无人机系统的安全性与危险源分析

连婷婷，崔利杰

(1.上海飞机客户服务有限公司 飞行运行支援部， 上海 200241)(2.空军工程大学 装备管理与无人机工程学院， 西安 710051)

0 引 言

自1917年英国研制出第一架无人机以来，迄今为止无人机系统的发展已历经百余年[1]。无人机系统在近些年的几次高技术局部战争中大显身手，例如2003年的伊拉克战争，美英联军使用无人机执行情报收集、侦察监视、火力引导、对地打击及效果评估等重要任务。无人机在现代战争中具有很多优势，其主要作战特点为成本低、隐蔽性好、生命力强、不惧伤亡且易于补充、起降简单、操作灵活、支持多重任务类型等，成为影响作战进程的重要乃至关键性力量[2-4]。随着科学技术和军事理论的发展，无人机系统的技术与战术性能越来越先进，其在现代战争中的地位也越来越突出。不仅如此，鉴于无人机系统的诸多优点和其在军事领域中的应用日趋成熟，无人机系统也正在成为民用航空中的新兴领域和新的增长点[5-7]。伴随着无人机的发展和广泛应用，无人机事故和不安全事件时有发生，无人机的事故特点和致因机理成为无人机研制和应用领域的重要关注点。

安全性是飞行器设计必须要满足的首要特性，其定义为飞行器在规定的条件下，以可接受的风险执行其功能的能力[8]。百余年来，有人驾驶飞行器(简称有人机)的安全性分析、设计和安全管理技术发展迅速，大致包括四个阶段：20世纪40年代之前的飞行事故记录和调查阶段，20世纪40～60年代的飞行事故预防阶段，20世纪60～80年代的实施系统安全阶段(包括制定系统安全大纲[9-10]，安全性设计要求，系统安全性分析、设计、验证以及系统安全培训等)，20世纪80年代之后的综合预防阶段(包括人为因素分析、软/硬件安全性、风险管理、定量的概率风险评估[11-12]等)。随着飞行器系统安全工程的实施，有人机的安全性水平显著提高，灾难性事故率不断下降。

由于无人机独特的飞行事故特点，使得目前成熟的有人机安全性分析与管理措施不能完全适用于无人机系统。为了使无人机系统尽快与国家空域集成，开展针对无人机系统的安全风险管理工作是十分必要的。R.A.Clothier等[13]建立了民用无人机的飞行风险矩阵，以风险控制驱动无人机适航框架的建立；许云红等[14]根据无人机航迹建立了多种防撞控制策略，并给出了相应的多目标代价函数模型及最优决策方法；刘学业等[15]针对小型舰载固定翼无人机执行任务的特点，基于故障模式及影响分析法对其进行了安全性分析；贺强等[16]设计了民用无人机系统飞行安全风险评估与控制系统，以满足无人机风险控制的需求。

上述有关无人机系统安全风险分析方面的研究主要针对特定用途无人机的某项关键环节来开展，并未综合考虑无人机全寿命周期或全任务阶段的风险分析及危险源分析。基于此，本文从无人机事故统计分析出发，总结无人机系统事故的特点，借鉴有人机的安全管理，定义无人机的安全性并进行严酷度等级划分，识别其危险源并制定改进措施，以期为无人机安全管理框架的构建奠定基础。

1 无人机系统事故特点分析

美军在无人机应用方面领先世界，但同时也伴随着无人机的高事故发生率及造成的大量经济损失。据《华盛顿邮报》统计，2001～2015年，美国空军共发生236架次的大型无人机坠毁或造成200万美元以上经济损失的A类飞行事故，如图1所示。

图1 美军无人机坠毁事故统计

从事故统计数据(图1)及事故的分析报告可以看出：与有人机相比，无人机系统事故呈现出以下三个特点：

(1) 无人机系统的事故率高于有人机

将无人机与现役有人机的事故率进行对比，发现无人机系统的事故率水平高于有人机，尤其是A类飞行事故。

RQ-1 “Predator”无人机，在使用期1994～2007年共发生A类事故34起，A类事故万时率1.24；发生B类事故3起，B类事故万时率0.109；飞机损毁27架，飞机损失万时率0.985；即便到了技术相对成熟期(2002～2007年)，平均A类事故万时率也为0.913。MQ-1 “Predator”无人机在2009～2018年共发生A类事故77起，MQ-9 “Reaper”无人机在2009～2018年共发生A类事故45起，主要发生在伊拉克、阿富汗等地。大型无人侦察机RQ-4 “Global Hawk”，在其使用期1999～2018年间发生A类事故9起，B类事故4起，飞机损毁8架，其A类事故万时率、B类事故万时率、飞机损失万时率也分别达到3.092，0.344和2.747。

而随着航空材料、机械电子领域研究的发展，飞行机组训练水平的提高，有人机的事故率近些年来持续下降。2018年民航领域重大航空事故(A类事故)的万时率仅为0.156，甚至连F-16、F-117等战斗机的A类事故万时率都小于1。

(2) 无人系统的事故类型异于有人机

无人机系统由于没有人员在飞行器平台上，不会发生因为坠机而导致的飞行机组或乘员伤亡事件，无人机事故造成的人员伤害往往是坠机等造成的地面附带损伤。

对于无人机系统而言，最应避免的是与其他飞行器的相撞事故。2019年2月，两架无人机突然出现，差点撞上正准备在希斯罗机场着陆的英国维珍航空客机，险些上演一起空难事故。由于无人机失控、断链而造成的无人机平台被诱捕、截获、失联、击毁等应作为无人机系统应避免的第二类事故。例如，美军“扫描鹰”、RQ-170等多架无人机被伊朗军方诱捕，以及伊朗击毁美军RQ-4的最新验证机等，这类事件不仅会引起外交纠纷，还极有可能造成泄密。第三类是同有人机类似，无人机平台在可控条件下发生的不可恢复原因的坠机，这类事件通常仅会造成机体损毁。第四类是由于机体或地面站原因造成的机体损伤、地面人员受伤、环境严重污染等不安全事件。第五类是由于无人机系统原因造成的任务中止事件。当然，还有一些由于无人机系统原因造成的机组负担加重、环境轻度污染、地面人员职业损伤等无人机系统不安全事件。

(3) 无人系统的事故致因多于有人机

传统的飞行事故发生原因主要集中在飞行员、飞机系统、环境等方面。尽管无人机系统的飞行器上没有人员，但由于地面站操控员的操作失误等导致的飞行事故也时有发生。同时，除飞行器平台外，无人机系统还包括任务系统、任务规划与地面控制站、特定的起降设备和数据链路等，这些系统的故障及交互问题都会导致无人机系统事故的发生。

从发生事故的飞行阶段来看，有人机在起飞和着陆阶段发生事故数量占比较高，而无人机空中飞行阶段事故发生的占比突出，其次才是起飞和着陆阶段。从导致事故发生的系统来看，有人机占比最大的致因系统为飞机结构件、操纵系统和燃油系统；而无人机占比最大的致因因素为动力系统、飞控系统、通信系统和供电系统(如图2所示)，究其原因，一是无人机结构相对简单，任务剖面相对单一，因而结构件、操纵系统等造成飞行事故的可能性较小；二是无人机对动力系统的可靠性要求、对空地通信链路的要求和对电源电路的要求相对苛刻。

图2 美军1999～2013年无人机飞行事故统计情况(按功能划分)

2 无人机安全性的定义

安全是指不因人-机-环相互作用而导致系统损失、人员伤亡、任务受影响或造成时间的损失[17-18]。传统的航空安全首要考虑的是乘员或机组面临的风险，即与安全相关的管理首要限制或消除对机上乘员或机组的危害，其次是限制对地面人员的危害，最后才是经济损失、环境损坏、任务终止、时间延误等。用公式来表示航空安全如下[19]

R|S=P{P|S<[P|S]}

(1)

式中：下标“|S”表示给定的不可接受后果的条件；R|S为给定严酷度后果的航空器安全度，即一定严酷度下不安全事件超过人们预期的可能性；P|S为给定严酷度下不安全事件发生概率；[P|S]为给定严酷度下不安全事件发生概率阈值，即人们的可接受程度。

有人机对不安全事件的严酷度及发生概率有着明确的定义(如表1所示)，如CCAR-25.1309条款[20]“设备、系统和安装”的(b)中规定：“飞机系统与有关部件的设计，在单独考虑以及与其他系统一同考虑的情况下，必须符合下列规定

(1) 发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能；

(2) 发生任何降低飞机能力或机组处理不利运行条件能力的其他失效状态的概率为不可能。”

表1 飞机失效状态影响等级的划分及概率要求

然而，现有的用于保护有人机乘员与机组的设计或措施与无人机系统无关，因此必须有区别地进行无人机系统的安全性和危险分析。

结合第1节对无人机系统事故的分析，可按照损失程度和不期望无人机系统发生不安全事件的程度对其事故进行归类。第一类危险是无人机发生空中相撞；第二类危险是无人机发生失控、失联而导致的无人机被诱捕、捕获、坠机等；第三类危险是在可控条件下无人机系统的坠毁；第四类危险是无人机系统飞行活动发生事故或不安全事件所造成的环境污染、任务终止等；第五类危险是造成无人机系统地面机组或空管人员工作负担加重等情况。

基于这五类危险，提出无人机系统事故的严酷度等级及相应的危险可接受程度。与表1所示的有人机失效状态影响等级及概率要求相比，后三类(即第三、四、五类)危险是相同的，所不同的只是前两类危险，故可以将无人机系统发生第三类危险作为可接受的一个基点，即定义发生不导致人员伤亡条件下的飞机损毁的可接受概率为10-5。借鉴民航对飞行事故的接受程度，设置无人机系统发生第一类危险的可接受概率为10-7，发生第二类危险的可接受概率为10-6，发生第四类危险的可接受概率为10-4，发生第五类危险的可接受概率为10-3。将无人机系统的五类危险划分为四级严酷度，如表2所示。

表2 无人机系统事故的严酷度等级

显然，按照目前对民航事故率的要求，灾难级危险是最不能接受的，即无人机系统发生灾难级事故概率的阈值应为10-6，即所有原因导致的无人机灾难性事故率为1×10-6/fh。据统计由系统原因造成无人机发生灾难级事故的比例占80%，则仅由系统原因引起的灾难级事故率为

80%×1×10-6=8×10-7/fh

假设无人机系统具有100个潜在的灾难级事故危险源，则每个潜在危险源出现的概率应该等于8×10-7/100=8×10-9，即无人机系统潜在的每种灾难性故障事件出现的概率应小于8×10-9。根据民航领域对各类危险发生可能性的数量级进行划分，则无人机系统不安全事件发生可能性等级划分如图3所示。

图3 无人机系统事故的危害度矩阵

3 无人机系统的危险源分析

危险源的存在是事故发生的根本原因，无人机系统的安全性就是要识别危险源，并进一步消除或控制系统中的危险源。无人机系统的设计人员、机组人员、维修人员和管理者等对无人机系统的安全飞行起着重要作用。因此，对无人机系统的危险源分析主要从设计、机组训练、使用操作三个领域进行阐述。

3.1 设计领域

无人机的设计除了飞机的所有部件和系统设计外，还需要延伸到参与飞行器控制的外部系统，如地面站、指挥控制通信链路、特定发射和回收系统以及任务载荷系统等。因此，在无人机系统的设计领域，除了与有人机相同的飞机部件及系统的危险源分析，还需要考虑以下五方面。

(1) 指挥控制链路

对于无人机来说，指挥控制链路故障会导致无人机操控员失去对飞机的控制。指挥控制链路可能会发生中断、延迟和数据衰减等故障，从而造成飞行控制链路的中断，这就要求无人机系统在设计时必须提供处理链路中断的手段和措施，以有效恢复链路畅通。此外，设计时还要避免指挥控制链路被有意或无意干扰。

(2) 第三方通信系统

除军用无人机可使用军方提供或批准的导航和通信系统外，其他无人机主要依赖于第三方的通信系统，此时为飞行控制功能提供通信的第三方通信系统的可靠性和可用性极其重要。

(3) 地面站环境

需要考虑无人机地面站存在烟、火、毒、易燃等危险，以及其他会直接影响地面站或无人机系统操控员、工作人员的危险，如地震、台风等。此外，地面站的安保也是需要考虑的。

(4) 共享资源

无人机在进行安全性分析时应充分评估飞行器平台与载荷之间的潜在交互关系影响。当飞行控制与载荷存在资源共享时，共享资源的管理十分必要，比如载荷和飞行关键系统需要共享电力和冷却系统。

(5) 任务载荷

多数无人机系统需要将载荷与飞行器平台进行整合，而有效的载荷设计可以为避免或缓解无人机失效提供有效的手段和措施，比如载荷信息(获取的热信号)可用于支持飞行关键功能。

3.2 机组领域

无人机机组包括地面站的飞行操控员、任务载荷等机载设备的操作员。由于机组与飞行器平台是分离的，造成了一系列新的危险，从而对机组人员的训练提出了新的要求。

(1) 飞行操控员的物理形式感知能力弱化

无人机系统飞行操控员无法通过直观地看、闻、摸等感觉来感知某种危险形势，如设备失效或天气变化等，因此需要研制或配置一些设备，以便发挥上述功能并能够最大程度满足无人机飞行操控员感知外界形势的需求，达到无人机操控员对系统的监控和有效缓解所面临风险的目的。此外，通信链路的时延、自动化和无人机机组的接口关系等也需要重点考虑。

(2) 多机组控制的训练

对于地面控制站还可能面临单个飞行操控员同时控制多架无人机的情况，尤其是在军用无人机的使用过程中。不仅使飞行操控员的工作负担加重，还需要确保多个操控员的相互协调。为了避免发生无人机提供信息混淆的危险，需要开展这种情况下的特种训练。

(3) 装备失效训练

飞行器平台存在着由无人机装载设备失效所引发的危险。由于无人机操控员不能够从物理上或视觉上识别诸如火灾、烟雾和扰动等危险，无法采用直接手段缓解这些失效，需要通过训练无人机机组和提供特定程序来进行远程操作。

(4) 地面环境危险训练

地面站存在着许多与地面环境有关的危险，如火灾、地震、台风等。飞行机组也应该开展应对这些危险的训练，以便建立在面临这些危险时的临时处置意识或方案。

3.3 使用操作领域

民用航空的空域包括有限个飞行器的静态(限制)空域或动态(在空管分配的飞行器之间的保护性隔离区载)空域。而现有的无人机系统可能会对目前这种空管服务提出规则上的挑战。以下讨论与无人机使用操作相关的危险。

(1) 地面操作的形势感知

无人机系统地面操作范围非常广泛，包括飞行操控员启动、起飞或发射、远程遥控任务执行、返航及回收等。由于无人机飞行操控员并不清楚飞行器周围的人员和障碍物，形势感知能力弱，可能会造成飞行器出现意料之外的突然移动。

(2) 地面操作的安全区间

一般飞行器的安全区间标准在地面要比在空中小得多。例如，飞行器在空中飞行时，安全区间的间隔会有几英里远，而在机场地面上飞行器之间间隔只有数十英尺。如果无人机以这种规则进行停放，可能不利于飞行操控员指挥控制无人机进行移动。

(3) 进入控制空域

多数情况下，有人机可以从相对相邻的一些区域(如机场)进入控制空域，而无人机除了通过这些空域外，还可以通过非控制空域进入。这就导致无人机在起飞、发射、着陆和回收时有更多的路径，从而影响空域管理和空域安全。

(4) 飞行终止

无人机不用考虑乘员安全就可以直接终止其持续飞行。然而，这些飞行终止可能会危害到地面人员的安全。为确保地面人员不受影响，飞行终止应尽量置于无人区或者人烟稀少的地方，还需要考虑无人机携带的危险性物资的影响。

(5) 额外的空管工作负担加重

如果无人机与飞行操控员通信丧失或中断，空管可以将无人机平台态势向无人机飞行操控员报告。空管发挥的这种重要作用，显然会加重空管人员的工作负担。

危险源分析是控制和降低危险发生的有效手段，对无人机系统在设计、机组训练、使用操作方面的危险源分析，可以为后期对危险源导致事故发生的可能性和严重程度的定量评估奠定基础。

4 结束语

无人机系统的事故发生率、事故类型和事故致因因素等方面均与有人机的飞行事故不同，因而现有的用于保护有人机机上乘员与机组安全的手段和措施不完全适用于无人机。针对无人机系统的安全性，其飞行事故的严酷度等级划分及相应的危险可接受度也与有人机不同。借鉴有人机的安全管理，围绕无人机系统的事故特点，定义无人机系统的安全性及严酷度等级划分，此外，还从设计、机组训练及使用操作三方面进行无人机系统的危险源分析。本文所开展的无人机系统安全性和危险源分析，属于定性分析范畴，可以为后续的无人机安全管理方针政策的制定奠定基础。在此基础上开展无人机系统的定量安全性分析及风险评估将是下一步的研究重点。