海裝裝備項目管理中心 北京市 豐臺區(qū) 100843

通過研究目前國內(nèi)外系統(tǒng)安全性在軍用無人機(jī)研制的實施現(xiàn)狀及標(biāo)準(zhǔn)規(guī)范，結(jié)合民機(jī)系統(tǒng)安全性分析流程，考慮國內(nèi)軍用無人機(jī)安全性分析工作的工程實踐，對國內(nèi)軍用無人機(jī)研制安全性工作規(guī)劃進(jìn)行研究。結(jié)合通用的飛機(jī)生命周期階段，按照系統(tǒng)工程正向研制流程，給出飛機(jī)研制不同階段應(yīng)開展的安全性工作規(guī)劃，明確不同層級安全性活動的啟動及凍結(jié)節(jié)點，同時根據(jù)規(guī)劃內(nèi)容給出國內(nèi)軍用無人機(jī)開展系統(tǒng)安全性工作應(yīng)考慮的重點。針對具體的安全性分析方法，以某型飛機(jī)起落架系統(tǒng)為例，通過基于模型的安全性分析（MBSA）演示其在未來工程實踐中的潛在優(yōu)勢，同時提出該技術(shù)方法運用所需的注意事項。綜合宏觀安全性工作規(guī)劃與微觀安全性分析方法兩個維度，為國內(nèi)軍用無人機(jī)規(guī)范化開展系統(tǒng)安全性分析工作奠定基礎(chǔ)。

飛機(jī)研制是一項復(fù)雜的系統(tǒng)工程，隨著航空技術(shù)的不斷發(fā)展，新技術(shù)、新材料、新工藝不斷推陳出新，系統(tǒng)集成化程度系統(tǒng)越來越高。而軍用無人機(jī)考慮面向復(fù)雜的作戰(zhàn)環(huán)境，通常對技術(shù)先進(jìn)性要求更高，但其發(fā)生事故，會造成巨大經(jīng)濟(jì)損失的同時還會嚴(yán)重影響作戰(zhàn)能力的發(fā)揮。因此，軍用無人機(jī)安全性問題已成為軍方和工業(yè)方共同關(guān)注的重要問題。

國外軍用無人機(jī)研制都明確將安全性分析作為強制要求在實際應(yīng)用中進(jìn)行貫徹、實施，美軍標(biāo)MIL-STD-882E是目前眾多國家開展安全性的引用標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)引用了民用飛機(jī)系統(tǒng)安全性文件AC25.1309-1A《美國聯(lián)邦航空局資訊通報：系統(tǒng)設(shè)計和分析》和SAE ARP4761《對民用機(jī)載系統(tǒng)和設(shè)備進(jìn)行安全性評估過程的指導(dǎo)和方法》。因此，隨著民用飛機(jī)系統(tǒng)安全性技術(shù)逐步成熟，并在民用飛機(jī)安全性方面取得巨大成果，系統(tǒng)安全性分析技術(shù)在軍、民用飛機(jī)研制中開始逐步統(tǒng)一。例如20世紀(jì)90年代末，美國西科斯基所研制的S-92的安全性分析和設(shè)計便是按ARP 4761的分析技術(shù)進(jìn)行的，國內(nèi)與法國合作研制的EC175/Z15，同樣是按ARP 4761進(jìn)行安全性分析和評估。通過采用民用飛機(jī)安全性分析流程，確定最優(yōu)的減少和控制風(fēng)險的措施，從而在使用有效性、費用和進(jìn)度等限制條件下，確保軍用無人機(jī)型號達(dá)到理想的安全水平。

目前國內(nèi)諸多軍用無人機(jī)型號也在開展系統(tǒng)安全性分析工作，包括功能危險分析（FHA）、初步系統(tǒng)安全性分析（PSSA）、失效模式與影響分析（FMEA）及區(qū)域安全性分析等，整個分析過程尚缺乏整體的系統(tǒng)性，安全性分析工作與設(shè)計工作聯(lián)合不夠緊密，致使安全性分析結(jié)果對設(shè)計工作無法產(chǎn)生有效指導(dǎo)，也很少發(fā)現(xiàn)設(shè)計的差錯與缺陷，對于提出的安全性要求缺乏有效的定性及定量證據(jù)表明符合性。因此在研或后續(xù)研制機(jī)型，應(yīng)做好頂層的安全性工作規(guī)劃，在型號項目立項初始就應(yīng)該結(jié)合研制階段對全研制周期整機(jī)級、系統(tǒng)級、設(shè)備級等安全性工作進(jìn)行定義，確保安全性分析對于設(shè)計活動的有效指導(dǎo)。

本文通過研究民機(jī)系統(tǒng)安全性分析流程、調(diào)研國內(nèi)軍用無人機(jī)系統(tǒng)安全性分析開展情況，對適用于軍用無人機(jī)研制的安全性分析工作規(guī)劃結(jié)合航空裝備研制生命周期進(jìn)行介紹，并根據(jù)基于模型的安全性分析（MBSA）案例，展示MBSA技術(shù)優(yōu)勢，說明未來軍用無人機(jī)型號上推廣實施MBSA的可行性，最后，給出后續(xù)軍用無人機(jī)型號系統(tǒng)安全性工作開展的思考與結(jié)論。

系統(tǒng)安全性概念及相關(guān)標(biāo)準(zhǔn)

系統(tǒng)安全性概念

飛機(jī)的安全性是飛機(jī)的一種固有屬性，是指通過設(shè)計和制造賦予飛機(jī)的不發(fā)生事故的能力。該屬性主要表現(xiàn)為兩個方面：

設(shè)計屬性：安全性作為飛機(jī)的固有屬性，其是飛機(jī)研制過程中設(shè)計出來的，因而具有設(shè)計屬性，是設(shè)計師團(tuán)隊的關(guān)鍵設(shè)計目標(biāo)；

行為屬性：安全性關(guān)注的一個重要方面是對人造成的危害，而人為操作因素又是造成事故發(fā)生的重要因素，與此同時，在飛機(jī)研制過程中對飛行員、維修人員等操作的規(guī)定與培訓(xùn)則是通過人的行為防止事故發(fā)生。

系統(tǒng)安全性則是在安全性發(fā)展的過程中逐步發(fā)展起來的一門專門學(xué)科，軍用無人機(jī)系統(tǒng)安全性則定義為：“在系統(tǒng)壽命期所有階段內(nèi)，在使用效能、適用性、時間和費用等項約束下，運用工程和管理的原理、準(zhǔn)則和技術(shù)使安全性涉及的所有方面最優(yōu)化。”系統(tǒng)安全性強調(diào)設(shè)計屬性，通過運用相關(guān)技術(shù)原理降低與費用、方案和設(shè)計要求相關(guān)的系統(tǒng)風(fēng)險，從而實現(xiàn)控制系統(tǒng)風(fēng)險的目標(biāo)。對軍用無人機(jī)而言，可以進(jìn)而保證減少飛機(jī)損失，實現(xiàn)戰(zhàn)斗能力的最大化。

軍民用系統(tǒng)安全性標(biāo)準(zhǔn)

本文主要對美國及國內(nèi)主要的裝備系統(tǒng)級軍民用系統(tǒng)安全性標(biāo)準(zhǔn)進(jìn)行梳理介紹。

(1)美軍MIL-STD-882美國國防部標(biāo)準(zhǔn)實踐-系統(tǒng)安全性

MIL-STD-882系列標(biāo)準(zhǔn)主要關(guān)注武器系統(tǒng)的系統(tǒng)安全性工作，并不僅限于飛機(jī)系統(tǒng)，而是面向所有的武器系統(tǒng)的通用標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)從1969年7月初版發(fā)布至今已修訂6次，目前有效版本為MILSTD-882E，標(biāo)準(zhǔn)內(nèi)涵也逐步從保障武器裝備和人員的安全向保持環(huán)境安全和人員職業(yè)健康延伸。該標(biāo)準(zhǔn)內(nèi)容不僅包含具體系統(tǒng)安全性技術(shù)內(nèi)容，還包含安全性管理工作內(nèi)容。

(2)SAE ARP 4761民用機(jī)載系統(tǒng)和設(shè)備進(jìn)行安全性評估過程的指導(dǎo)和方法

ARP 4761是專門針對民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備安全性評估的方法與指南，不同于MIL-STD-882E，ARP4761只涵蓋飛機(jī)研制階段，而非全生命周期，且ARP 4761對安全性分析方法及流程提供具體的技術(shù)實施指南，指導(dǎo)工程實踐采用定性與定量的方式確定安全性要求，并隨著系統(tǒng)、飛機(jī)集成過程進(jìn)行驗證，不包括系統(tǒng)安全性管理方面的工作。

(3)GJB 900A-2012裝備安全性工作通用要求

該標(biāo)準(zhǔn)是在GJB 900基礎(chǔ)上修訂而來，規(guī)定了軍用系統(tǒng)安全性的一般要求和管理與控制、設(shè)計分析、驗證與評價、培訓(xùn)、軟件系統(tǒng)安全性等方面的具體要求，作為訂購方提出具體系統(tǒng)的安全性要求和承制方制定具體系統(tǒng)的安全性大綱的基本依據(jù)。

上述標(biāo)準(zhǔn)僅是系統(tǒng)安全性相關(guān)典型標(biāo)準(zhǔn)，但相比而言國外的標(biāo)準(zhǔn)較為全面，不僅包括頂層的安全性工作要求，也具備工程技術(shù)的具體實施流程，國內(nèi)目前尚缺乏完善的系統(tǒng)安全性標(biāo)準(zhǔn)體系，尤其是具體實施層面的方法指南文件，致使在型號研制工程實踐的系統(tǒng)安全性分析中缺乏指導(dǎo)。

系統(tǒng)安全性分析工作規(guī)劃

針對國內(nèi)目前軍用無人機(jī)研制安全性工作存在的問題，本文以ARP 4754A系統(tǒng)安全性分析流程為基礎(chǔ)，結(jié)合目前國內(nèi)在部分機(jī)型開展的安全性分析工作，并考慮通用的飛機(jī)生命周期階段，按照系統(tǒng)工程正向設(shè)計流程，給出軍用無人機(jī)在全生命周期階段的系統(tǒng)安全性工作規(guī)劃。整個安全性工作按生命周期階段和不同層級兩個維度進(jìn)行規(guī)劃，如圖1所示。

全生命周期系統(tǒng)安全性分析工作可根據(jù)是否服役劃分為研制階段系統(tǒng)安全性分析工作與飛機(jī)使用過程中的運行安全分析工作，本文站在飛機(jī)研制視角，按照飛機(jī)不同層級重點介紹研制過程中如何開展安全性分析工作。

(1)飛機(jī)級安全性分析與驗證

在型號研制中的可行性研究階段初始，就應(yīng)開展飛機(jī)級功能危險分析（AFHA），在完成AFHA初版后，向供應(yīng)商發(fā)出信息征詢書（RFI），尋求供應(yīng)商對于系統(tǒng)的技術(shù)狀態(tài)，并獲取供應(yīng)商技術(shù)反饋，進(jìn)入概念設(shè)計階段后，主機(jī)與供應(yīng)商開展聯(lián)合概念設(shè)計（JCDP），在此過程中AFHA逐步更新成熟，并在飛機(jī)總體設(shè)計方案凍結(jié)后，AFHA達(dá)到凍結(jié)狀態(tài)。

在AFHA完成初版后，在可行性研究階段應(yīng)啟動初步飛機(jī)安全性分析（PASA），該工作應(yīng)進(jìn)行多輪更新迭代，指導(dǎo)詳細(xì)設(shè)計階段關(guān)鍵設(shè)計評審（CDR）結(jié)束后，才達(dá)到凍結(jié)狀態(tài)。

此外，在飛機(jī)級還應(yīng)開展共模分析（CMA）、特定風(fēng)險分析（PRA），這兩項分析工作在可行性研究階段啟動，并在初步設(shè)計評審（PDR）時完成，在此之后才開展區(qū)域安全性分析（ZSA）。

圖1 系統(tǒng)安全性各研制階段工作規(guī)劃

在研制和驗證階段，應(yīng)開展飛機(jī)級物理ZSA確定設(shè)計階段的目標(biāo)是否得到滿足，進(jìn)而開展飛機(jī)安全性評估（ASA）對整個型號安全性要求進(jìn)行關(guān)閉。

(2)系統(tǒng)級安全性分析與驗證

系統(tǒng)級功能危險分析（SFHA）工作在整個型號可行性研究階段結(jié)束，項目正式立項開始，主機(jī)與供應(yīng)商開展聯(lián)合概念設(shè)計定義，此時開展SFHA，并隨后開展系統(tǒng)初步安全性分析（PSSA），SFHA應(yīng)在PDR后達(dá)到凍結(jié)狀態(tài)，PSSA在詳細(xì)設(shè)計結(jié)束CDR時達(dá)到凍結(jié)。與此同時，在概念設(shè)計與詳細(xì)設(shè)計階段應(yīng)開展系統(tǒng)級的CMA與PRA，對系統(tǒng)層級可能存在的共模與特定風(fēng)險進(jìn)行分析。

在研制和驗證階段，完成FMEA/FMES后，開展SSA，確認(rèn)系統(tǒng)級安全性目標(biāo)得以滿足。

(3)設(shè)備級安全性分析與驗證

在設(shè)備級主要開展FMEA/FMES的分析工作，該部分內(nèi)容是系統(tǒng)安全性分析（SSA）的前提，通過對系統(tǒng)中的所有設(shè)備的功能、失效模式進(jìn)行識別，并收集該設(shè)備在外場的故障數(shù)據(jù)，是開展安全性指標(biāo)要求驗證的第一步，該部分內(nèi)容對于整個安全性工作開展至關(guān)重要。通過該部分的數(shù)據(jù)驗證自上而下分配的安全性指標(biāo)要求是否能夠滿足，為SSA驗證結(jié)論奠定基礎(chǔ)。

以上是對型號研制過程中系統(tǒng)安全性工作規(guī)劃的概述，根據(jù)目前國內(nèi)軍用無人機(jī)安全性工作開展，主要存在以下幾個工作重點：

(1)安全性指標(biāo)是飛機(jī)整機(jī)級安全性的度量，是系統(tǒng)安全性工作的基礎(chǔ)和重要參考標(biāo)準(zhǔn)，對系統(tǒng)安全性指標(biāo)的研究方面還不足，尤其是整機(jī)級指標(biāo)要求的選取和確定，應(yīng)加強對不同軍用無人機(jī)類型的頂層安全性指標(biāo)論證工作；

Ⅰ類海風(fēng)鋒850 hPa合成流場如圖5b所示。其中Ⅰ類海風(fēng)鋒主要是副高北側(cè)中的獨立小高壓東移入海,副高北側(cè)西風(fēng)氣流因小高壓及其南部低壓橫槽造成蘇北沿海偏東海風(fēng)氣流,而蘇中、蘇南則是西風(fēng)小波動入海,近岸內(nèi)陸是弱脊,沿海是小槽。蘇北蘇南的不同風(fēng)場流型,配合沿海地形走勢以及1 000 hPa層海風(fēng)鋒,使蘇北海風(fēng)較蘇南深厚,蘇南海風(fēng)鋒背景上下層風(fēng)向的差異使得形成的海風(fēng)環(huán)流較淺薄。因此江蘇沿海海風(fēng)鋒的中小尺度局地性特征顯著。

(2)重視FMEA工作的重要作用，積極引導(dǎo)供應(yīng)商開展FMEA工作，并加強外場故障數(shù)據(jù)收集反饋，優(yōu)化故障數(shù)據(jù)的準(zhǔn)確度。

(3)在型號研制全生命周期重視系統(tǒng)安全性分析工作，建立安全性專業(yè)與系統(tǒng)設(shè)計之間的強耦合關(guān)系，形成良好互動協(xié)作，共同提升裝備安全性水平。

基于模型的系統(tǒng)安全性分析

傳統(tǒng)的系統(tǒng)安全性分析過程中的計算與分析工作主要由人工完成，且很大程度上依賴于安全性工程師的分析經(jīng)驗，以進(jìn)行PSSA為例，在進(jìn)行故障樹分析（FTA）時，不同的安全性工程師面對同一對象所構(gòu)建的故障樹不盡相同，需要與系統(tǒng)設(shè)計人員進(jìn)行反復(fù)地溝通迭代，方能使所構(gòu)建的故障樹得以確認(rèn)，并進(jìn)行安全性指標(biāo)的分配。不僅如此，隨著飛機(jī)/系統(tǒng)集成度越來越高，各種數(shù)據(jù)交互非常繁雜，需要人工對各項信息流、數(shù)據(jù)流、資源流進(jìn)行詳細(xì)分析，耗費大量的人力物力。

基于模型的安全性分析方法通過對分析對象進(jìn)行模型構(gòu)建，能夠在軟件平臺對分析對象進(jìn)行自動分析，生成分析結(jié)果，下面以某型號起落架系統(tǒng)為例，給出基于模型的系統(tǒng)安全性分析示例。

(1)確定起落架系統(tǒng)的功能清單及系統(tǒng)架構(gòu)

該部分內(nèi)容主要由系統(tǒng)設(shè)計團(tuán)隊提供，包括對起落架系統(tǒng)的功能定義及系統(tǒng)架構(gòu)定義，在進(jìn)行起落架系統(tǒng)建模前，安全性工程師應(yīng)與起落架設(shè)計人員進(jìn)行詳細(xì)溝通，獲取確定的系統(tǒng)功能清單，功能架構(gòu)以及系統(tǒng)架構(gòu)信息，熟悉起落架系統(tǒng)設(shè)計原理、設(shè)計方案、各分系統(tǒng)及部件功能等。

(2)起落架系統(tǒng)失效狀態(tài)分析

在熟悉起落架系統(tǒng)功能及系統(tǒng)架構(gòu)基礎(chǔ)上，由安全性工程師開展系統(tǒng)失效狀態(tài)分析，包括收集并整理起落架故障案例，對起落架系統(tǒng)組成部件可能發(fā)生的失效狀態(tài)進(jìn)行初步預(yù)測，分析其失效對起落架功能的影響。系統(tǒng)故障通常是由零部件故障或軟件故障導(dǎo)致的，可將故障分為數(shù)字故障與機(jī)械故障，并對每一故障模式的具體失效行為進(jìn)行分析，為后續(xù)系統(tǒng)功能建模奠定基礎(chǔ)。

(3)起落架系統(tǒng)功能建模

基于起落架功能分析流程，本部分示例基于Simfia平臺進(jìn)行建模，所構(gòu)建的起落架系統(tǒng)功能模型如圖2～圖4所示。其中為起落架系統(tǒng)級功能模型，為起落架分系統(tǒng)功能模型，為起落架部件級系統(tǒng)模型。

圖2 起落架系統(tǒng)級功能模型

圖3 起落架子系統(tǒng)級功能模型

圖4 起落架部件級功能模型

圖5 起落架故障傳播模型

圖6 起落架故障樹自動生成

(4)起落架系統(tǒng)故障傳播模型構(gòu)建及分析結(jié)果自動生成

通過上述案例可以看出，通過采用基于模型的方式構(gòu)建分析對象的功能模型及故障傳播模型，能夠有效、快速實現(xiàn)故障樹形式分析。若能夠構(gòu)建完整的飛機(jī)及各系統(tǒng)模型，能夠有效縮減人工分析的時間，并增加分析精確性，提升安全性分析效率。

但在看到MBSA的優(yōu)勢的同時，也不能忽略對系統(tǒng)安全性分析方法本身的重視，要注意以下幾點：

(1)基于模型開展安全性分析過程中，安全性分析是核心目標(biāo)，模型是手段；

(2)在分析對象建模過程中應(yīng)對系統(tǒng)功能、設(shè)計架構(gòu)理解透徹，加強與系統(tǒng)設(shè)計人員的溝通，對構(gòu)建模型進(jìn)行反復(fù)確認(rèn)；

(3)MBSA目前仍處于探索階段，仍在工程實踐中存在許多挑戰(zhàn)，軍方與工業(yè)方應(yīng)對新興手段保持客觀、理性，積極運用優(yōu)勢的同時也不可過分依賴。

結(jié)論

本文通過研究目前國內(nèi)外系統(tǒng)安全性分析方法在軍用無人機(jī)研制的現(xiàn)狀，結(jié)合民機(jī)系統(tǒng)安全性分析流程，考慮國內(nèi)軍用無人機(jī)安全性分析工作的開展實際，對軍用無人機(jī)研制過程中應(yīng)開展的系統(tǒng)安全性分析活動進(jìn)行了研究，并根據(jù)某型飛機(jī)起落架系統(tǒng)的MBSA案例，演示具體的新興安全性分析方法優(yōu)勢，并給出應(yīng)用過程中的注意事項。通過本文研究可得出如下結(jié)論：

(1)通過對國外標(biāo)準(zhǔn)與工程實踐兩個維度來看，目前國外軍民機(jī)系統(tǒng)安全性分析思路趨于統(tǒng)一，這也為國內(nèi)軍用無人機(jī)系統(tǒng)安全性分析工作開展提供有益借鑒；

(2)結(jié)合通用的飛機(jī)研制生命周期階段，按照系統(tǒng)工程正向研制流程，本文給出了軍用無人機(jī)研制過程的不同層級在不同階段應(yīng)開展的安全性分析活動，可作為飛機(jī)頂層初步的安全性工作規(guī)劃，為國內(nèi)主機(jī)單位提供參考；

(3)根據(jù)某型飛機(jī)起落架系統(tǒng)的MBSA案例，表明在既定安全性工作規(guī)劃及傳統(tǒng)安全性分析方法基礎(chǔ)上，采用MBSA在工程中應(yīng)用的技術(shù)優(yōu)勢，并給出該方法在運用過程中的注意事項。