基于模型的初步飛機安全性分析方法研究

徐小杰 宮綦 吳洋 柏青

摘要：安全性工作是航空裝備研制過程中的重要內容，針對目前國內航空裝備安全性工作，分析了工作中存在的安全性工作與飛機級架構設計、飛機級和系統(tǒng)級安全性工作脫節(jié)的問題。結合航空型號工作中飛機級安全性工作的大工作量、迭代更改多等現狀，引入了國內外軍民機安全性工作研究和應用的最新趨勢，應用基于模型的系統(tǒng)工程（MBSE）思想對基于模型的初步飛機安全性分析方法和過程進行了研究，給出了開展初步飛機級安全性工作的具體步驟，并通過實例演示了方法的應用過程和結果，證明了研究成果能夠完整地將飛機級和系統(tǒng)級的安全性工作進行有效串聯(lián)，有力地支撐型號后續(xù)系統(tǒng)級的安全性工作。

關鍵詞：航空裝備；系統(tǒng)安全性；初步飛機安全性分析；基于模型的安全性分析

中圖分類號：TP311.5文獻標識碼：ADOI：10.19452/j.issn1007-5453.2021.11.010

系統(tǒng)安全是系統(tǒng)工程下的學科分支，起源于20世紀中期美國研制“民兵”式洲際導彈的過程中。系統(tǒng)安全相關的概念和技術隨后進入航空、航天及核電站領域，并逐漸推廣到石油、化工等工業(yè)領域。安全性對于航空裝備是重中之重，當前國內裝備/系統(tǒng)的安全性分析和評估主要集中在系統(tǒng)層面的嘗試[1-6]，缺少飛機級工作以及飛機級與系統(tǒng)級安全性工作的銜接，導致安全性分析評估缺少頂層飛機級的要求導出，系統(tǒng)級安全性分析的結果更多地依賴于頭腦風暴，缺少追溯性和依據。因為工作主要通過人工手動實施，工作效率低下，安全性分析評估結果的一致性、完整性、精確性難以保證，無法對設計提供高質量的反饋信息，亟須將基于模型的安全性評估引入到航空裝備的安全性工作中來。

國外很早就認識到傳統(tǒng)方法針對飛機復雜系統(tǒng)安全保證的不足。傳統(tǒng)的安全性評估方法對于由于技術進步和需求導致的愈加復雜的裝備和系統(tǒng)，存在基于工作的安全性模型（故障樹）與設計人員溝通交流困難、迭代更改時效率低下、分析的完整性和計算準確性難以保證以及難以確保不同人員工作成果的一致性等問題。

基于模型的安全性分析（MBSA）技術為解決這些難題提供了一個新思路，國外的研究者對其理論和方法進行了大量的研究，并已經具有相對成熟的工具進行支撐[7-15]。總體而言，相較于傳統(tǒng)的故障樹和Petri網等方法，基于模型開展安全性工作存在以下優(yōu)勢：（1）安全性模型更接近于真實系統(tǒng)的功能和物理結構，從而能夠保證系統(tǒng)模型與安全性模型的一致性；（2）基于模型的安全性分析通常采用高級建模語言，比故障樹或可靠性框圖等布爾形式更有表達力。因此能夠描述備用冗余和共享組件等現象；（3）高級建模支持層級化建模與組件重用，更適合于描述大規(guī)模復雜系統(tǒng)；（4）對于帶有功能循環(huán)和嵌套迭代的復雜系統(tǒng)而言，因其系統(tǒng)內部包含循環(huán)回路，無法使用傳統(tǒng)的安全性分析方法進行建模。基于模型的安全性分析方法則克服了這一缺陷。

國外基于充分的研究已經在ARP 4761A的標準草案中將MBSA作為了民機安全性工作中的可選方法，國內主要還是通過傳統(tǒng)方法開展軍民機的系統(tǒng)安全性工作，雖然對MBSA已經有了一定研究[16]，但對于如何基于模型開展飛機級的安全性分析工作以及在工程技術層面的應用研究嘗試相對較少。

本文主要在傳統(tǒng)民機系統(tǒng)安全性工作流程的基礎上，研究了應用基于模型的安全性分析方法開展初步飛機級安全性分析（PASA）工作的方法和流程，并給出了應用示例，為國內航空器的安全性分析工作的工程應用提供了參考。

1初步飛機安全性分析過程

1.1初步飛機安全性分析

根據SAE 4761A的草案，PASA是對飛機所提出的飛機級架構進行系統(tǒng)性檢查，以確定失效如何導致飛機功能危險評估（AFHA）中所確定的失效狀態(tài)及AFHA中提出的安全性要求如何被滿足，一方面能夠確定導致整機級失效狀態(tài)的原因，另一方面是實現飛機級和系統(tǒng)級安全性工作追溯關系的重要紐帶，能夠將整機級的安全性要求分解到系統(tǒng)級。PASA過程也是一個反復的過程，將連續(xù)貫穿于整個飛機設計過程中，與設計定義相聯(lián)系，一般從飛機的方案設計階段就開始實施，與系統(tǒng)級的FHA幾乎同步完成[15]。

GJB 900A《裝備安全性工作通用要求》中規(guī)定裝備的安全性工作需要保持危險的追溯性，同時需要在整個工作中滿足安全性要求，從飛機到系統(tǒng)、從系統(tǒng)到部件進行分解。由于這一要求是在2012年的修訂過程中新增的，在原有支撐的GJB/Z 99《系統(tǒng)安全工程手冊》中并沒有方法和流程對其進行工程應用的指導。在軍機安全性工作中，SAE 4761A中提出的PASA工作，可以作為支撐GJB 900A《裝備安全性工作通用要求》中300系列工作的工作項301安全性要求分解工作開展的方法。

1.2初步飛機安全性分析過程

從航空器安全性分析工程應用的角度，PASA的工作開展要包括關聯(lián)分析和飛機級失效狀態(tài)分析兩部分內容，進而又細分為不同的內容，過程中需要輸入飛機級的功能、飛機系統(tǒng)組成以及飛機的初始架構等信息。關聯(lián)分析是輔助對系統(tǒng)架構的解析以便確定正向架構中的系統(tǒng)交聯(lián)關系的有效手段，而通過失效狀態(tài)分析則能夠幫助工程師有效地建立系統(tǒng)的故障傳遞邏輯，建立整機級的故障由系統(tǒng)級失效如何傳遞的邏輯。

1.2.1關聯(lián)分析

關聯(lián)分析是通過對飛機級架構的分析，確定可能影響每個飛機功能失效狀態(tài)的系統(tǒng)，確保系統(tǒng)級FHA的結果與飛機級FHA的結果相兼容，明確飛機級失效狀態(tài)與飛機架構組成系統(tǒng)間的交互關系，包括系統(tǒng)功能關聯(lián)分析和資源關聯(lián)分析。通過關聯(lián)分析，能夠實現飛機級功能與系統(tǒng)、系統(tǒng)與機上能源之間的關聯(lián)關系，為后續(xù)飛機級失效狀態(tài)分析提供支撐。

（1）系統(tǒng)功能關聯(lián)分析

系統(tǒng)功能分析是通過關聯(lián)分析矩陣完成的，關聯(lián)分析矩陣定義和識別組成飛機級架構的功能性系統(tǒng)的功能，這些功能性系統(tǒng)功能將會在飛機的正常運行或非正常運行中使用，并且對某個飛機級失效狀態(tài)產生影響。某型號系統(tǒng)功能關聯(lián)分析見表1，通過表1能夠有效地識別出飛機級的失效狀態(tài)與哪些系統(tǒng)的具體功能相關聯(lián)。

（2）資源關聯(lián)分析

飛機級功能的實現，不僅僅依賴系統(tǒng)級各功能系統(tǒng)的功能，還依賴于機上的各種資源，包括能源和數據等。針對機上資源開展的系統(tǒng)功能關聯(lián)分析被稱為資源關聯(lián)分析，是通過關聯(lián)分析矩陣完成的。資源關聯(lián)分析矩陣定義和識別組成飛機級架構的資源功能，這些資源能將會對某個飛機級失效狀態(tài)產生影響。資源關聯(lián)分析的矩陣與功能關聯(lián)分析的表格類似，此處不再重復展示。

1.2.2飛機級失效狀態(tài)評估

飛機級失效狀態(tài)評估的目的是通過一系列的分析確定由關聯(lián)分析確定的系統(tǒng)（包括功能性系統(tǒng)和資源性系統(tǒng)）的功能失效對飛機級失效狀態(tài)的影響。支持產生對構成飛機級架構的相關系統(tǒng)的安全性需求。飛機級失效狀態(tài)評估目前包括了組合的功能失效影響分析（CoFFE）、通用資源分析（CRC）和多功能和多系統(tǒng)分析。其中，CoFFE和CRC是多功能和多系統(tǒng)分析的參考和依據。

（1）組合的功能失效影響分析

組合的功能失效影響分析是針對系統(tǒng)功能失效和/或功能性故障組合可能對飛機安全運行所造成的影響進行的評估活動，其中的影響需要根據工程經驗、分析計算等方式進行確認。針對提供地面減速的CoFFE部分示例見表2。

（2）通用資源分析

通用資源分析是對組成飛機級架構的資源系統(tǒng)功能喪失或錯誤可能造成的飛機級失效影響進行的分析活動，目的是確認飛機級安全性評估結果，并對機上資源進行初步的審查和評估，捕獲可能被共模分析中采用的獨立性原則，并在飛機研制的早期支持確認飛機級架構。

（3）多功能和多系統(tǒng)分析

多功能和多系統(tǒng)分析主要是基于關聯(lián)分析、CoFFE分析和通用資源分析的結果，以故障樹的形式完成。通過構建飛機級的故障樹，將飛機級的安全性要求分配到系統(tǒng)級，并確定飛機級架構應遵循的獨立性原則等。在實施多功能和多系統(tǒng)分析中，可以采用以下原則：根據飛機級功能危險分析的結果，原則上對可能造成I類和II類失效影響的失效狀態(tài)開展多功能和多系統(tǒng)分析；飛機級功能危險分析結果中涉及的III類失效狀態(tài)，如果涉及多個飛機系統(tǒng)，將對III類失效狀態(tài)開展多功能和多系統(tǒng)分析。

2基于模型的初步飛機安全性分析實現

2.1安全性模型的原理

研究采用的安全性建模語言為AltaRica，AltaRica是用于安全性分析的高層建模語言，具有強大的故障邏輯描述能力。基于圖形可視化建模構建的AltaRica模型能夠實現復雜裝備多節(jié)點、多層次的架構建模，能夠更好地反映系統(tǒng)功能和物理結構，消除傳統(tǒng)安全性分析手段與系統(tǒng)設計的隔閡，提高安全性模型的可維修性和可重用性。

基于AltaRica語言的可視化安全性模型是由模塊和模塊之間的關聯(lián)關系組成的。一般情況下，模塊是裝備或系統(tǒng)架構中對應的系統(tǒng)或部件，描述了系統(tǒng)或部件的層級、名稱、輸入/輸出等基本設計信息，同時描述了系統(tǒng)或部件的安全性信息，包括失效模式、失效率以及故障的傳遞邏輯等。其主要假設是某一模塊的失效模式，是由其輸入以及自身的故障模式導致的，建立每個模塊的輸出與輸入、自身故障狀態(tài)的邏輯關系，在各個模塊關聯(lián)關系的基礎上，可以形成一個全局的故障傳遞模型，并可以構建狀態(tài)基于事件的變遷關系和條件，使之可以依據蒙特卡羅的方法實現系統(tǒng)的安全性仿真。

2.2基于模型的初步飛機安全性分析流程

基于模型開展初步飛機安全性分析的實現具體輸入和流程如圖1所示。從圖中可以確認，基于模型的初步飛機安全性分析與傳統(tǒng)手工方法的輸入類似，均為飛機的研制信息和飛機功能危險分析（FHA）的結果。工作過程中基于這些輸入的信息，按照飛機設計的思路構建圖形化的飛機安全性模型開展分析，研究則采用基于AltaRica語言的圖形化建模方法實現故障傳遞模型等的模型構建工作。基于模型的初步飛機安全性分析流程如下：（1）飛機功能建模：依據飛機的功能和架構以及系統(tǒng)和功能的關聯(lián)關系建立系統(tǒng)功能模型；（2）飛機故障建模：將系統(tǒng)的故障模式信息注入飛機功能模型；（3）構建故障傳播邏輯：結合飛機功能流及系統(tǒng)的故障模式，自下而上地構建飛機的故障傳播邏輯；（4）確認故障傳播邏輯：飛機故障傳播邏輯構建完成后，應與型號總體設計師和各系統(tǒng)設計人員一同確認故障傳播邏輯的完整性與準確性；（5）自動生成安全性分析結果：基于構建的裝備故障傳遞模型，對選定功能的失效狀態(tài)（來源于飛機FHA的輸入）自動生成故障樹，并進一步實現最小割集的計算以及飛機安全性指標的分配等。

3應用示例

飛機的一個典型失效狀態(tài)為“對稱部分喪失地面減速”，以此為研究示例，構建飛機的功能模型，并基于其輔助PASA工作的開展，包括自動化生成故障樹和基于故障樹的分析。

根據地面減速相關的飛機架構和系統(tǒng)，構建的飛機功能模型（部分）如圖2所示，后期完成相關系統(tǒng)的模型時，可以直接將其拷貝到飛機模型對應的系統(tǒng)中，實現飛機級和系統(tǒng)級模型的統(tǒng)一，最終構建從飛機頂層，直到各個系統(tǒng)以及系統(tǒng)部件的完備模型，以供后期型號改進等進行參考。圖中依據關聯(lián)分析的結果實現了系統(tǒng)級功能和機上能源與飛機級功能的關聯(lián)，并在模型中注入了飛機級和系統(tǒng)級的失效狀態(tài)，并構建了故障的傳遞邏輯，可以基于模型開展進一步的安全性工作。

基于上述模型可以自動生成需要分析的失效狀態(tài)的故障樹，從而確定導致其發(fā)生的系統(tǒng)級因素，其中自動生成的“對稱部分喪失地面減速”的故障樹如圖3所示，基于故障樹還可以自動化計算生成的最小割集以及安全性指標分配等結果。

應用MBSA方法，不僅能夠實現傳統(tǒng)方法的故障樹構建，面向更為復雜的飛機系統(tǒng)時還可以通過模型進行工作界面的區(qū)分，將不同的系統(tǒng)專業(yè)交由專業(yè)人員完成，最終基于平臺自動化的開展和故障樹的定性和定量分析，實現最小割集的計算以及將整機級的安全性指標向系統(tǒng)級的分解，通過工具保證計算結果準確的同時，更重要的是在整機架構發(fā)生變更時能夠高效地分析結果的迭代，以指導整機的設計。

4結束語

本文結合裝備越來越復雜的現狀開展了基于模型的初步飛機安全性分析技術研究，分析了當前系統(tǒng)安全性工作中存在的需要改進的問題，通過研究給出了航空裝備開展初步飛機安全性分析工作的詳細步驟，成功地將基于模型的方法引入到飛機級安全性工作中，并給出了應用的具體過程和示例，驗證了方法的可用性。

除此之外，在型號實際工程中的應用證明該研究能夠解決國內飛機級和系統(tǒng)級安全性工作銜接的問題，實現飛機級安全性模型和系統(tǒng)級模型的有效銜接，能夠將安全性工作串聯(lián)成一個有機的整體，最終實現危險的跟蹤和最終的安全性評價，能夠有效地減少后期型號因需求變更或改型而造成的安全性工作成本，降低型號的研制成本，縮短研制周期。

雖然本文的研究能夠通過構建模型開展初步飛機安全性分析工作，但在正向研制過程中會構建研制過程中的模型，將安全性分析工作的模型建立到與研制過程中模型的追溯關系。在研制過程中設計模型的基礎上自動導出安全性模型，更能提升安全性工作的準確性和效率，是后續(xù)工作需要研究的重點。

參考文獻

[1]石鵬飛，張航，陳潔.先進民機飛控系統(tǒng)安全性設計考慮[J].航空科學技術， 2019， 30（12）： 52-58. ShiPengfei，ZhangHang，ChenJie.Safetydesign considerations for advanced civil aircraft flight control system[J]. Aeronautical Science & Technology， 2019， 30（12）： 52-58.（in Chinses）

[2]董銳，王平利.一種基于ARP 4754A的民機機載系統(tǒng)研制項目風險分析方法研究[J].航空科學技術， 2019， 30（12）：38-44. Dong Rui， Wang Pingli. Study of civil aircraft airborne system development project risk analysis method based on ARP 4754A[J]. Aeronautical Science & Technology， 2019， 30（12）：38-44.（in Chinses）

[3]封文春.飛機氧氣系統(tǒng)著火案例分析及安全性設計要求[J].航空科學技術， 2018， 29（9）： 58-63. Feng Wenchun. Analysis of aircraft oxygen system fire accident and safety requirement[J]. Aeronautical Science & Technology， 2018， 29（9）： 58-63. （in Chinses）

[4]嚴拴航，薛海紅.飛機區(qū)域安全性分析流程優(yōu)化與實施方法[J].航空科學技術， 2014， 25（4）： 36-41. Yan Shuanhang， Xue Haihong. Aircraft zonal safety analysis diagram optimization and performing method[J]. Aeronautical Science & Technology， 2014， 25（4）： 36-41. （in Chinses）

[5]張欣，呂新波.民用飛機升降舵故障的安全性研究[J].航空科學技術， 2016， 27（5）： 47-50. Zhang Xin， Lyu Xinbo. Safety research of civil aircraft elevator fault[J]. Aeronautical Science & Technology， 2016， 27（5）： 47-50. （in Chinses）

[6]鄭建，沈飛.民用飛機電源系統(tǒng)對25.1309條款的符合性驗證研究[J].航空科學技術， 2014， 25（7）： 23-26. Zheng Jian， Shen Fei. Compliance verification research of airworthiness regulation 25.1309 for electrical power system of civil aircraft[J]. Aeronautical Science & Technology， 2014， 25（7）： 23-26. （in Chinses）

[7]Bozzano M，Villafiorita A，Akerlund O，et al. ESACS：an integrated methodology for design and safety analysis of complex systems[C]//ESREL 2003，Maastricht，Netherlands，2003.

[8]Akerlund O，Bieber P，Boede E，et al. A framework for integrated safety analysis of functional geometrical and human aspectss[C]//ISAAC：ERTS，2006.

[9]MISSA. More integrated system safety assessment [EB/OL].[2007-06-11]. http：//ec.europa.eu.

[10]Matthias G. Qualitative and quantitative formal model-based safety analysis[D]. Magdeburg：Otto-von-Guericke-niversit¨at Magdeburg，2011.

[11]Thomas N. Safety，dependability and performance analysis of aerospace systems[C]//Preliminary Proceedings of 3rd Int.Workshop on Formal Techniques for Safety-Critical Systems，2014：2-5.

[12]Bittner B，Bozzano M. An integrated process for FDIR design in aerospace[C]//4th International Symposium，IMBSA，2014：82-95.

[13]Estefan J. Survey of model-based system engineering（MBSE）[C]//INCOSE MBSE Initiative，2008.

[14]Boiteau M，Dutuit Y，Rauzy A，et al. The AltaRica data-flow languages in use：modeling of production availability of a multi-state system[J]. Reliability Engineering and System Safety，2006，91（8）：747-755.

[15]Society of Automotive Engineers. ARP 4761 guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S]. USA：SAE，2012.

[16]浦樂，王西超，楊藝.基于MBSE與SysML的空空導彈系統(tǒng)架構建模研究[J].航空科學技術， 2020， 31（2）： 54-59. Pu Le， Wang Xichao， Yang Yi. Research on architecture modeling of air to air missile system based on MBSE and SysML[J]. Aeronautical Science & Technology， 2020， 31（2）： 54-59. （in Chinses）

Research on Preliminary Aircraft Safety Analysis Method Based on MBSA

Xu Xiaojie，Gong Qi，Wu Yang，Bai Qing

AVIC China Aero-polytechnology Establishment，Beijing 100028，China

Abstract： As systems become more and more complex， safety work is an important part of the aviation equipment development process. Disconnections between system safety effort and aircraft development， and aircraft level and system level are analyzed. In combination with the current status of aircraft-level safety work in aviation model work， such as large workloads and many iterative changes， the latest trends in the research and application of military and civil aircraft safety work at home and abroad are introduced， and the model-based system engineering （MBSE） idea is applied to model-based systems. The preliminary aircraft safety analysis method and process of the company have been studied， the specific steps for carrying out preliminary aircraft-level safety work are given， and the application process and results of the method are demonstrated through examples， which proves that the research results can completely integrate the aircraft-level safety work. It is effectively connected in series with system-level safety work， which strongly supports the model’s subsequent system-level safety work.

Key Words： aviation equipment； system safety； preliminary aircraft safety analysis； model-based safety analysis