趙 亮，陳夏楠，鎖 斌

西南科技大學(xué) 信息工程學(xué)院，四川 綿陽 621010

基于模型的任務(wù)保證（model-based mission assurance，MBMA）是美國國家航空航天局（National Aeronautics and Space Administration，NASA）為了提升航天任務(wù)的快速性、經(jīng)濟性、可靠性、安全性，將基于模型的系統(tǒng)工程（model-based system engineering，MBSE）與任務(wù)保證（mission assurance，MA）概念相結(jié)合的產(chǎn)物。其應(yīng)用背景是NASA要在極低的產(chǎn)品批量條件下，保證復(fù)雜系統(tǒng)在包含危險使用環(huán)境的全壽命周期內(nèi)具備極高的安全性、可靠性。這樣的挑戰(zhàn)性需求最早是通過使用各種流程、標(biāo)準(zhǔn)、審查和其他檢查來保障的，相關(guān)工作逐步發(fā)展形成了MA理念。該理念通過風(fēng)險管理、可靠性工程、配置管理、器件/材料/流程工程、質(zhì)量保證、系統(tǒng)安全保證、軟件保證七類方式，實現(xiàn)需求分析與確認(rèn)、設(shè)計保證、制造保證、集成/測試/評估、操作準(zhǔn)備、任務(wù)保證評審六項核心目標(biāo)的過程[1]。隨著NASA產(chǎn)品的系統(tǒng)規(guī)模和復(fù)雜度日益增長，基于文檔的MA工作變得相當(dāng)費力且易于出錯。為此，MA開始從以文檔為中心的方法轉(zhuǎn)向由數(shù)據(jù)驅(qū)動、基于模型的方法。而近年來快速發(fā)展的MBSE 為這種轉(zhuǎn)變提供了合適的支撐。源于系統(tǒng)工程領(lǐng)域的MBSE 是用標(biāo)準(zhǔn)的模型語言代替自然語言，并應(yīng)用特定的方法論和工具，實現(xiàn)系統(tǒng)工程的過程。將MBSE與MA相結(jié)合所形成的MBMA包含了從工作流程到技術(shù)實現(xiàn)等不同層面的廣泛內(nèi)容，并已經(jīng)在航天、航空等領(lǐng)域得以成功應(yīng)用，在保障復(fù)雜系統(tǒng)的安全性、可靠性、經(jīng)濟性等方面表現(xiàn)出極大的應(yīng)用前景[2-3]。

為全面地觀察相關(guān)方向的發(fā)展情況，本文從MBMA的概念、框架、支撐技術(shù)等角度，對MBMA 應(yīng)用于復(fù)雜系統(tǒng)設(shè)計時所涉及到的理論與技術(shù)進行闡述。其中MBMA框架部分介紹了在實現(xiàn)特定任務(wù)保證目標(biāo)的過程中，由系統(tǒng)模型驅(qū)動任務(wù)保證分析和工程設(shè)計，獲取證據(jù)后形成安全/保證案例的基本邏輯。在MBMA 支撐技術(shù)部分，本文對安全/保證案例的思路，以及目前在安全/保證案例中常用的目標(biāo)結(jié)構(gòu)表示（goal structuring notation，GSN）進行了介紹。除此以外，文章還對MBMA在航天器抗輻射加固設(shè)計方面的典型應(yīng)用，以及未來研究方向進行了闡述。

1 MBMA相關(guān)概念及發(fā)展歷程

1.1 MA概念及來源

源于國外航天領(lǐng)域的MA 概念本質(zhì)上可以歸結(jié)為理解和管理復(fù)雜項目各個方面的風(fēng)險。最初，NASA為確保航天任務(wù)的成功，發(fā)展出了被稱為安全與任務(wù)保證（safety and mission assurance，SMA）的工作體系與運營模式，其關(guān)注任務(wù)過程中航天器的安全性、可靠性、維修性和質(zhì)量保證等一系列內(nèi)容，由安全性與任務(wù)保證辦公室（office of safety and mission assurance，OSMA）統(tǒng)管相關(guān)工作[4]。隨著相關(guān)理念的擴散，包括航空、武器裝備在內(nèi)的更多領(lǐng)域在其基礎(chǔ)上發(fā)展出了各自的MA理念[5-6]。這些MA 理念體現(xiàn)了參與復(fù)雜項目的所有人員及組織所須堅持的一種流程，該流程是迭代、連續(xù)且管理活動橫跨整個任務(wù)周期的，其目的是保證任務(wù)安全、成功。與此同時，NASA 也開始以MA 指代最初的SMA體系。

從內(nèi)容上來講，MA包含系統(tǒng)工程、風(fēng)險管理、質(zhì)量保證及流程管理的嚴(yán)格應(yīng)用，這些應(yīng)用由承包商與用戶在系統(tǒng)設(shè)計及使用過程中予以執(zhí)行。從流程上來講，MA涉及系統(tǒng)設(shè)計保證、任務(wù)操作保證及獨立評審三個主要部分，其中前兩部分共同闡釋任務(wù)中所有技術(shù)問題是否已被評估并解決，任務(wù)風(fēng)險及任務(wù)成功概率是否處于可接受范圍，第三部分則通過第三方視角確保系統(tǒng)承包商及用戶采用了足夠的保證流程來降低任務(wù)風(fēng)險。

1.2 MBSE概念

從概念上來講，系統(tǒng)工程（system engineering，SE）被認(rèn)為是組織管理系統(tǒng)規(guī)劃、研究、設(shè)計、制造、試驗和使用的科學(xué)方法[2，7]。在航天、航空、電力、武器裝備等領(lǐng)域，隨著系統(tǒng)復(fù)雜度的增長，系統(tǒng)內(nèi)部各元素間不可預(yù)期的相互作用也在快速增加。傳統(tǒng)的系統(tǒng)工程工作模式基于大量的文檔，系統(tǒng)開發(fā)各階段之間往往缺乏良好的追溯性，文檔的可讀性通常也欠佳。這種情況下，設(shè)計人員采用傳統(tǒng)的系統(tǒng)工程工作模式已經(jīng)處理不了系統(tǒng)復(fù)雜性增長所帶來的問題。為此，國際系統(tǒng)工程協(xié)會于2007 年提出了MBSE 的概念，即從概念設(shè)計階段開始，通過對建模方法的形式化應(yīng)用，來支持系統(tǒng)的需求、設(shè)計、分析、驗證和確認(rèn)活動。得益于以模型化為代表的IT技術(shù)的快速發(fā)展，MBSE使傳統(tǒng)以人工為主的系統(tǒng)工程，轉(zhuǎn)變?yōu)槿^程基于模型化、數(shù)字化表達和運行的系統(tǒng)工程。其核心是“數(shù)字化模型+數(shù)字化過程”驅(qū)動的系統(tǒng)工程研發(fā)模式。

在實施MBSE時，采用某種設(shè)計語言對系統(tǒng)進行描述是需要完成的主要工作之一。當(dāng)前MBSE 領(lǐng)域主流的系統(tǒng)描述語言是OMG 發(fā)布和維護的系統(tǒng)建模語言（systems modeling language，SysML），該語言基于UML發(fā)展而來，并專門針對系統(tǒng)設(shè)計領(lǐng)域特點進行了擴展。

1.3 MBMA發(fā)展歷程

MA 的具體實施方式一直以來都沒有統(tǒng)一標(biāo)準(zhǔn)。隨著系統(tǒng)復(fù)雜性的不斷增加，用于實踐MA 的工具、過程也需要不斷發(fā)展，從以文檔為中心的方法轉(zhuǎn)變到數(shù)據(jù)驅(qū)動的、基于模型的架構(gòu)上來。雖然國外很早就開展了基于模型的安全性、可靠性研究，但該方向上系統(tǒng)性的研究應(yīng)用則是在MBSE發(fā)展起來之后，通過MBSE支撐MA的實踐，在近年來才逐步形成MBMA的思路。相對于傳統(tǒng)的MA，MBMA 可以實現(xiàn)自動的系統(tǒng)模型確認(rèn)，并能夠建立MA過程所涉及的各元素間依賴網(wǎng)絡(luò)，這為獲取復(fù)雜系統(tǒng)的內(nèi)部關(guān)系提供了有效途徑，有助于在系統(tǒng)日益復(fù)雜的條件下保證其安全性、可靠性。雖然到目前為止仍缺乏對MBMA 完整而嚴(yán)謹(jǐn)?shù)慕忉?，但研究者們在持續(xù)的實踐過程中逐步認(rèn)識到MBMA不僅是將傳統(tǒng)的MA轉(zhuǎn)換為以模型為中心的方法，同時還要處理好MA在模型環(huán)境中所存在的風(fēng)險與機遇[8]。

自2015年OSMA將MBSE引入安全與任務(wù)保證工作中，提出MBMA基本概念以來，相關(guān)思想在國外航天領(lǐng)域逐步得以研究應(yīng)用。NASA 在其2016 年的報告中總結(jié)了MBMA 的研究應(yīng)用情況，報告中肯定了MBMA的可行性，并提出要利用MBSE 進一步開展保證模型、過程和工具的開發(fā)[9]。此后，國外圍繞MBMA概念又提出一系列研究計劃。自2019年起，NASA開始以月度會議的形式專題推進MBMA的應(yīng)用。國內(nèi)對于MBMA的研究目前尚處于理解消化相關(guān)概念[3-4]、梳理分析MBMA中主要工具[10]、探討相關(guān)概念如何應(yīng)用于復(fù)雜系統(tǒng)[11]的階段，研究者們已經(jīng)意識到MBMA概念的潛在意義，并呼吁開展相關(guān)方向的研究。

2 MBMA框架

MBMA 的特點在于緊密聯(lián)系系統(tǒng)設(shè)計模型，將關(guān)注點由系統(tǒng)設(shè)計完成后的安全案例分析轉(zhuǎn)變?yōu)檎麄€系統(tǒng)設(shè)計過程中的任務(wù)保證性論證，并直觀反映保證性論證過程中的邏輯。這樣的工作模式在圖1 所示NASA的MBMA 框架中得以體現(xiàn)。由圖1 可見，MBMA 框架由保證目標(biāo)、系統(tǒng)模型、保證性分析與安全/保證案例等層次構(gòu)成，處于框架底層的層次化保證目標(biāo)與系統(tǒng)模型相連接，為開發(fā)特定系統(tǒng)的安全/保證案例奠定基礎(chǔ)，各種信息將在安全/保證案例中得到整合，并給出任務(wù)風(fēng)險的量化結(jié)果[12]。這樣的框架已成為NASA 在系統(tǒng)安全性和可靠性方面的工作基礎(chǔ)[13-14]。其中涉及的系統(tǒng)模型、證據(jù)構(gòu)建與安全/保證案例論證等內(nèi)容分別對應(yīng)于MBSE、GSN 等具體技術(shù)，這些技術(shù)的發(fā)展正成為推動MBMA走向成熟的動力。

2.1 保證目標(biāo)

作為MBMA 框架的底層基礎(chǔ)，保證目標(biāo)是整個MBMA中論證工作的著眼點，包括論證工作為什么做？怎么做？做到什么程度？基于MBMA 的思路，NASA的可靠性與維護性（reliability and maintainability，R&M）標(biāo)準(zhǔn)在近年來提出一種層次結(jié)構(gòu)[15]作為保證工作實施的目標(biāo)，該思路源于安全案例的理念。其中的層次結(jié)構(gòu)主要由策略和目標(biāo)組成，它們相互關(guān)聯(lián)以支持任務(wù)的最高目標(biāo)。例如，可靠性和維護性層次結(jié)構(gòu)的最高目標(biāo)被設(shè)為系統(tǒng)在壽命期內(nèi)按要求運行以滿足任務(wù)目標(biāo)，在層次結(jié)構(gòu)中該目標(biāo)又進一步細(xì)分為：（1）系統(tǒng)符合設(shè)計意圖并按計劃運行；（2）系統(tǒng)在預(yù)期壽命、環(huán)境、操作條件和使用中保持正常功能；（3）系統(tǒng)能夠容忍故障及其他異常內(nèi)部或外部事件；（4）系統(tǒng)具有可接受的維護性。通過如此層層分解，將系統(tǒng)可靠性/維護性的最高目標(biāo)與細(xì)化后的低層級目標(biāo)及其相關(guān)證據(jù)通過適當(dāng)?shù)牟呗月?lián)系起來，為任務(wù)保證的論證提供支撐。目前，R&M標(biāo)準(zhǔn)已經(jīng)明確了14個目標(biāo)和49種策略。除此以外，NASA還提出了軟件保證、火箭有效載荷及安全性等方面的保證目標(biāo)[2]。

2.2 系統(tǒng)模型

MBMA框架中居于保證目標(biāo)層之上的是系統(tǒng)模型層。該層基于MBSE模式對不同任務(wù)場景進行需求、功能分析，通過模型來描述、分析和驗證系統(tǒng)在特定任務(wù)中的活動內(nèi)容、狀態(tài)特征、交互信息，并生成與之匹配的功能接口、測試環(huán)境，以此快速響應(yīng)需求變化。對于采用了MBSE 的任務(wù)保證工作而言，大部分關(guān)于系統(tǒng)的信息均可由模型中獲得。如圖1 所示，當(dāng)系統(tǒng)模型由SysML進行描述時，其中通常包含需求模型、結(jié)構(gòu)模型、行為模型、參數(shù)模型等。需求模型通過層次化的形式描述系統(tǒng)需求，結(jié)構(gòu)模型通過功能框圖等形式描述系統(tǒng)功能，行為模型通過用例圖或活動圖的形式展示系統(tǒng)是如何工作的，參數(shù)模型則描述了系統(tǒng)內(nèi)部所蘊含的數(shù)學(xué)關(guān)系。

2.3 保證性分析

保證性分析指搜集系統(tǒng)設(shè)計過程中對保證目標(biāo)產(chǎn)生影響的信息以構(gòu)建后續(xù)論證所需的證據(jù)。通過MBSE，系統(tǒng)模型能夠給出系統(tǒng)設(shè)計與保證性分析的記錄。通常來說，系統(tǒng)設(shè)計就是在一個較大的權(quán)衡空間中探索、比較不同的設(shè)計方案。設(shè)計方案的確定有賴于對特定設(shè)計的性能分析結(jié)果，如各種形式的可靠性分析等。隨著系統(tǒng)開發(fā)的進行，設(shè)計過程中產(chǎn)生的信息，如分析、測試、檢查的歷史數(shù)據(jù)等，將被積累起來形成證據(jù)用于MBMA框架頂層的安全/保證案例的論證中。

2.4 安全/保證案例

MBMA框架通過頂層的安全/保證案例來整合各種信息、論證保證目標(biāo)的實現(xiàn)情況。其中安全/保證案例可視為一個相互依賴的網(wǎng)絡(luò)，其中包含目標(biāo)、證據(jù)、設(shè)計和論證過程等信息。

3 MBMA實踐的支撐基礎(chǔ)

MBMA 在實踐過程中具備以下兩個突出特點：首先，MBMA是一套方法論和流程體系，而不是特指某個工具或某些工具；其次，MBMA的實現(xiàn)需要大量工具協(xié)同和流程集成服務(wù)，但凡是符合MBMA 思想的工具和流程，都可以成為構(gòu)建MBMA 體系的組成元素。就目前的MBMA 實踐而言，安全/保證案例、MBSE、GSN 是支撐其實際應(yīng)用的三個重要工具。

3.1 MBMA實踐中的安全/保證案例

安全/保證案例的出現(xiàn)是諸如航空航天這類涉及復(fù)雜系統(tǒng)的領(lǐng)域在工作方法上轉(zhuǎn)向基于目標(biāo)的系統(tǒng)安全和可靠性的基礎(chǔ)。在MBMA 框架中所涉及的安全/保證案例的起源可以追溯到20世紀(jì)60年代英國的核工業(yè)領(lǐng)域，目前其在歐美國家已被用于管理和規(guī)范多種重大危險行業(yè)（如核電、鐵路、航空和海上石油平臺）。英國國防標(biāo)準(zhǔn)00-56 中對安全案例做了如下定義：安全案例應(yīng)包括一個有證據(jù)支持的結(jié)構(gòu)化論證，提供一個令人信服的、可理解的和有效的案例，證明系統(tǒng)在給定的操作環(huán)境中對于給定的應(yīng)用是安全的[16]。

從這個定義中可以看出，安全案例是為便于理解而構(gòu)造的論證。作為安全/保證案例的核心內(nèi)容，安全論證就是利用系統(tǒng)設(shè)計、實現(xiàn)、集成、運行和維護等過程中產(chǎn)生的文檔、檢測結(jié)果等證據(jù)，證明該系統(tǒng)符合法律法規(guī)、行業(yè)標(biāo)準(zhǔn)及項目特定安全需求而展開的論證過程，論證基于的證據(jù)——既包括諸如測試、分析、檢查結(jié)果之類的直接證據(jù)，也包括反映直接證據(jù)可信度的間接證據(jù)，例如測試是否由專業(yè)人員按照標(biāo)準(zhǔn)做法實施。論證的結(jié)構(gòu)是證明復(fù)雜系統(tǒng)足夠安全的過程中所必需的，這樣才能引導(dǎo)人們理解一個復(fù)雜系統(tǒng)的安全案例?？偟膩碚f，論證要讓人們相信一個系統(tǒng)是安全的、可理解的（論證結(jié)構(gòu)化的本質(zhì)），系統(tǒng)的安全主張需要來自于該論證的結(jié)構(gòu)和它所基于的證據(jù)，通過這方面的一致性和完整性來保障論證是有效的。當(dāng)安全案例的概念被應(yīng)用于安全之外的屬性時，通常使用更具通用性的術(shù)語來表達，例如“保證案例”或“可靠性案例”。

在航空航天領(lǐng)域，McDermid早在20世紀(jì)90年代就認(rèn)識到了論證在安全案例中的重要作用[17]。NASA 戈達德航天中心采用可靠性案例的形式對航天器時鐘校準(zhǔn)系統(tǒng)進行了分析[18]。Jackson 在國家研究委員會的一項研究中建議將可靠性案例的形式用于更多關(guān)鍵軟件系統(tǒng)的評估[19]。Nguyen 介紹了對航天器進行保證案例開發(fā)的經(jīng)驗[20]。Rinehart梳理了航空業(yè)中保證案例的發(fā)展歷史及近年來的應(yīng)用情況[21]。Kelly提出了構(gòu)建安全案例的完整流程，其使用了GSN 來實現(xiàn)安全案例的圖形化論證[22]。作為一種被廣泛使用的標(biāo)準(zhǔn)化安全論證方式，諸如Adelard 的ASCETM、Astah 的GSN 編輯器、NASA的Ames’AdvoCATE等工具均支持GSN的使用，這些工具為將建模產(chǎn)生的證據(jù)與安全/保證案例聯(lián)系起來提供了便利。

除了構(gòu)建安全/保證案例，評估案例的有效性同樣重要。保證案例是由證據(jù)支持的合理且令人信服的論點，該證據(jù)表明系統(tǒng)將在給定的環(huán)境中按預(yù)期運行。一個論點是支持一個整體主張的一系列相關(guān)主張。保證案例，以及推而廣之的GSN論點結(jié)構(gòu)，是記錄論點的手段，并不能確定論點的真實性。案例的受理需要相關(guān)人員對論點進行審查。GSN 提供了一種記錄保證案例的方法，允許相關(guān)人員討論、質(zhì)疑和審查它提出的論點。Greenwell對由于各種錯誤而導(dǎo)致的無效論點進行了梳理分類[23]，這些論點可能在邏輯上是自洽的，但使用了不充分甚至不正確的證據(jù)來支持其論點。Duan討論了對保證案例進行可信度評估的方法[24]。開發(fā)有效的安全/保證案例的關(guān)鍵是合理處理建模過程中的不確定性，這些不確定性通常會影響到案例中用于支持論點的證據(jù)。

3.2 MBMA實踐中的MBSE

目前，基于SysML 的MBSE 在航天、航空等領(lǐng)域得到了快速的發(fā)展，其為表達系統(tǒng)需求及滿足需求的系統(tǒng)架構(gòu)提供了統(tǒng)一的形式，為項目的各參與方提供高效交流的基礎(chǔ)[7]。在MBSE的應(yīng)用中，通過SysML所建立的模型，將安全性/可靠性需求與相關(guān)分析整合到復(fù)雜系統(tǒng)中，已被證明在識別早期危險及生成FMECA方面是可行的[25-26]。在該方向上，Mhenni通過結(jié)構(gòu)和行為模型實現(xiàn)了對飛行器機電作動器主要失效模型的識別[27]。NASA 的研究人員也通過SysML 所構(gòu)建的結(jié)構(gòu)和行為模型，以自動化的方式生成了包括FTA、FMECA在內(nèi)的可靠性模型，并將其應(yīng)用于載人航天器的安全關(guān)鍵系統(tǒng)——水凈化系統(tǒng)的設(shè)計分析中[28-29]。類似的，在JPL 將MBSE 應(yīng)用于機器人任務(wù)的過程中，也開發(fā)了利用系統(tǒng)模型中的故障信息進行風(fēng)險概率評估的工具[30-31]。

除了上述MBSE 應(yīng)用于安全性/可靠性的實例以外，從更具體的角度來看，MBSE 對于MA 實踐的支持主要體現(xiàn)在以下7個方面。

（1）表達并管理系統(tǒng)工程信息以確保信息的一致性和完備性

基于模型的方式來對系統(tǒng)信息進行表達是MBSE的標(biāo)志，這可以確保語義理解的一致性，避免文件描述中可能帶來的誤解。Wibben介紹了利用MBSE開發(fā)的地面系統(tǒng)在控制航天器OSIRIS-Rex 接近小行星Bennu時的情況[32]。其中總結(jié)了MBSE為項目帶來的改善，包括地面系統(tǒng)的需求表達、體系結(jié)構(gòu)的表達（得以通過接口控制文檔和操作接口協(xié)議的形式開發(fā)該體系結(jié)構(gòu)的正式文檔）、測試和V&V 計劃的管理。在該項目中，MBSE 的內(nèi)容除涉及繪制架構(gòu)圖之外，還利用了功能流程框圖以支持系統(tǒng)行為的離散事件模擬。類似的MBSE作用在天文望遠鏡系統(tǒng)工程中也有體現(xiàn)[33]。

（2）為用戶及供應(yīng)商之間的合同界面提供支持

NASA 開發(fā)目標(biāo)層次結(jié)構(gòu)的目的之一就是為其與供應(yīng)商之間確立的合同界面提供支持。Do介紹了合同界面中使用MBSE在競爭性投標(biāo)環(huán)境中所涉及的方法、工具[34]。該研究討論了競爭環(huán)境下供方和用戶希望從模型中隱去的信息，而在“相互目標(biāo)得到充分理解且相互信任”的環(huán)境中，MBSE 已被成功地應(yīng)用于確立合同的邊界。

（3）生成審查文件

Montgomery 對比了“以文檔/專家為中心的信息搜集”與“基于數(shù)據(jù)驅(qū)動/MBSE 的數(shù)據(jù)搜集”[35]，結(jié)果顯示確定搜集方式所需的許多分析都可以從模型中自動生成，由此可以取代由專家團隊進行的人工評估。Vipavetz則以國際空間站的外部實驗載荷項目為例，討論了通過MBSE生成項目系統(tǒng)需求審查文件的優(yōu)勢及困難[36]。

（4）生成可靠性分析模型

由MBSE 自動生成FTA、FMECA 等可靠性模型是該領(lǐng)域一直以來的研究熱點。Cressent、David描述了根據(jù)SysML 模型信息（包括序列圖和內(nèi)部框圖）生成FMEAs的方法[37-38]，生成過程中需假設(shè)數(shù)據(jù)庫已有器件及其故障模式、故障率之類的信息。Hecht 介紹了一套關(guān)于衛(wèi)星及其地面系統(tǒng)的自動FMECA生成方法，其中使用的SysML 模型包含了內(nèi)部結(jié)構(gòu)框圖（刻畫了故障傳播路徑）、狀態(tài)轉(zhuǎn)換機器（包括正常和故障狀態(tài)）和活動圖（生成驅(qū)動狀態(tài)轉(zhuǎn)換的觸發(fā)器），據(jù)此自動生成的模型被輸入到AltaRica語言中，以便對故障傳播進行建模[39]。Mhenni介紹了一種從系統(tǒng)模型中自動生成FMEA和FTA 模型的方法[27，40]。其FMEA 生成過程從系統(tǒng)的頂層功能分解開始，并生成這些功能的通用故障模式列表以及潛在的原因和影響。在此階段，可以手動添加額外的故障模式。在將功能分配給組件后，組件FMEA的生成以類似的方式進行。其FTA 生成過程利用了FMEAs 的結(jié)果，通過對SysML 中表示組件交互關(guān)系和系統(tǒng)內(nèi)部結(jié)構(gòu)的內(nèi)部框圖進行遍歷而實現(xiàn)。該研究中展示了如何使用“與”門和“或”門將代表冗余或反饋回路的內(nèi)部結(jié)構(gòu)框圖轉(zhuǎn)換為相應(yīng)的FTA結(jié)構(gòu)。

（5）非標(biāo)稱狀態(tài)和行為的表示及推理

NASA的安全與任務(wù)保證辦公室已經(jīng)開始在MBSE框架下探索非標(biāo)稱狀態(tài)和行為的處理。Cressent闡述了將非標(biāo)稱行為的表示和推理與標(biāo)準(zhǔn)系統(tǒng)工程過程相結(jié)合的需求，強調(diào)了對非標(biāo)稱行為進行建模的重要性，提出了一個適合非標(biāo)稱情況的元模型，其包括在多個抽象層次上對非標(biāo)稱行為的處理[41]。

（6）支持后期設(shè)計

雖然大部分關(guān)于MBSE 應(yīng)用的研究內(nèi)容都集中在設(shè)計中前期，但也有一些涉及后期活動，尤其是測試方面。Evans等人主張建立一個跨越系統(tǒng)整個生命周期的信息模型[2]，從設(shè)計、開發(fā)、V&V，一直到運營。這個模型的主要元素是需求、功能、組件、風(fēng)險、工作分解結(jié)構(gòu)和實現(xiàn)（包含了操作場景）。這種端到端的模型允許研究替代設(shè)計對其V&V 成本和進度的影響，并計算任務(wù)成功的概率。Wibben 認(rèn)為MBSE 將給V&V 帶來極大助益[32]，部分原因是MBSE方法幫助項目人員將需求映射到系統(tǒng)架構(gòu)，并將關(guān)于詳細(xì)驗證的描述、成功標(biāo)準(zhǔn)貫穿于系統(tǒng)整個生命周期中。Pétin考慮了包含復(fù)雜軟件的系統(tǒng)如何驗證安全需求的問題[42]，指出形式化方法需要嚴(yán)格證明其安全屬性，并討論了從典型的SysML 描述到形式化方法所需的模型和屬性的轉(zhuǎn)換。

（7）更正MBSE模型

由于系統(tǒng)設(shè)計信息是由模型中獲取的，故它們的正確性至關(guān)重要，且與目標(biāo)層次結(jié)構(gòu)存在很強的相關(guān)性。這是MBSE 受益于保證性實踐的一個方面。Montgomery闡述了針對MBSE模型正確性問題的處理方法[35]，其中列舉了MBSE應(yīng)用中已有的幾種模型檢查方式，檢查內(nèi)容包括：需求；任務(wù)、操作和互操作性；功能、界面和連續(xù)性；系統(tǒng)內(nèi)容流；系統(tǒng)行為；系統(tǒng)實現(xiàn)；分配和完整性；整合能力等。

3.3 MBMA實踐中的GSN

GSN 最初是一種表達安全性論證結(jié)構(gòu)的圖形化符號語言，在英國航空航天所與約克大學(xué)的合作項目中被開發(fā)出來。GSN論證是指運用GSN語言描述安全論證過程，建立GSN 論證模型。此類模型利用圖形化的符號，清楚地表達了每個安全論證包含的元素（目標(biāo)、證據(jù)、環(huán)境、策略等）以及這些元素之間的關(guān)系。為了在安全案例中避免證據(jù)的無條理堆積，并在系統(tǒng)生命周期內(nèi)不斷修正安全案例，使安全論證結(jié)構(gòu)可以復(fù)用，Kelly 提出以GSN 來進行安全論證，在此基礎(chǔ)上編制安全案例[22]。

基于GSN 的論證工具通常包含目標(biāo)、策略、證據(jù)、環(huán)境、假設(shè)、論證依據(jù)等核心元素。各核心元素在可視化的論證工具中采用不同的圖形框進行表示，其含義如下：

目標(biāo)：用于表達論證的目標(biāo)，說明系統(tǒng)設(shè)計、實現(xiàn)、運行及維護等方面的安全要求。

策略：用于說明目標(biāo)之間的推理關(guān)系，即上一級目標(biāo)如何通過下一級子目標(biāo)的論證來實現(xiàn)。

證據(jù)：用于說明論證中的具體證據(jù)，如系統(tǒng)設(shè)計文檔、測試數(shù)據(jù)、維護文檔等。

環(huán)境：用于說明目標(biāo)、策略或證據(jù)命題為真的約束條件，如系統(tǒng)工作環(huán)境。

假設(shè)：用于對目標(biāo)或策略進行補充，注明未經(jīng)證實的假設(shè)。

論證依據(jù)：用于說明目標(biāo)或策略所依據(jù)的原理、標(biāo)準(zhǔn)等。

基于上述元素，GSN采用不同形式的連接線來表示元素間不同的連接關(guān)系，以此構(gòu)建目標(biāo)結(jié)構(gòu)表示。

就MBMA 相關(guān)的保證案例而言，GSN 為保證案例的構(gòu)建帶來了以下幾方面的積極影響：首先是GSN 結(jié)構(gòu)為保證案例開發(fā)過程賦予了更明確的規(guī)則；其次，GSN有助于揭示并識別在安全評估期間所做的假設(shè)；第三，GSN使保證性論證的主要結(jié)構(gòu)更便于評審者理解，在此基礎(chǔ)上可以評估保證案例的有效性，與之相比，在以文檔為中心的方法中，保證案例以文本形式提出，其中所做假設(shè)很容易被隱藏，且目標(biāo)和策略之間的關(guān)系也可能模糊不清；最后，GSN圖是模塊化的，其很容易與系統(tǒng)的功能模塊相關(guān)聯(lián)，這意味著GSN 非常適合與基于模型的系統(tǒng)表達方法搭配。相關(guān)領(lǐng)域的研究中，Rich提出利用GSN解決安全案例中人為因素的問題[43]，其將有關(guān)人為因素的描述添加于GSN 通用模型中。Witulski、Austin 等人使用GSN 為包含普通商用現(xiàn)貨COTS 器件的航天器進行了輻射保證性論證[44-46]。Austin討論了由貝葉斯網(wǎng)絡(luò)的推理結(jié)果為GSN 提供證據(jù)的可行性[47]。Weaver 使用GSN 對飛機進行了安全論證[48]。Ryder 等人介紹了將GSN集成與保證性建模軟件中的工作[49]。

4 MBMA在復(fù)雜系統(tǒng)設(shè)計中的典型應(yīng)用

近年來，MBMA 概念在航天任務(wù)中的實踐不斷增加，包括噴氣推進實驗室（Jet Propulsion Laboratory，JPL）牽頭的歐羅巴快船項目[50]、NASA的獵戶座項目[51-52]、NASA的探路者項目[53-55]等。其中引人關(guān)注的是NASA支持了多項課題用于在MBMA框架下研究航天器在輻射環(huán)境下的可靠性、安全性問題。

航天器作為典型的復(fù)雜系統(tǒng)，通常來說，經(jīng)費、時間進度、人力資源是制約航天任務(wù)中系統(tǒng)設(shè)計的主要因素，對于航天器設(shè)計所特有的抗輻射加固設(shè)計而言，上述因素的影響尤其明顯。在航天器設(shè)計中，抗輻射性能是首要關(guān)注的問題，根據(jù)飛行任務(wù)的特點，一般需要考慮單粒子效應(yīng)[56-58]、總劑量效應(yīng)[59-60]等因素的影響。就系統(tǒng)設(shè)計而言，航天器通常所用的抗輻射加固器件由于本身價格高昂，在經(jīng)費受限的情況下很難普及，尤其是在目前日漸頻繁的商業(yè)航天項目中。另外，由于抗輻射加固器件在體積、功耗等方面相比COTS器件通常存在較大劣勢，因此即使是在經(jīng)費充裕的航天項目中，大量使用抗輻射加固器件往往也意味著系統(tǒng)在一定程度上的性能損失。這種情況下，當(dāng)缺乏可用的抗輻射加固器件或成本限制了抗輻射加固器件的使用時，航天系統(tǒng)會通過適當(dāng)?shù)腃OTS 器件選擇策略或者系統(tǒng)設(shè)計中的相應(yīng)措施來一定程度上減少輻射效應(yīng)的影響[61-62]。另一方面，航天系統(tǒng)若直接選用COTS器件的話，通常也需要經(jīng)過輻射加固保證性（radiation hardness assurance，RHA）過程[63]。這一過程是對系統(tǒng)中輻射所致故障的風(fēng)險評估和風(fēng)險管理。其中風(fēng)險被定義為失敗的概率乘以失敗的后果[64]，器件選型及其所處任務(wù)環(huán)境對于系統(tǒng)風(fēng)險有決定性影響。RHA 中的風(fēng)險評估就是確定潛在故障、故障可能性以及故障后果的活動，風(fēng)險管理則是在系統(tǒng)約束范圍內(nèi)減少潛在故障、故障可能性和故障后果的活動。有效的RHA過程需要建立在掌握器件可靠性及相關(guān)不確定性的基礎(chǔ)之上。從這一角度來講，航天器所選用的COTS器件需要在不同的工作模式、功率等條件下進行大量的輻射測試以了解其可靠性水平。但實際上很難對器件的各種狀態(tài)進行一一測試鑒定[65]，現(xiàn)實中往往只能對COTS 器件在特定系統(tǒng)中的某種應(yīng)用進行測試，甚至根本不進行輻射測試，而是使用來自類似器件或者系統(tǒng)層的輻射測試結(jié)果。這種情況下，在分析輻射環(huán)境中的系統(tǒng)風(fēng)險時，風(fēng)險評估會對器件的使用做出許多假設(shè)。由此可見，選擇COTS器件的航天項目在RHA過程中也可能付出項目周期拉長和費用增長的代價，同時RHA 中所引入的各種假設(shè)對于設(shè)計、評估人員的專業(yè)水平也提出了很高的要求。

隨著MBSE 日益成為航天領(lǐng)域系統(tǒng)工程的實施標(biāo)準(zhǔn)，NASA 近年來開始探索將MBMA 概念應(yīng)用于航天器的抗輻射加固設(shè)計當(dāng)中，以應(yīng)對系統(tǒng)設(shè)計過程中由于器件選擇、驗證等原因所帶來的可靠性、安全性、經(jīng)濟性、及時性等方面的挑戰(zhàn)。圖2所示為采用MBMA 模式對商業(yè)衛(wèi)星的抗輻射性能進行保證性分析時，基于NASA的層次化保證目標(biāo)所建立的GSN論證結(jié)構(gòu)示意圖[49]。

目前，在部分航天器的開發(fā)過程中，系統(tǒng)保證性建模分析被視為與輻射試驗同樣重要。這方面現(xiàn)有研究成果的代表是NASA和范德堡大學(xué)基于MBMA思想聯(lián)合開發(fā)的系統(tǒng)工程與保證性建模（systems engineering and assurance modeling，SEAM）軟件[49]，該軟件集成了基于SysML 語言的系統(tǒng)建模、基于GSN 的安全性論證等功能，由此構(gòu)建了一套體現(xiàn)MBMA思路，能夠?qū)教炱髟谳椛洵h(huán)境下的可靠性、維護性、安全性進行高效分析的工具，其已被應(yīng)用于商業(yè)衛(wèi)星的輻射加固保證案例中[44-45，47，66-69]。

以SEAM 軟件為代表的系統(tǒng)保證性分析工具為其他項目中MBMA概念的實施提供了思路。即任務(wù)保證論證工具須盡量降低使用門檻[70]，提供與系統(tǒng)開發(fā)及使用環(huán)境相匹配的快速分析能力，使用圖形進行表示，具有靈活的建模能力，能夠?qū)ζ骷?系統(tǒng)失效進行表達，可由系統(tǒng)模型生成可靠性分析模型，具備與其他可靠性分析程序之間的互操作性，并提供保證性論證的指導(dǎo)。

就航天器的抗輻射設(shè)計而言，保證性分析時除了考慮容易因輻射導(dǎo)致故障的傳感器、邏輯器件以外，還要考慮與輻射無關(guān)的故障路徑，這里所謂的故障傳播的路徑包括物理和邏輯的接口，由此使得保證性分析覆蓋可能影響系統(tǒng)性能的每個環(huán)境激勵。這也意味著航天器的保證性不僅取決于其固有結(jié)構(gòu)或特定故障模式，還取決于從器件傳播到系統(tǒng)的所有故障類型。

5 結(jié)束語

MBMA作為一種將MBSE與MA相結(jié)合的產(chǎn)物，在航天、航空、武器裝備等涉及復(fù)雜系統(tǒng)高可靠性、安全性需求的領(lǐng)域有著廣闊的應(yīng)用空間，其可以為項目成本/進度管理、系統(tǒng)可靠性/安全性保障帶來積極影響。本文對MBMA所涉及的基本概念及主要支撐技術(shù)進行了梳理，由于MBMA的發(fā)展歷史尚短，有關(guān)其完整嚴(yán)謹(jǐn)?shù)慕忉屵€缺乏統(tǒng)一認(rèn)識，現(xiàn)有的研究多側(cè)重于通過具體的分析對象，如商業(yè)衛(wèi)星、空間站、飛機等，來演示MBMA中某些概念的應(yīng)用，或者探索MBMA 能夠為項目帶來的收益。這方面比較典型的例子就是基于MBMA 對使用COTS 器件的航天器進行抗輻射能力評估。但是這些應(yīng)用中，MBMA 與以往方法的根本差異、完整的MBMA的實施過程等內(nèi)容還需要進一步的明確。

作為一種支撐復(fù)雜項目實施的系統(tǒng)工程思想，MBMA 在未來的發(fā)展可以從以下兩個方面著手：（1）開發(fā)完善MBMA 的應(yīng)用軟件，以SEAM 為代表的保證性建模軟件已經(jīng)將SysML建模、FTA自動生成等功能集成在一起并應(yīng)用于航天器的抗輻射評估中，但現(xiàn)有的此類保證性建模軟件普遍未實現(xiàn)可靠性分析模型計算功能的集成，在實際使用時還需將軟件生成的FTA、貝葉斯網(wǎng)絡(luò)等可靠性分析模型導(dǎo)入到另外的專用計算軟件，由此可能為實際使用帶來困難；（2）完善保證性論證方法，以GSN 為代表的論證方法在應(yīng)用于安全性、保證性等不同領(lǐng)域時，在語法、結(jié)構(gòu)等方面的差異還需要進一步明確，與領(lǐng)域特點相對應(yīng)的GSN 論證模板目前還很欠缺，另外，為避免論證者經(jīng)驗問題所導(dǎo)致的GSN論證缺陷，還需結(jié)合GSN的語法、結(jié)構(gòu)要求開發(fā)相應(yīng)的自動檢查技術(shù)。