徐小杰 宮綦 吳洋 柏青

摘要：安全性工作是航空裝備研制過程中的重要內(nèi)容，針對(duì)目前國(guó)內(nèi)航空裝備安全性工作，分析了工作中存在的安全性工作與飛機(jī)級(jí)架構(gòu)設(shè)計(jì)、飛機(jī)級(jí)和系統(tǒng)級(jí)安全性工作脫節(jié)的問題。結(jié)合航空型號(hào)工作中飛機(jī)級(jí)安全性工作的大工作量、迭代更改多等現(xiàn)狀，引入了國(guó)內(nèi)外軍民機(jī)安全性工作研究和應(yīng)用的最新趨勢(shì)，應(yīng)用基于模型的系統(tǒng)工程（MBSE）思想對(duì)基于模型的初步飛機(jī)安全性分析方法和過程進(jìn)行了研究，給出了開展初步飛機(jī)級(jí)安全性工作的具體步驟，并通過實(shí)例演示了方法的應(yīng)用過程和結(jié)果，證明了研究成果能夠完整地將飛機(jī)級(jí)和系統(tǒng)級(jí)的安全性工作進(jìn)行有效串聯(lián)，有力地支撐型號(hào)后續(xù)系統(tǒng)級(jí)的安全性工作。

關(guān)鍵詞：航空裝備；系統(tǒng)安全性；初步飛機(jī)安全性分析；基于模型的安全性分析

中圖分類號(hào)：TP311.5文獻(xiàn)標(biāo)識(shí)碼：ADOI：10.19452/j.issn1007-5453.2021.11.010

系統(tǒng)安全是系統(tǒng)工程下的學(xué)科分支，起源于20世紀(jì)中期美國(guó)研制“民兵”式洲際導(dǎo)彈的過程中。系統(tǒng)安全相關(guān)的概念和技術(shù)隨后進(jìn)入航空、航天及核電站領(lǐng)域，并逐漸推廣到石油、化工等工業(yè)領(lǐng)域。安全性對(duì)于航空裝備是重中之重，當(dāng)前國(guó)內(nèi)裝備/系統(tǒng)的安全性分析和評(píng)估主要集中在系統(tǒng)層面的嘗試[1-6]，缺少飛機(jī)級(jí)工作以及飛機(jī)級(jí)與系統(tǒng)級(jí)安全性工作的銜接，導(dǎo)致安全性分析評(píng)估缺少頂層飛機(jī)級(jí)的要求導(dǎo)出，系統(tǒng)級(jí)安全性分析的結(jié)果更多地依賴于頭腦風(fēng)暴，缺少追溯性和依據(jù)。因?yàn)楣ぷ髦饕ㄟ^人工手動(dòng)實(shí)施，工作效率低下，安全性分析評(píng)估結(jié)果的一致性、完整性、精確性難以保證，無法對(duì)設(shè)計(jì)提供高質(zhì)量的反饋信息，亟須將基于模型的安全性評(píng)估引入到航空裝備的安全性工作中來。

國(guó)外很早就認(rèn)識(shí)到傳統(tǒng)方法針對(duì)飛機(jī)復(fù)雜系統(tǒng)安全保證的不足。傳統(tǒng)的安全性評(píng)估方法對(duì)于由于技術(shù)進(jìn)步和需求導(dǎo)致的愈加復(fù)雜的裝備和系統(tǒng)，存在基于工作的安全性模型（故障樹）與設(shè)計(jì)人員溝通交流困難、迭代更改時(shí)效率低下、分析的完整性和計(jì)算準(zhǔn)確性難以保證以及難以確保不同人員工作成果的一致性等問題。

基于模型的安全性分析（MBSA）技術(shù)為解決這些難題提供了一個(gè)新思路，國(guó)外的研究者對(duì)其理論和方法進(jìn)行了大量的研究，并已經(jīng)具有相對(duì)成熟的工具進(jìn)行支撐[7-15]?？傮w而言，相較于傳統(tǒng)的故障樹和Petri網(wǎng)等方法，基于模型開展安全性工作存在以下優(yōu)勢(shì)：（1）安全性模型更接近于真實(shí)系統(tǒng)的功能和物理結(jié)構(gòu)，從而能夠保證系統(tǒng)模型與安全性模型的一致性；（2）基于模型的安全性分析通常采用高級(jí)建模語(yǔ)言，比故障樹或可靠性框圖等布爾形式更有表達(dá)力。因此能夠描述備用冗余和共享組件等現(xiàn)象；（3）高級(jí)建模支持層級(jí)化建模與組件重用，更適合于描述大規(guī)模復(fù)雜系統(tǒng)；（4）對(duì)于帶有功能循環(huán)和嵌套迭代的復(fù)雜系統(tǒng)而言，因其系統(tǒng)內(nèi)部包含循環(huán)回路，無法使用傳統(tǒng)的安全性分析方法進(jìn)行建模。基于模型的安全性分析方法則克服了這一缺陷。

國(guó)外基于充分的研究已經(jīng)在ARP 4761A的標(biāo)準(zhǔn)草案中將MBSA作為了民機(jī)安全性工作中的可選方法，國(guó)內(nèi)主要還是通過傳統(tǒng)方法開展軍民機(jī)的系統(tǒng)安全性工作，雖然對(duì)MBSA已經(jīng)有了一定研究[16]，但對(duì)于如何基于模型開展飛機(jī)級(jí)的安全性分析工作以及在工程技術(shù)層面的應(yīng)用研究嘗試相對(duì)較少。

本文主要在傳統(tǒng)民機(jī)系統(tǒng)安全性工作流程的基礎(chǔ)上，研究了應(yīng)用基于模型的安全性分析方法開展初步飛機(jī)級(jí)安全性分析（PASA）工作的方法和流程，并給出了應(yīng)用示例，為國(guó)內(nèi)航空器的安全性分析工作的工程應(yīng)用提供了參考。

1初步飛機(jī)安全性分析過程

1.1初步飛機(jī)安全性分析

根據(jù)SAE 4761A的草案，PASA是對(duì)飛機(jī)所提出的飛機(jī)級(jí)架構(gòu)進(jìn)行系統(tǒng)性檢查，以確定失效如何導(dǎo)致飛機(jī)功能危險(xiǎn)評(píng)估（AFHA）中所確定的失效狀態(tài)及AFHA中提出的安全性要求如何被滿足，一方面能夠確定導(dǎo)致整機(jī)級(jí)失效狀態(tài)的原因，另一方面是實(shí)現(xiàn)飛機(jī)級(jí)和系統(tǒng)級(jí)安全性工作追溯關(guān)系的重要紐帶，能夠?qū)⒄麢C(jī)級(jí)的安全性要求分解到系統(tǒng)級(jí)。PASA過程也是一個(gè)反復(fù)的過程，將連續(xù)貫穿于整個(gè)飛機(jī)設(shè)計(jì)過程中，與設(shè)計(jì)定義相聯(lián)系，一般從飛機(jī)的方案設(shè)計(jì)階段就開始實(shí)施，與系統(tǒng)級(jí)的FHA幾乎同步完成[15]。

GJB 900A《裝備安全性工作通用要求》中規(guī)定裝備的安全性工作需要保持危險(xiǎn)的追溯性，同時(shí)需要在整個(gè)工作中滿足安全性要求，從飛機(jī)到系統(tǒng)、從系統(tǒng)到部件進(jìn)行分解。由于這一要求是在2012年的修訂過程中新增的，在原有支撐的GJB/Z 99《系統(tǒng)安全工程手冊(cè)》中并沒有方法和流程對(duì)其進(jìn)行工程應(yīng)用的指導(dǎo)。在軍機(jī)安全性工作中，SAE 4761A中提出的PASA工作，可以作為支撐GJB 900A《裝備安全性工作通用要求》中300系列工作的工作項(xiàng)301安全性要求分解工作開展的方法。

1.2初步飛機(jī)安全性分析過程

從航空器安全性分析工程應(yīng)用的角度，PASA的工作開展要包括關(guān)聯(lián)分析和飛機(jī)級(jí)失效狀態(tài)分析兩部分內(nèi)容，進(jìn)而又細(xì)分為不同的內(nèi)容，過程中需要輸入飛機(jī)級(jí)的功能、飛機(jī)系統(tǒng)組成以及飛機(jī)的初始架構(gòu)等信息。關(guān)聯(lián)分析是輔助對(duì)系統(tǒng)架構(gòu)的解析以便確定正向架構(gòu)中的系統(tǒng)交聯(lián)關(guān)系的有效手段，而通過失效狀態(tài)分析則能夠幫助工程師有效地建立系統(tǒng)的故障傳遞邏輯，建立整機(jī)級(jí)的故障由系統(tǒng)級(jí)失效如何傳遞的邏輯。

1.2.1關(guān)聯(lián)分析

關(guān)聯(lián)分析是通過對(duì)飛機(jī)級(jí)架構(gòu)的分析，確定可能影響每個(gè)飛機(jī)功能失效狀態(tài)的系統(tǒng)，確保系統(tǒng)級(jí)FHA的結(jié)果與飛機(jī)級(jí)FHA的結(jié)果相兼容，明確飛機(jī)級(jí)失效狀態(tài)與飛機(jī)架構(gòu)組成系統(tǒng)間的交互關(guān)系，包括系統(tǒng)功能關(guān)聯(lián)分析和資源關(guān)聯(lián)分析。通過關(guān)聯(lián)分析，能夠?qū)崿F(xiàn)飛機(jī)級(jí)功能與系統(tǒng)、系統(tǒng)與機(jī)上能源之間的關(guān)聯(lián)關(guān)系，為后續(xù)飛機(jī)級(jí)失效狀態(tài)分析提供支撐。

（1）系統(tǒng)功能關(guān)聯(lián)分析

系統(tǒng)功能分析是通過關(guān)聯(lián)分析矩陣完成的，關(guān)聯(lián)分析矩陣定義和識(shí)別組成飛機(jī)級(jí)架構(gòu)的功能性系統(tǒng)的功能，這些功能性系統(tǒng)功能將會(huì)在飛機(jī)的正常運(yùn)行或非正常運(yùn)行中使用，并且對(duì)某個(gè)飛機(jī)級(jí)失效狀態(tài)產(chǎn)生影響。某型號(hào)系統(tǒng)功能關(guān)聯(lián)分析見表1，通過表1能夠有效地識(shí)別出飛機(jī)級(jí)的失效狀態(tài)與哪些系統(tǒng)的具體功能相關(guān)聯(lián)。

（2）資源關(guān)聯(lián)分析

飛機(jī)級(jí)功能的實(shí)現(xiàn)，不僅僅依賴系統(tǒng)級(jí)各功能系統(tǒng)的功能，還依賴于機(jī)上的各種資源，包括能源和數(shù)據(jù)等。針對(duì)機(jī)上資源開展的系統(tǒng)功能關(guān)聯(lián)分析被稱為資源關(guān)聯(lián)分析，是通過關(guān)聯(lián)分析矩陣完成的。資源關(guān)聯(lián)分析矩陣定義和識(shí)別組成飛機(jī)級(jí)架構(gòu)的資源功能，這些資源能將會(huì)對(duì)某個(gè)飛機(jī)級(jí)失效狀態(tài)產(chǎn)生影響。資源關(guān)聯(lián)分析的矩陣與功能關(guān)聯(lián)分析的表格類似，此處不再重復(fù)展示。

1.2.2飛機(jī)級(jí)失效狀態(tài)評(píng)估

飛機(jī)級(jí)失效狀態(tài)評(píng)估的目的是通過一系列的分析確定由關(guān)聯(lián)分析確定的系統(tǒng)（包括功能性系統(tǒng)和資源性系統(tǒng)）的功能失效對(duì)飛機(jī)級(jí)失效狀態(tài)的影響。支持產(chǎn)生對(duì)構(gòu)成飛機(jī)級(jí)架構(gòu)的相關(guān)系統(tǒng)的安全性需求。飛機(jī)級(jí)失效狀態(tài)評(píng)估目前包括了組合的功能失效影響分析（CoFFE）、通用資源分析（CRC）和多功能和多系統(tǒng)分析。其中，CoFFE和CRC是多功能和多系統(tǒng)分析的參考和依據(jù)。

（1）組合的功能失效影響分析

組合的功能失效影響分析是針對(duì)系統(tǒng)功能失效和/或功能性故障組合可能對(duì)飛機(jī)安全運(yùn)行所造成的影響進(jìn)行的評(píng)估活動(dòng)，其中的影響需要根據(jù)工程經(jīng)驗(yàn)、分析計(jì)算等方式進(jìn)行確認(rèn)。針對(duì)提供地面減速的CoFFE部分示例見表2。

（2）通用資源分析

通用資源分析是對(duì)組成飛機(jī)級(jí)架構(gòu)的資源系統(tǒng)功能喪失或錯(cuò)誤可能造成的飛機(jī)級(jí)失效影響進(jìn)行的分析活動(dòng)，目的是確認(rèn)飛機(jī)級(jí)安全性評(píng)估結(jié)果，并對(duì)機(jī)上資源進(jìn)行初步的審查和評(píng)估，捕獲可能被共模分析中采用的獨(dú)立性原則，并在飛機(jī)研制的早期支持確認(rèn)飛機(jī)級(jí)架構(gòu)。

（3）多功能和多系統(tǒng)分析

多功能和多系統(tǒng)分析主要是基于關(guān)聯(lián)分析、CoFFE分析和通用資源分析的結(jié)果，以故障樹的形式完成。通過構(gòu)建飛機(jī)級(jí)的故障樹，將飛機(jī)級(jí)的安全性要求分配到系統(tǒng)級(jí)，并確定飛機(jī)級(jí)架構(gòu)應(yīng)遵循的獨(dú)立性原則等。在實(shí)施多功能和多系統(tǒng)分析中，可以采用以下原則：根據(jù)飛機(jī)級(jí)功能危險(xiǎn)分析的結(jié)果，原則上對(duì)可能造成I類和II類失效影響的失效狀態(tài)開展多功能和多系統(tǒng)分析；飛機(jī)級(jí)功能危險(xiǎn)分析結(jié)果中涉及的III類失效狀態(tài)，如果涉及多個(gè)飛機(jī)系統(tǒng)，將對(duì)III類失效狀態(tài)開展多功能和多系統(tǒng)分析。

2基于模型的初步飛機(jī)安全性分析實(shí)現(xiàn)

2.1安全性模型的原理

研究采用的安全性建模語(yǔ)言為AltaRica，AltaRica是用于安全性分析的高層建模語(yǔ)言，具有強(qiáng)大的故障邏輯描述能力。基于圖形可視化建模構(gòu)建的AltaRica模型能夠?qū)崿F(xiàn)復(fù)雜裝備多節(jié)點(diǎn)、多層次的架構(gòu)建模，能夠更好地反映系統(tǒng)功能和物理結(jié)構(gòu)，消除傳統(tǒng)安全性分析手段與系統(tǒng)設(shè)計(jì)的隔閡，提高安全性模型的可維修性和可重用性。

基于AltaRica語(yǔ)言的可視化安全性模型是由模塊和模塊之間的關(guān)聯(lián)關(guān)系組成的。一般情況下，模塊是裝備或系統(tǒng)架構(gòu)中對(duì)應(yīng)的系統(tǒng)或部件，描述了系統(tǒng)或部件的層級(jí)、名稱、輸入/輸出等基本設(shè)計(jì)信息，同時(shí)描述了系統(tǒng)或部件的安全性信息，包括失效模式、失效率以及故障的傳遞邏輯等。其主要假設(shè)是某一模塊的失效模式，是由其輸入以及自身的故障模式導(dǎo)致的，建立每個(gè)模塊的輸出與輸入、自身故障狀態(tài)的邏輯關(guān)系，在各個(gè)模塊關(guān)聯(lián)關(guān)系的基礎(chǔ)上，可以形成一個(gè)全局的故障傳遞模型，并可以構(gòu)建狀態(tài)基于事件的變遷關(guān)系和條件，使之可以依據(jù)蒙特卡羅的方法實(shí)現(xiàn)系統(tǒng)的安全性仿真。

2.2基于模型的初步飛機(jī)安全性分析流程

基于模型開展初步飛機(jī)安全性分析的實(shí)現(xiàn)具體輸入和流程如圖1所示。從圖中可以確認(rèn)，基于模型的初步飛機(jī)安全性分析與傳統(tǒng)手工方法的輸入類似，均為飛機(jī)的研制信息和飛機(jī)功能危險(xiǎn)分析（FHA）的結(jié)果。工作過程中基于這些輸入的信息，按照飛機(jī)設(shè)計(jì)的思路構(gòu)建圖形化的飛機(jī)安全性模型開展分析，研究則采用基于AltaRica語(yǔ)言的圖形化建模方法實(shí)現(xiàn)故障傳遞模型等的模型構(gòu)建工作。基于模型的初步飛機(jī)安全性分析流程如下：（1）飛機(jī)功能建模：依據(jù)飛機(jī)的功能和架構(gòu)以及系統(tǒng)和功能的關(guān)聯(lián)關(guān)系建立系統(tǒng)功能模型；（2）飛機(jī)故障建模：將系統(tǒng)的故障模式信息注入飛機(jī)功能模型；（3）構(gòu)建故障傳播邏輯：結(jié)合飛機(jī)功能流及系統(tǒng)的故障模式，自下而上地構(gòu)建飛機(jī)的故障傳播邏輯；（4）確認(rèn)故障傳播邏輯：飛機(jī)故障傳播邏輯構(gòu)建完成后，應(yīng)與型號(hào)總體設(shè)計(jì)師和各系統(tǒng)設(shè)計(jì)人員一同確認(rèn)故障傳播邏輯的完整性與準(zhǔn)確性；（5）自動(dòng)生成安全性分析結(jié)果：基于構(gòu)建的裝備故障傳遞模型，對(duì)選定功能的失效狀態(tài)（來源于飛機(jī)FHA的輸入）自動(dòng)生成故障樹，并進(jìn)一步實(shí)現(xiàn)最小割集的計(jì)算以及飛機(jī)安全性指標(biāo)的分配等。

3應(yīng)用示例

飛機(jī)的一個(gè)典型失效狀態(tài)為“對(duì)稱部分喪失地面減速”，以此為研究示例，構(gòu)建飛機(jī)的功能模型，并基于其輔助PASA工作的開展，包括自動(dòng)化生成故障樹和基于故障樹的分析。

根據(jù)地面減速相關(guān)的飛機(jī)架構(gòu)和系統(tǒng)，構(gòu)建的飛機(jī)功能模型（部分）如圖2所示，后期完成相關(guān)系統(tǒng)的模型時(shí)，可以直接將其拷貝到飛機(jī)模型對(duì)應(yīng)的系統(tǒng)中，實(shí)現(xiàn)飛機(jī)級(jí)和系統(tǒng)級(jí)模型的統(tǒng)一，最終構(gòu)建從飛機(jī)頂層，直到各個(gè)系統(tǒng)以及系統(tǒng)部件的完備模型，以供后期型號(hào)改進(jìn)等進(jìn)行參考。圖中依據(jù)關(guān)聯(lián)分析的結(jié)果實(shí)現(xiàn)了系統(tǒng)級(jí)功能和機(jī)上能源與飛機(jī)級(jí)功能的關(guān)聯(lián)，并在模型中注入了飛機(jī)級(jí)和系統(tǒng)級(jí)的失效狀態(tài)，并構(gòu)建了故障的傳遞邏輯，可以基于模型開展進(jìn)一步的安全性工作。

基于上述模型可以自動(dòng)生成需要分析的失效狀態(tài)的故障樹，從而確定導(dǎo)致其發(fā)生的系統(tǒng)級(jí)因素，其中自動(dòng)生成的“對(duì)稱部分喪失地面減速”的故障樹如圖3所示，基于故障樹還可以自動(dòng)化計(jì)算生成的最小割集以及安全性指標(biāo)分配等結(jié)果。

應(yīng)用MBSA方法，不僅能夠?qū)崿F(xiàn)傳統(tǒng)方法的故障樹構(gòu)建，面向更為復(fù)雜的飛機(jī)系統(tǒng)時(shí)還可以通過模型進(jìn)行工作界面的區(qū)分，將不同的系統(tǒng)專業(yè)交由專業(yè)人員完成，最終基于平臺(tái)自動(dòng)化的開展和故障樹的定性和定量分析，實(shí)現(xiàn)最小割集的計(jì)算以及將整機(jī)級(jí)的安全性指標(biāo)向系統(tǒng)級(jí)的分解，通過工具保證計(jì)算結(jié)果準(zhǔn)確的同時(shí)，更重要的是在整機(jī)架構(gòu)發(fā)生變更時(shí)能夠高效地分析結(jié)果的迭代，以指導(dǎo)整機(jī)的設(shè)計(jì)。

4結(jié)束語(yǔ)

本文結(jié)合裝備越來越復(fù)雜的現(xiàn)狀開展了基于模型的初步飛機(jī)安全性分析技術(shù)研究，分析了當(dāng)前系統(tǒng)安全性工作中存在的需要改進(jìn)的問題，通過研究給出了航空裝備開展初步飛機(jī)安全性分析工作的詳細(xì)步驟，成功地將基于模型的方法引入到飛機(jī)級(jí)安全性工作中，并給出了應(yīng)用的具體過程和示例，驗(yàn)證了方法的可用性。

除此之外，在型號(hào)實(shí)際工程中的應(yīng)用證明該研究能夠解決國(guó)內(nèi)飛機(jī)級(jí)和系統(tǒng)級(jí)安全性工作銜接的問題，實(shí)現(xiàn)飛機(jī)級(jí)安全性模型和系統(tǒng)級(jí)模型的有效銜接，能夠?qū)踩怨ぷ鞔?lián)成一個(gè)有機(jī)的整體，最終實(shí)現(xiàn)危險(xiǎn)的跟蹤和最終的安全性評(píng)價(jià)，能夠有效地減少后期型號(hào)因需求變更或改型而造成的安全性工作成本，降低型號(hào)的研制成本，縮短研制周期。

雖然本文的研究能夠通過構(gòu)建模型開展初步飛機(jī)安全性分析工作，但在正向研制過程中會(huì)構(gòu)建研制過程中的模型，將安全性分析工作的模型建立到與研制過程中模型的追溯關(guān)系。在研制過程中設(shè)計(jì)模型的基礎(chǔ)上自動(dòng)導(dǎo)出安全性模型，更能提升安全性工作的準(zhǔn)確性和效率，是后續(xù)工作需要研究的重點(diǎn)。

參考文獻(xiàn)

[1]石鵬飛，張航，陳潔.先進(jìn)民機(jī)飛控系統(tǒng)安全性設(shè)計(jì)考慮[J].航空科學(xué)技術(shù)， 2019， 30（12）： 52-58. ShiPengfei，ZhangHang，ChenJie.Safetydesign considerations for advanced civil aircraft flight control system[J]. Aeronautical Science & Technology， 2019， 30（12）： 52-58.（in Chinses）

[2]董銳，王平利.一種基于ARP 4754A的民機(jī)機(jī)載系統(tǒng)研制項(xiàng)目風(fēng)險(xiǎn)分析方法研究[J].航空科學(xué)技術(shù)， 2019， 30（12）：38-44. Dong Rui， Wang Pingli. Study of civil aircraft airborne system development project risk analysis method based on ARP 4754A[J]. Aeronautical Science & Technology， 2019， 30（12）：38-44.（in Chinses）

[3]封文春.飛機(jī)氧氣系統(tǒng)著火案例分析及安全性設(shè)計(jì)要求[J].航空科學(xué)技術(shù)， 2018， 29（9）： 58-63. Feng Wenchun. Analysis of aircraft oxygen system fire accident and safety requirement[J]. Aeronautical Science & Technology， 2018， 29（9）： 58-63. （in Chinses）

[4]嚴(yán)拴航，薛海紅.飛機(jī)區(qū)域安全性分析流程優(yōu)化與實(shí)施方法[J].航空科學(xué)技術(shù)， 2014， 25（4）： 36-41. Yan Shuanhang， Xue Haihong. Aircraft zonal safety analysis diagram optimization and performing method[J]. Aeronautical Science & Technology， 2014， 25（4）： 36-41. （in Chinses）

[5]張欣，呂新波.民用飛機(jī)升降舵故障的安全性研究[J].航空科學(xué)技術(shù)， 2016， 27（5）： 47-50. Zhang Xin， Lyu Xinbo. Safety research of civil aircraft elevator fault[J]. Aeronautical Science & Technology， 2016， 27（5）： 47-50. （in Chinses）

[6]鄭建，沈飛.民用飛機(jī)電源系統(tǒng)對(duì)25.1309條款的符合性驗(yàn)證研究[J].航空科學(xué)技術(shù)， 2014， 25（7）： 23-26. Zheng Jian， Shen Fei. Compliance verification research of airworthiness regulation 25.1309 for electrical power system of civil aircraft[J]. Aeronautical Science & Technology， 2014， 25（7）： 23-26. （in Chinses）

[7]Bozzano M，Villafiorita A，Akerlund O，et al. ESACS：an integrated methodology for design and safety analysis of complex systems[C]//ESREL 2003，Maastricht，Netherlands，2003.

[8]Akerlund O，Bieber P，Boede E，et al. A framework for integrated safety analysis of functional geometrical and human aspectss[C]//ISAAC：ERTS，2006.

[9]MISSA. More integrated system safety assessment [EB/OL].[2007-06-11]. http：//ec.europa.eu.

[10]Matthias G. Qualitative and quantitative formal model-based safety analysis[D]. Magdeburg：Otto-von-Guericke-niversit¨at Magdeburg，2011.

[11]Thomas N. Safety，dependability and performance analysis of aerospace systems[C]//Preliminary Proceedings of 3rd Int.Workshop on Formal Techniques for Safety-Critical Systems，2014：2-5.

[12]Bittner B，Bozzano M. An integrated process for FDIR design in aerospace[C]//4th International Symposium，IMBSA，2014：82-95.

[13]Estefan J. Survey of model-based system engineering（MBSE）[C]//INCOSE MBSE Initiative，2008.

[14]Boiteau M，Dutuit Y，Rauzy A，et al. The AltaRica data-flow languages in use：modeling of production availability of a multi-state system[J]. Reliability Engineering and System Safety，2006，91（8）：747-755.

[15]Society of Automotive Engineers. ARP 4761 guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S]. USA：SAE，2012.

[16]浦樂，王西超，楊藝.基于MBSE與SysML的空空導(dǎo)彈系統(tǒng)架構(gòu)建模研究[J].航空科學(xué)技術(shù)， 2020， 31（2）： 54-59. Pu Le， Wang Xichao， Yang Yi. Research on architecture modeling of air to air missile system based on MBSE and SysML[J]. Aeronautical Science & Technology， 2020， 31（2）： 54-59. （in Chinses）

Research on Preliminary Aircraft Safety Analysis Method Based on MBSA

Xu Xiaojie，Gong Qi，Wu Yang，Bai Qing

AVIC China Aero-polytechnology Establishment，Beijing 100028，China

Abstract： As systems become more and more complex， safety work is an important part of the aviation equipment development process. Disconnections between system safety effort and aircraft development， and aircraft level and system level are analyzed. In combination with the current status of aircraft-level safety work in aviation model work， such as large workloads and many iterative changes， the latest trends in the research and application of military and civil aircraft safety work at home and abroad are introduced， and the model-based system engineering （MBSE） idea is applied to model-based systems. The preliminary aircraft safety analysis method and process of the company have been studied， the specific steps for carrying out preliminary aircraft-level safety work are given， and the application process and results of the method are demonstrated through examples， which proves that the research results can completely integrate the aircraft-level safety work. It is effectively connected in series with system-level safety work， which strongly supports the model’s subsequent system-level safety work.

Key Words： aviation equipment； system safety； preliminary aircraft safety analysis； model-based safety analysis