一種新興的基于模型的民機安全性分析方法

摘要：本文描述了一種民用飛機研制安全性評估領(lǐng)域新興的基于模型的安全性分析方法，通過介紹該方法理念以及具體實施流程，剖析了其不同于傳統(tǒng)安全性分析方法之處，即優(yōu)勢所在。最后總結(jié)了此方法優(yōu)缺點及未來得到推廣應(yīng)用所面臨的挑戰(zhàn)。

關(guān)鍵詞：基于模型 民機安全性 MBSA

中圖分類號：N945 文獻標識碼：A 文章編號：1674-098X（2012）09（c）-0044-02

在民機研制過程中，系統(tǒng)安全性分析技術(shù)已經(jīng)在關(guān)鍵安全性的系統(tǒng)中得到了廣泛應(yīng)用，大多數(shù)該類分析技術(shù)是高度主觀的并且依賴于參加者的技能。由于這些分析通常基于非正式的系統(tǒng)模型，所以很難做到完整、連續(xù)并且沒有錯誤。事實上，系統(tǒng)架構(gòu)模型的精確程度以及失效模式的欠缺，將使得安全性分析人員花費很多精力去掌握模型的細節(jié)，去從多個資源處了解掌握系統(tǒng)特性，然后將之付諸于安全性分析方法中。

本篇論文描述了一種目前新興的基于模型的安全性分析方法（Model Based Safety Analysis， MBSA），系統(tǒng)和安全性設(shè)計師可以通過采用一個基于模型的系統(tǒng)研發(fā)過程來共享相同的系統(tǒng)模型，通過加入故障模型以及一定比例的可控的物理系統(tǒng)，對安全性分析進行自動化處理，從而減輕開支并且提升安全性分析的質(zhì)量。目前Dassault 7x飛機的飛控系統(tǒng)利用基于AltaRica語言的數(shù)據(jù)流表示的模型進行了相關(guān)適航審定。即將發(fā)布的SAE ARP 4761民用飛機系統(tǒng)與設(shè)備安全性評估方法指南與方法也可能對MBSA使用進行清晰的描述。

1 傳統(tǒng)民機安全性分析方法

安全性評估過程是系統(tǒng)研發(fā)過程的一個固有組成部分，由安全性需求確認和驗證過程組成。該過程通常包括飛機功能危險性評估（AFHA）、系統(tǒng)功能危險性評估（SFHA）、初步系統(tǒng)安全性評估（PSSA），這些都隨著設(shè)計演化而迭代，同時進行必要的系統(tǒng)更改。設(shè)計與實施過程完成后，系統(tǒng)安全性評估（SSA）驗證安全性要求是否滿足。

上述過程中安全性工程師通常進行諸如故障樹分析一類的安全性分析，基于的是從多個來源綜合得來的信息，包括非正式的系統(tǒng)設(shè)計模型和需求文件。這些分析高度主觀并且依賴工程師的技術(shù)。作為最為常見的安全性分析技術(shù)，不同的安全性工程師對于同一個系統(tǒng)可以做出不同的故障樹。最終的故障樹經(jīng)常通過評審過程達成一致確定，系統(tǒng)設(shè)計人員與安全性工程師要同時參加。

2 基于模型的安全性分析過程與特性

在關(guān)鍵安全性系統(tǒng)領(lǐng)域，基于模型的研發(fā)是時下數(shù)字控制系統(tǒng)愈發(fā)流行的方法。在該方法中，各種研發(fā)活動，比如仿真、驗證、試驗和編碼都基于一個正式的系統(tǒng)模型，通過Simulink 或者SCADE等。基于模型的安全性分析方法融入傳統(tǒng)的安全性評估流程中的方法如下文所述。

2.1 基于模型的研發(fā)

基于模型的研發(fā)活動中，主要的活動集中于數(shù)字控制系統(tǒng)的建模。該模型可以用于多種分析。例如模型檢查、完整性與一致性分析等等。基于模型的研發(fā)工具通常包含那些自動編碼器，它們可以從模型中直接得到設(shè)計實現(xiàn)。目前有幾種商業(yè)研究工具支持基于模型的研發(fā)活動，商業(yè)軟件工具包括Simulink、Esterel的Esterel和SCADE、i-Logix的Statemate、Software Engineering的SpecTRM等等。

2.2 基于模型的安全性分析

基于模型的研發(fā)主要是對于系統(tǒng)中的軟件模塊進行建模。要進行系統(tǒng)級別的安全性分析，我們必須考慮系統(tǒng)運行的環(huán)境，這通常包含機械部件。基于模型的工具與技術(shù)同樣可以用以對物理部件進行建模。通過將電子部件（軟件和硬件）與機械部件模型（泵、閥等）結(jié)合，可以得到系統(tǒng)特性。此后該模型可以通過加入數(shù)字與機械的故障模型建立擴展的系統(tǒng)模型。該模型可以用來描述系統(tǒng)出現(xiàn)一個或多個故障時的特性。

為了支持基于模型的安全性分析，傳統(tǒng)的“V”型安全性流程被修改，從而使得安全性分析活動植根于正式的系統(tǒng)與故障模型當中。這些模型被同時用于系統(tǒng)設(shè)計和安全性分析，是系統(tǒng)研發(fā)流程的核心部分。得到擴展的系統(tǒng)模型后，安全性分析流程由定義反映系統(tǒng)安全性需求的一組正式屬性和利用正式的分析技術(shù)以確定系統(tǒng)設(shè)計架構(gòu)是否滿足安全性屬性等活動組成。故障樹與FMEA都可以在正式分析中像副產(chǎn)品一樣自動生成。

該方法的最大優(yōu)點是系統(tǒng)工程師與安全性工程師能夠在一個共同的清晰的系統(tǒng)模型上開展工作，這個共同模型保證了安全性分析結(jié)果能夠伴隨著系統(tǒng)研制過程及時地更新，使得系統(tǒng)設(shè)計過程早期就能進行安全性評估。此外，它還通過自動判定是否滿足關(guān)鍵的安全性需求，支持了不同系統(tǒng)架構(gòu)的開發(fā)與不同的設(shè)計決策。理想地，計算工具例如Model Checks可以自動進行許多安全性分析活動，安全性工程師的任務(wù)主要在于檢查產(chǎn)生的安全性分析如故障樹等并確認系統(tǒng)建模和故障建模中的假設(shè)。

2.2.1 名義的系統(tǒng)建模

基于模型的研發(fā)（以及基于模型的安全性分析）的重要步驟是為系統(tǒng)建立一個正式的模型。系統(tǒng)的行為可以用支持圖形或文字的正式語言所詳細說明（如文字語言Lustre，圖形語言Simulink、SCADE）。系統(tǒng)的邏輯與物理架構(gòu)也可以用這些語言或者采用架構(gòu)描述語言（如AADL）說明。

2.2.2 形成衍生的安全性需求

衍生的安全性需求與傳統(tǒng)的V流程中的確定方式是一致的。為了支持自動的分析，安全性屬性需要采用某種正式的符號來表達。

2.2.3 故障建模

系統(tǒng)級的故障可能由于部件失效、不正確的輸出、錯誤的信息或者軟件不正確的功能引起。故障模型捕獲多種多樣的系統(tǒng)（包括電子控制器與機械系統(tǒng)）部件可能失效的方式。故障模型同時需要給出引起部件失效的故障觸發(fā)機制以及它們的持續(xù)時間。這里要求區(qū)分暫時失效（持續(xù)一段較短的時間）與永久失效（永久性的失效）。故障模型應(yīng)當同樣能夠說明更為復(fù)雜的故障行為，比如故障演化、關(guān)聯(lián)故障等等，它同樣需要能夠定義故障層級。基于系統(tǒng)模型，我們可以選擇為不同類型的數(shù)字類失效、機械類失效等建模。

2.2.4 模型擴展

為了實施MBSA方法，故障模型與名義的系統(tǒng)建模結(jié)合在一起以描述系統(tǒng)在出現(xiàn)故障時的行為。將這個稱為擴展的系統(tǒng)模型。有兩種方法可以將故障信息增加到系統(tǒng)模型當中。首先，可以將故障行為直接嵌入到系統(tǒng)模型當中。第二種是單獨建立故障模型，在分析需要時將其與系統(tǒng)模型自動融合到一起。

2.2.5 安全性分析

一旦擁有了擴展的系統(tǒng)模型，安全性分析就包括了驗證在故障模型中定義的故障出現(xiàn)時是否還能滿足安全需求，系統(tǒng)安全性工程師可以通過模擬不同部件的故障并觀察系統(tǒng)的行為而進行大量分析。對于更為嚴格的分析，可以通過采用正式的驗證工具來確定是否某些感興趣的安全性屬性被保持。安全性分析大致包含以下條目內(nèi)容。

2.2.5.1 模擬

一旦建立了包含故障模型的擴展的系統(tǒng)模型，工程師立刻可以模擬不同的故障場景，這種模擬提供了很重要的便利，工程師可以通過圖形化用戶界面控制以視覺方式了解故障對系統(tǒng)功能的影響。這項能力可以用在更為嚴格的統(tǒng)計分析前快速地檢查出常用場景下的安全性問題

2.2.5.2 安全性屬性的證明

正式的驗證工具，比如Model Checkers和Theorem Provers，可以用來證明基于擴展的系統(tǒng)模型的安全性屬性得到保持。為證明相關(guān)感興趣的屬性，工程師通常需要排除某些不可能的故障組合，這些通常作為證明過程中的假設(shè)或者公理。如果一項屬性被證明，安全性工程師的職責(zé)是評審這些證明過程中用到的假設(shè)并且檢查他們是否正確，需要證明系統(tǒng)滿足考慮了故障模型的相關(guān)安全性屬性。如果某項屬性沒有被證明，可能就需要重新構(gòu)架系統(tǒng)或者降低初始的安全性屬性以達到可接受狀態(tài)。這項能力同樣可以用來進行拓展性的分析以研究系統(tǒng)對于故障的容錯能力。比如當系統(tǒng)遇到N個故障同時發(fā)生時特定的安全性要求仍可以被滿足的這個N的最大值如何。系統(tǒng)安全性工程師還可能需要考慮在不同故障持續(xù)時間下系統(tǒng)的行為，比如瞬時失效和永久失效。

2.2.5.3 產(chǎn)生故障樹

采用合適的工具支持，正式的驗證結(jié)果可以通過的一些熟悉的安全性分析方法所表現(xiàn)出來。該領(lǐng)域目前有很大的研究前景，但目前出現(xiàn)的產(chǎn)生故障樹的工具尚不能一下產(chǎn)生直覺客觀的故障樹結(jié)果以供人工查看。

3 結(jié)語

MBSA方法目前開始在民用飛機安全性評估領(lǐng)域嶄露頭角，這是一種通過采用正式的系統(tǒng)模型而使得安全性分析流程部分實現(xiàn)自動化處理的方法。本文對其理念與流程進行了概要性介紹。該方法的優(yōu)點是顯而易見的，比如系統(tǒng)設(shè)計與安全性分析更緊密的結(jié)合在一起、在項目早期模擬系統(tǒng)行為發(fā)掘出潛在的安全性方面的危害、使用自動化分析工具最大限度地窮盡系統(tǒng)安全性屬性方面的行為、自動產(chǎn)生一些傳統(tǒng)分析中需要手動完成的分析工作如故障樹、FMECA/FMEA等等。當然目前該方法研究中也出現(xiàn)了一些挑戰(zhàn)，比如哪些語言和軟件對于該方法最適用？是否可以開發(fā)出系統(tǒng)與安全性工程師可以直觀使用的工具？是否可以將基于模型的結(jié)果轉(zhuǎn)化成系統(tǒng)與安全性工程師熟知的形式？這些形式是否可以用來進行適航審定？同時目前的MBSA方法在故障建模、描述系統(tǒng)安全性屬性及產(chǎn)生安全性結(jié)果方面仍存在一些缺點，但可以相信在不遠的將來，在民機及其他工業(yè)領(lǐng)域，該方法具有廣闊的發(fā)展前景。

參考文獻

[1] Anjali Joshi，Mike Whalen，Mats P.E. Heimdahl.Model-Based Safety Analysis Final Report [R].NASA，2005.

[2] Chao Liu，Tao Tang，Oleg Lisagor.Challenge to Introduce MBSA Approa-ches into CBTC Safety Analysis[C]//IEEE international conference 2011 on intelligent rail transportation.2011.