无人机基于模型的安全性分析方法研究

摘要： 对无人机开展安全性分析，提高无人机安全性水平，是保证安全飞行的重要因素。然而，传统的安全性分析方法在应用到无人机这类复杂系统上时在功能危险识别、准确性和效率等方面存在不足。基于模型的安全性分析（MBSA）方法被认为是解决这些困难的有效途径。本文提出了“广义MBSA”概念，即基于模型完成功能危险性分析、初步系统安全性分析和系统安全性分析全部三个阶段的安全性分析。为实现这一目标，提出了基于模型的功能危险性分析流程，并细化了基于模型完成初步系统安全性分析和系统安全性分析的开展过程。最后，将安全性分析过程与基于模型的系统工程相结合，提出了广义MBSA框架，可用于指导无人机MBSA工作开展。

关键词：MBSE；MBSA；一体化；无人机

引言

无人机的安全性是系统研制中必须考虑的首要问题，是保证安全飞行的重要因素。同时，无人机具有结构紧凑，内、外部信息交互复杂，自动化功能多、软硬件架构复杂及应用可编程逻辑设备等特点，给安全性分析提出了更高要求，传统的安全性分析方法应用到无人机这类复杂系统上时在功能识别、分析准确性和分析效率上存在不足。基于模型的安全性分析方法（Model Based Safety Analysis，MBSA）被认为是解决传统安全性分析技术对于复杂系统分析困难问题的有效手段和途径[1]。安全性分析主要包括功能危险性分析（Functional Hazard Assessment，FHA）、初步系统安全性分析（Preliminary System Safety Assessment，PSSA）以及系统安全性分析（System Safety Assessment，SSA）三个阶段。目前关于MBSA的应用研究主要关注点为PSSA和SSA阶段，FHA仍按照传统方法在进行，没有采用基于模型的思想，导致功能危险识别困难，不利于后续工作开展。基于此，本文提出“广义MBSA”概念，即基于模型完成FHA、PSSA和SSA全部三个阶段的安全性分析。为实现这一目标，本文在基于模型的系统工程（ModelBased Systems Engineering，MBSE）[2]框架下，给出了基于模型的FHA流程；同时，细化了基于模型完成PSSA和SSA的开展过程。在此基础上，本文将安全性分析过程与MBSE相结合，给出了广义MBSA框架，可以用于指导无人机MBSA工作开展。

一、安全性分析流程

SAE ARP4761A[3]建议的安全性分析过程主要由三部分组成：FHA、PSSA和SSA。这些分析环节相互关联，共同构成了确保产品安全性的完整流程。安全性分析流程包括安全要求的识别（“V”形图的左侧）和验证（“V”形图的右侧），如图1所示，用来支持整机开发活动。在无人机开发周期开始时，进行整机级别的功能危险分析，随后对每个子系统进行系统级别的FHA。在FHA之后进行初步系统安全性分析，主要使用故障树分析（Fault Tree Analysis，FTA）得出子系统的安全要求。PSSA流程随着设计的演进而迭代，设计更改时，需要更改派生的系统要求。系统安全性分析流程将验证已实施设计是否满足安全要求，对系统进行失效模式和影响分析（Failure Modes and Effects Analysis，FMEA），以计算系统的实际失效概率。然后，通过对为子系统以及整机创建的故障树进行定量和定性分析，完成验证。

二、广义MBSA与狭义MBSA

本文把基于模型开展安全性分析的方法应用于PSSA和SSA阶段的MBSA定义为“狭义MBSA”，把基于模型的方法应用到FHA、PSSA和SSA三个阶段的MBSA定义为“广义MBSA”。

文献[4]在总结了大量有关MBSA研究的文献后，指出当前关于MBSA的研究主要集中在组件故障表征、建模语言选择、安全性分析模型构建和执行安全性分析上，即聚焦于狭义MBSA的研究。然而当前针对无人机开展FHA，工程人员面临着一些实际困难。以发动机控制系统为例，为探究某功能失效对无人机的潜在影响，首要任务是深入剖析控制系统对关键功能子系统的作用机制；随后需综合评估这些子系统对发动机整体性能参数的综合影响；在此基础上，进一步分析单台发动机对推进系统（特别是对于装备多台发动机的无人机）的具体作用；最终要评估推进系统对整个无人机的影响。这一过程充分展现了对于无人机而言，功能危险分析过程烦琐且结果不明显。若功能描述过于笼统，失效模式的辨识将变得困难；而若描述过于详尽，则FHA分析过程复杂度增加，带来大量冗余信息，难以明确功能层级和范围，从而无法有效指导FHA过程。究其原因，主要在于缺乏系统架构模型，这使得发动机子系统/部件的功能层级和范围难以准确界定。

针对上述问题，本文将功能危险分析集成到基于模型的系统工程框架中，提出基于模型的功能危险分析（Model-Based Functional Hazard Assessment，MBFHA）流程，利用MBSE开发活动中输出的信息开展相应功能危险分析活动，实现功能危险分析的模型化。

三、广义MBSA流程研究

本文提出的广义MBSA流程由基于模型的FHA流程和狭义MBSA流程两部分组成。MBFHA流程给出了功能危险分析活动开展顺序和各阶段与MBSE的交互情况；狭义MBSA流程将模型融入传统的“V”形安全性分析流程，描述安全性分析模型的建立、检验与分析过程。

1. MBFHA流程

针对无人机开发，参照SAE ARP4761A和SAE ARP4754B[5]中有关功能危险分析的规定，给出了图2所示的MBFHA总体工作流程，用以指导基于模型的系统工程框架中功能危险分析的集成开发。根据系统工程“V”模型，产品开发过程始于提出产品需求，对于基于模型的系统工程方法而言，这包括制定生命周期表、系统内外交互关系分析和功能场景分析，通过这些活动，可以得到系统功能列表，作为基于模型的功能危险分析的第一个活动的输入：创建初始功能失效状态集合。这是一个通过考虑功能丧失或功能错误以及这些失效发生后是否会向用户发出警告而创建的失效状态集合。然后，通过考虑系统模型图中识别的功能和操作场景，可以通过去除任何不适用或不现实的条件来细化失效状态。在此基础上，可以借助飞行阶段信息和系统模型中的利益相关者识别确定每个失效状态对无人机的影响。参考ARP4761A对功能失效影响与其分类和发生概率的定义，可以对每个失效状态进行分类，并给出其定量目标。对于每个失效状态，还应指定要求符合性的验证方法，并在适用时提供支持材料以证明功能失效分类的合理性。

尽管FHA活动按照时间顺序进行，但整个过程本身是迭代的。由于功能危险分析产生的要求可能会导致对系统架构的更改，进而可能导致对系统功能的修改，因此需要重新开展FHA，以确保其仍然准确无误。迭代的过程可以体现出基于模型开展FHA的优越性。

2. 狭义MBSA流程

狭义MBSA类似于若干安全性分析方法的综合，因为在某种程度上，MBSA只是提供了一个模型的框架，在计算机等高性能工具的辅助下自动生成最小割集、故障树，进而用于完成PSSA和SSA阶段的故障树分析、共因分析等。狭义MBSA的核心是安全性分析模型，基于安全性分析模型完成PSSA和SSA阶段安全性分析的过程如下：

1）抽象化系统。狭义MBSA的第一步涉及对系统实际结构、功能、层次、输入输出等进行分析和抽象，以确保能够准确反映系统的各个方面情况。这一步的信息主要来源于两个方面，一是系统设计信息，包括系统及组件的架构、接口、失效模式、失效概率等，二是通过功能危险分析获得的功能链、失效清单等。

2）建立安全性分析模型。此部分是狭义MBSA的核心，模型的准确与否，直接关系到安全性分析的结果。现阶段已有一些较成熟的语言和工具支持建模，可以基于不同的建模思想选择合适的工具，“自上而下”或“自下而上”地完成建模。

3）模型检验。模型的有效性是MBSA发展面临的一个严峻挑战，借助可靠性框图，通过检查构建的模型是否与之前已知的故障原因一致，故障树是否完整等可以实现对所建立的安全性分析模型的检验。

4）生成安全性分析结果。这一步是自动生成的，但安全性分析人员有必要对生成结果进行检查，确认合理后，可将结果反馈给系统设计，判断是否需要修改，如有变动，需要回到第一步展开迭代，直至满足系统最终设计要求。

为确保上述基于模型的安全性分析的开展，需要对传统的“V”形安全性分析流程进行适当的更改，以将模型纳入其中。以ARP4754B所定义的系统研制流程为例，狭义MBSA在无人机研制周期内的开展过程如图3所示，修改后的“V”形流程中，安全性分析活动以安全性分析模型为中心。

四、广义MBSA框架

MBSE已经越来越多地应用到系统开发中[6]，本文通过分析MBSE和安全性分析过程的特点与输入输出，将MBSA方法整合到两个过程中，搭建了无人机的广义MBSA框架，如图4，描述了MBSE、MBSA过程与安全性分析的关系，并展示了信息交互情况。该框架中，FHA被集成到基于模型的系统工程中开展，利用MBSE需求定义和功能架构定义阶段的输出构建系统功能模型，完成系统FHA，FHA的结果可及时反馈给系统设计完成迭代；逻辑架构定义阶段可以构建子系统功能模型，用以评估组件层面的风险。安全性分析模型一般是分层的，系统功能模型、子系统功能模型和系统结构一起构成安全性分析模型的输入，用来指导模型系统层、子系统层和组件层的构建。FHA分析得到的需关注的失效状态将成为安全性分析模型分析的对象，在给安全性分析模型添加组件失效模式、失效概率等信息后，模型可自动生成故障树、最小割集、FMEA表等安全性分析组件，完成PSSA和SSA阶段的分析。

结束语

本文为解决传统安全性分析方法在无人机安全性分析中功能故障识别困难，分析工作量大，结果容易出现偏差的问题，将MBSA方法引入无人机安全性分析领域，研究建立FHA、PSSA和SSA各阶段基于模型开展安全性分析的流程，并将整个流程与基于模型的系统工程开发过程结合，搭建了一个广义MBSA框架。相关研究内容可为MBSA在无人机研制中的应用提供指导。

参考文献

[1] Gradel S， Aigner B， Stumpf E. Model-based safety assessment for conceptual aircraft systems design. CEAS Aeronautical Journal 2022； 13 （1）： 281–294[J].

[2] Engineering I C O S .INCOSE Systems Engineering Handbook： A Guide for System Life Cycle Processes and Activities[M]. 2015.

[3] SAE International. ARP4761A： Guidelines for Conducting the Safety Assessment Process on Civil Aircraft， Systems， and Equipment [S]. Warrendale， PA： SAE International， 2023.

[4] Sun M， Gautham S， Ge Q， et al. Defining and characterizing model-based safety assessment： a review[J]. Safety science， 2024， 172： 106425.

[5] SAE International. ARP4754B： Guidelines for Development of Civil Aircraft and Systems [S]. Warrendale， PA： SAE International， 2023.

[6] Ana Luísa Ramos，José Vasconcelos Ferreira， Barcelo J .Model-Based Systems Engineering： An Emerging Approach for Modern Systems[J].IEEE Transactions on Systems Man and Cybernetics Part C （Applications and Reviews）， 2012， 42（1）：101-111.