輕型無人機系統適航安全分析流程探究

徐偉程，羅秋鳳，高艷輝，張銳

（1.南京航空航天大學 無人機研究院，南京 210000；2.中小型無人機先進技術工業和信息化部重點實驗室，南京 210000）

引言

隨著越來越多的輕型無人機進入空域從事航空活動，如何保證其在空域內的飛行安全性已成為世界各國航空機構的重點研究課題。目前，對該課題的研究主要圍繞兩個角度展開：“運行管理”、“適航審定”。

“運行管理”的研究側重從空管角度研究無人機的飛行安全性，主要涉及空域劃分、運行限制、空中交通規則等方面的內容。目前，世界各國航空機構在“運行管理”方面的研究已取得大量成果：英國國防部發布了《輕型無人機系統規范》、法國民航局制定了《遙控駕駛飛機在法國空域進行飛行活動的相關要求》、美國聯邦航空管理局（FAA）發布了小型無人機運行管理文件PART 107、中國民用航空局（CAAC）發布了AC-91-FS-2019-31R1《輕小型無人機運行規定（暫行）》修訂版、AC-92-2019-01《特定類無人機運行管理規程（暫行）》等。

“適航審定”的研究側重從設計的角度分析無人機的飛行安全性，主要關注無人機的設計是否符合適航審定要求。目前，世界主要航空組織在“適航審定”方面的研究取得了一定成果：無人機規章聯合制定局（JARUS）發布了CS-LURS《輕型無人旋翼航空系統合格審定規范》和CS-LUAS《輕型無人航空系統合格審定規范》、北大西洋聯合組織（NATO）發布了STANAG 4703《輕型無人機系統適航性要求》、CAAC發布了《基于運行風險的無人機適航審定指導意見》等。

現階段，世界各國航空機構主要通過“運行管理”確保輕型無人機的飛行安全，并取得了一定效果。而實現無人機全空域安全飛行對輕型無人機的安全性水平提出了更高的要求。因此，針對“適航審定”的研究已逐漸發展成了輕型無人機安全性研究的熱門方向之一。本文首先對輕型無人機安全性等級進行重新劃分。在基于STANAG 4703《輕型無人機系統適航性要求》的基礎上，結合輕型無人機特點，對目前通用的民機安全性評估流程作適應性改進。最后，運用改進后的安全性評估流程對某輕型固定翼無人機作安全性評估，選取滾轉姿態控制功能演示該流程的使用。

1 安全性等級劃分

為了對輕型無人機作安全性分析，必須先對輕型無人機劃分安全性等級，而劃分安全性等級的第一步是劃分無人機的失效狀態嚴重程度。

1.1 無人機失效狀態嚴重程度劃分

根據“等效安全”原則，結合民機失效狀態嚴重程度劃分和無人機“人機分離”的特點，可得出適于無人機的失效狀態嚴重程度劃分，如表1所示。

表1 無人機失效狀態嚴重程度劃分表

1.2 無人機安全性等級劃分

考慮到輕型無人機結構相對簡單且具有“人機分離”的特點，引入RARUS提出的基于“系統復雜程度”的劃分方法。該方法是指：根據無人機系統控制權限大小劃分無人機系統復雜程度，如圖1所示，然后按照“等效安全”原則為無人機失效狀態的嚴重程度劃分等級，最后綜合無人機系統復雜性等級和失效狀態嚴重程度等級劃分安全性等級[1]。

對輕型無人機應用該方法可得出適于輕型無人機安全性等級表，如表2所示。

圖1 無人機系統控制權限與復雜性等級對應關系

表2 輕型無人機安全性等級表

2 安全性評估流程與方法

根據STANAG 4703的要求[2]：

UL.30必須對無人機系統進行系統安全評估，并將安全評估報告提交給認證機構，推薦但不限制使用以下安全性分析方法：

1）核證當局商定的危險參考標準的定義；

2）功能性危害分析（使用SAE ARP 4761或類似的民用航空器安全性分析方法）；

3）故障模式影響和危險性分析（使用SAE ARP 4761或類似的民用航空器安全性分析方法）；

4）故障樹分析（使用SAE ARP 4761或類似的民用航空器安全性分析方法）。

安全性分析必須證明符合以下要求：

UL.30.1 必須識別所有可能發生的危害性事故和災難性事故，確定定量事故率及可接受的風險水平；

UL.30.2 災難性事故每飛行小時的累積概率（包括無人機系統和子系統）不得大于核證當局認可的危險參考系統的累積安全性要求；

UL.30.3 必須將所有已識別的安全風險降低到與技術限制相符的最低水平，并根據認證機構認可的的附危險參考標準判定每個故障的風險水平是否是可接受的。

2.1 民機安全性評估流程

根據ARP 4761，在飛機研制初期先要對飛機進行功能危險性評估（FHA），識別飛機級功能失效和系統級功能失效，并對其危害程度劃分等級；隨后，進行初步系統安全性評估（PSSA），通過反復迭代檢查、修正，確認導致系統級功能失效的設備/部件級或軟件/硬件級原因；同時，不斷完善安全性目標，確認架構滿足安全性需求，并據此進行研制保證等級（DAL）分配；當飛行器初步設計完成后，進行系統安全性評估（SSA），驗證在初步設計中分配的安全需求是否得到滿足[3]。在進行FHA、PSSA的同時還應根據安全分析的需要進行公因分析（CCA）。詳細的安全性評估過程如圖2所示。

圖2 民機安全性評估流程

2.2 改進安全性評估流程

一般地，民機的安全性評估主要針對飛機本身。而無人機系統包含無人機（UAV）、地面站、數據鏈路和發射回收裝置等組成部分。因此，將無人機系統（UAS）視為一個整體，作為安全性分析的頂層事件較為合適。之后，再對無人機進行子系統級安全性分析。此外，由于輕型無人機體積小、結構簡單、冗余設備少，除非要較高的安全性要求，一般不進行共因分析（CCA）。綜合以上考慮，對民機安全性評估流程進行改進，改進后的輕型無人機系統的安全性評估流程如圖3所示。

圖3 輕型無人機安全性評估流程

此流程延續了民機安全性評估流程的通用框架。先對無人機進行UAS級FHA，識別UAS級功能失效，并將UAS級安全性需求分配到子系統級。隨后，進行子系統級FHA，識別子系統級功能失效，并將子系統級安全性需求分配到設備或部件。然后，結合系統架構運用故障樹分析（FTA）進行PSSA，在識別導致子系統級功能失效的低層級設備或部件故障后，結合FMEA等多種可靠性分析方法進行SSA。最后，匯總SSA結果，分析設計是否滿足無人機的安全性需要，如果不滿足，則針對不滿足處進行改進。

2.3 改進安全性分析方法

由于無人機在飛行階段執行任務多樣化，運行場景多樣化，運行模式多樣化，且其失效狀態對應的安全性等級與民機不同。因此，直接使用民機安全性評估流程中的FHA對無人機進行功能危害性評估，得出的結果可能不夠準確。因此，需要對FHA作適應性改進。

當FHA完成后，需要結合系統架構，對飛行器進行初步系統安全性評估（PSSA）。通過PSSA，可將系統級的安全性需求分配到較低層級的部件/設備或硬件/軟件。由于PSSA中主要使用諸如FTA、Petri網等普適的可靠性分析法，且PSSA的輸入由上一步的FHA決定，因此，對于無人機而言，可以直接使用民機PSSA的分析流程，考慮到輕型無人機的安全性等級與民機存在較大差異，因此，需要對PSSA中的研制保證等級（DAL）分配作適應性改進。

當PSSA完成后，需要進行SSA。由于SSA的分析過程與PSSA類似，且主要使用故障模式與影響分析（FMEA）、FTA的等普適性可靠性分析方法，可直接使用民機的SSA分析流程。

2.3.1 改進功能危險性評估

為了提高FHA結果的準確度，需要擴大無人機安全性分析的邊界。將整個無人機系統（UAS）作為頂層事件進行最高層級的功能危險性評估，即UAS級FHA[4]。通過UAS級FHA，可以識別UAS級功能失效并將UAS級安全性需求分配到下一層級，進行子系統級FHA。通過子系統級FHA，可將子系統級功能失效和安全性需求分配到設備/部件級，為后續PSSA做準備。改進后的UAS級FHA流程如圖4所示。類似地，可對系統級FHA過程作相應改進，現有篇幅，這里不再贅述。

圖4 改進后的UAS級FHA

2.3.2 改進研制保證等級分配

在進行PSSA時，系統級FHA確認的安全性需求（無人機對應于子系統級FHA確認的安全性需求）被分配到較低層級的設備/部件或硬件/軟件，據此可分配研制保證等級（DAL）。研制保證等級（DAL）是針對功能或設備的失效狀態制定的分類等級，用于描述為了減少或消除研制過程中的錯誤而采用的措施和方法。DAL的分配原則是“失效狀態嚴重性越高，對應的DAL等級越高”[5]。結合表2可以得出適于輕型無人機的研制保證等級分配標準，如表3所示。

表3 輕型無人機DAL分配表

3 應用實例

本文以某輕型無人機為例，運用改進后的安全性評估流程與方法進行安全性評估，選取滾轉姿態控制功能演示如何在輕型無人機初步設計階段使用該流程與方法。

按照“系統復雜性等級”的劃分方法，示例無人機適用復雜度I級（CL I）的安全等級劃分標準。選取滾轉控制功能進行UAS級FHA，如表4所示。

通過對示例無人機的滾轉姿態控制功能進行UAS級FHA，可以識別滾轉姿態功能不同失效狀態的嚴重程度。隨后由UAS級功能和子系統級功能對應關系可知，UAS級的滾轉姿態控制功能失效可分配至子系統級對應的設備：副翼舵、飛行控制計算機、垂直陀螺、速率陀螺。按照UAS級FHA的分析思路對示例無人機進行子系統級FHA。經過子系統級FHA，UAS級的滾轉姿態控制功能失效被分配到副翼舵、飛行控制計算機、垂直陀螺和速率陀螺功能失效。以副翼舵功能失效為例，繼續進行安全性評估。

表4 滾轉姿態控制功能UAS級FHA

經過FHA，可以得出8種副翼舵功能失效狀態：①短時喪失兩個副翼舵控制功能；②持續喪失兩個副翼舵控制功能；③短時喪失單個副翼舵控制功能；④持續喪失單個副翼舵控制功能；⑤兩個副翼舵控制短時不足；⑥兩個副翼舵控制持續不足；⑦單個副翼舵控制短時不足；⑧單個副翼舵控制持續不足。選取“持續喪失兩個副翼舵控制功能”這一失效狀態進行PSSA。

根據飛行剖面可知，示例無人機平均飛行時間為4 h。根據子系統級FHA結果可知，“持續喪失兩個副翼舵控制功能”這一情形的危害程度為I級（災難級）。結合CL I類輕型無人機安全性等級為此失效狀態分配頂層故障率4×10-6/h。以“持續喪失兩個副翼舵控制功能”這一功能失效作為頂層事件運用FTA進行分析，繪制初步故障樹如圖5所示。

圖5 初步故障樹

由于左右副翼舵完全相同，僅對單個副翼舵進行分析即可，單個副翼舵持續喪失控制功能的故障率可分配為2×10-3/h。之后，將單個副翼舵持續喪失控制功能作為次級事件進一步分解，得出導致此失效狀態的下一層級事件為：傳感器系統故障、副翼電纜故障、副翼舵機故障、飛行控制計算機故障和副翼舵機供電故障?？偨Y相似機型上述五類設備的歷史故障情況，按照比例，近似為其分配應滿足的預計故障率，并據此初步分配DAL。隨后，按照初步分配的DAL來指導無人機的設計與研制，如果產生了新的設計需求，則重復上述步驟，反復修正故障樹，直至滿足所有安全性需求，得到最終的設計方案。

在設計完成后，進行SSA。通過識別故障樹基本事件的故障率，逆向推算上一層級事件的實際故障率，若實際故障率不超過PSSA時分配的預計故障率，則表示這部分的安全性需求得到滿足，否則，按照實際故障率改進此部分的DAL要求，并據此改進設計，直至驗證到頂層事件的實際故障率是否滿足安全性需求。

按照SSA分析流程繼續完善初步故障樹，“持續喪失單個副翼舵控制功能”最終故障樹如圖6所示。

根據SSA繪制的最終故障樹可以發現，導致示例無人機“持續喪失兩個副翼控制功能”最關鍵的底事件是速率陀螺故障和垂直陀螺故障，兩者的失效率分別是8.52×10-8/h和9.37×10-8/h。因此，在無人機初步設計時需要重點關注此薄弱環節，可以考慮使用更高品質的陀螺儀或增加冗余設備提高無人機安全性水平。類似地，可以運用此安全性評估流程對副翼舵、飛行控制計算機、垂直陀螺、速率陀螺進行安全性分析，最終根據分析結果得出導致滾轉姿態控制失效的最關鍵底層事件，并對其進行改進。

圖6 “持續喪失單個副翼舵控制功能”最終故障樹

4 結 論

1）改進后的輕型無人機安全性評估流程思路清晰，使用方便，具有一定實踐性。

2）該安全性評估流程不需要完全進行到底，使用者可根據需要決定安全性評估的深度。若從無人機初步設計階段開始，則按照改進后流程的順序進行輔助設計；若僅需要對無人機進行安全性驗證，可只進行SSA。

3）該安全性評估流程可為其他類型的無人機適航安全性評估流程的制定提供基礎。