基于模型的復雜系統任務保證研究綜述

趙 亮，陳夏楠，鎖 斌

西南科技大學 信息工程學院，四川 綿陽 621010

基于模型的任務保證（model-based mission assurance，MBMA）是美國國家航空航天局（National Aeronautics and Space Administration，NASA）為了提升航天任務的快速性、經濟性、可靠性、安全性，將基于模型的系統工程（model-based system engineering，MBSE）與任務保證（mission assurance，MA）概念相結合的產物。其應用背景是NASA要在極低的產品批量條件下，保證復雜系統在包含危險使用環境的全壽命周期內具備極高的安全性、可靠性。這樣的挑戰性需求最早是通過使用各種流程、標準、審查和其他檢查來保障的，相關工作逐步發展形成了MA理念。該理念通過風險管理、可靠性工程、配置管理、器件/材料/流程工程、質量保證、系統安全保證、軟件保證七類方式，實現需求分析與確認、設計保證、制造保證、集成/測試/評估、操作準備、任務保證評審六項核心目標的過程[1]。隨著NASA產品的系統規模和復雜度日益增長，基于文檔的MA工作變得相當費力且易于出錯。為此，MA開始從以文檔為中心的方法轉向由數據驅動、基于模型的方法。而近年來快速發展的MBSE 為這種轉變提供了合適的支撐。源于系統工程領域的MBSE 是用標準的模型語言代替自然語言，并應用特定的方法論和工具，實現系統工程的過程。將MBSE與MA相結合所形成的MBMA包含了從工作流程到技術實現等不同層面的廣泛內容，并已經在航天、航空等領域得以成功應用，在保障復雜系統的安全性、可靠性、經濟性等方面表現出極大的應用前景[2-3]。

為全面地觀察相關方向的發展情況，本文從MBMA的概念、框架、支撐技術等角度，對MBMA 應用于復雜系統設計時所涉及到的理論與技術進行闡述。其中MBMA框架部分介紹了在實現特定任務保證目標的過程中，由系統模型驅動任務保證分析和工程設計，獲取證據后形成安全/保證案例的基本邏輯。在MBMA 支撐技術部分，本文對安全/保證案例的思路，以及目前在安全/保證案例中常用的目標結構表示（goal structuring notation，GSN）進行了介紹。除此以外，文章還對MBMA在航天器抗輻射加固設計方面的典型應用，以及未來研究方向進行了闡述。

1 MBMA相關概念及發展歷程

1.1 MA概念及來源

源于國外航天領域的MA 概念本質上可以歸結為理解和管理復雜項目各個方面的風險。最初，NASA為確保航天任務的成功，發展出了被稱為安全與任務保證（safety and mission assurance，SMA）的工作體系與運營模式，其關注任務過程中航天器的安全性、可靠性、維修性和質量保證等一系列內容，由安全性與任務保證辦公室（office of safety and mission assurance，OSMA）統管相關工作[4]。隨著相關理念的擴散，包括航空、武器裝備在內的更多領域在其基礎上發展出了各自的MA理念[5-6]。這些MA 理念體現了參與復雜項目的所有人員及組織所須堅持的一種流程，該流程是迭代、連續且管理活動橫跨整個任務周期的，其目的是保證任務安全、成功。與此同時，NASA 也開始以MA 指代最初的SMA體系。

從內容上來講，MA包含系統工程、風險管理、質量保證及流程管理的嚴格應用，這些應用由承包商與用戶在系統設計及使用過程中予以執行。從流程上來講，MA涉及系統設計保證、任務操作保證及獨立評審三個主要部分，其中前兩部分共同闡釋任務中所有技術問題是否已被評估并解決，任務風險及任務成功概率是否處于可接受范圍，第三部分則通過第三方視角確保系統承包商及用戶采用了足夠的保證流程來降低任務風險。

1.2 MBSE概念

從概念上來講，系統工程（system engineering，SE）被認為是組織管理系統規劃、研究、設計、制造、試驗和使用的科學方法[2，7]。在航天、航空、電力、武器裝備等領域，隨著系統復雜度的增長，系統內部各元素間不可預期的相互作用也在快速增加。傳統的系統工程工作模式基于大量的文檔，系統開發各階段之間往往缺乏良好的追溯性，文檔的可讀性通常也欠佳。這種情況下，設計人員采用傳統的系統工程工作模式已經處理不了系統復雜性增長所帶來的問題。為此，國際系統工程協會于2007 年提出了MBSE 的概念，即從概念設計階段開始，通過對建模方法的形式化應用，來支持系統的需求、設計、分析、驗證和確認活動。得益于以模型化為代表的IT技術的快速發展，MBSE使傳統以人工為主的系統工程，轉變為全過程基于模型化、數字化表達和運行的系統工程。其核心是“數字化模型+數字化過程”驅動的系統工程研發模式。

在實施MBSE時，采用某種設計語言對系統進行描述是需要完成的主要工作之一。當前MBSE 領域主流的系統描述語言是OMG 發布和維護的系統建模語言（systems modeling language，SysML），該語言基于UML發展而來，并專門針對系統設計領域特點進行了擴展。

1.3 MBMA發展歷程

MA 的具體實施方式一直以來都沒有統一標準。隨著系統復雜性的不斷增加，用于實踐MA 的工具、過程也需要不斷發展，從以文檔為中心的方法轉變到數據驅動的、基于模型的架構上來。雖然國外很早就開展了基于模型的安全性、可靠性研究，但該方向上系統性的研究應用則是在MBSE發展起來之后，通過MBSE支撐MA的實踐，在近年來才逐步形成MBMA的思路。相對于傳統的MA，MBMA 可以實現自動的系統模型確認，并能夠建立MA過程所涉及的各元素間依賴網絡，這為獲取復雜系統的內部關系提供了有效途徑，有助于在系統日益復雜的條件下保證其安全性、可靠性。雖然到目前為止仍缺乏對MBMA 完整而嚴謹的解釋，但研究者們在持續的實踐過程中逐步認識到MBMA不僅是將傳統的MA轉換為以模型為中心的方法，同時還要處理好MA在模型環境中所存在的風險與機遇[8]。

自2015年OSMA將MBSE引入安全與任務保證工作中，提出MBMA基本概念以來，相關思想在國外航天領域逐步得以研究應用。NASA 在其2016 年的報告中總結了MBMA 的研究應用情況，報告中肯定了MBMA的可行性，并提出要利用MBSE 進一步開展保證模型、過程和工具的開發[9]。此后，國外圍繞MBMA概念又提出一系列研究計劃。自2019年起，NASA開始以月度會議的形式專題推進MBMA的應用。國內對于MBMA的研究目前尚處于理解消化相關概念[3-4]、梳理分析MBMA中主要工具[10]、探討相關概念如何應用于復雜系統[11]的階段，研究者們已經意識到MBMA概念的潛在意義，并呼吁開展相關方向的研究。

2 MBMA框架

MBMA 的特點在于緊密聯系系統設計模型，將關注點由系統設計完成后的安全案例分析轉變為整個系統設計過程中的任務保證性論證，并直觀反映保證性論證過程中的邏輯。這樣的工作模式在圖1 所示NASA的MBMA 框架中得以體現。由圖1 可見，MBMA 框架由保證目標、系統模型、保證性分析與安全/保證案例等層次構成，處于框架底層的層次化保證目標與系統模型相連接，為開發特定系統的安全/保證案例奠定基礎，各種信息將在安全/保證案例中得到整合，并給出任務風險的量化結果[12]。這樣的框架已成為NASA 在系統安全性和可靠性方面的工作基礎[13-14]。其中涉及的系統模型、證據構建與安全/保證案例論證等內容分別對應于MBSE、GSN 等具體技術，這些技術的發展正成為推動MBMA走向成熟的動力。

2.1 保證目標

作為MBMA 框架的底層基礎，保證目標是整個MBMA中論證工作的著眼點，包括論證工作為什么做？怎么做？做到什么程度？基于MBMA 的思路，NASA的可靠性與維護性（reliability and maintainability，R&M）標準在近年來提出一種層次結構[15]作為保證工作實施的目標，該思路源于安全案例的理念。其中的層次結構主要由策略和目標組成，它們相互關聯以支持任務的最高目標。例如，可靠性和維護性層次結構的最高目標被設為系統在壽命期內按要求運行以滿足任務目標，在層次結構中該目標又進一步細分為：（1）系統符合設計意圖并按計劃運行；（2）系統在預期壽命、環境、操作條件和使用中保持正常功能；（3）系統能夠容忍故障及其他異常內部或外部事件；（4）系統具有可接受的維護性。通過如此層層分解，將系統可靠性/維護性的最高目標與細化后的低層級目標及其相關證據通過適當的策略聯系起來，為任務保證的論證提供支撐。目前，R&M標準已經明確了14個目標和49種策略。除此以外，NASA還提出了軟件保證、火箭有效載荷及安全性等方面的保證目標[2]。

2.2 系統模型

MBMA框架中居于保證目標層之上的是系統模型層。該層基于MBSE模式對不同任務場景進行需求、功能分析，通過模型來描述、分析和驗證系統在特定任務中的活動內容、狀態特征、交互信息，并生成與之匹配的功能接口、測試環境，以此快速響應需求變化。對于采用了MBSE 的任務保證工作而言，大部分關于系統的信息均可由模型中獲得。如圖1 所示，當系統模型由SysML進行描述時，其中通常包含需求模型、結構模型、行為模型、參數模型等。需求模型通過層次化的形式描述系統需求，結構模型通過功能框圖等形式描述系統功能，行為模型通過用例圖或活動圖的形式展示系統是如何工作的，參數模型則描述了系統內部所蘊含的數學關系。

2.3 保證性分析

保證性分析指搜集系統設計過程中對保證目標產生影響的信息以構建后續論證所需的證據。通過MBSE，系統模型能夠給出系統設計與保證性分析的記錄。通常來說，系統設計就是在一個較大的權衡空間中探索、比較不同的設計方案。設計方案的確定有賴于對特定設計的性能分析結果，如各種形式的可靠性分析等。隨著系統開發的進行，設計過程中產生的信息，如分析、測試、檢查的歷史數據等，將被積累起來形成證據用于MBMA框架頂層的安全/保證案例的論證中。

2.4 安全/保證案例

MBMA框架通過頂層的安全/保證案例來整合各種信息、論證保證目標的實現情況。其中安全/保證案例可視為一個相互依賴的網絡，其中包含目標、證據、設計和論證過程等信息。

3 MBMA實踐的支撐基礎

MBMA 在實踐過程中具備以下兩個突出特點：首先，MBMA是一套方法論和流程體系，而不是特指某個工具或某些工具；其次，MBMA的實現需要大量工具協同和流程集成服務，但凡是符合MBMA 思想的工具和流程，都可以成為構建MBMA 體系的組成元素。就目前的MBMA 實踐而言，安全/保證案例、MBSE、GSN 是支撐其實際應用的三個重要工具。

3.1 MBMA實踐中的安全/保證案例

安全/保證案例的出現是諸如航空航天這類涉及復雜系統的領域在工作方法上轉向基于目標的系統安全和可靠性的基礎。在MBMA 框架中所涉及的安全/保證案例的起源可以追溯到20世紀60年代英國的核工業領域，目前其在歐美國家已被用于管理和規范多種重大危險行業（如核電、鐵路、航空和海上石油平臺）。英國國防標準00-56 中對安全案例做了如下定義：安全案例應包括一個有證據支持的結構化論證，提供一個令人信服的、可理解的和有效的案例，證明系統在給定的操作環境中對于給定的應用是安全的[16]。

從這個定義中可以看出，安全案例是為便于理解而構造的論證。作為安全/保證案例的核心內容，安全論證就是利用系統設計、實現、集成、運行和維護等過程中產生的文檔、檢測結果等證據，證明該系統符合法律法規、行業標準及項目特定安全需求而展開的論證過程，論證基于的證據——既包括諸如測試、分析、檢查結果之類的直接證據，也包括反映直接證據可信度的間接證據，例如測試是否由專業人員按照標準做法實施。論證的結構是證明復雜系統足夠安全的過程中所必需的，這樣才能引導人們理解一個復雜系統的安全案例?？偟膩碚f，論證要讓人們相信一個系統是安全的、可理解的（論證結構化的本質），系統的安全主張需要來自于該論證的結構和它所基于的證據，通過這方面的一致性和完整性來保障論證是有效的。當安全案例的概念被應用于安全之外的屬性時，通常使用更具通用性的術語來表達，例如“保證案例”或“可靠性案例”。

在航空航天領域，McDermid早在20世紀90年代就認識到了論證在安全案例中的重要作用[17]。NASA 戈達德航天中心采用可靠性案例的形式對航天器時鐘校準系統進行了分析[18]。Jackson 在國家研究委員會的一項研究中建議將可靠性案例的形式用于更多關鍵軟件系統的評估[19]。Nguyen 介紹了對航天器進行保證案例開發的經驗[20]。Rinehart梳理了航空業中保證案例的發展歷史及近年來的應用情況[21]。Kelly提出了構建安全案例的完整流程，其使用了GSN 來實現安全案例的圖形化論證[22]。作為一種被廣泛使用的標準化安全論證方式，諸如Adelard 的ASCETM、Astah 的GSN 編輯器、NASA的Ames’AdvoCATE等工具均支持GSN的使用，這些工具為將建模產生的證據與安全/保證案例聯系起來提供了便利。

除了構建安全/保證案例，評估案例的有效性同樣重要。保證案例是由證據支持的合理且令人信服的論點，該證據表明系統將在給定的環境中按預期運行。一個論點是支持一個整體主張的一系列相關主張。保證案例，以及推而廣之的GSN論點結構，是記錄論點的手段，并不能確定論點的真實性。案例的受理需要相關人員對論點進行審查。GSN 提供了一種記錄保證案例的方法，允許相關人員討論、質疑和審查它提出的論點。Greenwell對由于各種錯誤而導致的無效論點進行了梳理分類[23]，這些論點可能在邏輯上是自洽的，但使用了不充分甚至不正確的證據來支持其論點。Duan討論了對保證案例進行可信度評估的方法[24]。開發有效的安全/保證案例的關鍵是合理處理建模過程中的不確定性，這些不確定性通常會影響到案例中用于支持論點的證據。

3.2 MBMA實踐中的MBSE

目前，基于SysML 的MBSE 在航天、航空等領域得到了快速的發展，其為表達系統需求及滿足需求的系統架構提供了統一的形式，為項目的各參與方提供高效交流的基礎[7]。在MBSE的應用中，通過SysML所建立的模型，將安全性/可靠性需求與相關分析整合到復雜系統中，已被證明在識別早期危險及生成FMECA方面是可行的[25-26]。在該方向上，Mhenni通過結構和行為模型實現了對飛行器機電作動器主要失效模型的識別[27]。NASA 的研究人員也通過SysML 所構建的結構和行為模型，以自動化的方式生成了包括FTA、FMECA在內的可靠性模型，并將其應用于載人航天器的安全關鍵系統——水凈化系統的設計分析中[28-29]。類似的，在JPL 將MBSE 應用于機器人任務的過程中，也開發了利用系統模型中的故障信息進行風險概率評估的工具[30-31]。

除了上述MBSE 應用于安全性/可靠性的實例以外，從更具體的角度來看，MBSE 對于MA 實踐的支持主要體現在以下7個方面。

（1）表達并管理系統工程信息以確保信息的一致性和完備性

基于模型的方式來對系統信息進行表達是MBSE的標志，這可以確保語義理解的一致性，避免文件描述中可能帶來的誤解。Wibben介紹了利用MBSE開發的地面系統在控制航天器OSIRIS-Rex 接近小行星Bennu時的情況[32]。其中總結了MBSE為項目帶來的改善，包括地面系統的需求表達、體系結構的表達（得以通過接口控制文檔和操作接口協議的形式開發該體系結構的正式文檔）、測試和V&V 計劃的管理。在該項目中，MBSE 的內容除涉及繪制架構圖之外，還利用了功能流程框圖以支持系統行為的離散事件模擬。類似的MBSE作用在天文望遠鏡系統工程中也有體現[33]。

（2）為用戶及供應商之間的合同界面提供支持

NASA 開發目標層次結構的目的之一就是為其與供應商之間確立的合同界面提供支持。Do介紹了合同界面中使用MBSE在競爭性投標環境中所涉及的方法、工具[34]。該研究討論了競爭環境下供方和用戶希望從模型中隱去的信息，而在“相互目標得到充分理解且相互信任”的環境中，MBSE 已被成功地應用于確立合同的邊界。

（3）生成審查文件

Montgomery 對比了“以文檔/專家為中心的信息搜集”與“基于數據驅動/MBSE 的數據搜集”[35]，結果顯示確定搜集方式所需的許多分析都可以從模型中自動生成，由此可以取代由專家團隊進行的人工評估。Vipavetz則以國際空間站的外部實驗載荷項目為例，討論了通過MBSE生成項目系統需求審查文件的優勢及困難[36]。

（4）生成可靠性分析模型

由MBSE 自動生成FTA、FMECA 等可靠性模型是該領域一直以來的研究熱點。Cressent、David描述了根據SysML 模型信息（包括序列圖和內部框圖）生成FMEAs的方法[37-38]，生成過程中需假設數據庫已有器件及其故障模式、故障率之類的信息。Hecht 介紹了一套關于衛星及其地面系統的自動FMECA生成方法，其中使用的SysML 模型包含了內部結構框圖（刻畫了故障傳播路徑）、狀態轉換機器（包括正常和故障狀態）和活動圖（生成驅動狀態轉換的觸發器），據此自動生成的模型被輸入到AltaRica語言中，以便對故障傳播進行建模[39]。Mhenni介紹了一種從系統模型中自動生成FMEA和FTA 模型的方法[27，40]。其FMEA 生成過程從系統的頂層功能分解開始，并生成這些功能的通用故障模式列表以及潛在的原因和影響。在此階段，可以手動添加額外的故障模式。在將功能分配給組件后，組件FMEA的生成以類似的方式進行。其FTA 生成過程利用了FMEAs 的結果，通過對SysML 中表示組件交互關系和系統內部結構的內部框圖進行遍歷而實現。該研究中展示了如何使用“與”門和“或”門將代表冗余或反饋回路的內部結構框圖轉換為相應的FTA結構。

（5）非標稱狀態和行為的表示及推理

NASA的安全與任務保證辦公室已經開始在MBSE框架下探索非標稱狀態和行為的處理。Cressent闡述了將非標稱行為的表示和推理與標準系統工程過程相結合的需求，強調了對非標稱行為進行建模的重要性，提出了一個適合非標稱情況的元模型，其包括在多個抽象層次上對非標稱行為的處理[41]。

（6）支持后期設計

雖然大部分關于MBSE 應用的研究內容都集中在設計中前期，但也有一些涉及后期活動，尤其是測試方面。Evans等人主張建立一個跨越系統整個生命周期的信息模型[2]，從設計、開發、V&V，一直到運營。這個模型的主要元素是需求、功能、組件、風險、工作分解結構和實現（包含了操作場景）。這種端到端的模型允許研究替代設計對其V&V 成本和進度的影響，并計算任務成功的概率。Wibben 認為MBSE 將給V&V 帶來極大助益[32]，部分原因是MBSE方法幫助項目人員將需求映射到系統架構，并將關于詳細驗證的描述、成功標準貫穿于系統整個生命周期中。Pétin考慮了包含復雜軟件的系統如何驗證安全需求的問題[42]，指出形式化方法需要嚴格證明其安全屬性，并討論了從典型的SysML 描述到形式化方法所需的模型和屬性的轉換。

（7）更正MBSE模型

由于系統設計信息是由模型中獲取的，故它們的正確性至關重要，且與目標層次結構存在很強的相關性。這是MBSE 受益于保證性實踐的一個方面。Montgomery闡述了針對MBSE模型正確性問題的處理方法[35]，其中列舉了MBSE應用中已有的幾種模型檢查方式，檢查內容包括：需求；任務、操作和互操作性；功能、界面和連續性；系統內容流；系統行為；系統實現；分配和完整性；整合能力等。

3.3 MBMA實踐中的GSN

GSN 最初是一種表達安全性論證結構的圖形化符號語言，在英國航空航天所與約克大學的合作項目中被開發出來。GSN論證是指運用GSN語言描述安全論證過程，建立GSN 論證模型。此類模型利用圖形化的符號，清楚地表達了每個安全論證包含的元素（目標、證據、環境、策略等）以及這些元素之間的關系。為了在安全案例中避免證據的無條理堆積，并在系統生命周期內不斷修正安全案例，使安全論證結構可以復用，Kelly 提出以GSN 來進行安全論證，在此基礎上編制安全案例[22]。

基于GSN 的論證工具通常包含目標、策略、證據、環境、假設、論證依據等核心元素。各核心元素在可視化的論證工具中采用不同的圖形框進行表示，其含義如下：

目標：用于表達論證的目標，說明系統設計、實現、運行及維護等方面的安全要求。

策略：用于說明目標之間的推理關系，即上一級目標如何通過下一級子目標的論證來實現。

證據：用于說明論證中的具體證據，如系統設計文檔、測試數據、維護文檔等。

環境：用于說明目標、策略或證據命題為真的約束條件，如系統工作環境。

假設：用于對目標或策略進行補充，注明未經證實的假設。

論證依據：用于說明目標或策略所依據的原理、標準等。

基于上述元素，GSN采用不同形式的連接線來表示元素間不同的連接關系，以此構建目標結構表示。

就MBMA 相關的保證案例而言，GSN 為保證案例的構建帶來了以下幾方面的積極影響：首先是GSN 結構為保證案例開發過程賦予了更明確的規則；其次，GSN有助于揭示并識別在安全評估期間所做的假設；第三，GSN使保證性論證的主要結構更便于評審者理解，在此基礎上可以評估保證案例的有效性，與之相比，在以文檔為中心的方法中，保證案例以文本形式提出，其中所做假設很容易被隱藏，且目標和策略之間的關系也可能模糊不清；最后，GSN圖是模塊化的，其很容易與系統的功能模塊相關聯，這意味著GSN 非常適合與基于模型的系統表達方法搭配。相關領域的研究中，Rich提出利用GSN解決安全案例中人為因素的問題[43]，其將有關人為因素的描述添加于GSN 通用模型中。Witulski、Austin 等人使用GSN 為包含普通商用現貨COTS 器件的航天器進行了輻射保證性論證[44-46]。Austin討論了由貝葉斯網絡的推理結果為GSN 提供證據的可行性[47]。Weaver 使用GSN 對飛機進行了安全論證[48]。Ryder 等人介紹了將GSN集成與保證性建模軟件中的工作[49]。

4 MBMA在復雜系統設計中的典型應用

近年來，MBMA 概念在航天任務中的實踐不斷增加，包括噴氣推進實驗室（Jet Propulsion Laboratory，JPL）牽頭的歐羅巴快船項目[50]、NASA的獵戶座項目[51-52]、NASA的探路者項目[53-55]等。其中引人關注的是NASA支持了多項課題用于在MBMA框架下研究航天器在輻射環境下的可靠性、安全性問題。

航天器作為典型的復雜系統，通常來說，經費、時間進度、人力資源是制約航天任務中系統設計的主要因素，對于航天器設計所特有的抗輻射加固設計而言，上述因素的影響尤其明顯。在航天器設計中，抗輻射性能是首要關注的問題，根據飛行任務的特點，一般需要考慮單粒子效應[56-58]、總劑量效應[59-60]等因素的影響。就系統設計而言，航天器通常所用的抗輻射加固器件由于本身價格高昂，在經費受限的情況下很難普及，尤其是在目前日漸頻繁的商業航天項目中。另外，由于抗輻射加固器件在體積、功耗等方面相比COTS器件通常存在較大劣勢，因此即使是在經費充裕的航天項目中，大量使用抗輻射加固器件往往也意味著系統在一定程度上的性能損失。這種情況下，當缺乏可用的抗輻射加固器件或成本限制了抗輻射加固器件的使用時，航天系統會通過適當的COTS 器件選擇策略或者系統設計中的相應措施來一定程度上減少輻射效應的影響[61-62]。另一方面，航天系統若直接選用COTS器件的話，通常也需要經過輻射加固保證性（radiation hardness assurance，RHA）過程[63]。這一過程是對系統中輻射所致故障的風險評估和風險管理。其中風險被定義為失敗的概率乘以失敗的后果[64]，器件選型及其所處任務環境對于系統風險有決定性影響。RHA 中的風險評估就是確定潛在故障、故障可能性以及故障后果的活動，風險管理則是在系統約束范圍內減少潛在故障、故障可能性和故障后果的活動。有效的RHA過程需要建立在掌握器件可靠性及相關不確定性的基礎之上。從這一角度來講，航天器所選用的COTS器件需要在不同的工作模式、功率等條件下進行大量的輻射測試以了解其可靠性水平。但實際上很難對器件的各種狀態進行一一測試鑒定[65]，現實中往往只能對COTS 器件在特定系統中的某種應用進行測試，甚至根本不進行輻射測試，而是使用來自類似器件或者系統層的輻射測試結果。這種情況下，在分析輻射環境中的系統風險時，風險評估會對器件的使用做出許多假設。由此可見，選擇COTS器件的航天項目在RHA過程中也可能付出項目周期拉長和費用增長的代價，同時RHA 中所引入的各種假設對于設計、評估人員的專業水平也提出了很高的要求。

隨著MBSE 日益成為航天領域系統工程的實施標準，NASA 近年來開始探索將MBMA 概念應用于航天器的抗輻射加固設計當中，以應對系統設計過程中由于器件選擇、驗證等原因所帶來的可靠性、安全性、經濟性、及時性等方面的挑戰。圖2所示為采用MBMA 模式對商業衛星的抗輻射性能進行保證性分析時，基于NASA的層次化保證目標所建立的GSN論證結構示意圖[49]。

目前，在部分航天器的開發過程中，系統保證性建模分析被視為與輻射試驗同樣重要。這方面現有研究成果的代表是NASA和范德堡大學基于MBMA思想聯合開發的系統工程與保證性建模（systems engineering and assurance modeling，SEAM）軟件[49]，該軟件集成了基于SysML 語言的系統建模、基于GSN 的安全性論證等功能，由此構建了一套體現MBMA思路，能夠對航天器在輻射環境下的可靠性、維護性、安全性進行高效分析的工具，其已被應用于商業衛星的輻射加固保證案例中[44-45，47，66-69]。

以SEAM 軟件為代表的系統保證性分析工具為其他項目中MBMA概念的實施提供了思路。即任務保證論證工具須盡量降低使用門檻[70]，提供與系統開發及使用環境相匹配的快速分析能力，使用圖形進行表示，具有靈活的建模能力，能夠對器件/系統失效進行表達，可由系統模型生成可靠性分析模型，具備與其他可靠性分析程序之間的互操作性，并提供保證性論證的指導。

就航天器的抗輻射設計而言，保證性分析時除了考慮容易因輻射導致故障的傳感器、邏輯器件以外，還要考慮與輻射無關的故障路徑，這里所謂的故障傳播的路徑包括物理和邏輯的接口，由此使得保證性分析覆蓋可能影響系統性能的每個環境激勵。這也意味著航天器的保證性不僅取決于其固有結構或特定故障模式，還取決于從器件傳播到系統的所有故障類型。

5 結束語

MBMA作為一種將MBSE與MA相結合的產物，在航天、航空、武器裝備等涉及復雜系統高可靠性、安全性需求的領域有著廣闊的應用空間，其可以為項目成本/進度管理、系統可靠性/安全性保障帶來積極影響。本文對MBMA所涉及的基本概念及主要支撐技術進行了梳理，由于MBMA的發展歷史尚短，有關其完整嚴謹的解釋還缺乏統一認識，現有的研究多側重于通過具體的分析對象，如商業衛星、空間站、飛機等，來演示MBMA中某些概念的應用，或者探索MBMA 能夠為項目帶來的收益。這方面比較典型的例子就是基于MBMA 對使用COTS 器件的航天器進行抗輻射能力評估。但是這些應用中，MBMA 與以往方法的根本差異、完整的MBMA的實施過程等內容還需要進一步的明確。

作為一種支撐復雜項目實施的系統工程思想，MBMA 在未來的發展可以從以下兩個方面著手：（1）開發完善MBMA 的應用軟件，以SEAM 為代表的保證性建模軟件已經將SysML建模、FTA自動生成等功能集成在一起并應用于航天器的抗輻射評估中，但現有的此類保證性建模軟件普遍未實現可靠性分析模型計算功能的集成，在實際使用時還需將軟件生成的FTA、貝葉斯網絡等可靠性分析模型導入到另外的專用計算軟件，由此可能為實際使用帶來困難；（2）完善保證性論證方法，以GSN 為代表的論證方法在應用于安全性、保證性等不同領域時，在語法、結構等方面的差異還需要進一步明確，與領域特點相對應的GSN 論證模板目前還很欠缺，另外，為避免論證者經驗問題所導致的GSN論證缺陷，還需結合GSN的語法、結構要求開發相應的自動檢查技術。