硬件）與機(jī)械部件模型（泵、閥等）結(jié)合，可以得到系統(tǒng)特性。此后該模型可以通過(guò)加入數(shù)字與機(jī)械的故障模型建立擴(kuò)展的系統(tǒng)模型。該模型可以用來(lái)描述系統(tǒng)出現(xiàn)一個(gè)或多個(gè)故障時(shí)的特性。

為了支持基于模型的安全性分析，傳統(tǒng)的“V”型安全性流程被修改，從而使得安全性分析活動(dòng)植根于正式的系統(tǒng)與故障模型當(dāng)中。這些模型被同時(shí)用于系統(tǒng)設(shè)計(jì)和安全性分析，是系統(tǒng)研發(fā)流程的核心部分。得到擴(kuò)展的系統(tǒng)模型后，安全性分析流程由定義反映系統(tǒng)安全性需求的一組正式屬性和利用正式的分析技術(shù)以確定系統(tǒng)設(shè)計(jì)架構(gòu)是否滿足安全性屬性等活動(dòng)組成。故障樹(shù)與FMEA都可以在正式分析中像副產(chǎn)品一樣自動(dòng)生成。

該方法的最大優(yōu)點(diǎn)是系統(tǒng)工程師與安全性工程師能夠在一個(gè)共同的清晰的系統(tǒng)模型上開(kāi)展工作，這個(gè)共同模型保證了安全性分析結(jié)果能夠伴隨著系統(tǒng)研制過(guò)程及時(shí)地更新，使得系統(tǒng)設(shè)計(jì)過(guò)程早期就能進(jìn)行安全性評(píng)估。此外，它還通過(guò)自動(dòng)判定是否滿足關(guān)鍵的安全性需求，支持了不同系統(tǒng)架構(gòu)的開(kāi)發(fā)與不同的設(shè)計(jì)決策。理想地，計(jì)算工具例如Model Checks可以自動(dòng)進(jìn)行許多安全性分析活動(dòng)，安全性工程師的任務(wù)主要在于檢查產(chǎn)生的安全性分析如故障樹(shù)等并確認(rèn)系統(tǒng)建模和故障建模中的假設(shè)。

2.2.1 名義的系統(tǒng)建模

基于模型的研發(fā)（以及基于模型的安全性分析）的重要步驟是為系統(tǒng)建立一個(gè)正式的模型。系統(tǒng)的行為可以用支持圖形或文字的正式語(yǔ)言所詳細(xì)說(shuō)明（如文字語(yǔ)言Lustre，圖形語(yǔ)言Simulink、SCADE）。系統(tǒng)的邏輯與物理架構(gòu)也可以用這些語(yǔ)言或者采用架構(gòu)描述語(yǔ)言（如AADL）說(shuō)明。

2.2.2 形成衍生的安全性需求

衍生的安全性需求與傳統(tǒng)的V流程中的確定方式是一致的。為了支持自動(dòng)的分析，安全性屬性需要采用某種正式的符號(hào)來(lái)表達(dá)。

2.2.3 故障建模

系統(tǒng)級(jí)的故障可能由于部件失效、不正確的輸出、錯(cuò)誤的信息或者軟件不正確的功能引起。故障模型捕獲多種多樣的系統(tǒng)（包括電子控制器與機(jī)械系統(tǒng)）部件可能失效的方式。故障模型同時(shí)需要給出引起部件失效的故障觸發(fā)機(jī)制以及它們的持續(xù)時(shí)間。這里要求區(qū)分暫時(shí)失效（持續(xù)一段較短的時(shí)間）與永久失效（永久性的失效）。故障模型應(yīng)當(dāng)同樣能夠說(shuō)明更為復(fù)雜的故障行為，比如故障演化、關(guān)聯(lián)故障等等，它同樣需要能夠定義故障層級(jí)?；谙到y(tǒng)模型，我們可以選擇為不同類型的數(shù)字類失效、機(jī)械類失效等建模。

2.2.4 模型擴(kuò)展

為了實(shí)施MBSA方法，故障模型與名義的系統(tǒng)建模結(jié)合在一起以描述系統(tǒng)在出現(xiàn)故障時(shí)的行為。將這個(gè)稱為擴(kuò)展的系統(tǒng)模型。有兩種方法可以將故障信息增加到系統(tǒng)模型當(dāng)中。首先，可以將故障行為直接嵌入到系統(tǒng)模型當(dāng)中。第二種是單獨(dú)建立故障模型，在分析需要時(shí)將其與系統(tǒng)模型自動(dòng)融合到一起。

2.2.5 安全性分析

一旦擁有了擴(kuò)展的系統(tǒng)模型，安全性分析就包括了驗(yàn)證在故障模型中定義的故障出現(xiàn)時(shí)是否還能滿足安全需求，系統(tǒng)安全性工程師可以通過(guò)模擬不同部件的故障并觀察系統(tǒng)的行為而進(jìn)行大量分析。對(duì)于更為嚴(yán)格的分析，可以通過(guò)采用正式的驗(yàn)證工具來(lái)確定是否某些感興趣的安全性屬性被保持。安全性分析大致包含以下條目?jī)?nèi)容。

2.2.5.1 模擬

一旦建立了包含故障模型的擴(kuò)展的系統(tǒng)模型，工程師立刻可以模擬不同的故障場(chǎng)景，這種模擬提供了很重要的便利，工程師可以通過(guò)圖形化用戶界面控制以視覺(jué)方式了解故障對(duì)系統(tǒng)功能的影響。這項(xiàng)能力可以用在更為嚴(yán)格的統(tǒng)計(jì)分析前快速地檢查出常用場(chǎng)景下的安全性問(wèn)題

2.2.5.2 安全性屬性的證明

正式的驗(yàn)證工具，比如Model Checkers和Theorem Provers，可以用來(lái)證明基于擴(kuò)展的系統(tǒng)模型的安全性屬性得到保持。為證明相關(guān)感興趣的屬性，工程師通常需要排除某些不可能的故障組合，這些通常作為證明過(guò)程中的假設(shè)或者公理。如果一項(xiàng)屬性被證明，安全性工程師的職責(zé)是評(píng)審這些證明過(guò)程中用到的假設(shè)并且檢查他們是否正確，需要證明系統(tǒng)滿足考慮了故障模型的相關(guān)安全性屬性。如果某項(xiàng)屬性沒(méi)有被證明，可能就需要重新構(gòu)架系統(tǒng)或者降低初始的安全性屬性以達(dá)到可接受狀態(tài)。這項(xiàng)能力同樣可以用來(lái)進(jìn)行拓展性的分析以研究系統(tǒng)對(duì)于故障的容錯(cuò)能力。比如當(dāng)系統(tǒng)遇到N個(gè)故障同時(shí)發(fā)生時(shí)特定的安全性要求仍可以被滿足的這個(gè)N的最大值如何。系統(tǒng)安全性工程師還可能需要考慮在不同故障持續(xù)時(shí)間下系統(tǒng)的行為，比如瞬時(shí)失效和永久失效。

2.2.5.3 產(chǎn)生故障樹(shù)

采用合適的工具支持，正式的驗(yàn)證結(jié)果可以通過(guò)的一些熟悉的安全性分析方法所表現(xiàn)出來(lái)。該領(lǐng)域目前有很大的研究前景，但目前出現(xiàn)的產(chǎn)生故障樹(shù)的工具尚不能一下產(chǎn)生直覺(jué)客觀的故障樹(shù)結(jié)果以供人工查看。

3 結(jié)語(yǔ)

MBSA方法目前開(kāi)始在民用飛機(jī)安全性評(píng)估領(lǐng)域嶄露頭角，這是一種通過(guò)采用正式的系統(tǒng)模型而使得安全性分析流程部分實(shí)現(xiàn)自動(dòng)化處理的方法。本文對(duì)其理念與流程進(jìn)行了概要性介紹。該方法的優(yōu)點(diǎn)是顯而易見(jiàn)的，比如系統(tǒng)設(shè)計(jì)與安全性分析更緊密的結(jié)合在一起、在項(xiàng)目早期模擬系統(tǒng)行為發(fā)掘出潛在的安全性方面的危害、使用自動(dòng)化分析工具最大限度地窮盡系統(tǒng)安全性屬性方面的行為、自動(dòng)產(chǎn)生一些傳統(tǒng)分析中需要手動(dòng)完成的分析工作如故障樹(shù)、FMECA/FMEA等等。當(dāng)然目前該方法研究中也出現(xiàn)了一些挑戰(zhàn)，比如哪些語(yǔ)言和軟件對(duì)于該方法最適用？是否可以開(kāi)發(fā)出系統(tǒng)與安全性工程師可以直觀使用的工具？是否可以將基于模型的結(jié)果轉(zhuǎn)化成系統(tǒng)與安全性工程師熟知的形式？這些形式是否可以用來(lái)進(jìn)行適航審定？同時(shí)目前的MBSA方法在故障建模、描述系統(tǒng)安全性屬性及產(chǎn)生安全性結(jié)果方面仍存在一些缺點(diǎn)，但可以相信在不遠(yuǎn)的將來(lái)，在民機(jī)及其他工業(yè)領(lǐng)域，該方法具有廣闊的發(fā)展前景。

參考文獻(xiàn)

[1] Anjali Joshi，Mike Whalen，Mats P.E. Heimdahl.Model-Based Safety Analysis Final Report [R].NASA，2005.

[2] Chao Liu，Tao Tang，Oleg Lisagor.Challenge to Introduce MBSA Approa-ches into CBTC Safety Analysis[C]//IEEE international conference 2011 on intelligent rail transportation.2011.