胡寶棋

【摘 要】 綜合考慮無(wú)人機(jī)演出安全系統(tǒng)架構(gòu)中的各種因素，利用矩陣分析的方法，從設(shè)計(jì)的角度，分析無(wú)人機(jī)表演中可 能出現(xiàn)的事件或事故，提出無(wú)人機(jī)表演中的風(fēng)險(xiǎn)預(yù)判、安全控制以及規(guī)范化應(yīng)用的方法和措施。

【關(guān)鍵詞】 無(wú)人機(jī)；安全系統(tǒng)；地理區(qū)域；嚴(yán)重等級(jí)；風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)控制

文章編號(hào)： 10.3969/j.issn.1674-8239.2017.05.011

【Abstract】This paper introduces 35 items of possible failure in design view of UAV show using matrix by safety layers， geographic zones and severity levels in the safety system. It has a certain guiding significance for the risk prediction and safety control in the performance of the UAV， and the standardized application of this new thing.

【Key Words】Unmanned Aviation Vehicles （UAV）； security system； geographic zones； severity level； risk analysis； risk control

1 概述

目前無(wú)人機(jī)（Unmanned Aerial Vehicle）技術(shù)發(fā)展很快，大規(guī)模集群應(yīng)用的情況越來(lái)越廣泛，例如航拍、送貨、機(jī)場(chǎng)、港口、大型集會(huì)、觀禮慶典、軍事等，無(wú)人機(jī)表演已經(jīng)開(kāi)始出現(xiàn)在越來(lái)越多的活動(dòng)場(chǎng)合。近期，在重慶萬(wàn)達(dá)城，101架無(wú)人機(jī)表演在嘉陵江畔的夜空中畫(huà)下精美的3D圖案（圖1）。英特爾公司在德國(guó)舉辦的無(wú)人機(jī)燈光音樂(lè)會(huì)（圖2），繪寫(xiě)下精美的文字，同時(shí)也開(kāi)創(chuàng)了無(wú)人機(jī)演出的先河。

無(wú)人機(jī)表演最重要的一點(diǎn)是能夠安全運(yùn)行操作，航空主管部門(mén)已針對(duì)無(wú)人機(jī)的運(yùn)行推出了一系列措施。安全問(wèn)題不容妥協(xié)，因此，安全應(yīng)作為驅(qū)動(dòng)因素，成為設(shè)計(jì)的一部分。硬件、軟件、美學(xué)、程序、資源、運(yùn)輸、培訓(xùn)、維修等均應(yīng)納入安全評(píng)估范圍。

2 無(wú)人機(jī)演出安全系統(tǒng)架構(gòu)

2.1 安全系統(tǒng)

（1）投資保護(hù)系統(tǒng)（IPS），包含兩個(gè)層級(jí)（L1、L2）。

L1：可自動(dòng)檢測(cè)故障并以緊急迫降形式發(fā)出適當(dāng)動(dòng)作指令的非認(rèn)證軟件系統(tǒng)。

L2：為飛行指揮官提供硬件和/或軟件按鈕，使其能指揮無(wú)人機(jī)演出上的無(wú)人機(jī)單獨(dú)或集體停機(jī)，并緊急迫降或關(guān)閉所有發(fā)動(dòng)機(jī)的人工操作監(jiān)管系統(tǒng)。所有指令的通信均通過(guò)地面站和非認(rèn)證的無(wú)線電和/或無(wú)線網(wǎng)絡(luò)信道發(fā)出。

（2）人類與環(huán)境保護(hù)系統(tǒng)（HPS），包含一個(gè)層級(jí)（L3）。

L3：可通過(guò)無(wú)線電控制使無(wú)人機(jī)演出上的所有無(wú)人機(jī)均緊急停機(jī)（終極開(kāi)關(guān)）的人工監(jiān)管系統(tǒng)。心跳站（地面站的組成部分）和機(jī)載端均采用認(rèn)證軟件進(jìn)行緊急停機(jī)。?；钚畔⑼ㄟ^(guò)無(wú)線網(wǎng)絡(luò)和無(wú)線電廣播渠道，從心跳站發(fā)送至無(wú)人機(jī)。終極開(kāi)關(guān)推上時(shí)，心跳系統(tǒng)的電源就會(huì)被切斷，造成?；钚畔⒅袛?，導(dǎo)致無(wú)人機(jī)機(jī)載緊急停機(jī)系統(tǒng)切斷發(fā)動(dòng)機(jī)驅(qū)動(dòng)的啟動(dòng)信號(hào)，從而使發(fā)動(dòng)機(jī)立即停止運(yùn)轉(zhuǎn)，并使無(wú)人機(jī)演出的所有無(wú)人機(jī)墜落。

需強(qiáng)調(diào)的是，人類與環(huán)境保護(hù)系統(tǒng)僅為備份方案，只有當(dāng)投資保護(hù)系統(tǒng)在極罕見(jiàn)的情況下失效時(shí)方可采用，而投資保護(hù)系統(tǒng)只有在多個(gè)獨(dú)立故障同時(shí)發(fā)生時(shí)才可能失效。

2.2 地理區(qū)域

為明確安全措施，對(duì)靜態(tài)地理區(qū)域作出以下界定。

（1）飛行區(qū)：唯一容許無(wú)人機(jī)飛行的區(qū)域。本區(qū)域由水平邊界和高度限制組成，而水平邊界則由一組直線構(gòu)成。

（2）投資保護(hù)系統(tǒng)緩沖區(qū)：飛行區(qū)周圍的第一個(gè)區(qū)域。雖然無(wú)人機(jī)不得在本區(qū)域內(nèi)飛行，但是無(wú)法嚴(yán)格保證無(wú)人機(jī)遵守該安全規(guī)定。如檢測(cè)到無(wú)人機(jī)進(jìn)入本區(qū)域，無(wú)人機(jī)控制器會(huì)立即關(guān)閉其發(fā)動(dòng)機(jī)。投資保護(hù)系統(tǒng)的目的在于將無(wú)人機(jī)控制在本區(qū)域和飛行區(qū)的組合內(nèi)。

投資保護(hù)系統(tǒng)緩沖區(qū)特征長(zhǎng)度：飛行區(qū)與公共緩沖區(qū)之間的最短距離。

（3）公共緩沖區(qū)：飛行區(qū)周圍的第二個(gè)區(qū)域。雖然無(wú)人機(jī)不得在本區(qū)域內(nèi)飛行，但是無(wú)法嚴(yán)格保證無(wú)人機(jī)遵守該安全規(guī)定。投資保護(hù)系統(tǒng)的目的在于防止無(wú)人機(jī)進(jìn)入本區(qū)域。如檢測(cè)到無(wú)人機(jī)進(jìn)入本區(qū)域，終極開(kāi)關(guān)操作員會(huì)推上終極開(kāi)關(guān)，使所有無(wú)人機(jī)立即墜落。投資保護(hù)系統(tǒng)緩沖區(qū)的每條外部邊界線均應(yīng)由兩名終極開(kāi)關(guān)操作員實(shí)施監(jiān)控。

公共緩沖區(qū)特征長(zhǎng)度：公共區(qū)與投資保護(hù)系統(tǒng)緩沖區(qū)之間的最短距離。本區(qū)域具有最短特征長(zhǎng)度，應(yīng)時(shí)刻遵守。其最小值依彈道測(cè)試而定。

（4）公共區(qū)：除飛行區(qū)、投資保護(hù)系統(tǒng)緩沖區(qū)和公共緩沖區(qū)以外的區(qū)域。無(wú)人機(jī)不得在本區(qū)域內(nèi)飛行，由終極開(kāi)關(guān)操作員通過(guò)操作確保該安全規(guī)定得以嚴(yán)格遵守。

（5）起降區(qū)：無(wú)人機(jī)演出的無(wú)人機(jī)在飛行區(qū)內(nèi)起飛和降落的位置。

圖3展示了地理區(qū)域的一般布局，具體依無(wú)人機(jī)演出的實(shí)際情況而定。

2.3 嚴(yán)重等級(jí)

首先界定與風(fēng)險(xiǎn)嚴(yán)重等級(jí)直接相關(guān)的事件和事故（摘自996/2010號(hào) 歐盟條例）。

事件指的是除事故以外，與飛行器的操作有關(guān)，且影響或可能影響操作安全的事情。

事故指的是與飛行器的操作有關(guān)并發(fā)生在飛行器準(zhǔn)備起飛至飛行器結(jié)束飛行且主推進(jìn)系統(tǒng)關(guān)閉期間的事情，其中包括以下情況。

（1）某人因以下原因發(fā)生致命或嚴(yán)重傷害：直接接觸飛行器的任意部位，包括從飛行器上分離出來(lái)的部件；或直接暴露在噴氣中（螺旋槳的噪聲或氣流），自然原因、自己或他人造成的傷害除外。

（2）飛行器發(fā)生損壞或結(jié)構(gòu)性故障，從而對(duì)其結(jié)構(gòu)強(qiáng)度、性能或飛行特性產(chǎn)生不利影響，且通常需要進(jìn)行大規(guī)模維修或更換受損元件；或飛行器失蹤或完全失聯(lián)。

嚴(yán)重等級(jí)可作如下界定。

① 低嚴(yán)重性

N1：所有無(wú)人機(jī)均可飛行。

N2：并非所有無(wú)人機(jī)均可飛行（拒絕或無(wú)法起飛）。

② 中等嚴(yán)重性（事件）

I1：在需運(yùn)行定位系統(tǒng)標(biāo)記位置方可抵達(dá)下一個(gè)疏散出口點(diǎn)時(shí)，無(wú)人機(jī)通過(guò)位置控制，沿疏散軌跡實(shí)施疏散降落。

I2：無(wú)人機(jī)通過(guò)水平位置控制，實(shí)施即時(shí)緊急降落，而垂直速度控制需運(yùn)行定位系統(tǒng)位置。

I3：無(wú)人機(jī)通過(guò)水平速度控制，實(shí)施即時(shí)緊急降落，而垂直速度控制需運(yùn)行定位系統(tǒng)速度。

I4：無(wú)人機(jī)通過(guò)姿態(tài)控制，實(shí)施緊急降落，而垂直速度控制需運(yùn)行慣性測(cè)量單元和氣壓表。

I5：無(wú)人機(jī)實(shí)施非標(biāo)行為，且未采取疏散或應(yīng)急措施。

③ 高嚴(yán)重性（事故）

A0：無(wú)人機(jī)在投資保護(hù)系統(tǒng)緩沖區(qū)內(nèi)飛行或著陸時(shí)損壞。

A1：無(wú)人機(jī)離開(kāi)投資保護(hù)系統(tǒng)緩沖區(qū)，且終極開(kāi)關(guān)已推上。

A2：無(wú)人機(jī)離開(kāi)投資保護(hù)系統(tǒng)緩沖區(qū)，但終極開(kāi)關(guān)未推上。

A3：無(wú)人機(jī)造成致命或嚴(yán)重的人身傷害。

如無(wú)人機(jī)仍遵守規(guī)定的界線，但行為不穩(wěn)定，則可能使所有事件等級(jí)惡化。在風(fēng)險(xiǎn)分析中，如預(yù)計(jì)會(huì)發(fā)生不穩(wěn)定行為，則該事件會(huì)加注符號(hào)“u”，例如“I2u”表示無(wú)人機(jī)通過(guò)不穩(wěn)定的水平位置控制，實(shí)施緊急降落。

3 無(wú)人機(jī)演出風(fēng)險(xiǎn)分析

本風(fēng)險(xiǎn)分析涉及以下故障。

（1）源自無(wú)人機(jī)演出系統(tǒng)功能架構(gòu)的功能硬件組成部分（螺旋槳、電池、處理器、天線、通信設(shè)備傳感器等）。

（2）機(jī)載發(fā)電機(jī)微控制器內(nèi)的發(fā)動(dòng)機(jī)驅(qū)動(dòng)軟件。

（3）機(jī)載可編程邏輯內(nèi)的位置控制軟件。

（4）機(jī)載處理器內(nèi)的插補(bǔ)通信軟件。

（5）地面站系統(tǒng)。

除另有說(shuō)明，本風(fēng)險(xiǎn)分析假設(shè)了以下基本原則。

（1）每次只存在一種故障模式。

（2）分析的所有項(xiàng)目的輸入值（包括軟件指令）均以標(biāo)稱值呈現(xiàn)。

（3）標(biāo)稱動(dòng)力有效。

如同時(shí)出現(xiàn)兩種或以上的故障，則分別進(jìn)行處理，并整合成有案可查的附加故障模式。

3.1 故障的可能性

每個(gè)故障模式均有一定的發(fā)生概率，代表每架無(wú)人機(jī)發(fā)生故障的可能性。故障在一段時(shí)間內(nèi)發(fā)生的可能性是該概率乘以無(wú)人機(jī)在此期間飛行的次數(shù)所得的數(shù)值（表1）。

3.2 風(fēng)險(xiǎn)分析矩陣

下面采用風(fēng)險(xiǎn)分析矩陣法，從機(jī)載設(shè)備、通信、軟件漏洞、飛行軌跡位置、地面設(shè)施等五個(gè)方面進(jìn)行故障分析，并給出控制措施（表2）。

4 結(jié)語(yǔ)

雖然無(wú)人機(jī)及其控制系統(tǒng)是專門(mén)針對(duì)安全操作而設(shè)計(jì)的，并且有了如上的風(fēng)險(xiǎn)分析控制措施，但安全問(wèn)題仍不可小覷，如有可能，還可利用安全網(wǎng)對(duì)無(wú)人機(jī)演出和公眾進(jìn)行物理隔離。隨著無(wú)人機(jī)技術(shù)的發(fā)展和應(yīng)用領(lǐng)域的擴(kuò)充，安全系統(tǒng)也會(huì)變得越來(lái)越完善。

參考文獻(xiàn)：

[1] 事故/事故征候調(diào)查和預(yù)防，996/2010號(hào)規(guī)章，歐盟條例.

[2] AC-91-FS-2015-31《輕小無(wú)人機(jī)運(yùn)行規(guī)定》[S]. 中國(guó)民用航空局飛行標(biāo)準(zhǔn)司.