摘要： 對(duì)無人機(jī)開展安全性分析，提高無人機(jī)安全性水平，是保證安全飛行的重要因素。然而，傳統(tǒng)的安全性分析方法在應(yīng)用到無人機(jī)這類復(fù)雜系統(tǒng)上時(shí)在功能危險(xiǎn)識(shí)別、準(zhǔn)確性和效率等方面存在不足?；谀Ｐ偷陌踩苑治觯∕BSA）方法被認(rèn)為是解決這些困難的有效途徑。本文提出了“廣義MBSA”概念，即基于模型完成功能危險(xiǎn)性分析、初步系統(tǒng)安全性分析和系統(tǒng)安全性分析全部三個(gè)階段的安全性分析。為實(shí)現(xiàn)這一目標(biāo)，提出了基于模型的功能危險(xiǎn)性分析流程，并細(xì)化了基于模型完成初步系統(tǒng)安全性分析和系統(tǒng)安全性分析的開展過程。最后，將安全性分析過程與基于模型的系統(tǒng)工程相結(jié)合，提出了廣義MBSA框架，可用于指導(dǎo)無人機(jī)MBSA工作開展。

關(guān)鍵詞：MBSE；MBSA；一體化；無人機(jī)

引言

無人機(jī)的安全性是系統(tǒng)研制中必須考慮的首要問題，是保證安全飛行的重要因素。同時(shí)，無人機(jī)具有結(jié)構(gòu)緊湊，內(nèi)、外部信息交互復(fù)雜，自動(dòng)化功能多、軟硬件架構(gòu)復(fù)雜及應(yīng)用可編程邏輯設(shè)備等特點(diǎn)，給安全性分析提出了更高要求，傳統(tǒng)的安全性分析方法應(yīng)用到無人機(jī)這類復(fù)雜系統(tǒng)上時(shí)在功能識(shí)別、分析準(zhǔn)確性和分析效率上存在不足?；谀Ｐ偷陌踩苑治龇椒ǎ∕odel Based Safety Analysis，MBSA）被認(rèn)為是解決傳統(tǒng)安全性分析技術(shù)對(duì)于復(fù)雜系統(tǒng)分析困難問題的有效手段和途徑[1]。安全性分析主要包括功能危險(xiǎn)性分析（Functional Hazard Assessment，F(xiàn)HA）、初步系統(tǒng)安全性分析（Preliminary System Safety Assessment，PSSA）以及系統(tǒng)安全性分析（System Safety Assessment，SSA）三個(gè)階段。目前關(guān)于MBSA的應(yīng)用研究主要關(guān)注點(diǎn)為PSSA和SSA階段，F(xiàn)HA仍按照傳統(tǒng)方法在進(jìn)行，沒有采用基于模型的思想，導(dǎo)致功能危險(xiǎn)識(shí)別困難，不利于后續(xù)工作開展?；诖?，本文提出“廣義MBSA”概念，即基于模型完成FHA、PSSA和SSA全部三個(gè)階段的安全性分析。為實(shí)現(xiàn)這一目標(biāo)，本文在基于模型的系統(tǒng)工程（ModelBased Systems Engineering，MBSE）[2]框架下，給出了基于模型的FHA流程；同時(shí)，細(xì)化了基于模型完成PSSA和SSA的開展過程。在此基礎(chǔ)上，本文將安全性分析過程與MBSE相結(jié)合，給出了廣義MBSA框架，可以用于指導(dǎo)無人機(jī)MBSA工作開展。

一、安全性分析流程

SAE ARP4761A[3]建議的安全性分析過程主要由三部分組成：FHA、PSSA和SSA。這些分析環(huán)節(jié)相互關(guān)聯(lián)，共同構(gòu)成了確保產(chǎn)品安全性的完整流程。安全性分析流程包括安全要求的識(shí)別（“V”形圖的左側(cè)）和驗(yàn)證（“V”形圖的右側(cè)），如圖1所示，用來支持整機(jī)開發(fā)活動(dòng)。在無人機(jī)開發(fā)周期開始時(shí)，進(jìn)行整機(jī)級(jí)別的功能危險(xiǎn)分析，隨后對(duì)每個(gè)子系統(tǒng)進(jìn)行系統(tǒng)級(jí)別的FHA。在FHA之后進(jìn)行初步系統(tǒng)安全性分析，主要使用故障樹分析（Fault Tree Analysis，F(xiàn)TA）得出子系統(tǒng)的安全要求。PSSA流程隨著設(shè)計(jì)的演進(jìn)而迭代，設(shè)計(jì)更改時(shí)，需要更改派生的系統(tǒng)要求。系統(tǒng)安全性分析流程將驗(yàn)證已實(shí)施設(shè)計(jì)是否滿足安全要求，對(duì)系統(tǒng)進(jìn)行失效模式和影響分析（Failure Modes and Effects Analysis，F(xiàn)MEA），以計(jì)算系統(tǒng)的實(shí)際失效概率。然后，通過對(duì)為子系統(tǒng)以及整機(jī)創(chuàng)建的故障樹進(jìn)行定量和定性分析，完成驗(yàn)證。

二、廣義MBSA與狹義MBSA

本文把基于模型開展安全性分析的方法應(yīng)用于PSSA和SSA階段的MBSA定義為“狹義MBSA”，把基于模型的方法應(yīng)用到FHA、PSSA和SSA三個(gè)階段的MBSA定義為“廣義MBSA”。

文獻(xiàn)[4]在總結(jié)了大量有關(guān)MBSA研究的文獻(xiàn)后，指出當(dāng)前關(guān)于MBSA的研究主要集中在組件故障表征、建模語言選擇、安全性分析模型構(gòu)建和執(zhí)行安全性分析上，即聚焦于狹義MBSA的研究。然而當(dāng)前針對(duì)無人機(jī)開展FHA，工程人員面臨著一些實(shí)際困難。以發(fā)動(dòng)機(jī)控制系統(tǒng)為例，為探究某功能失效對(duì)無人機(jī)的潛在影響，首要任務(wù)是深入剖析控制系統(tǒng)對(duì)關(guān)鍵功能子系統(tǒng)的作用機(jī)制；隨后需綜合評(píng)估這些子系統(tǒng)對(duì)發(fā)動(dòng)機(jī)整體性能參數(shù)的綜合影響；在此基礎(chǔ)上，進(jìn)一步分析單臺(tái)發(fā)動(dòng)機(jī)對(duì)推進(jìn)系統(tǒng)（特別是對(duì)于裝備多臺(tái)發(fā)動(dòng)機(jī)的無人機(jī)）的具體作用；最終要評(píng)估推進(jìn)系統(tǒng)對(duì)整個(gè)無人機(jī)的影響。這一過程充分展現(xiàn)了對(duì)于無人機(jī)而言，功能危險(xiǎn)分析過程煩瑣且結(jié)果不明顯。若功能描述過于籠統(tǒng)，失效模式的辨識(shí)將變得困難；而若描述過于詳盡，則FHA分析過程復(fù)雜度增加，帶來大量冗余信息，難以明確功能層級(jí)和范圍，從而無法有效指導(dǎo)FHA過程。究其原因，主要在于缺乏系統(tǒng)架構(gòu)模型，這使得發(fā)動(dòng)機(jī)子系統(tǒng)/部件的功能層級(jí)和范圍難以準(zhǔn)確界定。

針對(duì)上述問題，本文將功能危險(xiǎn)分析集成到基于模型的系統(tǒng)工程框架中，提出基于模型的功能危險(xiǎn)分析（Model-Based Functional Hazard Assessment，MBFHA）流程，利用MBSE開發(fā)活動(dòng)中輸出的信息開展相應(yīng)功能危險(xiǎn)分析活動(dòng)，實(shí)現(xiàn)功能危險(xiǎn)分析的模型化。

三、廣義MBSA流程研究

本文提出的廣義MBSA流程由基于模型的FHA流程和狹義MBSA流程兩部分組成。MBFHA流程給出了功能危險(xiǎn)分析活動(dòng)開展順序和各階段與MBSE的交互情況；狹義MBSA流程將模型融入傳統(tǒng)的“V”形安全性分析流程，描述安全性分析模型的建立、檢驗(yàn)與分析過程。

1. MBFHA流程

針對(duì)無人機(jī)開發(fā)，參照SAE ARP4761A和SAE ARP4754B[5]中有關(guān)功能危險(xiǎn)分析的規(guī)定，給出了圖2所示的MBFHA總體工作流程，用以指導(dǎo)基于模型的系統(tǒng)工程框架中功能危險(xiǎn)分析的集成開發(fā)。根據(jù)系統(tǒng)工程“V”模型，產(chǎn)品開發(fā)過程始于提出產(chǎn)品需求，對(duì)于基于模型的系統(tǒng)工程方法而言，這包括制定生命周期表、系統(tǒng)內(nèi)外交互關(guān)系分析和功能場(chǎng)景分析，通過這些活動(dòng)，可以得到系統(tǒng)功能列表，作為基于模型的功能危險(xiǎn)分析的第一個(gè)活動(dòng)的輸入：創(chuàng)建初始功能失效狀態(tài)集合。這是一個(gè)通過考慮功能喪失或功能錯(cuò)誤以及這些失效發(fā)生后是否會(huì)向用戶發(fā)出警告而創(chuàng)建的失效狀態(tài)集合。然后，通過考慮系統(tǒng)模型圖中識(shí)別的功能和操作場(chǎng)景，可以通過去除任何不適用或不現(xiàn)實(shí)的條件來細(xì)化失效狀態(tài)。在此基礎(chǔ)上，可以借助飛行階段信息和系統(tǒng)模型中的利益相關(guān)者識(shí)別確定每個(gè)失效狀態(tài)對(duì)無人機(jī)的影響。參考ARP4761A對(duì)功能失效影響與其分類和發(fā)生概率的定義，可以對(duì)每個(gè)失效狀態(tài)進(jìn)行分類，并給出其定量目標(biāo)。對(duì)于每個(gè)失效狀態(tài)，還應(yīng)指定要求符合性的驗(yàn)證方法，并在適用時(shí)提供支持材料以證明功能失效分類的合理性。

盡管FHA活動(dòng)按照時(shí)間順序進(jìn)行，但整個(gè)過程本身是迭代的。由于功能危險(xiǎn)分析產(chǎn)生的要求可能會(huì)導(dǎo)致對(duì)系統(tǒng)架構(gòu)的更改，進(jìn)而可能導(dǎo)致對(duì)系統(tǒng)功能的修改，因此需要重新開展FHA，以確保其仍然準(zhǔn)確無誤。迭代的過程可以體現(xiàn)出基于模型開展FHA的優(yōu)越性。

2. 狹義MBSA流程

狹義MBSA類似于若干安全性分析方法的綜合，因?yàn)樵谀撤N程度上，MBSA只是提供了一個(gè)模型的框架，在計(jì)算機(jī)等高性能工具的輔助下自動(dòng)生成最小割集、故障樹，進(jìn)而用于完成PSSA和SSA階段的故障樹分析、共因分析等。狹義MBSA的核心是安全性分析模型，基于安全性分析模型完成PSSA和SSA階段安全性分析的過程如下：

1）抽象化系統(tǒng)。狹義MBSA的第一步涉及對(duì)系統(tǒng)實(shí)際結(jié)構(gòu)、功能、層次、輸入輸出等進(jìn)行分析和抽象，以確保能夠準(zhǔn)確反映系統(tǒng)的各個(gè)方面情況。這一步的信息主要來源于兩個(gè)方面，一是系統(tǒng)設(shè)計(jì)信息，包括系統(tǒng)及組件的架構(gòu)、接口、失效模式、失效概率等，二是通過功能危險(xiǎn)分析獲得的功能鏈、失效清單等。

2）建立安全性分析模型。此部分是狹義MBSA的核心，模型的準(zhǔn)確與否，直接關(guān)系到安全性分析的結(jié)果?，F(xiàn)階段已有一些較成熟的語言和工具支持建模，可以基于不同的建模思想選擇合適的工具，“自上而下”或“自下而上”地完成建模。

3）模型檢驗(yàn)。模型的有效性是MBSA發(fā)展面臨的一個(gè)嚴(yán)峻挑戰(zhàn)，借助可靠性框圖，通過檢查構(gòu)建的模型是否與之前已知的故障原因一致，故障樹是否完整等可以實(shí)現(xiàn)對(duì)所建立的安全性分析模型的檢驗(yàn)。

4）生成安全性分析結(jié)果。這一步是自動(dòng)生成的，但安全性分析人員有必要對(duì)生成結(jié)果進(jìn)行檢查，確認(rèn)合理后，可將結(jié)果反饋給系統(tǒng)設(shè)計(jì)，判斷是否需要修改，如有變動(dòng)，需要回到第一步展開迭代，直至滿足系統(tǒng)最終設(shè)計(jì)要求。

為確保上述基于模型的安全性分析的開展，需要對(duì)傳統(tǒng)的“V”形安全性分析流程進(jìn)行適當(dāng)?shù)母?，以將模型納入其中。以ARP4754B所定義的系統(tǒng)研制流程為例，狹義MBSA在無人機(jī)研制周期內(nèi)的開展過程如圖3所示，修改后的“V”形流程中，安全性分析活動(dòng)以安全性分析模型為中心。

四、廣義MBSA框架

MBSE已經(jīng)越來越多地應(yīng)用到系統(tǒng)開發(fā)中[6]，本文通過分析MBSE和安全性分析過程的特點(diǎn)與輸入輸出，將MBSA方法整合到兩個(gè)過程中，搭建了無人機(jī)的廣義MBSA框架，如圖4，描述了MBSE、MBSA過程與安全性分析的關(guān)系，并展示了信息交互情況。該框架中，F(xiàn)HA被集成到基于模型的系統(tǒng)工程中開展，利用MBSE需求定義和功能架構(gòu)定義階段的輸出構(gòu)建系統(tǒng)功能模型，完成系統(tǒng)FHA，F(xiàn)HA的結(jié)果可及時(shí)反饋給系統(tǒng)設(shè)計(jì)完成迭代；邏輯架構(gòu)定義階段可以構(gòu)建子系統(tǒng)功能模型，用以評(píng)估組件層面的風(fēng)險(xiǎn)。安全性分析模型一般是分層的，系統(tǒng)功能模型、子系統(tǒng)功能模型和系統(tǒng)結(jié)構(gòu)一起構(gòu)成安全性分析模型的輸入，用來指導(dǎo)模型系統(tǒng)層、子系統(tǒng)層和組件層的構(gòu)建。FHA分析得到的需關(guān)注的失效狀態(tài)將成為安全性分析模型分析的對(duì)象，在給安全性分析模型添加組件失效模式、失效概率等信息后，模型可自動(dòng)生成故障樹、最小割集、FMEA表等安全性分析組件，完成PSSA和SSA階段的分析。

結(jié)束語

本文為解決傳統(tǒng)安全性分析方法在無人機(jī)安全性分析中功能故障識(shí)別困難，分析工作量大，結(jié)果容易出現(xiàn)偏差的問題，將MBSA方法引入無人機(jī)安全性分析領(lǐng)域，研究建立FHA、PSSA和SSA各階段基于模型開展安全性分析的流程，并將整個(gè)流程與基于模型的系統(tǒng)工程開發(fā)過程結(jié)合，搭建了一個(gè)廣義MBSA框架。相關(guān)研究?jī)?nèi)容可為MBSA在無人機(jī)研制中的應(yīng)用提供指導(dǎo)。

參考文獻(xiàn)

[1] Gradel S， Aigner B， Stumpf E. Model-based safety assessment for conceptual aircraft systems design. CEAS Aeronautical Journal 2022； 13 （1）： 281–294[J].

[2] Engineering I C O S .INCOSE Systems Engineering Handbook： A Guide for System Life Cycle Processes and Activities[M]. 2015.

[3] SAE International. ARP4761A： Guidelines for Conducting the Safety Assessment Process on Civil Aircraft， Systems， and Equipment [S]. Warrendale， PA： SAE International， 2023.

[4] Sun M， Gautham S， Ge Q， et al. Defining and characterizing model-based safety assessment： a review[J]. Safety science， 2024， 172： 106425.

[5] SAE International. ARP4754B： Guidelines for Development of Civil Aircraft and Systems [S]. Warrendale， PA： SAE International， 2023.

[6] Ana Luísa Ramos，José Vasconcelos Ferreira， Barcelo J .Model-Based Systems Engineering： An Emerging Approach for Modern Systems[J].IEEE Transactions on Systems Man and Cybernetics Part C （Applications and Reviews）， 2012， 42（1）：101-111.