基于故障注入模型的電傳飛控系統安全性分析

荘露，陸中，*，宋海靖，董力，吳雨婷，周伽

1．南京航空航天大學 民航學院，南京 211106

2．中國飛行試驗研究院 可靠性研究中心，西安 710089

3．中國航空無線電電子研究所 民機系統部，上海 200241

4．東方航空江蘇有限公司 飛機維修部，南京 211106

現代大型民用飛機的電傳飛控（Fly-by-Wire， FBW）系統是由機械、電氣、電子、液壓等部件組成的高集成復雜系統，具有飛行姿態控制、顫振抑制、俯仰軸配平、飛機增穩和升阻控制等重要功能。飛行姿態控制、顫振抑制等功能的喪失、故障或非指令性工作會對飛機、機組和乘客的安全產生嚴重影響，導致災難性的失效后果。

系統安全性分析既是飛機研制過程中開展安全性設計、提高飛機系統安全性的主要手段，也是適航審定過程中針對《運輸類飛機適航標準》［1］“設備、系統及安裝”等條款開展符合性驗證的重要方法。目前，對民用飛機系統開展安全性分析主要使用功能危害性評估（Functional Hazard Assessment， FHA）、故障模式與影響分析（Failure Mode and Effect Analysis， FMEA）和故障樹分析（Fault Tree Analysis， FTA）等方法［2-3］。在傳統的安全性分析過程中，這些方法主觀性強，過于依賴分析人員的工程經驗，當分析人員對設計方案理解存在偏差時，容易導致分析結果的不完整性和不一致性。同時，這些方法的自動化程度不高，通常需要分析人員手工來完成，飛機系統的研制是一個不斷更新迭代的過程，這將導致傳統的安全性分析工作異常煩瑣。

基于模型的安全性分析（Model-Based Safety Analysis， MBSA）是一類通過將基于模型的開發過程與安全性分析技術相結合以實現自動化或半自動化安全分析的理論或方法［4-5］。在基于模型的開發過程中，各種開發活動（如仿真、驗證和測試等）都在系統模型上進行。在該模型基礎上，自動注入相應的故障模式，根據模型的響應分析故障影響，確定故障的傳播路徑或故障之間的邏輯關系，能夠實現安全性分析的自動化。同時，安全性分析的輸出由系統模型自動生成，從而避免了對分析人員工程經驗的依賴。

近20 年來，MBSA 方法已經成為系統安全性建模與分析領域的熱點。當前，MBSA 方法總體上可分為體系結構建模方法、有限狀態機方法和動力學模型方法3 類。體系結構建模方法利用UML［6］、SysML［7］、AADL［8-9］和AltaRica［10-11］等體系結構建模語言建立系統的形式化模型，在此基礎上確定系統各層級故障之間的邏輯關系或故障傳播路徑，從而自動生成故障樹、事件樹等安全性分析工具。有限狀態機方法通過描述系統狀態以及狀態之間的變遷關系來對系統進行建模，通過線性時態邏輯或分支時態邏輯來表示系統的安全性需求，并利用模型檢測方法來驗證能否滿足安全性需求，典型的有限狀態機建模方法包括Petri 網［12-14］、Stateflow［15］、NuSMV［16-17］等。動力學模型方法利用對象的微分方程、傳遞函數或狀態方程等數學模型來構建仿真模型，能夠反映系統的動力學特性，典型的動力學建模工具包括Simulink［18-20］、Modelica［21］等。

對于FBW 系統而言，無論是飛控計算機的控制律、傳感器和執行機構的輸入輸出模型，還是飛機本身的飛行動力學模型，都是通過微分方程、傳遞函數或狀態方程來表示的。這些模型和相關參數可以通過風洞試驗、CFD 模擬、系統辨識等方法獲得。這些模型和相關參數同樣也是在地面構建鐵鳥試驗臺的先決條件，在設計中，也將根據計算機仿真、鐵鳥試驗、飛行試驗的結果對模型和相關參數進行修正。本文將基于FBW 系統的數學模型，使用Simulink 分別構建FBW 系統的名義模型（即無故障模型）和拓展模型（即帶故障模型），利用單故障注入后的系統響應提出故障影響分析方法，以支持FMEA 的開展，基于狀態遍歷實現組合故障注入，并利用組合故障注入后的系統響應提出FTA 方法。根據安全性分析的結果，可以對設計進行修正。這樣有助于在系統的研發迭代中，實時獲取系統模型和參數的變化對系統安全性的影響，使得安全性分析成為系統開發過程的一部分，避免在安全性分析和系統開發過程中存在“兩張皮”的問題。最后結合某橫側向FBW 系統給出應用案例。

1 基于Simulink 的電傳飛控系統建模

系統的形式化模型是開展MBSA 的基礎，本節以某FBW 系統的橫側向控制系統為對象，利用Simulink 工具分別建立系統的名義模型和拓展模型，基于拓展模型實施故障注入，監控仿真系統在不同故障模式下的響應并分析故障影響。其中，名義模型可由Simulink 模塊直接搭建，拓展模型則需要在名義模型的基礎上融合部件故障模式的Simulink 模型進行構建。

1. 1 某橫側向FBW 系統

該FBW 系統的橫側向飛控系統由飛控計算機子系統、執行機構子系統、傳感器子系統以及副翼、方向舵等舵面組成，以實現飛機的滾轉和偏航控制，系統架構如圖1 所示［22-23］。

圖1 某橫側向FBW 系統架構Fig. 1 Architecture of lateral-directional FBW system

飛控計算機子系統為雙冗余架構，由2 臺相同的主飛行計算機（Primary Flight Computer，PFC）組成，每個PFC 包含1 個指令單元和1 個監控單元。指令單元根據輸入的飛行狀態、飛行員指令等數據，計算控制律并輸出舵面偏轉指令。監控單元也進行控制律的計算，但其計算結果用于與指令單元進行比較，當2 個單元的計算差值超過一定的閾值時，監控單元會抑制舵面偏轉指令的輸出，并將故障信息發送給另一個PFC 以重新配置控制命令。

驅動機構子系統由左副翼驅動機構（Left Aileron Actuation， LAA）、右副翼驅動機構（Right Aileron Actuation， RAA）和方向舵驅動機構（Rudder Actuation， RA）組成。驅動機構均為雙冗余架構，每個驅動機構與合成器連接，用于合成2 個驅動機構的信號。傳感器子系統包括3 個舵面的位置傳感器和慣性測量單元（Inertial Measurement Unit， IMU），它們均為三冗余架構。

1. 2 橫側向FBW 系統名義模型

文獻［23］給出了以微分方程、傳遞函數或狀態方程等形式表示的該橫側向FBW 系統各部件的數學模型，利用Simulink 模塊庫可構建相應部件的模型，將部件模型綜合后即為FBW 系統的名義模型，如圖2 所示。

圖2 基于Simulink 的橫側向FBW 系統名義模型Fig. 2 Simulink-based nominal model of lateral-directional FBW system

1. 3 部件故障模式建模與注入

該橫側向飛控系統組成部件共有無響應、隨機輸出、延遲、卡滯、舵面松浮、增益改變和信號漂移共7 種故障模式［24］。借助Simulink 中的Switch及相關模塊，可以對部件故障模式進行建模，通過控制信號端口，可以實現正常信號和故障信號的切換。表1 給出了各故障模式的描述、數學模型以及建模時使用的Simulink 模塊。表中，y(t)表示故障信號；yr(t)表示輸入的正常信號；min 和max 表示設定的生成隨機數的下界和上界；t0表示設定的延遲時間量；yr(t′)表示上一時間步的正常信號；yi表示第i個飛行狀態（包括爬升、巡航、下降）舵面松浮的角度；a表示設定的信號放大或縮小的倍數；y0表示設定的信號偏移量。

表1 常見故障模式及說明Table 1 Typical fault modes and descriptions

假設某部件具有表1 給出的7 種故障模式，則使用Simulink 的“Multiport Switch”模塊構建的部件故障模型如圖3 所示。圖3 中部件共有8 種狀態，包括“正常”狀態以及表1 中7 種故障模式對應的故障狀態，這8 種狀態分別對應控制信號0、1、2、3、4、5、6、7。通過選擇控制信號值，可在名義模型中注入不同的故障模式。

圖3 基于Simulink 的部件故障模型Fig. 3 Simulink-based component extended model

1. 4 橫側向飛控系統拓展模型

將部件的無故障模型與故障模型相融合，即可建立部件的拓展模型，將所有部件的拓展模型連接在一起，即可建立系統的拓展模型［25］。

該FBW 系統的25 個組成部件的序號、名稱以及故障模式序號如表2 所示，其中故障模式序號與表1 給出的7 種故障模式的序號對應。

表2 各個部件的故障模式Table 2 Failure modes of each component

圖4 以PFC 為例給出了部件的拓展模型，圖4中左側為PFC 的名義模型，右側為PFC 的故障模型，該故障模型包括“正常”狀態以及“無響應”“隨機輸出”“延遲”“卡滯”4 種故障狀態，這5 種狀態對應的控制信號值分別為0、1、2、3、4。

圖4 基于Simulink 的PFC 的拓展模型Fig. 4 Simulink-based extended model of PFC

針對圖2 中每個部件構建拓展模型，并將其連接在一起，可建立該橫側向FBW 系統的拓展模型，如圖5 所示。

圖5 基于Simulink 的橫側向FBW 系統拓展模型Fig. 5 Simulink-based extended model of lateral-directional FBW system

2 基于單故障注入的故障影響

在飛機系統安全性分析中，FMEA 是一種識別部件的所有故障模式并分析其對更高層次影響的安全性分析方法。FMEA 通常用于分析單個故障模式對飛機或系統的影響，以利于發現系統設計的薄弱環節。其中故障影響的確定是FMEA 的重要環節，傳統的FMEA 方法主要依賴分析人員的經驗來識別故障影響，本研究將通過故障注入后的系統性能響應來確定故障影響。

2. 1 系統性能指標與閾值

FHA 確定的系統頂層失效狀態（Failure Condition， FC）是否會發生，是分析故障模式“最終影響”的主要依據。為每個FC 定義性能指標和閾值，并監控注入故障后的系統響應。當飛機處于安全狀態時，各性能指標的響應應限制在可接受的范圍內，一旦性能指標超出了閾值，系統頂層FC 發生。

圖1 所示的橫側向FBW 系統由FHA 確定的頂層FC 包括“導致不安全飛行路徑的滾轉功能喪失”和“導致不安全飛行路徑的滾轉振蕩”。

“導致不安全飛行路徑的滾轉功能喪失”的性能指標為側滑角β、滾轉率pr、偏航率rr和滾轉角?。其性能要求定義為

式中：yi(t)是第i個性能指標；yir(t)是第i個性能指標的參考值，即系統在無故障情況下第i個性能指標的取值；ri是第i個性能指標的閾值；β、pr、rr和?的閾值分別為0.15 rad、0.45 rad/s、0.45 rad/s 和0.15 rad。

“導致不安全飛行路徑的滾轉振蕩”的性能指標為飛機的滾轉角?，閾值定義為20 s 內通過0 rad 的頻率大于1 次/s 的數量不超過10。

對于故障的“局部影響”或“高層次影響”，可根據相應層級的系統或子系統的輸出響應，采用與上述類似的方法來分析。例如，要分析圖5 中PFC1 指令單元的故障模式的影響，可通過故障注入后PFC1 的輸出參數“左右橫滾命令輸出”和“偏航命令輸出”的響應來進行判別。

2. 2 典型故障模式的故障影響

以圖1 所示的橫側向FBW 系統為例，其輸入的滾轉指令為0.2 rad、0.1 Hz 的方波，系統在正常狀態時的響應如圖6 所示。

圖6 無故障狀態下橫側向FBW 系統的性能響應Fig. 6 Performance responses of lateral-directional FBW system without fault injection

注入“左/右副翼-舵面松浮”故障后，系統的性能響應如圖7 所示。此時，滾轉角?顯然超過了規定的閾值0.15 rad，因此可判斷“左/右副翼-舵面松浮”故障的最終影響為“導致不安全飛行路徑的滾轉功能喪失”。

圖7 左/右副翼松浮時橫側向FBW 系統的性能響應Fig. 7 Performance responses of lateral-directional FBW system with left/right aileron trailing

注入“方向舵-舵面松浮”故障后，系統的性能響應如圖8 所示。此時，滾轉角?超過了規定的閾值0.15 rad，且發生了微小振蕩，但其振蕩頻率沒有超過閾值（即20 s 內通過0 rad 的頻率大于1 次/s 的數量不超過10），因此可判斷“方向舵-舵面松浮”故障的最終影響僅僅為“導致不安全飛行路徑的滾轉功能喪失”。

圖8 方向舵松浮時橫側向FBW 系統的性能響應Fig. 8 Performance responses of lateral-directional FBW system with rudder trailing

完成所有單故障注入發現，所有單故障均不會“導致不安全飛行路徑的滾轉振蕩”，則該頂層FC 不會被單故障觸發。

3 基于故障遍歷的故障樹

FTA 是一種組合故障分析方法，能夠確定導致頂層FC 的故障原因組合，并計算頂事件發生概率。FMEA 不能分析組合故障的影響，上述分析中盡管所有單故障都不會“導致不安全飛行路徑的滾轉振蕩”，但是當“PFC 指令單元-無響應”和“PFC 監控單元-無響應”2 個故障模式同時發生將導致該FC 發生，如圖9 所示。

圖9 PFC 指令和監控單元無響應時橫側向FBW 系統的性能響應Fig. 9 Performance responses of lateral-directional FBW system with both PFC command and monitor unit omission

本節提出了一種基于故障遍歷的FTA 方法，首先利用遞歸法得到了系統的所有故障組合；其次提出了故障組合的約簡方法以提高分析效率；然后通過狀態遍歷將故障組合注入到名義模型中，并根據系統響應來判斷是否會導致頂層FC 的發生，即確定故障組合是否是割集；最后可利用最小割集（Minimal Cut Set， MCS）計算出響應的FC 的發生概率。所提出的方法利用組合故障的性能響應來確定導致頂層FC 的MCS，同樣避免了對分析人員經驗的依賴。

3. 1 基于遞歸法的故障組合確定

要使用狀態遍歷進行故障注入，首先必須得到所有的故障組合。假設系統由m個部件組成，每個部件的故障模式數用向量N來表示：

式中：ni表示第i個部件共具有ni種故障模式。

每個故障組合用向量C來表示：

式中：ci=0 表示第i個部件無故障；ci=j(j=1，2，…，ni)表示第i個部件的第j種故障模式發生。假設一個故障組合中有q(q=1，2，…，m)個部件故障，則向量C中有q個非零元素。

通過遞歸法得到的q個部件故障的所有故障組合的偽代碼描述如算法1 所示。

3. 2 故障組合的約簡

為減少需遍歷的故障組合數，提高安全性分析效率，可先對已生成的故障組合進行約簡。故障組合的約簡有2 種方法：

算法1 故障組合的生成Input： 故障部件的個數q、部件的總個數m、部件的故障模式數向量N Output： q 個部件故障的所有故障組合Com 1. void GetCombination（q， m， N） ∥得到q 個部件故障的所有故障組合2. C←[0]1×m ∥向量C 表示一個故障組合，C 為全零矩陣時表示系統正常3. i←1 ∥ i 為部件編號4. k←0 ∥ k 表示故障部件編號，即向量C 中的第k 個非零元素5. Recursive（i， k）6. End 7. void Recursive（i， k） ∥遞歸函數8. if i≤m then 9. k←k+1 10. for x=i：m 11. for j=1：N（x）12. C（x）=j 13. if k=q then 14. 當前向量C為一個故障組合，保存入向量組Com 15. else 16. Recursive（x+1， k）17. End if 18. C（x）=0 19. End for 20. End for 21. else 22. return 23. End if 24. End

1）若某一故障組合的子集是MCS，則該故障組合可舍棄，不用再進行故障注入。即在遍歷q個元素的故障組合時，若該故障組合包含MCS（階數小于q），則該故障組合無須考慮，因為其已經在之前的迭代中考慮過。

2）利用相似余度，余度架構中的相似部件的故障在故障組合中不重復考慮。在生成故障組合時，部件的冗余被視作幾個不同的部件（如PFC、驅動機構、傳感器），包括單個故障、多個故障等所有故障方式都被考慮在內。對于非相似冗余，可以直接遍歷；對于相似冗余，其對故障的響應也是相同的，可先對這部分故障組合進行約簡。如該FBW 的PFC 采用了2×2 余度結構，使用了2 個完全相同的PFC，每個PFC 中有2 個相似的支路，分別為指令單元和監控單元；2 個完全相同的驅動機構分別與2 個PFC 單獨連接（如圖2 所示）。由于部件A、B、C、D 均為相似的指令或監控單元，因此與部件組合｛A， E， G， I｝、｛C， E， G，I｝、｛B， F， H， J｝和｛D， F， H， J｝相關的故障組合注入系統后的響應是相同的，因此僅需要保留一個作為代表，本文稱之為故障組合代表。對故障組合進行約簡的偽代碼如算法2 所示。

算法2 故障組合的約簡Input： q 個部件故障的所有故障組合Com Output： 約簡后的剩下的q 個部件故障的故障組合SimpleCom 1. void Simplify（Com）2. n←size（Com，1） ∥讀取剩余q 個部件故障的故障組合的個數3. for i=1：n 4. if 包含q-1 階及以下MCS then 5. Com（i，：）清零6. End if 7. if 有相似余度故障 then 8. 將Com（i，：）中對應元素替換為故障組合代表9. End if 10. End for 11. 去除故障組合中的重復行和全零行，得到SimpleCom 12. End

3. 3 基于狀態遍歷的安全性分析方法

將遍歷約簡后的故障組合注入系統模型并分析系統響應，可以得到導致系統頂層FC 發生的MCS，即確定系統失效的原因，以便于改進系統設計。并且，利用故障模式的故障率數據還可以根據MCS 計算頂層FC 的概率。

基于狀態遍歷識別MCS 并計算系統頂層FC 概率的偽代碼描述如算法3 所示。

4 實例分析和討論

本節基于圖1 所示的橫側向FBW 系統給出了FMEA 與FTA 分析實例。

4. 1 基于單故障注入的FMEA 實例

考慮到該橫側向FBW 系統的功能及組成特點，可將系統劃分為PFC 子系統、驅動機構、傳感器子系統和控制面4 個部分。每個子系統都由若干部件組成，各部件的故障模式如表2 所示，部件故障模式的故障率如表3 所示，其層次分解圖如圖10 所示。

表3 部件故障模式的故障率Table 3 Failure rate of failure modes of components

圖10 橫側向FBW 系統的層次分解圖Fig. 10 Hierarchical decomposition diagram of lateral-directional FBW system

分析每類部件的故障模式，給出其對當前層級、高一層的子系統級、系統級的影響，確定故障檢測方法，即完成了FMEA。

算法3 基于狀態遍歷的MCS 識別與FC 概率求解Input： 故障部件的個數q、部件的總個數m、部件的故障模式數向量N Output： 系統的MCS 和頂層FC 的失效概率1. void StateTraversal（）2. for q=1：m 3. l←1 4. GetCombination（q， m， N） ∥ 調用算法1 得到q 個部件故障的所有故障組合5. Simplify（Com） ∥調用算法2 約簡故障組合6. n←size（SimpleCom，1） ∥讀取剩余q 個部件故障的故障組合的個數7. for l=1：n 8. 將第l 個故障組合注入系統模型9. 運行拓展模型10. if 導致系統頂層FC 發生 then 11. 記錄當前故障組合為頂層FC 的一個q 階MCS 12. End if 13. End for 14. End for 15. 根據系統頂層FC 的所有MCS 計算其失效概率16. End

以PFC 子系統中的PFC1 指令單元為分析對象，其功能為“獲取飛行員指令和飛機姿態信息，經控制律解算，指令驅動機構動作”。通過分析PFC1 指令單元的4 種故障模式及其影響，得到的FMEA 表如表4 所示。

表4 PFC1 指令單元部件級FMEA 表Table 4 Piece-part FMEA worksheet for command unit of PFC1

以控制面子系統中的左副翼為分析對象，其功能為“為飛機提供滾轉控制”。通過分析左副翼的2 種故障模式及其影響，得到的FMEA 表如表5 所示。

表5 左副翼部件級FMEA 表Table 5 Piece-part FMEA worksheet for left aileron

4. 2 基于狀態遍歷的FTA 實例

通過狀態遍歷法，分別得到該橫側向FBW系統頂層FC“導致不安全飛行路徑的滾轉功能喪失”的MCS 共3 293 個，對等價的MCS 約簡后剩余215 個，其中一階3 個，二階42 個，三階104個，四階及以上66 個。

頂層FC“導致不安全飛行路徑的滾轉振蕩”的MCS 共1 128 個，對等價的MCS 進行約簡后剩余109 個，其中一階0 個，二階6 個，三階60 個，四階及以上69 個。

（一）有利于生產各環節的全程監控，保障畜產品質量安全 隨著社會經濟的快速發展，人們消費意識和水平的不斷提高，消費者對所需食品的質量要求越來越高。而分散的小規模生產，很難有效對其生產的各個環節進行有效監控，產品質量無法保障，只有標準化規?；l展生豬養殖，才能有利于監管，有效避免有毒、有害、違禁藥品、飼料、添加劑、微量元素、礦物質進入畜體，保障畜產品質量安全。

在計算頂事件發生概率時，需要用到基本事件的暴露時間和故障率，由于該橫側向FBW 系統的所有部件在整個航段時間內均在工作且不存在隱性故障，因此故障樹每一基本事件的暴露時間均取平均航段時間。各部件故障模式的故障率見表3，假設該飛機的平均航段時間為10 h，根據求得的MCS 可計算得到“導致不安全飛行路徑的滾轉功能喪失”每航段時間內的發生概率為3.002 661×10-7，每飛行小時發生概率為3.002 7×10-8；“導致不安全飛行路徑的滾轉振蕩”每航段時間內的發生概率為1.140 6×10-10，每飛行小時發生概率為1.140 6×10-11。

4. 3 分析與驗證

針對該系統，文獻［26］提出了利用經典的馬爾可夫分析方法（Markov Analysis， MA）求失效概率上下限的近似方法求解失效狀態發生概率。MA 的主要步驟為：① 注入故障模式，運行系統拓展模型，確定系統的各個狀態（正常、失效），繪制出系統的狀態轉移圖；② 依據系統狀態轉移圖，構建相應的狀態轉移矩陣以及用于求解飛行控制系統狀態概率的微分方程組；③ 通過求解微分方程組能夠得出系統在某一時刻處于各個狀態的概率，進而求解系統失效概率。

該橫側向FBW 系統“導致不安全飛行路徑的滾轉功能喪失”的MA 模型如圖11 所示。

圖11 滾轉功能喪失的MA 模型Fig. 11 MA model for loss of roll control

圖11 中，紅色圓表示系統的吸收狀態；標號為N 的圓表示系統的正常狀態；標號為字母與數字組合的圓表示系統的中間狀態。以標號為A1的圓為例，其表示部件A 的故障模式1 發生，λA1為部件A 的故障模式1 的故障率。通過求解馬爾可夫過程的Fokker-Planck 方程可以計算出頂層FC 發生的概率。

為了簡化MA 過程，可以通過截斷MA 模型來減少狀態數［27］，截斷后的MA 模型包含的狀態數將大幅減少，其減小程度取決于截斷水平的高低。圖11 取3 級截斷后的MA 狀態轉移圖如圖12 所示，圖12 中除了完全失效狀態T 外，其他包含3 個故障以上的狀態將不再考慮。

圖12 3 級截斷下的狀態轉移圖Fig. 12 State transition diagram at third truncation level

圖12 中相應的故障率可通過式（4）求得

MA 模型截斷后，無法得到系統的MCS 和頂層FC 發生的精確概率，但可以計算頂層FC 發生的概率的上下界［25，27］。當取截斷等級為3 時，求得的2 個頂層FC 的發生概率的上下界見表6。

表6 不同方法得到的頂層FC 發生概率Table 6 Probability of top-level FC occurrence calculated by different methods

此外，還能夠通過蒙特卡羅仿真的方法近似求解該FBW 系統失效狀態的發生概率［25］。蒙特卡羅仿真的具體方法為：將每個部件故障模式的故障時間用隨機數表示，將這些數字從小到大排序，按照故障注入方法逐個注入發生時的失效模式。當響應不滿足安全要求時，將終止一次模擬，得到不安全狀態下的時間樣本。根據幾個時間樣本，可以得到不安全條件下的時間概率分布。這樣就可以計算出不同時間點的不安全狀況發生的概率。通過蒙特卡羅仿真計算出的平均航段時間內發生不安全狀況的概率見表6。

由此可見，通過本文方法計算得到的概率位于MA 方法得到的概率上下界之間，與蒙特卡羅仿真的結果近似，說明了本文方法的準確性。

此外，隨著設計的更改，MA 模型需要重新手動構建，而本文方法可以根據修改后的系統模型，自動更新安全性分析結果，避免了煩瑣的建模工作。蒙特卡羅仿真方法雖然節約了分析時間，但其是一種隨機方法，無法得到精確的失效概率，也無法得到失效狀態的MCS。

5 結 論

本文提出了基于Simulink 的FBW 系統安全性分析方法。通過注入單個故障和故障組合遍歷，實現了FMEA 和FTA 的自動化。與傳統的安全性分析方法相比，本文方法具有以下優點：

1）提出了一種MBSA 方法，基于Simulink建立了FBW 系統名義模型和拓展模型，能夠自動分析FMEA 的故障影響、確定FTA 的MCS 并計算頂層FC 的發生概率。

2）利用故障注入后的系統的性能響應來確定部件故障或故障組合對系統安全性的影響。與傳統的安全性分析方法相比，系統失效的確定不依賴于分析人員的技術和經驗，更具有客觀性。

3）當系統設計方案更改時，利用更改后的拓展模型能夠自動更新安全性分析結果，不需要重新構建安全性分析模型（如FTA、MA 或依賴圖分析），從而避免了手動重新建模的煩瑣工作。