龚喜盈王春生张 琳

（1.西安爱生技术集团公司，陕西 西安 710062；2.中航工业综合技术研究所，北京 100028）

军用无人机系统安全性定量指标研究

龚喜盈1王春生2张 琳1

（1.西安爱生技术集团公司，陕西 西安 710062；2.中航工业综合技术研究所，北京 100028）

以美国有人机地面灾难性事故的统计数据为依据，建立灾难性事故可能性与碰撞动能的函数关系，借助飞机的重量、翼展、操纵速度、操纵高度数据以及预期测试情况（人口密度情况）计算出不同类型无人机系统的安全性指标要求（灾难性事故发生的可能性要求）。最后采用国外5型无人机数据进行了验证。

军用无人机系统；等效安全水平；安全性指标；碰撞动能

当前，军用无人机技术迅猛发展，已经成为现代局部战争和军事行动中不可或缺的组成部分，已不可避免地改变了军事斗争的方式以及军事行动的样式。但是，由于无人机的事故率远高于民用航空器，无人机只能在空中禁区（在试验和训练的范围）或战争地区中飞行，并必须最大程度的避免与有人机发生冲突。此外，从战斗力保持的角度来看，无人机的高灾难性事故率无疑严重影响其战斗力。

目前，我国军用无人机事故率非常高，在军用无人机研制中急需全面引入系统安全性以提高安全水平，而安全性定量指标要求极为关键。由于无人机的尺寸和特征存在很大差异，以及无人机依赖机上飞控系统和/或数据链路操作会带来额外的失效模式，即使无人机（飞机自身）采用了与有人机相同的安全性要求，也会具有更高的事故率。因此，无人机系统不能直接使用尺寸类似的有人机的安全性风险参考系统，需要采用其他的方法制定定量的安全性指标要求。

在无人机系统安全性要求制定方面，欧洲联合航空局/欧控无人机系统任务组（也包括欧洲航空安全局（EASA））提出的“无人机系统”（UAS）适航性标准制定原则为：无人机系统的适航性标准应不低于现行同类型有人航空器使用的要求，也不应该简单地因为技术原因惩罚性地要求UAS符合更高的标准要求。因此，本文将本着等效有人机安全水平的方式确定无人机的安全性指标（灾难性事故发生可能性）要求。

1 有人机安全水平

对于有人机来说，针对不同的航空器类型，适航性标准中给出了不同的安全水平要求。只要满足适航性标准的要求就可以确保有人机的系统/部件足够可靠，符合设定的“安全性目标水平”（TLS）。下面将按照民机和军机分别介绍有人机的安全水平。

1.1 民机安全性要求

对于民机而言，安全性目标包含在适航规章第23、25、27、29部的第1309条，按照失效的严重程度和可能发生的最大可能性矩阵建立风险系统进行管理。表 1为按照民机适航规章CCAR-25-R4《运输类飞机适航规章》第25.1309条建立的安全风险系统，按照该系统要求，对于整架飞机而言，其发生灾难性事故的可能性应该是极其微小的（也就是通常所说的整机设计的单个灾难性失效可能性应小于10-7h-1）；此外，对于飞机的系统而言，由于存在多个灾难性失效，单个灾难性失效的可能性要求为10-9h-1或更小。此外，事故调查结果表明有人机的主要事故是由人为错误引起。因此，可靠性高的设备仅对整个航空安全带来部分影响。1999年，FAA发布的AC 23.1309-1C《23部飞机的系统安全分析及评估》将基于FAR-23《正常类、实用类、特技类和通勤类飞机适航规定》审定的飞机定义为4类，每一类飞机可接受的失效概率是不同的，如表2所示。

民机按照飞机类型以及使用特点建立了具有不同失效概率要求的安全风险系统，这些要求是公众所能接受的最低安全要求。

表1 民用运输类飞机安全风险系统

表2 FAR-23部飞机可接受的事故严重程度和失效概率

1.2 军机安全性要求

依据MIL-STD-882D《系统安全性标准实践》和GJB 900A-2012《装备安全性工作通用要求》，军机的安全性要求由订购方根据装备的危险特性和可接受的风险水平，并综合考虑军事需求、使用任务、任务剖面、技术基础、研制进度以及全寿命周期的费用等确定。

上述标准中仅给出了定型的安全性指标要求和方法，具体为：依据历史事故信息与相似产品经验教训，利用初步危险表，故障模式、影响及危害性分析，故障树分析等方法，综合考虑硬件、软件、环境及使用与维修规程等因素，识别装备在整个寿命期内所有可能存在的危险；分析每个危险的原因、发生可能性以及对人员、设施、装备和环境等造成的影响，并从危险严重性（定性的危险严重性等级划分见表 3）和危险可能性（定性的危险可能性等级划分见表 4）两个方面开展风险评价（定性的风险评价方法参见表 5）。

在上述标准中并没有给出定量的安全性指标要求，但是建立了与民机相似的、定性的安全风险系统（具体接受程度有差别，比民机要求低）。美国空军适航性通告AWB-13A《风险识别和接受适航性决定》中指出：军机型号的安全性指标可以按照整个型号所有飞机在全寿命周期发生一次灾难性事故的预估值作为定量要求。但是在实际使用中因为机队规模和飞机寿命带来的影响很大，最终估算的安全性定量要求可能很高，也可能很低。因此，军用无人机系统需要制定适合自身特点的安全性定量指标要求。

表3 危险严重性等级划分[1]

表4 危险可能性等级划分[1]

表5 危险的风险指数参考系统[1]

2 军用无人机系统安全性定量指标

2.1 军用无人机系统安全性要求

在保证军用无人机系统具有与有人机同等安全水平的前提下，类似于有人机安全风险系统要求，无人机安全性要求可以制定成下述定性的系统安全性要求：

a) 无安全影响的失效条件无概率要求；

b) 轻微的失效条件应小于很可能发生的概率；

c) 轻度的失效条件必须是小于偶然发生的概率；

d) 危险的失效条件必须是小于很少发生的概率；

e) 灾难性的失效条件必须小于极少发生的概率。

在具体型号中，对于上述定性的系统安全性要求，可以依据型号的特征以及预期的使用区域，确定定量的安全性要求。本文只针对灾难性事故的发生可能性（即，极少发生的定量指标）进行研究。

2.2 军用无人机系统安全性定量指标确定

在安全工程中有一种经常使用的方法：采用基于最坏结果的预期可能性定义一次特定事故的安全性参数，可用于确定最大失效概率。对于UAS的运行，多数事故最坏的结果是发生一个或更多人员丧命，因此，可以基于上述方法使得无人机具有与有人机“等效的安全水平”（ELOS）。

依据1983～2006年美国联邦交通安全委员会（NTSB）事故数据其总的灾难性事故率为5.05×10-5h-1。从美国海军的调查也是明显的，海军的商业、通用航空和各自的航空器地面灾难性事故率为1.8×10-6h-1、7.0×10-7h-1和4.7×10-6h-1。调查包括1980～1998年的海军飞行以及1982～1998年的民用航空数据。因此，不同事故类型影响之间的主要差别可以被预测，ELOS可以按照事故类型分别求得。

由于UAS机上没有人员，在确定无人机系统地面碰撞后的灾难性事故率时只需考虑地面上的灾难数。由表6可知，地面上的灾难数仅占总灾难数的很小比例，约为6%。因此，地面灾难事故率可通过10-6h-1计算。

美国海军调查报告提出的UAS灾难事故率为10-7h-1或者更低（其要求包括战损），因此允许更高的灾难事故率。北约（NATO）STANG 4671《无人机系统适航性条例（USAR）》采用的重大UAS事故TLS为10-6h-1，与本文对应的安全水平要求相比，相当或更低。虽然更严格的要求非常吸引人，但也会严重妨碍UAS的发展。因此，从表现出的危险来保守估计更好，因为它可以随着飞行时间的累计和危险评估才能增加可信度。

由于ELOS已被定义，基于灾难性事故率（fF）的TLS可以定义成最大容许地面碰撞事故频率fGI：

表6 基于1983～2006年NTSB的事故统计数据分析的灾难性事故率

在式（1）中，E( fatalities ground impact)这一项要计算，它是几个参数的函数，包括在碰撞位置的人数和碰撞的能量。飞机地面碰撞后的伤亡人数可以如下确定：

式中，Nexp为碰撞区域的人数。

假定一个人口密度，Nexp可以按照碰撞面积（Aexp）乘以人口密度（ρ）确定：

基于碰撞特点有很多方法来确定Aexp。对于一个垂直撞击，这一区域大约为飞机头部面积加上一小块缓冲区用以考虑人的平均宽度，而对于滑翔下降可以用式（4）近似，式中翼展和机长都已加上正常人的半径：

其结果是，当碰撞中的人数已知时，暴露出的灾难可能性需要计算。灾难事故可能性可以用碰撞动能的函数来估计，尽管其它的参数也会影响它。不巧的是，这种函数如何定义在文献中没有一致的说法。根据RCC323[3]的研究结果，一个1lb重动能为50 J的物体引起灾难性事故的可能性为10%，而同样的物体动能超过200 J时这种可能性就超过90%。根据RCC321[4]的研究结果，对应的1 000 lb重的物体碰撞动能分别为40 kJ和115 kJ，比之前的模型有3个数量级的差别。这样的差别可以归因于动能与通过事故数据估计的灾难事故可能性之间的没有很强的关联。因此，不同质量的物体的碰撞可能会产生不同的效果，即使在参与碰撞的动能是相同的时候。然而，基于碰撞动能的一条对数曲线一般认为是灾难事故估计的一个良好模型。

同样也应指出，前述的模型是基于一个物体对人的直接碰撞，没有把在碰撞过程中碰撞能量会被建筑物、树、车辆或其它物体吸收的影响考虑在内。灾难事故可能性可作为渗透系数给出，这一系数取决于UAS的特征，并且将保护措施考虑在内。但是观察Weibel和Hansman给出的4个渗透参数的例子，如图1所示（进行对比），可以看出Weibel的模型对较小的车辆的估计过于保守，因为给一个重量小于100 g的车辆分配了灾难性事故可能性为5%，而与此同时，该模型却低估了大型车辆的杀伤力。现在还没有提出一个一致的方法来估计其它UAS的渗透系数。

图1 灾难性事故可能性与碰撞动能的函数关系（Weibel和Hansman采用RCC321和RCC323中的模型估计）[2]

综合考虑前面的判断和观察结果，并且以图1中得到的灾难事故曲线为基础，同时把飞机质量和保护装置考虑在内，提出了一个变化的对数增长模型用于估计P( fatalityexposure)，=它是碰撞动能（ Eimp）的函数。这一模型如式（5）所示，取决于3个参数（α，β，ps）：

保护参数ps∈(0，1]，取决于人员暴露在碰撞中的程度，它是飞机碰撞轨迹中可以吸收碰撞能量或使碎片偏转的物体数量的函数，同时也是人在这些物体后采取保护的能力的函数。取一个平均值0.5，这个值高表示在同样的动能下更好的保护和更低的灾难可能性。参数α表示ps=0.5灾难事故可能性为50%时所需的碰撞能量，β表示当ps=0时引起灾难事故所需的碰撞能量界限。对于较小的ps同时适当选取β，式（5）近似于图1中的曲线。图 2表示ps不同值时模型所产生的曲线。

图2 灾难事故可能性与碰撞动能的函数关系（α=106J，β=100J对应不同的ps值）

碰撞动能是碰撞速度的函数，碰撞速度可能会不同，这取决于UAS和降落特性。一个有效保守的对碰撞速度的估计是最终速度，后者可以依据式（6）计算。

式中：m表示航空器质量；g为重力加速度； ρα为大气密度；A为飞行器横截面积；Cd为阻力系数。

依据其他研究，为简化计算，可采用最大操纵速度（vop）的140%来代替最终速度，如式（7）所示：

依据上述公式，可以对无人机系统灾难性事故发生的可能性进行估计，如式（8）所示：

3 军用无人机系统安全性指标案例

采用以上方法可以得到不同类型的UAS的安全性定量指标要求。下面用5个固定翼UAS分别进行研究。系统的选择跨越所有尺寸，它们的基本特征和使用参数如表7所示。在每种情况下α和β取平均值，分别为106J和102J。测试区域人口情况如表8所示。依据上述参数，按照公式（8）可计算出每种无人机系统对应不同测试情况的灾难性事故的概率要求，如表9所示。

表7 美军5型固定翼无人机的基本特性

表8 每种测试情况的参数以及相应的方案描述

表9 不同测试情况运行5型固定翼无人机灾难性事故概率要求

尽管这些结果会受内部参数和模型本身不确定性的影响，但对于不同类型的UAS的安全性定量指标从数量级来看是基本准确的。另外，推导出更加详细的模型尤其是验证这样的模型将会是十分困难的，因为缺少事故数据。然而，已在所有情况中采用了保守的模型和估计。

4 结论

本文按照等效有人机安全水平的思路，结合无人机的特点，按照民机地面灾难性事故统计数据，采用飞机自身的重量、尺寸、操纵速度和操纵高度，以及预期的使用区域人口密度等数据，采用碰撞模型可以估算出无人机的灾难性失效发生的可能性要求。采用该方法可以估算各型无人机顶层安全性指标，针对适航性标准中的要求给出定量的安全性指标要求。

[1] GJB 900A-2012 装备安全性通用要求[S].

[2] K. Dalamagkidis, K.P. Valavanis, L.A. Piegl, On Integrating Unmanned Aircraft Systems into the National Airspace System[M].Springer Science+Business Media, B.V.2009.

[3] U.S. Army White Sands Missile Range, Range safety criteria for unmanned air vehicles – rationale and methodology supplement, Supplement to document 323-99 [R]. Range Safety Group, Range Commanders Council, 1999.

[4] U.S. Army White Sands Missile Range, Common risk criteria standards for national test ranges: Supplement, Supplement to document 321-07[R]. New Mexico: Range Safety Group, Range Commanders Council, 2007.

（编辑：劳边）

T–65

C

1003–6660（2014）04–0034–05

10.13237/j.cnki.asq.2014.04.009

[收修订稿日期] 2014-05-17