徐偉程，羅秋鳳，高艷輝，張銳

（1.南京航空航天大學(xué) 無(wú)人機(jī)研究院，南京 210000；2.中小型無(wú)人機(jī)先進(jìn)技術(shù)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室，南京 210000）

引言

隨著越來(lái)越多的輕型無(wú)人機(jī)進(jìn)入空域從事航空活動(dòng)，如何保證其在空域內(nèi)的飛行安全性已成為世界各國(guó)航空機(jī)構(gòu)的重點(diǎn)研究課題。目前，對(duì)該課題的研究主要圍繞兩個(gè)角度展開：“運(yùn)行管理”、“適航審定”。

“運(yùn)行管理”的研究側(cè)重從空管角度研究無(wú)人機(jī)的飛行安全性，主要涉及空域劃分、運(yùn)行限制、空中交通規(guī)則等方面的內(nèi)容。目前，世界各國(guó)航空機(jī)構(gòu)在“運(yùn)行管理”方面的研究已取得大量成果：英國(guó)國(guó)防部發(fā)布了《輕型無(wú)人機(jī)系統(tǒng)規(guī)范》、法國(guó)民航局制定了《遙控駕駛飛機(jī)在法國(guó)空域進(jìn)行飛行活動(dòng)的相關(guān)要求》、美國(guó)聯(lián)邦航空管理局（FAA）發(fā)布了小型無(wú)人機(jī)運(yùn)行管理文件PART 107、中國(guó)民用航空局（CAAC）發(fā)布了AC-91-FS-2019-31R1《輕小型無(wú)人機(jī)運(yùn)行規(guī)定（暫行）》修訂版、AC-92-2019-01《特定類無(wú)人機(jī)運(yùn)行管理規(guī)程（暫行）》等。

“適航審定”的研究側(cè)重從設(shè)計(jì)的角度分析無(wú)人機(jī)的飛行安全性，主要關(guān)注無(wú)人機(jī)的設(shè)計(jì)是否符合適航審定要求。目前，世界主要航空組織在“適航審定”方面的研究取得了一定成果：無(wú)人機(jī)規(guī)章聯(lián)合制定局（JARUS）發(fā)布了CS-LURS《輕型無(wú)人旋翼航空系統(tǒng)合格審定規(guī)范》和CS-LUAS《輕型無(wú)人航空系統(tǒng)合格審定規(guī)范》、北大西洋聯(lián)合組織（NATO）發(fā)布了STANAG 4703《輕型無(wú)人機(jī)系統(tǒng)適航性要求》、CAAC發(fā)布了《基于運(yùn)行風(fēng)險(xiǎn)的無(wú)人機(jī)適航審定指導(dǎo)意見》等。

現(xiàn)階段，世界各國(guó)航空機(jī)構(gòu)主要通過(guò)“運(yùn)行管理”確保輕型無(wú)人機(jī)的飛行安全，并取得了一定效果。而實(shí)現(xiàn)無(wú)人機(jī)全空域安全飛行對(duì)輕型無(wú)人機(jī)的安全性水平提出了更高的要求。因此，針對(duì)“適航審定”的研究已逐漸發(fā)展成了輕型無(wú)人機(jī)安全性研究的熱門方向之一。本文首先對(duì)輕型無(wú)人機(jī)安全性等級(jí)進(jìn)行重新劃分。在基于STANAG 4703《輕型無(wú)人機(jī)系統(tǒng)適航性要求》的基礎(chǔ)上，結(jié)合輕型無(wú)人機(jī)特點(diǎn)，對(duì)目前通用的民機(jī)安全性評(píng)估流程作適應(yīng)性改進(jìn)。最后，運(yùn)用改進(jìn)后的安全性評(píng)估流程對(duì)某輕型固定翼無(wú)人機(jī)作安全性評(píng)估，選取滾轉(zhuǎn)姿態(tài)控制功能演示該流程的使用。

1 安全性等級(jí)劃分

為了對(duì)輕型無(wú)人機(jī)作安全性分析，必須先對(duì)輕型無(wú)人機(jī)劃分安全性等級(jí)，而劃分安全性等級(jí)的第一步是劃分無(wú)人機(jī)的失效狀態(tài)嚴(yán)重程度。

1.1 無(wú)人機(jī)失效狀態(tài)嚴(yán)重程度劃分

根據(jù)“等效安全”原則，結(jié)合民機(jī)失效狀態(tài)嚴(yán)重程度劃分和無(wú)人機(jī)“人機(jī)分離”的特點(diǎn)，可得出適于無(wú)人機(jī)的失效狀態(tài)嚴(yán)重程度劃分，如表1所示。

表1 無(wú)人機(jī)失效狀態(tài)嚴(yán)重程度劃分表

1.2 無(wú)人機(jī)安全性等級(jí)劃分

考慮到輕型無(wú)人機(jī)結(jié)構(gòu)相對(duì)簡(jiǎn)單且具有“人機(jī)分離”的特點(diǎn)，引入RARUS提出的基于“系統(tǒng)復(fù)雜程度”的劃分方法。該方法是指：根據(jù)無(wú)人機(jī)系統(tǒng)控制權(quán)限大小劃分無(wú)人機(jī)系統(tǒng)復(fù)雜程度，如圖1所示，然后按照“等效安全”原則為無(wú)人機(jī)失效狀態(tài)的嚴(yán)重程度劃分等級(jí)，最后綜合無(wú)人機(jī)系統(tǒng)復(fù)雜性等級(jí)和失效狀態(tài)嚴(yán)重程度等級(jí)劃分安全性等級(jí)[1]。

對(duì)輕型無(wú)人機(jī)應(yīng)用該方法可得出適于輕型無(wú)人機(jī)安全性等級(jí)表，如表2所示。

圖1 無(wú)人機(jī)系統(tǒng)控制權(quán)限與復(fù)雜性等級(jí)對(duì)應(yīng)關(guān)系

表2 輕型無(wú)人機(jī)安全性等級(jí)表

2 安全性評(píng)估流程與方法

根據(jù)STANAG 4703的要求[2]：

UL.30必須對(duì)無(wú)人機(jī)系統(tǒng)進(jìn)行系統(tǒng)安全評(píng)估，并將安全評(píng)估報(bào)告提交給認(rèn)證機(jī)構(gòu)，推薦但不限制使用以下安全性分析方法：

1）核證當(dāng)局商定的危險(xiǎn)參考標(biāo)準(zhǔn)的定義；

2）功能性危害分析（使用SAE ARP 4761或類似的民用航空器安全性分析方法）；

3）故障模式影響和危險(xiǎn)性分析（使用SAE ARP 4761或類似的民用航空器安全性分析方法）；

4）故障樹分析（使用SAE ARP 4761或類似的民用航空器安全性分析方法）。

安全性分析必須證明符合以下要求：

UL.30.1 必須識(shí)別所有可能發(fā)生的危害性事故和災(zāi)難性事故，確定定量事故率及可接受的風(fēng)險(xiǎn)水平；

UL.30.2 災(zāi)難性事故每飛行小時(shí)的累積概率（包括無(wú)人機(jī)系統(tǒng)和子系統(tǒng)）不得大于核證當(dāng)局認(rèn)可的危險(xiǎn)參考系統(tǒng)的累積安全性要求；

UL.30.3 必須將所有已識(shí)別的安全風(fēng)險(xiǎn)降低到與技術(shù)限制相符的最低水平，并根據(jù)認(rèn)證機(jī)構(gòu)認(rèn)可的的附危險(xiǎn)參考標(biāo)準(zhǔn)判定每個(gè)故障的風(fēng)險(xiǎn)水平是否是可接受的。

2.1 民機(jī)安全性評(píng)估流程

根據(jù)ARP 4761，在飛機(jī)研制初期先要對(duì)飛機(jī)進(jìn)行功能危險(xiǎn)性評(píng)估（FHA），識(shí)別飛機(jī)級(jí)功能失效和系統(tǒng)級(jí)功能失效，并對(duì)其危害程度劃分等級(jí)；隨后，進(jìn)行初步系統(tǒng)安全性評(píng)估（PSSA），通過(guò)反復(fù)迭代檢查、修正，確認(rèn)導(dǎo)致系統(tǒng)級(jí)功能失效的設(shè)備/部件級(jí)或軟件/硬件級(jí)原因；同時(shí)，不斷完善安全性目標(biāo)，確認(rèn)架構(gòu)滿足安全性需求，并據(jù)此進(jìn)行研制保證等級(jí)（DAL）分配；當(dāng)飛行器初步設(shè)計(jì)完成后，進(jìn)行系統(tǒng)安全性評(píng)估（SSA），驗(yàn)證在初步設(shè)計(jì)中分配的安全需求是否得到滿足[3]。在進(jìn)行FHA、PSSA的同時(shí)還應(yīng)根據(jù)安全分析的需要進(jìn)行公因分析（CCA）。詳細(xì)的安全性評(píng)估過(guò)程如圖2所示。

圖2 民機(jī)安全性評(píng)估流程

2.2 改進(jìn)安全性評(píng)估流程

一般地，民機(jī)的安全性評(píng)估主要針對(duì)飛機(jī)本身。而無(wú)人機(jī)系統(tǒng)包含無(wú)人機(jī)（UAV）、地面站、數(shù)據(jù)鏈路和發(fā)射回收裝置等組成部分。因此，將無(wú)人機(jī)系統(tǒng)（UAS）視為一個(gè)整體，作為安全性分析的頂層事件較為合適。之后，再對(duì)無(wú)人機(jī)進(jìn)行子系統(tǒng)級(jí)安全性分析。此外，由于輕型無(wú)人機(jī)體積小、結(jié)構(gòu)簡(jiǎn)單、冗余設(shè)備少，除非要較高的安全性要求，一般不進(jìn)行共因分析（CCA）。綜合以上考慮，對(duì)民機(jī)安全性評(píng)估流程進(jìn)行改進(jìn)，改進(jìn)后的輕型無(wú)人機(jī)系統(tǒng)的安全性評(píng)估流程如圖3所示。

圖3 輕型無(wú)人機(jī)安全性評(píng)估流程

此流程延續(xù)了民機(jī)安全性評(píng)估流程的通用框架。先對(duì)無(wú)人機(jī)進(jìn)行UAS級(jí)FHA，識(shí)別UAS級(jí)功能失效，并將UAS級(jí)安全性需求分配到子系統(tǒng)級(jí)。隨后，進(jìn)行子系統(tǒng)級(jí)FHA，識(shí)別子系統(tǒng)級(jí)功能失效，并將子系統(tǒng)級(jí)安全性需求分配到設(shè)備或部件。然后，結(jié)合系統(tǒng)架構(gòu)運(yùn)用故障樹分析（FTA）進(jìn)行PSSA，在識(shí)別導(dǎo)致子系統(tǒng)級(jí)功能失效的低層級(jí)設(shè)備或部件故障后，結(jié)合FMEA等多種可靠性分析方法進(jìn)行SSA。最后，匯總SSA結(jié)果，分析設(shè)計(jì)是否滿足無(wú)人機(jī)的安全性需要，如果不滿足，則針對(duì)不滿足處進(jìn)行改進(jìn)。

2.3 改進(jìn)安全性分析方法

由于無(wú)人機(jī)在飛行階段執(zhí)行任務(wù)多樣化，運(yùn)行場(chǎng)景多樣化，運(yùn)行模式多樣化，且其失效狀態(tài)對(duì)應(yīng)的安全性等級(jí)與民機(jī)不同。因此，直接使用民機(jī)安全性評(píng)估流程中的FHA對(duì)無(wú)人機(jī)進(jìn)行功能危害性評(píng)估，得出的結(jié)果可能不夠準(zhǔn)確。因此，需要對(duì)FHA作適應(yīng)性改進(jìn)。

當(dāng)FHA完成后，需要結(jié)合系統(tǒng)架構(gòu)，對(duì)飛行器進(jìn)行初步系統(tǒng)安全性評(píng)估（PSSA）。通過(guò)PSSA，可將系統(tǒng)級(jí)的安全性需求分配到較低層級(jí)的部件/設(shè)備或硬件/軟件。由于PSSA中主要使用諸如FTA、Petri網(wǎng)等普適的可靠性分析法，且PSSA的輸入由上一步的FHA決定，因此，對(duì)于無(wú)人機(jī)而言，可以直接使用民機(jī)PSSA的分析流程，考慮到輕型無(wú)人機(jī)的安全性等級(jí)與民機(jī)存在較大差異，因此，需要對(duì)PSSA中的研制保證等級(jí)（DAL）分配作適應(yīng)性改進(jìn)。

當(dāng)PSSA完成后，需要進(jìn)行SSA。由于SSA的分析過(guò)程與PSSA類似，且主要使用故障模式與影響分析（FMEA）、FTA的等普適性可靠性分析方法，可直接使用民機(jī)的SSA分析流程。

2.3.1 改進(jìn)功能危險(xiǎn)性評(píng)估

為了提高FHA結(jié)果的準(zhǔn)確度，需要擴(kuò)大無(wú)人機(jī)安全性分析的邊界。將整個(gè)無(wú)人機(jī)系統(tǒng)（UAS）作為頂層事件進(jìn)行最高層級(jí)的功能危險(xiǎn)性評(píng)估，即UAS級(jí)FHA[4]。通過(guò)UAS級(jí)FHA，可以識(shí)別UAS級(jí)功能失效并將UAS級(jí)安全性需求分配到下一層級(jí)，進(jìn)行子系統(tǒng)級(jí)FHA。通過(guò)子系統(tǒng)級(jí)FHA，可將子系統(tǒng)級(jí)功能失效和安全性需求分配到設(shè)備/部件級(jí)，為后續(xù)PSSA做準(zhǔn)備。改進(jìn)后的UAS級(jí)FHA流程如圖4所示。類似地，可對(duì)系統(tǒng)級(jí)FHA過(guò)程作相應(yīng)改進(jìn)，現(xiàn)有篇幅，這里不再贅述。

圖4 改進(jìn)后的UAS級(jí)FHA

2.3.2 改進(jìn)研制保證等級(jí)分配

在進(jìn)行PSSA時(shí)，系統(tǒng)級(jí)FHA確認(rèn)的安全性需求（無(wú)人機(jī)對(duì)應(yīng)于子系統(tǒng)級(jí)FHA確認(rèn)的安全性需求）被分配到較低層級(jí)的設(shè)備/部件或硬件/軟件，據(jù)此可分配研制保證等級(jí)（DAL）。研制保證等級(jí)（DAL）是針對(duì)功能或設(shè)備的失效狀態(tài)制定的分類等級(jí)，用于描述為了減少或消除研制過(guò)程中的錯(cuò)誤而采用的措施和方法。DAL的分配原則是“失效狀態(tài)嚴(yán)重性越高，對(duì)應(yīng)的DAL等級(jí)越高”[5]。結(jié)合表2可以得出適于輕型無(wú)人機(jī)的研制保證等級(jí)分配標(biāo)準(zhǔn)，如表3所示。

表3 輕型無(wú)人機(jī)DAL分配表

3 應(yīng)用實(shí)例

本文以某輕型無(wú)人機(jī)為例，運(yùn)用改進(jìn)后的安全性評(píng)估流程與方法進(jìn)行安全性評(píng)估，選取滾轉(zhuǎn)姿態(tài)控制功能演示如何在輕型無(wú)人機(jī)初步設(shè)計(jì)階段使用該流程與方法。

按照“系統(tǒng)復(fù)雜性等級(jí)”的劃分方法，示例無(wú)人機(jī)適用復(fù)雜度I級(jí)（CL I）的安全等級(jí)劃分標(biāo)準(zhǔn)。選取滾轉(zhuǎn)控制功能進(jìn)行UAS級(jí)FHA，如表4所示。

通過(guò)對(duì)示例無(wú)人機(jī)的滾轉(zhuǎn)姿態(tài)控制功能進(jìn)行UAS級(jí)FHA，可以識(shí)別滾轉(zhuǎn)姿態(tài)功能不同失效狀態(tài)的嚴(yán)重程度。隨后由UAS級(jí)功能和子系統(tǒng)級(jí)功能對(duì)應(yīng)關(guān)系可知，UAS級(jí)的滾轉(zhuǎn)姿態(tài)控制功能失效可分配至子系統(tǒng)級(jí)對(duì)應(yīng)的設(shè)備：副翼舵、飛行控制計(jì)算機(jī)、垂直陀螺、速率陀螺。按照UAS級(jí)FHA的分析思路對(duì)示例無(wú)人機(jī)進(jìn)行子系統(tǒng)級(jí)FHA。經(jīng)過(guò)子系統(tǒng)級(jí)FHA，UAS級(jí)的滾轉(zhuǎn)姿態(tài)控制功能失效被分配到副翼舵、飛行控制計(jì)算機(jī)、垂直陀螺和速率陀螺功能失效。以副翼舵功能失效為例，繼續(xù)進(jìn)行安全性評(píng)估。

表4 滾轉(zhuǎn)姿態(tài)控制功能UAS級(jí)FHA

經(jīng)過(guò)FHA，可以得出8種副翼舵功能失效狀態(tài)：①短時(shí)喪失兩個(gè)副翼舵控制功能；②持續(xù)喪失兩個(gè)副翼舵控制功能；③短時(shí)喪失單個(gè)副翼舵控制功能；④持續(xù)喪失單個(gè)副翼舵控制功能；⑤兩個(gè)副翼舵控制短時(shí)不足；⑥兩個(gè)副翼舵控制持續(xù)不足；⑦單個(gè)副翼舵控制短時(shí)不足；⑧單個(gè)副翼舵控制持續(xù)不足。選取“持續(xù)喪失兩個(gè)副翼舵控制功能”這一失效狀態(tài)進(jìn)行PSSA。

根據(jù)飛行剖面可知，示例無(wú)人機(jī)平均飛行時(shí)間為4 h。根據(jù)子系統(tǒng)級(jí)FHA結(jié)果可知，“持續(xù)喪失兩個(gè)副翼舵控制功能”這一情形的危害程度為I級(jí)（災(zāi)難級(jí)）。結(jié)合CL I類輕型無(wú)人機(jī)安全性等級(jí)為此失效狀態(tài)分配頂層故障率4×10-6/h。以“持續(xù)喪失兩個(gè)副翼舵控制功能”這一功能失效作為頂層事件運(yùn)用FTA進(jìn)行分析，繪制初步故障樹如圖5所示。

圖5 初步故障樹

由于左右副翼舵完全相同，僅對(duì)單個(gè)副翼舵進(jìn)行分析即可，單個(gè)副翼舵持續(xù)喪失控制功能的故障率可分配為2×10-3/h。之后，將單個(gè)副翼舵持續(xù)喪失控制功能作為次級(jí)事件進(jìn)一步分解，得出導(dǎo)致此失效狀態(tài)的下一層級(jí)事件為：傳感器系統(tǒng)故障、副翼電纜故障、副翼舵機(jī)故障、飛行控制計(jì)算機(jī)故障和副翼舵機(jī)供電故障?？偨Y(jié)相似機(jī)型上述五類設(shè)備的歷史故障情況，按照比例，近似為其分配應(yīng)滿足的預(yù)計(jì)故障率，并據(jù)此初步分配DAL。隨后，按照初步分配的DAL來(lái)指導(dǎo)無(wú)人機(jī)的設(shè)計(jì)與研制，如果產(chǎn)生了新的設(shè)計(jì)需求，則重復(fù)上述步驟，反復(fù)修正故障樹，直至滿足所有安全性需求，得到最終的設(shè)計(jì)方案。

在設(shè)計(jì)完成后，進(jìn)行SSA。通過(guò)識(shí)別故障樹基本事件的故障率，逆向推算上一層級(jí)事件的實(shí)際故障率，若實(shí)際故障率不超過(guò)PSSA時(shí)分配的預(yù)計(jì)故障率，則表示這部分的安全性需求得到滿足，否則，按照實(shí)際故障率改進(jìn)此部分的DAL要求，并據(jù)此改進(jìn)設(shè)計(jì)，直至驗(yàn)證到頂層事件的實(shí)際故障率是否滿足安全性需求。

按照SSA分析流程繼續(xù)完善初步故障樹，“持續(xù)喪失單個(gè)副翼舵控制功能”最終故障樹如圖6所示。

根據(jù)SSA繪制的最終故障樹可以發(fā)現(xiàn)，導(dǎo)致示例無(wú)人機(jī)“持續(xù)喪失兩個(gè)副翼控制功能”最關(guān)鍵的底事件是速率陀螺故障和垂直陀螺故障，兩者的失效率分別是8.52×10-8/h和9.37×10-8/h。因此，在無(wú)人機(jī)初步設(shè)計(jì)時(shí)需要重點(diǎn)關(guān)注此薄弱環(huán)節(jié)，可以考慮使用更高品質(zhì)的陀螺儀或增加冗余設(shè)備提高無(wú)人機(jī)安全性水平。類似地，可以運(yùn)用此安全性評(píng)估流程對(duì)副翼舵、飛行控制計(jì)算機(jī)、垂直陀螺、速率陀螺進(jìn)行安全性分析，最終根據(jù)分析結(jié)果得出導(dǎo)致滾轉(zhuǎn)姿態(tài)控制失效的最關(guān)鍵底層事件，并對(duì)其進(jìn)行改進(jìn)。

圖6 “持續(xù)喪失單個(gè)副翼舵控制功能”最終故障樹

4 結(jié) 論

1）改進(jìn)后的輕型無(wú)人機(jī)安全性評(píng)估流程思路清晰，使用方便，具有一定實(shí)踐性。

2）該安全性評(píng)估流程不需要完全進(jìn)行到底，使用者可根據(jù)需要決定安全性評(píng)估的深度。若從無(wú)人機(jī)初步設(shè)計(jì)階段開始，則按照改進(jìn)后流程的順序進(jìn)行輔助設(shè)計(jì)；若僅需要對(duì)無(wú)人機(jī)進(jìn)行安全性驗(yàn)證，可只進(jìn)行SSA。

3）該安全性評(píng)估流程可為其他類型的無(wú)人機(jī)適航安全性評(píng)估流程的制定提供基礎(chǔ)。